Weshalb sind Phishing und Spoofing so gefährlich?

Welche Rolle spielen dabei DNS-Hijacking, DNSSEC, DoH, DoT, DMARC, SPF und DKIM?

Welcher Zusammenhang und welche Unterschiede bestehen für sicheres DNS bei DNSSEC, DoH (DNS over HTTPS) und DoT (DNS over TLS)?

 

Basis des gesamten Datenverkehrs im Internet ist das DNS-System: Wie das Fundament eines Hauses ist dieses essenziell - und kritisch hinsichtlich IT-Sicherheit und Datenschutz von Grunde auf für Mensch und Maschine, das Internet der Dinge...! Unterschiedliche Datenprotokolle bauen darauf auf. Cyberangriffe auf das DNS-System des Internets gehen daher mit unkalkulierbaren Risiken einher.

 

Auffällig ist, dass häufig Cyberangriffe selbst über unsichere DNS-Netzwerke, mit unsicheren Protokollen, Webseiten, Server, Mails, usw. laufen.

 

Da quasi das gesamte Internet mit Programmiersprachen wie JavaScript benutzt und gesteuert wird, sind überall verwundbare Schnittstellen und Sicherheitslücken vorhanden. Jedes Iot-Gerät, jedes Netzwerk, jede Infrastruktur sind daher angreifbar. XSS-, Cross-Site-Scripting, SQL-Injection-Angriffe sind dafür bezeichnend.

 

Dokumentationen zu ungesicherten DNS-Einstellungen, IP-Fragementierung, MTU, Manipulation von Daten und Code-Injections, Router- und Netzwerksicherheit, DDoS-Angriffen u.a.

Phishing und Spoofing:

 

Eine der ältesten Jagdtechniken der Menschheit ist das Fischen: Mit Ködern werden dabei Fische angelockt, um sie fangen zu können. Dabei können kleinere Fische als echte Köder eingesetzt werden, oder auch künstliche Köder, die wie echte Köder aussehen.

 

In der digitalen Welt stehen für das Fischen ähnliche Begriffe: Phishing und Spoofing. Allerdings geht es hier um das Ködern von Menschen…! Beim Phishing (Mailbetrug), Smishing (SMS-Betrug), Quishing (QR-Codebetrug), Vishing (Sprach- und Telefonbetrug), werden gefälschte Daten genutzt, um Empfänger zu betrügen.

 

Beim Spoofing kann es sich um legale Vorgänge handeln, soweit sich hier ein authentischer sachlicher Bezug ergibt, z.B. durch den von einer Webseite beauftragten und vom Besucher der Webseite genehmigten Versand von Newslettern per Mail.

 

Beim Phishing und Spoofing sind für eine Differenzierung und Cyberabwehr entscheidende Aspekte die Nachvollziehbarkeit, Plausibilität und technische Sicherheit der IT- und Kommunikationssysteme.

 

Fehlende digitale Kompetenz des Empfängers von Phishing- und Spoofingmails kann dabei genauso fatal sein wie fehlende oder falsche Sicherheitskonfigurationen von Webseiten, Domains und Mailsystemen. Für jeden Bürger bedeutet es daher: Aufbau digitaler Kompetenz und fortlaufende Überprüfung eigenen Wissens und Fortbildung. Weitere Informationen zur digitalen Bildung und Gesellschaft finden Sie hier.

Übersicht:

 

1. Prüfen Sie Ihre Mail, Ihre Rufnummer, Ihr Login regelmäßig auf Missbrauch und Datenlecks
2. Dokumentationen zu Datenlecks und Cyberangriffen im Zusammenhang u.a. zu Phishing, Webseitenangriffe, etc.:
3. Beispiele zu Phishing in verschiedenen Formen und in Kombination verschiedener Technologien:
4. Phishing erkennen
5. Analyse von Mailheadern
6. DNSSEC, DoH (DNS over HTTPS), DoT (DNS over TLS), DMARC, SPF, DKIM, DNS-Hijacking, Code-Injections, IP-Fragmentierung, MTU: Sicherheit in den DNS-Einstellungen von Mails, Domains und Webseiten, Router- und Netzwerksicherheit - Relevanz von RPKI
7. Cyberangriffe auf Iot-Geräte, Netzwerke, Infrastrukturen mit XSS-, Cross-Site-Scripting und SQL-Injection - Zusammenhänge von Sicherheitslücken und Schwachstellen im gesamten Datenverkehr: Warum sind derartige Angriffe so gefährlich?
8. DDoS-Angriffe und Abwehrmaßnahmen - im Kontext zu unsicheren DNS-Konfigurationen
9. Gefährliche Irrtümer
10. Konfigurations- und Sicherheitshinweise
11. Informationen zu DNSSEC und warum dies so wichtig ist
12. Analyse- und Prüftools zu DNSSEC, DMARC, SPF, DKIM
13. Grundlagen zu DMARC
14. IONOS – Tools zu Sicherheitsfunktionen und -prüfungen
15. Tipps zur IT-Sicherheit
16. Informationen zu Konfigurationen
17. Dokumentationen von Cyberangriffen auf DNS-Einstellungen und Lieferketten

1. Prüfen Sie Ihre Mail, Ihre Rufnummer, Ihr Login regelmäßig auf Missbrauch und Datenlecks!

 

Es betrifft Ihre persönlichen Daten - Ihre "digitale und reale Identität", aber auch die Daten und die Kommunikation mit Ihrem sozialen und beruflichen Umfeld. Und es betrifft für Sie unbekannte Personen, Unternehmen, Einrichtungen, Institutionen, Vereine, Privatpersonen, die mit Ihren missbrauchten Daten angegriffen werden!

 

Die beiden bekannten Plattformen von https://haveibeenpwned.com/  und des Hasso-Plattner-Instituts https://hpi.de/projekte/hpi-identity-leak-checker-pruefen-sie-ihre-digitalen-identitaetsdaten.html verweisen bereits auf Milliarden betroffener Zugänge zu Mailkonten und Logins, die im Zuge u.a. von Angriffen auf Webseiten erbeutet wurden. Hier schließt sich auch der Kreis betreffend der Naivität im Umgang mit Passwörtern, wie auch dem unzureichenden Schutz von Webseiten und Logins. Werden Sicherheitslücken von Internetplattformen ausgenutzt, können auf einen Schlag hunderte Millionen Nutzer mit deren Mailadressen, Adressdaten, Rufnummern, etc. betroffen sein: https://haveibeenpwned.com/PwnedWebsites .

 

Rund 70 % der Internetnutzer nutzen ein Passwort für alle Zugänge. Sind zudem Domains und Mails nicht verifizierbar, spiegelt sich das eben auch in den häufigen Angriffsformen mit Phishing und Identitätsdiebstahl.

 

"...Laut dem Verizon Data Breach Investigations Report 2021 wurde bei den meisten Datenschutzverletzungen – 85 Prozent – ein menschliches Fehlverhalten durch Phishing oder ähnliches ausgenutzt. Die Nutzung sicherer Passwörter bleibt angesichts der zunehmenden Angriffe von entscheidender Bedeutung...

 

...Demnach wissen zwar 92 Prozent der Internetnutzer, dass die Verwendung desselben Passworts oder einer Abwandlung davon ein Risiko darstellt. Trotzdem verwenden 65 Prozent der Befragten ihre Passwörter für verschiedene Konten immer wieder und erhöhen dadurch die Risiken für ihre sensiblen Daten drastisch...!"

 

https://www.security-insider.de/unsichere-passwortpraktiken-trotz-erhoehter-nutzung-des-internets-a-1061013/

 

 

LastPass - Psychologie der Passwörter:

 

https://www.lastpass.com/de/resources/ebook/psychology-of-passwords-2021

 

 

Studie zur Psychologie der Passwörter:

 

https://www.lastpass.com//-/media/9fe0bf5dc473413b8ab4df3bd8688295.pdf

 

 

Hier empfehlen sich regelmäßige Prüfungen Ihrer Mail und ggf. Rufnummer, um Ihre IT-Sicherheit zu prüfen. Tatsache ist jedoch auch, dass mit jedem erfolgreichen Hackerangriff immer mehr Daten von uns allen Im Internet landen und damit Cyberrisiken und Angriffe unkalkulierbar steigen. Für immer mehr Menschen bedeutet dies auch: Ein Zustand permanenter Cyberangriffe und Identitätsdiebstahl.

 

Durch DNS-Hijacking können selbst verschlüsselte Webseiten gekapert und umgeleitet werden, wenn die DNS-Einstellungen der Domain nicht gesichert sind. Daraus leitet sich die Konsequenz ab, dass bei ungesicherten DNS-Einstellungen auch alle mit der Domain verbundenen Mails gefährdet sind bezüglich Identitätsdiebstahl und Missbrauch für Phishing.

 

Webseitenbetreiber und Domaininhaber sind daher u.a. nach DSGVO in der Pflicht und gefordert, für die Sicherheit von Domains und DNS-Einstellungen Sorge zu tragen. Davon hängt die Integrität, Authentifikation und Kommunikation über Webseiten und Mails ab und ist deshalb von zentraler Bedeutung! Gerade auch aufgrund des Fehlens von gesicherten DNS-Einträgen sind Manipulationen für Missbrauch mit Phishing, Identitätsdiebstahl und DNS-Hijacking so fatal: 75 % der Cyberangriffe mit Ransomware gehen zunächst mit Phishing einher! Hierzu gibt es auch eindeutige Maßgaben des BSI, der Allianz für Cybersicherheit, der ICANN und anderen für die IT-Sicherheit maßgeblichen Institutionen und Behörden. Ab Punkt 2. finden Sie hier weitere Informationen!

 

Ein grundsätzlicher Ansatz ist dabei bereits die korrekte und gesicherte technische Einrichtung von IT-Systemen mit DNSSEC, DMARC, SPF und DKIM, um die Sicherheit von Domains und davon abhängenden Mails zu verbessern gegenüber DNS-Hijacking, Phishing, Identitätsdiebstahl und damit Missbrauch von Mails zum Betrug.

 

BSI-Notfallplan gehacktes E-Mail-Konto - Hilfe für Betroffene...

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Identitaetsdiebstahl/Hilfe-fuer-Betroffene/hilfe-fuer-betroffene_node.html

 

Bitte bedenken Sie bei allen Ihren Logins: Mit der Technologie der Quantencomputer werden alle bisherigen Verschlüsselungsverfahren gefährdet sein. Wo immer möglich die Empfehlung, 2-Faktor-Authentifizierungen einzusetzen.

 

Quantentechnologien und quantensichere Kryptografie

 

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Quantentechnologien-und-Post-Quanten-Kryptografie/quantentechnologien-und-quantensichere-kryptografie_node.html

2. Dokumentationen zu Datenlecks und Cyberangriffen im Zusammenhang u.a. zu Phishing, Webseitenangriffe, etc.:

 

 

"...14% der Bevölkerung Opfer von Cybercrime...

 

...Wie groß das Problem mit der Internetkriminalität ist, verdeutlicht nicht nur der erst kürzlich erschienene BSI Lagebericht 2022, sondern auch aus der aktuellen BKA-Studie "Sicherheit und Kriminalität in Deutschland" geht u.a. hervor, dass 14 Prozent der Bevölkerung ab 16 Jahren in den zwölf Monaten vor der Befragung Opfer von Cybercrime geworden sind. Dabei handele es sich in den meisten Fällen um Waren- oder Dienstleistungsbetrug oder den Missbrauch persönlicher Daten. Das ist die höchste Opferquote im Vergleich zu anderen Kriminalitätsfeldern...!"

 

Bericht des BSI zur Lage der IT-Sicherheit in Deutschland 2022:

 

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

 

 

 

Mitteilung von Herrn Prof. Pohlmann - ECO-Vorstand:

 

"...Das Thema IT-Sicherheit ist dabei im Herbst 2022 brandaktuell, der Ukraine-Konflikt und wirtschaftlich motivierte Attacken mit Erpressungstrojanern (Ransomware) bedrohen kleine und große Unternehmen sowie Behörden in einem nie gekannten Maße.

 

Diesen Umstand sprach Prof. Norbert Pohlmann in seiner Begrüßung an. Der eco Vorstand für IT-Sicherheit betonte, die Notwendigkeit für einen engen persönlichen Austausch sei größer denn je: "IT-Systeme und Infrastrukturen sind nicht sicher genug konzipiert, aufgebaut, konfiguriert und upgedatet, um allen intelligenten Angriffen standzuhalten", gab er zu bedenken...!"

 

https://www.eco.de/news/it-sicherheit-fuer-eine-verschaerfte-bedrohungslage-das-waren-die-isd-2022/

 

Whitepaper: Angriff auf die künstliche Intelligenz

 

https://www.itsicherheit-online.com/downloads/whitepaper-angriff-auf-die-kuenstliche-intelligenz/

Künstliche Intelligenz (KI) und Cybersicherheit

 

https://norbert-pohlmann.com/wp-content/uploads/2021/10/395-Kuenstliche-Intelligenz-KI-und-Cyber-Sicherheit-Prof-Norbert-Pohlmann.pdf

 

 

Whitepaper: Angriffe auf Lieferketten

 

https://www.itsicherheit-online.com/downloads/whitepaper-supply-chain-security/

 

 

„...Bedrohungslage übertrifft Schutzmaßnahmen / Personalmangel wird zum Sicherheitsrisiko

Wer bei einem Sicherheitsvorfall was zu tun hat und wofür verantwortlich ist, ist in den allermeisten Unternehmen klar definiert. Die Faktoren, die es den Mitarbeitenden erschweren, die Unternehmens-IT so gut wie möglich abzusichern und im Ernstfall so schnell und umfassend wie möglich reagieren zu können, sind andere...!“

https://www.itsicherheit-online.com/news/cybersecurity/bedrohungslage-uebertrifft-schutzmassnahmen/

 

 

„...Was Neurodiversität mit Cybersicherheit zu tun hat...

Für Gunnar Peterson, CISO bei Forter, sind Unternehmen leichter angreifbar, wenn sie es versäumen, in ihren Security-Teams neurodiverse Mitarbeiter zu beschäftigen und zu fördern. Für ihn ist Neurodiversität ein wichtiges, meist fehlendes Puzzelstück im Kampf gegen Cyberkriminelle...!“

 

https://www.itsicherheit-online.com/news/cybersecurity/kommentar-was-neurodiversitaet-mit-cybersicherheit-zu-tun-hat/

 

 

"Der Mensch ist und bleibt Angriffsziel Nr. 1...

 

...Um sicher reagieren und agieren zu können, braucht es aber auch ausgebildete und trainierte Mitarbeitende auf allen Ebenen, die richtige Einstellung und eine gesunde Fehlerkultur. Wenn was passiert, muss man schnell und zeitnah reagieren können...!"

 

https://www.eco.de/news/der-mensch-ist-und-bleibt-angriffszielt-nr-1/

 

 

"...Es kommt auf die menschliche Firewall an

 

Nach einer Studie des Bitkom-Digitalverbands nutzt ein Großteil der Cyberkriminellen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus...!"

 

https://www.itsicherheit-online.com/security-management/es-kommt-auf-die-menschliche-firewall-an-2/

 

 

Microsoft Digital Defense Report 2022 - Übersicht zu Angriffstechnologien und Cybergefahren

 

https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022

 

 

Datenleck- Report: "Data Breach Investigations Report" von Verizon:

 

https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf

 

 

Cyberangriffe in Echtzeit:

 

Über die nachfolgenden Plattformen sind in dieser Analogie in Echtzeit auch massive Cyberangriffe nachweisbar...

 

"Sicherheitstacho" der Telekom und Partner:

 

https://www.sicherheitstacho.eu/start/main

 

Kaspersky-Cyberthreat-Echtzeitkarte: 

 

https://cybermap.kaspersky.com/de

 

 

Übersicht zu Cyberangriffen - Dokumentationen auch zu Angriffen auf HTTP-Protokolle, Cyberangriffe auf DNS-Protokolle und deren Missbrauch

 

Anmerkung: Wie die Informationen von Telekom, Kaspersky und Cloudflare belegen, zeigen sich auch immer wieder Quellen und Ziele im eigenen Land. Betrachtet man das Ausmaß an unsicheren Systemen, Konfigurationen, stellen sich grundlegende Fragen nach digitaler Bildung und Verantwortung!

 

Cloudflare-Radar zu Sicherheit und Angriffen:

 

https://radar.cloudflare.com/

 

https://radar.cloudflare.com/security-and-attacks

 

Anomalien und unsichere Protokolle

 

https://radar.cloudflare.com/routing

 

https://radar.cloudflare.com/traffic

 

AV-Test-Institut in Kooperation mit ECO-Verband:

 

https://portal.av-atlas.org/

3. Beispiele zu Phishing in verschiedenen Formen und in Kombination verschiedener Technologien:

 

Wer würde ein Haus bauen und mit dem Dach, den Fenstern, der Alarmanlage beginnen, wenn kein Fundament besteht oder dieses instabil ist...?

 

Schwachstellen und Sicherheitslücken sind in der Digitalisierung progressive und dynamische Punkte, die von Beginn an thematisiert und fortlaufend überprüft werden müssen. Phishing steht hierbei häufig im Mittelpunkt von Cyberangriffen, weil bereits Lücken genutzt werden oder neue genutzt werden sollen.

 

 

Hinweis zu Artikel vom Bundesdatenschutzbeauftragten Herrn Prof. Kelber in der Sonderveröffentlichung zur "Kollektiven Cybersicherheit" im Handelsblatt-Journal zum Thema Cybersecurity vom November 2022:

 

"...Datenschutz in der Hexenküche - Wieso schlecht gemachte Digitalisierung uns das Leben schwer macht...

 

...Nachdem Deutschland jahrelang die Digitalisierung verschlafen hat, geht es aktuell beim Programmieren neuer Lösungen oft zu wie in einer Hexenküche: Gar nicht selten fehlt jedes Rezept, der Inhalt lässt sich beliebig austauschen, und landet im Topf, wenn es gerade passend erscheint...!"

 

 

Hinweise zur Strategie von Cyberangriffen:

 

"...Was Angreiferinnen deshalb üblicherweise tun: Sie bewegen sich lateral fort, wie IT-Fachleute sagen, sie versuchen also, sich durch verschiedene Tricks innerhalb eines Computersystems breitzumachen und nach und nach immer mehr Rechte zu bekommen...

 

...Häufig wird in der Entwicklung zu wenig berücksichtigt, wie sich die Systeme auch anders als beabsichtigt nutzen lassen...!"

 

https://www.zeit.de/digital/datenschutz/2022-12/sicherheitsluecke-windows-hacker-antiviren-programme/komplettansicht

 

"...SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions...

 

...The vulnerabilities were used to develop an undetectable, next-generation wiper—dubbed the Aikido Wiper—with the potential to impact hundreds of millions of endpoints worldwide...!"

 

https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/

 

 

Hinweise zu Ukraine-Krieg und Erpressungstrojanern:

 

Aufgrund des Ukraine-Kriegs und Erpressungstrojanern verschärft sich die angespannte IT-Sicherheitslage. Vom ECO-Verband wurde daher die Ransomware-Initiative gestartet. Hier sind zur Prävention und Reaktion zu Cybergefahren um Ransomware Hinweise in Kooperation von Microsoft, Rohde & Schwarz und Sophos benannt.

 

„...eco Verband startet Ransomware-Initiative und nennt 10 Vorkehrungen, die vor Erpressungstrojanern schützen...!“

 

https://www.eco.de/presse/ukraine-krieg-und-erpressungstrojaner-verschaerfen-die-angespannte-it-sicherheitslage/

 

 

ECO-Inititative-Ransomware / Sicherheitsinformationen zur Prävention und Reaktion:

 

„...Ransomware-Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar. Massive Beeinträchtigungen des Geschäftsbetriebes, Vertrauensverlust und Verlust von schützenswerten Daten, persönlicher Natur oder Betriebsdaten erfordern präventive Maßnahmen gegen diese tägliche Bedrohung...!“

 

https://www.eco.de/initiative-ransomware/

 

 

Sicherheitsnewsletter des BSI: Bürger-CERT-Newsletter

 

„...Der Verbraucherschutz-Newsletter "Sicher • Informiert" richten sich an alle, die über die wichtigsten Ereignisse rund um die Sicherheit Ihres Computers und im Internet auf dem Laufenden gehalten werden wollen...!“

 

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Newsletter-Sicher-informiert/newsletter-sicher-informiert_node.html

 

 

Beide Verbraucherschutz-Sicherheitsnewsletter des BSI zum Abonnieren:

 

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abonnieren/abonnieren_node.html

 

 

Phishing per Mail

 

https://de.wikipedia.org/wiki/Phishing

 

 

Smishing per SMS und mit gefährlichen Links zu schadcodeverseuchten Webseiten:

 

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Smishing_SMS-Phishing_141021.html

 

https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Faelle/SMSSpam/start.html

 

 

Die Gefahr besteht hier in der Tatsache, dass Rufnummern bereits zu Anrufen oder zur Übertragung von gefährlichen Links missbraucht werden können:

 

https://de.wikipedia.org/wiki/Caller_ID_Spoofing

 

https://www.kaspersky.de/resource-center/threats/what-is-smishing-and-how-to-defend-against-it

 

 

Quishing mit verseuchten QR-Codes mit Links zu schadecodeverseuchten Webseiten:

 

https://www.mimikama.at/quishing-phishing-qr-codes/

 

„…Sicherheitslösungen scannen E-Mails für gewöhnlich auf Anhänge und URLs. In Phishing-Mails mit QR-Codes, also dem Quishing, umgehen Cyberkriminelle diese Kontrollen jedoch – Nachrichten dieser Art landen quasi unter dem Sicherheitsradar direkt im Opfer-Postfach. QR-Codes funktionieren ähnlich den Strichcodes, die Sie von Produkten kennen – sie arbeiten visuell. Genau das wird von Sicherheitsprogrammen nicht bemerkt, da diese den Text bzw. Code einer E-Mail prüfen, der jedoch unverdächtig erscheint…!“

 

https://www.psw-group.de/blog/quishing-phishing-mit-qr-code/8873

 

 

Vishing in Form von Betrugsanrufen - u.a. mit gefälschten Stimmen und gefälschten  Rufnummern...!

 

https://www.ionos.de/digitalguide/online-marketing/verkaufen-im-internet/was-ist-vishing/

 

https://www.proofpoint.com/de/threat-reference/vishing

 

 

Spoofing:

 

https://de.wikipedia.org/wiki/Spoofing

 

 

Cyberangriffe mit Phishing und Ransomware: 

 

75 % der Cyberangriffe gehen zunächst mit Phishing einher...!!!

 

https://go.proofpoint.com/de-emailsec-2022-ransomware.html

 

https://www.proofpoint.com/de/resources/threat-reports/threat-briefing-ransomware

 

https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-de-tb-ransomware.pdf

 

 

Social Engineering Startpunkt vieler Angriffe, Homeoffice zusätzliches Einfallstor

 

"...Ein Großteil der Angriffe beginnt mit Social Engineering, der Manipulation von Beschäftigten. Die Kriminellen nutzen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten...!"

 

https://www.bitkom-akademie.de/news/angriffsziel-deutsche-wirtschaft-mehr-als-220-milliarden-euro-schaden-pro-jahr

 

 

Fachmagazin Datakontext - Ausgabe zu Schwerpunkt Ransomware:

 

https://www.itsicherheit-online.com/EPaper/index/active/1/epaper/17696

 

 

Sophos-Ransomware-Report:

 

https://www.sophos.com/de-de/whitepaper/state-of-ransomware

 

 

BSI - Maßnahmenkatalog Ransomware

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.html

 

 

Allianz für Cybersicherheit: Fortschrittliche Angriffe, dynamische Entwicklung

 

https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Ransomware/ransomware_node.html

 

 

Allianz für Cybersicherheit: APT = Advanced Persistant Threat, fortschittliche Angriffstechniken

 

https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/APT/apt_node.html

 

 

BSI - Informationen zur Schadsoftware Emotet:

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Sonderfall-Emotet/sonderfall-emotet_node.html

 

 

BKA verzeichnet neuen Höchstwert bei Cyberstraftaten:

 

https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2022/Presse2022/220509_PM_CybercrimeBLB.html

 

BKA-Studie "Sicherheit und Kriminalität in Deutschland":

 

https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2022/11/sicherheit-kriminalitaet-in-deutschland.html

 

 

Cyberangriffe mit Social Engineering, Deep Fakes und "Spear-Phishing"

 

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kuenstliche-Intelligenz/Deepfakes/deepfakes_node.html

 

https://www.heise.de/news/Europol-Deepfakes-drohen-zum-Standardwerkzeug-Krimineller-zu-werden-7069235.html

4. Phishing erkennen:

 

 

Defacement

 

"...Face/Off: Schluss mit Online-Fakes...

 

...Kriminelle entwickeln immer wieder neue Betrugsmethoden für das Internet, um sich auf Kosten von Verbraucherinnen und Verbrauchern Vorteile zu verschaffen. Sie manipulieren Webseiten, erstellen Fake-Webseiten, Fake-Shops oder Fake-Accounts in sozialen Netzwerken. In unserer Broschüre "Face/Off" entlarven wir solche Manipulationsmethoden und geben Verbraucherinnen und Verbrauchern, aber auch Webseiten-Betreiberinnen und -Betreibern Kriterien an die Hand, worauf sie bei der Nutzung und bei der Erstellung von Internetdiensten achten sollten...!"

 

Broschüre des BSI "Face/Off – Täuschung von Verbraucherinnen und Verbrauchern bei Internetdiensten":

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/digitaler_Verbraucherschutz/Publikationen/Faceoff_taeuschung_von-VerbraucherInnen.pdf

 

 

Sicherheitshinweise des BSI zu SPAM, Phishing & Co…

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/spam-phishing-co_node.html

 

 

IONOS – Was ist ein Mailheader und wie kann ich diesen ansehen?

 

https://www.ionos.de/hilfe/e-mail/allgemeine-themen/was-ist-ein-e-mail-header-und-wie-kann-ich-diesen-ansehen/

 

 

IONOS – Phishing-Mails erkennen

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/phishing-mails-erkennen-so-schuetzen-sie-ihre-daten/

 

 

 

Informationen der Verbraucherzentrale zum Phishingbetrug:

 

 

Fakeshop-Finder der Verbraucherzentrale:

 

https://www.verbraucherzentrale.de/fakeshopfinder-71560

 

 

So lesen Sie den Mailheader:

„…So manch betrügerische E-Mail sieht täuschend echt aus. Jedoch gibt es einige Punkte, die erkennen lassen, dass ein Übeltäter seine Angel ausgeworfen hat…!“

 

https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/so-lesen-sie-den-mailheader-6077

 

 

Merkmale einer Phishingmail:

 

https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/merkmale-einer-phishingmail-6073

 

 

Ist eine betrügerische E-Mail auch gefährlich, wenn ich weder auf Links klicke noch Anhänge öffne?

 

„…Bei reinen Text-E-Mails, die Sie im Browser oder mit einem E-Mail-Programm öffnen, kann nichts passieren, solange Sie nicht auf Links oder Anhänge klicken.

 

Bei E-Mails im sogenannten HTML-Format ist dies allerdings anders. Hier können nicht nur im Link oder im Anhang, sondern im Quellcode Schadprogramme hinterlegt sein. Dann ist schon ein Klick auf eine Grafik in der E-Mail gefährlich, auch wenn die Graphik Grafik nicht einmal sichtbar ist.

 

Prüfen Sie daher, wie Sie Ihre E-Mails empfangen und deaktivieren Sie, falls noch nicht erfolgt, die Anzeige der E-Mail im HTML-Format…!“

 

https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingmails-woran-sie-sie-erkennen-und-worauf-sie-achten-muessen-6073

 

 

Dabei weisen HTML-Mails bereits auf einen grundsätzlichen Zwiespalt hin:

 

Einerseits zeigen sie die Mail komplett mit Bildern und Grafiken an und verbessern so den Komfort. Das Risiko besteht jedoch in der Tatsache, dass in der Mail im HTML-Format von allen enthaltenen programmierten Links Inhalte von beliebiegen Quellen aus dem Internet geladen werden können. Dies macht gerade Phishing per Mail so problematisch: Je weniger der Absender authentifizierbar und verifizierbar ist, umso größer ist die Gefahr eines potenziellen Cyberangriffs. Wird eine Absendermail gefälscht - und dies geschieht immer raffinierter, je "echter" die Mail also gefälscht ist oder auch das Mailkonto des Absenders bereits gehackt und zu Phishing missbraucht wurde, umso gravierender können die Konsequenzen für das Opfer sein. Unmittelbar wirkt sich aus, wenn bereits beim Öffnen der Mail infizierte Inhalte oder Anhänge geladen werden; mittelbar, wenn Links leichtfertig geöffnet werden. Gerade in HTML-Mails lassen sich dabei auch angezeigte Texte manipulieren, weil diese durch die Programmierung die tatsächlichen Links verschleiern.

 

Darüber hinaus besteht auch die Tatsache, dass die meisten Webseiten mit Javascript programmiert sind, z.B. um Logins zu nutzen. Dabei lassen sich in Browsern nur die ganze Webseite mit Javascript aktivieren oder deaktiveren; ein erheblicher Nachteil, da alle Javascriptinhalte geladen werden.

 

 

Das BSI weist daher u.a. auf Javascriptlücken hin:

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Updates-Browser-Open-Source-Software/Der-Browser/JavaScript-Cookies-Fingerprints/javascript-cookies-fingerprints.html

 

Javascript zählt daher zu den am meisten angegriffenen Programmiersprachen. Daher bedeutet ein einmal geöffneter Link oder Webseite nicht automatisch, dass diese immer sicher sind. Fehlt bereits ein Update beim Webseitenbetreiber bei der eingesetzten Programmiersprache, werden neue Sicherheitslücken auf der Webseite oder in der Systemumgebung des Providers oder Plattform entdeckt, wurde der Login zur Webseite gehackt, dann sind auch die bisher vertrauten Links und Webseiten unmittelbare Sicherheitsrisiken. Wie häufig das der Fall ist, zeigen die ausufernden Angriffe eben auch aufgrund dieser Sachverhalte, wie sie hier auf der Webseite auch betreffend erforderlichen Absicherungen benannt sind und auf die Sicherheitsbehörden, -institutionen und  -unternehmen hinweisen: Erforderliche Zugangssicherung, Verschlüsselung, Domainabsicherung, Programmcodeaktualisierung u.a. von Webseiten, Aktualisierung und Sicherheitskonfigurationen von Systemumgebungen und Netzwerken. Da hier eine große Dynamik der Entwicklungen besteht, gibt es hier immer mehr Sicherheitslücken und eben Cyberangriffe.

 

Wichtig sind für Webseitenbesucher und Webseitenbetreiber daher auch die Kenntnis, wie man Links und Webseiten prüft, Angriffsflächen reduziert.

 

Leider sind hohe gleichlautende Sicherheitsstandards bei Providern nicht selbstverständlich - oder auch nicht verfügbar. Hier hilft in erster Linie Eigenverantwortung und fortlaufende digitale Bildung im Umgang mit der digitalen Welt, auch weil das Spektrum der Technologien und Techniken immer größer wird.

 

 

Von IONOS sind hier u.a. folgende Sicherheitsfunktionen veröffentlicht, um DNS-Hijacking abzuwehren, auf Sicherheitslücken und unberechtigte Manipulation der Webseite zu überprüfen:

 

IONOS: 2-Faktor-Authentifizierung

 

https://www.ionos.de/hilfe/sicherheit/kontosicherheit-erhoehen/sicherheit-ihres-11-ionos-kontos-erhoehen/

 

 

IONOS: DomainGuard

 

https://www.ionos.de/hilfe/domains/domain-guard/was-ist-domain-guard-und-welche-vorteile-bietet-es/

 

IONOS: SiteLock

 

"...Zudem haben Sie die Möglichkeit, nach erfolgreichem Sicherheits-Scan ein Sicherheitszertifikat mit dem SiteLock-Siegel auf Ihrer Website einzubinden. Das Siegel zeigt das Datum des letzten bestandenen Scans an...!"

