2015 SECURITY REPORT - Inter-Networking · 2016-09-02 · Check Point sammelte in 2014 weltweit Event-Daten aus drei verschiedenen Quellen, ... 2013 auf 2014 um 71 Prozent von 83

2015 SECURITY

REPORT

KONTAKTIEREN SIE UNS:

Check Point Software Technologies

Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos

D: +49 (0)811 99821 0, [email protected]

Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien

A: +43-1-99460-6701, www.checkpoint.com

Schweiz: Zürcherstr. 59, 8953 Dietikon

CH: +41-44-316-64-41, www.checkpoint.com

WE SECURE THE FUTURE

3CHECK POINT - 2015 SECURITY REPORT | 3CHECK POINT - 2015 SECURITY REPORT | 3

CHECK POINT2015 SECURITY REPORTCHECK POINT2015 SECURITY REPORT

01 EINFÜHRUNG UND METHODOLOGIE 04

02 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 10

03 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 18

04 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 32

05 APPLIKATIONEN: DORT, WO ES WEH TUT 40

06 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 48

07 FAZIT UND EMPFEHLUNGEN: 56

DER WEG ZU MEHR SCHUTZ

REFERENZEN 60

01 EINFÜHRUNG UND METHODOLOGIE 04

02 UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE 10

03 BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH 18

04 MOBILE SECURITY: SCHRÄNK MICH NICHT EIN 32

05 APPLIKATIONEN: DORT, WO ES WEH TUT 40

06 DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS 48

07 FAZIT UND EMPFEHLUNGEN: 56

DER WEG ZU MEHR SCHUTZ

REFERENZEN 60

4

EINFÜHRUNGUND METHODOLOGIE

„Wenn du etwas zum ersten Mal tust, ist es Wissenschaft. Tust du es zum zweiten Mal, ist es Entwicklung.“ 1

–Clifford Stoll, Astronom, Autor und Pionier in der digitalen Forensik

4 | CHECK POINT - 2015 SECURITY REPORT

01

5

In der Wissenschaft geht es um Entdeckung – das

Studieren von Ursache und Wirkung. Wurde etwas

einmal verstanden und ist berechenbar, dann

entsteht ein Prozess – wir wollen es nachbilden

und weiter entwickeln. Genauso verhält es sich in

der Welt der Internetgefahren. Cyberkriminelle

studieren die Strukturen und denken darüber nach,

wie sie sich bestimmte Faktoren für die gewünschten

Ergebnisse zunutze machen könnten. Haben sie

einmal ein berechenbares Modell, machen sie sich

an die Entwicklung um das, was sie konstruiert

haben, mit dem größtmöglichen Effekt zum Einsatz

zu bringen.

Was sind ihre Tools?1. Malware – schadhafter Software-Code, den Hacker

entwickeln, um Störungen herbeizuführen oder

Daten zu stehlen. Wird die Malware erkannt, werden

Signaturen erstellt die dabei helfen, sie bei weiteren

Angriffsversuchen zu identifizieren, zu filtern und zu

blockieren. Spätestens jetzt beginnen die Angreifer

jedoch bereits, am Code herumzubasteln, um neue,

unbekannte Malware zu erstellen.

2. Schwachstellen – Defekte in der Software oder

den Betriebssystemen, die in praktisch allen

Anwendungen vorhanden sind, und die Hacker

aufzuspüren und auszunutzen wissen.

3. Mobile Geräte –Smartphones, Fitbits, iPads und

andere mobile Geräte sind vielleicht keine Tools per

se, doch sie können geknackt werden und Hackern

die Möglichkeit geben, in Unternehmensnetze

einzudringen.

In 2014 beobachtete Check Point eine signifikante

Ausnutzung von Schwachstellen sowohl in Open

Source-Software, als auch in gängigen Applikationen,

wie zum Beispiel von Adobe und Microsoft.

Bekannte Malware blieb stabil, war weiterhin

allgegenwärtig und verursachte Schäden. Doch mit der

Erstellung von Signaturen, die dabei hilft, die bekannte

Schadsoftware bei weiteren Einsatzversuchen zu

identifizieren, filtern und blockieren, verlagerte

sich der Fokus unter den Hackern auf etwas, das

einfacher und lohnender war: das Auslösen neuer

Attacken mit unbekannter Malware, indem sie die

schon vorhandene Schadsoftware nur geringfügig

modifizierten und damit ihre Entdeckung unmöglich

machten. Es ist gerade dieser Bereich – unbekannte

Malware – der in 2014 geradezu explodierte und

besondere Aufmerksamkeit auf sich zog. In noch

nie da gewesener Häufigkeit lanciert, verfolgte neue

Malware offensichtlich ein einziges Ziel: das Stehlen

von Daten.

DIE EVOLUTION VON MALWARE

VOR 25 JAHRENDie Erfindung der Firewall

VOR 20 JAHRENDie Erfindung von Stateful Inspection

VOR 15 JAHRENVerbreitete Nutzung von Anti-Virus, VPN, IPS

VOR 10 JAHRENURL-Filtering, UTM

VOR 5 JAHRENNGFW

JETZTThreat Intelligence, Threat Prevention, Mobile Security

>1988

Morris-Wurm1998

Melissa

2000I Love You

2006WikiLeaks

2011Gestohlene

Authen-tifizierungs-information

2013Dragonfly

2014Bitcoin

2017Führerloses Auto gehackt?

2020Internet der Dinge, wohin man schaut

2010DDoS-

Attacken: Stuxnet-

SCADA

2007Trojaner Zeus

2003Gründung

von Anonymus

1994Green Card-Lotterie

2012Malware Flame

EINFÜHRUNG UND METHODOLOGIE | 5

66 | EINFÜHRUNG UND METHODOLOGIE

1.1 QUELLE: Check Point Software Technologies

ALLE 24 SEKUNDENgreift ein Host auf eine schadhafte

Website zu

JEDE MINUTEkommuniziert ein Bot

mit seinem Command- und Control- Center

ALLE 34 SEKUNDENwird eine unbekannte Malware

heruntergeladen

ALLE 5 MINUTENwird eine hochriskante

Applikation genutzt

ALLE 6 MINUTENwird eine bekannte Malware

heruntergeladen

ALLE 36 MINUTENwerden sensitive Daten aus dem Unternehmen heraus

geschickt

EIN DURCHSCHNITTLICHER TAG IN EINEM UNTERNEHMEN

7

Was das Problem weiter verschärft: Kulturelle

Veränderungen. Mobilität, Virtualisierung und

andere neue Technologien haben die Art und

Weise verändert, wie wir arbeiten. Entsprechend

haben sich die Unternehmen im Hinblick auf ihre

Produktivität und Effizienz beeilt, diese Tools

zu adaptieren. Dabei haben sie jedoch kaum

die Auswirkungen auf die Security bedacht. Sie

fokussieren auf Stabilität und unterbrechungsfreie

Geschäftsabläufe und erkennen nicht, dass besser

gesicherte Betriebsumgebungen auch bessere

Betriebslaufzeiten haben.

Mit der immensen Zunahme an Datenpannen und

gezielten Angriffen auf Unternehmen mit hohem

Bekanntheitsgrad schickt uns das Jahr 2014 eine

deutliche Botschaft: Ausnahmslos jeder ist in Gefahr.

Und wenn sich jetzt die führenden Weltpolitiker

mit dem Thema Cyber-Security an ihre Nationen

wenden, scheint klar, dass die Cyberkriminalität

eine neue, kritische Schwelle erreicht hat.

„Die ersten Computerviren erreichten uns in den frühen Achtzigern, und im Grunde befinden wir uns seither in einem Rüstungswettlauf mit Cyberwaffen. Wir entwickeln neue Verteidigungsstrategien, woraufhin Hacker und Kriminelle neue Wege finden, sie zu durchbrechen….wir müssen genauso schnell und flexibel und

geschickt in der konstanten Entwicklung unserer Abwehrmaßnahmen sein.“2

-Präsident Barack Obama

METHODOLOGIE

Fast jede Organisation, die wir untersucht haben, war An-

griffen ausgesetzt, die durch hochriskante Applikationen

verursacht wurden.

81% der untersuchten Organisationen

hatten einen Fall von Datenverlust erfahren.

Check Point sammelte in 2014 weltweit Event-Daten

aus drei verschiedenen Quellen, um Security-Trends

zu beleuchten und Probleme zu identifizieren, die

sich zu ernsten Bedrohungen entwickeln oder

möglicherweise auch abschwächen.

Die Quellen der Check Point-Untersuchung:1. Sicherheitsvorfälle, die während mehr als 1.300

Security Check-Ups bei Unternehmen entdeckt

wurden.3 Die Informationen stammten von global

verteilten Unternehmen aus unterschiedlichsten

Branchen.

2. Events, die durch die Check Point ThreatCloud®

aufgedeckt wurden, die mit den Security Gateways

von mehr als 16.000 Organisationen verbunden ist.

3. Mehr als 3.000 Gateways, die mit unseren Threat

Cloud Emulation-Services verbunden sind.

Was haben wir uns angesehen?Unbekannte Malware

Bekannte Malware

Intrusion Prevention

Hochriskante Applikationen

Fälle von Datenverlust

EINFÜHRUNG UND METHODOLOGIE | 7

88 | EINFÜHRUNG UND METHODOLOGIE


FERTIGUNG

46

15

FINANZEN

12

ÖFFENTLICHE HAND

4

EINZEL- UND

GROSSHANDEL

3

TELEKOMMU-NIKATION

2

BERATUNG

17

ANDERE

PR

OZEN

T D

ER O

RG

AN

ISAT

ION

EN N

ACH

BR

AN

CHE

Ein Blick auf die an dieser Studie teilnehmenden, vertikalen Märkte zeigt, dass der Bereich

Fertigung mit 46 Prozent deutlich überwiegt, gefolgt von den Segmenten

Finanzen, Öffentliche Hand, Einzelhandel, Großhandel, Telekommunikation und

Beratung.

DIE CHECK POINT-STUDIE UMFASST SÄMTLICHE BRANCHEN

9EINFÜHRUNG UND METHODOLOGIE | 9

„Hacker nehmen die Realitäten dieser Welt nicht als selbstverständlich an; was ihnen nicht gefällt, das

versuchen sie zu zerstören und umzubauen. Sie wollen der Welt ein Schnippchen schlagen.“ 5

-Sarah Lacy, Journalistin und Autorin

Security-Statistiken in 2014

• Neue Malware nahm um 71% zu.4

• Pro Stunde erfolgten 106 Downloads von unbekannter Malware.

• 86% der Organisationen griffen auf schadhafte Webseiten zu.

• 83% der Organisationen hatten bestehende Bot-Infektionen.

• 42% der Unternehmen verzeichneten Vorfälle mit mobiler

Sicherheit, deren Behebung mehr als 250.000 US-Dollar kostete.

• 96% der Organisationen nutzten mindestens eine

hochriskante Applikation.

• 81% der Organisationen erlitten einen Fall von Datenverlust.

• Der Verlust von geheimen, geschützten Informationen nahm im

Laufe der letzten drei Jahre um 71% zu.

Auf den folgenden Seiten legt Check Point die

Erkenntnisse aus unserer detaillierten Analyse von

Security-Gefahren und Trends offen, die in 2014

erkennbar wurden. Es ist unser Ziel, Security- und

Business-Verantwortliche darin zu unterstützen,

die Bedrohungslandschaft zu verstehen und sich in

die stärkste Security-Position zu bringen, die

möglich ist.

DIE CHECK POINT-STUDIE UMFASST SÄMTLICHE BRANCHEN

1010 | INTRODUCTION AND METHODOLOGY

DIE GROSSE UNBEKANNTE

„Es gibt immer das Risiko der nicht erkannten Unbekannten.” 6

–Nate Silver, Statistiker, Journalist

02


11UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE | 11

Unbekannte Malware ist Schadsoftware, die in der

Regel von Antivirus-Systemen nicht erkannt bzw.

gekannt wird. Jede neue Variante unbekannter

Malware – und handelt es sich um eine noch so

kleine Modifizierung – ist potentiell dazu in der

Lage, die meisten gängigen Antivirus-Lösungen und

virtuellen Sandbox-Vorrichtungen zu umgehen.

Zwar war schon im vergangenen Jahr eine wahre

Explosion an unbekannter Malware zu beobachten,

doch dies war – aus heutiger Sicht – nur die Spitze

des Eisbergs. Derzeit ist die Frequenz von Zero-Day-

Attacken und unbekannter Malware geradezu massiv.

AV-Test zufolge, einem unabhängigen Service-Provider

für Antivirus-Forschung, nahm neue Malware von

2013 auf 2014 um 71 Prozent von 83 Millionen auf

142 Millionen zu. Allein in den vergangenen beiden

Jahren wurde mehr Malware aufgedeckt, als in den

vorausgegangenen 10 Jahren zusammen.

Check Point analysierte in 2014 mehr als 3.000

Gateways und stellte fest, dass 41 Prozent der

Organisationen mindestens eine mit unbekannter

Malware infizierte Datei herunter geladen hatten –

ein Anstieg um fast 25 Prozent, im Vergleich zum

Vorjahr.

Schlimmer noch ist das Tempo, in dem sie auftritt.

Die Check Point-Untersuchung belegte, dass pro

Stunde 106 Downloads unbekannter Malware

erfolgten, Tag für Tag. Diese atemberaubende Zahl

ist 48 Mal größer als die vergleichsweise kaum

nennenswerten 2,2 Downloads pro Stunde im

vergangenen Jahr.

Umso unglaublicher, dass nur ein Prozent der

Unternehmen eine Technologie einsetzen, um Zero-

Day-Attacken zu verhindern. Und nur ein Zehntel

der Organisationen nehmen Threat Intelligence-

Services in Anspruch. Von der gesamten, herunter

geladenen Malware handelte es sich bei 52 Prozent

der infizierten Dateien um PDFs, nur 3 Prozent

waren Office-Files.

mal in jeder Stunde ist eine Organisation von unbekannter Malware betroffen.

106

1212 | UNENTDECKTE MALWARE: DIE GROSSE UNBEKANNTE

2.1 Quelle: AV-Test

Wie schlimm ist es wirklich?Sehr schlimm. Ohne eine bekannte Malware-

Signatur können die typischen, präventiven Tools

ihre Aufgabe nicht erfüllen. Dank ausgeklügelter

Verschleierungstools, mit deren Hilfe Attacken selbst

fortschrittlichste Antimalware-Lösungen umgehen

können, agiert neue Malware schnell und heimlich.

Für Hacker ist die Arbeit mit unbekannter Malware

zum Werkzeug erster Wahl geworden, denn es

ist einfach und die Variation bereits bestehender

Malware ist sehr effizient. Es ist in der Tat so einfach,

dass selbst technisch Unerfahrene zum „Täter“

werden könnten.

Um dies zu verdeutlichen, nahm das Check Point-

Analystenteam 300 bekannte Malware-Programme7,

herunter geladen aus einer Mustersammlung

allgemein bekannter, schadhafter PDF-, DOC- und

ausführbarer Dateien aus Googles „VirusTotal“-

Datenbank. Das Ziel: zu testen, wie schnell und mit

welcher Erfolgsquote die Malware geblockt werden

konnte. Um die bekannte in unbekannte Malware

zu verwandeln, hingen die Forscher einfach eine

Null ans Ende jeder PDF- und DOC-Datei (z.B.

„echo‘0000‘>>1.doc.). Bei den Executable-Dateien

wurde je eine nicht genutzte Kennsatzsektion

modifiziert. Im Anschluss wurde jede Datei geöffnet

und ausgeführt um sicherzustellen, dass ihr

ursprüngliches Verhalten unverändert war. Auf den

Punkt gebracht – indem man bereits vorhandene

Malware nimmt und nur leicht modifiziert, entsteht

ganz einfach und schnell etwas Neues, das nicht

erkannt wird.

Mit dieser simplen Technik konnten die Forscher

neue und unbekannte Varianten (nachfolgend die

„Unbekannten 300“) aus bestehender Malware

erstellen.

2009

2011

2010

142M

83M

34M

18M

12M

18.5M

142MNEUE MALWARE IN 2014 UND EINZUWACHS VON 71% GEGENÜBER 2013

2012

2013

2014


Diese bislang noch nicht in Erscheinung getretenen

Dateien testeten die Fähigkeit von Security-

Systemen, unbekannte Malware zu entdecken.

Es wurden dann verdächtige Dateien auf einen Host

hinter der Security-Vorrichtung heruntergeladen.

Damit wurde der versehentliche Download von

Malware von einer schadhaften Website durch einen

Mitarbeiter simuliert.

Würde sich jetzt im Falle der „Unbekannten 300“

die Datei so verhalten, wie erwartet, dann würde

den Daten der Zugriff auf das gesicherte Netzwerk

gewährt. Falls nicht, würde die Threat Emulation-

Technologie eine Signatur für den inspizierten

Dateityp erstellen und das Blockieren der Datei

sicherstellen. Anschließend würde die Signatur

an alle Security Gateways kommuniziert, womit

die unbekannte Malware erkennbar bzw. bekannt

würde.

Erst kürzlich deckte Check Point einen Angriff auf,

der seinen Ursprung bereits in 2012 hatte, seither

aber immer wieder zu neueren Versionen mutierte.

Die „Volatile Cedar“ genannte Attacke nutzt eine

individuell angefertigte Malware mit dem Namen

„Explosive“.

