Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
VG Wort Pixel
IT-Strategien

Bedrohungen aus dem Netz nehmen zu

Angesichts der aktuellen Berichterstattung drängt sich der Verdacht auf, dass der Kampf gegen die Cyberkriminellen bereits zu deren Gunsten entschieden sein könnte. Doch mit ganzheitlichen Abwehrkonzepten ist durchaus ein Kraut gegen die Bedrohungen aus dem Netz gewachsen.

Autor: Business & IT • 17.1.2013 • ca. 5:25 Min

Trojaner-Software offenbar drei Jahre alt
Trojaner-Software offenbar drei Jahre alt
© Archiv

Der logische Zusammenschluss von mit Malware infizierten Systemen wird allgemein als Botnetz bezeichnet. Systeme in einem Botnetz können dabei für unterschiedlichste Zwecke instrumentalisiert werden. Beispiele hierfür sind Distributed Denial of Service (DDoS) Angriffe gegen Firmen-Web...

Der logische Zusammenschluss von mit Malware infizierten Systemen wird allgemein als Botnetz bezeichnet. Systeme in einem Botnetz können dabei für unterschiedlichste Zwecke instrumentalisiert werden. Beispiele hierfür sind Distributed Denial of Service (DDoS) Angriffe gegen Firmen-Webseiten oder der Versand von Spam-Mails.

Erschwerend kommt hinzu, dass das Generieren von Malware heutzutage nicht nur Experten vorbehalten ist. Vorkonfektionierte Baukastensysteme erlauben es auch Laien, Malware zusammenzustellen. Diese Baukästen stehen auf speziellen Internetseiten zum Kauf bereit. Hierzu wird keinerlei Expertenkenntnis benötigt.

Stuxnet & Co.

Eine aktuelle Studie von Microsoft zeigt genau diesen Sachverhalt. Demnach ist die Infektionsrate in bestimmten EU-Staaten, darunter auch Deutschland, Ende 2011 stark angestiegen. Bisher konnte in diesen Staaten in der Regel eine geringe Infektionsrate festgestellt werden. Zuru?ckzufu?hren ist dieser Anstieg auf die Malware Win32/ZBot beziehungsweise Win32/EyeStye. Beide Varianten werden durch ein Malware-Kit generiert, sind käuflich erwerbbar und verursachen unterschiedlichen Schaden.

Dieser beginnt beispielsweise mit der Deaktivierung der Personal Firewall oder anderen lokalen Sicherheitskomponenten, dem Ausspähen von Benutzer- und Computer-Informationen und endet beim Zugriff auf sensible Daten, wie die Tastatureingaben beim Besuch einer Online-Banking-Seite. Die Infektionszahlen lassen dabei den Schluss zu, dass Deutschland mehr und mehr in den Fokus krimineller Aktivitäten mit Malware rückt.

Immer mehr in den Vordergrund rücken sogenannte Advanced Persistent Threats (APTs). Diese nutzen ähnliche Mechanismen wie herkömmliche Malware. Hinzu kommt jedoch eine wesentlich stärkere Ausrichtung auf ein bestimmtes Ziel und eine damit einhergehende technologische Spezialisierung. Hinter APTs verbergen sich in der Regel Organisationen, die über ihr Know-how und ihre Mittel in der Lage sind, eben diese hochkomplexen Angriffe entsprechend vorzubereiten, zu testen und schließlich durchzuführen.

So konnte beispielsweise innerhalb des APTs Stuxnet Programmcode nachgewiesen werden, der zur Programmierung von Siemens Simatic S7 verwendet wird. Diese Steuerungen werden unter anderem auch in Atomkraftwerken eingesetzt. Von Stuxnet war vor allem der Iran betroffen. Das legt den Schluss nahe, dass es sich um eine gezielte Aktion gehandelt hat.

