Bericht über Bedrohungen für Websites I 2015
Transcrição
Bericht über Bedrohungen für Websites I 2015
Bericht über Bedrohungen für Websites I 2015 INHALT Einleitung 3 Zusammenfassender Überblick 4 Bedrohungen im Web 5 Internetkriminalität und Malware 21 Gezielte Angriffe 36 Datenlecks 53 Soziale Medien und Online-Betrug 63 Ausblick 77 Empfehlungen 79 Über Symantec 82 2 I Symantec Website Security Solutions Einleitung Über 41,5 Millionen Angriffssensoren, die pro Sekunde mehrere Tausend Ereignisse registrieren – mit dem Symantec™ Global Intelligence Network verfügt Symantec über einige der umfassendsten Informationsquellen zu Bedrohungen aus dem Internet. Dieses Netzwerk erfasst Bedrohungen in über 157 Ländern und Regionen dank einer Kombination aus Symantec-Produkten und -Diensten wie 157 • dem Symantec DeepSight™ Threat Management System, • den Symantec™ Managed Security Services, • Symantec Website Security Solutions, • Norton™-Produkten und • externen Datenquellen. Außerdem unterhält Symantec eine der weltweit umfassendsten Datenbanken über IT-Schwachstellen, die aktuell mehr als 60 000 Schwachstellen in über 54 000 Produkten von mehr als 19 000 Anbietern enthält. Angaben zu Spam, Phishing und Malware werden über verschiedene Quellen erfasst, darunter: • das „Probe Network“ von Symantec (ein System aus über 5 Millionen Lockvogel-Konten), • Symantec.cloud, • die Malware-Scans und Schwachstellenanalysen von Symantec Website Security Solutions und • etliche andere Sicherheitstechnologien von Symantec. Die bei Symantec.cloud eingesetzte unternehmenseige ne Heuristiktechnologie Skeptic™ kann neue und aus geklügelte Bedrohungen erkennen, bevor sie die Netzwerke der Nutzer erreichen. Dazu werden in 14 Rechen zentren täglich über 1,7 Milliarden Webanfragen gefiltert und monatlich über 8,4 Milliarden E-Mails verarbeitet. Mithilfe eines weit gespannten Netzes von Unternehmen, Herstellern aus der IT-Sicherheitsbranche und über 50 Millionen Nutzern trägt Symantec auch Informationen über Phishing-Angriffe zusammen. Symantec Website Security Solutions bietet 100-pro zentige Zuverlässigkeit und bearbeitet täglich über 6 Milliarden Anfragen an das Online Certificate Status 3 I Symantec Website Security Solutions Symantec unterhält eine der weltweit umfassendsten Datenbanken über IT-Schwachstellen 19 000 54 000 60 000 Anbieter Produkte bekannte Schwachstellen Skeptic™, die bei Symantec.cloud eingesetzte unternehmenseigene Heuristiktechnik 14 Rechenzentren 1,7 Milliarden Webanfragen 8,4 Milliarden E-Mail-Nachrichten Protocol (OCSP) über den Gültigkeitsstatus digitaler Zertifikate weltweit, die dem Standard X.509 entsprechen. Dank all dieser Ressourcen verfügt Symantec über hervorragende Informationen, anhand derer sich Angriffe, Schadcode, Phishing und Spam erkennen und analysieren lassen und Trends auf diesen Gebieten fundiert bewertet werden können. Das Ergebnis ist der Symantec Website Security Threat Report, in dem IT-Verantwortliche in großen und kleinen Unternehmen sowie Verbraucher die wichtigsten Informationen finden, um ihre Systeme wirkungsvoll und zukunftsfähig zu schützen. Zusammenfassender Überblick Die Schlagzeile des Jahres 2014 im Bereich Website-Sicherheit war natürlich Heartbleed, denn von dieser Sicherheitslücke war einer der Grundpfeiler der Internetsicherheit betroffen. Es ging also ausnahmsweise einmal nicht um besonders clevere oder gewissenlose Kriminelle, sondern um eine Schwachstelle, die weder den Entwicklern und Testern noch den Anwendern der Open-Source-Software Heartbeat aufgefallen war – ein vielleicht überfälliger Hinweis darauf, wie wichtig ständige Wachsamkeit bei der Entwicklung und Implementierung von Software und dem Schutz von Websites ist. Selbstverständlich blieben Internetkriminelle nicht untätig, während die allgemeine Aufmerksamkeit auf Heartbleed ge richtet war. Im Gegenteil: Das Jahr 2014 war durch professionellere, raffiniertere und aggressivere Methoden für Angriffe, Diebstahl und Sabotageakte gekennzeichnet, unter denen sowohl Unternehmen als auch Verbraucher litten. Schwachstellen schwächen jedermann Heartbleed war nicht die einzige schlagzeilenträchtige Schwachstelle des Jahres 2014. Auch Poodle und ShellShock wurden von Kriminellen ausgenutzt, um über Websites auf Server zuzugreifen, Daten zu stehlen und Malware zu implementieren. Interessanterweise ging der Anteil der mit Malware infizier ten Websites 2014 auf eine von 1126 zurück, etwa die Hälfte des Vorjahreswerts, obwohl nach wie vor rund drei Viertel aller Websites Schwachstellen aufweisen. Das mag teilweise auf effektivere Website-Sicherheit zurückzuführen sein, liegt aber vermutlich auch daran, dass viele Kriminelle auf andere Verbreitungsvektoren umgestiegen sind, darunter soziale Medien und mit Malware infizierte Werbung, das sogenannte Malvertising. Leider wurden auch 2014 wieder zu viele Schwachstellen in auf Geräten und Servern installierter Software nicht oder zu spät geschlossen, obwohl die entsprechenden Patches verfügbar waren. Aufgrund dessen fiel es Kriminellen leicht, diese Schwachstellen auszunutzen. Viele Angreifer nutzten sogenannte „Dropper“, d. h. speziell zur Suche nach bekann ten, ungepatchten Schwachstellen und Sicherheitslücken entwickelte Malware. Diese wurde gewöhnlich in einem Drive-by-Angriff oder über soziale Medien in das Zielsystem eingeschleust. http://www.symantec.com/connect/blogs/underground-blackmarket-thriving-trade-stolen-data-malware-and-attack-services http://www.symantec.com/connect/blogs/australiansincreasingly-hit-global-tide-cryptomalware Cyberkriminelle „arbeiten“ professioneller als je zuvor Die Internetkriminalität wurde 2014 insgesamt raffinierter, mit Spezialisierungen, Serviceanbietern und dynamischen Märkten, wie sie bislang nur aus legalen High-Tech-Branchen bekannt waren. Ein Web-Toolkit für Drive-by-Downloads kann beispielsweise für 100 bis 700 US-Dollar pro Woche abonniert werden. Aktualisierungen und Support rund um die Uhr sind im Preis inbegriffen. Ein DDoS-Angriff (Distributed Denial of Service) kann für 10 bis 1000 US-Dollar täglich in Auftrag gegeben werden.1 Auf dem „Käufermarkt“ kosten Kreditkartendaten zwischen 0,50 und 20 US-Dollar je Karte, während 1000 Follower in einem sozialen Netzwerk mitunter schon für 2 bis 12 US-Dollar zu haben sind. Amoralische, aggressive Angriffsmaschen Kriminelle hatten noch nie viel Mitgefühl mit ihren Opfern, doch 2014 loteten sie mit ihren niederträchtigen Taktiken neue moralische Tiefen aus. Zwischen Mai und September stieg die Anzahl der Angriffe mit Krypto-Ransomware auf das 14-Fache.2 Krypto-Ransom ware ist eine Art Malware, mit der ausgewählte Dateien des Opfers, von Fotos bis hin zu wichtigen Verträgen und Rech nungen, verschlüsselt werden. Das Opfer wird dann aufge fordert, ein Lösegeld für den zum Entschlüsseln der Daten erforderlichen privaten Schlüssel zu zahlen. Viele dieser Erpresser verlangen eine Zahlung in Bitcoins über eine mit Tor anonymisierte Website, damit sie nicht beim Zahlungsempfang identifiziert und strafrechtlich verfolgt werden können. Bei Betrugsversuchen in sozialen Medien und PhishingAngriffen nutzten Kriminelle Gesundheitsskandale und die Furcht vor Hackerangriffen als Aufhänger, um ihre Opfer zum Klicken zu bewegen. Im harmlosesten Fall gelangt das Opfer dadurch auf eine Pay-per-Klick-Website. Oft löst der Klick jedoch das Herunterladen von Malware aus oder führt zu einer Phishing-Website, auf der das Opfer mit einem gefälschten „Anmeldeformular“ zur Preisgabe vertraulicher Daten gebracht werden soll. 1 2 Symantec Website Security Solutions I 4 Bedrohungen im Web 5 I Symantec Website Security Solutions Auf einen Blick 1 Durch die Schwachstelle Heartbleed waren im April 2014 etwa eine halbe Million vertrauenswürdiger Websites anfällig für den Diebstahl von Daten aus dem Arbeitsspeicher.3 Durch die Berichterstattung über Heartbleed wurden jedoch auch viele 2 Menschen für die Problematik der richtigen Implementierung von SSL und TLS sensibilisiert und die Qualität der verfügbaren Lösungen stieg insgesamt an. 3 Kriminelle machen sich die Technik und Infrastruktur seriöser Werbenetz werke zunutze, um Malware und Betrugsversuche zu verbreiten. Die Anzahl der mit Malware infizierten Anonymisierer-Websites stieg 2014 4 stark an. Mit fünf Prozent aller infizierten Websites sind Anonymisierer deshalb erstmals in den Top Ten der am häufigsten infizierten Websites vertreten. 5 3 Die Anzahl der Websites, auf denen Malware gefunden wurde, ging gegenüber 2013 auf etwas mehr als die Hälfte zurück. http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html Symantec Website Security Solutions I 6 Einleitung Im Verlauf des Jahres 2014 wurden die Bedrohungen im Internet größer und aggressiver als je zuvor. Neu bekannt gewordene Schwachstellen in gängigen Tools und Verschlüsselungsalgorithmen trugen ebenso zu dieser Entwicklung bei wie ein aggressiveres und hartnäckigeres Verhalten der Angreifer. Die Bedrohungslage spitzte sich 2014 extrem zu und dieser Trend wird aller Wahrscheinlichkeit nach auch 2015 anhal ten. Die aufgedeckten Schwachstellen und neue MalwareVarianten machten deutlich, dass die Websicherheit zu einem geschäftskritischen Thema geworden ist, das ununterbrochen von Fachleuten überwacht werden muss. 4 Zum Redaktionsschluss dieses Dokuments lagen erste Be richte von Sicherheitsexperten über eine neue Schwachstelle in SSL/TLS vor, die sie „FREAK“ nannten.4 FREAK ermöglicht Man-in-the-Middle-Angriffe auf Daten, die verschlüsselt zwischen Websites und deren Besuchern ausgetauscht wer den. Möglicherweise könnte das dazu führen, dass Lauscher diese Daten abfangen und entschlüsseln können. Sollte es den Angreifern gelingen, die genutzte Verschlüsselung zu knacken, könnten sie in den Besitz von Anmeldedaten und anderen vertraulichen Informationen gelangen und diese für einen gezielten Angriff auf die betroffene Website missbrau chen. http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack 7 I Symantec Website Security Solutions Schlagzeilenträchtige Schwachstellen Heartbleed ShellShock und Poodle Heartbleed machte im April 2014 Schlagzeilen, als bekannt wurde, dass eine Schwachstelle in der OpenSSL-Kryptografie bibliothek von Angreifern ausgenutzt werden konnte, um bei einer verschlüsselten Sitzung Daten aus dem Arbeitsspeicher des Webservers zu stehlen. Unter den gestohlenen Daten konnten sich unter Umständen Kreditkartendaten, Kenn wörter und sogar private Schlüssel befinden, mit denen der gesamte verschlüsselte Datenaustausch entschlüsselt werden konnte.5 Heartbleed war nicht die einzige 2014 aufgedeckte Schwachstelle in Online-Umgebungen. Im September wurde die auch als „Bash Bug“ bekannte Schwachstelle „ShellShock“ entdeckt. Diese Schwachstelle ist in den meisten Versionen von Linux, Unix und Mac OS X vorhanden. ShellShock war ein besonders gutes Beispiel dafür, wie schnell sich die Situation eines Website-Betreibers ändern kann. Selbst wenn er heute alle verfügbaren Sicherheitspatches einspielt und alle Server auf den neuesten Stand bringt, kann sich schon morgen herausstellen, dass viele dieser Patches nicht ausreichend sind und die Server erneut aktualisiert werden müssen – am besten sofort. Zu dieser Zeit nahmen Sicherheitsexperten an, dass 17 Pro zent der Webserver, die durch SSL- bzw. TLS-Zertifikate vertrauenswürdiger Zertifizierungsstellen geschützt waren, diese Schwachstelle aufwiesen.6 Das hatte enorme Auswir kungen auf Unternehmen und Verbraucher. Natürlich musste die Schwachstelle geschlossen werden, um die große Menge gefährdeter vertraulicher Daten zu schützen. Ebenso wichtig war jedoch die Sensibilisierung der Öffentlichkeit, da die Kunden der betroffenen Unternehmen ihre Kennwörter zur richtigen Zeit ändern mussten. Die Betreiber der betroffenen Websites mussten zunächst die gepatchte Version von OpenSSL einspielen, dann neue SSLZertifikate installieren und die alten Zertifikate widerrufen. Dann, und erst dann, mussten die Kunden ihre Kennwörter ändern, um die Bedrohung endgültig abzuwehren. Die korrekte Vermittlung dieser komplexen Zusammenhänge an eine breite Öffentlichkeit war nicht einfach. In den meisten Unternehmen reagierten die Verantwortlichen schnell. Nach nur fünf Tagen war die Schwachstelle in keiner der „Alexa Top 1000“ und in nur 1,8 Prozent der 50 000 am häufigsten aufgerufenen Websites zu finden.7 Die einfachste Angriffsmasche nutzte Webserver und das Common Gateway Interface (CGI) als Einfallstor. CGI ist eine gängige Schnittstelle für das Erstellen dynamischer Webinhalte. Die Angreifer versteckten ein schädliches Kommando in einer Umgebungsvariablen. Die eigentliche Schwachstelle befand sich in der Shell Bash auf dem Server, die den in der Variablen enthaltenen Befehl interpretierte und ausführte.8 ShellShock wurde von zahlreichen Angreifern ausgenutzt, um Malware in Server und die mit ihnen verbundenen Netzwerke einzuschleusen und eine Reihe von Geräten auszuspionieren. Im Oktober fand Google eine Schwachstelle, die unter dem Namen Poodle bekannt wurde und die Verschlüsselung erneut ins Zentrum der öffentlichen Aufmerksamkeit rückte. Diese Schwachstelle konnte möglicherweise von Kriminellen ausgenutzt werden, um den Teil des „Handshake“-Prozesses zu manipulieren, in dem ein Client und ein Server eine Version von SSL oder TLS finden, die beide unterstützen. Normalerweise wird die neueste von beiden Parteien unterstützte Version ausgewählt, doch mit Poodle hätte ein Angreifer die Nutzung der veralteten Version SSL 3.0 erzwingen können, wenn der Server diese noch unterstützte.9 Das wiederum hätte einen Man-in-the-Middle-Angriff und das Entschlüsseln sicherer http-Cookies ermöglicht. Bei einem solchen Angriff könnte der Kriminelle beispielsweise Anmeldedaten stehlen und sich Zugang zu Online-Konten des Opfers verschaffen. Poodle erwies sich jedoch als weniger gefährlich als Heartbleed, weil der Angreifer Zugang zum Netzwerk zwischen Client und Server benötigte, um diese Schwachstelle ausnutzen zu können. Gefährdet waren also beispielsweise Benutzer öffentlicher WLAN-Hotspots. http://www.symantec.com/connect/blogs/heartbleed-bug-posesserious-threat-unpatched-servers http://news.netcraft.com/archives/2014/04/08/half-a-million-widelytrusted-websites-vulnerable-to-heartbleed-bug.html 7 http://www.symantec.com/connect/blogs/heartbleed-reports-field 8 http://www.symantec.com/connect/blogs/shellshock-all-you-needknow-about-bash-bug-vulnerability 9 http://www.symantec.com/connect/blogs/poodle-vulnerability-oldversion-ssl-represents-new-threat 5 6 Symantec Website Security Solutions I 8 Schlagzeilenträchtige Schwachstellen Schlagzeilenträchtige Schwachstellen und die Zeit, bis ein Patch verfügbar ist SSL- und TLS-Zertifikate sind nach wie vor unver zichtbar Kurz nach ihrer Bekanntgabe machten Angriffe Schlagzeilen, die diese Schwachstellen ausnutzten. Das erinnert an ZeroDay-Angriffe, es gibt jedoch wesentliche Unterschiede. Heartbleed und ShellShock könnten als eine eigene Schwachstellenart betrachtet werden, weil sie den Angriff auf Server (anstelle von Endgeräten) ermöglichen. Als ausschlaggebend erwies sich jedoch, dass die von diesen Schwachstellen betroffene Software auf so vielen Systemen und Geräten installiert ist. Das machte sie sofort zu einem äußerst lukrativen Ziel für Angreifer und beide Schwachstellen wurden innerhalb weniger Stunden nach Bekanntwerden ausgebeutet. Die Online-Sicherheit wurde 2014 gebeutelt, doch das sollte nicht darüber hinwegtäuschen, dass SSL-Zertifikate und ihre moderneren Äquivalente, die TLS-Zertifikate, nach wie vor effektiv und unerlässlich sind. Heartbleed zeigte auch, wie schnell die Anbieter von Online-Sicherheitslösungen auf eine Bedrohung reagieren können. Nach dem Bekanntwerden der Schwachstellen veröffentlichte Symantec sehr schnell Signaturen, die das Aufdecken und Blockieren solcher Angriffe ermöglichten. Doch wie die Spitzen in der Grafik zeigen, waren zu diesem Zeitpunkt bereits zahlreiche Angriffe im Gange. Vier Stunden nach der Bekanntgabe von Heartbleed nutzten Angreifer diese Schwachstelle bereits aus. Organisationen wie das CA/Browser Forum, dem z. B. Symantec angehört, arbeiten hart und unermüdlich an der Verbesserung der Branchenstandards. Die Grundlagen der Website-Sicherheit, und damit die Sicherheit Ihrer Website und Ihrer Besucher, sind also nach wie vor robust – und sie werden ständig verbessert. Heartbleed- und ShellShock-Angriffe weltweit, April–November 2014 40 Heartbleed-Angriffe weltweit 35 Tausend 30 ShellShock-Angriffe weltweit 25 20 15 5 0 M J J Quelle: Symantec 9 I Symantec Website Security Solutions A S O N Schwachstellen im Überblick Trotz leichter jährlicher Schwankungen ist bei der Gesamtzahl der bekannten Schwachstellen ein klarer Aufwärtstrend erkennbar. Für die Mehrzahl der bekannten Schwachstellen sind Gegenmaßnahmen, Abhilfen oder Patches verfügbar. Doch Malware-Autoren wissen, dass viele Systemadministratoren ihre Systeme nicht oder nicht zeitnah aktualisieren, sodass auch bereits bekannte und gut dokumentierte Schwachstellen noch in Angriffen ausgenutzt werden können. In vielen Fällen werden dazu sogenannte „Dropper“ verwendet, d. h. Spezial-Malware, die ein System nach einer Reihe bekannter Schwachstellen durchsucht und ungepatchte Schwachstellen ausnutzt, um weitere Malware zu installieren. Das verdeut licht, wie wichtig das zeitnahe Einspielen von Updates ist. Mit dieser Methode erleichtern Exploit-Toolkits wie Sakura und Blackhole Angreifern das Ausnutzen ungepatchter Schwachstellen, die seit Monaten oder sogar Jahren bekannt sind. Für eine Schwachstelle werden mitunter mehrere Angriffsmethoden entwickelt. Toolkits für Webangriffe führen zunächst eine Schwachstellenanalyse in einem Browser durch, um anfällige Plugins zu finden und die am besten geeignete Angriffsform auszuwählen. Viele Toolkits nutzen die neuesten Angriffsmethoden und Schwachstellen gar nicht aus, wenn sie über eine ältere Schwachstelle in ein System eindringen können, denn Zero-Day-Schwachstellen sind selten und können lukrativer in „Watering Hole“- und anderen gezielten Angriffen eingesetzt werden. Neue Schwachstellen 2014 2013 2012 6549 6787 5291 −3,6 % +28 % Quelle: Symantec | Deepsight Symantec Website Security Solutions I 10 2010 6253 2011 4989 5291 6787 2011 2009 4814 2012 2008 5562 891 2013 2007 4644 351 591 2014 2006 4842 2012 In Browsern gefundene Schwachstellen 2011–2014 2013 Insgesamt aufgedeckte Schwachstellen 2006–2014 639 Opera 2014 Mozilla Firefox Microsoft Internet Explorer Google Chrome 6549 Apple Safari Quelle: Symantec I Deepsight Quelle: Symantec I Deepsight In Plugins gefundene Schwachstellen nach Monat, 2013/14 Java 80 Apple 71 70 Adobe 60 54 54 50 40 ActiveX 53 48 48 45 30 31 29 27 20 10 5 F M Quelle: Symantec I Deepsight A M J J 11 8 A 2013 4 S 30 23 29 17 J 37 36 35 O N 13 8 2 D J F M A M J J A S O N D 2014 Bekannte Schwachstellen stellen zwar ein generelles Risiko dar, doch Zero-Day-Schwachstellen können noch wesentlich gefährlicher sein. Als „Zero-Day“ werden Schwachstellen bezeichnet, die erst aufgedeckt werden, nachdem Kriminelle sie gefunden und ausgenutzt haben. Weitere Informationen zu diesem Thema finden Sie im Kapitel über gezielte Angriffe. 