Malware von der Stange
Von Uli Ries
Zum Absaugen der erbeuteten Daten ist zumeist Malware nötig, beispielsweise um die Daten verschlüsselt per FTP nach außen zu transferieren. Per se ist das auch nichts Neues – aber es scheint immer noch zu funktionieren. Insgesamt stufen die meisten Fachleute das Extrahieren der Daten als vergleichsweise simpel ein, da es – anders als beim Eindringen ins Netzwerk – kaum Sperren gebe. Komponenten zur Data Leakage Prevention finden sich nach wie vor kaum in freier Wildbahn.
Alex Cox hat beobachtet, dass in der Praxis beim Transfer nach draußen sowohl fertige Malware wie Poison Ivy oder Ghost zum Einsatz kommen als auch eigens für den Angriff fabrizierte Schädlinge. Im Vergleich zu ausgefuchster Onlinebanking-Malware wie ZeuS oder Citadel sind diese Mittel vergleichsweise simpel gehalten und verzichten oft auch auf Verschleierungsmaßnahmen wie Packing. Offenbar genügt so simple Malware, um die Aufgabe zu erledigen.
James Lyne ist oberster Virenjäger bei Sophos und war selbst schon das Ziel von Social-Engineering-Attacken. (Bild: Uli Ries)
Fachleute wie James Lyne und Alex Cox sagen zwar, dass die Qualität der Schädlinge oft nicht mit der von Banking-Malware mithalten kann. Aber sie beobachten dennoch auch ausgeklügelte Mechanismen. So weiß Lyne von diversen Schädlingen, die über dynamisch verschlüsselte Kanäle (Command & Control) Kontakt halten zu ihrem Mutterschiff. Hiermit hätten so gut wie alle Intrusion-Detection-Systeme in Unternehmen immense Probleme.
Und auch die Antivirensoftware-Hersteller haben ihre liebe Mühe, da Analysen solcher Malware sehr aufwendig sind. Zum einen machen es die verschlüsselten Kanäle schwer. Zum anderen schützt sich die Malware selbst auch gegen die gängigen Analysemethoden der Malware-Forscher. Selbst absolute Profis könnten bei manchen Infektionen zwar den Befall feststellen, jedoch nicht herausfinden, welche Daten abgeflossen sind.
IT-Sicherheit aus der Cloud
Fachleute sind sich einig: Insbesondere für kleinere und mittlere Unternehmen kann die Cloud entscheidend zur Verbesserung der Sicherheitslage beitragen. Denn in aller Regel haben die Anbieter eigene IT-Sicherheitsmannschaften, deren Expertise weit über das hinausgeht, was bei den Kunden zu finden ist. Dazu kommt, dass Unternehmensnetze unter anderem auch deswegen leicht(er) angreifbar sind, weil sie allzu oft die gleichen Komponenten verwenden (Betriebssystem, Firewall, Antivirensoftware etc.). Finden sich in diesen Bauteilen Lücken, können Angreifer quasi nach Anleitung in Netze auf der ganzen Welt eindringen. Bei Cloud-Providern finden sich keine derart homogenen Landschaften.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Alan Kessler, President und CEO von Vormetric, gibt jedoch zu bedenken, dass Cloud-Kunden nicht nur auf die Zugriffsrechte der eigenen Admins, sondern auch auf die der Administratoren beim Anbieter achten müssen. Zudem gilt: Verschlüsselungskeys dürfen niemals das Unternehmen des Kunden verlassen! Dann sei laut Kessler selbst ein US-Cloud-Anbieter in Ordnung. Denn die US-Regierung kann vom Provider dann auch mit Druck kein Material zum Entschlüsseln der Daten bekommen. Somit ist die Jurisdiktion, der sich der Cloud-Anbieter an seinem Heimatstandort unterwerfen muss, ein wichtiges Entscheidungskriterium. Unter anderem aus diesem Grund bietet beispielsweise Microsoft einige seiner Cloud-Dienste gemeinsam mit der Deutschen Telekom aus deutschen Rechenzentren an.
Grundsätzlich gelte bei der Auswahl eines Anbieters: Ist im eigenen Unternehmen nur wenig IT-Sicherheitsfachwissen vorhanden, dann sind SaaS-Provider (Software as a Service) die beste Wahl. Bare-Metal-Provider empfehlen sich nur für Fachleute. Zum Ermitteln des eigenen Risikoprofils hat die Cloud Security Alliance (CSA) diverse Werkzeuge auf ihrer Webseite parat. Unternehmen mit hohem Risikoprofil sollten beispielsweise unbedingt ein eigenes Key-Management-System für ihre Cloud-Dienste einsetzen.
Teil 1 beginnt den Angriff aufs Unternehmen an der größten Schwachstelle: beim Menschen. Teil 2 nennt die Alternativen zu Spear-Phishing nennen und erklärt, warum Hacker heute auf ein Golden Ticket aus sind. Teil 3 zeigt, wie die Angreifer die Daten nach draußen schmuggeln, und erklärt, worauf bei Sicherheitslösungen aus der Cloud zu achten ist. Teil 4 plädiert schließlich für eine feinere Einteilung in Schutzklassen und erinnert noch einmal an die größte Schwachstelle: den Menschen.
Diese Werkzeuge könnten laut James Lyne jedoch viele kleinere Unternehmen überfordern, insbesondere dann, wenn sie in Kontakt mit großen Anbietern stehen. Denn von außen sei es sehr schwer, deren Sicherheitskompetenz zu prüfen. Von daher empfiehlt auch Lyne, so viel wie möglich zu verschlüsseln – nicht nur auf Dateisystemebene, sondern möglichst schon in der Anwendung. Wer selbst Anwendungen entwickelt, solle zum Verschlüsseln unbedingt auf fertige Frameworks zurückgreifen und sich an diesem komplexen Thema keinesfalls selbst versuchen.
Außerdem sieht der Malware-Spezialist einen Vorteil, wenn eine Kunde alle Schutzmechanismen aus einer Hand bezieht. Best of Breed sei nur für Konzerne handhabbar. Er empfiehlt kleineren und mittleren Unternehmen Lösungen, die sowohl auf den Endpunkten im Netzwerk als auch auf dem Weg in die Cloud – und aus dieser zurück ins Unternehmensnetz – nach Gefahren und Anomalien suchen. Kombiniere man dies dann noch mit einem Dienstleister, der sich der Log-Analyse annimmt, ergebe sich ein wirksamer Schutzwall, so Lyne. Hier stimmt ihm Thomas Hemker zu. Das Auslagern der Log-Analyse an Spezialisten sei ein sinnvoller und sehr wirksamer erster Schritt.
Beim Thema Datenbankverschlüsselung sieht es den Fachleuten zufolge leider nicht so rosig aus. Zwar arbeitet man seit Jahren an der homomorphen Verschlüsselung. Mit ihr lassen sich die Inhalte von Datenbanken in der Datenbank selbst verschlüsseln und beim Zugriff einer Anwendung wieder entsperren. Noch befinden sich aber alle Anstrengungen im Entwicklungsstadium, kommerzielle Produkte seien noch keine in Sicht.
- Teil 4 dieser Serie schlägt ein strategisches Umdenken vor: Nicht alles muss gleichermaßen geschützt sein. Aber die wichtigen Dinge müssen besonders geschützt sein. Es gilt also, genauere Zonen zu definieren.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing