die bedrohungslage

DIE BEDROHUNGSLAGE
Ein praktischer Leitfaden der Experten von Kaspersky Lab
Von David Emm
Senior Regional Researcher, Global Research & Analysis Team
With Kaspersky, now you can.
kaspersky.de/business-security
Be Ready for What’s Next
ÜBER DEN AUTOR
David Emm
Senior Regional Researcher
Global Research & Analysis Team, auch bekannt als das GReAT-Team
David ist seit 2004 bei Kaspersky Lab. In seiner Rolle als Senior Technology Consultant
präsentierte David Informationen über Malware und andere IT-Bedrohungen auf
Messen und Events und veröffentlichte Kommentare in den Medien. Er informierte auch
über Produkte und Technologien von Kaspersky Lab. 2008 wurde er auf seine aktuelle
Position befördert. David interessiert sich besonders für das Malware-Ökosystem,
Identitätsdiebstahl und Technologien von Kaspersky Lab, und er erfand und entwickelte
den Workshop für Malware-Schutz des Unternehmens.
David arbeitet seit 1990 in einer Vielzahl von Funktionen in der Antivirenbranche. Bevor
er zu Kaspersky Lab stieß, arbeitete David als Systems Engineer, Product Manager und
Product Marketing Manager bei McAfee und davor als Technical Support Manager und
Senior Technology Consultant bei Dr Solomon's Software.
INHALT
1. Die Evolution der Malware
2. Sind Sie in der Schusslinie?
Eine neue Ära gezielter Angriffe
3.Malware: jetzt so mobil wie Sie
4.So verbreitet sich Malware
5. Der menschliche Faktor in der
Sicherheit
6.Anti-Malware-Technologien
7. Top-Tipps zur Schaffung eines
Bewusstseins für Sicherheit in
Ihrem Unternehmen
KAPITEL 1
DIE EVOLUTION DER MALWARE
KONTEXT
ZUNAHME IN AUSMASS UND SCHWEREGRAD
Es ist über 25 Jahre her, seit die ersten PC-Viren auftauchten. Im Laufe der Zeit hat sich
das Wesen der Bedrohung bedeutend verändert. Die Bedrohungen, denen sich heutige
Unternehmen gegenüber sehen, sind komplexer als je zuvor.
Die Konnektivität, die das Internet ermöglicht, bedeutet auch, dass Angriffe auf die
Computer des Opfers sehr schnell gestartet werden können, und zwar so breit oder so
selektiv, wie die Autoren der Malware – und der kriminelle Untergrund, der sie
unterstützt – es wünschen.
In der weltweiten Umfrage zu IT-Sicherheitsrisiken 2013 von Kaspersky Lab haben wir
festgestellt, dass neue Technologien – die zu neuen Arbeitsweisen führen – den
IT-Managern die größten Sorgen bereiten. Mobilität, der Einsatz privater Geräte für die
Arbeit (BYOD) und soziale Medien am Arbeitsplatz waren die drei größten Problemfelder.
Schädlicher Code kann in E-Mails eingebettet sein, in gefälschte Softwarepakete
injiziert werden oder auf Grauzonen-Webseiten zum Download durch einen Trojaner, der
auf einem infizierten Computer installiert wurde, bereitgestellt werden.
Welche Herausforderungen stellen in Ihrem Unternehmen die größten
Sicherheitsprobleme dar?
Allein schon zahlenmäßig hat die Dimension des Problems weiter zugenommen.
Die Anzahl einzigartiger Malware-Varianten, die täglich analysiert werden, geht in die
Hunderttausende.
Zunehmend mobile Belegschaft
Zugriff auf Unternehmensdaten über private Geräte
Nutzung sozialer Netzwerke am Arbeitsplatz
19 % der Befragten stuften Cyberbedrohungen an
erster Stelle der aktuellen Risiken für Unternehmen ein.
Richtlinienkonformität
Wachstum bzw. Diversifizierung
Abbau von IT-Ressourcen
Cloud Computing
Virtualisierung
Allgemeiner Ressourcenabbau
Fusionen und Übernahmen
Sonstige
0% 10%20%30%40%50%
Damit zeichnet sich das Bild einer technologischen Umgebung ab, die sich deutlich
verändert. Die großen beobachteten Trends, die sich aus dem Blickwinkel der Sicherheit
auf die Unternehmen auswirken, sind folgende:
•Mobilität/BYOD: Die allgegenwärtige Mobilität und der zunehmende Einsatz privater
Geräte im Unternehmensumfeld bedeuten, dass eine typische Anwender-Community
jetzt mobil ist.
•Cloud: Der Zugriff auf Unternehmensdaten über die Cloud mit einer Vielzahl von
Geräten ist eine Herausforderung für die IT-Sicherheit.
•Virtualisierung: Der zunehmende Einsatz von virtualisierten Umgebungen zur
Senkung von Kosten und Steigerung der Flexibilität schafft spezifische Bereiche, in
denen die IT-Sicherheit zunehmend komplex wird.
•Soziale Medien: Die Nutzung sozialer Medien durch Mitarbeiter ist nur selten ein
Problem, aber Cyberkriminelle nutzen zunehmend das „offene“ Verhalten der Leute
auf diesen Websites, um Zugriff auf wertvolle Daten zu erhalten.
VOM CYBERVANDALISMUS ZUR CYBERKRIMINALITÄT
NEUE MOTIVE, NEUE TAKTIK
Bis etwa 2003 waren Viren und andere Arten von Malware größtenteils isolierte Akte von
Computervandalismus – antisoziale Selbstverwirklichung mittels Hi-Tech. Die meisten
Viren begnügten sich damit, andere Festplatten oder Programme zu infizieren.
Nach 2003 änderte sich die Bedrohungslage. Ein Großteil der heutigen Malware zielt
absichtlich darauf ab, die Kontrolle über Computer zu erlangen und sich illegal zu
bereichern.
Infolgedessen sind die Bedrohungen, denen sich Unternehmen heute gegenübersehen,
bedeutend komplexer geworden.
IT-Administratoren müssen sich heute um viel mehr kümmern. Es gibt mehr Arten von
Bedrohung, gegen die sie sich schützen müssen, und bei den Schäden handelt es sich
wahrscheinlich um finanzielle Schäden, nicht nur die Ausfallzeiten der IT.
