Ein Bericht zur aktuellen und künftigen „Bedrohung“ aus dem Internet
Grundsätzlich ist es nie der Schadcode selbst, von dem die eigentliche Gefahr ausgeht, sondern immer der Mensch, der als Angreifer mit diesem Schadcode operiert. Die Frage nach den „größten“ Gefahren im Internet lässt sich dabei nicht eindeutig beantworten, zumal Jeder Gefahren anders gewichten oder priorisieren würde.
Um ein Beispiel zu geben: Für viele Menschen scheint der komplette Datenverlust durch einen Virus oder Trojaner der vermeintliche Supergau schlecht hin zu sein – zumindest auf den ersten Blick scheint es auch nichts Schlimmeres zu geben. Das relativiert sich aber schnell, wenn man den Verlust von Daten mit Szenarien vergleicht, die es ebenfalls schon gegeben hat. Etwa damit, dass Karrieren zerstört wurden, weil auf dem eigenen PC kinderpornographisches Material gefunden wurde – weil dieser PC als „Zwischenlager“ durch Dritte genutzt wurde. Oder dass ein Angreifer meine „Identität“ im Netz annimmt und in meinem Namen Geschäfte abschließt, Meinungen in Foren äußert die meinen Ruf beeinträchtigen, in kriminelle Machenschaften involviert ist usw. Ganz abgesehen davon, dass auch die missbräuchliche Verwendung meiner persönlichen und privaten Daten unangenehme Auswirkungen haben kann. Mit ein bisschen Phantasie kann sich hier jeder sehr schnell selbst seinen „persönlichen Supergau“ zusammenreimen.
Risiken verbergen sich im Prinzip hinter fast allen unter der Gruppe „Malware“ subsummierbaren Codes. Die größten Risiken bergen aber eindeutig jene, die der Trojaner-Gruppe zuzuordnen sind. Email wird fast nur mehr als Transporteur für URL´s verwendet - deren Aufruf die eigentlichen "Infektionsprozesse" aktiviert. State of the Art sind mittlerweile mehrstufige Infektionsverfahren, die im Gegensatz zu früheren Email-Outbreaks immer zielgerichteter eingesetzt werden. Erleichtert wird diese "Personalisierung" von Attacken vielfach durch unbekümmerten Umgang mit persönlichen Informationen im Netz - insbesondere auf Web 2.0 Diensten.
Dabei gibt es mannigfaltige Ausprägungen. Jene, das Zielsystem komplett zu kontrollieren, ermöglicht eine Unzahl an Angriffsmöglichkeiten - sei es nur, um die Identität des Opfers anzunehmen und Dritte damit zu schädigen oder dem Inhaber des infizierten PCs selbst direkt (z.B. durch Einkauf mit seinen Kreditkartendaten) oder indirekt (die erhaltenen Daten selbst zu verwerten) Schaden zuzufügen.
Gerade im Unternehmensbereich kann sich so was gravierend mit nachhaltig unangenehmen Konsequenzen auswirken – etwa wenn Informationen manipuliert werden, Forschungs- , Strategie- oder Finanzergebnisse in falsche Hände geraten oder schlicht und einfach irgendwelche Files zwischen-„gelagert“ werden oder Firmeninfrastruktur für weitere kriminelle Aktivitäten missbraucht wird. Die Palette an möglichen Bedrohungsbildern und der damit verbundenen Risiken ist wirklich sehr vielseitig.
Welche neuen Entwicklungen beobachten Sie bei Cyber-Kriminalität?
Das Prinzip ist einfach; „make money fast“ – dies hat zu einem prägenden Motivwandel geführt. Waren es früher Motive wie Neugier, „me-too“, Langeweile oder Geltungsdrang, so hat sich mittlerweile eine effektive Cybercrime-Community gebildet, die sich auch erstaunlich „arbeitsteilig“ organisiert hat. Neben Daten und Informationen werden ganze Infrastrukturen (Bots, WebServer, Mailserver bis hin zu virtuellen ISPs), Software (Trojaner-Codes, Hackertools) und „Dienstleistungen“ (Spamversand, DDOS etc.) angeboten. Firmen – etwa das Russian Business Network (RBN) – bieten „Komplettpakete inklusive „Schutz“ vor anlaufenden Gegenmaßnahmen allfällig Betroffener“ an.
