Netzwerk-Bedrohungsszenarien

Transcription

Eine Bestandsaufnahme und mögliche Lösungen
DATAKOM Gesellschaft für
Datenkommunikation mbH
Lise-Meitner-Str. 1 · 85737 Ismaning
Tel. +49 89 996525-10 · [email protected]
Handbuch
Inhaltsverzeichnis
Inhaltsverzeichnis .................................................................................................... 2
Abbildungsverzeichnis .............................................................................................. 3
1
Zielsetzung .................................................................................................... 4
2
Mögliche Bedrohungsszenarien ............................................................................ 4
3
Technische Verfahren der Top-10-Bedrohungen ....................................................... 9
3.1
Drive-By-Download (Exploits) ...................................................................... 9
3.2
Würmer, Viren und Trojaner ....................................................................... 9
3.3
Datenbank- und Webseiten-Attacken .......................................................... 11
3.4
Viren-Baukästen (Exploit Kits) ................................................................... 12
3.5
Botnetze ............................................................................................. 13
3.6
Denial of Service ................................................................................... 14
3.7
Phishing .............................................................................................. 16
3.8
Datenverluste ....................................................................................... 17
3.9
Roque- und Scareware ............................................................................ 18
3.10
Spam ................................................................................................. 21
4
Motivation für Angriffe .................................................................................... 22
4.1
Unternehmen ....................................................................................... 22
4.2
Internet-Kriminelle ................................................................................ 23
4.3
Mitarbeiter .......................................................................................... 23
4.4
Hacktivisten ......................................................................................... 23
4.5
Staaten............................................................................................... 23
4.6
Terroristen .......................................................................................... 23
4.7
Zuordnung von Angreifern und Bedrohungen ................................................. 24
5
Lösungen .................................................................................................... 25
5.1
Aufklärung ........................................................................................... 27
5.2
Konzept und Richtlinien .......................................................................... 27
5.3
Tools zur Verschlüsselung ........................................................................ 28
5.4
Hardware ............................................................................................ 28
5.4.1
Firewall .......................................................................................... 28
5.4.2
Intrusion Detection und Intrusion Prevention ............................................. 30
5.4.3
Schwachstellen Scanner ...................................................................... 33
5.4.4
Monitoring Systeme ............................................................................ 34
Datakom Ges. für Datenkommunikation mbH
Lise-Meitner-Str.1 · 85737 Ismaning/München
Seite 2 von 35
Handbuch
Abbildungsverzeichnis
Abbildung 1: Top 10 der aktuellen Bedrohungen ............................................................ 5
Abbildung 2: Aktuelle und zukünftige Trends ................................................................ 6
Abbildung 3: Cybercrime Straftaten 2007 - 2011 ............................................................ 7
Abbildung 4: Schäden durch Cybercrime 2007 - 2011 in Mio. € ........................................... 8
Abbildung 5: OSI- und TCP/IP Modell......................................................................... 15
Abbildung 6: Gefälschte Sicherheitsmeldung .............................................................. 18
Abbildung 7: Systemähnliche Präsentation soll Vertrauen erwecken .................................. 20
Abbildung 8: Zuordnung von Angreifern und Top-10- Bedrohungen .................................... 24
Abbildung 9: Phasen des Sicherheitsprozesses gem. BSI .................................................. 26
Abbildung 10: Prinzipielle Funktion eines IDS .............................................................. 32
Seite 3 von 35
Handbuch
1
Zielsetzung
Der Inhalt dieses Handbuches widmet sich dem Thema Netzwerksicherheit (Cyber Security). Es soll
seinem Leser eine Übersicht über mögliche Netzwerk-Bedrohungsszenarien (Threats) sowie mögliche Lösungsansätze zum Schutz vor derlei Bedrohungen aufzeigen. Dieses Handbuch erhebt keinen
Anspruch auf Vollständigkeit und Richtigkeit, sondern soll vielmehr einen Beitrag dazu leisten,
dass sich die Verantwortlichen und die Nutzer von Netzwerken darüber bewusst werden, welche
Gefahren existieren und wie man sich vor diesen Gefahren bestmöglich schützen kann.
2
Mögliche Bedrohungsszenarien
Es gibt eine Vielzahl möglicher Bedrohungen in Netzwerken. Meldungen hierüber sind inzwischen
immer häufiger Bestandteil der Medien. Die folgende Abbildung zeigt die Top 10 Gefahren aus einer Presseinformation des BITCOM (Bundesverband Informationswirtschaft, Telekommunikation
und neue Medien e.V.) vom 04.02.20131, wobei die Basis der Angaben auf einem aktuellen Bericht
der ENISA (European Network and Information Security Agency) vom 08.01.2013 beruht:
1
http://www.bitkom.org/de/presse/8477_74922.aspx
Seite 4 von 35
Handbuch
Abbildung 1: Top 10 der aktuellen Bedrohungen
Deutlich ist in Abbildung 1 zu erkennen, dass die Gefahren vielseitig sind und ein Ende noch nicht
in Sicht ist. Angeführt wird die Liste aktuell von den sogenannten "Drive-by-Downloads", wobei sich
die Nutzer die Schadsoftware beim Besuch manipulierter Webseiten einfangen können. Da einem
Nutzer i.d.R. der Zugang zum Internet im Rahmen seiner Arbeit ohne weiteres möglich ist, ist diese Gefahr besonders groß.
In Ergänzung dazu bricht der Bericht der ENISA (verfügbar als PDF1) die aktuellen Trends aus Abbildung 1 auf verschieden Technologie Bereiche herunter, denen lt. ENISA zukünftig eine erhöhte Bedeutung zukommt. Siehe Abbildung 2.
1
http://www.enisa.europa.eu/activities/risk-management/evolving-threatenvironment/ENISA_Threat_Landscape
Seite 5 von 35
Handbuch
Abbildung 2: Aktuelle und zukünftige Trends
Gemäß den oben dargestellten Bereichen kommt lt. ENISA dem "Mobile Computing" eine besondere
Bedeutung zu: von den aktuellen Top-10-Trends werden sich in diesem Bereich immerhin 6 der aktuellen Top-10-Trend verstärkt fortsetzen. Aktuelle Smartphones und Tablet-PCs sind absolut im
Trend und verfügen inzwischen über umfangreiche Funktionen. Deshalb werden heutzutage immer
mehr Firmen mit dem Thema BYOD (Bring Your Own Devise) konfrontiert. Laut BITCOMPressemitteilung vom 19.04.20131 setzen heute bereits 34 % der deutschen Unternehmen TabletPCs bei sich ein.
Die Integration privater Geräte in die Firmennetzwerkstruktur stellt neue Ansprüche an die ITSicherheit und wirft zudem eine neue Herausforderung auf: den juristischen Aspekt. Hierbei muss
sichergestellt sein, dass der Datenschutz von zu verarbeitenden personenbezogenen Daten sowie
Betriebs- und Geschäftsgeheimnissen gewahrt bleibt. Die rechtliche Haftung umfasst nicht nur den
eventuellen Schadensfall der Geräte selbst, sondern erstreckt sich auch über den eventuellen Ver-
1
http://www.bitkom.org/de/presse/8477_75913.aspx