 

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock/

 

 

Ein anderes Tool zur Sicherheitsprüfung von Webseiten heisst SIWECOS, unterstützt von der Plattform „IT-Sicherheit in der Wirtschaft“ und dem Bundeswirtschaftsministerium (https://www.it-sicherheit-in-der-wirtschaft.de/ITS/Navigation/DE/Home/home.html und https://www.bmwk.de/Navigation/DE/Home/home.html)

 

„...SIWECOS steht für „Sichere Webseiten und Content Management Systeme“ und hilft Website-Betreiber:innen, Sicherheitslücken auf ihren Webseiten zu erkennen und zu beheben...!“

 

https://siwecos.de/

 

 

Auch die Browsersicherheit ist dabei von großer Bedeutung: Die Browser setzen jeweilige Konverter ein, die die aufgerufenen Webseiten und Programmiersprachen anzeigen. Hierbei sind die jeweiligen Sicherheitseinstellungen und Aktualität im Browser, aber auch von Netzwerken, Betriebssystemen, Anwendungen und Browsern relevant.

 

Microsoft führt hierzu u.a. folgende Sicherheitsfunktionen zum Edge Chromium auf:

 

https://docs.microsoft.com/de-de/deployedge/microsoft-edge-security-browse-safer

 

https://docs.microsoft.com/de-de/deployedge/microsoft-edge-security-windows-defender-application-guard

 

Hinweis: 

 

Bereits über den Edge Chromium lassen sich einfach Webseiten auf Programmierfehler und -mängel überprüfen: Über das Menü (drei Punkte oben rechts im Browser unter Windows), "Weitere Tools", "Entwicklertools" und nachfolgende der Aufruf der Register "Probleme" und "Konsole". Jede einzelne Webseite kann damit bereits geprüft werden!

5. Analyse von Mailheadern

 

Phishingmail – Microsoft /Github - Analyse des Mailheaders:

 

https://mha.azurewebsites.net/pages/mha.html

      6. DNSSEC, DoH (DNS over HTTPS), DoT (DNS over TLS), DMARC, SPF, DKIM, DNS-Hijacking, Code-Injections: Sicherheit in den DNS-Einstellungen von Mails, Domains und Webseiten

 

 

Ungesicherte DNS-Einstellungen sind eine Gefahr für jeden Internetnutzer durch Webseitenbetreiber und Domaininhaber, auch private Webseitenbetreiber, die keine verifizierbaren DNS-Einträge in ihren Domains führen. 

 

 

Infos zur DENIC:

 

Infos von der genossenschaftlichen zentralen Registrierstelle für de-Domains in Deutschland, der DENIC. Die DENIC führt aktuell über 17 Millionen de-Domains. Im Zeichen von Datenschutz und IT-Sicherheit stehen die DENIC und Ihre Mitglieder. Damit steht auch eine gesellschaftliche Verantwortung und Anspruch an Domaininhaber und Webseitenbetreiber.

 

Über die DENIC: https://www.denic.de/ueber-denic/

 

Über die Mitglieder der DENIC: https://www.denic.de/ueber-denic/mitglieder/#c341

 

 

Ein wesentlicher Schlüssel zu mehr Sicherheit im Internet mit DNSSEC - Erklärungen der DENIC:

 

"...DNSSEC – Domain Name System Security Extensions

 

Erhöhte Sicherheit im Netz

 

Der Internetnutzer geht davon aus, dass Daten unverfälscht und verlässlich im Internet übertragen werden. Die überwiegende Zahl aller Internetdienste und -verfahren verlässt sich dabei auf eine zuverlässig funktionierende und korrekte Auflösung von leicht merkbaren Domainnamen auf IP-Adressen durch das Domain Name System (DNS). Das dabei verwendete DNS-Protokoll selbst besitzt jedoch keine Maßnahmen zum Schutz seiner Inhaltsdaten. Insbesondere gibt es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Zwischenspeichern (Caches). Verfälschungen können daher weder erkannt noch verhindert werden....!"

 

https://www.denic.de/wissen/dnssec/

 

 

Weitere Informationen der DENIC zu DNSSEC:

 

"...Welchen Schutz bietet DNSSEC?

 

Für Internetnutzer ist es wichtig, darauf vertrauen zu können, dass z. B. die angezeigte Webseite auch tatsächlich derjenigen entspricht, die er aufrufen wollte (eingegeben Domain).

Dazu ist es notwendig, den Pfad von der Anfrage (Eingabe der Domain) bis zur Antwort (Anzeige der Webseite) abzusichern...!"

 

https://www.denic.de/fragen-antworten/faqs-zu-dnssec/#code-397

 

 

Dokumentationen vom ECO-Verband unter Bezugnahme auf von BSI und Fraunhofer Institut zur DNS-Sicherheit, Manipulation und Code-Injections (Javascriptlücken!): 

 

Rückblick auf den Security Expert Talk vom 26.07.2022: Sicherheit fürs Domain Name System (DNS)

 

"...DNSSEC ist bereits in einigen europäischen Ländern eine Erfolgsstory, in diese Richtung sollte sich auch die deutsche Internetwirtschaft stärker bewegen...!"

 

https://www.eco.de/news/rueckblick-auf-den-security-expert-talk-sicherheit-fuers-domain-name-system-dns/

 

... „DNS als zentraler Punkt aller Sicherheit“, die Präsentationsfolien von Frau Prof. Dr. Shulman können Sie Sich unter https://www.eco.de/download/198584/ downloaden...

 

...Unter der Webseite https://xdi-attack.net kann man seinen Resolver auf verschiedene Vulnerabilitäten testen...!"

 

 

Zusammenhang von DNSSEC, DoH (DNS over HTTPS) und DoT (DNS over TLS): Grundlagen für sicheres Internet

 

Informationen vom Sicherheitsspezialisten für DNS-Sicherheit - Infoblox

 

Übersicht zu Cybergefahren und Angriffen auf unsicheres DNS

 

https://www.infoblox.com/dns-security-resource-center/dns-security-overview/

 

Cyberangriffe auf DNS - DNS Hijacking:

 

https://www.infoblox.com/cyber-threat-intelligence/

 

DNS Malware

 

https://www.infoblox.com/dns-security-resource-center/dns-security-issues-threats/dns-security-threats-malware/

 

Massenhafte Infiltration und Unterwanderung von DNS - DECOY DOG

 

https://www.infoblox.com/resources/webinars/decoy-dog-is-no-ordinary-pupy-separating-a-sly-dns-malware-from-the-pack/

 

https://insights.infoblox.com/resources-whitepaper/infoblox-whitepaper-decoy-dog-is-no-ordinary-pupy-distinguishing-malware-via-dns

 

 

Infoblox - DNS Overview

 

https://youtu.be/ilWwPTz6fZU?feature=shared

 

DNSSEC

 

https://www.infoblox.com/dns-security-resource-center/dns-security-solutions/dns-security-solutions-dns-security-extensions-dnssec/

 

DNS over HTTPS

 

https://www.infoblox.com/dns-security-resource-center/dns-client-security/dns-client-security-dns-over-https-doh/

 

DNS over TLS

 

https://www.infoblox.com/dns-security-resource-center/dns-client-security/dns-client-security-dns-over-tls-dot/

 

 

Dokumentationen zur Nutzung von DNSSEC, DoH, DoT:

 

https://www.ionos.de/digitalguide/server/knowhow/quad9-dns/

 

Quad9 und Cloudflare:

 

https://quad9.net/de/service/service-addresses-and-features

 

https://developers.cloudflare.com/1.1.1.1/setup/

 

 

Hierbei zeigen sich bei den Analysen von auf dem Markt gängigen Routern durch das Fraunhofer Institut , wie vielfältig Sicherheitslücken bestehen. Und wie gravierend und beständig Lücken vorhanden sind, weil diese nicht geschlossen werden...! Zudem stellen sich grundsätzliche Fragen zur IT-Sicherheit insgesamt, wenn Geräte von Herstellern eingesetzt werden, die umfänglich Netzwerktechnik vermarkten, aber Router bereits nicht aktualisiert werden oder auch unsicher programmiert sind? Hieraus ergeben sich unkalkulierbare Sicherheitsrisiken!

 

Fraunhofer Institut: Home Router Security Report 2022

 

https://newsletter.fraunhofer.de/-link2/17568/2049/35/97/1095/J1twPB14/BlkhKXDuSb/0

 

 

Vergleich:

 

Fraunhofer Institut: Home Router Security Report 2020

 

https://www.fkie.fraunhofer.de/de/Pressemeldungen/Home-Router.html

 

 

Informationen vom Fraunhofer SIT, BSI, Athene Research Center, Goethe Universität und TU-Darmstadt und ECO-Verband zur DNS-Sicherheit und Code-Injections in Netzwerken und Infrastrukturen. Betroffen hiervon sind nicht nur Provider, Webhoster, Webseitenbetreiber, Mailanbieter, sondern auch alle Bürger mit Iot-Geräten wie Routern, Anwendungen wie Browsern, etc....!

 

Die aktuellen Informationen des Fraunhofer SIT von Frau Prof. Dr. Shulman belegen Zusammenhänge mit unsicheren DNS-Einstellungen und Code-Injections wie z.B. XSS. Hinweis: Über die Webseite von www.siwecos.de können Webseiten auf Scriptlücken geprüft werden!

 

https://www.sit.fraunhofer.de

 

Fraunhofer Academy: Lernlabor Cybersicherheit

 

https://www.cybersicherheit.fraunhofer.de/de/downloads.html

 

 

"...Mechanismus für Internetsicherheit gebrochen

 

Das Team der ATHENE-Wissenschaftlerin Prof. Dr. Haya Shulman hat einen Weg gefunden, wie einer der grundlegenden Mechanismen zur Absicherung des Internet-Verkehrs ausgehebelt werden kann. Der Mechanismus, genannt RPKI, soll eigentlich verhindern, dass Cyberkriminelle oder staatliche Angreifer den Verkehr im Internet umlenken. Solche Umlenkungen kommen im Internet erstaunlich häufig vor, z.B. zur Spionage oder durch Fehlkonfigurationen. Das ATHENE-Team zeigte, dass Angreifer den Sicherheitsmechanismus komplett aushebeln können, ohne dass die betroffenen Netzbetreiber dies feststellen können. Nach Analysen des ATHENE-Teams waren Anfang 2021 alle führenden Implementierungen von RPKI angreifbar. Das Team informierte die Hersteller und hat jetzt die Erkenntnisse der internationalen Fachöffentlichkeit vorgestellt...!"

 

https://www.sit.fraunhofer.de/de/presse/details/news-article/show/mechanismus-fuer-internet-sicherheit-gebrochen/

 

Dokumentationen zur Attacke:

 

https://blog.apnic.net/2022/06/15/stalloris-rpki-downgrade-attack/

 

https://www.usenix.org/system/files/sec22fall_hlavacek.pdf

 

 

What is RPKI?

"...RPKI is a security framework that helps network operators make more informed and
secure routing decisions…!"

https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/what-is-rpki

 

 

Behind the Scenes of RPKI (Resource Public Key Infrastructure): Die Dokumentation der Sicherheitsforscher von Athene, Goethe-Universität und TU-Darmstadt belegen, dass selbst Root-Server unzureichende DNS-Konfigurationen aufweisen - und dringender Handlungsbedarf besteht!

