security report - internetworking.ch
Transcription
security report - internetworking.ch
2015 SECURITY REPORT WE SECURE THE FUTURE KONTAKTIEREN SIE UNS: Check Point Software Technologies Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos D: +49 (0)811 99821 0, [email protected] Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien A: +43-1-99460-6701, www.checkpoint.com Schweiz: Zürcherstr. 59, 8953 Dietikon CH: +41-44-316-64-41, www.checkpoint.com CHECK POINT 2015 SECURITY REPORT 01 EINFÜHRUNG UND METHODOLOGIE 04 02 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 10 03 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 18 04 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 32 05 APPLIKATIONEN: DORT, WO ES WEH TUT 40 06 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 48 07 FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ 56 REFERENZEN 60 CHECK POINT - 2015 SECURITY REPORT | 33 01 EINFÜHRUNG UND METHODOLOGIE „Wenn du etwas zum ersten Mal tust, ist es Wissenschaft. Tust du es zum zweiten Mal, ist es Entwicklung.“ 1 –Clifford Stoll, Astronom, Autor und Pionier in der digitalen Forensik 4 | CHECK POINT - 2015 SECURITY REPORT DIE EVOLUTION VON MALWARE VOR 25 JAHREN Die Erfindung der Firewall VOR 20 JAHREN Die Erfindung von Stateful Inspection VOR 15 JAHREN VOR 10 JAHREN Verbreitete Nutzung URL-Filtering, von Anti-Virus, UTM VPN, IPS VOR 5 JAHREN NGFW JETZT Threat Intelligence, Threat Prevention, Mobile Security > 1988 Morris-Wurm 1994 Green Card-Lotterie 1998 2003 Melissa Gründung von Anonymus 2000 I Love You 2006 WikiLeaks 2010 Dragonfly 2011 Gestohlene Authentifizierungsinformation Internet der Dinge, wohin man schaut Bitcoin 2013 2007 Trojaner Zeus 2020 2014 DDoSAttacken: StuxnetSCADA 2017 Führerloses Auto gehackt? 2012 Malware Flame In der Wissenschaft geht es um Entdeckung – das 3. Mobile Geräte –Smartphones, Fitbits, iPads und Studieren von Ursache und Wirkung. Wurde etwas andere mobile Geräte sind vielleicht keine Tools per einmal verstanden und ist berechenbar, dann se, doch sie können geknackt werden und Hackern entsteht ein Prozess – wir wollen es nachbilden die Möglichkeit geben, in Unternehmensnetze und weiter entwickeln. Genauso verhält es sich in einzudringen. der Welt der Internetgefahren. Cyberkriminelle studieren die Strukturen und denken darüber nach, In 2014 beobachtete Check Point eine signifikante wie sie sich bestimmte Faktoren für die gewünschten Ausnutzung von Schwachstellen sowohl in Open Ergebnisse zunutze machen könnten. Source-Software, als auch in gängigen Applikationen, Haben sie einmal ein berechenbares Modell, machen sie sich wie zum Beispiel von Adobe und Microsoft. an die Entwicklung um das, was sie konstruiert haben, mit dem größtmöglichen Effekt zum Einsatz Bekannte Malware blieb stabil, war weiterhin zu bringen. allgegenwärtig und verursachte Schäden. Doch mit der Erstellung von Signaturen, die dabei hilft, die bekannte Was sind ihre Tools? Schadsoftware bei weiteren Einsatzversuchen zu 1. Malware – schadhafter Software-Code, den Hacker identifizieren, filtern und blockieren, verlagerte entwickeln, um Störungen herbeizuführen oder sich der Fokus unter den Hackern auf etwas, das Daten zu stehlen. Wird die Malware erkannt, werden einfacher und lohnender war: das Auslösen neuer Signaturen erstellt die dabei helfen, sie bei weiteren Attacken mit unbekannter Malware, indem sie die Angriffsversuchen zu identifizieren, zu filtern und zu schon vorhandene Schadsoftware nur geringfügig blockieren. Spätestens jetzt beginnen die Angreifer modifizierten und damit ihre Entdeckung unmöglich jedoch bereits, am Code herumzubasteln, um neue, machten. Es ist gerade dieser Bereich – unbekannte unbekannte Malware zu erstellen. Malware – der in 2014 geradezu explodierte und 2. Schwachstellen – Defekte in der Software oder besondere Aufmerksamkeit auf sich zog. In noch den Betriebssystemen, die in praktisch allen nie da gewesener Häufigkeit lanciert, verfolgte neue Anwendungen vorhanden sind, und die Hacker Malware offensichtlich ein einziges Ziel: das Stehlen aufzuspüren und auszunutzen wissen. von Daten. EINFÜHRUNG UND METHODOLOGIE | 55 EIN DURCHSCHNITTLICHER TAG IN EINEM UNTERNEHMEN ALLE 24 SEKUNDEN greift ein Host auf eine schadhafte Website zu ALLE 34 SEKUNDEN wird eine unbekannte Malware heruntergeladen JEDE MINUTE kommuniziert ein Bot mit seinem Command- und Control- Center ALLE 5 MINUTEN wird eine hochriskante Applikation genutzt ALLE 6 MINUTEN wird eine bekannte Malware heruntergeladen ALLE 36 MINUTEN werden sensitive Daten aus dem Unternehmen heraus geschickt 1.1 6 | EINFÜHRUNG UND METHODOLOGIE QUELLE: Check Point Software Technologies „Die ersten Computerviren erreichten uns in den frühen Achtzigern, und im Grunde befinden wir uns seither in einem Rüstungswettlauf mit Cyberwaffen. Wir entwickeln neue Verteidigungsstrategien, woraufhin Hacker und Kriminelle neue Wege finden, sie zu durchbrechen….wir müssen genauso schnell und flexibel und geschickt in der konstanten Entwicklung unserer Abwehrmaßnahmen sein.“2 -Präsident Barack Obama Was das Problem weiter verschärft: Kulturelle Mit der immensen Zunahme an Datenpannen und Veränderungen. und gezielten Angriffen auf Unternehmen mit hohem andere neue Technologien haben die Art und Mobilität, Virtualisierung Bekanntheitsgrad schickt uns das Jahr 2014 eine Weise verändert, wie wir arbeiten. Entsprechend deutliche Botschaft: Ausnahmslos jeder ist in Gefahr. haben sich die Unternehmen im Hinblick auf ihre Und wenn sich jetzt die führenden Weltpolitiker Produktivität und Effizienz beeilt, diese Tools mit dem Thema Cyber-Security an ihre Nationen zu adaptieren. Dabei haben sie jedoch kaum wenden, scheint klar, dass die Cyberkriminalität die Auswirkungen auf die Security bedacht. Sie eine neue, kritische Schwelle erreicht hat. fokussieren auf Stabilität und unterbrechungsfreie Geschäftsabläufe und erkennen nicht, dass besser gesicherte Betriebsumgebungen auch bessere Betriebslaufzeiten haben. METHODOLOGIE Check Point sammelte in 2014 weltweit Event-Daten 2. Events, die durch die Check Point ThreatCloud® aus drei verschiedenen Quellen, um Security-Trends aufgedeckt wurden, die mit den Security Gateways zu beleuchten und Probleme zu identifizieren, die von mehr als 16.000 Organisationen verbunden ist. sich zu ernsten Bedrohungen entwickeln oder 3. Mehr als 3.000 Gateways, die mit unseren Threat möglicherweise auch abschwächen. Cloud Emulation-Services verbunden sind. Die Quellen der Check PointUntersuchung: Was haben wir uns angesehen? 1. Sicherheitsvorfälle, die während mehr als 1.300 Bekannte Malware Security Check-Ups bei Unternehmen entdeckt Intrusion Prevention wurden. Die Informationen stammten von global Hochriskante Applikationen verteilten Unternehmen aus unterschiedlichsten Fälle von Datenverlust 3 Unbekannte Malware Branchen. Fast jede Organisation, die wir untersucht haben, war Angriffen ausgesetzt, die durch hochriskante Applikationen verursacht wurden. 81% der untersuchten Organisationen hatten einen Fall von Datenverlust erfahren. EINFÜHRUNG UND METHODOLOGIE | 77 DIE CHECK POINT-STUDIE UMFASST SÄMTLICHE BRANCHEN 46 Ein Blick auf die an dieser Studie teilnehmenden, vertikalen Märkte zeigt, dass der Bereich Fertigung mit 46 Prozent deutlich überwiegt, gefolgt von den Segmenten Finanzen, Öffentliche Hand, Einzelhandel, Großhandel, Telekommunikation und PROZENT DER ORGANISATIONEN NACH BRANCHE Beratung. 17 15 12 4 FERTIGUNG FINANZEN ÖFFENTLICHE HAND 3 EINZEL- TELEKOMMU- BERATUNG UND NIKATION GROSSHANDEL 1.2 88 | EINFÜHRUNG UND METHODOLOGIE 2 ANDERE QUELLE: Check Point Software Technologies Security-Statistiken in 2014 • Neue Malware nahm um 71% zu.4 • Pro Stunde erfolgten 106 Downloads von unbekannter Malware. • 86% der Organisationen griffen auf schadhafte Webseiten zu. • 83% der Organisationen hatten bestehende Bot-Infektionen. • 42% der Unternehmen verzeichneten Vorfälle mit mobiler Sicherheit, deren Behebung mehr als 250.000 US-Dollar kostete. • 96% der Organisationen nutzten mindestens eine hochriskante Applikation. • 81% der Organisationen erlitten einen Fall von Datenverlust. • Der Verlust von geheimen, geschützten Informationen nahm im Laufe der letzten drei Jahre um 71% zu. Auf den folgenden Seiten legt Check Point die Business-Verantwortliche darin zu unterstützen, Erkenntnisse aus unserer detaillierten Analyse von die Bedrohungslandschaft zu verstehen und sich in Security-Gefahren und Trends offen, die in 2014 die stärkste Security-Position zu bringen, die erkennbar wurden. Es ist unser Ziel, Security- und möglich ist. „Hacker nehmen die Realitäten dieser Welt nicht als selbstverständlich an; was ihnen nicht gefällt, das versuchen sie zu zerstören und umzubauen. Sie wollen der Welt ein Schnippchen schlagen.“ 5 -Sarah Lacy, Journalistin und Autorin 9 EINFÜHRUNG UND METHODOLOGIE | 9 02 DIE GROSSE UNBEKANNTE „Es gibt immer das Risiko der nicht erkannten Unbekannten.” 6 –Nate Silver, Statistiker, Journalist 10 | CHECK POINT AND - 2015 SECURITY REPORT 1010 | INTRODUCTION METHODOLOGY 106 mal in jeder Stunde ist eine Organisation von unbekannter Malware betroffen. Unbekannte Malware ist Schadsoftware, die in der Organisationen mindestens eine mit unbekannter Regel von Antivirus-Systemen nicht erkannt bzw. Malware infizierte Datei herunter geladen hatten – gekannt wird. Jede neue Variante unbekannter ein Anstieg um fast 25 Prozent, im Vergleich zum Malware – und handelt es sich um eine noch so Vorjahr. kleine Modifizierung – ist potentiell dazu in der Lage, die meisten gängigen Antivirus-Lösungen und Schlimmer noch ist das Tempo, in dem sie auftritt. virtuellen Sandbox-Vorrichtungen zu umgehen. Die Check Point-Untersuchung belegte, dass pro Stunde 106 Downloads unbekannter Malware Zwar war schon im vergangenen Jahr eine wahre erfolgten, Tag für Tag. Diese atemberaubende Zahl Explosion an unbekannter Malware zu beobachten, ist 48 Mal größer als die vergleichsweise kaum doch dies war – aus heutiger Sicht – nur die Spitze nennenswerten 2,2 Downloads pro Stunde im des Eisbergs. Derzeit ist die Frequenz von Zero-Day- vergangenen Jahr. Attacken und unbekannter Malware geradezu massiv. AV-Test zufolge, einem unabhängigen Service-Provider Umso unglaublicher, dass nur ein Prozent der für Antivirus-Forschung, nahm neue Malware von Unternehmen eine Technologie einsetzen, um Zero- 2013 auf 2014 um 71 Prozent von 83 Millionen auf Day-Attacken zu verhindern. Und nur ein Zehntel 142 Millionen zu. Allein in den vergangenen beiden der Organisationen nehmen Threat Intelligence- Jahren wurde mehr Malware aufgedeckt, als in den Services in Anspruch. Von der gesamten, herunter vorausgegangenen 10 Jahren zusammen. geladenen Malware handelte es sich bei 52 Prozent der infizierten Dateien um PDFs, nur 3 Prozent Check Point analysierte in 2014 mehr als 3.000 waren Office-Files. Gateways und stellte fest, dass 41 Prozent der 11 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 11 142M 2014 83M 2013 34M 142M NEUE MALWARE IN 2014 UND EIN ZUWACHS VON 71% GEGENÜBER 2013 2012 18.5M 2011 18M 2010 12M 2.1 2009 Quelle: AV-Test Wie schlimm ist es wirklich? Sehr schlimm. Ohne eine bekannte Malware- welcher Erfolgsquote die Malware geblockt werden Signatur können die typischen, präventiven Tools konnte. Um die bekannte in unbekannte Malware ihre Aufgabe nicht erfüllen. Dank ausgeklügelter zu verwandeln, hingen die Forscher einfach eine Verschleierungstools, mit deren Hilfe Attacken selbst Null ans Ende jeder PDF- und DOC-Datei (z.B. fortschrittlichste Antimalware-Lösungen umgehen „echo‘0000‘>>1.doc.). Bei den Executable-Dateien können, agiert neue Malware schnell und heimlich. wurde je eine nicht genutzte Kennsatzsektion Für Hacker ist die Arbeit mit unbekannter Malware modifiziert. Im Anschluss wurde jede Datei geöffnet zum Werkzeug erster Wahl geworden, denn es und ausgeführt um sicherzustellen, dass ihr ist einfach und die Variation bereits bestehender ursprüngliches Verhalten unverändert war. Auf den Malware ist sehr effizient. Es ist in der Tat so einfach, Punkt gebracht – indem man bereits vorhandene dass selbst technisch Unerfahrene zum „Täter“ Malware nimmt und nur leicht modifiziert, entsteht werden könnten. ganz einfach und schnell etwas Neues, das nicht erkannt wird. Um dies zu verdeutlichen, nahm das Check PointAnalystenteam 300 bekannte Malware-Programme7, Mit dieser simplen Technik konnten die Forscher herunter geladen aus einer Mustersammlung neue und unbekannte Varianten (nachfolgend die allgemein bekannter, schadhafter PDF-, DOC- und „Unbekannten 300“) aus bestehender Malware ausführbarer Dateien aus Googles „VirusTotal“- erstellen. Datenbank. Das Ziel: zu testen, wie schnell und mit 12 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 12 MD5 für originalmalware.doc fd96b96bd956a397fbb1150f3 BEKANNTE MALWARE echo '0000' >> originalmalware.doc MD5 für modifizierte 83aac4393f17f1805111beaa76a4012e UNBEKANNTE MALWARE Diese bislang noch nicht in Erscheinung getretenen Jahrelang war diese Kampagne aktiv, hat weltweit Dateien testeten die Fähigkeit von Security- ihre Ziele attackiert und Hackern ermöglicht, die Systemen, unbekannte Malware zu entdecken. Aktivitäten ihrer Opfer zu beobachten und sensitive Informationen zu stehlen. Es wurden dann verdächtige Dateien auf einen Host hinter der Security-Vorrichtung heruntergeladen. Die Wahl der Ziele fällt in erster Linie auf die Damit wurde der versehentliche Download von Verteidigungsindustrie, Telekommunikations- und Malware von einer schadhaften Website durch einen Medienunternehmen sowie Bildungseinrichtungen. Mitarbeiter simuliert. Der Grund hierfür ist, so glauben wir, dass deren Server öffentlich exponiert und mit einfach Würde sich jetzt im Falle der „Unbekannten 300“ zugänglichen Gateways zu privaten und besser die Datei so verhalten, wie erwartet, dann würde gesicherten, internen Netzwerken ausgestattet den Daten der Zugriff auf das gesicherte Netzwerk sind. Und da sie einem allgemeinen Geschäftszweck gewährt. Falls nicht, würde die Threat Emulation- dienen, wird nicht selten ihre Sicherheit der Technologie eine Signatur für den inspizierten Produktivität geopfert, was sie zu einem einfachen Dateityp erstellen und das Blockieren der Datei Ziel für Angreifer macht. sicherstellen. Anschließend würde die Signatur an alle Security Gateways kommuniziert, womit Der Angriff ist auch deshalb in der Lage, „unterm die unbekannte Malware erkennbar bzw. bekannt Radar“ zu bleiben, weil er seine Aktionen auf würde. das Erreichen spezieller Ziele limitiert und so das Risiko seiner Entdeckung minimiert. Eine Erst kürzlich deckte Check Point einen Angriff auf, typische Volatile Cedar-Attacke startet mit einem der seinen Ursprung bereits in 2012 hatte, seither Scan des Zielservers. Wird dort eine verwertbare aber immer wieder zu neueren Versionen mutierte. Schwachstelle entdeckt, wird dem Server ein Web- Die „Volatile Cedar“ genannte Attacke nutzt eine Shell-Code injiziert. Die Web-Shell wird dann als individuell angefertigte Malware mit dem Namen Mittel genutzt, über das der Explosive-Trojaner „Explosive“. in den Zielserver eingeschleust wird. Einmal 41% der Organisationen haben wenigstens eine, mit unbekannter Malware infizierte Datei herunter geladen. 