Die Änderung des Motivs brachte auch eine Änderung der Taktik mit sich. Es kam zu
einem Rückgang der Anzahl globaler Epidemien, mit denen Malware so weit und so
schnell wie möglich verbreitet werden sollte. Die Angriffe wurden gezielter.
Der Hauptgrund für die Änderung ist, dass Angriffe jetzt aus krimineller Absicht erfolgen
und darauf abzielen, vertrauliche Daten zu stehlen, die dann verarbeitet und verwendet
werden müssen. Wenn Millionen von Computern betroffen sind, ist die
Wahrscheinlichkeit der Entdeckung höher, und es kommt zu einer riesigen logistischen
Operation. Daher ziehen es die Autoren von schädlichen Codes jetzt vor, ihre Angriffe zu
fokussieren.
Dies erklärt, warum in unserer Umfrage zu IT-Risiken 2013 das Ausmaß und die
Komplexität der Sorgen in Bezug auf IT-Sicherheit signifikant sind und warum sich
IT-Administratoren nicht nur einem großen Problem, sondern einer Vielzahl von
Problemen gegenübersehen.
Wie sehr machen Sie sich täglich Gedanken über die folgenden ITSicherheitsprobleme in Ihrem Unternehmen?
Virendefinitionen und Virenschutzsoftware aktuell halten
Sehr viele Bedenken
Fernzugriff schützen
Viele Bedenken
Eindringversuche überwachen
Neutral
Geringfügige Bedenken
Sicherheit und Zugriff mobiler Geräte verwalten
Keine Bedenken
Kennwörter und administrativen Zugriff verwalten
Dateiübertragungen schützen
Netzwerknutzung überwachen
Systeme mit Patches aktualisieren
Systemnutzung steuern/überwachen
Applikationskontrolle
Bewusstsein und Schulungen hinsichtlich Benutzerrichtlinien
0%20%40%60%80%100%
AUTOREN VON
SCHÄDLICHEM CODE
ZIEHEN ES JETZT VOR,
IHRE ANGRIFFE ZU
FOKUSSIEREN
DER AUFSTIEG DES TROJANERS
PHISHING – SICH ALS ANDERE PERSON AUSGEBEN
Trojaner werden verwendet, um vertrauliche Informationen (Benutzername, Kennwort,
PIN usw.) für Computerbetrug zu erhalten. Sie können bei DDoS-Angriffen (Distributed
Denial of Service) auf Unternehmen eingesetzt werden. Solche Angriffe können
verwendet werden, um Geld von Unternehmen zu erpressen: Ein DDoS-Angriff als
„Demonstration“ bietet den Opfern einen Vorgeschmack darauf, was passieren wird,
wenn sie nicht bezahlen.
Der Einsatz schädlicher Codes ist nicht die einzige Methode, die Cyberkriminelle zur
Sammlung von persönlichen Daten einsetzen, um sich illegal zu bereichern. Beim
Phishing werden Menschen durch Tricks dazu verleitet, ihre persönlichen Daten
(Benutzername, Kennwort, PIN-Nummer oder andere Zugangsinformationen)
preiszugeben, mit denen die Betrüger sich dann unter Vortäuschung falscher Tatsachen
Geld erschleichen können.
Auch die Zahl der „Ransomware“-Trojaner, die verwendet werden, um Geld von
einzelnen Anwendern zu erpressen, ist stetig gestiegen. Diese Programme
verschlüsseln die Daten des Opfers und zeigen eine Meldung an (in Form einer ReadmeDatei oder einer Popup-Meldung), die das Opfer auffordert, dem Autor des Programms
über einen der vielen e-Payment-Dienste Geld zu überweisen.
So erstellen Phisher zum Beispiel eine fast hundertprozentig perfekte Kopie der
Webseite eines Finanzinstituts. Dann senden sie eine Spam-E-Mail, die eine echte
Korrespondenz des tatsächlichen Finanzinstituts imitiert.
Typischerweise werden betroffene Computer in Netzwerken zusammengefasst. Die
Aktivitäten dieser Bot-Netzwerke, oder Botnets, werden über Webseiten oder TwitterKonten kontrolliert. Wenn das Botnet über einen einzigen Control-and-Command
(C2)-Server verfügt, ist es möglich, ihn vom Netz zu nehmen, sobald sein Standort
identifiziert wurde. In den letzten Jahren haben Cyberkriminelle jedoch komplexere
Botnets entwickelt, die ein Peer-to-Peer-Modell verwenden, um eine einzige
Schwachstelle zu vermeiden. Der sogenannte „Storm Worm“ war Anfang 2007 der
erste, der diese Methode nutzte, und er wurde seitdem in vielen Botnets implementiert
(darunter Conficker, Kelihos und Red October).
Bis vor wenigen Jahren wurden die meisten Epidemien durch Würmer verursacht, die
das Mailsystem übernahmen, um sich selbst proaktiv zu verbreiten und dabei
zusätzliche Kontakte von infizierten Computern zu sammeln.
Inzwischen werden immer mehr schädliche Programme absichtlich als Spam auf
Computern verteilt. Dies erlaubt es den Autoren, die Verbreitung ihres Codes gezielt auf
eine bestimmte PC-Population zu konzentrieren, anstatt sie sich beliebig verbreiten zu
lassen.
Phisher nutzen typischerweise echte Logos, guten Geschäftsstil und beziehen sich
sogar auf reale Namen der Geschäftsführung des Finanzinstituts. Sie fälschen auch die
Kopfzeile der E-Mail, sodass sie so aussieht, als käme sie tatsächlich von der Bank.
Diese von Phishern verbreiteten gefälschten E-Mails haben eines gemeinsam: Sie sind
der Köder, der den Kunden dazu verleiten soll, einen Link in der Nachricht anzuklicken.
Wenn der Köder geschluckt wurde, bringt der Link den Anwender direkt auf die
gefälschte Seite, die ein Formular enthält, das vom Opfer ausgefüllt werden soll. Hier
gibt es arglos all die Informationen preis, die der Cyberkriminelle benötigt, um auf sein
Konto zuzugreifen und sein Geld zu stehlen.
ROOTKITS UND CODEVERSCHLEIERUNG
Rootkits werden verwendet, um das Vorhandensein schädlicher Codes zu maskieren.
