Mit dem Creators Update wird das dritte große Update für Windows 10 ab dem 11. April 2017 für Kunden weltweit verfügbar. Firmenkunden profitieren durch umfangreiche Erweiterungen und neue Funktionen in den Bereichen IT-Verwaltung, Sicherheit und Datenschutz.

Windows 10 ist die bisher am schnellsten wachsende Windows Version im Unternehmensumfeld und läuft mittlerweile auf mehr als 400 Millionen Geräten. Weltweit mehr als 96 Prozent der Unternehmenskunden evaluieren Windows 10, alleine im letzten Dezember verzeichnete Microsoft ein dreifaches Wachstum bei Windows 10 Enterprise Deployments. Eine Studie von Forrester belegt, dass Firmen ihre Kapitalrentabilität (ROI) mit Windows 10 deutlich steigern können. Laut aktuellen Zahlen von StatCounter ist Windows 10 auch auf deutschen PCs das am meisten verbreitete Betriebssystem.

Insbesondere im Sicherheitsbereich bietet die neueste Windows Generation Vorteile. So reduzieren sich die Sicherheitsprobleme von Windows 10 Kunden um 33 Prozent. Laut einem aktuellen Whitepaper ist die Wahrscheinlichkeit für eine Infektion mit Ransomware rund 58 Prozent niedriger als mit Windows 7. Außerdem bietet Windows 10 im Vergleich zu älteren Versionen mit Windows Defender ATP eine integrierte „Post-Breach-Lösung“ für die Erkennung, Untersuchung und Reaktion auf bereits erfolgte Cyber-Angriffe. Heute nahezu unverzichtbar für Firmenkunden, bedenkt man, dass bereits 51 Prozent aller deutschen Unternehmen Opfer solcher Attacken waren.

Intelligente Sicherheit und effizientere IT-Verwaltung
Das Creators Update erweitert das bestehende Angebot von Windows 10 für Geschäftskunden. Es macht Firmenrechner durch intelligente Funktionen zukünftig noch sicherer, sorgt für einen noch besseren Schutz der Unternehmensdaten, bietet gleichzeitig effizientere Wege für die Verwaltung der firmeneigenen IT und kommt mit mehr Transparenz und Kontrolle beim Datenschutz. Nachstehend ein kurzer Überblick zu den wichtigsten Neuheiten.

Windows Defender Security Center. Kunden erhalten einen zentralen Ort für die Verwaltung integrierter Sicherheitsfunktionen. Dort kontrollieren die Anwender, welche integrierten Schutzmaßnahmen eingesetzt werden. Separat ausgewiesene Sicherheitsbereiche ermöglichen eine gute Übersicht über Antiviren-Schutz, Geräteperformance, Firewall, Netzwerkschutz sowie App- und Browserkontrolle und erleichtern damit die individuell passende Konfiguration.
Verbesserte Reaktion auf Cyber-Angriffe. Neue Features für Windows Defender ATP bieten Unternehmen erweiterte Möglichkeiten bei der Erkennung und Untersuchung von Angriffen auf das Firmennetzwerk sowie bei der anschließenden IT-Sanierung. Hierzu zählen Sensoren für Angriffe auf den Arbeitsspeicher, eine erhöhte Intelligenz im Windows Security Center über Alarme auf Basis eigener Indikatoren und neue Abhilfemaßnahmen bei erfolgten Angriffen – zum Beispiel Tools zum Isolieren von Maschinen und Dateien, zum Abschalten oder Säubern von laufenden Prozessen oder auch zum Sammeln forensischer Daten.
Mehr Transparenz und Kontrolle beim Privatsphärenschutz. Mit dem Windows 10 Creators Update erhalten Nutzer ein neues und detaillierteres Setup bei der Konfiguration von Datenschutzeinstellungen. Erklärende Kurzbeschreibungen zu jedem Punkt und die neue Taste „Mehr Informationen“ bieten Anwendern zukünftig einen erweiterten Einblick bei der Auswahl ihrer Datenschutzeinstellungen in Windows 10. Bereits bestehende Windows 10 PCs erhalten Benachrichtigungen von Microsoft, die Nutzer darauf hinweisen, ihre Datenschutzeinstellungen entsprechend des neuen Setups zu überprüfen. Die Voreinstellung der „Regler“ erfolgt dabei auf Basis der aktuellen Privatsphäreneinstellungen. Im Rahmen der Neuinstallation von Windows 10 oder beim Neukauf eines PCs erhalten Kunden ebenfalls ein optimiertes Menü, welches die bestehenden „Express-Einstellungen“ ersetzen wird. Hierbei sind die „Regler“ hinsichtlich der empfohlenen Konfiguration von Microsoft für eine bestmögliche Nutzererfahrung voreingestellt.

