die bedrohungslage
Transcrição
die bedrohungslage
DIE BEDROHUNGSLAGE Ein praktischer Leitfaden der Experten von Kaspersky Lab Von David Emm Senior Regional Researcher, Global Research & Analysis Team With Kaspersky, now you can. kaspersky.de/business-security Be Ready for What’s Next ÜBER DEN AUTOR David Emm Senior Regional Researcher Global Research & Analysis Team, auch bekannt als das GReAT-Team David ist seit 2004 bei Kaspersky Lab. In seiner Rolle als Senior Technology Consultant präsentierte David Informationen über Malware und andere IT-Bedrohungen auf Messen und Events und veröffentlichte Kommentare in den Medien. Er informierte auch über Produkte und Technologien von Kaspersky Lab. 2008 wurde er auf seine aktuelle Position befördert. David interessiert sich besonders für das Malware-Ökosystem, Identitätsdiebstahl und Technologien von Kaspersky Lab, und er erfand und entwickelte den Workshop für Malware-Schutz des Unternehmens. David arbeitet seit 1990 in einer Vielzahl von Funktionen in der Antivirenbranche. Bevor er zu Kaspersky Lab stieß, arbeitete David als Systems Engineer, Product Manager und Product Marketing Manager bei McAfee und davor als Technical Support Manager und Senior Technology Consultant bei Dr Solomon's Software. INHALT 1. Die Evolution der Malware 2. Sind Sie in der Schusslinie? Eine neue Ära gezielter Angriffe 3.Malware: jetzt so mobil wie Sie 4.So verbreitet sich Malware 5. Der menschliche Faktor in der Sicherheit 6.Anti-Malware-Technologien 7. Top-Tipps zur Schaffung eines Bewusstseins für Sicherheit in Ihrem Unternehmen KAPITEL 1 DIE EVOLUTION DER MALWARE KONTEXT ZUNAHME IN AUSMASS UND SCHWEREGRAD Es ist über 25 Jahre her, seit die ersten PC-Viren auftauchten. Im Laufe der Zeit hat sich das Wesen der Bedrohung bedeutend verändert. Die Bedrohungen, denen sich heutige Unternehmen gegenüber sehen, sind komplexer als je zuvor. Die Konnektivität, die das Internet ermöglicht, bedeutet auch, dass Angriffe auf die Computer des Opfers sehr schnell gestartet werden können, und zwar so breit oder so selektiv, wie die Autoren der Malware – und der kriminelle Untergrund, der sie unterstützt – es wünschen. In der weltweiten Umfrage zu IT-Sicherheitsrisiken 2013 von Kaspersky Lab haben wir festgestellt, dass neue Technologien – die zu neuen Arbeitsweisen führen – den IT-Managern die größten Sorgen bereiten. Mobilität, der Einsatz privater Geräte für die Arbeit (BYOD) und soziale Medien am Arbeitsplatz waren die drei größten Problemfelder. Schädlicher Code kann in E-Mails eingebettet sein, in gefälschte Softwarepakete injiziert werden oder auf Grauzonen-Webseiten zum Download durch einen Trojaner, der auf einem infizierten Computer installiert wurde, bereitgestellt werden. Welche Herausforderungen stellen in Ihrem Unternehmen die größten Sicherheitsprobleme dar? Allein schon zahlenmäßig hat die Dimension des Problems weiter zugenommen. Die Anzahl einzigartiger Malware-Varianten, die täglich analysiert werden, geht in die Hunderttausende. Zunehmend mobile Belegschaft Zugriff auf Unternehmensdaten über private Geräte Nutzung sozialer Netzwerke am Arbeitsplatz 19 % der Befragten stuften Cyberbedrohungen an erster Stelle der aktuellen Risiken für Unternehmen ein. Richtlinienkonformität Wachstum bzw. Diversifizierung Abbau von IT-Ressourcen Cloud Computing Virtualisierung Allgemeiner Ressourcenabbau Fusionen und Übernahmen Sonstige 0% 10%20%30%40%50% Damit zeichnet sich das Bild einer technologischen Umgebung ab, die sich deutlich verändert. Die großen beobachteten Trends, die sich aus dem Blickwinkel der Sicherheit auf die Unternehmen auswirken, sind folgende: •Mobilität/BYOD: Die allgegenwärtige Mobilität und der zunehmende Einsatz privater Geräte im Unternehmensumfeld bedeuten, dass eine typische Anwender-Community jetzt mobil ist. •Cloud: Der Zugriff auf Unternehmensdaten über die Cloud mit einer Vielzahl von Geräten ist eine Herausforderung für die IT-Sicherheit. •Virtualisierung: Der zunehmende Einsatz von virtualisierten Umgebungen zur Senkung von Kosten und Steigerung der Flexibilität schafft spezifische Bereiche, in denen die IT-Sicherheit zunehmend komplex wird. •Soziale Medien: Die Nutzung sozialer Medien durch Mitarbeiter ist nur selten ein Problem, aber Cyberkriminelle nutzen zunehmend das „offene“ Verhalten der Leute auf diesen Websites, um Zugriff auf wertvolle Daten zu erhalten. VOM CYBERVANDALISMUS ZUR CYBERKRIMINALITÄT NEUE MOTIVE, NEUE TAKTIK Bis etwa 2003 waren Viren und andere Arten von Malware größtenteils isolierte Akte von Computervandalismus – antisoziale Selbstverwirklichung mittels Hi-Tech. Die meisten Viren begnügten sich damit, andere Festplatten oder Programme zu infizieren. Nach 2003 änderte sich die Bedrohungslage. Ein Großteil der heutigen Malware zielt absichtlich darauf ab, die Kontrolle über Computer zu erlangen und sich illegal zu bereichern. Infolgedessen sind die Bedrohungen, denen sich Unternehmen heute gegenübersehen, bedeutend komplexer geworden. IT-Administratoren müssen sich