Wirft man einen genaueren Blick auf die Infrastrukturen, die etwa vom RBN geschaffen wurden, erkennt man sehr schnell, dass es sich dabei um ein florierendes Geschäft handeln muss. Mehrere tausend Server werden betrieben und mehrere tausend Domains werden von RBN kontrolliert. Einer modernen Hydra gleich bringt es wenig, eine einzelne Site oder einen einzelnen Server oder gar eine Domain zu sperren – da statt dessen sofort 5 neue online gehen.
Die Geschäftsphilosophie ist dabei erstaunlich; so sehen sich die Macher des RBN als Pendant zur Waffenindustrie, da sie selbst keinen Angriff durchführen – sondern eben nur die „Waffen“ für Angriffe liefern bzw. bereitstellen. Das und andere Faktoren haben dazu geführt, dass wir heute 35.000 neue unique Malware täglich registrieren., Hält dieser Trend weiter an – und nichts spricht derzeit dagegen - werden wir heuer noch mit rund 10 Millionen "Neuerscheinungen" beglückt.
Eine unangenehme Konsequenz dieser Entwicklung ist, dass viele Attacken nur mehr teilweise oder gar nicht registriert werden und den potentiellen Angreifern damit „Erfolge“ bescheren, die wiederum zu weiteren Angriffen führen. Ein Kreislauf, der sich immer schneller zu drehen beginnt und dessen Konsequenzen immer unangenehmer werden.
Diese Masse an neuen Mal-Codes macht es unmöglich, noch ein „big-picture“ zu zeichnen - also ein Lagebild der Gesamtsituation zu erstellen - und zu erkennen, welche Trojaner-Systeme miteinander interagieren und mit welchen Code-Teilen (Infectoren, Downloader oder Aktionsmodulen) sie zusammenarbeiten. So darf es weiters auch nicht verwundern, wenn die Qualität der Attacken um ein Vielfaches gestiegen ist. Neben professionellerer Infrastruktur zeichnen sich die Attacken des vergangen Jahres auch durch zunehmende Komplexität aus und sind selbst für Spezialisten nicht immer auf den ersten Blick erkennbar bzw. nur zu einem Teil nachvollziehbar.
Was sind die jüngsten Fortschritte bei der Internet Security Technologie? Mit welchen Technologien wappnen sie sich am besten dagegen?
Im Wesentlichen basiert das „Katz-und-Maus-Spiel“ der Angreifer und „Verteidiger“ auf einem „Aktions-Reaktionsprinzip“ – jeder neuen Attacke wird mit neuen Sicherheitsmechanismen begegnet, die wiederum neue Attacken nach sich ziehen die in der Lage sind, die getroffenen Sicherheitsmaßnahmen zu unterlaufen. Revolutionäres hat sich im Bereich der Sicherheitslösungen 2007/08 nichts getan – jedoch lassen sich mehrere Trends ableiten. Neben technologischen Neuerungen, vor allem im Bereich der Umsetzung von Virenschutz- und Securitymaßnahmen, sind aus Kostengründen auch UTM-Lösungen (Unified Thread Management) stark im Kommen. Also „all-in-one“ Systeme die neben Firewall, IDS, Virenschutz und Co. auch entsprechende „policy enforcement“ Lösungen beinhalten.
Auf der anderen Seite wird aber auch immer mehr in den Bereich „managed security services“ investiert. Dabei werden maßgebliche Sicherheitskomponenten an einen Partner (etwa den ISP) „outgesourced“.