Ergänzend zur vereinfachten Konfiguration im Bereich der Telemetrie-Daten, die künftig nur noch die zwei Optionen „Standard“ und „Vollständig“ umfasst, veröffentlicht Microsoft erstmals eine komplette Liste über die gesammelten Diagnose- und Nutzungsdaten der Konfigurationsstufe „Standard“. Darüber hinaus stellt Microsoft seinen Nutzern eine detaillierte Zusammenfassung über die Daten bereit, welche auf den beiden Diagnoseebenen „Standard“ und „Vollständig“ erhoben werden. Zudem wird Microsoft seine Datenschutzerklärung mit umfassenden Informationen über die neuen Erweiterungen zum Datenschutz im Creators Update aktualisieren.

Darüber hinaus ist Microsoft bestrebt sicherzustellen, dass Windows 10 mit der General Data Protection Regulation (GDPR) der EU konform ist, wenn diese im Jahr 2018 in Kraft tritt. Mehr Informationen und Bildmaterial zu den neuen Erweiterungen im Bereich Datenschutz finden Sie auf OneDrive sowie auf dem Windows Blog.

Vereinfachte Verwaltung privater Geräte. Die neue Funktion „Mobile Application Management“ schützt sensible Unternehmensdaten auf persönlichen Geräten von Mitarbeitern, auch wenn diese gerade nicht in eine bestehende Mobile-Device-Management-Lösung eingebunden sind. Zum Schutz der Firmendaten bietet sie der Unternehmens-IT eine genaue Übersicht zu den Anwendungsrichtlinien der genutzten Programme.
Effizientere Analyse der IT-Umgebung. Zusätze für das Windows Upgrade Analytics Dashboard helfen der IT-Administration, Windows 10 Geräte noch effizienter zu verwalten – beispielsweise durch die Einbindung firmeneigener Telemetrie-Daten.

Deutsche Firmenkunden setzen auf Windows 10
Die gkv informatik GbR, einer der führenden IT-Dienstleister für gesetzliche Krankenversicherungen in Deutschland, hat Windows 10 als Basis für den modernen Arbeitsplatz eingeführt. Gemeinsam mit Microsoft Consulting Services wurde ein Pilotprojekt bei der gkv informatik durchgeführt. Der Pilot bestätigte, dass Windows 10 stabil und schnell läuft und kompatibel mit vielen Standardanwendungen ist. Besonders im Hinblick auf den Datenschutz ist IT-Sicherheit essenziell für die gkv informatik. Bewährt hat sich an den Arbeitsplätzen die Festplattenverschlüsselung BitLocker, die Daten bei Verlust oder Diebstahl eines Geräts schützt. BitLocker wurde für Windows 10 stark erweitert und wird bei der gkv informatik ein bisher genutztes Tool ablösen.

Die Interhyp AG ist Deutschlands größter Vermittler privater Baufinanzierungen. Um die Qualität ihrer Beratungsleistungen weiter zu verbessern, entschied sich die Interhyp AG für eine Modernisierung ihrer IT-Infrastruktur. Aus diesem Grund fiel die Entscheidung für ein Roll-Out von Windows 7 auf Windows 10 Enterprise. Nach einer Gesamtdauer von sechs Monaten profitieren potentiell mehr als 1200 Mitarbeiter an 100 Standorten von den innovativen Funktionen der neuesten Windows Generation.

Windows 10: Creators Update kommt am 11. April  – heise online

Henkel organisiert Sprachanrufe, Videokonferenzen und Content Sharing mit Office 365 über eine einheitliche Plattform

Die rund 50.000 Mitarbeiter von Henkel, in Düsseldorf ansässiger Hersteller von Markenartikeln wie Persil, Pril, Pritt, Ponal und Pattex, werden künftig ihre weltweite Kommunikation über die Cloud organisieren – mit Skype for Business und Office 365 aus der europäischen Rechenzentrums-Region von Microsoft. Die Umrüstung ist Teil der Arbeitsplatzdigitalisierung des Konzerns. Die Mitarbeiter werden ihre Sprachanrufe und Videokonferenzen über Skype abhalten und ihre Teaminhalte weltweit teilen können. Ziel des Umstiegs ist es, Vernetzung und Mobilität der global tätigen Mitarbeiter zu verbessern. Mit Skype for Business und Office 365 sind sie weder an einen bestimmten Ort oder Arbeitsplatz gebunden, noch an ein bestimmtes Gerät. Neben den Effizienzgewinnen verspricht sich Henkel auch eine deutliche Reduktion der Reisekosten.

