security report - internetworking.ch

Transcription

2015
SECURITY
REPORT
WE SECURE THE FUTURE
KONTAKTIEREN SIE UNS:
Check Point Software Technologies
Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos
D: +49 (0)811 99821 0, [email protected]
Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien
A: +43-1-99460-6701, www.checkpoint.com
Schweiz: Zürcherstr. 59, 8953 Dietikon
CH: +41-44-316-64-41, www.checkpoint.com
CHECK POINT
2015 SECURITY REPORT
01
EINFÜHRUNG UND METHODOLOGIE 04
02 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 10
03 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 18
04 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 32
05 APPLIKATIONEN: DORT, WO ES WEH TUT 40
06 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 48
07
FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ
56
REFERENZEN 60
CHECK POINT - 2015 SECURITY REPORT | 33
01
EINFÜHRUNG
UND METHODOLOGIE
„Wenn du etwas zum ersten Mal tust, ist es
Wissenschaft. Tust du es zum zweiten Mal,
ist es Entwicklung.“ 1
–Clifford Stoll, Astronom, Autor und Pionier in der digitalen Forensik
4 | CHECK POINT - 2015 SECURITY REPORT
DIE EVOLUTION VON MALWARE
VOR 25 JAHREN
Die Erfindung der
Firewall
VOR 20 JAHREN
Die Erfindung von
Stateful Inspection
VOR 15 JAHREN
VOR 10 JAHREN
Verbreitete Nutzung URL-Filtering,
von Anti-Virus,
UTM
VPN, IPS
VOR 5 JAHREN
NGFW
JETZT
Threat Intelligence,
Threat Prevention,
Mobile Security
>
1988
Morris-Wurm
1994
Green Card-Lotterie
1998
2003
Melissa
Gründung
von
Anonymus
2000
I Love You
2006
WikiLeaks
2010
Dragonfly
2011
Gestohlene
Authentifizierungsinformation
Internet der
Dinge, wohin
man schaut
Bitcoin
2013
2007
Trojaner Zeus
2020
2014
DDoSAttacken:
StuxnetSCADA
2017
Führerloses
Auto gehackt?
2012
Malware Flame
In der Wissenschaft geht es um Entdeckung – das
3. Mobile Geräte –Smartphones, Fitbits, iPads und
Studieren von Ursache und Wirkung. Wurde etwas
andere mobile Geräte sind vielleicht keine Tools per
einmal verstanden und ist berechenbar, dann
se, doch sie können geknackt werden und Hackern
entsteht ein Prozess – wir wollen es nachbilden
die Möglichkeit geben, in Unternehmensnetze
und weiter entwickeln. Genauso verhält es sich in
einzudringen.
der Welt der Internetgefahren. Cyberkriminelle
studieren die Strukturen und denken darüber nach,
In 2014 beobachtete Check Point eine signifikante
wie sie sich bestimmte Faktoren für die gewünschten
Ausnutzung von Schwachstellen sowohl in Open
Ergebnisse zunutze machen könnten.
Source-Software, als auch in gängigen Applikationen,
Haben sie
einmal ein berechenbares Modell, machen sie sich
wie zum Beispiel von Adobe und Microsoft.
an die Entwicklung um das, was sie konstruiert
haben, mit dem größtmöglichen Effekt zum Einsatz
Bekannte Malware blieb stabil, war weiterhin
zu bringen.
allgegenwärtig und verursachte Schäden. Doch mit der
Erstellung von Signaturen, die dabei hilft, die bekannte
Was sind ihre Tools?
Schadsoftware bei weiteren Einsatzversuchen zu
1. Malware – schadhafter Software-Code, den Hacker
identifizieren, filtern und blockieren, verlagerte
entwickeln, um Störungen herbeizuführen oder
sich der Fokus unter den Hackern auf etwas, das
Daten zu stehlen. Wird die Malware erkannt, werden
einfacher und lohnender war: das Auslösen neuer
Signaturen erstellt die dabei helfen, sie bei weiteren
Attacken mit unbekannter Malware, indem sie die
Angriffsversuchen zu identifizieren, zu filtern und zu
schon vorhandene Schadsoftware nur geringfügig
blockieren. Spätestens jetzt beginnen die Angreifer
modifizierten und damit ihre Entdeckung unmöglich
jedoch bereits, am Code herumzubasteln, um neue,
machten. Es ist gerade dieser Bereich – unbekannte
unbekannte Malware zu erstellen.
Malware – der in 2014 geradezu explodierte und
2. Schwachstellen – Defekte in der Software oder
besondere Aufmerksamkeit auf sich zog. In noch
den Betriebssystemen, die in praktisch allen
nie da gewesener Häufigkeit lanciert, verfolgte neue
Anwendungen vorhanden sind, und die Hacker
Malware offensichtlich ein einziges Ziel: das Stehlen
aufzuspüren und auszunutzen wissen.
von Daten.
EINFÜHRUNG UND METHODOLOGIE | 55
EIN DURCHSCHNITTLICHER TAG
IN EINEM UNTERNEHMEN
ALLE 24 SEKUNDEN
greift ein Host auf eine schadhafte
Website zu
ALLE 34 SEKUNDEN
wird eine unbekannte Malware
heruntergeladen
JEDE MINUTE
kommuniziert ein Bot
mit seinem
Command- und Control- Center
ALLE 5 MINUTEN
wird eine hochriskante
Applikation genutzt
ALLE 6 MINUTEN
wird eine bekannte Malware
heruntergeladen
ALLE 36 MINUTEN
werden sensitive Daten aus
dem Unternehmen heraus
geschickt
1.1
6 | EINFÜHRUNG UND METHODOLOGIE
QUELLE: Check Point Software Technologies
„Die ersten Computerviren erreichten uns in den frühen Achtzigern, und im
Grunde befinden wir uns seither in einem Rüstungswettlauf mit Cyberwaffen. Wir
entwickeln neue Verteidigungsstrategien, woraufhin Hacker und Kriminelle neue
Wege finden, sie zu durchbrechen….wir müssen genauso schnell und flexibel und
geschickt in der konstanten Entwicklung unserer Abwehrmaßnahmen sein.“2
-Präsident Barack Obama
Was das Problem weiter verschärft: Kulturelle
Mit der immensen Zunahme an Datenpannen und
Veränderungen.
und
gezielten Angriffen auf Unternehmen mit hohem
andere neue Technologien haben die Art und
Mobilität,
Virtualisierung
Bekanntheitsgrad schickt uns das Jahr 2014 eine
Weise verändert, wie wir arbeiten. Entsprechend
deutliche Botschaft: Ausnahmslos jeder ist in Gefahr.
haben sich die Unternehmen im Hinblick auf ihre
Und wenn sich jetzt die führenden Weltpolitiker
Produktivität und Effizienz beeilt, diese Tools
mit dem Thema Cyber-Security an ihre Nationen
zu adaptieren. Dabei haben sie jedoch kaum
wenden, scheint klar, dass die Cyberkriminalität
die Auswirkungen auf die Security bedacht. Sie
eine neue, kritische Schwelle erreicht hat.
fokussieren auf Stabilität und unterbrechungsfreie
Geschäftsabläufe und erkennen nicht, dass besser
gesicherte Betriebsumgebungen auch bessere
Betriebslaufzeiten haben.
METHODOLOGIE
Check Point sammelte in 2014 weltweit Event-Daten
2. Events, die durch die Check Point ThreatCloud®
aus drei verschiedenen Quellen, um Security-Trends
aufgedeckt wurden, die mit den Security Gateways
zu beleuchten und Probleme zu identifizieren, die
von mehr als 16.000 Organisationen verbunden ist.
sich zu ernsten Bedrohungen entwickeln oder
3. Mehr als 3.000 Gateways, die mit unseren Threat
möglicherweise auch abschwächen.
Cloud Emulation-Services verbunden sind.
Die Quellen der Check PointUntersuchung:
Was haben wir uns angesehen?
1. Sicherheitsvorfälle, die während mehr als 1.300
Bekannte Malware
Security Check-Ups bei Unternehmen entdeckt
Intrusion Prevention
wurden. Die Informationen stammten von global
Hochriskante Applikationen
verteilten Unternehmen aus unterschiedlichsten
Fälle von Datenverlust
3
Unbekannte Malware
Branchen.
Fast jede Organisation, die wir
untersucht haben, war Angriffen ausgesetzt, die durch
hochriskante Applikationen
verursacht wurden.
81%
der untersuchten Organisationen
hatten einen Fall von
Datenverlust erfahren.
DIE CHECK POINT-STUDIE
UMFASST SÄMTLICHE BRANCHEN
46
Ein Blick auf die an dieser Studie teilnehmenden,
vertikalen Märkte zeigt, dass der Bereich
Fertigung mit 46 Prozent deutlich
überwiegt, gefolgt von den Segmenten
Finanzen, Öffentliche Hand, Einzelhandel,
Großhandel, Telekommunikation und
PROZENT DER ORGANISATIONEN NACH BRANCHE
Beratung.
17
15
12
4
FERTIGUNG
FINANZEN ÖFFENTLICHE
HAND
3
EINZEL- TELEKOMMU- BERATUNG
UND
NIKATION
GROSSHANDEL
1.2
88 | EINFÜHRUNG UND METHODOLOGIE
2
ANDERE
Security-Statistiken in 2014
• Neue Malware nahm um 71% zu.4
• Pro Stunde erfolgten 106 Downloads von unbekannter Malware.
• 86% der Organisationen griffen auf schadhafte Webseiten zu.
• 83% der Organisationen hatten bestehende Bot-Infektionen.
• 42% der Unternehmen verzeichneten Vorfälle mit mobiler
Sicherheit, deren Behebung mehr als 250.000 US-Dollar kostete.
• 96% der Organisationen nutzten mindestens eine
hochriskante Applikation.
• 81% der Organisationen erlitten einen Fall von Datenverlust.
• Der Verlust von geheimen, geschützten Informationen nahm im Laufe der letzten drei Jahre um 71% zu.
Auf den folgenden Seiten legt Check Point die
Business-Verantwortliche darin zu unterstützen,
Erkenntnisse aus unserer detaillierten Analyse von
die Bedrohungslandschaft zu verstehen und sich in
Security-Gefahren und Trends offen, die in 2014
die stärkste Security-Position zu bringen, die
erkennbar wurden. Es ist unser Ziel, Security- und
möglich ist.
„Hacker nehmen die Realitäten dieser Welt nicht als
selbstverständlich an; was ihnen nicht gefällt, das
versuchen sie zu zerstören und umzubauen. Sie wollen
der Welt ein Schnippchen schlagen.“ 5
-Sarah Lacy, Journalistin und Autorin
9
02
DIE GROSSE UNBEKANNTE
„Es gibt immer das Risiko der nicht
erkannten Unbekannten.” 6
–Nate Silver, Statistiker, Journalist
10
| CHECK POINT AND
- 2015
SECURITY REPORT
1010
| INTRODUCTION
METHODOLOGY
106
mal in jeder Stunde ist eine
Organisation von unbekannter
Malware betroffen.
Unbekannte Malware ist Schadsoftware, die in der
Organisationen mindestens eine mit unbekannter
Regel von Antivirus-Systemen nicht erkannt bzw.
Malware infizierte Datei herunter geladen hatten –
gekannt wird. Jede neue Variante unbekannter
ein Anstieg um fast 25 Prozent, im Vergleich zum
Malware – und handelt es sich um eine noch so
Vorjahr.
kleine Modifizierung – ist potentiell dazu in der
Lage, die meisten gängigen Antivirus-Lösungen und
Schlimmer noch ist das Tempo, in dem sie auftritt.
virtuellen Sandbox-Vorrichtungen zu umgehen.
Die Check Point-Untersuchung belegte, dass pro
Stunde 106 Downloads unbekannter Malware
Zwar war schon im vergangenen Jahr eine wahre
erfolgten, Tag für Tag. Diese atemberaubende Zahl
Explosion an unbekannter Malware zu beobachten,
ist 48 Mal größer als die vergleichsweise kaum
doch dies war – aus heutiger Sicht – nur die Spitze
nennenswerten 2,2 Downloads pro Stunde im
des Eisbergs. Derzeit ist die Frequenz von Zero-Day-
vergangenen Jahr.
Attacken und unbekannter Malware geradezu massiv.
AV-Test zufolge, einem unabhängigen Service-Provider
Umso unglaublicher, dass nur ein Prozent der
für Antivirus-Forschung, nahm neue Malware von
Unternehmen eine Technologie einsetzen, um Zero-
2013 auf 2014 um 71 Prozent von 83 Millionen auf
Day-Attacken zu verhindern. Und nur ein Zehntel
142 Millionen zu. Allein in den vergangenen beiden
der Organisationen nehmen Threat Intelligence-
Jahren wurde mehr Malware aufgedeckt, als in den
Services in Anspruch. Von der gesamten, herunter
vorausgegangenen 10 Jahren zusammen.
geladenen Malware handelte es sich bei 52 Prozent
der infizierten Dateien um PDFs, nur 3 Prozent
Check Point analysierte in 2014 mehr als 3.000
waren Office-Files.
Gateways und stellte fest, dass 41 Prozent der
11
UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 11
142M
2014
83M
2013
34M
142M
NEUE MALWARE IN 2014 UND EIN
ZUWACHS VON 71% GEGENÜBER 2013
2012
18.5M
2011
18M
2010
12M
2.1
2009
Quelle: AV-Test
Wie schlimm ist es wirklich?
Sehr schlimm. Ohne eine bekannte Malware-
welcher Erfolgsquote die Malware geblockt werden
Signatur können die typischen, präventiven Tools
konnte. Um die bekannte in unbekannte Malware
ihre Aufgabe nicht erfüllen. Dank ausgeklügelter
zu verwandeln, hingen die Forscher einfach eine
Verschleierungstools, mit deren Hilfe Attacken selbst
Null ans Ende jeder PDF- und DOC-Datei (z.B.
fortschrittlichste Antimalware-Lösungen umgehen
„echo‘0000‘>>1.doc.). Bei den Executable-Dateien
können, agiert neue Malware schnell und heimlich.
wurde je eine nicht genutzte Kennsatzsektion
Für Hacker ist die Arbeit mit unbekannter Malware
modifiziert. Im Anschluss wurde jede Datei geöffnet
zum Werkzeug erster Wahl geworden, denn es
und ausgeführt um sicherzustellen, dass ihr
ist einfach und die Variation bereits bestehender
ursprüngliches Verhalten unverändert war. Auf den
Malware ist sehr effizient. Es ist in der Tat so einfach,
Punkt gebracht – indem man bereits vorhandene
dass selbst technisch Unerfahrene zum „Täter“
Malware nimmt und nur leicht modifiziert, entsteht
werden könnten.
ganz einfach und schnell etwas Neues, das nicht
erkannt wird.
Um dies zu verdeutlichen, nahm das Check PointAnalystenteam 300 bekannte Malware-Programme7,
Mit dieser simplen Technik konnten die Forscher
herunter geladen aus einer Mustersammlung
neue und unbekannte Varianten (nachfolgend die
allgemein bekannter, schadhafter PDF-, DOC- und
„Unbekannten 300“) aus bestehender Malware
ausführbarer Dateien aus Googles „VirusTotal“-
erstellen.
Datenbank. Das Ziel: zu testen, wie schnell und mit
12 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE
12
MD5 für
originalmalware.doc
fd96b96bd956a397fbb1150f3
BEKANNTE MALWARE
echo '0000' >> originalmalware.doc
MD5 für modifizierte
83aac4393f17f1805111beaa76a4012e
UNBEKANNTE MALWARE
Diese bislang noch nicht in Erscheinung getretenen
Jahrelang war diese Kampagne aktiv, hat weltweit
Dateien testeten die Fähigkeit von Security-
ihre Ziele attackiert und Hackern ermöglicht, die
Systemen, unbekannte Malware zu entdecken.
Aktivitäten ihrer Opfer zu beobachten und sensitive
Informationen zu stehlen.
Es wurden dann verdächtige Dateien auf einen Host
hinter der Security-Vorrichtung heruntergeladen.
Die Wahl der Ziele fällt in erster Linie auf die
Damit wurde der versehentliche Download von
Verteidigungsindustrie, Telekommunikations- und
Malware von einer schadhaften Website durch einen
Medienunternehmen sowie Bildungseinrichtungen.
Mitarbeiter simuliert.
Der Grund hierfür ist, so glauben wir, dass deren
Server
öffentlich
exponiert
und
mit
einfach
Würde sich jetzt im Falle der „Unbekannten 300“
zugänglichen Gateways zu privaten und besser
die Datei so verhalten, wie erwartet, dann würde
gesicherten, internen Netzwerken ausgestattet
den Daten der Zugriff auf das gesicherte Netzwerk
sind. Und da sie einem allgemeinen Geschäftszweck
gewährt. Falls nicht, würde die Threat Emulation-
dienen, wird nicht selten ihre Sicherheit der
Technologie eine Signatur für den inspizierten
Produktivität geopfert, was sie zu einem einfachen
Dateityp erstellen und das Blockieren der Datei
Ziel für Angreifer macht.
sicherstellen. Anschließend würde die Signatur
