Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
2015 SECURITY
REPORT
KONTAKTIEREN SIE UNS:
Check Point Software Technologies
Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos
D: +49 (0)811 99821 0, [email protected]
Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien
A: +43-1-99460-6701, www.checkpoint.com
Schweiz: Zürcherstr. 59, 8953 Dietikon
CH: +41-44-316-64-41, www.checkpoint.com
WE SECURE THE FUTURE
3CHECK POINT - 2015 SECURITY REPORT | 3CHECK POINT - 2015 SECURITY REPORT | 3
CHECK POINT2015 SECURITY REPORTCHECK POINT2015 SECURITY REPORT
01 EINFÜHRUNG UND METHODOLOGIE 04
02 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 10
03 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 18
04 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 32
05 APPLIKATIONEN: DORT, WO ES WEH TUT 40
06 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 48
07 FAZIT UND EMPFEHLUNGEN: 56
DER WEG ZU MEHR SCHUTZ
REFERENZEN 60
01 EINFÜHRUNG UND METHODOLOGIE 04
02 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 10
03 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 18
04 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 32
05 APPLIKATIONEN: DORT, WO ES WEH TUT 40
06 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 48
07 FAZIT UND EMPFEHLUNGEN: 56
DER WEG ZU MEHR SCHUTZ
REFERENZEN 60
4
EINFÜHRUNGUND METHODOLOGIE
„Wenn du etwas zum ersten Mal tust, ist es Wissenschaft. Tust du es zum zweiten Mal, ist es Entwicklung.“ 1
–Clifford Stoll, Astronom, Autor und Pionier in der digitalen Forensik
4 | CHECK POINT - 2015 SECURITY REPORT
01
5
In der Wissenschaft geht es um Entdeckung – das
Studieren von Ursache und Wirkung. Wurde etwas
einmal verstanden und ist berechenbar, dann
entsteht ein Prozess – wir wollen es nachbilden
und weiter entwickeln. Genauso verhält es sich in
der Welt der Internetgefahren. Cyberkriminelle
studieren die Strukturen und denken darüber nach,
wie sie sich bestimmte Faktoren für die gewünschten
Ergebnisse zunutze machen könnten. Haben sie
einmal ein berechenbares Modell, machen sie sich
an die Entwicklung um das, was sie konstruiert
haben, mit dem größtmöglichen Effekt zum Einsatz
zu bringen.
Was sind ihre Tools?1. Malware – schadhafter Software-Code, den Hacker
entwickeln, um Störungen herbeizuführen oder
Daten zu stehlen. Wird die Malware erkannt, werden
Signaturen erstellt die dabei helfen, sie bei weiteren
Angriffsversuchen zu identifizieren, zu filtern und zu
blockieren. Spätestens jetzt beginnen die Angreifer
jedoch bereits, am Code herumzubasteln, um neue,
unbekannte Malware zu erstellen.
2. Schwachstellen – Defekte in der Software oder
den Betriebssystemen, die in praktisch allen
Anwendungen vorhanden sind, und die Hacker
aufzuspüren und auszunutzen wissen.
3. Mobile Geräte –Smartphones, Fitbits, iPads und
andere mobile Geräte sind vielleicht keine Tools per
se, doch sie können geknackt werden und Hackern
die Möglichkeit geben, in Unternehmensnetze
einzudringen.
In 2014 beobachtete Check Point eine signifikante
Ausnutzung von Schwachstellen sowohl in Open
Source-Software, als auch in gängigen Applikationen,
wie zum Beispiel von Adobe und Microsoft.
Bekannte Malware blieb stabil, war weiterhin
allgegenwärtig und verursachte Schäden. Doch mit der
Erstellung von Signaturen, die dabei hilft, die bekannte
Schadsoftware bei weiteren Einsatzversuchen zu
identifizieren, filtern und blockieren, verlagerte
sich der Fokus unter den Hackern auf etwas, das
einfacher und lohnender war: das Auslösen neuer
Attacken mit unbekannter Malware, indem sie die
schon vorhandene Schadsoftware nur geringfügig
modifizierten und damit ihre Entdeckung unmöglich
machten. Es ist gerade dieser Bereich – unbekannte
Malware – der in 2014 geradezu explodierte und
besondere Aufmerksamkeit auf sich zog. In noch
nie da gewesener Häufigkeit lanciert, verfolgte neue
Malware offensichtlich ein einziges Ziel: das Stehlen
von Daten.
DIE EVOLUTION VON MALWARE
VOR 25 JAHRENDie Erfindung der Firewall
VOR 20 JAHRENDie Erfindung von Stateful Inspection
VOR 15 JAHRENVerbreitete Nutzung von Anti-Virus, VPN, IPS
VOR 10 JAHRENURL-Filtering, UTM
VOR 5 JAHRENNGFW
JETZTThreat Intelligence, Threat Prevention, Mobile Security
>1988
Morris-Wurm1998
Melissa
2000I Love You
2006WikiLeaks
2011Gestohlene
Authen-tifizierungs-information
2013Dragonfly
2014Bitcoin
2017Führerloses Auto gehackt?
2020Internet der Dinge, wohin man schaut
2010DDoS-
Attacken: Stuxnet-
SCADA
2007Trojaner Zeus
2003Gründung
von Anonymus
1994Green Card-Lotterie
2012Malware Flame
EINFÜHRUNG UND METHODOLOGIE | 5
66 | EINFÜHRUNG UND METHODOLOGIE
1.1 QUELLE: Check Point Software Technologies
ALLE 24 SEKUNDENgreift ein Host auf eine schadhafte
Website zu
JEDE MINUTEkommuniziert ein Bot
mit seinem Command- und Control- Center
ALLE 34 SEKUNDENwird eine unbekannte Malware
heruntergeladen
ALLE 5 MINUTENwird eine hochriskante
Applikation genutzt
ALLE 6 MINUTENwird eine bekannte Malware
heruntergeladen
ALLE 36 MINUTENwerden sensitive Daten aus dem Unternehmen heraus
geschickt
EIN DURCHSCHNITTLICHER TAG IN EINEM UNTERNEHMEN
7
Was das Problem weiter verschärft: Kulturelle
Veränderungen. Mobilität, Virtualisierung und
andere neue Technologien haben die Art und
Weise verändert, wie wir arbeiten. Entsprechend
haben sich die Unternehmen im Hinblick auf ihre
Produktivität und Effizienz beeilt, diese Tools
zu adaptieren. Dabei haben sie jedoch kaum
die Auswirkungen auf die Security bedacht. Sie
fokussieren auf Stabilität und unterbrechungsfreie
Geschäftsabläufe und erkennen nicht, dass besser
gesicherte Betriebsumgebungen auch bessere
Betriebslaufzeiten haben.
Mit der immensen Zunahme an Datenpannen und
gezielten Angriffen auf Unternehmen mit hohem
Bekanntheitsgrad schickt uns das Jahr 2014 eine
deutliche Botschaft: Ausnahmslos jeder ist in Gefahr.
Und wenn sich jetzt die führenden Weltpolitiker
mit dem Thema Cyber-Security an ihre Nationen
wenden, scheint klar, dass die Cyberkriminalität
eine neue, kritische Schwelle erreicht hat.
„Die ersten Computerviren erreichten uns in den frühen Achtzigern, und im Grunde befinden wir uns seither in einem Rüstungswettlauf mit Cyberwaffen. Wir entwickeln neue Verteidigungsstrategien, woraufhin Hacker und Kriminelle neue Wege finden, sie zu durchbrechen….wir müssen genauso schnell und flexibel und
geschickt in der konstanten Entwicklung unserer Abwehrmaßnahmen sein.“2
-Präsident Barack Obama
METHODOLOGIE
Fast jede Organisation, die wir untersucht haben, war An-
griffen ausgesetzt, die durch hochriskante Applikationen
verursacht wurden.
81% der untersuchten Organisationen
hatten einen Fall von Datenverlust erfahren.
Check Point sammelte in 2014 weltweit Event-Daten
aus drei verschiedenen Quellen, um Security-Trends
zu beleuchten und Probleme zu identifizieren, die
sich zu ernsten Bedrohungen entwickeln oder
möglicherweise auch abschwächen.
Die Quellen der Check Point-Untersuchung:1. Sicherheitsvorfälle, die während mehr als 1.300
Security Check-Ups bei Unternehmen entdeckt
wurden.3 Die Informationen stammten von global
verteilten Unternehmen aus unterschiedlichsten
Branchen.
2. Events, die durch die Check Point ThreatCloud®
aufgedeckt wurden, die mit den Security Gateways
von mehr als 16.000 Organisationen verbunden ist.
3. Mehr als 3.000 Gateways, die mit unseren Threat
Cloud Emulation-Services verbunden sind.
Was haben wir uns angesehen?Unbekannte Malware
Bekannte Malware
Intrusion Prevention
Hochriskante Applikationen
Fälle von Datenverlust
EINFÜHRUNG UND METHODOLOGIE | 7
88 | EINFÜHRUNG UND METHODOLOGIE
1.2 QUELLE: Check Point Software Technologies
FERTIGUNG
46
15
FINANZEN
12
ÖFFENTLICHE HAND
4
EINZEL- UND
GROSSHANDEL
3
TELEKOMMU-NIKATION
2
BERATUNG
17
ANDERE
PR
OZEN
T D
ER O
RG
AN
ISAT
ION
EN N
ACH
BR
AN
CHE
Ein Blick auf die an dieser Studie teilnehmenden, vertikalen Märkte zeigt, dass der Bereich
Fertigung mit 46 Prozent deutlich überwiegt, gefolgt von den Segmenten
Finanzen, Öffentliche Hand, Einzelhandel, Großhandel, Telekommunikation und
Beratung.
DIE CHECK POINT-STUDIE UMFASST SÄMTLICHE BRANCHEN
9EINFÜHRUNG UND METHODOLOGIE | 9
„Hacker nehmen die Realitäten dieser Welt nicht als selbstverständlich an; was ihnen nicht gefällt, das
versuchen sie zu zerstören und umzubauen. Sie wollen der Welt ein Schnippchen schlagen.“ 5
-Sarah Lacy, Journalistin und Autorin
Security-Statistiken in 2014
• Neue Malware nahm um 71% zu.4
• Pro Stunde erfolgten 106 Downloads von unbekannter Malware.
• 86% der Organisationen griffen auf schadhafte Webseiten zu.
• 83% der Organisationen hatten bestehende Bot-Infektionen.
• 42% der Unternehmen verzeichneten Vorfälle mit mobiler
Sicherheit, deren Behebung mehr als 250.000 US-Dollar kostete.
• 96% der Organisationen nutzten mindestens eine
hochriskante Applikation.
• 81% der Organisationen erlitten einen Fall von Datenverlust.
• Der Verlust von geheimen, geschützten Informationen nahm im
Laufe der letzten drei Jahre um 71% zu.
Auf den folgenden Seiten legt Check Point die
Erkenntnisse aus unserer detaillierten Analyse von
Security-Gefahren und Trends offen, die in 2014
erkennbar wurden. Es ist unser Ziel, Security- und
Business-Verantwortliche darin zu unterstützen,
die Bedrohungslandschaft zu verstehen und sich in
die stärkste Security-Position zu bringen, die
möglich ist.
DIE CHECK POINT-STUDIE UMFASST SÄMTLICHE BRANCHEN
1010 | INTRODUCTION AND METHODOLOGY
DIE GROSSE UNBEKANNTE
„Es gibt immer das Risiko der nicht erkannten Unbekannten.” 6
–Nate Silver, Statistiker, Journalist
02
10 | CHECK POINT - 2015 SECURITY REPORT
11UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 11
Unbekannte Malware ist Schadsoftware, die in der
Regel von Antivirus-Systemen nicht erkannt bzw.
gekannt wird. Jede neue Variante unbekannter
Malware – und handelt es sich um eine noch so
kleine Modifizierung – ist potentiell dazu in der
Lage, die meisten gängigen Antivirus-Lösungen und
virtuellen Sandbox-Vorrichtungen zu umgehen.
Zwar war schon im vergangenen Jahr eine wahre
Explosion an unbekannter Malware zu beobachten,
doch dies war – aus heutiger Sicht – nur die Spitze
des Eisbergs. Derzeit ist die Frequenz von Zero-Day-
Attacken und unbekannter Malware geradezu massiv.
AV-Test zufolge, einem unabhängigen Service-Provider
für Antivirus-Forschung, nahm neue Malware von
2013 auf 2014 um 71 Prozent von 83 Millionen auf
142 Millionen zu. Allein in den vergangenen beiden
Jahren wurde mehr Malware aufgedeckt, als in den
vorausgegangenen 10 Jahren zusammen.
Check Point analysierte in 2014 mehr als 3.000
Gateways und stellte fest, dass 41 Prozent der
Organisationen mindestens eine mit unbekannter
Malware infizierte Datei herunter geladen hatten –
ein Anstieg um fast 25 Prozent, im Vergleich zum
Vorjahr.
Schlimmer noch ist das Tempo, in dem sie auftritt.
Die Check Point-Untersuchung belegte, dass pro
Stunde 106 Downloads unbekannter Malware
erfolgten, Tag für Tag. Diese atemberaubende Zahl
ist 48 Mal größer als die vergleichsweise kaum
nennenswerten 2,2 Downloads pro Stunde im
vergangenen Jahr.
Umso unglaublicher, dass nur ein Prozent der
Unternehmen eine Technologie einsetzen, um Zero-
Day-Attacken zu verhindern. Und nur ein Zehntel
der Organisationen nehmen Threat Intelligence-
Services in Anspruch. Von der gesamten, herunter
geladenen Malware handelte es sich bei 52 Prozent
der infizierten Dateien um PDFs, nur 3 Prozent
waren Office-Files.
mal in jeder Stunde ist eine Organisation von unbekannter Malware betroffen.
106
1212 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE
2.1 Quelle: AV-Test
Wie schlimm ist es wirklich?Sehr schlimm. Ohne eine bekannte Malware-
Signatur können die typischen, präventiven Tools
ihre Aufgabe nicht erfüllen. Dank ausgeklügelter
Verschleierungstools, mit deren Hilfe Attacken selbst
fortschrittlichste Antimalware-Lösungen umgehen
können, agiert neue Malware schnell und heimlich.
Für Hacker ist die Arbeit mit unbekannter Malware
zum Werkzeug erster Wahl geworden, denn es
ist einfach und die Variation bereits bestehender
Malware ist sehr effizient. Es ist in der Tat so einfach,
dass selbst technisch Unerfahrene zum „Täter“
werden könnten.
Um dies zu verdeutlichen, nahm das Check Point-
Analystenteam 300 bekannte Malware-Programme7,
herunter geladen aus einer Mustersammlung
allgemein bekannter, schadhafter PDF-, DOC- und
ausführbarer Dateien aus Googles „VirusTotal“-
Datenbank. Das Ziel: zu testen, wie schnell und mit
welcher Erfolgsquote die Malware geblockt werden
konnte. Um die bekannte in unbekannte Malware
zu verwandeln, hingen die Forscher einfach eine
Null ans Ende jeder PDF- und DOC-Datei (z.B.
„echo‘0000‘>>1.doc.). Bei den Executable-Dateien
wurde je eine nicht genutzte Kennsatzsektion
modifiziert. Im Anschluss wurde jede Datei geöffnet
und ausgeführt um sicherzustellen, dass ihr
ursprüngliches Verhalten unverändert war. Auf den
Punkt gebracht – indem man bereits vorhandene
Malware nimmt und nur leicht modifiziert, entsteht
ganz einfach und schnell etwas Neues, das nicht
erkannt wird.
Mit dieser simplen Technik konnten die Forscher
neue und unbekannte Varianten (nachfolgend die
„Unbekannten 300“) aus bestehender Malware
erstellen.
2009
2011
2010
142M
83M
34M
18M
12M
18.5M
142MNEUE MALWARE IN 2014 UND EINZUWACHS VON 71% GEGENÜBER 2013
2012
2013
2014
13UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 13
Diese bislang noch nicht in Erscheinung getretenen
Dateien testeten die Fähigkeit von Security-
Systemen, unbekannte Malware zu entdecken.
Es wurden dann verdächtige Dateien auf einen Host
hinter der Security-Vorrichtung heruntergeladen.
Damit wurde der versehentliche Download von
Malware von einer schadhaften Website durch einen
Mitarbeiter simuliert.
Würde sich jetzt im Falle der „Unbekannten 300“
die Datei so verhalten, wie erwartet, dann würde
den Daten der Zugriff auf das gesicherte Netzwerk
gewährt. Falls nicht, würde die Threat Emulation-
Technologie eine Signatur für den inspizierten
Dateityp erstellen und das Blockieren der Datei
sicherstellen. Anschließend würde die Signatur
an alle Security Gateways kommuniziert, womit
die unbekannte Malware erkennbar bzw. bekannt
würde.
Erst kürzlich deckte Check Point einen Angriff auf,
der seinen Ursprung bereits in 2012 hatte, seither
aber immer wieder zu neueren Versionen mutierte.
Die „Volatile Cedar“ genannte Attacke nutzt eine
individuell angefertigte Malware mit dem Namen
„Explosive“.
Jahrelang war diese Kampagne aktiv, hat weltweit
ihre Ziele attackiert und Hackern ermöglicht, die
Aktivitäten ihrer Opfer zu beobachten und sensitive
Informationen zu stehlen.
Die Wahl der Ziele fällt in erster Linie auf die
Verteidigungsindustrie, Telekommunikations- und
Medienunternehmen sowie Bildungseinrichtungen.