 

https://dl.acm.org/doi/10.1145/3548606.3560645

 

BSI-Empfehlung - Betreiber und Unternehmen - How-To: RPKI

https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_118.pdf

 

 

Is BGP safe yet? No. Das Analysetool von Cloudflare dokumentiert, wie es um die Protokollsicherheit von weltweit bekannten Providern bestellt ist.

"...Border Gateway Protocol (BGP) is the postal service of the Internet. It’s responsible for
looking at all of the available paths that data could travel and picking the best route.

 

https://isbgpsafeyet.com/

 

 

Whitepaper - Aktive Cyberabwehr (Fraunhofer SIT: Frau Prof. Dr. Shulman, Herr Prof. Dr. Waidner)

 

https://www.athene-center.de/fileadmin/Downloads/aktive-cyberabwehr.pdf

 

 

BSI-Studie: IP Fragmentierung und Maßnahmen gegen „Cache-Poisoning“

 

Wie gefährlich ungesicherte DNS-Einstellungen sind, konnte das BSI in dieser umfänglichen Studie belegen. Damit steht oder fällt die IT-Sicherheit und Datenschutz vom Grunde her, lässt sich Verantwortung ableiten für Infrastrukturen und Netzwerke:

 

"...Frühere Untersuchungen haben gezeigt, dass es möglich ist, fragmentierte DNS-Antwortnachrichten zu verwenden, um falsche oder manipulierte Daten in den Cache eines DNS-Resolvers einzufügen. Dieser Prozess wird als Cache-Poisoning bezeichnet. Da DNS-Auflösung in der Regel der erste Schritt der regelmäßigen Internet-Kommunikation ist, hat die Manipulation des Cache eines Resolvers das Potenzial, die Internetkommunikation seiner Clients auf Systeme umzuleiten, die unter der Kontrolle des Angreifers stehen...

 

...DNS-Fragmentierungsangriffe erfordern bestimmte Voraussetzungen, um erfolgreich zu sein. Obwohl bekannt ist, dass ein Cache-Poisoning durch DNS-Fragmentierung technisch möglich ist, war vor dieser Studie unklar, ob die notwendigen Voraussetzungen häufig im Internet auftreten können. Daher war ebenso unklar, ob dieser Angriffsvektor eine reale und relevante Bedrohung darstellt. Darüber hinaus wurden zwar über Minderungsmaßnahmen diskutiert, aber ihre Wirksamkeit und ihre Auswirkungen auf die Leistung wurden nicht im Detail untersucht...!"

 

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/Frag-DNS/frag-dns-studie.html

 

 

In der der Studie zu Punkt "2 Issue Statement" ist hervorzuheben, dass bis 2022 (!) niemand umfänglich eine Studie erstellte, die die Häufigkeit von IP-Fragmentation analysierte, um damit die Gefahren für die Internetsicherheit, Phishing, SPAM, Webseitenangriffe, etc. zu bewerten:

 

"...DNS cache poisoning by means of IP fragmentation is known for almost a decade and a proof of concept has demonstrated that this type of attack is viable. However, until today no one has conclusively studied how frequently IP fragmentation on the Internet takes place and how effective known mitigation strategies are.

 

The current state of knowledge is that an attacker could – by means of IP fragmentation – poison a DNS resolver, introducing forged information in its cache. Therefore, "DNS poisoning is a significant threat to Internet security, and can be used for phishing, credentials stealing (e.g., XSS), sending spam and phishing emails, eavesdropping, and more." (Herzberg, et al., 2012)

 

This chapter elaborates on the current state of research, introduces IP fragmentation and explains its causes. Lastly, it lays out in detail what it takes to conduct an attack that uses IP fragmentation to poison a DNS resolver’s cache...!"

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Frag-DNS/Frag-DNS-Studie.pdf

 

 

DNS-OARC - Universität von Amsterdam

 

Das "Domain Name Systems Operations Aalysis and Research Center" führt zusammen mit Verisign und Sandia National Laboratories des DNS-Security Extensions (DNSSEC) Prüftool https://dnsviz.net/ . Zusammen mit dem DNSSEC-Prüftool von Verisign lassen sich umfänglich DNSSEC-Lücken dokumentieren: https://dnssec-analyzer.verisignlabs.com/ .

 

Von der DNS-OARC liegt eine Studie von 2020 im Zusammenhang mit IP-Fragmentierung und MTU-Paketgrößen vor. Hieraus ergeben sich unterschiedliche Aspekte der MTU-Größen und Fragmentierungen:

 

"Defragmenting DNS: Determining the optimal maximum UDP response size for DNS"

 

https://www.nlnetlabs.nl/downloads/presentations/DefragDNS-Axel_Koolhaas-Tjeerd_Slokker.pdf

 

 

Zusammenhang mit AET-Angriffstechnologien und Fragmentierung von Datenpaketen:

 

In diesem Zusammenhang stehen AET-Angriffstechnologien, die bereits 2011 durch die Predatorsoftware von Stonesoft Aufsehen erregte. Stonesoft ging bereits 2012 eine Partnerschaft mit dem BSI ein. Zudem firmiert Stonesoft heute unter der Marke „Forcepoint“. Bei Analysen von Webseiten, Links und Dateien über www.virustotal.com zeigt sich, wie zeitnah Sicherheitsanbieter Warnungen zu neuen Schadcodierungen dokumentieren.

 

Dies kann jedoch nur ein Anhaltspunkt sein, da bei täglich mehreren hunderttausenden neuer Schädlinge und Schädlingstypen hier auch unterschiedliche, fortlaufend erweiterte  Erkennungstechnologien der jeweiligen Sicherheitsunternehmen - u.a. unter Einsatz von KI - zum Einsatz kommen. 

 

https://www.forcepoint.com/de/newsroom/2016/forcepoint-integrates-stonesoft-next-generation-firewall-cloud-security-technologies

 

Die Stonesoft-Software Evader zeichnete bereits damals aus, dass sie in der Lage war, durch modifizierende Fragmentierung, einem „Bypassing“ von dynamisch angepassten Datenpaketen von über 1 hoch 55 Varianten, Firewall- und Schutzsysteme zu durchdringen.

 

Aufgrund immer schnellerer Datenleitungen und Datentransfers ist hier eine Differenzierung im Verhältnis zur Erkennung von Anomalien des gesamten Datenverkehr gegenüber der Analyse einzelner Datenpakete zu sehen. Dies ist eine Herausforderung für moderne Cyberabwehrsysteme, wie nachfolgende Informationen darlegen.

 

Stonesoft-Software damals in Funktion:

 

https://www.youtube.com/watch?v=rRPSnfjijF0

 

https://www.youtube.com/watch?v=Sfek-5xGA7U

 

 

Forcepoint heute:

 

https://www.forcepoint.com/de/blog/insights/forcepoint-one-simplifies-security

 

https://www.forcepoint.com/de/product/ngfw-next-generation-firewall

 

Dabei zeigt sich im Vergleich von Forcepoint mit anderen renommierten Firewallanbietern, dass es hier gravierende Unterschiede hinsichtlich Analyse und Bewertung von Datenpaketen gibt.

 

 

IONOS: Warum selbst gesicherte DNS-Einstellungen lückenhaft sind...

 

Gleichfalls zur Sicherheit und Verwendung von DNSSEC beschreibt auch IONOS, weshalb gesicherte DNS-Einstellungen lückenhaft sind: Es liegt an der Verwendung von veralteten Netzwerksystemen oder Komponenten (veraltete Betriebssysteme und Resolver), die keine aktuellen Protokolle unterstützen. Damit wird eine gesicherte Netzwerkkommunikation unterlaufen.

 

https://www.ionos.de/digitalguide/server/knowhow/dnssec-signierte-namensaufloesung/

 

 

DNS-Hijacking:

 

https://de.wikipedia.org/wiki/DNS-Hijacking

 

 

DNS-Hijacking (= kapern, bzw. umleiten von Webseiten!):

 

"...Gefahren durch DNS Hijacking

 

Beim DNS Hijacking werden Nutzer also auf ungewünschte Webseiten weitergeleitet – aber was kann das konkret für Schäden verursachen? Möglich ist es beispielsweise, dass Nutzer auf Websites geleitet werden, auf denen sich ihr verwendetes System mit schädlicher Software infiziert. … Viel häufiger sind hingegen die beiden Techniken Phishing und Pharming...!"

 

https://www.ionos.de/digitalguide/server/sicherheit/was-ist-dns-hijacking/

 

 

Häufig fehlen diese wichtigen DNS-Einträge bei Domains und Subdomains, um Mailsystemen eine Verifikation zu ermöglichen. Sind diese Einträge nicht vorhanden, besteht eine große Gefahr für Phishing und Spoofing zum Identitätsdiebstahl und Missbrauch für Domains und Mails.

 

Werden dann die gefälschten Mails, bzw. dort enthaltene Inhalte wie Links und Anhänge geöffnet, sind Endgeräte und Netzwerke stark gefährdet. Hier kann dann über schadcodeverseuchte Webseiten oder Inhalte jeder Internetnutzer, bzw. jedes Gerät im Netzwerk betroffen sein…! Sind Webseiten dann auch noch nicht einmal verschlüsselt, ist das wie mit Vollgas zu fahren im Dunkeln, ohne die Hand vor den eigenen Augen zu sehen…!

7. Cyberangriffe mit XSS-, Cross-Site-Scripting, SQL-Injection: Was macht derartige Angriffe für sämtlich Iot-Geräte, Netzwerke und Infrastrukturen so gefährlich?

 

Das gesamte Internet, alle Iot-Geräte, Netzwerke, Infrastrukturen sind abhängig von der prgrammatischen Funktionalität und dem über Protokolle geführten Datenverkehr. Sind bereits grundlegende Protokolle wie das DNS-System oder die BGP-Protokolle der Provider unsicher, bestehen eklatante Risiken des Missbrauchs und der Manipulation von Daten - und unkalkulierbaren Risiken für die Sicherheit und Funktionalität des Internets insgesamt. Immer mehr Iot-Geräte, Robotik, Automation, Künstliche Intelligenz zieht überall in Systeme und Umgebungen ein, Infiltrationen und Manipulationen können sehr schnell zu einem Flächenbrand werden.

 

Jeder Webseitenbetreiber kann bestenfalls über das Login bei seinem Webhoster auch permanent die Statistiken der Webseitenbesuche sehen. Hierbei fällt immer wieder bei verschiedenen Webhostern und Plattformen auf: Rund 30 % aller Webseitenbesucher nutzen veraltete Betriebssysteme - z.B. von Windows XP, Windows 7, Windows 8 - und veraltete Browser von Chrome, Firefox, etc. Damit potenzieren sich bereits bei den Webseitenbesuchern selbst und deren Iot-Geräten in Netzwerken und Infrasturkturen unkalkulierbare Cyberrisiken - und sind auch eine unmittelbare Gefahr für Dritte!

