Woche 38: Vermeintliche Sicherheitsforscher drängen auf eine Belohnung

27.09.2022 - Die Anzahl, der beim NCSC eingegangenen Meldungen, ging in der letzten Woche leicht zurück. Phishing-E-Mails, welche eine angebliche Steuerrückerstattung in Aussicht stellen, sind wieder im Umlauf. Zudem gingen mehrere Meldungen zu E-Mails von angeblichen Sicherheitsforschern ein, die Schwachstellen auf der Unternehmenswebseite gefunden haben wollen.

Vermeintliche Sicherheitsforscher missbrauchen den «Responsible Disclosure»-Prozess

Sicherheitslücken gehören zu den grössten Risiken im IT-Bereich. Dies gilt besonders für Systeme, die direkt vom Internet und damit für Angreifer aus der ganzen Welt erreichbar sind. Gemäss eines kürzlich von Microsoft veröffentlichen Berichts, lassen sich über 80 Prozent der Ransomware-Angriffe auf allgemeine Konfigurationsfehler in Software und Geräten zurückführen.

Das Risiko eines Angriffs kann erheblich gesenkt werden, wenn solche Schwachstellen so rasch wie möglich geschlossen werden und die Systeme zudem immer auf dem neuesten Stand sind. Glücklicherweise gibt es zahlreiche Sicherheitsforscher, die das Internet auf solche Sicherheitslücken durchsuchen und bei einem Fund jeweils die zuständigen Administratoren benachrichtigen. Wenn sich also jemand meldet und auf eine Schwachstelle auf der Webseite oder auf einem Server hinweist, ist man gut beraten, diese Meldung ernst zu nehmen, den Sachverhalt zu prüfen und entsprechende Massnahmen so schnell wie möglich einzuleiten.

Leider tummeln sich aber neben den seriösen Sicherheitsforschern auch einige Personen darunter, welche versuchen, mit Meldungen zu angeblichen Konfigurationsfehlern oder sonstigen Sicherheitshinweisen auf einfache Weise an Geld zu kommen. So erhält das NCSC regelmässig Meldungen von Unternehmen, die solche Benachrichtigungen erhalten haben und anschliessend verunsichert sind, wie damit umzugehen ist.

In einem Fall erhielt ein Unternehmen eine Meldung über eine angebliche Schwachstelle auf der Webseite. Die E-Mail schliesst mit den Worten, dass im Rahmen des «Responsible Disclosure»-Prozesses für Schwachstellen eine entsprechende Belohnung erwartet werde. Schnell wurde allerdings klar, dass es sich bei der gemeldeten «Schwachstelle» lediglich um den Hinweis handelte, dass auf der Unternehmens-Website die Funktion «HTTP Strict Transport Security (HSTS)» nicht aktiviert sei. Ist HSTS für eine Website aktiviert, wird ein zusätzlicher Header im HTTPS-Protokoll verwendet, der den Browser strikt anweist, ab dem ersten Aufruf ausschliesslich die Verschlüsselung zu benutzen. Auch wenn es natürlich sehr empfehlenswert ist, HSTS zu implementieren, kann das Fehlen von HSTS kaum als klassische Sicherheitslücke bezeichnet werden. Auf dem Internet gibt es zudem zahlreiche Seiten mit denen man überprüfen kann, ob auf einer Webseite HSTS implementiert ist oder nicht. Spezielle IT-Kenntnisse sind dazu nicht erforderlich. Eine Forderung nach einer Belohnung ist deshalb in diesen Fällen mehr als fraglich. Die Melder spekulieren in diesen Fällen wohl auf die Unsicherheit der Unternehmen in Cybersicherheitsfragen. Da solche E-Mails in grosser Zahl versendet werden, ist davon auszugehen, dass einige Unternehmen zahlen und die Melder so den einen oder anderen Franken verdienen.

E-Mail einer angeblichen Sicherheitslücke des Webservers und der Frage nach einer Belohnung.
E-Mail einer angeblichen Sicherheitslücke des Webservers und der Frage nach einer Belohnung.

Empfehlungen:

  • Nehmen Sie Meldungen zu Schwachstellen ernst, überprüfen Sie diese und treffen Sie möglichst schnell die entsprechenden Massnahmen.

  • Lassen Sie sich aber durch Trittbrettfahrer nicht verunsichern, die die Situation ausnutzen und mit einfachen Hinweisen versuchen, Geld zu verdienen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Weiterführende Informationen

Letzte Änderung 27.09.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_38.html