13 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 13 52% der mit unbekannter Malware infizierten Dateien sind PDFs. dort angekommen, kann nun der Angreifer über die nicht einmal den Herstellern bekannt sind. Im eine ganze Schlachtordnung von Command & Vergleich zu den Kosten für einen Satz unbekannter Control-Servern seine Kommandos an alle Ziele Malware, ist Zero-Day-Malware für die Hacker schicken. Die Command-Liste umfasst sämtliche weitaus teurer. Wahrscheinlich ist das allein der Funktionalitäten, die der Angreifer benötigt, um die Grund, warum Zero-Day-Attacken offensichtlich Kontrolle zu erhalten und Informationen aus den selektiver eingesetzt werden. Servern zu ziehen, wie z.B. Key-Logging, ClipboardLogging, Screenshots und Run Commands, also Eine der bemerkenswertesten Zero-Day-Attacken Ausführbefehle. in 2014 wurde „Sandworm“ genannt, in Anlehnung in die Kreaturen aus der Science Fiction-Serie Hat der Hacker dann die Kontrolle über diese „Dune“. Mit einem gezielten Angriff auf die NATO, Server, kann er sie als Dreh- und Angelpunkt die Regierung der Ukraine und einige andere, nutzen, um weitere, tiefer im internen Netzwerk politische Ziele, nutzten russische Hacker die angesiedelte Ziele zu erforschen, zu identifizieren CVE-2014-4114-Schwachstelle – den OLE Package und anzugreifen. Manager in Microsoft Windows und Windows Server. Der Vektor: schadhafte PowerPoint-Dateien, die Noch schlimmer als unbekannte Malware ist Zero- als Email-Anhänge gesendet wurden. Klickte der Day-Malware. Was ist der Unterschied? Unbekannte User auf das Attachment wurde ein Exploit aktiviert, Malware baut auf bekannter Malware auf. Zero- der bösartigen Code installierte und damit eine Day-Malware wird von Grund auf neu entwickelt Hintertür ins System öffnete. Im Ergebnis konnten um Software-Schwachstellen ausfindig zu machen, die Angreifer dann Kommandos ausführen. SIE WOLLEN SICHER WEITERENTWICKELN: WEITER ENTWICKELTE MALWARE – WEITER ENTWICKELTE TECHNOLOGIE In den Anfängen versuchte man die Erfolgsquoten wurde erkennbar, ob die Datei etwas auslösen gegen Malware zu verbessern, indem verdächtige würde, das von dem erwarteten Verhalten abweicht. Dateien in einer Sandbox außerhalb des Netzwerks Das Problem: Cyberkriminelle wissen, dass diese ausgeführt wurden. Entscheidend hierfür war Schutzmaßnahmen in einem gewissen Prozentteil die Nachbildung eines Standardbetriebssystems der Netzwerke vorhanden sind und implementieren in einer separierten Umgebung, die gut zu einfache Umgehungstechniken. überwachen war. Anschließend wurden die Dateien unter Einsatz von Sandbox-Tools auf verschiedene So kann eine Malware beispielsweise schlummern, Arten aktiviert. So wurde simuliert, dass das File bis ganz bestimmte Konditionen eintreffen, etwa tatsächlich von einem User geöffnet wird, und es das Öffnen einer Datei an einem Dienstag oder 14 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 14 CHECK POINT SCHLIESST DIE SICHERHEITSLÜCKEN IPS, ANTIVIRUS & ANTI-BOT BETRIEBSSYSTEMUND CPU-EBENE ZERO-DAY-SCHUTZ THREAT EXTRACTION FÄNGT BEKANNTE ODER ALTE MALWARE AB Von bekannter Malware werden 71 von 1000 nicht erfasst ERKENNT NEUE ODER UNBEKANNTE MALWARE Sowohl mit Betriebssystem- als auch mit CPU-Level-Schutz VOLLSTÄNDIGE BESEITIGUNG VON GEFAHREN Rekonstruiert und stellt Malware-freie Dokumente zur Verfügung 2.2 QUELLE: Check Point Software Technologies ein rechter Klick mit der Maustaste. Deshalb ist es Entwickeln wir diesen Ansatz noch einen Schritt so wichtig, sich konstant mit Innovation und den weiter und kombinieren tiefgreifende Sandbox- jüngsten Security-Technologien zu befassen. Nur so Kapazitäten auf Betriebssystem- und CPU-Level bleiben wir den Angreifern einen Schritt voraus. mit Threat Extraction – so wie in Check Points Next Generation Zero-Day Protection – tun wir noch Die erste Generation der Sandbox-Lösungen auf deutlich mehr für die Beseitigung von Bedrohungen. Betriebssystemebene Auf hilft dabei, einige Zero- Betriebssystemebene können Sie Angriffe Day-Attacken zu verhindern und kann Malware sowohl in ausführbaren Dateien als auch in Daten- erkennen, sobald sie ausgeführt wird. Zahlreiche Files entdecken. Auf der tieferen CPU-Ebene sind Malware-Konstrukte können jedoch ihre Entdeckung Sie in der Lage, eine Infektion in Daten-Files in der verhindern. Daher ist ein Zero-Day-Schutz der Neuen Exploit-Phase zu erkennen. Threat Extraction, die Generation erforderlich: Sandboxing auf CPU-Ebene. dritte Spitze dieser leistungsstarken Kombination, fängt sämtliche Dokumente ab, ob schadhaft oder Einerseits gibt es zwar zahllose Sicherheitslücken, nicht, entfernt dynamische Objekte und schützt so doch es gibt andererseits nur eine Handvoll von vor jeder Form von Zero-Day-Attacke. Anschließend Ausbeutungsmethoden, die genutzt werden können, rekonstruiert die Lösung die Datei und stellt das um Malware herunterzuladen und auszuführen. Das Dokument in einem Image-ähnlichen Format zur s.g. „CPU Level-Sandboxing“ lässt frühzeitig den Verfügung, das frei von jeglichen Gefahren ist. Einsatz solcher Exploits erkennen: durch sorgfältige Prüfung der CPU-Aktivität und der Ausführung auf Nicht nur die Umgehungstechniken entwickeln sich der Assembler-Code-Ebene, während der Exploit weiter und werden immer ausgeklügelter – mit ihnen auftritt. Damit nimmt es dem Hacker jede Möglichkeit, auch die Angriffsformen. Entsprechend muss sich seine Entdeckung zu umgehen. Die Schnelligkeit und die Technologie auch auf der Unternehmensseite Präzision bei der Erkennung macht das CPU Level- entwickeln, wollen Sie Ihre Geschäftsaktivitäten Sandboxing zur besten Technologie für die Entdeckung sichern. Was in 2014 als Spitzentechnologie erschien, von Zero-Day-Angriffen und unbekannten Attacken. wird schon in 2015 nur noch Standard sein. 15 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 15 Wie Threat Emulation die Datenpanne im Einzelhandel hätte verhindern können Der auf den amerikanischen Feiertag Thanksgiving folgende, s.g. Black Friday, ist in den USA einer der Haupteinkaufstage des Jahres. Am Montag vor Thanksgiving in 2014 wurde das Check Point Incident Response-Team (CPIRT) von einem Einzelhändler kontaktiert, der in seinen Systemen unbekannte Dateien entdeckt hatte. Diese Dateien waren von den führenden Anti-Virus-Lösungen nicht erkannt worden. Die Winzigkeit von verfügbarer Intelligenz auf jedem einzelnen File war möglicherweise zu klein, um einen Alarm auszulösen. Doch zusammengenommen ergab sich daraus ein viel größeres Bild. Die Dateien schienen Teil eines größeren Bausatzes zu sein, der darauf abzielte, schadhafte Ladung ins Netzwerk einzuschleusen. Die Komponenten des Bausatzes bestanden aus Tools für: • Das Extrahieren, Abfangen und Manipulieren von Zugangsdaten aus Windows-Systemen • Das Erfassen von Keystrokes auf Windows-Systemen • Das Übertragen von Dateien Weitere Details, die über andere Dateien in dem Bausatz herausgefunden wurden, waren jedoch eher unklar. Im Laufe der weiteren Untersuchung versuchte das Response-Team die entdeckten, verdächtigen Aktivitäten zu bestätigen und führte die entsprechenden Dateien über Check Points Online-Threat Cloud Emulation-Services aus. Viele der Files waren als verdächtig markiert und wiesen extrem schadhafte Aktivitäten auf. Eine Datei war in der gegebenen Situation ganz besonders interessant: Sie wurde abgefangen, als sie eine Textdatei in ein Windows-System-Directory schrieb. File 07 Schadhafte Aktivität erkannt 1 Schadhafte Aktivität erkannt Unerwartete Aktivitäten nach Dauer Die Beobachtung, dass das File tracks.txt in das C:\Windows\System32\ directory schrieb, bestärkte die Annahme, dass es sich hier um eine PoS-Malware handelte, die darauf abzielt, die Spuren von Kreditkartendaten abzugreifen. Damit wurde offensichtlich, dass diese Malware Teil eines Satzes sein musste, der Zugangsdaten abfangen, Malware installieren, sich innerhalb des Netzes bewegen und Daten aus dem Netzwerk herausfiltern kann. Wäre hier Threat Emulation im Einsatz gewesen, hätte die Malware – und andere Komponenten des schadhaften Bausatzes – blockiert werden können. 1616| UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE EMPFEHLUNGEN Um unbekannte Malware und Zero-Day-Attacken Diese Faktoren sollten Sie bei der Auswahl einer zu adressieren, müssen Sie in der Lage sein, sie guten Sandbox-Lösung in Betracht ziehen: innerhalb des Betriebssystems und darüber hinaus • Die Fähigkeit, Attacken zu blockieren, und zu identifizieren. Das Ziel: Nehmen Sie nicht nur die sie nicht nur zu erkennen Bedrohungen selbst ins Visier, sondern adressieren • Die Fähigkeit, Umgehungen zu verhindern Sie auch die Umgehungstechniken. Check Point • Schnelle und präzise Erkennung empfiehlt • Die Fähigkeit, SSL zu entschlüsseln einen dreischichtigen Ansatz: eine Kombination aus Betriebssystem- und CPU-Level- • Die Fähigkeit, gängige Dateitypen zu unterstützen Sandbox-Funktionalitäten mit Threat Extraction. • Die Fähigkeit, Web-Objekte zu unterstützen, wie z.B. Flash „Nur das Unbekannte macht Männern Angst. Aber hat ein Mann dem Unbekannten einmal gegenüber gestanden, wird dieser Schrecken zu einem Bekannten.“ 8 -Antoine de Saint-Exupery, Schriftsteller und Poet 17 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 17 03 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH „Wir sind alle digital, wir sind alle verletzlich, und alles ist so augenblicklich – so augenblicklich. Augenblicklicher Erfolg und augenblickliches Scheitern.“ 9 –Madonna, Popstar, zu dem digitalen Diebstahl und Durchsickern ihres noch nicht vollendeten Albums „Rebel Heart“, bevor dieses veröffentlicht wurde. 18 | CHECK POINT AND - 2015 SECURITY REPORT 1818 | INTRODUCTION METHODOLOGY DIE TOP 5 NACH LÄNDERN HOSTEN VON SCHADHAFTEN DATEIEN HOSTEN VON SCHADHAFTEN SITES ZUGRIFF AUF SCHADHAFTE SITES DOWNLOAD VON SCHADHAFTEN DATEIEN 38 38 PROZENT DER ORGANISATIONEN 26 22 17 14 4 IK EX M IS O EL RA IE N K O M EX IK EI N RK TÜ IE D SA IN U EL IS RA N LE K U N LA AI SS 5 RU PO D E N SA U KR KR AN FR U K U CH L EI N A AD N U SA 2 KA 6 3 D 4 U 4 7 IN 5 6 SA 5 8 8 U 8 3.1 QUELLE: Check Point Software Technologies In Anbetracht dessen, wie einfach und wirkungsvoll fast 63 Prozent der Organisationen haben schadhafte unbekannte Malware erstellt und eingesetzt werden Dateien kann, könnte man annehmen, dass bekannte Häufigkeit betrachtet wurde alle 24 Sekunden von Malware auf dem Rückzug ist. Tatsächlich aber einem Host auf eine schadhafte Website zugegriffen haben Hacker diese Angriffsmethode weiterhin in (im vergangenen Jahr war es noch jede Minute), und ihrem Arsenal. Malware wurde alle sechs Minuten heruntergeladen heruntergeladen. Nach Tempo und (alle 10 Minuten im Vorjahr). Wenn man bedenkt, In 2014 haben Check Point-Analysten festgestellt, wie schnell sich Viren ausbreiten und eine wahre dass rund 86 Prozent der Unternehmen auf bösartige Verwüstung anrichten können, sind diese Zahlen Websites zugegriffen haben. Und schlimmer noch – mehr als alarmierend. In 2014 luden Hosts alle 6 Minuten Malware herunter. In 2014 griffen Hosts alle 24 Sekunden auf eine schadhafte Website zu. 19 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 19 ES WIRD BOTS GEBEN Einer der noch effizienteren Wege, die Verbreitung und die Häufigkeit gegenüber dem Vorjahr um 66,7 von Malware auszuweiten und zu beschleunigen, Prozent sprunghaft angestiegen, im Vergleich zu führt über Bots – wenn ein Computer mit einem 2012 sogar um 95 Prozent. Trojaner oder Virus infiziert wurde, kann er einem Dritten die Kontrolle über einige oder sämtliche Wenn wir uns mit Bots befassen, über welche Art Funktionen des Rechners erlauben. Ein Botnet ist von Schaden sprechen wir dann? Der Großteil ein ganzes Netzwerk aus solchen Bot- oder Zombie- der Bot-Aktivitäten in 2014 umfasste das Stehlen Computern und befindet sich unter dem Kommando von Bankzugangsdaten und anderer sensitiver einer Einzelperson oder einer Organisation, die sie Informationen, das außer Funktion setzen von für die Verbreitung von Spam-E-Mails, Angriffe auf System-Security-Services, andere Computer oder das Ausrollen von DDoS- Malware, das Ausführen von Click Fraud, also Attacken missbraucht. Klickbetrug, das Erschleichen von Fernzugriff und das Installieren von das Öffnen einer Hintertür für Attacken. Nahezu 83 Prozent der Organisationen hatten in 2014 bestehende Bot-Infektionen. Und 47 Prozent Eine der besonders bekannt gewordenen Bot- davon waren für mehr als vier Wochen aktiv – eine Infektionen nutzte eine Schwachstelle in Apples beunruhigend lange Zeit, in der ein Bot jede Minute Mac-Computern aus, in Verbindung mit der Social mit seinem Command- und Control (C&C)-Center Network-, Unterhaltungs- und News-Site „Reddit“. kommuniziert. Damit nicht genug, sind das Tempo Ein Hintertür-Eintritt mit dem Namen „Mac. 83% der untersuchten Organisationen waren mit Bots infiziert. Und ein Bot kommuniziert jede Minute mit seinem C&C. FAMILIE GEZÄHLTE ATTACKEN SCHADEN ZEUS 51.848.194 Stiehlt Bankzugangsdaten GRAFTOR 21.673.764 Lädt schadhafte Dateien herunter RAMNIT 12.978.788 Stiehlt Bankzugangsdaten CONFICKER 12.357.794 Setzt System-Security-Services außer Betrieb, ermöglicht dem Angreifer Fernzugriff SALITY 11.791.594 Stiehlt sensitive Informationen SMOKELOADER 9.417.333 Installiert Malware RAMDO 5.771.478 Führt Klickbetrug aus GAMARUE 3.329.930 Öffnet eine Hintertür für Angriffe TORPIG 3.290.148 Stiehlt sensitive Informationen 3.2 20 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 20 QUELLE: Check Point Software Technologies BackDoor.iWorm” verschaffte sich Zugang zu Macs. Scheinbar