Jahrelang war diese Kampagne aktiv, hat weltweit

ihre Ziele attackiert und Hackern ermöglicht, die

Aktivitäten ihrer Opfer zu beobachten und sensitive

Informationen zu stehlen.

Die Wahl der Ziele fällt in erster Linie auf die

Verteidigungsindustrie, Telekommunikations- und

Medienunternehmen sowie Bildungseinrichtungen.

Der Grund hierfür ist, so glauben wir, dass deren

Server öffentlich exponiert und mit einfach

zugänglichen Gateways zu privaten und besser

gesicherten, internen Netzwerken ausgestattet

sind. Und da sie einem allgemeinen Geschäftszweck

dienen, wird nicht selten ihre Sicherheit der

Produktivität geopfert, was sie zu einem einfachen

Ziel für Angreifer macht.

Der Angriff ist auch deshalb in der Lage, „unterm

Radar“ zu bleiben, weil er seine Aktionen auf

das Erreichen spezieller Ziele limitiert und so

das Risiko seiner Entdeckung minimiert. Eine

typische Volatile Cedar-Attacke startet mit einem

Scan des Zielservers. Wird dort eine verwertbare

Schwachstelle entdeckt, wird dem Server ein Web-

Shell-Code injiziert. Die Web-Shell wird dann als

Mittel genutzt, über das der Explosive-Trojaner

in den Zielserver eingeschleust wird. Einmal

BEKANNTE MALWARE UNBEKANNTE MALWARE

MD5 füroriginalmalware.docfd96b96bd956a397fbb1150f3

echo '0000' >> originalmalware.doc

MD5 für modifizierte83aac4393f17f1805111beaa76a4012e

41% der Organisationen haben wenigstens eine, mit unbekannter Malware infizierte Datei herunter geladen.


In den Anfängen versuchte man die Erfolgsquoten

gegen Malware zu verbessern, indem verdächtige

Dateien in einer Sandbox außerhalb des Netzwerks

ausgeführt wurden. Entscheidend hierfür war

die Nachbildung eines Standardbetriebssystems

in einer separierten Umgebung, die gut zu

überwachen war. Anschließend wurden die Dateien

unter Einsatz von Sandbox-Tools auf verschiedene

Arten aktiviert. So wurde simuliert, dass das File

tatsächlich von einem User geöffnet wird, und es

wurde erkennbar, ob die Datei etwas auslösen

würde, das von dem erwarteten Verhalten abweicht.

Das Problem: Cyberkriminelle wissen, dass diese

Schutzmaßnahmen in einem gewissen Prozentteil

der Netzwerke vorhanden sind und implementieren

einfache Umgehungstechniken.

So kann eine Malware beispielsweise schlummern,

bis ganz bestimmte Konditionen eintreffen, etwa

das Öffnen einer Datei an einem Dienstag oder

dort angekommen, kann nun der Angreifer über

eine ganze Schlachtordnung von Command &

Control-Servern seine Kommandos an alle Ziele

schicken. Die Command-Liste umfasst sämtliche

Funktionalitäten, die der Angreifer benötigt, um die

Kontrolle zu erhalten und Informationen aus den

Servern zu ziehen, wie z.B. Key-Logging, Clipboard-

Logging, Screenshots und Run Commands, also

Ausführbefehle.

Hat der Hacker dann die Kontrolle über diese

Server, kann er sie als Dreh- und Angelpunkt

nutzen, um weitere, tiefer im internen Netzwerk

angesiedelte Ziele zu erforschen, zu identifizieren

und anzugreifen.

Noch schlimmer als unbekannte Malware ist Zero-

Day-Malware. Was ist der Unterschied? Unbekannte

Malware baut auf bekannter Malware auf. Zero-

Day-Malware wird von Grund auf neu entwickelt

um Software-Schwachstellen ausfindig zu machen,

die nicht einmal den Herstellern bekannt sind. Im

Vergleich zu den Kosten für einen Satz unbekannter

Malware, ist Zero-Day-Malware für die Hacker

weitaus teurer. Wahrscheinlich ist das allein der

Grund, warum Zero-Day-Attacken offensichtlich

selektiver eingesetzt werden.

Eine der bemerkenswertesten Zero-Day-Attacken

in 2014 wurde „Sandworm“ genannt, in Anlehnung

in die Kreaturen aus der Science Fiction-Serie

„Dune“. Mit einem gezielten Angriff auf die NATO,

die Regierung der Ukraine und einige andere,

politische Ziele, nutzten russische Hacker die

CVE-2014-4114-Schwachstelle – den OLE Package

Manager in Microsoft Windows und Windows Server.

Der Vektor: schadhafte PowerPoint-Dateien, die

als Email-Anhänge gesendet wurden. Klickte der

User auf das Attachment wurde ein Exploit aktiviert,

der bösartigen Code installierte und damit eine

Hintertür ins System öffnete. Im Ergebnis konnten

die Angreifer dann Kommandos ausführen.

SIE WOLLEN SICHER WEITERENTWICKELN: WEITER ENTWICKELTE MALWARE – WEITER ENTWICKELTE TECHNOLOGIE

52% der mit unbekannter Malware infizierten Dateien sind PDFs.


ein rechter Klick mit der Maustaste. Deshalb ist es

so wichtig, sich konstant mit Innovation und den

jüngsten Security-Technologien zu befassen. Nur so

bleiben wir den Angreifern einen Schritt voraus.

Die erste Generation der Sandbox-Lösungen auf

Betriebssystemebene hilft dabei, einige Zero-

Day-Attacken zu verhindern und kann Malware

erkennen, sobald sie ausgeführt wird. Zahlreiche

Malware-Konstrukte können jedoch ihre Entdeckung

verhindern. Daher ist ein Zero-Day-Schutz der Neuen

Generation erforderlich: Sandboxing auf CPU-Ebene.

Einerseits gibt es zwar zahllose Sicherheitslücken,

doch es gibt andererseits nur eine Handvoll von

Ausbeutungsmethoden, die genutzt werden können,

um Malware herunterzuladen und auszuführen. Das

s.g. „CPU Level-Sandboxing“ lässt frühzeitig den

Einsatz solcher Exploits erkennen: durch sorgfältige

Prüfung der CPU-Aktivität und der Ausführung auf

der Assembler-Code-Ebene, während der Exploit

auftritt. Damit nimmt es dem Hacker jede Möglichkeit,

seine Entdeckung zu umgehen. Die Schnelligkeit und

Präzision bei der Erkennung macht das CPU Level-

Sandboxing zur besten Technologie für die Entdeckung

von Zero-Day-Angriffen und unbekannten Attacken.

Entwickeln wir diesen Ansatz noch einen Schritt

weiter und kombinieren tiefgreifende Sandbox-

Kapazitäten auf Betriebssystem- und CPU-Level

mit Threat Extraction – so wie in Check Points Next

Generation Zero-Day Protection – tun wir noch

deutlich mehr für die Beseitigung von Bedrohungen.

Auf Betriebssystemebene können Sie Angriffe

sowohl in ausführbaren Dateien als auch in Daten-

Files entdecken. Auf der tieferen CPU-Ebene sind

Sie in der Lage, eine Infektion in Daten-Files in der

Exploit-Phase zu erkennen. Threat Extraction, die

dritte Spitze dieser leistungsstarken Kombination,

fängt sämtliche Dokumente ab, ob schadhaft oder

nicht, entfernt dynamische Objekte und schützt so

vor jeder Form von Zero-Day-Attacke. Anschließend

rekonstruiert die Lösung die Datei und stellt das

Dokument in einem Image-ähnlichen Format zur

Verfügung, das frei von jeglichen Gefahren ist.

Nicht nur die Umgehungstechniken entwickeln sich

weiter und werden immer ausgeklügelter – mit ihnen

auch die Angriffsformen. Entsprechend muss sich

die Technologie auch auf der Unternehmensseite

entwickeln, wollen Sie Ihre Geschäftsaktivitäten

sichern. Was in 2014 als Spitzentechnologie erschien,

wird schon in 2015 nur noch Standard sein.

der mit unbekannter Malware infizierten Dateien sind PDFs.


CHECK POINT SCHLIESST DIE SICHERHEITSLÜCKEN

VOLLSTÄNDIGE BESEITIGUNG VON GEFAHRENRekonstruiert und stellt Malware-freie Dokumente zur Verfügung

IPS, ANTI- VIRUS &

ANTI-BOT

FÄNGT BEKANNTE ODER ALTE MALWARE AB Von bekannter Malware werden 71 von 1000 nicht erfasst

BETRIEBSSYSTEM- UND CPU-EBENE

ZERO-DAY-SCHUTZ

ERKENNT NEUE ODER UNBEKANNTE MALWARESowohl mit Betriebssystem- als auch mit CPU-Level-Schutz

THREAT EXTRACTION


Der auf den amerikanischen Feiertag Thanksgiving folgende, s.g. Black Friday, ist in den USA einer der

Haupteinkaufstage des Jahres. Am Montag vor Thanksgiving in 2014 wurde das Check Point Incident

Response-Team (CPIRT) von einem Einzelhändler kontaktiert, der in seinen Systemen unbekannte Dateien

entdeckt hatte. Diese Dateien waren von den führenden Anti-Virus-Lösungen nicht erkannt worden. Die

Winzigkeit von verfügbarer Intelligenz auf jedem einzelnen File war möglicherweise zu klein, um einen

Alarm auszulösen. Doch zusammengenommen ergab sich daraus ein viel größeres Bild. Die Dateien

schienen Teil eines größeren Bausatzes zu sein, der darauf abzielte, schadhafte Ladung ins Netzwerk

einzuschleusen.

Die Komponenten des Bausatzes bestanden aus Tools für:• Das Extrahieren, Abfangen und Manipulieren von Zugangsdaten aus Windows-Systemen

• Das Erfassen von Keystrokes auf Windows-Systemen

• Das Übertragen von Dateien

Weitere Details, die über andere Dateien in dem Bausatz herausgefunden wurden, waren jedoch eher

unklar. Im Laufe der weiteren Untersuchung versuchte das Response-Team die entdeckten, verdächtigen

Aktivitäten zu bestätigen und führte die entsprechenden Dateien über Check Points Online-Threat Cloud

Emulation-Services aus. Viele der Files waren als verdächtig markiert und wiesen extrem schadhafte

Aktivitäten auf. Eine Datei war in der gegebenen Situation ganz besonders interessant: Sie wurde

abgefangen, als sie eine Textdatei in ein Windows-System-Directory schrieb.

Wie Threat Emulation die Datenpanne im Einzelhandel hätte verhindern können

1 Schadhafte Aktivität erkannt

Unerwartete Aktivitäten nach Dauer

Schadhafte Aktivität erkannt

File 07

Die Beobachtung, dass das File tracks.txt in das C:\Windows\System32\ directory schrieb, bestärkte

die Annahme, dass es sich hier um eine PoS-Malware handelte, die darauf abzielt, die Spuren von

Kreditkartendaten abzugreifen. Damit wurde offensichtlich, dass diese Malware Teil eines Satzes sein

musste, der Zugangsdaten abfangen, Malware installieren, sich innerhalb des Netzes bewegen und Daten

aus dem Netzwerk herausfiltern kann. Wäre hier Threat Emulation im Einsatz gewesen, hätte die Malware

– und andere Komponenten des schadhaften Bausatzes – blockiert werden können.


„Nur das Unbekannte macht Männern Angst. Aber hat ein Mann dem Unbekannten

einmal gegenüber gestanden, wird dieser Schrecken zu einem Bekannten.“ 8

-Antoine de Saint-Exupery, Schriftsteller und Poet

Um unbekannte Malware und Zero-Day-Attacken

zu adressieren, müssen Sie in der Lage sein, sie

innerhalb des Betriebssystems und darüber hinaus

zu identifizieren. Das Ziel: Nehmen Sie nicht nur die

Bedrohungen selbst ins Visier, sondern adressieren

Sie auch die Umgehungstechniken. Check Point

empfiehlt einen dreischichtigen Ansatz: eine

Kombination aus Betriebssystem- und CPU-Level-

Sandbox-Funktionalitäten mit Threat Extraction.

Diese Faktoren sollten Sie bei der Auswahl einer

guten Sandbox-Lösung in Betracht ziehen:

• Die Fähigkeit, Attacken zu blockieren, und

sie nicht nur zu erkennen

• Die Fähigkeit, Umgehungen zu verhindern

• Schnelle und präzise Erkennung

• Die Fähigkeit, SSL zu entschlüsseln

• Die Fähigkeit, gängige Dateitypen zu unterstützen

• Die Fähigkeit, Web-Objekte zu unterstützen, wie z.B. Flash

EMPFEHLUNGEN


BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH

03


„Wir sind alle digital, wir sind alle verletzlich, und alles ist so augenblicklich – so augenblicklich. Augenblicklicher Erfolg und augenblickliches Scheitern.“ 9

–Madonna, Popstar, zu dem digitalen Diebstahl und Durchsickern ihres noch nichtvollendeten Albums „Rebel Heart“, bevor dieses veröffentlicht wurde.

19BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 19

In Anbetracht dessen, wie einfach und wirkungsvoll

unbekannte Malware erstellt und eingesetzt werden

kann, könnte man annehmen, dass bekannte

Malware auf dem Rückzug ist. Tatsächlich aber

haben Hacker diese Angriffsmethode weiterhin in

ihrem Arsenal.

In 2014 haben Check Point-Analysten festgestellt,

dass rund 86 Prozent der Unternehmen auf bösartige

Websites zugegriffen haben. Und schlimmer noch –

fast 63 Prozent der Organisationen haben schadhafte

Dateien heruntergeladen. Nach Tempo und

Häufigkeit betrachtet wurde alle 24 Sekunden von

einem Host auf eine schadhafte Website zugegriffen

(im vergangenen Jahr war es noch jede Minute), und

Malware wurde alle sechs Minuten heruntergeladen

(alle 10 Minuten im Vorjahr). Wenn man bedenkt,

wie schnell sich Viren ausbreiten und eine wahre

Verwüstung anrichten können, sind diese Zahlen

mehr als alarmierend.

In 2014 luden Hosts alle 6 Minuten Malware

herunter.

In 2014 griffen Hosts alle 24 Sekunden auf eine

schadhafte Website zu.


HOSTEN VON SCHADHAFTEN DATEIEN

USA

KANADA NL

FRANKREICH UK

38

5 5 4 4

USA

UKRAINE

RUSSLAND UK

POLEN

26

22

8 8

2

HOSTEN VON SCHADHAFTEN SITES

ISRAEL

USA

INDIE

N

TÜRKEI

MEXIKO

17

14

64

3

DOWNLOAD VON SCHADHAFTEN DATEIEN

USA UK

INDIE

N

ISRAEL

MEXIKO

38

87

65

ZUGRIFF AUF SCHADHAFTE SITES

DIE TOP 5 NACH LÄNDERNP

RO

ZEN

T D

ER

OR

GA

NIS

ATIO

NE

N

2020 | BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH

Einer der noch effizienteren Wege, die Verbreitung

von Malware auszuweiten und zu beschleunigen,

führt über Bots – wenn ein Computer mit einem

Trojaner oder Virus infiziert wurde, kann er einem

Dritten die Kontrolle über einige oder sämtliche

Funktionen des Rechners erlauben. Ein Botnet ist

ein ganzes Netzwerk aus solchen Bot- oder Zombie-

Computern und befindet sich unter dem Kommando

einer Einzelperson oder einer Organisation, die sie

für die Verbreitung von Spam-E-Mails, Angriffe auf

andere Computer oder das Ausrollen von DDoS-

Attacken missbraucht.

Nahezu 83 Prozent der Organisationen hatten in

2014 bestehende Bot-Infektionen. Und 47 Prozent

davon waren für mehr als vier Wochen aktiv – eine

beunruhigend lange Zeit, in der ein Bot jede Minute

mit seinem Command- und Control (C&C)-Center

kommuniziert. Damit nicht genug, sind das Tempo

und die Häufigkeit gegenüber dem Vorjahr um 66,7

Prozent sprunghaft angestiegen, im Vergleich zu

2012 sogar um 95 Prozent.

Wenn wir uns mit Bots befassen, über welche Art

von Schaden sprechen wir dann? Der Großteil

der Bot-Aktivitäten in 2014 umfasste das Stehlen

von Bankzugangsdaten und anderer sensitiver

Informationen, das außer Funktion setzen von

System-Security-Services, das Installieren von

Malware, das Ausführen von Click Fraud, also

Klickbetrug, das Erschleichen von Fernzugriff und

das Öffnen einer Hintertür für Attacken.

Eine der besonders bekannt gewordenen Bot-

Infektionen nutzte eine Schwachstelle in Apples

Mac-Computern aus, in Verbindung mit der Social

Network-, Unterhaltungs- und News-Site „Reddit“.

Ein Hintertür-Eintritt mit dem Namen „Mac.

83% der untersuchten Organisationen waren mit Bots infiziert. Und ein Bot kommuniziert jede Minute mit seinem C&C.


ES WIRD BOTS GEBEN

FAMILIE GEZÄHLTE ATTACKEN SCHADEN

ZEUS 51.848.194 Stiehlt Bankzugangsdaten

GRAFTOR 21.673.764 Lädt schadhafte Dateien herunter

RAMNIT 12.978.788 Stiehlt Bankzugangsdaten

CONFICKER 12.357.794 Setzt System-Security-Services außer Betrieb, ermöglicht dem Angreifer Fernzugriff

SALITY 11.791.594 Stiehlt sensitive Informationen

SMOKELOADER 9.417.333 Installiert Malware

RAMDO 5.771.478 Führt Klickbetrug aus

GAMARUE 3.329.930 Öffnet eine Hintertür für Angriffe

TORPIG 3.290.148 Stiehlt sensitive Informationen


Ansturm auf Zugangsdaten

Tool-Automation und die Verbreitung von Botnets machen den Diebstahl von Zugangsdaten über Brute Force-Angriffen immer leichter. Noch vor 2014 konnte beispielsweise immer nur jeweils ein Computer ein Passwort knacken. Im vergangenen Jahr aber modifizierte ein populäres Passwort Hash Cracking-Tool namens Hashcat seinen Source-Code, um verteiltes Cracking zu erlauben – so dass nun mehrere Computer gelichzeitig beim Knacken des Passworts helfen und die Angreifer deutlich schneller ihr Ziel erreichen können.

Wie genau funktioniert das? Die Kriminellen sammeln aus ihren Attacken große Mengen an Daten. Diese sind manchmal verschlüsselt oder codiert und nicht sofort zu nutzen. An dieser Stelle kommen die Tools ins Spiel. Sie automatisieren das Knacken des Passworts und sind möglicherweise schon Bestandteil des Botnets, das eine einfachere Verteilung erlaubt. Sind die Hashes einmal geknackt, versuchen Brute-Force-Attacken sich die Wiederverwendung des Passworts zunutze zu machen. Sie testen außerdem, ob das Passwort einer bestimmten Person auch für das Login eines anderen funktioniert. Tatsächlich hat Check Point regelmäßig Brute-Force-Attacken beobachtet, die Wochen andauerten, wobei die Versuche pro Sekunde/Minute/Stunde/Tag vom Angreifer so eingestellt sind, dass eine Entdeckung umgangen werden kann. Damit nicht genug, landen die gewonnenen Daten möglicherweise auf Text-Sharing-Sites wie Pastebin, wo die Informationen dann verkauft werden können.

Um gespeicherte Passwörter zu schützen, sollte ein kryptografischer „one-way“ Hash eines Passworts generiert werden. In anderen Worten – lautet das Passwort z.B. „bluesky“, wird ein Kryptograf es in etwas wie „fna84K“ umwandeln. Dies verhindert, dass reine Textpasswörter im Umlauf sind und ermöglicht die Verifizierung von anwenderseitig bereitgestellten Passwörtern durch Wiederholung des one-way Hashing-Systems. Auch das Hinzufügen eines wahllos generierten Wertes zu einem Passwort noch vor der Erstellung seines kryptografischen Hashs kann den Versuch, ein Passwort zu knacken, erschweren.

Da bereits Tools existieren, die das Internet nach Hashes und Passwörtern durchforsten und auch automatisiertes, verteiltes Passwort-Cracking an der Tagesordnung ist, ist es umso wichtiger, dass Sie die Speicherung dieser Daten noch besser absichern. Treffen Sie besondere Vorsichtsmaßnahmen, um diese Informationen zu schützen und nutzen Sie Zweifaktorverifizierung, Out-of-Band User-Authentifizierung oder sogar biometrische Authentifizierung. Berücksichtigen Sie, dass Anwender oft gleiche oder ähnliche Passwörter wiederverwenden – denn das bedeutet, dass jede Datenpanne mit tausenden von Namen die Saat ausbringt für potentiell hunderte, weiterer Angriffe auf Ihre Unternehmensdaten.

BackDoor.iWorm” verschaffte sich Zugang zu Macs.

Von dort stellte er über Reddit eine Verbindung von

dem gehackten Computer zum Command-Server

her. Nach erfolgreicher Infektion der Computer,

posteten die Hacker an Reddit und nutzen die

Suchfunktionen der Site, um die dortigen Posts

zu identifizieren. Mithilfe von iWorm konnten

die Angreifer die Serveradressen aus den Posts

herausziehen und diese für die Verbindung mit dem

Botnet missbrauchen.

Der Bot, der uns in 2014 am meisten in Atem hielt,

war auch schon im Jahr zuvor der unrühmliche

„Champion“: ZeuS.

Scheinbar folgten die Hacker in diesem Jahr dem

Prinzip, dass man etwas, das noch funktioniert, auch

nicht reparieren muss. Dem „Spamhaus Botnet

Summary Report für 2014“ zufolge führte ZeuS mit

2.246 Command & Controls – praktisch zweimal

mehr, als der Zweitplatzierte „Citadel“ – auch in

2014 die Bot-Liste an. 10

Doch worauf fokussieren Cyberkriminelle die

Reichweite von Bots und die Macht, die Ihnen

damit zur Verfügung steht? Im Wesentlichen

auf geschäftskritische Elemente, die für die

Geschäftsproduktivität entscheidend sind.


DDOS – DIE NEUE STREIKMACHT


Wollte man in der Vergangenheit etwas gegen

die Strategie und Methoden einer Organisation

unternehmen, versammelte man ein paar Leute,

bemalte ein paar Transparente und stellte sich vor

ihre Eingangstür, um den Protest für alle sichtbar

zu machen. Jetzt? Man geht einfach online und

kauft ein günstiges DDoS-Toolkit, gibt die URL des

Unternehmens ein, gegen das man seinen Protest

richtet und – fertig – die Website des Unternehmens

ist verunstaltet. Das ist einfach, bequem und billig.

Distributed Denial of Service (DDoS) war in 2014

der Hauptangriffsvektor und für 60 Prozent aller

Attacken verantwortlich – fast doppelt so viel wie

im Vorjahr. DDoS-Attacken setzen Server oder

andere Netzwerkressourcen vorübergehend außer

Gefecht. In 2014 wurden täglich 48 solcher Angriffe

registriert – im Jahr zuvor waren es noch acht pro

Tag, was einen Anstieg um 500 Prozent bedeutet!

Im vergangenen Jahr trat die Mehrzahl der DDoS-

Attacken im Beratungssektor auf, in diesem Jahr

betreffen sie bereits zwei Drittel von Unternehmen

aus allen Branchen. Der in 2014 zweitgrößte

Angriffsvektor nach DDoS war Buffer Overflow –

eine Attacke, die Daten und das Ausführen

von Code korrumpiert und so dem Angreifer

ermöglichen kann, beliebigen Code zu injizieren.

Beide Methoden nahmen im Vergleich zum Vorjahr

signifikant an Häufigkeit zu.

DENIAL OF SERVICE

BUFFER OVERFLOW

CODE-AUSFÜHRUNG

ANOMALITÄT CROSS-SITE SCRIPTING

SPEICHER-KORRUMPIERUNG

60

23

39

51

22

35

43

36

19

47

23

PR

OZE

NT

DE

R O

RG

AN

ISAT

ION

EN

MIT

W

EN

IGS

TEN

S E

INE

M A

NG

RIF

F

HAUPTANGRIFFSVEKTOREN20132014

In 2014 traten täglich DDoS-Attacken auf 48


Im vergangenen Jahr zeigte sich ein Anstieg von DDoS gegen Bildungseinrichtungen, Dienstleister, US-Regie-

rungsbehörden und Stadtverwaltungen. Unabhängig von politischen Fragen und Einstellungen bekommen

unbeteiligte Dritte die Auswirkungen von DDoS-Attacken mindestens ebenso stark zu spüren, wie die eigentlichen

Angriffsziele. In Ländern, wo der Großteil des Netzwerks für Bildungsservices von der Regierung bereitgestellt

wird, kann ein Angriff auf eine kleine Schule jede einzelne Schule im gesamten Netz betreffen. Ein DDoS-

Angriff auf die Website einer bestimmten Stadt kann die VPN-Verbindung zu Strafverfolgungseinrichtungen und

Notdiensten kappen – und das nicht nur für die Dauer einer Großdemonstration. Ein solcher Fall ist

bereits eingetreten.

Auch wenn die Reihenfolge der einzelnen Schritte variieren kann, setzen Hacktivisten meist folgende vier Haupttechniken ein:1. Eine volumetrische Attacke in mehreren Wellen, die Millionen von User Datagram Protocol (UDP)-Paketen auf

Port 80 nutzt. Als „stateless“, also zustandsloses Protokoll ist UDP sehr einfach zu imitieren, was die Quelle so

erscheinen lässt, als würde von einer anderen Internetprotokoll (IP)-Adresse gesendet. Dies überschwemmt die

Verbindung, noch bevor die vorgeschalteten Security-Einrichtungen der Organisation den Angriff erkennen und

reagieren können.

2. Eine Domain Name System (DNS)-„Reflection“ -Attacke, wobei die Angreifer Millionen von DNS-Anfragen an

berechtigte DNS-Server schicken und dabei eine verfälschte IP-Adressquelle nutzen. So geben sie vor, von einem

Server aus dem Netzwerk des Opfers zu stammen. Die offenen DNS-Server reagieren, indem sie das Opfer mit

DNS-Antworten überfluten, was eine neue Welle von volumetrischen Attacken auslöst.

3. Eine SYN flood-Attacke zielt auf einen bestimmten Host ab. Durch hoc volumiges Spoofen der Ursprungs-

adresse verbraucht sie so viele Ressourcen, dass der Host für berechtigten Datenverkehr nicht mehr

ansprechbar ist.

4. „Slow attacks“, also langsame Angriffe, öffnen so viele Verbindungen zu einem Server wie möglich und halten

diese Verbindungen so lange wie möglich offen, indem sie exakt vor dem Time-out der TCP (Transmission Control

Protocol )-Sessions sehr kleine Datenmengen senden. Der Datenverkehr ist gering, doch die Menge

der langsamen Verbindungen verstopft die Zugänge der Netzwerk-Ports.

Das können Sie tun, um Ihre Organisation abzusichern:1. Verstehen und beobachten Sie das Datenverkehrsvolumen, wie z.B. die Verbindungen pro Sekunde, Pakete pro

Sekunde und den Durchsatz pro Sekunde. Werden die festgelegten Grenzwerte überschritten, können Tools wie

Check Point DDoS Protector™ vor den Security Gateways eingesetzt werden um den DDoS-Traffic abzuschwächen,

noch bevor er das Gateway erreicht. Überschreitet der Datenverkehr aus einem volumetrischen Angriff das

Leistungsvermögen des Internets, führt dies zu einer Überlastung der Netzwerkverbindung, noch bevor die

Daten den DDoS Protector oder das Security Gateway erreichen – der Denial of Service ist perfekt. Um dies zu

verhindern, leitet DDoS Protector die Daten über DefensePipe in s.g. Internet-„Waschanlagen“ um. In diesen

Scrubbing-Centren wird schadhafter Datenverkehr entfernt, und die sauberen Daten werden zurückgeleitet.

2. Implementieren Sie engmaschige Kontrollen für Netzwerke mit Gastzugriff oder unbekanntem Benutzer-

standort wie z.B. bei Bildungseinrichtungen, Cloud-Providern und Servicehosting-Unternehmen.

3. Setzen Sie Richtlinien für das Source IP-Spoofing ein, um zu verhindern, dass die Anwender gezielter Netz-

werke s.g. Reflection-Attacken auslösen. Dynamische, variierende und wellenförmige Formen von Attacken

machen es zu einer Herausforderung, jede Art von DDoS zu stoppen. Doch Check Points Firewall Software

Blade und IPS Software Blade verfügen über Abschwächungstools und integrierte Schutzvorrichtungen –

wie z.B. Rate Limiting, SYN Defender und IPS SYN Attack sowie IPS DNS – die dabei unterstützen,

DDoS-Attacken zu verhindern.

HACKTIVISMUS: Wenn Protestler ihre Ideologien online bringen


DOOMSDAY – FÜR DIE ERFOLGSKRITISCHE INFRASTRUKTUR: Nicht „Ob“, sondern „Wann“

James Arbuthnot, der frühere Vorsitzende des Parlamentarischen Verteidigungsausschusses in Großbritannien,

drückte es wohl am besten aus: „Unser nationales Netz ist Cyberattacken ausgesetzt, und zwar nicht nur Tag

für Tag, sondern Minute für Minute.“ 11 Tatsächlich haben fast 70 Prozent der „Critical Infrastructure“

(CI)-Unternehmen im vergangenen Jahr einen Sicherheitsvorfall hinnehmen müssen.12 Ein Angriff namens

„Energetic Bear“, der in 2014 von einer Gruppe russischer Hacker durchgeführt wurde, startete seinen Feldzug

gegen Öl- und Gasunternehmen. Durch Infektion der industriellen Kontroll-Software, die diese Unternehmen

im Einsatz hatten, schleusten die Angreifer Malware ein, die sich automatisch herunterlud und installierte, als

die betroffenen Organisationen ihre Software aktualisierten. Damit hatten die Hacker Einsicht in die ins Visier

genommenen Netzwerke – und potentiell auch die Kontrolle darüber.

Bei einem anderen Vorfall wurde ein deutsches Stahlwerk attackiert, was zu erheblichem Schaden an einem

Hochofen führte. Dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge rollten die

Angreifer eine Social Engineering-Kampagne aus, die spezifische, einzelne Personen zum Öffnen von Phishing-

Messages brachte. Anschließend konnten die Cyberkriminellen Login-Namen und Passwörter abgreifen, über die

sie Zugang zum Produktionsnetzwerk des Stahlwerks erhielten. Dort verursachten sie über die Manipulation des

Kontrollsystems den Ausfall bestimmter Elemente, was verhinderte, dass der Schmelzofen sich auf normale Weise

abschaltete. Im Ergebnis war das gesamte System beschädigt.

Warum passiert das?Wenn wir die Ursachen von CI-Vorfällen betrachten, fallen einige Dinge auf. Zuallererst, dass das Supervisory

Control und Data Acquisition (SCADA)-System, wie es üblicherweise von CI genutzt wird, nicht auf Security

ausgelegt war. Nicht nur, dass seine Devices angreifbar sind, vor allem sind auch die Netzwerke alt und überholt.

Darüber hinaus schließen SCADA-Systeme Windows- und Linux-Betriebssysteme ein, die ebenfalls verwundbar

sind. Ein weiterer Grund ist, dass der Blick auf die Security viel zu oft sehr kurzsichtig ist und sich ausschließlich

auf das elektronische Perimeter richtet. Das reicht nicht aus, denn es lässt die Risiken für die Produktionssysteme

außer Acht. Das dritte Problem, das wir schließlich sehen, ist der Irrglaube, dass eine gute physikalische Security

mit einer guten Netzwerk-Security gleichzusetzen ist. Hier nicht die Unterschiede zu kennen und zu verstehen,

kann schwerwiegende Konsequenzen haben.

Die Absicherung kritischer Infrastrukturen: Was zu tun istGenauso, wie wir drei Hauptgründe für CI-Vorfälle sehen, sehen wir auch drei Hauptwege, solche Ereignisse zu

vermeiden. Nachstehend zeigen wir die Schritte für die Absicherung kritischer Infrastrukturen auf:

1. Security-Architektur: Schützen Sie vor allem anderen das Unternehmensnetzwerk, um so eine Infiltration

des Produktionsnetzwerks zu blockieren. Anschließend segmentieren und schützen Sie Ihr Produktionsnetzwerk

mit hierauf spezialisierter Security. Setzen Sie für die Perimeter-Security geeignete Tools wie Firewall, Intrusion

Prevention, Anti-Virus, Anti-Bot und Threat Emulation ein.

2. Security-Produkte mit granularem SCADA-Support: Nutzen Sie immer Produkte, die speziell für SCADA-

Systeme entwickelt sind. Bedenken Sie, dass CI-Betriebe auf dedizierte Systeme in spezialisierten Netzwerken

mit besonderen Protokollen bauen. Lösungen wie die Check Point SCADA Security-Lösungen umfassen SCADA-

Logging, Firewall, Applikationskontrolle, Intrusion Prevention und SCADA Workstation-Endpoint Security.

3. Threat Intelligence: Stellen Sie die unabhängige Protokollierung sämtlicher SCADA-Aktivitäten sicher und

setzen Sie hierfür ein tief greifendes SCADA Traffic-Monitoring sowie Threat-Analyse ein.


Eines der wichtigsten Themen, das Unternehmen

für eine Verbesserung ihrer Security adressieren

müssen, ist das Patchen und Updaten ihrer Software.

Wird dies vernachlässigt, ist die Organisation

sehr verletzlich und erfährt – unnötigerweise –

ernsthafte Leistungseinbußen – bei „Mann und

Maschine“. Betrachtet man die Gesamtzahl der

gängigen Schwachstellen und Bedrohungen in den

letzten drei Jahren, gab es zwischen 2012 und 2013

nur einen geringen Zuwachs. Von 2013 auf 2014

aber ist ein sprunghafter Anstieg um über

53 Prozent zu verzeichnen. 13 Zwar nimmt also die

Aufmerksamkeit für diese potentiellen Gefahren

zu, doch es bleibt die schlechte Nachricht,

dass die Gefährdungen weiterhin da sind

und ansteigen.