Seite 6 von 35
Handbuch
lust von Daten Dritter, die im Unternehmen bearbeitet werden. Aus diesem Grund scheint die Einführung von Sicherheitsrichtlinien in Unternehmen unumgänglich.
Der durch Internet-Kriminalität verursachte Schaden ist nicht unerheblich. Gemäß BKA Bundeslagebild 2011 Cybercrime (verfügbar als PDF1) ist der wirtschaftliche Schaden im Vergleich zum Vorjahr um 16 % auf über 71 Mio Euro gestiegen, obwohl die in der polizeilichen Kriminalstatistik
(PKS) erfassten Fälle im Jahr 2011 geringfügig zurückgegangen sind (0,6 %). Die Schadensbetrachtung bezieht sich lediglich auf die Bereiche Computerbetrug (rund 50 Mio. €) und Betrug mit Zugangsdaten zu Kommunikationsdiensten (rund 21,2 Mio. €). Die Tatsache, dass für nur zwei Deliktsbereiche eine statistische Schadenserfassung erfolgt, erlaubt zwar keine Aussagen über das
tatsächliche Ausmaß des Schadens. Dennoch reichten diese Betrachtungen für die Darstellung einer Entwicklungstendenz aus, so das BKA.
Abbildung 3: Cybercrime Straftaten 2007 - 2011
1
http://www.bka.de/Publikationen/Bundeslagebild_Cybercrime_2011
Seite 7 von 35
Handbuch
Abbildung 4: Schäden durch Cybercrime 2007 - 2011 in Mio. €
Der tatsächlich entstanden wirtschaftliche Schaden dürfte also wesentlich höher liegen, wenn man
alle die in Abbildung 1 und Abbildung 2 gelisteten Bedrohungen berücksichtigte. Zusätzlich ist davon auszugehen, dass es hinsichtlich der Anzahl tatsächlich gemeldeter Delikte eine nicht unbeträchtliche Dunkelziffer gibt.
Unter den zuvor genannten Aspekten stellt sich natürlich die Frage, ob und wie man sich auf eine
geeignete Weise vor dieser Vielzahl an Bedrohungen schützen kann. Dabei sind weitere
Gesichtspunkte zu betrachten wie die ständig steigende Professionalität der Schadsoftware, die
sich ständig ändernde Vorgehensweise von Angriffen als Reaktion auf neu eingeführte
Schutzsysteme, die Motivation für die Angriffe, die im Unternehmen genutzten Applikationen und
deren Schwachstellen sowie der Kenntnisstand der Mitarbeiter. Bevor auf mögliche Lösungen
eingegangen
wird,
werden
zunächst
die
technischen
Verfahren
der
unterschiedlichen
Bedrohungen näher erläutert.
Seite 8 von 35
Handbuch
3
Technische Verfahren der Top-10-Bedrohungen
Die unterschiedlichen Bedrohungen basieren auf verschiedenen Verfahren, die alle das Ziel haben,
eine mehr oder minder gefährliche Schadsoftware auf einem oder möglichst vielen Zielsystem(en)
zu platzieren.
3.1
Drive-By-Download (Exploits)
Als Exploit bezeichnet man die systematische Ausnutzung von Sicherheitslücken und Fehlfunktionen
von Programmen oder Systemen, die bei der Entwicklung eines Programms nicht berücksichtigt wurden. Ziel ist es, sich durch Befehlsfolgen Zugang zu den Systemressourcen zu verschaffen und/oder
die Systeme zu beinträchtigen.
Bei Drive-By-Exploits oder Drive-By-Downloads wird die Schadsoftware (Malware) unbewusst und unbeabsichtigt (Drive-by: im Vorbeifahren) automatisch auf den Rechner des Nutzers geladen. Dazu
genügt oft schon der Zugriff auf eine entsprechend präparierte (seriöse) Webseite.
Bei dieser Art der Bedrohung werden Sicherheitslücken des Browsers genutzt. Heutige Webseiten
enthalten sehr häufig dynamische Funktionen wie Java, JavaScript oder Adobe Flash. Diese Techniken erlauben eine permanente Kommunikation zwischen Server und Browser, ohne dass der Benutzer eine Aktion durchführen muss. Dieser Umstand wird systematisch für Drive-By-DownloadAttacken (aus-)genutzt, um so die Schadsoftware auf dem Zielsystem zu hinterlassen. Drive-byDownloads gehören inzwischen zu der am häufigsten verwendeten Art von Attacke und damit zu den
Top-Bedrohungen.
Im Mai 2012 wurde der erste Drive-By-Download für Android (Betriebssystem und Softwareplattform
u.a. für Smartphones und Tablet-PCs) entdeckt, so dass neben ortsfesten PCs auch zunehmend mobile Endgeräte betroffen sein können.
Die meisten der bekannten Drive-By-Download-Attacken stammen von Internet-Kriminellen, die sich
die oben beschriebene Technik zu Nutze machen. Die Verbreitung erfolgt weitgehend mit sogenannten Viren-Baukästen (vgl. Kapitel 3.4).
3.2
Würmer, Viren und Trojaner
Als Würmer bezeichnet man eine Schadsoftware, die die Fähigkeit besitzt, sich selbst zu vervielfältigen und zu verteilen. In Abgrenzung zu Viren werden durch Würmer jedoch keine fremden Dateien
oder Bootsektoren durch die Schadsoftware infiziert. Würmer verbreiten sich über Netzwerke (zum
Seite 9 von 35
Handbuch
Beispiel per Email) oder Wechselmedien (USB Sticks usw.). Sie bedienen sich hierfür in der Regel,
aber nicht zwangsläufig, automatisch eines Hilfsdienstes des Systems (Netzwerkdienst (evtl. über
eine Anwendungssoftware) oder Autorun).
Für die Verbreitung von Viren hingegen, bei dem sich die Schadsoftware in einer Datei oder im
Bootsektor einnistet, ist die Interaktion des Benutzers erforderlich: Durch Öffnen der infizierten
Datei oder durch Rebooten, bei dem sich die Schadsoftware von oder auf die angeschlossenen
Wechselmedien übertragen kann.
Die Verbreitung von Würmern ist damit deutlich effizienter als die Verbreitung von Viren. Deshalb
spielen Viren heute eine eher untergeordnete Rolle.
Während Würmer und Viren die Art der Verbreitung der Schadsoftware beschreiben, bezeichnet
der Begriff Trojaner eine ausführbare Schadsoftware, die (heimlich) auf dem Zielsystem abgelegt
wird. Der Trojaner tarnt sich als nützliche Anwendung, verfolgt jedoch einen gänzlich anderen
Zweck (also eine Form der Verschleierungstechnik). Dabei können Trojaner Dateien zerstören oder
auch Benutzerkenndaten stehlen, um diese für kriminelle Geschäfte zu nutzen. Sie können aber
auch Hintertüren öffnen, um für kriminelle Aktivitäten zusätzliche Ressourcen zur Verfügung zu
stellen.
Von den in diesem Kapitel beschriebenen Techniken sind aber auch Mischformen möglich. So kann
sich zum Beispiel ein Wurm der Verschleierungstechnik eines Trojaners bedienen, indem er als Anhang einer Email vorgibt, ein toller Bildschirmschoner oder ein super Spiel zu sein. Von daher gehören sowohl Würmer als auch Trojaner als klassische Typen von Schadsoftware zu den sehr weit
verbreiteten Techniken. Sie stellen eine sehr große Bedrohung dar.
Die Anzahl der mit Trojanern infizierten Systeme hat stark zugenommen und den bisherigen Spitzenreiter (durch massive Wurmepidemien infizierte Systeme) als die am häufigsten berichtete Art
von Schadsoftware abgelöst.
Bemerkenswert in diesem Zusammenhang ist, dass der Trojaner "Autorun" und der Wurm "Conficker" nach wie vor weltweit die Top 2 der Bedrohungen darstellen und auch heute noch Opfer finden, obwohl diese Schadsoftware bereits vier Jahre alt ist und die Sicherheitslücken, die ein Infizieren mit dieser Schadsoftware ermöglichen, lange adressiert sind.
Unabhängig davon scheinen Soziale Netzwerke für die Autoren von Schadsoftware als Distributionskanal an Bedeutung zu gewinnen (der Wurm "Koobface" infizierte die Nutzer größerer Sozialer
Netzwerke). Trojaner sind offenbar die größte Bedrohung für mobile Komponenten, wobei es eine
Vielzahl von Ausprägungen gibt: Angefangen bei einfachen SMS-Trojanern bis hin zu multifunktionellen und deutlich anspruchsvolleren Trojanern, die den Daten-Diebstahl zum Ziel haben.
Seite 10 von 35
Handbuch
3.3
Datenbank- und Webseiten-Attacken
Diese Kategorie von Bedrohungen beschreibt eine Technik, die durch Einfügen von Software-Code
(Code Injection) für Angriffe auf Web-Applikationen genutzt werden wie SQL Injection1, Cross-Site
Scripting2, Cross-Site Request Forgery3 oder Remote File Inclusion4. Angreifer, die eine dieser Techniken verwenden, beabsichtigen, bestimmte Daten zu extrahieren oder Zugangsdaten (Credentials)
zu stehlen, die Kontrolle über bestimmte Web-Server zu übernehmen oder aber ihre böswilligen Aktivitäten voranzubringen, indem sie gezielt Sicherheitslücken von Web-Applikationen ausnutzen.
In den letzten Jahren wurde SQL Injection (SQLi) als die am häufigsten genutzte Variante ausgemacht. Sie ist äußerst populär bei Hacktivisten (politisch engagierte Hacker, die auf diese Weise ihr