11 I Symantec Website Security Solutions Plug-in Vulnerabilities by Month Infizierte Websites Ähnlich wie im Vorjahr wiesen etwa drei Viertel der 2014 von Symantec untersuchten Websites Schwachstellen auf. Der Anteil der kritischen Schwachstellen stieg jedoch von 16 auf 20 Prozent. Der Anteil der mit Malware infizierten Websites war hingegen deutlich niedriger als 2013: Statt in jeder 566. wurde nur in jeder 1126. Website Malware gefunden. Das schlug sich vermutlich in der Anzahl der abgewehrten Angriffe pro Tag nieder, denn diese ging ebenfalls zurück, wenn auch nur um 12,7 Prozent. Jede infizierte Website war also, im Durchschnitt, für mehr Angriffe verantwortlich als 2013. Ein Grund hierfür ist, dass manche Toolkits für Webangriffe inzwischen in einem Malware-as-a-Service-Modell in der Cloud angeboten werden. Ein Angreifer könnte beispielsweise das HTMLTag iFrame oder verschleierten JavaScript-Code nutzen, um schädlichen Code direkt aus dem webbasierten Malware-asa-Service-Toolkit in eine Website einzuschleusen, statt den Angriff aus schädlichem Code zu starten, der sich auf einer infizierten Website befindet. Der Anstieg bei Malware-as-aService führte auch zu einem Rückgang der Anzahl neuer betrügerischer Domänen, auf denen Malware gehostet wird. Diese ging um 47 Prozent zurück, von 56 158 im Jahr 2013 auf 29 927 im Jahr 2014. Toolkits für Angriffe auf Websites durchsuchen die Computer der Opfer nach anfälligen Plugins, um eine erfolgverspre chende Angriffsform auszuwählen. Diese Toolkits werden oft auf speziellen Systemen gehostet, deren IP-Adresse schnell geändert und deren Domänenname dynamisch generiert werden kann, um das Auffinden und Ausschalten der kriminellen Infrastruktur zu erschweren. Die Angreifer können sogar kontrollieren, wie der Angriff durchgeführt wird. Sie nutzen das, um beispielsweise nur dann anzugreifen, wenn auf der ursprünglich infizierten Website ein bestimmtes Cookie gesetzt ist. Damit lässt die Malware sich vor den Malware-Scans von Suchmaschinen und Sicherheitsexperten verbergen. Weitere Informationen über Toolkits zum Angriff auf Websites finden Sie weiter unten in diesem Kapitel. Bei der Analyse der am häufigsten infizierten Website-Kate gorien fiel auf, dass Anonymisierer-Websites sich erstmals unter den Top Ten befinden. Vielleicht liegt das schlicht daran, dass diese Websites in jüngerer Vergangenheit häufiger besucht werden, weil immer mehr Verbraucher daran interessiert sind, beim Surfen ihre Privatsphäre zu schützen und nicht von ihren Internetserviceanbietern verfolgt zu werden. Kriminelle würden damit nicht zum ersten Mal der Menge folgen. Top-10 der bei Schwachstellenanalysen von Webservern gefundenen ungepatchten Schwachstellen Nr. Schwachstelle 1 SSL/TLS-Schwachstelle POODLE 2 Cross-Site-Scripting 3 Unterstützung für SSL-Version 2 4 Unterstützung für schwache SSL-Chiffrensammlungen 5 ungültige SSL-Zertifikatskette 6 Attribut „sicher“ im Cookie einer verschlüsselten (SSL-)Sitzung nicht gesetzt 7 Schwachstelle in der SSL-/TLS-Neuverhandlung 8 unbeabsichtigte Offenlegung von Daten durch die PHP-Funktion strrchr() 9 Cross-Site-Scripting mit http-Methode „Trace“ 10 Schwachstelle in der Fehlerbehandlung der OpenSSL-Funktion bn_wexpend() Quelle: Symantec Website Security Solutions Symantec Website Security Solutions I 12 Anteil untersuchter Websites, die Schwachstellen aufwiesen Anteil kritischer Schwachstellen 76 % 20 % −1 % +4 % 77 % 16 % +25 % +8 % 55 % 24 % Quelle: Symantec | Website Security Solutions Quelle: Symantec | Website Security Solutions 2014 2014 2013 2013 2012 2012 Im Jahr 2014 wurden 20 Prozent aller auf seriösen Websites gefundenen Schwachstellen als „kritisch“ eingestuft. Das heißt, dass jede fünfte Schwachstelle direkt zum Zugriff auf vertrauliche Daten, Manipulieren des Inhalts der Website oder zum Infizieren der Computer der Website-Besucher missbraucht werden könnte. Anteil der Websites, in denen Malware gefunden wurde 1250 1 von 1000 1126 750 500 532 566 250 2012 Quelle: Symantec | Website Security Solutions 13 I Symantec Website Security Solutions Plug-in Vulnerabilities by Month 2013 2014 Die am häufigsten mit Malware infizierten Website-Arten 2013/14 Anteil dieser Kategorie an der Gesamtzahl infizierter Websites Die 10 am häufigsten infizierten WebsiteKategorien 2014 Nr. Top-10 des Jahres 2013 Anteil 2013 1 Technologie 21,5 % Technologie 9,9 % 2 Hosting-Anbieter 7,3 % Unternehmen 6,7 % 3 Blogs 7,1 % Hosting-Anbieter 5,3 % 4 Unternehmen 6,0 % Blogs 5,0 % 5 Anonymisierer 5,0 % illegale Websites 3,8 % 6 Unterhaltung 2,6 % Online-Handel 3,3 % 7 Online-Handel 2,5 % Unterhaltung 2,9 % 8 illegale Websites 2,4 % Automobil 1,8 % 9 Placeholder 2,2 % Bildung 1,7 % virtuelle Gemeinschaften 1,8 % virtuelle Gemeinschaften 1,7 % 10 Quelle: Symantec | SDAP, Safe Web, Rulespace Blockierte Webangriffe pro Monat, 2013/14 900 linear (2013) 800 linear (2014) 700 Tausend 600 500 400 300 200 100 J F Quelle: Symantec | SDAP M A M J J 2013 A S O N D J F M A M J J A S O N D 2014 Symantec Website Security Solutions I 14 Plug-in Vulnerabilities by Month Neue verschiedene betrügerische Internetdomänen 2014 2013 2012 2011 29 927 56 158 74 001 55 000 −47 % −24 % +34 % Quelle: Symantec | .cloud Die Anzahl der voneinander verschiedenen betrügerischen Webdomänen ging 2014 um 47 Prozent zurück. Das deutet auf die verstärkte Nutzung cloudbasierter Malware-as-a-Service-Angebote hin. Blockierte Webangriffe pro Tag 2014 2013 2012 2011 496 657 568 734 464 100 190 000 −12,7 % +23 % +144 % Quelle: Symantec | SDAP Der größte Teil des 12,7-prozentigen Rückgangs in der Anzahl der durchschnittlich abgewehrten Angriffe pro Tag fiel in die zweite Jahreshälfte 2013, der rückläufige Trend hielt in abgeschwächter Form aber auch 2014 an. Da die meisten untersuchten Websites noch immer Schwachstellen aufweisen, nutzen viele Website-Betreiber Schwachstellenanalysen offensichtlich noch nicht optimal. Das heißt natürlich nicht, dass Malware-Scans ebenfalls nicht effektiv eingesetzt werden. Malware wird jedoch oft nach der Ausnutzung einer Schwachstelle in ein System eingeschleust und wie in vielen Bereichen des Lebens ist vorbeugen auch hier besser als heilen. 15 I Symantec Website Security Solutions Da so viele Websites Schwachstellen aufweisen, nutzten Kriminelle diese bereits in früheren Jahren erfolgreich aus. Dieser Trend hielt 2014 an. Viele Angreifer nutzten auch die 2014 aufgedeckten Schwachstellen in SSL und TLS sehr schnell aus. Außerdem stiegen die Anzahl der Betrugsversuche in sozialen Medien und das Malvertising-Volumen 2014 an. Das deutet darauf hin, dass Kriminelle auf der Suche nach alternativen Methoden zur Verbreitung von Malware sind. Die fünf am häufigsten genutzten Toolkits für Webangriffe 2012 Die fünf am häufigsten genutzten Toolkits für Webangriffe 2013 8% 17 % 3% 7% 10 % 10 % 5 41 % 5 14 % 26 % 23 % 19 % 22 % Blackhole Sonstige Sakura G01 Pack Phoenix Blackhole Redkit Sakura Nuclear Styx Sonstige Coolkit Quelle: Symantec I SDAP, Wiki Quelle: Symantec I SDAP, Wiki Die fünf am häufigsten genutzten Toolkits für Webangriffe 2014 Zeitliche Verteilung der Nutzung der Top-5-Toolkits 2014 100 % 50 % 5 23 % 10 % 7% 5% 5% Sakura Nuclear Styx Orange Kit Blackhole Sonstige Quelle: Symantec I SDAP, Wiki 0% J F M A M J J A S O N D Sonstige Blackhole Orange Kit Styx Nuclear Sakura Quelle: Symantec I SDAP, Wiki Symantec Website Security Solutions I 16 Plug-in Vulnerabilities by Month Malvertising Am Anfang des Jahres 2014 nutzten Internetkriminelle eine Kombination aus Ransomware und Malvertising, um eine Rekordzahl von Opfern auf die Website Browlock umzuleiten. Browlock ist eine der weniger aggressiven RansomwareVarianten. Statt auf dem Computer des Opfers Malware auszuführen, werden JavaScript-Tricks verwendet, um das Verlassen der einmal aufgerufenen Website und das Schließen der entsprechenden Reiterkarte zu verhindern. Die Website ermittelt dann, wo das Opfer sich befindet, und zeigt eine standortspezifische Seite an, auf der das Opfer beschuldigt wird, durch den Zugriff auf Pornografie-Websites straffällig geworden zu sein. Dann wird das Opfer aufgefordert, ein Bußgeld an die örtliche Polizei zu zahlen. Die Browlock-Angreifer kaufen anscheinend Werbung bei seriösen Werbenetzwerken, um die Besucherzahl ihrer Website zu erhöhen. Diese Werbung leitet die Besucher zuerst auf eine Porno-Website und dann auf die Website von Browlock. Die von den Browlock-Angreifern gekauften Umleitungen kommen von verschiedenen Quellen, doch die meisten von ihnen sind sexbasierte Werbenetzwerke.10 Die Opfer müssten eigentlich nur ihren Browser schließen, um den Angreifern zu entkommen. Da die Angreifer immer wieder Werbung kaufen, scheint die Investition sich jedoch zu lohnen. Viele Opfer zahlen vermutlich, weil sie über die Werbung für eine Porno-Website zur Website von Browlock gelangt sind und sich daher schuldig fühlen. Malvertising im Überblick Malvertising wird nicht nur zur Verbreitung von Ransomware benutzt. Manche Angreifer locken ihre Opfer mit schädlicher Werbung auf Websites, die ihre Geräte mit Trojanern infizieren. Besonders raffinierte schädliche Werbung kann Malware sogar in sogenannten Drive-by-Angriffen auf Besuchergeräten installieren, auch wenn der Website-Besucher nicht auf die infizierte Werbung klickt. Für Kriminelle ist Malvertising interessant, weil sie auf diesem Weg beliebte seriöse Websites ausnutzen können, um eine große Anzahl potenzieller Opfer zu erreichen. Zudem sind Werbenetzwerke in der Regel in der Lage, bestimmte Personengruppen gezielt anzusprechen. Kriminelle nutzen dies aus, indem sie die Aufhänger ihrer Betrugsversuche auf dieselben Zielpersonen zuschneiden. So nehmen seriöse Werbenetzwerke Internetkriminellen mitunter unbewusst die Arbeit ab. Darüber hinaus ändern Kriminelle ihre Taktik, um unerkannt zu bleiben. Manchmal lassen sie beispielsweise mehrere Wochen lang eine normale Werbung laufen, um einen seriösen Eindruck zu erwecken, bevor sie diese Werbung in schädliche Werbung umwandeln. Werbenetzwerke sollten Werbung deshalb nicht nur beim Hochladen, sondern auch danach regelmäßig überprüfen. Website-Betreiber sind kaum in der Lage, Malvertising zu verhindern, da sie keine direkte Kontrolle darüber haben, welche Werbung vom Werbenetzwerk auf ihrer Website angezeigt wird. Sie können das Risiko jedoch reduzieren, indem sie ein Werbenetzwerk auswählen, das die verfügbaren Funktionen einschränkt, sodass keine Malware in die angezeigte Werbung eingebettet werden kann. Selbstverständlich spielt auch die sorgfältige Prüfung des ausgewählten Werbenetzwerks eine große Rolle. Beispiel einer Browlock-Website, mit der ein Bußgeld für den illegalen Aufruf von Pornografie-Websites verlangt wird11 http://www.symantec.com/connect/blogs/massivemalvertising-campaign-leads-browser-locking-ransomware Ebd. 10 17 I Symantec Website Security Solutions 11 Denial of Service Mit Denial-of-Service-Angriffen nehmen Internetkriminelle ebenfalls gezielt bestimmte Unternehmen oder Organisationen ins Visier. Dazu schicken sie massenweise Anfragen oder Nachrichten an ein kritisches System, etwa eine Website oder einen E-MailServer. Ziel ist es, das System zu überlasten und lahmzulegen, um dessen Betreiber finanziellen Schaden zuzufügen oder seinen Geschäftsbetrieb zu stören. Verteilte Denial-of-Service-Angriffe (Distributed Denial of Service, DDoS) sind keine neue Bedrohung, doch ihre Häufigkeit und Intensität nehmen zu.12 Bei DNS-Verstärkungsangriffen beobachtete Symantec zwischen Januar und August 2014 beispielsweise einen Anstieg um 183 Prozent.13 Laut einer Umfrage von Neustar wurden 60 Prozent der befragten Unternehmen 2013 Opfer eines DDoS-Angriffs. 87 Prozent dieser Unternehmen wurden sogar mehrfach angegriffen.14 Zu den möglichen Gründen für einen DDoS-Angriff gehören das Erpressen von Lösegeld, Ablenkungsmanöver, um dasselbe Unternehmen unbemerkt an anderer Stelle anzugreifen, Hacktivismus und Racheakte. DDoS-Angriffe werden zunehmend als Service auf dem Schwarzmarkt angeboten. Für Preise ab 10 bis 20 US-Dollar kann der Käufer die Intensität und Dauer des Angriffs auswählen. Millionen Vom Symantec Global Intelligence Network festgestellte DDoS-Angriffe 8 DDoS-Angriffe 7 DNS-Verstärkungsangriffe 6 allgemeine ICMP-Flood-Angriffe 5 Denial-of-Service-Angriffe mit Generic TCP SYN Flooding 4 3 2 1 0 J F M A M J J A S O N D Quelle: Symantec I DeepSight Symantec Global Intelligence Network http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong 14 http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf 12 13 Symantec Website Security Solutions I 18 Unsere Verwundbarkeit nimmt zu Tim Gallo In den letzten Jahren wurde das sogenannte Schwachstellenmanagement zu einem Hauptgesprächsthema. Oft wird es jedoch noch als lästige Zeitverschwendung oder bestenfalls als eine interessante Idee betrachtet, die bei Weitem nicht so wichtig ist wie die Abwehr von Angriffen oder das Verfolgen von Internetkriminellen. Im Jahr 2014 wurde uns jedoch mehrfach vor Augen geführt, wie wichtig der richtige Umgang mit Schwachstellen ist. Drei schwerwiegende Schwachstellen machten 2014 Schlagzeilen, und das nicht nur in den Newslettern der Sicherheitsbranche. Poodle, ShellShock und Heartbleed gingen in allen wichtigen Medien um die Welt. Jede dieser Schwachstellen wurde in einem Bereich gefun den, der beim Schwachstellenmanagement bis dahin igno riert worden war. Vor Heartbleed konzentrierte das Schwachstellenmanagement sich auf Laptops und Server, weil Unter nehmen wie Adobe und Microsoft regelmäßig Berichte über und Patches für neu aufgedeckte Schwachstellen in ihren Produkten veröffentlichten. Natürlich wurden und werden auch weiterhin neue Schwachstellen in Adobe- und Microsoft-Produkten aufgedeckt, doch es gibt solide Prozesse für das Patch-Management, von der Bekanntmachung einer Schwachstelle bis hin zum Einspielen des Patches. Betriebssystem- und Anwendungsanbieter haben das Einspielen von Patches inzwischen weitestgehend automatisiert, sodass Angreifer sich gezwungen sahen, ihre Taktiken zu ändern. Sie stiegen auf neue Angriffsmethoden, oder genauer gesagt auf die altbewährte Methode der Schwachstellensuche, um. Bei der erneuten, gründlichen Durchsuchung von Anwendungen fanden die Angreifer offensichtlich Schwachstellen in Bereichen, die bislang als sicher galten. ShellShock ist ein gutes Beispiel für ein Szenario, das wir in den kommenden Jahren vermutlich häufiger sehen werden. Je nach Sichtweise war ShellShock eine mangelhafte Funktion oder ein Designfehler in der Bourne Again Shell (Bash)15, der über 25 Jahre lang übersehen worden war. Dann fanden Kriminelle eine Methode zum Ausbeuten dieser Schwachstelle und sie machte Schlagzeilen. ShellShock war also schon Bestandteil des Internets, als dieses noch in den Kinderschuhen steckte. Diese Sicherheitslücke wurde nicht nur zu Angriffen auf Router und Webserver mit dem Betriebssystem Linux ausgenutzt, sondern auch für Angriffe auf Heartbleed hat sogar ein eigenes Logo. E-Mail-Server und sogar DDoS-Bots, auf denen diese Shell unterstützt wird. Kurz gesagt nahmen Angreifer so ziemlich jedes auf Unix basierende System ins Visier, das die Bash nutzte. Eine Shell ist eine befehlszeilenbasierte Anwenderschnittstelle für die Interaktion mit dem Betriebssystem. Bash ist eine der meistgenutzten Shells in allen Varianten von Unix und Linux. 15 19 I Symantec Website Security Solutions In den kommenden Jahren wird die Ausbeutung von Schwachstellen wie dieser vermutlich zum Normalfall wer den. Für diese Vermutung gibt es mehrere Gründe. Erstens ist inzwischen deutlich geworden, dass Angreifer nicht immer wieder auf dieselben Methoden und Angriffsmaschen zurückgreifen. Stattdessen investieren sie in die Suche nach bislang unbekannten Schwachstellen in häufig genutzten älteren Infrastrukturelementen, die für breit gestreute Angriffe geeignet sind. Zweitens hatten die drei schlagzeilenträchtigsten Schwach stellen des Jahres 2014 zwei interessante Gemeinsamkeiten: Sie befanden sich in wichtigen Infrastrukturkomponenten des Internets und wiesen auf ein schmutziges Geheimnis der Anwendungsentwicklung hin – die Wiederverwendung von Quellcode. Wiederverwendung bedeutet, dass Entwickler Abschnitte aus vorhandenen in neue Anwendungen kopieren. Die Methode ist so alt wie das Programmieren selbst und kann dazu führen, dass völlig verschiedene Anwendungen dieselben Schwachstellen aufweisen. Die Bibliothek OpenSSL, in der die Sicherheitslücke Heartbleed gefunden wurde, ist ein hervorragendes Beispiel für diese Praxis. Der betroffene Code galt als zuverlässig und praxiserprobt und wurde daher oft nicht einmal getestet. Doch dann wurde eine neue Schwachstelle in dieser Bibliothek entdeckt und Entwickler weltweit mussten so schnell wie möglich prüfen, ob ihr wiederverwendeter Code sicher war. Drittens bieten immer mehr Unternehmen im Rahmen soge nannter Bug-Bounty-Programme Prämien für das Finden und Melden von Fehlern in ihrer Software an. Gleichzeitig drohen für die Suche nach Schwachstellen keine Gefängnisstrafen mehr.16 Es gibt also mehr Anreize für die Suche nach Schwachstellen und weniger Gründe, sich bei einer unverantwortlichen Preisgabe oder sogar eindeutig gewinnsüchtigem Verhalten vor negativen Konsequenzen zu fürchten. 16 Hoffentlich werden in Zukunft auch Sicherheits- und Abwehr maßnahmen weiterentwickelt und konsequenter eingesetzt werden. Schließlich wird den meisten IT-Experten spätestens nach einigen Wochen durchgearbeiteter Nächte klar, wie vor teilhaft eine sorgfältige Planung ist. Auch die konsequente, unternehmensweite Durchsetzung von Richtlinien für die Konfiguration und das Einspielen von Patches trägt dazu bei, Infrastrukturen weniger anfällig für Angreifer zu machen. Eine weitere Option für überlastete IT-Experten ist die Verlagerung der Infrastruktur in die Cloud. Wenn wir die Arbeit eines IT-Sicherheitsbeauftragten als ständigen Zyklus aus dem Auffinden und Beheben von Schwachstellen verstehen, ist die Existenz immer neuer (oder neu entdeckter) Schwachstellen die Grundlage für ein korrektes Verständnis der Bedrohungslage. Um als Sicherheitsexperten effektiver zu sein, sollten wir auch den Schutz vor und die Reaktion auf Angriffe und das Sammeln und Auswerten von Informationen in unseren Arbeitsalltag einbeziehen. Dazu müssen wir besser planen und testen, uns über aktuelle Bedrohungen auf dem Laufenden halten und unsere eigene Infrastruktur gut genug kennen, um einschätzen zu können, welche dieser Bedrohungen ihr gefährlich werden können. Wir müssen uns bewusst sein, dass die Struktur des Internets vermutlich noch immer von Schwachstellen geradezu durchlöchert ist. Deshalb müssen wir nicht nur wachsam, sondern auch für eine rasche und effektive prozessorientierte und programmatische Reaktion auf neu entdeckte Schwachstellen vorbereitet sein. Wenn wir dies versäumen, setzen wir unsere Zukunft aufs Spiel. http://www.wired.com/2013/03/att-hacker-gets-3-years Symantec Website Security Solutions I 20 Internetkriminalität und Malware 21 I Symantec Website Security Solutions Auf einen Blick 1 Ein konstantes Preisniveau auf dem Schwarzmarkt für Internetkriminelle deutet auf eine gleichbleibend hohe Nachfrage nach gestohlenen Identitä ten, Malware und kriminellen Services hin. 2 Im Vergleich zu 2013 ging die Anzahl der bekannten Schwachstellen 2014 3 Die Anzahl neuer Malware-Varianten stieg 2014 im Vergleich zum Vorjahr 4 5 zurück, doch der langfristige Trend ist weiterhin steigend. um 26 Prozent auf 317 256 956. Angriffe mit Ransomware nahmen zu und wurden brutaler. Die Anzahl der Ransomware-Angriffe, bei denen Dateien verschlüsselt wurden, stieg gegen über 2013 auf das 45-Fache. Die Anzahl der als Bots missbrauchten Computer ging 2014 um 18 Prozent zurück. Symantec Website Security Solutions I 22 Einführung Tag für Tag werden mithilfe gefälschter E-Mails und Websites vertrauliche Kontodaten gestohlen. Computer werden mit Malware infiziert und zum Versenden von Spam oder für Denial-of-Service-Angriffe missbraucht. Vielleicht noch schlimmer ist es, wenn Ransomware die Dateien eines Opfers verschlüsselt und seinen Computer unbrauchbar macht. E-Mails sind nach wie vor eine effektive Methode zur Ver breitung von Spam, Phishing und Malware und der Anteil der Malware enthaltenden E-Mails steigt weiter an. Internetkriminelle haben einen eigenen Schwarzmarkt, auf dem sie Malware, Services und gestohlene Kreditkarten kaufen und verkaufen und Botnetze mieten und vermieten können. In Zusammenarbeit mit Sicherheitsfirmen wie Symantec konnten Ermittler auch 2014 in verschiedenen Ländern Botnetze stören und Internetkriminelle verhaften. Dadurch ging das Ausmaß der Cyberkriminalität zeitweise spürbar zurück. Der Schwarzmarkt In zahlreichen „dunklen Ecken“ des Internets floriert ein Schwarzmarkt, auf dem gestohlene Daten, Malware und kriminelle Services gehandelt werden.17 Die Betreiber dieser illegalen Märkte nutzen Zugangsbeschränkungen und Anonymisierungsnetzwerke wie Tor, um ihre Aktivitäten vor der Öffentlichkeit zu verbergen.18 Wie in allen Märkten weisen Preisschwankungen auf Veränderungen bei Angebot und Nachfrage hin. E-Mails sind deutlich und Kreditkartendaten unwesentlich billiger geworden, während Kontodaten stabil blieben. Einige dieser Märkte gibt es seit mindestens zehn Jahren, doch Beobachtungen von Symantec zeigen, dass alle dort tätigen Akteure immer professioneller agieren. Der Preis für Produkte und Services, die dem Käufer einen direkten finanziellen Gewinn bieten, bleibt stabil.19 Ein Toolkit für Drive-by-Downloads mit Aktualisierungen und Support rund um die Uhr kann beispielsweise für 100 bis 700 US-Dollar pro Woche gemietet werden. Eine sechs Monate lang gültige „Lizenz“ für die als SpyEye oder Trojan. SpyEye bekannte Malware für Angriffe auf Online-BankingSitzungen kostet 150 bis 1250 US-Dollar und DDoS-Angriffe können für 10 bis 1000 US-Dollar pro Tag in Auftrag gegeben werden.20 Internetkriminelle können auch einsatzbereite Malware, Kits für Webangriffe und Schwachstellendaten „von der Stange“ kaufen. Es gibt sogar Malware-as-a-Service-Angebote mit einer regelrechten Support-Infrastruktur für Betrugsversuche im Internet. Diese Märkte ermöglichen Internetkriminellen eine gefährliche Spezialisierung. Während einige sich auf die Entwicklung von Viren und Trojanern konzentrieren, perfektionieren andere die Verbreitung von Malware, den Einsatz von Botnetzen oder die Ausnutzung gestohlener Kreditkartendaten. Schwarzmarktpreise für Kreditkartendaten aus verschiedenen Ländern http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 20 http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services 17 18 19 23 I Symantec Website Security Solutions Schwarzmarktpreise für gestohlene Daten 1000 gestohlene E-Mail-Adressen 0,50 bis 10 USD Spam, Phishing Kreditkartendaten 0,50 bis 20 USD illegale Einkäufe eingescannte echte Pässe 1 bis 2 USD Identitätsdiebstahl gestohlene Konten in Online-Spielen 10 bis 15 USD illegaler Erwerb virtueller Güter maßgeschneiderte Malware 12 bis 3500 USD Umleitung von Online-Zahlungen, Bitcoin-Diebstahl 1000 Follower in einem sozialen Netzwerk 2 bis 12 USD Generieren von Interesse bei Besuchern gestohlene CloudKonten 7 bis 8 USD Hosten eines Befehls- und Steuerungsservers 1 Million nachweis bar versandter Spam-E-Mails 70 bis 150 USD Spam, Phishing registrierte und aktivierte russische SIM-Karte für ein Handy 100 USD Betrug Quelle: Symantec Symantec Website Security Solutions I 24 Malware Ende 2013 verhafteten russische Ermittler „Paunch“, den mutmaßlichen Autor des Exploit-Kits Blackhole. Dies stellte einen kleinen Sieg im langen Kampf gegen Malware dar, da Blackhole bei einem großen Teil der Internetangriffe eingesetzt worden war.21,22 Natürlich wurde die so entstandene Marktlücke schnell von anderen Kits für Webangriffe gefüllt. Malware für den Diebstahl von Bankkontendaten ist nach wie vor weit verbreitet. Im Jahr 2014 erschlossen Kriminelle sich neue „Märkte“, indem sie beispielsweise mit dem Banking-Trojaner Snifula japanische Finanzinstitute angriffen.23 Im Nahen Osten wurde erstmals eine einheimische Malware namens njRAT beobachtet.24 Im Oktober enthielten nur sieben Prozent der für Betrugs versuche verwendeten E-Mails einen Link zu einer schädlichen Website. Im November stieg dieser Anteil jedoch auf 41 Prozent an. Anfang Dezember wurde ein weiterer Anstieg beobachtet, vermutlich aufgrund einer Welle von SocialEngineering-Nachrichten, darunter angebliche E-Mail- Benachrichtigungen über ein eingegangenes Fax oder eine Nachricht auf dem Anrufbeantworter. Der in diesen E-Mails enthaltene Link nutzte eine gekaperte Domäne und führte zu einer mit der Skriptsprache PHP erstellten Landing Page. Wenn ein Empfänger auf diesen Link klickte, wurde Malware wie Downloader.Ponik oder Downloader.Upatre heruntergeladen. Beides sind bekannte Trojaner, die dazu dienen, bereits gekaperte Computer mit zusätzlicher Malware wie dem Datenstehler Trojan.Zbot (auch als „Zeus“ bekannt) zu infizieren.25 Insgesamt ging die Anzahl der Malware verbreitenden E‑Mails im Vergleich zum Rekordjahr 2013 jedoch zurück. Neue (im genannten Jahr