SICH VERLETZLICH FÜHLEN

GESAMTAUFKOMMEN VERBREITETER SICHERHEITSLÜCKEN UND GEFÄHRDUNGEN

2014

2013

2009

2012

2010

200820

11

7945

5191 52974651

5736

4155

5632

DIE TOP SICHERHEITSLÜCKEN UND GEFÄHRDUNGEN IN 2014

NACH HERSTELLER

IBM

ORACLE

GOOGLE

MICROSOFT

APPLE

LINUX

REDHATCIS

CO

ADOBE

450431

376

287

156135138

368

155

MOZILLA

120

AN

ZAH

L VO

N S

ICH

ER

HE

ITS

LÜC

KE

N

3.4 QUELLE: Common Vulnerabilities and Exposures (CVE) Database (Abb. oben),Check Point Software Technologies (Abb. unten)

PR

OZE

NT

DE

R O

RG

AN

ISAT

ION

EN

NOVELL

2

2013

MICROSOFT

67

ADOBE

15

VIDEOLAN

10

3COM

4

SQUID

4

SUN/ORACLE

4

APPLE

3

CA

3

MICROSOFT

77

ADOBE

14

APACHE

6

HP

6

SUN/ORACLE

5

MOZILLA

3

JOOMLA

3

2014 2012

MICROSOFT

68

SUN/ORACLE

15

ADOBE

13

NOVELL

5

SQUID

2

VIDEOLAN

1

SECURITY-VORFÄLLE NACH TOP SOFTWARE-ANBIETERN


Hacker wissen: die wirkungsvollste Art ihre Ziele zu treffen ist, sie an ihren Fundamenten anzugreifen. Für

die meisten Betriebssysteme besteht dieses Fundament aus einer Reihe grundlegender Kommandos, die

oft in Unix ausgeführt werden. Am Herzen des Befehlszeileninterpreters, wie er allgemein in Apple MAC OS

X- und Linux/UNIX-Betriebssystemen genutzt wird, befindet sich ein Command-Prozessor namens Bash oder

„Bourne Again Shell“.

Im September 2014 wurde in Bash eine umfassende Sicherheitslücke entdeckt, die Hackern die Remote-

Ausführung von Shell-Kommandos ermöglichte. Das funktionierte durch das Anhängen von schadhaftem

Code in umgebende, vom Betriebssystem genutzte Variablen.

Aus Sicht eines Hackers geht es kaum besser. Innerhalb weniger Tage nach Bekanntwerden der

Schwachstelle wurden weitere Designfehler entdeckt und eine Reihe von Patches erstellt. Der Wettlauf

darum, das Netzwerk schneller zu treffen, als die Patches eingesetzt werden konnten, hatte begonnen.

Innerhalb weniger Stunden nutzten die Angreifer die Sicherheitslücke Shellshock aus, indem sie Botnets

auf kompromittierten Computern einrichteten, um verteilte Denial-of-Service-Attacken und Schwachstellen-

Scanning durchzuzuführen. Während mit Check Point IPS geschützte Netzwerke noch am gleichen Tag

gepatcht wurden, kompromittierte Shellshock Millionen nicht gepatchter Server und Netzwerke.

Mit IPS geschützte Check Point-Kunden registrierten blockierte Angriffsversuche, die hauptsächlich auf

http-, Mail- (SMTP/POP3/IMAP), FTP- und DHCP-Protokolle zielten. Untersuchungsergebnisse zeigten, dass

die USA mit signifikantem Vorsprung sowohl das Hauptangriffsziel als auch der Hauptangreifer waren.

SHELLSHOCK: Netzwerke ins Herz getroffen

Community-Sharing ist nicht immer eine gute Sache.

Nehmen wir beispielsweise Open Source-Software

(OSS). Anders als die typische, proprietäre Software,

die geschlossen ist, ist Open Source-Software so

geschrieben, dass ihr Quellcode der Öffentlichkeit frei

zur Verfügung steht und von jedermann modifiziert

werden kann. Schlimmer noch, OSS wird nicht sehr

genau verwaltet, da sie nicht immer Bestandteil

des IT-Beschaffungsprozesses ist. Und, da es sich

um Freeware handelt, wird sie nicht so intensiv

gewartet, wie andere Software. Cyberkriminelle

wissen das und starten immer wieder Attacken auf

die schlechter gewarteten und weniger sichtbaren

Applikationen und Systeme. Im Ergebnis ist OSS

zu einem attraktiven Ziel geworden, wenn es um

den Diebstahl von Daten, geistigen Eigentums oder

anderer, sensitiver Informationen geht. Und so dient

sie Hackern als offene Tür in das Netzwerk, das sie

ausbeuten wollen.

So wurde zum Beispiel das von mehreren

Herstellern betriebene Open Source-Software-

Projekt „OpenDaylight“ dazu genötigt, sich mit

Security zu befassen, nachdem ein Software-

definierter Netzwerk (SDN)-Fehler ans Tageslicht

gekommen war. Im August 2014 wurde eine kritische

Schwachstelle in der Plattform gefunden, doch es

dauerte vier Monate, bis sie gepatcht werden konnte.

Der Entdecker der Sicherheitslücke hatte zunächst

versucht, das auf privatem Wege zu kommunizieren.

Da aber OpenDaylight kein Security-Team hatte, war

sein Bemühen vergebens. Schließlich machte er

die Schwachstelle auf einer populären Mailingliste

für Sicherheitsmängel öffentlich. Der Fehler bot die

DAS NEUE ZIEL VON EXPLOITS: OPEN SOURCE-SOFTWARE UND BETRIEBSSYSTEME



In 2013 waren Server das bevorzugte Ziel. Das hat

sich im vergangenen Jahr praktisch umgekehrt: Jetzt

sind die Clients das schwächste Glied. Betrachten

wir die Veränderung bei der Verteilung der Top IPS-

Events auf Clients und Server, sehen wir bei den

Clients einen dramatischen Anstieg von früher 32

auf jetzt 60 Prozent. Auf der Server-Seite ist dieser

Wert inzwischen von 68 auf 40 Prozent gefallen.

NIEMAND HAT SCHULD – AUSSER WIR SELBST

TOP IPS EVENTS

SERVER

40%

PROZENT VON GESAMTCLIENT

60%

potentielle Möglichkeit, einen SDN-Controller zu

kompromittieren – worüber Hacker schlussendlich

die Kontrolle über das ganze Netzwerk hätten

erlangen können. 14

Eine andere, in 2014 entdeckte Open Source-

Schwachstelle betraf die MediaWiki-Plattform, auf

der Wikipedia und tausende anderer Wiki-Sites

weltweit basieren. Check Point-Experten entdeckten

einen Defekt im Code, der Hackern das Einspeisen

von schadhafter Software in jede Wikipedia.org-

Seite und in andere, interne oder Web-seitige

Wiki-Seiten auf MediaWiki ermöglichen konnte.

Beeindruckende Zahlen wie 94 Millionen Wikipedia-

Besucher monatlich und fast zwei Millionen, auf

Wikipedia verlinkte Seiten machen deutlich, zu

welch massivem Schaden es hier hätte kommen

können.

Die größten Open Source-Exploits des vergangenen

Jahres waren Heartbleed, Shellshock und Poodle.

Im Vorjahr noch hatte es danach ausgesehen, als

könnte die Malware, mit der die Unternehmen zu

kämpfen hatten, verheerender nicht mehr werden –

bis dann einige Monate später die vernichtendste

Schadsoftware in Erscheinung trat, die es bis dahin

gegeben hatte. Heartbleed, eine Schwachstelle in

OpenSSL-Software, wurde im April 2014 entdeckt.

Sie macht Hackern den Zugang zum Speicher

von Datenservern frei – bis zu einem Wert von

64 Kilobyte. Dieser Zugang ermöglicht dann den

Diebstahl kritischer Daten wie Benutzeridentitäten,

Passwörter und andere, sensitive Informationen, die

auf den Servern hinterlegt sind.

Dann kam Shellshock. Das Beschämende daran

ist, dass Shellshock seinen Ursprung in einem

25 Jahre alten Sicherheitsmangel hat, der die

Ausführung von schadhaftem Code innerhalb von

Bash Shell möglich macht. Damit kann ein Hacker

ein Betriebssystem übernehmen und sich Zugriff

auf vertrauliche Informationen verschaffen. Hier

sei darauf hingewiesen, dass viele Programme

im Hintergrund Bash Shell laufen lassen. Sobald

den bestehenden Code-Zeilen zusätzlicher Code

hinzugefügt wird, ist der Fehler frei gesetzt. 15

Auf Shellshock folgte Poodle, ein „süßes“ Akronym,

das für „Padding Oracle On Downgraded Legacy

Encryption“ steht. Sein Fokus: die 18 Jahre alte

Verschlüsselungstechnologie SSL 3.0. Nutzte eine

Website dieses Protokoll um den Datenverkehr

zu verschlüsseln, konnten die Angreifer die mit

der Website kommunizierenden Computer dazu

zwingen, ihre Verschlüsselung auf den gleichen,

antiquierten Standard herabzusetzen, was zu

Security-Problemen bei der Kommunikation mit den

Servern führte. 16

Open Source-Schwachstellen wie Heartbleed, Poodle

und Shellshock betrafen nahezu jeden IT-Betrieb

weltweit. Natürlich können die Organisationen die

nächste, massive Sicherheitslücke nicht vorher

sehen. Doch sie sollten immer bedenken, dass

Hacker Open Source und weit verbreitete Plattformen

wie Windows, Linux und iOS ganz besonders

lieben – denn hier eröffnen gefundene Schlupflöcher

die meisten und besten Möglichkeiten der

Ausbeutung.



Warum? Hacker bevorzugen den Angriff auf Clients,

weil sie hier ihre Opfer mit Social Engineering- und

Phishing-Taktiken austricksen können. Mit anderen

Worten: Menschen sind viel einfacher zu überlisten,

als Maschinen.

Was trägt zu diesem Problem bei? Zum einen –

die menschliche Nachlässigkeit gegenüber

grundlegenden Schutzmaßnahmen. Zum anderen

setzen viele Organisationen veraltete Security-Tools

ein, die bei der Abwehr heutiger Gefahren schlicht

versagen. Will man seine Endgeräte absichern,

beginnt man mit fundamentalen Maßnahmen wie

der Sicherstellung, dass alle Computer über eine

Desktop-Firewall verfügen, Service-Packs und

Software-Updates installiert und durchgeführt werden

und die aktuellste Anti-Virus-Software im Einsatz ist.

Unseren Untersuchungsergebnissen zufolge läuft

jedoch auf 20 Prozent der Unternehmensrechner

keine Desktop Firewall, und 10 Prozent der Hosts

haben keine aktuellen Service Packs. 25 Prozent

verfügen nicht über eine aktualisierte Version ihrer

Software, und bei 17 Prozent ist keinerlei Antivirus-

Lösung installiert. Darüber hinaus sind 35 Prozent

der Unternehmensrechner so konfiguriert, dass die

Anwender lokale Administratorrechte haben. Damit

sind die Betriebssysteme einem höheren Risiko für

Malware-Attacken ausgesetzt.

Auch wenn diese Zahlen auf den ersten Blick nicht

gewaltig erscheinen, ist es doch bemerkenswert,

bei wie vielen Unternehmen die Security-Message

nach wie vor nicht angekommen ist: Es bedarf

nur eines einzigen, angreifbaren Rechners, um

das gesamte Netzwerk zu infizieren. Was in der

Folge auch all die Unternehmen gefährdet, die

mit dem betroffenen Netzwerk interagieren und

Informationen austauschen. Für eine erfolgreiche

Bekämpfung der Cyberkriminalität ist es also

unerlässlich, im Umgang mit den grundlegenden

Schutzvorrichtungen ein verantwortlicher „Cyber-

Bürger“ zu sein – und wichtige Security-Informa-

tionen mit anderen auszutauschen.

ENDPOINTS IM UNTERNEHMENSICHERHEITSLÜCKEN UND FEHLKONFIGURATIONEN

Hosts ohne aktualisierte Software-Versionen

25%

Hosts ohne aktualisierte AV-Signaturen

25%Hosts mit wenigstens einem

installierten Bluetooth-Device

54%

Hosts ohneDesktop-Firewalls

20%

Hosts ohne das jüngste Service-Pack

10%Hosts mit lokalen

Admin-Rechten für den User

35%

PERCENT OF HOSTS

29

.

CHECK POINT UNTERSUCHUNGS-ERGEBNIS

CHECK POINT PROBLEMANALYSE

VORSCHRIFT VON DIESER VORSCHRIFT BETROFFENE LÄNDER

Anti-Spoofing bei 75% der Befragten nicht aktiviert

Anti-Spoofing verifiziert, dass Daten-pakete vom richtigen Interface kommen und zum richtigen Interface auf dem Gateway gehen. Es bestätigt, dass Pakete, die vorgeben aus einem internen Netzwerk zu stammen, tatsächlich vom internen Netzwerk-Interface kommen. Ist ein Paket geroutet, stellt Anti- Spoofing außerdem sicher, dass es durch das richtige Interface geht.

PCI DSS 3.0 Global – jedes Unternehmen, das Kreditkartendaten verarbeitet oder speichert.

NIST 800:41 Hauptsächlich relevant auf US-Bundesebene, aber gleichermaßen anwendbar auf jedes US-Unternehmen, das einen robusten Firewall-Standard übernimmt.

ISO 27001 Global – jedes Unter-nehmen, das nach diesem Standard zertifiziert ist oder ihn als Best Practice adaptiert.

Entdeckung einer „Any Any Accept”-Regel bei 27% der Befragten

Das grundlegende Konzept der Firewall-Regelbasis ist „Was nicht explizit erlaubt ist, ist verboten.“ Festzustellen, dass 27% der befragten Unternehmen eine „Any Any Accept“-Regel in ihrer Regel-basis hatten, war eine große Über- raschung. Denn das ist das Firewall- 1mal1, die Grundlage aller Grundlagen.

PCI DSS 3.0 Global – jedes Unternehmen, das Kreditkartendaten verarbeitet oder speichert.

NIST 800:41 Hauptsächlich relevant auf US-Bundesebene, aber gleichermaßen anwendbar auf jedes US-Unternehmen, das einen robusten Firewall-Standard übernimmt.

ISO 27001 Global – jedes Unter-nehmen, das diesem Standard folgt

Out-of-State TCP-Pakete werden bei 19% der Befragten nicht verworfen

TCP Session Timeout ist die Zeitspanne, für die eine untätige Verbindung im Security Gateway-Connections-Table bestehen bleibt. Diese nicht genutzte Session ist genau die Laufzeit, während der ein Angreifer versuchen kann, die Pakettransporte aus bestehenden User-Sessions zu stehlen und zu benutzen.Pakete, die Out-of State sind, sollten fallen gelassen werden. Wir haben festgestellt, dass 1 von 5 Unternehmen Out-of-State-Pakete nicht verwirft.

PCI DSS 3.0 Global – jedes Unter- nehmen, das Kredit-kartendaten verarbeitet oder speichert.

ISO 27001 Global – jedes Unter-nehmen, das nach diesem Standard zertifiziert ist oder ihn als Best Practice adaptiert.

Compliant ohne Kompromisse

BEKANNTE MALWARE: ERKANNT UND GEFÄHRLICH | 29

Zwar verstehen die meisten Unternehmen ihre Verpflichtungen, was die Einhaltung von Compliance und Branchen-Bestimmungen angeht. Doch wenn es um Security geht, ist dies nach wie vor ein komplexes Problem. Ihr Unternehmen kann heute vollständig regelkonform sein, durch eine einzige, geschäftsrelevante Änderung am Netzwerk aber schon morgen vollkommen aus dem gesetzlich vorgegebenen Rahmen herausfallen.Hier ist es entscheidend zu wissen, worauf genau man achten muss. Aber fallen Sie nicht auf den Denkfehler herein und nehmen an, dass ein regelkonformes Unternehmen gleichzeitig auch vollkommen sicheres ist. Die Einhaltung von regulativen Bestimmungen ist typischerweise geknüpft an spezifische Bedrohungen, was den Prozess weniger umfassend macht, als eine wirkliche Security-Prüfung sein könnte und sollte. Die Einhaltung gesetzlicher Vorgaben sollte daher nicht die Basis für Ihre Security-Policy sein. Nachstehend lesen Sie, was Check Point hierzu in seiner Studie zu 2014 feststellte.

30

‚Wer aus der Vergangenheit nicht lernt, der ist dazu verdammt, sie noch einmal zu durchleben‘

Eine alte Weisheit, die auf die IT-Security anwendbar scheint.

Bleibt Ihr Unternehmen jedoch mit den aktuellen Gegebenheiten auf dem Laufenden und setzt Best Security

Practices ein, so kann Sie das vor dem Wiederholen früherer Fehler bewahren. Nachstehend finden Sie eine

Zusammenfassung bewährter Praktiken, die Ihnen dabei helfen können, die Security-Fallstricke zu vermeiden,

die sowohl großen als auch kleinen Kunden zum Verhängnis werden können.

„Entdecken“ versus „Verhindern“In der Netzwerksicherheit werden meist der „Detect“-, also „Entdecker“-Modus für weniger kritische Gefahren

und der „Prevent“- bzw. „Verhindern“-Modus für schwerwiegende, hochriskante Bedrohungen genutzt. Wir

hören häufig von Kunden, dass ein Angriff zwar entdeckt aber nicht verhindert werden konnte, weil er falsch

kategorisiert wurde. Stellen Sie also eine regelmäßige Prüfung Ihrer Threat-Richtlinien sicher, so dass diese

immer richtig kategorisiert sind.

Patches nicht mehr aktuellObwohl Patches selbst für Jahre alte Schwachstellen auf bestimmten Plattformen zur Verfügung stehen, sind

sie häufig nicht installiert. Angreifer machen sich diese Nachlässigkeit zu Nutze. Je älter die Sicherheitslücke,

umso wahrscheinlicher ist die Existenz eines Open Source-Exploits. Damit Sie sich hier nicht zum leichten

Opfer machen, empfehlen wir Ihnen frühes und häufiges Patchen.

Schwache Passwort-Policy oder Wiederverwendung von PasswörternDie meisten, mit Brute-Force-Attacken gewonnenen Zugangsdaten werden gestohlen, weil das Passwort für

ein Userkonto schwach ist. In anderen Fällen konnten User-Accounts übernommen werden, weil das Passwort

für eine Website auch für eine andere, kompromittierte Seite genutzt wurde. Durch das Festlegen strengerer

Passwort-Richtlinien und die Aufklärung der Anwender über die Gefahren der Mehrfachverwendung von

Passwörtern können Unternehmen die Gefährdung von Nutzerkonten deutlich reduzieren. Mehr noch, gute

Passwörter machen Ihre Netzwerke stärker.

Abschottung von UnternehmensbereichenIn großen Organisationen beobachten wir oft die Zurückhaltung von Informationen zwischen einzelnen

Unternehmensbereichen, manchmal auch die gegenseitige Schuldzuweisung zwischen den Abteilungen.

In einigen Unternehmen fehlt es schlicht an Mechanismen für den internen Informationsaustausch oder

konsistente IT-Policies, was z.B. dazu führt, dass ein Geschäftsbereich ein deutlich moderneres Netzwerk hat,

als ein anderer. Unglücklicherweise sind viele der Netzwerke nicht segmentiert, so dass der Einbruch in ein

Abteilungsnetz dem Einbruch in alle Geschäftsnetze gleich kommt.

Damit sich die Geschichte nicht wiederholt



„So etwas wie vollkommene Sicherheit, das gibt es nicht, es gibt nur verschiedene Stufen von Unsicherheit.“ 17

–Salman Rushdie, Autor

Man könnte annehmen, dass etwas, das man kennt,

entsprechend leichter zu kontrollieren ist. Was

Sie im vorstehenden Kapitel über Malware lesen

konnten, widerlegt diese Annahme allerdings.

Die Bekämpfung bekannter Malware erfordert einen

mehrschichtigen Ansatz. Das wichtigste Prinzip:

Automatisieren und koordinieren Sie mehrere

Verteidigungsebenen.

• Erkennen und Verhindern. Stellen Sie sicher, dass

neben Gateway- und Endpoint Anti-Virus-Software

auch URL-Filtering zum Einsatz kommt. Dies hilft

dabei, den Verbindungsaufbau mit den bekannten

Distributoren von Malware zu verhindern.

• Blockieren von Bots. Setzen Sie ein Anti-Bot

Software Blade ein, das Malware erkennt und

Botnet-Kommunikation eindämmt.

• Schützen, was wichtig ist. Erweitern Sie Ihren IPS-

Schutz und stellen Sie so sicher, dass Sie auch sehr

schwere Attacken abwehren können. Schützen Sie

Ihre Netzwerkserver und IT-Infrastruktursysteme,

unabhängig von Hersteller oder Plattform.

• Verwalten und pflegen. Bleiben Sie auf dem

Laufenden beim Thema Sicherheitslücken und

führen Sie Patch-Prozesse für alle Systeme und

Applikationen durch.

• Regulieren und begrenzen. Begrenzen Sie für die

Client- und Serverkonfiguration die Vergabe von

Administratorrechten. Unterbinden Sie Java und

andere Skriptsprachen und legen Sie fest, welche

Applikationen auf Endpoints installiert werden

dürfen.

EMPFEHLUNGEN


MOBILE SECURITY:SCHRÄNK’ MICH NICHT EIN

„Abgesehen von dem Bekannten und dem Unbekannten, was gibt es da noch?“ 18

–Harold Pinter, Nobelpreis-Träger, Dramatiker, Drehbuchautor, Regisseur, Schauspieler

04


33MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 33

42% erfuhren Mobile Security-Vorfälle mit Kosten von über 250.000 US-Dollar.

Mit dem Aufkommen der Mobilität ging auch das

Versprechen von der Freisetzung zusätzlicher

Produktivität einher. Der Gedanke an mobile

Sicherheit kam bei vielen erst deutlich später.

Ziel war zunächst die Identifikation von

Lösungen, die Produktivität frei geben, und zwar

unabhängig davon, ob man sich innerhalb oder

außerhalb der Geschäftsräume befindet. Dies

wird besonders wichtig durch die zunehmende

Verbreitung von Smartphones und Tablets,

zusammen mit den dazu gehörigen Apps.

Mobile Endgeräte machen unser Leben vielfach

leichter und sollen deshalb, so der Wunsch

vieler User, auch am Arbeitsplatz genutzt werden

dürfen – wo sie aber die Daten des Unternehmens

neuen, hohen Risiken aussetzen.

Es war vorhersehbar, dass der wachsende Trend

zu Bring Your Own Device (BYOD) Unmengen von

Mobile Security-Problemen erzeugen würde. Mobile

Endgeräte sind der ideale Angriffsvektor. Sie bieten

einen deutlich einfacheren, direkten Zugang zu

wertvollem Geschäftseigentum, als jeder andere

Zugangspunkt zum Netzwerk. Das macht sie zum

schwächsten Glied in der Security-Kette.

In einer von Check Point unterstützten, weltweiten

Studie unter mehr als 700 Unternehmen gaben 42

Prozent der Befragten an, dass sie bereits Mobile

Security-Probleme hatten hinnehmen müssen, deren

Behebung sie mehr als 250.000 US-Dollar gekostet

hat. Und 82 Prozent der Teilnehmer erwarteten für

2015 eine Zunahme der Störfälle.

3434 | MOBILE SECURITY: SCHRÄNK MICH NICHT EIN

91 Prozent der Studienteilnehmer haben im Laufe

der beiden letzten Jahre eine Zunahme der privat

genutzten, mobilen Endgeräte festgestellt, die

auch auf das Unternehmensnetzwerk zugreifen.

Es ist daher alarmierend, dass 44 Prozent der

Organisationen die auf den privaten Endgeräten

der Mitarbeiter befindlichen Geschäftsdaten nicht

verwalten. Hinzu kommt, dass 33 Prozent der

App-Entwickler ihre Apps nicht auf Security hin

überprüfen. 19

Es ist also keine Überraschung, dass für die

IT die beiden größten Herausforderungen in

der BYOD-Security in der Absicherung der

Unternehmensinformationen (72 Prozent der

Befragten) und dem Management persönlicher

Eine schwache Mobile Sicherheit kann Hackern

Zugang zu Personendaten, Passwörtern, geschäft-

licher und privater Email, Geschäftsdokumenten,

Applikationen und Unternehmensnetzen verschaffen.

Entsprechend wachsen die Bedenken gegenüber der

geschäftlichen Nutzung mobiler Geräte. Tatsächlich

geben 86 Prozent der IT-Verantwortlichen an, dass

gedankenlose Mitarbeiter eine größere Gefahr für

die Sicherheit darstellen, als Cyberkriminelle. Und

92 Prozent räumen ein, dass durch ein anderes

Verhalten der Mitarbeiter schwerwiegende Security-

Vorfälle hätten verhindert werden können.

AUSSER KONTROLLE


cc

GESCHÄFTSDATEN IN GEFAHR

GEISTIGES EIGENTUM

NETZWERKZUGANGS-DATEN

STANDORT DES MITARBEITERS

BEVORZUGTE KOMMUNIKATION TELEFONATE


Endgeräte bestehen, die sowohl geschäftliche als

auch private Daten und Applikationen enthalten

(67 Prozent der Untersuchungsteilnehmer).

Noch mehr Gewicht kommt den BYOD-

Herausforderungen im Kontext einer weiteren,

global durchgeführten Studie zu. Hier wurde

kommerzielle, mobile Observierungssoftware

unter die Lupe genommen, wie sie typischerweise

für die Überwachung – in manchen Fällen auch

für das Ausspionieren – von Kindern genutzt

wird. Der Grund: Solche Produkte sind anfällig

für mobile Remote Access-Trojaner (mRATs), die

ganz oben auf der Liste mobiler Malware stehen.

Es wurden mehr als 500.000 Android- und 400.000

iOS-Geräte in mehr als 100 Ländern untersucht,

die über Check Point-Firewalls auf geschäftliche

Drahtlosnetzwerke zugriffen. Sollten Endgeräte

hierbei mit einem Command & Control (C&C)-

Server kommunizieren, würden sie als infiziert

eingestuft. Die Analysten stellten fest, dass von

1.000 Endgeräten jeweils eines infiziert war. Die

Untersuchung ergab außerdem, dass bei 2.000 oder

mehr mobilen Endgeräten in einer Organisation

eine 50prozentige Wahrscheinlichkeit besteht,

dass sich mindestens sechs infizierte oder

ins Ziel genommene, mobile Endgeräte im

Netzwerk befinden. Nach Plattform betrachtet,

fallen davon 60 Prozent auf Android und 40 Prozent

auf iOS.


BYOD-HERAUSFORDERUNGEN AN DIE SECURITY

ABSICHERUNG DER GESCHÄFTSINFORMATIONEN 72

MANAGEMENT PERSÖNLICHER ENDGERÄTE, DIE SOWOHL GESCHÄFTLICHE ALS AUCH PRIVATE

DATEN UND APPLIKATIONEN ENTHALTEN67

NACHVERGOLGUNG UND KONTROLLE DES ZUGRIFFS AUF GESCHÄFTLICHE UND PRIVATE NETZWERKE 59

FORTLAUFENDE AKTUALISIERUNG DER MOBIL GENUTZTEN BETRIEBSSYSTEME UND APPLIKATIONEN 46

FINDEN AGNOSTISCHER SECURITY-LÖSUNGEN (Z.B. FÜR DAS MANAGEMENT ALLER BETRIEBSSYSTEME) 42

PROZENT DER ORGANISATIONEN

WIR HABEN KEINE BYOD-HERAUSFORDERUNGEN 5

ANDERE 2


Hacker können ein Unternehmen angreifen,

indem sie sensitive Informationen von den

mobilen Endgeräten seiner Mitarbeiter abziehen.

Schadhafte mRATs machen es potenziellen

Angreifern möglich, Daten von mobilen

Endgeräten zu stehlen. Sie können die Kontrolle

über verschiedene Sensoren übernehmen und

damit z.B. Keylogging ausführen, Nachrichten

stehlen, Videokameras einschalten u.v.m. Die

Untersuchung ergab interessanterweise, dass

besonders Mitarbeiter großer Organisationen zum

Ziel von mRATs werden. Insbesondere zeigte die

Studie, dass die Angreifer bevorzugt bestimmte

Organisationen ins Visier nahmen, innerhalb

derer sie dann verschiedene Ziele angriffen – statt

auf die Angestellten beliebiger Organisationen

abzuzielen und diese dann ohne Zusammenhang

mit dem Unternehmen zu attackieren.

Auf die Frage, welche mobile Plattform nach ihrem

Ermessen die meisten Probleme verursacht,

bezeichneten in der schon zuvor erwähnen Studie

rund 64 Prozent der IT-Verantwortlichen Android als

größtes Risiko – gefolgt von Apple iOS und Windows

Mobile mit je 16 Prozent. Nur vier Prozent nannten

BlackBerry.

WAS IST DER SCHADEN?

UntersuchungsstichprobeMehr als 500.000 Android- und 400.000 iOS-Geräte aus mehr als 100 Ländern

InfektionenEtwa 1.000 infizierte Endgeräte, davon 60% Android und 40% iOS

MalwareEs wurden mehr als 20 Varianten und 18 verschiedene mRAT-Produktfamilien entdeckt

RisikoUnternehmensdaten in Form von Emails, Messages, Keystrokes, Telefonaten und Mitarbeiterstandort

STUDIE ZU MOBILEN BEDROHUNGENGezielte Attacken auf mobile Endgeräte im Unternehmen

37

STUDIE ZU MOBILEN BEDROHUNGENGezielte Attacken auf mobile Endgeräte im Unternehmen

MOBILE SECURITY: SCHRÄNK MICH NICHT EIN | 37


18 MRAT FAMILIES FOUND

Mobile Spy

Shadow Copy Mspy

Spy2Mobile

My Mobile Watchdog

Andere

Bosspy

MobiStealthTalkLog


Das Schöne an der Interprozess-Kommunikation (IPC) ist, dass sie unterschiedliche, spezialisierte Prozesse

innerhalb eines Betriebssystems ineinandergreifen lässt. In Android ist der hierfür erforderliche Message-

Passing-Mechanismus „Binder“. Im Oktober 2014 fanden Check Point-Experten in Verbindung mit diesem

System einen gravierenden Fehler, den sie in einem Report mit dem Titel „Man-in-the Binder: Wer die IPC

kontrolliert, kontrolliert das Droid“ dokumentierten. Im Wesentlichen stellten die Check Point-Forscher

fest, dass es die Möglichkeit gibt, die über das Binder-Protokoll kommunizierten Daten und sensitiven

Informationen abzufangen.

Die wichtigsten Ergebnisse:• Informationen, die über die Applikationen auf einem Android-Device gesendet und empfangen werden,

einschließlich der durch 2-Faktor-Autentifierzierung, Verschlüsselungscodierung und andere Security-

Maßnahmen gesicherten Daten, können abgefangen werden.

• In die abgefangenen Befehlszeilen können „Man-in-the-middle“-Kommandos eingegeben, es können also

sog. Janus-Angriffe durchgeführt werden.

• Über den Binder abgefangene Daten können Eingaben über die Gerätetastatur, anwendungsbezogene

Aktivitäten wie Banking, Transaktionen und SMS-Nachrichten umfassen.

Sie erfahren mehr über Man-in-the-Binder und andere Untersuchungsergebnisse von Check Point unter

checkpoint.com/threatcloud-central.

ACHTUNG VOR DEM BINDER

Kein Wunder also, dass Hacker mit Android einen

Heidenspaß haben – weist es doch einen deutlich

höheren Risikofaktor auf, als andere Lösungen.

Eine erst kürzlich entdeckte Malware macht

Android-Benutzer glauben, dass sie ihr Mobilgerät

ausgeschaltet haben – was aber nicht wirklich

der Fall ist. Berichten zufolge erlaubt die Malware

dann Remote-Anwendern mit dem Device des

Opfers zu telefonieren, Nachrichten zu senden

und zu empfangen und sogar Fotos zu machen.20

Letztendlich eröffnet dies einen einfachen Weg zum

Diebstahl von Identitäten und Daten.

Es ist erfolgskritisch, sich der Risiken bewusst zu

sein, die mit mobiler Technologie einhergehen. In

den kommenden Monaten werden wir uns mehr und

mehr mit den Security-Auswirkungen von tragbarer

Technologie und uns begleitenden Devices wie Fitbit,

Google Glass, Smartwatches und anderen Geräten,

die sich wiederum mit Tablets und Smartphones

verbinden, beschäftigen müssen. Das Internet

der Dinge (Internet of Things, IoT) wird sowohl zu

Hause als auch am Arbeitsplatz allgegenwärtig, und

die Vernetzung der Technologien wird es möglich

machen, alles zu lesen, was von einem Gerät auf

ein anderes übertragen wird. Es ist deshalb an

der Zeit, dass wir uns intensiv mit den Fragen und

Auswirkungen von Mobile Security befassen.


Schirmen Sie Bereiche voneinander abSchaffen Sie eine sichere Geschäftsumgebung

und separieren Sie Ihre Geschäftsdaten und

Applikationen, einschließlich der Daten auf privaten

Endgeräten. Wird das Gerät kompromittiert,

können Schutzmaßnahmen zur Absicherung der

Unternehmensdaten aktiviert werden, bis die Gefahr

beseitigt ist.

Vereiteln Sie BedrohungenIdentifizieren und verhindern Sie Cyberbedrohungen

und schützen Sie Ihre mobilen Endgeräte. Stellen

Sie sicher, dass Ihre Mobile Security-Lösung dabei

unterstützt, verdächtige Downloads zu verhindern,

schadhafte Webseiten zu blockieren und Gefahren

abzuwenden, noch bevor diese Schaden anrichten

können.

Gehen Sie in die CloudSchützen Sie Ihren Netzwerkverkehr über Cloud-

Services, die Ihre geschäftlichen Richtlinien auf

mobile Endgeräte (BYOD) ausweiten und Ihre Com-

pliance sicherstellen. Nutzen Sie eine Lösung, die

für inner- und außerbetriebliche Nutzung nur eine

Security-Policy nutzt und durchsetzt und Ihre Mobil-

anwender auch über die Grenzen der betrieblichen

Security-Maßnahmen hinaus begleitet.

EMPFEHLUNGEN

Bauen Sie nicht auf MDM als AlleinlösungMobile Device Management (MDM) erlaubt der IT-

Abteilung die Kontrolle darüber, was der Anwender

mit seinem Endgerät tun darf, und was nicht. Doch

MDM weist auch zwei entscheidende Defizite auf:

Zum einen können MDM-Policies aus Anwendersicht,

je nach IT-Abteilung, als sehr restriktiv empfunden

werden. Fühlen sich die Mitarbeiter aber in ihrer

Freiheit beschnitten, finden sie gerne Wege, die

Security-Maßnahmen zu umgehen. Zweitens

ist aus Unternehmenssicht zu berücksichtigen,

dass MDM die mobilen Endgeräte nicht wirklich

schützt, denn MDM-Lösungen umfassen keine

Malware-Funktionalitäten. Sie müssen neben

MDM also immer noch Lösungen identifizieren, die

das Endgerät selbst schützen sowie die ein- und

ausgehenden Daten kontrollieren.