 

Mit dem Aufruf von "view-source:https://..." gefolgt von einer beliebigen Webseite können Sie über jeden Browser auf jedem Betriebssystem den Quellcode von Webseiten aufrufen. Sie sehen dann, wie und mit welchen Informationen und Daten die Webseite programmiert wurde - und von welchen Seiten Daten geladen werden. Da der Quellcode nur wenige KB groß ist, aber eine einzige aufgerufene Webseite zwishcne 10 und 20 MB groß sein kann, ist die Diskrepanz zwischen Quellcode und zu ladenen Inhalten wie Fotos, Videos, Audio, Trackern etc. riesig. Und damit potenzieren sich bei jeder aufgerufen Webseite die Sicherheitsrisiken, da niemand vorab sehen kann, mit welchen Kodierungen was ausgeführt wird, von wo welche Daten geladen werden. Dieses "Querladen" von Daten bedingt grundsätzlich, dass jede noch so sichere Konfiguration und Webseite unterlaufen werden kann, wenn die programierten und geladenen Inhalte nicht sicher sind und von beliebigen Quellen geladen werden. Genau hier setzen XSS-; Cross-Site-Scripting und SQL-Injection an: Manipulationen von Datenverkehr, Inhalten, Datenbanken, Umleitung von Webseiten und beliebige Angriffe auf Inhalte.

 

Damit ist auch klargestellt, dass selbst ein VPN-Kanal nicht per se sicher ist, da Sie nicht wissen können, ob die aufgerufene Webseite selbst sicher ist und was von der aufgerufen Seite noch alles geladen wird! 

 

Es bestehen unmittelbare Zusammenhänge zwischen unsicheren und fehlerhaften DNS-Konfigurationen und darauf aufbauenden und abhängigen Protokollen und Programmierungen.

Vergleichsweise ist es wenig ratsam, ein Dach eines Hauses zu konsturieren, wenn das Fundament instabil oder nicht einmal vorhanden ist!

 

Angriffe und Sicherheitslücken: Informationen von Infoblox

 

https://www.infoblox.com/dns-security-resource-center/dns-security-faq/what-are-dns-attacks/

 

 

Was ist Cross-Site-Scripting (XSS)?

 

"...Cross-Site Scripting (XSS) ist ein Exploit, bei dem der Angreifer an eine legitime Website Code anfügt, der ausgeführt wird, wenn das Opfer die Website lädt. Dieser Schadcode kann auf verschiedene Arten eingefügt werden. Am beliebtesten ist es, ihn entweder an das Ende einer URL anzuhängen oder direkt auf einer Seite zu posten, die benutzergenerierte Inhalte anzeigt. Technisch gesehen ist Cross-Site Scripting ein clientseitiger Code-Injection-Angriff...!"

 

https://www.cloudflare.com/de-de/learning/security/threats/cross-site-scripting/

 

 

Was ist SQL-Injection?

 

"...Structured Query Language (SQL*) Injection ist eine Code-Injection-Technik, mit der Daten in SQL-Datenbanken geändert oder abgerufen werden. Durch das Einfügen spezieller SQL-Anweisungen in ein Eingabefeld können Angreifer Befehle ausführen, die das Abrufen von Daten aus der Datenbank, die Zerstörung sensibler Daten oder andere manipulative Verhaltensweisen ermöglichen...!"

 

https://www.cloudflare.com/de-de/learning/security/threats/sql-injection/

 

 

Dokumentation der OWASP-Foundation:

 

"...The OWASP® Foundation works to improve the security of software through its community-led open source software projects, hundreds of chapters worldwide, tens of thousands of members, and by hosting local and global conferences...!"

 

https://owasp.org/www-community/attacks/xss/

 

 

Wie kann ich eine beliebige Webseite auf derartige Sicherheitslücken prüfen?

 

Über https://hostedscan.com können beliebige Webseiten auf Sicherheitslücken geprüft werden.

 

Wie auch unter Punkt "4. Phishing erkennen" beschrieben, gibt es weitere Optionen wie über den Browser Edge Chromium, um schnell und einfach Sicherheitslücken zu finden. Auch steht die gesamte Thematik um XSS-, Cross-Site-Scripting- und SQL-Injection-Angriffe um Phishing durch Links, gefälschte Webseiten, manipulierte und schadcodebehaftete HTML-Kodierungen in Mails und auf Webseiten. Auch hier werden Inhalte beim Öffnen der Links und Webseiten geladen, deren Quellen und Übertragungen unsicher oder gefährlich sein können.

 

Eine Sicherheitslücke reicht, um Iot-Geräte, Netzwerke und Infrastrukturen zu kompromittieren.

 

Wie hier vom AV-Test-Institiut in Kooperation mit dem ECO-Verband dokumentiert, finden zahllose Angriffe mit verschiedenen Scripten und Binärcodes auf Iot-Geräte statt, der Ursprung und Ziel mitunter nicht erkennbar ist: https://portal.av-atlas.org/iot/files . Dies macht die gesamte Thematik umso brisanter, da bei unbekannten und auch binären Kodierungen Sicherheitsanwendungen zur Abwehr versagen, da diese ja keine Zuordnung erkennen! Des Weiteren verfügen Iot-Geräte selbst häufig über keine oder nur rudimentäre Sicherheitskonfigurationen, hängen über Router oder direkt am Internet. Daher können über unsichere Iot-Geräte auch beliebige andere internetfähige Geräte in Netzwerken und Infrastrukturen einfach angegriffen werden, Datenverkehr abgegeriffen und manipuliert werden.

 

Dimensionen unbekanntem Ausmaßes: Wie hier auf der Plattform von AV-test dokumentiert, werden jeweils in einem Zeitraum der letzten 14 Tage Iot-Angriffe erfasst und dokumentiert. Hierbei sind bereits fortlaufend Millionen Angriffe nachweisbar: https://portal.av-atlas.org/iot . 

 

Angriffe finden sowohl physisch wie technisch statt, um Geräte und Daten zu manipulieren:

 

https://www.scinexx.de/dossier/schutz-fuer-sensible-systeme/

 

 

Wie hoch ist der Anteil an XSS-, Cross-Site-Scripting- und SQL-Injection-Angriffen?

 

Dokumentation von Synopsys zu Schwachstellen:

 

https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/software-vulnerability-snapshot.pdf

 

 

Über die weltweite Dokumentationsplattform zu Cyberangriffen, Techniken und Gruppen "Mitre Attack" werden fortlaufend Angriffe und Techniken auf alle möglichen Geräte, Netzwerke und Infrastrukturen dokumentiert:

 

https://attack.mitre.org/

 

https://atlas.mitre.org/

 

 

Wie gravierend wirken sich XSS-, Cross-Site-Scripting- und SQL-Injection-Angriffe auf eigene Iot-Umgebungen, Netzwerke und Infrastrukturen aus?

 

Eine fortlaufende Überprüfung auf die Aktualität der in Netzwerken eingesetzten Geräte, deren Betriebssysteme, Firmware, Software ist dringend angeraten. Wer eine Webseite führt, kann über die bei Webhostern enthaltenen Besucherstatistiken u.a. sehen, welche Betriebssystemversionen und Browser von Webseitenbesuchern genutzt werden. Hier fällt durchgehend bei verschiedenen Plattformen auf, dass rund 30 % der Webseitenbesucher veraltete Betriebssysteme und Browser nutzen. Damit bestehen eklatante Sicherheitsrisiken für die Besucher selbst, Iot-Geräte und Netzwerke von ihnen und Dritten - einschließlich dem Angriffspotenzial auch auf besuchte Webseiten, Netzwerke und Infrastrukturen. Damit wird auch deutlich, welche Gefahren bei Nutzung fremder und öffentlicher WLAN-Netzwerke bestehen, wenn man weder die Sicherheits- noch Konfigurationsstatuten der Netzwerkbetreiber und weiterer Nutzer kennt.

 

Dies ist dann vergleichbar mit einem Haus, bei dem alle Türen und Fenster offen sind, oder einem Auto, das mit laufendem Motor und offenen Türen bereit steht.

 

8. DDoS-Angriffe und Abwehrmaßnahmen

 

Was ist ein DDoS-Angriff?

"...DDoS-Angriffe haben sich zu den größten Herausforderung der Internetsicherheit
entwickelt. Erfahren Sie mehr über die Funktionsweise von DDoS-Angriffen und wie sie
gestoppt werden können…!"

 

Cloudflare: 

https://www.cloudflare.com/de-de/learning/ddos/what-is-a-ddos-attack/

 

Akamai:

 

https://www.akamai.com/de/solutions/security/ddos-protection

 

Infoblox: 

 

https://www.infoblox.com/dns-security-resource-center/dns-security-issues-threats/dns-secur ity-threats-ddos-attacks/

 

 

Was versteht man unter DDoS-Abwehr?

"...Dank richtig implementierter DDoS-Abwehrmaßnahmen bleiben Websites während eines
Angriffs online. Erfahren Sie mehr über den Prozess der DDoS-Abwehr und die wichtigen
Merkmale, nach denen Sie in einem Abwehrdienst suchen sollten…!"

https://www.cloudflare.com/de-de/learning/ddos/ddos-mitigation/

 

 

DDoS-Angriffe stehen in einem Kontext zu unsicheren DNS-Konfigurationen wie von Sicherheitsforschern (BSI; Fraunhofer SIT, Athene, Goethe-Universität, TU-Darmstadt, u.a.) dokumentiert. Durch das Manipulieren und Kapern von unsicheren DNS-Konfigurationen und Sicherheitseinstellungen bei Iot-Geräten, Servern, u.a. sind massenhafte Anfragen zur "Überflutung" von Datensystemen gegeben. Daher sind Sicherheitskonfigurationen durchgehend über die DNS-Infrastrukturen maßgeblich.

 

 

BSI - Informationen zu Dienstleistern und Abwehrmaßnahmen gegen DDoS-Angriffe

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-E mpfehlungen/Empfehlungen-nach-Gefaehrdungen/DDoS/ddos_node.html

 

 

 

IONOS - Denial of Service – was passiert bei einer DoS-Attacke?

 

https://www.ionos.de/digitalguide/server/knowhow/was-ist-dos-denial-of-service/

 

IONOS - DDoS und DoS – Angriffsmuster und Gegenmaßnahmen

 

https://www.ionos.de/digitalguide/server/knowhow/dos-und-ddos-angriffsmuster-im-ueberblick/

Der DDoS-Abwehrmechanismus von IONOS (Server-Cloud-Infrastructure)

 

"...Distributed Denial of Service (DDoS) ist ein Angriff, bei dem bei einem Zielsystem absichtlich eine Überlastung herbeigeführt wird. Zu diesem Zweck senden Cyberkriminelle eine so hohe Anzahl an Anfragen mittels eines sehr großen Verbunds von verteilten Computern an das Zielsystem, dass dieses komplett ausgelastet und nicht mehr erreichbar ist. Das Zielsystem kann z. B. eine Website, eine Anwendung oder ein Netzwerk sein.