Gedankengut verbreiten), Hacker-Gruppen und Internet-Kriminellen (Cyber Criminals). Die SQLiTechnik wird hierbei bevorzugt auf Webseiten aus den Bereichen Unterhaltung, Einzelhandel, Technologie sowie Medien und Bildung eingesetzt.
Gleichzeitig konnte aber auch ein signifikanter Anstieg beim Cross-Site Scripting (XSS) festgestellt
werden, da diese Technologie auf alle Browser inklusive die der mobilen Endgeräte angewendet
1
SQLi, beschreibt das Ausnutzen einer Sicherheitslücke in SQL Datenbanken, die durch mangelnde
Maskierung oder Prüfung von sogenannten Metazeichen (Steuerzeichen für den SQL Interpreter)
bei Benutzereingaben entsteht
2
XSS, beschreibt eine Sicherheitslücke in Webapplikationen, bei der Informationen aus einem
nicht vertrauenswürdigen in einen als vertrauenswürdig eingestuften Kontext eingefügt werden
um von dort aus einen Angriff zu starten
3
CSRF oder XSFR beschreibt eine Sicherheitslücke, die auf der Statuslosigkeit des HTTP beruht und
bei der der Angreifer auf dem Webbrowser des Opfers ohne dessen Wissen einen manipulierten
http-Request hinterlegt, der dann bei einem Aufruf innerhalb einer Webapplikation durch ahnungslosen Benutzer die gewünschte Aktion des Angreifers ausführt
4
RFI, beschreibt eine Sicherheitslücke in Skript-basierten Webanwendungen, die es einem Angreifer ermöglicht, unkontrolliert Programmcode in den Webserver einzuschleusen und dort auszuführen.
Seite 11 von 35
Handbuch
werden kann. Sie stellt somit die kritischste Schwachstelle für traditionelle und Web 2.01 basierte
Anwendungen dar. Dennoch kann das aus XSS resultierende Risiko geringer als das aus SQLi eingestuft werden, da Angreifer die XSS Technologie üblicherweise nicht für Szenarios einsetzen, bei
denen das große Geld verdient wird. Cross-Site Request Forgery (CSRF oder XSFR) schließlich ist
die Technik, die am häufigsten bei Web 2.0 oder auf Webseiten von Hosting Providern angewendet
wird.
Der Trend dieser hier beschriebenen Technologien ist steigend und damit ebenfalls als große Bedrohung einzustufen.
3.4
Viren-Baukästen (Exploit Kits)
Viren-Baukästen, sogenannte Exploit Kits, sind verwendungsfertige Softwarepakete, die Aktionen
im Bereich der Internet-Kriminalität quasi automatisieren. Diese Pakete nutzen meistens die DriveBy-Download-Technik (vgl. Kap. 3.1), deren bösartiger Code dann in möglichst populäre Webseiten
eingefügt wird. Die Attacken können dabei gleich mehrere Schwachstellen in Browsern oder Browser Plug-Ins nutzen. Darüber hinaus werden im Rahmen der Attacke eine Fülle von Kanälen genutzt, um Schadsoftware auf unverdächtige Webseiten zu verteilen und auf diesen zu installieren.
Eine wichtige Eigenschaft dieser Exploit Kits ist der Bedienkomfort (meist über einen Webbrowser), so dass diese Baukästen durchaus auch von Personen ohne tiefgehendes technisches Verständnis gekauft (!) und genutzt werden können.
Da diese fertigen Baukästen käuflich erworben werden können, hat sich inzwischen ein neues Geschäftsmodell etabliert: Malware-as-a-Service (MaaS). Dies wiederum führt zu einer erhöhten Professionalisierung und Kommerzialisierung rund um die Ware Internet-Kriminalität.
Die hohe Gefahr dieser Bedrohung ist dadurch begründet, dass die Exploit Kits ausgeklügelte Techniken (Verschlüsselung, Polymorphie oder extreme Verschleierung u.ä.) nutzen und entwickeln,
um dann als Folge davon die klassischen Erkennungsmechanismen umgehen zu können. In der ers-
1
Web 2.0 beschreibt lt. Gablers Wirtschaftslexikon keine grundlegend neue Technologie, sondern
lediglich eine in sozio-technischer Hinsicht veränderte Nutzung des Internets, bei der es nicht
mehr allein um die reine Bereitstellung von Informationen geht, sondern zusätzlich um die Beteiligung
der
Nutzer
am
Web
und
um
die
Generierung
von
weiterem
Zusatznutzen.
(vgl. http://wirtschaftslexikon.gabler.de/Definition/web-2-0.html)
Seite 12 von 35
Handbuch
ten Jahreshälfte 2012 war das Blackhole Exploit Kit 1 das am höchsten entwickelte und am häufigsten erkannte Viren-Baukastensystem.
Der Trend für diese Art von Bedrohung ist steigend.
3.5
Botnetze
Unter einem Bot (von engl. robot "Roboter") versteht man ein Computerprogramm, das auf einem
vernetzten Rechner läuft und weitgehend automatisch sich wiederholende Aufgaben abarbeitet,
ohne dabei auf eine Interaktion mit einem menschlichen Benutzer angewiesen zu sein. Agiert nun
eine Gruppe von Bots in einem gemeinsamen Netzwerk, spricht man von einem Botnetz. Betreiber
illegaler (krimineller) Botnetze installieren Bots ohne Wissen der Nutzer auf deren Computern und
nutzen sie für ihre Zwecke. Im Zusammenhang mit der Internet-Kriminalität werden deshalb normalerweise nicht mehr die Programme selbst, sondern die kompromittierten Rechner, auf denen
das Programm installiert ist, als Bot (oder auch als Zombie) bezeichnet. Innerhalb eines Botnetzes
können dann die meisten Bots von einem Botnetz-Operator (auch Bot-Master oder Bot-Herder genannt) zum Zwecke der bösartigen Steuerung über einen Kommunikationskanal überwacht und Befehle empfangen werden. Der Server, der zur Steuerung der Bots verwendet wird, wird in der
Fachsprache als Command-and-Control-Server (C&C Server) bezeichnet.
Botnetze werden als vielfältiges Werkzeug für Spamming (unaufgefordertes Versenden von Emails,
vgl. Kapitel 3.10), Identitätsdiebstahl oder auch zum Infizieren weiterer Rechner und der weiteren
Verbreitung von Schadsoftware genutzt.
Um die Stabilität zu erhöhen und das Risiko eines Single-Point-of-Failure auszuschließen, wird die
Botnetz C&C Infrastruktur mittels P2P (Peer-to-Peer) Technologien zunehmend dezentralisiert (Beispiel: ZeroAccess Botnetz2). Hinzu kommt, dass die Botnetze anstatt wie anfangs für EinfachAttacken (Spam, DoS) zunehmend auch zu Mehrfach-Attacken genutzt werden.
1
https://sophosnews.files.wordpress.com/2012/03/blackhole_paper_mar2012.pdf
2
Bei ZeroAccess handelt es sich um einen Trojaner, von dem Microsoft Windows-Betriebssysteme
betroffen sind und der u.a. dazu benutzt wird, ein Botnetz aufzubauen; vgl. hierzu auch
https://www.kindsight.net/sites/default/files/Kindsight_Security_Labs-Q312_Malware_Reportfinal.pdf
Seite 13 von 35
Handbuch
Ähnlich wie im Falle der Viren-Baukästen ist auch hier eine vermehrte Kommerzialisierung auszumachen: Interessierte können sich für ihre Zwecke existierende Botnetze mieten. Dabei haben die
aktuellen Botnetze die Möglichkeit, Rechner mit den unterschiedlichsten Betriebssystemen zu infizieren. Im April 2012 wurde über das Botnetz "Flashback" berichtet, das aus über 600.000 infizierten
MAC Computern von Apple bestand. Und es scheint, dass die Autoren von Schadsoftware zunehmendes Interesse daran zeigen, Android-basierte Smartphones in "Zombies" zu verwandeln oder auch
Cloud-Computing-Plattformen für das Aufsetzen von Botnetzen zu nutzen.
Ausgeklügelte Angriffsoperationen von großen Botnetzen sind heute allerdings eher selten auszumachen, da diesen in den letzten Jahren mehr Aufmerksamkeit von Ermittlungsbehörden und der
Sicherheitsindustrie zuteil wurde und viele zerschlagen werden konnten. Der Trend geht hier eher
zu kleinen Botnetzen, die deutlich schwerer auszumachen und zu zerschlagen sind.
In jedem Fall ist der Trend für diese Art von Bedrohung ebenfalls steigend.
3.6
Denial of Service
Als Denial of Service (DoS) wird eine Form von Attacke bezeichnet, bei der versucht wird, Nutzern
den Zugriff auf einen bestimmten Dienst oder eine bestimmte Ressource nicht zu ermöglichen (von
engl. denial of service "Dienstverweigerung"). Attackieren mehrere Angreifer gleichzeitig dasselbe
Ziel, spricht man von einer verteilten DoS-Attacke (Distributed Denial-of-Service, DDoS).
Für die Nichtverfügbarkeit eines Dienstes kann es verschiedene Gründe geben. Von DoS spricht
man grundsätzlich dann, wenn die Nichtverfügbarkeit des Dienstes die Folge einer Überlastung einer Komponente im Infrastruktursystem ist. Das kann durchaus auch unbeabsichtigt sein. Wird DoS
jedoch gezielt eingesetzt, um einen Dienst für andere nicht nutzbar zu machen, spricht man von
einer DoS-Attacke.