Schützen Sie den WegDer Schutz von Dokumenten ist ein in der Mobile

Security gerne übersehener Aspekt. Kontrollieren

Sie Ihre Geschäftsdokumente, ganz egal, wohin sie

gehen. Verschlüsseln Sie Ihre Dateien und stellen

Sie sicher, dass ausschließlich autorisierte Nutzer

Zugriff haben. Lösungen wie Check Point Capsule

bieten Dokumentensicherheit und granulare

Kontrolle über die Datenzugriffsberechtigung.

„Was wir mit Technologien wie mobilen Endgeräten und Cloud Computing

erleben ist, dass sie Geschäftsmodelle ermöglichen, die bisher schlicht

nicht existiert haben…

Die etablierten Giganten dieser Welt werden empfindlich gestört von jungen

Unternehmen, die neue Technologien zu nutzen wissen, um für Ihre Kunden

grundlegend neue, noch nie da gewesene Wertangebote zu schaffen.“ 21

-Eric Schmidt, Chairman von Google


APPLIKATIONEN:DORT, WO ES WEH TUT

„Da sich unsere Gesellschaft zu einer entwickelt, die auf Daten gestützt ist, werden unsere kollektiven Entscheidungen darüber, wie diese Daten genutzt werden können, bestimmen, in welcher Form von Kultur wir leben.“ 22

–John Battelle, Entrepreneur, Autor, und Journalist

05

41APPLIKATIONEN: DORT, WO ES WEH TUT | 41

Die digitale Landschaft, in der wir leben, ist

heimtückisch und trügerisch. Die Gefahren treten in

Form von Angriffen, internen Fehlern oder Sabotage

auf. Ein ganz besonders verletzlicher Bereich

der Unternehmen ist jedoch der, worauf sich ihre

geschäftliche Produktivität am stärksten stützt: die

Applikationen.

Einige Applikationen, wie File Sharing, sind ganz

offensichtlich riskant. Andere jedoch treten

hier weniger hervor, denn sie sind Teil der s.g.

„Schatten-IT“ – Applikationen also, die nicht von der

zentralen IT-Organisation gefördert oder unterstützt

werden. Vielmehr werden diese Technologien

und Anwendungen an der IT vorbei erworben und

installiert – als Zusatztools, die den Usern ihre Arbeit

erleichtern.

Da also andere von diesen Applikationen

abhängen, kann die IT ihren Einsatz nicht einfach

blockieren. Sind die Tools aber erlaubt, muss

auch die entsprechende Threat Prevention, also

Gefahrenabwehr, implementiert sein. Das Netzwerk

muss unter der Annahme geschützt werden, dass

diese hochriskanten Applikationen tatsächlich

schadhaft SIND und nicht, dass sie es sein KÖNNTEN.

Um Ihnen einen Eindruck von der Verbreitung

hochriskanter Applikationen zu geben: Check Point-

Forscher haben sie in 96 Prozent aller untersuchten

Organisationen nachgewiesen – ein Zuwachs um 10

Prozentpunkte gegenüber dem Vorjahr.

Zu den wichtigsten, untersuchten Kategorien

gehören:

• Remote eingesetzte Administrations-Tools –

Applikationen wie TeamViewer, RDP und LogMeIn

ermöglichen den Fernbetrieb Ihres Rechners und

seiner Funktionen, so als sei die Person physisch

zugegen. Ein Handy-Tool für die Fehlersuche bei

IT-Problemen kann gleichzeitig ein Werkzeug für

Hacker sein, das ihnen beängstigend viel Kontrolle

und Macht über Ihr Netzwerk gibt.

• Dateiablage und Sharing – Applikationen wie

DropBox und andere ermöglichen Ihnen den

Austausch und das Arbeiten mit größeren Dateien,

als Sie gewöhnlich per Email versenden können.

• P2P File Sharing – Das BitTorrent-Protokoll und

SoulSeek sind nur zwei Beispiele dafür, was in der

Regel für den Austausch von Medien wie Musik,

Videos oder Echtzeit-Kommunikation genutzt wird.

• Anonymizer – Mithilfe von Browser-Plugins oder

Web-Services wie Tor oder OpenVPN können Online-

Anwender anonym agieren. Solche Tools können

96% der Organisationen nutzen wenigstens eine hochriskante Applikation.

4242 | APPLIKATIONEN: DORT, WO ES WEH TUT

legitim genutzt werden und Risiken reduzieren.

Allzu oft aber werden sie für bösartige Zwecke

missbraucht.

In 2014 führten Remote Admin-Tools (RATs) die

Liste der Vorfälle mit hochriskanten Applikationen

an, 92 Prozent der untersuchten Unternehmen

waren betroffen. Unter allen verfügbaren RATs

verdrängte TeamViewer das Admin-Werkzeug

RDP von Platz Eins der Angriffsvektoren in dieser

Kategorie – 78 Prozent der Organisationen räumten

Sicherheitsvorfälle mit TeamViewer ein.

Der Einsatz von Anonymizern nahm der Check

Point-Studie zufolge über alle Bereiche hinweg zu.

Und während die Top-3-Vektoren in jeder wich-

tigen Kategorie von hochriskanten Applikationen

gegenüber dem Vorjahr in etwa konsistent

blieben, zeigte die Anonymizer-Kategorie mehr

Bewegung auf. So bildeten hier zum Beispiel Tor,

Ultrasurf und Hide My Ass das führende Triple. In

diesem Jahr rutschte Tor auf den dritten Platz,

OpenVPN und Coralcdn waren die Nummern Eins

und Zwei.


In 92% der Organisationen wurden Remote Admin-Tools gefunden.

REMOTE-ADMINISTRATION FILE STORAGE UND -SHARING P2P FILE SHARING ANONYMIZER

92 90

8186 86

77 75

6256

43

PR

OZE

NT

DE

R O

RG

AN

ISAT

ION

EN

201220132014

80

61

NUTZUNG HOCHRISKANTER APPLIKATIONEN IN UNTERNEHMEN


Ob es um finanzielle Interessen geht oder einfach darum, ein Zeichen zu setzen – Hacker haben zahlreiche Tools zur Verfügung, um ihren Standort und ihre Identität zu verschleiern. Anders als landläufig in Hollywood-Streifen dargestellt, ist die Verfolgung und Identifizierung von Online-Kriminellen sehr komplex.

Cybercrime-Ermittler räumen ein, dass sie meist nur die kleinen Fische fangen, wenn es um Computerkriminalität geht. Kriminelle Organisationen, meist geführt von gut informierten und erfahrenen Hackern, bleiben häufig unentdeckt. Da sie geografisch verteilt, gut strukturiert und in Teilen voneinander abgeschottet arbeiten, kennen einzelne Hacker meist nur einen kleinen Teil der großen Organisation – was die Wahrscheinlichkeit ihrer Aufdeckung noch geringer werden lässt.

Für ihre Machenschaften „unter dem Radar“ setzen Cyberkriminelle ein ganzes Arsenal an Tools ein, das ihre Anonymität wahrt. Zunächst gilt es, die Spuren im Internet, die zu ihrem Standort führen könnten, zu verwischen. Das einfachste Tool hierfür ist ein Web-Proxy.

Auch „Anonymizer“ genannt, agiert ein Proxy-Server als zwischengeschalteter Client-Computer, der Requests an die ursprünglich angefragte Zieladresse zurückgibt. In den Anfangszeiten des Internet halfen Web-Proxys dabei, die IP-Adresse einer Quelle zu verbergen, werden aber heute viel einfacher aufgedeckt.

Sie verbergen ihren StandortDie Nutzung von VPN-Verbindungen ermöglicht dem Sender das Verschlüsseln des Datenverkehrs zwischen Endpunkten. Der VPN-Server kann genutzt werden, um die Identität eines Senders zu verbergen, indem er die Source-IP unauffindbar macht (in Echtzeit). Die Verbindung zwischen dem Rechner des Angreifers und dem VPN-Server ist verschlüsselt, so dass der Datenverkehr nicht entschlüsselt werden kann. Weder der VPN-Server selbst ist maskiert, noch sind es die Daten, sind sie einmal über die Grenzen der VPN-Verbindung hinaus geschickt worden.

Sie verbergen ihren WegFür weiter fortgeschrittenes Anonymizing setzen manche auf Tools wie Tor-Netzwerke. Das „Tor-Projekt“ setzt frei erhältliche Software ein, die ein Netzwerk aus 5.000 freiwilligen Relais-Stationen nutzt, um so den Standort und die Nutzung jedes einzelnen Nutzers zu tarnen. In einer Art Zwiebelschichtverfahren nutzt das Tor-Netzwerk für die Adressierung verschiedene Verschlüsselungsebenen, so dass ein Relais immer nur die Adresse für die nächste Station sehen kann, nicht aber die Quelle oder die endgültige Zieladresse.

Sie verbergen ihre Computer IDJeder Rechner, der auf das Internet zugreift, hat seinen eigenen Fingerabdruck: die interne, für jeden Computerprozessor einzigartige MAC-Adresse, in Verbindung mit seinen Betriebssystem- und Web-Zertifikaten. Eine der populärsten Möglichkeiten, eine Computeridentität zu verbergen bietet „Tails“, ein Betriebssystem, das von einer CD oder einem USB-Stick gebootet werden kann. Sein s.g. „One-time Workstation“-Feature transferiert die Identifikationssignaturen des Rechners zu dem CD/USB-Betriebssystem. Nach einmaliger Nutzung wird die CD/USB zerstört. Auf diese Weise können Angreifer die Rechneridentitäten auf dem gleichen Computer beliebig oft auswechseln.

In einigen Fällen nutzen Hacker mehrere Verhüllungsebenen, wie z.B. die Verbindung zu einem VPN hinter dem Tor-Netzwerk, bezogen aus einem öffentlichen Wi-Fi, was sowohl den Ursprungsrechner als auch die Stellen für das Internet-Routing verschleiert.

Wo ist Waldo?


5.2 SOURCE: Check Point Software Technologies

AMERICAS EMEA APAC2014

2013Tor ∙ Ultrasurf ∙ Hotspot Shield OpenVPN ∙ Coralcdn

Proxy SuppliersUltrasurf ∙ Tor ∙ Hide My AssANONYMIZER

Dropbox ∙ Windows Live OfficeHightail



FILE STORAGEUND SHARING

RDP ∙ LogMeIn ∙ TeamViewer RDP ∙ TeamViewer ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeInREMOTE ADMIN

BitTorrent Protocol ∙ SoulSeekBoxCloud

BitTorrent Protocol ∙ SoulSeekeDonkey Protocol

P2P FILE SHARING BitTorrent Protocol ∙ XunleiSoulSeek

Hola ∙ Tor ∙ Coralcdn OpenVPN ∙ CoralcdnProxy Suppliers

OpenVPN ∙ Coralcdn ∙ TorANONYMIZER

BitTorrent Protocol ∙ SoulSeekBoxCloud

BitTorrent Protocol ∙ SoulSeekiMesh

P2P FILE SHARING

Dropbox ∙ HightailWindows Live Office

Dropbox ∙ Hightail ∙ Jalbum Dropbox ∙ Hightail ∙ MendeleyFILE STORAGEUND SHARING

RDP ∙ LogMeIn ∙ TeamViewer TeamViewer ∙ RDP ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeInREMOTE ADMIN

BitTorrent Protocol ∙ XunleiQQ Download

DIE RISKANTESTEN APPLIKATIONEN NACH REGION

45APPLIKATIONEN: DORT, WO ES WEH TUTS | 45

„Hide My Ass“ war nicht sichtbar. Wahrscheinlich

gewann OpenVPN an Popularität als Folge der

Edward Snowden-Enthüllungen zu den Lauschan-

griffen der NSA. Der Grund ist, dass OpenVPN als

Industriestandard eine Verschlüsselungstechnologie

nutzt, die bei korrekter Implementierung nicht

durchbrochen werden kann. Inzwischen haben auch

andere Anonymizer stark an Popularität gewonnen,

auch wenn sie noch nicht zu den Top-3 gehören.

So hat es z.B. die Anonymizer-App Hola von nur

drei Prozent auf jetzt 17 Prozent geschafft. Ein Teil


TOP REMOTE ADMIN-APPLIKATIONEN

PR

OZE

NT

DE

R O

RG

AN

ISAT

ION

EN

TEAMVIEWER

RDP

LOGMEINVNC

AMMYY A

DMIN

GOTOASSIS

T-

REMOTESUPPORT

78

69

43

24

12 11

BITTORRENT

SOULSEEK

XUNLEI

IMESH

EDONKEY

TOP P2P FILE SHARING +

BITTORRENT PROTOKOLL-

APPLIKATIONEN

60

2113 12 11

DROPBOX

HIGHTA

IL

WINDOWS LIVE O

FFICE

IMAGEVENUE

JALBUM

MENDELEY

SUGARSYNC

DROPBOX

WINDOWS LIVE O

FFICE

HIGHTA

IL (YOUSENDIT)

SUGARSYNC

IMAGEVENUE

MENDELEY

DROPBOX

HIGHTA

IL (YOUSENDIT)

WINDOWS LIVE O

FFICE

MENDELEY

IMAGEVENUE

TOP FILE STORAGE- UND SHARING-APPLIKATIONEN

69

51

2213

914

48

85

26

16 15 14

84

1420

14 11 11

201220132014

2014

2014

Die Organisationen erfuhren 12,7 Vorfälle mit hochriskanten Applikationen

pro Stunde, also 305 pro Tag.


ihres Erfolgswegs kann der Tatsache zugeschrieben

werden, dass sie zur richtigen Zeit am richtigen Ort

war. Hola tauchte exakt vor den Olympischen Spielen

in Sochi 2014 aus der Beta-Testphase auf. Da es über

Ländergrenzen hinweg den Zugriff aufs Internet

erlaubt, kann mit Hola auf Programmierungen, die

ansonsten nur an einem bestimmten, geografischen

Standort zur Verfügung stehen, von allen zugegriffen

werden, die das Tool zur Verschleierung ihrer

Geolokation benutzen.


DIE POPULÄRSTEN ANONYMIZER-APPLIKATIONEN

PR

OZE

NT

DE

R O

RG

AN

ISAT

ION

EN

EINSATZ VON ANONYMIZER-APPLIKATIONEN NACH REGION

17

TOR

ULTRASURF

HIDE M

Y ASS

OPENVPN

2012

23

8 7

3

TOR

OPENVPN

CORALCDN

PROXY SUPPLIE

RSHOLA

2014

23 1918

17

TOR

ULTRASURF

HIDE M

Y ASS

OPENVPN

CORALCDN

2013

15 14 12 10 10

49

35

AMERICAS EMEA APAC

20122013

58

40

64

54

49

63

54

59

2014


Unternehmen fördern. Legen Sie dann fest, welche

Personen auf diese Programme Zugriff haben

sollten. Überwachen Sie Ihr Netzwerk und stellen

Sie sicher, dass dort keine abnormalen Applikationen

im Umlauf sind.

3. Verschlüsseln Sie Ihre Dokumente und verhindern

Sie so den Verlust von Daten. Wird eine Datei an eine

hierfür nicht berechtigte Person weitergegeben, so

hindert die Verschlüsselung den Empfänger daran,

das Dokument zu sehen oder zu öffnen.

4. Definieren und praktizieren Sie Kategorie-

basierte Applikationskontrolle. Helfen Sie Ihren

Administratoren dabei, Ihnen zu helfen. Geben Sie

ihnen die Möglichkeit, bei Bedarf ganze Kategorien

von Applikationen zu blockieren. Dies vereinfacht

die Administration durch Ausweitung der Policy-

Kontrolle auf neue Applikationen, sobald diese

aufgenommen werden.

„Wir leben in einer Welt voller Risiken, und es ist höchste Zeit dass wir uns ernsthaft damit befassen, über welche

davon wir besorgt sein sollten.“ 23

-Lisa Randall, Physkerin

EMPFEHLUNGEN

Während Malware – sowohl bekannte als auch

unbekannte – manchmal unkontrollierbar erscheint,

kann man die Nutzung hochriskanter Applikationen

immerhin in eine gewisse Ordnung bringen.

Nachstehend empfehlen wir Ihnen vier Schritte,

durch die Sie die Gefahr minimieren können:

1. Schulen Sie Ihre Mitarbeiter. Helfen Sie den

Menschen in Ihrer Organisation dabei, die mit

spezifischen Applikationen verbundenen Risiken zu

verstehen. Gehen Sie nicht davon aus, dass sie es

schon wissen. Weisen Sie die Mitarbeiter außerdem

auf sicherere, von der IT unterstützte Tools hin, die

ihren Geschäfts- und Produktivitätsanforderungen

ebenfalls genügen.