folgten die Hacker in diesem Jahr dem Von dort stellte er über Reddit eine Verbindung von Prinzip, dass man etwas, das noch funktioniert, auch dem gehackten Computer zum Command-Server nicht reparieren muss. Dem „Spamhaus Botnet her. Nach erfolgreicher Infektion der Computer, Summary Report für 2014“ zufolge führte ZeuS mit posteten die Hacker an Reddit und nutzen die 2.246 Command & Controls – praktisch zweimal Suchfunktionen der Site, um die dortigen Posts mehr, als der Zweitplatzierte „Citadel“ – auch in zu identifizieren. Mithilfe von iWorm konnten 2014 die Bot-Liste an. 10 die Angreifer die Serveradressen aus den Posts herausziehen und diese für die Verbindung mit dem Doch worauf fokussieren Cyberkriminelle die Botnet missbrauchen. Reichweite von Bots und die Macht, die Ihnen damit zur Verfügung steht? Im Wesentlichen Der Bot, der uns in 2014 am meisten in Atem hielt, auf geschäftskritische Elemente, die für die war auch schon im Jahr zuvor der unrühmliche Geschäftsproduktivität entscheidend sind. „Champion“: ZeuS. Ansturm auf Zugangsdaten Tool-Automation und die Verbreitung von Botnets machen den Diebstahl von Zugangsdaten über Brute ForceAngriffen immer leichter. Noch vor 2014 konnte beispielsweise immer nur jeweils ein Computer ein Passwort knacken. Im vergangenen Jahr aber modifizierte ein populäres Passwort Hash Cracking-Tool namens Hashcat seinen Source-Code, um verteiltes Cracking zu erlauben – so dass nun mehrere Computer gelichzeitig beim Knacken des Passworts helfen und die Angreifer deutlich schneller ihr Ziel erreichen können. Wie genau funktioniert das? Die Kriminellen sammeln aus ihren Attacken große Mengen an Daten. Diese sind manchmal verschlüsselt oder codiert und nicht sofort zu nutzen. An dieser Stelle kommen die Tools ins Spiel. Sie automatisieren das Knacken des Passworts und sind möglicherweise schon Bestandteil des Botnets, das eine einfachere Verteilung erlaubt. Sind die Hashes einmal geknackt, versuchen Brute-Force-Attacken sich die Wiederverwendung des Passworts zunutze zu machen. Sie testen außerdem, ob das Passwort einer bestimmten Person auch für das Login eines anderen funktioniert. Tatsächlich hat Check Point regelmäßig Brute-ForceAttacken beobachtet, die Wochen andauerten, wobei die Versuche pro Sekunde/Minute/Stunde/Tag vom Angreifer so eingestellt sind, dass eine Entdeckung umgangen werden kann. Damit nicht genug, landen die gewonnenen Daten möglicherweise auf Text-Sharing-Sites wie Pastebin, wo die Informationen dann verkauft werden können. Um gespeicherte Passwörter zu schützen, sollte ein kryptografischer „one-way“ Hash eines Passworts generiert werden. In anderen Worten – lautet das Passwort z.B. „bluesky“, wird ein Kryptograf es in etwas wie „fna84K“ umwandeln. Dies verhindert, dass reine Textpasswörter im Umlauf sind und ermöglicht die Verifizierung von anwenderseitig bereitgestellten Passwörtern durch Wiederholung des one-way Hashing-Systems. Auch das Hinzufügen eines wahllos generierten Wertes zu einem Passwort noch vor der Erstellung seines kryptografischen Hashs kann den Versuch, ein Passwort zu knacken, erschweren. Da bereits Tools existieren, die das Internet nach Hashes und Passwörtern durchforsten und auch automatisiertes, verteiltes Passwort-Cracking an der Tagesordnung ist, ist es umso wichtiger, dass Sie die Speicherung dieser Daten noch besser absichern. Treffen Sie besondere Vorsichtsmaßnahmen, um diese Informationen zu schützen und nutzen Sie Zweifaktorverifizierung, Out-of-Band User-Authentifizierung oder sogar biometrische Authentifizierung. Berücksichtigen Sie, dass Anwender oft gleiche oder ähnliche Passwörter wiederverwenden – denn das bedeutet, dass jede Datenpanne mit tausenden von Namen die Saat ausbringt für potentiell hunderte, weiterer Angriffe auf Ihre Unternehmensdaten. 21 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 21 DDOS – DIE NEUE STREIKMACHT Wollte man in der Vergangenheit etwas gegen Tag, was einen Anstieg um 500 Prozent bedeutet! die Strategie und Methoden einer Organisation Im vergangenen Jahr trat die Mehrzahl der DDoS- unternehmen, versammelte man ein paar Leute, Attacken im Beratungssektor auf, in diesem Jahr bemalte ein paar Transparente und stellte sich vor betreffen sie bereits zwei Drittel von Unternehmen ihre Eingangstür, um den Protest für alle sichtbar aus allen Branchen. Der in 2014 zweitgrößte zu machen. Jetzt? Man geht einfach online und Angriffsvektor nach DDoS war Buffer Overflow – kauft ein günstiges DDoS-Toolkit, gibt die URL des eine Attacke, die Daten und das Ausführen Unternehmens ein, gegen das man seinen Protest von Code korrumpiert und so dem Angreifer richtet und – fertig – die Website des Unternehmens ermöglichen kann, beliebigen Code zu injizieren. ist verunstaltet. Das ist einfach, bequem und billig. Beide Methoden nahmen im Vergleich zum Vorjahr Distributed Denial of Service (DDoS) war in 2014 signifikant an Häufigkeit zu. der Hauptangriffsvektor und für 60 Prozent aller Attacken verantwortlich – fast doppelt so viel wie im Vorjahr. DDoS-Attacken setzen Server oder In 2014 traten täglich DDoS-Attacken auf andere Netzwerkressourcen vorübergehend außer Gefecht. In 2014 wurden täglich 48 solcher Angriffe 48 registriert – im Jahr zuvor waren es noch acht pro HAUPTANGRIFFSVEKTOREN 2014 2013 PROZENT DER ORGANISATIONEN MIT WENIGSTENS EINEM ANGRIFF 60 51 47 43 39 36 35 23 23 DENIAL OF SERVICE BUFFER OVERFLOW CODEAUSFÜHRUNG CROSS-SITE SCRIPTING 3.3 22 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 22 22 ANOMALITÄT 19 SPEICHERKORRUMPIERUNG QUELLE: Check Point Software Technologies HACKTIVISMUS: Wenn Protestler ihre Ideologien online bringen Im vergangenen Jahr zeigte sich ein Anstieg von DDoS gegen Bildungseinrichtungen, Dienstleister, US-Regierungsbehörden und Stadtverwaltungen. Unabhängig von politischen Fragen und Einstellungen bekommen unbeteiligte Dritte die Auswirkungen von DDoS-Attacken mindestens ebenso stark zu spüren, wie die eigentlichen Angriffsziele. In Ländern, wo der Großteil des Netzwerks für Bildungsservices von der Regierung bereitgestellt wird, kann ein Angriff auf eine kleine Schule jede einzelne Schule im gesamten Netz betreffen. Ein DDoSAngriff auf die Website einer bestimmten Stadt kann die VPN-Verbindung zu Strafverfolgungseinrichtungen und Notdiensten kappen – und das nicht nur für die Dauer einer Großdemonstration. Ein solcher Fall ist bereits eingetreten. Auch wenn die Reihenfolge der einzelnen Schritte variieren kann, setzen Hacktivisten meist folgende vier Haupttechniken ein: 1. Eine volumetrische Attacke in mehreren Wellen, die Millionen von User Datagram Protocol (UDP)-Paketen auf Port 80 nutzt. Als „stateless“, also zustandsloses Protokoll ist UDP sehr einfach zu imitieren, was die Quelle so erscheinen lässt, als würde von einer anderen Internetprotokoll (IP)-Adresse gesendet. Dies überschwemmt die Verbindung, noch bevor die vorgeschalteten Security-Einrichtungen der Organisation den Angriff erkennen und reagieren können. 2. Eine Domain Name System (DNS)-„Reflection“ -Attacke, wobei die Angreifer Millionen von DNS-Anfragen an berechtigte DNS-Server schicken und dabei eine verfälschte IP-Adressquelle nutzen. So geben sie vor, von einem Server aus dem Netzwerk des Opfers zu stammen. Die offenen DNS-Server reagieren, indem sie das Opfer mit DNS-Antworten überfluten, was eine neue Welle von volumetrischen Attacken auslöst. 3. Eine SYN flood-Attacke zielt auf einen bestimmten Host ab. Durch hoc volumiges Spoofen der Ursprungsadresse verbraucht sie so viele Ressourcen, dass der Host für berechtigten Datenverkehr nicht mehr ansprechbar ist. 4. „Slow attacks“, also langsame Angriffe, öffnen so viele Verbindungen zu einem Server wie möglich und halten diese Verbindungen so lange wie möglich offen, indem sie exakt vor dem Time-out der TCP (Transmission Control Protocol )-Sessions sehr kleine Datenmengen senden. Der Datenverkehr ist gering, doch die Menge der langsamen Verbindungen verstopft die Zugänge der Netzwerk-Ports. Das können Sie tun, um Ihre Organisation abzusichern: 1. Verstehen und beobachten Sie das Datenverkehrsvolumen, wie z.B. die Verbindungen pro Sekunde, Pakete pro Sekunde und den Durchsatz pro Sekunde. Werden die festgelegten Grenzwerte überschritten, können Tools wie Check Point DDoS Protector™ vor den Security Gateways eingesetzt werden um den DDoS-Traffic abzuschwächen, noch bevor er das Gateway erreicht. Überschreitet der Datenverkehr aus einem volumetrischen Angriff das Leistungsvermögen des Internets, führt dies zu einer Überlastung der Netzwerkverbindung, noch bevor die Daten den DDoS Protector oder das Security Gateway erreichen – der Denial of Service ist perfekt. Um dies zu verhindern, leitet DDoS Protector die Daten über DefensePipe in s.g. Internet-„Waschanlagen“ um. In diesen Scrubbing-Centren wird schadhafter Datenverkehr entfernt, und die sauberen Daten werden zurückgeleitet. 2. Implementieren Sie engmaschige Kontrollen für Netzwerke mit Gastzugriff oder unbekanntem Benutzerstandort wie z.B. bei Bildungseinrichtungen, Cloud-Providern und Servicehosting-Unternehmen. 3. Setzen Sie Richtlinien für das Source IP-Spoofing ein, um zu verhindern, dass die Anwender gezielter Netzwerke s.g. Reflection-Attacken auslösen. Dynamische, variierende und wellenförmige Formen von Attacken machen es zu einer Herausforderung, jede Art von DDoS zu stoppen. Doch Check Points Firewall Software Blade und IPS Software Blade verfügen über Abschwächungstools und integrierte Schutzvorrichtungen – wie z.B. Rate Limiting, SYN Defender und IPS SYN Attack sowie IPS DNS – die dabei unterstützen, DDoS-Attacken zu verhindern. 23 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 23 DOOMSDAY – FÜR DIE ERFOLGSKRITISCHE INFRASTRUKTUR: Nicht „Ob“, sondern „Wann“ James Arbuthnot, der frühere Vorsitzende des Parlamentarischen Verteidigungsausschusses in Großbritannien, drückte es wohl am besten aus: „Unser nationales Netz ist Cyberattacken ausgesetzt, und zwar nicht nur Tag für Tag, sondern Minute für Minute.“ 11 Tatsächlich haben fast 70 Prozent der „Critical Infrastructure“ (CI)-Unternehmen im vergangenen Jahr einen Sicherheitsvorfall hinnehmen müssen.12 Ein Angriff namens „Energetic Bear“, der in 2014 von einer Gruppe russischer Hacker durchgeführt wurde, startete seinen Feldzug gegen Öl- und Gasunternehmen. Durch Infektion der industriellen Kontroll-Software, die diese Unternehmen im Einsatz hatten, schleusten die Angreifer Malware ein, die sich automatisch herunterlud und installierte, als die betroffenen Organisationen ihre Software aktualisierten. Damit hatten die Hacker Einsicht in die ins Visier genommenen Netzwerke – und potentiell auch die Kontrolle darüber. Bei einem anderen Vorfall wurde ein deutsches Stahlwerk attackiert, was zu erheblichem Schaden an einem Hochofen führte. Dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge rollten die Angreifer eine Social Engineering-Kampagne aus, die spezifische, einzelne Personen zum Öffnen von PhishingMessages brachte. Anschließend konnten die Cyberkriminellen Login-Namen und Passwörter abgreifen, über die sie Zugang zum Produktionsnetzwerk des Stahlwerks erhielten. Dort verursachten sie über die Manipulation des Kontrollsystems den Ausfall bestimmter Elemente, was verhinderte, dass der Schmelzofen sich auf normale Weise abschaltete. Im Ergebnis war das gesamte System beschädigt. Warum passiert das? Wenn wir die Ursachen von CI-Vorfällen betrachten, fallen einige Dinge auf. Zuallererst, dass das Supervisory Control und Data Acquisition (SCADA)-System, wie es üblicherweise von CI genutzt wird, nicht auf Security ausgelegt war. Nicht nur, dass seine Devices angreifbar sind, vor allem sind auch die Netzwerke alt und überholt. Darüber hinaus schließen SCADA-Systeme Windows- und Linux-Betriebssysteme ein, die ebenfalls verwundbar sind. Ein weiterer Grund ist, dass der Blick auf die Security viel zu oft sehr kurzsichtig ist und sich ausschließlich auf das elektronische Perimeter richtet. Das reicht nicht aus, denn es lässt die Risiken für die Produktionssysteme außer Acht. Das dritte Problem, das wir schließlich sehen, ist der Irrglaube, dass eine gute physikalische Security mit einer guten Netzwerk-Security gleichzusetzen ist. Hier nicht die Unterschiede zu kennen und zu verstehen, kann schwerwiegende Konsequenzen haben. Die Absicherung kritischer Infrastrukturen: Was zu tun ist Genauso, wie wir drei Hauptgründe für CI-Vorfälle sehen, sehen wir auch drei Hauptwege, solche Ereignisse zu vermeiden. Nachstehend zeigen wir die Schritte für die Absicherung kritischer Infrastrukturen auf: 1. Security-Architektur: Schützen Sie vor allem anderen das Unternehmensnetzwerk, um so eine Infiltration des Produktionsnetzwerks zu blockieren. Anschließend segmentieren und schützen Sie Ihr Produktionsnetzwerk mit hierauf spezialisierter Security. Setzen Sie für die Perimeter-Security geeignete Tools wie Firewall, Intrusion Prevention, Anti-Virus, Anti-Bot und Threat Emulation ein. 2. Security-Produkte mit granularem SCADA-Support: Nutzen Sie immer Produkte, die speziell für SCADASysteme entwickelt sind. Bedenken Sie, dass CI-Betriebe auf dedizierte Systeme in spezialisierten Netzwerken mit besonderen Protokollen bauen. Lösungen wie die Check Point SCADA Security-Lösungen umfassen SCADALogging, Firewall, Applikationskontrolle, Intrusion Prevention und SCADA Workstation-Endpoint Security. 