erstellte) Malware-Varianten Quelle: Symantec I .cloud 2014 2013 317 256 956 251 789 458 +26 % Im Jahr 2014 wurden 317 Millionen neue Malware-Komponenten erstellt, also fast eine Million pro Tag. Damit sind nun insgesamt 1,7 Milliarden Malware-Komponenten verfügbar. Anteil der E-Mails mit Link zu Malware statt Malware-Anhang Quelle: Symantec I .cloud 12 % –13 % 25 % 2014 +2 % 23 % 2013 http://en.wikipedia.org/wiki/Blackhole_exploit_kit http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/ http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions 24 http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene 25 http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics 21 22 23 25 I Symantec Website Security Solutions 2012 Anteil der E-Mails, die Malware enthalten (insgesamt) 1 244 1 196 von 1 291 von 2014 von 2013 2012 Quelle: Symantec I .cloud Anteil der per E-Mail verbreiteten Malware, die in einem Link und nicht in einem Anhang verborgen war (nach Monat) 60 50 % 40 30 20 10 0 J M M J S N J M 2012 Quelle: Symantec I .cloud M J S N J M 2013 M J S N 2014 12 Prozent der 2014 zur Verbreitung von Malware genutzten E-Mails enthielten einen schädlichen Link anstelle eines MalwareAnhangs. Zum Vergleich: Im Jahr 2013 lag dieser Anteil bei 25 Prozent. Anteil der E-Mails, die einen Virus enthielten, 2012–2014 100 150 1 von 200 250 300 350 400 J Quelle: Symantec I .cloud M M J 2012 S N J M M J 2013 S N J M M J S N 2014 Symantec Website Security Solutions I 26 Ransomware Im Jahr 2013 wurden 4,1 Millionen Angriffe mit Ransomware beobachtet, 2014 waren es mit 8,8 Millionen mehr als doppelt so viele. Noch beunruhigender ist der Anstieg dateiverschlüsselnder Malware. Im Jahr 2013 beobachtete Symantec 8274 Angriffe mit Krypto-Ransomware, 2014 waren es mit 373 342 über 45-mal so viele. Ransomware kommt in vielen Gewändern daher und kein Betriebssystem kann seine Benutzer effektiv vor ihr schützen.26 Obwohl Sicherheitsexperten nach wie vor davon abraten, die von den Kriminellen geforderten Lösegelder zu zahlen, sehen viele Unternehmen und Verbraucher sich aus den verschiedensten Gründen gezwungen, dies zu tun. Das bedeutet natürlich, dass diese Angriffsform für Internetkriminelle profitabel bleibt und weiterhin verwendet wird. Anders ausgedrückt: 2013 war Krypto-Ransomware noch recht ungewöhnlich. Sie kam bei jedem 500. Angriff mit Ransomware zum Einsatz, das entsprach einem Anteil von 0,2 Prozent. Bis Ende 2014 stieg dieser Anteil auf 4 Prozent oder einem von 25 Angriffen mit Ransomware an. Für die Opfer ist Krypto-Ransomware sicher eine der perfi desten Angriffsformen überhaupt. Kriminelle verschlüsseln beispielsweise Familienfotos, Hausarbeiten, Musik oder den noch unvollendeten Roman des Opfers auf dessen Festplatte und verlangen ein Lösegeld für das Entschlüsseln dieser Dateien. Die beste und bislang einzig wirksame Gegenmaßnahme ist das separate Aufbewahren von Sicherheitskopien, vorzugsweise offline. Ransomware-Angriffe je Monat, 2013/14 900 800 700 Tausend 600 500 400 300 200 100 J F M A M J J A S O N D J 2013 Quelle: Symantec I Response 26 http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0 27 I Symantec Website Security Solutions F M A M J J 2014 A S O N D Krypto-Ransomware Wie bereits erwähnt stellte Symantec 2014 über 45-mal so viele Angriffe mit Krypto-Ransomware fest wie im Vorjahr.27 Die erstmals im März 2014 beobachtete Malware Crypto Defense ist ein gutes Beispiel dafür, wie gefährlich KryptoRansomware sein kann und wie schwierig es ist, die dafür verantwortlichen Erpresser zu finden. CryptoDefense wird als E-Mail-Anhang verbreitet und verschlüsselt die Dateien der Opfer mit asymmetrischer Kryptografie und dem starken Chiffrierverfahren RSA 2048. Die beobachteten Varianten gehören verschiedenen MalwareFamilien an, darunter Cryptolocker28, CryptoDefense29 und Cryptowall30, gehen jedoch nach dem gleichen Schema vor: Statt den Desktop des Opfers durch Verschlüsseln unbrauch bar zu machen, werden persönliche Dateien verschlüsselt und ein privater Schlüssel zu ihrer Entschlüsselung auf einer Website abgelegt, wo das Opfer ihn gegen ein Lösegeld abrufen kann. Diese Angriffsform ist also noch brutaler als herkömmliche Ransomware. Dann wird das Opfer aufgefordert, eine Website im Anony misierungsnetzwerk Tor31 aufzurufen und dort ein Lösegeld in Bitcoins zu zahlen. Die Nutzung von Anonymisierungs netzwerken und Bitcoins ist typisch für Krypto-RansomwareAngriffe und macht es ungemein schwierig, die Erpresser zu finden und auszuschalten. Angreifer nutzen verschiedene Methoden, um die Computer ihrer Opfer zu infizieren. Am häufigsten wird Krypto-Ransomware als E-Mail-Anhang verschickt und dabei als Stromrech nung, Zahlungsaufforderung oder Bild getarnt. Oft wird Krypto-Ransomware von einem Kriminellen verbreitet und von einem anderen ausgeführt. Das ist nur ein Beispiel für die zunehmende Spezialisierung in der Internetkriminalität, wo das Infizieren einer bestimmten Anzahl von Computern inzwi schen als Service für einen Pauschalpreis angeboten wird. Das Risiko für die Kriminellen ist also gering, ihr Profit dagegen beträchtlich. Schätzungen von Symantec zufolge bringt CryptoDefense seinen Betreibern über 34 000 US-Dollar pro Monat ein.32 Damit ist Krypto-Ransomware derzeit die profitabelste Form der Internetkriminalität. Angriffe mit Krypto-Ransomware 2013/14 80 72 70 62 Tausend 60 50 43 48 46 40 36 30 24 0,2 % über das ganze Jahr 20 10 J F M A M J J 2013 A S O N D 6 5 J F 10 12 9 M M A J J 2014 A S O N D Quelle: Symantec I Response Im Jahr 2013 wurde bei 0,2 Prozent aller Ransomware-Angriffe Krypto-Ransomware verwendet. Bis zum Jahresende 2014 stieg dieser Anteil auf 4 Prozent. http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99 Ebd. 30 Ebd. 31 Tor ist eine Kombination aus Software und einem offenen Netzwerk, mit der die Benutzer ihre Anonymität und Privatsphäre im Internet schützen und Dritte daran hindern können, ihre Online-Transaktionen zu analysieren. Die Betreiber von Tor sind keine Kriminellen, doch ihr Angebot kommt mitunter – wie in diesem Fall – auch Kriminellen zugute. 32 http://www.symantec.com/connect/blogs/cryptodefenseSymantec Website Security Solutions I 28 cryptolocker-imitator-makes-over-34000-one-month 27 28 29 Bots und Botnetze Gegenüber 2013 ging die Anzahl der als Bots missbrauchten Computer im Jahr 2014 um 18 Prozent zurück. Das liegt zum großen Teil daran, dass das FBI, das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität EC3 und weitere Ermittlungsbehörden in verschiedenen Ländern mit Symantec und anderen Technologieunternehmen zusammenarbeiteten, um Botnetze zu finden und abzuschal ten. Ihr vielleicht spektakulärster Erfolg des Jahres 2014 war das Abschalten des Botnetzes Gameover Zeus, das seit seiner Inbetriebnahme im Jahr 2011 Millionen von Computern infiziert hatte.33, 34 Gameover Zeus ist jedoch nur ein Beispiel für die effektive Zusammenarbeit zwischen IT-Unternehmen und Ermittlungsbehörden, die in den vergangenen zwei Jahren zum Abschalten einer ganzen Reihe von Botnetzen führte.35, 36 Kriminelle Aktivitäten nach Ursache: Bots, 2013/14 Land/Region Rang 2014 Anteil der Bots 2014 Rang 2013 Anteil der Bots 2013 China 1 16,5 % 2 9,1 % USA 2 16,1 % 1 20,0 % Taiwan 3 8,5 % 4 6,0 % Italien 4 5,5 % 3 6,0 % Ungarn 5 4,9 % 7 4,2 % Brasilien 6 4,3 % 5 5,7 % Japan 7 3,4 % 6 4,3 % Deutschland 8 3,1 % 8 4,2 % Kanada 9 3,0 % 10 3,5 % Polen 10 2,8 % 12 3,0 % Quelle: Symantec I GIN Die USA und China sind zwei der bevölkerungsreichsten Länder weltweit und haben eine hohe Konzentration an Internetnutzern. Im Jahr 2013 nahmen die USA in der Rangliste der Länder mit den meisten als Bots missbrauchten Computer noch den zweiten Platz hinter China ein, doch 2014 überholten sie das Land der Mitte. Auch das kann vermutlich auf das Abschalten des Botnetzes Gameover Zeus zurückgeführt werden. 33 http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network 34 http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/ 35 http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets 36 http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption 29 I Symantec Website Security Solutions Anzahl der als Bots missbrauchten Computer −18 % 1,9 Millionen 2,3 Millionen −33 % 3,4 Millionen 2014 2013 2012 Quelle: Symantec I GIN Das Abschalten des Botnetzes Gameover Zeus durch die „Operation Tovar“ trug wesentlich dazu bei, dass die Anzahl der als Bots missbrauchten Computer 2014 stark zurückging. Gameover Zeus war vor allem für Angriffe auf Online-Banking-Transaktionen und zum Verbreiten der Ransomware CryptoLocker benutzt worden.37 Anteil am Spamvolumen Geschätztes Spamvolumen pro Tag Die zehn führenden Spam versendenden Botnetze 2014 Kelihos 51,6 % 884 044 Spanien 10,5 % USA 7,6 % Argentinien 7,3 % Unbekannt/ Sonstige 25,3 % 432 594 USA 13,5 % Brasilien 7,8 % Spanien 6,4 % Gamut 7,8 % 133 573 Russland 30,1 % Vietnam 10,1 % Ukraine 8,8 % Cutwail 3,7 % 63 015 Russland 18,0 % Indien 8,0 % Vietnam 6,2 % Darkmailer 5 1,7 % 28 705 Russland 25,0 % Ukraine 10,3 % Kasachstan 5,0 % Darkmailer 0,6 % 9596 Russland 17,6 % Ukraine 15,0 % China 8,7 % Snowshoe 0,6 % 9432 Kanada 99,9 % USA 0,02 % Japan 0,01 % Asprox 0,2 % 3581 USA 76,0 % Kanada 3,4 % Großbritannien 3,3 % Darkmailer 3 0,1 % 1349 USA 12,7 % Polen 9,6 % Südkorea 9,1 % Grum 0,03 % 464 Kanada 45,7 % Türkei 11,5 % Deutschland 8,5 % Name des Botnetzes Standort der meisten missbrauchten Computer 1. Platz 2. Platz 3. Platz Quelle: Symantec I .cloud 37 http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network Plug-in Vulnerabilities by Month Symantec Website Security Solutions I 30 OS X im Visier In den letzten Jahren reagierte Apple mit längst überfälligen Sicherheitsfunktionen auf die Bedrohungen, denen das Be triebssystem OS X seit einiger Zeit ausgesetzt gewesen war. XProtect durchsucht heruntergeladene Dateien nach Malware und warnt den Benutzer, wenn er eine Datei herunterlädt, die Apple als schädlich bekannt ist. GateKeeper nutzt Code Signing, um Benutzervorgaben darüber durchzusetzen, welche Apps in OS X ausgeführt werden dürfen. Der Benutzer kann beispielsweise angeben, dass nur Apps aus dem offiziellen Mac App Store auf seinem Computer installiert werden dürfen. Alternativ dazu kann auch das Installieren von Apps erlaubt werden, deren Entwickler von Apple als vertrauens würdig eingestuft wurden oder die ihre Apps signieren. Dank dieser Sicherheitsfunktionen ist es für Angreifer nun schwerer, in OS X Fuß zu fassen. Einige sind aber nach wie vor erfolgreich. Wie alle signaturbasierten Sicherheitslösungen kann XProtect schädliche Apps nur blockieren, wenn eine entsprechende Signatur vorliegt. Oft werden die Signaturen jedoch erst aktualisiert, wenn zahlreiche Computer bereits infiziert sind. Zudem werden immer wieder schädliche Apps gefunden, die anscheinend von seriösen Entwicklern signiert wurden. Grund dafür sind von Kriminellen gestohlene oder gefälschte Code-Signing-Schlüssel. Die 2014 am häufigsten beobachteten Angriffsmaschen in OS X ähnelten Bedrohungen, die bereits aus anderen Betriebs systemen bekannt sind. Macs werden inzwischen ebenso per Browser mit Malware infiziert wie andere Computer. Der Trojaner Flashback infizierte beispielsweise allein im Jahr 2012 mehr als 600 000 Macs und ist noch immer nicht ausgemerzt. Varianten dieses Trojaners nehmen in der Top10-Liste der am häufigsten blockierten Malware 2014 die Plätze 3 und 10 ein. Auch Malware, mit der die Konfiguration von DNS, Browsern oder Suchfunktionen auf OS X-Systemen geändert werden kann, sind auf dieser Liste vertreten. Zwei berüchtigte Bedrohungen wiesen auf ein Problem hin, das im Zusammenhang mit OS X besonders brisant ist: Raubkopien von OS X-Apps, die Malware enthalten. 38 http://www.thesafemac.com/iworm-method-of-infection-found/ 31 I Symantec Website Security Solutions OSX.Wirelurker ist ein Trojaner, mit dem sowohl Macs mit dem Betriebssystem OS X als auch Geräte mit dem Betriebssystem iOS angegriffen werden können, die mit einem infizierten Computer verbunden sind. Wirelurker erregte Aufmerksamkeit, als es in 467 OS X-Anwendungen in einem App-Store in China gefunden wurde, der von einem Drittan bieter gehostet wurde. Diese schädlichen Apps wurden über 356 000 Mal heruntergeladen, bevor Apple die Initiative er griff und diese Apps blockierte, sodass sie nicht mehr ausgeführt werden können. OSX.Luaddit ist eine auch als iWorm bekannte Malware, die infizierte Computer in ein OS X-Botnetz einbindet. Diese Bedrohung wurde in Raubkopien mehrerer kommerzieller Produkte gefunden, darunter Adobe Photoshop, Microsoft Office und Parallels. Diese Raubkopien wurden auf TorrentSites angeboten und Tausende Mal heruntergeladen. Eine weitere erwähnenswerte Bedrohung ist Malware für den Bitcoin-Diebstahl, darunter OSX.Stealbit.A und OSX.Stealbit.B. Diese Programme überwachen das Opfer beim Internetsurfen und stehlen seine Anmeldedaten, wenn es eine bekannte Bitcoin-Website besucht. OSX.Stealbit.B gehörte 2014 zu den fünf am häufigsten beobachteten OSX-Bedrohungen. OSX.Slordu ist ein Trojaner, der auf infizierten Computern eine Hintertür öffnet und anscheinend auch Daten stiehlt. Auffällig ist, dass es sich hier um eine für OS X angepasste Variante einer weit verbreiteten Hintertür-Malware für Windows zu handeln scheint. OSX.Ventir ist eine modular aufgebaute Malware, die durch Komponenten zum Öffnen einer Hintertür, Aufzeichnen von Tastaturanschlägen und anderen Spionagefunktionen erwei tert werden kann. Ein Angreifer muss also nur die Kompo nenten herunterladen und auf einem gehackten Computer installieren, die er für den geplanten Angriff benötigt. OSX.Stealbit.A überwacht das Opfer beim Internetsurfen und stiehlt seine Anmeldedaten, wenn es eine bekannte Bitcoin-Website besucht. Die zehn am häufigsten blockierten Malware-Programme für Mac OS X, 2013/14 Platz Name der Malware Anteil an den 2014 beobachteten Bedrohungen Name der Malware Anteil an den 2013 beobachteten Bedrohungen 1 OSX.RSPlug.A 21,2 % OSX.RSPlug.A 35,2 % 2 OSX.Okaz 12,1 % OSX.Flashback.K 10,1 % 3 OSX.Flashback.K 8,6 % OSX.Flashback 9,0 % 4 OSX.Keylogger 7,7 % OSX.HellRTS 5,9 % 5 OSX.Stealbit.B 6,0 % OSX.Crisis 3,3 % 6 OSX.Klog.A 4,4 % OSX.Keylogger 3,0 % 7 OSX.Crisis 4,3 % OSX.MacControl 2,9 % 8 OSX.Sabpab 3,2 % OSX.FakeCodec 2,3 % 9 OSX.Netweird 3,1 % OSX.Iservice.B 2,2 % 10 OSX.Flashback 3,0 % OSX.Inqtana.A 2,1 % Quelle: Symantec I SDAP Symantec Website Security Solutions I 32 Plug-in Vulnerabilities by Month Malware auf virtuellen Systemen Die Virtualisierung schützt nicht vor Malware. Immer mehr Malware-Programme können erkennen, ob sie auf einem physischen oder virtuellen System laufen, und ihr Verhalten entsprechend anpassen, um unentdeckt zu bleiben.39 Mehrere Jahre lang überprüfte ein relativ stabiler Anteil von knapp 18 Prozent aller MalwareProgramme, ob sie auf einem VMware-System ausgeführt werden. Anfang 2014 stieg dieser Anteil sprunghaft auf 28 Prozent an.40 Diese Funktion wird nicht nur genutzt, um die Malware vor Sicherheitsexperten zu verbergen. Malware, die auf einer virtuellen Maschine installiert wurde, kann andere virtuelle Maschinen auf derselben Hardware oder sogar den Hypervisor infizieren und damit nicht nur das Risiko für die Benutzer enorm erhöhen, sondern auch das Entfernen der Malware erschweren.41 Das wurde beispielsweise bei W32.Crisis beob achtet, einer Malware, die gezielt nach virtuellen Maschinen auf einem Host-Computer sucht und sie infiziert.42 Für IT-Manager stellen Angriffe dieser Art ein besonderes Risiko dar. Sie lassen sich kaum mit Intrusion-DetectionSystemen, Firewalls oder anderen herkömmlichen Lösungen zur Abwehr von Angriffen an der Netzwerkgrenze erkennen, die eine virtuelle Maschine als Sandbox nutzen, um Malware aufzudecken. Zudem werden virtuelle Maschinen oft weniger gut geschützt, weil die Verantwortlichen von der (irrtümlichen) Annahme ausgehen, dass Malware keine Gefahr für virtuelle Maschinen darstellt. Die Netzwerkhardware, Hypervisoren und softwaredefinierten Netzwerke eines Unternehmens dürfen bei der Sicherheitsplanung und dem Einspielen von Patches auf keinen Fall übersehen werden. http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines Ebd. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf 42 Ebd. 39 40 41 33 I Symantec Website Security Solutions Digitale Erpressung: eine kurze Geschichte der Ransomware Peter Coogan Das ganze Jahr 2014 hindurch machte Krypto-Ransomware immer wieder Schlagzeilen. Im Gegensatz zu herkömmlichen Ransomware-Varianten versucht diese jüngste und bislang gefährlichste Form der digitalen Erpressung nicht, ganze Systeme unbrauchbar zu machen. Stattdessen werden einzelne Dateien auf den infizierten Geräten verschlüsselt. In den meisten Fällen sind die Opfer nicht in der Lage, sie wiederherzustellen. Wie bei allen Ransomware-Angriffen soll das Opfer dann ein Lösegeld zahlen, um seine Daten zu „befreien“. Diese Malware-Form gibt es seit über zehn Jahren, doch seit einigen Jahren nimmt sie immer mehr überhand. Das liegt vermutlich daran, dass zahlreiche Internetkriminelle von gefälschter Antivirensoftware auf die lukrativere Ransomware umsteigen. Die Entwicklung von gefälschter Antivirensoftware über Ransomware zu Krypto-Ransomware ist klar erkennbar, doch Malware-Entwickler ruhen sich nur selten auf ihren Lorbeeren aus. Diese digitalen Erpresser suchen vermutlich bereits nach neuen Bereichen, in denen sie ihr Unwesen treiben können. Gefälschte Antivirensoftware und andere angebliche Sicherheitslösungen täuschen dem Benutzer vor, dass sein System Malware enthält, und bieten an, diese zu entfernen – natürlich gegen ein Entgelt. Betrugsversuche dieser Art gibt es schon lange. Sie erreichten ihren Höhepunkt um das Jahr 2009, als ein Bericht von Symantec 43 Millionen Installationsversuche durch 250 verschiedene vorgebliche Sicherheitsprogramme zählte, die von den Opfern für 30 bis 100 US-Dollar „gekauft“ werden sollten.43 Ransomware ist eine Malware-Variante, mit der infizierte Computer für den Besitzer unbrauchbar gemacht werden. Daraufhin zeigt die Ransomware eine Nachricht an, in der ein Lösegeld gefordert und das Entfernen der Ransomware versprochen werden. Symantec wies 2012 auf die zuneh mende Bedrohung durch Ransomware hin. Die Erpresser verlangten in Europa zwischen 50 und 100 Euro und in den USA bis zu 200 US-Dollar, um ein System wieder brauchbar zu machen.44 Nach dem Auftauchen und augenscheinlichen Erfolg des inzwischen berüchtigten Trojan.Cryptolocker45 im Jahr 2013 stiegen mehrere Malware-Autoren auf Krypto-Ransomware um. Infolgedessen wurden 2014 eine ganze Reihe neuer Krypto-Ransomware-Familien beobachtet, die den altbekannten Erpressertaktiken mit neuen Methoden und Ausweichmanövern auf modernen Plattformen zum Erfolg verhelfen sollen. Zwei der 2014 am häufigsten beobachteten Vertreter dieser Familie waren Trojan.Cryptodefense46 und sein Ableger Cryptowall. CryptoDefense tauchte erstmals im Februar 2014 auf. Die Angreifer nutzten Tor und verlangten Bitcoins, um unerkannt zu bleiben, verschlüsselten Dateien mit RSA 2048 und setzten zahlungsunwillige Opfer unter Druck. Die ursprüngliche Lösegeldforderung von 500 Euro oder US-Dollar wurde verdoppelt, wenn das Opfer nicht schnell genug zahlte. Analysten stellten jedoch schon bald fest, dass den MalwareAutoren bei der Implementierung der Verschlüsselung ein Fehler unterlaufen war: Der zum Entschlüsseln der Dateien erforderliche Schlüssel wurde auf dem Computer des Opfers gespeichert. Nachdem diese Information veröffentlicht wur de, behoben die Malware-Autoren den Fehler und boten die korrigierte Version unter dem neuen „Markennamen“ Cryptowall an. Seitdem wurde Cryptowall weiterentwickelt, um es noch aggressiver zu machen: Die Malware verschafft sich nun zusätzliche Zugriffsrechte, erkennt Malware-Scans und nutzt das anonyme Netzwerk Invisible Internet Project (I2P) für den Datenaustausch mit den Angreifern. Ermittlern zufolge brachte Cryptowall seinen Betreibern allein im ersten Monat mindestens 34 000 US-Dollar47 und in den ersten sechs Monaten über eine Million US-Dollar ein.48 PC mit verschiedenen Versionen des Betriebssystems Windows sind schon seit geraumer Zeit lukrative Ziele für Ransomware-Angreifer. Das wird wohl auch in absehbarer Zukunft so bleiben. Dennoch begannen die Angreifer 2014, sich neue Plattformen für die digitale Erpressung zu erschlie ßen. Die kriminelle Bande Reveton brachte Ransomware für Android-Geräte in Umlauf, die unter den Namen Android. Lockdroid.G49 und Koler bekannt wurde. Mithilfe eines TDS (Traffic Distribution System) konnte die Gruppe auf drei Ziele gerichtete Angriffe durchführen. Wenn ein Opfer eine von den Angreifern kontrollierte Website aufrief und bestimmte andere Bedingungen erfüllte, wurde die Browsersitzung auf eine plattformspezifische Variante der Ransomware umge leitet. http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf 45 http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99 46 http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99 47 http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month 48 http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/ 49 http://www.symantec.com/security_response/writeup.jsp?docid=2014-050610-2450-99 Symantec Website Security Solutions 43 44 I 34 Damit war Ransomware plötzlich plattformübergreifend einsetzbar. Benutzer von Android wurden auf eine Webseite geleitet, auf der Android.Lockdroid.G heruntergeladen wurde, Benutzer von Internet Explorer auf eine Seite, auf der das Angriffs-Toolkit Angler ihr System mit Trojan.Ranslomlock.G50 infizierte und Benutzer anderer Browser in den Betriebssystemen Windows, Linux und OS X auf die Website von Browlock51, einer anderen Ransomware-Variante, die im Webbrowser verfügbare Tools nutzt, um das Opfer am Verlassen der Website zu hindern und zum Zahlen eines Lösegelds zu bewegen. Im Juni 2014 wurde Android.Simplocker52 aufgedeckt, die erste Dateien verschlüsselnde Ransomware für Android. Sie zeigte zunächst eine Lösegeldforderung auf Russisch an, doch im Juli 2014 erschien die Version Android. Simplocker.B53 mit einer englischen Lösegeldforderung und einem angeblich vom FBI stammenden Schreiben als Aufhänger. Im Oktober 2014 erschien die auch als Porndroid bekannte Version Android.Lockdroid.E54, ebenfalls mit einer angeblichen FBI-Ermittlung als Aufhänger. Diese fotografierte das Opfer mit seiner eigenen Webcam und zeigte das Foto neben der Lösegeldforderung an. Auch Android.Lockdroid wurde weiterentwickelt und verfügt inzwischen über weitere Social-Engineering-Methoden und eine Wurmfunktion, mit der es sich eigenständig per SMS zu allen Kontakten im Adressbuch eines infizierten Geräts schicken kann. Auf der Suche nach weiteren Plattformen für Erpressungsversuche stießen Ransomware-Autoren auf NAS-Geräte (Network Attached Storage). Da auf diesen Geräten zahlreiche Dateien gespeichert werden, sind auch sie ein lukratives Ziel. Mit dem Trojan.Synolocker55 nutzten Kriminelle eine bis dahin unbekannte Schwachstelle im DiskStation Manager des NAS-Anbieters Synology aus, um sich Zugriff auf NAS-Geräte zu verschaffen, sämtliche Dateien zu verschlüsseln und ein Lösegeld für das Entschlüsseln zu verlangen. Diese Schwachstelle wurde inzwischen behoben, doch dieser Fall macht deutlich, dass auf Ransomware spezialisierte Kriminelle ständig auf der Suche nach neuen potenziellen Opfern sind. Ransomware „Porndroid“ für Android-Geräte Warum wird Ransomware so schnell und intensiv weiterentwickelt? Mit Löse geldern zwischen 100 und 500 US-Dollar je Opfer sind Ransomware-Angriffe äußerst einträglich. Zudem wurden Lösegeldzahlungen in Bitcoins im Verlauf des Jahres 2014 zunehmend zur Norm, insbesondere bei neuer Ransomware. Die Anonymität dieser Internetwährung erleichtert es den Kriminellen, unerkannt zu bleiben und ihre Beute durch diverse Geldwäscheverfahren unauffindbar zu machen. Neben der bereits beschriebenen Welle neuer Ransomware-Familien beobach tete Symantec auch ein steigendes Angriffsvolumen für die einzelnen Varian ten. Im Vergleich zu 2013 stieg die Anzahl der Angriffe mit Ransomware um 113 Prozent. Angesichts der Einträglichkeit dieser Angriffsform und der stei genden Anzahl neuer Malware-Varianten ist damit vermutlich noch nicht der Höhepunkt dieser Entwicklung erreicht. Im Gegenteil: Ein weiteres starkes Wachstum in diesem Bereich ist nur zu wahrscheinlich. http://www.symantec.com/security_response/writeup.jsp?docid=2011-051715-1513-99 http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware http://www.symantec.com/security_response/writeup.jsp?docid=2014-060610-5533-99 53 http://www.symantec.com/security_response/writeup.jsp?docid=2014-072317-1950-99 54 http://www.symantec.com/security_response/writeup.jsp?docid=2014-103005-2209-99 55 http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99 50 51 52 35 I Symantec Website Security Solutions Gezielte Angriffe Symantec Website Security Solutions I 36 Auf einen Blick 1 Im Jahr 2014 wurden mehr Fälle staatlich gesponserter Internet spionage aufgedeckt als in früheren Jahren. 2 Den Angreifern steht immer ausgefeiltere Malware zur Verfügung, die auf professionelle Softwaretechnik und Entwicklungsmethoden schließen lässt. 3 Mit Kampagnen wie Dragonfly, Waterbug und Turla wurden Industrie anlagen, Botschaften und andere empfindliche Ziele angegriffen. 4 Die Anzahl der Spear-Phishing-Angriffe stieg 2014 um acht Prozent an, während die Anzahl der Angriffe pro Tag insgesamt zurückging. Das deutet darauf hin, dass Angreifer ihre potenziellen Opfer nun für längere Zeit ausspionieren, um sie dann gezielt mit einer besonders erfolgversprechenden Methode anzugreifen. 37 I Symantec Website Security Solutions Einleitung Im Verlauf des Jahres 2014 analysierte Symantec mehrere Fälle von Internetspiona ge unter besonderer Berücksichtigung der Methoden, die bei Angriffen auf Tausende empfindlicher, aber gut geschützter Unternehmen und Organisationen weltweit ein gesetzt wurden. Die Ergebnisse zeigen, wie beunruhigend professionell viele Internetkriminelle inzwischen sind. Stellen Sie sich vor, Sie seien CISO eines osteuropäischen diplomatischen Korps. Im Verlauf des Jahres 2014 erhärtet sich Ihr Verdacht, dass viele Ihrer Botschaften in Europa mit einem Backdoor-Trojaner infiziert wurden. Sie beauftragen eine Sicherheitsfirma mit einer genaueren Untersuchung und Ihre schlimmsten Befürchtungen werden bestätigt. Die Untersuchung zeigt, dass eine Reihe Ihrer Mitarbeiter SpearPhishing-E-Mails erhielten, die genau auf die jeweiligen Empfänger zugeschnitten waren. Mit diesen E-Mails wurden die Computer der betroffenen Mitarbeiter mit einem Troja ner infiziert. Neben diesen sehr sorgfältig formulierten E-Mails nutzten die Angreifer auch Zero-Day- und WateringHole-Angriffe. So konnten sie unbemerkt über 4500 Computer in mehr als 100 Ländern infizieren.56 Das vielleicht Schlimmste an diesem Szenario ist, dass es sich nicht um ein Gedankenspiel handelt, sondern um eine Beschreibung des Angriffs Waterbug. Dieser Angriff wies Ähnlichkeiten mit anderen gezielten Angriffen wie Turla und Regin auf. Aufgrund der Opfer und der äußerst ausgeklügelten Angriffsmethoden geht Symantec davon aus, dass eine staatlich gesponserte Gruppe für Waterbug verantwortlich war.57 56 57 Angesichts immer professionellerer Angriffe ist gute ITSicherheit heute unverzichtbar. Die Anwendung von Best Practices für die Internetsicherheit sollte daher die Norm sein. Angreifergruppen, die von verschiedenen Staaten großzügig finanziell unterstützt werden, sind bei Weitem nicht die einzige Bedrohung, der Unternehmen und staat liche Stellen ausgesetzt sind. Sogenannte patriotische Hacker, Hacktivisten, kriminelle Erpresser, Datendiebe und diverse andere Internetkriminelle setzen ähnliche Taktiken ein, obwohl sie über weniger Ressourcen und in der Regel weniger extensives Know-how verfügen. Bei E-Mail-basierten Angriffen hat sich 2014 nicht viel geändert. Webbasierte Angriffe werden dagegen immer ausgeklügelter. Bei Spionageangriffen kommen zunehmend Toolkits für Webangriffe zum Einsatz. Zudem wird meist nicht mehr nur eine Angriffsmasche, sondern eine Kombinationen aus mehreren Methoden verwendet. Finanziell motivierte Internetkriminelle nutzen schon seit vielen Jahren Toolkits für Webangriffe, doch ihr breiter Einsatz in der Internetspionage ist ein recht neues Phänomen. http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf Ebd. Symantec Website Security Solutions I 38 Internetspionage Sicherheitsexperten von Symantec waren 2014 fast acht Monate lang mit der Analyse der raffiniertesten Malware für die Internetspionage beschäftigt, die sie je gesehen hatten. Die leistungsstarken Tools der unter dem Namen Regin bekannten Malware wurden zum Ausspionieren von Regierungen, Infrastrukturbetreibern, Unternehmen, Wissenschaftlern und Privatpersonen benutzt. Bei Angriffen auf Betreiber von Telekommunikationsnetzen ging es den Angreifern offenbar darum, Anrufe mithören zu können, die durch die Infrastruktur dieser Unternehmen geroutet wurden.58 Regin ist äußerst komplex, mit einem gut getarnten, fünfstufigen Installationsprozess. Ein modulares Design ermöglicht das nachträgliche Hinzufügen und Entfernen bestimmter Funktionen. Weder die mehrstufige Installation noch das modulare Design sind neu, doch bei der Entwicklung von Regin kamen höchstwahrscheinlich moderne Softwaretechnik und professionelle Entwicklungsverfahren zum Einsatz. Die Malware enthält beispielsweise Dutzende Module für Aufgaben wie den Fernzugriff, das Speichern von Screenshots, Stehlen von Kennwörtern, Überwachen von Datenübertragungen und Wiederherstellen gelöschter Dateien.59 Die Entwicklung muss Monate, wenn nicht sogar Jahre ge dauert haben. Die Angreifer verfügen also über beachtliche Ressourcen. Regin ist perfekt für langfristige Überwachungs kampagnen geeignet. Der in die Entwicklung investierte Aufwand deutet auf einen Staat im Hintergrund hin. Vor Kurzem wurde eine großzügig mit Ressourcen ausge stattete Angreifergruppe entdeckt, die von Ermittlern „Equation Group“ getauft wurde.62 Die Ermittlungen zeigten, dass diese Gruppe 2014, aber auch schon in früheren Jahren, über hochgradig spezialisierte Angriffsmethoden verfügte. Doch das ist noch nicht alles: Internetspione entwickeln nicht nur ihre eigenen Werkzeuge ständig weiter, sondern nutzen auch zunehmend auf dem Schwarz markt erhältliche Angriffskits, Zero-Day-Angriffe und maßgeschneiderte Malware. Das Exposé über die Equation Group macht deutlich, wie professionell die Entwicklung von Spezialmalware heute verläuft. Internetspione nutzen anscheinend dieselben Best Practices wie seriöse Softwarehersteller. Symantec beobachtete 2014 noch eine zweite, ähnlich aufwendige Spionagekampagne, Turla.60 Dabei kamen ebenfalls Spear-Phishing- und Watering-Hole-Angriffe zum Einsatz (siehe unten). Turla richtete sich gegen staatliche Einrichtungen und Botschaften verschiedener früherer Ostblockländer. Nach der Installation von Turla konnten die Angreifer per Fernzugriff auf infizierte Computer zugreifen und dort Dateien kopieren und löschen, Verbindungen zu Servern herstellen u. a. m. Aufgrund der gewählten Angriffs ziele und der Komplexität der Malware geht Symantec auch in diesem Fall von einem staatlich gesponserten Angriff aus.61 http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance http://www.symantec.com/en/uk/outbreak/?id=regin http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats 62 http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more 58 59 60,61 39 I Symantec Website Security Solutions Cybersecurity in der Industrie Je mehr Geräte mit dem Internet verbunden sind, desto mehr potenzielle Einfalls tore für Angriffe und vielleicht sogar Sabotageversuche stehen Angreifern zur Auswahl. Das trifft insbesondere auf die in vielen industriellen Produktionsanlagen und Versorgungsunternehmen genutzten industriellen Steuerungssysteme (Industrial Control Systems, ICS) zu. Viele dieser Geräte sind internetfähig, weil dies die Überwachung und Steuerung erleichtert. Anzahl aufgedeckter Schwachstellen in ICS und SCADA-Systemen, 2012–2014 90 80 70 75 14 Schwachstellen 13 12 einzelne Anbieter 60 9 50 35 7 30 10 Quelle: Symantec I Deepsight 39 40 8 6 4 20 2 10 2012 2013 2014 Symantec beobachtete 2014 mehr Angriffe auf ICS als in früheren Jahren. Die Internetspionagekampagne Dragonfly richtete sich beispielsweise gegen eine ganze Reihe von Zielen, darunter Stromerzeuger, Betreiber von Stromversorgungsnetzen und Erdölleitungen sowie Hersteller von Industrieanlagen und -ausrüstungen.63 Die meisten Opfer waren in den USA, Spanien, Frankreich, Italien, Deutschland, der Türkei und Polen ansässig. Jeder Angriff auf ein ICS erinnert natürlich an Stuxnet und die Sabotage des iranischen Nuklearprogramms. Die Betreiber von Dragonfly sind jedoch, zumindest bislang, weniger aggressiv. Ihre vorrangigen Ziele scheinen Industriespionage und der langfristige Zugang zu den infizierten Systemen zu sein. Dadurch erlangen die gut ausgestatteten Angreifer natürlich umfassende Kenntnisse wichtiger industrieller Systeme, die sie – zumindest theoretisch – in die Lage versetzen, verheerende Sabotageakte durchzuführen, wenn sie oder ihre Hintermänner das wollen. Dragonfly besteht aus einer Kombination aus eigens erstellter Malware und auf russischsprachigen Schwarzmarktforen erhältlicher Standardmalware. Es wurde mithilfe von Spear-Phishing-E-Mails und webbasierten Watering-HoleAngriffen verbreitet, wobei zunächst gezielt kleinere und weniger gut geschützte Zulieferunternehmen der eigentlich anvisierten Opfer infiziert wurden. 63 64 Anzahl aufgedeckter Schwachstellen in ICS und SCADA-Systemen und Anzahl der betroffenen Anbieter pro Jahr ttp://www.symantec.com/connect/blogs/dragonfly-western-energyh companies-under-sabotage-threat http://en.wikipedia.org/wiki/OLE_for_Process_Control Vielen Unternehmen fällt es schwer, insbesondere ältere Systeme adäquat vor Malware-Infektionen zu schützen. Mitunter können sie sich den mit dem Einspielen von Patches verbundenen Produktionsausfall nicht leisten, in anderen Fällen sind anwenderspezifische und unzureichend geschützte Lösungen im Einsatz, bei denen Schwachstellen nicht oder nicht rechtzeitig behoben werden. OLE for Pro cess Control64 (OPC), ein häufig in der Automatisierungs technik verwendetes Protokoll, ist nur ein Beispiel dafür. OPC ist ein gut dokumentierter offener Standard, der jedoch nur schwache Auflagen für Verschlüsselung, Authentifizie rung oder andere Sicherheitsmaßnahmen enthält. Dadurch entstehen Schwachstellen, die mit Malware ausgenutzt wer den können. Ein Ziel von Dragonfly war es, Informationen über Systeme in den Zielunternehmen zu finden, die OPC nutzen. Mit Dragonfly wurden die Updateserver der Anbieter von ICS-Software gezielt angegriffen, eine neue und raffinierte Variante eines Watering-Hole-Angriffs. Bei herkömmlichen Watering-Hole-Angriffen suchen die Angreifer nach Schwachstellen auf Websites Dritter, die von den eigentlich anvisierten Opfern häufig besucht werden. Sie missbrau chen diese Websites dann, um die Computer der eigentlichen Opfer bei deren nächstem Besuch mit Malware zu infizieren. Die Dragonfly-Angreifer gingen einen Schritt weiter: Sie missbrauchten die Updateserver der von den Zulieferern ihrer eigentlichen Opfer genutzten ICS-Software, um die Lieferkette ihrer Opfer zu hacken. Symantec Website Security Solutions I 40 Spähangriffe Neben Social-Engineering-Maschen wie Spear-Phishing und Watering-Hole-Angriffen nutzen Angreifer auch andere Methoden, um im Netzwerk eines anvisierten Unter nehmens Fuß zu fassen. Sie klopfen beispielsweise die Netzwerkgrenze ab, um mögliche Einfallstore zu finden. Dabei spielen Spähangriffe eine größere Rolle als je zuvor. Sie sind in der Regel die erste Etappe einer Kampagne und dienen dazu, Informationen über die anvisierten Systeme und über Schwachstellen zu finden, die die Angreifer ausnutzen können. Ein Blick auf die meistgenutzten Zero-Day-Schwachstellen des Jahres 2014 macht deutlich, wie weit verbreitet Späh angriffe inzwischen sind. CVE-2013-7331 liegt mit großem Abstand auf Platz 1, obwohl Angreifer über diese Schwach stelle gar nicht in ein System eindringen, sondern „nur“ das Netzwerk ausspionieren können, in dem es sich befindet. Zum Planen zukünftiger Angriffe ist natürlich auch das nützlich. Wenn ein Angreifer erst einmal die internen Hostnamen, IP-Adressen und verschiedene interne Pfadnamen kennt, kann er die nächsten Schritte viel zielgerichteter planen. Darüber hinaus blieb CVE-2013-7331 für lange Zeit ungepatcht. Wie die Nummer erkennen lässt, wurde die Schwachstelle schon 2013 entdeckt. Im Februar 2014 wurde sie bekanntgegeben, doch erst im September war ein Patch verfügbar. Selbst Angreifer, die erst durch die Bekanntgabe von dieser Schwachstelle erfuhren, hatten also 204 Tage lang Zeit, um sie auszunutzen. 41 I Symantec Website Security Solutions Das liegt möglicherweise daran, dass die Gefährlichkeit dieser Schwachstelle unterschätzt wurde. Da Angreifer diese Schwachstelle nicht direkt ausnutzen konnten, um die Kontrolle über ein betroffenes System zu übernehmen, erhielt die Behebung anderer Schwachstellen vermutlich eine höhere Priorität. Internetkriminelle erkannten dies und nutzten die Schwachstelle aus, um anvisierte Netzwerke auszukundschaften. Bedrohungen dieser Art sollten von der Sicherheitsbranche allgemein ernster genommen werden. Eine Schwachstelle, die es einem Hacker ermöglicht, Informationen über ein Netzwerk, einen Computer oder ein anderes Gerät zu sammeln, ist an sich natürlich weniger gefährlich als eine Schwachstelle, mit der ein Angreifer sich zusätzliche Zugriffsrechte verschaffen kann. Doch wenn ein Internetkrimineller mithilfe einer solchen Schwachstelle ein unzureichend gesichertes System entdeckt, das er sonst nicht gefunden hätte, ist der angerichtete Schaden durchaus vergleichbar. Watering-Hole-Angriffe und Zero-Day-Schwachstellen Hidden Lynx, eine äußerst gewiefte Gruppe von Auftrags-Hackern, wurde erstmals im September 2013 beobachtet und war auch 2014 weiter aktiv. Unter anderem nutzte die Gruppe die Schwachstelle CVE-2014-033265 in einem Watering-HoleAngriff aus, der auf jedem Computer, von dem die gehackte Website aufgerufen wurde, eine Backdoor einrichtete. Diese wurde später für Angriffe und zum Ausschleusen gestohlener Daten verwendet. Bei Watering-Hole-Angriffen auf verschiedene japanische Websites und Unternehmen und Organisationen, die mit der französischen Luft- und Raumfahrtbranche in Verbindung stehen, wurde die Zero-Day-Schwachstelle CVE-2014-1776 verwendet. Die Ermittler von Symantec gehen jedoch davon aus, dass Hidden Lynx nicht für diese Angriffe verantwort lich ist.66 Bei einem weiteren schwerwiegenden Watering-Hole-Angriff wurden CVE-2014-0515, eine Zero-Day-Schwachstelle in Adobe Flash, und eine bestimmte Software eines seriösen Herstellers gemeinsam ausgenutzt. Der Angriff war nur er folgreich, wenn beide Programme installiert waren. Symantec geht daher davon aus, dass es sich hier um einen gezielten Angriff auf ein oder eine kleine Anzahl von Zielunternehmen handelte. In einem weiteren Fall nutzte die Internetspionagegruppe Sandworm eine bis dahin unbekannte Schwachstelle in Microsoft Windows aus, um auf Computern der NATO, verschiedener ukrainischer und westeuropäischer staatlicher Organisationen sowie bei mehreren Energie- und Telekommunikationsunternehmen Malware zu installieren.67 Auch die erstmals 2012 beobachtete Elderwood-Gang ist weiter aktiv. Anfang 2014 nutzte sie beispielsweise drei neue Zero-Day-Schwachstellen aus, um ihre Opfer anzu greifen.68 Mit 24 lag die Zahl der 2014 entdeckten Zero-Day-Schwachstellen leicht über dem 2013 aufgestellten Rekord. Das deutet darauf hin, dass diese Anzahl sich auf einen neuen, deutlich höheren Normalwert einpegelt. Es ist natürlich möglich, dass Internetkriminellen zahlreiche weitere ZeroDay-Schwachstellen bekannt sind, die sie bislang unbemerkt ausnutzen oder in Reserve halten. http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10zero-day-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi http://www.symantec.com/connect/blogs/zero-day-internet-vulnerabilitylet-loose-wild 67 http://www.symantec.com/connect/blogs/sandworm-windows-zero-dayvulnerability-being-actively-exploited-targeted-attacks 68 http://www.symantec.com/connect/blogs/how-elderwood-platformfueling-2014-s-zero-day-attacks 65 66 Angreifer können eine Zero-Day-Schwachstelle in zwei Phasen ausnutzen. Wenn sie sie selbst finden, können sie die Schwachstelle ausnutzen, um ein System auszuspionie ren oder zu hacken, bevor der entsprechende Softwareher steller die Schwachstelle bekanntgegeben hat. Nach der Bekanntgabe einer Schwachstelle können sie die Zeit ausnutzen, die bis zur Veröffentlichung eines Patches vergeht. Dieser Zeitraum kann mehrere Tage, Wochen oder sogar Monate lang sein. Oft vergeht zusätzliche Zeit, bevor ein bereits verfügbarer Patch in allen betroffenen Infrastrukturen eingespielt wird. Für die fünf am häufigsten ausgenutzten Schwachstellen des Jahres 2014 vergingen zwischen der Bekanntgabe und der Veröffentlichung eines Patches insgesamt 295 Tage, im Gegensatz zu nur 19 Tagen im Jahr 2013. Die durchschnittliche Länge dieses auch als „ungeschütztes Fenster“ bezeichneten Zeitraums stieg von vier Tagen im Jahr 2013 auf 59 Tage im Jahr 2014 an. Die am häufigsten ausgenutzte Schwachstelle des Jahres 2014 war CVE-2013-7331. Wie aus der Nummer ersichtlich, wurde diese Schwachstelle bereits im Vorjahr entdeckt. Sie wurde jedoch erst 2014 bekanntgegeben und bis zur Herausgabe eines Patches vergingen weitere 204 Tage. Auch für die Schwachstellen auf Platz zwei und drei unserer Rangliste der am häufigsten ausgenutzten Schwachstellen war das „ungeschützte Fens ter“ mit 22 bzw. 53 Tagen deutlich länger als der Durchschnitt des Jahres 2013. Der Erfolg mancher Internetspione beruht auf der gezielten Ausnutzung des „ungeschützten Fensters“ verschiedener Schwachstellen. Andere Angreifer stellen die Nutzung einer Zero-Day-Schwachstelle hingegen ein, sobald Informationen über diese Schwachstelle veröfffentlicht werden. Sie steigen also schon auf eine andere, noch unbekannte Schwachstelle um, bevor ein Patch verfügbar ist. Wenn beispielsweise die Malware, die diese Schwachstelle ausnutzt, über ein sogenanntes Watering Hole verbreitet wird, können sie durch ihren Rückzug verhindern, dass der Betreiber der als Watering Hole missbrauchten Website über die nun bekannte Schwachstelle auf ihre Aktivitäten aufmerksam wird. Dass die Angreifer dazu in der Lage sind, deutet auf die enormen Ressourcen hin, die ihnen zur Verfügung stehen. Symantec Website Security Solutions I 42 Zero-Day-Schwachstellen 24 +4 % 2014 23 2013 +64 % 14 2012 Quelle: Symantec I Deepsight, SDAP, Wiki Zeit bis zur Veröffentlichung einer Signatur und eines Patches für die fünf am häufigsten ausgenutzten Schwachstellen 19 Tage 4 Tage Gesamtdauer der Verwundbarkeit 2013 Durchschnittliche Zeit bis zur Veröffentlichung des Patches 2013 +276 Tage +51 Tage 295 Tage 55 Tage Gesamtdauer der Verwundbarkeit 2014 Durchschnittliche Zeit bis zur Veröffentlichung des Patches 2014 Quelle: Symantec I Deepsight, SDAP, Wiki Quelle: Symantec I Deepsight, SDAP, Wiki 2014 erfolgten 57 Prozent der Angriffe auf die fünf am häufigsten ausgenutzten Schwachstellen nach der Ver öffentlichung einer Signatur, also innerhalb von 90 Tagen nach der Bekanntgabe der Schwachstelle, aber vor der Herausgabe eines Patches durch den Softwareanbieter. 57 % 2014 Platz CVE Anteil 2014 insgesamt 1 Microsoft ActiveX Control CVE-2013-7331 81 % 2 Microsoft Internet Explorer CVE-2014-0322 9,5 % 3 Adobe Flash Player CVE-2014-0515 7,3 % 4 Adobe Flash Player CVE-2014-0497 2,0 % 5 Microsoft Windows CVE-2014-4114 OLE <1% Im Jahr 2014 verstrichen zwischen der Bekanntgabe der fünf am häufigsten ausgenutzten Schwachstellen durch den jeweiligen Softwarehersteller und der Herausgabe des entsprechenden Patches insgesamt 295 Tage. Im Vorjahr waren es nur 19 Tage. Im Jahr 2014 blockierte Symantec Endpoint Protection 57 Prozent der Angriffe auf die fünf am häufigsten ausgenutzten Schwachstellen innerhalb der ersten 90 Tage nach der Bekanntgabe, oft bevor ein Patch verfügbar war. 43 I Symantec Website Security Solutions Zero-Day-Schwachstellen insgesamt nach Jahr, 2006–2014 25 24 23 20 15 13 15 14 14 12 10 9 8 5 2006 2007 2008 2009 2010 2011 2012 2013 2014 Quelle: Symantec | SDAP Die 5 am häufigsten ausgenutzten Zero-Day-Schwachstellen 4 19 2013 59 2014 durchschnittliche Zeit bis zur Verfügbarkeit eines Patches des Anbieters kumulative Dauer des „ungeschützten Fensters“ für die 5 am häufigsten ausgenutzten Zero-Day-Schwachstellen 295 25 Anzahl der erkannten Angriffe in Tausend 81 % Microsoft ActiveX Control CVE-2013-7331 20 81 % 10 % Microsoft Internet Explorer CVE-2014-0322 15 10 7% Adobe Flash Player CVE-2014-0515 2% Adobe Flash Player CVE-2014-0497 Microsoft ActiveX Control < 1 % Microsoft Windows CVE-2014-4114 OLE 5 0 25 50 75 100 125 150 175 200 225 250 275 300 Tage nach Bekanntwerden der Schwachstelle Das sogenannte „ungeschützte Fenster“, der Zeitraum zwischen der Bekanntgabe einer Zero-Day-Schwachstelle und der Veröffentli The window of vulnerability, the duration between the publication date and the patch date, for the most frequently exploited zero-day chung eines Patches, war 2014 deutlich länger als im Vorjahr. CVE-2014-0322, CVE-2014-0515 und CVE-2014-4114 wurden in einer vulnerabilities grew in 2014. CVE-2014-0322, CVE-2014-0515, and CVE-2014-4114 were all exploited during 2014 in a number of ganzen Reihe gezielter Angriffe ausgenutzt, unter anderem von den Angreifergruppen Hidden Lynx und Sandworm. targeted attacks, including attacks related to Hidden Lynx and Sandworm. Symantec Website Security Solutions I 44 Informationen über aktuelle Bedrohungen Heutzutage müssen die Sicherheitsverantwortlichen aller Unternehmen und Orga nisationen über aktuelle Bedrohungen informiert sein, um einschätzen zu können, wovor sie ihr Netzwerk schützen müssen. Investitionen in branchenführende Technik allein reichen nicht mehr aus. Um zu verstehen, welche Angreifergruppen aus welchen Motiven welche Unternehmen aufs Korn nehmen, ist eine Kombination aus Informationen über aktuelle Bedrohungen, Risikomanagement und den besten verfügbaren Sicherheitslösungen erforderlich. Ein solides Verständnis der relevanten Bedrohungen ist unverzichtbar, da Unternehmen inzwischen fest damit rechnen müssen, angegriffen zu werden. Es ist nur eine Frage der Zeit. 45 I Symantec Website Security Solutions Die raffiniertesten Angreifer verlassen sich nicht nur auf Toolkits, mit denen sie bereits bekannte Schwachstellen ausnutzen können, sondern nutzen auch Zero-DaySchwachstellen aus. Ein ausgereiftes Sicherheitsmanagement erschwert ihnen das Handwerk. Informationen über aktuelle Bedrohungen sollten mit Daten über verdächtige Vorfälle aus dem gesamten Unternehmen in Bezug gebracht werden, um eine Rangliste der zu treffenden Maßnahmen zu erstellen. Darüber hinaus sollten nicht nur die Kennt nisse und Fähigkeiten der Mitarbeiter, sondern auch die verwendeten Prozesse ständig neu überprüft und aktuali siert werden. Gut geschützte Unternehmen sind auch für technisch versierte Angreifer schwerer zu hacken. Sorgen Sie dafür, dass Ihr Unternehmen nicht das schwächste Glied Ihrer Lieferkette wird. In gezielten Angriffen genutzte Methoden Verteilung der Spear-Phishing-Angriffe nach Unternehmensgröße, 2011–2014 Quelle: Symantec | .cloud Großunternehmen > 2500 Mitarbeiter Mittlere Unternehmen 251–2000 Mitarbeiter Kleine Unternehmen 1–250 Mitarbeiter 100 % 50 % 39 % 41 % 31 % 25 % 31 % 30 % 34 % 2012 2013 2014 50 % 19 % Im Jahr 2014 gingen 41 Prozent aller Spear-Phishing-E-Mails an Großunternehmen. Wie schon 2013 waren kleine und mittelständische Unternehmen weder durch ihre Größe noch durch ihre relative Anonymität gegen Angriffe dieser Art gefeit. Im Gegenteil: Hartnäckige Angreifer umgingen auch 2014 die Sicherheitsmaßnahmen ihrer eigentlich anvisierten Opfer mit Angriffen auf kleinere Zulieferer. 32 % 18 % 0 2011 Risiko eines Spear-Phishing-Angriffs, nach Unternehmensgröße Quelle: Symantec I .cloud, SRL Anteil 2014 Anteil 2014 in % Anteil 2013 Anteil 2013 in % Großunternehmen mit über 2500 Mitarbeitern 1 von 1,2 83 % 1 von 2,3 43 % Mittlere Unternehmen mit 251 bis 2500 Mitarbeitern 1 von 1,6 63 % 1 von 3,5 33 % Kleine Unternehmen mit bis zu 250 Mitarbeitern 1 von 2,2 45 % 1 von 5,2 19 % Im Jahr 2014 wurden 83 Prozent aller Großunternehmen mit Spear-Phishing-Kampagnen angegriffen. Im Vorjahr waren es 43 Prozent. Symantec Website Security Solutions I 46 Die 10 am häufigsten mit Spear-Phishing angegriffenen Branchen, 2013–2014 Fertigung neuartige Dienstleistungen 18 13 11 Unternehmensdienstleistungen Großhandel 15 10 5 Transport, Kommunikation, Versorgung Insgesamt war die Fertigungsindustrie 2014 das Hauptziel von Spear-Phishing: Jeder fünfte Angriff galt einem Unternehmen dieser Branche. 20 14 Finanzen, Versicherung, Immobilien 7 6 5 öffentliche Verwaltung Einzelhandel 20 13 2 Bergbau 1 1 Bau 1 1 16 3 2013 5 10 2014 15 20 25 % Quelle: Symantec | .cloud Risiko eines Spear-Phishing-Angriffs, nach Branche 2014 Branche Anteil Anteil in % Bergbau 1 von 2,3 Großhandel 2013 Branche Anteil Anteil in % 43 % Bergbau 1 von 2,7 37 % 1 von 2,9 34 % öffentliche Verwaltung (Behörden) 1 von 3,1 32 % Fertigung 1 von 3,0 33 % Fertigung 1 von 3,2 31 % Transport, Kommunikation, Ver- und Entsorgung 1 von 3,4 29 % Großhandel 1 von 3,4 29 % öffentliche Verwaltung 1 von 3,4 29 % Transport, Kommunikation, Ver- und Entsorgung 1 von 3,9 26 % Finanzen, Versicherung, Immobilien 1 von 4,8 21 % Finanzen, Versicherung, Immobilien 1 von 4,8 21 % Einzelhandel 1 von 4,8 21 % neuartige Dienstleistungen 1 von 6,6 15 % neuartige Dienstleistungen 1 von 6,5 15 % Bau 1 von 11,3 8% Unternehmensdienstleistungen 1 von 6,9 15 % Land- und Forstwirtschaft, Fischerei 1 von 12,0 8% Quelle: Symantec | .cloud, SRL Der Bergbau war 2014 die am schwersten von Spear-Phishing betroffene Branche: 43 Prozent aller Bergbauunternehmen wurden mit mindestens einer Spear-Phishing-Kampagne angegriffen. In dieser Kategorie sind Unternehmen zusammengefasst, die mit Bergbaumethoden Metalle oder Mineralien abbauen oder Energie gewinnen. 47 I Symantec Website Security Solutions Spear-Phishing-E-Mails pro Tag 73 83 –12 % 2014 –28 % 116 2012 2013 Quelle: STAR Malware Ops Die Anzahl der von Symantec identifizierten Spear-Phishing-E-Mails ging 2014 leicht zurück. Es gibt jedoch keine Anzeichen dafür, dass die Intensität gezielter Angriffe ebenfalls abnimmt. Die Anzahl E-Mail-basierter Kampagnen insgesamt nahm zu. Die SpearPhishing-Kampagnen des Jahres 2014 waren raffinierter als in den Vorjahren: Angreifer versuchten, Sicherheitsmaßnahmen mit sorgfältig formulierten Nachrichten und speziell erstellter Malware zu umgehen. E-Mail-basierte Spear-Phishing-Kampagnen 2014 Veränderung 2013 Veränderung 2012 Kampagnen 841 +8 % 779 +91 % 408 Empfänger je Kampagne 18 –20 % 23 –81 % 111 Angriffe je Kampagne 25 –14 % 29 –76 % 122 durchschnittliche Kampagnendauer 9 Tage +13 % 8 Tage +173 % 3 Tage Quelle: Symantec I .cloud, SRL Die Anzahl gezielter Spear-Phishing-Angriffe stieg 2014 um 8 Prozent, obwohl die durchschnittliche Anzahl der täglich versandten Spear-Phishing-E-Mails um 12 Prozent zurückging. Die Spear-Phishing-Kampagnen des Jahres 2014 erinnerten weniger an Spam. Die Anzahl der jeweils anvisierten Opfer war kleiner und die Angreifer investierten mehr Zeit in die Planung und Koordination der Angriffe. Insbesondere widmeten sie der Aufklärung vor dem eigentlichen Angriff deutlich mehr Aufmerksamkeit. Zudem beobachtete Symantec mehrere „verteilte gezielte Angriffe“, bei denen vermutlich mindestens zwei Angreifergruppen zusammenarbeiteten. Diese Angriffe wurden so geplant und koordiniert, dass sie trotz relativ großer E-Mail-Volumen nicht als Spam bezeichnet werden können. Häufig in Spear-Phishing-E-Mails verwendete Begriffe Die am häufigsten in Spear-Phishing-E-Mails verwendeten Begriffe Quelle: Symantec I .cloud, SRL Symantec Website Security Solutions I 48 Risiko eines Spear-Phishing-Angriffs, nach Abteilung 2014 Anteil Quelle: Symantec I .cloud, SRL Anteil in % Vertrieb/Marketing 1 von 2,9 35 % Betrieb 1 von 3,8 27 % Finanzen 1 von 3,3 30 % Forschung und Entwicklung 1 von 4,4 23 % IT 1 von 5,4 19 % Ingenieurwesen 1 von 6,4 16 % Personalverwaltung 1 von 7,2 14 % Sonstige 1 von 9,3 11 % Mitarbeiter im Vertrieb und Marketing sind prozentual am stärksten von Spear-Phishing-Angriffen betroffen, mehr als ein Drittel von ihnen erhielten 2014 mindestens eine solche E-Mail. Risiko eines Spear-Phishing-Angriffs, nach Position 2014 Anteil Quelle: Symantec I .cloud, SRL Anteil in % Manager 1 von 3,8 26 % Mitarbeiter ohne Führungsverantwortung 1 von 3,7 27 % Praktikant 1 von 3,9 26 % Direktor 1 von 5,4 19 % Mitarbeiter im Support 1 von 7,6 13 % Sonstige 1 von 9,3 11 % Manager waren 2014 die am häufigsten anvisierten Führungskräfte, mehr als ein Viertel von ihnen waren betroffen. 49 I Symantec Website Security Solutions Durchschnittliche Anzahl täglicher Spear-Phishing-Angriffe, 2012–2014 250 225 200 175 150 125 100 75 50 25 0 J M Quelle: Symantec I .cloud M J S N J 2012 M M J S N 2013 J M M J S N 2014 Analyse der 2013/14 in gezielten Angriffen genutzten Spear-Phishing-E-Mails Platz Dateityp Anteil 2014 Dateityp Anteil 2013 1 .doc 41,2 % .exe 31,3 % 2 .exe 24,0 % .scr 18,4 % 3 .scr 9,7 % .doc 7,9 % 4 .au3 8,7 % .pdf 5,3 % 5 .jpg 4,9 % .class 4,7 % 6 .class 3,6 % .jpg 3,8 % 7 .pdf 3,3 % .dmp 2,7 % 8 .bin 2,0 % .dll 1,8 % 9 .txt 1,5 % .au3 1,7 % 10 .dmp 1,1 % .xls 1,2 % Microsoft-Word-Dokumente überholten 2014 ausführbare Dateien und sind nun der am häufigsten für schädliche E-MailAnhänge missbrauchte Dateityp. Mindestens 35 Prozent aller Spear-Phishing-Angriffe könnten abgewehrt werden, wenn die E-Mail-Gateways von Unternehmen so konfiguriert würden, dass alle ausführbaren Dateien und Bildschirmschoner aus eingehenden E-Mails entfernt werden. Alternativ dazu könnten diese Anhänge schon vor dem Erreichen des E-MailGateways unschädlich gemacht werden. Cloudbasierte Filtersysteme können Spear-Phishing-Angriffe aufdecken und abwehren, bevor sie das Netzwerk eines Unternehmens erreichen. Quelle: Symantec I .cloud Symantec Website Security Solutions I 50 Sicherung industrieller Steuersysteme Preeti Agarwal Gezielte Angriffe haben sich von stümperhaften Eindringversuchen zu einer der wichtigsten Methoden der Cyberspionage entwickelt. Industrielle Steuersysteme (Industrial Control Systems, ICS) gehören zu den bevorzugten Zielen von Angreifern, die die nationale Sicherheit des Ziellands gefährden wollen. Eine Reihe von Ländern investieren daher bereits in Technik und Strategien zur stärkeren Sicherung von ICS. Industrielle Steuersysteme oder ICS sind Systeme und Geräte für die Steuerung, Überwachung und Administration kritischer Infrastrukturelemente in der Energie- und Wasserversorgung, der Abwasserentsorgung, in Erdöl- und Erdgasnetzen, der Industrie, dem Transportwesen und ähnlichen Wirtschaftszweigen. Zu den verschiedenen Arten von ICS gehören SCADA-Systeme, d. h. Systeme zur Prozessüberwachung und -steuerung (englisch: Supervisory Control and Data Acquisition), speicherprogrammierbare Steuerungen (SPS, englisch: Programmable Logic Controllers, PLC) und Prozessleitsysteme (PLS, englisch: Distributed Control Systems, DCS). Gezielte Angriffe auf ICS sind inzwischen weit verbreitet. Trotz der potenziell verheerenden sozialen und ökonomi schen Auswirkungen werden sie jedoch oft totgeschwiegen, um die Reputation des Opfers zu schützen. Das wahre Aus maß des Problems ist daher nicht bekannt. Die Motive der Angreifer reichen von der Spionage bis hin zur Sabotage. Das bekannteste Beispiel ist noch immer Stuxnet, ein 2010 aufgedeckter Angriff auf die SCADASysteme des iranischen Atomprogramms, bei dem der Be trieb zahlreicher Uranzentrifugen gestört wurde. Seitdem fanden jedoch viele ähnliche Angriffe statt, auch 2014. Die Angreifergruppe Dragonfly drang in strategisch wichtige ICS einer ganzen Reihe von Unternehmen ein. Obwohl die Gruppe sich (bislang) auf Spionage beschränkt, war sie theoretisch in der Lage, die Anlagen ihrer vornehmlich im Energiesektor tätigen Opfer zu beschädigen und die Energieversorgung der betroffenen Länder empfindlich zu stören oder vollständig zu unterbrechen. Ebenfalls 2014 startete die Spionagegruppe Sandworm eine ausgeklügelte Malware-Kampagne, bei der die mit dem Internet verbundenen Mensch-Maschine-Schnittstellen (MMS) mehrerer bekannter ICS-Anbieter gezielt angegriffen und als Einfallstor missbraucht wurden, um Schwachstellen in den ICS auszunutzen. Dabei handelte es sich möglicher- 69 weise um Spähangriffe zur Vorbereitung weiterer Kampagnen. Bei einem Internetangriff auf ein deutsches Stahlwerk wurde Ende 2014 ein Hochofen schwer beschädigt.69 Zusammenfassend lässt sich sagen, dass sowohl die Häufigkeit als auch die Komplexität der Angriffe auf ICS so stark gestiegen sind, dass die bessere Sicherung dieser Systeme nun eine wichtige und dringende Aufgabe ist. Viele ICS sind bereits seit vielen Jahren in Betrieb. Ihre Betreiber verlassen sich deshalb oft darauf, dass die genutzte Hard- und Software so hoch spezialisiert ist und die anwenderspezifischen Protokolle so wenig bekannt sind, dass herkömmliche Hackerangriffe unwahrscheinlich sind und die physische Sicherung der Anlagen ausreicht. Die meisten dieser Systeme wurden entwickelt, als die professionelle Nutzung internetbasierter Technik noch in den Kinderschuhen steckte. Die vorrangigen Designziele waren daher Zuverlässigkeit, einfache Wartung und ständige Verfügbarkeit. Der Online-Sicherheit wurde wenig oder keine Aufmerksamkeit gewidmet. Inzwischen sind die Kontrollpaneele vieler SCADA-Systeme jedoch mit dem Intranet des Betreibers verbunden, um den Fernzugriff zu unterstützen. Das bietet Internetkriminellen eine deutlich größere An griffsfläche und ermöglicht es ihnen, bislang unerreichbare Schwachstellen auszunutzen. Sobald ein Angreifer in das Intranet eingedrungen ist, kann er in der Regel eine unzureichend geschützte Infrastruktur komponente finden, die mithilfe einer Zero-Day-Schwachstelle oder eines Brute-Force-Angriffs gehackt werden kann. Der Angreifer kann dann das gesamte ICS ausspionieren. Die MMS mancher ICS sind sogar direkt mit dem Internet verbunden und machen Angreifern die „Arbeit“ so noch leichter. Sie können die Kontrollpaneele von ICS mit gän gigen Suchmaschinen finden und Schwachstellen oder ungeänderte Standardkonfigurationen ausnutzen, um sich Zugang zu ihnen zu verschaffen. Das dazu erforderliche Know-how ist nicht besonders umfangreich. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile 51 I Symantec Website Security Solutions Neben den bereits beschriebenen Einfallstoren haben ICS auch mehrere inhärente Schwachpunkte. Viele anwenderspezifische Webanwendungen können das Einschleusen von Malware über einen Pufferüberlauf, per SQL-Injektion oder Cross-Site-Scripting nicht verhindern. Schwache Authenti fizierungs- und Autorisierungsverfahren ermöglichen es Angreifern, sich Zugang zu kritischen ICS-Funktionen zu verschaffen. Schwache Authentifizierung in ICS-Protokollen macht sie anfällig für Replay-Angriffe, IP-Spoofing und andere Man-in-the-Middle-Angriffe. So kann ein Angreifer schädliche Befehle an eine speicherprogrammierbare Steuerung oder gefälschte Statusdaten an ein MMS schicken. Bei der Entwicklung und Aktualisierung speicherprogrammierbarer Steuerungen werden sogenannte Kontaktpläne (englisch: Ladder Logic oder Ladder Diagram) benutzt. Wenn eine zum Entwerfen oder Hochladen dieser Kontakt pläne verwendete Workstation gehackt wird, kann der Angreifer sich wertvolle Kenntnisse über das System verschaffen, die die Vorbereitung weiterer Angriffe vereinfachen. Zur umfassenden Sicherung einer ICS-Umgebung sollten Unternehmen einen Sicherheitsplan erstellen, der relevante Standards und gesetzliche Vorgaben, potenzielle Risikofaktoren und deren geschäftliche Auswirkungen sowie die erforderlichen Gegenmaßnahmen definiert. Zudem muss die Sicherheit in alle Phasen des industriellen Prozesses, von der Planung bis zum routinemäßigen Betrieb, integriert werden. Das zum Fernzugriff auf ein ICS verwendete Netzwerk sollte unbedingt vom Intranet des Betreibers getrennt sein. So lässt sich das Risiko eines Angriffs aus dem eigenen Netzwerk deutlich reduzieren. Aus praktischen Gründen ist eine Verbindung zwischen den beiden Netzwerken jedoch oft erforderlich. In solchen Fällen sollte die Anzahl der Verbindungspunkte so klein wie möglich gehalten werden. Außerdem sollten sich alle Verbindungspunkte hinter der Firewall des Unternehmens befinden und geschützte Kommunikationskanäle wie VPN nutzen. ICS-Umgebungen werden ständig weiterentwickelt und immer mehr Anbieter unterstützen die Nutzung von Sicherheitssoftware auf Standard-SCADA-Servern und für die Entwicklung genutzten Workstations. Auf vielen speicherprogrammierten Steuerungen und Prozessleitsystemen werden dagegen noch immer vom ICS-Anbieter modifizierte Betriebssysteme verwendet. Wenn ICS einmal installiert sind, müssen sie ständig verfügbar sein und haben kaum verfügbare Ressourcen für Sicherheitssoftware. Zudem ist der verwendete Code oft zeitabhängig und reagiert daher empfindlich auf die Installation zusätzlicher Software. Das schließt die Installation herkömmlicher Sicherheitssoftware der Enterprise-Klasse in vielen Fällen aus. Angesichts dieser Herausforderungen gibt es kein Patentrezept für die Sicherung von ICS. Stattdessen muss für jede Ebene eine eigene, möglichst lückenlose Lösung gefunden werden. Dabei sollten die Netzwerkgrenze, die Verbindungspunkte zwischen Intranet und Internet, die Netzwerkebene, die einzelnen Hosts und die Anwendungsebene besondere Berücksichtigung finden. Darüber hinaus sollten nach Möglichkeit Kontrollgeräte ausgewählt werden, die sich durch ein sicheres Design auszeichnen. Hersteller müssen die Verantwortung dafür übernehmen, dass die Sicherheit schon bei der Entwicklung berücksichtigt wird. In Zukunft wird die Nutzung von Mobilgeräten für den Zugriff auf die MMS von ICS wahrscheinlich steigen. Aus dem Blickwinkel einer effizienten Administration ist das eine sehr positive Entwicklung, doch gleichzeitig wird die Angriffsfläche für Hacker dadurch noch größer. Es ist auch nicht auszuschließen, dass Hacker allgemein verwendbare Methoden für Angriffe auf ICS entwickeln. Das würde das Angebot an Toolkits für Angriffe auf ICS auf dem Schwarzmarkt verbessern und einen deutlichen Anstieg der Angriffe nach sich ziehen. Seit 2010 wurden mehrere verschiedene Varianten von Stuxnet entdeckt, die auf eine fortschreitende Entwicklung schließen lassen. Bei jüngeren auf ICS gerichteten Bedrohungen fällt ebenfalls auf, dass bei verschiedenen Kampagnen ähnliche Angriffsvektoren und Module sowie Mehrzweck-Trojaner verwendet werden, um gängige ICSProtokolle anzugreifen. Höchstwahrscheinlich sind derzeit weitere ICS mit bislang unerkannter Malware infiziert, die bislang „nur“ zum Ausspionieren der entsprechenden Systeme verwendet wird. Die Angreifer könnten jederzeit einen Grund finden, von der Spionage zur Sabotage überzugehen. Wir müssen deshalb auf Angriffe gefasst sein, bei denen bislang unbekannte Schwachstellen in unseren kritischen Infrastrukturen ausgenutzt werden, mit möglicherweise gefährlichen Konsequenzen. Symantec Website Security Solutions I 52 Datenlecks 53 I Symantec Website Security Solutions Auf einen Blick 1 Im Jahr 2014 gab es weniger Superlecks (mit mehr als 10 Millionen offenbarten Identitäten) als 2013. 2 Die Anzahl der Angriffe, bei denen Identitäten gestohlen wurden, nahm jedoch zu. 3 Externe Angreifer sind für 49 Prozent der Datenlecks verantwortlich. 4 Angriffe auf Kassensysteme wurden häufiger und komplexer. 5 In einer Symantec-Umfrage gaben 57 Prozent der Befragten an, sich Sorgen um die Sicherheit ihrer Daten zu machen. 54 I Symantec Website Security Solutions Einführung Auch 2014 griffen Internetkriminelle Banken und andere Finanzinstitute sowie die Kassensysteme von Einzelhändlern wieder direkt an und stahlen dabei unglaubliche Mengen an Daten. Die amerikanische Bank JPMorgan Chase musste beispielsweise zugeben, dass Angreifer bei einem der größten Datendiebstähle der Geschichte die Kontaktdaten von 76 Millionen Privathaushalten und 7 Millionen kleiner Unternehmen erbeuteten.70 die Fotos jedoch bei äußerst gezielten Angriffe auf die Konten der betroffenen Prominenten gestohlen. Das Unter nehmen wies Spekulationen zurück, dass die Diebstähle ein Hinweis auf allgemeine Schwächen in seinen Sicherheitsmaßnahmen seien.74 Im September 2014 wurde die amerikanische Baumarktket te Home Depot Opfer eines Angriffs, bei dem 56 Millionen Kreditkartennummern gestohlen wurden. Auch die Kassen systeme von Einzelhändlern sind weiterhin gefährdet; bei einem Angriff auf den Büroausstatter Staples wurden die Daten von einer Million Kundenkarten gestohlen.71 Viele, vielleicht sogar die meisten, Datenlecks bleiben jedoch un erkannt oder werden verschwiegen.72,73 Im Verlauf des Jahres 2014 gab es weniger „Superlecks“ als 2013, die Anzahl der Datenlecks insgesamt stieg jedoch um 23 Prozent. Persönliche und Finanzdaten von Verbrauchern werden auf dem Schwarzmarkt weiterhin gut bezahlt. Inter netkriminelle sind daher nach wie vor sowohl auf große Datenmengen bei großen Unternehmen und Institutionen als auch auf leichte Beute bei kleinen Unternehmen aus. Mit der richtigen Kombination aus DLP, Verschlüsselung, IDS und anderen relevanten Sicherheitsmaßnahmen können viele Datendiebstähle vereitelt werden. Effektive Sicher heitsrichtlinien und die Sensibilisierung der Benutzer spie len ebenfalls eine entscheidende Rolle. Im August 2014 wurden fast 200 Fotos von Prominenten auf der Website 4chan veröffentlicht. Dieser schlagzeilenträchtige Vorfall verstärkte bereits vorhandene Kundenbefürchtungen in puncto Datenschutz. Apple zufolge wurden Datenlecks insgesamt 312 Quelle: Symantec I CCI +23 % 2014 253 +62 % 2012 2013 Superlecks mit über 10 Millionen gestohlenen Identitäten 4 2014 –50 % 8 156 +700 % 2013 Quelle: Symantec I CCI 1 2012 Obwohl die Anzahl der Superlecks mit mehr als 10 Millionen gestohlenen Identitäten 2014 gegenüber dem Vorjahr zurückging, war die Anzahl der Datenlecks insgesamt größer als 2013. Das deutet darauf hin, dass der Identitätsdiebstahl sich auf einem neuen, höheren Niveau stabilisiert. http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003 http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident http://www.insurancejournal.com/news/west/2014/03/07/322748.htm 73 http://www.ponemon.org/news-2/7 Symantec Website 74 https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html 70 71 72 Security Solutions I 55 Die Hauptursachen für Datenlecks 2013/14 80 2014 70 2013 60 Prozent 50 49 40 30 34 29 20 27 22 21 10 8 6 0 Hacker versehentliche Preisgabe Diebstahl oder Verlust eines Computers bzw. Speichermediums Quelle: Symantec | CCI Diebstahl durch Mitarbeiter Mit 49 Prozent waren externe Angreifer auch 2014 wieder die Hauptursache von Datenlecks, 2013 waren sie für 34 Prozent der Vor fälle verantwortlich. Auf Platz zwei und drei folgen die versehentliche Preisgabe mit 22 Prozent und der Verlust oder Diebstahl eines Computers bzw. Speichermediums mit 21 Prozent. Im letzteren Fall lässt sich zumindest der Datendiebstahl vermeiden, indem ver trauliche Daten routinemäßig verschlüsselt werden. Ein Lichtblick ist, dass der Anteil dieser beiden Kategorien von 56 Prozent 2013 auf 43 Prozent 2014 zurückging. Zeitlicher Verlauf von Datenlecks 2013/14 40 180 159 35 147 140 130 120 30 113 25 100 20 Vorfälle Preisgegebene Identitäten (Millionen) 160 78 80 60 15 59 53 43 10 40 32 23 20 12 3 6 8 J J 0 J F 2013 M A M 8 0,3 0,8 A S O N D 5 10 3 2 J F 2014 M 1 1 A M J J A S O 6,5 N 0,4 0 D Quelle: Symantec I CCI Auch die Anzahl der gestohlenen Identitäten insgesamt ging zurück, von 552 Millionen im Jahr 2013 auf 348 Millionen im Jahr 2014. 56 I Symantec Website Security Solutions Gestohlene Identitäten insgesamt 384 –37 % Millionen 552 93 +493 % Millionen Millionen 2013 2012 2014 Quelle: Symantec I CCI Durchschnittlich gestohlene Identitäten je Vorfall 1 116 767 2 181 891 604 826 2014 2013 2012 –49 % +261 % Quelle: Symantec I CCI Medianwert gestohlener Identitäten je Vorfall 7000 +3 % 6777 2014 2013 –19 % 8350 2012 Quelle: Symantec I CCI Aber heißt das, dass vertrauliche Daten nun besser ge schützt sind? Erstens spielt die kleinere Anzahl der Super lecks wohl eine große Rolle. Zweitens ist nicht auszuschlie ßen, dass die schlagzeilenträchtigen Datendiebstähle des letzten Quartals 2013 in zahlreichen Großunternehmen den Ausschlag für die Implementierung von DLP (Data Loss Prevention) und anderen Sicherheitsmaßnahmen gaben, mit denen das Ausschleusen gestohlener Daten selbst nach einem erfolgreichen Angriff verhindert werden kann. Außerdem deuten unsere Zahlen auf einen dritten Grund hin: Ein steigender Anteil der betroffenen Unternehmen geben die Anzahl der betroffenen Identitäten nicht bekannt. Im Jahr 2013 wurde die Anzahl der gestohlenen Identitäten bei 34 von 253 Datenlecks (13 Prozent) nicht bekanntgegeben. Ein Jahr später stieg dieser Anteil auf 61 von 312 Vorfällen (20 Prozent). Warum weigert sich jedes fünfte betroffene Unternehmen, diese Information herauszugeben? Die Frage lässt sich nicht für alle Unternehmen definitiv beantworten. Einige Unternehmen haben möglicherweise Schwierigkeiten bei der Ermittlung der genauen Anzahl ge stohlener Identitäten. In anderen sind die Verantwortlichen vielleicht der Meinung, dass die Reputation des Unterneh mens zusätzlichen Schaden nehmen würde, wenn das ganze Ausmaß des Identitätsdiebstahls bekannt würde. Das legt die beunruhigende Vermutung nahe, dass eine steigende Anzahl betroffener Unternehmen Datenlecks überhaupt nicht melden. Im Gesundheitswesen, im öffentlichen Dienst und in zahlreichen anderen Branchen ist die Bekanntgabe derartiger Vorfälle gesetzlich vorgeschrieben, in vielen anderen Wirtschaftszweigen hingegen nicht. In vielen Unternehmen werden Angriffe vielleicht geheim gehalten, um die Reputation des Unternehmens zu schützen und Schadensersatzansprüchen zu entgehen. Das wird sich in den kommenden Jahren möglicherweise ändern, da eine Ausweitung der Meldepflicht für Angriffe, bei denen personenbezogene Daten gestohlen wurden, in vielen Ländern bereits erwogen wird. Symantec Website Security Solutions I 57 Top-10 der betroffenen Branchen, nach Anzahl der Angriffe Quelle: Symantec I CCI Platz Branche 1 Gesundheitswesen 116 37,2 % 2 Einzelhandel 34 10,9 % 3 Bildungswesen 31 9,9 % 4 staatl. Einrichtungen und öffentl. Dienst 26 8,3 % 5 Finanzwesen 19 6,1 % 6 Softwarehersteller 13 4,2 % 7 Hotel- und Gastgewerbe 12 3,8 % 8 Versicherungswesen 11 3,5 % 9 Transportwesen 9 2,9 % 10 Kunst und Medien 6 1,9 % Anzahl der Vorfälle Anteil der Vorfälle Top-10 der gestohlenen Daten Quelle: Symantec I CCI Platz Datenart 2014 1 echte Namen 68,9 % echte Namen 71,5 % 2 von Behörden vergebene Kennnummern (z. B. Ausweisnr.) 44,9 % Geburtsdaten 43,1 % 3 Privatadressen 42,9 % von Behörden vergebene Kennnummern (z. B. Ausweisnr.) 39,5 % 4 finanzielle Daten 35,5 % Privatadressen 37,5 % 5 Geburtsdaten 34,9 % Patientenakten 33,6 % 6 Patientenakten 33,7 % Telefonnummern 19,0 % 7 Telefonnummern 21,2 % finanzielle Daten 17,8 % 8 E-Mail-Adressen 19,6 % E-Mail-Adressen 15,4 % 9 Benutzernamen und Kennwörter 12,8 % Benutzernamen und Kennwörter 11,9 % 10 Versicherungsdaten 11,2 % Versicherungsdaten 5,9 % Anteil 2014 Datenart 2013 Anteil 2013 Echte Namen, von Behörden vergebene Kennnummern und Privatadressen waren 2014 die am häufigsten gestohlenen Datenarten. Der Anteil finanzieller Daten am gestohlenen Datenvolumen insgesamt stieg von 17,8 auf 35,5 Prozent, das ist der größte Anstieg in den Top-10. 58 I Symantec Website Security Solutions Einzelhändler unter Attacke Der deutliche Anstieg bei gestohlenen finanziellen Daten deutet darauf hin, dass Internetkriminelle den Einzelhandel weiterhin im Visier haben. Wie schon 2013 hat der Einzelhandel auch 2014 die fragwürdige Ehre, den ersten Platz in der Liste der Branchen zu belegen, in denen die meisten Identitäten gestohlen wurden. Und nicht nur das: Sein „Beitrag“ zu dieser traurigen Statistik stieg von 30 auf knapp 60 Pro zent an. Finanzielle Daten liegen nun auf Platz vier der Top-10 der am häufigsten gestohlenen Datenarten. Im Jahr 2013 wurden bei 17,8 Prozent aller Datendiebstähle u. a. finanzielle Daten gestohlen; 2014 waren es 35,5 Prozent. Top-10 der betroffenen Branchen, nach Anzahl gestohlener Identitäten Platz Branche Anzahl gestohlener Identitäten 1 Einzelhandel 205 446 276 59,0 % 2 Finanzwesen 79 465 597 22,8 % 3 Softwarehersteller 35 068 405 10,1 % 4 Gesundheitswesen 7 230 517 2,1 % 5 staatl. Einrichtungen und öffentl. Dienst 7 127 263 2,0 % 6 soziale Netzwerke 4 600 000 1,3 % 7 Telekommunikation 2 124 021 0,6 % 8 Hotel- und Gastgewerbe 1 818 600 0,5 % 9 Bildungswesen 1 359 190 0,4 % 10 Kunst und Medien 1 082 690 0,3 % Die Kategorie „finanzielle Daten“ umfasst ein breites Spekt rum, das von Bankkontendaten bis hin zu Steuerunterlagen reicht. In den meisten Fällen handelt es sich jedoch um Kreditkartendaten. Obwohl Angreifer auch bei Online-Shops kräftig zugriffen, erfolgte der Löwenanteil der bekannt gewordenen Datendiebstähle im Einzelhandel über Kassensysteme, die zur Authentifizierung den Magnetstreifen, und nicht (wie in Europa seit Langem üblich) den in der Karte integrierten Chip nutzen. Die ersten Angriffe dieser Art fanden schon 2005 statt, doch 2014 beobachtete Symantec einen explosionsartigen Anstieg. Angriffe auf Kassensysteme gehören inzwischen zu den ergiebigsten Quellen gestohlener Kreditkartendaten75 und waren für mehrere Superlecks der Jahre 2013 und 2014 verantwortlich. Viele Kassensysteme sind nicht ausreichend gesichert und daher besonders anfällig für Angriffe. Sie nutzen beispielsweise schwache Verschlüsselungsalgorithmen oder übertragen Daten völlig unverschlüsselt, enthalten ungepatchte Schwachstellen oder nutzen veraltete Software wie das 75 76 Quelle: Symantec I CCI Anteil an der Gesamtheit gestohlener Identitäten seit Mitte 2014 nicht mehr unterstützte Betriebssystem Windows XP. Auch die schleppende Umstellung auf Chipund-PIN-Karten außerhalb Europas leistet Internetkriminellen Vorschub. Da neue Zahlungsarten wie Apple Pay und Chip-und-PIN-Karten nun endlich auch in den USA Einzug halten, sollten Kassensysteme dort in den nächsten Jahren sicherer werden. Kurzfristig gesehen werden sie jedoch höchstwahrscheinlich eines der bevorzugten Angriffsziele vieler Internetkriminel ler bleiben. Kreditkartengesellschaften haben sich inzwi schen darauf eingestellt und hinterfragen Ausgaben, die nicht zum allgemeinen Kaufverhalten des Karteninhabers passen. Viele Kreditkartenbesitzer überprüfen die letzten Transaktionen ebenfalls regelmäßig. Die meisten betroffe nen Kreditkarten werden deshalb schon nach kurzer Zeit gesperrt. Internetkriminelle passen sich ihrerseits an und bemühen sich um ständigen „Nachschub“ gestohlener Kreditkartennummern. Auf dem Schwarzmarkt bleiben Angebot und Nachfrage daher ausgeglichen.76 Symantec Website Security Solutions I 59 http://securityresponse.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/attacks_on_point_of_sale_systems.pdf http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks Die Rolle der Online-Sicherheit beim Schutz der Privatsphäre Die zahlreichen schlagzeilenträchtigen Angriffe der letzten Jahre, bei denen vertrauliche personenbezogene Daten gestohlen wurden, haben die Meinung vieler Verbraucher hinsichtlich dem Schutz ihrer eigenen Daten beeinflusst. Symantec führte in sieben Ländern der Europäischen Union eine Umfrage zu diesem Thema durch und veröffentlichte die interessantesten Ergebnisse im „State of Privacy Report 2015“.77 So gaben 59 Prozent der Befragten an, dass sie schon mindestens einmal ein Datenschutzproblem hatten. Als Beispiele nannten sie, dass ein Unternehmen, bei dem sie Kunde waren, sie über ein Datenleck informierte, dass ihr E-Mail-Konto oder ein Konto bei einem sozialen Netzwerk gehackt bzw. ihre Bankdaten oder eine Online-Identität ge stohlen wurden, ihr Computer von einem Virus befallen war oder dass sie auf einen internetbasierten Betrugsversuch oder eine gefälschte E-Mail hereingefallen waren. Insgesamt machten 57 Prozent der Befragten sich Sorgen über die Sicherheit ihrer Daten. Unternehmen sollten diese Sorge ernst nehmen, denn 88 Prozent der Verbraucher nennen den Datenschutz als einen der wichtigsten Faktoren bei der Auswahl eines Anbieters, noch vor der Qualität des Produkts (86 Prozent) und des Kundenservice (82 Prozent). Nur 14 Prozent der Befragten haben keine Bedenken, wenn ein Unternehmen ihre Daten an Dritte weitergeben will, 47 Prozent sind strikt dagegen und 35 Prozent wollen genauer wissen, welche Daten das Unternehmen weiterzugeben plant. Viele der Befragten deuteten auch an, dass sie inzwischen vorsichtiger mit ihren persönlichen Daten umgehen, um selbst mehr zum Schutz ihrer Privatsphäre beizutragen. In der Symantec-Umfrage gaben 57 Prozent der Befragten an, dass sie keine persönlichen Daten mehr im Internet veröf fentlichen. Für Unternehmen besonders besorgniserregend: Ein Drittel der Befragten gab zu, dass sie im Internet falsche Angaben machen, um keine persönlichen Daten preisgeben zu müssen. 77 Viele Angreifer haben sich möglicherweise bereits auf diese neue Vorsicht eingestellt. Sie sind deutlich geduldiger geworden und verbringen nach dem Eindringen in das Intranet eines Unternehmens viel Zeit damit, die Verhaltensmuster verschiedener Mitarbeiter kennenzulernen und herauszufinden, wer wie welche Aufgaben erledigt. Mit den so gewonnenen Einblicken können sie einzelne Mitarbeiter nicht nur gezielter angreifen, sondern sie sogar imitieren. Wenn der Angreifer dann noch die entsprechenden Anmeldedaten stiehlt, kann er die Verhaltensmuster des Bestohlenen nachahmen und sehr lange unentdeckt bleiben. Zudem ist die Netzwerkgrenze eines Unternehmens heute nicht mehr so klar definierbar wie früher und die zuneh mende Nutzung mobiler Geräte verwischt die Grenze zwi schen „unternehmensintern“ und „extern“ zusätzlich. Außerdem werden Daten nicht nur auf Mobilgeräten, sondern immer öfter auch in der Cloud gespeichert. Zum Zugriff auf in der Cloud gespeicherte Daten werden oft Mobilgeräte verwendet, weil sich die dazu erforderlichen Kennwörter dort bequem speichern lassen. Auf Mobilgeräten gespeicherte oder zwischengelagerte Daten werden allerdings noch seltener verschlüsselt als Daten auf Laptops. Deshalb ist der Verlust oder Diebstahl eines solchen Geräts ein Sicherheitsrisiko, das nicht außer Acht gelassen werden sollte. http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf 60 I Symantec Website Security Solutions Datendiebstahl im Gesundheitswesen Axel Wirth Marktzwänge und das Bestreben, bessere Leistungen anzubieten und gleichzeitig Kosten einzusparen und gesetzliche Auflagen zu erfüllen, haben den Umstieg auf elektronische Patientenakten und digitale Informationssysteme in einer Rekordzahl von Einrichtungen des Gesundheitswesens beschleunigt. Gleichzeitig tragen eine Reihe von Faktoren dazu bei, dass das Datenvolumen in dieser Branche unaufhaltsam wächst: eine alternde Bevölkerung und die Zunahme chronisch Kranker, aber auch neue Diagnosetechniken, die qualitativ höherwertige Ergebnisse liefern und dafür mehr Ressourcen benötigen. All das führt dazu, dass IT-Infrastrukturen immer komplexer werden, mehr Daten miteinander in Bezug gesetzt und übertragen werden müssen, neue Modelle für die Bereitstellung und Rückvergütung medizinischer Leistungen benötigt werden. Und natürlich steigt das Datenvolumen auch hierdurch weiter an. Das Zusammenspiel dieser Trends weckte das Interesse von Internetkriminellen, sodass das Risiko eines fahrlässig oder absichtlich verursachten Datenlecks für Einrichtungen im Gesundheitswesen nun deutlich größer ist als noch vor wenigen Jahren. Die Anzahl der Datenlecks im Gesundheitswesen stieg 2014 um 23 Prozent gegenüber dem Vorjahr. Im Gegensatz zu vielen anderen Branchen sind die meisten dieser Vorfälle auf menschliches Versagen oder den Diebstahl von Geräten zurückzuführen. Laut dem Norton Crime Index liegen verlorene oder gestohlene Geräte mit 45 Prozent auf Platz eins der Liste der wichtigsten Ursachen von Datenlecks im Gesundheitswesen 2014. Das entspricht einem Anstieg von 10 Prozent gegenüber dem Vorjahr. Im gleichen Zeitraum nahm die versehentliche Preisgabe vertraulicher Daten durch menschliches Versagen um etwa 11 Prozent zu. Der gezielte Diebstahl von Patientendaten ist ebenfalls ein wachsendes Problem. Zu den Motiven gehören Identitätsdiebstahl, finanzieller und Versicherungsbetrug. Die Diebe haben es besonders auf personenbezogene Daten und persönliche medizinische Daten abgesehen und hacken zunehmend Einrichtungen des Gesundheitswesens oder bestechen deren Mitarbeiter, um sich Zugang zu elektroni schen Patientenakten bzw. Kopien oder Ausdrucken solcher Akten zu verschaffen. Die Anzahl der durch Insider-Diebstahl verursachten Datenlecks im Gesundheitswesen stieg im Verlauf des Jahres 2014 auf mehr als das Doppelte. Gleichzeitig stieg die Anzahl der durch Hacker verursachten „Illinois hospital reports data blackmail“; PC World; Dec. 15, 2014; http://www.pcworld.com/article/2859952/illinois-hospital-reports-datablackmail.html Datenlecks um 82 Prozent. Mitunter gehören weitere kriminelle Aktivitäten wie Erpressung und das Ausspionieren von Prominenten zu den Motiven für den Datendiebstahl. Ähnlich wie im Einzelhandel haben technisch versierte Hacker es in der Regel auf große Datenmengen abgesehen. Weltweit wurde jedoch eine bislang unerreichte Anzahl von Angriffen mit Datendiebstahl gemeldet. Unter den Opfern befinden sich Einrichtungen jeder Größenordnung, von großen Universitätskrankenhäusern bis hin zu kleinen Kommunalkrankenhäusern. Auch eine abgeschiedene Lage bietet keinen Schutz, wie der Fall eines ländlichen Kommu nalkrankenhauses im US-Bundesstaat Illinois zeigt. Das Krankenhaus erhielt eine erpresserische E-Mail mit gestoh lenen Patientendaten und der Drohung, die Daten zu ver öffentlichen falls das geforderte Lösegeld ausbliebe.78 Eine Reihe von Krankenhäusern haben bereits ausgereifte Programme für die Online-Sicherheit. Andere haben immer noch Probleme mit der konsequenten Durchsetzung grund legender Maßnahmen wie der Verschlüsselung vertraulicher Daten auf Mobilgeräten, Laptops und Speichermedien zur Schadensbegrenzung beim Verlust oder Diebstahl dieser Geräte. In vielen Einrichtungen wird schlicht nicht genug in die Online-Sicherheit investiert, sodass sie eine leichte Beute für die ausgefeilten und gezielten Angriffe moderner Internetkrimineller sind. Allgemein gilt, dass die meisten Einrichtungen des Gesundheitswesens, von Krankenhäusern über Pharma- und Biotechnologieunternehmen und Herstellern medizinischer Geräte bis hin zu Versicherungsunternehmen und Gesund heitsbehörden, nicht ausreichend vor den aktuellen Bedrohungen geschützt sind. 78 Symantec Website Security Solutions I 61 Viele Organisationen haben Einrichtungen des Gesundheitswesens eindringlich vor den drohenden Gefahren gewarnt, darunter das SANS Institute, das US-amerikanische Ministe rium für Innere Sicherheit, das FBI und die Food and Drug Administration (FDA), die US-amerikanische Zulassungsbehörde für Arzneimittel. Das Problem beschränkt sich keinesfalls auf die USA, auch in zahlreichen anderen Ländern wurden ähnliche Angriffe gemeldet. Patientendaten sind auf dem Schwarzmarkt sehr begehrt und werden von den verschiedensten Kriminellen für unterschiedliche Zwecke missbraucht. Das liegt vor allem daran, dass die personenbezogenen Daten in Patientenakten meist vollständiger sind als in anderen für Internetkriminelle zugänglichen Quellen. Sie können demografische Daten, von Behörden vergebene Kennnummern, Kreditkarten- und Versicherungsdaten, An gaben zum Gesundheitszustand und körperliche Merkmale enthalten. Diese Angaben können für Identitätsdiebstahl, finanziellen und Rezeptbetrug sowie die unberechtigte Inanspruchnahme medizinischer Leistungen missbraucht oder auf dem Schwarzmarkt weiterverkauft werden. Die körperlichen Merkmale eines Patienten können missbraucht werden, um in seinem Namen einen Pass, ein Visum oder andere Ausweispapiere zu beantragen.79 Kurz gesagt: Die Vielfalt der Daten in Patientenakten steigert ihre Attraktivi tät für Kriminelle. Während Kreditkartendaten auf dem US-Schwarzmarkt für 0,50 bis 1,00 Dollar gehandelt werden, sind Patienten akten kriminellen Käufern je nach Vollständigkeit zwischen 10 und 50 Dollar81,82 wert. Der Grund: Neben grundlegenden Angaben zur Person und Versicherungsdaten enthalten USamerikanische Patientenakten manchmal auch Fotokopien der Versicherungskarte, des Führerscheins und sogar einer Kreditkarte des Patienten. Die Anzahl der Angriffe im Gesundheitswesen ist hoch und die Tendenz steigend. Bislang sind menschliches Versagen und der Verlust oder Diebstahl von Geräten die Hauptursache von Datenlecks in dieser Branche, doch gezielte Angriffe auf Einrichtungen des Gesundheitswesens nehmen stärker zu, sodass Hacker vermutlich schon bald die größte Gefahr sein werden, wie in anderen Branchen auch. Die Sicherheitsbeautragten in Einrichtungen des Gesundheitswesens müssen daher dringend dafür sorgen, dass es Prozeduren für den Umgang mit Datenlecks und Richtlinien zur Abwehr von Angriffen gibt und dass diese befolgt werden. Für die betroffenen Patienten kann diese Form des Identitätsdiebstahls schwerwiegende Folgen haben, die weit über einen finanziellen Verlust hinausgehen. Gefälschte Daten in der Patientenakte können zu einer falschen oder verspäteten Diagnose führen. Sie lassen sich meist auch nur schwer wieder korrigieren, wodurch der Behandlungserfolg und möglicherweise die berufliche Zukunft des Betroffenen beeinträchtigt werden. Im Gegensatz zum finanziellen Betrug, für den Verbraucher in der Regel nur bedingt haftbar sind, gibt es kaum einen Schutz vor den Langzeitfolgen eines medizinischen Identitätsdiebstahls.80 „Medical identity theft proves lucrative in myriad ways“; Fierce Health IT; 21. Oktober 2014; http://www.fiercehealthit.com/story/medical-identifytheft-proves-lucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal „The Growing Threat of Medical Identity Fraud: A Call to Action“; Medical Identity Fraud Alliance (MIFA); Juli 2013; http://medidfraud.org/wp-content/ uploads/2013/07/MIFA-Growing-Threat-07232013.pdf 81 „Your medical record is worth more to hackers than your credit card“; Reuters; 24. September 2014; http://www.reuters.com/article/2014/09/24/uscybersecurity-hospitals-idUSKCN0HJ21I20140924 82 „Stolen EHR Charts Sell for $50 Each on Black Market“; MedScape; 18. April 2014; http://www.medscape.com/viewarticle/824192 79 80 62 I Symantec Website Security Solutions Soziale Medien und Online-Betrug Symantec Website Security Solutions I 63 Auf einen Blick 1 Es gibt inzwischen regelrechte „Partnerprogramme“, bei denen Betrüger Geld damit verdienen, dass sie Internetnutzer auf betrüge rische Websites locken und dazu bringen, dort vertrauliche Daten einzugeben. 2 Viele Menschen nutzen für verschiedene Anwendungen dieselben Anmeldedaten. Kriminelle nutzen das aus. 3 Betrüger nutzen die vorgeblich persönliche Weiterleitung zur Verbreitung ihrer Inhalte, um ihnen Glaubwürdigkeit zu verleihen. 4 Beim Phishing wird die Angst vor Hackerangriffen und Krankheit oft gezielt ausgenutzt. Mitunter dienen auch Skandale, in die Prominente angeblich oder tatsächlich verwickelt sind, als Aufhänger. 64 I Symantec Website Security Solutions Einführung Im Jahr 2014 nutzten Internetkriminelle das Marketingkonzept des „Social Proof“ gezielt aus, also den Effekt, dass ein Angebot interessanter und wertvoller erscheint, wenn es anderen gefällt. Das klassische Beispiel sind zwei Gaststätten: Vor einer steht eine lange Schlange, die andere ist leer. Die meisten Menschen würden sich anstellen, weil sie annehmen, dass die beliebtere Gaststätte besser ist. Kriminelle nutzen dieses Phänomen aus, indem sie echte Konten in Netzwerken wie Snapchat hacken und missbrauchen, um ihre gefälschten Angebote an die Kontakte der Opfer zu schicken. Dieser Aufwand lohnt sich, weil die meisten Menschen einem „Sonderangebot“ oder einem unbekannten Link eher trauen, wenn sie von einem Bekannten darauf hingewiesen werden. Selbstverständlich entwickeln Betrüger ihre Maschen weiter und dehnen ihre Aktivitäten auf neue Plattformen aus, doch ein Großteil ihres Erfolgs im Jahr 2014 war schlicht darauf zurückzuführen, dass immer noch zu viele Menschen auf Betrugsversuche hereinfallen, die sich eigentlich recht leicht durchschauen und vermeiden lassen. Zudem unterschätzen viele Menschen nach wie vor den Wert ihrer personenbezogenen Daten und sind zu schnell bereit, E-Mail-Adressen und Anmeldedaten anzugeben, ohne zu prüfen, ob sie sich auf einer seriösen Website befinden. Symantec Website Security Solutions I 65 Betrugsversuche in sozialen Medien Kriminelle treiben immer dort ihr Unwesen, wo Menschen sind, die sie bestehlen oder betrügen können. Da die etablierten sozialen Netzwerke von vielen Menschen genutzt werden, ziehen sie auch Internetkriminelle an. Die steigende Beliebtheit von Apps zum Versenden von Textnachrichten und für das Online-Dating ist Betrügern ebenfalls nicht entgangen. Auch auf diesen Plattformen ist inzwischen Vorsicht geboten. Betrüger nutzten zum Beispiel den Tod von Robin Williams als Aufhänger, um ihre Opfer zum Weiterleiten eines angeblichen Abschiedsvideos zu bewegen. Den Opfern wurde mitgeteilt, dass sie das Video an ihre Freunde weiterleiten müssten, um es ansehen zu können. Dann wurden sie zur Teilnahme an Umfragen bzw. zum Herunterladen von Software aufgefordert oder auf eine gefälschte Nachrichten-Website umgeleitet. Das versprochene Abschiedsvideo gab es nicht.83 Facebook, Twitter und Pinterest Unter den Betrugsversuchen in sozialen Medien ver zeichnete die persönliche Weiterleitung 2014 das größte Wachstum. Bei dieser Masche werden Videos, Nachrich ten, Bilder oder Sonderangebote als Köder benutzt, um die Empfänger dazu zu verleiten, einen Post an ihre Freunde und Bekannten weiterzuleiten, der einen Link zu einer gehackten oder dem Betrüger gehörenden Website enthält. Betrugsversuch auf Facebook mit gefälschter Anzahl von Kommentaren und Weiterleitungen Betrügerische Webseite, die Besucher zum Installieren eines gefälschten Facebook-Plugins auffordert Soziale Medien 2012–2014 80 81 70 2013 60 2014 50 Prozent 2012 70 56 40 Die persönliche Weiter leitung wurde 2014 zur Verbreitung von 70 Prozent aller Betrugsversuche in sozialen Medien genutzt, 2013 war das nur bei 2 Prozent der Fall. 30 20 23 10 0 Quelle: Symantec | Safe Web 18 10 betrügerische Angebote 7 5 Lifejacking 66 I Symantec Website Security Solutions 0 0 1 CommentJacking 3 2 1 gefälschte Apps 2 persönliche Weiterleitung http://www.symantec.com/connect/blogs/robin-williams-goodbye-videoused-lure-social-media-scams 83 Bei der persönlichen Weiterleitung muss der Kriminelle nichts hacken oder knacken. Er wälzt die gesamte „Arbeit“ auf seine Opfer und deren Bekanntenkreis ab. Andere Maschen fordern dem Kriminellen etwas mehr Aufwand ab. Beim „Likejacking“ und „Comment-Jacking“ wird das Opfer beispielsweise mit interessant wirkenden Inhalten dazu bewogen, auf eine Schaltfläche mit einer Beschriftung wie „Weiter“ oder „Bestätigen“ zu klicken. Dahinter verbergen sich jedoch die Funktionen der Schaltfläche „Gefällt mir“ bzw. „Kommentar“. Mit den ergaunerten Klicks will der Betrüger das Interesse an seinem Post steigern. Instagram Instagram hat inzwischen mehr aktive Nutzer je Monat als Twitter. Die Plattform zum Foto- und Video-Sharing wird u. a. von seriösen Marken als Marketing-Kanal genutzt.84,85 Das machen sich Betrüger zunutze, indem sie die Sonderangebote seriöser Firmen als Aufhänger heranziehen. Bei einer Masche gaben sich Betrüger als Lottogewinner aus und versprachen, ihren Gewinn mit neuen InstagramFollowern zu teilen. Bei einer anderen behaupteten sie, im Namen einer bekannten Marke Gutscheine zu vergeben. In beiden Fällen wurden die Opfer aufgefordert, dem ge fälschten Profil zu folgen und persönliche Daten wie ihre E-Mail-Adresse in das Kommentarfeld einzutragen, um die versprochene Belohnung zu erhalten. Viele Menschen geben persönliche Daten preis, ohne darüber nachzudenken. Laut der von Symantec durchgeführten Umfrage „Norton Mobile Apps“ sind 68 Prozent der Befragten für eine kostenlose App bereit, verschiedene vertrauliche Daten anzugeben.86 Einige Opfer überwiesen sogar 0,99 US-Dollar an die Betrüger, um die Versand kosten für den in der oben beschriebenen Masche angebotenen Gutschein abzudecken. (Der Gutschein kam natürlich trotzdem nie an.) Die verlangte Geldsumme ist so gering, dass die Opfer sich kaum Gedanken darüber machen. Durch die Überweisung gelangen die Betrüger jedoch in den Besitz wertvoller Daten und das Geld selbst ist ein zusätzlicher Bonus.87 Betrugsversuche dieser Art sind auf Instagram besonders verbreitet. Das mag teilweise daran liegen, dass die Iden tität der Kontoinhaber dort nicht geprüft wird. Buchstäb lich jeder kann im Namen einer beliebigen echten oder erfundenen Person ein Konto für betrügerische Zwecke anlegen. Sobald ein anderer Instagram-Nutzer darauf hereingefallen ist, werden dessen Follower darauf auf merksam und möglicherweise ebenfalls zu Opfern. Sobald ein gefälschtes Konto genug Follower hat, ändern die Betrüger den Namen, das Foto und die Biografie, so dass die Opfer das Konto nicht wiederfinden und als Spam melden können, wenn sie die versprochene Belohnung nicht erhalten. Die Betrüger können das unkenntlich ge machte Konto mitsamt den Followern nun meistbietend verkaufen. Meist erscheint schon wenig später ein neues Konto mit demselben gefälschten Benutzerprofil. Dort wird dann behauptet, dass das alte Konto gehackt wurde, und der ganze Prozess beginnt von Neuem. Gefälschte Instagram-Konten, die tatsächliche Lottogewinner imitieren88 http://blog.instagram.com/post/104847837897/141210-300million https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170 http://www.slideshare.net/symantec/norton-mobile-apps-survey-report 87 http://www.symantec.com/connect/blogs/instagram-scam-lottery-winnersimpersonated-offer-money-followers 88 Bildquelle: http://www.symantec.com/connect/blogs/instagram-scam-lotterywinners-impersonated-offer-money-followers 84 85 86 Symantec Website Security Solutions I 67 Instant-Messaging-Plattformen Hackeropfer des Jahres 2014 unter den neuen, coolen Apps für soziale Netzwerke war Snapchat, eine App zum Versenden von Fotos und Videos, die die Sendungen 10 Sekunden nach dem Öffnen automatisch löscht. Im September 2014 wurden mehrere Snapchat-Konten gehackt und Freunde der Opfer erhielten Diätpillenwerbung mit einem verdächtigen Link. Snapchat zufolge hatten die Inhaber der gehackten Konten auf mehreren Plattformen dasselbe Kennwort verwendet und die Betrüger nutzten die bei einem Angriff auf eine andere Plattform erbeuteten Anmeldedaten zum Hacken der Snapchat-Konten.89 Die Sicherheits- und Datenschutzrichtlinien neuer sozialer Netzwerke sind oft nicht so streng, wie sie sein könnten oder sollten. Benutzer, die für mehrere Anwendungen dieselben Anmeldedaten verwenden und ungeprüfte Apps von Dritt anbietern nutzen, leisten Internetkriminellen ebenfalls Vorschub. Solange Benutzer die Risiken, denen sie sich damit aussetzen, nicht ernst genug nehmen, müssen wir damit rechnen, 2015 ähnliche Nachrichten über das nächste neue, coole soziale Netzwerk zu lesen. Kurz-URL-Dienste sind bei Spam-Autoren und anderen Nutzern sozialer Netzwerke gleichermaßen beliebt. Für Betrüger haben Kurz-URLs neben der geringeren Zeichenzahl noch einen weiteren wichtigen Vorteil: Aus einem bit.ly-Link lässt sich der Domänenname ihrer Spam-Website nicht ablesen. Wenn Betrüger ein „+“ an einen bit.ly-Link anhängen, können sie und ihre Komplizen sogar die Klickraten und andere statistische Werte über die „Besucher“ ihrer Website erfragen. Kurz-URLs werden nicht nur in Spam-E-Mails, sondern auch in Spam-SMS und Spam in sozialen Netzwerken verwendet. Im Oktober 2014 nahmen Hacker Snapchat erneut ins Visier. Riesige Mengen angeblich gelöschter Bilder tauchten nicht nur wieder auf, sondern waren nun auch öffentlich zugäng lich. Der Vorfall wurde im Internet „the Snappening“ getauft. Später stellte sich heraus, dass nicht Snapchat selbst, sondern eine Drittanbieter-App gehackt worden war, mit der manche Snapchat-Nutzer empfangene Bilder archivierten. Ein gehacktes Snapshot-Konto wird missbraucht, um Spam an alle Kontakte des Kontoinhabers zu schicken (rechts). Der Kontoinhaber wird von Snapshot benachrichtigt (links). 3 2 1 19. Jan. 2015 24. Jan. 2015 Beispiel: Klickraten der URL, die in der oben beschriebenen Snapchat-Betrugsmasche verwendet wurde 89 http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam 68 I Symantec Website Security Solutions 29. Jan. 2015 Dating-Angebote als Köder Pornografische und andere nicht jugendfreie Inhalte und Internetkriminalität gehen seit jeher Hand in Hand. Das war auch 2014 nicht anders. Betrugsversuche mit sexuell aufreizenden Inhalten wurden u. a. auf beliebten Dating-Apps wie Tinder und MessagingServices wie Snapchat und Kik Messenger beobachtet. Ziel der Betrüger war es, so viele Personen wie möglich dazu zu bewegen, eine externe Website zu besuchen und sich dort anzumelden. Im Rahmen eines Partnerprogramms erhielten die Betrüger dort eine Kommission.90 Dennoch finden sich immer wieder Personen, die auf Versprechen dieser Art hereinfallen. Bei einer Kampagne gelang es Internetkriminellen beispielsweise, in weniger als vier Monaten über eine halbe Million Klicks für sieben URLs zu generieren, die mit einer Website names Blamcams in Verbin dung standen.92 Die Masche ist und bleibt also lukrativ. Manche Partnerprogramme zahlen bereits, wenn ein Opfer ihre Website aufruft, andere nur dann, wenn es sich auch anmeldet und seine Kreditkartendaten angibt. Bei den Web sites handelt es sich in der Regel um gefälschte Websites, auf denen mit Phishing-Methoden Kreditkartendaten abgeschöpft werden. Manche Website-Betreiber zahlen 6 USDollar Kommission für jedes angeworbene „Mitglied“ und bis zu 60 US-Dollar für Leads, die Premium-Mitglieder werden.91 Das „Geschäft“ kann sich für die Spammer also durchaus lohnen (mehr dazu im Beitrag „Partnerprogramme machen Spam in sozialen Medien profitabel“ von Satnam Narang weiter unten). Bei den meisten Betrugsversuchen dieser Art erscheint zunächst das Profil einer attraktiven jungen Frau, die sexuell explizite Konversationen, Fotos, Webcam- oder interaktive Sitzungen verspricht. In Tinder enthielten die Profilbilder in einigen Fällen Werbetexte für Prostitution. Durch das Einbetten des Texts in ein Bild sollte der Spamfilter umgangen werden. Der Empfänger wird dann aufgefordert, einem Link zu folgen oder eine Website manuell aufzurufen, um die „junge Frau“ näher kennenzulernen. Mit dem attraktiven Profilbild hat er „sie“ allerdings bereits von ihrer besten Seite gesehen, denn „sie“ ist ein Skript, hinter dem keine echte Person steht. Beispiel einer Chat-Meldung des Spammers „Cam Girl“ bei Kik Messenger93 Ältere gefälschte Profile von Prostituierten auf Tinder http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 93 Taken from: http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 90 91 92 Symantec Website Security Solutions I 69 Malware in sozialen Medien „Unsoziales“ Networking auf dem Vormarsch Obwohl es bei Betrugsversuchen, die die persönliche Weiterleitung zur Verbreitung nutzen, in der Regel darum geht, die Klickrate oder Mitgliedszahl einer bestimmten Website zu erhöhen, soll ein gefährlicher Ausnahmefall im Jahr 2014 nicht unerwähnt bleiben. Bei diesem Betrugsversuch in Facebook wurden die Opfer zum Angriffs-Toolkit Nuclear umgeleitet. Wenn der Angriff gelang, konnten die Angreifer die Kontrolle über den Computer des Opfers übernehmen, weitere Malware herunterladen und Spam-E-Mails versenden.94 Sorgen und Probleme rund um das Thema Datenschutz, von der Überwachung durch Nachrichtendienste bis hin zur unkritischen Weitergabe personenbezogener Daten durch Serviceanbieter, haben die Entstehung neuer sozialer Netzwerke wie Secret, Cloaq, Whisper, ind.ie und Post Secret gefördert, die Datenschutz, den Schutz der Privatsphäre oder Anonymi tät als Alleinstellungsmerkmale nutzen. Plattformen dieser Art sind Oasen für Gerüchte, Geständnisse und mitunter auch die dunklere Seite der menschlichen Psyche. Befürwor tern zufolge wird die Geheimhaltung das Erfolgsrezept der sozialen Netzwerke der nächsten Generation sein.95,96 Kritiker geben zu bedenken, dass anonyme Plattformen wie 4chan das perfekte Forum für Trolle, Mobber und Kriminelle sind.97 Die Betreiber etablierter sozialer Netzwerke wie Twitter und Facebook versuchen, die Erwartungen ihrer Nutzer in puncto Datenschutz mit sogenannten Transparenzberichten und überarbeiteten Datenschutzrichtlinien zu erfüllen. Facebook gibt inzwischen beispielsweise bekannt, wie viele Informationsanforderungen es von Regierungsbehörden bekommt98, bei Twitter ist ein „Flüster-Modus“ im Gespräch99 und Google hat die Verschlüsselung der mit seinem E-Mail-Service Gmail versandten Nachrichten verbessert100. Bei Nachrichten, die ungewöhnlich sensationell klingen, ist daher generell Vorsicht geboten, auch wenn sie angeblich von einem Freund stammen. Wenn Sie an der Geschichte interessiert sind, sollten Sie eine vertrauenswürdige Informationsquelle aufrufen und dort nach dieser Meldung suchen. Für manche Menschen ist die Option, in einem sozialen Netzwerk anonym zu bleiben, sicher aus völlig legitimen Gründen attraktiv. Auch sie sollten jedoch bedenken, dass diese Freiheit auf sehr unangenehme Art ausgenutzt werden kann. In einigen Unternehmen und Organisationen gibt es bereits Verhaltensrichtlinien für soziale Medien, die für alle Mitarbeiter bindend sind. Die meisten Arbeitgeber müssen sich jedoch noch damit auseinandersetzen, dass in diesen neuen Umgebungen potenziell jeder ungestraft sagen und schreiben kann, was er will. Jedes Unternehmen sollte eine Richtlinie für elektronische Kommunikation und die techni schen Möglichkeiten zum Aufdecken von Verstößen gegen diese Richtlinie haben. Es geht vermutlich zu weit, Mitarbeitern die Nutzung sozialer Netzwerke zu verbieten. Die Fähigkeit, ihre Aktivitäten in diesen Medien zu verfolgen, kann jedoch sehr nützlich sein. http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/ 96 http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/ 97 Viele der damit verbundenen Probleme werden im englischen Wikipedia-Artikel über 4chan angesprochen, siehe http://en.wikipedia.org/wiki/4chan 98 https://www.facebook.com/about/government_requests 99 http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/ 100 http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/ 94 95 70 I Symantec Website Security Solutions Phishing Anteil der Phishing-E-Mails (ohne Spear-Phishing) am E-Mail-Aufkommen insgesamt 1 von 1000 965 750 500 250 414 392 2012 2013 2014 Quelle: Symantec I .cloud Nach einem Rückgang zwischen Juni und September stieg die Anzahl der Phishing-E-Mails im letzten Quartal 2014 wieder an. Im Jahresdurchschnitt lag der Anteil der PhishingE-Mails am gesamten E-Mail-Aufkommen mit 1 von 965 dennoch deutlich unter dem Vorjahreswert von 1 von 392. Gegen Jahresende gab der schlagzeilenträchtige Diebstahl von Fotos aus den Apple-Konten mehrerer Prominenter PhishingAngriffen erneut Auftrieb. Apple-Konten waren schon immer ein beliebtes Ziel für Phishing und Zweifel über die Sicherheit dieser Konten wurden sofort ausgenutzt. Phishing-Aufkommen 2012–2014 200 400 600 800 1 von 1000 1200 1400 1600 1800 2000 2200 J M M J 2012 S N J M M J 2013 S N J M M J S N 2014 Quelle: Symantec I .cloud Symantec Website Security Solutions I 71 Angreifer nutzten das Botnetz Kelihos zum Versenden einer regelrechten Welle von Nachrichten, mit denen vorgeblich Einkäufe überprüft wurden, die vom iCloud-Konto des Opfers, aber von einem Gerät und einer IP-Adresse aus getätigt worden seien, die das Opfer bislang nicht verwendet habe. Die Opfer wurden aufgefordert, ihr Apple-Konto so schnell wie möglich über einen in der Nachricht enthaltenen Link zu prüfen. Der Link führte zu einer Nachahmung der Apple-Website, auf der die Anmeldedaten des Apple-Kontos des Opfers abgefragt wurden. Betrüger nutzen verschiedene Methoden, um zu verhindern, dass Browser beim Öffnen einer Phishing-Website eine Warnmeldung anzeigen. Ein aktuelles Beispiel ist die Verschlüsselung mit AES (Advanced Encryption Standard), die 2014 sprunghaft anstieg. Verschlüsselte Inhalte werden bei einer oberflächlichen Analyse übergangen und daher nicht als Phishing-Versuche erkannt. Deshalb zeigt der Browser keine Warnmeldung an und die anvisierten Opfer fallen mit größerer Wahrscheinlichkeit auf den Phishing-Versuch herein.102 Kriminelle nutzten dieselbe Masche in verschiedenen Varianten immer wieder, um Anmeldedaten für Konten in sozialen Medien, Online-Banking und E-Mail-Konten zu erbeuten. Die meisten Phishing-Versuche werden per E-Mail oder in sozialen Medien verbreitet. In sozialen Medien wird oft eine Nachrichtenmeldung als Aufhänger benutzt, 2014 beispielsweise die Ebola-Epidemie und verschiedene Skandale um Prominente. Die Opfer werden dann aufgefordert, auf einen Link zu klicken und sich anzumelden, um angeblich einen Artikel lesen oder ein Video ansehen zu können. In Phishing-E-Mails werden manchmal ebenfalls Nachrichten meldungen als Aufhänger verwendet, aber die Betrüger haben es in der Regel auf Anmeldedaten für beruflich genutzte Konten für Online-Banking, in der Cloud gespeicherte Daten, LinkedIn- oder E-Mail-Konten abgesehen.101 Mitunter werden Phishing-E-Mails auch als aktuelle Meldungen zur OnlineSicherheit oder Benachrichtigungen über verdächtige Aktivi täten getarnt. Der Empfänger wird dann aufgefordert, seine Daten für eine angebliche Prüfung auf der Phishing-Website einzugeben, von wo sie natürlich direkt an die Betrüger weitergeleitet werden. Beispiel einer Phishing-E-Mail103 Anzahl von Phishing-URL in Sozialen Medien 2009–2014 Quelle: Symantec I .cloud 60 Tausend 50 40 30 20 10 0 2010 2011 2012 2013 2014 LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox 102 http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes 103 Bildquelle: http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign 101 72 I Symantec Website Security Solutions E-Mail-basierte Betrugsversuche und Spam Der Rückgang E-Mail-basierter Angriffe ist nicht nur bei Phishing-Versuchen zu beobachten. Der Anteil von Spam am E-Mail-Volumen insgesamt geht ebenfalls zurück. In den letzten drei Jahren fiel der Anteil von Spam am globalen E-Mail-Aufkommen von 69 Prozent im Jahr 2012 auf 66 Prozent im Jahr 2013 und 60 Prozent 2014. Der Trend ist natürlich erfreulich, sollte aber nicht darüber hin wegtäuschen, dass E-Mail-basierte Betrugsversuche noch immer sehr weit verbreitet und für Kriminelle sehr einträglich sind. Im Oktober machte Symantec auf eine regelrechte Welle eines bestimmten E-Mail-Betrugs aufmerksam. Die E-Mails wurden vorrangig an Mitarbeiter der Finanzabteilung von Unternehmen geschickt und enthielten die Anweisung zu einer Zahlung per Kreditkarte oder telegrafischer Geldüberweisung. In manchen Fällen wurden die Absenderdaten gefälscht, um den Eindruck zu erwecken, dass der CEO oder ein anderer führender Mitarbeiter des Unternehmens der Absender wäre. Die für die Überweisung erforderlichen Daten befanden sich entweder in einem Anhang an die E-Mail oder sollten vom Opfer per E-Mail erfragt werden.104 Der Anstieg bei Betrugsversuchen dieser Art ist vermutlich darauf zurückzuführen, dass die in Unternehmen verwendeten E-Mail-Anwendungen inzwischen in der Lage sind, Malware-Anhänge zu erkennen. Allerdings wird diese Funktionalität noch längst nicht in allen Unternehmen genutzt, obwohl auch E-Mails mit Malware-Anhang noch immer weit verbreitet sind. Der starke Anstieg schädlicher Links anstelle von MalwareAnhängen in Betrugs-E-Mails gegen Ende des Jahres 2014 ist hingegen auf einen Wandel in der Taktik der Betrüger und die steigende Nutzung von Social Engineering in Betrugsversuchen dieser Art zurückzuführen. Anteil von Spam am E-Mail-Volumen insgesamt 60 % 2014 66 % −6 % 2013 69 % −3 % 2012 Quelle: Symantec I Brightmail Geschätztes Spam-Volumen pro Tag weltweit 2014 2013 2012 28 Milliarden 29 Milliarden 30 Milliarden –1 % –1 % Quelle: Symantec I Brightmail 104 http://www.symantec.com/connect/blogs/scammers-pose-companyexecs-wire-transfer-spam-campaign Symantec Website Security Solutions I 73 Partnerprogramme machen Spam in sozialen Medien profitabel Satnam Narang Wenn Sie in den letzten zehn Jahren auch nur gelegentlich ein soziales Netzwerk besucht haben, sind Sie vermutlich auf mindestens einen der folgenden Aufhänger gestoßen: • Angebote von kostenlosen Smartphones, Flugtickets oder Gutscheinen, • sensationelle Nachrichten über Prominente (Sexvideos, Tod), • unglaubliche internationale Nachrichten (insbesondere über Naturkatastrophen), • diverse Angebote von angeblichen Prostituierten. Sobald ein soziales Netzwerk einen gewissen Beliebtheitsgrad erreicht, wird dies von Betrügern ausgenutzt. Trotz der unterschiedlichen sozialen Netzwerke und verwendeten Maschen haben alle diese Betrugsversuche eins gemeinsam: Betrügerische Partnerprogramme machen sie lohnenswert. Partnerprogramme sind eine beliebte Methode zur Umsatz steigerung im Online-Handel. Unternehmen nutzen Vertriebs partner, um ihre Produkte zu bewerben und zu verkaufen. Ein Partner präsentiert beispielsweise ein Buch auf seiner Website und zeigt einen Link zu einem Händler an, der dieses Buch verkauft. Im Gegenzug erhält der Partner für jedes verkaufte Exemplar des Buches eine kleine Kommission. Partnerprogramme werden gleichermaßen von seriösen Un ternehmen und Kriminellen genutzt. Und in manchen Fällen ist auch der eine oder andere Partner eines seriösen Händlers bereit, seine Einnahmen aus dem Partnerprogramm mit skrupellosen Methoden zu steigern. Mitglieder eines Partnerprogramms hängen ihre MitgliederID an den Link zum Angebot des Händlers an, den sie auf ihrer Website anzeigen. So kann der Händler erkennen, welcher Partner einen Kunden angeworben und die entsprechende Kommission verdient hat. 74 I Symantec Website Security Solutions Betrüger nutzen Partnerprogramme aus, um in sozialen Netzwerken Geld zu erschwindeln. Sie bringen Nutzer dazu, ein Formular auszufüllen oder sich für ein Premiumangebot oder einen Service anzumelden und leiten die ergaunerten Daten an das Partnerprogramm