an alle Security Gateways kommuniziert, womit
Der Angriff ist auch deshalb in der Lage, „unterm
die unbekannte Malware erkennbar bzw. bekannt
Radar“ zu bleiben, weil er seine Aktionen auf
würde.
das Erreichen spezieller Ziele limitiert und so
das Risiko seiner Entdeckung minimiert. Eine
Erst kürzlich deckte Check Point einen Angriff auf,
typische Volatile Cedar-Attacke startet mit einem
der seinen Ursprung bereits in 2012 hatte, seither
Scan des Zielservers. Wird dort eine verwertbare
aber immer wieder zu neueren Versionen mutierte.
Schwachstelle entdeckt, wird dem Server ein Web-
Die „Volatile Cedar“ genannte Attacke nutzt eine
Shell-Code injiziert. Die Web-Shell wird dann als
individuell angefertigte Malware mit dem Namen
Mittel genutzt, über das der Explosive-Trojaner
„Explosive“.
in den Zielserver eingeschleust wird. Einmal
41%
der Organisationen haben wenigstens
eine, mit unbekannter Malware
infizierte Datei herunter geladen.
13
52%
der mit unbekannter Malware
infizierten Dateien sind PDFs.
dort angekommen, kann nun der Angreifer über
die nicht einmal den Herstellern bekannt sind. Im
eine ganze Schlachtordnung von Command &
Vergleich zu den Kosten für einen Satz unbekannter
Control-Servern seine Kommandos an alle Ziele
Malware, ist Zero-Day-Malware für die Hacker
schicken. Die Command-Liste umfasst sämtliche
weitaus teurer. Wahrscheinlich ist das allein der
Funktionalitäten, die der Angreifer benötigt, um die
Grund, warum Zero-Day-Attacken offensichtlich
Kontrolle zu erhalten und Informationen aus den
selektiver eingesetzt werden.
Servern zu ziehen, wie z.B. Key-Logging, ClipboardLogging, Screenshots und Run Commands, also
Eine der bemerkenswertesten Zero-Day-Attacken
Ausführbefehle.
in 2014 wurde „Sandworm“ genannt, in Anlehnung
in die Kreaturen aus der Science Fiction-Serie
Hat der Hacker dann die Kontrolle über diese
„Dune“. Mit einem gezielten Angriff auf die NATO,
Server, kann er sie als Dreh- und Angelpunkt
die Regierung der Ukraine und einige andere,
nutzen, um weitere, tiefer im internen Netzwerk
politische Ziele, nutzten russische Hacker die
angesiedelte Ziele zu erforschen, zu identifizieren
CVE-2014-4114-Schwachstelle – den OLE Package
und anzugreifen.
Manager in Microsoft Windows und Windows Server.
Der Vektor: schadhafte PowerPoint-Dateien, die
Noch schlimmer als unbekannte Malware ist Zero-
als Email-Anhänge gesendet wurden. Klickte der
Day-Malware. Was ist der Unterschied? Unbekannte
User auf das Attachment wurde ein Exploit aktiviert,
Malware baut auf bekannter Malware auf. Zero-
der bösartigen Code installierte und damit eine
Day-Malware wird von Grund auf neu entwickelt
Hintertür ins System öffnete. Im Ergebnis konnten
um Software-Schwachstellen ausfindig zu machen,
die Angreifer dann Kommandos ausführen.
SIE WOLLEN SICHER WEITERENTWICKELN:
WEITER ENTWICKELTE MALWARE – WEITER
ENTWICKELTE TECHNOLOGIE
In den Anfängen versuchte man die Erfolgsquoten
wurde erkennbar, ob die Datei etwas auslösen
gegen Malware zu verbessern, indem verdächtige
würde, das von dem erwarteten Verhalten abweicht.
Dateien in einer Sandbox außerhalb des Netzwerks
Das Problem: Cyberkriminelle wissen, dass diese
ausgeführt wurden. Entscheidend hierfür war
Schutzmaßnahmen in einem gewissen Prozentteil
die Nachbildung eines Standardbetriebssystems
der Netzwerke vorhanden sind und implementieren
in einer separierten Umgebung, die gut zu
einfache Umgehungstechniken.
überwachen war. Anschließend wurden die Dateien
unter Einsatz von Sandbox-Tools auf verschiedene
So kann eine Malware beispielsweise schlummern,
Arten aktiviert. So wurde simuliert, dass das File
bis ganz bestimmte Konditionen eintreffen, etwa
tatsächlich von einem User geöffnet wird, und es
das Öffnen einer Datei an einem Dienstag oder
14 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE
14
CHECK POINT SCHLIESST DIE SICHERHEITSLÜCKEN
IPS, ANTIVIRUS &
ANTI-BOT
BETRIEBSSYSTEMUND CPU-EBENE
ZERO-DAY-SCHUTZ
THREAT EXTRACTION
FÄNGT BEKANNTE ODER ALTE MALWARE AB
Von bekannter Malware werden 71 von 1000
nicht erfasst
ERKENNT NEUE ODER UNBEKANNTE MALWARE
Sowohl mit Betriebssystem- als auch mit CPU-Level-Schutz
VOLLSTÄNDIGE BESEITIGUNG VON GEFAHREN
Rekonstruiert und stellt Malware-freie
Dokumente zur Verfügung
2.2
ein rechter Klick mit der Maustaste. Deshalb ist es
Entwickeln wir diesen Ansatz noch einen Schritt
so wichtig, sich konstant mit Innovation und den
weiter und kombinieren tiefgreifende Sandbox-
jüngsten Security-Technologien zu befassen. Nur so
Kapazitäten auf Betriebssystem- und CPU-Level
bleiben wir den Angreifern einen Schritt voraus.
mit Threat Extraction – so wie in Check Points Next
Generation Zero-Day Protection – tun wir noch
Die erste Generation der Sandbox-Lösungen auf
deutlich mehr für die Beseitigung von Bedrohungen.
Betriebssystemebene
Auf
hilft
dabei,
einige
Zero-
Betriebssystemebene
können
Sie
Angriffe
Day-Attacken zu verhindern und kann Malware
sowohl in ausführbaren Dateien als auch in Daten-
erkennen, sobald sie ausgeführt wird. Zahlreiche
Files entdecken. Auf der tieferen CPU-Ebene sind
Malware-Konstrukte können jedoch ihre Entdeckung
Sie in der Lage, eine Infektion in Daten-Files in der
verhindern. Daher ist ein Zero-Day-Schutz der Neuen
Exploit-Phase zu erkennen. Threat Extraction, die
Generation erforderlich: Sandboxing auf CPU-Ebene.
dritte Spitze dieser leistungsstarken Kombination,
fängt sämtliche Dokumente ab, ob schadhaft oder
Einerseits gibt es zwar zahllose Sicherheitslücken,
nicht, entfernt dynamische Objekte und schützt so
doch es gibt andererseits nur eine Handvoll von
vor jeder Form von Zero-Day-Attacke. Anschließend
Ausbeutungsmethoden, die genutzt werden können,
rekonstruiert die Lösung die Datei und stellt das
um Malware herunterzuladen und auszuführen. Das
Dokument in einem Image-ähnlichen Format zur
s.g. „CPU Level-Sandboxing“ lässt frühzeitig den
Verfügung, das frei von jeglichen Gefahren ist.
Einsatz solcher Exploits erkennen: durch sorgfältige
Prüfung der CPU-Aktivität und der Ausführung auf
Nicht nur die Umgehungstechniken entwickeln sich
der Assembler-Code-Ebene, während der Exploit
weiter und werden immer ausgeklügelter – mit ihnen
auftritt. Damit nimmt es dem Hacker jede Möglichkeit,
auch die Angriffsformen. Entsprechend muss sich
seine Entdeckung zu umgehen. Die Schnelligkeit und
die Technologie auch auf der Unternehmensseite
Präzision bei der Erkennung macht das CPU Level-
entwickeln, wollen Sie Ihre Geschäftsaktivitäten
Sandboxing zur besten Technologie für die Entdeckung
sichern. Was in 2014 als Spitzentechnologie erschien,
von Zero-Day-Angriffen und unbekannten Attacken.
wird schon in 2015 nur noch Standard sein.
15
Wie Threat Emulation die Datenpanne im
Einzelhandel hätte verhindern können
Der auf den amerikanischen Feiertag Thanksgiving folgende, s.g. Black Friday, ist in den USA einer der
Haupteinkaufstage des Jahres. Am Montag vor Thanksgiving in 2014 wurde das Check Point Incident
Response-Team (CPIRT) von einem Einzelhändler kontaktiert, der in seinen Systemen unbekannte Dateien
entdeckt hatte. Diese Dateien waren von den führenden Anti-Virus-Lösungen nicht erkannt worden. Die
Winzigkeit von verfügbarer Intelligenz auf jedem einzelnen File war möglicherweise zu klein, um einen
Alarm auszulösen. Doch zusammengenommen ergab sich daraus ein viel größeres Bild. Die Dateien
schienen Teil eines größeren Bausatzes zu sein, der darauf abzielte, schadhafte Ladung ins Netzwerk
einzuschleusen.
Die Komponenten des Bausatzes bestanden aus Tools für:
• Das Extrahieren, Abfangen und Manipulieren von Zugangsdaten aus Windows-Systemen
• Das Erfassen von Keystrokes auf Windows-Systemen
• Das Übertragen von Dateien
Weitere Details, die über andere Dateien in dem Bausatz herausgefunden wurden, waren jedoch eher
unklar. Im Laufe der weiteren Untersuchung versuchte das Response-Team die entdeckten, verdächtigen
Aktivitäten zu bestätigen und führte die entsprechenden Dateien über Check Points Online-Threat Cloud
Emulation-Services aus. Viele der Files waren als verdächtig markiert und wiesen extrem schadhafte
Aktivitäten auf. Eine Datei war in der gegebenen Situation ganz besonders interessant: Sie wurde
abgefangen, als sie eine Textdatei in ein Windows-System-Directory schrieb.
File 07
Schadhafte Aktivität erkannt
1 Schadhafte Aktivität erkannt
Unerwartete Aktivitäten nach Dauer
Die Beobachtung, dass das File tracks.txt in das C:\Windows\System32\ directory schrieb, bestärkte
die Annahme, dass es sich hier um eine PoS-Malware handelte, die darauf abzielt, die Spuren von
Kreditkartendaten abzugreifen. Damit wurde offensichtlich, dass diese Malware Teil eines Satzes sein
musste, der Zugangsdaten abfangen, Malware installieren, sich innerhalb des Netzes bewegen und Daten
aus dem Netzwerk herausfiltern kann. Wäre hier Threat Emulation im Einsatz gewesen, hätte die Malware
– und andere Komponenten des schadhaften Bausatzes – blockiert werden können.
1616| UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE
EMPFEHLUNGEN
Um unbekannte Malware und Zero-Day-Attacken
Diese Faktoren sollten Sie bei der Auswahl einer
zu adressieren, müssen Sie in der Lage sein, sie
guten Sandbox-Lösung in Betracht ziehen:
innerhalb des Betriebssystems und darüber hinaus
• Die Fähigkeit, Attacken zu blockieren, und
zu identifizieren. Das Ziel: Nehmen Sie nicht nur die
sie nicht nur zu erkennen
Bedrohungen selbst ins Visier, sondern adressieren
• Die Fähigkeit, Umgehungen zu verhindern
Sie auch die Umgehungstechniken. Check Point
• Schnelle und präzise Erkennung
empfiehlt
• Die Fähigkeit, SSL zu entschlüsseln
einen
dreischichtigen
Ansatz:
eine
Kombination aus Betriebssystem- und CPU-Level-
• Die Fähigkeit, gängige Dateitypen zu unterstützen
Sandbox-Funktionalitäten mit Threat Extraction.
• Die Fähigkeit, Web-Objekte zu unterstützen, wie z.B. Flash
„Nur das Unbekannte macht Männern Angst.
Aber hat ein Mann dem Unbekannten
einmal gegenüber gestanden, wird dieser
Schrecken zu einem Bekannten.“ 8
-Antoine de Saint-Exupery, Schriftsteller und Poet
17
03
BEKANNTE MALWARE:
ERKANNT UND GEFÄHRLICH
„Wir sind alle digital, wir sind alle verletzlich, und alles
ist so augenblicklich – so augenblicklich. Augenblicklicher
Erfolg und augenblickliches Scheitern.“ 9
–Madonna, Popstar, zu dem digitalen Diebstahl und Durchsickern ihres noch nicht
vollendeten Albums „Rebel Heart“, bevor dieses veröffentlicht wurde.
18
| CHECK POINT AND
- 2015
SECURITY REPORT
1818
| INTRODUCTION
METHODOLOGY
DIE TOP 5 NACH LÄNDERN
HOSTEN VON
SCHADHAFTEN DATEIEN
HOSTEN VON
SCHADHAFTEN SITES
ZUGRIFF AUF
SCHADHAFTE SITES
DOWNLOAD VON
SCHADHAFTEN DATEIEN
38
38
PROZENT DER ORGANISATIONEN
26
22
17
14
4
IK
EX
M
IS
O
EL
RA
IE
N
K
O
M
EX
IK
EI
N
RK
TÜ
IE
D
SA
IN
U
EL
IS
RA
N
LE
K
U
N
LA
AI
SS
5
RU
PO
D
E
N
SA
U
KR
KR
AN
FR
U
K
U
CH
L
EI
N
A
AD
N
U
SA
2
KA
6
3
D
4
U
4
7
IN
5
6
SA
5
8
8
U
8
3.1
In Anbetracht dessen, wie einfach und wirkungsvoll
fast 63 Prozent der Organisationen haben schadhafte
unbekannte Malware erstellt und eingesetzt werden
Dateien
kann, könnte man annehmen, dass bekannte
Häufigkeit betrachtet wurde alle 24 Sekunden von
Malware auf dem Rückzug ist. Tatsächlich aber
einem Host auf eine schadhafte Website zugegriffen
haben Hacker diese Angriffsmethode weiterhin in
(im vergangenen Jahr war es noch jede Minute), und
ihrem Arsenal.
Malware wurde alle sechs Minuten heruntergeladen
heruntergeladen.
Nach
Tempo
und
(alle 10 Minuten im Vorjahr). Wenn man bedenkt,
In 2014 haben Check Point-Analysten festgestellt,
wie schnell sich Viren ausbreiten und eine wahre
dass rund 86 Prozent der Unternehmen auf bösartige
Verwüstung anrichten können, sind diese Zahlen
Websites zugegriffen haben. Und schlimmer noch –
mehr als alarmierend.
In 2014 luden Hosts
alle 6 Minuten Malware
herunter.
In 2014 griffen Hosts alle
24 Sekunden auf eine
schadhafte Website zu.
19
BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 19
ES WIRD BOTS GEBEN
Einer der noch effizienteren Wege, die Verbreitung
und die Häufigkeit gegenüber dem Vorjahr um 66,7
von Malware auszuweiten und zu beschleunigen,
Prozent sprunghaft angestiegen, im Vergleich zu
führt über Bots – wenn ein Computer mit einem
2012 sogar um 95 Prozent.
Trojaner oder Virus infiziert wurde, kann er einem
Dritten die Kontrolle über einige oder sämtliche
Wenn wir uns mit Bots befassen, über welche Art
Funktionen des Rechners erlauben. Ein Botnet ist
von Schaden sprechen wir dann? Der Großteil
ein ganzes Netzwerk aus solchen Bot- oder Zombie-
der Bot-Aktivitäten in 2014 umfasste das Stehlen
Computern und befindet sich unter dem Kommando
von Bankzugangsdaten und anderer sensitiver
einer Einzelperson oder einer Organisation, die sie
Informationen, das außer Funktion setzen von
für die Verbreitung von Spam-E-Mails, Angriffe auf
System-Security-Services,
andere Computer oder das Ausrollen von DDoS-
Malware, das Ausführen von Click Fraud, also
Attacken missbraucht.
Klickbetrug, das Erschleichen von Fernzugriff und
das
Installieren
von
das Öffnen einer Hintertür für Attacken.
Nahezu 83 Prozent der Organisationen hatten in
2014 bestehende Bot-Infektionen. Und 47 Prozent
Eine der besonders bekannt gewordenen Bot-
davon waren für mehr als vier Wochen aktiv – eine
Infektionen nutzte eine Schwachstelle in Apples
beunruhigend lange Zeit, in der ein Bot jede Minute
Mac-Computern aus, in Verbindung mit der Social
mit seinem Command- und Control (C&C)-Center
Network-, Unterhaltungs- und News-Site „Reddit“.
kommuniziert. Damit nicht genug, sind das Tempo
Ein Hintertür-Eintritt mit dem Namen „Mac.
83%
der untersuchten Organisationen waren
mit Bots infiziert. Und ein Bot kommuniziert
jede Minute mit seinem C&C.
FAMILIE
GEZÄHLTE ATTACKEN
SCHADEN
ZEUS
51.848.194
Stiehlt Bankzugangsdaten
GRAFTOR
21.673.764
Lädt schadhafte Dateien herunter
RAMNIT
12.978.788
Stiehlt Bankzugangsdaten
CONFICKER
12.357.794
Setzt System-Security-Services außer Betrieb,
ermöglicht dem Angreifer Fernzugriff
SALITY
11.791.594
Stiehlt sensitive Informationen
SMOKELOADER
9.417.333
Installiert Malware
RAMDO
5.771.478
Führt Klickbetrug aus
GAMARUE
3.329.930
Öffnet eine Hintertür für Angriffe
TORPIG
3.290.148
Stiehlt sensitive Informationen
3.2
20 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
20