 

Meist wird der Angriff mittels eines Botnetzes durchgeführt. Das Botnetz besteht aus einem großen Verbund von Computern, die mit Malware infiziert sind. Die Malware wird hierbei verwendet, um die Computer zu übernehmen und fernzusteuern. In der jüngeren Vergangenheit spielen bei diesen Angriffen auch Geräte wie z. B. Router, Smart TVs, Smartphones, Überwachungskameras, Set-Top-Boxen und digitale Video-Rekorder eine Rolle...!"

 

https://www.ionos.de/hilfe/server-cloud-infrastructure/allgemeine-informationen/default-title/

 

 

Am Beispiel der Geräte-Suchmaschine von www.shodan.io ist ersichtlich, wie einfach weltweit Iot-Geräte gefunden werden konnen. Damit ist auch ersichtlich, wie gravierend unzureichende Sicherheitsarchtiektur und -konfigurationen im Internet für jeden Nutzer und jede Maschine, bzw. Botsysteme ausgenutzt werden können. Durch Angreifer und Angriffssysteme, die voll automatisiert das Internet nach jedweden Systemen jederzeit durchforsten - und attackieren können.

 

"...Shodan ist eine Computer-Suchmaschine. Sie ermöglicht Benutzern, bestimmte Arten von Computern und Diensten (Webcams, Routern, Servern usw.), die mit dem Internet verbunden sind, über eine Reihe von Filtern zu finden...

 

...Shodan wurde seitdem eingesetzt, um Systeme mit niedrigen Sicherheits-Vorkehrungen zu finden, einschließlich Steuerungssystemen für kritische Infrastruktur wie Wasseranlagen, Stromnetzen und Kraftwerken. Viele Geräte verwenden triviale Authentifizierungskriterien, wie den Benutzernamen „admin“ und Passwörter wie „1234“. In vielen Fällen ist die einzige Software, die benötigt wird, um eine Verbindung zu diesen Systemen herzustellen, ein beliebiger Webbrowser...!"

 

https://de.wikipedia.org/wiki/Shodan_(Suchmaschine)

 

 

Akamai -Informationen zur Abwehr:

 

https://www.akamai.com/site/de/documents/email/akamai-ddos-extortion-battle-plan-checklis t.pdf

 

 

Dokumentationen zu DDoS-Angriffen

Rekordverdächtiger DDoS-Angriff in Europa

https://www.akamai.com/de/blog/security/record-breaking-ddos-attack-in-europe

 

Die unerbittliche Evolution von DDoS-Angriffen

https://www.akamai.com/de/blog/security/relentless-evolution-of-ddos-attacks

Angriffe über die Datenautobahn: Ein detaillierter Blick auf schädlichen DNS-Traffic
"...Heimnetzwerke sind stark durch von Botnets verursachten Traffic betroffen…!"
https://www.akamai.com/de/blog/security/a-deep-dive-on-malicious-dns-traffic

Bedrohungsbericht von Akamai zu Ransomware

https://www.akamai.com/de/resources/research-paper/akamai-ransomware-threat-report

Krieg löst unvorhersehbare Veränderungen bei DDoS-Angriffszielen aus

https://www.akamai.com/de/blog/security/wartime-sparks-unpredictable-shifts-in-ddos-targeting

9. Gefährliche Irrtümer:

 

Allgemein bekannt ist die Formulierung von Internetnutzern mit der Aussage zur eigenen IT-Sicherheit: “Was will da jemand mit meinen Daten, ich schaue mir nur ein paar Webseiten an und schaue nach meinen Mails...!“

 

Phishing ist u.a. durch manipulierte Links, Mails, Domains, Webseiten, QC-Codes, gefälschte Anrufe (Robocalls) so erfolgreich. Unkenntnis, fehlende Aktualisierungen von Betriebssystemen und Anwendungen, fehlende oder fehlerhafte Sicherheitskonfigurationen sind dann bereits eine Einladung zu Missbrauch.

 

Bei Domains fehlen häufig gesicherte DNS-Einstellungen und Schutzfunktionen gegenüber dem Missbrauch zu Phishing: Selbst eine Domain, bei der kein Mailsystem gekoppelt ist, kann für Phishing missbraucht werden. Ein fehlender DMARC- und SPF-Eintrag machen es einfach, Mails mit der ungeschützten Domain zu fälschen:

 

“…DMARC.org developed the DMARC protocol, whose purpose is to enable identification and blocking of phishing and other messages where a sender uses somebody else's domain for sending email without authorization….”

 

https://dmarc.org/wiki/FAQ

 

 

Die nachfolgenden beiden Beispiele zu DMARC- und SPF- bei einer Weiterleitungsdomain zu einer Hauptdomain:

 

Beispiel: (Test der Domain mit https://mxtoolbox.com/DMARC.aspx)

 

DMARC

 

Mails werden nur von der Domain authentifiziert, gefälschte Mails werden geblockt, Subdomains gibt es nicht

 

v=DMARC1; p=reject; sp=none

 

 

Beispiel:  (Test der Domain und Mail:  https://mxtoolbox.com/emailhealth)

 

SPF 

 

v=spf1 redirect=“Domain“  (Domain ist hier der Verweis auf die Hauptdomain, über die regulär die Mailkommunikation läuft. Damit ist für Mailsysteme nachvollziehbar, welche Domain ausschließlich zur Mailauthentifizierung autorisiert ist!)

 

Analysen von Mailheadern bei Phishingmails zeigen, dass selbst bei IT-Unternehmen solche Domains für Phishing missbraucht werden, um Dritte anzugreifen. Schließlich wissen die Angegriffenen zumeist nicht, dass mit einer Domain nicht zwangsläufig ein Mailsystem gekoppelt sein muss. Alle Domains, Subdomains oder Umleitungsdomains sind von diesem Sicherheitsrisiko betroffen.

 

Hierbei zeigt sich auch bei Newslettern, dass diese häufig nicht eindeutig zuordenbar sind. In Microsoft Outlook erscheint dann deshalb die Meldung „Wir konnten die Mail nicht authentifizieren“, weshalb diese dann im SPAM- oder Junkfilter landet – und ggf. sofort automatisch gelöscht wird.

 

Eine gefälschte Mail von einem fremden Mailsystem ist auch bei gesicherten seriösen Domains möglich, und kann selbst mit einem Phishingangriff auf den seriösen Domaininhaber erfolgen. Die DNS-Einträge von DMARC, SPF und DKIM können dann wirksam sein, solche gefälschten Mails abzuwehren, bzw. zu filtern.

 

Im Zusammenhang mit der Nutzung von Office 365 verweist Microsoft explizit darauf, auch die externe Domain mit DMARC prüfen und ggf. absichern! Dies wird häufig vergessen, da in Office365 eingebundene Domains mit DMARC, SPF und DKIM gesichert werden können, aber die externe Domain beim Provider separat manuell gesichert werden muss!

 

 

Hinweise von Microsoft zum Schutz mit DMARC

 

"...Wenn Sie über eine benutzerdefinierte Domäne verfügen oder lokale Exchange-Server zusammen mit Microsoft 365 verwenden, müssen Sie DMARC für Ihre ausgehenden E-Mails manuell einrichten. Das Einrichten von DMARC für Ihre benutzerdefinierte Domäne umfasst die folgenden Schritte...!"

 

https://learn.microsoft.com/de-de/microsoft-365/security/office-365-security/email-authentication-dmarc-configure?view=o365-worldwide

 

 

Aufgrund der vorgenannten Informationen ist es dringend angeraten, Mails grundsätzlich nur im „Nur-Text“-Format anzeigen zu lassen, um die tatsächlichen Quellen und Links zu sehen. Ein weiteres Laden von unbekannten Daten wird damit zunächst vermieden. 

 

Es ist nicht die Frage, ob eine Domain oder Mail gefälscht werden kann, sondern wann. Und damit ist auch die Frage beantwortet, ob ein Cyberangriff stattfinden wird. Wie sich bei Phishing-Awarenesskampagnen immer wieder zeigt: Je gezielter ein Phishingangriff erfolgt, umso wahrscheinlicher ist es, dass eine Zielperson eine Mail öffnet, einen Link anklickt, einen Mailanhang oder eine gefälschte oder manipulierte Webseite öffnet. Durch die Fülle an verfügbaren Daten im Internet, die Nutzung von KI und Bots für gezieltere Angriffe steigt auch das Angriffspotenzial sehr progressiv und dynamisch.

10. Konfigurations- und Sicherheitshinweise:

 

 

Die Sicherheitskonfigurationen von DNSSEC, DMARC, SPF und DKIM setzen eine verschlüsselte Webseite voraus, da eine unverschlüsselte Webseite keinerlei Sicherheit für die Datenübertragung insgesamt darstellt. Überprüfung auf verschlüsselte Webseite und validierbare Zertifikate: www.ssllabs.com .

 

Die fortlaufende Prüfung der eigenen Webseite über eine Sicherheitsprüfung wie von Siwecos (www.siwecos.de) oder ein Tool wie „SiteLock“ von IONOS, um möglichst zeitnah Fehler der Webseite erkennen und beheben zu können:

 

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock .

 

Programmiersprachen von Webseiten werden häufig attackiert, um Lücken ausfindig zu machen, z.B. Java-Sicherheitslücken. Derlei Angriffe führen heute primär Maschinen, was die Geschwindigkeit zu Erkennung und Ausnutzung von Sicherheitslücken deutlich erhöht - und schnellere Abwehrmaßnahmen dringend erfordert. Daher sind für Webseitenbetreiber fortlaufende Sicherheitsprüfungen ihrer Webseiten absolut sinnvoll – im Eigeninteresse aus Haftungsgründen und zum Schutz der Webseitenbesucher.

 

 

IONOS-Informationen zu DNSSEC

 

Die Nutzung von DNSSEC stellen Provider bereit, die diese Sicherheitsfunktion anbieten, z.B. IONOS mit „Domain-Guard“. Hierbei wird die Domain vor Manipulationen wie DNS-Hijacking, dem Kapern von Webseiten, geschützt:

 

https://www.ionos.de/hilfe/domains/domain-guard/was-ist-domain-guard-und-welche-vorteile-bietet-es .

 

 

IONOS-Informationen zu DMARC-Eintrag

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dmarc-erklaert/

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/dmarc-record-fuer-eine-domain-konfigurieren/

 

 

IONOS-Informationen zu SPF-Eintrag

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/was-ist-ein-spf-record/

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/spam-versand-vermeiden-mit-spf-record/

 

 

Um aktuelle Informationen zu neuen Sicherheitslücken in Hardware, Software, Programmiersprachen von Webseiten, zu erhalten, empfiehlt sich grundsätzlich der Newsletter des BSI:

 

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abonnieren/abonnieren_node.html

11. Informationen zu DNSSEC und warum dies so wichtig ist:

 

 

Die ICANN ist maßgeblich für die IP-Adresszuordnung und beschreibt hier, weshalb DNSSEC so wichtig zum Schutz von Domains ist:

 

https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-05-en

   

 

DNSSEC-Analyse über ICANN und Verisign:

 

https://www.icann.org/resources/pages/tools-2012-02-25-en

 

 

Aufruf der ICANN zum Schutz von Domains:

 

https://www.icann.org/en/announcements/details/icann-calls-for-full-dnssec-deployment-promotes-community-collaboration-to-protect-the-internet-22-2-2019-en

 

 

Hinweise zu gesetzlichen Pflichten und Sicherheitsinformationen zur Domainsicherheit:

 

Unternehmen, Einrichtungen und Institutionen sind nach Maßgaben der DSGVO und weiterer gesetzlichen Vorschriften zu IT-Sicherheit und Datenschutz verpflichtet – dies schließt eine gesicherte Domainumgebung ein, um Webseitenbesucher vor Missbrauch zu schützen. Maßgabe: Risiken früh zu erkennen und zu überwachen – bevor es zu spät ist…!