Für DDoS-Attacken nutzen die Angreifer so viel "Feuerkraft" wie möglich, damit die Attacke möglichst schwer abzuwehren ist. In der Regel werden dazu möglichst viele verschiedene (kompromittierte) Computer eingesetzt (evtl. auch ganze Botnetze, vgl. Kapitel 3.5). Die Täter, die DoSAttacken initiieren, zielen entweder direkt auf bekannte Webseiten oder Dienste oder aber sie
nutzen diese nur indirekt, sofern sie Bestandteil von übergeordneten Instanzen sind. Obwohl diese
Angriffe nicht auf vertrauliche oder integre Informationen zielen, so können dennoch erhebliche
finanzielle Schäden und/oder Imageverlust die Folge sein.
Seite 14 von 35
Handbuch
Aktuell scheinen sich die DoS-Angreifer von einem relativ einfachen Ansatz (wie der Nutzung von
UDP, ICMP oder SYN Flood1) zu verabschieden, um dafür auf höher entwickelte Applikationen (und
hier am häufigsten auf HTTP, DNS oder SMTP) zu setzen. DoS-Attacken-Tools von heute, selbstverständlich öffentlich verfügbar, setzen nach dem TCP/IP-Modell eher auf dem Applikationslayer auf
als auf dem Transport- oder Internet-Layer.
OSI Model Layer
TCP/IP Model Layer
TCP/IP Model Protocol Suite
Application Layer
Presentation Layer
Application Layer
HTTP
DNS
SMTP
etc.
Session Layer
Transport Layer
Transport Layer
Network Layer
Internet Layer
TCP
ARP
UDP
IP(v4)
ICMP
Data Link Layer
Network Interface Layer
Ethernet
WLAN
etc.
Physical Layer
Abbildung 5: OSI- und TCP/IP Modell
DDoS-Attacken mit einer Bitrate von 20 Gbps sind heute die Norm, die Grenze von 100 Gbps wurde
erstmals 2011 überschritten, wobei Hacktivismus (politisch motivierter Protest), Vandalismus und
Erpressung in den meisten Fällen als Motivation dienen. 2012 wurde von der ersten IPv6-DDoSAttacke berichtet.
Der Trend für diese Art von Bedrohung insgesamt ist jedoch stabil.
1
Senden von kontinuierlichen TCP SYN-Flags und anschließendem Nicht-Senden von TCP ACK-Flags
im Rahmen des TCP 3-Wege-Handshakes
Seite 15 von 35
Handbuch
3.7
Phishing
Unter Phishing versteht man Versuche, über gefälschte Web-Seiten, Emails oder Kurznachrichten an
Identitätsdaten eines Internet-Benutzers zu gelangen (Identitäts-Diebstahl). Die gestohlenen Identitätsdaten werden verwendet, um Zugriff auf ein Konto des Internet-Benutzers zu erhalten und diesem finanziellen Schaden zuzufügen.
Phishing ist ein Kunstwort, das sich, evtl. in Anlehnung an den Begriff phreaking (Manipulieren von
Telefonverbindungen, bestehend aus "phone" und freak") aus den Wörtern password (engl. für
"Passwort") und fishing (engl. für "Fischen") zusammensetzt, sinnbildlich also: "Angeln nach Passwörtern". Häufiger wird das "h" in Phishing aber auch mit harvesting (engl. für "Ernte") erklärt, sinnbildlich dann: das "Ernten von Passwörtern".
Eine Phishing-Variante in sozialen Netzen wie Facebook nennt sich Likejacking (Zusammensetzung
aus to like (engl. für "mögen") und jacking (engl. abgeleitet von to hijack "entführen")). Dabei wird
durch einen unbeabsichtigten Klick auf eine möglicherweise verstecke Schaltfläche eine Gefälltmir-Aktion ausgeführt, die zum Beispiel im Profil des Benutzers einen Link auf eine Webseite anlegt. Diese Webseite enthält dann die Schadsoftware. Klicken anschließend die Facebook-Freunde
ebenfalls auf diesen Link, entsteht möglicherweise ein Schneeballeffekt.
Neben der Phishing Variante für soziale Netzwerke existiert ebenfalls eine Variante für VoIP 1Systeme, die als Vishing (VoIP basiertes Phishing) bezeichnet wird. Bei dieser Methode versuchen
Kriminelle mit Hilfe von Telefonaten jemanden in die Irre zu führen, um so an sensible Daten zu
gelangen.
Phisher hosten ihre Seiten zumeist auf legitimen kompromittierten Webservern, die als Folge von
veränderten Sicherheits- und Registrierungsvorschriften für Webseiten nun bevorzugt in WebHosting-Umgebungen betrieben werden, um dann auch mit Hilfe von Hacking-Tools automatisierte
Techniken nutzen zu können.
Typischerweise zielt diese Art von Bedrohung in den meisten Fällen auf Webseiten von Finanzinstituten oder Zahlungsdiensten.
Auf der anderen Seite sind aber auch soziale Netzwerke, Internetserviceprovider, gemeinnützige
Organisationen, Paketdienste und Webseiten der öffentlichen Hand häufig das Ziel von EmailPhishing-Attacken. Obwohl die Betriebszeit von Phishing-Seiten in der ersten Hälfte 2012 auf ein
1
Voice over IP
Seite 16 von 35
Handbuch
Rekordtief fiel (laut Untersuchungen schaffen es Banken im Durchschnitt innerhalb von vier bis
acht Stunden, erkannte Phishing-Websites weltweit löschen zu lassen), sind neue steigende
Phishing-Trends zu erkennen. Diese sind in der Lage, Zwei-Faktoren AuthentifizierungsMechanismen auszuhebeln, bei denen zur Authentifizierung sowohl der PC wie auch das mobile
Endgerät genutzt werden.
Zunehmend werden außerdem Phishing-Seiten per SMS an Smartphone-Nutzer versendet.
Als Gesamtheit betrachtet ist der Trend für diese Art von Bedrohung aber stabil.
3.8
Datenverluste
Die Gefährdung, die den Verlust meistens vertraulicher Daten zur Folge hat, beschreibt Datenpannen, bei denen Informationen bewusst oder unbewusst offenbart werden. Die Gefahrenquelle kann
intern oder extern liegen. Ein Verlust sensibler Daten ist dabei weder auf einen Unternehmensbereich (Verwaltung, Gesundheit, Industrie, etc.) noch auf eine Unternehmensgröße (Small and Medium Businesses (SMB), Großunternehmen oder Organisationen) beschränkt. Diese Datenpannen
werden üblicherweise durch irgendeine Form von Hacking, versteckt eingebauter Schadsoftware,
physikalischen (Einbruch) oder sozialtechnischen Angriffen (Social-Engineering-Attacks) oder Missbrauch von Rechten realisiert. Sie entsprechen einem Verstoß gegen den Datenschutz.
Fahrlässiges Verhalten von Insidern und bösartige Attacken von extern sind die Hauptursachen von
Datenpannen, wobei die größte externe Bedrohung von Internet-Kriminellen und Hacktivisten ausgeht. Schätzungen gehen davon aus, dass die Datenpannen in 9 von 10 Fällen hätten verhindert
werden können, wenn sich die betroffenen Unternehmen an bewährte Methoden des Datenschutzes
und der Informationssicherheit gehalten hätten. Kritisch in diesem Zusammenhang ist, dass betroffene Unternehmen nicht nur einen unmittelbaren finanziellen Verlust erleiden, sondern in der
Folge auch den Verlust von Kunden und/oder den des guten Rufes befürchten müssen.
Grundsätzlich lässt sich sagen, das der Schlüssel zu vielen der Datenpannen die Verwundbarkeit von
Web-Applikationen ist.
Das Jahr 2011 wird als das Jahr des Sicherheitsverstoßes (Security Breach) charakterisiert. In den
letzten Jahren ist die Anzahl von Datenpannen (Data Breach) im Gesundheitswesen ständig gestiegen. Die Einführung elektronischer Patientendaten-Systeme, die identifizierbare Personendaten
speichern, scheinen das besondere Interesse der Internet-Kriminellen geweckt zu haben.
Der Trend für diese Art von Bedrohung ist steigend.
Seite 17 von 35
Handbuch
3.9
Roque- und Scareware
Die Bedrohung durch Roqueware (von roque, engl. für "Schurke", "Spitzbube") besteht darin, dass
Internet-Kriminelle ihre Opfer oft durch gezielte Beeinflussung mit einer scheinbar unbedingt erforderlichen Software ködern. Die Software selbst ist aber ein Fake (engl. für "Schwindel"). Ihr einziger
Nutzen darin besteht, dass der Internet-Kriminelle seine bösartigen Absichten umsetzen kann.
Bei Scareware (von scare, engl. für "Schreck") handelt es sich um eine spezielle Art von Roqueware,
bei der falsche Alarme aus dem Sicherheitsbereich genutzt werden, um die Schadsoftware zu installieren.
Abbildung 6: Gefälschte Sicherheitsmeldung
1
1
Quelle: http://scareware.de/basiswissen/scareware-rogueware/
Seite 18 von 35
Handbuch
Roqueware wird in den meisten Fällen als Freeware angeboten, wobei der Anwender schnell erkennen muss, dass die gewünschte Funktion nur über eine kostenpflichtige Vollversion zu realisieren ist. Und darin besteht der eigentliche Betrug: Sie kaufen ein Heilmittel für eine Krankheit, die
Sie gar nicht haben. In der Regel entsteht durch diese Bedrohung "nur" ein finanzieller Schaden. In
Summe kann dieser sehr hoch ausfallen, denn für die Aufforderung zur Installation der Freeware