weiter. Die im Rahmen des Partnerprogramms gezahlte Kommission ist ihr Gewinn. Seriöse Händler und einige Partnerprogramme haben ver sucht, Betrugsversuche in ihrem Namen zu unterbinden. Doch wie überall gilt auch hier, dass Betrüger immer wieder dort anzutreffen sind, wo es Geld zu ergaunern gibt. Händler sollten ihre Partner daher so gut wie möglich kennen und auf transparenten Geschäftsmethoden bestehen. Angaben über diese halblegalen Partnerprogramme und die Kommissionen, die sie zahlen, sind ungewiss. Da die Betreiber der Programme sich meist weigern, Daten heraus zugeben, ist schwer einzuschätzen, wie lukrativ das Geschäft für die Betrüger ist. Die Teilnahmebedingungen der meisten Partnerprogramme sind jedoch öffentlich zugänglich und enthalten klare Angaben darüber, für welche Aktivitäten eine Kommission gezahlt wird. Im Beispiel oben sollen Partner beispielsweise eine Werbung für eine Visa-Geschenkkarte im Wert von 1500 US-Dollar anzeigen. Sie erhalten eine Kommission von 1,40 US-Dollar für jede Person, die auf die Werbung klickt und ihre E-Mail-Adresse angibt. Die Benutzer aller sozialen Netzwerke sollten extrem vorsich tig sein, wenn ihnen kostenlose Gadgets, Geschenkkarten oder Flugtickets angeboten werden oder wenn attraktive Frauen sie auffordern, ein Konto bei einer nicht jugendfreien Online-Dating- oder Webcam-Website einzurichten. Wenn sie als Nächstes aufgefordert werden, an einer Umfrage teil zunehmen oder sich für einen Service anzumelden und ihre Kreditkartendaten anzugeben, handelt es sich höchstwahr scheinlich um einen Betrugsversuch. Wie die alte Volksweis heit sagt, wenn es zu gut scheint, um wahr zu sein, ist es das wahrscheinlich auch. Auf der beliebten Online-Dating-Plattform Tinder fanden wir Links zu nicht jugendfreien Dating-Services und WebcamWebsites, die ein Partnerprogramm betreiben. Diese Websites enthalten Informationen über die gezahlte Kommission. Eine von uns untersuchte Website zahlt bis zu 6 US-Dollar für jeden Nutzer, der ein Konto einrichtet, und bis zu 60 USDollar, wenn ein Nutzer Premiumservices abonniert. Die Abonnementgebühren werden in der Regel per Kreditkarte bezahlt. Angesichts dieser Preisstruktur scheint es besonders lukrativ, Abonnenten für Premiumservices zu gewinnen. Die meisten Betrüger, die an diesem Programm teilnahmen, konnten allerdings deutlich mehr Opfer überzeugen, Konten einzurichten, als Premiumservices zu abonnieren. Der Großteil ihres Gewinns kam daher aus der bescheideneren Kommission von 6 US-Dollar. Die gelegentlichen 60 US-Dollar waren für sie ein nettes Extra. Symantec Website Security Solutions I 75 Phishing an neuen Ufern Nicholas Johnston Symantec scannt einen erheblichen Teil des weltweiten E-Mail-Aufkommens. Vor Kurzem wurden so Phishing-Angriffe auf Institutionen in Ländern aufgedeckt, die wir bislang nicht für gefährdet gehalten hatten. Bei Phishing-Angriffen geht es Betrügern darum, vertrauliche Daten zu stehlen, die sie zu Geld machen können. Den meisten Menschen fallen vermutlich nicht zuerst Angola und Mosambik ein, wenn sie an mögliche Angriffs ziele denken. Mosambik, an der Ostküste Südafrikas, ist ein Schwellenland, das trotz seiner großen natürlichen Reichtümer auf Entwicklungshilfe angewiesen ist. Das Bruttoinlandsprodukt beträgt etwa 600 US-Dollar pro Person. Angola, an der Westküste des Kontinents, hat ein deutlich höheres BIP von knapp 6000 US-Dollar pro Person. Statis tisch gesehen sind beide Länder jedoch arm. (Zum Vergleich: Das durchschnittliche Bruttoinlandsprodukt weltweit liegt bei 10 400 US-Dollar pro Person, Deutschland hat ein BIP von knapp 45 000 US-Dollar pro Person.) Dennoch wurde eines der führenden afrikanischen Finanz institute vor Kurzem mit einer Phishing-Kampagne ange griffen. Die E-Mails kamen scheinbar von einer Bank in Mosambik. Die Betreffzeile lautete „Mensagens & alertas: 1 nova mensagem!“ (Nachrichten & Warnungen: 1 neue Nachricht!) Ein im Text der E-Mail enthaltener Link führte zu einer gefälschten Version der Website der Bank, wo der Empfänger aufgefordert wurde, eine Reihe von Daten zu seinem Bankkonto anzugeben. Mit diesen Daten konnten die Angreifer das Konto übernehmen. Warum werden Finanzinstitute in diesen Ländern ange griffen? Wir können diese Frage nicht mit Bestimmtheit beantworten, aber einer der Hauptrisikofaktoren für Phishing-Angriffe ist, wie schwer das Erstellen einer Phishing-Website ist. Im Verlauf des Jahres 2014 fanden wir eine ganze Reihe sogenannter „Phish Kits“, d. h. mit ZIP komprimierte Phishing-Websites, die auf einem neu gehackten Webserver nur extrahiert werden müssen. Aus Sicht des Angreifers ist Phishing eine einfache und wenig aufwendige 76 I Symantec Website Security Solutions Angriffsform. Sie können Konkurrenten aus dem Weg gehen, indem sie sich auf kleine oder hoch spezialisierte Finanzinstitute konzentrieren. Zudem sind Internetnutzer in Schwellenländern weniger für Phishing sensibilisiert als in Europa oder den USA. Die für die Phishing-Angriffe in Angola und Mosambik verantwortlichen Internetkriminellen sind vermutlich dort oder in einem der Nachbarländer ansässig. Auf Phishing in Industrieländern spezialisierte Betrüger sind wahrscheinlich nicht an den relativ kleinen Summen interessiert, die sie in Angola oder Mosambik erbeuten könnten. Für einen Internetkriminellen in Angola, Mosambik oder einem ande ren Land der Region können dieselben, nach westlichen Standards kleinen Beträge jedoch durchaus attraktiv sein. Für einen Betrüger in Angola oder Mosambik ist es mögli cherweise auch einfacher, gestohlene Daten vor Ort zu nutzen, als sie zu verkaufen. Wir gehen davon aus, dass Phishing-Angriffe in Zukunft weiter zunehmen werden, denn je mehr Menschen das Internet nutzen, um mit Unternehmen zu interagieren und Dienstleistungen in Anspruch zu nehmen, desto mehr potenzielle Ziele stehen den Angreifern zur Auswahl. Gleich zeitig wird es für Anfänger immer einfacher, in diesem „Markt“ Fuß zu fassen. Sogar Institutionen in Bhutan, einem kleinen und relativ isolierten Königreich im Osten des Himalaya, wurden bereits zum Ziel von Phishing-Angriffen. Das ist der vielleicht beste Beweis dafür, dass nichts und niemand vor Phishing-Angriffen sicher ist. Ausblick Rückblick + Einblick = Weitblick 77 I Symantec Website Security Solutions Ausblick Sicherheitsschulung als Computerspiel Der vielleicht bekannteste Sicherheitsberater des 15. Jahr hunderts, Niccolo Machiavelli, sagte einmal: „Menschen sind so töricht und so darauf erpicht, sich ihre flüchtigen Wünsche zu erfüllen, dass Betrüger immer wieder jemanden finden, der sich betrügen lässt.“ weiß-Bewertungen, die eine Infrastruktur als „sicher“ oder „unsicher“ einstufen, sind überholt. Stattdessen sollten Sie einen nuancierten Ansatz nutzen, indem Sie Trends und Symptome ähnlich wie in der medizinischen Diagnostik analy sieren und eine „Therapie“ empfehlen, die bei der Situation angepassten Verhaltensmustern ansetzt. Der menschliche Faktor spielt in der Online-Sicherheit eine ebenso große Rolle wie die Technik. Je mehr ein Benutzer weiß, desto besser kann er mit Bedrohungen umgehen. Das trifft auf informierte Verbraucher, die Betrugsversuche durchschauen, ebenso zu wie auf gut geschulte Beamte, die nicht auf gezielte Social-Engineering-Maschen hereinfallen. In technischer Hinsicht bedeutet dies, dass auf jedem Endpunkt, Gateway und E-Mail-Server Software installiert werden sollte, die das Ausschleusen gestohlener Daten ver hindert. Außerdem muss der Datensicherung und -wiederherstellung größere Bedeutung beigemessen werden, als dies heutzutage meist der Fall ist. Dasselbe trifft auf die Planung für das Aufdecken und Abwehren von Angriffen zu. Die Autoren möchten damit keinesfalls zur Verzweiflung raten. Natürlich wäre es falsch, die Verteidigung aufzugeben und Kriminellen damit Tür und Tor zu öffnen. Es ist jedoch besser, auf das Schlimmste vorbereitet als hinterher klüger zu sein.107 In diesem Zusammenhang ist die sogenannte Gamification105, also die Anwendung spieltypischer Elemente und Methoden, bei der Vermittlung von Kenntnissen und Fähigkeiten rund um die Online-Sicherheit interessant. Einfache Computerspiele erfüllen den menschlichen Wunsch nach sofortiger Belohnung. Sicherheitsexperten sollten dasselbe Prinzip nutzen, um das Benutzerverhalten nachhaltig zu beeinflussen. Mithilfe von Computerspielen könnten Benutzer zum Beispiel üben, Phishing-E-Mails zu erkennen oder sich starke Kennwörter auszudenken und zu merken. Die Autoren sehen nicht nur einen großen Bedarf, sondern auch eine erhebliche Geschäftschance in diesem Bereich in den nächsten Jahren. Simulation im Dienst der Sicherheit Mithilfe von Simulationen oder „Manövern“ können die Ver antwortlichen in Unternehmen sich auf Sicherheitsverletzun gen vorbereiten und die Fähigkeiten und Grenzen ihrer eige nen Abwehrmaßnahmen besser kennenlernen. Dazu können beispielsweise herkömmliche Penetrationstest erweitert werden, sodass nicht nur Schwachstellen gefunden, sondern auch die Reaktion auf einen entsprechenden Angriff und die Beseitigung der entstandenen Schäden simuliert werden. So können die Sicherheitsbeauftragten in Unternehmen besser geschult und auf den Ernstfall vorbereitet werden. Regierungen haben dies bereits erkannt: Im Januar 2015 vereinbarten der britische Premierminister David Cameron und US-Präsident Barack Obama „Manöver“, bei denen die beiden Länder Internetangriffe aufeinander simulieren.106 Unternehmen sollten diesem Beispiel so bald wie möglich folgen. Hartnäckige Angreifer lassen sich kaum abwehren Im ständigen Kampf zwischen Angreifern und den Sicher heitsverantwortlichen eines Unternehmens sind die Kriminellen im Vorteil, denn Erfolg bedeutet für sie, ein beliebiges von unendlich vielen „Gefechten“ zu gewinnen. Die IT-Abteilung kann sich dagegen nur als erfolgreich betrachten, wenn sie alle „Gefechte“ gewinnt. IT-Manager (und die Kunden des Un ternehmens) müssen daher auf das Schlimmste vorbereitet sein. Leider gibt es keine Technik, mit der sich ein Unterneh men quasi in einen „Schutzpanzer“ einigeln kann, um gegen alle Formen der Internetkriminalität einschließlich der hart näckigsten gezielten Angriffe gefeit zu sein. Sie sollten also davon ausgehen, dass Ihr Unternehmen in Kürze gehackt werden wird oder dass dies bereits geschehen ist. Schwarz„Gamification“ aus einem Interview mit Efrain Ortiz http://www.bbc.co.uk/news/uk-politics-30842669 „Gehen Sie davon aus, dass Sie gehackt wurden“ aus einem Interview mit Efrain Ortiz 108 Efrain Ortiz 109 http://www.informationweek.com/software/operating-systems/ windows-xp-stayin-alive/d/d-id/1279065 110 Interview mit Candid Wüest 111 Interview mit Vaughn Eisler 105 106 107 Informationsaustausch zwischen Unternehmen Informationsaustausch zwischen Unternehmen ist für die Sicherheit unverzichtbar.108 In der Vergangenheit galt in vielen Unternehmen die Devise, dass nach Möglichkeit keine Unternehmensinterna nach „außen“ dringen durften, damit „die Konkurrenz“ nicht davon erfuhr. Das führte dazu, dass jedes Unternehmen seinen eigenen Kampf gegen die Internetkriminalität führte und dabei ganz auf sich allein gestellt war. Die Autoren sind jedoch der Meinung, dass Unterneh men ihre Informationen und Erfahrungen untereinander austauschen sollten, um Internetkriminellen gemeinsam die Stirn zu bieten. Lösungen, die dies ermöglichen, ohne dabei vertrauliche Unternehmensdaten offenzulegen, werden in Zukunft an Bedeutung gewinnen. Bei einem elektronischen Datenaustausch könnten beispielsweise Hashwerte, Binär attribute, Sympome usw. übermittelt werden, ohne geistiges Eigentum oder Daten preiszugeben, die für einen Angriff missbraucht werden könnten. Unsichere Betriebssysteme Im Juli 2014 wurden auf einem Viertel aller PCs noch immer Windows XP und Office 2003 genutzt,109 obwohl diese von Microsoft nicht mehr unterstützt und aktualisiert werden. Viele Benutzer wollen den daraus entstehenden Handlungsbedarf einfach nicht wahrhaben und sind neuen Bedrohungen nun schutzlos ausgesetzt.110 Das stellt ein erhebliches Sicherheitsrisiko für das kommende Jahr dar. Unternehmen müssen alternative Methoden zum Schutz eingebetteter Systeme mit veralteten Betriebssystemen finden, um den Zeitraum bis zur Aktualisierung oder Ersetzung dieser Syste me zu überbrücken. Internet der Dinge Immer mehr Verbraucher kaufen Smartwatches, FitnessTracker, holografische Brillen und anscheinend jedes noch so verrückte tragbare Gerät, das in Silicon Valley oder Shenzhen entwickelt wird. Bei der Sicherheit dieser Geräte besteht jedoch oft dringender Verbesserungsbedarf, denn auf diesem schnelllebigen Markt hat die Innovation bislang einen höheren Stellenwert als der Schutz der Privatsphäre. Solange Regierungen keine diesbezüglichen Gesetze erlassen, kein Angriff auf diese Geräte Schlagzeilen macht und die Verbraucher nicht von sich aus besser gesicherte Geräte verlangen, ist es jedoch unwahrscheinlich, dass Hersteller unaufgefordert mehr in den Schutz der Privatsphäre ihrer Kunden investieren.111 Symantec Website Security Solutions I 78 Empfehlungen und Best Practices 79 I Symantec Website Security Solutions Trotz der 2014 bekannt gewordenen Schwachstellen sind SSL und TLS nach wie vor der Goldstandard für den Schutz der Besucher Ihrer Website und der Daten, die diese Besu cher an Ihr Unternehmen schicken. Der Medienrummel um Heartbleed hat sogar dazu geführt, dass viele Unternehmen zusätzliche SSL-Entwickler einstellten. Diese korrigieren nun alten und erstellen neuen Code. Vielleicht noch wichtiger ist jedoch, dass die SSLBibliotheken und die bei ihrer Implementierung benutzten Prozesse nun von mehr Exper ten begutachtet werden als zuvor. Stärkere SSLVerschlüs selung Die mit SSL-Zertifikaten genutzten Algorithmen wurden 2014 stärker. Symantec und mehrere andere Zertifizierungsstellen nutzen nun standardmäßig SHA-2 und stellen die Unterstützung für Root-Zertifikate mit 1024-Bit-Schlüsseln nach und nach ein. Microsoft und Google gaben Pläne zur Ablehnung von SHA-1Zertifikaten bekannt, von denen Websites mit solchen Zertifikaten schon ab 1. Januar 2016 betroffen sein könnten. Anders ausgedrückt: Wenn Sie noch nicht auf SHA-2-Zertifikate umgestellt haben, sehen Benutzer des Webbrowsers Chrome wahrscheinlich schon jetzt Warnmeldungen, wenn sie Ihre Website aufrufen. Ab 1. Januar 2017 wird es nicht mehr möglich sein, Websites mit SHA-1-Zertifikaten im Internet Explorer anzuzeigen. Symantec treibt auch die Nutzung des Verschlüsselungsalgorithmus ECC voran, der deutlich schwieriger zu knacken ist als RSA. Zertifikate, die ECC zur Verschlüsselung nutzen, werden inzwischen von allen gängigen Browsern auf allen modernen Plattformen unterstützt, auch auf Mobilgeräten. Der Algorithmus hat drei wichtige Vorteile: 1. Stärkere Sicherheit: Verglichen mit dem heutigen Branchenstandard, einem RSA-Schlüssel mit 2048 Bit, ist ein ECC-Schlüssel mit 256 Bit 64 000-mal schwerer zu knacken. Das Knacken einer mit ECC verschlüsselten Nachricht mit Brute-Force-Methoden würde also deutlich mehr Zeit und Rechenleistung erfordern als das Knacken einer mit RSA verschlüsselten Nachricht. 2. Bessere Leistung: Früher waren Website-Betreiber besorgt, dass die Leistung ihrer Websites durch das Installieren von SSL zu sehr beeinträchtigt würde. Auf manchen Websites wurden deshalb nur einzelne Seiten mit SSL geschützt, wodurch Sicherheitslücken entstanden. ECC-Verschlüsselung erfordert weniger Rechenleistung als RSA-Verschlüsselung, sodass ein Webserver mehr Verbindungen und mehr WebsiteBesucher gleichzeitig bedienen kann. Dadurch wird der angeratene Umstieg auf Always-On SSL technisch machbar. 3. Folgenlosigkeit: Die Folgenlosigkeit (Perfect Forward Secrecy, PFS) ist zwar sowohl mit RSA- als auch mit ECC-Zertifikaten möglich, doch mit ECC-Zertifikaten ist die Leistung deutlich besser. Warum ist das so wichtig? Wenn ein Hacker in den Besitz Ihrer privaten Schlüssel gelangt und Sie die Folgenlosigkeit nicht nutzen, kann er bei früheren Lauschangriffen abgefangene Daten mit diesem Schlüssel entschlüsseln. Heartbleed hat gezeigt, wie ernst dieses Problem genommen werden sollte. Wenn Sie Folgenlosigkeit nutzen, können Hacker, die Ihre privaten Schlüssel gestohlen haben, damit nur Daten entschlüsseln, die von diesem Zeitpunkt an mit diesem Schlüssel verschlüsselt werden. Das können Sie natürlich durch das Ersetzen der Schlüssel vermeiden und ältere Daten können nicht mehr entschlüsselt werden. Eine der Lehren des Jahres 2014 ist, dass SSL nur so sicher ist wie die Implementierung und Pflege des jeweiligen Zertifikats. Deshalb sind die folgenden Best Practices wichtig: • I mplementieren Sie Always-On SSL: Schützen Sie alle Seiten Ihrer Website mit SSL, damit alle Transaktionen zwischen einem Besucher und Ihrer Website authentifiziert und verschlüsselt werden. Richtige Nutzung von SSL •Halten Sie Ihre Server auf dem neuesten Stand: Das trifft nicht nur auf SSL-Bibliotheken zu. Alle Patches und Updates sollten so rasch wie möglich eingespielt werden. Denken Sie daran, dass Softwareanbieter nur dann Patches oder Updates herausgeben, wenn sie eine Schwachstelle gefunden und behoben haben. • Z eigen Sie bekannte Vertrauensmarken an: Binden Sie das Norton Secured-Siegel oder eine andere bekannte Vertrauensmarke gut sichtbar in Ihre Website ein, um Ihren Besuchern zu signalisieren, dass Sie auf Sicherheit Wert legen. • S cannen Sie Ihre Website: Durchsuchen Sie Ihre Webserver und Website regelmäßig nach Schwachstellen und Malware. • H alten Sie Ihre Serverkonfiguration auf dem neuesten Stand: Deaktivieren Sie die Unterstützung für veraltete, unsichere Versionen des SSL-Protokolls wie SSL2 und SSL3. Implementieren Sie neue Versionen des TLS-Protokolls wie TLS1.1 und TLS1.2 und sorgen Sie dafür, dass diese vorrangig benutzt werden. Nutzen Sie Tools wie die SSL Toolbox von Symantec, um die Konfiguration Ihrer Server zu überprüfen.iv http://www.symantec.com/page.jsp?id=1024-bit-certificate-support http://www.symantec.com/en/uk/page.jsp?id=sha2-transition iii http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa iv https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp i ii Symantec Website Security Solutions I 80 Gesunder Menschenverstand und einige einfache, konsequent angewandte Regeln können viel dazu beitragen, dass die Server und die Website Ihres Unternehmens sicher bleiben. Sorgen Sie dafür, dass alle Ihre Mitarbeiter die folgenden Regeln kennen und befolgen: •Öffnen Sie keinen E-Mail-Anhang, wenn Sie den Absender der E-Mail nicht kennen. Sensibili sierung der Mitarbeiter •Denken Sie besonders in sozialen Medien daran, dass topaktuelle Themen oft als Aufhänger für Betrugsversuche dienen, dass nicht alle Links zu echten Anmeldeseiten führen und dass Angebote, die zu gut klingen, um wahr zu sein, dies meistens auch sind. •Wenn eine Website oder App Zwei-Faktor-Authentifizierung anbietet, sollten Sie diese nutzen. •Nutzen Sie nie für zwei Online-Konten oder Anwendungen dasselbe Kennwort. Das ist insbesondere bei Websites und Services wichtig, die Sie beruflich nutzen. •Nutzen Sie Ihren gesunden Menschenverstand. Auch wenn Sie Antivirensoftware installiert haben, sollten Sie keine Websites aufrufen, die als schädlich bekannt oder verdächtig sind. Kriminelle gehen bei der Ausbeutung des Internets heute aggressiver, raffinierter und rücksichtsloser vor denn je. Dennoch sind Verbraucher und Unternehmen ihnen keineswegs schutzlos ausgeliefert. Schwache Sicherheit kann peinlich werden v Die Öffentlichkeit interessiert sich nun für SSL und die Website-Sicherheit und wenn Sie den Schutz der Besucher Ihrer Website vernachlässigen, finden Sie sich möglicherweise auf „HTTP Shaming“ wieder, einer von Softwareingenieur Tony Webster betriebenen Website, auf der Anwendungen und Services mit schwachen Sicherheitsvorkehrungen angeprangert werden. Für Unternehmen und deren Websites sind gute Sicherheitsmaßnahmen und -prozesse ein unverzichtbarer Schutz vor Reputationsverlust und finanziellem Ruin. Deshalb sollten Sie Ihr Unternehmen 2015 mit Symantec schützen. http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/ 81 I Symantec Website Security Solutions Über Symantec Symantec Corporation (NASDAQ: SYMC) ist ein Anbieter von Informations sicherheitslösungen, die es Verbrauchern, Unternehmen und Behörden ermöglichen, die Vorteile der modernen Technik überall und jederzeit sicher zu nutzen. Das im April 1982 gegründete Fortune-500-Unternehmen betreibt eines der weltweit größten Netzwerke für die Erfassung sicherheits relevanter Informationen und stellt hervorragende Sicherheits-, Backupund Verfügbarkeitslösungen für Umgebungen her, in denen wichtige Daten gespeichert, genutzt und weitergegeben werden können. Symantec hat über 20 000 Mitarbeiter in mehr als 50 Ländern. 99 Prozent aller Fortune500-Unternehmen sind Kunden von Symantec. Im Steuerjahr 2013 erwirt schaftete das Unternehmen einen Umsatz von 6,9 Milliarden US-Dollar. Weitere Informationen finden Sie unter www.symantec.de. Sie können auch unter www.symantec.com/de/de/social direkt Kontakt mit uns aufnehmen. Zusätzliche Informationen • Symantec weltweit: http://www.symantec.de/ • Internet Security Threat Report (ISTR) und andere Symantec-Ressourcen zur Online-Sicherheit: http://www.symantec.com/de/de/threatreport/ • Symantec Security Response: http://www.symantec.com/de/de/security_response/ • Norton Threat Explorer: http://de.norton.com/security_response/threatexplorer/ • Norton Cybercrime Index: http://de.norton.com/cybercrimeindex/ 82 I Symantec Website Security Solutions Die Bürozeiten und Durchwahlen einzelner Länder finden Sie auf unserer Website. Produktinformationen für Deutschland, Österreich und die Schweiz erhalten Sie unter 0800 128 1000 (kostenlos aus DE), 0800 208899 (kostenlos aus AT) oder +41 26 429 7726. Symantec Deutschland Symantec Deutschland GmbH Wappenhalle Konrad-Zuse-Platz 2–5 81829 München www.symantec.de/ssl © 2015 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo, das Häkchen im Kreis und das Norton Secured-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Partnerunternehmen in den USA und anderen Ländern. Andere Namen sind möglicherweise Marken ihrer jeweiligen Inhaber.