Der Ausdruck „Rootkit“ ist der Unix-Welt entlehnt, wo er sich auf Tools bezog, die dazu
dienten, „Root“-Zugang zu erhalten und dabei für den Systemadministrator unsichtbar
zu bleiben. Im Kontext der Windows-Malware bezeichnet er jedoch eine Tarntechnik, die
von Malware-Autoren eingesetzt wird, um die Änderungen zu verbergen, die sie an der
Maschine des Opfers vornehmen.
Typischerweise erhält der Malware-Autor Zugriff zum System, indem er ein Kennwort
knackt oder eine Schwachstelle des Programms ausnutzt, die er dann nutzt, um andere
Systeminformationen zu erhalten, bis er schließlich den Administratorzugang zu dem
Computer erreicht hat. Rootkits werden oft verwendet, um das Vorhandensein eines
Trojaners zu verbergen, indem Änderungen an der Registry, die Prozesse des Trojaners
und andere Systemaktivitäten verschleiert werden.
Es gibt eine Weiterentwicklung des Rootkits, bekannt als „Bootkit“. Der erste dieser
Bootskits tauchte 2008 unter dem Namen Sinowal (auch bekannt als Mebroot) auf. Das
Ziel ist dasselbe wie bei jedem Rootkit – das Vorhandensein von Malware im System zu
maskieren. Aber ein Bootkit installiert sich auf dem Master Boot Record (MBR), um früh
geladen zu werden (der MBR ist der erste physische Sektor der Festplatte, und Code, der
auf diesen Sektor geschrieben wird, wird unmittelbar nach den Instruktionen im BIOS
geladen). Seitdem gab es einen stetigen Strom an Bootkits, einschließlich 64-BitVersionen.
DER AUSDRUCK ROOTKIT IST DER UNIX-WELT
ENTLEHNT, WO ER SICH AUF TOOLS BEZOG, DIE
DAZU DIENTEN, „ROOT“-ZUGANG ZU ERHALTEN
UND DABEI FÜR DEN SYSTEMADMINISTRATOR
UNSICHTBAR ZU BLEIBEN.
GReAT-Tipp: Entwickeln Sie eine Sicherheitsstrategie
Ihre Sicherheitsstrategie sollte für Ihr Unternehmen
maßgeschneidert sein und nicht auf generischen
„Best Practices“ und bloßen Schätzungen beruhen.
Eine gründliche Risikoeinschätzung kann die Risiken
feststellen, denen sich Ihr Unternehmen gegenüber
sieht. Sie benötigen einen Mechanismus zur Messung
der Effektivität Ihrer Sicherheitstools und einen
Prozess zur Aktualisierung Ihrer Strategie, um neuen
Bedrohungen zu begegnen.
KAPITEL 2
SIND SIE IN DER SCHUSSLINIE?
EINE NEUE ÄRA GEZIELTER
ANGRIFFE
ZIELGERICHTETE ANGRIFFE
Die Bedrohungslage wird weiterhin von zufälligen, spekulativen Angriffen beherrscht,
die darauf abzielen, persönliche Informationen von jedem zu stehlen, der das Pech hat,
dem Angriff zum Opfer zu fallen. Aber es ist eindeutig, dass die Zahl der gezielten Angriffe
zunimmt, und sie sind zu einer festen Größe der Bedrohungslage geworden.
Das Ziel besteht darin, einen Fuß in das Zielunternehmen zu bekommen,
Unternehmensdaten zu stehlen oder den Ruf des Unternehmens zu beschädigen.
Außerdem befinden wir uns jetzt in einem Zeitalter, in dem schädliche Codes als
Cyberwaffe genutzt werden können. Selbst wenn ein Unternehmen nicht direkt in der
Schusslinie stehen sollte, könnte es dennoch „Kollateralschaden“ erleiden, wenn es
nicht angemessen geschützt wird.
Wenn man die Schlagzeilen in den Medien liest, könnte man leicht zu dem Schluss
kommen, dass gezielte Angriffe nur ein Problem für große Organisationen sind,
insbesondere für diejenigen, die kritische Infrastruktursysteme innerhalb eines Landes
aufrecht erhalten. Aber jedes Unternehmen kann zum Opfer werden. Alle Unternehmen
besitzen Daten, die für Cyberkriminelle von Nutzen sein könnten, und sie können auch
als Sprungbrett benutzt werden, um andere Unternehmen zu erreichen.
GReAT-Tipp: Sichern Sie Ihre Daten regelmäßig
Auch wenn Sie die Verwaltung und Speicherung Ihrer
Daten ausgelagert haben, können Sie die
Verantwortung im Fall einer Sicherheitsverletzung nicht
weitergeben. Bewerten Sie die potentiellen Risiken
genauso, wie Sie es tun würden, wenn Sie die Daten
intern speichern würden. Datensicherung kann dabei
helfen, sicherzustellen, dass aus einer bloßen
Unannehmlichkeit keine Katastrophe wird.
CYBERWAFFEN
Mit Stuxnet wurde das erste Mal hochentwickelte Malware für gezielte Angriffe auf
wichtige Produktionseinrichtungen genutzt. Darüber hinaus hat das Auftauchen
weiterer Angriffe, die von Staaten gesponsert wurden – Duqu, Flame und Gauss –
deutlich gemacht, dass diese Art von Angriff kein isolierter Vorfall war.
Wir befinden uns im Zeitalter des kalten Cyberkriegs, in der Nationen die Fähigkeit
haben, einander ohne die Beschränkungen der Kriegsführung in der realen Welt zu
bekämpfen. In Zukunft können wir erwarten, dass mehr Länder Cyberwaffen entwickeln,
um Informationen zu stehlen oder Systeme zu sabotieren – nicht zuletzt deswegen, weil
das Einstiegsniveau für die Entwicklung solcher Waffen sehr viel niedriger ist als für
Waffen in der realen Welt.
Zudem sind Nachahmerangriffe durch nichtstaatliche Akteure möglich, bei denen das
Risiko für Kollateralschäden weit über das anvisierte Opfer des Angriffs hinaus geht. Die
Ziele für solche Cyberangriffe könnten Einrichtungen für Energieversorgung und
Verkehrskontrolle, Finanz- und Telekommunikationssysteme und andere kritische
Infrastruktureinrichtungen sein.
Anzahl der Opfer
300K
100K
10K
1K
50
20
Stuxnet
Gauss
Flame
Anzahl der Vorfälle (Kaspersky-Statistik)
Ungefähre Anzahl der Vorfälle
Duqu
miniFlame
KAPITEL 3
MALWARE: JETZT
SO MOBIL WIE SIE
DER ANSTIEG MOBILER MALWARE
DIE ENTWICKLUNG MOBILER MALWARE
Cyberkriminelle richten ihre Aufmerksamkeit jetzt immer häufiger auf mobile Geräte.
Die ersten Bedrohungen erschienen 2004, doch erst in den letzten Jahren wurde mobile
Malware zu einer signifikanten Bedrohung. Der Wendepunkt kam im Jahr 2011. In
diesem Jahr wurde die gleiche Anzahl an Bedrohungen gefunden, wie im gesamten
Zeitraum von 2004 bis 2010.
Dieses explosive Wachstum dauert immer noch an.
Anzahl einzigartiger Varianten
Frühe mobile Bedrohungen zielten auf Symbian und, in geringerem Ausmaß, WinCE ab.
Allerdings begannen Malware-Autoren schon bald, Bedrohungen mit Java Mobile Edition
(J2ME) zu entwickeln – um plattformübergreifende Malware für einen stark
fragmentierten Smartphone-Markt entwickeln zu können.
Ende 2009 waren etwa 35 % der Bedrohungen Java-basiert. Im folgenden Jahr
erreichten Java-basierte Bedrohungen 57 % und überholten Symbian als Hauptziel von
Malware-Autoren.
2012 zielten fast 94 % der Bedrohungen auf Android ab
120000
100000
2011 gab es eine massive Steigerung der Bedrohungen, die auf Android abzielten (64 %).
2012 zielten fast 94 % der Bedrohungen auf Android ab.
80000
Der Hauptgrund ist, dass Android eine offene Umgebung für App-Entwickler bietet, was zu
einer großen und vielseitigen Auswahl an Apps führte. Es gibt wenige Beschränkungen
dafür, von wo Apps heruntergeladen werden können, was die Angriffsfläche durch
schädliche Apps vergrößert.
60000
40000
20000
0
August
2011
Oktober Dezember Februar
2011
2011
2012
April
2012
Juni
2012
August
2012
Oktober Dezember Februar
2012
2012
2013
April
2013
Juni
2013
Im Gegensatz dazu ist iOS ein geschlossenes, beschränktes Dateisystem, das den
Download und die Nutzung von Apps nur aus einer einzigen Quelle gestattet – dem App
Store. Dies bedeutet ein geringeres Sicherheitsrisiko: Um Codes zu verbreiten, müssen die
Autoren von Malware zunächst einen Weg finden, Codes in den App Store einzuschmuggeln.
Daher ist es wahrscheinlich, dass zumindest in absehbarer Zeit hauptsächlich Android im
Fokus von Cyberkriminellen bleiben wird.
MOBILE BANKING – DER NÄCHSTE BRENNPUNKT IN DER
CYBERKRIMINALITÄT?
Die Nutzung von Smartphones für Online-Banking ist noch nicht weit verbreitet, daher
wird es noch etwas dauern, bis Cyberkriminelle ihre volle Aufmerksamkeit darauf
richten. Allerdings ist der Einsatz mobiler Geräte als Teil einer Zwei-FaktorenAuthentifizierung für Finanztransaktionen, die auf einem Desktop oder Laptop
ausgeführt werden, bereits etablierte Praxis.
Dabei wird ein einmaliges Kennwort für eine Transaktion von der Bank über SMS an das
Smartphone des Kunden gesendet. Es ist daher nicht überraschend, dass wir
spezifische Bedrohungen gefunden haben, die darauf abzielen, mTANs (mobile
Transaktions-Authentifizierungsnummern) abzufangen.
Diese sind als „Man-in-the-Mobile“-Angriffe bekannt, und drei spezifische Bedrohungen
wurden für diesen Zweck entwickelt – „ZeuS-in-the-Mobile“ (oder „ZitMo“), „SpyEye-inthe-Mobile“ (oder SpitMo) und „Carberb-in-the-Mobile“ (oder „CitMo“).
Cyberkriminelle erforschen kontinuierlich die verschiedensten Möglichkeiten, um an
Geld zu kommen, und dazu gehören auch Smartphones. So sendet das Botnet
„SpamSold“, das gegen Ende 2012 auftauchte, beispielsweise Spam-SMS-Nachrichten
von infizierten Geräten.
Bislang zielte die meiste Malware darauf ab, Root-Zugriff auf das Gerät zu erhalten. In
Zukunft werden wir wahrscheinlich die Ausnutzung von Schwachstellen beobachten, die
auf das Betriebssystem abzielen, und darauf basierend die Entwicklung von „Drive-byDownloads“.
GReAT-Tipp: Implementieren Sie eine „Follow-me“Sicherheitsrichtlinie
Stellen Sie sicher, dass Ihre Sicherheitslösungen
flexibel sind und Änderungen am Arbeitsverhalten
reflektieren. Auf diese Weise werden alle Mitarbeiter
innerhalb und außerhalb des Arbeitsplatzes geschützt,
egal welches Gerät sie gerade nutzen.
KAPITEL 4
SO VERBREITET SICH MALWARE
Cyberkriminelle nutzen verschiedene Techniken, um ihre Opfer
zu infizieren.
Sie werden unten einzeln skizziert.
DRIVE-BY-DOWNLOADS
Dies ist gegenwärtig die am meisten verwendete Methode, Malware zu verbreiten.
Cyberkriminelle suchen nach unsicheren Websites und verstecken ihren Code darauf.
Wenn eine Person diese Seite aufruft, kann die Malware zusammen mit dem übrigen
angeforderten Inhalt automatisch und unsichtbar auf den Computer übertragen werden.
Diese Vorgehensweise ist als „Drive-by-Download“ bekannt, da sie keine Interaktion
durch das Opfer erfordert – außer dem einfachen Besuch der kompromittierten
Webseite.