werden wiederum andere Bedrohungstechniken (Spam, Würmer, Drive-By-Downloads, soziale
Netzwerke) genutzt.
Aus dem Bereich von Roqueware stellt aufgrund von Aufklärungsarbeit nur noch Scareware ein
großes Sicherheitsproblem dar. Das liegt auch daran, dass zur Verbreitung von Scareware neben
den bereits zuvor genannten jetzt auch gezielt die sogenannte Search Engine Optimization (SEO)
verwendet wird. Dabei locken häufig verwendete Suchbegriffen Nutzer zunächst über eine Suchmaschine auf eine Scareware-Webseite. Die Scareware-Website zeigt dem Opfer dann einen Bildschirm an, der aussieht, als würde ein Web-Scanner laufen. Windows-ähnliche Fenster oder kleine
Popups zeigen sich und warnen vor Malware mit dem Hinweis, mit einer "Freeware" könne man
sich Gewissheit verschaffen. Ein kurzer Klick (auf den einzig vorhandenen Button) und der nächste
"Drive-By-Download" ist perfekt. Scripts auf der Scareware-Webseite versuchen dabei systembekanntes Verhalten nachzustellen (wie das seit Windows Vista typische Abdunkeln des Hintergrundes, wenn eine Zustimmung für eine Aktion erforderlich ist), um auf diese Art besonders vertrauensvoll zu wirken.
Seite 19 von 35
Handbuch
Abbildung 7: Systemähnliche Präsentation soll Vertrauen erwecken1
Vermehrt ist in jüngster Zeit eine weitere Bedrohung aufgetreten, die von Internet-Kriminellen als
neues Geschäftsmodell entdeckt wurde. Das Verfahren ist wie oben beschrieben, allerdings wird anstatt der später kostenpflichtig zu erwerbenden Software-Vollversion eine Schadsoftware installiert.
Diese Malware kryptografiert die Daten auf dem System. Der Nutzer kann den Schlüssel zum Entschlüsseln käuflich erwerben. Diese Software bezeichnet man als Ransomware (von ransom, engl.
für "Lösegeld").
Alles in Allem ist der Trend dieser Bedrohung stabil.
1
Quelle: http://scareware.de/basiswissen/scareware-rogueware/
Seite 20 von 35
Handbuch
3.10
Spam
Unter Spam versteht man die missbräuchliche Nutzung der Email-Technologie, bei der Email-Boxen
mit unerwünschten Nachrichten "geflutet" werden. Das Versenden unerwünschter Emails erzeugt
vergleichsweise geringen Zeitaufwand auf Seiten des Senders (nur schreiben), jedoch höheren
Zeitaufwand auf Seiten des Empfängers (lesen, verstehen, evtl. weiterführende Aktionen) bzw.
höheren Kosten auf Seiten des Email Service-Providers für Hardware und Infrastruktur.
National und international koordinierte Aktivitäten (Zerschlagen großer Botnetze) resultierten in
2011 in einem signifikanten Rückgang von Email Spam-Aktivitäten. Dieser Trend setzte sich in 2012
fort. Unabhängig davon versuchen die Absender von Spammails mit immer überzeugenderen Inhalten zu trumpfen, wobei gefälschte Arzneimittel (Pharmazie Spam), Sex oder Partnervermittlung,
Spielsucht Gegenstand dieser Art von Emails sind. Geschickt verschleiert kann man so sogar ungewollt zum Teilnehmer an kriminellen Aktivitäten werden.
Von Spams sind am häufigsten der Bildungs-, Automobil-, öffentlicher und pharmazeutischer Sektor betroffen.
Derzeit ist der Trend für diese Art von Bedrohung rückläufig
Seite 21 von 35
Handbuch
4
Motivation für Angriffe
Die Nutzung von IT ist für Unternehmen genauso risikoreich wie die Vielfalt und Anzahl der Bedrohungen. Ein Angriff auf die IT eines Unternehmens ist in den meisten Fällen kriminell motiviert
und bringt nur dem Angreifer einen Nutzen.
Direkte Auswirkungen der Bedrohungen sind Störungen im Ablauf von Geschäftsprozessen, Störungen der IT-Infrastruktur oder Verlust von geistigem Eigentum. Immer wichtiger werden jedoch die
indirekten Auswirkungen wie die Haftung, wenn es zum Beispiel um die Verbreitung fragwürdigen
(politischen oder sexuellen) Gedankenguts oder das Ausspähen persönlicher Daten geht.
Wer aber sind die Angreifer (Threat Agents), von denen die Bedrohungen ausgehen? Hier zunächst
der Versuch einer Definition für den Angreifer1:
Ein Angreifer ist eine Person oder Sache, die derart agiert bzw. die Möglichkeiten dazu hat, dass
eine Bedrohung ausgelöst, gefördert, übertragen oder unterstützt wird. Beispiele für mögliche Angreifer sind bösartige Hacker, organisierte Banden, Insider (inklusive System-Administratoren und
Entwickler), Terroristen oder gar Staaten.
In den folgenden Kapiteln wird versucht, die unterschiedlichen Typen von Angreifern sowie ihre Eigenschaften und Intentionen zu beschreiben. Da beide Faktoren einem Änderungsprozess unterliegen, ist ein kontinuierlicher Identifizierungsprozess unabdingbar.
4.1
Unternehmen
Diese Art von Angreifern beschreibt Unternehmen, Organisationen oder Firmen, die sich mit offensiven Taktiken beschäftigen und/oder diese anwenden. Sie können als feindliche Angreifer betrachtet
werden, deren Intension und Motivation es ist, sich einen Vorteil gegenüber dem Wettbewerb zu
verschaffen. Je nach Größe und Sektor können diese Angreifer über signifikante Technologie- und
Kompetenz-Ressourcen verfügen.
1
Quelle: http://itlaw.wikia.com/wiki/Threat_agent
Seite 22 von 35
Handbuch
4.2
Internet-Kriminelle
Internet-Kriminelle oder Cyber-Kriminelle sind von Natur aus feindselig. Ihre Motivation ist der finanzielle Gewinn. Sie verfügen heutzutage über ein hohes Maß an IT-Kompetenz und setzen ausgeklügelte Angriffsmethoden ein. Dabei können Internet-Kriminelle durchaus lokal, national oder international organisiert und vernetzt sein.
4.3
Mitarbeiter
Diese Kategorie umfasst die Belegschaft, Lieferanten, Außendienst-Mitarbeiter und Sicherheitsbediensteten eines Unternehmens. Sie alle können Zugriff auf die Mittel eines Unternehmens haben,
wobei hier wird zwischen nicht-feindlichen (unbewusstes Handeln durch Fahrlässigkeit oder Unwissenheit) und feindlichen Angreifern (bewusstes Handeln bei Verärgerung oder Missachtung) unterschieden wird. Unabhängig von der Art des Handelns verfügen diese Angreifer über ausreichend
Kenntnisse, um Angriffe gegen die Vermögenswerte des Unternehmens zu starten.
4.4
Hacktivisten
Bei Hacktivisten handelt es sich um eine neuere Art von Angreifern. Sie sind sozial oder politisch
motiviert und nutzen Computersysteme, um ihren Protest kundzutun und ihr Anliegen zu promoten.
Normalweise richtet sich ihr Angriff auf bekannte Webseiten, Unternehmen, Nachrichtendienste und
militärische Institutionen.
4.5
Staaten
Staaten können über aggressives Angriffspotenzial verfügen und dieses möglicherweise im Rahmen
eines Cyberkrieges gegen ihre Feinde einsetzen.
4.6
Terroristen
Terroristen haben ihre Aktivitäten erweitert und engagieren sich inzwischen auch in CyberAngriffen. Diese Angriffe können politisch oder religiös motiviert sein. Je nach Kompetenz und Potenzial können die Angriffsszenarien durchaus von einfach bis komplex variieren. Bevorzugte Ziele
der Cyber-Terroristen sind kritische Infrastrukturen wie das Gesundheitswesen, die Energieerzeu-
Seite 23 von 35
Handbuch
gung oder die Telekommunikation, weil hier die Auswirkungen auf Regierung und Bevölkerung besonders groß sind. Allerdings sind trotz aller Analysen die Profile der Cyber-Terroristen derzeit
noch etwas verschwommen.
4.7
Zuordnung von Angreifern und Bedrohungen
Mit einem Auszug einer Abbildung aus der ENISA Threat Landscape1 soll versucht werden darzustellen, welche Angreifer welche der zuvor beschriebenen Top-10-Bedrohungen einsetzen.
Abbildung 8: Zuordnung von Angreifern und Top-10- Bedrohungen
1
http://www.enisa.europa.eu/activities/risk-management/evolving-threatenvironment/ENISA_Threat_Landscape
Seite 24 von 35
Handbuch
5
Lösungen
Um es vorwegzunehmen: es gibt keinen absoluten Schutz gegen die hier beschriebenen oder gegen
alle übrigen Bedrohungen. Und: es gibt auch keine Universallösung, die grundsätzlich für jedes Unternehmen passt.
Dennoch: Sämtliche etablierte oder zu etablierende IT-Sicherheitssysteme bringen mehr Nutzen als
Schaden. Letzterer wird leider immer wieder erst dann erkannt, wenn das Kind bereits in den Brunnen gefallen ist. Durch die Dynamik und die immer intelligenter werdenden Bedrohungen wird es