Der Grund hierfür ist, so glauben wir, dass deren
Server öffentlich exponiert und mit einfach
zugänglichen Gateways zu privaten und besser
gesicherten, internen Netzwerken ausgestattet
sind. Und da sie einem allgemeinen Geschäftszweck
dienen, wird nicht selten ihre Sicherheit der
Produktivität geopfert, was sie zu einem einfachen
Ziel für Angreifer macht.
Der Angriff ist auch deshalb in der Lage, „unterm
Radar“ zu bleiben, weil er seine Aktionen auf
das Erreichen spezieller Ziele limitiert und so
das Risiko seiner Entdeckung minimiert. Eine
typische Volatile Cedar-Attacke startet mit einem
Scan des Zielservers. Wird dort eine verwertbare
Schwachstelle entdeckt, wird dem Server ein Web-
Shell-Code injiziert. Die Web-Shell wird dann als
Mittel genutzt, über das der Explosive-Trojaner
in den Zielserver eingeschleust wird. Einmal
BEKANNTE MALWARE UNBEKANNTE MALWARE
MD5 füroriginalmalware.docfd96b96bd956a397fbb1150f3
echo '0000' >> originalmalware.doc
MD5 für modifizierte83aac4393f17f1805111beaa76a4012e
41% der Organisationen haben wenigstens eine, mit unbekannter Malware infizierte Datei herunter geladen.
1414 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE
In den Anfängen versuchte man die Erfolgsquoten
gegen Malware zu verbessern, indem verdächtige
Dateien in einer Sandbox außerhalb des Netzwerks
ausgeführt wurden. Entscheidend hierfür war
die Nachbildung eines Standardbetriebssystems
in einer separierten Umgebung, die gut zu
überwachen war. Anschließend wurden die Dateien
unter Einsatz von Sandbox-Tools auf verschiedene
Arten aktiviert. So wurde simuliert, dass das File
tatsächlich von einem User geöffnet wird, und es
wurde erkennbar, ob die Datei etwas auslösen
würde, das von dem erwarteten Verhalten abweicht.
Das Problem: Cyberkriminelle wissen, dass diese
Schutzmaßnahmen in einem gewissen Prozentteil
der Netzwerke vorhanden sind und implementieren
einfache Umgehungstechniken.
So kann eine Malware beispielsweise schlummern,
bis ganz bestimmte Konditionen eintreffen, etwa
das Öffnen einer Datei an einem Dienstag oder
dort angekommen, kann nun der Angreifer über
eine ganze Schlachtordnung von Command &
Control-Servern seine Kommandos an alle Ziele
schicken. Die Command-Liste umfasst sämtliche
Funktionalitäten, die der Angreifer benötigt, um die
Kontrolle zu erhalten und Informationen aus den
Servern zu ziehen, wie z.B. Key-Logging, Clipboard-
Logging, Screenshots und Run Commands, also
Ausführbefehle.
Hat der Hacker dann die Kontrolle über diese
Server, kann er sie als Dreh- und Angelpunkt
nutzen, um weitere, tiefer im internen Netzwerk
angesiedelte Ziele zu erforschen, zu identifizieren
und anzugreifen.
Noch schlimmer als unbekannte Malware ist Zero-
Day-Malware. Was ist der Unterschied? Unbekannte
Malware baut auf bekannter Malware auf. Zero-
Day-Malware wird von Grund auf neu entwickelt
um Software-Schwachstellen ausfindig zu machen,
die nicht einmal den Herstellern bekannt sind. Im
Vergleich zu den Kosten für einen Satz unbekannter
Malware, ist Zero-Day-Malware für die Hacker
weitaus teurer. Wahrscheinlich ist das allein der
Grund, warum Zero-Day-Attacken offensichtlich
selektiver eingesetzt werden.
Eine der bemerkenswertesten Zero-Day-Attacken
in 2014 wurde „Sandworm“ genannt, in Anlehnung
in die Kreaturen aus der Science Fiction-Serie
„Dune“. Mit einem gezielten Angriff auf die NATO,
die Regierung der Ukraine und einige andere,
politische Ziele, nutzten russische Hacker die
CVE-2014-4114-Schwachstelle – den OLE Package
Manager in Microsoft Windows und Windows Server.
Der Vektor: schadhafte PowerPoint-Dateien, die
als Email-Anhänge gesendet wurden. Klickte der
User auf das Attachment wurde ein Exploit aktiviert,
der bösartigen Code installierte und damit eine
Hintertür ins System öffnete. Im Ergebnis konnten
die Angreifer dann Kommandos ausführen.
SIE WOLLEN SICHER WEITERENTWICKELN: WEITER ENTWICKELTE MALWARE – WEITER ENTWICKELTE TECHNOLOGIE
52% der mit unbekannter Malware infizierten Dateien sind PDFs.
15UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 15
ein rechter Klick mit der Maustaste. Deshalb ist es
so wichtig, sich konstant mit Innovation und den
jüngsten Security-Technologien zu befassen. Nur so
bleiben wir den Angreifern einen Schritt voraus.
Die erste Generation der Sandbox-Lösungen auf
Betriebssystemebene hilft dabei, einige Zero-
Day-Attacken zu verhindern und kann Malware
erkennen, sobald sie ausgeführt wird. Zahlreiche
Malware-Konstrukte können jedoch ihre Entdeckung
verhindern. Daher ist ein Zero-Day-Schutz der Neuen
Generation erforderlich: Sandboxing auf CPU-Ebene.
Einerseits gibt es zwar zahllose Sicherheitslücken,
doch es gibt andererseits nur eine Handvoll von
Ausbeutungsmethoden, die genutzt werden können,
um Malware herunterzuladen und auszuführen. Das
s.g. „CPU Level-Sandboxing“ lässt frühzeitig den
Einsatz solcher Exploits erkennen: durch sorgfältige
Prüfung der CPU-Aktivität und der Ausführung auf
der Assembler-Code-Ebene, während der Exploit
auftritt. Damit nimmt es dem Hacker jede Möglichkeit,
seine Entdeckung zu umgehen. Die Schnelligkeit und
Präzision bei der Erkennung macht das CPU Level-
Sandboxing zur besten Technologie für die Entdeckung
von Zero-Day-Angriffen und unbekannten Attacken.
Entwickeln wir diesen Ansatz noch einen Schritt
weiter und kombinieren tiefgreifende Sandbox-
Kapazitäten auf Betriebssystem- und CPU-Level
mit Threat Extraction – so wie in Check Points Next
Generation Zero-Day Protection – tun wir noch
deutlich mehr für die Beseitigung von Bedrohungen.
Auf Betriebssystemebene können Sie Angriffe
sowohl in ausführbaren Dateien als auch in Daten-
Files entdecken. Auf der tieferen CPU-Ebene sind
Sie in der Lage, eine Infektion in Daten-Files in der
Exploit-Phase zu erkennen. Threat Extraction, die
dritte Spitze dieser leistungsstarken Kombination,
fängt sämtliche Dokumente ab, ob schadhaft oder
nicht, entfernt dynamische Objekte und schützt so
vor jeder Form von Zero-Day-Attacke. Anschließend
rekonstruiert die Lösung die Datei und stellt das
Dokument in einem Image-ähnlichen Format zur
Verfügung, das frei von jeglichen Gefahren ist.
Nicht nur die Umgehungstechniken entwickeln sich
weiter und werden immer ausgeklügelter – mit ihnen
auch die Angriffsformen. Entsprechend muss sich
die Technologie auch auf der Unternehmensseite
entwickeln, wollen Sie Ihre Geschäftsaktivitäten
sichern. Was in 2014 als Spitzentechnologie erschien,
wird schon in 2015 nur noch Standard sein.
der mit unbekannter Malware infizierten Dateien sind PDFs.
2.2 QUELLE: Check Point Software Technologies
CHECK POINT SCHLIESST DIE SICHERHEITSLÜCKEN
VOLLSTÄNDIGE BESEITIGUNG VON GEFAHRENRekonstruiert und stellt Malware-freie Dokumente zur Verfügung
IPS, ANTI- VIRUS &
ANTI-BOT
FÄNGT BEKANNTE ODER ALTE MALWARE AB Von bekannter Malware werden 71 von 1000 nicht erfasst
BETRIEBSSYSTEM- UND CPU-EBENE
ZERO-DAY-SCHUTZ
ERKENNT NEUE ODER UNBEKANNTE MALWARESowohl mit Betriebssystem- als auch mit CPU-Level-Schutz
THREAT EXTRACTION
1616 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE
Der auf den amerikanischen Feiertag Thanksgiving folgende, s.g. Black Friday, ist in den USA einer der
Haupteinkaufstage des Jahres. Am Montag vor Thanksgiving in 2014 wurde das Check Point Incident
Response-Team (CPIRT) von einem Einzelhändler kontaktiert, der in seinen Systemen unbekannte Dateien
entdeckt hatte. Diese Dateien waren von den führenden Anti-Virus-Lösungen nicht erkannt worden. Die
Winzigkeit von verfügbarer Intelligenz auf jedem einzelnen File war möglicherweise zu klein, um einen
Alarm auszulösen. Doch zusammengenommen ergab sich daraus ein viel größeres Bild. Die Dateien
schienen Teil eines größeren Bausatzes zu sein, der darauf abzielte, schadhafte Ladung ins Netzwerk
einzuschleusen.
Die Komponenten des Bausatzes bestanden aus Tools für:• Das Extrahieren, Abfangen und Manipulieren von Zugangsdaten aus Windows-Systemen
• Das Erfassen von Keystrokes auf Windows-Systemen
• Das Übertragen von Dateien
Weitere Details, die über andere Dateien in dem Bausatz herausgefunden wurden, waren jedoch eher
unklar. Im Laufe der weiteren Untersuchung versuchte das Response-Team die entdeckten, verdächtigen
Aktivitäten zu bestätigen und führte die entsprechenden Dateien über Check Points Online-Threat Cloud
Emulation-Services aus. Viele der Files waren als verdächtig markiert und wiesen extrem schadhafte
Aktivitäten auf. Eine Datei war in der gegebenen Situation ganz besonders interessant: Sie wurde
abgefangen, als sie eine Textdatei in ein Windows-System-Directory schrieb.
Wie Threat Emulation die Datenpanne im Einzelhandel hätte verhindern können
1 Schadhafte Aktivität erkannt
Unerwartete Aktivitäten nach Dauer
Schadhafte Aktivität erkannt
File 07
Die Beobachtung, dass das File tracks.txt in das C:\Windows\System32\ directory schrieb, bestärkte
die Annahme, dass es sich hier um eine PoS-Malware handelte, die darauf abzielt, die Spuren von
Kreditkartendaten abzugreifen. Damit wurde offensichtlich, dass diese Malware Teil eines Satzes sein
musste, der Zugangsdaten abfangen, Malware installieren, sich innerhalb des Netzes bewegen und Daten
aus dem Netzwerk herausfiltern kann. Wäre hier Threat Emulation im Einsatz gewesen, hätte die Malware
– und andere Komponenten des schadhaften Bausatzes – blockiert werden können.
17UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 17
„Nur das Unbekannte macht Männern Angst. Aber hat ein Mann dem Unbekannten
einmal gegenüber gestanden, wird dieser Schrecken zu einem Bekannten.“ 8
-Antoine de Saint-Exupery, Schriftsteller und Poet
Um unbekannte Malware und Zero-Day-Attacken
zu adressieren, müssen Sie in der Lage sein, sie
innerhalb des Betriebssystems und darüber hinaus
zu identifizieren. Das Ziel: Nehmen Sie nicht nur die
Bedrohungen selbst ins Visier, sondern adressieren
Sie auch die Umgehungstechniken. Check Point
empfiehlt einen dreischichtigen Ansatz: eine
Kombination aus Betriebssystem- und CPU-Level-
Sandbox-Funktionalitäten mit Threat Extraction.
Diese Faktoren sollten Sie bei der Auswahl einer
guten Sandbox-Lösung in Betracht ziehen:
• Die Fähigkeit, Attacken zu blockieren, und
sie nicht nur zu erkennen
• Die Fähigkeit, Umgehungen zu verhindern
• Schnelle und präzise Erkennung
• Die Fähigkeit, SSL zu entschlüsseln
• Die Fähigkeit, gängige Dateitypen zu unterstützen
• Die Fähigkeit, Web-Objekte zu unterstützen, wie z.B. Flash
EMPFEHLUNGEN
1818 | INTRODUCTION AND METHODOLOGY
BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
03
18 | CHECK POINT - 2015 SECURITY REPORT
„Wir sind alle digital, wir sind alle verletzlich, und alles ist so augenblicklich – so augenblicklich. Augenblicklicher Erfolg und augenblickliches Scheitern.“ 9
–Madonna, Popstar, zu dem digitalen Diebstahl und Durchsickern ihres noch nichtvollendeten Albums „Rebel Heart“, bevor dieses veröffentlicht wurde.
19BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 19
In Anbetracht dessen, wie einfach und wirkungsvoll
unbekannte Malware erstellt und eingesetzt werden
kann, könnte man annehmen, dass bekannte
Malware auf dem Rückzug ist. Tatsächlich aber
haben Hacker diese Angriffsmethode weiterhin in
ihrem Arsenal.
In 2014 haben Check Point-Analysten festgestellt,
dass rund 86 Prozent der Unternehmen auf bösartige
Websites zugegriffen haben. Und schlimmer noch –
fast 63 Prozent der Organisationen haben schadhafte
Dateien heruntergeladen. Nach Tempo und
Häufigkeit betrachtet wurde alle 24 Sekunden von
einem Host auf eine schadhafte Website zugegriffen
(im vergangenen Jahr war es noch jede Minute), und
Malware wurde alle sechs Minuten heruntergeladen
(alle 10 Minuten im Vorjahr). Wenn man bedenkt,
wie schnell sich Viren ausbreiten und eine wahre
Verwüstung anrichten können, sind diese Zahlen
mehr als alarmierend.
In 2014 luden Hosts alle 6 Minuten Malware
herunter.
In 2014 griffen Hosts alle 24 Sekunden auf eine
schadhafte Website zu.
3.1 QUELLE: Check Point Software Technologies
HOSTEN VON SCHADHAFTEN DATEIEN
USA
KANADA NL
FRANKREICH UK
38
5 5 4 4
USA
UKRAINE
RUSSLAND UK
POLEN
26
22
8 8
2
HOSTEN VON SCHADHAFTEN SITES
ISRAEL
USA
INDIE
N
TÜRKEI
MEXIKO
17
14
64
3
DOWNLOAD VON SCHADHAFTEN DATEIEN
USA UK
INDIE
N
ISRAEL
MEXIKO
38
87
65
ZUGRIFF AUF SCHADHAFTE SITES
DIE TOP 5 NACH LÄNDERNP
RO
ZEN
T D
ER
OR
GA
NIS
ATIO
NE
N
2020 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
Einer der noch effizienteren Wege, die Verbreitung
von Malware auszuweiten und zu beschleunigen,
führt über Bots – wenn ein Computer mit einem
Trojaner oder Virus infiziert wurde, kann er einem
Dritten die Kontrolle über einige oder sämtliche
Funktionen des Rechners erlauben. Ein Botnet ist
ein ganzes Netzwerk aus solchen Bot- oder Zombie-
Computern und befindet sich unter dem Kommando
einer Einzelperson oder einer Organisation, die sie
für die Verbreitung von Spam-E-Mails, Angriffe auf
andere Computer oder das Ausrollen von DDoS-
Attacken missbraucht.
Nahezu 83 Prozent der Organisationen hatten in
2014 bestehende Bot-Infektionen. Und 47 Prozent
davon waren für mehr als vier Wochen aktiv – eine
beunruhigend lange Zeit, in der ein Bot jede Minute
mit seinem Command- und Control (C&C)-Center
kommuniziert. Damit nicht genug, sind das Tempo
und die Häufigkeit gegenüber dem Vorjahr um 66,7
Prozent sprunghaft angestiegen, im Vergleich zu
2012 sogar um 95 Prozent.
Wenn wir uns mit Bots befassen, über welche Art
von Schaden sprechen wir dann? Der Großteil
der Bot-Aktivitäten in 2014 umfasste das Stehlen
von Bankzugangsdaten und anderer sensitiver
Informationen, das außer Funktion setzen von
System-Security-Services, das Installieren von
Malware, das Ausführen von Click Fraud, also
Klickbetrug, das Erschleichen von Fernzugriff und
das Öffnen einer Hintertür für Attacken.
Eine der besonders bekannt gewordenen Bot-
Infektionen nutzte eine Schwachstelle in Apples
Mac-Computern aus, in Verbindung mit der Social
Network-, Unterhaltungs- und News-Site „Reddit“.
Ein Hintertür-Eintritt mit dem Namen „Mac.
83% der untersuchten Organisationen waren mit Bots infiziert. Und ein Bot kommuniziert jede Minute mit seinem C&C.