Auf technologischer Basis rückt das „behavoural blocking“ als „Hoffnungsträger“ immer mehr in den Vordergrund, auch wenn kritische Stimmen zurecht von altem Wein in neuen Schläuchen sprechen. Es handelt sich hierbei um das Erkennen von Viren auf Grund deren Verhaltensweisen. Ähnliches wurde schon mit heuristischen Simulationsmethoden versucht. Neu ist jetzt, dass nicht nur der Virencode selbst „bewertet“ wird, sondern auch eine „Correlation“ dieser Bewertung mit Systemaktivitäten erfolgt.
Mit welchen Bedrohungen werden Unternehmen in Zukunft verstärkt rechnen müssen?
Es ist schon heute eine klare „Spezialisierung“ einzelner Angriffbilder erkennbar. Attacken mit lokaler Ausprägung werden zur Regel und sind nicht mehr die Ausnahme. Angriffe, die sich gezielt gegen Einzelne richten sind ungleich schwieriger zu erkennen und abzuwehren als der „high-outbreak“, der neben Medieninteresse natürlich auch eine Vielzahl an Security-Experten auf den Plan ruft. Vereinfacht lässt sich sagen, dass sich die Anzahl der Risiken für Unternehmen vervielfachen wird.
Neuartige Bedrohungen werden einen veränderten Handlungsbedarf in elektronischen Geschäftsmodellen erfordern. Vor allem dann, wenn die Angriffe dazu führen, dass das Vertrauen der Anwender zu sinken beginnt und dadurch der Glaube an diese Modelle abnimmt.
Die Optimierung von Abläufen, „Speed to Market“ oder „Just in Time“ - um nur Schlagworte zu nennen - führt zu einer höheren Anfälligkeit dieser Geschäftsprozesse. Einzelereignisse haben dabei unter Umständen weitreichende Kettenreaktionen zur Folge, die im Kontext der vernetzten Wirtschaft schwer überschaubar sind. (Wie etwa sinkendes Vertrauen der Anwender in Online- Shopping etc.)
Warum reichen Gratis-Virenprogramme aus dem Internet nicht aus?
Es ist nicht gesagt, dass OpenSource oder Gratis-Lösungen nicht auch einen sehr guten Schutz bieten können – sie setzen allerdings zumeist voraus, dass der Nutzer sich auch tatsächlich mit seiner Security-Lösung auseinandersetzt und sich im Klaren ist, dass es keine Rund-um-Sorglos-Sicherspakete gibt, wie vieler Orts angepriesen – vor allem dann nicht, wenn damit keine Kosten verbunden sind. Fakt ist: Sicherheit kostet. Egal ob es sich dabei um Zeit, Awareness, Know-how, sicherheitsbewusstes Verhalten, Sicherheitsüberlegungen und –strategien handelt, oder eben um finanzielle Aufwände die letztendlich in Hard- und Software zu tätigen sind.
Auch hier gilt: You got what you pay for. Niemand würde auf die Idee kommen, sich eine einbruchshemmende Tür um 19 Euro zu kaufen. Weil jedem bewusst ist, dass sich dahinter vermutlich kein wirklich effektiver Einbruchsschutz verbirgt. Beim Gratisvirenschutz ist es zwar nicht ganz so extrem, da damit sicher auch gute „Schutzwirkungen“ erreicht werden können. Aber Leistungen, die darüber hinaus gehen – etwa Hilfestellung und Support oder Dienste den vollen Leistungsumfang der kostenpflichtigen Lösungen betreffend - können nicht verlangt werden. Dazu kommt, dass nicht nur Virendatenbanken, sondern auch „binary-updates“ automatisiert eingespielt werden müssen und bei vielen Gratisvarianten ist dies nicht mehr automatisch der Fall.
Virenschutz allein ist dabei natürlich schon besser als gar kein Schutz – gerade für Unternehmen braucht es aber wesentlich mehr. Neben dem Problembewusstsein und entsprechenden Ressourcen für die Umsetzung von Sicherheitskonzepten, rückt „Sicherheit“ immer mehr in einen gesamtheitlichen Blickpunkt.
Wie schützt man sich effektiv? Welche Grundausstattung empfehlen Sie Jungunternehmern zum Schutz Ihres Computers?