Die Cyberkriminellen injizieren ein schädliches Skript in die Webseite, das Malware auf
dem Computer des Opfers installiert oder noch häufiger per IFRAME auf eine Website
umleitet, die von den Cyberkriminellen kontrolliert wird. Das Opfer wird infiziert, wenn
sich ein unsicheres, ungepatchtes Programm auf seinem Computer befindet.
SOZIALE NETZWERKE
Cyberkriminelle arbeiten genau wie Taschendiebe in der realen Welt in der Menge.
Einige Soziale Netzwerke haben einen Nutzerstamm, der so groß ist wie die Bevölkerung
eines großen Landes, und stellen damit einen willkommenen Pool potentieller Opfer
bereit. Cyberkriminelle nutzen Soziale Netzwerke auf verschiedene Weisen.
•Zunächst verwenden sie gehackte Konten, um Nachrichten zu verbreiten, die Links zu
schädlichen Codes enthalten.
•Zweitens entwickeln sie gefälschte Apps, die persönliche Daten des Opfers abgreifen
(diese können dann an andere Cyberkriminelle verkauft werden) oder Malware
installieren (z. B. gefälschte Antivirenprogramme).
•Drittens erstellen Sie gefälschte Konten, die „Freunde“ und persönliche
Informationen sammeln und sie an Werbefirmen verkaufen.
Cyberkriminelle profitieren von der Tatsache, dass Menschen in Sozialen Netzwerken
dazu neigen, bereitwillig Informationen zu teilen und Menschen zu vertrauen, die sie
kennen.
CYBERKRIMINELLE INJIZIEREN EIN SCHÄDLICHES
SKRIPT IN DIE WEBSEITE, DAS MALWARE AUF DEM
COMPUTER DES OPFERS INSTALLIERT ODER NOCH
HÄUFIGER PER IFRAME AUF EINE WEBSITE UMLEITET,
DIE VON DEN CYBERKRIMINELLEN KONTROLLIERT
WIRD.
E-MAILS UND INSTANT MESSAGING
Etwa drei Prozent aller E-Mails enthalten Malware in Form von Anhängen oder Links.
E-Mails werden auch für gezielte Angriffe eingesetzt, um einen Fuß in die Tür der
Zielunternehmen zu bekommen. In diesem Fall wird die E-Mail an eine bestimmte
Person in einem Unternehmen gesendet, in der Hoffnung, dass sie auf den Anhang oder
den Link klicken und den Prozess starten wird, über den die Angreifer Zugriff auf das
System erhalten. Dieser Ansatz ist unter dem Namen Spear-Phishing bekannt.
Um ihre Erfolgschancen zu maximieren, senden Cyberkriminelle ihre E-Mail
typischerweise an öffentlichkeitsorientierte (oft nicht-technische) Mitarbeiter, wie etwa
Vertriebs- und Marketingmanager. Die E-Mail spricht den Empfänger persönlich an. Der
Absender ist so getarnt, dass es aussieht, als käme die Mail von einem
vertrauenswürdigen Insider des Unternehmens, und der Inhalt ist auf die Interessen des
Unternehmen zugeschnitten, sodass sie legitim aussieht.
Einige gezielte Angriffskampagnen variieren den Inhalt je nach den Eigenschaften des
Unternehmens, das sie angreifen. Cyberkriminelle nutzen auch Instant Messaging, um
Links zu Malware zu verbreiten.
UM IHRE ERFOLGSCHANCEN ZU MAXIMIEREN,
SENDEN CYBERKRIMINELLE IHRE E-MAIL
TYPISCHERWEISE AN
ÖFFENTLICHKEITSORIENTIERTE (OFT NICHTTECHNISCHE) MITARBEITER, WIE ETWA
VERTRIEBS- UND MARKETINGMANAGER.
WECHSELMEDIEN
Physische Speichergeräte bieten eine ideale Methode, um Malware zu verbreiten.
USB-Sticks wurden zum Beispiel genutzt, um die Durchdringung von Malware in einem
Unternehmen nach der anfänglichen Infizierung auszuweiten.
Sie wurden auch dazu genutzt, Malware zu helfen, zwischen einem nichtvertrauenswürdigen Computer, der mit dem Internet verbunden ist, und einem
vertrauenswürdigen Netzwerk zu springen (diese Methode wurde zum Beispiel von
Stuxnet genutzt).
Oft nutzt Malware Schwachstellen in der Art und Weise, wie USB-Sticks verwendet
werden, um Codes automatisch zu starten, wenn das Gerät in einen Computer
eingesteckt wird.
SCHWACHSTELLEN UND EXPLOITS
Eine der wichtigsten Methoden, die Cyberkriminelle verwenden, um Malware auf den
Computern ihrer Opfer zu installieren, ist die Ausnutzung ungepatchter Schwachstellen in
Programmen. Dies beruht auf der Existenz von Schwachstellen und dem Versäumnis von
einzelnen Personen oder Unternehmen, ihre Programme zu patchen.
Solche Schwachstellen - oder Bugs – können in einem Betriebssystem gefunden werden.
Cyberkriminelle konzentrieren sich typischerweise auf Programme, die weit verbreitet sind
und wahrscheinlich lange Zeit nicht gepatcht wurden, was ihnen eine ausreichend große
Chance eröffnet, ihre Ziele zu erreichen.
ZERO-DAY-EXPLOITS
Cyberkriminelle verlassen sich nicht nur auf die Tatsache, dass Programme oftmals nicht
gepatcht werden. Manchmal sind sie sogar in der Lage, Schwachstellen zu erkennen, bevor
sie der Hersteller des Programms entdeckt.
Diese sind als Zero-Day-Schwachstellen bekannt und bieten Cyberkriminellen die Chance,
ihre Malware auf jedem Computer zu verbreiten, auf dem das verwundbare Programm
gefunden wird – unabhängig davon, ob der letzte Patch installiert wurde oder nicht.
Meistangegriffene Programme
Java (Oracle)
2%
Adobe Acrobat Reader
11%
Microsoft und IE
3%
Adobe Flash
4%
Android Root
56%
25%
Sonstige
DIGITALE ZERTIFIKATE
Wir sind alle eher bereit, Webseiten zu vertrauen, die ein Sicherheitszertifikat aufweisen,
das von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) erteilt
wurde, oder einem Programm mit einem gültigen digitalen Zertifikat.