heute um viel mehr kümmern. Es gibt mehr Arten von Bedrohung, gegen die sie sich schützen müssen, und bei den Schäden handelt es sich wahrscheinlich um finanzielle Schäden, nicht nur die Ausfallzeiten der IT. Die Änderung des Motivs brachte auch eine Änderung der Taktik mit sich. Es kam zu einem Rückgang der Anzahl globaler Epidemien, mit denen Malware so weit und so schnell wie möglich verbreitet werden sollte. Die Angriffe wurden gezielter. Der Hauptgrund für die Änderung ist, dass Angriffe jetzt aus krimineller Absicht erfolgen und darauf abzielen, vertrauliche Daten zu stehlen, die dann verarbeitet und verwendet werden müssen. Wenn Millionen von Computern betroffen sind, ist die Wahrscheinlichkeit der Entdeckung höher, und es kommt zu einer riesigen logistischen Operation. Daher ziehen es die Autoren von schädlichen Codes jetzt vor, ihre Angriffe zu fokussieren. Dies erklärt, warum in unserer Umfrage zu IT-Risiken 2013 das Ausmaß und die Komplexität der Sorgen in Bezug auf IT-Sicherheit signifikant sind und warum sich IT-Administratoren nicht nur einem großen Problem, sondern einer Vielzahl von Problemen gegenübersehen. Wie sehr machen Sie sich täglich Gedanken über die folgenden ITSicherheitsprobleme in Ihrem Unternehmen? Virendefinitionen und Virenschutzsoftware aktuell halten Sehr viele Bedenken Fernzugriff schützen Viele Bedenken Eindringversuche überwachen Neutral Geringfügige Bedenken Sicherheit und Zugriff mobiler Geräte verwalten Keine Bedenken Kennwörter und administrativen Zugriff verwalten Dateiübertragungen schützen Netzwerknutzung überwachen Systeme mit Patches aktualisieren Systemnutzung steuern/überwachen Applikationskontrolle Bewusstsein und Schulungen hinsichtlich Benutzerrichtlinien 0%20%40%60%80%100% AUTOREN VON SCHÄDLICHEM CODE ZIEHEN ES JETZT VOR, IHRE ANGRIFFE ZU FOKUSSIEREN DER AUFSTIEG DES TROJANERS PHISHING – SICH ALS ANDERE PERSON AUSGEBEN Trojaner werden verwendet, um vertrauliche Informationen (Benutzername, Kennwort, PIN usw.) für Computerbetrug zu erhalten. Sie können bei DDoS-Angriffen (Distributed Denial of Service) auf Unternehmen eingesetzt werden. Solche Angriffe können verwendet werden, um Geld von Unternehmen zu erpressen: Ein DDoS-Angriff als „Demonstration“ bietet den Opfern einen Vorgeschmack darauf, was passieren wird, wenn sie nicht bezahlen. Der Einsatz schädlicher Codes ist nicht die einzige Methode, die Cyberkriminelle zur Sammlung von persönlichen Daten einsetzen, um sich illegal zu bereichern. Beim Phishing werden Menschen durch Tricks dazu verleitet, ihre persönlichen Daten (Benutzername, Kennwort, PIN-Nummer oder andere Zugangsinformationen) preiszugeben, mit denen die Betrüger sich dann unter Vortäuschung falscher Tatsachen Geld erschleichen können. Auch die Zahl der „Ransomware“-Trojaner, die verwendet werden, um Geld von einzelnen Anwendern zu erpressen, ist stetig gestiegen. Diese Programme verschlüsseln die Daten des Opfers und zeigen eine Meldung an (in Form einer ReadmeDatei oder einer Popup-Meldung), die das Opfer auffordert, dem Autor des Programms über einen der vielen e-Payment-Dienste Geld zu überweisen. So erstellen Phisher zum Beispiel eine fast hundertprozentig perfekte Kopie der Webseite eines Finanzinstituts. Dann senden sie eine Spam-E-Mail, die eine echte Korrespondenz des tatsächlichen Finanzinstituts imitiert. Typischerweise werden betroffene Computer in Netzwerken zusammengefasst. Die Aktivitäten dieser Bot-Netzwerke, oder Botnets, werden über Webseiten oder TwitterKonten kontrolliert. Wenn das Botnet über einen einzigen Control-and-Command (C2)-Server verfügt, ist es möglich, ihn vom Netz zu nehmen, sobald sein Standort identifiziert wurde. In den letzten Jahren haben Cyberkriminelle jedoch komplexere Botnets entwickelt, die ein Peer-to-Peer-Modell verwenden, um eine einzige Schwachstelle zu vermeiden. Der sogenannte „Storm Worm“ war Anfang 2007 der erste, der diese Methode nutzte, und er wurde seitdem in vielen Botnets implementiert (darunter Conficker, Kelihos und Red October). Bis vor wenigen Jahren wurden die meisten Epidemien durch Würmer verursacht, die das Mailsystem übernahmen, um sich selbst proaktiv zu verbreiten und dabei zusätzliche Kontakte von infizierten Computern zu sammeln. Inzwischen werden immer mehr schädliche Programme absichtlich als Spam auf Computern verteilt. Dies erlaubt es den Autoren, die Verbreitung ihres Codes gezielt auf eine bestimmte PC-Population zu konzentrieren, anstatt sie sich beliebig verbreiten zu lassen. Phisher nutzen typischerweise echte Logos, guten Geschäftsstil und beziehen sich sogar auf reale Namen der Geschäftsführung des Finanzinstituts. Sie fälschen auch die Kopfzeile der E-Mail, sodass sie so aussieht, als käme sie tatsächlich von der Bank. Diese von Phishern verbreiteten gefälschten E-Mails haben eines gemeinsam: Sie sind der Köder, der den Kunden dazu verleiten soll, einen Link in der Nachricht anzuklicken. Wenn der Köder geschluckt wurde, bringt der Link den Anwender direkt auf die gefälschte