Home / Aktuelles & Termine / it.sec blog

AppLocker ist eine geläufige Black- bzw. Whitelisting Technologie zur Zugriffsverwaltung auf Applikationen und Dateien durch Benutzer. Mittels AppLocker ist es beispielsweise möglich, den Zugriff auf ausführbare Dateien, Skripte, Windows Installer-Dateien, DLLs (Dynamic Link Libraries), o.ä. einzuschränken. In vielen Fällen wird AppLocker auf gehärteten Windows Systemen eingesetzt, um beispielsweise das Ausführen von Standardprogrammen wie cmd.exe oder powershell.exe zu unterbinden.

 

 

Mit einem einfachen Hack lassen sich AppLocker Einschränkungen jedoch unter gewissen Voraussetzungen umgehen. Dafür ist lediglich ein installiertes .NET Framework auf dem betroffenen System erforderlich. InstallUtil ist ein Tool, das Teil des .NET Frameworks ist und Benutzern die Installation und Deinstallation von Anwendungen über die Eingabeaufforderung ermöglicht. Da InstallUtil von Microsoft signiert ist und im Windows-Ordner vorgefunden wird, ist die Ausführung unter AppLocker standardmäßig erlaubt. Genau diese Tatsache ermöglicht schließlich die Umgehung von bestimmten AppLocker-Restriktionen, wie die Installation von ausführbaren Dateien.

 

 

Beispielsweise kann mit diesem Trick eine PowerShell-Umgebung auf einem System bereitgestellt werden, auf welchem PowerShell grundsätzlich von AppLocker blockiert wird. Der Security Spezialist Casey Smith veröffentlichte hierzu C#-Code (siehe: GitHub-Projekt InstallUtil-Powershell.cs), welcher auf dem betroffenen System mit dem im .NET-Framework enthaltenen Compiler in eine ausführbare Datei kompiliert werden muss. Um eine PowerShell-Umgebung zu schaffen, wird im C#-Code die DLL System.Management.Automation eingebunden. Diese DLL enthält eine Klasse Runspaces, welche die Interpretation und Ausführung von PowerShell-Instruktionen ermöglicht. Durch Überschreiben der Installationsroutine, welche bei Ausführung von InstallUtil aufgerufen wird, erfolgt die Instantiierung eines Objekts der Klasse Runspaces. Nebenbei wird in einer Endlosschleife Benutzereingaben von der von InstallUtil geöffneten Eingabeaufforderung gelesen. Diese Eingaben werden dabei als PowerShell-Befehle vom Runspaces-Objekt interpretiert und auf dem betroffenen System ausgeführt. Sollten auf dem System .exe-Dateien generell von AppLocker blockiert werden, kann der angegebene C#-Code auch als DLL kompiliert werden (siehe: GitHub-Projekt pshell.cs).

 

 

Mit der hier vorgestellten Methode ist es einem Angreifer möglich, beliebige DLLs als auch ausführbare Dateien zu laden und auszuführen. AppLocker-Restriktionen können damit effektiv ausgehebelt werden, was unter Umständen zu einer vollständigen Kompromittierung des betroffenen Systems führen kann. Um einen derartigen Angriff abzuwenden, können beispielsweise AppLocker-Pfadregeln definiert werden. Diese Regeln definieren Pfade, von welchen ausschließlich das Laden von DLLs sowie die Ausführung von ausführbaren Dateien erlaubt ist. Es sollten dabei nur Pfade erlaubt werden, die privilegierte Zugriffsberechtigungen für einen Schreibzugriff voraussetzen. Damit soll verhindert werden, dass Standardbenutzer DLLs oder ausführbare Dateien an definierten Pfaden ablegen und in weitere Folge für Angriffe verwendet werden können.

 

 

Dipl.-Ing. Christoph Leo Mahrl

 

IT Security Consultant

Beim Verlust oder Diebstahl des Notebooks denken die Mitarbeiter oft an den finanziellen Schaden. Jedoch kann der Verlust für das Unternehmen im Hinblick auf den Datenschutz wesentlich schlimmer sein. Es gilt eine mögliche Datenpanne zu verhindern.

 

Ein verlorenes oder entwendetes Notebook ist aus datenschutzrechtlicher Sicht immer kritisch. Die auf dem Rechner gespeicherten Daten sind nicht selten solche mit Personenbezug, wie Kontaktdaten von Kollegen, oder Geschäftspartnern, aber auch von Kunden. Mit dem Laptop sind auch diese Daten verloren gegangen und befinden sich nun im Besitz des Finders oder Diebes.

 

Zu ergreifende Maßnahmen durch das Unternehmen

 

Auch wenn der Rechner passwortgeschützt ist, muss schnell gehandelt werden, da keine Kontrolle mehr über die Daten vorhanden ist. Daher ist die unverzügliche Meldung des Verlustes an den Vorgesetzen unumgänglich, um so schnell wie möglich Schutzmaßnahmen zu ergreifen. Es gilt den Zugriff auf die Festplatte und damit eine Datenpanne im Sinne des Art. 33 DSGVO zu verhindern. Die Konsequenzen des Verlusts / Diebstahls sind zu ermitteln. Möglicherweise befinden sich auf dem Rechner keine personenbezogenen Daten. Falls vorhanden, ist der/die Datenschutzbeauftragte zu beteiligen.

 

Es ist zu prüfen, ob der Verlust eine Datenpanne bedeutet; diese müsste innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden.

 

Prävention

 

Die Schutzmaßnahmen müssen schon vorher festgelegt worden sein. So kann z.B. festgelegt werden, dass dort, wo es technisch möglich ist, Zugänge gesperrt und Passwörter geändert werden. Ein Verfahren zum Löschen von Daten aus der Ferne sollte, wenn möglich, beschrieben sein. Passwortschutz durch ein starkes Passwort. Verschlüsselung der Festplatte und der Daten auf der Festplatte. Sind die Daten verschlüsselt, könnte es sich ggf. um keine meldepflichtige Datenpanne im Sinne des Art. 33 DSGVO handeln.

 

 

Michaela Dötsch

 

Rechtsanwältin

Die Datenschutzgrundverordnung (DSGVO) ist nun bald ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun droht aber das erste ernstzunehmende europäische Bußgeld für ein Krankenhaus in Portugal.

Ein Krankenhaus bei Lissabon soll insgesamt 400.000 Euro Strafe zahlen, weil u.a. zu viele Personen Zugriff auf Patientendaten hatten. Das Krankenhaus will nun gerichtlich gegen das Bußgeld vorgehen.

Obwohl aktuell nur knapp 300 Ärzte in dem Krankenhaus arbeiten, waren im System knapp 1000 aktive Benutzer als „Arzt“ registriert. Es wurde somit ein umfangreicher Zugriff auf besonders schützenswerte Gesundheitsdaten ermöglicht. Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, Art. 4 Nr. 15 DSGVO. Gerade für diese Daten müssen die Zugriffe so eng wie möglich ausgestaltet sein.

Aufgrund der Sensibilität der hier verarbeiteten Daten und des doch erheblichen Verstoßes hätte die Strafe hier auch durchaus noch höher ausfallen können.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss-US Privacy Shield Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mon Tue Wed Thu Fri Sat Sun
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31