3.2 QUELLE: Check Point Software Technologies
ES WIRD BOTS GEBEN
FAMILIE GEZÄHLTE ATTACKEN SCHADEN
ZEUS 51.848.194 Stiehlt Bankzugangsdaten
GRAFTOR 21.673.764 Lädt schadhafte Dateien herunter
RAMNIT 12.978.788 Stiehlt Bankzugangsdaten
CONFICKER 12.357.794 Setzt System-Security-Services außer Betrieb, ermöglicht dem Angreifer Fernzugriff
SALITY 11.791.594 Stiehlt sensitive Informationen
SMOKELOADER 9.417.333 Installiert Malware
RAMDO 5.771.478 Führt Klickbetrug aus
GAMARUE 3.329.930 Öffnet eine Hintertür für Angriffe
TORPIG 3.290.148 Stiehlt sensitive Informationen
21BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 21
Ansturm auf Zugangsdaten
Tool-Automation und die Verbreitung von Botnets machen den Diebstahl von Zugangsdaten über Brute Force-Angriffen immer leichter. Noch vor 2014 konnte beispielsweise immer nur jeweils ein Computer ein Passwort knacken. Im vergangenen Jahr aber modifizierte ein populäres Passwort Hash Cracking-Tool namens Hashcat seinen Source-Code, um verteiltes Cracking zu erlauben – so dass nun mehrere Computer gelichzeitig beim Knacken des Passworts helfen und die Angreifer deutlich schneller ihr Ziel erreichen können.
Wie genau funktioniert das? Die Kriminellen sammeln aus ihren Attacken große Mengen an Daten. Diese sind manchmal verschlüsselt oder codiert und nicht sofort zu nutzen. An dieser Stelle kommen die Tools ins Spiel. Sie automatisieren das Knacken des Passworts und sind möglicherweise schon Bestandteil des Botnets, das eine einfachere Verteilung erlaubt. Sind die Hashes einmal geknackt, versuchen Brute-Force-Attacken sich die Wiederverwendung des Passworts zunutze zu machen. Sie testen außerdem, ob das Passwort einer bestimmten Person auch für das Login eines anderen funktioniert. Tatsächlich hat Check Point regelmäßig Brute-Force-Attacken beobachtet, die Wochen andauerten, wobei die Versuche pro Sekunde/Minute/Stunde/Tag vom Angreifer so eingestellt sind, dass eine Entdeckung umgangen werden kann. Damit nicht genug, landen die gewonnenen Daten möglicherweise auf Text-Sharing-Sites wie Pastebin, wo die Informationen dann verkauft werden können.
Um gespeicherte Passwörter zu schützen, sollte ein kryptografischer „one-way“ Hash eines Passworts generiert werden. In anderen Worten – lautet das Passwort z.B. „bluesky“, wird ein Kryptograf es in etwas wie „fna84K“ umwandeln. Dies verhindert, dass reine Textpasswörter im Umlauf sind und ermöglicht die Verifizierung von anwenderseitig bereitgestellten Passwörtern durch Wiederholung des one-way Hashing-Systems. Auch das Hinzufügen eines wahllos generierten Wertes zu einem Passwort noch vor der Erstellung seines kryptografischen Hashs kann den Versuch, ein Passwort zu knacken, erschweren.
Da bereits Tools existieren, die das Internet nach Hashes und Passwörtern durchforsten und auch automatisiertes, verteiltes Passwort-Cracking an der Tagesordnung ist, ist es umso wichtiger, dass Sie die Speicherung dieser Daten noch besser absichern. Treffen Sie besondere Vorsichtsmaßnahmen, um diese Informationen zu schützen und nutzen Sie Zweifaktorverifizierung, Out-of-Band User-Authentifizierung oder sogar biometrische Authentifizierung. Berücksichtigen Sie, dass Anwender oft gleiche oder ähnliche Passwörter wiederverwenden – denn das bedeutet, dass jede Datenpanne mit tausenden von Namen die Saat ausbringt für potentiell hunderte, weiterer Angriffe auf Ihre Unternehmensdaten.
BackDoor.iWorm” verschaffte sich Zugang zu Macs.
Von dort stellte er über Reddit eine Verbindung von
dem gehackten Computer zum Command-Server
her. Nach erfolgreicher Infektion der Computer,
posteten die Hacker an Reddit und nutzen die
Suchfunktionen der Site, um die dortigen Posts
zu identifizieren. Mithilfe von iWorm konnten
die Angreifer die Serveradressen aus den Posts
herausziehen und diese für die Verbindung mit dem
Botnet missbrauchen.
Der Bot, der uns in 2014 am meisten in Atem hielt,
war auch schon im Jahr zuvor der unrühmliche
„Champion“: ZeuS.
Scheinbar folgten die Hacker in diesem Jahr dem
Prinzip, dass man etwas, das noch funktioniert, auch
nicht reparieren muss. Dem „Spamhaus Botnet
Summary Report für 2014“ zufolge führte ZeuS mit
2.246 Command & Controls – praktisch zweimal
mehr, als der Zweitplatzierte „Citadel“ – auch in
2014 die Bot-Liste an. 10
Doch worauf fokussieren Cyberkriminelle die
Reichweite von Bots und die Macht, die Ihnen
damit zur Verfügung steht? Im Wesentlichen
auf geschäftskritische Elemente, die für die
Geschäftsproduktivität entscheidend sind.
2222 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
DDOS – DIE NEUE STREIKMACHT
3.3 QUELLE: Check Point Software Technologies
Wollte man in der Vergangenheit etwas gegen
die Strategie und Methoden einer Organisation
unternehmen, versammelte man ein paar Leute,
bemalte ein paar Transparente und stellte sich vor
ihre Eingangstür, um den Protest für alle sichtbar
zu machen. Jetzt? Man geht einfach online und
kauft ein günstiges DDoS-Toolkit, gibt die URL des
Unternehmens ein, gegen das man seinen Protest
richtet und – fertig – die Website des Unternehmens
ist verunstaltet. Das ist einfach, bequem und billig.
Distributed Denial of Service (DDoS) war in 2014
der Hauptangriffsvektor und für 60 Prozent aller
Attacken verantwortlich – fast doppelt so viel wie
im Vorjahr. DDoS-Attacken setzen Server oder
andere Netzwerkressourcen vorübergehend außer
Gefecht. In 2014 wurden täglich 48 solcher Angriffe
registriert – im Jahr zuvor waren es noch acht pro
Tag, was einen Anstieg um 500 Prozent bedeutet!
Im vergangenen Jahr trat die Mehrzahl der DDoS-
Attacken im Beratungssektor auf, in diesem Jahr
betreffen sie bereits zwei Drittel von Unternehmen
aus allen Branchen. Der in 2014 zweitgrößte
Angriffsvektor nach DDoS war Buffer Overflow –
eine Attacke, die Daten und das Ausführen
von Code korrumpiert und so dem Angreifer
ermöglichen kann, beliebigen Code zu injizieren.
Beide Methoden nahmen im Vergleich zum Vorjahr
signifikant an Häufigkeit zu.
DENIAL OF SERVICE
BUFFER OVERFLOW
CODE-AUSFÜHRUNG
ANOMALITÄT CROSS-SITE SCRIPTING
SPEICHER-KORRUMPIERUNG
60
23
39
51
22
35
43
36
19
47
23
PR
OZE
NT
DE
R O
RG
AN
ISAT
ION
EN
MIT
W
EN
IGS
TEN
S E
INE
M A
NG
RIF
F
HAUPTANGRIFFSVEKTOREN20132014
In 2014 traten täglich DDoS-Attacken auf 48
23BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 23
Im vergangenen Jahr zeigte sich ein Anstieg von DDoS gegen Bildungseinrichtungen, Dienstleister, US-Regie-
rungsbehörden und Stadtverwaltungen. Unabhängig von politischen Fragen und Einstellungen bekommen
unbeteiligte Dritte die Auswirkungen von DDoS-Attacken mindestens ebenso stark zu spüren, wie die eigentlichen
Angriffsziele. In Ländern, wo der Großteil des Netzwerks für Bildungsservices von der Regierung bereitgestellt
wird, kann ein Angriff auf eine kleine Schule jede einzelne Schule im gesamten Netz betreffen. Ein DDoS-
Angriff auf die Website einer bestimmten Stadt kann die VPN-Verbindung zu Strafverfolgungseinrichtungen und
Notdiensten kappen – und das nicht nur für die Dauer einer Großdemonstration. Ein solcher Fall ist
bereits eingetreten.
Auch wenn die Reihenfolge der einzelnen Schritte variieren kann, setzen Hacktivisten meist folgende vier Haupttechniken ein:1. Eine volumetrische Attacke in mehreren Wellen, die Millionen von User Datagram Protocol (UDP)-Paketen auf
Port 80 nutzt. Als „stateless“, also zustandsloses Protokoll ist UDP sehr einfach zu imitieren, was die Quelle so
erscheinen lässt, als würde von einer anderen Internetprotokoll (IP)-Adresse gesendet. Dies überschwemmt die
Verbindung, noch bevor die vorgeschalteten Security-Einrichtungen der Organisation den Angriff erkennen und
reagieren können.
2. Eine Domain Name System (DNS)-„Reflection“ -Attacke, wobei die Angreifer Millionen von DNS-Anfragen an
berechtigte DNS-Server schicken und dabei eine verfälschte IP-Adressquelle nutzen. So geben sie vor, von einem
Server aus dem Netzwerk des Opfers zu stammen. Die offenen DNS-Server reagieren, indem sie das Opfer mit
DNS-Antworten überfluten, was eine neue Welle von volumetrischen Attacken auslöst.
3. Eine SYN flood-Attacke zielt auf einen bestimmten Host ab. Durch hoc volumiges Spoofen der Ursprungs-
adresse verbraucht sie so viele Ressourcen, dass der Host für berechtigten Datenverkehr nicht mehr
ansprechbar ist.
4. „Slow attacks“, also langsame Angriffe, öffnen so viele Verbindungen zu einem Server wie möglich und halten
diese Verbindungen so lange wie möglich offen, indem sie exakt vor dem Time-out der TCP (Transmission Control
Protocol )-Sessions sehr kleine Datenmengen senden. Der Datenverkehr ist gering, doch die Menge
der langsamen Verbindungen verstopft die Zugänge der Netzwerk-Ports.
Das können Sie tun, um Ihre Organisation abzusichern:1. Verstehen und beobachten Sie das Datenverkehrsvolumen, wie z.B. die Verbindungen pro Sekunde, Pakete pro
Sekunde und den Durchsatz pro Sekunde. Werden die festgelegten Grenzwerte überschritten, können Tools wie
Check Point DDoS Protector™ vor den Security Gateways eingesetzt werden um den DDoS-Traffic abzuschwächen,
noch bevor er das Gateway erreicht. Überschreitet der Datenverkehr aus einem volumetrischen Angriff das
Leistungsvermögen des Internets, führt dies zu einer Überlastung der Netzwerkverbindung, noch bevor die
Daten den DDoS Protector oder das Security Gateway erreichen – der Denial of Service ist perfekt. Um dies zu
verhindern, leitet DDoS Protector die Daten über DefensePipe in s.g. Internet-„Waschanlagen“ um. In diesen
Scrubbing-Centren wird schadhafter Datenverkehr entfernt, und die sauberen Daten werden zurückgeleitet.
2. Implementieren Sie engmaschige Kontrollen für Netzwerke mit Gastzugriff oder unbekanntem Benutzer-
standort wie z.B. bei Bildungseinrichtungen, Cloud-Providern und Servicehosting-Unternehmen.
3. Setzen Sie Richtlinien für das Source IP-Spoofing ein, um zu verhindern, dass die Anwender gezielter Netz-
werke s.g. Reflection-Attacken auslösen. Dynamische, variierende und wellenförmige Formen von Attacken
machen es zu einer Herausforderung, jede Art von DDoS zu stoppen. Doch Check Points Firewall Software
Blade und IPS Software Blade verfügen über Abschwächungstools und integrierte Schutzvorrichtungen –
wie z.B. Rate Limiting, SYN Defender und IPS SYN Attack sowie IPS DNS – die dabei unterstützen,
DDoS-Attacken zu verhindern.
HACKTIVISMUS: Wenn Protestler ihre Ideologien online bringen
2424 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
DOOMSDAY – FÜR DIE ERFOLGSKRITISCHE INFRASTRUKTUR: Nicht „Ob“, sondern „Wann“
James Arbuthnot, der frühere Vorsitzende des Parlamentarischen Verteidigungsausschusses in Großbritannien,
drückte es wohl am besten aus: „Unser nationales Netz ist Cyberattacken ausgesetzt, und zwar nicht nur Tag
für Tag, sondern Minute für Minute.“ 11 Tatsächlich haben fast 70 Prozent der „Critical Infrastructure“
(CI)-Unternehmen im vergangenen Jahr einen Sicherheitsvorfall hinnehmen müssen.12 Ein Angriff namens
„Energetic Bear“, der in 2014 von einer Gruppe russischer Hacker durchgeführt wurde, startete seinen Feldzug
gegen Öl- und Gasunternehmen. Durch Infektion der industriellen Kontroll-Software, die diese Unternehmen
im Einsatz hatten, schleusten die Angreifer Malware ein, die sich automatisch herunterlud und installierte, als
die betroffenen Organisationen ihre Software aktualisierten. Damit hatten die Hacker Einsicht in die ins Visier
genommenen Netzwerke – und potentiell auch die Kontrolle darüber.
Bei einem anderen Vorfall wurde ein deutsches Stahlwerk attackiert, was zu erheblichem Schaden an einem
Hochofen führte. Dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge rollten die
Angreifer eine Social Engineering-Kampagne aus, die spezifische, einzelne Personen zum Öffnen von Phishing-
Messages brachte. Anschließend konnten die Cyberkriminellen Login-Namen und Passwörter abgreifen, über die
sie Zugang zum Produktionsnetzwerk des Stahlwerks erhielten. Dort verursachten sie über die Manipulation des
Kontrollsystems den Ausfall bestimmter Elemente, was verhinderte, dass der Schmelzofen sich auf normale Weise
abschaltete. Im Ergebnis war das gesamte System beschädigt.
Warum passiert das?Wenn wir die Ursachen von CI-Vorfällen betrachten, fallen einige Dinge auf. Zuallererst, dass das Supervisory
Control und Data Acquisition (SCADA)-System, wie es üblicherweise von CI genutzt wird, nicht auf Security
ausgelegt war. Nicht nur, dass seine Devices angreifbar sind, vor allem sind auch die Netzwerke alt und überholt.
Darüber hinaus schließen SCADA-Systeme Windows- und Linux-Betriebssysteme ein, die ebenfalls verwundbar
sind. Ein weiterer Grund ist, dass der Blick auf die Security viel zu oft sehr kurzsichtig ist und sich ausschließlich
auf das elektronische Perimeter richtet. Das reicht nicht aus, denn es lässt die Risiken für die Produktionssysteme
außer Acht. Das dritte Problem, das wir schließlich sehen, ist der Irrglaube, dass eine gute physikalische Security
mit einer guten Netzwerk-Security gleichzusetzen ist. Hier nicht die Unterschiede zu kennen und zu verstehen,
kann schwerwiegende Konsequenzen haben.
Die Absicherung kritischer Infrastrukturen: Was zu tun istGenauso, wie wir drei Hauptgründe für CI-Vorfälle sehen, sehen wir auch drei Hauptwege, solche Ereignisse zu
vermeiden. Nachstehend zeigen wir die Schritte für die Absicherung kritischer Infrastrukturen auf:
1. Security-Architektur: Schützen Sie vor allem anderen das Unternehmensnetzwerk, um so eine Infiltration
des Produktionsnetzwerks zu blockieren. Anschließend segmentieren und schützen Sie Ihr Produktionsnetzwerk
mit hierauf spezialisierter Security. Setzen Sie für die Perimeter-Security geeignete Tools wie Firewall, Intrusion
Prevention, Anti-Virus, Anti-Bot und Threat Emulation ein.
2. Security-Produkte mit granularem SCADA-Support: Nutzen Sie immer Produkte, die speziell für SCADA-
Systeme entwickelt sind. Bedenken Sie, dass CI-Betriebe auf dedizierte Systeme in spezialisierten Netzwerken
mit besonderen Protokollen bauen. Lösungen wie die Check Point SCADA Security-Lösungen umfassen SCADA-
Logging, Firewall, Applikationskontrolle, Intrusion Prevention und SCADA Workstation-Endpoint Security.
3. Threat Intelligence: Stellen Sie die unabhängige Protokollierung sämtlicher SCADA-Aktivitäten sicher und
setzen Sie hierfür ein tief greifendes SCADA Traffic-Monitoring sowie Threat-Analyse ein.
25BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 25
Eines der wichtigsten Themen, das Unternehmen
für eine Verbesserung ihrer Security adressieren
müssen, ist das Patchen und Updaten ihrer Software.
Wird dies vernachlässigt, ist die Organisation
sehr verletzlich und erfährt – unnötigerweise –
ernsthafte Leistungseinbußen – bei „Mann und
Maschine“. Betrachtet man die Gesamtzahl der
gängigen Schwachstellen und Bedrohungen in den
letzten drei Jahren, gab es zwischen 2012 und 2013
nur einen geringen Zuwachs. Von 2013 auf 2014
aber ist ein sprunghafter Anstieg um über
53 Prozent zu verzeichnen. 13 Zwar nimmt also die
Aufmerksamkeit für diese potentiellen Gefahren
zu, doch es bleibt die schlechte Nachricht,
dass die Gefährdungen weiterhin da sind
und ansteigen.