Seite, die ein Formular enthält, das vom Opfer ausgefüllt werden soll. Hier gibt es arglos all die Informationen preis, die der Cyberkriminelle benötigt, um auf sein Konto zuzugreifen und sein Geld zu stehlen. ROOTKITS UND CODEVERSCHLEIERUNG Rootkits werden verwendet, um das Vorhandensein schädlicher Codes zu maskieren. Der Ausdruck „Rootkit“ ist der Unix-Welt entlehnt, wo er sich auf Tools bezog, die dazu dienten, „Root“-Zugang zu erhalten und dabei für den Systemadministrator unsichtbar zu bleiben. Im Kontext der Windows-Malware bezeichnet er jedoch eine Tarntechnik, die von Malware-Autoren eingesetzt wird, um die Änderungen zu verbergen, die sie an der Maschine des Opfers vornehmen. Typischerweise erhält der Malware-Autor Zugriff zum System, indem er ein Kennwort knackt oder eine Schwachstelle des Programms ausnutzt, die er dann nutzt, um andere Systeminformationen zu erhalten, bis er schließlich den Administratorzugang zu dem Computer erreicht hat. Rootkits werden oft verwendet, um das Vorhandensein eines Trojaners zu verbergen, indem Änderungen an der Registry, die Prozesse des Trojaners und andere Systemaktivitäten verschleiert werden. Es gibt eine Weiterentwicklung des Rootkits, bekannt als „Bootkit“. Der erste dieser Bootskits tauchte 2008 unter dem Namen Sinowal (auch bekannt als Mebroot) auf. Das Ziel ist dasselbe wie bei jedem Rootkit – das Vorhandensein von Malware im System zu maskieren. Aber ein Bootkit installiert sich auf dem Master Boot Record (MBR), um früh geladen zu werden (der MBR ist der erste physische Sektor der Festplatte, und Code, der auf diesen Sektor geschrieben wird, wird unmittelbar nach den Instruktionen im BIOS geladen). Seitdem gab es einen stetigen Strom an Bootkits, einschließlich 64-BitVersionen. DER AUSDRUCK ROOTKIT IST DER UNIX-WELT ENTLEHNT, WO ER SICH AUF TOOLS BEZOG, DIE DAZU DIENTEN, „ROOT“-ZUGANG ZU ERHALTEN UND DABEI FÜR DEN SYSTEMADMINISTRATOR UNSICHTBAR ZU BLEIBEN. GReAT-Tipp: Entwickeln Sie eine Sicherheitsstrategie Ihre Sicherheitsstrategie sollte für Ihr Unternehmen maßgeschneidert sein und nicht auf generischen „Best Practices“ und bloßen Schätzungen beruhen. Eine gründliche Risikoeinschätzung kann die Risiken feststellen, denen sich Ihr Unternehmen gegenüber sieht. Sie benötigen einen Mechanismus zur Messung der Effektivität Ihrer Sicherheitstools und einen Prozess zur Aktualisierung Ihrer Strategie, um neuen Bedrohungen zu begegnen. KAPITEL 2 SIND SIE IN DER SCHUSSLINIE? EINE NEUE ÄRA GEZIELTER ANGRIFFE ZIELGERICHTETE ANGRIFFE Die Bedrohungslage wird weiterhin von zufälligen, spekulativen Angriffen beherrscht, die darauf abzielen, persönliche Informationen von jedem zu stehlen, der das Pech hat, dem Angriff zum Opfer zu fallen. Aber es ist eindeutig, dass die Zahl der gezielten Angriffe zunimmt, und sie sind zu einer festen Größe der Bedrohungslage geworden. Das Ziel besteht darin, einen Fuß in das Zielunternehmen zu bekommen, Unternehmensdaten zu stehlen oder den Ruf des Unternehmens zu beschädigen. Außerdem befinden wir uns jetzt in einem Zeitalter, in dem schädliche Codes als Cyberwaffe genutzt werden können. Selbst wenn ein Unternehmen nicht direkt in der Schusslinie stehen sollte, könnte es dennoch „Kollateralschaden“ erleiden, wenn es nicht angemessen geschützt wird. Wenn man die Schlagzeilen in den Medien liest, könnte man leicht zu dem Schluss kommen, dass gezielte Angriffe nur ein Problem für große Organisationen sind, insbesondere für diejenigen, die kritische Infrastruktursysteme innerhalb eines Landes aufrecht erhalten. Aber jedes Unternehmen kann zum Opfer werden. Alle Unternehmen besitzen Daten, die für Cyberkriminelle von Nutzen sein könnten, und sie können auch als Sprungbrett benutzt werden, um andere Unternehmen zu erreichen. GReAT-Tipp: Sichern Sie Ihre Daten regelmäßig Auch wenn Sie die Verwaltung und Speicherung Ihrer Daten ausgelagert haben, können Sie die Verantwortung im Fall einer Sicherheitsverletzung nicht weitergeben. Bewerten Sie die potentiellen Risiken genauso, wie Sie es tun würden, wenn Sie die Daten intern speichern würden. Datensicherung kann dabei helfen, sicherzustellen, dass aus einer bloßen Unannehmlichkeit keine Katastrophe wird. CYBERWAFFEN Mit Stuxnet wurde das erste Mal hochentwickelte Malware für gezielte Angriffe auf wichtige Produktionseinrichtungen genutzt. Darüber hinaus hat das Auftauchen weiterer Angriffe, die von Staaten gesponsert wurden – Duqu, Flame und Gauss – deutlich gemacht, dass diese Art von Angriff kein isolierter Vorfall war. Wir befinden uns im Zeitalter des kalten Cyberkriegs, in der Nationen die Fähigkeit haben, einander ohne die Beschränkungen der Kriegsführung in der realen Welt zu bekämpfen. In Zukunft können wir erwarten, dass mehr Länder Cyberwaffen entwickeln, um Informationen zu stehlen oder Systeme zu sabotieren – nicht zuletzt deswegen, weil das Einstiegsniveau für die Entwicklung solcher Waffen sehr viel niedriger ist als für Waffen in der realen Welt. Zudem sind Nachahmerangriffe durch nichtstaatliche Akteure