heute immer schwerer, einen Angriff zu erkennen und sich dagegen zu verteidigen. Für ITSicherheitskomponenten gilt das gleiche wie für alle anderen Sicherheitssysteme auch: Sie basieren
zu einem Teil immer auch auf rückliegenden Erkenntnissen und können deshalb eher reagieren als
(präventiv) agieren.
Um der Dynamik und der Komplexität heutiger Bedrohungen gerecht zu werden, ist es von elementarer Bedeutung, die IT-Sicherheit nicht als Produkt, sondern als kontinuierlichen Prozess zu betrachten. Die Strategien und Konzepte dieses Prozesses sind ständig auf ihre Leistungsfähigkeit und
Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben.
Auch das BSI1 empfiehlt in seinem BSI-Standard 100-22 einen solchen Prozess. Um zu einem bedarfsgerechten Sicherheitsniveau für alle Geschäftsprozesse, Informationen und auch der ITSysteme einer Institution zu kommen, ist laut BSI "… mehr als das bloße Anschaffen von Antivirensoftware, Firewalls oder Datensicherungssystemen notwendig." Wichtig ist vielmehr "ein ganzheitliches Konzept", zudem "vor allem ein funktionierendes und in die Institution integriertes Sicherheitsmanagement [gehört]. Informationssicherheitsmanagement (oder kurz IS-Management)
ist jener Teil des allgemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Anwendungen und IT-Systemen gewährleisten soll." Der vom BSI empfohlene Prozess ist in der nachfolgenden Abbildung dargestellt.
1
Bundesamt für Sicherheit in der Informationstechnik
2
IT-Grundschutz-Vorgehensweise
Seite 25 von 35
Handbuch
Abbildung 9: Phasen des Sicherheitsprozesses gem. BSI1
"Antivirensoftware, Firewalls oder Datensicherungssysteme", von denen das BSI spricht, sind dennoch elementarer Bestandteil des Gesamtprozesses. In den folgenden Kapiteln werden deshalb
Werkzeuge beschrieben, die einen Beitrag zur IT-Sicherheit leisten können.
1
Quelle: https://www.bsi.bund.de/IT-Grundschutzstandards/100-2
Seite 26 von 35
Handbuch
5.1
Aufklärung
Einer der wichtigsten Beiträge, den man für die Netzwerksicherheit leisten kann, ist die Aufklärung
der Mitarbeiter. Trotz aller Informationen in den öffentlichen Medien lassen viele Nutzer von IT leider immer noch nicht die notwendige Sorgfalt im Umgang mit dieser walten. Dabei ist nicht zwingend ein feindliches Ansinnen vorhanden, vielmehr liegt der mögliche Schaden oft in der Unwissenheit begründet (vgl. Kapitel 4.3). Von daher ist die Einbeziehung der Mitarbeiter in den Sicherheitsprozess genauso wichtig wie das Leben des Prozesses. Verdeutlichen Sie Ihren Mitarbeitern, dass Sie
als Unternehmen in der Haftung sind und dass der eigentliche Schaden u.U. viel weitreichendere
Folgen hat. Daraus können nicht nur für den Verursacher Konsequenzen resultieren (vgl. Kapitel 2).
Deshalb ist die Vermittlung von Mitverantwortung ein wichtiger Aspekt.
5.2
Konzept und Richtlinien
Machen Sie sich vor der Umsetzung von IT-Sicherheit (Cyber-Security) Gedanken, wie Sie die Umsetzung mit Ihrem Workflow am besten vereinbaren können. Schreiben Sie dieses in einem Konzept
fest, so dass die erforderliche Transparenz für alle Mitarbeiter gegeben ist. Die Definition von Richtlinien, den sogenannten Policies, sorgt für Klarheit und Eindeutigkeit.
Beziehen Sie Ihre Mitarbeiter aktiv in den Prozess mit ein, um in jedem Fall den optimalen Workflow
sicherzustellen und für die erforderliche Akzeptanz zu sorgen.
Versuchen Sie, die Kommunikation und die Verwendung von Applikationen auf das minimal Erforderliche zu beschränken.
Brechen Sie die erforderlichen Aktivitäten und den Zugriff auf bestimmte Systeme auf den kleinstmöglichen gemeinsamen Nenner herunter, um so die größtmögliche Sicherheit zu gewährleisten.
Hierzu empfiehlt BSI in ihrem Grundschutzstandard die Einrichtung von Sicherheitszonen zur Trennung von Bereichen mit unterschiedlichem Schutzbedarf (solche Sicherheitszonen können sowohl
räumlich, als auch technisch oder personell ausgeprägt sein).
Erstellen Sie in jedem Fall das Konzept bevor Sie sich an die Umsetzung machen. Nur so können Sie
sicherstellten, dass Sie Ihr Konzept mit der für die Umsetzung erforderlichen Hardware auch optimal
realisieren.
Seien Sie bei der Erstellung des Sicherheitskonzepts eher paranoid als unbedarft und vertrauensvoll.
Seite 27 von 35
Handbuch
5.3
Tools zur Verschlüsselung
Versuchen Sie, Tools zur Verschlüsselung zu nutzen, wo immer es geht, und schreiben Sie die Nutzung in den Policies fest. Verschlüsselung ist ein Mittel, mit dem man die Unternehmenswerte auf
einfache Weise schützen kann. Das gilt sowohl für den Bereich der Datensicherung (was andere
nicht lesen können, hilft ihnen nichts) als auch für den Bereich der Kommunikation (was andere
nicht mitbekommen, kann Ihnen einen entscheidenden Wettbewerbsvorteil bringen).
5.4
Hardware
Der Einsatz von Hardware ist für die Umsetzung eines Sicherheitskonzeptes unumgänglich. Das Angebot ist vielfältig und oftmals auch kostenintensiv. Empfehlenswert ist deshalb eine Risikobetrachtung innerhalb des Konzeptes, um zu einer möglichst wirtschaftlichen Lösung zu kommen. "Viel hilft
viel" muss an dieser Stelle nicht zwangsläufig richtig sein. Versuchen Sie vielmehr, die Anforderungen an eine bestimmte Hardware so detailliert wie möglich zu definieren, so dass Sie zumindest die
Minimalanforderungen abdecken können. Im Internet findet man hierzu bereits hilfreiche Checklisten.
Trotzdem man muss sich darüber im Klaren sein, dass selbst die teuerste Hardware keine absolute
Sicherheit bietet. Aber wenn Sie den vermeintlich hohen Preis für die Hardware im Rahmen der Risikoabschätzung einem möglichen finanziellen Schaden gegenüberstellen, kann sich dieser schnell
relativieren.
Betrachten Sie aber nicht nur den Preis für die Hardware allein, sondern berücksichtigen Sie auch,
dass die erforderlichen Ressourcen für Konfiguration, Analyse und Wartung der Hardware bereitgestellt werden müssen. IT-Sicherheit ist ein sehr komplexer Bereich und erzeugt einen nicht zu unterschätzenden Aufwand.
In den folgenden Kapiteln werden beispielhaft mögliche Komponenten aus dem Bereich der ITSicherheit beschrieben.
5.4.1
Firewall
Eine Firewall (englisch für "Brandwand") ist ein softwarebasiertes Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt und somit ein
Teilaspekt des Sicherheitskonzepts. In Abhängigkeit davon, ob ein gesamtes Netzwerk oder eine einzelne Komponente geschützt werden soll, unterscheidet man zwischen externer (Netzwerk) oder
personal (englisch für "persönlich") bzw. Desktop Firewall (Einzelkomponente).
Seite 28 von 35
Handbuch
Da externe Firewalls auf einer separaten Plattform laufen sind sie wesentlich performanter, weil sie
sich ausschließlich mit Sicherheitsaufgaben befassen.
In ihrer ursprünglichen Funktion bestand die Aufgabe einer Firewall ausschließlich darin, die Regeln
für die Netzwerk-Kommunikation umzusetzen, nicht aber Angriffe auf das Netzwerk zu erkennen.
Bei den heute eingesetzten Firewalls trifft das nur noch bedingt zu, weil der Begriff Firewall oftmals
für ein modulares Sicherheitssystem verwendet wird.
Einzelne Module dieses Sicherheitssystems können – neben dem eigentlichen Regelwerk – Web- oder
Inhaltsfilter, Schadsoftware- und Viruserkennung, Angriffserkennung (Intrusion Detection) und verhinderung (Intrusion Prevention) oder VPN-Terminierung (Virtual Privat Network, englisch für
"virtuelles privates Netzwerk") sein.
Sind mehrere dieser Module auf einer einzigen Hardware-Plattform zusammengefasst und zentral zu
managen, spricht man von einer UTM (Unified Threat Management, englisch für "vereinheitlichtes
Bedrohungsmanagement") Appliance oder einer UTM Firewall. Ist das nicht der Fall und ein Modul
befindet sich auf einer separaten Plattform, spricht man dagegen von einer Spezialized Security Appliance (SSA).
Immer häufiger findet man heute auch die Begriffe Next Generation oder Next Generation Network
(NGN) Firewall, wobei hierfür keine eindeutige Definition existiert. Viele der etablierten Hersteller