SICH VERLETZLICH FÜHLEN
GESAMTAUFKOMMEN VERBREITETER SICHERHEITSLÜCKEN UND GEFÄHRDUNGEN
2014
2013
2009
2012
2010
200820
11
7945
5191 52974651
5736
4155
5632
DIE TOP SICHERHEITSLÜCKEN UND GEFÄHRDUNGEN IN 2014
NACH HERSTELLER
IBM
ORACLE
MICROSOFT
APPLE
LINUX
REDHATCIS
CO
ADOBE
450431
376
287
156135138
368
155
MOZILLA
120
AN
ZAH
L VO
N S
ICH
ER
HE
ITS
LÜC
KE
N
3.4 QUELLE: Common Vulnerabilities and Exposures (CVE) Database (Abb. oben),Check Point Software Technologies (Abb. unten)
PR
OZE
NT
DE
R O
RG
AN
ISAT
ION
EN
NOVELL
2
2013
MICROSOFT
67
ADOBE
15
VIDEOLAN
10
3COM
4
SQUID
4
SUN/ORACLE
4
APPLE
3
CA
3
MICROSOFT
77
ADOBE
14
APACHE
6
HP
6
SUN/ORACLE
5
MOZILLA
3
JOOMLA
3
2014 2012
MICROSOFT
68
SUN/ORACLE
15
ADOBE
13
NOVELL
5
SQUID
2
VIDEOLAN
1
SECURITY-VORFÄLLE NACH TOP SOFTWARE-ANBIETERN
2626 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
Hacker wissen: die wirkungsvollste Art ihre Ziele zu treffen ist, sie an ihren Fundamenten anzugreifen. Für
die meisten Betriebssysteme besteht dieses Fundament aus einer Reihe grundlegender Kommandos, die
oft in Unix ausgeführt werden. Am Herzen des Befehlszeileninterpreters, wie er allgemein in Apple MAC OS
X- und Linux/UNIX-Betriebssystemen genutzt wird, befindet sich ein Command-Prozessor namens Bash oder
„Bourne Again Shell“.
Im September 2014 wurde in Bash eine umfassende Sicherheitslücke entdeckt, die Hackern die Remote-
Ausführung von Shell-Kommandos ermöglichte. Das funktionierte durch das Anhängen von schadhaftem
Code in umgebende, vom Betriebssystem genutzte Variablen.
Aus Sicht eines Hackers geht es kaum besser. Innerhalb weniger Tage nach Bekanntwerden der
Schwachstelle wurden weitere Designfehler entdeckt und eine Reihe von Patches erstellt. Der Wettlauf
darum, das Netzwerk schneller zu treffen, als die Patches eingesetzt werden konnten, hatte begonnen.
Innerhalb weniger Stunden nutzten die Angreifer die Sicherheitslücke Shellshock aus, indem sie Botnets
auf kompromittierten Computern einrichteten, um verteilte Denial-of-Service-Attacken und Schwachstellen-
Scanning durchzuzuführen. Während mit Check Point IPS geschützte Netzwerke noch am gleichen Tag
gepatcht wurden, kompromittierte Shellshock Millionen nicht gepatchter Server und Netzwerke.
Mit IPS geschützte Check Point-Kunden registrierten blockierte Angriffsversuche, die hauptsächlich auf
http-, Mail- (SMTP/POP3/IMAP), FTP- und DHCP-Protokolle zielten. Untersuchungsergebnisse zeigten, dass
die USA mit signifikantem Vorsprung sowohl das Hauptangriffsziel als auch der Hauptangreifer waren.
SHELLSHOCK: Netzwerke ins Herz getroffen
Community-Sharing ist nicht immer eine gute Sache.
Nehmen wir beispielsweise Open Source-Software
(OSS). Anders als die typische, proprietäre Software,
die geschlossen ist, ist Open Source-Software so
geschrieben, dass ihr Quellcode der Öffentlichkeit frei
zur Verfügung steht und von jedermann modifiziert
werden kann. Schlimmer noch, OSS wird nicht sehr
genau verwaltet, da sie nicht immer Bestandteil
des IT-Beschaffungsprozesses ist. Und, da es sich
um Freeware handelt, wird sie nicht so intensiv
gewartet, wie andere Software. Cyberkriminelle
wissen das und starten immer wieder Attacken auf
die schlechter gewarteten und weniger sichtbaren
Applikationen und Systeme. Im Ergebnis ist OSS
zu einem attraktiven Ziel geworden, wenn es um
den Diebstahl von Daten, geistigen Eigentums oder
anderer, sensitiver Informationen geht. Und so dient
sie Hackern als offene Tür in das Netzwerk, das sie
ausbeuten wollen.
So wurde zum Beispiel das von mehreren
Herstellern betriebene Open Source-Software-
Projekt „OpenDaylight“ dazu genötigt, sich mit
Security zu befassen, nachdem ein Software-
definierter Netzwerk (SDN)-Fehler ans Tageslicht
gekommen war. Im August 2014 wurde eine kritische
Schwachstelle in der Plattform gefunden, doch es
dauerte vier Monate, bis sie gepatcht werden konnte.
Der Entdecker der Sicherheitslücke hatte zunächst
versucht, das auf privatem Wege zu kommunizieren.
Da aber OpenDaylight kein Security-Team hatte, war
sein Bemühen vergebens. Schließlich machte er
die Schwachstelle auf einer populären Mailingliste
für Sicherheitsmängel öffentlich. Der Fehler bot die
DAS NEUE ZIEL VON EXPLOITS: OPEN SOURCE-SOFTWARE UND BETRIEBSSYSTEME
27BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 27
3.5 QUELLE: Check Point Software Technologies
In 2013 waren Server das bevorzugte Ziel. Das hat
sich im vergangenen Jahr praktisch umgekehrt: Jetzt
sind die Clients das schwächste Glied. Betrachten
wir die Veränderung bei der Verteilung der Top IPS-
Events auf Clients und Server, sehen wir bei den
Clients einen dramatischen Anstieg von früher 32
auf jetzt 60 Prozent. Auf der Server-Seite ist dieser
Wert inzwischen von 68 auf 40 Prozent gefallen.
NIEMAND HAT SCHULD – AUSSER WIR SELBST
TOP IPS EVENTS
SERVER
40%
PROZENT VON GESAMTCLIENT
60%
potentielle Möglichkeit, einen SDN-Controller zu
kompromittieren – worüber Hacker schlussendlich
die Kontrolle über das ganze Netzwerk hätten
erlangen können. 14
Eine andere, in 2014 entdeckte Open Source-
Schwachstelle betraf die MediaWiki-Plattform, auf
der Wikipedia und tausende anderer Wiki-Sites
weltweit basieren. Check Point-Experten entdeckten
einen Defekt im Code, der Hackern das Einspeisen
von schadhafter Software in jede Wikipedia.org-
Seite und in andere, interne oder Web-seitige
Wiki-Seiten auf MediaWiki ermöglichen konnte.
Beeindruckende Zahlen wie 94 Millionen Wikipedia-
Besucher monatlich und fast zwei Millionen, auf
Wikipedia verlinkte Seiten machen deutlich, zu
welch massivem Schaden es hier hätte kommen
können.
Die größten Open Source-Exploits des vergangenen
Jahres waren Heartbleed, Shellshock und Poodle.
Im Vorjahr noch hatte es danach ausgesehen, als
könnte die Malware, mit der die Unternehmen zu
kämpfen hatten, verheerender nicht mehr werden –
bis dann einige Monate später die vernichtendste
Schadsoftware in Erscheinung trat, die es bis dahin
gegeben hatte. Heartbleed, eine Schwachstelle in
OpenSSL-Software, wurde im April 2014 entdeckt.
Sie macht Hackern den Zugang zum Speicher
von Datenservern frei – bis zu einem Wert von
64 Kilobyte. Dieser Zugang ermöglicht dann den
Diebstahl kritischer Daten wie Benutzeridentitäten,
Passwörter und andere, sensitive Informationen, die
auf den Servern hinterlegt sind.
Dann kam Shellshock. Das Beschämende daran
ist, dass Shellshock seinen Ursprung in einem
25 Jahre alten Sicherheitsmangel hat, der die
Ausführung von schadhaftem Code innerhalb von
Bash Shell möglich macht. Damit kann ein Hacker
ein Betriebssystem übernehmen und sich Zugriff
auf vertrauliche Informationen verschaffen. Hier
sei darauf hingewiesen, dass viele Programme
im Hintergrund Bash Shell laufen lassen. Sobald
den bestehenden Code-Zeilen zusätzlicher Code
hinzugefügt wird, ist der Fehler frei gesetzt. 15
Auf Shellshock folgte Poodle, ein „süßes“ Akronym,
das für „Padding Oracle On Downgraded Legacy
Encryption“ steht. Sein Fokus: die 18 Jahre alte
Verschlüsselungstechnologie SSL 3.0. Nutzte eine
Website dieses Protokoll um den Datenverkehr
zu verschlüsseln, konnten die Angreifer die mit
der Website kommunizierenden Computer dazu
zwingen, ihre Verschlüsselung auf den gleichen,
antiquierten Standard herabzusetzen, was zu
Security-Problemen bei der Kommunikation mit den
Servern führte. 16
Open Source-Schwachstellen wie Heartbleed, Poodle
und Shellshock betrafen nahezu jeden IT-Betrieb
weltweit. Natürlich können die Organisationen die
nächste, massive Sicherheitslücke nicht vorher
sehen. Doch sie sollten immer bedenken, dass
Hacker Open Source und weit verbreitete Plattformen
wie Windows, Linux und iOS ganz besonders
lieben – denn hier eröffnen gefundene Schlupflöcher
die meisten und besten Möglichkeiten der
Ausbeutung.
2828 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
3.6 QUELLE: Check Point Software Technologies
Warum? Hacker bevorzugen den Angriff auf Clients,
weil sie hier ihre Opfer mit Social Engineering- und
Phishing-Taktiken austricksen können. Mit anderen
Worten: Menschen sind viel einfacher zu überlisten,
als Maschinen.
Was trägt zu diesem Problem bei? Zum einen –
die menschliche Nachlässigkeit gegenüber
grundlegenden Schutzmaßnahmen. Zum anderen
setzen viele Organisationen veraltete Security-Tools
ein, die bei der Abwehr heutiger Gefahren schlicht
versagen. Will man seine Endgeräte absichern,
beginnt man mit fundamentalen Maßnahmen wie
der Sicherstellung, dass alle Computer über eine
Desktop-Firewall verfügen, Service-Packs und
Software-Updates installiert und durchgeführt werden
und die aktuellste Anti-Virus-Software im Einsatz ist.
Unseren Untersuchungsergebnissen zufolge läuft
jedoch auf 20 Prozent der Unternehmensrechner
keine Desktop Firewall, und 10 Prozent der Hosts
haben keine aktuellen Service Packs. 25 Prozent
verfügen nicht über eine aktualisierte Version ihrer
Software, und bei 17 Prozent ist keinerlei Antivirus-
Lösung installiert. Darüber hinaus sind 35 Prozent
der Unternehmensrechner so konfiguriert, dass die
Anwender lokale Administratorrechte haben. Damit
sind die Betriebssysteme einem höheren Risiko für
Malware-Attacken ausgesetzt.
Auch wenn diese Zahlen auf den ersten Blick nicht
gewaltig erscheinen, ist es doch bemerkenswert,
bei wie vielen Unternehmen die Security-Message
nach wie vor nicht angekommen ist: Es bedarf
nur eines einzigen, angreifbaren Rechners, um
das gesamte Netzwerk zu infizieren. Was in der
Folge auch all die Unternehmen gefährdet, die
mit dem betroffenen Netzwerk interagieren und
Informationen austauschen. Für eine erfolgreiche
Bekämpfung der Cyberkriminalität ist es also
unerlässlich, im Umgang mit den grundlegenden
Schutzvorrichtungen ein verantwortlicher „Cyber-
Bürger“ zu sein – und wichtige Security-Informa-
tionen mit anderen auszutauschen.
ENDPOINTS IM UNTERNEHMENSICHERHEITSLÜCKEN UND FEHLKONFIGURATIONEN
Hosts ohne aktualisierte Software-Versionen
25%
Hosts ohne aktualisierte AV-Signaturen
25%Hosts mit wenigstens einem
installierten Bluetooth-Device
54%
Hosts ohneDesktop-Firewalls
20%
Hosts ohne das jüngste Service-Pack
10%Hosts mit lokalen
Admin-Rechten für den User
35%
PERCENT OF HOSTS
29
.
CHECK POINT UNTERSUCHUNGS-ERGEBNIS
CHECK POINT PROBLEMANALYSE
VORSCHRIFT VON DIESER VORSCHRIFT BETROFFENE LÄNDER
Anti-Spoofing bei 75% der Befragten nicht aktiviert
Anti-Spoofing verifiziert, dass Daten-pakete vom richtigen Interface kommen und zum richtigen Interface auf dem Gateway gehen. Es bestätigt, dass Pakete, die vorgeben aus einem internen Netzwerk zu stammen, tatsächlich vom internen Netzwerk-Interface kommen. Ist ein Paket geroutet, stellt Anti- Spoofing außerdem sicher, dass es durch das richtige Interface geht.
PCI DSS 3.0 Global – jedes Unternehmen, das Kreditkartendaten verarbeitet oder speichert.
NIST 800:41 Hauptsächlich relevant auf US-Bundesebene, aber gleichermaßen anwendbar auf jedes US-Unternehmen, das einen robusten Firewall-Standard übernimmt.
ISO 27001 Global – jedes Unter-nehmen, das nach diesem Standard zertifiziert ist oder ihn als Best Practice adaptiert.
Entdeckung einer „Any Any Accept”-Regel bei 27% der Befragten
Das grundlegende Konzept der Firewall-Regelbasis ist „Was nicht explizit erlaubt ist, ist verboten.“ Festzustellen, dass 27% der befragten Unternehmen eine „Any Any Accept“-Regel in ihrer Regel-basis hatten, war eine große Über- raschung. Denn das ist das Firewall- 1mal1, die Grundlage aller Grundlagen.
PCI DSS 3.0 Global – jedes Unternehmen, das Kreditkartendaten verarbeitet oder speichert.
NIST 800:41 Hauptsächlich relevant auf US-Bundesebene, aber gleichermaßen anwendbar auf jedes US-Unternehmen, das einen robusten Firewall-Standard übernimmt.
ISO 27001 Global – jedes Unter-nehmen, das diesem Standard folgt
Out-of-State TCP-Pakete werden bei 19% der Befragten nicht verworfen
TCP Session Timeout ist die Zeitspanne, für die eine untätige Verbindung im Security Gateway-Connections-Table bestehen bleibt. Diese nicht genutzte Session ist genau die Laufzeit, während der ein Angreifer versuchen kann, die Pakettransporte aus bestehenden User-Sessions zu stehlen und zu benutzen.Pakete, die Out-of State sind, sollten fallen gelassen werden. Wir haben festgestellt, dass 1 von 5 Unternehmen Out-of-State-Pakete nicht verwirft.
PCI DSS 3.0 Global – jedes Unter- nehmen, das Kredit-kartendaten verarbeitet oder speichert.
ISO 27001 Global – jedes Unter-nehmen, das nach diesem Standard zertifiziert ist oder ihn als Best Practice adaptiert.
Compliant ohne Kompromisse
BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 29
Zwar verstehen die meisten Unternehmen ihre Verpflichtungen, was die Einhaltung von Compliance und Branchen-Bestimmungen angeht. Doch wenn es um Security geht, ist dies nach wie vor ein komplexes Problem. Ihr Unternehmen kann heute vollständig regelkonform sein, durch eine einzige, geschäftsrelevante Änderung am Netzwerk aber schon morgen vollkommen aus dem gesetzlich vorgegebenen Rahmen herausfallen.Hier ist es entscheidend zu wissen, worauf genau man achten muss. Aber fallen Sie nicht auf den Denkfehler herein und nehmen an, dass ein regelkonformes Unternehmen gleichzeitig auch vollkommen sicheres ist. Die Einhaltung von regulativen Bestimmungen ist typischerweise geknüpft an spezifische Bedrohungen, was den Prozess weniger umfassend macht, als eine wirkliche Security-Prüfung sein könnte und sollte. Die Einhaltung gesetzlicher Vorgaben sollte daher nicht die Basis für Ihre Security-Policy sein. Nachstehend lesen Sie, was Check Point hierzu in seiner Studie zu 2014 feststellte.
30
‚Wer aus der Vergangenheit nicht lernt, der ist dazu verdammt, sie noch einmal zu durchleben‘
Eine alte Weisheit, die auf die IT-Security anwendbar scheint.
Bleibt Ihr Unternehmen jedoch mit den aktuellen Gegebenheiten auf dem Laufenden und setzt Best Security
Practices ein, so kann Sie das vor dem Wiederholen früherer Fehler bewahren. Nachstehend finden Sie eine
Zusammenfassung bewährter Praktiken, die Ihnen dabei helfen können, die Security-Fallstricke zu vermeiden,
die sowohl großen als auch kleinen Kunden zum Verhängnis werden können.
„Entdecken“ versus „Verhindern“In der Netzwerksicherheit werden meist der „Detect“-, also „Entdecker“-Modus für weniger kritische Gefahren
und der „Prevent“- bzw. „Verhindern“-Modus für schwerwiegende, hochriskante Bedrohungen genutzt. Wir
hören häufig von Kunden, dass ein Angriff zwar entdeckt aber nicht verhindert werden konnte, weil er falsch
kategorisiert wurde. Stellen Sie also eine regelmäßige Prüfung Ihrer Threat-Richtlinien sicher, so dass diese
immer richtig kategorisiert sind.
Patches nicht mehr aktuellObwohl Patches selbst für Jahre alte Schwachstellen auf bestimmten Plattformen zur Verfügung stehen, sind
sie häufig nicht installiert. Angreifer machen sich diese Nachlässigkeit zu Nutze. Je älter die Sicherheitslücke,
umso wahrscheinlicher ist die Existenz eines Open Source-Exploits. Damit Sie sich hier nicht zum leichten
Opfer machen, empfehlen wir Ihnen frühes und häufiges Patchen.