„Wir haben Skype for Business zunächst als nettes zusätzliches Feature von Office 365 eingerichtet“, sagt Markus Petrak, Corporate Director, Digital Workplace Integrated Business Solutions bei Henkel. „Es hat gerade mal einen Monat gedauert, bis es sich zu einer businesskritischen Komponente entwickelt hat. Unser Anspruch ist es, Henkel zum Treiber für die digitale Welt der Zukunft zu machen, und mit Funktionen wie Cloud PBX in Skype for Business erfüllen wir dieses Ziel.“

Familienunternehmen aus der Messebaubranche transformiert sich zum Anbieter für Live-Communication on Demand und setzt auf Office 365, Windows 10 und Surface Pro 4

Die Digitalisierung hat die auf Messebau spezialisierte WWM GmbH & Co. KG als Chance begriffen und eine Cloud-Lösung zum Kernbestandteil des Unternehmens gemacht. Auf dem Weg zum agilsten Unternehmen der Branche bezieht der Lösungsanbieter für Live-Kommunikation Software zukünftig nur aus der Cloud und setzt durchgehend auf Vernetzung und mobiles Arbeiten. Mit dem Umstieg auf Windows 10 und der langjährigen Nutzung von Office 365 agiert das Unternehmen in Zukunft noch flexibler und stärkt gleichzeitig die eigene IT-Sicherheit.

Bei der im nordrhein-westfälischen Monschau ansässigen WWM GmbH & Co. KG treffen 35 Jahre Erfahrung im Messe- und Eventgeschäft auf Innovationsbereitschaft in Zeiten der Digitalen Transformation. Während das klassische Messebaugeschäft weiterbetrieben wird, positioniert sich das Familienunternehmen, das in zweiter Generation geführt wird, gleichzeitig als Pionier der Live-Kommunikation. Dabei setzt die WWM auf einen konsequenten Digitalisierungskurs mit einem hohen Anspruch: Das Unternehmen will zum agilsten seiner Branche werden.

Agilität durch vernetztes Arbeiten mit Office 365 und Windows 10
Im Zentrum des eigenen Agilitätsanspruchs stehen moderne Arbeitsmodelle. Mit der Verlagerung aller wesentlichen Softwareanwendungen in die Microsoft Cloud ist es WWM zukünftig möglich, die eigenen Arbeitsplätze flexibel an seine Mitarbeiter anzupassen. Schon seit Jahren ist Office 365 im Einsatz, dass den Mitarbeitern bei WWM ortsunabhängige Zusammenarbeit über alle mobilen Devices ermöglicht. Gerade in der Messe- und Eventbranche ist diese Flexibilität bei rund 2.500 Veranstaltungen im Jahr nicht mehr wegzudenken. Nun folgte auch der Umstieg auf Windows 10.

„Mit der Kombination von Windows 10 und Office 365 haben kleine und mittelständische Unternehmen die besten Voraussetzungen, die eigene digitale Transformation unkompliziert und dabei stets sicher voranzutreiben“, erklärt Gregor Bieler, General Manager für das Mittelstands- und Partnergeschäft bei Microsoft Deutschland.

Die digitale Komponente als Kernbestandteil des Geschäftsmodells
Mit der Event-Resource-Management-Software „myWWM“, die auf Basis von Microsoft Azure läuft, hat die WWM GmbH & Co. KG ein Angebot geschaffen, das so vorher noch nicht am Markt existierte. Mit der Cloud-Lösung haben Kunden die Möglichkeit, Marketing-Ressourcen zu verwalten sowie klassische Offline-Marketing-Aktionen wie Messen und Events zu planen und auszuführen.

Die Miete der Messesysteme ist dabei kostenfrei, der Kunde zahlt hierbei lediglich die individuelle Gestaltung der Ausstattung. „Unsere Lösung baut auf mehr als 30 Jahre Erfahrung in der Live-Kommunikation und bietet Unternehmen die Ausführung von Offline-Marketing-Aktionen per Knopfdruck“, sagt Dr. Christian Coppeneur-Gülz, CEO von WWM. Zudem bietet „myWWM“ Standbetreibern die Möglichkeit, Besucherströme auf Veranstaltungen automatisch zu erfassen und im Business Intelligence Modul der Software zur KPI-basierten Auswertung von Veranstaltungen heranzuziehen. „Zudem verlängern wir die Live-Kommunikation unserer Kunden in den Online-Kanal, indem wir datenschutzkonform die homogene Zielgruppe der erfassten Messebesucher per Retargeting adressieren.“, so Dr. Christian Coppeneur-Gülz.

Den hohen IT-Sicherheits-Ansprüchen wird WWM mit Windows 10 gerecht
Mit dem Umstieg in die Cloud lag besonderes Augenmerk im Unternehmen auf den hohen Sicherheitsanforderungen. Deshalb nutzt WWM die BitLocker-Laufwerkverschlüsselung und BitLocker to Go, die fester Bestandteil von Windows 10 sind. Somit kann ein Datendiebstahl verhindert werden, sollte ein Gerät oder USB-Speichermedium verloren gehen oder gestohlen werden.

Durch den Einsatz von Windows 10 Pro und Microsoft Intune ist es außerdem möglich, Unternehmensdaten zu verschlüsseln und diese im Notfall auch aus der Ferne zu löschen. Ein sicheres und flexibles Arbeitsumfeld ist somit gewährleistet.

