KDB-Tech-Update: Schütze deine IT mit SIEM, PAM, Audit Trail und SOC gegen Cyberbedrohungen
In dem Artikel „Schütze deine IT: Mit SIEM, PAM, Audit Trail und SOC gegen Cyberbedrohungen“ wird auf die zunehmende Bedrohungslage für IT-Systeme eingegangen und wie man sich effektiv dagegen schützen kann. Cyberangriffe werden immer raffinierter und können verheerende Auswirkungen haben. Deshalb ist es wichtiger denn je, die Sicherheit der IT-Systeme ernst zu nehmen.
Eine Schlüsselstrategie zur Abwehr von Bedrohungen ist die Früherkennung durch die Implementierung von Security Information and Event Management (SIEM) und das Betreiben eines qualifizierten Security Operations Centers (SOC). SIEM-Systeme sammeln und analysieren in Echtzeit Daten aus verschiedenen Quellen innerhalb der IT-Infrastruktur. Dadurch können ungewöhnliche Aktivitäten schnell erkannt und darauf reagiert werden, bevor Schaden entsteht. Ein SOC besteht aus einem Team von Sicherheitsexperten, die rund um die Uhr die Überwachung übernehmen und bei Bedrohungen sofort eingreifen können.
Neben der Bedrohung von außen stellen oft Insider-Risiken eine noch größere Gefahr dar. Hier kommen Audit Trails und Privileged Access Management (PAM) zum Einsatz. Audit Trails sind unverzichtbar, um nachzuvollziehen, wer wann auf welche Daten zugegriffen hat. Sie bieten detaillierte Protokolle, welche wertvolle Einblicke in Benutzeraktivitäten liefern und zur Untersuchung von Sicherheitsvorfällen herangezogen werden können. PAM hingegen schützt kritische Systeme und Daten, indem der Zugriff auf Systeme mit privilegierten Konten beschränkt und überwacht wird. Dadurch wird das Risiko von Missbrauch minimiert und die Einhaltung von Compliance-Anforderungen unterstützt.
Die Firma noris network bietet Premium IT-Dienstleistungen an und kann effektiv zur Sicherheit der IT-Systeme beitragen. Durch die Kombination von SIEM/SOC für Früherkennung und schneller Reaktion mit dem Innenschutz durch Audit Trails und PAM sind Unternehmen gut aufgestellt, um die Sicherheitsherausforderungen von heute und morgen zu meistern. noris network bietet eine fortschrittliche Elastic-SIEM-Lösung, die sich durch hohe Skalierbarkeit und Flexibilität auszeichnet und in Kombination mit dem eigenen SOC-Service eine professionelle Überwachung und schnelle Reaktion auf Sicherheitsvorfälle gewährleistet. Zudem verbessert noris network mit seinen PAM-Lösungen die Sicherheit von privilegierten Zugängen und reduziert somit das Risiko von Datenlecks und anderen Sicherheitsvorfällen. Darüber hinaus bietet noris network weitere Managed Services wie Firewall, Honeypot und DDoS Protection sowie Rechenzentren, die nach höchsten Sicherheitsstandards zertifiziert sind.
Insgesamt ist es wichtig, proaktiv zu handeln und die Systeme mit den besten verfügbaren Werkzeugen zu schützen. Durch die Zusammenarbeit mit noris network können Unternehmen ihre IT-Infrastruktur effektiv gegen Cyberbedrohungen absichern.
Stable Diffusion 3: Entwickler erhalten API-Zugriff auf neuen KI-Bildgenerator
Das Startup Stability AI hat mit Stable Diffusion 3 eine neue Version seines quelloffenen KI-Bildgenerators vorgestellt. Nachdem zunächst nur eine begrenzte Anzahl von Entwicklern Zugang zur Preview-Version hatte, steht Stable Diffusion 3 nun über einen API-Zugriff auf der Stability-AI-Entwicklungsplattform auch einer größeren Zahl von Entwicklern zur Verfügung. Hierfür arbeitet Stability AI mit dem API-Plattformanbieter Fireworks AI zusammen, um den Einsatz des KI-Bildgenerators auch in größeren Unternehmen zu ermöglichen.