Integrierte Spurenbeseitigung

Ähnliche Eigenschaften weißt auch Flame auf. Dieser APT wurde ku?rzlich im mittleren Osten entdeckt. Infiziert war hier zwar nur eine geringe Anzahl von rund 1000 Systemen. Interessant dabei ist allerdings, dass es vor allem Regierungssysteme waren, die von Flame infiziert wurden. Zur Verbreitung nutzt dieser APT das lokale LAN oder auch USB-Sticks. Einmal infiziert, werden auf dem System Screenshots angefertigt, Audioaufzeichnungen gestartet, Eingaben u?ber die Tastatur und der Netzwerkverkehr mitgeschnitten.

Interessant ist weiter, dass Flame u?ber eine Deinstallations-Routine verfu?gt. Wird vom C&C-Server ein spezielles Kommando gesendet, so wird der Schadcode vollständig vom System entfernt. Gerade diese Eigenschaft unterscheidet Flame von Standard-Malware. Hierdurch ist es möglich, die Spuren des Angriffs nach erfolgreicher Beendigung vollständig zu beseitigen.

Bei all diesen Bedrohungen stellt sich natu?rlich die Frage, wie diesen angemessen begegnet werden kann. Die Antwort darauf ist ein ganzheitliches Sicherheitskonzept, das nicht nur auf Antivirus-Software basiert, sondern auch andere Techniken und vor allem auch organisatorische Aspekte beru?cksichtigt. Ziel dabei muss es sein, mit den zur Verfu?gung stehenden Möglichkeiten das maximale Maß an bezahlbarer Sicherheit zu erreichen.

Zeitnahe Updates

Erste Pflicht zum Schutz gegen Malware ist ein durchdachtes Patch-Management. Alle Systeme im Unternehmen mu?ssen stets zeitnah mit den zur Verfu?gung stehenden Sicherheitsupdates versorgt werden. Zwingend notwendig sind dabei angemessene Maßnahmen, die zur Sicherung der Betriebsstabilität ergriffen werden, wie beispielsweise eine ausreichende Qualitätspru?fung.

Der immer schneller steigenden Anzahl von Malware-Angriffen entgegnen die Antiviren-Hersteller mit neuartigen Technologien, die eine schnellere Verteilung der Signaturen ermöglichen und den Malware-Schutz durch Nutzung von Cloud-Diensten verbessern. Damit lässt sich schneller auf eine geänderte Bedrohungslage reagieren. Diese neuartigen Technologien müssen geprüft und nach Anpassung an die eigene Strategie entsprechend eingesetzt werden.

News & Trends - IT-Sicherheitsreport

Viele Antiviren-Hersteller haben sich in der Vergangenheit zu vollständigen Anbietern im IT-Sicherheitsbereich entwickelt. Neben Lösungen fu?r den Client/Server-Bereich bieten sie unter anderem auch Schutzsoftware fu?r Gateway-Systeme an. Diese Möglichkeiten mu?ssen vor allem beim Übergang zum Internet und zu anderen wenig vertrauenswu?rdigen Netzen genutzt werden. So ist es heutzutage bereits Standard, sowohl Web-Proxies als auch E-Mail-Proxies mit entsprechender Malware-Technologie auszustatten.

Idealerweise wird hier eine Multi-Vendor-Strategie verfolgt, das heißt, auf diesen Gateways wird eine andere Antiviren-Lösung eingesetzt als im Client/Server-Bereich. Damit lässt sich die Erkennungsrate nochmals steigern. Zudem können Antiviren-Hersteller ein umfassenderes Bild der aktuellen Bedrohungslage entwickeln, da sie sicherheitsrelevante Informationen von verschiedensten Quellen wie Gateway-Systemen, Servern oder auch Clients auswerten können.

Mittlerweile werden diese Informationen zentral gesammelt und zeitnah korreliert. Damit lassen sich Signaturen schnell zur Verfügung stellen und Regel-Updates im Bereich von E-Mail- und Web-Proxies realisieren.

Der Faktor Mensch

Ähnliches lässt sich auch auf die Ebene des eigenen Unternehmens übertragen, auch hier können die Meldungen von sicherheitsrelevanten Systemen zentral zusammengefasst und verknüpft werden. Dies geschieht idealerweise mit einem Security-Information-and-Event-Management-System (SIEM).