möglich, bei denen das Risiko für Kollateralschäden weit über das anvisierte Opfer des Angriffs hinaus geht. Die Ziele für solche Cyberangriffe könnten Einrichtungen für Energieversorgung und Verkehrskontrolle, Finanz- und Telekommunikationssysteme und andere kritische Infrastruktureinrichtungen sein. Anzahl der Opfer 300K 100K 10K 1K 50 20 Stuxnet Gauss Flame Anzahl der Vorfälle (Kaspersky-Statistik) Ungefähre Anzahl der Vorfälle Duqu miniFlame KAPITEL 3 MALWARE: JETZT SO MOBIL WIE SIE DER ANSTIEG MOBILER MALWARE DIE ENTWICKLUNG MOBILER MALWARE Cyberkriminelle richten ihre Aufmerksamkeit jetzt immer häufiger auf mobile Geräte. Die ersten Bedrohungen erschienen 2004, doch erst in den letzten Jahren wurde mobile Malware zu einer signifikanten Bedrohung. Der Wendepunkt kam im Jahr 2011. In diesem Jahr wurde die gleiche Anzahl an Bedrohungen gefunden, wie im gesamten Zeitraum von 2004 bis 2010. Dieses explosive Wachstum dauert immer noch an. Anzahl einzigartiger Varianten Frühe mobile Bedrohungen zielten auf Symbian und, in geringerem Ausmaß, WinCE ab. Allerdings begannen Malware-Autoren schon bald, Bedrohungen mit Java Mobile Edition (J2ME) zu entwickeln – um plattformübergreifende Malware für einen stark fragmentierten Smartphone-Markt entwickeln zu können. Ende 2009 waren etwa 35 % der Bedrohungen Java-basiert. Im folgenden Jahr erreichten Java-basierte Bedrohungen 57 % und überholten Symbian als Hauptziel von Malware-Autoren. 2012 zielten fast 94 % der Bedrohungen auf Android ab 120000 100000 2011 gab es eine massive Steigerung der Bedrohungen, die auf Android abzielten (64 %). 2012 zielten fast 94 % der Bedrohungen auf Android ab. 80000 Der Hauptgrund ist, dass Android eine offene Umgebung für App-Entwickler bietet, was zu einer großen und vielseitigen Auswahl an Apps führte. Es gibt wenige Beschränkungen dafür, von wo Apps heruntergeladen werden können, was die Angriffsfläche durch schädliche Apps vergrößert. 60000 40000 20000 0 August 2011 Oktober Dezember Februar 2011 2011 2012 April 2012 Juni 2012 August 2012 Oktober Dezember Februar 2012 2012 2013 April 2013 Juni 2013 Im Gegensatz dazu ist iOS ein geschlossenes, beschränktes Dateisystem, das den Download und die Nutzung von Apps nur aus einer einzigen Quelle gestattet – dem App Store. Dies bedeutet ein geringeres Sicherheitsrisiko: Um Codes zu verbreiten, müssen die Autoren von Malware zunächst einen Weg finden, Codes in den App Store einzuschmuggeln. Daher ist es wahrscheinlich, dass zumindest in absehbarer Zeit hauptsächlich Android im Fokus von Cyberkriminellen bleiben wird. MOBILE BANKING – DER NÄCHSTE BRENNPUNKT IN DER CYBERKRIMINALITÄT? Die Nutzung von Smartphones für Online-Banking ist noch nicht weit verbreitet, daher wird es noch etwas dauern, bis Cyberkriminelle ihre volle Aufmerksamkeit darauf richten. Allerdings ist der Einsatz mobiler Geräte als Teil einer Zwei-FaktorenAuthentifizierung für Finanztransaktionen, die auf einem Desktop oder Laptop ausgeführt werden, bereits etablierte Praxis. Dabei wird ein einmaliges Kennwort für eine Transaktion von der Bank über SMS an das Smartphone des Kunden gesendet. Es ist daher nicht überraschend, dass wir spezifische Bedrohungen gefunden haben, die darauf abzielen, mTANs (mobile Transaktions-Authentifizierungsnummern) abzufangen. Diese sind als „Man-in-the-Mobile“-Angriffe bekannt, und drei spezifische Bedrohungen wurden für diesen Zweck entwickelt – „ZeuS-in-the-Mobile“ (oder „ZitMo“), „SpyEye-inthe-Mobile“ (oder SpitMo) und „Carberb-in-the-Mobile“ (oder „CitMo“). Cyberkriminelle erforschen kontinuierlich die verschiedensten Möglichkeiten, um an Geld zu kommen, und dazu gehören auch Smartphones. So sendet das Botnet „SpamSold“, das gegen Ende 2012 auftauchte, beispielsweise Spam-SMS-Nachrichten von infizierten Geräten. Bislang zielte die meiste Malware darauf ab, Root-Zugriff auf das Gerät zu erhalten. In Zukunft werden wir wahrscheinlich die Ausnutzung von Schwachstellen beobachten, die auf das Betriebssystem abzielen, und darauf basierend die Entwicklung von „Drive-byDownloads“. GReAT-Tipp: Implementieren Sie eine „Follow-me“Sicherheitsrichtlinie Stellen Sie sicher, dass Ihre Sicherheitslösungen flexibel sind und Änderungen am Arbeitsverhalten reflektieren. Auf diese Weise werden alle Mitarbeiter innerhalb und außerhalb des Arbeitsplatzes geschützt, egal welches Gerät sie gerade nutzen. KAPITEL 4 SO VERBREITET SICH MALWARE Cyberkriminelle nutzen verschiedene Techniken, um ihre Opfer zu infizieren. Sie werden unten einzeln skizziert. DRIVE-BY-DOWNLOADS Dies ist gegenwärtig die am meisten verwendete Methode, Malware zu verbreiten. Cyberkriminelle suchen nach unsicheren Websites und verstecken ihren Code darauf. Wenn eine Person diese Seite aufruft, kann die Malware zusammen mit dem übrigen angeforderten Inhalt automatisch und unsichtbar auf den Computer übertragen werden. Diese Vorgehensweise ist als „Drive-by-Download“ bekannt, da sie keine Interaktion durch das Opfer erfordert – außer dem einfachen Besuch der