Stable Diffusion 3 wird von Stability AI als mindestens ebenbürtig, wenn nicht sogar überlegen, im Vergleich zu anderen KI-Bildgeneratoren wie Dall-E 3 oder Midjourney V6 angesehen. Untersuchungen von Nutzern haben ergeben, dass Stable Diffusion 3 sowohl bei der Eingabe als auch bei der Umsetzung von Prompts sehr gut abschneidet.
Die neue Version des KI-Bildgenerators basiert auf einer multimodalen Diffusion-Transformer-Architektur, die bereits 2022 entwickelt wurde und nun erstmals skalierbar einsetzbar ist. Es wird berichtet, dass auch OpenAIs neue Video-KI Sora auf dieser Architektur basiert.
Um den Rechenaufwand zu optimieren, bietet Stability AI Stable Diffusion 3 in verschiedenen Varianten mit 800 Millionen bis acht Milliarden Parametern an. Die größte Variante verfügt derzeit über 3,5 Milliarden Parameter. Zudem plant Stability AI, Self-Hosting über eine Stability-AI-Mitgliedschaft anzubieten, um den KI-Bildgenerator lokal auf dem eigenen Rechner ausführen zu können.
Der genaue Zeitpunkt, wann Stable Diffusion 3 der Öffentlichkeit zugänglich gemacht wird, wurde nicht bekannt gegeben. Mit der API-Öffnung setzt Stability AI jedoch die Verbesserung des KI-Modells fort, um es für den offiziellen Release vorzubereiten.
Neben Stable Diffusion 3 hat das Unternehmen auch die Betaversion seines KI-Assistenten Stable Assistant vorgestellt. Der KI-Chatbot steht in einer frühen Testversion zur Verfügung und kann von Interessierten getestet werden.
So lernt ChatGPT Laufen
In diesem Artikel geht es um den Roboter Digit, der mithilfe eines Transformer-Modells beigebracht wurde, auf unterschiedlichsten Oberflächen stabil zu laufen. Das Modell funktioniert ähnlich wie große Sprachmodelle, auf denen Chatbots wie ChatGPT basieren. Die Forscher haben das Transformer-Modell durch Versuch und Irrtum mittels Verstärkungslernen trainiert. Der Roboter führt zufällige Bewegungssequenzen aus und bekommt Belohnungen, wenn er erwünschtes Verhalten zeigt, und Bestrafungen, wenn er unerwünschtes Verhalten zeigt. Nach vielen Versuchen konvergiert dieser Prozess zu einem neuronalen Netz, das den Roboter zum Laufen bringen kann. Die Forscher haben den Roboter darauf trainiert, zuverlässig über unterschiedliches Terrain zu laufen, ohne zu stürzen, und mit externen Störungen umzugehen. In einem Simulator haben sie Trainingsdaten generiert, um ein neues Transformer-Modell zu trainieren, das nun selbstständig gehen lernt. Das trainierte Modell sagt nach einer Abfolge von Bewegungen die nächste sinnvolle Bewegung voraus und kann so den Roboter steuern. Das funktionierte sowohl in der Simulation als auch in Experimenten in der Stadt. Der Roboter entwickelte sogar neue Verhaltensweisen wie rückwärts zu gehen, ohne darauf explizit trainiert worden zu sein. Die Forscher sehen dies als vielversprechenden Weg, um weitere komplexe Fähigkeiten zu erlernen.
Urteil in Prag: KI-generiertes Bild kann von jedermann frei genutzt werden
In einem aktuellen Urteil hat das Stadtgericht Prag entschieden, dass ein mit einem System mit Künstlicher Intelligenz (KI) erstelltes Bild nicht urheberrechtlich geschützt werden kann. Dies entspricht der gängigen rechtlichen Linie in der EU, wonach nur ein menschlicher kreativer Schöpfer Urheberrechte an seinen Werken geltend machen kann. Allerdings haben die Richter auch klargestellt, dass Personen, die Bilder veröffentlichen, die mithilfe von KI generiert wurden, sich nicht auf das Urheberrecht berufen können, um das Kopieren und die kommerzielle Verwertung solcher maschinell erzeugter Werke durch Dritte zu verhindern.