BackDoor.iWorm” verschaffte sich Zugang zu Macs.
Scheinbar folgten die Hacker in diesem Jahr dem
Von dort stellte er über Reddit eine Verbindung von
Prinzip, dass man etwas, das noch funktioniert, auch
dem gehackten Computer zum Command-Server
nicht reparieren muss. Dem „Spamhaus Botnet
her. Nach erfolgreicher Infektion der Computer,
Summary Report für 2014“ zufolge führte ZeuS mit
posteten die Hacker an Reddit und nutzen die
2.246 Command & Controls – praktisch zweimal
Suchfunktionen der Site, um die dortigen Posts
mehr, als der Zweitplatzierte „Citadel“ – auch in
zu identifizieren. Mithilfe von iWorm konnten
2014 die Bot-Liste an. 10
die Angreifer die Serveradressen aus den Posts
herausziehen und diese für die Verbindung mit dem
Doch
worauf
fokussieren
Cyberkriminelle
die
Botnet missbrauchen.
Reichweite von Bots und die Macht, die Ihnen
damit zur Verfügung steht? Im Wesentlichen
Der Bot, der uns in 2014 am meisten in Atem hielt,
auf geschäftskritische Elemente, die für die
war auch schon im Jahr zuvor der unrühmliche
Geschäftsproduktivität entscheidend sind.
„Champion“: ZeuS.
Ansturm auf Zugangsdaten
Tool-Automation und die Verbreitung von Botnets machen den Diebstahl von Zugangsdaten über Brute ForceAngriffen immer leichter. Noch vor 2014 konnte beispielsweise immer nur jeweils ein Computer ein Passwort
knacken. Im vergangenen Jahr aber modifizierte ein populäres Passwort Hash Cracking-Tool namens Hashcat
seinen Source-Code, um verteiltes Cracking zu erlauben – so dass nun mehrere Computer gelichzeitig beim
Knacken des Passworts helfen und die Angreifer deutlich schneller ihr Ziel erreichen können.
Wie genau funktioniert das? Die Kriminellen sammeln aus ihren Attacken große Mengen an Daten. Diese sind
manchmal verschlüsselt oder codiert und nicht sofort zu nutzen. An dieser Stelle kommen die Tools ins Spiel.
Sie automatisieren das Knacken des Passworts und sind möglicherweise schon Bestandteil des Botnets, das
eine einfachere Verteilung erlaubt. Sind die Hashes einmal geknackt, versuchen Brute-Force-Attacken sich die
Wiederverwendung des Passworts zunutze zu machen. Sie testen außerdem, ob das Passwort einer bestimmten
Person auch für das Login eines anderen funktioniert. Tatsächlich hat Check Point regelmäßig Brute-ForceAttacken beobachtet, die Wochen andauerten, wobei die Versuche pro Sekunde/Minute/Stunde/Tag vom Angreifer so
eingestellt sind, dass eine Entdeckung umgangen werden kann. Damit nicht genug, landen die gewonnenen Daten
möglicherweise auf Text-Sharing-Sites wie Pastebin, wo die Informationen dann verkauft werden können.
Um gespeicherte Passwörter zu schützen, sollte ein kryptografischer „one-way“ Hash eines Passworts generiert
werden. In anderen Worten – lautet das Passwort z.B. „bluesky“, wird ein Kryptograf es in etwas wie „fna84K“
umwandeln. Dies verhindert, dass reine Textpasswörter im Umlauf sind und ermöglicht die Verifizierung von
anwenderseitig bereitgestellten Passwörtern durch Wiederholung des one-way Hashing-Systems. Auch das
Hinzufügen eines wahllos generierten Wertes zu einem Passwort noch vor der Erstellung seines kryptografischen
Hashs kann den Versuch, ein Passwort zu knacken, erschweren.
Da bereits Tools existieren, die das Internet nach Hashes und Passwörtern durchforsten und auch automatisiertes,
verteiltes Passwort-Cracking an der Tagesordnung ist, ist es umso wichtiger, dass Sie die Speicherung dieser Daten
noch besser absichern. Treffen Sie besondere Vorsichtsmaßnahmen, um diese Informationen zu schützen und
nutzen Sie Zweifaktorverifizierung, Out-of-Band User-Authentifizierung oder sogar biometrische Authentifizierung.
Berücksichtigen Sie, dass Anwender oft gleiche oder ähnliche Passwörter wiederverwenden – denn das bedeutet,
dass jede Datenpanne mit tausenden von Namen die Saat ausbringt für potentiell hunderte, weiterer Angriffe auf
Ihre Unternehmensdaten.
21
DDOS – DIE NEUE STREIKMACHT
Wollte man in der Vergangenheit etwas gegen
Tag, was einen Anstieg um 500 Prozent bedeutet!
die Strategie und Methoden einer Organisation
Im vergangenen Jahr trat die Mehrzahl der DDoS-
unternehmen, versammelte man ein paar Leute,
Attacken im Beratungssektor auf, in diesem Jahr
bemalte ein paar Transparente und stellte sich vor
betreffen sie bereits zwei Drittel von Unternehmen
ihre Eingangstür, um den Protest für alle sichtbar
aus allen Branchen. Der in 2014 zweitgrößte
zu machen. Jetzt? Man geht einfach online und
Angriffsvektor nach DDoS war Buffer Overflow –
kauft ein günstiges DDoS-Toolkit, gibt die URL des
eine Attacke, die Daten und das Ausführen
Unternehmens ein, gegen das man seinen Protest
von Code korrumpiert und so dem Angreifer
richtet und – fertig – die Website des Unternehmens
ermöglichen kann, beliebigen Code zu injizieren.
ist verunstaltet. Das ist einfach, bequem und billig.
Beide Methoden nahmen im Vergleich zum Vorjahr
Distributed Denial of Service (DDoS) war in 2014
signifikant an Häufigkeit zu.
der Hauptangriffsvektor und für 60 Prozent aller
Attacken verantwortlich – fast doppelt so viel wie
im Vorjahr. DDoS-Attacken setzen Server oder
In 2014 traten täglich
DDoS-Attacken auf
andere Netzwerkressourcen vorübergehend außer
Gefecht. In 2014 wurden täglich 48 solcher Angriffe
48
registriert – im Jahr zuvor waren es noch acht pro
HAUPTANGRIFFSVEKTOREN
2014
2013
PROZENT DER ORGANISATIONEN MIT
WENIGSTENS EINEM ANGRIFF
60
51
47
43
39
36
35
23
23
DENIAL OF
SERVICE
BUFFER
OVERFLOW
CODEAUSFÜHRUNG
CROSS-SITE
SCRIPTING
3.3
22
22
ANOMALITÄT
19
SPEICHERKORRUMPIERUNG
HACKTIVISMUS:
Wenn Protestler ihre Ideologien online bringen
Im vergangenen Jahr zeigte sich ein Anstieg von DDoS gegen Bildungseinrichtungen, Dienstleister, US-Regierungsbehörden und Stadtverwaltungen. Unabhängig von politischen Fragen und Einstellungen bekommen
unbeteiligte Dritte die Auswirkungen von DDoS-Attacken mindestens ebenso stark zu spüren, wie die eigentlichen
Angriffsziele. In Ländern, wo der Großteil des Netzwerks für Bildungsservices von der Regierung bereitgestellt
wird, kann ein Angriff auf eine kleine Schule jede einzelne Schule im gesamten Netz betreffen. Ein DDoSAngriff auf die Website einer bestimmten Stadt kann die VPN-Verbindung zu Strafverfolgungseinrichtungen und
Notdiensten kappen – und das nicht nur für die Dauer einer Großdemonstration. Ein solcher Fall ist
bereits eingetreten.
Auch wenn die Reihenfolge der einzelnen Schritte variieren kann,
setzen Hacktivisten meist folgende vier Haupttechniken ein:
1. Eine volumetrische Attacke in mehreren Wellen, die Millionen von User Datagram Protocol (UDP)-Paketen auf
Port 80 nutzt. Als „stateless“, also zustandsloses Protokoll ist UDP sehr einfach zu imitieren, was die Quelle so
erscheinen lässt, als würde von einer anderen Internetprotokoll (IP)-Adresse gesendet. Dies überschwemmt die
Verbindung, noch bevor die vorgeschalteten Security-Einrichtungen der Organisation den Angriff erkennen und
reagieren können.
2. Eine Domain Name System (DNS)-„Reflection“ -Attacke, wobei die Angreifer Millionen von DNS-Anfragen an
berechtigte DNS-Server schicken und dabei eine verfälschte IP-Adressquelle nutzen. So geben sie vor, von einem
Server aus dem Netzwerk des Opfers zu stammen. Die offenen DNS-Server reagieren, indem sie das Opfer mit
DNS-Antworten überfluten, was eine neue Welle von volumetrischen Attacken auslöst.
3. Eine SYN flood-Attacke zielt auf einen bestimmten Host ab. Durch hoc volumiges Spoofen der Ursprungsadresse verbraucht sie so viele Ressourcen, dass der Host für berechtigten Datenverkehr nicht mehr
ansprechbar ist.
4. „Slow attacks“, also langsame Angriffe, öffnen so viele Verbindungen zu einem Server wie möglich und halten
diese Verbindungen so lange wie möglich offen, indem sie exakt vor dem Time-out der TCP (Transmission Control
Protocol )-Sessions sehr kleine Datenmengen senden. Der Datenverkehr ist gering, doch die Menge
der langsamen Verbindungen verstopft die Zugänge der Netzwerk-Ports.
Das können Sie tun, um Ihre Organisation abzusichern:
1. Verstehen und beobachten Sie das Datenverkehrsvolumen, wie z.B. die Verbindungen pro Sekunde, Pakete pro
Sekunde und den Durchsatz pro Sekunde. Werden die festgelegten Grenzwerte überschritten, können Tools wie
Check Point DDoS Protector™ vor den Security Gateways eingesetzt werden um den DDoS-Traffic abzuschwächen,
noch bevor er das Gateway erreicht. Überschreitet der Datenverkehr aus einem volumetrischen Angriff das
Leistungsvermögen des Internets, führt dies zu einer Überlastung der Netzwerkverbindung, noch bevor die
Daten den DDoS Protector oder das Security Gateway erreichen – der Denial of Service ist perfekt. Um dies zu
verhindern, leitet DDoS Protector die Daten über DefensePipe in s.g. Internet-„Waschanlagen“ um. In diesen
Scrubbing-Centren wird schadhafter Datenverkehr entfernt, und die sauberen Daten werden zurückgeleitet.
2. Implementieren Sie engmaschige Kontrollen für Netzwerke mit Gastzugriff oder unbekanntem Benutzerstandort wie z.B. bei Bildungseinrichtungen, Cloud-Providern und Servicehosting-Unternehmen.
3. Setzen Sie Richtlinien für das Source IP-Spoofing ein, um zu verhindern, dass die Anwender gezielter Netzwerke s.g. Reflection-Attacken auslösen. Dynamische, variierende und wellenförmige Formen von Attacken
machen es zu einer Herausforderung, jede Art von DDoS zu stoppen. Doch Check Points Firewall Software
Blade und IPS Software Blade verfügen über Abschwächungstools und integrierte Schutzvorrichtungen –
wie z.B. Rate Limiting, SYN Defender und IPS SYN Attack sowie IPS DNS – die dabei unterstützen,
DDoS-Attacken zu verhindern.
23
DOOMSDAY – FÜR DIE ERFOLGSKRITISCHE
INFRASTRUKTUR: Nicht „Ob“, sondern „Wann“
James Arbuthnot, der frühere Vorsitzende des Parlamentarischen Verteidigungsausschusses in Großbritannien,
drückte es wohl am besten aus: „Unser nationales Netz ist Cyberattacken ausgesetzt, und zwar nicht nur Tag
für Tag, sondern Minute für Minute.“ 11 Tatsächlich haben fast 70 Prozent der „Critical Infrastructure“
(CI)-Unternehmen im vergangenen Jahr einen Sicherheitsvorfall hinnehmen müssen.12 Ein Angriff namens
„Energetic Bear“, der in 2014 von einer Gruppe russischer Hacker durchgeführt wurde, startete seinen Feldzug
gegen Öl- und Gasunternehmen. Durch Infektion der industriellen Kontroll-Software, die diese Unternehmen
im Einsatz hatten, schleusten die Angreifer Malware ein, die sich automatisch herunterlud und installierte, als
die betroffenen Organisationen ihre Software aktualisierten. Damit hatten die Hacker Einsicht in die ins Visier
genommenen Netzwerke – und potentiell auch die Kontrolle darüber.
Bei einem anderen Vorfall wurde ein deutsches Stahlwerk attackiert, was zu erheblichem Schaden an einem
Hochofen führte. Dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge rollten die
Angreifer eine Social Engineering-Kampagne aus, die spezifische, einzelne Personen zum Öffnen von PhishingMessages brachte. Anschließend konnten die Cyberkriminellen Login-Namen und Passwörter abgreifen, über die
sie Zugang zum Produktionsnetzwerk des Stahlwerks erhielten. Dort verursachten sie über die Manipulation des
Kontrollsystems den Ausfall bestimmter Elemente, was verhinderte, dass der Schmelzofen sich auf normale Weise
abschaltete. Im Ergebnis war das gesamte System beschädigt.
Warum passiert das?
Wenn wir die Ursachen von CI-Vorfällen betrachten, fallen einige Dinge auf. Zuallererst, dass das Supervisory
Control und Data Acquisition (SCADA)-System, wie es üblicherweise von CI genutzt wird, nicht auf Security
ausgelegt war. Nicht nur, dass seine Devices angreifbar sind, vor allem sind auch die Netzwerke alt und überholt.
Darüber hinaus schließen SCADA-Systeme Windows- und Linux-Betriebssysteme ein, die ebenfalls verwundbar
sind. Ein weiterer Grund ist, dass der Blick auf die Security viel zu oft sehr kurzsichtig ist und sich ausschließlich
auf das elektronische Perimeter richtet. Das reicht nicht aus, denn es lässt die Risiken für die Produktionssysteme
außer Acht. Das dritte Problem, das wir schließlich sehen, ist der Irrglaube, dass eine gute physikalische Security
mit einer guten Netzwerk-Security gleichzusetzen ist. Hier nicht die Unterschiede zu kennen und zu verstehen,
kann schwerwiegende Konsequenzen haben.
Die Absicherung kritischer Infrastrukturen: Was zu tun ist
Genauso, wie wir drei Hauptgründe für CI-Vorfälle sehen, sehen wir auch drei Hauptwege, solche Ereignisse zu
vermeiden. Nachstehend zeigen wir die Schritte für die Absicherung kritischer Infrastrukturen auf:
1. Security-Architektur: Schützen Sie vor allem anderen das Unternehmensnetzwerk, um so eine Infiltration
des Produktionsnetzwerks zu blockieren. Anschließend segmentieren und schützen Sie Ihr Produktionsnetzwerk
mit hierauf spezialisierter Security. Setzen Sie für die Perimeter-Security geeignete Tools wie Firewall, Intrusion
Prevention, Anti-Virus, Anti-Bot und Threat Emulation ein.
2. Security-Produkte mit granularem SCADA-Support: Nutzen Sie immer Produkte, die speziell für SCADASysteme entwickelt sind. Bedenken Sie, dass CI-Betriebe auf dedizierte Systeme in spezialisierten Netzwerken
mit besonderen Protokollen bauen. Lösungen wie die Check Point SCADA Security-Lösungen umfassen SCADALogging, Firewall, Applikationskontrolle, Intrusion Prevention und SCADA Workstation-Endpoint Security.
3. Threat Intelligence: Stellen Sie die unabhängige Protokollierung sämtlicher SCADA-Aktivitäten sicher und
setzen Sie hierfür ein tief greifendes SCADA Traffic-Monitoring sowie Threat-Analyse ein.
24
DIE TOP SICHERHEITSLÜCKEN
UND GEFÄHRDUNGEN IN 2014
NACH HERSTELLER
7945
450
431
376
287
138
AD
AP
120
LA
135
UX
PL
E
GO
OG
LE
RE
DH
AT
SC
O
CI
OF
T
E
RO
S
AC
L
155
M
OR
IC
IB
M
08
20
20
20
09
10
11
20
12
20
20
20
13
14
156
OZ
IL
4651
N
4155
5632
M
5297
368
LI
5191
5736
OB
E
ANZAHL VON SICHERHEITSLÜCKEN
GESAMTAUFKOMMEN VERBREITETER
SICHERHEITSLÜCKEN UND GEFÄHRDUNGEN
SECURITY-VORFÄLLE NACH TOP SOFTWARE-ANBIETERN
2014
2013
2012
67
68
77
AN
OL
LL
VI
N
OV
E
E
E
OB
AD
T
RA
CL
/O
OF
IC
1
SU
M
N
RO
S
OV
E
N
2
D
CA
/O
N
SU
3.4
5
2
UI
3
SQ
3
UI
D
RA
CL
E
AP
PL
E
4
SQ
3C
OM
AN
VI
DE
OL
E
T
OB
AD
OF
4
LL
4
3
RO
S
3
IC
5
M
N
SU
13
10
HP
RA
CL
E
M
OZ
IL
L
JO A
OM
LA
6
/O
OB
AP E
AC
HE
OF
RO
S
IC
M
AD
T
6
15
DE
15
14
QUELLE: Common Vulnerabilities and Exposures (CVE) Database (Abb. oben),