Ein weiterer Baustein für die Agilität des Unternehmens sind außerdem die eingesetzten Surface Pro 4 Geräte. Insbesondere die 25 Logistik-Mitarbeiter im Service Hub Alsdorf, die für den Versand und der Kommissionierung der kostenfreien Messe-Mietsysteme und Werbemittel zuständig sind, profitieren von der Mobilität. Auch bei Mitarbeitern im Vertrieb sind die Surface-Geräte regelmäßig im Einsatz. Zukünftig sollen alle 75 Angestellten ausgestattet werden.

Read more at https://news.microsoft.com/de-de/wwm-cloud-mittelstand/#lXo5uqvaqDwPXzVs.99

Microsoft fördert mit neuem Partnermodell den Vertrieb von Cloud-Lizenzen und -Lösungen in Deutschland

Microsoft Deutschland transformiert sein Partnermodell und wandelt sich gemeinsamen mit seinen Partnern von Verkäufern von Software-Lizenzen zu Lösungsanbietern von Cloud Services. Microsoft fokussiert sich auf spezielle Märkte, da diese sich aufgrund ihres Digitalisierungsgrades besonders für die digitale Transformation eignen. Hier zeigt das Unternehmen gemeinsam mit seinen Partnern Kunden branchenspezifisch und praxisnah die Chancen der Digitalisierung auf.
„Die Cloud ist die technologische Basis der digitalen Transformation“, sagt Gregor Bieler, General Manager für das Mittelstands- und Partnergeschäft bei Microsoft Deutschland. „Mit unseren hybriden Modellen öffnen wir Unternehmen von jedem beliebigen Startpunkt aus den Weg in die Cloud. Mit der Partner Channel Transformation untermauern wir diesen strategischen Ansatz.“
Eine Konzentration auf sieben ausgewählte Branchen-Cluster: Internet of Things, Health, Sports, Open Web & Digital Commerce, Service, (Content-) Streaming sowie Gaming hilft Microsoft und seinen Partnern, die Nachfrage nach Cloud-Services gezielt in den Branchen zu erhöhen, die besonders von der Digitalisierung ihrer Geschäftsprozesse profitieren. Dieser Ansatz ergänzt das existierende Partnermodell und schafft neue Geschäftsmodelle im zukunftsträchtigen Cloud Business. „Zudem können wir darüber neue Partnerschaften zu IT-Dienstleistern schließen, die mit uns diese Schwerpunktsetzung mitgehen und sich auf Cloud-Angebote sowie auf cloudbasiertes Lösungsgeschäft konzentrieren“, so Bieler.

Aus Kunden werden Partner

Zur Transformation des Partnersystems gehört es auch, dass sich Kunden zu Partner- und Serviceunternehmen wandeln. Die Maschinenfabrik Reinhausen (MR) aus Regensburg beispielsweise ist vom Anwender zum Multiplikator für die Microsoft Cloud Deutschland geworden. MR bietet seine Lösung ValueFacturing 3.0 zukünftig standardmäßig über die Microsoft Cloud Deutschland an. ValueFacturing ist eine Assistenzsystem-Lösung für die intelligente Vernetzung von Fertigungsdaten in der Zerspanungsindustrie. Damit wird die Maschinenfabrik Reinhausen im IoT-Cluster zum potentiellen Multiplikator und somit zum Partner von Microsoft.
CeBIT 2017: Microsoft stellt Partner in Fokus

Ab sofort ist Microsoft Teams verfügbar. Das neue Produktivitätstool von Microsoft gilt als die „Chat-basierte Arbeitsumgebung in Office 365“. Chat in Zusammenhang mit Arbeit hört sich erstmal gut, da abwechslungsreich an. Aber was kann die neue Anwendung wirklich?

Teams bringt Dokumente, Tools, Personen und Chat an einem zentralen (und sicheren) Ort in Office 365 zusammen. Als Plattformanwendung integriert Microsoft Teams Anwendungen wie SharePoint, Skype for Business oder auch OneDrive for Business, kann aber auch Anwendungen von anderen Anbietern integrieren. Das bedeutet, Teamkollegen können beispielsweise direkt aus Office 365 Zugriff auf die Informationen erhalten, die sie in dem jeweiligen Team-Zusammenhang benötigen. Da das Ganze Bestandteil von Office 365 ist, kann es auch auf die Sicherheit von Office 365 zurückgreifen – das bedeutet bedenkenlose Zusammenarbeit im vertrauten Umfeld. Auf die weiteren Vorteile von Office 365 und der Cloud brauche ich hier nicht einzugehen. Als kleiner Tipp nur der Hinweis auf unseren Blog-Artikel zum Geschäftsalltag von kleinen Unternehmen mit Office 365. Einen Vorgeschmack auf Microsoft Teams mitsamt einem Einblick in seine Funktionen bietet dieses kurze Video.

Der moderne Chat für Teams: Inhalte und Chatverläufe sind jederzeit verfügbar, Teamchats und Aktivitäten sind für das ganze Team einsehbar.

Wer kann nun wie auf Microsoft Teams zugreifen?