Ratgeber: Schutz aus der Cloud

Dadurch lässt sich beispielsweise der Ausbruch von Schadsoftware schnell erkennen und deren Verbreitung im Netzwerk leichter nachvollziehen. Reporting-Funktionen bieten dabei die Möglichkeit, sowohl stark aggregierte Berichte für das Management als auch technisch orientierte Auswertungen für die verschiedensten Fachabteilungen zu generieren. Gerade die Berichte für das Management werden immer wichtiger, da das Thema Informationssicherheit hier mit steigendem Interesse beobachtet wird.

Neben diesen technischen Lösungen dürfen jedoch organisatorische Maßnahmen nicht vernachlässigt werden. Das beginnt beispielsweise mit einfachen Awareness-Maßnahmen, die das Bewusstsein der Mitarbeiter hinsichtlich der IT-Sicherheit schärfen sollen. Denn auch heute noch ist der Mensch an sich ein nicht zu vernachlässigender Faktor im Bereich der Informationssicherheit.

Hier kann beispielsweise der Umgang mit externen Speichermedien wie USB-Sticks vermittelt werden. Beherrscht man dieses Schnittstelle, dann lässt sich bereits eines der Einfallstore von Flame ausschließen. Darüber hinaus muss auch geregelt sein, wann Sicherheitsvorfälle vorliegen und wie mit diesen umgegangen wird. In vielen Unternehmen ist das Vorgehen bei Malware-Infektionen implizit klar, die Malware kann vom betroffenen System entfernt werden. Technisch ist das Problem damit gelöst

Hier stellt sich aber die Frage, ob der Vorfall damit tatsächlich komplett behandelt wurde. Die Antwort ist ein klares Nein, da die Angriffe zum Beispiel Gateway-, Server- oder Client-Systeme nachhaltig verändern können oder die Infektion zunächst nur als eine Art Vorankündigung zu verstehen sein kann. Ein übergreifender Schutz lässt sich nur durch eine Vorgehensweise erreichen, die genau regelt, welche Stellen wann informiert werden müssen.

Fazit

Antiviren-Lösungen sind nach wie vor Pflicht. Sie mu?ssen jedoch an die aktuelle Bedrohungslage angepasst, möglicherweise um verschiedene technische Maßnahmen erweitert und organisatorisch unterstu?tzt werden. In diesem Fall lässt sich durchaus ein umfassender Schutz einrichten.

Nächste passende Artikel
shutterstock 115220248 Virus
Malware LitterDrifter: USB-Wurm auf dem Vormarsch
Chrome Logo
Browser Google Chrome: Neues Warnsystem für Malware-Addons
Erpressung via E-Mail - so reagieren Sie richtig! Ransomware
Ransomware "Cactus": Neue Malware verschlüsselt sich gegen Anti-Viren-Software
Die Google-Startseite auf einem Laptop
Massiver Anstieg Google Ads: Malware verbreitet sich vermehrt via Werbeanzeigen
GTA Online Cover: Mann in Anzug liegt mit Geld und Waffe im Bett
Malware-Gefahr GTA Online: Exploit bedroht Spielerdaten
Erpressung via E-Mail - so reagieren Sie richtig! Ransomware
Malware-Angriff Ransomware-Angriff auf DPA: Daten im Darknet
Stockfoto eines Mainboards von MSI
CosmicStrand Malware Asus und Gigabyte: Mainboards im Visier von Cyberkriminellen
Petya-Version 2.0 Green Petya
Malware verbreitet sich in Windows-Netzwerken Microsoft warnt vor USB-Wurm "Raspberry Robin"
Mehr zum Thema
Die Zehn Gebote in der Kommunikation
IT-Sicherheit Mehr Bewusstsein für den Datenschutz
Ralph Kreter - LogRhythm
News & Trends IT-Sicherheitsreport
Wie die meisten deutschen Unternehmen kümmern sich auch Startups zu wenig um den Datenschutz. Aufklärung tut Not.
Ratgeber IT-Recht Datenschutz für Existenzgründer - Wettbewerbsvorteil für Startups
Christian Vogt - Regional Director Germany bei Fortinet:
IT-Sicherheitsreport Cyber-Betrüger zu Olympia, US-Wahl und anderen Top-Events
Weiter zur Startseite