Das Urteil in Prag wurde von der Kanzlei CMS Deutschland als wichtiger Punkt angesehen, der bisher wenig diskutiert wurde. Es wurde betont, dass bei der Verwendung von KI keine ausschließlichen Rechte wie bei einem von einem Menschen geschaffenen Werk bestehen. Ein menschlicher Urheber hat nach kontinentaleuropäischem Recht einen exklusiven Verwertungsanspruch bis zu 70 Jahre nach seinem Tod. Im Gegensatz dazu müssen Personen, die KI-Tools verwenden, damit rechnen, dass andere diese Bilder ebenfalls nutzen können.
In dem konkreten Fall ließ die Klägerin ein Bild von dem Programm DALL-E von OpenAI generieren, das für ihre eigene Webseite gedacht war. Die Beklagte, eine örtliche Anwaltskanzlei, kopierte das Bild und verwendete es auf ihrer eigenen Homepage. Die Klägerin argumentierte anschließend, dass sie das Urheberrecht besitze, da das Bild auf der Grundlage ihrer spezifischen Anweisungen generiert wurde. Das Gericht entschied jedoch, dass die Klägerin diese Behauptung nicht mit Beweisen untermauern konnte und somit keinen Unterlassungsanspruch geltend machen konnte.
Der Experte Winfried Bullinger von CMS Deutschland vergleicht das Generieren von Bildern mit KI-Systemen mit dem Bestellen einer Auftragsarbeit bei einem Maler durch einen Mäzen. Auch in diesem Fall erhält der Mäzen kein Urheberrecht. Bullinger betont, dass menschliches Prompting allenfalls als Sprachwerk geschützt werden könne, jedoch nicht maschinell erstellte Werke. Zudem handele es sich bei solchen Werken um unterschiedliche Ausdrucksformen, sodass man nur von einer Inspiration der einen Instanz für die andere sprechen könne.
Das Urteil wirft auch die Frage auf, ab welchem Ausmaß der menschlichen Beteiligung die für den Urheberrechtsschutz nötige Schöpfungshöhe erreicht wird. Bullinger erklärt, dass es grundsätzlich möglich sei, auch für Bearbeitungen eines fremden Werks einen Schutzanspruch zu bekommen, jedoch reiche es nicht aus, lediglich mit Photoshop an den Kontrasten zu drehen. Wenn ein Bearbeiter jedoch Montagen vornehme, Farben umstrukturiere und inhaltlich kreativ eingreife, könne die Schwelle überschritten sein.
Es gibt Unterschiede zwischen Deutschland und den USA in Bezug auf den Urheberrechtsschutz. In Deutschland ist ein Kunstwerk direkt mit der Erzeugung geschützt, während es in den USA ein Copyright Office gibt, das über die Schutzwürdigkeit entscheidet. Die US-Juristen seien dabei sehr restriktiv und legten den Werkbegriff noch strenger aus als in Europa. Beim konkreten Fall „Théâtre D’opéra Spatial“ könnte man die Änderungen nach europäischem Verständnis als Bearbeitung sehen und potenziell Urheberrechtsschutz dafür gewähren. Die Entscheidung in den USA sei letztendlich eher politisch motiviert gewesen. Generell gilt jedoch, dass das KI-generierte Ausgangserzeugnis auch in Europa nicht geschützt ist, sondern nur die zusätzliche Bearbeitung.
Microsoft: Edge-Update kann ungewollt Copilot-App installieren
Ein kürzlich verteiltes Update für den Webbrowser Microsoft Edge sorgt für Aufsehen, da es ungewollt die Copilot-App installiert. Bei dem Update mit der Versionsnummer 123.0.2420.65 handelt es sich um ein Fehler, das fälschlicherweise das entsprechende MSIX-Paket mitinstalliert. Dadurch kann der Eintrag „Microsoft chat provider for Copilot in Windows“ in der Liste der installierten Apps auftauchen.