3. Threat Intelligence: Stellen Sie die unabhängige Protokollierung sämtlicher SCADA-Aktivitäten sicher und setzen Sie hierfür ein tief greifendes SCADA Traffic-Monitoring sowie Threat-Analyse ein. 24 24 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH DIE TOP SICHERHEITSLÜCKEN UND GEFÄHRDUNGEN IN 2014 NACH HERSTELLER 7945 450 431 376 287 138 AD AP 120 LA 135 UX PL E GO OG LE RE DH AT SC O CI OF T E RO S AC L 155 M OR IC IB M 08 20 20 20 09 10 11 20 12 20 20 20 13 14 156 OZ IL 4651 N 4155 5632 M 5297 368 LI 5191 5736 OB E ANZAHL VON SICHERHEITSLÜCKEN GESAMTAUFKOMMEN VERBREITETER SICHERHEITSLÜCKEN UND GEFÄHRDUNGEN SECURITY-VORFÄLLE NACH TOP SOFTWARE-ANBIETERN PROZENT DER ORGANISATIONEN 2014 2013 2012 67 68 77 AN OL LL VI N OV E E E OB AD T RA CL /O OF IC 1 SU M N RO S OV E N 2 D CA /O N SU 3.4 5 2 UI 3 SQ 3 UI D RA CL E AP PL E 4 SQ 3C OM AN VI DE OL E T OB AD OF 4 LL 4 3 RO S 3 IC 5 M N SU 13 10 HP RA CL E M OZ IL L JO A OM LA 6 /O OB AP E AC HE OF RO S IC M AD T 6 15 DE 15 14 QUELLE: Common Vulnerabilities and Exposures (CVE) Database (Abb. oben), Check Point Software Technologies (Abb. unten) SICH VERLETZLICH FÜHLEN Eines der wichtigsten Themen, das Unternehmen letzten drei Jahren, gab es zwischen 2012 und 2013 für eine Verbesserung ihrer Security adressieren nur einen geringen Zuwachs. Von 2013 auf 2014 müssen, ist das Patchen und Updaten ihrer Software. aber ist ein sprunghafter Anstieg um über Wird dies vernachlässigt, ist die Organisation 53 Prozent zu verzeichnen. sehr verletzlich und erfährt – unnötigerweise – Aufmerksamkeit für diese potentiellen Gefahren ernsthafte Leistungseinbußen – bei „Mann und zu, doch es bleibt die schlechte Nachricht, Maschine“. Betrachtet man die Gesamtzahl der dass gängigen Schwachstellen und Bedrohungen in den und ansteigen. die Gefährdungen 13 Zwar nimmt also die weiterhin da sind 25 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 25 SHELLSHOCK: Netzwerke ins Herz getroffen Hacker wissen: die wirkungsvollste Art ihre Ziele zu treffen ist, sie an ihren Fundamenten anzugreifen. Für die meisten Betriebssysteme besteht dieses Fundament aus einer Reihe grundlegender Kommandos, die oft in Unix ausgeführt werden. Am Herzen des Befehlszeileninterpreters, wie er allgemein in Apple MAC OS X- und Linux/UNIX-Betriebssystemen genutzt wird, befindet sich ein Command-Prozessor namens Bash oder „Bourne Again Shell“. Im September 2014 wurde in Bash eine umfassende Sicherheitslücke entdeckt, die Hackern die RemoteAusführung von Shell-Kommandos ermöglichte. Das funktionierte durch das Anhängen von schadhaftem Code in umgebende, vom Betriebssystem genutzte Variablen. Aus Sicht eines Hackers geht es kaum besser. Innerhalb weniger Tage nach Bekanntwerden der Schwachstelle wurden weitere Designfehler entdeckt und eine Reihe von Patches erstellt. Der Wettlauf darum, das Netzwerk schneller zu treffen, als die Patches eingesetzt werden konnten, hatte begonnen. Innerhalb weniger Stunden nutzten die Angreifer die Sicherheitslücke Shellshock aus, indem sie Botnets auf kompromittierten Computern einrichteten, um verteilte Denial-of-Service-Attacken und SchwachstellenScanning durchzuzuführen. Während mit Check Point IPS geschützte Netzwerke noch am gleichen Tag gepatcht wurden, kompromittierte Shellshock Millionen nicht gepatchter Server und Netzwerke. Mit IPS geschützte Check Point-Kunden registrierten blockierte Angriffsversuche, die hauptsächlich auf http-, Mail- (SMTP/POP3/IMAP), FTP- und DHCP-Protokolle zielten. Untersuchungsergebnisse zeigten, dass die USA mit signifikantem Vorsprung sowohl das Hauptangriffsziel als auch der Hauptangreifer waren. DAS NEUE ZIEL VON EXPLOITS: OPEN SOURCE-SOFTWARE UND BETRIEBSSYSTEME Community-Sharing ist nicht immer eine gute Sache. sie Hackern als offene Tür in das Netzwerk, das sie Nehmen wir beispielsweise Open Source-Software ausbeuten wollen. (OSS). Anders als die typische, proprietäre Software, die geschlossen ist, ist Open Source-Software so So geschrieben, dass ihr Quellcode der Öffentlichkeit frei Herstellern betriebene Open Source-Software- zur Verfügung steht und von jedermann modifiziert Projekt „OpenDaylight“ dazu genötigt, sich mit werden kann. Schlimmer noch, OSS wird nicht sehr Security zu befassen, nachdem ein Software- genau verwaltet, da sie nicht immer Bestandteil definierter Netzwerk (SDN)-Fehler ans Tageslicht des IT-Beschaffungsprozesses ist. Und, da es sich gekommen war. Im August 2014 wurde eine kritische um Freeware handelt, wird sie nicht so intensiv Schwachstelle in der Plattform gefunden, doch es gewartet, wie andere Software. Cyberkriminelle dauerte vier Monate, bis sie gepatcht werden konnte. wissen das und starten immer wieder Attacken auf Der Entdecker der Sicherheitslücke hatte zunächst die schlechter gewarteten und weniger sichtbaren versucht, das auf privatem Wege zu kommunizieren. Applikationen und Systeme. Im Ergebnis ist OSS Da aber OpenDaylight kein Security-Team hatte, war zu einem attraktiven Ziel geworden, wenn es um sein Bemühen vergebens. Schließlich machte er den Diebstahl von Daten, geistigen Eigentums oder die Schwachstelle auf einer populären Mailingliste anderer, sensitiver Informationen geht. Und so dient für Sicherheitsmängel öffentlich. Der Fehler bot die 26 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 26 wurde zum Beispiel das von mehreren potentielle Möglichkeit, einen SDN-Controller zu Dann kam Shellshock. Das Beschämende daran kompromittieren – worüber Hacker schlussendlich ist, dass Shellshock seinen Ursprung in einem die Kontrolle über das ganze Netzwerk hätten 25 Jahre alten Sicherheitsmangel hat, der die erlangen können. 14 Ausführung von schadhaftem Code innerhalb von Bash Shell möglich macht. Damit kann ein Hacker Eine andere, in 2014 entdeckte Open Source- ein Betriebssystem übernehmen und sich Zugriff Schwachstelle betraf die MediaWiki-Plattform, auf auf vertrauliche Informationen verschaffen. Hier der Wikipedia und tausende anderer Wiki-Sites sei darauf hingewiesen, dass viele Programme weltweit basieren. Check Point-Experten entdeckten im Hintergrund Bash Shell laufen lassen. Sobald einen Defekt im Code, der Hackern das Einspeisen den bestehenden Code-Zeilen zusätzlicher Code von schadhafter Software in jede Wikipedia.org- hinzugefügt wird, ist der Fehler frei gesetzt. 15 Seite und in andere, interne oder Web-seitige Wiki-Seiten auf MediaWiki ermöglichen konnte. Auf Shellshock folgte Poodle, ein „süßes“ Akronym, Beeindruckende Zahlen wie 94 Millionen Wikipedia- das für „Padding Oracle On Downgraded Legacy Besucher monatlich und fast zwei Millionen, auf Encryption“ steht. Sein Fokus: die 18 Jahre alte Wikipedia verlinkte Seiten machen deutlich, zu Verschlüsselungstechnologie SSL 3.0. Nutzte eine welch massivem Schaden es hier hätte kommen Website dieses Protokoll um den Datenverkehr können. zu verschlüsseln, konnten die Angreifer die mit der Website kommunizierenden Computer dazu Die größten Open Source-Exploits des vergangenen zwingen, ihre Verschlüsselung auf den gleichen, Jahres waren Heartbleed, Shellshock und Poodle. antiquierten Im Vorjahr noch hatte es danach ausgesehen, als Security-Problemen bei der Kommunikation mit den könnte die Malware, mit der die Unternehmen zu Servern führte. 16 Standard herabzusetzen, was zu kämpfen hatten, verheerender nicht mehr werden – bis dann einige Monate später die vernichtendste Open Source-Schwachstellen wie Heartbleed, Poodle Schadsoftware in Erscheinung trat, die es bis dahin und Shellshock betrafen nahezu jeden IT-Betrieb gegeben hatte. Heartbleed, eine Schwachstelle in weltweit. Natürlich können die Organisationen die OpenSSL-Software, wurde im April 2014 entdeckt. nächste, massive Sicherheitslücke nicht vorher Sie macht Hackern den Zugang zum Speicher sehen. Doch sie sollten immer bedenken, dass von Datenservern frei – bis zu einem Wert von Hacker Open Source und weit verbreitete Plattformen 64 Kilobyte. Dieser Zugang ermöglicht dann den wie Windows, Linux und iOS ganz besonders Diebstahl kritischer Daten wie Benutzeridentitäten, lieben – denn hier eröffnen gefundene Schlupflöcher Passwörter und andere, sensitive Informationen, die die auf den Servern hinterlegt sind. Ausbeutung. meisten und besten Möglichkeiten der NIEMAND HAT SCHULD – AUSSER WIR SELBST TOP IPS EVENTS 40% SERVER 3.5 sich im vergangenen Jahr praktisch umgekehrt: Jetzt sind die Clients das schwächste Glied. Betrachten wir die Veränderung bei der Verteilung der Top IPS- 60% CLIENT In 2013 waren Server das bevorzugte Ziel. Das hat Events auf Clients und Server, sehen wir bei den Clients einen dramatischen Anstieg von früher 32 PROZENT VON GESAMT auf jetzt 60 Prozent. Auf der Server-Seite ist dieser Wert inzwischen von 68 auf 40 Prozent gefallen. QUELLE: Check Point Software Technologies 27 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 27 Warum? Hacker bevorzugen den Angriff auf Clients, verfügen nicht über eine aktualisierte Version ihrer weil sie hier ihre Opfer mit Social Engineering- und Software, und bei 17 Prozent ist keinerlei Antivirus- Phishing-Taktiken austricksen können. Mit anderen Lösung installiert. Darüber hinaus sind 35 Prozent Worten: Menschen sind viel einfacher zu überlisten, der Unternehmensrechner so konfiguriert, dass die als Maschinen. Anwender lokale Administratorrechte haben. Damit sind die Betriebssysteme einem höheren Risiko für Was trägt zu diesem Problem bei? Zum einen – die menschliche Nachlässigkeit Malware-Attacken ausgesetzt. gegenüber grundlegenden Schutzmaßnahmen. Zum anderen Auch wenn diese Zahlen auf den ersten Blick nicht setzen viele Organisationen veraltete Security-Tools gewaltig erscheinen, ist es doch bemerkenswert, ein, die bei der Abwehr heutiger Gefahren schlicht bei wie vielen Unternehmen die Security-Message versagen. Will man seine Endgeräte absichern, nach wie vor nicht angekommen ist: Es bedarf beginnt man mit fundamentalen Maßnahmen wie nur eines einzigen, angreifbaren Rechners, um der Sicherstellung, dass alle Computer über eine das gesamte Netzwerk zu infizieren. Was in der Desktop-Firewall und Folge auch all die Unternehmen gefährdet, die Software-Updates installiert und durchgeführt werden mit dem betroffenen Netzwerk interagieren und und die aktuellste Anti-Virus-Software im Einsatz ist. Informationen austauschen. Für eine erfolgreiche verfügen, Service-Packs Bekämpfung der Cyberkriminalität ist es also Unseren Untersuchungsergebnissen zufolge läuft unerlässlich, im Umgang mit den grundlegenden jedoch auf 20 Prozent der Unternehmensrechner Schutzvorrichtungen ein verantwortlicher „Cyber- keine Desktop Firewall, und 10 Prozent der Hosts Bürger“ zu sein – und wichtige Security-Informa- haben keine aktuellen Service Packs. 25 Prozent tionen mit anderen auszutauschen. ENDPOINTS IM UNTERNEHMEN SICHERHEITSLÜCKEN UND FEHLKONFIGURATIONEN 54% 25% Hosts mit wenigstens einem installierten Bluetooth-Device 20% Hosts ohne Desktop-Firewalls Hosts ohne aktualisierte AV-Signaturen 25% PERCENT OF HOSTS Hosts ohne aktualisierte Software-Versionen 35% 10% Hosts mit lokalen Admin-Rechten für den User 28 28 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH Hosts ohne das jüngste Service-Pack 3.6 QUELLE: Check Point Software Technologies Compliant ohne Kompromisse Zwar verstehen die meisten Unternehmen ihre Verpflichtungen, was die Einhaltung von Compliance und Branchen-Bestimmungen angeht. Doch wenn es um Security geht, ist dies nach wie vor ein komplexes Problem. Ihr Unternehmen kann heute vollständig regelkonform sein, durch eine einzige, geschäftsrelevante Änderung am Netzwerk aber schon morgen vollkommen aus dem gesetzlich vorgegebenen Rahmen herausfallen. Hier ist es entscheidend zu wissen, worauf genau man achten muss. Aber fallen Sie nicht auf den Denkfehler herein und nehmen an, dass ein regelkonformes Unternehmen gleichzeitig auch vollkommen sicheres ist. Die Einhaltung von regulativen Bestimmungen ist typischerweise geknüpft an spezifische Bedrohungen, was den Prozess weniger umfassend macht, als eine wirkliche Security-Prüfung sein könnte und sollte. Die Einhaltung gesetzlicher Vorgaben sollte daher nicht die Basis für Ihre Security-Policy sein. Nachstehend . lesen Sie, was Check Point hierzu in seiner Studie zu 2014 feststellte. CHECK POINT UNTERSUCHUNGSERGEBNIS CHECK POINT PROBLEMANALYSE VORSCHRIFT VON DIESER VORSCHRIFT BETROFFENE LÄNDER Anti-Spoofing bei 75% der Befragten nicht aktiviert Anti-Spoofing verifiziert, dass Datenpakete vom richtigen Interface kommen und zum richtigen Interface auf dem Gateway gehen. Es bestätigt, dass Pakete, die vorgeben aus einem internen Netzwerk zu stammen, tatsächlich vom internen Netzwerk-Interface kommen. Ist ein Paket geroutet, stellt AntiSpoofing außerdem sicher, dass es durch das richtige Interface geht. PCI DSS 3.0 Global – jedes Unternehmen, das Kreditkartendaten verarbeitet oder speichert. NIST 800:41 Hauptsächlich relevant auf US-Bundesebene, aber gleichermaßen anwendbar auf jedes USUnternehmen, das einen robusten Firewall-Standard übernimmt. ISO 27001 Global – jedes Unternehmen, das nach diesem Standard zertifiziert ist oder ihn als Best Practice adaptiert. PCI DSS 3.0 Global – jedes Unternehmen, das Kreditkartendaten verarbeitet oder speichert. NIST 800:41 Hauptsächlich relevant auf US-Bundesebene, aber gleichermaßen anwendbar auf jedes USUnternehmen, das einen robusten Firewall-Standard übernimmt. ISO 27001 Global – jedes Unternehmen, das diesem Standard folgt PCI DSS 3.0 Global – jedes Unternehmen, das Kreditkartendaten verarbeitet oder speichert. ISO 27001 Global – jedes Unternehmen, das nach diesem Standard zertifiziert ist oder ihn als Best Practice adaptiert. Entdeckung einer „Any Any Accept”Regel bei 27% der Befragten Out-of-State TCPPakete werden bei 19% der Befragten nicht verworfen Das grundlegende Konzept der FirewallRegelbasis ist „Was nicht explizit erlaubt ist, ist verboten.