Menü

IT-Strategien Bedrohungen aus dem Netz nehmen zu

Angesichts der aktuellen Berichterstattung drängt sich der Verdacht auf, dass der Kampf gegen die Cyberkriminellen bereits zu deren Gunsten entschieden sein könnte. Doch mit ganzheitlichen Abwehrkonzepten ist durchaus ein Kraut gegen die Bedrohungen aus dem Netz gewachsen.
Trojaner-Software offenbar drei Jahre alt © Archiv
Trojaner-Software offenbar drei Jahre alt

Der logische Zusammenschluss von mit Malware infizierten Systemen wird allgemein als Botnetz bezeichnet. Systeme in einem Botnetz können dabei für unterschiedlichste Zwecke instrumentalisiert werden. Beispiele hierfür sind Distributed Denial of Service (DDoS) Angriffe gegen Firmen-Webseiten oder der Versand von Spam-Mails.

Erschwerend kommt hinzu, dass das Generieren von Malware heutzutage nicht nur Experten vorbehalten ist. Vorkonfektionierte Baukastensysteme erlauben es auch Laien, Malware zusammenzustellen. Diese Baukästen stehen auf speziellen Internetseiten zum Kauf bereit. Hierzu wird keinerlei Expertenkenntnis benötigt.

Stuxnet & Co.

Eine aktuelle Studie von Microsoft zeigt genau diesen Sachverhalt. Demnach ist die Infektionsrate in bestimmten EU-Staaten, darunter auch Deutschland, Ende 2011 stark angestiegen. Bisher konnte in diesen Staaten in der Regel eine geringe Infektionsrate festgestellt werden. Zurückzuführen ist dieser Anstieg auf die Malware Win32/ZBot beziehungsweise Win32/EyeStye. Beide Varianten werden durch ein Malware-Kit generiert, sind käuflich erwerbbar und verursachen unterschiedlichen Schaden.

Dieser beginnt beispielsweise mit der Deaktivierung der Personal Firewall oder anderen lokalen Sicherheitskomponenten, dem Ausspähen von Benutzer- und Computer-Informationen und endet beim Zugriff auf sensible Daten, wie die Tastatureingaben beim Besuch einer Online-Banking-Seite. Die Infektionszahlen lassen dabei den Schluss zu, dass Deutschland mehr und mehr in den Fokus krimineller Aktivitäten mit Malware rückt.

Immer mehr in den Vordergrund rücken sogenannte Advanced Persistent Threats (APTs). Diese nutzen ähnliche Mechanismen wie herkömmliche Malware. Hinzu kommt jedoch eine wesentlich stärkere Ausrichtung auf ein bestimmtes Ziel und eine damit einhergehende technologische Spezialisierung. Hinter APTs verbergen sich in der Regel Organisationen, die über ihr Know-how und ihre Mittel in der Lage sind, eben diese hochkomplexen Angriffe entsprechend vorzubereiten, zu testen und schließlich durchzuführen.

So konnte beispielsweise innerhalb des APTs Stuxnet Programmcode nachgewiesen werden, der zur Programmierung von Siemens Simatic S7 verwendet wird. Diese Steuerungen werden unter anderem auch in Atomkraftwerken eingesetzt. Von Stuxnet war vor allem der Iran betroffen. Das legt den Schluss nahe, dass es sich um eine gezielte Aktion gehandelt hat.

Integrierte Spurenbeseitigung

Ähnliche Eigenschaften weißt auch Flame auf. Dieser APT wurde kürzlich im mittleren Osten entdeckt. Infiziert war hier zwar nur eine geringe Anzahl von rund 1000 Systemen. Interessant dabei ist allerdings, dass es vor allem Regierungssysteme waren, die von Flame infiziert wurden. Zur Verbreitung nutzt dieser APT das lokale LAN oder auch USB-Sticks. Einmal infiziert, werden auf dem System Screenshots angefertigt, Audioaufzeichnungen gestartet, Eingaben über die Tastatur und der Netzwerkverkehr mitgeschnitten.

Interessant ist weiter, dass Flame über eine Deinstallations-Routine verfügt. Wird vom C&C-Server ein spezielles Kommando gesendet, so wird der Schadcode vollständig vom System entfernt. Gerade diese Eigenschaft unterscheidet Flame von Standard-Malware. Hierdurch ist es möglich, die Spuren des Angriffs nach erfolgreicher Beendigung vollständig zu beseitigen.

Bei all diesen Bedrohungen stellt sich natürlich die Frage, wie diesen angemessen begegnet werden kann. Die Antwort darauf ist ein ganzheitliches Sicherheitskonzept, das nicht nur auf Antivirus-Software basiert, sondern auch andere Techniken und vor allem auch organisatorische Aspekte berücksichtigt. Ziel dabei muss es sein, mit den zur Verfügung stehenden Möglichkeiten das maximale Maß an bezahlbarer Sicherheit zu erreichen.

Zeitnahe Updates

Erste Pflicht zum Schutz gegen Malware ist ein durchdachtes Patch-Management. Alle Systeme im Unternehmen müssen stets zeitnah mit den zur Verfügung stehenden Sicherheitsupdates versorgt werden. Zwingend notwendig sind dabei angemessene Maßnahmen, die zur Sicherung der Betriebsstabilität ergriffen werden, wie beispielsweise eine ausreichende Qualitätsprüfung.

Der immer schneller steigenden Anzahl von Malware-Angriffen entgegnen die Antiviren-Hersteller mit neuartigen Technologien, die eine schnellere Verteilung der Signaturen ermöglichen und den Malware-Schutz durch Nutzung von Cloud-Diensten verbessern. Damit lässt sich schneller auf eine geänderte Bedrohungslage reagieren. Diese neuartigen Technologien müssen geprüft und nach Anpassung an die eigene Strategie entsprechend eingesetzt werden.

News & Trends - IT-Sicherheitsreport

Viele Antiviren-Hersteller haben sich in der Vergangenheit zu vollständigen Anbietern im IT-Sicherheitsbereich entwickelt. Neben Lösungen für den Client/Server-Bereich bieten sie unter anderem auch Schutzsoftware für Gateway-Systeme an. Diese Möglichkeiten müssen vor allem beim Übergang zum Internet und zu anderen wenig vertrauenswürdigen Netzen genutzt werden. So ist es heutzutage bereits Standard, sowohl Web-Proxies als auch E-Mail-Proxies mit entsprechender Malware-Technologie auszustatten.

Idealerweise wird hier eine Multi-Vendor-Strategie verfolgt, das heißt, auf diesen Gateways wird eine andere Antiviren-Lösung eingesetzt als im Client/Server-Bereich. Damit lässt sich die Erkennungsrate nochmals steigern. Zudem können Antiviren-Hersteller ein umfassenderes Bild der aktuellen Bedrohungslage entwickeln, da sie sicherheitsrelevante Informationen von verschiedensten Quellen wie Gateway-Systemen, Servern oder auch Clients auswerten können.

Mittlerweile werden diese Informationen zentral gesammelt und zeitnah korreliert. Damit lassen sich Signaturen schnell zur Verfügung stellen und Regel-Updates im Bereich von E-Mail- und Web-Proxies realisieren.

Der Faktor Mensch

Ähnliches lässt sich auch auf die Ebene des eigenen Unternehmens übertragen, auch hier können die Meldungen von sicherheitsrelevanten Systemen zentral zusammengefasst und verknüpft werden. Dies geschieht idealerweise mit einem Security-Information-and-Event-Management-System (SIEM).

Ratgeber: Schutz aus der Cloud

Dadurch lässt sich beispielsweise der Ausbruch von Schadsoftware schnell erkennen und deren Verbreitung im Netzwerk leichter nachvollziehen. Reporting-Funktionen bieten dabei die Möglichkeit, sowohl stark aggregierte Berichte für das Management als auch technisch orientierte Auswertungen für die verschiedensten Fachabteilungen zu generieren. Gerade die Berichte für das Management werden immer wichtiger, da das Thema Informationssicherheit hier mit steigendem Interesse beobachtet wird.

Neben diesen technischen Lösungen dürfen jedoch organisatorische Maßnahmen nicht vernachlässigt werden. Das beginnt beispielsweise mit einfachen Awareness-Maßnahmen, die das Bewusstsein der Mitarbeiter hinsichtlich der IT-Sicherheit schärfen sollen. Denn auch heute noch ist der Mensch an sich ein nicht zu vernachlässigender Faktor im Bereich der Informationssicherheit.

Hier kann beispielsweise der Umgang mit externen Speichermedien wie USB-Sticks vermittelt werden. Beherrscht man dieses Schnittstelle, dann lässt sich bereits eines der Einfallstore von Flame ausschließen. Darüber hinaus muss auch geregelt sein, wann Sicherheitsvorfälle vorliegen und wie mit diesen umgegangen wird. In vielen Unternehmen ist das Vorgehen bei Malware-Infektionen implizit klar, die Malware kann vom betroffenen System entfernt werden. Technisch ist das Problem damit gelöst

Hier stellt sich aber die Frage, ob der Vorfall damit tatsächlich komplett behandelt wurde. Die Antwort ist ein klares Nein, da die Angriffe zum Beispiel Gateway-, Server- oder Client-Systeme nachhaltig verändern können oder die Infektion zunächst nur als eine Art Vorankündigung zu verstehen sein kann. Ein übergreifender Schutz lässt sich nur durch eine Vorgehensweise erreichen, die genau regelt, welche Stellen wann informiert werden müssen.

Fazit

Antiviren-Lösungen sind nach wie vor Pflicht. Sie müssen jedoch an die aktuelle Bedrohungslage angepasst, möglicherweise um verschiedene technische Maßnahmen erweitert und organisatorisch unterstützt werden. In diesem Fall lässt sich durchaus ein umfassender Schutz einrichten.

 
x