von Firewalls bezeichnen ihre um ein zusätzliches Applikationserkennungsmodul ergänzte UTM Firewall als NGN Firewall. Dabei wird einfach eine zusätzliche Kontrollinstanz hinter die bereits vorhandenen geschaltet (Daisy-Chain Prinzip, englisch für "in Reihe geschaltet"). Das ist technologisch gesehen keine wirkliche Neuerung und insofern zumindest fragwürdig, ob man in diesem Fall von einer
neuen Firewall-Generation sprechen kann.
Andere Hersteller wiederum setzen ein völlig neues Firewall-Konzept. Hierbei muss keine (durch das
Daisy-Chain Prinzip) bedingte Mehrfachanalyse mehr durchgeführt werden. Stattdessen kommt eine
sogenannte Single-Pass-Engine (englisch für "Maschine mit einem einzigen Arbeitsschritt") zum Einsatz, die die erforderliche Analyse nur einmal für alle Sicherheitsmodule durchführt. Das Ergebnis
wirkt sich in einer deutlich höheren Performance aus.
Aufgrund der zuvor beschriebenen unterschiedlichen Firewall Verfahren ist zu prüfen, ob der erforderliche Firewall-Durchsatz auch unter Lastbedingungen (d.h. bei Verwendung aller erforderlichen
Sicherheitsmodule) erreicht werden kann.
Um einen möglichst hohen Sicherheitsgrad zu erreichen, sollte mit der eingesetzten Firewall ein Zonenkonzept umgesetzt werden (vgl. Kapitel 5.2). In jedem Fall sollte die Firewall aber über eine
Applikationserkennung und eine sogenannte SPI (Stateful Packet Inspection, englisch für "zustandsorientierte Paketüberprüfung") verfügen.
Seite 29 von 35
Handbuch
Bei der Applikationserkennung werden die unterschiedlichen Applikationen nicht anhand des von der
Applikation genutzten Ports, sondern anhand des genutzten Protokolls identifiziert und klassifiziert.
Das ist in puncto IT-Sicherheit insofern von Bedeutung, weil die Applikationen zunehmend intelligenter werden und dynamisch ihren Port ändern können sobald sie feststellen, dass eine höhere Instanz (in diesem Fall die Firewall) versucht, sie in ihrem Funktionsumfang einzuschränken 1.
Unter SPI versteht man eine dynamische Paketfiltertechnik, bei der jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird. Dabei werden die Datenpakete analysiert und in dynamischen Zustandstabellen gespeichert, so dass der Verbindungsstatus in die Entscheidung, ob ein Paket
verworfen werden soll oder nicht, einbezogen werden kann. Firewalls mit SPI-Technik sind daher in
sicherheitsrelevanten Anwendungen den reinen Paketfilter-Firewalls überlegen. Bei reinen Paketfilter Firewall können die vermeintlichen Ziele mit den vermeintlichen Quellen kommunizieren, ohne
eine explizite Anfrage erhalten zu haben.
Sind personell ausgeprägte Zonenkonzepte zu berücksichtigen, sollte die Firewall außerdem die Erstellung Benutzer- oder Benutzergruppen-spezifischer Regeln unter Berücksichtigung einer dynamischen IP-Adressvergabe per DHCP (Dynamic Host Configuration Protocol, englisch für "dynamisches
Host Konfigurationsprotokoll") zulassen. Beim Einsatz von DHCP legt ein Server die Netzwerkkonfiguration (IP Adresse) des Client nach dessen Anmeldung fest. Da die IP-Adresse dynamisch vergeben
wird und somit variieren kann, kann ein Benutzer nicht mehr zuverlässig anhand einer bestimmten
IP-Adresse im Netz identifiziert werden. Kann die Firewall jedoch mit dem Server, der einem Benutzer seine IP-Adresse dynamisch zuweist, kommunizieren, so kann die Firewall intern eine benutzerspezifische in eine adressenbezogene Regel umsetzen.
5.4.2
Intrusion Detection und Intrusion Prevention
Ein IDS (Intrusion Detection System, englisch für "Einbruchmeldeanlage") ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Computernetz gerichtet sind. Das IDS kann
eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so
die Sicherheit von Netzwerken erhöhen. Unterschieden werden beim IDS hostbasierte IDS (HIDS, auf
1
Die Fähigkeit einer Applikation seinen Port zu ändern ist eine Verschleierungstechnik, die als
Port Hopping (englisch für "Portwechsel") bezeichnet wird. Neben Schadprogrammen beherrschen
auch allgemein gebräuchliche Applikationen wie Skype oder AOL Instant Messanger diese Technik
Seite 30 von 35
Handbuch
der lokalen Maschine), netzwerkbasierte IDS (NIDS, für ein Netzwerksegment) und hybride Systeme,
die beide Prinzipien verbinden.
Beim HIDS ist darauf zu achten, dass es zu dem verwendeten Betriebssystem passt. Seine Informationen erhält das HIDS aus Log-, Kernel- und Systemdaten (z.B. der Registry). Das HIDS sendet einen
Alarm, sobald es aus den überwachten Daten einen vermeintlichen Angriff erkennt. Nachteil dieses
Systems ist, dass das HIDS durch DoS-Attacken (vgl. Kapitel 3.6) auszuhebeln ist und lahmgelegt ist,
wenn das darunterliegende Betriebssystem außer Kraft gesetzt wurde. Vorteil eines HIDS ist, dass es
sehr spezifische Aussagen über einen Angriff liefert und ein einzelnes System umfassend überwachen kann.
Im Gegensatz zum HIDS versucht ein NIDS alle Pakete im überwachten Netzwerk aufzuzeichnen und
zu analysieren. Zusätzlich dazu versucht das IDS außerdem aus dem Netzwerkverkehr Angriffsmuster
zu erkennen (Anomalie Erkennung auf Basis einer statischen Analyse). Wie das HIDS auch setzt das
NIDS einen Alarm ab, sobald es verdächtige Aktivitäten zu erkennen meint. Nachteil des NIDS ist,
dass es – bedingt durch die Überwachung eines Netzwerkes – über eine sehr hohe Performance verfügen muss. Wird die maximal vom NIDS zu verarbeitende Bandbreite überschritten, kann keine lückenlose Überwachung mehr sichergestellt werden. Gleiches kann gelten, wenn ein einzelnes NIDS
in einem geswitchten Netzwerk eingesetzt wird, weil es dort u.U. nicht den vollständigen Netzwerkverkehr analysieren kann. Abhilfe könnte in diesem die Nutzung des Mirrorports eines Switches sein.
Vorteil dieses Systems ist, neben einem einzigen erforderlichen Sensor für das gesamte Netzwerk,
dass es auch dann noch funktioniert, wenn einzelne Zielsystem nicht aktiv (ausgeschaltet) sind.
Das hybride IDS wird zu einer möglichst optimalen Überwachung eingesetzt und ist eine Kombination
aus HIDS und NIDS. Es besteht sowohl aus host- als auch aus netzwerkbasierten Sensoren und einem
übergeordneten Managementsystem.
Die zwei vom IDS genutzten Verfahren (Signaturvergleich und statistische Analyse) erfordert eine
hohe Rechenleistung. Die folgende Abbildung verdeutlicht, das für die Signaturanalyse der Inhalt jedes Paketes gegen die unterschiedlichsten in einer Datenbank abgelegten Patternmuster abgeglichen werden muss. Je mehr verschiedene Patternmuster in der Datenbank vorhanden sind, umso
zeitaufwendiger der Vergleich.
Seite 31 von 35
Handbuch
Abbildung 10: Prinzipielle Funktion eines IDS
Anhand der obigen Abbildung wird der kritische Punkt sofort deutlich: Je mehr Pakete den Sensor
passieren und je mehr Patternmuster verglichen werden müssen, umso größer wird der Aufwand.
Wenn der Aufwand zu groß werden sollte schaffst es das IDS nicht mehr, alle Pakete zu prüfen. Damit ist die Prüfung lückenhaft, es entstehen Sicherheitslöcher.
Einige IPS verwenden heuristische Methoden, um auch bisher nicht bekannte Angriffsmethoden entdecken zu können. Allerdings sind in der Praxis signaturbasierte IDS deutlich mehr verbreitet. Ein
Grund hierfür ist, dass ihr Verhalten einfacher vorherzusehen ist.
Ein IPS (Intrusion Prevention System, englisch für wörtlich "Einbruchverhinderungssystem") arbeitet
nach dem gleichen Prinzip wie ein IDS. Anstatt jedoch wie das IDS nur einen Alarm zu generieren,
kann das IPS aktiv in den Netzwerkverkehr eingreifen (indem es z.B. einzelne Pakete verwirft oder
ganze Leitungen unterbricht).
Die eigentliche Schwierigkeit bei IDS und IPS ist das sehr aufwendige "Fine-Tuning". Im praktischen
Einsatz zeigt sich nämlich sehr häufig, dass entweder viele falsche Warnungen (sog. false positives,
englisch für "falsches positives Ergebnis") generiert werden oder aber einige Angriffe gar nicht erst
entdeckt werden (sog. false negatives, englisch für "falsches negatives Ergebnis").
Seite 32 von 35
Handbuch
5.4.3
Schwachstellen Scanner
Vulnerability Scanner (englisch für "Schwachstellen Scanner") sind Computerprogramme, die Zielsysteme auf das Vorhandensein von bekannten Sicherheitslücken hin untersuchen. Der Scanner bedient
sich dabei Datenbanken mit Informationen zu diversen Sicherheitsproblemen wie z. B.