Microsoft hat jedoch versichert, dass die Copilot-App keine schädlichen Funktionen ausführt. Sie erfasst, analysiert oder überträgt keine Geräte- oder Umgebungsdaten. Das MSIX-Paket wurde eigentlich entwickelt, um bestimmte Windows-Geräte auf die zukünftige Aktivierung des Windows Copilot vorzubereiten. Es ist jedoch nicht für alle Geräte vorgesehen.
Microsoft plant bereits eine Lösung für das Problem. In Zukunft wird die „Chat Provider für Copilot“-Komponente von Geräten entfernt, bei denen keine Aktivierung und Installation von Microsofts Copilot vorgesehen ist. Dies betrifft vor allem Windows-Server-Geräte. Laut Microsoft sind Windows 11 23H2, 22H2 und 21H2 sowie Windows 10 22H2 und der Windows Server 2022 von dem Problem betroffen.
Es wird empfohlen, das Update auf die fehlerhafte Version 123.0.2420.65 zu vermeiden und auf eine spätere korrigierte Version zu warten. Microsoft arbeitet bereits an einer Lösung, um das Problem zu beheben und ungewollte Installationen der Copilot-App zu verhindern.
Europol nimmt Phishing-Dienste-Plattform Labhost hops
Europol ist ein großer Schlag gegen eine der größten Phishing-as-a-Service-Plattformen weltweit gelungen. Nach jahrelanger internationaler Zusammenarbeit ist es den europäischen Strafverfolgungsbehörden gelungen, die Labhost-Infrastruktur zu kompromittieren und die Plattform abzuschalten.
Zwischen dem 14. und 17. April wurden insgesamt 70 Adressen auf der ganzen Welt durchsucht, was zur Festnahme von 37 Verdächtigen führte. Unter den Festgenommenen befinden sich auch vier Personen aus dem Vereinigten Königreich, die in Verbindung mit dem Betrieb der Labhost-Plattform stehen, einschließlich des ursprünglichen Entwicklers der Dienste.
Labhost war eine öffentlich zugängliche Plattform im Internet und nicht im Darknet versteckt. Die Metropolitan Police in London war federführend bei der Aktion und wurde dabei vom European Cybercrime Centre (EC3) von Europol und der Joint Cybercrime Action Taskforce (J-CAT) unterstützt. Strafverfolgungsbehörden aus 19 Ländern waren ebenfalls beteiligt.
Laut Europol ist Cybercrime-as-a-Service ein schnell wachsendes Geschäftsmodell geworden. Dabei vermieten oder verkaufen bösartige Akteure Werkzeuge oder Dienste an andere Cyberkriminelle, die damit ihre Angriffe durchführen. Dieses Modell wurde bisher vor allem bei Ransomware verwendet, greift aber nun auch auf andere Bereiche wie Phishing über. Labhost hat sich als wichtiger Anbieter für Kriminelle weltweit etabliert.
Auf der Plattform wurden Phishing-Kits, Infrastruktur zum Hosten von Webseiten, interaktive Funktionen zur direkten Interaktion mit Opfern sowie Dienste zur Überwachung von Phishing-Kampagnen angeboten. In den Ermittlungen wurden über 40.000 Phishing-Domains gefunden, die mit Labhost in Verbindung stehen. Diese Domains hatten mehrere 10.000 Nutzer. Die monatliche Gebühr für die illegalen Dienste betrug durchschnittlich 249 US-Dollar und ermöglichte es den Nutzern, mit wenigen Klicks maßgeschneiderte Angriffe durchzuführen.
Die Plattform bot eine Vielzahl von gefälschten Webseiten, die überzeugende Phishing-Methoden verwendeten. Laut der Londoner Metropolitan Police hat Labhost seit seiner Gründung insgesamt 1.173.000 US-Dollar an Einnahmen generiert. Weltweit wurden 480.000 Kreditkartennummern, 64.000 PINs und über eine Million Passwörter gesammelt.