Für Unternehmen gibt es eigentlich keine Patentlösungen, keine Rezeptur „á la sécurité de la Chef”. Die verwendeten Technologien sind dabei eigentlich nur Mittel zum Zweck. Immer wesentlicher werden Verhaltensregeln (policies) und Problembewusstsein (awareness). Letztere steht aber in vielen Fällen fast diametral zu Anforderungen, die „leistungsfähige“ Sicherheitssysteme erfordern.
Optional bietet sich natürlich auch an, die „ausgetrampelten“ Pfade zu verlassen und mit alternativen Systemen weniger „Angriffsfläche“ zu bieten. Ansonsten gibt es schon sehr „leistungsfähige“ Firewall- und Virenschutzsysteme – neben den schon erwähnte UTM Lösungen vor allem sehr starke dedizierte Systeme, die allerdings auch einen hohen Spezialisierungsgrad in der „sicheren“ Anwendung erfordern ApplicationsLayer-Security basiert auf kompletten Authenfizierungs- und Rechtesystemen und ermöglicht natürlich ausgesprochen restriktive Handhabung von Sicherheitslösungen. Vorausgesetzt man ist in der Lage, das „pouvoir“ dieser Systeme auch voll einzusetzen und ihre Effektivität nicht am Altar der „Usability“, „weil´s der Chef/das Marketing so will“, oder anderer Kompromisse zu opfern.
Absolut auf dem Vormarsch sind „Managed Security Services“. Sie bieten den großen Vorteil, dass der mittlerweile doch sehr ressourcenintensive Bereich “Security” zumindest in operativen Bereichen auf einen Service-Partner übertragen wird. Etwa ein Spamfilter, der schon beim Provider dafür sorgt, dass meine Mailserver die Masse der Spammails gar nicht mehr zu Gesicht bekommt oder mein Surfen im Netz schon ungleich sicherer wird, weil ich über einen zentralen Proxy - etwa bei meinem Mobilfunker - geroutet werde und Trojaner und Viren zum überwiegenden Teil schon zentral abgefangen werden.
Was die Sicherheitsanforderungen anlangt, gibt es eigentlich kaum Unterschiede, ob ich ein Jungunternehmen bin oder eines, dass schon arrivierter ist, Ich hab vielleicht nur noch den Vorteil noch nicht so im Blickpunkt des Interesses möglicher Angreifer zu stehen und die Chance in meiner Unternehmensplanung schon von Anfang an auf die Erfordernisse moderner Security-Policies Rücksicht zu nehmen.
Ist mobiles Internet anfälliger für IT-Kriminalität? Wie schützt man sich dagegen?
Nein – ob ich Dienste aus dem Netz über eine fixe Leitung (Kabel oder Festnetz) nutze oder ob ich selbige über mobiles Surfen beziehe, ist für den Angreifer oder meine Anforderung an Sicherheit völlig egal. Es ist nur ein anderer Transport- bzw. Kommunikationsweg, der mich dazu zwingt, ihn in meinen Sicherheitsüberlegungen ebenfalls zu berücksichtigen.
Allerdings gibt es auch im Bereich des „mobilen Internets“ tolle Sicherheitslösungen, etwa das A1 Internetsecurity Paket der mobilkom austria, das im Vergleich zu anderen Lösungen die Chance bietet, Traffic schon in einem Security-Center der mobilkom auf Viren und Trojaner überprüfen zu lassen. Und das bietet schon den Vorteil, dass ich damit auf geballtes Abwehr-Knowhow zurückgreifen kann und mich nicht mehr selbst um eine vergleichbare Sicherheitslösung kümmern muss, die ich vermutlich auch nicht mit der selben Effektivität betreiben könnte.
Lässt sich der Schaden, den Cyber-Kriminalität verursacht, beziffern? Wie hoch ist er?
Nein, der Schaden der durch Cyber-Kriminalität verursacht wird lässt sich in Wahrheit nicht seriös beziffern. Zahlen die in diesem Zusammenhang genannt werden, basieren auf Schätzungen und variieren je nach Institut. Die meisten Schätzungen gehen von 150 Mrd US$ aus. Das ist eine beachtliche Summe, die auch nachvollziehbarer macht, warum es so viele Attacken gibt.