Schwache Passwort-Policy oder Wiederverwendung von PasswörternDie meisten, mit Brute-Force-Attacken gewonnenen Zugangsdaten werden gestohlen, weil das Passwort für
ein Userkonto schwach ist. In anderen Fällen konnten User-Accounts übernommen werden, weil das Passwort
für eine Website auch für eine andere, kompromittierte Seite genutzt wurde. Durch das Festlegen strengerer
Passwort-Richtlinien und die Aufklärung der Anwender über die Gefahren der Mehrfachverwendung von
Passwörtern können Unternehmen die Gefährdung von Nutzerkonten deutlich reduzieren. Mehr noch, gute
Passwörter machen Ihre Netzwerke stärker.
Abschottung von UnternehmensbereichenIn großen Organisationen beobachten wir oft die Zurückhaltung von Informationen zwischen einzelnen
Unternehmensbereichen, manchmal auch die gegenseitige Schuldzuweisung zwischen den Abteilungen.
In einigen Unternehmen fehlt es schlicht an Mechanismen für den internen Informationsaustausch oder
konsistente IT-Policies, was z.B. dazu führt, dass ein Geschäftsbereich ein deutlich moderneres Netzwerk hat,
als ein anderer. Unglücklicherweise sind viele der Netzwerke nicht segmentiert, so dass der Einbruch in ein
Abteilungsnetz dem Einbruch in alle Geschäftsnetze gleich kommt.
Damit sich die Geschichte nicht wiederholt
30 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH
31BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 31
„So etwas wie vollkommene Sicherheit, das gibt es nicht, es gibt nur verschiedene Stufen von Unsicherheit.“ 17
–Salman Rushdie, Autor
Man könnte annehmen, dass etwas, das man kennt,
entsprechend leichter zu kontrollieren ist. Was
Sie im vorstehenden Kapitel über Malware lesen
konnten, widerlegt diese Annahme allerdings.
Die Bekämpfung bekannter Malware erfordert einen
mehrschichtigen Ansatz. Das wichtigste Prinzip:
Automatisieren und koordinieren Sie mehrere
Verteidigungsebenen.
• Erkennen und Verhindern. Stellen Sie sicher, dass
neben Gateway- und Endpoint Anti-Virus-Software
auch URL-Filtering zum Einsatz kommt. Dies hilft
dabei, den Verbindungsaufbau mit den bekannten
Distributoren von Malware zu verhindern.
• Blockieren von Bots. Setzen Sie ein Anti-Bot
Software Blade ein, das Malware erkennt und
Botnet-Kommunikation eindämmt.
• Schützen, was wichtig ist. Erweitern Sie Ihren IPS-
Schutz und stellen Sie so sicher, dass Sie auch sehr
schwere Attacken abwehren können. Schützen Sie
Ihre Netzwerkserver und IT-Infrastruktursysteme,
unabhängig von Hersteller oder Plattform.
• Verwalten und pflegen. Bleiben Sie auf dem
Laufenden beim Thema Sicherheitslücken und
führen Sie Patch-Prozesse für alle Systeme und
Applikationen durch.
• Regulieren und begrenzen. Begrenzen Sie für die
Client- und Serverkonfiguration die Vergabe von
Administratorrechten. Unterbinden Sie Java und
andere Skriptsprachen und legen Sie fest, welche
Applikationen auf Endpoints installiert werden
dürfen.
EMPFEHLUNGEN
3232 | INTRODUCTION AND METHODOLOGY
MOBILE SECURITY:SCHRÄNK’ MICH NICHT EIN
„Abgesehen von dem Bekannten und dem Unbekannten, was gibt es da noch?“ 18
–Harold Pinter, Nobelpreis-Träger, Dramatiker, Drehbuchautor, Regisseur, Schauspieler
04
32 | CHECK POINT - 2015 SECURITY REPORT
33MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 33
42% erfuhren Mobile Security-Vorfälle mit Kosten von über 250.000 US-Dollar.
Mit dem Aufkommen der Mobilität ging auch das
Versprechen von der Freisetzung zusätzlicher
Produktivität einher. Der Gedanke an mobile
Sicherheit kam bei vielen erst deutlich später.
Ziel war zunächst die Identifikation von
Lösungen, die Produktivität frei geben, und zwar
unabhängig davon, ob man sich innerhalb oder
außerhalb der Geschäftsräume befindet. Dies
wird besonders wichtig durch die zunehmende
Verbreitung von Smartphones und Tablets,
zusammen mit den dazu gehörigen Apps.
Mobile Endgeräte machen unser Leben vielfach
leichter und sollen deshalb, so der Wunsch
vieler User, auch am Arbeitsplatz genutzt werden
dürfen – wo sie aber die Daten des Unternehmens
neuen, hohen Risiken aussetzen.
Es war vorhersehbar, dass der wachsende Trend
zu Bring Your Own Device (BYOD) Unmengen von
Mobile Security-Problemen erzeugen würde. Mobile
Endgeräte sind der ideale Angriffsvektor. Sie bieten
einen deutlich einfacheren, direkten Zugang zu
wertvollem Geschäftseigentum, als jeder andere
Zugangspunkt zum Netzwerk. Das macht sie zum
schwächsten Glied in der Security-Kette.
In einer von Check Point unterstützten, weltweiten
Studie unter mehr als 700 Unternehmen gaben 42
Prozent der Befragten an, dass sie bereits Mobile
Security-Probleme hatten hinnehmen müssen, deren
Behebung sie mehr als 250.000 US-Dollar gekostet
hat. Und 82 Prozent der Teilnehmer erwarteten für
2015 eine Zunahme der Störfälle.
3434 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN
91 Prozent der Studienteilnehmer haben im Laufe
der beiden letzten Jahre eine Zunahme der privat
genutzten, mobilen Endgeräte festgestellt, die
auch auf das Unternehmensnetzwerk zugreifen.
Es ist daher alarmierend, dass 44 Prozent der
Organisationen die auf den privaten Endgeräten
der Mitarbeiter befindlichen Geschäftsdaten nicht
verwalten. Hinzu kommt, dass 33 Prozent der
App-Entwickler ihre Apps nicht auf Security hin
überprüfen. 19
Es ist also keine Überraschung, dass für die
IT die beiden größten Herausforderungen in
der BYOD-Security in der Absicherung der
Unternehmensinformationen (72 Prozent der
Befragten) und dem Management persönlicher
Eine schwache Mobile Sicherheit kann Hackern
Zugang zu Personendaten, Passwörtern, geschäft-
licher und privater Email, Geschäftsdokumenten,
Applikationen und Unternehmensnetzen verschaffen.
Entsprechend wachsen die Bedenken gegenüber der
geschäftlichen Nutzung mobiler Geräte. Tatsächlich
geben 86 Prozent der IT-Verantwortlichen an, dass
gedankenlose Mitarbeiter eine größere Gefahr für
die Sicherheit darstellen, als Cyberkriminelle. Und
92 Prozent räumen ein, dass durch ein anderes
Verhalten der Mitarbeiter schwerwiegende Security-
Vorfälle hätten verhindert werden können.
AUSSER KONTROLLE
4.1 QUELLE: Check Point Software Technologies
cc
GESCHÄFTSDATEN IN GEFAHR
GEISTIGES EIGENTUM
NETZWERKZUGANGS-DATEN
STANDORT DES MITARBEITERS
BEVORZUGTE KOMMUNIKATION TELEFONATE
35MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 35
Endgeräte bestehen, die sowohl geschäftliche als
auch private Daten und Applikationen enthalten
(67 Prozent der Untersuchungsteilnehmer).
Noch mehr Gewicht kommt den BYOD-
Herausforderungen im Kontext einer weiteren,
global durchgeführten Studie zu. Hier wurde
kommerzielle, mobile Observierungssoftware
unter die Lupe genommen, wie sie typischerweise
für die Überwachung – in manchen Fällen auch
für das Ausspionieren – von Kindern genutzt
wird. Der Grund: Solche Produkte sind anfällig
für mobile Remote Access-Trojaner (mRATs), die
ganz oben auf der Liste mobiler Malware stehen.
Es wurden mehr als 500.000 Android- und 400.000
iOS-Geräte in mehr als 100 Ländern untersucht,
die über Check Point-Firewalls auf geschäftliche
Drahtlosnetzwerke zugriffen. Sollten Endgeräte
hierbei mit einem Command & Control (C&C)-
Server kommunizieren, würden sie als infiziert
eingestuft. Die Analysten stellten fest, dass von
1.000 Endgeräten jeweils eines infiziert war. Die
Untersuchung ergab außerdem, dass bei 2.000 oder
mehr mobilen Endgeräten in einer Organisation
eine 50prozentige Wahrscheinlichkeit besteht,
dass sich mindestens sechs infizierte oder
ins Ziel genommene, mobile Endgeräte im
Netzwerk befinden. Nach Plattform betrachtet,
fallen davon 60 Prozent auf Android und 40 Prozent
auf iOS.
4.2 QUELLE: Check Point Software Technologies
BYOD-HERAUSFORDERUNGEN AN DIE SECURITY
ABSICHERUNG DER GESCHÄFTSINFORMATIONEN 72
MANAGEMENT PERSÖNLICHER ENDGERÄTE, DIE SOWOHL GESCHÄFTLICHE ALS AUCH PRIVATE
DATEN UND APPLIKATIONEN ENTHALTEN67
NACHVERGOLGUNG UND KONTROLLE DES ZUGRIFFS AUF GESCHÄFTLICHE UND PRIVATE NETZWERKE 59
FORTLAUFENDE AKTUALISIERUNG DER MOBIL GENUTZTEN BETRIEBSSYSTEME UND APPLIKATIONEN 46
FINDEN AGNOSTISCHER SECURITY-LÖSUNGEN (Z.B. FÜR DAS MANAGEMENT ALLER BETRIEBSSYSTEME) 42
PROZENT DER ORGANISATIONEN
WIR HABEN KEINE BYOD-HERAUSFORDERUNGEN 5
ANDERE 2
3636 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN
Hacker können ein Unternehmen angreifen,
indem sie sensitive Informationen von den
mobilen Endgeräten seiner Mitarbeiter abziehen.
Schadhafte mRATs machen es potenziellen
Angreifern möglich, Daten von mobilen
Endgeräten zu stehlen. Sie können die Kontrolle
über verschiedene Sensoren übernehmen und
damit z.B. Keylogging ausführen, Nachrichten
stehlen, Videokameras einschalten u.v.m. Die
Untersuchung ergab interessanterweise, dass
besonders Mitarbeiter großer Organisationen zum
Ziel von mRATs werden. Insbesondere zeigte die
Studie, dass die Angreifer bevorzugt bestimmte
Organisationen ins Visier nahmen, innerhalb
derer sie dann verschiedene Ziele angriffen – statt
auf die Angestellten beliebiger Organisationen
abzuzielen und diese dann ohne Zusammenhang
mit dem Unternehmen zu attackieren.
Auf die Frage, welche mobile Plattform nach ihrem
Ermessen die meisten Probleme verursacht,
bezeichneten in der schon zuvor erwähnen Studie
rund 64 Prozent der IT-Verantwortlichen Android als
größtes Risiko – gefolgt von Apple iOS und Windows
Mobile mit je 16 Prozent. Nur vier Prozent nannten
BlackBerry.
WAS IST DER SCHADEN?
UntersuchungsstichprobeMehr als 500.000 Android- und 400.000 iOS-Geräte aus mehr als 100 Ländern
InfektionenEtwa 1.000 infizierte Endgeräte, davon 60% Android und 40% iOS
MalwareEs wurden mehr als 20 Varianten und 18 verschiedene mRAT-Produktfamilien entdeckt
RisikoUnternehmensdaten in Form von Emails, Messages, Keystrokes, Telefonaten und Mitarbeiterstandort
STUDIE ZU MOBILEN BEDROHUNGENGezielte Attacken auf mobile Endgeräte im Unternehmen
37
STUDIE ZU MOBILEN BEDROHUNGENGezielte Attacken auf mobile Endgeräte im Unternehmen
MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 37
4.3 QUELLE: Check Point Software Technologies
18 MRAT FAMILIES FOUND
Mobile Spy
Shadow Copy Mspy
Spy2Mobile
My Mobile Watchdog
Andere
Bosspy
MobiStealthTalkLog
3838 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN
Das Schöne an der Interprozess-Kommunikation (IPC) ist, dass sie unterschiedliche, spezialisierte Prozesse
innerhalb eines Betriebssystems ineinandergreifen lässt. In Android ist der hierfür erforderliche Message-
Passing-Mechanismus „Binder“. Im Oktober 2014 fanden Check Point-Experten in Verbindung mit diesem
System einen gravierenden Fehler, den sie in einem Report mit dem Titel „Man-in-the Binder: Wer die IPC
kontrolliert, kontrolliert das Droid“ dokumentierten. Im Wesentlichen stellten die Check Point-Forscher
fest, dass es die Möglichkeit gibt, die über das Binder-Protokoll kommunizierten Daten und sensitiven
Informationen abzufangen.
Die wichtigsten Ergebnisse:• Informationen, die über die Applikationen auf einem Android-Device gesendet und empfangen werden,
einschließlich der durch 2-Faktor-Autentifierzierung, Verschlüsselungscodierung und andere Security-
Maßnahmen gesicherten Daten, können abgefangen werden.
• In die abgefangenen Befehlszeilen können „Man-in-the-middle“-Kommandos eingegeben, es können also
sog. Janus-Angriffe durchgeführt werden.
• Über den Binder abgefangene Daten können Eingaben über die Gerätetastatur, anwendungsbezogene
Aktivitäten wie Banking, Transaktionen und SMS-Nachrichten umfassen.
Sie erfahren mehr über Man-in-the-Binder und andere Untersuchungsergebnisse von Check Point unter
checkpoint.com/threatcloud-central.
ACHTUNG VOR DEM BINDER
Kein Wunder also, dass Hacker mit Android einen
Heidenspaß haben – weist es doch einen deutlich
höheren Risikofaktor auf, als andere Lösungen.
Eine erst kürzlich entdeckte Malware macht
Android-Benutzer glauben, dass sie ihr Mobilgerät
ausgeschaltet haben – was aber nicht wirklich
der Fall ist. Berichten zufolge erlaubt die Malware
dann Remote-Anwendern mit dem Device des
Opfers zu telefonieren, Nachrichten zu senden
und zu empfangen und sogar Fotos zu machen.20
Letztendlich eröffnet dies einen einfachen Weg zum
Diebstahl von Identitäten und Daten.
Es ist erfolgskritisch, sich der Risiken bewusst zu
sein, die mit mobiler Technologie einhergehen. In
den kommenden Monaten werden wir uns mehr und
mehr mit den Security-Auswirkungen von tragbarer
Technologie und uns begleitenden Devices wie Fitbit,
Google Glass, Smartwatches und anderen Geräten,
die sich wiederum mit Tablets und Smartphones
verbinden, beschäftigen müssen. Das Internet
der Dinge (Internet of Things, IoT) wird sowohl zu
Hause als auch am Arbeitsplatz allgegenwärtig, und
die Vernetzung der Technologien wird es möglich
machen, alles zu lesen, was von einem Gerät auf
ein anderes übertragen wird. Es ist deshalb an
der Zeit, dass wir uns intensiv mit den Fragen und
Auswirkungen von Mobile Security befassen.
39MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 39
Schirmen Sie Bereiche voneinander abSchaffen Sie eine sichere Geschäftsumgebung
und separieren Sie Ihre Geschäftsdaten und
Applikationen, einschließlich der Daten auf privaten
Endgeräten. Wird das Gerät kompromittiert,
können Schutzmaßnahmen zur Absicherung der
Unternehmensdaten aktiviert werden, bis die Gefahr
beseitigt ist.
Vereiteln Sie BedrohungenIdentifizieren und verhindern Sie Cyberbedrohungen
und schützen Sie Ihre mobilen Endgeräte. Stellen
Sie sicher, dass Ihre Mobile Security-Lösung dabei
unterstützt, verdächtige Downloads zu verhindern,
schadhafte Webseiten zu blockieren und Gefahren
abzuwenden, noch bevor diese Schaden anrichten
können.
Gehen Sie in die CloudSchützen Sie Ihren Netzwerkverkehr über Cloud-
Services, die Ihre geschäftlichen Richtlinien auf
mobile Endgeräte (BYOD) ausweiten und Ihre Com-
pliance sicherstellen. Nutzen Sie eine Lösung, die
für inner- und außerbetriebliche Nutzung nur eine
Security-Policy nutzt und durchsetzt und Ihre Mobil-
anwender auch über die Grenzen der betrieblichen
Security-Maßnahmen hinaus begleitet.
EMPFEHLUNGEN
Bauen Sie nicht auf MDM als AlleinlösungMobile Device Management (MDM) erlaubt der IT-
Abteilung die Kontrolle darüber, was der Anwender
mit seinem Endgerät tun darf, und was nicht. Doch
MDM weist auch zwei entscheidende Defizite auf:
Zum einen können MDM-Policies aus Anwendersicht,
je nach IT-Abteilung, als sehr restriktiv empfunden
werden. Fühlen sich die Mitarbeiter aber in ihrer
Freiheit beschnitten, finden sie gerne Wege, die
Security-Maßnahmen zu umgehen. Zweitens
ist aus Unternehmenssicht zu berücksichtigen,
dass MDM die mobilen Endgeräte nicht wirklich
schützt, denn MDM-Lösungen umfassen keine
Malware-Funktionalitäten. Sie müssen neben
MDM also immer noch Lösungen identifizieren, die
das Endgerät selbst schützen sowie die ein- und
ausgehenden Daten kontrollieren.