Check Point Software Technologies (Abb. unten)
SICH VERLETZLICH FÜHLEN
Eines der wichtigsten Themen, das Unternehmen
letzten drei Jahren, gab es zwischen 2012 und 2013
für eine Verbesserung ihrer Security adressieren
nur einen geringen Zuwachs. Von 2013 auf 2014
müssen, ist das Patchen und Updaten ihrer Software.
aber ist ein sprunghafter Anstieg um über
Wird dies vernachlässigt, ist die Organisation
53 Prozent zu verzeichnen.
sehr verletzlich und erfährt – unnötigerweise –
Aufmerksamkeit für diese potentiellen Gefahren
ernsthafte Leistungseinbußen – bei „Mann und
zu, doch es bleibt die schlechte Nachricht,
Maschine“. Betrachtet man die Gesamtzahl der
dass
gängigen Schwachstellen und Bedrohungen in den
und ansteigen.
die
Gefährdungen
13
Zwar nimmt also die
weiterhin
da
sind
25
SHELLSHOCK: Netzwerke ins Herz getroffen
Hacker wissen: die wirkungsvollste Art ihre Ziele zu treffen ist, sie an ihren Fundamenten anzugreifen. Für
die meisten Betriebssysteme besteht dieses Fundament aus einer Reihe grundlegender Kommandos, die
oft in Unix ausgeführt werden. Am Herzen des Befehlszeileninterpreters, wie er allgemein in Apple MAC OS
X- und Linux/UNIX-Betriebssystemen genutzt wird, befindet sich ein Command-Prozessor namens Bash oder
„Bourne Again Shell“.
Im September 2014 wurde in Bash eine umfassende Sicherheitslücke entdeckt, die Hackern die RemoteAusführung von Shell-Kommandos ermöglichte. Das funktionierte durch das Anhängen von schadhaftem
Code in umgebende, vom Betriebssystem genutzte Variablen.
Aus Sicht eines Hackers geht es kaum besser. Innerhalb weniger Tage nach Bekanntwerden der
Schwachstelle wurden weitere Designfehler entdeckt und eine Reihe von Patches erstellt. Der Wettlauf
darum, das Netzwerk schneller zu treffen, als die Patches eingesetzt werden konnten, hatte begonnen.
Innerhalb weniger Stunden nutzten die Angreifer die Sicherheitslücke Shellshock aus, indem sie Botnets
auf kompromittierten Computern einrichteten, um verteilte Denial-of-Service-Attacken und SchwachstellenScanning durchzuzuführen. Während mit Check Point IPS geschützte Netzwerke noch am gleichen Tag
gepatcht wurden, kompromittierte Shellshock Millionen nicht gepatchter Server und Netzwerke.
Mit IPS geschützte Check Point-Kunden registrierten blockierte Angriffsversuche, die hauptsächlich auf
http-, Mail- (SMTP/POP3/IMAP), FTP- und DHCP-Protokolle zielten. Untersuchungsergebnisse zeigten, dass
die USA mit signifikantem Vorsprung sowohl das Hauptangriffsziel als auch der Hauptangreifer waren.
DAS NEUE ZIEL VON EXPLOITS: OPEN
SOURCE-SOFTWARE UND BETRIEBSSYSTEME
Community-Sharing ist nicht immer eine gute Sache.
sie Hackern als offene Tür in das Netzwerk, das sie
Nehmen wir beispielsweise Open Source-Software
ausbeuten wollen.
(OSS). Anders als die typische, proprietäre Software,
die geschlossen ist, ist Open Source-Software so
So
geschrieben, dass ihr Quellcode der Öffentlichkeit frei
Herstellern betriebene Open Source-Software-
zur Verfügung steht und von jedermann modifiziert
Projekt „OpenDaylight“ dazu genötigt, sich mit
werden kann. Schlimmer noch, OSS wird nicht sehr
Security zu befassen, nachdem ein Software-
genau verwaltet, da sie nicht immer Bestandteil
definierter Netzwerk (SDN)-Fehler ans Tageslicht
des IT-Beschaffungsprozesses ist. Und, da es sich
gekommen war. Im August 2014 wurde eine kritische
um Freeware handelt, wird sie nicht so intensiv
Schwachstelle in der Plattform gefunden, doch es
gewartet, wie andere Software. Cyberkriminelle
dauerte vier Monate, bis sie gepatcht werden konnte.
wissen das und starten immer wieder Attacken auf
Der Entdecker der Sicherheitslücke hatte zunächst
die schlechter gewarteten und weniger sichtbaren
versucht, das auf privatem Wege zu kommunizieren.
Applikationen und Systeme. Im Ergebnis ist OSS
Da aber OpenDaylight kein Security-Team hatte, war
zu einem attraktiven Ziel geworden, wenn es um
sein Bemühen vergebens. Schließlich machte er
den Diebstahl von Daten, geistigen Eigentums oder
die Schwachstelle auf einer populären Mailingliste
anderer, sensitiver Informationen geht. Und so dient
für Sicherheitsmängel öffentlich. Der Fehler bot die
26
wurde
zum
Beispiel
das
von
mehreren
potentielle Möglichkeit, einen SDN-Controller zu
Dann kam Shellshock. Das Beschämende daran
kompromittieren – worüber Hacker schlussendlich
ist, dass Shellshock seinen Ursprung in einem
die Kontrolle über das ganze Netzwerk hätten
25 Jahre alten Sicherheitsmangel hat, der die
erlangen können. 14
Ausführung von schadhaftem Code innerhalb von
Bash Shell möglich macht. Damit kann ein Hacker
Eine andere, in 2014 entdeckte Open Source-
ein Betriebssystem übernehmen und sich Zugriff
Schwachstelle betraf die MediaWiki-Plattform, auf
auf vertrauliche Informationen verschaffen. Hier
der Wikipedia und tausende anderer Wiki-Sites
sei darauf hingewiesen, dass viele Programme
weltweit basieren. Check Point-Experten entdeckten
im Hintergrund Bash Shell laufen lassen. Sobald
einen Defekt im Code, der Hackern das Einspeisen
den bestehenden Code-Zeilen zusätzlicher Code
von schadhafter Software in jede Wikipedia.org-
hinzugefügt wird, ist der Fehler frei gesetzt. 15
Seite und in andere, interne oder Web-seitige
Wiki-Seiten auf MediaWiki ermöglichen konnte.
Auf Shellshock folgte Poodle, ein „süßes“ Akronym,
Beeindruckende Zahlen wie 94 Millionen Wikipedia-
das für „Padding Oracle On Downgraded Legacy
Besucher monatlich und fast zwei Millionen, auf
Encryption“ steht. Sein Fokus: die 18 Jahre alte
Wikipedia verlinkte Seiten machen deutlich, zu
Verschlüsselungstechnologie SSL 3.0. Nutzte eine
welch massivem Schaden es hier hätte kommen
Website dieses Protokoll um den Datenverkehr
können.
zu verschlüsseln, konnten die Angreifer die mit
der Website kommunizierenden Computer dazu
Die größten Open Source-Exploits des vergangenen
zwingen, ihre Verschlüsselung auf den gleichen,
Jahres waren Heartbleed, Shellshock und Poodle.
antiquierten
Im Vorjahr noch hatte es danach ausgesehen, als
Security-Problemen bei der Kommunikation mit den
könnte die Malware, mit der die Unternehmen zu
Servern führte. 16
Standard herabzusetzen, was zu
kämpfen hatten, verheerender nicht mehr werden –
bis dann einige Monate später die vernichtendste
Open Source-Schwachstellen wie Heartbleed, Poodle
Schadsoftware in Erscheinung trat, die es bis dahin
und Shellshock betrafen nahezu jeden IT-Betrieb
gegeben hatte. Heartbleed, eine Schwachstelle in
weltweit. Natürlich können die Organisationen die
OpenSSL-Software, wurde im April 2014 entdeckt.
nächste, massive Sicherheitslücke nicht vorher
Sie macht Hackern den Zugang zum Speicher
sehen. Doch sie sollten immer bedenken, dass
von Datenservern frei – bis zu einem Wert von
Hacker Open Source und weit verbreitete Plattformen
64 Kilobyte. Dieser Zugang ermöglicht dann den
wie Windows, Linux und iOS ganz besonders
Diebstahl kritischer Daten wie Benutzeridentitäten,
lieben – denn hier eröffnen gefundene Schlupflöcher
Passwörter und andere, sensitive Informationen, die
die
auf den Servern hinterlegt sind.
Ausbeutung.
meisten
und
besten
Möglichkeiten
der
NIEMAND HAT SCHULD – AUSSER WIR SELBST
TOP IPS
EVENTS
40%
SERVER
3.5
sich im vergangenen Jahr praktisch umgekehrt: Jetzt
sind die Clients das schwächste Glied. Betrachten
wir die Veränderung bei der Verteilung der Top IPS-
60%
CLIENT
In 2013 waren Server das bevorzugte Ziel. Das hat
Events auf Clients und Server, sehen wir bei den
Clients einen dramatischen Anstieg von früher 32
PROZENT VON GESAMT
auf jetzt 60 Prozent. Auf der Server-Seite ist dieser
Wert inzwischen von 68 auf 40 Prozent gefallen.
27
Warum? Hacker bevorzugen den Angriff auf Clients,
verfügen nicht über eine aktualisierte Version ihrer
weil sie hier ihre Opfer mit Social Engineering- und
Software, und bei 17 Prozent ist keinerlei Antivirus-
Phishing-Taktiken austricksen können. Mit anderen
Lösung installiert. Darüber hinaus sind 35 Prozent
Worten: Menschen sind viel einfacher zu überlisten,
der Unternehmensrechner so konfiguriert, dass die
als Maschinen.
Anwender lokale Administratorrechte haben. Damit
sind die Betriebssysteme einem höheren Risiko für
Was trägt zu diesem Problem bei? Zum einen –
die
menschliche
Nachlässigkeit
Malware-Attacken ausgesetzt.
gegenüber
grundlegenden Schutzmaßnahmen. Zum anderen
Auch wenn diese Zahlen auf den ersten Blick nicht
setzen viele Organisationen veraltete Security-Tools
gewaltig erscheinen, ist es doch bemerkenswert,
ein, die bei der Abwehr heutiger Gefahren schlicht
bei wie vielen Unternehmen die Security-Message
versagen. Will man seine Endgeräte absichern,
nach wie vor nicht angekommen ist: Es bedarf
beginnt man mit fundamentalen Maßnahmen wie
nur eines einzigen, angreifbaren Rechners, um
der Sicherstellung, dass alle Computer über eine
das gesamte Netzwerk zu infizieren. Was in der
Desktop-Firewall
und
Folge auch all die Unternehmen gefährdet, die
Software-Updates installiert und durchgeführt werden
mit dem betroffenen Netzwerk interagieren und
und die aktuellste Anti-Virus-Software im Einsatz ist.
Informationen austauschen. Für eine erfolgreiche
verfügen,
Service-Packs
Bekämpfung der Cyberkriminalität ist es also
Unseren Untersuchungsergebnissen zufolge läuft
unerlässlich, im Umgang mit den grundlegenden
jedoch auf 20 Prozent der Unternehmensrechner
Schutzvorrichtungen ein verantwortlicher „Cyber-
keine Desktop Firewall, und 10 Prozent der Hosts
Bürger“ zu sein – und wichtige Security-Informa-
haben keine aktuellen Service Packs. 25 Prozent
tionen mit anderen auszutauschen.
ENDPOINTS IM UNTERNEHMEN
SICHERHEITSLÜCKEN UND FEHLKONFIGURATIONEN
54%
25%
Hosts mit wenigstens einem
installierten Bluetooth-Device
20%
Hosts ohne
Desktop-Firewalls
Hosts ohne aktualisierte
AV-Signaturen
25%
PERCENT
OF HOSTS
Hosts ohne aktualisierte
Software-Versionen
35%
10%
Hosts mit lokalen
Admin-Rechten für den User
28
Hosts ohne das jüngste
Service-Pack
3.6
Compliant ohne Kompromisse
Zwar verstehen die meisten Unternehmen ihre Verpflichtungen, was die Einhaltung von Compliance und
Branchen-Bestimmungen angeht. Doch wenn es um Security geht, ist dies nach wie vor ein komplexes
Problem. Ihr Unternehmen kann heute vollständig regelkonform sein, durch eine einzige, geschäftsrelevante
Änderung am Netzwerk aber schon morgen vollkommen aus dem gesetzlich vorgegebenen Rahmen
herausfallen.
Hier ist es entscheidend zu wissen, worauf genau man achten muss. Aber fallen Sie nicht auf den Denkfehler
herein und nehmen an, dass ein regelkonformes Unternehmen gleichzeitig auch vollkommen sicheres ist.
Die Einhaltung von regulativen Bestimmungen ist typischerweise geknüpft an spezifische Bedrohungen,
was den Prozess weniger umfassend macht, als eine wirkliche Security-Prüfung sein könnte und sollte. Die
Einhaltung gesetzlicher Vorgaben sollte daher nicht die Basis für Ihre Security-Policy sein. Nachstehend
.
lesen Sie, was Check Point hierzu in seiner Studie zu 2014 feststellte.
CHECK POINT
UNTERSUCHUNGSERGEBNIS
CHECK POINT
PROBLEMANALYSE
VORSCHRIFT
VON DIESER VORSCHRIFT
BETROFFENE LÄNDER
Anti-Spoofing bei
75% der Befragten
nicht aktiviert
Anti-Spoofing verifiziert, dass Datenpakete vom richtigen Interface
kommen und zum richtigen Interface auf
dem Gateway gehen. Es bestätigt, dass
Pakete, die vorgeben aus einem internen
Netzwerk zu stammen, tatsächlich vom
internen Netzwerk-Interface kommen.
Ist ein Paket geroutet, stellt AntiSpoofing außerdem sicher, dass es
durch das richtige Interface geht.
PCI DSS 3.0
Global – jedes
Unternehmen, das
Kreditkartendaten
verarbeitet oder speichert.
NIST 800:41
Hauptsächlich relevant
auf US-Bundesebene,
aber gleichermaßen
anwendbar auf jedes USUnternehmen, das einen
robusten Firewall-Standard
übernimmt.
ISO 27001
Global – jedes Unternehmen, das nach diesem
Standard zertifiziert ist
oder ihn als Best Practice
adaptiert.
PCI DSS 3.0
Global – jedes
Unternehmen, das
Kreditkartendaten
verarbeitet oder speichert.
NIST 800:41
Hauptsächlich relevant
auf US-Bundesebene,
aber gleichermaßen
anwendbar auf jedes USUnternehmen, das einen
robusten Firewall-Standard
übernimmt.
ISO 27001
Global – jedes Unternehmen, das diesem
Standard folgt
PCI DSS 3.0
Global – jedes Unternehmen, das Kreditkartendaten verarbeitet
oder speichert.
ISO 27001
Global – jedes Unternehmen, das nach diesem
Standard zertifiziert ist
oder ihn als Best Practice
adaptiert.
Entdeckung einer
„Any Any Accept”Regel bei 27% der
Befragten
Out-of-State TCPPakete werden bei
19% der Befragten
nicht verworfen
Das grundlegende Konzept der FirewallRegelbasis ist „Was nicht explizit erlaubt
ist, ist verboten.“ Festzustellen, dass
27% der befragten Unternehmen eine
„Any Any Accept“-Regel in ihrer Regelbasis hatten, war eine große Überraschung. Denn das ist das Firewall1mal1, die Grundlage aller Grundlagen.
TCP Session Timeout ist die Zeitspanne,
für die eine untätige Verbindung im
Security Gateway-Connections-Table
bestehen bleibt. Diese nicht genutzte
Session ist genau die Laufzeit, während
der ein Angreifer versuchen kann, die
Pakettransporte aus bestehenden UserSessions zu stehlen und zu benutzen.
Pakete, die Out-of State sind, sollten
fallen gelassen werden. Wir haben
festgestellt, dass 1 von 5 Unternehmen
Out-of-State-Pakete nicht verwirft.
29
Damit sich die Geschichte nicht wiederholt
‚Wer aus der Vergangenheit nicht lernt, der ist dazu verdammt,
sie noch einmal zu durchleben‘
Eine alte Weisheit, die auf die IT-Security anwendbar scheint.
Bleibt Ihr Unternehmen jedoch mit den aktuellen Gegebenheiten auf dem Laufenden und setzt Best Security
Practices ein, so kann Sie das vor dem Wiederholen früherer Fehler bewahren. Nachstehend finden Sie eine
Zusammenfassung bewährter Praktiken, die Ihnen dabei helfen können, die Security-Fallstricke zu vermeiden,
die sowohl großen als auch kleinen Kunden zum Verhängnis werden können.
„Entdecken“ versus „Verhindern“
In der Netzwerksicherheit werden meist der „Detect“-, also „Entdecker“-Modus für weniger kritische Gefahren
und der „Prevent“- bzw. „Verhindern“-Modus für schwerwiegende, hochriskante Bedrohungen genutzt. Wir
hören häufig von Kunden, dass ein Angriff zwar entdeckt aber nicht verhindert werden konnte, weil er falsch
kategorisiert wurde. Stellen Sie also eine regelmäßige Prüfung Ihrer Threat-Richtlinien sicher, so dass diese