Inwieweit sind Dienst und Plattform des Web 2.0 betroffen?
Mit Web.2.0 wurden das große „Socialising“ Zeitalter eingeläutet. Nicht dass die Leute nicht auch schon früher mitsammen gesprochen hätten – nur jetzt tun sie´s halt für alle anderen auch zum Nachlesen. Wobei die eigentliche Intention von Flickr, youTube, mySpace, Facebook und Co. ja eine wirklich geniale ist.
Mit Freunden und Familie in Verbindung bleiben, Fotos und Videos tauschen und freigeben, ehemalige Klassenkameraden, Freunde, Mitarbeiter wiederfinden, über Interessen und Hobbies diskutieren, Parties und andere Veranstaltungen planen; neue Freunde finden und und und. Diese Features bescheren den meisten 2.0 Applikationen enorme Zuwachsraten.
Rund 52 Millionen Menschen nutzen Facebook und die Anzahl der Anwender verdreifacht sich pro Jahr. Gar 200 Millionen Menschen sollen schon MySpace für ihren individuellen Auftritt im Web 2.0. nutzen. Aber nicht nur zum Privatvergnügen – auch Business-Communities wie XING, mit immerhin noch 4,8 Millionen Nutzern, boomen.
Soviel „Erfolg“ zieht unvermeidbar auch Zeitgenossen an, die aus der Gutgläubigkeit vieler Anwender ihren eigenen Nutzen ziehen, wie Analysen bei Ikarus ergaben. mySpace, XING und Co. sind die idealen „Research-“, „Manipulations-“ und „Attack-“ Plattformen für Angreifer. Auf keiner Plattform können Informationen so leicht „abgestaubt“ werden wie hier. So einfach wie im Web 2.0 lassen sich nirgendwo persönliche Daten verknüpfen und komplette „Profile“ von Menschen erstellen. So ermöglicht etwa die Standardfreigabe auf XING unkompliziert die Netzwerke und Aktivitäten von Anwender in und um jene nachzuvollziehen. Aber auch immer mehr Netzwerk-Visualisierungs Tools erleichtern den zielgerichteten Angriff. So ist es selbst weniger versierten Angreifern möglich, sich automatische "Netzwerk- Diagramme" über potentielle "Opfer" erstellen zu lassen.
Die vermeintliche „Vertrauensstellung“ führt auch dazu, dass das Verhalten von potentiellen Opfern „gesteuert“ werden kann bzw "vorhersehbar" wird – was weiter führende Attacken ungleich erleichtert und auch die Security Policies von Unternehmen massiv zu unterlaufen vermag. Web 2.0 Plattformen sind die ideale Angriffsplattform für eine Vielzahl von Attacken - auch gegen Unternehmen, in jenen die Nutzer von youTube&Co. ihre Arbeit verrichten. So lassen sich in vielen Fällen Firewalls "tunneln" und ContentSecurity Lösungen am Gateway unterlaufen.
Die Fülle an Daten, die freiwillig online gestellt werden wirkt sich auch auf die Qualität von Spam aus. Die Option eMail-Adress Bücher und ganze PSTs online zu stellen und mit „Freunden“ abzugleichen und zu verlinken, trägt nicht nur unwesentlich dazu bei, dass Spammer reale eMail Adressen einsammeln können sondern in Verbindung mit anderen Daten auch, dass Spam immer „zielgerichteter“ zum Einsatz kommt und begünstigt zudem "Spear-Phishing" und "targeted Spam".
Einmal völlig davon abgesehen, dass vielen – vor allem jungen Anwendern - kaum bewusst ist, welche Konsequenzen ein informationsreiches „Profil“ auf einer jener Plattformen später einmal haben kann - so "schick" es heute auch erscheinen mag.
Wie schade, dass ein so genialer Gedanke so zur Falle werden kann…
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER