Sicherheit im Cloud-Zeitalter
Piratenimperium vs. gallische Wolke
Nachdem in den letzten Jahren komplexe, lang anhaltende Angriffe (Advanced Persistent Threats, APTs) im Rampenlicht standen, diskutiert man heute meist profanere Themen: Schwachstellen, die nach Monaten noch nicht behoben sind, Geldüberweisungen, die aufgrund gefälschter E-Mails getätigt werden, oder auch Erpressersoftware, die Nutzerdaten verschlüsselt. Ein Problem dabei: Oftmals steht den Fortschritten der Cybercrime-Industrie ein zu langsames Nachziehen seitens der Unternehmens-IT gegenüber.
Im digitalen Raum funktioniert manches anders als im "richtigen Leben" - und das Umdenken bereitet uns immer wieder Probleme, wie unser Sprachgebrauch verrät. So heißt es zum Beispiel stets, die Unternehmen müssten sich mittels DLP ("Data Loss Prevention" oder "Data Leakage Prevention") vor dem Diebstahl oder Verlust interner Daten schützen - dabei werden in solchen Fällen die Datensätze gar nicht entwendet, sondern vielmehr kopiert. Tatsächlich stehlen können Angreifer Datenbestände hingegen durch Ransomware, also mittels unerwünschter Verschlüsselung von Dateien oder ganzen Rechnern: Ransomware wendet die Verschlüsselung - eines der Standardwerkzeuge der IT-Sicherheitsindustrie - gegen "die Guten". Dieser Diebstahl funktioniert zumindest dann, wenn kein aktuelles Backup der Daten vorliegt. Manch ein Anwender oder Unternehmen wird damit dieser Tage schmerzlich daran erinnert, dass "Backup! Backup! Backup!" nicht umsonst als Sicherheitsregel Nummer eins gilt.
Epidemie Erpressersoftware
Laut Verizons "Data Breach Investigations Report" für 2016 ist Ransomware inzwischen die zweithäufigste Form von Crimeware (nach C2- oder "Command and Control"-Malware zur Übernahme fremder Rechner, die etwa für Botnets Verwendung findet). Zwar konnte man mit Entschlüsselungs-Tools, wie man sie auf www.nomoreransom.org findet, bereits einige Erfolge gegen Ransomware à la Petya, Cryptowall und Co. erzielen; dennoch warnt Cisco in seinem aktuellen "Midyear Security Report" davor, dass Erpressersoftware sich schnell weiterentwickelt und damit für Privatanwender wie auch Unternehmen ein wachsendes Risiko darstellt.
Ciscos Halbjahresbericht legt dar, dass Ransomware das von Würmern und Botnets her bekannte Verfahren automatisierter Ausbreitung übernimmt. Die Ausbreitung könne per Ausnutzen von Softwareschwachstellen erfolgen, durch Replikation auf alle erreichbaren Laufwerke (inklusive USB-Drives und Cloud-Fileshares), aber auch durch Backdoors und sogar unter Verzicht auf klassische C2-Infrastrukturen: Ransomware könne darauf ausgelegt sein, sich automatisch möglichst schnell zu verbreiten, ohne dabei Kontakt zu einem C&C-Server aufzunehmen. Künftige Ransomware wird laut Cisco modular aufgebaut sein und zum Beispiel Module enthalten, die das Zielsystem auf gemappte Laufwerke absuchen, oder solche, die es dem Erpresser erlauben, Lösegeldbetrag und gewünschte Deadlines selbst festzulegen.
In letzter Zeit erfuhr man in den Medien immer wieder von Angriffen auf Behörden und Krankenhäuser - für Erpresser sehr lukrative Ziele. Denn insbesondere Krankenhäuser sind laut Experten oft nicht auf dem neuesten IT-Security-Stand, speichern aber äußerst sensible Informationen in Form von Patientendaten. "Bei der Abwehr von Cyberangriffen hat es vielerorts Versäumnisse gegeben, bedingt durch die Einstellung: ,Wer sollte mich kleinen Mittelständler - oder mich kleines Krankenhaus etc. - schon angreifen wollen??", so Klaus Lenssen, Chief Security Officer bei Cisco Deutschland. Doch nicht nur Organisationen im Gesundheitswesen haben laut Ciscos Report in den vergangenen Monaten eine deutliche Steigerung der Ransomware-Angriffe erlebt: Neben Elektronikunternehmen seien in der ersten Jahreshälfte 2016 auch Vereine, Wohlfahrtsverbände und Nichtregierungsorganisationen (NGOs) stärker unter Beschuss geraten.
Der österreichische Security-Dienstleister Radarservices warnte in diesem Kontext kürzlich vor Ransomware-Angriffen auf Personalabteilungen. Diese sind ebenfalls ein naheliegendes Ziel für derartige Malware, da Personaler qua Berufsbild häufig E-Mail-Anhänge Unbekannter - nämlich der Bewerber - öffnen müssen.
"Ransomware kann jeden treffen", so Klaus Lenssen von Cisco. "Gefordert ist deshalb ein Risiko-Management auf Unternehmensseite, außerdem die Abkehr von der vorherrschenden Mentalität, alles ausschließlich über Technik in den Griff bekommen zu wollen. Vielmehr ist es extrem wichtig, die Mitarbeiter über solche Risiken aufzuklären und sie zu sicherem Verhalten zu motivieren."
Phishing und Spear-Phishing
Neben den zahlreichen Varianten von Erpressersoftware sind auch Phishing-Angriffe und deren zielgerichtete Variante, das Spear-Phishing, den Sicherheitsfachleuten nach wie vor ein Dorn im Auge. Während Phishing und Spear-Phishing dazu dienen, Credentials abzugreifen oder an unternehmensinterne Informationen zu gelangen, häufen sich in letzter Zeit die Fälle, in denen gefälschte E-Mails Verwendung finden, um illegitime Geldüberweisungen anzuordnen (sogenannter "Chefbetrug" oder "CEO Fraud"). So hatte der Verkabelungsspezialist Leoni im August gemeldet, durch die "CEO Fraud"-Masche um 40 Millionen Euro betrogen worden zu sein.
Teil des Problems: Betrugs- und (Spear-) Phishing-Mails sind heutzutage oftmals so professionell gestaltet, dass ein Endanwender sie - zumal im hektischen Büroalltag - nicht mehr als Betrug erkennen kann. "Wichtig ist es deshalb, sich nicht immer nur auf technische Lösungen zu konzentrieren, sondern die gesamte Prozesskette im Unternehmen zu betrachten, von der Chefsekretärin bis zum Finanzcontroller", rät Cisco-CSO Lenssen. "In der IT denkt man oft noch zu sehr in Silos, dabei gilt es heute aus Security-Sicht vor allem, das große Ganze im Blick zu haben."
"Angriffe wie der Dropbox-Hack zeigen, dass Passwörter allein nicht mehr sicher genug sind", so Armin Simon, Regional Sales Director für den Bereich Identity und Data Protection bei Gemalto Deutschland. "Unternehmen sollten Zwei-Faktor-Authentifizierung nutzen, um keinerlei Angriffsfläche für passwortbasierte Attacken zu bieten." Diese Erkenntnis setzt sich allmählich auch bei den (Cloud-)Service-Providern durch: Während Größen wie Google schon längst Zwei-Faktor-Authentifizierung (2FA) offerieren, ziehen deutsche Provider nun nach. So erklärte man seitens Host Europe, Zwei-Faktor-Authentifizierung komme derzeit beim Zugang zum Kundeninformationssystem zum Einsatz. Ein 2FA-gesicherter Zugang zu Web- und Cloud-Diensten werde "aktuell von den Sicherheitsexperten von Host Europe evaluiert". Der Hosting-Anbieter Hetzner wiederum betonte, Kunden könnten in der Online-Administrationsoberfläche Robot zur Verwaltung ihrer Root-Server, Vserver und Storage Boxes 2FA aktivieren. Dies könne mittels eines Yubikeys oder per Smartphone/Tablet erfolgen. Strato und 1&1 hingegen reagierten nicht auf die Anfrage der LANline.
Für die Abwehr von CEO Fraud wiederum setzt der deutsche Anbieter Hornetsecurity mit seiner Lösung ATP (Advanced Threat Protection) auf spezielle Schutzmechanismen für besonders zu schützenden Personengruppen wie Geschäftsführer, Prokuristen oder Buchhalter. Zu den Abwehrmaßnahmen zählen laut Hornetsecurity ein "Intention Recognition System" (Absichtserkennungssystem) ebenso wie eine "Fraud Attempt Analysis" (Prüfung eingehender Nachrichten auf Authentizität und Integrität von Metadaten sowie von E-Mail-Inhalten zur Betrugsanalyse), zudem eine "Identity Spoof Recognition" (Erkennung gefälschter Identitäten). Falls Angreifer mit einer falschen Identität arbeiten und E-Mails unter fremdem Namen versenden, unterbinde ATP die Zustellung der Nachricht.
Dauerthema Schwachstellen
Mancher mag sich fragen, warum im Jahr 2016 Angriffe etwa mittels Fremdverschlüsselung oder scheinbar echter E-Mails vom Chef überhaupt noch möglich sind. Hat hier die Softwarebranche zumindest in Teilen versagt? Ciscos Deutschland-CSO Lenssen hält es für einen Fehler, stets nur die Softwareindustrie - und hier vorrangig Microsoft - in der Verantwortung zu sehen: "Beim Thema Schwachstellen hat man lange immer mit dem Finger in Richtung Redmond gezeigt, dabei wurde dort seit Jahren extrem viel unternommen, um Windows-Systeme weniger anfällig für Malware zu machen. Wichtig ist heute vielmehr die Softwarehygiene seitens der Anwenderunternehmen: Man muss die angebotenen Patches auch zügig einspielen. So nutzen Angreifer zum Beispiel im Apache-Umfeld Sicherheitslücken aus, die teils schon fünf Jahre alt sind. Nützlich sind in diesem Kontext Überlegungen, das auf der Client-Software wohletablierte Verfahren der Auto-Updates auch auf die Server-Seite auszudehnen." Nichtsdestoweniger erwartet das Analystenhaus Gartner, dass das Problem längst bekannter, aber nicht geschlossener Schwachstellen erhalten bleiben wird: Im Blog-Beitrag "Emerging Risks in Cybersecurity" prophezeit Garnter-Analyst John A. Wheeler, dass in den nächsten fünf Jahren weiterhin 99 Prozent aller ausgenutzten Schwachstellen solche sein werden, die bereits seit mindestens einem Jahr bekannt sind - kein gutes Zeugnis für die IT-Organisationen. Des Weiteren geht Wheeler davon aus, dass im Jahr 2020 ein Drittel der erfolgreichen Angriffe auf Schatten-IT-Komponenten erfolgen wird.
Überwachung statt bloßer Ausgrenzung
Große Einigkeit herrscht bei den IT-Security-Spezialisten, dass der klassische Ansatz mit Fokus auf die Perimetersicherheit - drinnen das gallische Dorf, draußen die römische Besatzungsmacht - ausgedient hat. Die bekannten Abwehrmechanismen wie Firewall, Antivirus und Intrusion Prevention, so der Tenor in der Branche, gelte es durch eine intelligente Echtzeit-Überwachung und -Auswertung des Netzwerkgeschehens zu ergänzen, um bei erfolgreichen Angriffen (die nun niemand mehr gänzlich ausschließen will) eine zügige, zielgerichtete Reaktion (auch "Incident Response" genannt) zu ermöglichen.
Eine große Angriffsfläche ergibt sich laut Klaus Lenssen vor allem dadurch, dass die Monitoring-Fähigkeiten vieler IT-Organisationen zu begrenzt sind: "Ein Kernproblem besteht darin, dass viele IT-Organisationen über keine ausreichende Visibilität im Netzwerk verfügen. Den sprichwörtlichen WLAN-Access-Point, den ein Endanwender eigenmächtig installiert, hat die IT längst in den Griff bekommen. Aber wenn die Entwicklungsabteilung für Tests Docker-Instanzen aufsetzt, gibt es oft kein ausreichendes Monitoring durch die IT."
Fireeyes "Mandiant M-Trends Report" für EMEA warnt, die durchschnittliche Verweildauer eines Angreifers im Unternehmensnetz ("Dwell Time") sei in EMEA dreimal so lang wie im globalen Durchschnitt: Die Zeit zwischen Kompromittierung und Entdeckung liege in EMEA im Schnitt bei 469 Tagen, während es weltweit nur 146 Tage seien. Wichtig zu wissen: Zwar nutzen US-Marketiers den Begriff "EMEA" oft mehr oder weniger gleichbedeutend mit "Europa"; da das Akronym aber auch noch "Middle East" und "Africa" umfasst, ist die Aussagekraft dieser alarmistischen Zahl für Europa oder Deutschland aber gering: Eine Aufschlüsselung nach Regionen oder Ländern bietet der Fireeye-Report nicht.
Nichtsdestoweniger ist eine weltweit durchschnittliche Dwell Time von 146 Tagen ein bedenklicher Wert. Innovative Security-Anbieter machen deshalb neuerdings etablierten Playern wie RSA, Fireeye, Intel oder Symantec Konkurrenz, indem sie technische Fortschritte wie Machine Learning und Big-Data-Analysen für die schnellere Aufdeckung von Kompromittierungen sowie die Incident Response heranziehen. So liefert der noch junge Anbieter Lightcyber mit Magna eine Plattform für die Verhaltensanalyse von Netzwerk-Traffic, Applikationen, Anwendern und Endgeräten mit dem Ziel, einen laufenden Angriff möglichst schnell aufzuspüren ("Behavioral Attack Detection"). Lightcyber setzt statischen Abgleichsmethoden eine selbstlernende Analyse auf der Basis von Netzwerk-Probes und ergänzender Untersuchung entgegen. Eine automatisierte Verifizierung von Angriffshypothesen, so der Anbieter, liefere konkrete Warnungen statt zeitraubender Warnhinweisfluten.
Im Fall entdeckter Abweichungen von der Baseline erzeugt Magna laut Jason Matlof, EVP und Chief Marketing Officer von Lightcyber, noch keinen Alert, sondern übernimmt selbsttätig deren Analyse inklusive Abgleich der Auffälligkeit mit bekannten Angriffsmustern. Damit, so Matlof, reduziere Lightcyber das Alert-Aufkommen von den heute (laut Ponemon Institute) branchenüblichen 172 Alerts pro Tag und 1.000 Endgeräten auf eine Effizienzquote von 1,09 Alerts pro Tag und 1.000 Endgeräten - und somit auf ein Maß, das sinnvoll abzuarbeiten ist. Neuerdings unterstützt Lightcyber sogar die Public Cloud: Magnaprobe for AWS nutzt Amazons VPC Flow Logs und Gigamon-Probes zur Kontrolle des Datenverkehrs zwischen AWS-Hosts sowie zwischen Cloud und Internet.
Lightcybers Konkurrent Vectra Networks offeriert eine Lösung für intelligentes Echtzeit-Monitoring, aber nur auf Netzwerkebene. Alle erkannten Verstöße werden laut Vectra automatisch korreliert und priorisiert, um einen Angriffsverlauf im Kontext darstellen zu können. Dank Machine Learning entwickle sich die Lösung selbsttätig weiter, so der Hersteller. Neu ist die Identifizierung von Ransomware-Angriffen: Die Vectra-Lösung erkenne eine Verschlüsselung von Daten im Netzwerk innerhalb weniger Sekunden und identifiziere die für diese Angriffe typischen Verhaltensmuster in Echtzeit. Zudem bietet Vectra jetzt virtuelle Probes zur Überwachung von VMware-Umgebungen.