immer richtig kategorisiert sind.
Patches nicht mehr aktuell
Obwohl Patches selbst für Jahre alte Schwachstellen auf bestimmten Plattformen zur Verfügung stehen, sind
sie häufig nicht installiert. Angreifer machen sich diese Nachlässigkeit zu Nutze. Je älter die Sicherheitslücke,
umso wahrscheinlicher ist die Existenz eines Open Source-Exploits. Damit Sie sich hier nicht zum leichten
Opfer machen, empfehlen wir Ihnen frühes und häufiges Patchen.
Schwache Passwort-Policy oder
Wiederverwendung von Passwörtern
Die meisten, mit Brute-Force-Attacken gewonnenen Zugangsdaten werden gestohlen, weil das Passwort für
ein Userkonto schwach ist. In anderen Fällen konnten User-Accounts übernommen werden, weil das Passwort
für eine Website auch für eine andere, kompromittierte Seite genutzt wurde. Durch das Festlegen strengerer
Passwort-Richtlinien und die Aufklärung der Anwender über die Gefahren der Mehrfachverwendung von
Passwörtern können Unternehmen die Gefährdung von Nutzerkonten deutlich reduzieren. Mehr noch, gute
Passwörter machen Ihre Netzwerke stärker.
Abschottung von Unternehmensbereichen
In großen Organisationen beobachten wir oft die Zurückhaltung von Informationen zwischen einzelnen
Unternehmensbereichen, manchmal auch die gegenseitige Schuldzuweisung zwischen den Abteilungen.
In einigen Unternehmen fehlt es schlicht an Mechanismen für den internen Informationsaustausch oder
konsistente IT-Policies, was z.B. dazu führt, dass ein Geschäftsbereich ein deutlich moderneres Netzwerk hat,
als ein anderer. Unglücklicherweise sind viele der Netzwerke nicht segmentiert, so dass der Einbruch in ein
Abteilungsnetz dem Einbruch in alle Geschäftsnetze gleich kommt.
30
EMPFEHLUNGEN
Man könnte annehmen, dass etwas, das man kennt,
• Schützen, was wichtig ist. Erweitern Sie Ihren IPS-
entsprechend leichter zu kontrollieren ist. Was
Schutz und stellen Sie so sicher, dass Sie auch sehr
Sie im vorstehenden Kapitel über Malware lesen
schwere Attacken abwehren können. Schützen Sie
konnten, widerlegt diese Annahme allerdings.
Ihre Netzwerkserver und IT-Infrastruktursysteme,
unabhängig von Hersteller oder Plattform.
Die Bekämpfung bekannter Malware erfordert einen
•Verwalten und pflegen. Bleiben Sie auf dem
mehrschichtigen Ansatz. Das wichtigste Prinzip:
Laufenden beim Thema Sicherheitslücken und
Automatisieren und koordinieren Sie mehrere
führen Sie Patch-Prozesse für alle Systeme und
Verteidigungsebenen.
Applikationen durch.
• Erkennen und Verhindern. Stellen Sie sicher, dass
•Regulieren und begrenzen. Begrenzen Sie für die
neben Gateway- und Endpoint Anti-Virus-Software
Client- und Serverkonfiguration die Vergabe von
auch URL-Filtering zum Einsatz kommt. Dies hilft
Administratorrechten. Unterbinden Sie Java und
dabei, den Verbindungsaufbau mit den bekannten
andere Skriptsprachen und legen Sie fest, welche
Distributoren von Malware zu verhindern.
Applikationen auf Endpoints installiert werden
•Blockieren von Bots. Setzen Sie ein Anti-Bot
dürfen.
Software Blade ein, das Malware erkennt und
Botnet-Kommunikation eindämmt.
„So etwas wie vollkommene Sicherheit, das gibt es nicht,
es gibt nur verschiedene Stufen von Unsicherheit.“ 17
–Salman Rushdie, Autor
31
04
MOBILE SECURITY:
SCHRÄNK’ MICH NICHT EIN
„Abgesehen von dem Bekannten und dem Unbekannten,
was gibt es da noch?“ 18
–Harold Pinter, Nobelpreis-Träger, Dramatiker, Drehbuchautor, Regisseur, Schauspieler
32 32
| INTRODUCTION
METHODOLOGY
32
| CHECK POINTAND
- 2015
SECURITY REPORT
42%
erfuhren Mobile Security-Vorfälle mit
Kosten von über 250.000 US-Dollar.
Mit dem Aufkommen der Mobilität ging auch das
Es war vorhersehbar, dass der wachsende Trend
Versprechen
zusätzlicher
zu Bring Your Own Device (BYOD) Unmengen von
Produktivität einher. Der Gedanke an mobile
Mobile Security-Problemen erzeugen würde. Mobile
Sicherheit kam bei vielen erst deutlich später.
Endgeräte sind der ideale Angriffsvektor. Sie bieten
Ziel
von
einen deutlich einfacheren, direkten Zugang zu
Lösungen, die Produktivität frei geben, und zwar
wertvollem Geschäftseigentum, als jeder andere
unabhängig davon, ob man sich innerhalb oder
Zugangspunkt zum Netzwerk. Das macht sie zum
außerhalb der Geschäftsräume befindet. Dies
schwächsten Glied in der Security-Kette.
war
von
der
zunächst
Freisetzung
die
Identifikation
wird besonders wichtig durch die zunehmende
Verbreitung
zusammen
von
mit
Smartphones
den
dazu
und
gehörigen
Tablets,
In einer von Check Point unterstützten, weltweiten
Apps.
Studie unter mehr als 700 Unternehmen gaben 42
Mobile Endgeräte machen unser Leben vielfach
Prozent der Befragten an, dass sie bereits Mobile
leichter und sollen deshalb, so der Wunsch
Security-Probleme hatten hinnehmen müssen, deren
vieler User, auch am Arbeitsplatz genutzt werden
Behebung sie mehr als 250.000 US-Dollar gekostet
dürfen – wo sie aber die Daten des Unternehmens
hat. Und 82 Prozent der Teilnehmer erwarteten für
neuen, hohen Risiken aussetzen.
2015 eine Zunahme der Störfälle.
33
MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 33
GESCHÄFTSDATEN IN GEFAHR
cc
GEISTIGES
EIGENTUM
STANDORT DES
MITARBEITERS
NETZWERKZUGANGSDATEN
BEVORZUGTE
KOMMUNIKATION
TELEFONATE
4.1
Eine schwache Mobile Sicherheit kann Hackern
geben 86 Prozent der IT-Verantwortlichen an, dass
Zugang zu Personendaten, Passwörtern, geschäft-
gedankenlose Mitarbeiter eine größere Gefahr für
licher und privater Email, Geschäftsdokumenten,
die Sicherheit darstellen, als Cyberkriminelle. Und
Applikationen und Unternehmensnetzen verschaffen.
92 Prozent räumen ein, dass durch ein anderes
Entsprechend wachsen die Bedenken gegenüber der
Verhalten der Mitarbeiter schwerwiegende Security-
geschäftlichen Nutzung mobiler Geräte. Tatsächlich
Vorfälle hätten verhindert werden können.
AUSSER KONTROLLE
91 Prozent der Studienteilnehmer haben im Laufe
App-Entwickler ihre Apps nicht auf Security hin
der beiden letzten Jahre eine Zunahme der privat
überprüfen. 19
genutzten, mobilen Endgeräte festgestellt, die
auch auf das Unternehmensnetzwerk zugreifen.
Es ist also keine Überraschung, dass für die
Es ist daher alarmierend, dass 44 Prozent der
IT die beiden größten Herausforderungen in
Organisationen die auf den privaten Endgeräten
der BYOD-Security in der Absicherung der
der Mitarbeiter befindlichen Geschäftsdaten nicht
Unternehmensinformationen
verwalten. Hinzu kommt, dass 33 Prozent der
Befragten) und dem Management persönlicher
34 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN
34
(72
Prozent
der
Endgeräte bestehen, die sowohl geschäftliche als
iOS-Geräte in mehr als 100 Ländern untersucht,
auch private Daten und Applikationen enthalten
die über Check Point-Firewalls auf geschäftliche
(67 Prozent der Untersuchungsteilnehmer).
Drahtlosnetzwerke zugriffen. Sollten Endgeräte
hierbei mit einem Command & Control (C&C)-
Noch
mehr
Gewicht
BYOD-
Server kommunizieren, würden sie als infiziert
Herausforderungen im Kontext einer weiteren,
eingestuft. Die Analysten stellten fest, dass von
global durchgeführten Studie zu. Hier wurde
1.000 Endgeräten jeweils eines infiziert war. Die
kommerzielle,
Observierungssoftware
Untersuchung ergab außerdem, dass bei 2.000 oder
unter die Lupe genommen, wie sie typischerweise
mehr mobilen Endgeräten in einer Organisation
für die Überwachung – in manchen Fällen auch
eine 50prozentige Wahrscheinlichkeit besteht,
für das Ausspionieren – von Kindern genutzt
dass sich mindestens sechs infizierte oder
wird. Der Grund: Solche Produkte sind anfällig
ins Ziel genommene, mobile Endgeräte im
für mobile Remote Access-Trojaner (mRATs), die
Netzwerk befinden. Nach Plattform betrachtet,
ganz oben auf der Liste mobiler Malware stehen.
fallen davon 60 Prozent auf Android und 40 Prozent
Es wurden mehr als 500.000 Android- und 400.000
auf iOS.
mobile
kommt
den
BYOD-HERAUSFORDERUNGEN AN DIE SECURITY
72
ABSICHERUNG DER GESCHÄFTSINFORMATIONEN
MANAGEMENT PERSÖNLICHER ENDGERÄTE,
DIE SOWOHL GESCHÄFTLICHE ALS AUCH PRIVATE
DATEN UND APPLIKATIONEN ENTHALTEN
67
59
NACHVERGOLGUNG UND KONTROLLE DES ZUGRIFFS
AUF GESCHÄFTLICHE UND PRIVATE NETZWERKE
46
FORTLAUFENDE AKTUALISIERUNG DER MOBIL
GENUTZTEN BETRIEBSSYSTEME UND APPLIKATIONEN
42
FINDEN AGNOSTISCHER SECURITY-LÖSUNGEN
(Z.B. FÜR DAS MANAGEMENT ALLER BETRIEBSSYSTEME)
5
WIR HABEN KEINE BYOD-HERAUSFORDERUNGEN
ANDERE
4.2
2
35
STUDIE ZU MOBILEN BEDROHUNGEN
Gezielte Attacken auf mobile Endgeräte im Unternehmen
Untersuchungsstichprobe
Mehr als 500.000 Android- und 400.000 iOS-Geräte aus
mehr als 100 Ländern
Infektionen
Etwa 1.000 infizierte Endgeräte, davon 60% Android
und 40% iOS
Malware
Es wurden mehr als 20 Varianten und 18 verschiedene
mRAT-Produktfamilien entdeckt
Risiko
Unternehmensdaten in Form von Emails, Messages,
Keystrokes, Telefonaten und Mitarbeiterstandort
WAS IST DER SCHADEN?
Hacker
können
ein
Unternehmen
angreifen,
Organisationen ins Visier nahmen, innerhalb
indem sie sensitive Informationen von den
derer sie dann verschiedene Ziele angriffen – statt
mobilen Endgeräten seiner Mitarbeiter abziehen.
auf die Angestellten beliebiger Organisationen
Schadhafte
mRATs
abzuzielen und diese dann ohne Zusammenhang
Angreifern
möglich,
machen
Daten
es
potenziellen
von
mobilen
mit dem Unternehmen zu attackieren.
Endgeräten zu stehlen. Sie können die Kontrolle
über verschiedene Sensoren übernehmen und
Auf die Frage, welche mobile Plattform nach ihrem
damit z.B. Keylogging ausführen, Nachrichten
Ermessen
stehlen, Videokameras einschalten u.v.m. Die
bezeichneten in der schon zuvor erwähnen Studie
Untersuchung ergab interessanterweise, dass
rund 64 Prozent der IT-Verantwortlichen Android als
besonders Mitarbeiter großer Organisationen zum
größtes Risiko – gefolgt von Apple iOS und Windows
Ziel von mRATs werden. Insbesondere zeigte die
Mobile mit je 16 Prozent. Nur vier Prozent nannten
Studie, dass die Angreifer bevorzugt bestimmte
BlackBerry.
36
die
meisten
Probleme
verursacht,
18 MRAT FAMILIES FOUND
Andere
TalkLog
MobiStealth
My Mobile Watchdog
Shadow Copy
Mspy
Mobile Spy
Bosspy
Spy2Mobile
4.3
37
ACHTUNG VOR DEM BINDER
Das Schöne an der Interprozess-Kommunikation (IPC) ist, dass sie unterschiedliche, spezialisierte Prozesse
innerhalb eines Betriebssystems ineinandergreifen lässt. In Android ist der hierfür erforderliche MessagePassing-Mechanismus „Binder“. Im Oktober 2014 fanden Check Point-Experten in Verbindung mit diesem
System einen gravierenden Fehler, den sie in einem Report mit dem Titel „Man-in-the Binder: Wer die IPC
kontrolliert, kontrolliert das Droid“ dokumentierten. Im Wesentlichen stellten die Check Point-Forscher
fest, dass es die Möglichkeit gibt, die über das Binder-Protokoll kommunizierten Daten und sensitiven
Informationen abzufangen.
Die wichtigsten Ergebnisse:
• Informationen, die über die Applikationen auf einem Android-Device gesendet und empfangen werden,
einschließlich der durch 2-Faktor-Autentifierzierung, Verschlüsselungscodierung und andere SecurityMaßnahmen gesicherten Daten, können abgefangen werden.
• In die abgefangenen Befehlszeilen können „Man-in-the-middle“-Kommandos eingegeben, es können also
sog. Janus-Angriffe durchgeführt werden.
• Über den Binder abgefangene Daten können Eingaben über die Gerätetastatur, anwendungsbezogene
Aktivitäten wie Banking, Transaktionen und SMS-Nachrichten umfassen.
Sie erfahren mehr über Man-in-the-Binder und andere Untersuchungsergebnisse von Check Point unter
checkpoint.com/threatcloud-central.
Kein Wunder also, dass Hacker mit Android einen
den kommenden Monaten werden wir uns mehr und
Heidenspaß haben – weist es doch einen deutlich
mehr mit den Security-Auswirkungen von tragbarer
höheren Risikofaktor auf, als andere Lösungen.
Technologie und uns begleitenden Devices wie Fitbit,
Eine erst kürzlich entdeckte Malware macht
Google Glass, Smartwatches und anderen Geräten,
Android-Benutzer glauben, dass sie ihr Mobilgerät
die sich wiederum mit Tablets und Smartphones
ausgeschaltet haben – was aber nicht wirklich
verbinden, beschäftigen müssen. Das Internet
der Fall ist. Berichten zufolge erlaubt die Malware
der Dinge (Internet of Things, IoT) wird sowohl zu
dann Remote-Anwendern mit dem Device des
Hause als auch am Arbeitsplatz allgegenwärtig, und
Opfers zu telefonieren, Nachrichten zu senden
die Vernetzung der Technologien wird es möglich
und zu empfangen und sogar Fotos zu machen.
20
machen, alles zu lesen, was von einem Gerät auf
Letztendlich eröffnet dies einen einfachen Weg zum
ein anderes übertragen wird. Es ist deshalb an
Diebstahl von Identitäten und Daten.
der Zeit, dass wir uns intensiv mit den Fragen und
Auswirkungen von Mobile Security befassen.
Es ist erfolgskritisch, sich der Risiken bewusst zu
sein, die mit mobiler Technologie einhergehen. In
38
EMPFEHLUNGEN
Bauen Sie nicht auf MDM als
Alleinlösung
Schirmen Sie Bereiche voneinander ab
Mobile Device Management (MDM) erlaubt der IT-
Schaffen Sie eine sichere Geschäftsumgebung
Abteilung die Kontrolle darüber, was der Anwender
und separieren Sie Ihre Geschäftsdaten und
mit seinem Endgerät tun darf, und was nicht. Doch
Applikationen, einschließlich der Daten auf privaten
MDM weist auch zwei entscheidende Defizite auf:
Endgeräten.
Zum einen können MDM-Policies aus Anwendersicht,
können Schutzmaßnahmen zur Absicherung der
je nach IT-Abteilung, als sehr restriktiv empfunden
Unternehmensdaten aktiviert werden, bis die Gefahr
werden. Fühlen sich die Mitarbeiter aber in ihrer
beseitigt ist.
Wird
das
Gerät
kompromittiert,
Freiheit beschnitten, finden sie gerne Wege, die
Security-Maßnahmen
zu
umgehen.
Zweitens
Vereiteln Sie Bedrohungen
ist aus Unternehmenssicht zu berücksichtigen,
Identifizieren und verhindern Sie Cyberbedrohungen
dass MDM die mobilen Endgeräte nicht wirklich
und schützen Sie Ihre mobilen Endgeräte. Stellen
schützt, denn MDM-Lösungen umfassen keine
Sie sicher, dass Ihre Mobile Security-Lösung dabei
Malware-Funktionalitäten.
neben
unterstützt, verdächtige Downloads zu verhindern,
MDM also immer noch Lösungen identifizieren, die
schadhafte Webseiten zu blockieren und Gefahren
das Endgerät selbst schützen sowie die ein- und
abzuwenden, noch bevor diese Schaden anrichten
ausgehenden Daten kontrollieren.
können.
Schützen Sie den Weg
Gehen Sie in die Cloud