Schützen Sie den WegDer Schutz von Dokumenten ist ein in der Mobile
Security gerne übersehener Aspekt. Kontrollieren
Sie Ihre Geschäftsdokumente, ganz egal, wohin sie
gehen. Verschlüsseln Sie Ihre Dateien und stellen
Sie sicher, dass ausschließlich autorisierte Nutzer
Zugriff haben. Lösungen wie Check Point Capsule
bieten Dokumentensicherheit und granulare
Kontrolle über die Datenzugriffsberechtigung.
„Was wir mit Technologien wie mobilen Endgeräten und Cloud Computing
erleben ist, dass sie Geschäftsmodelle ermöglichen, die bisher schlicht
nicht existiert haben…
Die etablierten Giganten dieser Welt werden empfindlich gestört von jungen
Unternehmen, die neue Technologien zu nutzen wissen, um für Ihre Kunden
grundlegend neue, noch nie da gewesene Wertangebote zu schaffen.“ 21
-Eric Schmidt, Chairman von Google
4040 | CHECK POINT - 2015 SECURITY REPORT
APPLIKATIONEN:DORT, WO ES WEH TUT
„Da sich unsere Gesellschaft zu einer entwickelt, die auf Daten gestützt ist, werden unsere kollektiven Entscheidungen darüber, wie diese Daten genutzt werden können, bestimmen, in welcher Form von Kultur wir leben.“ 22
–John Battelle, Entrepreneur, Autor, und Journalist
05
41APPLIKATIONEN: DORT, WO ES WEH TUT | 41
Die digitale Landschaft, in der wir leben, ist
heimtückisch und trügerisch. Die Gefahren treten in
Form von Angriffen, internen Fehlern oder Sabotage
auf. Ein ganz besonders verletzlicher Bereich
der Unternehmen ist jedoch der, worauf sich ihre
geschäftliche Produktivität am stärksten stützt: die
Applikationen.
Einige Applikationen, wie File Sharing, sind ganz
offensichtlich riskant. Andere jedoch treten
hier weniger hervor, denn sie sind Teil der s.g.
„Schatten-IT“ – Applikationen also, die nicht von der
zentralen IT-Organisation gefördert oder unterstützt
werden. Vielmehr werden diese Technologien
und Anwendungen an der IT vorbei erworben und
installiert – als Zusatztools, die den Usern ihre Arbeit
erleichtern.
Da also andere von diesen Applikationen
abhängen, kann die IT ihren Einsatz nicht einfach
blockieren. Sind die Tools aber erlaubt, muss
auch die entsprechende Threat Prevention, also
Gefahrenabwehr, implementiert sein. Das Netzwerk
muss unter der Annahme geschützt werden, dass
diese hochriskanten Applikationen tatsächlich
schadhaft SIND und nicht, dass sie es sein KÖNNTEN.
Um Ihnen einen Eindruck von der Verbreitung
hochriskanter Applikationen zu geben: Check Point-
Forscher haben sie in 96 Prozent aller untersuchten
Organisationen nachgewiesen – ein Zuwachs um 10
Prozentpunkte gegenüber dem Vorjahr.
Zu den wichtigsten, untersuchten Kategorien
gehören:
• Remote eingesetzte Administrations-Tools –
Applikationen wie TeamViewer, RDP und LogMeIn
ermöglichen den Fernbetrieb Ihres Rechners und
seiner Funktionen, so als sei die Person physisch
zugegen. Ein Handy-Tool für die Fehlersuche bei
IT-Problemen kann gleichzeitig ein Werkzeug für
Hacker sein, das ihnen beängstigend viel Kontrolle
und Macht über Ihr Netzwerk gibt.
• Dateiablage und Sharing – Applikationen wie
DropBox und andere ermöglichen Ihnen den
Austausch und das Arbeiten mit größeren Dateien,
als Sie gewöhnlich per Email versenden können.
• P2P File Sharing – Das BitTorrent-Protokoll und
SoulSeek sind nur zwei Beispiele dafür, was in der
Regel für den Austausch von Medien wie Musik,
Videos oder Echtzeit-Kommunikation genutzt wird.
• Anonymizer – Mithilfe von Browser-Plugins oder
Web-Services wie Tor oder OpenVPN können Online-
Anwender anonym agieren. Solche Tools können
96% der Organisationen nutzen wenigstens eine hochriskante Applikation.
4242 | APPLIKATIONEN: DORT, WO ES WEH TUT
legitim genutzt werden und Risiken reduzieren.
Allzu oft aber werden sie für bösartige Zwecke
missbraucht.
In 2014 führten Remote Admin-Tools (RATs) die
Liste der Vorfälle mit hochriskanten Applikationen
an, 92 Prozent der untersuchten Unternehmen
waren betroffen. Unter allen verfügbaren RATs
verdrängte TeamViewer das Admin-Werkzeug
RDP von Platz Eins der Angriffsvektoren in dieser
Kategorie – 78 Prozent der Organisationen räumten
Sicherheitsvorfälle mit TeamViewer ein.
Der Einsatz von Anonymizern nahm der Check
Point-Studie zufolge über alle Bereiche hinweg zu.
Und während die Top-3-Vektoren in jeder wich-
tigen Kategorie von hochriskanten Applikationen
gegenüber dem Vorjahr in etwa konsistent
blieben, zeigte die Anonymizer-Kategorie mehr
Bewegung auf. So bildeten hier zum Beispiel Tor,
Ultrasurf und Hide My Ass das führende Triple. In
diesem Jahr rutschte Tor auf den dritten Platz,
OpenVPN und Coralcdn waren die Nummern Eins
und Zwei.
5.1 QUELLE: Check Point Software Technologies
In 92% der Organisationen wurden Remote Admin-Tools gefunden.
REMOTE-ADMINISTRATION FILE STORAGE UND -SHARING P2P FILE SHARING ANONYMIZER
92 90
8186 86
77 75
6256
43
PR
OZE
NT
DE
R O
RG
AN
ISAT
ION
EN
201220132014
80
61
NUTZUNG HOCHRISKANTER APPLIKATIONEN IN UNTERNEHMEN
43APPLIKATIONEN: DORT, WO ES WEH TUT | 43
Ob es um finanzielle Interessen geht oder einfach darum, ein Zeichen zu setzen – Hacker haben zahlreiche Tools zur Verfügung, um ihren Standort und ihre Identität zu verschleiern. Anders als landläufig in Hollywood-Streifen dargestellt, ist die Verfolgung und Identifizierung von Online-Kriminellen sehr komplex.
Cybercrime-Ermittler räumen ein, dass sie meist nur die kleinen Fische fangen, wenn es um Computerkriminalität geht. Kriminelle Organisationen, meist geführt von gut informierten und erfahrenen Hackern, bleiben häufig unentdeckt. Da sie geografisch verteilt, gut strukturiert und in Teilen voneinander abgeschottet arbeiten, kennen einzelne Hacker meist nur einen kleinen Teil der großen Organisation – was die Wahrscheinlichkeit ihrer Aufdeckung noch geringer werden lässt.
Für ihre Machenschaften „unter dem Radar“ setzen Cyberkriminelle ein ganzes Arsenal an Tools ein, das ihre Anonymität wahrt. Zunächst gilt es, die Spuren im Internet, die zu ihrem Standort führen könnten, zu verwischen. Das einfachste Tool hierfür ist ein Web-Proxy.
Auch „Anonymizer“ genannt, agiert ein Proxy-Server als zwischengeschalteter Client-Computer, der Requests an die ursprünglich angefragte Zieladresse zurückgibt. In den Anfangszeiten des Internet halfen Web-Proxys dabei, die IP-Adresse einer Quelle zu verbergen, werden aber heute viel einfacher aufgedeckt.
Sie verbergen ihren StandortDie Nutzung von VPN-Verbindungen ermöglicht dem Sender das Verschlüsseln des Datenverkehrs zwischen Endpunkten. Der VPN-Server kann genutzt werden, um die Identität eines Senders zu verbergen, indem er die Source-IP unauffindbar macht (in Echtzeit). Die Verbindung zwischen dem Rechner des Angreifers und dem VPN-Server ist verschlüsselt, so dass der Datenverkehr nicht entschlüsselt werden kann. Weder der VPN-Server selbst ist maskiert, noch sind es die Daten, sind sie einmal über die Grenzen der VPN-Verbindung hinaus geschickt worden.
Sie verbergen ihren WegFür weiter fortgeschrittenes Anonymizing setzen manche auf Tools wie Tor-Netzwerke. Das „Tor-Projekt“ setzt frei erhältliche Software ein, die ein Netzwerk aus 5.000 freiwilligen Relais-Stationen nutzt, um so den Standort und die Nutzung jedes einzelnen Nutzers zu tarnen. In einer Art Zwiebelschichtverfahren nutzt das Tor-Netzwerk für die Adressierung verschiedene Verschlüsselungsebenen, so dass ein Relais immer nur die Adresse für die nächste Station sehen kann, nicht aber die Quelle oder die endgültige Zieladresse.
Sie verbergen ihre Computer IDJeder Rechner, der auf das Internet zugreift, hat seinen eigenen Fingerabdruck: die interne, für jeden Computerprozessor einzigartige MAC-Adresse, in Verbindung mit seinen Betriebssystem- und Web-Zertifikaten. Eine der populärsten Möglichkeiten, eine Computeridentität zu verbergen bietet „Tails“, ein Betriebssystem, das von einer CD oder einem USB-Stick gebootet werden kann. Sein s.g. „One-time Workstation“-Feature transferiert die Identifikationssignaturen des Rechners zu dem CD/USB-Betriebssystem. Nach einmaliger Nutzung wird die CD/USB zerstört. Auf diese Weise können Angreifer die Rechneridentitäten auf dem gleichen Computer beliebig oft auswechseln.
In einigen Fällen nutzen Hacker mehrere Verhüllungsebenen, wie z.B. die Verbindung zu einem VPN hinter dem Tor-Netzwerk, bezogen aus einem öffentlichen Wi-Fi, was sowohl den Ursprungsrechner als auch die Stellen für das Internet-Routing verschleiert.
Wo ist Waldo?
4444 | APPLIKATIONEN: DORT, WO ES WEH TUT
5.2 SOURCE: Check Point Software Technologies
AMERICAS EMEA APAC2014
2013Tor ∙ Ultrasurf ∙ Hotspot Shield OpenVPN ∙ Coralcdn
Proxy SuppliersUltrasurf ∙ Tor ∙ Hide My AssANONYMIZER
Dropbox ∙ Windows Live OfficeHightail
Dropbox ∙ Windows Live OfficeHightail
Dropbox ∙ Windows Live OfficeHightail
FILE STORAGEUND SHARING
RDP ∙ LogMeIn ∙ TeamViewer RDP ∙ TeamViewer ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeInREMOTE ADMIN
BitTorrent Protocol ∙ SoulSeekBoxCloud
BitTorrent Protocol ∙ SoulSeekeDonkey Protocol
P2P FILE SHARING BitTorrent Protocol ∙ XunleiSoulSeek
Hola ∙ Tor ∙ Coralcdn OpenVPN ∙ CoralcdnProxy Suppliers
OpenVPN ∙ Coralcdn ∙ TorANONYMIZER
BitTorrent Protocol ∙ SoulSeekBoxCloud
BitTorrent Protocol ∙ SoulSeekiMesh
P2P FILE SHARING
Dropbox ∙ HightailWindows Live Office
Dropbox ∙ Hightail ∙ Jalbum Dropbox ∙ Hightail ∙ MendeleyFILE STORAGEUND SHARING
RDP ∙ LogMeIn ∙ TeamViewer TeamViewer ∙ RDP ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeInREMOTE ADMIN
BitTorrent Protocol ∙ XunleiQQ Download
DIE RISKANTESTEN APPLIKATIONEN NACH REGION
45APPLIKATIONEN: DORT, WO ES WEH TUTS | 45
„Hide My Ass“ war nicht sichtbar. Wahrscheinlich
gewann OpenVPN an Popularität als Folge der
Edward Snowden-Enthüllungen zu den Lauschan-
griffen der NSA. Der Grund ist, dass OpenVPN als
Industriestandard eine Verschlüsselungstechnologie
nutzt, die bei korrekter Implementierung nicht
durchbrochen werden kann. Inzwischen haben auch
andere Anonymizer stark an Popularität gewonnen,
auch wenn sie noch nicht zu den Top-3 gehören.
So hat es z.B. die Anonymizer-App Hola von nur
drei Prozent auf jetzt 17 Prozent geschafft. Ein Teil
5.3 QUELLE: Check Point Software Technologies
TOP REMOTE ADMIN-APPLIKATIONEN
PR
OZE
NT
DE
R O
RG
AN
ISAT
ION
EN
TEAMVIEWER
RDP
LOGMEINVNC
AMMYY A
DMIN
GOTOASSIS
T-
REMOTESUPPORT
78
69
43
24
12 11
BITTORRENT
SOULSEEK
XUNLEI
IMESH
EDONKEY
TOP P2P FILE SHARING +
BITTORRENT PROTOKOLL-
APPLIKATIONEN
60
2113 12 11
DROPBOX
HIGHTA
IL
WINDOWS LIVE O
FFICE
IMAGEVENUE
JALBUM
MENDELEY
SUGARSYNC
DROPBOX
WINDOWS LIVE O
FFICE
HIGHTA
IL (YOUSENDIT)
SUGARSYNC
IMAGEVENUE
MENDELEY
DROPBOX
HIGHTA
IL (YOUSENDIT)
WINDOWS LIVE O
FFICE
MENDELEY
IMAGEVENUE
TOP FILE STORAGE- UND SHARING-APPLIKATIONEN
69
51
2213
914
48
85
26
16 15 14
84
1420
14 11 11
201220132014
2014
2014
Die Organisationen erfuhren 12,7 Vorfälle mit hochriskanten Applikationen
pro Stunde, also 305 pro Tag.
4646 | APPLIKATIONEN: DORT, WO ES WEH TUT
ihres Erfolgswegs kann der Tatsache zugeschrieben
werden, dass sie zur richtigen Zeit am richtigen Ort
war. Hola tauchte exakt vor den Olympischen Spielen
in Sochi 2014 aus der Beta-Testphase auf. Da es über
Ländergrenzen hinweg den Zugriff aufs Internet
erlaubt, kann mit Hola auf Programmierungen, die
ansonsten nur an einem bestimmten, geografischen
Standort zur Verfügung stehen, von allen zugegriffen
werden, die das Tool zur Verschleierung ihrer
Geolokation benutzen.
5.4 QUELLE: Check Point Software Technologies
DIE POPULÄRSTEN ANONYMIZER-APPLIKATIONEN
PR
OZE
NT
DE
R O
RG
AN
ISAT
ION
EN
EINSATZ VON ANONYMIZER-APPLIKATIONEN NACH REGION
17
TOR
ULTRASURF
HIDE M
Y ASS
OPENVPN
2012
23
8 7
3
TOR
OPENVPN
CORALCDN
PROXY SUPPLIE
RSHOLA
2014
23 1918
17
TOR
ULTRASURF
HIDE M
Y ASS
OPENVPN
CORALCDN
2013
15 14 12 10 10
49
35
AMERICAS EMEA APAC
20122013
58
40
64
54
49
63
54
59
2014
47APPLIKATIONEN: DORT, WO ES WEH TUT | 47
Unternehmen fördern. Legen Sie dann fest, welche
Personen auf diese Programme Zugriff haben
sollten. Überwachen Sie Ihr Netzwerk und stellen
Sie sicher, dass dort keine abnormalen Applikationen
im Umlauf sind.
3. Verschlüsseln Sie Ihre Dokumente und verhindern
Sie so den Verlust von Daten. Wird eine Datei an eine
hierfür nicht berechtigte Person weitergegeben, so
hindert die Verschlüsselung den Empfänger daran,
das Dokument zu sehen oder zu öffnen.
4. Definieren und praktizieren Sie Kategorie-
basierte Applikationskontrolle. Helfen Sie Ihren
Administratoren dabei, Ihnen zu helfen. Geben Sie
ihnen die Möglichkeit, bei Bedarf ganze Kategorien
von Applikationen zu blockieren. Dies vereinfacht
die Administration durch Ausweitung der Policy-
Kontrolle auf neue Applikationen, sobald diese
aufgenommen werden.
„Wir leben in einer Welt voller Risiken, und es ist höchste Zeit dass wir uns ernsthaft damit befassen, über welche
davon wir besorgt sein sollten.“ 23
-Lisa Randall, Physkerin
EMPFEHLUNGEN
Während Malware – sowohl bekannte als auch
unbekannte – manchmal unkontrollierbar erscheint,
kann man die Nutzung hochriskanter Applikationen
immerhin in eine gewisse Ordnung bringen.
Nachstehend empfehlen wir Ihnen vier Schritte,
durch die Sie die Gefahr minimieren können:
1. Schulen Sie Ihre Mitarbeiter. Helfen Sie den
Menschen in Ihrer Organisation dabei, die mit
spezifischen Applikationen verbundenen Risiken zu
verstehen. Gehen Sie nicht davon aus, dass sie es
schon wissen. Weisen Sie die Mitarbeiter außerdem
auf sicherere, von der IT unterstützte Tools hin, die
ihren Geschäfts- und Produktivitätsanforderungen
ebenfalls genügen.