2. Standardisieren Sie auf bewährte, in größeren

Unternehmen einsetzbare Applikationen. Identi-

fizieren Sie die spezifischen Applikationen, die

die Produktivität und die Innovationen in Ihrem

48

DATA LOSS:WIE SAND DURCH‘S STUNDENGLAS

06


„Fehler sind eine Gegebenheit des Lebens. Es ist die Antwort auf den Irrtum, die zählt.“ 24

–Nikki Giovanni, Dichter, Schriftsteller, Pädagoge und Aktivist

49DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS | 49

Einbrüche ins Datennetz sind nicht der einzige Weg,

auf dem die „bösen Jungs“ ihren Job erledigen.

Manchmal setzen sie Komplizen ein, auch wenn dies

unwissentliche Helfer sind. Hier kommen Social

Engineering und Phishing ins Spiel. Inzwischen

kennen sich Cyberkriminelle so gut mit der

Psychologie ihrer Opfer aus, dass ihre E-Mails sogar

solchen Personen vertrauenswürdig erscheinen,

die sich als klug und erfahren bezeichnen würden.

So erhält ein Mitarbeiter beispielswiese eine E-Mail

von einem Personalvermittler, die den Empfänger

über eine offene Stelle informiert. Bringt dieser dann

sein Interesse zum Ausdruck, fragt der so genannte

Personalberater nach detaillierteren Informationen

über das Unternehmen und evtl. andere Bereiche.

In anderen Fällen erhalten Angestellte E-Mails

von Personen, die sich als Kollegen ausgeben und

nach sensitiven Informationen fragen, und zwar

mit genau den richtigen Worten, um eine Antwort

zu erhalten. Einige Arbeitgeber haben daher damit

begonnen, eigene Phishing-Tests durchgeführt.

Da interne Fehler zu einem großen Schlupfloch

für Datenverluste führen können, senden die

Unternehmen vorgetäuschte Phishing-Mails an die

eigenen Mitarbeiter. Fallen sie darauf herein, ist dies

eine lehrreiche Erfahrung.

Auch wenn diese internen Probleme nicht so sehr

im Fokus der Medien stehen, so sollten sie aber

bei Security-orientierten Unternehmen definitiv

auf der Liste stehen. In 2014 erfuhren 81 Prozent

der Organisationen wenigstens einen Vorfall mit

potentiellem Datenverlust. Genauer betrachtet liegt

die Rate von Data Loss-Vorfällen in den Unternehmen

bei 1,7mal pro Stunde, also 41mal pro Tag – eine

Steigerung um 41 Prozent im Vergleich zum Vorjahr.

Die Datenverlustrate bei den Unternehmen betrug 1,7mal pro

Stunde/41mal pro Tag.

5050 | DATA LOSS: WIE SAND DURCH‘S STUNDENGLAS

DURCH MITARBEITER AUS DEM UNTERNEHMEN HERAUS

GESCHICKTE DATEN

PROZENT DER ORGANISATIONEN

2014 2013 2012

FIRMENEIGENE INFORMATIONEN

KREDITKARTENDATEN

GESCHÄFTSDATENSÄTZE

SENSITIVE PERSONAL-INFORMATIONEN

GEHALTSINFORMATIONEN

NETZWERK-INFORMATIONEN

PASSWORTGESCHÜTZTE DATEIEN

VERTRAULICHE OUTLOOK-NACHRICHTEN

BANKKONTONUMMERN

ANDERE

41% 35% 24%

30% 29% 29%

13% 14% 13%

10% 10% 14%

27% 31% 21%

5% 5% 7%

5% 4% 3%

20% 21% 6%

25% 22%

13% 14%



Bei der Art der Daten, die gestohlen werden, liegen

schützenswerte, firmeneigene Informationen mit

41 Prozent deutlich vorn. Und dieser Wert steigt

weiter an, seit 2012 um nahezu 71 Prozent. Den

unrühmlichen zweiten Platz unter den verlorenen

Daten belegen Kreditkarteninformationen, mit einem

seit Jahren etwa gleichbleibenden Prozentanteil.

Der größte Sprung, wenn es um den Typ der

verlorenen Daten geht, ist bei Geschäftsdatensätzen

zu verzeichnen. Deren Anteil ist von sechs Prozent

in 2012 auf jetzt 20 Prozent gestiegen. Wie passiert

das? In manchen Fällen sendet ein Mitarbeiter eine

vertrauliche E-Mail vielleicht versehentlich auch an

jemanden außerhalb der Organisation. Fast jeder

von uns hat sicher schon einmal festgestellt, dass

sich beim Senden einer Email schon nach Eingabe

der ersten Buchstaben in die Adress-Zeile der Name

von selbst vervollständigt – jedoch nicht immer mit

dem, an den die Nachricht tatsächlich gehen soll. In

anderen Fällen sendet ein Mitarbeiter vielleicht in

wirklich schlechter Absicht eine vertrauliche E-Mail

per „bcc“ auch an externe Empfänger.

Interessanterweise nahmen solche Vorfälle in den

Unternehmen zwischen 2012 und 2013 etwas ab,

stiegen aber in 2014 wieder an. Im Durchschnitt

stellten die Unternehmen pro Tag vier Data Loss-

Vorfälle fest, bei denen eine E-Mail an verschiedene

interne Empfänger, gleichzeitig aber auch an

einen einzelnen externen Rezipienten ging.

15 Fälle von Datenverlust pro Tag wurden mit E-Mails

festgestellt, die per „an“ und „cc“ an sichtbare

Empfänger, zugleich aber auch per „bcc“ an mehr

als einen externen Empfänger geschickt wurden.

Es gibt aber noch weitere Gründe für das uner-

wünschte Durchsickern von Daten: Ein Mitarbeiter

macht irrtümlich private Informationen online

verfügbar und ein Dritter – vielleicht eine Aushilfskraft

oder ein Vertragspartner – stiehlt die Daten.

Alle 36 Minuten werden sensitive Daten aus der Organisation heraus geschickt.

Der Verlust von firmeneigenen Informationen hat in den vergangenen

drei Jahren um 71 Prozent zugenommen.


Ganz unabhängig davon, ob die Daten durch

externe oder interne Machenschaften verloren

gehen – der Appetit nach ihnen wird von nur

einer Sache angeregt: dem Hunger nach

finanzieller Bereicherung. Der Cybercrime ist

nicht nur profitabel, sondern er ist zum „Big

Business“ geworden. Denn die geklauten Daten

werden nicht mehr nur auf dem Schwarzmarkt

verkauft, sie werden eingehend vermarktet.

Websites veröffentlichen die derzeit zum Verkauf

stehenden Kreditkarten mit allen relevanten

Kriterien, etwa der herausgebenden Bank und den

Gültigkeitsdaten. Die Informationen werden also

nicht mehr an der dunklen Ecke und unter der

Hand an ein bis zwei Personen weiter gegeben.

Sie werden am helllichten Tag per „Nachricht an

alle“ hinausposaunt.

Und das passiert schneller, als man annehmen mag.

So werden Kreditkarteninformationen durchaus

schon 30 Minuten nach Verlassen ihrer Quelle,

z.B. eines Kaufhauses, auf dem Schwarzmarkt

feilgeboten. Je frischer der Diebstahl der Daten,

umso mehr Geld bringen sie ein. Und wer zahlt

dafür? Aufgrund der schlechten Security-Praxis im

Einzelhandel haben jetzt Gerichte in den Vereinigten

Staaten festgelegt, dass die Einzelhändler selbst

zur Verantwortung gezogen werden können und den

betroffenen Banken ihre Kosten unter Umständen

ersetzen müssen.

ALL OVER THE WORLDPROVIDE BULK CARDING SERVICES ALSO

ELECTRONICS CARDING SERVICE

FRESH WEEKLY UPDATES SNIFFED FROM POS411773 DEBIT PLATINUM 10/17 Yes 101 BANK OF AMERICA

N.A. 52.5$VISA +United States, NYRochester, 14623

American Sanctions 1

432388 DEBIT PLATINUM 05/15 Yes 101 WELLS FARGON.A. 52.5$VISA +United States, IA

Bettendorf, 52722American Sanctions 1

414548 DEBIT BUSINESS 05/16 Yes 101 MEMBERS 1ST F.C.U. 52.5$VISA +United States, PAHanover, 17331


486831 DEBIT PLATINUM 04/17 Yes 101 WELLS FARGON.A. 52.5$VISA +United States, CO

Littleton, 80129American Sanctions 1

448055 DEBIT CLASSIC 01/16 Yes 101 ITS BANK 22.5$VISA +United States, WIGreen Bay, 54303


414709 CREDIT SIGNATURE 10/16 Yes 101 CAPITAL ONE BANK(USA) N.A. 42.01$VISA +United States, CA

Mission Viejo, 92692American Sanctions 1

WOHIN FÜHRT DAS ALLES?

ELEKTRONISCHER KARTEN- VERKAUFSSERVICE

ERHÄLTLICH AUF DER GANZEN WELT

WÖCHENTLICHE UPDATES, FRISCH VOM POS (POINT OF SALE)


So wie Jäger, die auf schnelle Beute aus sind, haben

sich Cyberkriminelle auf den Point of Sale (PoS)

als ihren Jagdgrund fokussiert. Der Hauptgrund:

Sehr viele PoS-Terminals laufen auf veralteten

Betriebssystemen wie Windows XP, die nicht mehr

gepatcht und verwaltet werden. Im vergangenen

Jahr vermittelte der Blick in die einschlägige Presse

den Eindruck, als würde ein namhafter Einzelhändler

nach dem anderen von Sicherheitsvorfällen

heimgesucht. Das Jahr begann mit einem wahren

Knall, als Neiman Marcus eine Datenpanne erlitt

und 1,1 Millionen Datensätze mit Kontodaten verlor –

was jedoch noch im gleichen Monat durch den Vorfall

beim Heimwerkermarkt „Michael’s“ übertroffen

wurde. Dort gingen drei Millionen Datensätze

verloren. Im weiteren Verlauf des Jahres folgten

Taxiunternehmen, Schönheitssalons, Goodwill, UPS

und Dairy Queen. Das alles wurde mit 56 Millionen

verlorenen Datensätzen im September 2014 von

Home Depot getoppt. Zusammengenommen flossen

in den Vereinigten Staaten 112.250.000 Datensätze

in die Hände unbekannter Dritter ab, jeder dritte

Amerikaner war betroffen.

Zwar tauchen Infektionen mit PoS-Malware weltweit

auf, doch hier liegen die Vereinigten Staaten

deutlich vorne – sicherlich auch, weil sie noch

nicht in dem Chip- & PIN-Kartensystem sind, das

andere Länder nutzen. Chip & PIN ist ein weltweiter

SCHNELLES GELD

Zahlungsstandard, der in die Karte einen Chip

integriert, so dass sie nur zusammen mit einer PIN

genutzt werden kann. Hier muss der Einzelhandel

nacharbeiten und seine PoS-Systeme anpassen, um

mit diesem Standard kompatibel zu sein.

Doch Chip & PIN schützen nicht vor allen Gefahren.

Infektionen wie die „BackOff“-Malware, von der

zahlreiche US-Unternehmen betroffen waren, brachten

eine große Sicherheitslücke ans Licht: Die Malware

vorinstallierte Tools in den Beständen von sieben

großen PoS-Terminal-Herstellern, bevor die Systeme

an den Handel ausgeliefert wurden. Schwache oder

gleich gebliebene Admin-Passwörter gaben den

Hackern den Fernzugriff auf die Geräte.

Das Department of Homeland Security berichtet,

dass mehr als 1.000 Unternehmen in den USA

von der PoS-Malware betroffen waren 25, mit einer

immensen Auswirkung auf Organisationen und

Einzelpersonen. Allein die Kosten für den Ersatz

von Kreditkarten beliefen sich auf 1,3 Milliarden US-

Dollar. Eine LexisNexis-Studie mit dem Titel „Die

tatsächlichen Kosten der Computerkriminalität“

(„The True Cost of Fraud“,26) besagt, dass in 2014 der

durchschnittliche Einzelhändler 133 erfolgreiche,

betrügerische Transaktionen pro Monat hinnehmen

musste – ein Anstieg um 46 Prozent gegenüber dem

Vorjahr.

UNTERNEHMEN MIT WENIGSTENS EINEM POTENZIELLEN DATA LOSS-EVENT, NACH INDUSTRIE

FERTIGUNG FINANZEN ÖFFENTLICHE HAND TELEKOMMUNIKATION

61

78

87

7079

PR

OZE

NT

DE

R O

RG

AN

ISAT

ION

EN

5045

828888

7886

201220132014



Während 2013 und 2014 erlebte der Einzelhandel

eine alarmierend hohe Anzahl von Datenpannen.

Die Angriffe führten zum Verlust von Millionen

von Kreditkarten- und Personendaten der

Kunden. Die betroffenen Unternehmen erlitten

erheblichen, finanziellen Schaden – der größte

der attackierten Einzelhändler verlor 13% seiner

Marktbewertung und erlitt merkliche Einbußen in

seinem Warenhausverkauf. Derartige Datenlecks

betreffen große und kleine Unternehmen

gleichermaßen. Zu den namhaftesten Opfern in

2013 und 2014 gehörten Michaels, Neiman Marcus,

PF Chang’s, Target und Home Depot – sie alle

erlitten immensen Schaden aus PoS-bedingten

Datenpannen.

Die Bedenken der Kunden bezüglich der Sicherheit

ihrer privaten und finanziellen Daten sind wach

gerüttelt, und die Geschäftsverantwortlichen

bemühen sich energisch um strukturelle

Veränderungen. Die kurzfristigen Auswirkungen

zeigen sich bereits jetzt, was all das langfristig

bedeutet, wird jedoch erst in den kommenden

Jahren deutlich werden.

Als Antwort auf diese Form von Sicherheitsvorfällen

reagieren die Unternehmen oft mit einer Art

Hau-Ruck-Aktion: Sie kümmern sich

beispielsweise nur um die offenkundigste,

sichtbare Schwachstelle oder setzen auf

eine Methode, die in den Medien besonders hohe

Aufmerksamkeit erhält.

Im Falle der jüngsten Datenpannen im Handel

wurde der Schwerpunkt auf die Umstellung

hin zu „Chip & PIN“-Kreditkarten gesetzt – ein

weltweiter Zahlungsstandard, der über den

physikalischen Chip auf der Karte in Verbindung

mit der persönlichen PIN des Karteninhabers auf

2-Faktor-Autentifizierung setzt. Aber schon eine

flüchtige Prüfung der bei den betroffenen Händlern

angewandten Angriffsmethoden zeigt, dass Chip &

PIN allein diese Vorfälle nicht verhindert hätten.

PoS: Nur ein Chip ist nicht genug

Die Hacker griffen die Einzelhändler über verfüg-

bare Remote-Verbindungen an. So verschafften

sie sich Zugang zu den Netzwerken der Opfer und

installierten mehrere Varianten von Malware und

Software-Tools, um schließlich die Kundendaten

abzufangen und zu exportieren. Schwächen im

Netzwerkdesign und in der Point-of-Sale (PoS)-

Konfiguration vereinfachten den Angreifern darüber

hinaus die Horizontalbewegung und Verseuchung

mit Malware.

Um sich vor derartigen Attacken zu schützen,

sollten Sie also auf einen umfassenden Ansatz

und die Implementierung einer mehrschichtigen

Lösung setzen, die das gesamte Netzwerk

adressiert – nicht nur die Teile, die am

verletzlichsten erscheinen.


Denken Sie immer daran, dass Security nicht still

steht, nicht statisch ist. Wenn Sie z.B. Ihren Körper

im Gleichgewicht halten, finden ganz unbemerkt

eine Vielzahl subtiler Bewegungen statt, die Ihnen

das aufrechte Stehen ermöglichen. Ganz ähnlich

können Sie Ihre Security betrachten. Um mit den

Bedrohungen Schritt zu halten, müssen Sie für eine

konstante Prüfung und Aktualisierung sorgen und

dabei immer in Bewegung bleiben. Machen Sie nicht

schon dort Halt wo Sie denken, dass Sie vor externen

Attacken sicher sind. Stellen Sie sicher, dass

auch das Innere abgedeckt ist. Insbesondere

empfehlen wir:

Schützen Sie Ihre Daten durch Verschlüsselung –

egal, ob sie gespeichert oder in Bewegung sind. Ziel

ist, für Ihre Daten einen schützenden Deckmantel

zu schaffen, wo auch immer sie hin gehen und

sich befinden. Wenn Ihre Daten verschlüsselt sind,

können sie ausschließlich von dafür autorisierten

Personen gesehen werden.

Erstellen Sie mehrere Schutzebenen mit Prüfstellen

und für den Datenabgleich.

Jeder hilft jedem zu verstehen – von der Führungs-

ebene bis zum einzelnen Mitarbeiter – wie wichtig die

Minimierung von Cybergefahren für den Schutz des

geistigen Eigentums und der unternehmerischen

Werte ist.

Binden Sie Ihre Belegschaft in die Verbesserung

Ihrer Sicherheitslage ein, indem Sie die Mitarbeiter

darin schulen, wie sie helfen können. Stellen Sie

Sicherheitsregeln auf, die die Mitarbeiter verstehen

und dabei unterstützen, sie durchzusetzen.