Der Schutz von Dokumenten ist ein in der Mobile
Schützen Sie Ihren Netzwerkverkehr über Cloud-
Security gerne übersehener Aspekt. Kontrollieren
Services, die Ihre geschäftlichen Richtlinien auf
Sie Ihre Geschäftsdokumente, ganz egal, wohin sie
mobile Endgeräte (BYOD) ausweiten und Ihre Com-
gehen. Verschlüsseln Sie Ihre Dateien und stellen
pliance sicherstellen. Nutzen Sie eine Lösung, die
Sie sicher, dass ausschließlich autorisierte Nutzer
für inner- und außerbetriebliche Nutzung nur eine
Zugriff haben. Lösungen wie Check Point Capsule
Security-Policy nutzt und durchsetzt und Ihre Mobil-
bieten
anwender auch über die Grenzen der betrieblichen
Sie
Dokumentensicherheit
müssen
und
granulare
Kontrolle über die Datenzugriffsberechtigung.
Security-Maßnahmen hinaus begleitet.
„Was wir mit Technologien wie mobilen Endgeräten und Cloud Computing
erleben ist, dass sie Geschäftsmodelle ermöglichen, die bisher schlicht
nicht existiert haben…
Die etablierten Giganten dieser Welt werden empfindlich gestört von jungen
Unternehmen, die neue Technologien zu nutzen wissen, um für Ihre Kunden
grundlegend neue, noch nie da gewesene Wertangebote zu schaffen.“ 21
-Eric Schmidt, Chairman von Google
39
05
APPLIKATIONEN:
DORT, WO ES WEH TUT
„Da sich unsere Gesellschaft zu einer entwickelt,
die auf Daten gestützt ist, werden unsere kollektiven
Entscheidungen darüber, wie diese Daten genutzt
werden können, bestimmen, in welcher Form von
Kultur wir leben.“ 22
–John Battelle, Entrepreneur, Autor, und Journalist
40
96%
der Organisationen nutzen wenigstens
eine hochriskante Applikation.
Die digitale Landschaft, in der wir leben, ist
Forscher haben sie in 96 Prozent aller untersuchten
heimtückisch und trügerisch. Die Gefahren treten in
Organisationen nachgewiesen – ein Zuwachs um 10
Form von Angriffen, internen Fehlern oder Sabotage
Prozentpunkte gegenüber dem Vorjahr.
auf. Ein ganz besonders verletzlicher Bereich
der Unternehmen ist jedoch der, worauf sich ihre
Zu
geschäftliche Produktivität am stärksten stützt: die
gehören:
Applikationen.
• Remote eingesetzte Administrations-Tools –
den
wichtigsten,
untersuchten
Kategorien
Applikationen wie TeamViewer, RDP und LogMeIn
Einige Applikationen, wie File Sharing, sind ganz
ermöglichen den Fernbetrieb Ihres Rechners und
offensichtlich
treten
seiner Funktionen, so als sei die Person physisch
hier weniger hervor, denn sie sind Teil der s.g.
riskant.
zugegen. Ein Handy-Tool für die Fehlersuche bei
„Schatten-IT“ – Applikationen also, die nicht von der
IT-Problemen kann gleichzeitig ein Werkzeug für
zentralen IT-Organisation gefördert oder unterstützt
Hacker sein, das ihnen beängstigend viel Kontrolle
werden.
und Macht über Ihr Netzwerk gibt.
Vielmehr
Andere
werden
jedoch
diese
Technologien
und Anwendungen an der IT vorbei erworben und
installiert – als Zusatztools, die den Usern ihre Arbeit
• Dateiablage und Sharing – Applikationen wie
erleichtern.
DropBox und andere ermöglichen Ihnen den
Austausch und das Arbeiten mit größeren Dateien,
Da
also
andere
von
diesen
Applikationen
als Sie gewöhnlich per Email versenden können.
abhängen, kann die IT ihren Einsatz nicht einfach
blockieren. Sind die Tools aber erlaubt, muss
• P2P File Sharing – Das BitTorrent-Protokoll und
auch die entsprechende Threat Prevention, also
SoulSeek sind nur zwei Beispiele dafür, was in der
Gefahrenabwehr, implementiert sein. Das Netzwerk
Regel für den Austausch von Medien wie Musik,
muss unter der Annahme geschützt werden, dass
Videos oder Echtzeit-Kommunikation genutzt wird.
diese
hochriskanten
Applikationen
tatsächlich
schadhaft SIND und nicht, dass sie es sein KÖNNTEN.
• Anonymizer – Mithilfe von Browser-Plugins oder
Um Ihnen einen Eindruck von der Verbreitung
Web-Services wie Tor oder OpenVPN können Online-
hochriskanter Applikationen zu geben: Check Point-
Anwender anonym agieren. Solche Tools können
41
APPLIKATIONEN: DORT, WO ES WEH TUT | 41
NUTZUNG HOCHRISKANTER APPLIKATIONEN IN UNTERNEHMEN
2014
2013
92
2012
90
86
81
86
77
75
80
61
62
56
43
REMOTE-ADMINISTRATION
FILE STORAGE UND -SHARING
P2P FILE SHARING
5.1
ANONYMIZER
legitim genutzt werden und Risiken reduzieren.
Der Einsatz von Anonymizern nahm der Check
Allzu oft aber werden sie für bösartige Zwecke
Point-Studie zufolge über alle Bereiche hinweg zu.
missbraucht.
Und während die Top-3-Vektoren in jeder wichIn 2014 führten Remote Admin-Tools (RATs) die
tigen Kategorie von hochriskanten Applikationen
Liste der Vorfälle mit hochriskanten Applikationen
gegenüber dem Vorjahr in etwa konsistent
an, 92 Prozent der untersuchten Unternehmen
blieben, zeigte die Anonymizer-Kategorie mehr
waren betroffen. Unter allen verfügbaren RATs
Bewegung auf. So bildeten hier zum Beispiel Tor,
verdrängte
Admin-Werkzeug
Ultrasurf und Hide My Ass das führende Triple. In
RDP von Platz Eins der Angriffsvektoren in dieser
diesem Jahr rutschte Tor auf den dritten Platz,
Kategorie – 78 Prozent der Organisationen räumten
OpenVPN und Coralcdn waren die Nummern Eins
Sicherheitsvorfälle mit TeamViewer ein.
und Zwei.
TeamViewer
das
In 92% der Organisationen
wurden Remote Admin-Tools gefunden.
42 | APPLIKATIONEN: DORT, WO ES WEH TUT
42
Wo ist Waldo?
Ob es um finanzielle Interessen geht oder einfach darum, ein Zeichen zu setzen – Hacker haben
zahlreiche Tools zur Verfügung, um ihren Standort und ihre Identität zu verschleiern. Anders als
landläufig in Hollywood-Streifen dargestellt, ist die Verfolgung und Identifizierung von Online-Kriminellen
sehr komplex.
Cybercrime-Ermittler räumen ein, dass sie meist nur die kleinen Fische fangen, wenn es um
Computerkriminalität geht. Kriminelle Organisationen, meist geführt von gut informierten und
erfahrenen Hackern, bleiben häufig unentdeckt. Da sie geografisch verteilt, gut strukturiert und in
Teilen voneinander abgeschottet arbeiten, kennen einzelne Hacker meist nur einen kleinen Teil der
großen Organisation – was die Wahrscheinlichkeit ihrer Aufdeckung noch geringer werden lässt.
Für ihre Machenschaften „unter dem Radar“ setzen Cyberkriminelle ein ganzes Arsenal an Tools ein,
das ihre Anonymität wahrt. Zunächst gilt es, die Spuren im Internet, die zu ihrem Standort führen
könnten, zu verwischen. Das einfachste Tool hierfür ist ein Web-Proxy.
Auch „Anonymizer“ genannt, agiert ein Proxy-Server als zwischengeschalteter Client-Computer, der
Requests an die ursprünglich angefragte Zieladresse zurückgibt. In den Anfangszeiten des Internet
halfen Web-Proxys dabei, die IP-Adresse einer Quelle zu verbergen, werden aber heute viel
einfacher aufgedeckt.
Sie verbergen ihren Standort
Die Nutzung von VPN-Verbindungen ermöglicht dem Sender das Verschlüsseln des Datenverkehrs
zwischen Endpunkten. Der VPN-Server kann genutzt werden, um die Identität eines Senders zu
verbergen, indem er die Source-IP unauffindbar macht (in Echtzeit). Die Verbindung zwischen dem
Rechner des Angreifers und dem VPN-Server ist verschlüsselt, so dass der Datenverkehr nicht
entschlüsselt werden kann. Weder der VPN-Server selbst ist maskiert, noch sind es die Daten, sind
sie einmal über die Grenzen der VPN-Verbindung hinaus geschickt worden.
Sie verbergen ihren Weg
Für weiter fortgeschrittenes Anonymizing setzen manche auf Tools wie Tor-Netzwerke. Das „Tor-Projekt“
setzt frei erhältliche Software ein, die ein Netzwerk aus 5.000 freiwilligen Relais-Stationen nutzt, um so
den Standort und die Nutzung jedes einzelnen Nutzers zu tarnen. In einer Art Zwiebelschichtverfahren
nutzt das Tor-Netzwerk für die Adressierung verschiedene Verschlüsselungsebenen, so dass ein Relais
immer nur die Adresse für die nächste Station sehen kann, nicht aber die Quelle oder die endgültige
Zieladresse.
Sie verbergen ihre Computer ID
Jeder Rechner, der auf das Internet zugreift, hat seinen eigenen Fingerabdruck: die interne, für jeden
Computerprozessor einzigartige MAC-Adresse, in Verbindung mit seinen Betriebssystem- und WebZertifikaten. Eine der populärsten Möglichkeiten, eine Computeridentität zu verbergen bietet „Tails“,
ein Betriebssystem, das von einer CD oder einem USB-Stick gebootet werden kann. Sein s.g. „Onetime Workstation“-Feature transferiert die Identifikationssignaturen des Rechners zu dem CD/USBBetriebssystem. Nach einmaliger Nutzung wird die CD/USB zerstört. Auf diese Weise können Angreifer
die Rechneridentitäten auf dem gleichen Computer beliebig oft auswechseln.
In einigen Fällen nutzen Hacker mehrere Verhüllungsebenen, wie z.B. die Verbindung zu einem VPN
hinter dem Tor-Netzwerk, bezogen aus einem öffentlichen Wi-Fi, was sowohl den Ursprungsrechner
als auch die Stellen für das Internet-Routing verschleiert.
43
DIE RISKANTESTEN APPLIKATIONEN NACH REGION
2014
AMERICAS
Hola
ANONYMIZER
∙
Tor
BitTorrent Protocol ∙ SoulSeek
BoxCloud
FILE STORAGE
UND SHARING
Dropbox ∙ Hightail
Windows Live Office
RDP
∙
LogMeIn
∙
TeamViewer
APAC
OpenVPN ∙ Coralcdn
Proxy Suppliers
Coralcdn
∙
P2P FILE SHARING
REMOTE ADMIN
EMEA
BitTorrent Protocol
iMesh
Dropbox
∙
TeamViewer
SoulSeek
∙
OpenVPN
∙
Tor
BitTorrent Protocol ∙ Xunlei
QQ Download
Hightail
∙
Jalbum
Dropbox
RDP
∙
LogMeIn
TeamViewer
∙
Coralcdn
∙
∙
Hightail
∙
Mendeley
∙
RDP
LogMeIn
∙
2013
ANONYMIZER
Tor
∙
Ultrasurf
∙
OpenVPN ∙ Coralcdn
Proxy Suppliers
Hotspot Shield
BoxCloud
eDonkey Protocol
FILE STORAGE
UND SHARING
Dropbox
Dropbox
REMOTE ADMIN
RDP
P2P FILE SHARING
∙
∙
Windows Live Office
Hightail
LogMeIn
∙
TeamViewer
RDP
∙
∙
Windows Live Office
Hightail
TeamViewer
∙
LogMeIn
5.2
44
Ultrasurf
Tor
∙
∙
Hide My Ass
BitTorrent Protocol
SoulSeek
Dropbox
∙
∙
Xunlei
Windows Live Office
Hightail
TeamViewer
∙
RDP
∙
LogMeIn
SOURCE: Check Point Software Technologies
Die Organisationen erfuhren 12,7 Vorfälle
mit hochriskanten Applikationen
pro Stunde, also 305 pro Tag.
„Hide My Ass“ war nicht sichtbar. Wahrscheinlich
durchbrochen werden kann. Inzwischen haben auch
gewann OpenVPN an Popularität als Folge der
andere Anonymizer stark an Popularität gewonnen,
Edward Snowden-Enthüllungen zu den Lauschan-
auch wenn sie noch nicht zu den Top-3 gehören.
griffen der NSA. Der Grund ist, dass OpenVPN als
Industriestandard eine Verschlüsselungstechnologie
So hat es z.B. die Anonymizer-App Hola von nur
nutzt, die bei korrekter Implementierung nicht
drei Prozent auf jetzt 17 Prozent geschafft. Ein Teil
TOP REMOTE
ADMIN-APPLIKATIONEN
2014
78
TOP FILE STORAGE- UND
SHARING-APPLIKATIONEN
TOP P2P FILE
SHARING +
BITTORRENT
PROTOKOLLAPPLIKATIONEN
2014
2013
84
85
2012
2014
69
69
60
51
48
43
24
21
14 14
11 11
16 15 14
22
14 13
9
DO
W
W
IN
TT
OR
BI
M
AM
R
SO EN
UL T
SE
E
XU K
N
LE
IM I
E
ED SH
ON
KE
Y
N
VN
YY
C
RE
M GO ADM
OT T
ES OA IN
UP SS
PO IST
RT -
EI
LO
GM
ER
RD
P
EW
VI
AM
26
DR
OP
HI BO
S
X
G
LI H
VE TA
I
L
O
M FFI
E
C
IM ND E
AG EL
EV EY
EN
JA UE
LB
W
IN
UM
D
HI OW D
GH S RO
TA LIV PB
IL E
O
(Y OF X
OU FI
C
S
E
SU EN
GA DIT
IM R
)
AG SY
EV NC
M EN
EN U
W
DE E
IN
LE
DO
Y
HI
GH WS DRO
TA LIV PB
IL E
O
(Y OF X
OU F
I
SE CE
M ND
EN IT
SU DE )
G L
IM AR EY
AG SY
EV NC
EN
UE
13 12
11
12 11
TE
20
5.3
45
APPLIKATIONEN: DORT, WO ES WEH TUTS | 45
DIE POPULÄRSTEN
ANONYMIZER-APPLIKATIONEN
2014
2013
EINSATZ VON ANONYMIZERAPPLIKATIONEN NACH REGION
2014
2012
2013
2012
64
63
59
58
54
54
49
49
40
35
23
19
23
18
17 17
15 14
12 10 10
8
7
T
UL
TR OR
A
HI
S
DE UR
M F
Y
OP ASS
EN
VP
N
UL
T
TR OR
A
HI
S
DE UR
M F
Y
OP ASS
EN
CO VP
RA N
LC
DN
OP
EN
CO VP
RA N
LC
PR
DN
OX
Y
SU
TO
PP R
LI
ER
S
HO
LA
3
AMERICAS
5.4
EMEA
APAC
ihres Erfolgswegs kann der Tatsache zugeschrieben
erlaubt, kann mit Hola auf Programmierungen, die
werden, dass sie zur richtigen Zeit am richtigen Ort
ansonsten nur an einem bestimmten, geografischen
war. Hola tauchte exakt vor den Olympischen Spielen
Standort zur Verfügung stehen, von allen zugegriffen
in Sochi 2014 aus der Beta-Testphase auf. Da es über
werden, die das Tool zur Verschleierung ihrer
Ländergrenzen hinweg den Zugriff aufs Internet
Geolokation benutzen.
46
EMPFEHLUNGEN
Während Malware – sowohl bekannte als auch
Unternehmen fördern. Legen Sie dann fest, welche
unbekannte – manchmal unkontrollierbar erscheint,
Personen auf diese Programme Zugriff haben
kann man die Nutzung hochriskanter Applikationen
sollten. Überwachen Sie Ihr Netzwerk und stellen
immerhin in eine gewisse Ordnung bringen.
Sie sicher, dass dort keine abnormalen Applikationen
im Umlauf sind.
Nachstehend empfehlen wir Ihnen vier Schritte,
durch die Sie die Gefahr minimieren können:
3. Verschlüsseln Sie Ihre Dokumente und verhindern
1. Schulen Sie Ihre Mitarbeiter. Helfen Sie den
Sie so den Verlust von Daten. Wird eine Datei an eine
Menschen in Ihrer Organisation dabei, die mit
hierfür nicht berechtigte Person weitergegeben, so
spezifischen Applikationen verbundenen Risiken zu
hindert die Verschlüsselung den Empfänger daran,
verstehen. Gehen Sie nicht davon aus, dass sie es
das Dokument zu sehen oder zu öffnen.
schon wissen. Weisen Sie die Mitarbeiter außerdem
auf sicherere, von der IT unterstützte Tools hin, die
4.
Definieren
und
praktizieren
Sie
Kategorie-
ihren Geschäfts- und Produktivitätsanforderungen
basierte Applikationskontrolle. Helfen Sie Ihren
ebenfalls genügen.
Administratoren dabei, Ihnen zu helfen. Geben Sie
ihnen die Möglichkeit, bei Bedarf ganze Kategorien
2. Standardisieren Sie auf bewährte, in größeren
von Applikationen zu blockieren. Dies vereinfacht
Unternehmen einsetzbare Applikationen. Identi-
die Administration durch Ausweitung der Policy-
fizieren Sie die spezifischen Applikationen, die
Kontrolle auf neue Applikationen, sobald diese
die Produktivität und die Innovationen in Ihrem
aufgenommen werden.
„Wir leben in einer Welt voller Risiken, und es ist höchste
Zeit dass wir uns ernsthaft damit befassen, über welche
davon wir besorgt sein sollten.“ 23
-Lisa Randall, Physkerin
47
06
DATA LOSS:
WIE SAND DURCH‘S
STUNDENGLAS
„Fehler sind eine Gegebenheit des Lebens. Es ist
die Antwort auf den Irrtum, die zählt.“ 24
–Nikki Giovanni, Dichter, Schriftsteller, Pädagoge und Aktivist
48
Die Datenverlustrate bei den
Unternehmen betrug 1,7mal pro
Stunde/41mal pro Tag.
Einbrüche ins Datennetz sind nicht der einzige Weg,
mit genau den richtigen Worten, um eine Antwort
auf dem die „bösen Jungs“ ihren Job erledigen.
zu erhalten. Einige Arbeitgeber haben daher damit
Manchmal setzen sie Komplizen ein, auch wenn dies
begonnen,
unwissentliche Helfer sind. Hier kommen Social