kompromittierten Webseite. Die Cyberkriminellen injizieren ein schädliches Skript in die Webseite, das Malware auf dem Computer des Opfers installiert oder noch häufiger per IFRAME auf eine Website umleitet, die von den Cyberkriminellen kontrolliert wird. Das Opfer wird infiziert, wenn sich ein unsicheres, ungepatchtes Programm auf seinem Computer befindet. SOZIALE NETZWERKE Cyberkriminelle arbeiten genau wie Taschendiebe in der realen Welt in der Menge. Einige Soziale Netzwerke haben einen Nutzerstamm, der so groß ist wie die Bevölkerung eines großen Landes, und stellen damit einen willkommenen Pool potentieller Opfer bereit. Cyberkriminelle nutzen Soziale Netzwerke auf verschiedene Weisen. •Zunächst verwenden sie gehackte Konten, um Nachrichten zu verbreiten, die Links zu schädlichen Codes enthalten. •Zweitens entwickeln sie gefälschte Apps, die persönliche Daten des Opfers abgreifen (diese können dann an andere Cyberkriminelle verkauft werden) oder Malware installieren (z. B. gefälschte Antivirenprogramme). •Drittens erstellen Sie gefälschte Konten, die „Freunde“ und persönliche Informationen sammeln und sie an Werbefirmen verkaufen. Cyberkriminelle profitieren von der Tatsache, dass Menschen in Sozialen Netzwerken dazu neigen, bereitwillig Informationen zu teilen und Menschen zu vertrauen, die sie kennen. CYBERKRIMINELLE INJIZIEREN EIN SCHÄDLICHES SKRIPT IN DIE WEBSEITE, DAS MALWARE AUF DEM COMPUTER DES OPFERS INSTALLIERT ODER NOCH HÄUFIGER PER IFRAME AUF EINE WEBSITE UMLEITET, DIE VON DEN CYBERKRIMINELLEN KONTROLLIERT WIRD. E-MAILS UND INSTANT MESSAGING Etwa drei Prozent aller E-Mails enthalten Malware in Form von Anhängen oder Links. E-Mails werden auch für gezielte Angriffe eingesetzt, um einen Fuß in die Tür der Zielunternehmen zu bekommen. In diesem Fall wird die E-Mail an eine bestimmte Person in einem Unternehmen gesendet, in der Hoffnung, dass sie auf den Anhang oder den Link klicken und den Prozess starten wird, über den die Angreifer Zugriff auf das System erhalten. Dieser Ansatz ist unter dem Namen Spear-Phishing bekannt. Um ihre Erfolgschancen zu maximieren, senden Cyberkriminelle ihre E-Mail typischerweise an öffentlichkeitsorientierte (oft nicht-technische) Mitarbeiter, wie etwa Vertriebs- und Marketingmanager. Die E-Mail spricht den Empfänger persönlich an. Der Absender ist so getarnt, dass es aussieht, als käme die Mail von einem vertrauenswürdigen Insider des Unternehmens, und der Inhalt ist auf die Interessen des Unternehmen zugeschnitten, sodass sie legitim aussieht. Einige gezielte Angriffskampagnen variieren den Inhalt je nach den Eigenschaften des Unternehmens, das sie angreifen. Cyberkriminelle nutzen auch Instant Messaging, um Links zu Malware zu verbreiten. UM IHRE ERFOLGSCHANCEN ZU MAXIMIEREN, SENDEN CYBERKRIMINELLE IHRE E-MAIL TYPISCHERWEISE AN ÖFFENTLICHKEITSORIENTIERTE (OFT NICHTTECHNISCHE) MITARBEITER, WIE ETWA VERTRIEBS- UND MARKETINGMANAGER. WECHSELMEDIEN Physische Speichergeräte bieten eine ideale Methode, um Malware zu verbreiten. USB-Sticks wurden zum Beispiel genutzt, um die Durchdringung von Malware in einem Unternehmen nach der anfänglichen Infizierung auszuweiten. Sie wurden auch dazu genutzt, Malware zu helfen, zwischen einem nichtvertrauenswürdigen Computer, der mit dem Internet verbunden ist, und einem vertrauenswürdigen Netzwerk zu springen (diese Methode wurde zum Beispiel von Stuxnet genutzt). Oft nutzt Malware Schwachstellen in der Art und Weise, wie USB-Sticks verwendet werden, um Codes automatisch zu starten, wenn das Gerät in einen Computer eingesteckt wird. SCHWACHSTELLEN UND EXPLOITS Eine der wichtigsten Methoden, die Cyberkriminelle verwenden, um Malware auf den Computern ihrer Opfer zu installieren, ist die Ausnutzung ungepatchter Schwachstellen in Programmen. Dies beruht auf der Existenz von Schwachstellen und dem Versäumnis von einzelnen Personen oder Unternehmen, ihre Programme zu patchen. Solche Schwachstellen - oder Bugs – können in einem Betriebssystem gefunden werden. Cyberkriminelle konzentrieren sich typischerweise auf Programme, die weit verbreitet sind und wahrscheinlich lange Zeit nicht gepatcht wurden, was ihnen eine ausreichend große Chance eröffnet, ihre Ziele zu erreichen. ZERO-DAY-EXPLOITS Cyberkriminelle verlassen sich nicht nur auf die Tatsache, dass Programme oftmals nicht gepatcht werden. Manchmal sind sie sogar in der Lage, Schwachstellen zu erkennen, bevor sie der Hersteller des Programms entdeckt. Diese sind als Zero-Day-Schwachstellen bekannt und bieten Cyberkriminellen die Chance, ihre Malware auf jedem Computer zu verbreiten, auf dem das verwundbare Programm gefunden wird – unabhängig davon, ob der letzte Patch installiert wurde oder nicht. Meistangegriffene Programme Java (Oracle) 2% Adobe Acrobat Reader 11% Microsoft und IE 3% Adobe Flash 4% Android Root 56% 25% Sonstige DIGITALE ZERTIFIKATE Wir sind alle eher bereit, Webseiten zu vertrauen, die ein Sicherheitszertifikat aufweisen, das von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) erteilt