Ein Werkzeug namens Labrat ermöglichte es den Kriminellen, Angriffe in Echtzeit zu starten und zu überwachen. Es konnte auch Zwei-Faktor-Authentifizierung und Zugangsdaten abfangen, um erweiterte Sicherheitsmaßnahmen zu umgehen.
Platformen wie Labhost machen es auch unerfahrenen Akteuren einfach, kriminelle Online-Aktivitäten durchzuführen und tragen so zur Zunahme von Cyberkriminellen bei. Die gesammelten Daten aus den Ermittlungen werden genutzt, um internationale Aktivitäten zur Aufdeckung der bösartigen Nutzer der Plattform zu unterstützen. Die Londoner Polizei hat kurz nach der Übernahme der Plattform eine Nachricht an 800 Nutzer geschickt, in der sie mitteilte, dass ihre Identitäten und Taten bekannt seien. Als Beweis wurden ihnen Informationen über Zahlungen, Seitenzugriffe und abgerufene Datensätze vorgelegt. Viele der Personen bleiben daher in den kommenden Wochen und Monaten im Fokus der Untersuchungen.
Update für Solarwinds FTP-Server Serv-U schließt Lücke mit hohem Risiko
Solarwinds hat vor kurzem vor einer Sicherheitslücke in ihrem FTP-Server Serv-U gewarnt. Diese Lücke ermöglicht es Angreifern, beliebigen Code einzuschleusen und auszuführen. Um dies zu tun, benötigen die Angreifer jedoch einen Zugang mit erhöhten Rechten. Die Lücke wird als „hoch“ eingestuft und trägt die CVE-Nummer CVE-2024-28073 mit einem CVSS-Score von 8.4.
Die Sicherheitslücke betrifft die Versionen 15.4.1.128 und frühere Versionen von Serv-U. Die Entwickler von Solarwinds haben jedoch bereits ein Update mit der Version 15.4.2 veröffentlicht, um den sicherheitskritischen Fehler zu beheben. Neben der Behebung der Sicherheitslücke bringt das Update auch weitere Neuerungen mit sich. Zum Beispiel wird ab sofort Windows Server 2022 unterstützt. Darüber hinaus wurden auch Aktualisierungen der genutzten Bibliotheken vorgenommen, wie die Integration von Nova in Version 15, OpenSSL in Version 3.0.13 und zlib in Version 1.3.1. Zudem wurden die privaten Schlüssel neu verschlüsselt. Allgemeine Verbesserungen umfassen die Synchronisierung von Datenbank-Gruppen über Multi-Instanz-Verteilungen sowie eine verbesserte Passwort-Wiederherstellung.
IT-Verantwortliche sollten das Update zügig herunterladen und installieren, da die Sicherheitslücke ein hohes Risiko darstellt und die Angriffsfläche für bösartige Akteure reduziert werden sollte.
Es ist erwähnenswert, dass Solarwinds bereits im November letzten Jahres mit dem Platform-Update 2023.4 Aktualisierungen für den Serv-U-FTP-Server veröffentlicht hat, um Sicherheitslücken zu schließen. Damals konnte beispielsweise die Mehr-Faktor-Authentifizierung umgangen werden.
Solarwinds erlangte Ende 2020 größere Bekanntheit, als schwere Cyberangriffe auf Regierungsorganisationen, Institutionen und Unternehmen aus den USA stattfanden. Die Angreifer erlangten Zugriff auf die Netzwerkverwaltungsplattform Orion von Solarwinds und konnten darüber Malware bei den verwalteten Einrichtungen verteilen. Dieser Vorfall gilt als einer der bekanntesten Fälle eines sogenannten Lieferkettenangriffs.