“ Festzustellen, dass 27% der befragten Unternehmen eine „Any Any Accept“-Regel in ihrer Regelbasis hatten, war eine große Überraschung. Denn das ist das Firewall1mal1, die Grundlage aller Grundlagen. TCP Session Timeout ist die Zeitspanne, für die eine untätige Verbindung im Security Gateway-Connections-Table bestehen bleibt. Diese nicht genutzte Session ist genau die Laufzeit, während der ein Angreifer versuchen kann, die Pakettransporte aus bestehenden UserSessions zu stehlen und zu benutzen. Pakete, die Out-of State sind, sollten fallen gelassen werden. Wir haben festgestellt, dass 1 von 5 Unternehmen Out-of-State-Pakete nicht verwirft. BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 29 29 Damit sich die Geschichte nicht wiederholt ‚Wer aus der Vergangenheit nicht lernt, der ist dazu verdammt, sie noch einmal zu durchleben‘ Eine alte Weisheit, die auf die IT-Security anwendbar scheint. Bleibt Ihr Unternehmen jedoch mit den aktuellen Gegebenheiten auf dem Laufenden und setzt Best Security Practices ein, so kann Sie das vor dem Wiederholen früherer Fehler bewahren. Nachstehend finden Sie eine Zusammenfassung bewährter Praktiken, die Ihnen dabei helfen können, die Security-Fallstricke zu vermeiden, die sowohl großen als auch kleinen Kunden zum Verhängnis werden können. „Entdecken“ versus „Verhindern“ In der Netzwerksicherheit werden meist der „Detect“-, also „Entdecker“-Modus für weniger kritische Gefahren und der „Prevent“- bzw. „Verhindern“-Modus für schwerwiegende, hochriskante Bedrohungen genutzt. Wir hören häufig von Kunden, dass ein Angriff zwar entdeckt aber nicht verhindert werden konnte, weil er falsch kategorisiert wurde. Stellen Sie also eine regelmäßige Prüfung Ihrer Threat-Richtlinien sicher, so dass diese immer richtig kategorisiert sind. Patches nicht mehr aktuell Obwohl Patches selbst für Jahre alte Schwachstellen auf bestimmten Plattformen zur Verfügung stehen, sind sie häufig nicht installiert. Angreifer machen sich diese Nachlässigkeit zu Nutze. Je älter die Sicherheitslücke, umso wahrscheinlicher ist die Existenz eines Open Source-Exploits. Damit Sie sich hier nicht zum leichten Opfer machen, empfehlen wir Ihnen frühes und häufiges Patchen. Schwache Passwort-Policy oder Wiederverwendung von Passwörtern Die meisten, mit Brute-Force-Attacken gewonnenen Zugangsdaten werden gestohlen, weil das Passwort für ein Userkonto schwach ist. In anderen Fällen konnten User-Accounts übernommen werden, weil das Passwort für eine Website auch für eine andere, kompromittierte Seite genutzt wurde. Durch das Festlegen strengerer Passwort-Richtlinien und die Aufklärung der Anwender über die Gefahren der Mehrfachverwendung von Passwörtern können Unternehmen die Gefährdung von Nutzerkonten deutlich reduzieren. Mehr noch, gute Passwörter machen Ihre Netzwerke stärker. Abschottung von Unternehmensbereichen In großen Organisationen beobachten wir oft die Zurückhaltung von Informationen zwischen einzelnen Unternehmensbereichen, manchmal auch die gegenseitige Schuldzuweisung zwischen den Abteilungen. In einigen Unternehmen fehlt es schlicht an Mechanismen für den internen Informationsaustausch oder konsistente IT-Policies, was z.B. dazu führt, dass ein Geschäftsbereich ein deutlich moderneres Netzwerk hat, als ein anderer. Unglücklicherweise sind viele der Netzwerke nicht segmentiert, so dass der Einbruch in ein Abteilungsnetz dem Einbruch in alle Geschäftsnetze gleich kommt. 30 30 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH EMPFEHLUNGEN Man könnte annehmen, dass etwas, das man kennt, • Schützen, was wichtig ist. Erweitern Sie Ihren IPS- entsprechend leichter zu kontrollieren ist. Was Schutz und stellen Sie so sicher, dass Sie auch sehr Sie im vorstehenden Kapitel über Malware lesen schwere Attacken abwehren können. Schützen Sie konnten, widerlegt diese Annahme allerdings. Ihre Netzwerkserver und IT-Infrastruktursysteme, unabhängig von Hersteller oder Plattform. Die Bekämpfung bekannter Malware erfordert einen •Verwalten und pflegen. Bleiben Sie auf dem mehrschichtigen Ansatz. Das wichtigste Prinzip: Laufenden beim Thema Sicherheitslücken und Automatisieren und koordinieren Sie mehrere führen Sie Patch-Prozesse für alle Systeme und Verteidigungsebenen. Applikationen durch. • Erkennen und Verhindern. Stellen Sie sicher, dass •Regulieren und begrenzen. Begrenzen Sie für die neben Gateway- und Endpoint Anti-Virus-Software Client- und Serverkonfiguration die Vergabe von auch URL-Filtering zum Einsatz kommt. Dies hilft Administratorrechten. Unterbinden Sie Java und dabei, den Verbindungsaufbau mit den bekannten andere Skriptsprachen und legen Sie fest, welche Distributoren von Malware zu verhindern. Applikationen auf Endpoints installiert werden •Blockieren von Bots. Setzen Sie ein Anti-Bot dürfen. Software Blade ein, das Malware erkennt und Botnet-Kommunikation eindämmt. „So etwas wie vollkommene Sicherheit, das gibt es nicht, es gibt nur verschiedene Stufen von Unsicherheit.“ 17 –Salman Rushdie, Autor BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 31 31 04 MOBILE SECURITY: SCHRÄNK’ MICH NICHT EIN „Abgesehen von dem Bekannten und dem Unbekannten, was gibt es da noch?“ 18 –Harold Pinter, Nobelpreis-Träger, Dramatiker, Drehbuchautor, Regisseur, Schauspieler 32 32 | INTRODUCTION METHODOLOGY 32 | CHECK POINTAND - 2015 SECURITY REPORT 42% erfuhren Mobile Security-Vorfälle mit Kosten von über 250.000 US-Dollar. Mit dem Aufkommen der Mobilität ging auch das Es war vorhersehbar, dass der wachsende Trend Versprechen zusätzlicher zu Bring Your Own Device (BYOD) Unmengen von Produktivität einher. Der Gedanke an mobile Mobile Security-Problemen erzeugen würde. Mobile Sicherheit kam bei vielen erst deutlich später. Endgeräte sind der ideale Angriffsvektor. Sie bieten Ziel von einen deutlich einfacheren, direkten Zugang zu Lösungen, die Produktivität frei geben, und zwar wertvollem Geschäftseigentum, als jeder andere unabhängig davon, ob man sich innerhalb oder Zugangspunkt zum Netzwerk. Das macht sie zum außerhalb der Geschäftsräume befindet. Dies schwächsten Glied in der Security-Kette. war von der zunächst Freisetzung die Identifikation wird besonders wichtig durch die zunehmende Verbreitung zusammen von mit Smartphones den dazu und gehörigen Tablets, In einer von Check Point unterstützten, weltweiten Apps. Studie unter mehr als 700 Unternehmen gaben 42 Mobile Endgeräte machen unser Leben vielfach Prozent der Befragten an, dass sie bereits Mobile leichter und sollen deshalb, so der Wunsch Security-Probleme hatten hinnehmen müssen, deren vieler User, auch am Arbeitsplatz genutzt werden Behebung sie mehr als 250.000 US-Dollar gekostet dürfen – wo sie aber die Daten des Unternehmens hat. Und 82 Prozent der Teilnehmer erwarteten für neuen, hohen Risiken aussetzen. 2015 eine Zunahme der Störfälle. 33 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 33 GESCHÄFTSDATEN IN GEFAHR cc GEISTIGES EIGENTUM STANDORT DES MITARBEITERS NETZWERKZUGANGSDATEN BEVORZUGTE KOMMUNIKATION TELEFONATE 4.1 QUELLE: Check Point Software Technologies Eine schwache Mobile Sicherheit kann Hackern geben 86 Prozent der IT-Verantwortlichen an, dass Zugang zu Personendaten, Passwörtern, geschäft- gedankenlose Mitarbeiter eine größere Gefahr für licher und privater Email, Geschäftsdokumenten, die Sicherheit darstellen, als Cyberkriminelle. Und Applikationen und Unternehmensnetzen verschaffen. 92 Prozent räumen ein, dass durch ein anderes Entsprechend wachsen die Bedenken gegenüber der Verhalten der Mitarbeiter schwerwiegende Security- geschäftlichen Nutzung mobiler Geräte. Tatsächlich Vorfälle hätten verhindert werden können. AUSSER KONTROLLE 91 Prozent der Studienteilnehmer haben im Laufe App-Entwickler ihre Apps nicht auf Security hin der beiden letzten Jahre eine Zunahme der privat überprüfen. 19 genutzten, mobilen Endgeräte festgestellt, die auch auf das Unternehmensnetzwerk zugreifen. Es ist also keine Überraschung, dass für die Es ist daher alarmierend, dass 44 Prozent der IT die beiden größten Herausforderungen in Organisationen die auf den privaten Endgeräten der BYOD-Security in der Absicherung der der Mitarbeiter befindlichen Geschäftsdaten nicht Unternehmensinformationen verwalten. Hinzu kommt, dass 33 Prozent der Befragten) und dem Management persönlicher 34 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 34 (72 Prozent der Endgeräte bestehen, die sowohl geschäftliche als iOS-Geräte in mehr als 100 Ländern untersucht, auch private Daten und Applikationen enthalten die über Check Point-Firewalls auf geschäftliche (67 Prozent der Untersuchungsteilnehmer). Drahtlosnetzwerke zugriffen. Sollten Endgeräte hierbei mit einem Command & Control (C&C)- Noch mehr Gewicht BYOD- Server kommunizieren, würden sie als infiziert Herausforderungen im Kontext einer weiteren, eingestuft. Die Analysten stellten fest, dass von global durchgeführten Studie zu. Hier wurde 1.000 Endgeräten jeweils eines infiziert war. Die kommerzielle, Observierungssoftware Untersuchung ergab außerdem, dass bei 2.000 oder unter die Lupe genommen, wie sie typischerweise mehr mobilen Endgeräten in einer Organisation für die Überwachung – in manchen Fällen auch eine 50prozentige Wahrscheinlichkeit besteht, für das Ausspionieren – von Kindern genutzt dass sich mindestens sechs infizierte oder wird. Der Grund: Solche Produkte sind anfällig ins Ziel genommene, mobile Endgeräte im für mobile Remote Access-Trojaner (mRATs), die Netzwerk befinden. Nach Plattform betrachtet, ganz oben auf der Liste mobiler Malware stehen. fallen davon 60 Prozent auf Android und 40 Prozent Es wurden mehr als 500.000 Android- und 400.000 auf iOS. mobile kommt den BYOD-HERAUSFORDERUNGEN AN DIE SECURITY 72 ABSICHERUNG DER GESCHÄFTSINFORMATIONEN MANAGEMENT PERSÖNLICHER ENDGERÄTE, DIE SOWOHL GESCHÄFTLICHE ALS AUCH PRIVATE DATEN UND APPLIKATIONEN ENTHALTEN 67 59 NACHVERGOLGUNG UND KONTROLLE DES ZUGRIFFS AUF GESCHÄFTLICHE UND PRIVATE NETZWERKE 46 FORTLAUFENDE AKTUALISIERUNG DER MOBIL GENUTZTEN BETRIEBSSYSTEME UND APPLIKATIONEN 42 FINDEN AGNOSTISCHER SECURITY-LÖSUNGEN (Z.B. FÜR DAS MANAGEMENT ALLER BETRIEBSSYSTEME) 5 WIR HABEN KEINE BYOD-HERAUSFORDERUNGEN ANDERE 4.2 2 PROZENT DER ORGANISATIONEN QUELLE: Check Point Software Technologies 35 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 35 STUDIE ZU MOBILEN BEDROHUNGEN Gezielte Attacken auf mobile Endgeräte im Unternehmen Untersuchungsstichprobe Mehr als 500.000 Android- und 400.000 iOS-Geräte aus mehr als 100 Ländern Infektionen Etwa 1.000 infizierte Endgeräte, davon 60% Android und 40% iOS Malware Es wurden mehr als 20 Varianten und 18 verschiedene mRAT-Produktfamilien entdeckt Risiko Unternehmensdaten in Form von Emails, Messages, Keystrokes, Telefonaten und Mitarbeiterstandort WAS IST DER SCHADEN? Hacker können ein Unternehmen angreifen, Organisationen ins Visier nahmen, innerhalb indem sie sensitive Informationen von den derer sie dann verschiedene Ziele angriffen – statt mobilen Endgeräten seiner Mitarbeiter abziehen. auf die Angestellten beliebiger Organisationen Schadhafte mRATs abzuzielen und diese dann ohne Zusammenhang Angreifern möglich, machen Daten es potenziellen von mobilen mit dem Unternehmen zu attackieren. Endgeräten zu stehlen. Sie können die Kontrolle über verschiedene Sensoren übernehmen und Auf die Frage, welche mobile Plattform nach ihrem damit z.B. Keylogging ausführen, Nachrichten Ermessen stehlen, Videokameras einschalten u.v.m. Die bezeichneten in der schon zuvor erwähnen Studie Untersuchung ergab interessanterweise, dass rund 64 Prozent der IT-Verantwortlichen Android als besonders Mitarbeiter großer Organisationen zum größtes Risiko – gefolgt von Apple iOS und Windows Ziel von mRATs werden. Insbesondere zeigte die Mobile mit je 16 Prozent. Nur vier Prozent nannten Studie, dass die Angreifer bevorzugt bestimmte BlackBerry. 36 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 36 die meisten Probleme verursacht, 18 MRAT FAMILIES FOUND Andere TalkLog MobiStealth My Mobile Watchdog Shadow Copy Mspy Mobile Spy Bosspy Spy2Mobile 4.3 QUELLE: Check Point Software Technologies MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 37 37 ACHTUNG VOR DEM BINDER Das Schöne an der Interprozess-Kommunikation (IPC) ist, dass sie unterschiedliche, spezialisierte Prozesse innerhalb eines Betriebssystems ineinandergreifen lässt. In Android ist der hierfür erforderliche MessagePassing-Mechanismus „Binder“. Im Oktober 2014 fanden Check Point-Experten in Verbindung mit diesem System einen gravierenden Fehler, den sie in einem Report mit dem Titel „Man-in-the Binder: Wer die IPC kontrolliert, kontrolliert das Droid“ dokumentierten. Im Wesentlichen stellten die Check Point-Forscher fest, dass es die Möglichkeit gibt, die über das Binder-Protokoll kommunizierten Daten und sensitiven Informationen abzufangen. Die wichtigsten Ergebnisse: • Informationen, die über die Applikationen auf einem Android-Device gesendet und empfangen werden, einschließlich der durch 2-Faktor-Autentifierzierung, Verschlüsselungscodierung und andere SecurityMaßnahmen gesicherten Daten, können abgefangen werden. • In die abgefangenen Befehlszeilen können „Man-in-the-middle“-Kommandos eingegeben, es können also sog. Janus-Angriffe durchgeführt werden. • Über den Binder abgefangene Daten können Eingaben über die Gerätetastatur, anwendungsbezogene Aktivitäten wie Banking, Transaktionen und SMS-Nachrichten umfassen. Sie erfahren mehr über Man-in-the-Binder und andere Untersuchungsergebnisse von Check Point unter checkpoint.com/threatcloud-central. Kein Wunder also, dass Hacker mit Android einen den kommenden Monaten werden wir uns mehr und Heidenspaß haben – weist es doch einen deutlich mehr mit den Security-Auswirkungen von tragbarer höheren Risikofaktor auf, als andere Lösungen. Technologie und uns begleitenden Devices wie Fitbit, Eine erst kürzlich entdeckte Malware macht Google Glass, Smartwatches und anderen Geräten, Android-Benutzer glauben, dass sie ihr Mobilgerät die sich wiederum mit Tablets und Smartphones ausgeschaltet haben – was aber nicht wirklich verbinden, beschäftigen müssen. Das Internet der Fall ist. Berichten zufolge erlaubt die Malware der Dinge (Internet of Things, IoT) wird sowohl zu dann Remote-Anwendern mit dem Device des Hause als auch am Arbeitsplatz allgegenwärtig, und Opfers zu telefonieren, Nachrichten zu senden die Vernetzung der Technologien wird es möglich und zu empfangen und sogar Fotos zu machen. 