wurde, oder einem Programm mit einem gültigen digitalen Zertifikat. GReAT-Tipp: Stellen Sie umfangreiche und integrierte Anti-Malware bereit Unglücklicherweise konnten Cyberkriminelle nicht nur gefälschte Zertifikate für ihre Malware erteilen – mithilfe von sogenannten selbstsignierten Zertifikaten konnten sie auch erfolgreich die Systeme verschiedener CAs knacken und ihren Code mit gestohlenen Zertifikaten signieren. Stellen Sie sicher, dass Sie immer die aktuelle Sicherheitssoftware ausführen, Updates anwenden, sobald sie verfügbar sind, und Software entfernen, wenn sie nicht länger benötigt wird. Damit erlangt ein Cyberkrimineller effektiv den Status eines vertrauenswürdigen Insiders. Somit erhöhen sich seine Erfolgschancen, da Unternehmen und Einzelpersonen natürlich mit höherer Wahrscheinlichkeit einem signierten Code vertrauen. KAPITEL 5 DER MENSCHLICHE FAKTOR IN DER SICHERHEIT DER MENSCHLICHE FAKTOR Menschen bilden meist das schwächste Glied jeder Sicherheitskette. Dafür gibt es verschiedene Gründe: • Viele Menschen sind sich der Tricks nicht bewusst, die Cyberkriminelle anwenden. • Sie wissen nicht, nach welchen Zeichen sie Ausschau halten sollen. •Darüber hinaus gleichen sich aufeinanderfolgende Betrugsversuche niemals ganz, was es schwierig macht zu erkennen, was sicher ist und was unsicher. Manchmal nehmen Menschen Abkürzungen, um sich das Leben zu erleichtern, und verstehen einfach die Folgen für die Sicherheit nicht. Das gilt zum Beispiel für Kennwörter. Viele Leute nutzen dasselbe Kennwort für alles – oft eines, das einfach zu behalten ist. Oder sie nehmen einfach „Kennwort“! Das erhöht die Wahrscheinlichkeit, dass ein Cyberkrimineller das Kennwort errät. Und wenn ein Konto kompromittiert wurde, bietet es einen einfachen Zugriff auf andere Konten. Auch wenn sie auf die potentielle Gefahr aufmerksam gemacht werden, sehen die meisten Leute keine machbare Alternative, da sie sich unmöglich viele eindeutige Kennwörter merken können. SOCIAL ENGINEERING Social Engineering bezeichnet die Manipulation der menschlichen Psychologie. Dabei wird eine Person dazu gebracht, etwas zu tun, von dem Sie wollen, dass er es tut. Im Kontext der IT-Sicherheit bedeutet das, Menschen dazu zu bringen, etwas zu tun, das ihre Sicherheit oder die Sicherheit des Unternehmens, in dem sie arbeiten, untergräbt. Phishing-E-Mails sind ein gutes Beispiel für Social Engineering. Sie nehmen normalerweise die Form von Spam-E-Mails an, die an sehr viele Menschen versendet werden. Sie geben vor, legitime E-Mails eines vertrauenswürdigen Unternehmens zu sein. Sie ahmen Logo, Schriftart und Stil des legitimen Unternehmens nach, in der Hoffnung, dass genügend Empfänger der E-Mail getäuscht werden und denken, dass es sich um eine legitime Kommunikation handelt. Wenn das Opfer auf den Link klickt, wird es auf eine gefälschte Webseite umgeleitet, auf der es aufgefordert wird, seine persönlichen Daten einzugeben – wie etwa Benutzernamen, Kennwörter, PINs und beliebige andere Informationen, die Cyberkriminelle nutzen können. Auch die weitverbreitete Nutzung Sozialer Netzwerke hat es für Cyberkriminelle einfacher gemacht. Sie können Daten sammeln, die Leute online posten, und nutzen diese, um ihre Phishing-E-Mail noch glaubwürdiger zu gestalten. GReAT-Tipp: Schaffen Sie Problembewusstsein Cyberkriminelle nutzen zunehmend öffentliche Daten, um gezielte Angriffe auf Unternehmen zu starten. Erzählen Sie Ihren Kollegen von den Risiken, die das Teilen persönlicher und geschäftlicher Informationen online hat. 10 weitere Tipps dazu, wie Sie dieses Wissen unter Ihren Kollegen verbreiten, finden Sie am Ende dieses Leitfadens. KAPITEL 6 MALWARE-SCHUTZ -TECHNOLOGIEN HEUTE VERWENDETE ANTI-MALWARE-TECHNOLOGIEN Jeden Tag entstehen Hundertausende Malware-Varianten. Dieses explosionsartige Wachstum in den letzten Jahren macht es umso wichtiger, Bedrohungen proaktiv zu blockieren. Die wichtigsten heute verwendeten Anti-Malware-Technologien sind unten skizziert. Signaturen In der Vergangenheit konnte ein bestimmtes Stück Malware an einer charakteristischen Bytesequenz erkannt werden. Aber Anti-Malware-Lösungen nutzen heute ausgiebig generische Signaturen, um große Mengen von Malware zu erkennen, die zur selben MalwareFamilie gehören. Heuristische Analyse Diese wird verwendet, um neue, unbekannte Bedrohungen zu erkennen. Sie umfasst die Nutzung einer Signatur, die bekannte schädliche Instruktionen anstatt eines spezifischen Stücks Malware identifiziert. Sie bezieht auch den Einsatz einer Sandbox mit ein (eine sichere virtuelle Umgebung, die im Arbeitsspeicher erstellt wurde), um zu untersuchen, wie der Code sich verhält, wenn er auf einem realen Computer ausgeführt wird. Verhaltensanalyse Dazu gehört die Überwachung des Systems in Echtzeit, um zu sehen, wie ein Code mit dem Computer interagiert. Die ausgeklügelteren Aktivitätsmonitore betrachten den Code nicht nur isoliert, sondern verfolgen seine Aktivitäten über verschiedene Sitzungen und untersuchen, wie er mit anderen