c't 11/2016
S. 29
News
Sicherheit

Jede dritte deutsche Firma leidet unter Erpressungs-Trojanern

Eine öffentliche Online-Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeichnet ein deutliches Bild von der Bedrohungslage durch Ransomware: Jede dritte deutsche Firma hat sich demnach bereits einen solchen Schädling eingefangen. Zwar geben über 95 Prozent der betroffenen Firmen an, nicht auf die Lösegeld-Forderungen eingegangen zu sein, aber fast ein Viertel berichtet von erheblichen Ausfällen von Teilen ihrer IT-Infrastruktur. Etwas mehr als 10 Prozent gaben zu Protokoll, den Zugriff auf wichtige Daten verloren zu haben.

Bei drei Vierteln der betroffenen Unternehmen landete der Schädling über infizierte E-Mail-Anhänge auf den Systemen. Oft sind nur vereinzelte Computer befallen, was vielleicht erklärt, warum wichtige Daten vergleichsweise selten in Mitleidenschaft gezogen werden. Mit Abstand am häufigsten scheinen Locky und TeslaCrypt für die Angriffe verantwortlich zu sein. Nur 18 Prozent der Betroffenen haben, entgegen der landläufigen Empfehlungen von Polizeibehörden, Strafanzeige gestellt. Insgesamt antworteten 592 Firmen und Institutionen aus dem Mittelstand auf das Ersuchen des BSI.

Umfragen im Rahmen der Security Bilanz Deutschland skizzierten im Januar dieses Jahres noch ein ganz anderes Bild. In ihren Antworten schätzten etwa Handel und öffentliche Verwaltungen die Bedrohungslage in diesem Jahr nur als geringfügig höher als noch 2015 ein. (fab@ct.de)

Angriffe auf Webseiten über die ImageMagick-Bibliothek

Sicherheitsforscher haben Details zu einer Reihe von Lücken in der Bildbearbeitungs-Bibliothek ImageMagick veröffentlicht, die bereits für Angriffe ausgenutzt werden. Die ImageMagick-Bibliothek wird vor allem von Web-Apps genutzt, die damit Bilder verkleinern, zuschneiden oder in ein anderes Format umwandeln. Aber auch Programme für den Linux-Desktop setzen sie zum Teil im Hintergrund ein, wenn sie mit Bilddateien hantieren.

Web-Apps, die Bilder-Uploads aus nicht vertrauenswürdigen Quellen erlauben, sind besonders anfällig für die Schwachstellen. Angreifer können sie nutzen, um beliebigen Schadcode auf den Server zu laden und dann auszuführen. Wie viele Plug-ins und CMS-Add-ons auf die Bibliothek aufbauen, ist schlecht abzusehen. Unter anderem haben viele Programmiersprachen und Frameworks wie PHP, Ruby und NodeJS eigene Pakete, die auf ImageMagick zurückgreifen.

Eine abgesicherte Version von ImageMagick steht bereit und die meisten Linux-Distributionen verteilen sie nun über ihre Paketmanager. Die Bibliothek GraphicsMagick, die vor Jahren aus demselben Code hervorgegangen ist, scheint ebenfalls für viele der Lücken angreifbar zu sein. Für diese Bibliothek gibt es ebenfalls Patches. Admins, die eine der beiden Bildbearbeitungs-Tools im Backend ihrer Server einsetzen, sollten Updates der entsprechenden Pakete über die Aktualisierungs-Funktionen des Server-Betriebssystems umgehend einspielen. (fab@ct.de)

Apple schließt Xcode-Sicherheitslücke

Mit Version 7.3.1 hat Apple Sicherheitslücken in seiner Entwicklungsumgebung Xcode geschlossen, die es Angreifern erlauben, beliebigen Schadcode auszuführen. Bei den Lücken handelt es sich um Programmierfehler in der quelloffenen Versionsverwaltung Git, die Xcode beiliegt. Anwender können angegriffen werden, wenn sie mit bösartigen Git-Repos interagieren. Das Git-Projekt hatte bereits im März mit einem Update reagiert, nun zieht Apple nach. Das Xcode-Update gibt es kostenlos im Mac App Store. (fab@ct.de)

Kommentieren