20 machen, alles zu lesen, was von einem Gerät auf Letztendlich eröffnet dies einen einfachen Weg zum ein anderes übertragen wird. Es ist deshalb an Diebstahl von Identitäten und Daten. der Zeit, dass wir uns intensiv mit den Fragen und Auswirkungen von Mobile Security befassen. Es ist erfolgskritisch, sich der Risiken bewusst zu sein, die mit mobiler Technologie einhergehen. In 38 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 38 EMPFEHLUNGEN Bauen Sie nicht auf MDM als Alleinlösung Schirmen Sie Bereiche voneinander ab Mobile Device Management (MDM) erlaubt der IT- Schaffen Sie eine sichere Geschäftsumgebung Abteilung die Kontrolle darüber, was der Anwender und separieren Sie Ihre Geschäftsdaten und mit seinem Endgerät tun darf, und was nicht. Doch Applikationen, einschließlich der Daten auf privaten MDM weist auch zwei entscheidende Defizite auf: Endgeräten. Zum einen können MDM-Policies aus Anwendersicht, können Schutzmaßnahmen zur Absicherung der je nach IT-Abteilung, als sehr restriktiv empfunden Unternehmensdaten aktiviert werden, bis die Gefahr werden. Fühlen sich die Mitarbeiter aber in ihrer beseitigt ist. Wird das Gerät kompromittiert, Freiheit beschnitten, finden sie gerne Wege, die Security-Maßnahmen zu umgehen. Zweitens Vereiteln Sie Bedrohungen ist aus Unternehmenssicht zu berücksichtigen, Identifizieren und verhindern Sie Cyberbedrohungen dass MDM die mobilen Endgeräte nicht wirklich und schützen Sie Ihre mobilen Endgeräte. Stellen schützt, denn MDM-Lösungen umfassen keine Sie sicher, dass Ihre Mobile Security-Lösung dabei Malware-Funktionalitäten. neben unterstützt, verdächtige Downloads zu verhindern, MDM also immer noch Lösungen identifizieren, die schadhafte Webseiten zu blockieren und Gefahren das Endgerät selbst schützen sowie die ein- und abzuwenden, noch bevor diese Schaden anrichten ausgehenden Daten kontrollieren. können. Schützen Sie den Weg Gehen Sie in die Cloud Der Schutz von Dokumenten ist ein in der Mobile Schützen Sie Ihren Netzwerkverkehr über Cloud- Security gerne übersehener Aspekt. Kontrollieren Services, die Ihre geschäftlichen Richtlinien auf Sie Ihre Geschäftsdokumente, ganz egal, wohin sie mobile Endgeräte (BYOD) ausweiten und Ihre Com- gehen. Verschlüsseln Sie Ihre Dateien und stellen pliance sicherstellen. Nutzen Sie eine Lösung, die Sie sicher, dass ausschließlich autorisierte Nutzer für inner- und außerbetriebliche Nutzung nur eine Zugriff haben. Lösungen wie Check Point Capsule Security-Policy nutzt und durchsetzt und Ihre Mobil- bieten anwender auch über die Grenzen der betrieblichen Sie Dokumentensicherheit müssen und granulare Kontrolle über die Datenzugriffsberechtigung. Security-Maßnahmen hinaus begleitet. „Was wir mit Technologien wie mobilen Endgeräten und Cloud Computing erleben ist, dass sie Geschäftsmodelle ermöglichen, die bisher schlicht nicht existiert haben… Die etablierten Giganten dieser Welt werden empfindlich gestört von jungen Unternehmen, die neue Technologien zu nutzen wissen, um für Ihre Kunden grundlegend neue, noch nie da gewesene Wertangebote zu schaffen.“ 21 -Eric Schmidt, Chairman von Google 39 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 39 05 APPLIKATIONEN: DORT, WO ES WEH TUT „Da sich unsere Gesellschaft zu einer entwickelt, die auf Daten gestützt ist, werden unsere kollektiven Entscheidungen darüber, wie diese Daten genutzt werden können, bestimmen, in welcher Form von Kultur wir leben.“ 22 –John Battelle, Entrepreneur, Autor, und Journalist 40 | CHECK POINT - 2015 SECURITY REPORT 40 96% der Organisationen nutzen wenigstens eine hochriskante Applikation. Die digitale Landschaft, in der wir leben, ist Forscher haben sie in 96 Prozent aller untersuchten heimtückisch und trügerisch. Die Gefahren treten in Organisationen nachgewiesen – ein Zuwachs um 10 Form von Angriffen, internen Fehlern oder Sabotage Prozentpunkte gegenüber dem Vorjahr. auf. Ein ganz besonders verletzlicher Bereich der Unternehmen ist jedoch der, worauf sich ihre Zu geschäftliche Produktivität am stärksten stützt: die gehören: Applikationen. • Remote eingesetzte Administrations-Tools – den wichtigsten, untersuchten Kategorien Applikationen wie TeamViewer, RDP und LogMeIn Einige Applikationen, wie File Sharing, sind ganz ermöglichen den Fernbetrieb Ihres Rechners und offensichtlich treten seiner Funktionen, so als sei die Person physisch hier weniger hervor, denn sie sind Teil der s.g. riskant. zugegen. Ein Handy-Tool für die Fehlersuche bei „Schatten-IT“ – Applikationen also, die nicht von der IT-Problemen kann gleichzeitig ein Werkzeug für zentralen IT-Organisation gefördert oder unterstützt Hacker sein, das ihnen beängstigend viel Kontrolle werden. und Macht über Ihr Netzwerk gibt. Vielmehr Andere werden jedoch diese Technologien und Anwendungen an der IT vorbei erworben und installiert – als Zusatztools, die den Usern ihre Arbeit • Dateiablage und Sharing – Applikationen wie erleichtern. DropBox und andere ermöglichen Ihnen den Austausch und das Arbeiten mit größeren Dateien, Da also andere von diesen Applikationen als Sie gewöhnlich per Email versenden können. abhängen, kann die IT ihren Einsatz nicht einfach blockieren. Sind die Tools aber erlaubt, muss • P2P File Sharing – Das BitTorrent-Protokoll und auch die entsprechende Threat Prevention, also SoulSeek sind nur zwei Beispiele dafür, was in der Gefahrenabwehr, implementiert sein. Das Netzwerk Regel für den Austausch von Medien wie Musik, muss unter der Annahme geschützt werden, dass Videos oder Echtzeit-Kommunikation genutzt wird. diese hochriskanten Applikationen tatsächlich schadhaft SIND und nicht, dass sie es sein KÖNNTEN. • Anonymizer – Mithilfe von Browser-Plugins oder Um Ihnen einen Eindruck von der Verbreitung Web-Services wie Tor oder OpenVPN können Online- hochriskanter Applikationen zu geben: Check Point- Anwender anonym agieren. Solche Tools können 41 APPLIKATIONEN: DORT, WO ES WEH TUT | 41 NUTZUNG HOCHRISKANTER APPLIKATIONEN IN UNTERNEHMEN 2014 2013 92 2012 90 86 81 86 77 75 PROZENT DER ORGANISATIONEN 80 61 62 56 43 REMOTE-ADMINISTRATION FILE STORAGE UND -SHARING P2P FILE SHARING 5.1 ANONYMIZER QUELLE: Check Point Software Technologies legitim genutzt werden und Risiken reduzieren. Der Einsatz von Anonymizern nahm der Check Allzu oft aber werden sie für bösartige Zwecke Point-Studie zufolge über alle Bereiche hinweg zu. missbraucht. Und während die Top-3-Vektoren in jeder wichIn 2014 führten Remote Admin-Tools (RATs) die tigen Kategorie von hochriskanten Applikationen Liste der Vorfälle mit hochriskanten Applikationen gegenüber dem Vorjahr in etwa konsistent an, 92 Prozent der untersuchten Unternehmen blieben, zeigte die Anonymizer-Kategorie mehr waren betroffen. Unter allen verfügbaren RATs Bewegung auf. So bildeten hier zum Beispiel Tor, verdrängte Admin-Werkzeug Ultrasurf und Hide My Ass das führende Triple. In RDP von Platz Eins der Angriffsvektoren in dieser diesem Jahr rutschte Tor auf den dritten Platz, Kategorie – 78 Prozent der Organisationen räumten OpenVPN und Coralcdn waren die Nummern Eins Sicherheitsvorfälle mit TeamViewer ein. und Zwei. TeamViewer das In 92% der Organisationen wurden Remote Admin-Tools gefunden. 42 | APPLIKATIONEN: DORT, WO ES WEH TUT 42 Wo ist Waldo? Ob es um finanzielle Interessen geht oder einfach darum, ein Zeichen zu setzen – Hacker haben zahlreiche Tools zur Verfügung, um ihren Standort und ihre Identität zu verschleiern. Anders als landläufig in Hollywood-Streifen dargestellt, ist die Verfolgung und Identifizierung von Online-Kriminellen sehr komplex. Cybercrime-Ermittler räumen ein, dass sie meist nur die kleinen Fische fangen, wenn es um Computerkriminalität geht. Kriminelle Organisationen, meist geführt von gut informierten und erfahrenen Hackern, bleiben häufig unentdeckt. Da sie geografisch verteilt, gut strukturiert und in Teilen voneinander abgeschottet arbeiten, kennen einzelne Hacker meist nur einen kleinen Teil der großen Organisation – was die Wahrscheinlichkeit ihrer Aufdeckung noch geringer werden lässt. Für ihre Machenschaften „unter dem Radar“ setzen Cyberkriminelle ein ganzes Arsenal an Tools ein, das ihre Anonymität wahrt. Zunächst gilt es, die Spuren im Internet, die zu ihrem Standort führen könnten, zu verwischen. Das einfachste Tool hierfür ist ein Web-Proxy. Auch „Anonymizer“ genannt, agiert ein Proxy-Server als zwischengeschalteter Client-Computer, der Requests an die ursprünglich angefragte Zieladresse zurückgibt. In den Anfangszeiten des Internet halfen Web-Proxys dabei, die IP-Adresse einer Quelle zu verbergen, werden aber heute viel einfacher aufgedeckt. Sie verbergen ihren Standort Die Nutzung von VPN-Verbindungen ermöglicht dem Sender das Verschlüsseln des Datenverkehrs zwischen Endpunkten. Der VPN-Server kann genutzt werden, um die Identität eines Senders zu verbergen, indem er die Source-IP unauffindbar macht (in Echtzeit). Die Verbindung zwischen dem Rechner des Angreifers und dem VPN-Server ist verschlüsselt, so dass der Datenverkehr nicht entschlüsselt werden kann. Weder der VPN-Server selbst ist maskiert, noch sind es die Daten, sind sie einmal über die Grenzen der VPN-Verbindung hinaus geschickt worden. Sie verbergen ihren Weg Für weiter fortgeschrittenes Anonymizing setzen manche auf Tools wie Tor-Netzwerke. Das „Tor-Projekt“ setzt frei erhältliche Software ein, die ein Netzwerk aus 5.000 freiwilligen Relais-Stationen nutzt, um so den Standort und die Nutzung jedes einzelnen Nutzers zu tarnen. In einer Art Zwiebelschichtverfahren nutzt das Tor-Netzwerk für die Adressierung verschiedene Verschlüsselungsebenen, so dass ein Relais immer nur die Adresse für die nächste Station sehen kann, nicht aber die Quelle oder die endgültige Zieladresse. Sie verbergen ihre Computer ID Jeder Rechner, der auf das Internet zugreift, hat seinen eigenen Fingerabdruck: die interne, für jeden Computerprozessor einzigartige MAC-Adresse, in Verbindung mit seinen Betriebssystem- und WebZertifikaten. Eine der populärsten Möglichkeiten, eine Computeridentität zu verbergen bietet „Tails“, ein Betriebssystem, das von einer CD oder einem USB-Stick gebootet werden kann. Sein s.g. „Onetime Workstation“-Feature transferiert die Identifikationssignaturen des Rechners zu dem CD/USBBetriebssystem. Nach einmaliger Nutzung wird die CD/USB zerstört. Auf diese Weise können Angreifer die Rechneridentitäten auf dem gleichen Computer beliebig oft auswechseln. In einigen Fällen nutzen Hacker mehrere Verhüllungsebenen, wie z.B. die Verbindung zu einem VPN hinter dem Tor-Netzwerk, bezogen aus einem öffentlichen Wi-Fi, was sowohl den Ursprungsrechner als auch die Stellen für das Internet-Routing verschleiert. 43 APPLIKATIONEN: DORT, WO ES WEH TUT | 43 DIE RISKANTESTEN APPLIKATIONEN NACH REGION 2014 AMERICAS Hola ANONYMIZER ∙ Tor BitTorrent Protocol ∙ SoulSeek BoxCloud FILE STORAGE UND SHARING Dropbox ∙ Hightail Windows Live Office RDP ∙ LogMeIn ∙ TeamViewer APAC OpenVPN ∙ Coralcdn Proxy Suppliers Coralcdn ∙ P2P FILE SHARING REMOTE ADMIN EMEA BitTorrent Protocol iMesh Dropbox ∙ TeamViewer SoulSeek ∙ OpenVPN ∙ Tor BitTorrent Protocol ∙ Xunlei QQ Download Hightail ∙ Jalbum Dropbox RDP ∙ LogMeIn TeamViewer ∙ Coralcdn ∙ ∙ Hightail ∙ Mendeley ∙ RDP LogMeIn ∙ 2013 ANONYMIZER Tor ∙ Ultrasurf ∙ OpenVPN ∙ Coralcdn Proxy Suppliers Hotspot Shield BitTorrent Protocol ∙ SoulSeek BoxCloud BitTorrent Protocol ∙ SoulSeek eDonkey Protocol FILE STORAGE UND SHARING Dropbox Dropbox REMOTE ADMIN RDP P2P FILE SHARING ∙ ∙ Windows Live Office Hightail LogMeIn ∙ TeamViewer RDP ∙ ∙ Windows Live Office Hightail TeamViewer ∙ LogMeIn 5.2 44 44 | APPLIKATIONEN: DORT, WO ES WEH TUT Ultrasurf Tor ∙ ∙ Hide My Ass BitTorrent Protocol SoulSeek Dropbox ∙ ∙ Xunlei Windows Live Office Hightail TeamViewer ∙ RDP ∙ LogMeIn SOURCE: Check Point Software Technologies Die Organisationen erfuhren 12,7 Vorfälle mit hochriskanten Applikationen pro Stunde, also 305 pro Tag. „Hide My Ass“ war nicht sichtbar. Wahrscheinlich durchbrochen werden kann. Inzwischen haben auch gewann OpenVPN an Popularität als Folge der andere Anonymizer stark an Popularität gewonnen, Edward Snowden-Enthüllungen zu den Lauschan- auch wenn sie noch nicht zu den Top-3 gehören. griffen der NSA. Der Grund ist, dass OpenVPN als Industriestandard eine Verschlüsselungstechnologie So hat es z.B. die Anonymizer-App Hola von nur nutzt, die bei korrekter Implementierung nicht drei Prozent auf jetzt 17 Prozent geschafft. Ein Teil TOP REMOTE ADMIN-APPLIKATIONEN 2014 78 PROZENT DER ORGANISATIONEN TOP FILE STORAGE- UND SHARING-APPLIKATIONEN TOP P2P FILE SHARING + BITTORRENT PROTOKOLLAPPLIKATIONEN 2014 2013 84 85 2012 2014 69 69 60 51 48 43 24 21 14 14 11 11 16 15 14 22 14 13 9 DO W W IN TT OR BI M AM R SO EN UL T SE E XU K N LE IM I E ED SH ON KE Y N VN YY C RE M GO ADM OT T ES OA IN UP SS PO IST RT - EI LO GM ER RD P EW VI AM 26 DR OP HI BO S X G LI H VE TA I L O M FFI E C IM ND E AG EL EV EY EN JA UE LB W IN UM D HI OW D GH S RO TA LIV PB IL E O (Y OF X OU FI C S E SU EN GA DIT IM R ) AG SY EV NC M EN EN U W DE E IN LE DO Y HI GH WS DRO TA LIV PB IL E O (Y OF X OU F I SE CE M ND EN IT SU DE ) G L IM AR EY AG SY EV NC EN UE 13 12 11 12 11 TE 20 5.3 QUELLE: Check Point Software Technologies 45 APPLIKATIONEN: DORT, WO ES WEH TUTS | 45 DIE POPULÄRSTEN ANONYMIZER-APPLIKATIONEN 2014 2013 EINSATZ VON ANONYMIZERAPPLIKATIONEN NACH REGION 2014 2012 2013 2012 64 63 59 58 54 54 PROZENT DER ORGANISATIONEN 49 49 40 35 23 19 23 18 17 17 15 14 12 10 10 8 7 T UL TR OR A HI S DE UR M F Y OP ASS EN VP N UL T TR OR A HI S DE UR M F Y OP ASS EN CO VP RA N LC DN OP EN CO VP RA N LC PR DN OX Y SU TO PP R LI ER S HO LA 3 AMERICAS 5.4 EMEA APAC QUELLE: Check Point Software Technologies ihres Erfolgswegs kann der Tatsache zugeschrieben erlaubt, kann mit Hola auf Programmierungen, die werden, dass sie zur richtigen Zeit am richtigen Ort ansonsten nur an einem bestimmten, geografischen war. Hola tauchte exakt vor den Olympischen Spielen Standort zur Verfügung stehen, von allen zugegriffen in Sochi 2014 aus der Beta-Testphase auf. Da es über werden, die das Tool zur Verschleierung ihrer Ländergrenzen hinweg den Zugriff aufs Internet Geolokation benutzen. 46 | APPLIKATIONEN: DORT, WO ES WEH TUT 46 EMPFEHLUNGEN Während Malware – sowohl bekannte als auch Unternehmen fördern. Legen Sie dann fest, welche unbekannte – manchmal unkontrollierbar erscheint, Personen auf diese Programme Zugriff haben kann man die Nutzung hochriskanter Applikationen sollten. Überwachen Sie Ihr Netzwerk und stellen immerhin in eine gewisse Ordnung bringen. Sie sicher, dass dort keine abnormalen Applikationen im Umlauf sind. Nachstehend empfehlen wir Ihnen vier Schritte, durch die Sie die Gefahr minimieren können: 3. Verschlüsseln Sie Ihre Dokumente und verhindern 1. Schulen Sie Ihre Mitarbeiter. Helfen Sie den Sie so den Verlust von Daten. Wird eine Datei an eine Menschen in Ihrer Organisation dabei, die mit hierfür nicht berechtigte Person weitergegeben, so spezifischen Applikationen verbundenen Risiken zu hindert die Verschlüsselung den Empfänger daran, verstehen. Gehen Sie nicht davon aus, dass sie es das Dokument zu sehen oder zu öffnen. schon wissen. Weisen Sie die Mitarbeiter außerdem auf sicherere, von der IT unterstützte Tools hin, die 4. Definieren und praktizieren Sie Kategorie- ihren Geschäfts- und Produktivitätsanforderungen basierte Applikationskontrolle. Helfen Sie Ihren ebenfalls genügen. Administratoren dabei, Ihnen zu helfen. Geben Sie ihnen die Möglichkeit, bei Bedarf ganze Kategorien 2. Standardisieren Sie auf bewährte, in größeren von Applikationen zu blockieren. Dies vereinfacht Unternehmen einsetzbare Applikationen. Identi- die Administration durch Ausweitung der Policy- fizieren Sie die spezifischen Applikationen, die Kontrolle auf neue Applikationen, sobald diese die Produktivität und die Innovationen in Ihrem aufgenommen werden. „Wir leben in einer Welt voller Risiken, und es ist höchste Zeit dass wir uns ernsthaft damit befassen, über welche davon wir besorgt sein sollten.