Prozessen auf dem Computer interagiert. Whitelists Historisch basierten Anti-Malware-Lösungen auf der Identifizierung von Codes, deren Schädlichkeit bekannt ist, d. h. Programme wurden auf eine „Blacklist“ gesetzt. Whitelists sind der gegensätzliche Ansatz, bei dem jedes Programm blockiert wird, das nicht auf einer Liste akzeptierter Programme steht. Weitere Informationen über Whitelists finden Sie unter: http://whitelist.kaspersky.com/ Detaillierte Informationen können Sie hier herunterladen: http://media.kaspersky. com/en/business-security/application-security-control-tools%20best-practices.pdf Vulnerability Scanning Da Cyberkriminelle ausgiebigen Gebrauch von Schwachstellen in Programmen machen, ist es sinnvoll, diejenigen Programme auf einem System erkennen zu können, die solche Schwachstellen aufweisen, damit Unternehmen oder Einzelpersonen Abhilfemaßnahmen ergreifen können. Einige Lösungen umfassen auch einen Echtzeitscan eines Computers, um die Nutzung von Zero-Day-Schwachstellen zu blockieren. Reputationsdienste Heutzutage machen viele Lösungen ausgiebig von einer Cloud-basierten Infrastruktur Gebrauch, die beinahe Echtzeitschutz vor einer neu entdeckten Bedrohung ermöglicht. In einfachen Worten: Metadaten über jedes Programm, das auf einem geschützten Computer läuft, werden auf die Cloud-basierten Computer des Anbieters hochgeladen, wo ihr allgemeiner Ruf bewertet wird – d. h. sind sie bekannterweise gut, bekannterweise schlecht, eine unbekannte Größe, wie oft wurden sie gesehen, wo wurden sie gesehen etc. Das System funktioniert wie eine globale Nachbarschaftswache, die überwacht, was auf den Computern in aller Welt läuft, und für jeden geschützten Computer Schutz bietet, wenn etwas Schädliches entdeckt wird. Weiterentwickelte Malware erfordert eine weiterentwickelte Lösung – der Aufstieg integrierter Plattformen Malware findet weiterhin zunehmend Verbreitung und wird immer ausgeklügelter. Daher müssen heutige Unternehmen mehr und mehr Angriffsvektoren abwehren. Das durchschnittliche IT-Team verfügt nicht über genügend Ressourcen und muss Kompromisse bei der IT-Sicherheit eingehen. Es hat insbesondere damit Probleme, mit der zunehmenden Internetnutzung Schritt zu halten, die immer mobileren Mitarbeiter (und Daten) zu kontrollieren und das zunehmend komplexe Angebot an Programmen zu aktualisieren. Da die Umgebung komplexer wird, könnte die Lösung darin bestehen, neue Technologien hinzuzufügen, um die verschiedenen Risikobereiche zu managen und zu schützen – aber das steigert die Arbeitslast des IT-Teams, die Kosten und sogar das Risiko. Diese neue Bedrohungslage hat zu der ersten wirklich integrierten, einzigen Sicherheitsplattform geführt, entwickelt von Kaspersky Lab. Diese Plattform ist die beste Möglichkeit, um alle Technologiebereiche zusammenzuführen – und in einer einzigen Verwaltungskonsole anzuzeigen, zu verwalten und zu schützen. Weitere Informationen zu integrierten Plattformen finden Sie hier: kaspersky.de DAS GReAT-TEAM GReAT-Tipp: Nutzen Sie proaktive Technologie Für diesen Bericht standen die Experten aus dem internationalen Forschungs- und Analyseteam (GReAT) von Kaspersky Lab beratend zur Seite. Setzen Sie Anti-Malware-Lösungen ein, die verschiedene Technologien zusammenführen, um neue, unbekannte Bedrohungen in Echtzeit zu blockieren, anstatt sich allein auf signaturbasierten Schutz zu verlassen. Seit 2008 ist GReAT führend in Analyse, Forschung und Innovation gegen Bedrohungen – innerhalb von Kaspersky Lab und außerhalb. GReAT ist seit über zehn Jahren bei der Entdeckung und Eliminierung einiger der größten MalwareBedrohungen der Welt an vorderster Front beteiligt, darunter Stuxnet, Duqu, Flame und NetTraveler. Im Jahr 2013 erhielt es die Auszeichnung „Information Security Team of the Year“ bei den SC Awards. In diesem Bericht konnten Sie eine Reihe von GReAT-Tipps finden, die Ihnen helfen sollen, das Beste aus Ihrer Sicherheitssoftware herauszuholen. WARUM KASPERSKY LAB? Wir sind in fast 200 Ländern weltweit tätig und bieten über 300 Millionen Anwendern sowie mehr als 200.000 Firmenkunden von kleinen über mittelständischen bis hin zu großen Unternehmen, Behörden und gewerblichen Organisationen Lösungen für den Schutz ihrer Systeme an. 2012 waren die Produkte von Kaspersky Lab Teil von 79 unabhängigen Tests und Prüfungen. Unsere Produkte erhielten 27 Mal den ersten Platz und erreichten 63 Mal einen der ersten drei Plätze. KASPERSKY LAB BIETET BRANCHENWEIT BESTEN SCHUTZ*: 100% 80% Prozent der Platzierungen unter den TOP 3 Kaspersky Lab ist einer der am schnellsten wachsenden Anbieter von ITSicherheitslösungen weltweit und eines der vier führenden internationalen Unternehmen im Bereich Sicherheit. 