Da interne Fehler zu einem großen Schlupfloch
Engineering und Phishing ins Spiel. Inzwischen
für Datenverluste führen können, senden die
kennen sich Cyberkriminelle so gut mit der
Unternehmen vorgetäuschte Phishing-Mails an die
Psychologie ihrer Opfer aus, dass ihre E-Mails sogar
eigenen Mitarbeiter. Fallen sie darauf herein, ist dies
solchen Personen vertrauenswürdig erscheinen,
eine lehrreiche Erfahrung.
eigene
Phishing-Tests
durchgeführt.
die sich als klug und erfahren bezeichnen würden.
So erhält ein Mitarbeiter beispielswiese eine E-Mail
Auch wenn diese internen Probleme nicht so sehr
von einem Personalvermittler, die den Empfänger
im Fokus der Medien stehen, so sollten sie aber
über eine offene Stelle informiert. Bringt dieser dann
bei
sein Interesse zum Ausdruck, fragt der so genannte
auf der Liste stehen. In 2014 erfuhren 81 Prozent
Personalberater nach detaillierteren Informationen
der Organisationen wenigstens einen Vorfall mit
über das Unternehmen und evtl. andere Bereiche.
potentiellem Datenverlust. Genauer betrachtet liegt
In anderen Fällen erhalten Angestellte E-Mails
die Rate von Data Loss-Vorfällen in den Unternehmen
von Personen, die sich als Kollegen ausgeben und
bei 1,7mal pro Stunde, also 41mal pro Tag – eine
nach sensitiven Informationen fragen, und zwar
Steigerung um 41 Prozent im Vergleich zum Vorjahr.
Security-orientierten
Unternehmen
definitiv
49
DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 49
DURCH MITARBEITER AUS DEM
UNTERNEHMEN HERAUS
GESCHICKTE DATEN
2014
2013
2012
FIRMENEIGENE
INFORMATIONEN
41%
35%
24%
KREDITKARTENDATEN
30%
29%
29%
GESCHÄFTSDATENSÄTZE
20%
21%
6%
SENSITIVE PERSONALINFORMATIONEN
25%
22%
GEHALTSINFORMATIONEN
13%
14%
NETZWERKINFORMATIONEN
13%
14%
PASSWORTGESCHÜTZTE
DATEIEN
10%
10%
14%
VERTRAULICHE
OUTLOOK-NACHRICHTEN
5%
5%
7%
BANKKONTONUMMERN
5%
4%
3%
ANDERE
27%
31%
21%
13%
6.1
50 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS
50
Bei der Art der Daten, die gestohlen werden, liegen
wirklich schlechter Absicht eine vertrauliche E-Mail
schützenswerte, firmeneigene Informationen mit
per „bcc“ auch an externe Empfänger.
41 Prozent deutlich vorn. Und dieser Wert steigt
weiter an, seit 2012 um nahezu 71 Prozent. Den
Interessanterweise nahmen solche Vorfälle in den
unrühmlichen zweiten Platz unter den verlorenen
Unternehmen zwischen 2012 und 2013 etwas ab,
Daten belegen Kreditkarteninformationen, mit einem
stiegen aber in 2014 wieder an. Im Durchschnitt
seit Jahren etwa gleichbleibenden Prozentanteil.
stellten die Unternehmen pro Tag vier Data Loss-
Der größte Sprung, wenn es um den Typ der
Vorfälle fest, bei denen eine E-Mail an verschiedene
verlorenen Daten geht, ist bei Geschäftsdatensätzen
interne Empfänger, gleichzeitig aber auch an
zu verzeichnen. Deren Anteil ist von sechs Prozent
einen
in 2012 auf jetzt 20 Prozent gestiegen. Wie passiert
15 Fälle von Datenverlust pro Tag wurden mit E-Mails
das? In manchen Fällen sendet ein Mitarbeiter eine
festgestellt, die per „an“ und „cc“ an sichtbare
vertrauliche E-Mail vielleicht versehentlich auch an
Empfänger, zugleich aber auch per „bcc“ an mehr
jemanden außerhalb der Organisation. Fast jeder
als einen externen Empfänger geschickt wurden.
einzelnen
externen
Rezipienten
ging.
von uns hat sicher schon einmal festgestellt, dass
sich beim Senden einer Email schon nach Eingabe
Es gibt aber noch weitere Gründe für das uner-
der ersten Buchstaben in die Adress-Zeile der Name
wünschte Durchsickern von Daten: Ein Mitarbeiter
von selbst vervollständigt – jedoch nicht immer mit
macht irrtümlich private Informationen online
dem, an den die Nachricht tatsächlich gehen soll. In
verfügbar und ein Dritter – vielleicht eine Aushilfskraft
anderen Fällen sendet ein Mitarbeiter vielleicht in
oder ein Vertragspartner – stiehlt die Daten.
Der Verlust von firmeneigenen
Informationen hat in den vergangenen
drei Jahren um 71 Prozent zugenommen.
Alle 36 Minuten werden sensitive Daten
aus der Organisation heraus geschickt.
51
WOHIN FÜHRT DAS ALLES?
Ganz unabhängig davon, ob die Daten durch
Sie werden am helllichten Tag per „Nachricht an
externe oder interne Machenschaften verloren
alle“ hinausposaunt.
gehen – der Appetit nach ihnen wird von nur
einer
Sache
nach
Und das passiert schneller, als man annehmen mag.
finanzieller Bereicherung. Der Cybercrime ist
So werden Kreditkarteninformationen durchaus
nicht nur profitabel, sondern er ist zum „Big
schon 30 Minuten nach Verlassen ihrer Quelle,
Business“ geworden. Denn die geklauten Daten
z.B. eines Kaufhauses, auf dem Schwarzmarkt
werden nicht mehr nur auf dem Schwarzmarkt
feilgeboten. Je frischer der Diebstahl der Daten,
verkauft,
vermarktet.
umso mehr Geld bringen sie ein. Und wer zahlt
Websites veröffentlichen die derzeit zum Verkauf
dafür? Aufgrund der schlechten Security-Praxis im
stehenden Kreditkarten mit allen relevanten
Einzelhandel haben jetzt Gerichte in den Vereinigten
Kriterien, etwa der herausgebenden Bank und den
Staaten festgelegt, dass die Einzelhändler selbst
Gültigkeitsdaten. Die Informationen werden also
zur Verantwortung gezogen werden können und den
nicht mehr an der dunklen Ecke und unter der
betroffenen Banken ihre Kosten unter Umständen
Hand an ein bis zwei Personen weiter gegeben.
ersetzen müssen.
sie
angeregt:
werden
dem
Hunger
eingehend
ELEKTRONISCHER KARTENELECTRONICS
CARDING SERVICE
VERKAUFSSERVICE
ALL OVER THE WORLD
PROVIDE BULK
CARDING
ALSO
ERHÄLTLICH
AUF
DERSERVICES
GANZEN
WELT
WÖCHENTLICHE UPDATES, FRISCH VOM POS
OF SALE)
FRESH WEEKLY(POINT
UPDATES
SNIFFED FROM POS
411773
VISA
DEBIT
PLATINUM
10/17
Yes
101
United States, NY
Rochester, 14623
BANK OF AMERICA
N.A.
American Sanctions 1
432388
VISA
DEBIT
PLATINUM
05/15
Yes
101
United States, IA
Bettendorf, 52722
WELLS FARGO
N.A.
414548
VISA
DEBIT
BUSINESS
05/16
Yes
101
United States, PA
Hanover, 17331
MEMBERS 1ST F.C.U.
486831
VISA
DEBIT
PLATINUM
04/17
Yes
101
United States, CO
Littleton, 80129
WELLS FARGO
N.A.
448055
VISA
DEBIT
CLASSIC
01/16
Yes
101
United States, WI
Green Bay, 54303
ITS BANK
414709
VISA
CREDIT
SIGNATURE
10/16
Yes
101
United States, CA
Mission Viejo, 92692
CAPITAL ONE BANK
(USA) N.A.
52
52.5$
+
52.5$
+
52.5$
+
52.5$
+
22.5$
+
42.01$
+
UNTERNEHMEN MIT WENIGSTENS EINEM POTENZIELLEN
DATA LOSS-EVENT, NACH INDUSTRIE
2014
2013
2012
88
82
86
88
87
78
78
79
70
61
50
45
FERTIGUNG
FINANZEN
ÖFFENTLICHE HAND
6.2
TELEKOMMUNIKATION
SCHNELLES GELD
So wie Jäger, die auf schnelle Beute aus sind, haben
Zahlungsstandard, der in die Karte einen Chip
sich Cyberkriminelle auf den Point of Sale (PoS)
integriert, so dass sie nur zusammen mit einer PIN
als ihren Jagdgrund fokussiert. Der Hauptgrund:
genutzt werden kann. Hier muss der Einzelhandel
Sehr viele PoS-Terminals laufen auf veralteten
nacharbeiten und seine PoS-Systeme anpassen, um
Betriebssystemen wie Windows XP, die nicht mehr
mit diesem Standard kompatibel zu sein.
gepatcht und verwaltet werden. Im vergangenen
Jahr vermittelte der Blick in die einschlägige Presse
Doch Chip & PIN schützen nicht vor allen Gefahren.
den Eindruck, als würde ein namhafter Einzelhändler
Infektionen wie die „BackOff“-Malware, von der
nach
Sicherheitsvorfällen
zahlreiche US-Unternehmen betroffen waren, brachten
heimgesucht. Das Jahr begann mit einem wahren
eine große Sicherheitslücke ans Licht: Die Malware
Knall, als Neiman Marcus eine Datenpanne erlitt
vorinstallierte Tools in den Beständen von sieben
und 1,1 Millionen Datensätze mit Kontodaten verlor –
großen PoS-Terminal-Herstellern, bevor die Systeme
was jedoch noch im gleichen Monat durch den Vorfall
an den Handel ausgeliefert wurden. Schwache oder
beim Heimwerkermarkt „Michael’s“ übertroffen
gleich gebliebene Admin-Passwörter gaben den
wurde. Dort gingen drei Millionen Datensätze
Hackern den Fernzugriff auf die Geräte.
dem
anderen
von
verloren. Im weiteren Verlauf des Jahres folgten
Taxiunternehmen, Schönheitssalons, Goodwill, UPS
Das Department of Homeland Security berichtet,
und Dairy Queen. Das alles wurde mit 56 Millionen
dass mehr als 1.000 Unternehmen in den USA
verlorenen Datensätzen im September 2014 von
von der PoS-Malware betroffen waren 25, mit einer
Home Depot getoppt. Zusammengenommen flossen
immensen Auswirkung auf Organisationen und
in den Vereinigten Staaten 112.250.000 Datensätze
Einzelpersonen. Allein die Kosten für den Ersatz
in die Hände unbekannter Dritter ab, jeder dritte
von Kreditkarten beliefen sich auf 1,3 Milliarden US-
Amerikaner war betroffen.
Dollar. Eine LexisNexis-Studie mit dem Titel „Die
tatsächlichen Kosten der Computerkriminalität“
Zwar tauchen Infektionen mit PoS-Malware weltweit
(„The True Cost of Fraud“,26) besagt, dass in 2014 der
auf, doch hier liegen die Vereinigten Staaten
durchschnittliche Einzelhändler 133 erfolgreiche,
deutlich vorne – sicherlich auch, weil sie noch
betrügerische Transaktionen pro Monat hinnehmen
nicht in dem Chip- & PIN-Kartensystem sind, das
musste – ein Anstieg um 46 Prozent gegenüber dem
andere Länder nutzen. Chip & PIN ist ein weltweiter
Vorjahr.
53
PoS: Nur ein Chip ist nicht genug
Während 2013 und 2014 erlebte der Einzelhandel
Die Hacker griffen die Einzelhändler über verfüg-
eine alarmierend hohe Anzahl von Datenpannen.
bare Remote-Verbindungen an. So verschafften
Die Angriffe führten zum Verlust von Millionen
sie sich Zugang zu den Netzwerken der Opfer und
von Kreditkarten- und Personendaten der
installierten mehrere Varianten von Malware und
Kunden. Die betroffenen Unternehmen erlitten
Software-Tools, um schließlich die Kundendaten
erheblichen, finanziellen Schaden – der größte
abzufangen und zu exportieren. Schwächen im
der attackierten Einzelhändler verlor 13% seiner
Netzwerkdesign und in der Point-of-Sale (PoS)-
Marktbewertung und erlitt merkliche Einbußen in
Konfiguration vereinfachten den Angreifern darüber
seinem Warenhausverkauf. Derartige Datenlecks
hinaus die Horizontalbewegung und Verseuchung
betreffen große und kleine Unternehmen
mit Malware.
gleichermaßen. Zu den namhaftesten Opfern in
2013 und 2014 gehörten Michaels, Neiman Marcus,
Um sich vor derartigen Attacken zu schützen,
PF Chang’s, Target und Home Depot – sie alle
sollten Sie also auf einen umfassenden Ansatz
erlitten immensen Schaden aus PoS-bedingten
und die Implementierung einer mehrschichtigen
Datenpannen.
Lösung setzen, die das gesamte Netzwerk
adressiert – nicht nur die Teile, die am
Die Bedenken der Kunden bezüglich der Sicherheit
ihrer privaten und finanziellen Daten sind wach
gerüttelt, und die Geschäftsverantwortlichen
bemühen sich energisch um strukturelle
Veränderungen. Die kurzfristigen Auswirkungen
zeigen sich bereits jetzt, was all das langfristig
bedeutet, wird jedoch erst in den kommenden
Jahren deutlich werden.
Als Antwort auf diese Form von Sicherheitsvorfällen
reagieren die Unternehmen oft mit einer Art
Hau-Ruck-Aktion: Sie kümmern sich
beispielsweise nur um die offenkundigste,
sichtbare Schwachstelle oder setzen auf
eine Methode, die in den Medien besonders hohe
Aufmerksamkeit erhält.
Im Falle der jüngsten Datenpannen im Handel
wurde der Schwerpunkt auf die Umstellung
hin zu „Chip & PIN“-Kreditkarten gesetzt – ein
weltweiter Zahlungsstandard, der über den
physikalischen Chip auf der Karte in Verbindung
mit der persönlichen PIN des Karteninhabers auf
2-Faktor-Autentifizierung setzt. Aber schon eine
flüchtige Prüfung der bei den betroffenen Händlern
angewandten Angriffsmethoden zeigt, dass Chip &
PIN allein diese Vorfälle nicht verhindert hätten.
54
verletzlichsten erscheinen.
EMPFEHLUNGEN
Denken Sie immer daran, dass Security nicht still
sich befinden. Wenn Ihre Daten verschlüsselt sind,
steht, nicht statisch ist. Wenn Sie z.B. Ihren Körper
können sie ausschließlich von dafür autorisierten
im Gleichgewicht halten, finden ganz unbemerkt
Personen gesehen werden.
eine Vielzahl subtiler Bewegungen statt, die Ihnen
das aufrechte Stehen ermöglichen. Ganz ähnlich
Erstellen Sie mehrere Schutzebenen mit Prüfstellen
können Sie Ihre Security betrachten. Um mit den
und für den Datenabgleich.
Bedrohungen Schritt zu halten, müssen Sie für eine
konstante Prüfung und Aktualisierung sorgen und
Jeder hilft jedem zu verstehen – von der Führungs-
dabei immer in Bewegung bleiben. Machen Sie nicht
ebene bis zum einzelnen Mitarbeiter – wie wichtig die
schon dort Halt wo Sie denken, dass Sie vor externen
Minimierung von Cybergefahren für den Schutz des
Attacken sicher sind. Stellen Sie sicher, dass
geistigen Eigentums und der unternehmerischen
auch das Innere abgedeckt ist. Insbesondere
Werte ist.
empfehlen wir:
Binden Sie Ihre Belegschaft in die Verbesserung
Schützen Sie Ihre Daten durch Verschlüsselung –
Ihrer Sicherheitslage ein, indem Sie die Mitarbeiter
egal, ob sie gespeichert oder in Bewegung sind. Ziel
darin schulen, wie sie helfen können. Stellen Sie
ist, für Ihre Daten einen schützenden Deckmantel
Sicherheitsregeln auf, die die Mitarbeiter verstehen
zu schaffen, wo auch immer sie hin gehen und
und dabei unterstützen, sie durchzusetzen.
„Es ist besser, nach vorn zu schauen und sich
vorzubereiten, als zurückzublicken und zu bedauern.” 27
-Jackie Joyner Kersee, Athlet und Olympischer Medaillengewinner
55
07
FAZIT UND EMPFEHLUNGEN:
DER WEG ZU MEHR SCHUTZ
„‘Status quo‘, das wissen Sie, ist Lateinisch für ‚der
Schlamassel, in dem wir gerade stecken‘.“ 28
–Ronald Reagan, Schauspieler und früherer Präsident der Vereinigten Staaten
56
5656
| INTRODUCTION
METHODOLOGY
| CHECK POINT AND
- 2015
SECURITY REPORT
„Der Kalte Krieg endete nicht in den 1990ern.
Er ging nur online.“ 29
-Jose Paglieri, Journalist
Fest
steht:
die
Cyberkriminalität
wird
nicht
wie das Durchführen von Software-Patches und
nachlassen. Die gravierenden Vorfälle in 2014
Updates. Denken Sie auch an das Ökosystem Ihrer
haben eindrücklich belegt, wie schlecht es um
Partner und wie diese sich mit Ihrem Security-
die Internet-Sicherheit bestellt ist – Analysten
Prozess verbinden lassen.
erwarten im Ergebnis ein Wachstum der SecurityIndustrie um ihr Zehnfaches. Die Gefahren kommen
Wenn es um die Technologie geht, muss Ihr Security-
aus verschiedensten Richtungen und niemand
Programm verschiedenste Ebenen und Kontrollen
kann
vereinen.
glaubwürdig
behaupten,
dass
irgendein
Unternehmen vor einem Angriff wirklich sicher ist.