Microsoft Teams ist über Office 365 Business Essentials und Business Premium sowie in Enterprise E1, E3 und E5 verfügbar. Wenn Sie bereits einen dieser Office 365 Pläne im Einsatz haben, kann Ihr IT-Administrator Microsoft Teams in 3 einfachen Schritten aktivieren:

1. Klicken Sie im Admin Center Ihres Office 365 Portals auf „Einstellungen“ (Settings).
2. Gehen Sie dort zu „Dienste & Add-Ins“ (Services & Add-Ins).
3. Wählen Sie „Microsoft Teams“ aus und klicken Sie am Kopf der Seite auf „On“.

In dieser Schritt-für-Schritt Anleitung können Sie nochmal nachlesen, wie einfach die Aktivierung funktioniert.

Microsoft Teams läuft übrigens plattformübergreifend auf Windows, Mac, Android, iOS und auf Web-Plattformen.

Quelle: Microsoft.com

Im Dezember 2016 hat ein Industriekonglomerat in Deutschland bekanntgegeben, dass es Opfer eines Cyberangriffs geworden ist. Die Analyse ergab, dass es sich um eine professionell ausgeführte Industriespionage handelte. Der Presse zufolge haben die Angreifer Malware der Winnti-Familie eingesetzt, um im Februar 2016 ständigen Zugriff auf das Netzwerk des Konglomerats zu erhalten.

In diesem Blog erhalten Sie einen Einblick in die Winnti-Malware und wie sie von den beiden bekannten Gruppen BARIUM und LEAD verwendet wird. Dabei erfahren Sie, wie diese Gruppen die Malware in unterschiedliche Ziele implementieren und welche Techniken Microsoft-Forscher eingesetzt haben, um dieses Implantat aufzuspüren.

Um zu verstehen, wie dieser und ähnliche Cyber-Angriffe abgeschwächt werden können, müssen Sie zunächst verstehen, wie Windows Defender Advanced Threat Protection (Windows Defender ATP) Aktivitäten kennzeichnet, die in Verbindung mit BRARIUM, LEAD und anderen bekannten Gruppen stehen. Zusätzlich ist es wichtig zu wissen, wie Windows Defender ATP umfassende Threat Intelligence über diese Gruppen zur Verfügung stellt. Zunächst wird der Winnti-Implantat-Installationsprozess besprochen. Anschließend beschäftigt sich dieser Blog damit, wie Windows Defender ATP solche Angriffsmethoden und Tools erfassen und visualisierte Kontextinformationen bereitstellen kann, um tatsächliche Angriffe zu untersuchen und zu bekämpfen. Des Weiteren bekommen Sie, Informationen zu neuen zentralisierte Funktionen – die als Erweiterungen für Windows Defender ATP mit dem Windows 10 Creators Update veröffentlicht werden – verwendet werden können, um Bedrohungen schnell zu stoppen. Dazu gehört auch das Unterbinden von Command-and-Control-Kommunikation (C&C-Kommunikation) und der Installation von zusätzlichen Komponenten oder das Verbreiten von bereits bestehenden Implantaten auf andere Computer im Netzwerk.

Winnti Gruppen: BARIUM und LEAD

Winnti wird von Microsoft Threat Intelligence mit mehreren Gruppen assoziiert. Diese Gruppen sind Sammlungen von Malware, unterstützender Infrastruktur, Online-Rollen, Viktimologie und anderen Angriffsartefakten, die der Microsoft Intelligent Security Graph verwendet, um Angriffsaktivitäten zu kategorisieren und zuzuordnen. Microsoft benennt diese Gruppen nach Elementen aus dem Periodensystem. In diesem Fall heißen die beiden Gruppen, die am stärksten mit Winnti in Verbindung gebracht werden, BARIUM und LEAD. Obwohl die beiden Gruppen jeweils Winnti einsetzen, sind BARIUM und LEAD in sehr unterschiedlichen Einbruchsszenarien involviert.

BARIUM etabliert vor dem Angriff auf unterschiedlichen Social-Media-Plattformen eine Beziehung zu seinen potentiellen Opfern. Diese Opfer stammen insbesondere aus den Bereichen Business Development und Personalabteilung. Sobald BARIUM ein Verhältnis zu den Opfern aufgebaut hat, startet die Gruppe mit Spear-Phishing-Attacken. Dafür kommt eine Vielzahl von einfachen Malware-Installationsvektoren zum Einsatz. Zu diesen gehören beispielsweise bösartige Shortcut-Links (.lnk) mit versteckten Payloads, kompilierte HTML-Hilfe-Dateien (.chm) oder Microsoft-Office-Dokumente mit Makros oder Exploits. Die erste Einbruchsphase verwendet das Win32/Barlaiy-Implantat. Dies ist bekannt für seine Verwendung von Social-Network-Profilen, Seiten für die gemeinschaftliche Bearbeitung von Dokumenten und Blogs für C&C. In späteren Phasen verlässt sich BARIUM auf Winnti für den ständigen Zugriff. Der Großteil der Opfer stammt aktuell aus den Bereichen Videospiele, Multimedia und Internet Content. Einige Angriffe richteten sich aber auch gegen Technologieunternehmen.