Jetzt patchen! Root-Attacken auf Cisco IMC können bevorstehen
Der Netzwerkausrüster Cisco warnt vor möglichen Attacken auf sein Servermanagementtool Integrated Management Controller (IMC). Es wurde eine Sicherheitslücke (CVE-2023-20295) entdeckt, die es einem lokalen Angreifer mit read-only-Rechten ermöglicht, eigene Befehle auszuführen und sich zum Root-Nutzer hochzustufen. Dadurch erhalten sie volle Kontrolle über das System und können beliebige Aktionen ausführen. Eine weitere Schwachstelle (CVE-2024-20356) im Web-Managementinterface von IMC ermöglicht es entfernten Angreifern mit Admin-Rechten, sich ebenfalls zum Root zu machen. Cisco warnt davor, dass bereits Exploitcode öffentlich verfügbar ist, was darauf hindeutet, dass Angriffe bevorstehen könnten. Bisher gibt es jedoch keine Hinweise auf laufende Angriffe.
Um die Server zu schützen, empfiehlt Cisco den Admins, eine der abgesicherten IMC-Versionen zu installieren. Eine Liste der betroffenen Geräte, darunter Server der UCS-E-Serie, Nexus Dashboard Appliances und Secure Web Appliances, ist in einem Beitrag des Netzwerkausrüsters zu finden.
Es ist daher dringend empfohlen, die Systeme auf den aktuellen Stand zu bringen und die abgesicherten IMC-Versionen zu installieren, um mögliche Angriffe zu verhindern.
Sicherheitsexperten schlagen Alarm: Globale Welle von Hackerangriffen auf VPN-Dienste
Sicherheitsexperten sind besorgt über eine weltweite Zunahme von Hackerangriffen auf VPN- und SSH-Dienste sowie Webanwendungs-Authentifizierungen. Das Cybersicherheitsunternehmen „Cisco Talos“ berichtet seit Mitte März von einer besorgniserregenden Welle von Brute-Force-Angriffen auf Onlinedienste. Besonders im Fokus stehen dabei VPN- und SSH-Dienste sowie Authentifizierungsschnittstellen verschiedener Webanwendungen.
Bei diesen Angriffen setzen die Cyberkriminellen auf eine Methode, bei der sie bekannte oder oft genutzte Benutzernamen mit einer Vielzahl an Passwörtern kombinieren. Dadurch hoffen sie, die Sicherheitsmechanismen zu umgehen und Zugriff auf die Systeme zu erlangen. Betroffen sind unter anderem Angebote von namhaften Anbietern wie Cisco Secure Firewall VPN, Checkpoint VPN und Fortinet VPN.
Die Angreifer verschleiern ihre Identität und erschweren die Nachverfolgung, indem sie Tor-Exit-Nodes und verschiedene Proxy-Dienste wie Ipidea Proxy, Bigmama Proxy und Space Proxies nutzen. Es wird vermutet, dass sie möglicherweise noch weitere Proxy-Dienste für ihre Aktivitäten verwenden könnten.
Diese verschleierten Angriffe stellen eine erhebliche Bedrohung dar, da sie zu Systemausfällen, Kontosperrungen und unbefugten Netzwerkzugriffen führen können. Es wird erwartet, dass der mit diesen Angriffen verbundene Datenverkehr weiter zunehmen wird, was Unternehmen und Diensteanbieter weltweit vor große Herausforderungen stellt.
Interessanterweise können Indikatoren für Kompromittierungen (Indicators of Compromise, IOC), wie beispielsweise verwendete Passwörter und Benutzernamen, in einem Github-Repository eingesehen werden.
Es ist daher empfehlenswert, dass Unternehmen und Nutzer von VPN-Diensten und SSH-Diensten ihre Sicherheitsmaßnahmen verstärken und auf eine sichere Authentifizierung setzen. Zudem sollten sie regelmäßig ihre Passwörter ändern und starke Passwörter verwenden.
Es bleibt abzuwarten, wie sich diese globale Welle von Hackerangriffen weiterentwickeln wird und ob weitere Maßnahmen ergriffen werden, um diese Bedrohung einzudämmen.