2. Standardisieren Sie auf bewährte, in größeren
Unternehmen einsetzbare Applikationen. Identi-
fizieren Sie die spezifischen Applikationen, die
die Produktivität und die Innovationen in Ihrem
48
DATA LOSS:WIE SAND DURCH‘S STUNDENGLAS
06
48 | CHECK POINT - 2015 SECURITY REPORT
„Fehler sind eine Gegebenheit des Lebens. Es ist die Antwort auf den Irrtum, die zählt.“ 24
–Nikki Giovanni, Dichter, Schriftsteller, Pädagoge und Aktivist
49DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 49
Einbrüche ins Datennetz sind nicht der einzige Weg,
auf dem die „bösen Jungs“ ihren Job erledigen.
Manchmal setzen sie Komplizen ein, auch wenn dies
unwissentliche Helfer sind. Hier kommen Social
Engineering und Phishing ins Spiel. Inzwischen
kennen sich Cyberkriminelle so gut mit der
Psychologie ihrer Opfer aus, dass ihre E-Mails sogar
solchen Personen vertrauenswürdig erscheinen,
die sich als klug und erfahren bezeichnen würden.
So erhält ein Mitarbeiter beispielswiese eine E-Mail
von einem Personalvermittler, die den Empfänger
über eine offene Stelle informiert. Bringt dieser dann
sein Interesse zum Ausdruck, fragt der so genannte
Personalberater nach detaillierteren Informationen
über das Unternehmen und evtl. andere Bereiche.
In anderen Fällen erhalten Angestellte E-Mails
von Personen, die sich als Kollegen ausgeben und
nach sensitiven Informationen fragen, und zwar
mit genau den richtigen Worten, um eine Antwort
zu erhalten. Einige Arbeitgeber haben daher damit
begonnen, eigene Phishing-Tests durchgeführt.
Da interne Fehler zu einem großen Schlupfloch
für Datenverluste führen können, senden die
Unternehmen vorgetäuschte Phishing-Mails an die
eigenen Mitarbeiter. Fallen sie darauf herein, ist dies
eine lehrreiche Erfahrung.
Auch wenn diese internen Probleme nicht so sehr
im Fokus der Medien stehen, so sollten sie aber
bei Security-orientierten Unternehmen definitiv
auf der Liste stehen. In 2014 erfuhren 81 Prozent
der Organisationen wenigstens einen Vorfall mit
potentiellem Datenverlust. Genauer betrachtet liegt
die Rate von Data Loss-Vorfällen in den Unternehmen
bei 1,7mal pro Stunde, also 41mal pro Tag – eine
Steigerung um 41 Prozent im Vergleich zum Vorjahr.
Die Datenverlustrate bei den Unternehmen betrug 1,7mal pro
Stunde/41mal pro Tag.
5050 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS
DURCH MITARBEITER AUS DEM UNTERNEHMEN HERAUS
GESCHICKTE DATEN
PROZENT DER ORGANISATIONEN
2014 2013 2012
FIRMENEIGENE INFORMATIONEN
KREDITKARTENDATEN
GESCHÄFTSDATENSÄTZE
SENSITIVE PERSONAL-INFORMATIONEN
GEHALTSINFORMATIONEN
NETZWERK-INFORMATIONEN
PASSWORTGESCHÜTZTE DATEIEN
VERTRAULICHE OUTLOOK-NACHRICHTEN
BANKKONTONUMMERN
ANDERE
41% 35% 24%
30% 29% 29%
13% 14% 13%
10% 10% 14%
27% 31% 21%
5% 5% 7%
5% 4% 3%
20% 21% 6%
25% 22%
13% 14%
6.1 QUELLE: Check Point Software Technologies
51DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 51
Bei der Art der Daten, die gestohlen werden, liegen
schützenswerte, firmeneigene Informationen mit
41 Prozent deutlich vorn. Und dieser Wert steigt
weiter an, seit 2012 um nahezu 71 Prozent. Den
unrühmlichen zweiten Platz unter den verlorenen
Daten belegen Kreditkarteninformationen, mit einem
seit Jahren etwa gleichbleibenden Prozentanteil.
Der größte Sprung, wenn es um den Typ der
verlorenen Daten geht, ist bei Geschäftsdatensätzen
zu verzeichnen. Deren Anteil ist von sechs Prozent
in 2012 auf jetzt 20 Prozent gestiegen. Wie passiert
das? In manchen Fällen sendet ein Mitarbeiter eine
vertrauliche E-Mail vielleicht versehentlich auch an
jemanden außerhalb der Organisation. Fast jeder
von uns hat sicher schon einmal festgestellt, dass
sich beim Senden einer Email schon nach Eingabe
der ersten Buchstaben in die Adress-Zeile der Name
von selbst vervollständigt – jedoch nicht immer mit
dem, an den die Nachricht tatsächlich gehen soll. In
anderen Fällen sendet ein Mitarbeiter vielleicht in
wirklich schlechter Absicht eine vertrauliche E-Mail
per „bcc“ auch an externe Empfänger.
Interessanterweise nahmen solche Vorfälle in den
Unternehmen zwischen 2012 und 2013 etwas ab,
stiegen aber in 2014 wieder an. Im Durchschnitt
stellten die Unternehmen pro Tag vier Data Loss-
Vorfälle fest, bei denen eine E-Mail an verschiedene
interne Empfänger, gleichzeitig aber auch an
einen einzelnen externen Rezipienten ging.
15 Fälle von Datenverlust pro Tag wurden mit E-Mails
festgestellt, die per „an“ und „cc“ an sichtbare
Empfänger, zugleich aber auch per „bcc“ an mehr
als einen externen Empfänger geschickt wurden.
Es gibt aber noch weitere Gründe für das uner-
wünschte Durchsickern von Daten: Ein Mitarbeiter
macht irrtümlich private Informationen online
verfügbar und ein Dritter – vielleicht eine Aushilfskraft
oder ein Vertragspartner – stiehlt die Daten.
Alle 36 Minuten werden sensitive Daten aus der Organisation heraus geschickt.
Der Verlust von firmeneigenen Informationen hat in den vergangenen
drei Jahren um 71 Prozent zugenommen.
5252 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS
Ganz unabhängig davon, ob die Daten durch
externe oder interne Machenschaften verloren
gehen – der Appetit nach ihnen wird von nur
einer Sache angeregt: dem Hunger nach
finanzieller Bereicherung. Der Cybercrime ist
nicht nur profitabel, sondern er ist zum „Big
Business“ geworden. Denn die geklauten Daten
werden nicht mehr nur auf dem Schwarzmarkt
verkauft, sie werden eingehend vermarktet.
Websites veröffentlichen die derzeit zum Verkauf
stehenden Kreditkarten mit allen relevanten
Kriterien, etwa der herausgebenden Bank und den
Gültigkeitsdaten. Die Informationen werden also
nicht mehr an der dunklen Ecke und unter der
Hand an ein bis zwei Personen weiter gegeben.
Sie werden am helllichten Tag per „Nachricht an
alle“ hinausposaunt.
Und das passiert schneller, als man annehmen mag.
So werden Kreditkarteninformationen durchaus
schon 30 Minuten nach Verlassen ihrer Quelle,
z.B. eines Kaufhauses, auf dem Schwarzmarkt
feilgeboten. Je frischer der Diebstahl der Daten,
umso mehr Geld bringen sie ein. Und wer zahlt
dafür? Aufgrund der schlechten Security-Praxis im
Einzelhandel haben jetzt Gerichte in den Vereinigten
Staaten festgelegt, dass die Einzelhändler selbst
zur Verantwortung gezogen werden können und den
betroffenen Banken ihre Kosten unter Umständen
ersetzen müssen.
ALL OVER THE WORLDPROVIDE BULK CARDING SERVICES ALSO
ELECTRONICS CARDING SERVICE
FRESH WEEKLY UPDATES SNIFFED FROM POS411773 DEBIT PLATINUM 10/17 Yes 101 BANK OF AMERICA
N.A. 52.5$VISA +United States, NYRochester, 14623
American Sanctions 1
432388 DEBIT PLATINUM 05/15 Yes 101 WELLS FARGON.A. 52.5$VISA +United States, IA
Bettendorf, 52722American Sanctions 1
414548 DEBIT BUSINESS 05/16 Yes 101 MEMBERS 1ST F.C.U. 52.5$VISA +United States, PAHanover, 17331
American Sanctions 1
486831 DEBIT PLATINUM 04/17 Yes 101 WELLS FARGON.A. 52.5$VISA +United States, CO
Littleton, 80129American Sanctions 1
448055 DEBIT CLASSIC 01/16 Yes 101 ITS BANK 22.5$VISA +United States, WIGreen Bay, 54303
American Sanctions 1
414709 CREDIT SIGNATURE 10/16 Yes 101 CAPITAL ONE BANK(USA) N.A. 42.01$VISA +United States, CA
Mission Viejo, 92692American Sanctions 1
WOHIN FÜHRT DAS ALLES?
ELEKTRONISCHER KARTEN- VERKAUFSSERVICE
ERHÄLTLICH AUF DER GANZEN WELT
WÖCHENTLICHE UPDATES, FRISCH VOM POS (POINT OF SALE)
53DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 53
So wie Jäger, die auf schnelle Beute aus sind, haben
sich Cyberkriminelle auf den Point of Sale (PoS)
als ihren Jagdgrund fokussiert. Der Hauptgrund:
Sehr viele PoS-Terminals laufen auf veralteten
Betriebssystemen wie Windows XP, die nicht mehr
gepatcht und verwaltet werden. Im vergangenen
Jahr vermittelte der Blick in die einschlägige Presse
den Eindruck, als würde ein namhafter Einzelhändler
nach dem anderen von Sicherheitsvorfällen
heimgesucht. Das Jahr begann mit einem wahren
Knall, als Neiman Marcus eine Datenpanne erlitt
und 1,1 Millionen Datensätze mit Kontodaten verlor –
was jedoch noch im gleichen Monat durch den Vorfall
beim Heimwerkermarkt „Michael’s“ übertroffen
wurde. Dort gingen drei Millionen Datensätze
verloren. Im weiteren Verlauf des Jahres folgten
Taxiunternehmen, Schönheitssalons, Goodwill, UPS
und Dairy Queen. Das alles wurde mit 56 Millionen
verlorenen Datensätzen im September 2014 von
Home Depot getoppt. Zusammengenommen flossen
in den Vereinigten Staaten 112.250.000 Datensätze
in die Hände unbekannter Dritter ab, jeder dritte
Amerikaner war betroffen.
Zwar tauchen Infektionen mit PoS-Malware weltweit
auf, doch hier liegen die Vereinigten Staaten
deutlich vorne – sicherlich auch, weil sie noch
nicht in dem Chip- & PIN-Kartensystem sind, das
andere Länder nutzen. Chip & PIN ist ein weltweiter
SCHNELLES GELD
Zahlungsstandard, der in die Karte einen Chip
integriert, so dass sie nur zusammen mit einer PIN
genutzt werden kann. Hier muss der Einzelhandel
nacharbeiten und seine PoS-Systeme anpassen, um
mit diesem Standard kompatibel zu sein.
Doch Chip & PIN schützen nicht vor allen Gefahren.
Infektionen wie die „BackOff“-Malware, von der
zahlreiche US-Unternehmen betroffen waren, brachten
eine große Sicherheitslücke ans Licht: Die Malware
vorinstallierte Tools in den Beständen von sieben
großen PoS-Terminal-Herstellern, bevor die Systeme
an den Handel ausgeliefert wurden. Schwache oder
gleich gebliebene Admin-Passwörter gaben den
Hackern den Fernzugriff auf die Geräte.
Das Department of Homeland Security berichtet,
dass mehr als 1.000 Unternehmen in den USA
von der PoS-Malware betroffen waren 25, mit einer
immensen Auswirkung auf Organisationen und
Einzelpersonen. Allein die Kosten für den Ersatz
von Kreditkarten beliefen sich auf 1,3 Milliarden US-
Dollar. Eine LexisNexis-Studie mit dem Titel „Die
tatsächlichen Kosten der Computerkriminalität“
(„The True Cost of Fraud“,26) besagt, dass in 2014 der
durchschnittliche Einzelhändler 133 erfolgreiche,
betrügerische Transaktionen pro Monat hinnehmen
musste – ein Anstieg um 46 Prozent gegenüber dem
Vorjahr.
UNTERNEHMEN MIT WENIGSTENS EINEM POTENZIELLEN DATA LOSS-EVENT, NACH INDUSTRIE
FERTIGUNG FINANZEN ÖFFENTLICHE HAND TELEKOMMUNIKATION
61
78
87
7079
PR
OZE
NT
DE
R O
RG
AN
ISAT
ION
EN
5045
828888
7886
201220132014
6.2 QUELLE: Check Point Software Technologies
5454 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS
Während 2013 und 2014 erlebte der Einzelhandel
eine alarmierend hohe Anzahl von Datenpannen.
Die Angriffe führten zum Verlust von Millionen
von Kreditkarten- und Personendaten der
Kunden. Die betroffenen Unternehmen erlitten
erheblichen, finanziellen Schaden – der größte
der attackierten Einzelhändler verlor 13% seiner
Marktbewertung und erlitt merkliche Einbußen in
seinem Warenhausverkauf. Derartige Datenlecks
betreffen große und kleine Unternehmen
gleichermaßen. Zu den namhaftesten Opfern in
2013 und 2014 gehörten Michaels, Neiman Marcus,
PF Chang’s, Target und Home Depot – sie alle
erlitten immensen Schaden aus PoS-bedingten
Datenpannen.
Die Bedenken der Kunden bezüglich der Sicherheit
ihrer privaten und finanziellen Daten sind wach
gerüttelt, und die Geschäftsverantwortlichen
bemühen sich energisch um strukturelle
Veränderungen. Die kurzfristigen Auswirkungen
zeigen sich bereits jetzt, was all das langfristig
bedeutet, wird jedoch erst in den kommenden
Jahren deutlich werden.
Als Antwort auf diese Form von Sicherheitsvorfällen
reagieren die Unternehmen oft mit einer Art
Hau-Ruck-Aktion: Sie kümmern sich
beispielsweise nur um die offenkundigste,
sichtbare Schwachstelle oder setzen auf
eine Methode, die in den Medien besonders hohe
Aufmerksamkeit erhält.
Im Falle der jüngsten Datenpannen im Handel
wurde der Schwerpunkt auf die Umstellung
hin zu „Chip & PIN“-Kreditkarten gesetzt – ein
weltweiter Zahlungsstandard, der über den
physikalischen Chip auf der Karte in Verbindung
mit der persönlichen PIN des Karteninhabers auf
2-Faktor-Autentifizierung setzt. Aber schon eine
flüchtige Prüfung der bei den betroffenen Händlern
angewandten Angriffsmethoden zeigt, dass Chip &
PIN allein diese Vorfälle nicht verhindert hätten.
PoS: Nur ein Chip ist nicht genug
Die Hacker griffen die Einzelhändler über verfüg-
bare Remote-Verbindungen an. So verschafften
sie sich Zugang zu den Netzwerken der Opfer und
installierten mehrere Varianten von Malware und
Software-Tools, um schließlich die Kundendaten
abzufangen und zu exportieren. Schwächen im
Netzwerkdesign und in der Point-of-Sale (PoS)-
Konfiguration vereinfachten den Angreifern darüber
hinaus die Horizontalbewegung und Verseuchung
mit Malware.
Um sich vor derartigen Attacken zu schützen,
sollten Sie also auf einen umfassenden Ansatz
und die Implementierung einer mehrschichtigen
Lösung setzen, die das gesamte Netzwerk
adressiert – nicht nur die Teile, die am
verletzlichsten erscheinen.
55DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 55
Denken Sie immer daran, dass Security nicht still
steht, nicht statisch ist. Wenn Sie z.B. Ihren Körper
im Gleichgewicht halten, finden ganz unbemerkt
eine Vielzahl subtiler Bewegungen statt, die Ihnen
das aufrechte Stehen ermöglichen. Ganz ähnlich
können Sie Ihre Security betrachten. Um mit den
Bedrohungen Schritt zu halten, müssen Sie für eine
konstante Prüfung und Aktualisierung sorgen und
dabei immer in Bewegung bleiben. Machen Sie nicht
schon dort Halt wo Sie denken, dass Sie vor externen
Attacken sicher sind. Stellen Sie sicher, dass
auch das Innere abgedeckt ist. Insbesondere
empfehlen wir:
Schützen Sie Ihre Daten durch Verschlüsselung –
egal, ob sie gespeichert oder in Bewegung sind. Ziel
ist, für Ihre Daten einen schützenden Deckmantel
zu schaffen, wo auch immer sie hin gehen und
sich befinden. Wenn Ihre Daten verschlüsselt sind,
können sie ausschließlich von dafür autorisierten
Personen gesehen werden.
Erstellen Sie mehrere Schutzebenen mit Prüfstellen
und für den Datenabgleich.
Jeder hilft jedem zu verstehen – von der Führungs-
ebene bis zum einzelnen Mitarbeiter – wie wichtig die
Minimierung von Cybergefahren für den Schutz des
geistigen Eigentums und der unternehmerischen
Werte ist.
Binden Sie Ihre Belegschaft in die Verbesserung
Ihrer Sicherheitslage ein, indem Sie die Mitarbeiter
darin schulen, wie sie helfen können. Stellen Sie
Sicherheitsregeln auf, die die Mitarbeiter verstehen
und dabei unterstützen, sie durchzusetzen.