GReAT-Tipp: Stellen Sie umfangreiche und integrierte
Anti-Malware bereit
Unglücklicherweise konnten Cyberkriminelle nicht nur gefälschte Zertifikate für ihre
Malware erteilen – mithilfe von sogenannten selbstsignierten Zertifikaten konnten sie
auch erfolgreich die Systeme verschiedener CAs knacken und ihren Code mit
gestohlenen Zertifikaten signieren.
Stellen Sie sicher, dass Sie immer die aktuelle
Sicherheitssoftware ausführen, Updates anwenden,
sobald sie verfügbar sind, und Software entfernen,
wenn sie nicht länger benötigt wird.
Damit erlangt ein Cyberkrimineller effektiv den Status eines vertrauenswürdigen
Insiders. Somit erhöhen sich seine Erfolgschancen, da Unternehmen und
Einzelpersonen natürlich mit höherer Wahrscheinlichkeit einem signierten Code
vertrauen.
KAPITEL 5
DER MENSCHLICHE FAKTOR
IN DER SICHERHEIT
DER MENSCHLICHE FAKTOR
Menschen bilden meist das schwächste Glied jeder Sicherheitskette. Dafür gibt es
verschiedene Gründe:
• Viele Menschen sind sich der Tricks nicht bewusst, die Cyberkriminelle anwenden.
• Sie wissen nicht, nach welchen Zeichen sie Ausschau halten sollen.
•Darüber hinaus gleichen sich aufeinanderfolgende Betrugsversuche niemals ganz,
was es schwierig macht zu erkennen, was sicher ist und was unsicher.
Manchmal nehmen Menschen Abkürzungen, um sich das Leben zu erleichtern, und
verstehen einfach die Folgen für die Sicherheit nicht. Das gilt zum Beispiel für
Kennwörter. Viele Leute nutzen dasselbe Kennwort für alles – oft eines, das einfach zu
behalten ist. Oder sie nehmen einfach „Kennwort“!
Das erhöht die Wahrscheinlichkeit, dass ein Cyberkrimineller das Kennwort errät. Und
wenn ein Konto kompromittiert wurde, bietet es einen einfachen Zugriff auf andere
Konten. Auch wenn sie auf die potentielle Gefahr aufmerksam gemacht werden, sehen
die meisten Leute keine machbare Alternative, da sie sich unmöglich viele eindeutige
Kennwörter merken können.
SOCIAL ENGINEERING
Social Engineering bezeichnet die Manipulation der menschlichen Psychologie. Dabei
wird eine Person dazu gebracht, etwas zu tun, von dem Sie wollen, dass er es tut. Im
Kontext der IT-Sicherheit bedeutet das, Menschen dazu zu bringen, etwas zu tun, das
ihre Sicherheit oder die Sicherheit des Unternehmens, in dem sie arbeiten, untergräbt.
Phishing-E-Mails sind ein gutes Beispiel für Social Engineering. Sie nehmen
normalerweise die Form von Spam-E-Mails an, die an sehr viele Menschen versendet
werden. Sie geben vor, legitime E-Mails eines vertrauenswürdigen Unternehmens zu
sein. Sie ahmen Logo, Schriftart und Stil des legitimen Unternehmens nach, in der
Hoffnung, dass genügend Empfänger der E-Mail getäuscht werden und denken, dass es
sich um eine legitime Kommunikation handelt. Wenn das Opfer auf den Link klickt, wird
es auf eine gefälschte Webseite umgeleitet, auf der es aufgefordert wird, seine
persönlichen Daten einzugeben – wie etwa Benutzernamen, Kennwörter, PINs und
beliebige andere Informationen, die Cyberkriminelle nutzen können.
Auch die weitverbreitete Nutzung Sozialer Netzwerke hat es für Cyberkriminelle
einfacher gemacht. Sie können Daten sammeln, die Leute online posten, und nutzen
diese, um ihre Phishing-E-Mail noch glaubwürdiger zu gestalten.
GReAT-Tipp: Schaffen Sie Problembewusstsein
Cyberkriminelle nutzen zunehmend öffentliche Daten,
um gezielte Angriffe auf Unternehmen zu starten.
Erzählen Sie Ihren Kollegen von den Risiken, die das
Teilen persönlicher und geschäftlicher Informationen
online hat.
10 weitere Tipps dazu, wie Sie dieses Wissen unter
Ihren Kollegen verbreiten, finden Sie am Ende dieses
Leitfadens.
KAPITEL 6
MALWARE-SCHUTZ
-TECHNOLOGIEN
HEUTE VERWENDETE ANTI-MALWARE-TECHNOLOGIEN
Jeden Tag entstehen Hundertausende Malware-Varianten. Dieses explosionsartige Wachstum
in den letzten Jahren macht es umso wichtiger, Bedrohungen proaktiv zu blockieren. Die
wichtigsten heute verwendeten Anti-Malware-Technologien sind unten skizziert.
Signaturen
In der Vergangenheit konnte ein bestimmtes Stück Malware an einer charakteristischen
Bytesequenz erkannt werden. Aber Anti-Malware-Lösungen nutzen heute ausgiebig
generische Signaturen, um große Mengen von Malware zu erkennen, die zur selben MalwareFamilie gehören.
Heuristische Analyse
Diese wird verwendet, um neue, unbekannte Bedrohungen zu erkennen. Sie umfasst die
Nutzung einer Signatur, die bekannte schädliche Instruktionen anstatt eines spezifischen
Stücks Malware identifiziert. Sie bezieht auch den Einsatz einer Sandbox mit ein (eine sichere
virtuelle Umgebung, die im Arbeitsspeicher erstellt wurde), um zu untersuchen, wie der Code
sich verhält, wenn er auf einem realen Computer ausgeführt wird.
Verhaltensanalyse
Dazu gehört die Überwachung des Systems in Echtzeit, um zu sehen, wie ein Code mit dem
Computer interagiert. Die ausgeklügelteren Aktivitätsmonitore betrachten den Code nicht nur
isoliert, sondern verfolgen seine Aktivitäten über verschiedene Sitzungen und untersuchen,
wie er mit anderen Prozessen auf dem Computer interagiert.
Whitelists
Historisch basierten Anti-Malware-Lösungen auf der Identifizierung von Codes, deren
Schädlichkeit bekannt ist, d. h. Programme wurden auf eine „Blacklist“ gesetzt. Whitelists sind
der gegensätzliche Ansatz, bei dem jedes Programm blockiert wird, das nicht auf einer Liste
akzeptierter Programme steht.