“ 23 -Lisa Randall, Physkerin 47 APPLIKATIONEN: DORT, WO ES WEH TUT | 47 06 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS „Fehler sind eine Gegebenheit des Lebens. Es ist die Antwort auf den Irrtum, die zählt.“ 24 –Nikki Giovanni, Dichter, Schriftsteller, Pädagoge und Aktivist 48 | CHECK POINT - 2015 SECURITY REPORT 48 Die Datenverlustrate bei den Unternehmen betrug 1,7mal pro Stunde/41mal pro Tag. Einbrüche ins Datennetz sind nicht der einzige Weg, mit genau den richtigen Worten, um eine Antwort auf dem die „bösen Jungs“ ihren Job erledigen. zu erhalten. Einige Arbeitgeber haben daher damit Manchmal setzen sie Komplizen ein, auch wenn dies begonnen, unwissentliche Helfer sind. Hier kommen Social Da interne Fehler zu einem großen Schlupfloch Engineering und Phishing ins Spiel. Inzwischen für Datenverluste führen können, senden die kennen sich Cyberkriminelle so gut mit der Unternehmen vorgetäuschte Phishing-Mails an die Psychologie ihrer Opfer aus, dass ihre E-Mails sogar eigenen Mitarbeiter. Fallen sie darauf herein, ist dies solchen Personen vertrauenswürdig erscheinen, eine lehrreiche Erfahrung. eigene Phishing-Tests durchgeführt. die sich als klug und erfahren bezeichnen würden. So erhält ein Mitarbeiter beispielswiese eine E-Mail Auch wenn diese internen Probleme nicht so sehr von einem Personalvermittler, die den Empfänger im Fokus der Medien stehen, so sollten sie aber über eine offene Stelle informiert. Bringt dieser dann bei sein Interesse zum Ausdruck, fragt der so genannte auf der Liste stehen. In 2014 erfuhren 81 Prozent Personalberater nach detaillierteren Informationen der Organisationen wenigstens einen Vorfall mit über das Unternehmen und evtl. andere Bereiche. potentiellem Datenverlust. Genauer betrachtet liegt In anderen Fällen erhalten Angestellte E-Mails die Rate von Data Loss-Vorfällen in den Unternehmen von Personen, die sich als Kollegen ausgeben und bei 1,7mal pro Stunde, also 41mal pro Tag – eine nach sensitiven Informationen fragen, und zwar Steigerung um 41 Prozent im Vergleich zum Vorjahr. Security-orientierten Unternehmen definitiv 49 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 49 DURCH MITARBEITER AUS DEM UNTERNEHMEN HERAUS GESCHICKTE DATEN PROZENT DER ORGANISATIONEN 2014 2013 2012 FIRMENEIGENE INFORMATIONEN 41% 35% 24% KREDITKARTENDATEN 30% 29% 29% GESCHÄFTSDATENSÄTZE 20% 21% 6% SENSITIVE PERSONALINFORMATIONEN 25% 22% GEHALTSINFORMATIONEN 13% 14% NETZWERKINFORMATIONEN 13% 14% PASSWORTGESCHÜTZTE DATEIEN 10% 10% 14% VERTRAULICHE OUTLOOK-NACHRICHTEN 5% 5% 7% BANKKONTONUMMERN 5% 4% 3% ANDERE 27% 31% 21% 13% 6.1 50 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 50 QUELLE: Check Point Software Technologies Bei der Art der Daten, die gestohlen werden, liegen wirklich schlechter Absicht eine vertrauliche E-Mail schützenswerte, firmeneigene Informationen mit per „bcc“ auch an externe Empfänger. 41 Prozent deutlich vorn. Und dieser Wert steigt weiter an, seit 2012 um nahezu 71 Prozent. Den Interessanterweise nahmen solche Vorfälle in den unrühmlichen zweiten Platz unter den verlorenen Unternehmen zwischen 2012 und 2013 etwas ab, Daten belegen Kreditkarteninformationen, mit einem stiegen aber in 2014 wieder an. Im Durchschnitt seit Jahren etwa gleichbleibenden Prozentanteil. stellten die Unternehmen pro Tag vier Data Loss- Der größte Sprung, wenn es um den Typ der Vorfälle fest, bei denen eine E-Mail an verschiedene verlorenen Daten geht, ist bei Geschäftsdatensätzen interne Empfänger, gleichzeitig aber auch an zu verzeichnen. Deren Anteil ist von sechs Prozent einen in 2012 auf jetzt 20 Prozent gestiegen. Wie passiert 15 Fälle von Datenverlust pro Tag wurden mit E-Mails das? In manchen Fällen sendet ein Mitarbeiter eine festgestellt, die per „an“ und „cc“ an sichtbare vertrauliche E-Mail vielleicht versehentlich auch an Empfänger, zugleich aber auch per „bcc“ an mehr jemanden außerhalb der Organisation. Fast jeder als einen externen Empfänger geschickt wurden. einzelnen externen Rezipienten ging. von uns hat sicher schon einmal festgestellt, dass sich beim Senden einer Email schon nach Eingabe Es gibt aber noch weitere Gründe für das uner- der ersten Buchstaben in die Adress-Zeile der Name wünschte Durchsickern von Daten: Ein Mitarbeiter von selbst vervollständigt – jedoch nicht immer mit macht irrtümlich private Informationen online dem, an den die Nachricht tatsächlich gehen soll. In verfügbar und ein Dritter – vielleicht eine Aushilfskraft anderen Fällen sendet ein Mitarbeiter vielleicht in oder ein Vertragspartner – stiehlt die Daten. Der Verlust von firmeneigenen Informationen hat in den vergangenen drei Jahren um 71 Prozent zugenommen. Alle 36 Minuten werden sensitive Daten aus der Organisation heraus geschickt. 51 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 51 WOHIN FÜHRT DAS ALLES? Ganz unabhängig davon, ob die Daten durch Sie werden am helllichten Tag per „Nachricht an externe oder interne Machenschaften verloren alle“ hinausposaunt. gehen – der Appetit nach ihnen wird von nur einer Sache nach Und das passiert schneller, als man annehmen mag. finanzieller Bereicherung. Der Cybercrime ist So werden Kreditkarteninformationen durchaus nicht nur profitabel, sondern er ist zum „Big schon 30 Minuten nach Verlassen ihrer Quelle, Business“ geworden. Denn die geklauten Daten z.B. eines Kaufhauses, auf dem Schwarzmarkt werden nicht mehr nur auf dem Schwarzmarkt feilgeboten. Je frischer der Diebstahl der Daten, verkauft, vermarktet. umso mehr Geld bringen sie ein. Und wer zahlt Websites veröffentlichen die derzeit zum Verkauf dafür? Aufgrund der schlechten Security-Praxis im stehenden Kreditkarten mit allen relevanten Einzelhandel haben jetzt Gerichte in den Vereinigten Kriterien, etwa der herausgebenden Bank und den Staaten festgelegt, dass die Einzelhändler selbst Gültigkeitsdaten. Die Informationen werden also zur Verantwortung gezogen werden können und den nicht mehr an der dunklen Ecke und unter der betroffenen Banken ihre Kosten unter Umständen Hand an ein bis zwei Personen weiter gegeben. ersetzen müssen. sie angeregt: werden dem Hunger eingehend ELEKTRONISCHER KARTENELECTRONICS CARDING SERVICE VERKAUFSSERVICE ALL OVER THE WORLD PROVIDE BULK CARDING ALSO ERHÄLTLICH AUF DERSERVICES GANZEN WELT WÖCHENTLICHE UPDATES, FRISCH VOM POS OF SALE) FRESH WEEKLY(POINT UPDATES SNIFFED FROM POS 411773 VISA DEBIT PLATINUM 10/17 Yes 101 United States, NY Rochester, 14623 BANK OF AMERICA N.A. American Sanctions 1 432388 VISA DEBIT PLATINUM 05/15 Yes 101 United States, IA Bettendorf, 52722 WELLS FARGO N.A. American Sanctions 1 414548 VISA DEBIT BUSINESS 05/16 Yes 101 United States, PA Hanover, 17331 MEMBERS 1ST F.C.U. American Sanctions 1 486831 VISA DEBIT PLATINUM 04/17 Yes 101 United States, CO Littleton, 80129 WELLS FARGO N.A. American Sanctions 1 448055 VISA DEBIT CLASSIC 01/16 Yes 101 United States, WI Green Bay, 54303 ITS BANK American Sanctions 1 414709 VISA CREDIT SIGNATURE 10/16 Yes 101 United States, CA Mission Viejo, 92692 CAPITAL ONE BANK (USA) N.A. American Sanctions 1 52 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 52 52.5$ + 52.5$ + 52.5$ + 52.5$ + 22.5$ + 42.01$ + UNTERNEHMEN MIT WENIGSTENS EINEM POTENZIELLEN DATA LOSS-EVENT, NACH INDUSTRIE PROZENT DER ORGANISATIONEN 2014 2013 2012 88 82 86 88 87 78 78 79 70 61 50 45 FERTIGUNG FINANZEN ÖFFENTLICHE HAND 6.2 TELEKOMMUNIKATION QUELLE: Check Point Software Technologies SCHNELLES GELD So wie Jäger, die auf schnelle Beute aus sind, haben Zahlungsstandard, der in die Karte einen Chip sich Cyberkriminelle auf den Point of Sale (PoS) integriert, so dass sie nur zusammen mit einer PIN als ihren Jagdgrund fokussiert. Der Hauptgrund: genutzt werden kann. Hier muss der Einzelhandel Sehr viele PoS-Terminals laufen auf veralteten nacharbeiten und seine PoS-Systeme anpassen, um Betriebssystemen wie Windows XP, die nicht mehr mit diesem Standard kompatibel zu sein. gepatcht und verwaltet werden. Im vergangenen Jahr vermittelte der Blick in die einschlägige Presse Doch Chip & PIN schützen nicht vor allen Gefahren. den Eindruck, als würde ein namhafter Einzelhändler Infektionen wie die „BackOff“-Malware, von der nach Sicherheitsvorfällen zahlreiche US-Unternehmen betroffen waren, brachten heimgesucht. Das Jahr begann mit einem wahren eine große Sicherheitslücke ans Licht: Die Malware Knall, als Neiman Marcus eine Datenpanne erlitt vorinstallierte Tools in den Beständen von sieben und 1,1 Millionen Datensätze mit Kontodaten verlor – großen PoS-Terminal-Herstellern, bevor die Systeme was jedoch noch im gleichen Monat durch den Vorfall an den Handel ausgeliefert wurden. Schwache oder beim Heimwerkermarkt „Michael’s“ übertroffen gleich gebliebene Admin-Passwörter gaben den wurde. Dort gingen drei Millionen Datensätze Hackern den Fernzugriff auf die Geräte. dem anderen von verloren. Im weiteren Verlauf des Jahres folgten Taxiunternehmen, Schönheitssalons, Goodwill, UPS Das Department of Homeland Security berichtet, und Dairy Queen. Das alles wurde mit 56 Millionen dass mehr als 1.000 Unternehmen in den USA verlorenen Datensätzen im September 2014 von von der PoS-Malware betroffen waren 25, mit einer Home Depot getoppt. Zusammengenommen flossen immensen Auswirkung auf Organisationen und in den Vereinigten Staaten 112.250.000 Datensätze Einzelpersonen. Allein die Kosten für den Ersatz in die Hände unbekannter Dritter ab, jeder dritte von Kreditkarten beliefen sich auf 1,3 Milliarden US- Amerikaner war betroffen. Dollar. Eine LexisNexis-Studie mit dem Titel „Die tatsächlichen Kosten der Computerkriminalität“ Zwar tauchen Infektionen mit PoS-Malware weltweit („The True Cost of Fraud“,26) besagt, dass in 2014 der auf, doch hier liegen die Vereinigten Staaten durchschnittliche Einzelhändler 133 erfolgreiche, deutlich vorne – sicherlich auch, weil sie noch betrügerische Transaktionen pro Monat hinnehmen nicht in dem Chip- & PIN-Kartensystem sind, das musste – ein Anstieg um 46 Prozent gegenüber dem andere Länder nutzen. Chip & PIN ist ein weltweiter Vorjahr. 53 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 53 PoS: Nur ein Chip ist nicht genug Während 2013 und 2014 erlebte der Einzelhandel Die Hacker griffen die Einzelhändler über verfüg- eine alarmierend hohe Anzahl von Datenpannen. bare Remote-Verbindungen an. So verschafften Die Angriffe führten zum Verlust von Millionen sie sich Zugang zu den Netzwerken der Opfer und von Kreditkarten- und Personendaten der installierten mehrere Varianten von Malware und Kunden. Die betroffenen Unternehmen erlitten Software-Tools, um schließlich die Kundendaten erheblichen, finanziellen Schaden – der größte abzufangen und zu exportieren. Schwächen im der attackierten Einzelhändler verlor 13% seiner Netzwerkdesign und in der Point-of-Sale (PoS)- Marktbewertung und erlitt merkliche Einbußen in Konfiguration vereinfachten den Angreifern darüber seinem Warenhausverkauf. Derartige Datenlecks hinaus die Horizontalbewegung und Verseuchung betreffen große und kleine Unternehmen mit Malware. gleichermaßen. Zu den namhaftesten Opfern in 2013 und 2014 gehörten Michaels, Neiman Marcus, Um sich vor derartigen Attacken zu schützen, PF Chang’s, Target und Home Depot – sie alle sollten Sie also auf einen umfassenden Ansatz erlitten immensen Schaden aus PoS-bedingten und die Implementierung einer mehrschichtigen Datenpannen. Lösung setzen, die das gesamte Netzwerk adressiert – nicht nur die Teile, die am Die Bedenken der Kunden bezüglich der Sicherheit ihrer privaten und finanziellen Daten sind wach gerüttelt, und die Geschäftsverantwortlichen bemühen sich energisch um strukturelle Veränderungen. Die kurzfristigen Auswirkungen zeigen sich bereits jetzt, was all das langfristig bedeutet, wird jedoch erst in den kommenden Jahren deutlich werden. Als Antwort auf diese Form von Sicherheitsvorfällen reagieren die Unternehmen oft mit einer Art Hau-Ruck-Aktion: Sie kümmern sich beispielsweise nur um die offenkundigste, sichtbare Schwachstelle oder setzen auf eine Methode, die in den Medien besonders hohe Aufmerksamkeit erhält. Im Falle der jüngsten Datenpannen im Handel wurde der Schwerpunkt auf die Umstellung hin zu „Chip & PIN“-Kreditkarten gesetzt – ein weltweiter Zahlungsstandard, der über den physikalischen Chip auf der Karte in Verbindung mit der persönlichen PIN des Karteninhabers auf 2-Faktor-Autentifizierung setzt. Aber schon eine flüchtige Prüfung der bei den betroffenen Händlern angewandten Angriffsmethoden zeigt, dass Chip & PIN allein diese Vorfälle nicht verhindert hätten. 54 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 54 verletzlichsten erscheinen. EMPFEHLUNGEN Denken Sie immer daran, dass Security nicht still sich befinden. Wenn Ihre Daten verschlüsselt sind, steht, nicht statisch ist. Wenn Sie z.B. Ihren Körper können sie ausschließlich von dafür autorisierten im Gleichgewicht halten, finden ganz unbemerkt Personen gesehen werden. eine Vielzahl subtiler Bewegungen statt, die Ihnen das aufrechte Stehen ermöglichen. Ganz ähnlich Erstellen Sie mehrere Schutzebenen mit Prüfstellen können Sie Ihre Security betrachten. Um mit den und für den Datenabgleich. Bedrohungen Schritt zu halten, müssen Sie für eine konstante Prüfung und Aktualisierung sorgen und Jeder hilft jedem zu verstehen – von der Führungs- dabei immer in Bewegung bleiben. Machen Sie nicht ebene bis zum einzelnen Mitarbeiter – wie wichtig die schon dort Halt wo Sie denken, dass Sie vor externen Minimierung von Cybergefahren für den Schutz des Attacken sicher sind. Stellen Sie sicher, dass geistigen Eigentums und der unternehmerischen auch das Innere abgedeckt ist. Insbesondere Werte ist. empfehlen wir: Binden Sie Ihre Belegschaft in die Verbesserung Schützen Sie Ihre Daten durch Verschlüsselung – Ihrer Sicherheitslage ein, indem Sie die Mitarbeiter egal, ob sie gespeichert oder in Bewegung sind. Ziel darin schulen, wie sie helfen können. Stellen Sie ist, für Ihre Daten einen schützenden Deckmantel Sicherheitsregeln auf, die die Mitarbeiter verstehen zu schaffen, wo auch immer sie hin gehen und und dabei unterstützen, sie durchzusetzen. „Es ist besser, nach vorn zu schauen und sich vorzubereiten, als zurückzublicken und zu bedauern.” 27 -Jackie Joyner Kersee, Athlet und Olympischer Medaillengewinner DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 55 55 07 FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ „‘Status quo‘, das wissen Sie, ist Lateinisch für ‚der Schlamassel, in dem wir gerade stecken‘.