2012 waren die Endpoint-Produkte von Kaspersky Lab Teil von 79 unabhängigen Tests und Prüfungen. Unsere Produkte haben 27 Mal den ersten Platz belegt, und 63 Mal (in 80 % aller Tests) waren wir unter den TOP 3. Kaspersky Endpoint Security bekämpft und blockiert hochentwickelte und hartnäckige Bedrohungen. In Kombination mit Kaspersky Security Center erhalten die für die Sicherheit zuständigen Mitarbeiter den Einblick und die Kontrollmöglichkeiten, die sie brauchen, um Gefahren jedweder Art abzuwehren. Weitere Informationen finden Sie unter: http://www.kaspersky.de/business-security 1. Plätze: 27 Teilnahme an 79 Tests/ Prüfungen Bitdefender 60% TOP 3 = 80 % Symantec 40% Sophos G-Data F-Secure BullGuard PC Tools 20% Mit unseren fortschrittlichen Lösungen können Unternehmen die Nutzung von Programmen, Internet und Geräten optimal steuern. Als Kunde legen dabei Sie die Regeln fest, und unsere Systeme leisten einen Beitrag zu deren Umsetzung. Kaspersky Lab 0 Webroot Microsoft Avast Avira Eset Trend Micro McAfee Panda AVG GFI 20 Anzahl der unabhängigen Tests/Prüfungen 40 60 80 * Anmerkungen: • Gemäß Zusammenfassung der Ergebnisse eines unabhängigen Tests aus dem Jahr 2012 für Unternehmens-, Verbraucher- und mobile Produkte. • Die Zusammenfassung umfasst Tests, die von den folgenden unabhängigen Testlaboren und Magazinen durchgeführt wurden: • Testlabore: AV-Test, AV-Comparatives, VB100, PC Security Labs, Matousec, Anti-Malware.ru, Dennis Technology Labs • Magazine: CHIP Online, PC Advisor, PC Magazine, TopTenREVIEWS, CNET, PCWorld, ComputerBild, PC-Welt • Die Größe der Kreise entspricht der Anzahl der ersten Plätze. 5. DER MENSCHLICHE FAKTOR TOP-TIPPS ZUR SCHAFFUNG EINES BEWUSSTSEINS FÜR SICHERHEIT IN IHREM UNTERNEHMEN ****** Es kann schwierig sein, das Bewusstsein in Ihrem Unternehmen dafür zu stärken, wie wichtig IT-Sicherheit ist. Daher haben wir zehn Tipps zusammengestellt, mit denen Sie die Sicherheitsprobleme ein wenig einfacher kommunizieren können. 1 5 SPRECHEN SIE IHR PUBLIKUM RICHTIG AN Nennen Sie niemanden „Benutzer“ – das ist unpersönlich und kann dazu führen, dass sich Ihr Publikum von dem, was Sie sagen, nicht angesprochen fühlt. Sagen Sie stattdessen „Mitarbeiter“, „Kollege“ oder „Person“. NUTZEN SIE IHRE FANTASIE Es gibt viele Möglichkeiten, Informationen fesselnder zu präsentieren. Je kreativer und interessanter, desto größer sind die Chancen, dass sie gelesen werden. Nutzen Sie Comics, Poster und Ratespiele. 2 TREFFEN SIE DEN RICHTIGEN TON Ein offener und freundlicher Ton wird Ihnen dabei helfen, effektiver mit Ihrer Zielgruppe zu kommunizieren, sodass Sie Ihre Kollegen darüber aufklären können, was jeder tun kann, um das Unternehmen zu schützen. 6 ÜBERPRÜFEN SIE IHRE BEMÜHUNGEN 9 ERMUTIGEN SIE EINEN OFFENEN DIALOG Wurden die Informationen verstanden? Testen Sie Ihre Kollegen, und schauen Sie, woran sie sich erinnern und was sie vergessen haben. Ein Quiz zu den fünf wichtigsten ITSicherheitsproblemen ist ein guter Ausgangspunkt. Achten Sie darauf, dass Ihre Kollegen und Mitarbeiter die Folgen einer Sicherheitsverletzung verstehen und wissen, wie wichtig es ist, Sie auf dem Laufenden zu halten. Manche werden fürchten, bestraft zu werden, wenn sie eine Phishing-E-Mail angeklickt haben, und daher die richtigen Leute nicht davon unterrichten. 3 SICHERN SIE SICH DIE UNTERSTÜTZUNG DER PERSONAL- UND RECHTSABTEILUNG 4 HALTEN SIE IHRE KOLLEGEN AUF DEM LAUFENDEN 8 VERMEIDEN SIE FACHBEGRIFFE Falls notwendig, können diese reale Richtlinien erstellen und Unterstützung bieten, wenn IT-Verletzungen auftreten. 7 WERDEN SIE PERSÖNLICH Wenn Sie das Eigeninteresse Ihrer Kollegen ins Spiel bringen, werden diese die Bedeutung und den Kontext der IT-Sicherheit besser verstehen. Sprechen Sie zum Beispiel darüber, wie Sicherheitslücken ihre mobilen Geräte treffen können. 10 FRAGEN SIE DAS MARKETINGTEAM Wenn es um interne Kommunikation innerhalb Ihrer Organisation geht, sind sie die Experten – bitten Sie sie also um Hilfe bei der Frage, wie Ihre Kollegen am besten zu motivieren sind. Achten Sie auf Planung und Häufigkeit Ihrer Informations- und Ausbildungssitzungen für ITSicherheit. Stellen Sie sicher, dass sie regelmäßig stattfinden und einprägsam sind. Die meisten Menschen werden nicht die gleiche Kenntnistiefe haben wie Sie. Achten Sie daher darauf, dass Sie alles so erklären, dass es einfach zu verstehen ist. 7ybka/Stand: Januar 2014 © 2013 Kaspersky Lab ZAO. Alle Rechte vorbehalten. Eingetragene Marken und Dienstleistungsmarken sind Eigentum der jeweiligen Inhaber. Mac und Mac OS sind eingetragene Marken von Apple Inc. Cisco ist eine eingetragene Marke oder eine Marke von Cisco Systems, Inc. und/oder seinen Tochtergesellschaften in den USA und bestimmten anderen Ländern. IBM, Lotus, Notes und Domino sind Marken der International Business Machines Corporation und als solche in vielen Rechtsgebieten weltweit eingetragen. Linux ist die eingetragene Marke von Linus Torvalds in den USA und anderen Ländern. Microsoft, Windows, Windows Server und Forefront sind eingetragene Marken der Microsoft Corporation in den USA und anderen Ländern. Android™ ist eine Marke von Google, Inc. Die Marke BlackBerry ist Eigentum von Research In Motion Limited und in den USA eingetragen sowie als solche in anderen Ländern eingetragen bzw. ihre Eintragung wurde beantragt.