Weitere Informationen über Whitelists finden Sie unter: http://whitelist.kaspersky.com/
Detaillierte Informationen können Sie hier herunterladen: http://media.kaspersky.
com/en/business-security/application-security-control-tools%20best-practices.pdf
Vulnerability Scanning
Da Cyberkriminelle ausgiebigen Gebrauch von Schwachstellen in Programmen machen, ist es
sinnvoll, diejenigen Programme auf einem System erkennen zu können, die solche
Schwachstellen aufweisen, damit Unternehmen oder Einzelpersonen Abhilfemaßnahmen
ergreifen können. Einige Lösungen umfassen auch einen Echtzeitscan eines Computers, um
die Nutzung von Zero-Day-Schwachstellen zu blockieren.
Reputationsdienste
Heutzutage machen viele Lösungen ausgiebig von einer Cloud-basierten Infrastruktur
Gebrauch, die beinahe Echtzeitschutz vor einer neu entdeckten Bedrohung ermöglicht.
In einfachen Worten: Metadaten über jedes Programm, das auf einem geschützten
Computer läuft, werden auf die Cloud-basierten Computer des Anbieters hochgeladen,
wo ihr allgemeiner Ruf bewertet wird – d. h. sind sie bekannterweise gut,
bekannterweise schlecht, eine unbekannte Größe, wie oft wurden sie gesehen, wo
wurden sie gesehen etc. Das System funktioniert wie eine globale
Nachbarschaftswache, die überwacht, was auf den Computern in aller Welt läuft, und für
jeden geschützten Computer Schutz bietet, wenn etwas Schädliches entdeckt wird.
Weiterentwickelte Malware erfordert eine weiterentwickelte Lösung – der Aufstieg
integrierter Plattformen
Malware findet weiterhin zunehmend Verbreitung und wird immer ausgeklügelter. Daher
müssen heutige Unternehmen mehr und mehr Angriffsvektoren abwehren.
Das durchschnittliche IT-Team verfügt nicht über genügend Ressourcen und muss
Kompromisse bei der IT-Sicherheit eingehen. Es hat insbesondere damit Probleme, mit
der zunehmenden Internetnutzung Schritt zu halten, die immer mobileren Mitarbeiter
(und Daten) zu kontrollieren und das zunehmend komplexe Angebot an Programmen zu
aktualisieren.
Da die Umgebung komplexer wird, könnte die Lösung darin bestehen, neue
Technologien hinzuzufügen, um die verschiedenen Risikobereiche zu managen und zu
schützen – aber das steigert die Arbeitslast des IT-Teams, die Kosten und sogar das
Risiko.
Diese neue Bedrohungslage hat zu der ersten wirklich integrierten, einzigen
Sicherheitsplattform geführt, entwickelt von Kaspersky Lab. Diese Plattform ist die
beste Möglichkeit, um alle Technologiebereiche zusammenzuführen – und in einer
einzigen Verwaltungskonsole anzuzeigen, zu verwalten und zu schützen.
Weitere Informationen zu integrierten Plattformen finden Sie hier:
kaspersky.de
DAS GReAT-TEAM
GReAT-Tipp: Nutzen Sie proaktive Technologie
Für diesen Bericht standen die Experten aus dem internationalen Forschungs- und
Analyseteam (GReAT) von Kaspersky Lab beratend zur Seite.
Setzen Sie Anti-Malware-Lösungen ein, die
verschiedene Technologien zusammenführen, um
neue, unbekannte Bedrohungen in Echtzeit zu
blockieren, anstatt sich allein auf signaturbasierten
Schutz zu verlassen.
Seit 2008 ist GReAT führend in Analyse, Forschung und Innovation gegen
Bedrohungen – innerhalb von Kaspersky Lab und außerhalb. GReAT ist seit über
zehn Jahren bei der Entdeckung und Eliminierung einiger der größten MalwareBedrohungen der Welt an vorderster Front beteiligt, darunter Stuxnet, Duqu, Flame
und NetTraveler. Im Jahr 2013 erhielt es die Auszeichnung „Information Security
Team of the Year“ bei den SC Awards.
In diesem Bericht konnten Sie eine Reihe von GReAT-Tipps finden, die Ihnen helfen
sollen, das Beste aus Ihrer Sicherheitssoftware herauszuholen.
WARUM KASPERSKY LAB?
Wir sind in fast 200 Ländern weltweit tätig und bieten über 300 Millionen Anwendern
sowie mehr als 200.000 Firmenkunden von kleinen über mittelständischen bis hin
zu großen Unternehmen, Behörden und gewerblichen Organisationen Lösungen für
den Schutz ihrer Systeme an.
2012 waren die Produkte von Kaspersky Lab Teil von 79 unabhängigen Tests und
Prüfungen. Unsere Produkte erhielten 27 Mal den ersten Platz und erreichten 63 Mal
einen der ersten drei Plätze.
KASPERSKY LAB BIETET BRANCHENWEIT BESTEN SCHUTZ*:
100%
80%
Prozent der Platzierungen
unter den TOP 3
Kaspersky Lab ist einer der am schnellsten wachsenden Anbieter von ITSicherheitslösungen weltweit und eines der vier führenden internationalen
Unternehmen im Bereich Sicherheit.
2012 waren die Endpoint-Produkte von Kaspersky
Lab Teil von 79 unabhängigen Tests und
Prüfungen. Unsere Produkte haben 27 Mal den
ersten Platz belegt, und 63 Mal (in 80 % aller Tests)
waren wir unter den TOP 3.
Kaspersky Endpoint Security bekämpft und blockiert hochentwickelte und
hartnäckige Bedrohungen. In Kombination mit Kaspersky Security Center
erhalten die für die Sicherheit zuständigen Mitarbeiter den Einblick und die
Kontrollmöglichkeiten, die sie brauchen, um Gefahren jedweder Art abzuwehren.