Es wäre im Gegenteil der größte Fehler, der einer
Da die Gefahren aus unterschiedlichen Quellen
Organisation unterlaufen kann – wenn sie annähme,
und
sicher zu sein und ihre Security-Infrastruktur nicht
Security-Architekturen und punktuelle Lösungen
regelmäßig überprüfte.
aus Produkten verschiedener Hersteller nicht
Richtungen
kommen,
sind
einschichtige
mehr adäquat.
Wenn Sie Ihre Sicherheitslage betrachten, dann
nehmen Sie sich ausreichend Zeit, Bedrohungen
Beginnen Sie, sich Ihre Architektur als drei
und Schwachstellen wirklich zu verstehen. Achten
ineinander greifende Ebenen vorzustellen.
Sie auf beitragende Faktoren, und haben Sie immer
auch das große Bild davon vor Augen, wohin Sie Ihr
Eine Software-definierte Schutzarchitektur, basierend
Unternehmen führen möchten. Gut vorbereitete
auf einem dreischichtigen Security-Konzept, ist die
Organisationen wissen, dass die Security-Policy
beste Verteidigung gegen immer neue, schnelle
auf strategischen Zielen, Geschäftsvorgaben und
Attacken.
der Unternehmenspolitik aufbauen muss – und mit
und, selbstverständlich, mit den Menschen auf allen
Enforcement Layer – die
Durchsetzungsebene
Ebenen der Organisation verknüpft sein muss.
Erstellen Sie einen Gateway- und Endpoint-
Prozeduren und Anforderungen, Leistungswerten
basierten Sicherheitsplan, der Malware, Botnets
Legen Sie Ihren Prozess fest und stellen Sie sicher,
und schadhaften Inhalt prüft, identifiziert und
dass er selbst so grundlegende Schritte umfasst,
blockiert, der auf das Sammeln und Herausfiltern
57
FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 57
von
Kundeninformationen
abzielt.
Legen
Sie
Threat Extraction, also das Entfernen potenziell
Authentifizierungsregeln für den Zugriff auf Netz-
schädlicher Funktionen, um eingehende Dokumente
werke und Applikationen fest um zu verhindern,
ohne jede zeitliche Verzögerung
dass nicht autorisierte Anwender und Systeme in
Malware wiederherzustellen.
und frei von
sensitive Bereiche Ihres Netzwerks eindringen.
Control Layer – die Kontrollebene
Dieser Ansatz achtet auf schadhafte Aktivitäten auf
der Betriebssystemebene und nutzt dies auf CPU-
Richten Sie Administrator-determinierte Security-
Level. So werden Angriffe verhindert, noch bevor
Policies und automatisierte Schutzmaßnahmen
sie umgesetzt werden können. Das Erkennen von
ein. Erstellen Sie Regeln, die insbesondere die
Exploit-Versuchen noch vor der Infektion unterstützt
Zugriffskontrolle und die Sicherheitsbestimmungen
Sie dabei, Umgehungstechniken zu unterbinden.
an den s.g. Enforcement Points definieren. Grenzen
Sie das Verhalten von Applikationen und Systemen
Durch die Verbindung von Betriebssystem- und
auf das „Least-Privilege“-Prinzip ein – jeder
CPU-Level-Sandboxing mit Threat Extraction steht
Benutzer, jeder Dienst und jedes System erhält
Ihnen eine Technologie der Neuen Generation zur
damit nur die Rechte, die zur Erfüllung der jeweiligen
Verfügung, die die bestmögliche Verhinderungsrate
Aufgaben erforderlich sind.
für Bedrohungen aufweist.
Bei der Wahl spezifischer Lösungen sollten Sie
darauf achten, dass Sie mit diesen (1) jede Art
Management Layer – die
Verwaltungsebene
von eingehendem Dateityp untersuchen können,
Überwachen Sie alle geschäftsrelevanten Admi-
einschließlich
verschlüsselte
nistratorrechte und erstellen Sie ein umfassendes
Dateien, (2) Zero-Day-Threats identifizieren können,
Reporting. Implementieren Sie Intelligenzbasierte
und zwar sowohl innerhalb als auch außerhalb des
Threat Prevention, die sich unabhängig aktualisiert
Betriebssystems und (3) ohne jeden Zeitverzug
und neue Schutzmaßnahmen pro-aktiv an die Enforce-
sichere, absolut Malware-freie Dokumente erhalten.
ment Points weiter gibt. Nicht auf dem aktuellen Stand
Den besten Schutz Ihres Unternehmens vor
zu sein ist eine der größten Schwachstellen in den
Angriffen bietet eine schnelle Betriebslösung mit
meisten Netzwerken. Implementieren Sie Event Ma-
hoher Abfangquote.
nagement-, Logging- und Reporting-Tools, die evtl.
gesicherte
und
Vorfälle in Echtzeit identifizieren sowie FilteringSchutzmaß-
und Analyse-Tools umfassen. So stellen Sie sicher,
nahmen: Tief greifende Sandbox-Funktionalitäten
dass Ihre Administratoren Einsicht in tatsächliche
auf Betriebssystem- und CPU-Ebene für das
Angriffe haben und nicht mit eher unkritischen Vor-
Erkennen und Blockieren von Malware
fällen überhäuft sind.
Check
Point
empfiehlt
folgende
WAS NOCH?
Da mobile Endgeräte mehr und mehr auch zu den
ohne sie zuvor auf Sicherheitslücken untersucht
bevorzugten Arbeitsmitteln gehören, gehen wir davon
zu haben.30 Dieser Tatsache und den Vorfällen aus
aus, dass Hacker sie verstärkt als Angriffsvektoren
dem
nutzen werden. Darüber hinaus geben einer Studie
betrachten wir 2015 als das Jahr, in dem Sie
des Ponemon-Instituts zufolge rund 40 Prozent aller
Ihre Mobile Security-Strategie definiere und eine
Entwickler von mobilen Applikationen ihre Apps frei,
offensivere Haltung bezüglich Ihrer Security-Lage
58 | FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ
58
vergangenen
Jahr
Rechnung
tragend,
einnehmen sollten – nicht zuletzt im Hinblick auf die
Bedrohungen rechnen. Für uns bei Check Point
enorme Zunahme mobil genutzter Zahlungssysteme.
ist der Auftrag klar: Wir sichern die Zukunft ab.
Gleichermaßen zukunftsorientiert müssen auch
Auch wenn für einige Lösungen wie Apple Pay,
die Unternehmen sein. Es ist unverzichtbar, sich
Google Wallet und PayPal verschiedene Security-
über langfristige Ziele und die Möglichkeiten einer
Vorkehrungen getroffen wurden, etwa die s.g.
Optimierung der Security-Infrastruktur klar zu sein,
Tokenisierung und Verschlüsselung, sind nicht
so dass diese auch Ihre Visionen für die Zukunft
alle Systeme eingehend auf ihre Standhaftigkeit
unterstützt.
gegenüber realen Gefahren getestet worden. Soviel
ist sicher – die Hacker werden nach brauchbaren
Lernen
Sie
die
potenziellen
Gefahren
und
Sicherheitslücken suchen.
Sicherheitslücken verstehen, erstellen Sie einen
soliden, an Ihrem Unternehmen ausgerichteten Plan
Bis zum Jahr 2018, das nimmt z.B. ABI Research
und stellen Sie sicher, dass die Schutzmaßnahmen
an, wird die Anzahl der ausgelieferten, mobilen
in Ihre IT-Infrastruktur integriert sind – so machen
Computergeräte
31
Sie Security zu einer treibenden Kraft. Und
Die Analysten von Gartner glauben, dass in
setzen Innovationspotenziale frei. Und bauen eine
2015 bereits 4,9 Milliarden solcher Endgeräte
Umgebung auf, die hohe Leistung und Produktivität
im Einsatz sind
erbringen kann.
auf
485
Millionen
steigen.
– ein Zuwachs von 30 Prozent
gegenüber dem Vorjahr. Produzierende Betriebe,
Versorgungsunternehmen und das Transportwesen
Wenn Sie eine verlässliche Einschätzung der
werden, so die Gartner-Experten, die stärksten
Sicherheitslage Ihres Unternehmens wünschen,
Nutzer des Internets der Dinge (Internet of Things,
melden Sie sich einfach für einen kostenfreien
IoT) sein – mit zusammen 736 Millionen verbundenen
Check
Dingen. Bis 2020 sollen es laut Gartner bereits
www.checkpoint.com/resources/securitycheckup
25 Milliarden verbundene Dinge sein.32
an. Wollen Sie mehr über Check Point erfahren
Point
Security
Check-Up
unter
und wie wir Sie dabei unterstützen können, Ihr
Als ein Ergebnis aus all dieser Konnektivität
Unternehmen zu sichern, besuchen Sie uns auf
müssen wir mit mehr Sicherheitslücken, mit mehr
www.checkpoint.com.
„Die riskanteste Sache, die wir tun können, ist einfach nur
den Status Quo zu erhalten.“ 33
-Bob Iger, Unternehmer, Chairman/CEO bei Walt Disney Company
59
FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 59
REFERENZEN
1
Stoll, Cliff. “The Call to Learn.” TED Talk. February 2006.
2
Obama, Barack. The Cybersecurity and Consumer Protection Summit. February 13, 2015.
3
Check Point Software Technologies. http://www.checkpoint.com/resources/securitycheckup/
4
AV-Test. http://www.av-test.org/en/statistics/malware/
5
Lacy, Sarah. “The Irony of the Social Media Era: It Was Created By the World’s Least Social People.”
Huffington Post, July 15, 2012. http://www.huffingtonpost.com/sarah-lacy/social-media-entrepreneursmark-zuckerberg_b_1518471.html
6
Amira, Dan. “Q&A With Nate Silver on His New Book, Whether Romney Has a Shot, and Why He
Doesn’t Play Fantasy Baseball Anymore.” New York Magazine, September 28, 2012.
http://nymag.com/daily/intelligencer/2012/09/nate-silver-book-signal-noise-interview.html
7
Check Point Software Technologies. “The Unknown 300 Test Report,” 2014.
https://www.checkpoint.com/downloads/300TestReport.pdf
8
Saint-Exupery, Antoine de. Wind, Sand and Stars, 1939.
9
Pareles, Jon. “Madonna on ‘Rebel Heart,’ Her Fall and More.” The New York Times, March 5, 2015.
http://nyti.ms/1A29332
10
Spamhaus. “The Spamhaus Project.” http://www.spamhaus.org/news/article/720/spamhaus-botnetsummary-2014
11 Ward, Jillian. “Power Network Under Cyber-Attack Sees U.K. Increase Defenses,” Bloomberg Business,
January 8, 2015. http://www.bloomberg.com/news/articles/2015-01-09/power-grid-under-cyber-attackevery-minute-sees-u-k-up-defenses
12 Prince, Brian. “Almost 70 Percent of Critical Infrastructure Companies Breached in Last 12 Months:
Survey,” SecurityWeek, July 14, 2014. http://www.securityweek.com/almost-70-percent-criticalinfrastructure-companies-breached-last-12-months-survey
13 CVE Details. http://www.cvedetails.com/browse-by-date.php; http://www.cvedetails.com/top-50-
vendors.php?year=2014
60
60 | REFERENZEN
14 Kirk, Jeremy. “An SDN vulnerability forced OpenDaylight to focus on security,” CSO, March 25, 2015.
http://www.csoonline.com/article/2902902/vulnerabilities/an-sdn-vulnerability-forced-opendaylightto-focus-on-security.html
15 Reilly, Claire and Musil, Steven. CNET, September 24, 2014.
http://www.cnet.com/news/bigger-than-heartbleed-bash-bug-could-leave-it-systems-shellshocked/
16 Gilbert, David. “What is POODLE? The Latest Online Security Threat After Shellshock and Heartbleed,”
International Business Times, October 16, 2014. http://www.ibtimes.co.uk/what-poodle-latest-onlinesecurity-threat-after-shellshock-heartbleed-1470300
17 Singh, Anita. “Hay Festival 2012: Salman Rushdie on security and The Satanic Verses,” The Telegraph,
June 3, 2012. http://www.telegraph.co.uk/culture/hay-festival/9309641/Hay-Festival-2012-SalmanRushdie-on-security-and-The-Satanic-Verses.html
18 Pinter, Harold. The Homecoming, 1965.
19 Taft, Darryl K. “IBM Study Shows Mobile App Developers Neglecting Security,” eWeek, March 21, 2015.
http://www.eweek.com/developer/ibm-study-shows-mobile-app-developers-neglecting-security.html
20 Schroeder, Stan. “Android Malware Spies on You Even After Phone Is Shut Down,” Mashable,
February 19, 2015. http://mashable.com/2015/02/19/android-malware-spies-shut-down/
21 Schawbel, Dan. “Eric Schmidt and Jonathan Rosenberg: What We Can Learn From Google,” Forbes,
September 23, 2014. http://www.forbes.com/sites/danschawbel/2014/09/23/eric-schmidt-andjonathan-rosenberg-what-we-can-learn-from-google/
22 Battelle, John. “Thoughts on Ford’s OpenXC: In the Future, Brands with Open Data Will Win,”
August 18, 2013. http://battellemedia.com/archives/2013/08/thoughts-on-fords-openxc-in-the-futurebrands-with-open-data-will-win.php
23 Irion, Robert. “Opening Strange Portals in Physics,” Smithsonian Magazine, December 2011.
http://teachers.smithsonian.com/science-nature/opening-strange-portals-in-physics-92901090/?all
24 Giovanni, Nikki. Black Feeling, Black Talk, Black Judgment, 1970.
61
REFERENZEN | 61
25 United States Computer Emergency Readiness Team. US-CERT, August 27, 2014.
https://www.us-cert.gov/ncas/alerts/TA14-212A
26 LexisNexis. “2014 LexisNexis® True Cost of FraudSM Study.”
http://www.lexisnexis.com/risk/downloads/assets/true-cost-fraud-2014.pdf
27 Schwartz, Larry. “Joyner Kersee Completes Huge Leap,” ESPN.com.
https://espn.go.com/sportscentury/features/00016055.html
28 Reagan, Ronald. “Address Before a Joint Session of the Tennessee State Legislature in Nashville,”
March 15, 1982. http://www.presidency.ucsb.edu/ws/?pid=42270
29 Paglieri, Jose. “Russia Attacks U.S. Oil and Gas Companies in Massive Hack,”CNN Money, July 2, 2014.
http://money.cnn.com/2014/07/02/technology/security/russian-hackers/
30 Vijayan, Jai. “Rush To Release Resulting In Vulnerable Mobile Apps,” Dark Reading, March 20, 2015.
http://www.darkreading.com/attacks-breaches/rush-to-release-resulting-in-vulnerable-mobileapps/d/d-id/1319566
31 ABI Research. “Wearable Computing Devices, Like Apple’s iWatch, Will Exceed 485 Million Annual
Shipments by 2018,” ABIResearch.com, February 21, 2013.
https://www.abiresearch.com/press/wearable-computing-devices-like-apples-iwatch-will/
32 Moore, Michael. “Internet Of Things To Hit 4.9 Billion Things By 2015,” TechWeekEurope, November 11,
2014. http://www.techweekeurope.co.uk/e-innovation/internet-of-things-4-9bn-gartner-155298
33 Iger, Bob. Disney Shareholder Meeting, Anaheim, NBC News, March 3, 2006.
http://www.nbcnews.com/id/11767409/ns/business-us_business/t/pixars-star-disneyshareholders-meeting/#.VSRlovnF9Zt
62 | REFERENZEN
62
KONTAKTIEREN SIE UNS:
Check Point Software Technologies
Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos
D: +49 (0)811 99821 0, [email protected]
Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien
A: +43-1-99460-6701, www.checkpoint.com
Schweiz: Zürcherstr. 59, 8953 Dietikon
CH: +41-44-316-64-41, www.checkpoint.com
63
www.checkpoint.com
64

security report - internetworking.ch

Transcription

Similar documents

Bitzer Bote vom 06.02.2014

Hilfedokumentation als PDF öffnen

Infomappe - Der Fliegen-Shop

4., überarbeitete Auflage

Immer mehr Angriffe aus dem Internet

telekom it+

Zwischenbericht Januar-September 2012

Einstufungsmethodik des ERA

MCSE Crash Test Windows 2000 Professional

Sicherheit von Webanwendungen für Unternehmen am

Sicherheitstechniken in Kommunikationsnetzen

Herunterladen

England –Winds oft Change Das Thema ist so umfassend und es

kommen wir gleich zum punkt.

Schenkungen von Friedrich Christian Flick an die

Klare Worte zur ´Hochbegabungs`

Vortrag Dr. Buch (Siemens-Workshop)

Annual Report 2011 German

Der chinesische Bankensektor im Zeichen des WTO

Potenziale und Grenzen der Technik für Green Logistics

DDoS Protection Service

2003 Echzeitfaehige LAN