Im Gegensatz zu BARIUM hat sich LEAD einen größeren Ruf für Industriespionage erworben. In den vergangenen Jahren gehörten zu den Opfern:

• Multinationale, multiindustrielle Unternehmen aus den Bereichen Textilmanufaktur, Chemie und Elektronik
• Pharmaunternehmen
• Ein Unternehmen aus der Chemieindustrie
• Eine Universitätsfakultät mit Fokus auf Luftfahrttechnik und Forschung
• Ein Unternehmen, das in die Planung und Herstellung von Automotoren involviert ist
• Eine Cyber-Sicherheitsfirma mit Fokus auf den Schutz von industriellen Kontrollsystemen

LEAD verfolgte mit den Einbrüchen das Ziel, sensible Daten zu entwenden – inklusive Forschungsmaterial, Prozessdokumente und Projektpläne. Zusätzlich brachte die Gruppe Zertifikate für die Codesignierung in ihren Besitz, um ihre Malware in nachfolgenden Angriffen zu signieren.

In den meisten Fällen umfassten die Angriffe von LEAD keine hochentwickelten Exploit-Techniken. Die Gruppe unternimmt auch keine gesonderten Anstrengungen, um im Vorfeld der Attacke eine Beziehung zu den Opfern aufzubauen. Stattdessen schickt LEAD einfach E-Mails mit einem Winnti-Installer an die potentiellen Opfer. Anschließend verlässt sich die Gruppe auf grundlegende Social-Engineering-Taktiken, um die Empfänger davon zu überzeugen, die Malware zu installieren. In einige Fällen hat LEAD einfach Brute Force eingesetzt, um Zugangsdaten zu erhalten. Alternativ haben sie SQL-Injektionen ausgeführt oder ungepatchte Web-Server ausgenutzt und anschließend den Winnti-Installer auf die kompromittierten Maschinen kopiert.

Winnti aufspüren

Microsoft Analytics zeigt, dass Winnti bei Angriffen in Asien, Europa, Ozeanien, im Mittleren Osten und in den USA in den vergangenen sechs Monaten zum Einsatz kam (Bild 1). Die jüngste Angriffsserie wurde im Dezember 2016 beobachtet.

Bild 1: Einsatzziele von Winnti von Juli bis Dezember 2016.

Obwohl das Aufspüren von Bedrohungen von Winnti klassische Untersuchungsarbeit beinhaltet, greifen die Analysten von Microsoft Threat Intelligence auf die Vorteile von Machine Learning zurück. Wenn Angreifer Winnti für den Zugang zu Web-Server verwendet haben, versteckten sie das Implantat im Grunde für jeden sichtbar. Allerdings haben sie es als eine vertrauenswürdige und legitime Datei getarnt. Dies war der Fall bei zwei bekannten Einbrüchen in 2015. Damals nannten die Angreifer die Implantat-DLL “ASPNET_FILTER.DLL”, um diese als DLL für den ASP.NET-ISAPI-Filter (Tabelle 1) auszugeben. Zwar bestehen offensichtliche Unterschiede zwischen der legitimen und der bösartigen Datei, allerdings würde das Ausfiltern der bösartigen Datei erfordern, dass ein Datensatz mit Millionen von möglichen Dateinamen, Software Publishern und Zertifikaten durchsucht werden muss. Microsoft-Forscher haben eine Kombination von Erkennung von Anomalien und überwachten Machine Learning verwendet, um den Datensatz zu reduzieren und aussagekräftige, Malware-bezogene Anomalien von gutartigen Daten zu trennen.

Tabelle 1: Legitime ASPNET_FILTER.dll vs. getarntes Winnti-Beispiel.

Umgang mit Winnti-Einbrüchen

Windows Defender ATP hilft Netzwerksicherheits-Professionals auf mehreren Wegen beim Umgang mit Einbrüchen von Gruppen wie BARIUM und LEAD. Das folgende Beispiel wurde mithilfe eines Winnti-Installer entwickelt, der bei Angriffen im Dezember 2016 zum Einsatz kam.

Benachrichtigungen für Cyber-Angriffe

Microsoft Threat Intelligence spürt ständig Gruppen wie BARIUM und LEAD auf. Zusätzlich dokumentiert es die Taktiken, Techniken und Methoden, die bei den Angriffen verwendet werden. Dabei liegt ein besonderer Fokus auf den Tools und der Infrastruktur, die solche Angriffe ermöglichen. Windows Defender ATP überwacht regelmäßig geschützte Endpunkte und sucht nach solchen Indikatoren für gefährliche Aktivitäten. Wenn Windows Defender ATP eine verdächtige Aktivität aufgespürt hat, benachrichtigt es das Security-Operations-Center-Personal (Bild 3).

Bild 4: Zusammenfassung von LEAD und tiefgehende Dokumentation.

Windows Defender ATP ist außerdem in der Lage, bisher unbekannte Attacken zu entdecken. Dafür wird das Systemverhalten auf Anzeichen von feindlichen Aktivitäten überwacht. Dazu gehören:

• Installation und Aktivierung von Malware sowie ihre Beständigkeit
• Backdoor-Befehle und -Kontrolle
• Diebstahl von Anmeldeinformationen
• Seitliche Bewegung auf andere Maschinen im Netzwerk

Zahlreiche Malware-Familien registrieren sich beispielswiese selbst als Dienste während der Installation, um auch nach Neustarts weiterhin Zugriff zu haben. Der Großteil der Malware, der diese Techniken einsetzt, modifiziert die notwendigen Registrierungsschlüssel in einer Art und Weise, dass sie nicht mehr dem Profil eines legitimen Programms entsprechen. Winnti ist dabei keine Ausnahme. Aus diesem Grund kann Windows Defender ATP während des Installationsprozesses von Winnti einen Verhaltensalarm auslösen (Bild 5).

Bild 5: Benachrichtigung über anormale Service-Erstellung.

Um die Reichweite zu verbessern und gleichzeitig False Positives zu verringern, verwendet Windows Defender ATP den Intelligent Security Graph, um vor der Erstellung von Benachrichtigungen zwischen verdächtigen und harmlosen Verhalten zu unterscheiden. Dabei werden Alter der Datei, die globale Verteilung und das Vorhandensein und die Validierung einer digitalen Signatur in Betracht gezogen.

Visualisierte Kontextinformationen

Windows Defender ATP bietet für Benachrichtigungen, die entweder durch eine bestimmte Threat Intelligence in Verbindung mit einer Gruppe oder einem generischen auffälligen Verhalten ausgelöst wurden, angereicherten und visualisierten technischen Kontext. Dieser visuelle Kontext erlaubt Security-Operations-Center-Personal (SOC), Benachrichtigungen mit allen zugehörigen Artefakten zu untersuchen, den Umfang des Cyber-Angriff einzuschätzen und einen umfassenden Aktionsplan vorzubereiten. In den nachfolgenden Screenshots zeigt Windows Defender ATP eindeutig die Präsenz der Winnti-Installation, in denen der Installer eine DLL auf die Festplatte hinterlegt (Bild 6), die DLL mithilfe von rundll32 lädt (Bild 7), die DLL als einen Dienst einrichtet (Bild 8) und eine Kopie von sich selbst im Pfad C:\Windows\Help (Bild 9) speichert.

Bild 6: Winnti-Installer legt eine DLL ab.

Bild 7: Winnti-Installer lädt die DLL mit rundll32.

Bild 8: Winnti richtet sich selbst als Dienst ein.

Bild 9: Der Installer kopiert sich in C:\Windows\Help\

Windows Defender ATP zeigt diese Aktivitäten in einem Prozessbaum in einer Zeitleiste für infizierte Computer an. Analysten können daraus detaillierte Informationen herausziehen wie die abgelegte Implantat-DLL, den Befehl zum Ausführen von rundll32.exe und Laden der DLL sowie die Anpassung der Registry, die die DLL als Service einrichten. Diese Informationen können einen ersten Einblick bieten, um das Ausmaß des Breach einzuschätzen.

Schutzmaßnahmen

Das Windows 10 Creators Update wird mehrere Erweiterungen für Windows Defender ATP enthalten, die neue Optionen für SOC-Personal für sofortige Maßnahmen für eine erkannte Bedrohung bieten. Wenn ein Eindringling einen mit Windows Defender ATP geschützten Computer kompromitiert, kann das SOC-Personal diesen Computer aus dem Netzwerk isolieren, C&C des Implantats blockieren und Angreifer davon abhalten, zusätzliche Malware zu installieren und sich auf anderen Computern im Netzwerk auszubreiten. Währenddessen wird die Verbindung zum Windows-Defender-ATP-Dienst aufrechterhalten. SOC-Personal kann von der isolierten Maschine Live-Untersuchungsdaten sammeln. Dazu gehören DNS-Cache- oder Sicherheits-Event-Logs, die verwendet werden können, um Benachrichtigungen zu verifizieren, das Ausmaß des Einbruchs einzuschätzen und weitere Aktionen zu planen.

Bild 11: Optionen für Reaktionsmaßnahmen.

Eine weitere Möglichkeit ist es, das Winnti-Implantat aufzuhalten und unter Quarantäne zu stellen. Somit lässt sich der Einbruch auf einer einzelnen Maschine stoppen. BARIUM und LEAD sind nicht bekannt dafür, großangelegte Spear-Phishing-Kampagnen durchzuführen. Aus diesem Grund ist es eher unwahrscheinlich, dass SOC-Personal mit mehreren Computern beschäftigt sind, die von diesen Gruppen zur gleichen Zeit kompromittiert sind. Nichtsdestotrotz unterstützt Windows Defender ATP auch das Blockieren des Implantats im ganzen Unternehmen, um großangelegte Einbrüche bereits in einer frühen Phase aufzuhalten (Bild 12).

Bild 12: Maßnahmen zum Aufhalten einer Bedrohung.

Fazit: Erkennungszeit verkürzen und Auswirkungen reduzieren

Berichten zufolge hat es mehrere Monate gedauert, um den Angriff auf das Industriekonglomerat zu erkennen und aufzuhalten. Die Zeit zwischen dem eigentlichen Cyber-Angriff und seiner Erkennung dürfte den Angreifern genügend Zeit gegeben haben, um sensible Informationen zu lokalisieren und zu entwenden.

Mit den erweiterten Post-Breach-Detection-Möglichkeiten von Windows Defender ATP ist SOC-Personal in der Lage, diese Zeitspanne auf wenige Stunden oder sogar Minuten zu reduzieren. Dies führt zur Reduzierung von potentiellen Auswirkungen durch ständigen Zugriff auf das Netzwerk durch Angreifer. Windows Defender ATP bietet außerdem weitreichende Informationen über Gruppen, die für solche Cyber-Angriffe verantwortlich sind. Damit erhalten Kunden die Möglichkeit, Aspekte der Angriffe zu verstehen, die nicht von Netzwerk- und Endpoint-Sensoren wie Köder für Social Engineering und die regionale Natur eines Angriffs stammen. Mit relevanten visualisierten Informationen können Analysten das Verhalten von Malware auf betroffenen Maschinen studieren und somit ihre eigenen Reaktionen planen. Abschließend bietet Windows ATP mit dem angekündigten Creators Update zusätzliche Möglichkeiten, um Gefahren wie Winnti zu erkennen. Zudem erhält die Lösung zentralisierte Reaktionsmöglichkeiten wie das Isolieren einer Maschine und Blockieren einer Datei. Dies ermöglicht ein schnelles Eindämmen von bekannten Angriffsmethoden.

“In Deutschland gewinnt das Thema IT-Sicherheit täglich an Bedeutung hinzu. Das zeigt sich unter anderem daran, dass neue Vorfälle immer öfters auch in den Medien hierzulande behandelt werden. Zudem sind Unternehmen seit Juli 2015 wegen des neuen IT-Sicherheitsgesetzes verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden. Kunden sollten sich aus diesem Grund aktiv mit dem Thema beschäftigen und Windows Defender Advanced Threat Protection evaluieren, bevor sie selbst Opfer eines Cyber-Angriffes werden.”, so Milad Aslaner, Senior Product Manager Windows & Cyber Security bei Microsoft Deutschland.

Windows Defender ATP ist in den Kern von Windows 10 Enterprise integriert und kann ohne zusätzliche Kosten getestet werden.

Quelle: Microsoft Technet

Auch in diesem Jahr ist 8MAN, Marktführer im Bereich Berechtigungsmanagement, vom 20. bis zum 24. März in Halle 6, Stand D16 auf der CeBIT vertreten. Im Einzelnen werden die Auswirkungen der Datenschutz-Grundverordnung (DS-GVO) sowie neusten Trends und Neuerungen rund um das Thema Access Rights Managements (ARM) porträtiert. Zum Abschluss findet eine exklusive Standparty mit prominenten Gästen statt.

Die Steigerung von IT-Sicherheit und Compliance im Unternehmen ist erfolgskritisch – und gelingt nur mit einer umfassenden IT-Infrastruktur. Gemeinsam mit den Mitausstellern und zertifizierten Gold Partnern CCF, CNS Computer Systemengineering, comNET, COPiTOS, ectacom, Innovate Systems, keepbit SOLUTION und TAP.DE werden deshalb State-of-the-Art-Methoden zum besseren Berechtigungsmanagement vorgestellt.

Im Einzelnen stehen dabei folgende Themen im Vordergrund:

Berechtigungskonzepte für Behörden und Unternehmen
Einfaches Management von Prozessen: Automatisierung von Joiner, Mover & Leaver Prozessen
Systemübergreifende Integration von Berechtigungsmanagement durch den Simple Generic Connector 8MAN Software-as-a-Service (SaaS)

Brennpunkt Datenschutz-Grundverordnung (DS-GVO)

Die am 25. Mai 2018 verpflichtend werdende Datenschutz-Grundverordnung (DS-GVO) stellt den Mittelstand vor enorme Herausforderungen und ist ebenfalls ein großes Thema bei der CeBIT. Unternehmen sind mit der Verpflichtung der Richtlinie ab 2018 u.a. dazu angehalten, weitaus früher und detaillierter darüber zu informieren, dass sie Kundendaten verarbeiten und müssen dies lückenlos dokumentieren. Es besteht bundesweit dringender Handlungsbedarf. Strafen von bis zu 4% des jährlichen weltweiten Umsatzes können verhängt werden, wenn der Verordnung nicht angemessen nachgegangen wird. 8MAN bietet in diesem Zuge umfassende Beratung an.