Weitere Informationen finden Sie unter:
http://www.kaspersky.de/business-security
1. Plätze: 27
Teilnahme an
79 Tests/
Prüfungen
Bitdefender
60%
TOP 3 = 80 %
Symantec
40%
Sophos
G-Data
F-Secure
BullGuard
PC Tools
20%
Mit unseren fortschrittlichen Lösungen können Unternehmen die Nutzung von
Programmen, Internet und Geräten optimal steuern. Als Kunde legen dabei Sie die
Regeln fest, und unsere Systeme leisten einen Beitrag zu deren Umsetzung.
Kaspersky Lab
0
Webroot
Microsoft
Avast
Avira
Eset
Trend Micro
McAfee
Panda
AVG
GFI
20
Anzahl der unabhängigen Tests/Prüfungen
40
60
80
*
Anmerkungen:
• Gemäß Zusammenfassung der Ergebnisse
eines unabhängigen Tests aus dem
Jahr 2012 für Unternehmens-,
Verbraucher- und mobile Produkte.
• Die Zusammenfassung umfasst Tests, die
von den folgenden unabhängigen
Testlaboren und Magazinen durchgeführt
wurden:
• Testlabore: AV-Test, AV-Comparatives,
VB100, PC Security Labs, Matousec,
Anti-Malware.ru, Dennis Technology
Labs
• Magazine: CHIP Online, PC Advisor,
PC Magazine, TopTenREVIEWS, CNET,
PCWorld, ComputerBild, PC-Welt
• Die Größe der Kreise entspricht der Anzahl
der ersten Plätze.
5. DER MENSCHLICHE FAKTOR
TOP-TIPPS ZUR SCHAFFUNG EINES
BEWUSSTSEINS FÜR SICHERHEIT IN
IHREM UNTERNEHMEN
******
Es kann schwierig sein, das Bewusstsein in Ihrem Unternehmen dafür zu stärken, wie
wichtig IT-Sicherheit ist. Daher haben wir zehn Tipps zusammengestellt, mit denen Sie
die Sicherheitsprobleme ein wenig einfacher kommunizieren können.
1
5
SPRECHEN SIE IHR
PUBLIKUM RICHTIG AN
Nennen Sie niemanden „Benutzer“ –
das ist unpersönlich und kann dazu
führen, dass sich Ihr Publikum von
dem, was Sie sagen, nicht
angesprochen fühlt. Sagen Sie
stattdessen „Mitarbeiter“, „Kollege“
oder „Person“.
NUTZEN SIE IHRE FANTASIE
Es gibt viele Möglichkeiten,
Informationen fesselnder zu
präsentieren. Je kreativer und
interessanter, desto größer sind
die Chancen, dass sie gelesen
werden. Nutzen Sie Comics, Poster
und Ratespiele.
2
TREFFEN SIE DEN RICHTIGEN
TON
Ein offener und freundlicher Ton
wird Ihnen dabei helfen, effektiver
mit Ihrer Zielgruppe zu
kommunizieren, sodass Sie Ihre
Kollegen darüber aufklären können,
was jeder tun kann, um das
Unternehmen zu schützen.
6
ÜBERPRÜFEN SIE IHRE
BEMÜHUNGEN
9
ERMUTIGEN SIE EINEN
OFFENEN DIALOG
Wurden die Informationen
verstanden? Testen Sie Ihre
Kollegen, und schauen Sie, woran
sie sich erinnern und was sie
vergessen haben. Ein Quiz zu den
fünf wichtigsten ITSicherheitsproblemen ist ein guter
Ausgangspunkt.
Achten Sie darauf, dass Ihre Kollegen
und Mitarbeiter die Folgen einer
Sicherheitsverletzung verstehen und
wissen, wie wichtig es ist, Sie auf dem
Laufenden zu halten. Manche werden
fürchten, bestraft zu werden, wenn sie
eine Phishing-E-Mail angeklickt haben,
und daher die richtigen Leute nicht
davon unterrichten.
3
SICHERN SIE SICH DIE
UNTERSTÜTZUNG DER
PERSONAL- UND
RECHTSABTEILUNG
4
HALTEN SIE IHRE KOLLEGEN
AUF DEM LAUFENDEN
8
VERMEIDEN SIE
FACHBEGRIFFE
Falls notwendig, können diese
reale Richtlinien erstellen und
Unterstützung bieten, wenn
IT-Verletzungen auftreten.
7
WERDEN SIE PERSÖNLICH
Wenn Sie das Eigeninteresse Ihrer
Kollegen ins Spiel bringen, werden
diese die Bedeutung und den
Kontext der IT-Sicherheit besser
verstehen. Sprechen Sie zum
Beispiel darüber, wie
Sicherheitslücken ihre mobilen
Geräte treffen können.
10
FRAGEN SIE DAS MARKETINGTEAM
Wenn es um interne Kommunikation
innerhalb Ihrer Organisation geht,
sind sie die Experten – bitten Sie sie
also um Hilfe bei der Frage, wie Ihre
Kollegen am besten zu motivieren
sind.
Achten Sie auf Planung und
Häufigkeit Ihrer Informations- und
Ausbildungssitzungen für ITSicherheit. Stellen Sie sicher, dass
sie regelmäßig stattfinden und
einprägsam sind.
Die meisten Menschen werden
nicht die gleiche Kenntnistiefe
haben wie Sie. Achten Sie daher
darauf, dass Sie alles so erklären,
dass es einfach zu verstehen ist.
7ybka/Stand: Januar 2014
© 2013 Kaspersky Lab ZAO. Alle Rechte vorbehalten. Eingetragene Marken und Dienstleistungsmarken sind Eigentum der
jeweiligen Inhaber. Mac und Mac OS sind eingetragene Marken von Apple Inc. Cisco ist eine eingetragene Marke oder eine
Marke von Cisco Systems, Inc. und/oder seinen Tochtergesellschaften in den USA und bestimmten anderen Ländern. IBM,
Lotus, Notes und Domino sind Marken der International Business Machines Corporation und als solche in vielen
Rechtsgebieten weltweit eingetragen. Linux ist die eingetragene Marke von Linus Torvalds in den USA und anderen Ländern.
Microsoft, Windows, Windows Server und Forefront sind eingetragene Marken der Microsoft Corporation in den USA und
anderen Ländern. Android™ ist eine Marke von Google, Inc. Die Marke BlackBerry ist Eigentum von Research In Motion
Limited und in den USA eingetragen sowie als solche in anderen Ländern eingetragen bzw. ihre Eintragung wurde beantragt.