“ 28 –Ronald Reagan, Schauspieler und früherer Präsident der Vereinigten Staaten 56 5656 | INTRODUCTION METHODOLOGY | CHECK POINT AND - 2015 SECURITY REPORT „Der Kalte Krieg endete nicht in den 1990ern. Er ging nur online.“ 29 -Jose Paglieri, Journalist Fest steht: die Cyberkriminalität wird nicht wie das Durchführen von Software-Patches und nachlassen. Die gravierenden Vorfälle in 2014 Updates. Denken Sie auch an das Ökosystem Ihrer haben eindrücklich belegt, wie schlecht es um Partner und wie diese sich mit Ihrem Security- die Internet-Sicherheit bestellt ist – Analysten Prozess verbinden lassen. erwarten im Ergebnis ein Wachstum der SecurityIndustrie um ihr Zehnfaches. Die Gefahren kommen Wenn es um die Technologie geht, muss Ihr Security- aus verschiedensten Richtungen und niemand Programm verschiedenste Ebenen und Kontrollen kann vereinen. glaubwürdig behaupten, dass irgendein Unternehmen vor einem Angriff wirklich sicher ist. Es wäre im Gegenteil der größte Fehler, der einer Da die Gefahren aus unterschiedlichen Quellen Organisation unterlaufen kann – wenn sie annähme, und sicher zu sein und ihre Security-Infrastruktur nicht Security-Architekturen und punktuelle Lösungen regelmäßig überprüfte. aus Produkten verschiedener Hersteller nicht Richtungen kommen, sind einschichtige mehr adäquat. Wenn Sie Ihre Sicherheitslage betrachten, dann nehmen Sie sich ausreichend Zeit, Bedrohungen Beginnen Sie, sich Ihre Architektur als drei und Schwachstellen wirklich zu verstehen. Achten ineinander greifende Ebenen vorzustellen. Sie auf beitragende Faktoren, und haben Sie immer auch das große Bild davon vor Augen, wohin Sie Ihr Eine Software-definierte Schutzarchitektur, basierend Unternehmen führen möchten. Gut vorbereitete auf einem dreischichtigen Security-Konzept, ist die Organisationen wissen, dass die Security-Policy beste Verteidigung gegen immer neue, schnelle auf strategischen Zielen, Geschäftsvorgaben und Attacken. der Unternehmenspolitik aufbauen muss – und mit und, selbstverständlich, mit den Menschen auf allen Enforcement Layer – die Durchsetzungsebene Ebenen der Organisation verknüpft sein muss. Erstellen Sie einen Gateway- und Endpoint- Prozeduren und Anforderungen, Leistungswerten basierten Sicherheitsplan, der Malware, Botnets Legen Sie Ihren Prozess fest und stellen Sie sicher, und schadhaften Inhalt prüft, identifiziert und dass er selbst so grundlegende Schritte umfasst, blockiert, der auf das Sammeln und Herausfiltern 57 FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 57 von Kundeninformationen abzielt. Legen Sie Threat Extraction, also das Entfernen potenziell Authentifizierungsregeln für den Zugriff auf Netz- schädlicher Funktionen, um eingehende Dokumente werke und Applikationen fest um zu verhindern, ohne jede zeitliche Verzögerung dass nicht autorisierte Anwender und Systeme in Malware wiederherzustellen. und frei von sensitive Bereiche Ihres Netzwerks eindringen. Control Layer – die Kontrollebene Dieser Ansatz achtet auf schadhafte Aktivitäten auf der Betriebssystemebene und nutzt dies auf CPU- Richten Sie Administrator-determinierte Security- Level. So werden Angriffe verhindert, noch bevor Policies und automatisierte Schutzmaßnahmen sie umgesetzt werden können. Das Erkennen von ein. Erstellen Sie Regeln, die insbesondere die Exploit-Versuchen noch vor der Infektion unterstützt Zugriffskontrolle und die Sicherheitsbestimmungen Sie dabei, Umgehungstechniken zu unterbinden. an den s.g. Enforcement Points definieren. Grenzen Sie das Verhalten von Applikationen und Systemen Durch die Verbindung von Betriebssystem- und auf das „Least-Privilege“-Prinzip ein – jeder CPU-Level-Sandboxing mit Threat Extraction steht Benutzer, jeder Dienst und jedes System erhält Ihnen eine Technologie der Neuen Generation zur damit nur die Rechte, die zur Erfüllung der jeweiligen Verfügung, die die bestmögliche Verhinderungsrate Aufgaben erforderlich sind. für Bedrohungen aufweist. Bei der Wahl spezifischer Lösungen sollten Sie darauf achten, dass Sie mit diesen (1) jede Art Management Layer – die Verwaltungsebene von eingehendem Dateityp untersuchen können, Überwachen Sie alle geschäftsrelevanten Admi- einschließlich verschlüsselte nistratorrechte und erstellen Sie ein umfassendes Dateien, (2) Zero-Day-Threats identifizieren können, Reporting. Implementieren Sie Intelligenzbasierte und zwar sowohl innerhalb als auch außerhalb des Threat Prevention, die sich unabhängig aktualisiert Betriebssystems und (3) ohne jeden Zeitverzug und neue Schutzmaßnahmen pro-aktiv an die Enforce- sichere, absolut Malware-freie Dokumente erhalten. ment Points weiter gibt. Nicht auf dem aktuellen Stand Den besten Schutz Ihres Unternehmens vor zu sein ist eine der größten Schwachstellen in den Angriffen bietet eine schnelle Betriebslösung mit meisten Netzwerken. Implementieren Sie Event Ma- hoher Abfangquote. nagement-, Logging- und Reporting-Tools, die evtl. gesicherte und Vorfälle in Echtzeit identifizieren sowie FilteringSchutzmaß- und Analyse-Tools umfassen. So stellen Sie sicher, nahmen: Tief greifende Sandbox-Funktionalitäten dass Ihre Administratoren Einsicht in tatsächliche auf Betriebssystem- und CPU-Ebene für das Angriffe haben und nicht mit eher unkritischen Vor- Erkennen und Blockieren von Malware fällen überhäuft sind. Check Point empfiehlt folgende WAS NOCH? Da mobile Endgeräte mehr und mehr auch zu den ohne sie zuvor auf Sicherheitslücken untersucht bevorzugten Arbeitsmitteln gehören, gehen wir davon zu haben.30 Dieser Tatsache und den Vorfällen aus aus, dass Hacker sie verstärkt als Angriffsvektoren dem nutzen werden. Darüber hinaus geben einer Studie betrachten wir 2015 als das Jahr, in dem Sie des Ponemon-Instituts zufolge rund 40 Prozent aller Ihre Mobile Security-Strategie definiere und eine Entwickler von mobilen Applikationen ihre Apps frei, offensivere Haltung bezüglich Ihrer Security-Lage 58 | FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ 58 vergangenen Jahr Rechnung tragend, einnehmen sollten – nicht zuletzt im Hinblick auf die Bedrohungen rechnen. Für uns bei Check Point enorme Zunahme mobil genutzter Zahlungssysteme. ist der Auftrag klar: Wir sichern die Zukunft ab. Gleichermaßen zukunftsorientiert müssen auch Auch wenn für einige Lösungen wie Apple Pay, die Unternehmen sein. Es ist unverzichtbar, sich Google Wallet und PayPal verschiedene Security- über langfristige Ziele und die Möglichkeiten einer Vorkehrungen getroffen wurden, etwa die s.g. Optimierung der Security-Infrastruktur klar zu sein, Tokenisierung und Verschlüsselung, sind nicht so dass diese auch Ihre Visionen für die Zukunft alle Systeme eingehend auf ihre Standhaftigkeit unterstützt. gegenüber realen Gefahren getestet worden. Soviel ist sicher – die Hacker werden nach brauchbaren Lernen Sie die potenziellen Gefahren und Sicherheitslücken suchen. Sicherheitslücken verstehen, erstellen Sie einen soliden, an Ihrem Unternehmen ausgerichteten Plan Bis zum Jahr 2018, das nimmt z.B. ABI Research und stellen Sie sicher, dass die Schutzmaßnahmen an, wird die Anzahl der ausgelieferten, mobilen in Ihre IT-Infrastruktur integriert sind – so machen Computergeräte 31 Sie Security zu einer treibenden Kraft. Und Die Analysten von Gartner glauben, dass in setzen Innovationspotenziale frei. Und bauen eine 2015 bereits 4,9 Milliarden solcher Endgeräte Umgebung auf, die hohe Leistung und Produktivität im Einsatz sind erbringen kann. auf 485 Millionen steigen. – ein Zuwachs von 30 Prozent gegenüber dem Vorjahr. Produzierende Betriebe, Versorgungsunternehmen und das Transportwesen Wenn Sie eine verlässliche Einschätzung der werden, so die Gartner-Experten, die stärksten Sicherheitslage Ihres Unternehmens wünschen, Nutzer des Internets der Dinge (Internet of Things, melden Sie sich einfach für einen kostenfreien IoT) sein – mit zusammen 736 Millionen verbundenen Check Dingen. Bis 2020 sollen es laut Gartner bereits www.checkpoint.com/resources/securitycheckup 25 Milliarden verbundene Dinge sein.32 an. Wollen Sie mehr über Check Point erfahren Point Security Check-Up unter und wie wir Sie dabei unterstützen können, Ihr Als ein Ergebnis aus all dieser Konnektivität Unternehmen zu sichern, besuchen Sie uns auf müssen wir mit mehr Sicherheitslücken, mit mehr www.checkpoint.com. „Die riskanteste Sache, die wir tun können, ist einfach nur den Status Quo zu erhalten.“ 33 -Bob Iger, Unternehmer, Chairman/CEO bei Walt Disney Company 59 FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 59 REFERENZEN 1 Stoll, Cliff. “The Call to Learn.” TED Talk. February 2006. 2 Obama, Barack. The Cybersecurity and Consumer Protection Summit. February 13, 2015. 3 Check Point Software Technologies. http://www.checkpoint.com/resources/securitycheckup/ 4 AV-Test. http://www.av-test.org/en/statistics/malware/ 5 Lacy, Sarah. “The Irony of the Social Media Era: It Was Created By the World’s Least Social People.” Huffington Post, July 15, 2012. http://www.huffingtonpost.com/sarah-lacy/social-media-entrepreneursmark-zuckerberg_b_1518471.html 6 Amira, Dan. “Q&A With Nate Silver on His New Book, Whether Romney Has a Shot, and Why He Doesn’t Play Fantasy Baseball Anymore.” New York Magazine, September 28, 2012. http://nymag.com/daily/intelligencer/2012/09/nate-silver-book-signal-noise-interview.html 7 Check Point Software Technologies. “The Unknown 300 Test Report,” 2014. https://www.checkpoint.com/downloads/300TestReport.pdf 8 Saint-Exupery, Antoine de. Wind, Sand and Stars, 1939. 9 Pareles, Jon. “Madonna on ‘Rebel Heart,’ Her Fall and More.” The New York Times, March 5, 2015. http://nyti.ms/1A29332 10 Spamhaus. “The Spamhaus Project.” http://www.spamhaus.org/news/article/720/spamhaus-botnetsummary-2014 11 Ward, Jillian. “Power Network Under Cyber-Attack Sees U.K. Increase Defenses,” Bloomberg Business, January 8, 2015. http://www.bloomberg.com/news/articles/2015-01-09/power-grid-under-cyber-attackevery-minute-sees-u-k-up-defenses 12 Prince, Brian. “Almost 70 Percent of Critical Infrastructure Companies Breached in Last 12 Months: Survey,” SecurityWeek, July 14, 2014. http://www.securityweek.com/almost-70-percent-criticalinfrastructure-companies-breached-last-12-months-survey 13 CVE Details. http://www.cvedetails.com/browse-by-date.php; http://www.cvedetails.com/top-50- vendors.php?year=2014 60 60 | REFERENZEN 14 Kirk, Jeremy. “An SDN vulnerability forced OpenDaylight to focus on security,” CSO, March 25, 2015. http://www.csoonline.com/article/2902902/vulnerabilities/an-sdn-vulnerability-forced-opendaylightto-focus-on-security.html 15 Reilly, Claire and Musil, Steven. CNET, September 24, 2014. http://www.cnet.com/news/bigger-than-heartbleed-bash-bug-could-leave-it-systems-shellshocked/ 16 Gilbert, David. “What is POODLE? The Latest Online Security Threat After Shellshock and Heartbleed,” International Business Times, October 16, 2014. http://www.ibtimes.co.uk/what-poodle-latest-onlinesecurity-threat-after-shellshock-heartbleed-1470300 17 Singh, Anita. “Hay Festival 2012: Salman Rushdie on security and The Satanic Verses,” The Telegraph, June 3, 2012. http://www.telegraph.co.uk/culture/hay-festival/9309641/Hay-Festival-2012-SalmanRushdie-on-security-and-The-Satanic-Verses.html 18 Pinter, Harold. The Homecoming, 1965. 19 Taft, Darryl K. “IBM Study Shows Mobile App Developers Neglecting Security,” eWeek, March 21, 2015. http://www.eweek.com/developer/ibm-study-shows-mobile-app-developers-neglecting-security.html 20 Schroeder, Stan. “Android Malware Spies on You Even After Phone Is Shut Down,” Mashable, February 19, 2015. http://mashable.com/2015/02/19/android-malware-spies-shut-down/ 21 Schawbel, Dan. “Eric Schmidt and Jonathan Rosenberg: What We Can Learn From Google,” Forbes, September 23, 2014. http://www.forbes.com/sites/danschawbel/2014/09/23/eric-schmidt-andjonathan-rosenberg-what-we-can-learn-from-google/ 22 Battelle, John. “Thoughts on Ford’s OpenXC: In the Future, Brands with Open Data Will Win,” August 18, 2013. http://battellemedia.com/archives/2013/08/thoughts-on-fords-openxc-in-the-futurebrands-with-open-data-will-win.php 23 Irion, Robert. “Opening Strange Portals in Physics,” Smithsonian Magazine, December 2011. http://teachers.smithsonian.com/science-nature/opening-strange-portals-in-physics-92901090/?all 24 Giovanni, Nikki. Black Feeling, Black Talk, Black Judgment, 1970. 61 REFERENZEN | 61 25 United States Computer Emergency Readiness Team. US-CERT, August 27, 2014. https://www.us-cert.gov/ncas/alerts/TA14-212A 26 LexisNexis. “2014 LexisNexis® True Cost of FraudSM Study.” http://www.lexisnexis.com/risk/downloads/assets/true-cost-fraud-2014.pdf 27 Schwartz, Larry. “Joyner Kersee Completes Huge Leap,” ESPN.com. https://espn.go.com/sportscentury/features/00016055.html 28 Reagan, Ronald. “Address Before a Joint Session of the Tennessee State Legislature in Nashville,” March 15, 1982. http://www.presidency.ucsb.edu/ws/?pid=42270 29 Paglieri, Jose. “Russia Attacks U.S. Oil and Gas Companies in Massive Hack,”CNN Money, July 2, 2014. http://money.cnn.com/2014/07/02/technology/security/russian-hackers/ 30 Vijayan, Jai. “Rush To Release Resulting In Vulnerable Mobile Apps,” Dark Reading, March 20, 2015. http://www.darkreading.com/attacks-breaches/rush-to-release-resulting-in-vulnerable-mobileapps/d/d-id/1319566 31 ABI Research. “Wearable Computing Devices, Like Apple’s iWatch, Will Exceed 485 Million Annual Shipments by 2018,” ABIResearch.com, February 21, 2013. https://www.abiresearch.com/press/wearable-computing-devices-like-apples-iwatch-will/ 32 Moore, Michael. “Internet Of Things To Hit 4.9 Billion Things By 2015,” TechWeekEurope, November 11, 2014. http://www.techweekeurope.co.uk/e-innovation/internet-of-things-4-9bn-gartner-155298 33 Iger, Bob. Disney Shareholder Meeting, Anaheim, NBC News, March 3, 2006. http://www.nbcnews.com/id/11767409/ns/business-us_business/t/pixars-star-disneyshareholders-meeting/#.VSRlovnF9Zt 62 | REFERENZEN 62 WE SECURE THE FUTURE KONTAKTIEREN SIE UNS: Check Point Software Technologies Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos D: +49 (0)811 99821 0, [email protected] Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien A: +43-1-99460-6701, www.checkpoint.com Schweiz: Zürcherstr. 59, 8953 Dietikon CH: +41-44-316-64-41, www.checkpoint.com 63 WE SECURE THE FUTURE www.checkpoint.com 64