Einsatz bzw. Vorhandensein von unsicheren oder nicht notwendigen Services (Dienste)

freigegebene bzw. nicht ausreichend gesicherte Shares (Freigaben)

Fehler in der Konfiguration bzw. Anwendung von Passwort- und Benutzerrichtlinien

Offene Ports

Unzureichende Patchstände von Programmen (Applikationen) und Diensten
Der Einsatz von Vulnerability Scanner kann auf zwei unterschiedliche Arbeitsweisen erfolgen:

ohne Authentifizierung auf dem Zielsystem
o
Das Zielsystem wird dabei nur über das Netzwerk (von außen) auf Schwachstellen
untersucht. In dieser Arbeitsweise können Detailprüfungen wie z.B. Verifikation von
Patchstände der Betriebssystem Komponenten bzw. Betriebssystem nahen Komponenten nicht durchgeführt werden.

mit Authentifizierung auf Zielsystem
o
Der Scanner meldet sich am Zielsystem mit den im Scanner zum Zielsystem hinterlegten Anmeldedaten an und kann so eine erweiterte Prüfung durchführen.
Vulnerability Scanner können damit im Gegensatz zu Portscannern nicht nur die am Zielsystem erreichbaren Dienste und ggf. deren Versionen auf Schwachstellen prüfen, sondern ermöglichen auch
eine Prüfung auf tatsächlich vorhandene Schwachstellen des verwendeten Betriebssystems und der
angebotenen Dienste.
Neben Scannern, die eine gesamtheitliche Prüfung eines Zielsystems auf Schwachstellen durchführen, gibt es eine Reihe von spezialisierten Scannern, die nur Detailaspekte prüfen. Besonders hervorzuheben sind in diesem Zusammenhang Web Applikation Scanner, deren Prüfmethoden auf Applikationen, die Web basierte Methoden einsetzen, optimiert sind.
Aufgrund der Komplexität lassen sich mit Vulnerability Scannern falsche Warnungen (false positives)
nicht vollständig ausschließen.
Schwachstellenscanner sind als Freeware im Internet verfügbar. Um eine möglichst hohe Sicherheit
zu erreichen, sollte man jedoch besser auf kostenpflichtige Produkte zurückgreifen, mit denen dann
Seite 33 von 35
Handbuch
auch zertifizierte Tests – auch in virtuellen Umgebungen – durchgeführt werden (z.B. Tests nach IT
Grundschutz1, PCI DSS2 oder ISO 270013). Immer häufiger werden solche Test im Rahmen einer IT Zusammenarbeit von Unternehmen verlangt.
5.4.4
Monitoring Systeme
Netzwerk Monitoring Systeme können helfen, die Sicherheit im Netzwerk zu überwachen. Sie bieten
häufig nützliche Zusatzfunktionen wie Analyse der Leistungsfähigkeit eines Netzwerkes (Performance Analyse) oder Fehlersuche im Netzwerk (Troubleshooting). Neben der Überwachung der vereinbarten Sicherheitsrichtlinien sie aber auch helfen herauszufinden, ob andere Sicherheitskomponenten wie Firewalls oder IDS/IPS korrekt arbeiten. Dabei setzen die Systeme der unterschiedlichen
Hersteller auch auf unterschiedlichen Techniken auf.
Während einige Hersteller auf die vollständige Aufzeichnung des Datenverkehrs (Packet Capture)
setzen um dann umfangreiche Sicherheitsanalysen auf Basis der aufgezeichneten Daten durchführen
zu können, gewinnen andere Hersteller ihre Informationen allein aus den Verkehrsdaten, die sie
mittels verschiedener Flow-Protokolle (z.B. NetFlow, SFlow, JFlow oder IPFIX) von den unterschiedlichen Netzwerkkomponenten zur Verfügung gestellt bekommen.
Beide Techniken haben ihre Vorteile. Will man im Falle eines erkannten Angriffs detaillierte forensische Analysen in Form von Applikationsrekonstruktion durchführen, ist eine Packet Capture Technik
zwingend erforderlich, weil nur bei dieser Technik die Rohdaten vollständig zur Verfügung stehen.
Diesen Vorteil muss man sich jedoch mit zusätzlicher Hardware erkaufen, auf der die aufgezeichneten Rohdaten abgespeichert werden können. Bei den heutigen Bandbreiten von 10 Gbps und mehr
1
Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet eine
einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen
2
Datensicherheitsstandard (Data Security Standard, DSS) für die Kreditkarten Industrie (Payment
Card Industry, PCI)
3
Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation.
Seite 34 von 35
Handbuch
kommen sehr schnell Terabytes an benötigtem Speicherplatz zusammen. Beispielsweise ergibt sich
bei einer Aufzeichnung von Netzwerkdaten auf einer zu 50% ausgelasteten 1 Gbps-Leitung pro Tag
ein Speicherbedarf von 5,4 TB allein für die Rohdaten. Da die Flow-basierten Lösungen die Rohdaten
nicht benötigen, kommen sie mit deutlich weniger Hardwarespeicher aus, erlauben dafür aber keine
Rekonstruktion von Applikationen.
Unabhängig davon verfügen die unterschiedlichen Systeme über umfangreiche Alarm- und Reportfunktionalität. Sie haben den Vorteil, dass sie als passive Komponente die Verfügbarkeit des Netzes
nicht beeinflussen.
Je nach Hersteller und verwendeter Technik haben Monitoring-Systeme zusätzliche Sicherheitsmodule wie IPS bereits integriert oder prüfen die Einhaltung bestimmter Sicherheitsstandards.
Seite 35 von 35

Netzwerk-Bedrohungsszenarien

Transcription

Similar documents

Virus - Kaspersky Lab

Clubzeitung Nr. 90

Kaspersky Security Bulletin 2011/2012

aufbau eines dsl routers mit einer firewall unter suse linux 8.0

Press release

MEGA: Mehr Energieeffizienz durch gezielte Anwenderinformationen

Prüfungsordnung zum 2. Kup

Skript Teil II

Businessplan Jukeboxer

abra whitepaper - Westcon Security

Newsletter Herbst 2013

Power ohne Ende Gutes Komplettpaket