Einen eher Managed-Service-orientierten Ansatz verfolgt hingegen Panda Security, ein international tätiger Sicherheitsspezialist mit Hauptsitz in Spanien: Panda kombiniert in seiner Malware-Abwehrlösung Adaptive Defense 2.3 die automatisierte Erkennung und Klassifizierung von Bedrohungen mit Dienstleistungen für die Analyse von Grenzfällen, die nicht automatisiert erfassbar sind. Damit, so Panda, könne man das Zeitfenster für die Erkennung und Abwehr unbekannter Gefahren im Alltag auf unter 24 Stunden senken.
1. Regelmäßige Backups auf Offline-Speichermedien (da manche Ransomware-Varianten angebundene Online-Laufwerke mitverschlüsseln),
2. Aktuellhalten des Betriebssystems und des Web-Browsers,
3. Einsatz aktueller Antiviren- und Anti-Malware-Lösungen (von Malwarebytes oder Vectra Networks zum Beispiel gibt es Tools, die beim Ransomware-typischen Nachladen von Software aus dem Internet Alarm auslösen),
4. Einsatz von Skriptblockern und Ad-Blockern im Browser (um Drive-by-Downloads zu verhindern),
5. Deinstallation von Adobe Flash,
6. möglichst weitgehende Limitierung der Admin-Rechte von Endanwendern auf ihren Client-Rechnern,
7. Security-Awareness-Maßnahmen, damit Endanwender verdächtige Dateien besser erkennen können und nicht unbedacht auf die Makro-Aktivierung ("Enable Content") klicken.
Der deutsche Hersteller Rohde & Schwarz wiederum hat seine diversen IT-Security-Töchter vor Kurzem unter dem Dach des Unternehmens Rohde & Schwarz Cybersecurity zusammengeführt, um für einen möglichst umfassenden Schutz von IT-Infrastrukturen sorgen zu können. "Mit Trustedobjects Manager bieten wir eine übergreifende, modulare On-Premise-Lösung für das Management aller Bausteine einer IT-Sicherheitsinfrastruktur", erläuterte Ammar Alkassar, CEO von Rohde & Schwarz Cybersecurity, im LANline-Interview (siehe Link). "Eine Lösung für das Threat Monitoring wird in absehbarer Zeit hinzukommen, daran arbeiten wir derzeit."
Innovative Incident-Response-Ansätze suchen nicht nur nach Verhaltensauffälligkeiten im einzelnen Unternehmensnetz, sondern korrelieren diese Daten in der Cloud mit verteiltem Wissen zu Bedrohungen ("Threat Intelligence"). Ein solcher unternehmensübergreifender Ansatz ist manch einem deutschen Sicherheitsverantwortlichen aber nicht geheuer - und das kann zum Problem werden. Dazu noch einmal der Sicherheitsspezialist Klaus Lenssen: "Lange wurde propagiert, Security könne man nicht outsourcen. Für wirkungsvolle Security Operations hingegen muss tagtäglich eine riesige Anzahl von Sensoren ausgewertet und mit Threat Intelligence korreliert werden. Letztere bekommt man nur aus einem global korrelierenden Informationsraum - also aus der Cloud. Wir brauchen deshalb mehr Offenheit für das Outsourcing von Security-Prozessen."
Check Point präsentierte jüngst mit seiner Plattform R80 ein Portal für den Informationsaustausch. Auch RSA, nun Dell-Tochter, sammelt neuerdings Erkenntnisse über Bedrohungen per Crowdsourcing.
Offenbar besteht Optimierungsspielraum durch Korrelation und Kooperation. Nun müssen die IT-Organisationen nur noch die Einstellung aufgeben, sich der kriminellen Invasionsmacht als Ansammlung einzelner "gallischer Dörfer" entgegenstellen zu wollen.
Lesen Sie mehr zum Thema