„Es ist besser, nach vorn zu schauen und sich vorzubereiten, als zurückzublicken und zu bedauern.” 27

-Jackie Joyner Kersee, Athlet und Olympischer Medaillengewinner

EMPFEHLUNGEN


FAZIT UND EMPFEHLUNGEN:DER WEG ZU MEHR SCHUTZ

„‘Status quo‘, das wissen Sie, ist Lateinisch für ‚der Schlamassel, in dem wir gerade stecken‘.“ 28

–Ronald Reagan, Schauspieler und früherer Präsident der Vereinigten Staaten

07


57FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 57

Fest steht: die Cyberkriminalität wird nicht

nachlassen. Die gravierenden Vorfälle in 2014

haben eindrücklich belegt, wie schlecht es um

die Internet-Sicherheit bestellt ist – Analysten

erwarten im Ergebnis ein Wachstum der Security-

Industrie um ihr Zehnfaches. Die Gefahren kommen

aus verschiedensten Richtungen und niemand

kann glaubwürdig behaupten, dass irgendein

Unternehmen vor einem Angriff wirklich sicher ist.

Es wäre im Gegenteil der größte Fehler, der einer

Organisation unterlaufen kann – wenn sie annähme,

sicher zu sein und ihre Security-Infrastruktur nicht

regelmäßig überprüfte.

Wenn Sie Ihre Sicherheitslage betrachten, dann

nehmen Sie sich ausreichend Zeit, Bedrohungen

und Schwachstellen wirklich zu verstehen. Achten

Sie auf beitragende Faktoren, und haben Sie immer

auch das große Bild davon vor Augen, wohin Sie Ihr

Unternehmen führen möchten. Gut vorbereitete

Organisationen wissen, dass die Security-Policy

auf strategischen Zielen, Geschäftsvorgaben und

der Unternehmenspolitik aufbauen muss – und mit

Prozeduren und Anforderungen, Leistungswerten

und, selbstverständlich, mit den Menschen auf allen

Ebenen der Organisation verknüpft sein muss.

Legen Sie Ihren Prozess fest und stellen Sie sicher,

dass er selbst so grundlegende Schritte umfasst,

wie das Durchführen von Software-Patches und

Updates. Denken Sie auch an das Ökosystem Ihrer

Partner und wie diese sich mit Ihrem Security-

Prozess verbinden lassen.

Wenn es um die Technologie geht, muss Ihr Security-

Programm verschiedenste Ebenen und Kontrollen

vereinen.

Da die Gefahren aus unterschiedlichen Quellen

und Richtungen kommen, sind einschichtige

Security-Architekturen und punktuelle Lösungen

aus Produkten verschiedener Hersteller nicht

mehr adäquat.

Beginnen Sie, sich Ihre Architektur als drei

ineinander greifende Ebenen vorzustellen.

Eine Software-definierte Schutzarchitektur, basierend

auf einem dreischichtigen Security-Konzept, ist die

beste Verteidigung gegen immer neue, schnelle

Attacken.

Enforcement Layer – die DurchsetzungsebeneErstellen Sie einen Gateway- und Endpoint-

basierten Sicherheitsplan, der Malware, Botnets

und schadhaften Inhalt prüft, identifiziert und

blockiert, der auf das Sammeln und Herausfiltern

„Der Kalte Krieg endete nicht in den 1990ern. Er ging nur online.“ 29

-Jose Paglieri, Journalist

5858 | FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ

von Kundeninformationen abzielt. Legen Sie

Authentifizierungsregeln für den Zugriff auf Netz-

werke und Applikationen fest um zu verhindern,

dass nicht autorisierte Anwender und Systeme in

sensitive Bereiche Ihres Netzwerks eindringen.

Control Layer – die KontrollebeneRichten Sie Administrator-determinierte Security-

Policies und automatisierte Schutzmaßnahmen

ein. Erstellen Sie Regeln, die insbesondere die

Zugriffskontrolle und die Sicherheitsbestimmungen

an den s.g. Enforcement Points definieren. Grenzen

Sie das Verhalten von Applikationen und Systemen

auf das „Least-Privilege“-Prinzip ein – jeder

Benutzer, jeder Dienst und jedes System erhält

damit nur die Rechte, die zur Erfüllung der jeweiligen

Aufgaben erforderlich sind.

Bei der Wahl spezifischer Lösungen sollten Sie

darauf achten, dass Sie mit diesen (1) jede Art

von eingehendem Dateityp untersuchen können,

einschließlich gesicherte und verschlüsselte

Dateien, (2) Zero-Day-Threats identifizieren können,

und zwar sowohl innerhalb als auch außerhalb des

Betriebssystems und (3) ohne jeden Zeitverzug

sichere, absolut Malware-freie Dokumente erhalten.

Den besten Schutz Ihres Unternehmens vor

Angriffen bietet eine schnelle Betriebslösung mit

hoher Abfangquote.

Check Point empfiehlt folgende Schutzmaß-

nahmen: Tief greifende Sandbox-Funktionalitäten

auf Betriebssystem- und CPU-Ebene für das

Erkennen und Blockieren von Malware

Threat Extraction, also das Entfernen potenziell

schädlicher Funktionen, um eingehende Dokumente

ohne jede zeitliche Verzögerung und frei von

Malware wiederherzustellen.

Dieser Ansatz achtet auf schadhafte Aktivitäten auf

der Betriebssystemebene und nutzt dies auf CPU-

Level. So werden Angriffe verhindert, noch bevor

sie umgesetzt werden können. Das Erkennen von

Exploit-Versuchen noch vor der Infektion unterstützt

Sie dabei, Umgehungstechniken zu unterbinden.

Durch die Verbindung von Betriebssystem- und

CPU-Level-Sandboxing mit Threat Extraction steht

Ihnen eine Technologie der Neuen Generation zur

Verfügung, die die bestmögliche Verhinderungsrate

für Bedrohungen aufweist.

Management Layer – die VerwaltungsebeneÜberwachen Sie alle geschäftsrelevanten Admi-

nistratorrechte und erstellen Sie ein umfassendes

Reporting. Implementieren Sie Intelligenzbasierte

Threat Prevention, die sich unabhängig aktualisiert

und neue Schutzmaßnahmen pro-aktiv an die Enforce-

ment Points weiter gibt. Nicht auf dem aktuellen Stand

zu sein ist eine der größten Schwachstellen in den

meisten Netzwerken. Implementieren Sie Event Ma-

nagement-, Logging- und Reporting-Tools, die evtl.

Vorfälle in Echtzeit identifizieren sowie Filtering-

und Analyse-Tools umfassen. So stellen Sie sicher,

dass Ihre Administratoren Einsicht in tatsächliche

Angriffe haben und nicht mit eher unkritischen Vor-

fällen überhäuft sind.

Da mobile Endgeräte mehr und mehr auch zu den

bevorzugten Arbeitsmitteln gehören, gehen wir davon

aus, dass Hacker sie verstärkt als Angriffsvektoren

nutzen werden. Darüber hinaus geben einer Studie

des Ponemon-Instituts zufolge rund 40 Prozent aller

Entwickler von mobilen Applikationen ihre Apps frei,

ohne sie zuvor auf Sicherheitslücken untersucht

zu haben.30 Dieser Tatsache und den Vorfällen aus

dem vergangenen Jahr Rechnung tragend,

betrachten wir 2015 als das Jahr, in dem Sie

Ihre Mobile Security-Strategie definiere und eine

offensivere Haltung bezüglich Ihrer Security-Lage

WAS NOCH?

59FAZIT UND EMPFEHLUNGEN: DER WEG ZU MEHR SCHUTZ | 59

„Die riskanteste Sache, die wir tun können, ist einfach nur den Status Quo zu erhalten.“ 33

-Bob Iger, Unternehmer, Chairman/CEO bei Walt Disney Company

einnehmen sollten – nicht zuletzt im Hinblick auf die

enorme Zunahme mobil genutzter Zahlungssysteme.

Auch wenn für einige Lösungen wie Apple Pay,

Google Wallet und PayPal verschiedene Security-

Vorkehrungen getroffen wurden, etwa die s.g.

Tokenisierung und Verschlüsselung, sind nicht

alle Systeme eingehend auf ihre Standhaftigkeit

gegenüber realen Gefahren getestet worden. Soviel

ist sicher – die Hacker werden nach brauchbaren

Sicherheitslücken suchen.

Bis zum Jahr 2018, das nimmt z.B. ABI Research

an, wird die Anzahl der ausgelieferten, mobilen

Computergeräte auf 485 Millionen steigen.31

Die Analysten von Gartner glauben, dass in

2015 bereits 4,9 Milliarden solcher Endgeräte

im Einsatz sind – ein Zuwachs von 30 Prozent

gegenüber dem Vorjahr. Produzierende Betriebe,

Versorgungsunternehmen und das Transportwesen

werden, so die Gartner-Experten, die stärksten

Nutzer des Internets der Dinge (Internet of Things,

IoT) sein – mit zusammen 736 Millionen verbundenen

Dingen. Bis 2020 sollen es laut Gartner bereits

25 Milliarden verbundene Dinge sein.32

Als ein Ergebnis aus all dieser Konnektivität

müssen wir mit mehr Sicherheitslücken, mit mehr

Bedrohungen rechnen. Für uns bei Check Point

ist der Auftrag klar: Wir sichern die Zukunft ab.

Gleichermaßen zukunftsorientiert müssen auch

die Unternehmen sein. Es ist unverzichtbar, sich

über langfristige Ziele und die Möglichkeiten einer

Optimierung der Security-Infrastruktur klar zu sein,

so dass diese auch Ihre Visionen für die Zukunft

unterstützt.

Lernen Sie die potenziellen Gefahren und

Sicherheitslücken verstehen, erstellen Sie einen

soliden, an Ihrem Unternehmen ausgerichteten Plan

und stellen Sie sicher, dass die Schutzmaßnahmen

in Ihre IT-Infrastruktur integriert sind – so machen

Sie Security zu einer treibenden Kraft. Und

setzen Innovationspotenziale frei. Und bauen eine

Umgebung auf, die hohe Leistung und Produktivität

erbringen kann.

Wenn Sie eine verlässliche Einschätzung der

Sicherheitslage Ihres Unternehmens wünschen,

melden Sie sich einfach für einen kostenfreien

Check Point Security Check-Up unter

www.checkpoint.com/resources/securitycheckup

an. Wollen Sie mehr über Check Point erfahren

und wie wir Sie dabei unterstützen können, Ihr

Unternehmen zu sichern, besuchen Sie uns auf

www.checkpoint.com.

60

1 Stoll, Cliff. “The Call to Learn.” TED Talk. February 2006.

2 Obama, Barack. The Cybersecurity and Consumer Protection Summit. February 13, 2015.

3 Check Point Software Technologies. http://www.checkpoint.com/resources/securitycheckup/

4 AV-Test. http://www.av-test.org/en/statistics/malware/

5 Lacy, Sarah. “The Irony of the Social Media Era: It Was Created By the World’s Least Social People.”

Huffington Post, July 15, 2012. http://www.huffingtonpost.com/sarah-lacy/social-media-entrepreneurs-

mark-zuckerberg_b_1518471.html

6 Amira, Dan. “Q&A With Nate Silver on His New Book, Whether Romney Has a Shot, and Why He

Doesn’t Play Fantasy Baseball Anymore.” New York Magazine, September 28, 2012.

http://nymag.com/daily/intelligencer/2012/09/nate-silver-book-signal-noise-interview.html

7 Check Point Software Technologies. “The Unknown 300 Test Report,” 2014.

https://www.checkpoint.com/downloads/300TestReport.pdf

8 Saint-Exupery, Antoine de. Wind, Sand and Stars, 1939.

9 Pareles, Jon. “Madonna on ‘Rebel Heart,’ Her Fall and More.” The New York Times, March 5, 2015.

http://nyti.ms/1A29332

10 Spamhaus. “The Spamhaus Project.” http://www.spamhaus.org/news/article/720/spamhaus-botnet-

summary-2014

11 Ward, Jillian. “Power Network Under Cyber-Attack Sees U.K. Increase Defenses,” Bloomberg Business,

January 8, 2015. http://www.bloomberg.com/news/articles/2015-01-09/power-grid-under-cyber-attack-

every-minute-sees-u-k-up-defenses

12 Prince, Brian. “Almost 70 Percent of Critical Infrastructure Companies Breached in Last 12 Months:

Survey,” SecurityWeek, July 14, 2014. http://www.securityweek.com/almost-70-percent-critical-

infrastructure-companies-breached-last-12-months-survey

13 CVE Details. http://www.cvedetails.com/browse-by-date.php; http://www.cvedetails.com/top-50-

vendors.php?year=2014

REFERENZEN

60 | REFERENZEN

61

14 Kirk, Jeremy. “An SDN vulnerability forced OpenDaylight to focus on security,” CSO, March 25, 2015.

http://www.csoonline.com/article/2902902/vulnerabilities/an-sdn-vulnerability-forced-opendaylight-

to-focus-on-security.html

15 Reilly, Claire and Musil, Steven. CNET, September 24, 2014.

http://www.cnet.com/news/bigger-than-heartbleed-bash-bug-could-leave-it-systems-shellshocked/

16 Gilbert, David. “What is POODLE? The Latest Online Security Threat After Shellshock and Heartbleed,”

International Business Times, October 16, 2014. http://www.ibtimes.co.uk/what-poodle-latest-online-

security-threat-after-shellshock-heartbleed-1470300

17 Singh, Anita. “Hay Festival 2012: Salman Rushdie on security and The Satanic Verses,” The Telegraph,

June 3, 2012. http://www.telegraph.co.uk/culture/hay-festival/9309641/Hay-Festival-2012-Salman-

Rushdie-on-security-and-The-Satanic-Verses.html

18 Pinter, Harold. The Homecoming, 1965.

19 Taft, Darryl K. “IBM Study Shows Mobile App Developers Neglecting Security,” eWeek, March 21, 2015.

http://www.eweek.com/developer/ibm-study-shows-mobile-app-developers-neglecting-security.html

20 Schroeder, Stan. “Android Malware Spies on You Even After Phone Is Shut Down,” Mashable,

February 19, 2015. http://mashable.com/2015/02/19/android-malware-spies-shut-down/

21 Schawbel, Dan. “Eric Schmidt and Jonathan Rosenberg: What We Can Learn From Google,” Forbes,

September 23, 2014. http://www.forbes.com/sites/danschawbel/2014/09/23/eric-schmidt-and-

jonathan-rosenberg-what-we-can-learn-from-google/

22 Battelle, John. “Thoughts on Ford’s OpenXC: In the Future, Brands with Open Data Will Win,”

August 18, 2013. http://battellemedia.com/archives/2013/08/thoughts-on-fords-openxc-in-the-future-

brands-with-open-data-will-win.php

23 Irion, Robert. “Opening Strange Portals in Physics,” Smithsonian Magazine, December 2011.

http://teachers.smithsonian.com/science-nature/opening-strange-portals-in-physics-92901090/?all

24 Giovanni, Nikki. Black Feeling, Black Talk, Black Judgment, 1970.

REFERENZEN | 61

62

25 United States Computer Emergency Readiness Team. US-CERT, August 27, 2014.

https://www.us-cert.gov/ncas/alerts/TA14-212A

26 LexisNexis. “2014 LexisNexis® True Cost of FraudSM Study.”

http://www.lexisnexis.com/risk/downloads/assets/true-cost-fraud-2014.pdf

27 Schwartz, Larry. “Joyner Kersee Completes Huge Leap,” ESPN.com.

https://espn.go.com/sportscentury/features/00016055.html

28 Reagan, Ronald. “Address Before a Joint Session of the Tennessee State Legislature in Nashville,”

March 15, 1982. http://www.presidency.ucsb.edu/ws/?pid=42270

29 Paglieri, Jose. “Russia Attacks U.S. Oil and Gas Companies in Massive Hack,”CNN Money, July 2, 2014.

http://money.cnn.com/2014/07/02/technology/security/russian-hackers/

30 Vijayan, Jai. “Rush To Release Resulting In Vulnerable Mobile Apps,” Dark Reading, March 20, 2015.

http://www.darkreading.com/attacks-breaches/rush-to-release-resulting-in-vulnerable-mobile-

apps/d/d-id/1319566

31 ABI Research. “Wearable Computing Devices, Like Apple’s iWatch, Will Exceed 485 Million Annual

Shipments by 2018,” ABIResearch.com, February 21, 2013.

https://www.abiresearch.com/press/wearable-computing-devices-like-apples-iwatch-will/

32 Moore, Michael. “Internet Of Things To Hit 4.9 Billion Things By 2015,” TechWeekEurope, November 11,

2014. http://www.techweekeurope.co.uk/e-innovation/internet-of-things-4-9bn-gartner-155298

33 Iger, Bob. Disney Shareholder Meeting, Anaheim, NBC News, March 3, 2006.

http://www.nbcnews.com/id/11767409/ns/business-us_business/t/pixars-star-disney-

shareholders-meeting/#.VSRlovnF9Zt

62 | REFERENZEN

63

KONTAKTIEREN SIE UNS:Check Point Software Technologies

Deutschland: Zeppelinstraße 1, 85399 Hallbergmoos

D: +49 (0)811 99821 0, [email protected]

Österreich: Vienna Twin Tower A1625, Wienerbergstraße 11, 1100 Wien

A: +43-1-99460-6701, www.checkpoint.com

Schweiz: Zürcherstr. 59, 8953 Dietikon

CH: +41-44-316-64-41, www.checkpoint.com


64


www.checkpoint.com

Documents

2015 SECURITY REPORT - Inter-Networking · 2016-09-02 · Check Point sammelte in 2014 weltweit Event-Daten aus drei verschiedenen Quellen, ... 2013 auf 2014 um 71 Prozent von 83