 

 

Von der InterNexum GmbH kann auf deren Webseite der ausführliche Leitfaden „Domain Risikomanagement“ bezogen werden.

 

https://www.nicmanager.com/de/sicherheit/domain-risikomanagement

 

https://www.nicmanager.com/de/blog/dns-sicherheit-die-icann-und-das-bsi-warnen-vor-einer-neuen-angriffswelle

 

 

Mitteilungen zur Domainsicherheit von der ICANN, CISA und vom Nacional Cyber Security Center zur Domainsicherheit und zum DNS-Hijacking

 

https://www.icann.org/en/announcements/details/alert-regarding-published-reports-of-attacks-on-the-domain-name-system-15-2-2019-en

 

https://www.cisa.gov/emergency-directive-19-01

 

https://www.ncsc.gov.uk/news/alert-dns-hijacking-activity

 

 

Hinweise zur Umsetzung zu DNSSEC vom BSI und der Allianz für Cybersicherheit:

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Umsetzung_von_DNSSEC.pdf

 

https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_098.pdf

 

 

Hinweise von Microsoft zur Absicherung von Domain- und Mailkonfiguration:

 

"...DMARC (Domain-based Message Authentication, Reporting, and Conformance) verwendet SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zum Authentifizieren von E-Mail-Absendern und um sicherzustellen, dass Ziel-E-Mail-Systeme die von Ihrer Domäne gesendeten E-Mail-Nachrichten als vertrauenswürdig einstufen. Die Implementierung von DMARC zusammen mit SPF und DKIM bietet zusätzlichen Schutz vor Spoofing- und Phishing-E-Mails. DMARC unterstützt die E-Mail-Systeme der Empfänger bei der Behandlung von Nachrichten, die von Ihrer Domäne gesendet wurden, jedoch die SPF- oder DKIM-Prüfungen nicht bestanden haben...!"

 

https://docs.microsoft.com/de-de/microsoft-365/security/office-365-security/use-dmarc-to-validate-email?view=o365-worldwide

 

 

Microsoft-Sicherheitsbericht „Cyber Signals“

 

Microsoft gibt einen neuen vierteljährlichen Sicherheitsbericht heraus, „Cyber Signals“ genannt. Von Microsoft ist hierbei das neue „Schlachtfeld“ Identität benannt – gerade eben auch in Bezug auf Identitätsdiebstahl, Phishing, Missbrauch von Logins und eben schlecht gesicherter, bzw. nicht vorhandener DNS-Einstellungen wie DMARC, SPF, DKIM, etc…!

 

„…Cyber Signals aggregiert zahllose Erkenntnisse: von unseren Forschungs- und Sicherheitsteams an vorderster Front, mittels einer Analyse unserer 24 Billionen Sicherheitssignale und in Kombination mit Informationen, die wir gewinnen, indem wir mehr als 40 staatliche Netzwerke und mehr als 140 Bedrohungsgruppen überwachen…!“

 

https://news.microsoft.com/de-de/cyber-signals-aktuelle-forschungsergebnisse-im-bereich-cybersecurity

 

 

Dokumentation von Microsoft zu Cyber Signals:

 

https://news.microsoft.com/wp-content/uploads/prod/sites/626/2022/02/Cyber-Signals-E-1-218.pdf

 

12. Analyse- und Prüftools zu DNSSEC, DMARC, SPF, DKIM

 

 

Konnektivitäts-Prüfungen von Microsoft für Office365:

DNSSEC, DNS, Exchange u.a.

 

https://testconnectivity.microsoft.com/tests/o365

 

 

DNSSEC-Prüftools:

 

 

Tool von Verisign:

 

https://dnssec-analyzer.verisignlabs.com/#

 

 

Tool von Sandia National Laboratories, Verisign, DNS-OARC

 

https://dnsviz.net/

 

 

Prüftool von Mxtoolbox zu Domains und Mailsystemen:

Email Health Report von Mxtoolbox

 

https://mxtoolbox.com/emailhealth

 

 

DMARC-Prüftools:

 

Partner von Microsoft /Globales Netzwerk zur Cyberabwehr:

 

Tool von Agari zur Überprüfung und Erstellung von DMARC-Einträgen in den DNS-Einstellungen von Domains:

 

https://www.agari.com/insights/tools/dmarc/

 

 

DMARC-Prüftool von Mxtoolbox

 

https://mxtoolbox.com/dmarc.aspx

 

 

SPF-Prüftools:

 

https://www.agari.com/insights/tools/spf/

 

https://mxtoolbox.com/spf.aspx

 

 

DKIM-Prüftools:

 

https://www.agari.com/insights/tools/dkim/

 

https://mxtoolbox.com/dmarc.aspx

 

13. Grundlagen zu DMARC:

 

 

https://dmarc.org/

 

M3AAWG DMARC Training Series

 

https://www.m3aawg.org/activities/training/dmarc-training-series

 

Dokumentationen:

 

https://www.m3aawg.org/system/files/M3AAWG_DMARC_Training_2012-10-All-a_0.pdf

 

Checklist - DMARC:

 

https://dmarcian.com/dmarc-deployment-checklist/

 

DMARC XML-Report-Format:

 

https://datatracker.ietf.org/doc/html/rfc7489#appendix-C

 

14. IONOS – Tools zu Sicherheitsfunktionen und -prüfungen:

 

 

Domain-Guard (DNSSEC)

 

https://www.ionos.de/domains/domain-guard

 

 

Webseiten-Sicherheitsprüfungen

 

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock

 

 

Phishing-Mail prüfen, wenn angeblich von IONOS

 

https://phishing-contact.ionos.de/de

 

 

Konfigurationshilfe für DMARC

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/dmarc-record-fuer-eine-domain-konfigurieren

 

 

Konfigurationshilfe für SPF, um SPAM zu vermeiden

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/was-ist-ein-spf-record

 

 

Konfigurationshilfe für SPF (für IONOS-Kunden!)

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/spam-versand-vermeiden-mit-spf-record

15. Tipps zur IT-Sicherheit:

 

 

Obwohl die nachfolgenden Sicherheitsempfehlungen die IT-Sicherheit verbessern und bereits außerhalb des eigenen Netzwerks Sicherheitsmaßnahmen greifen, unterstützt nicht jeder Provider, nicht jedes internetfähige Gerät diese zusätzlichen Sicherheitskonfigurationen! Daher sind hier unbedingt vorab genaue Sondierungen zur Integrität, Funktionalität und Konfigurationsabstimmungen erforderlich und fortlaufende Prüfungen der Integrität, Konfiguration und Sicherheit angezeigt.

 

Um erweiterte Sicherheitsfunktionen wie DNSSEC, Malwarefilter u.a. zu nutzen, empfiehlt sich die Nutzung von Sicherheitsplattformen wie Quad9, Cloudflare und ähnlichen Plattformen. Hierbei können bereits in Routern oder auch Endgeräten Sicherheitseinstellungen verwendet werden, die sichere DNS-Server ansteuern, um frühzeitig Manipulationen des Datenverkehrs oder Schadcodes von eigenen Netzwerken und Endgeräten fernzuhalten. Funktionen hierzu nennen sich „DNS over TLS“ und „DNS over https“ :

 

https://www.ionos.de/digitalguide/server/sicherheit/dns-over-tls 

 

https://www.ionos.de/digitalguide/server/knowhow/dns-over-https

16. Informationen zu Konfigurationen:

 

 

https://de.wikipedia.org/wiki/DNS_over_HTTPS

 

https://de.wikipedia.org/wiki/DNS_over_TLS

 

https://www.privacy-handbuch.de/handbuch_21w.htm

 

https://support.mozilla.org/de/kb/firefox-dns-%C3%BCber-https

 

 

Informationen von AVM zur Konfiguration

 

Hinweise:

 

Fritz.Box wählen zur Konfigurationshilfe. Hinweise von AVM beachten und auch die Hinweise des eigenen Providers, da nicht jedes internetfähige Gerät unterstützt wird oder Beschränkungen bestehen für zusätzliche Sicherheitskonfigurationen!

 

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/165_Andere-DNS-Server-in-FRITZ-Box-einrichten/

 

 

Nutzung von DNSSEC-Diensten in IT-Systemen, Routern und mobilen Endgeräten:

 

Informationen zu den Sicherheitsnetzwerken Quad9, der Global Cyber Alliance, der ECO-TopDNS-Initiative…

 

https://www.quad9.net ,

 

https://www.globalcyberalliance.org

 

https://www.eco.de/presse/eco-initiative-topdns-bekaempft-dns-missbrauch/ .

 

17. Dokumentationen von Cyberangriffen auf DNS-Einstellungen und Lieferketten:

 

 

Neuartige Cyberangriffe u.a. auf DNS-Einstellungen:

 

"...MATA ist nicht einfach ein nur funktionsreiches Stück Malware. Es ist eine Art Dirigent, der bei Bedarf schädliche Werkzeuge herunterlädt. Beginnen wir mit der Tatsache, dass  MATA Computer mit den drei beliebtesten Betriebssystemen angreifen kann: Windows, Linux und MacOS...

 

...Was die MacOS-Tools betrifft, so wurden sie in einer trojanisierten Anwendung gefunden, die auf Open-Source-Software basiert. Hinsichtlich der Funktionalität war die macOS-Version fast identisch mit der Linux Version...!"

 

https://www.kaspersky.de/blog/mata-framework/24769/

 

https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

   

   

"...Immer häufiger ist die gesamte Konnektivitätskette Ziel von Cyberangriffen...!"

 

https://www.itsicherheit-online.com/news/cybersicherheit-news/immer-haeufiger-ist-die-gesamte-konnektivitaetskette-ziel-von-cyberangriffen

 

   

„...Lazarus attackiert Verteidigungsindustrie und Lieferketten...

 

...Forscher identifizierten bei Lazarus - einem äußerst produktiven Advanced Threat-Akteur – verstärkte Angriffsfähigkeiten auf Lieferketten. Des Weiteren setzt die Advanced-Persistent-Threat (APT)-Gruppe nun das plattformübergreifende MATA-Framework für Cyberspionage-Ziele ein...!"

 

https://www.itsicherheit-online.com/blog/detail/sCategory/725/blogArticle/6445