„Es ist besser, nach vorn zu schauen und sich vorzubereiten, als zurückzublicken und zu bedauern.” 27
-Jackie Joyner Kersee, Athlet und Olympischer Medaillengewinner
EMPFEHLUNGEN
5656 | INTRODUCTION AND METHODOLOGY
FAZIT UND EMPFEHLUNGEN:DER WEG ZU MEHR SCHUTZ
„‘Status quo‘, das wissen Sie, ist Lateinisch für ‚der Schlamassel, in dem wir gerade stecken‘.“ 28
–Ronald Reagan, Schauspieler und früherer Präsident der Vereinigten Staaten
07
56 | CHECK POINT - 2015 SECURITY REPORT
57FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 57
Fest steht: die Cyberkriminalität wird nicht
nachlassen. Die gravierenden Vorfälle in 2014
haben eindrücklich belegt, wie schlecht es um
die Internet-Sicherheit bestellt ist – Analysten
erwarten im Ergebnis ein Wachstum der Security-
Industrie um ihr Zehnfaches. Die Gefahren kommen
aus verschiedensten Richtungen und niemand
kann glaubwürdig behaupten, dass irgendein
Unternehmen vor einem Angriff wirklich sicher ist.
Es wäre im Gegenteil der größte Fehler, der einer
Organisation unterlaufen kann – wenn sie annähme,
sicher zu sein und ihre Security-Infrastruktur nicht
regelmäßig überprüfte.
Wenn Sie Ihre Sicherheitslage betrachten, dann
nehmen Sie sich ausreichend Zeit, Bedrohungen
und Schwachstellen wirklich zu verstehen. Achten
Sie auf beitragende Faktoren, und haben Sie immer
auch das große Bild davon vor Augen, wohin Sie Ihr
Unternehmen führen möchten. Gut vorbereitete
Organisationen wissen, dass die Security-Policy
auf strategischen Zielen, Geschäftsvorgaben und
der Unternehmenspolitik aufbauen muss – und mit
Prozeduren und Anforderungen, Leistungswerten
und, selbstverständlich, mit den Menschen auf allen
Ebenen der Organisation verknüpft sein muss.
Legen Sie Ihren Prozess fest und stellen Sie sicher,
dass er selbst so grundlegende Schritte umfasst,
wie das Durchführen von Software-Patches und
Updates. Denken Sie auch an das Ökosystem Ihrer
Partner und wie diese sich mit Ihrem Security-
Prozess verbinden lassen.
Wenn es um die Technologie geht, muss Ihr Security-
Programm verschiedenste Ebenen und Kontrollen
vereinen.
Da die Gefahren aus unterschiedlichen Quellen
und Richtungen kommen, sind einschichtige
Security-Architekturen und punktuelle Lösungen
aus Produkten verschiedener Hersteller nicht
mehr adäquat.
Beginnen Sie, sich Ihre Architektur als drei
ineinander greifende Ebenen vorzustellen.
Eine Software-definierte Schutzarchitektur, basierend
auf einem dreischichtigen Security-Konzept, ist die
beste Verteidigung gegen immer neue, schnelle
Attacken.
Enforcement Layer – die DurchsetzungsebeneErstellen Sie einen Gateway- und Endpoint-
basierten Sicherheitsplan, der Malware, Botnets
und schadhaften Inhalt prüft, identifiziert und
blockiert, der auf das Sammeln und Herausfiltern
„Der Kalte Krieg endete nicht in den 1990ern. Er ging nur online.“ 29
-Jose Paglieri, Journalist
5858 | FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ
von Kundeninformationen abzielt. Legen Sie
Authentifizierungsregeln für den Zugriff auf Netz-
werke und Applikationen fest um zu verhindern,
dass nicht autorisierte Anwender und Systeme in
sensitive Bereiche Ihres Netzwerks eindringen.
Control Layer – die KontrollebeneRichten Sie Administrator-determinierte Security-
Policies und automatisierte Schutzmaßnahmen
ein. Erstellen Sie Regeln, die insbesondere die
Zugriffskontrolle und die Sicherheitsbestimmungen
an den s.g. Enforcement Points definieren. Grenzen
Sie das Verhalten von Applikationen und Systemen
auf das „Least-Privilege“-Prinzip ein – jeder
Benutzer, jeder Dienst und jedes System erhält
damit nur die Rechte, die zur Erfüllung der jeweiligen
Aufgaben erforderlich sind.
Bei der Wahl spezifischer Lösungen sollten Sie
darauf achten, dass Sie mit diesen (1) jede Art
von eingehendem Dateityp untersuchen können,
einschließlich gesicherte und verschlüsselte
Dateien, (2) Zero-Day-Threats identifizieren können,
und zwar sowohl innerhalb als auch außerhalb des
Betriebssystems und (3) ohne jeden Zeitverzug
sichere, absolut Malware-freie Dokumente erhalten.
Den besten Schutz Ihres Unternehmens vor
Angriffen bietet eine schnelle Betriebslösung mit
hoher Abfangquote.
Check Point empfiehlt folgende Schutzmaß-
nahmen: Tief greifende Sandbox-Funktionalitäten
auf Betriebssystem- und CPU-Ebene für das
Erkennen und Blockieren von Malware
Threat Extraction, also das Entfernen potenziell
schädlicher Funktionen, um eingehende Dokumente
ohne jede zeitliche Verzögerung und frei von
Malware wiederherzustellen.
Dieser Ansatz achtet auf schadhafte Aktivitäten auf
der Betriebssystemebene und nutzt dies auf CPU-
Level. So werden Angriffe verhindert, noch bevor
sie umgesetzt werden können. Das Erkennen von
Exploit-Versuchen noch vor der Infektion unterstützt
Sie dabei, Umgehungstechniken zu unterbinden.
Durch die Verbindung von Betriebssystem- und
CPU-Level-Sandboxing mit Threat Extraction steht
Ihnen eine Technologie der Neuen Generation zur
Verfügung, die die bestmögliche Verhinderungsrate
für Bedrohungen aufweist.
Management Layer – die VerwaltungsebeneÜberwachen Sie alle geschäftsrelevanten Admi-
nistratorrechte und erstellen Sie ein umfassendes
Reporting. Implementieren Sie Intelligenzbasierte
Threat Prevention, die sich unabhängig aktualisiert
und neue Schutzmaßnahmen pro-aktiv an die Enforce-
ment Points weiter gibt. Nicht auf dem aktuellen Stand
zu sein ist eine der größten Schwachstellen in den
meisten Netzwerken. Implementieren Sie Event Ma-
nagement-, Logging- und Reporting-Tools, die evtl.
Vorfälle in Echtzeit identifizieren sowie Filtering-
und Analyse-Tools umfassen. So stellen Sie sicher,
dass Ihre Administratoren Einsicht in tatsächliche
Angriffe haben und nicht mit eher unkritischen Vor-
fällen überhäuft sind.
Da mobile Endgeräte mehr und mehr auch zu den
bevorzugten Arbeitsmitteln gehören, gehen wir davon
aus, dass Hacker sie verstärkt als Angriffsvektoren
nutzen werden. Darüber hinaus geben einer Studie
des Ponemon-Instituts zufolge rund 40 Prozent aller
Entwickler von mobilen Applikationen ihre Apps frei,
ohne sie zuvor auf Sicherheitslücken untersucht
zu haben.30 Dieser Tatsache und den Vorfällen aus
dem vergangenen Jahr Rechnung tragend,
betrachten wir 2015 als das Jahr, in dem Sie
Ihre Mobile Security-Strategie definiere und eine
offensivere Haltung bezüglich Ihrer Security-Lage
WAS NOCH?
59FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 59
„Die riskanteste Sache, die wir tun können, ist einfach nur den Status Quo zu erhalten.“ 33
-Bob Iger, Unternehmer, Chairman/CEO bei Walt Disney Company
einnehmen sollten – nicht zuletzt im Hinblick auf die
enorme Zunahme mobil genutzter Zahlungssysteme.
Auch wenn für einige Lösungen wie Apple Pay,
Google Wallet und PayPal verschiedene Security-
Vorkehrungen getroffen wurden, etwa die s.g.
Tokenisierung und Verschlüsselung, sind nicht
alle Systeme eingehend auf ihre Standhaftigkeit
gegenüber realen Gefahren getestet worden. Soviel
ist sicher – die Hacker werden nach brauchbaren
Sicherheitslücken suchen.
Bis zum Jahr 2018, das nimmt z.B. ABI Research
an, wird die Anzahl der ausgelieferten, mobilen
Computergeräte auf 485 Millionen steigen.31
Die Analysten von Gartner glauben, dass in
2015 bereits 4,9 Milliarden solcher Endgeräte
im Einsatz sind – ein Zuwachs von 30 Prozent
gegenüber dem Vorjahr. Produzierende Betriebe,
Versorgungsunternehmen und das Transportwesen
werden, so die Gartner-Experten, die stärksten
Nutzer des Internets der Dinge (Internet of Things,
IoT) sein – mit zusammen 736 Millionen verbundenen
Dingen. Bis 2020 sollen es laut Gartner bereits
25 Milliarden verbundene Dinge sein.32
Als ein Ergebnis aus all dieser Konnektivität
müssen wir mit mehr Sicherheitslücken, mit mehr
Bedrohungen rechnen. Für uns bei Check Point
ist der Auftrag klar: Wir sichern die Zukunft ab.
Gleichermaßen zukunftsorientiert müssen auch
die Unternehmen sein. Es ist unverzichtbar, sich
über langfristige Ziele und die Möglichkeiten einer
Optimierung der Security-Infrastruktur klar zu sein,
so dass diese auch Ihre Visionen für die Zukunft
unterstützt.
Lernen Sie die potenziellen Gefahren und
Sicherheitslücken verstehen, erstellen Sie einen
soliden, an Ihrem Unternehmen ausgerichteten Plan
und stellen Sie sicher, dass die Schutzmaßnahmen
in Ihre IT-Infrastruktur integriert sind – so machen
Sie Security zu einer treibenden Kraft. Und
setzen Innovationspotenziale frei. Und bauen eine
Umgebung auf, die hohe Leistung und Produktivität
erbringen kann.
Wenn Sie eine verlässliche Einschätzung der
Sicherheitslage Ihres Unternehmens wünschen,
melden Sie sich einfach für einen kostenfreien
Check Point Security Check-Up unter
www.checkpoint.com/resources/securitycheckup
an. Wollen Sie mehr über Check Point erfahren
und wie wir Sie dabei unterstützen können, Ihr
Unternehmen zu sichern, besuchen Sie uns auf
www.checkpoint.com.
60
1 Stoll, Cliff. “The Call to Learn.” TED Talk. February 2006.
2 Obama, Barack. The Cybersecurity and Consumer Protection Summit. February 13, 2015.
3 Check Point Software Technologies. http://www.checkpoint.com/resources/securitycheckup/
4 AV-Test. http://www.av-test.org/en/statistics/malware/
5 Lacy, Sarah. “The Irony of the Social Media Era: It Was Created By the World’s Least Social People.”
Huffington Post, July 15, 2012. http://www.huffingtonpost.com/sarah-lacy/social-media-entrepreneurs-
mark-zuckerberg_b_1518471.html
6 Amira, Dan. “Q&A With Nate Silver on His New Book, Whether Romney Has a Shot, and Why He
Doesn’t Play Fantasy Baseball Anymore.” New York Magazine, September 28, 2012.
http://nymag.com/daily/intelligencer/2012/09/nate-silver-book-signal-noise-interview.html
7 Check Point Software Technologies. “The Unknown 300 Test Report,” 2014.
https://www.checkpoint.com/downloads/300TestReport.pdf
8 Saint-Exupery, Antoine de. Wind, Sand and Stars, 1939.
9 Pareles, Jon. “Madonna on ‘Rebel Heart,’ Her Fall and More.” The New York Times, March 5, 2015.
http://nyti.ms/1A29332
10 Spamhaus. “The Spamhaus Project.” http://www.spamhaus.org/news/article/720/spamhaus-botnet-
summary-2014
11 Ward, Jillian. “Power Network Under Cyber-Attack Sees U.K. Increase Defenses,” Bloomberg Business,
January 8, 2015. http://www.bloomberg.com/news/articles/2015-01-09/power-grid-under-cyber-attack-
every-minute-sees-u-k-up-defenses
12 Prince, Brian. “Almost 70 Percent of Critical Infrastructure Companies Breached in Last 12 Months:
Survey,” SecurityWeek, July 14, 2014. http://www.securityweek.com/almost-70-percent-critical-
infrastructure-companies-breached-last-12-months-survey
13 CVE Details. http://www.cvedetails.com/browse-by-date.php; http://www.cvedetails.com/top-50-
vendors.php?year=2014
REFERENZEN
60 | REFERENZEN
61
14 Kirk, Jeremy. “An SDN vulnerability forced OpenDaylight to focus on security,” CSO, March 25, 2015.
http://www.csoonline.com/article/2902902/vulnerabilities/an-sdn-vulnerability-forced-opendaylight-
to-focus-on-security.html
15 Reilly, Claire and Musil, Steven. CNET, September 24, 2014.
http://www.cnet.com/news/bigger-than-heartbleed-bash-bug-could-leave-it-systems-shellshocked/
16 Gilbert, David. “What is POODLE? The Latest Online Security Threat After Shellshock and Heartbleed,”
International Business Times, October 16, 2014. http://www.ibtimes.co.uk/what-poodle-latest-online-
security-threat-after-shellshock-heartbleed-1470300
17 Singh, Anita. “Hay Festival 2012: Salman Rushdie on security and The Satanic Verses,” The Telegraph,
June 3, 2012. http://www.telegraph.co.uk/culture/hay-festival/9309641/Hay-Festival-2012-Salman-
Rushdie-on-security-and-The-Satanic-Verses.html
18 Pinter, Harold. The Homecoming, 1965.
19 Taft, Darryl K. “IBM Study Shows Mobile App Developers Neglecting Security,” eWeek, March 21, 2015.
http://www.eweek.com/developer/ibm-study-shows-mobile-app-developers-neglecting-security.html
20 Schroeder, Stan. “Android Malware Spies on You Even After Phone Is Shut Down,” Mashable,
February 19, 2015. http://mashable.com/2015/02/19/android-malware-spies-shut-down/
21 Schawbel, Dan. “Eric Schmidt and Jonathan Rosenberg: What We Can Learn From Google,” Forbes,
September 23, 2014. http://www.forbes.com/sites/danschawbel/2014/09/23/eric-schmidt-and-
jonathan-rosenberg-what-we-can-learn-from-google/
22 Battelle, John. “Thoughts on Ford’s OpenXC: In the Future, Brands with Open Data Will Win,”
August 18, 2013. http://battellemedia.com/archives/2013/08/thoughts-on-fords-openxc-in-the-future-
brands-with-open-data-will-win.php
23 Irion, Robert. “Opening Strange Portals in Physics,” Smithsonian Magazine, December 2011.
http://teachers.smithsonian.com/science-nature/opening-strange-portals-in-physics-92901090/?all
24 Giovanni, Nikki. Black Feeling, Black Talk, Black Judgment, 1970.
REFERENZEN | 61
62
25 United States Computer Emergency Readiness Team. US-CERT, August 27, 2014.
https://www.us-cert.gov/ncas/alerts/TA14-212A
26 LexisNexis. “2014 LexisNexis® True Cost of FraudSM Study.”
http://www.lexisnexis.com/risk/downloads/assets/true-cost-fraud-2014.pdf
27 Schwartz, Larry. “Joyner Kersee Completes Huge Leap,” ESPN.com.
https://espn.go.com/sportscentury/features/00016055.html
28 Reagan, Ronald. “Address Before a Joint Session of the Tennessee State Legislature in Nashville,”
March 15, 1982. http://www.presidency.ucsb.edu/ws/?pid=42270
29 Paglieri, Jose. “Russia Attacks U.S. Oil and Gas Companies in Massive Hack,”CNN Money, July 2, 2014.
http://money.cnn.com/2014/07/02/technology/security/russian-hackers/
30 Vijayan, Jai. “Rush To Release Resulting In Vulnerable Mobile Apps,” Dark Reading, March 20, 2015.
http://www.darkreading.com/attacks-breaches/rush-to-release-resulting-in-vulnerable-mobile-
apps/d/d-id/1319566
31 ABI Research. “Wearable Computing Devices, Like Apple’s iWatch, Will Exceed 485 Million Annual
Shipments by 2018,” ABIResearch.com, February 21, 2013.
https://www.abiresearch.com/press/wearable-computing-devices-like-apples-iwatch-will/
32 Moore, Michael. “Internet Of Things To Hit 4.9 Billion Things By 2015,” TechWeekEurope, November 11,
2014. http://www.techweekeurope.co.uk/e-innovation/internet-of-things-4-9bn-gartner-155298
33 Iger, Bob. Disney Shareholder Meeting, Anaheim, NBC News, March 3, 2006.
http://www.nbcnews.com/id/11767409/ns/business-us_business/t/pixars-star-disney-
shareholders-meeting/#.VSRlovnF9Zt
62 | REFERENZEN
63
KONTAKTIEREN SIE UNS:Check Point Software Technologies
Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos
D: +49 (0)811 99821 0, [email protected]
Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien
A: +43-1-99460-6701, www.checkpoint.com
Schweiz: Zürcherstr. 59, 8953 Dietikon
CH: +41-44-316-64-41, www.checkpoint.com
WE SECURE THE FUTURE
64
WE SECURE THE FUTURE
www.checkpoint.com