Malwareanalyse und Verteidigung

Malwareanalyse und Verteidigung

Dritter Teil des Mehrteilers “Verteidigung gegen Malware”

Die Arbeitsplätze unserer Malware Analysten unterscheiden sich nicht von anderen in den Büroräumen von Hornetsecurity, auch wenn vom Security Lab als „Labor“ gesprochen wird. Erlenmeyerkolben, Reagenzgläser und Bunsenbrenner sind jedenfalls keine zu finden, sondern ganz normale Computer. Die Arbeit geht vielmehr virtuell vonstatten, zum Beispiel in Sandboxes oder durch die Analyse des Datenverkehres. Nichtsdestotrotz ist die Bedeutung der Malware Analysten nicht zu unterschätzen, sorgt sie doch unter anderem dafür, dass die Abwehrsysteme von Hornetsecurity ständig so aktuell wie möglich sind. – nur so lässt sich der hohe Qualitätsstandard halten.

Aber wie ist das Vorgehen bei der Analyse von Schadsoftware? In der Regel liegt ein sehr großer, andauernder Strom an Daten vor, den es zu analysieren gibt. Diesen Rohdaten die wertvollen Informationen zu entziehen, ist die Hauptaufgabe – sie werden aufbereitet, „intelligent“ gemacht. Hierzu verwenden die Analysten verschiedene Tools und Programme, um bestimmte Fragestellungen beantworten: Welches sind die Ziele der Malware? Welche Merkmale sind typisch für die untersuchte Schadsoftware? Gibt es Hinweise auf den oder die Angreifer? Aus den gewonnenen Erkenntnissen lassen sich im Idealfall Handlungen ableiten, zum Beispiel das Schreiben von neuen Filterregeln oder das Erstellen von Algorithmen.

Zwei verschiedene Arten der Analyse

Zwei Arten, Malware zu analysieren, sollen hier ein wenig näher vorgestellt werden. Bei der statischen Analyse erfolgt die reine Betrachtung des Codes selbst ohne Ausführen der Malware, während bei der dynamischen Analyse das Verhalten des Schadcodes in sicherer Umgebung verfolgt wird.

In der statischen Analyse zerlegen die Analysten die Malware bis ins kleinste Detail, um Rückschlüsse aus dem Code selbst ziehen zu können. Hierzu werden zum Beispiel signifikante Strings extrahiert oder Shell-Skripte gestartet und mit Disassemblern weitere Ergebnisse generiert. Hier finden sich Hinweise auf die Aktivitäten der Schadsoftware und welche Merkmale sie zeigt – sogenannte Indicators of Compromise (IoC). Auf Basis der gewonnenen Erkenntnisse lassen sich die einzelnen Filtersysteme auf den neuesten Stand bringen, um weitere Angriffe durch diese und diesen ähnelnde Malware möglichst schnell zu unterbinden.

Eine Möglichkeit bei der dynamischen Analyse ist, den Schadcode in der sicheren Umgebung einer Sandbox ihrer Aufgabe nachgehen zu lassen. Diese Methode ist gut zu automatisieren, um daraus bestimmte Ergebnisse zu gewinnen. Auf diesen wiederum lassen sich anschließend die Filtersysteme aktualisieren. Verändert der Code bestimmte Dateien, nimmt er Änderungen in der Registry vor oder hat er generell Systemeinstellung etwa an DNS-Servern angepasst? Mit wem nimmt die Schadsoftware Kontakt auf? Diese und andere Fragen lassen sich so beantworten.

Verschiedenste Nutzungsmöglichkeiten

Die augenscheinlichste Anwendung der aus der Malwareanalyse gewonnenen Daten liegt für IT-Security-Unternehmen darin, ihre Abwehrmethoden zu verbessern und somit auch ihre Kunden besser vor Angriffen zu schützen. Hierzu extrahieren die Analysten bestimmte Binärmuster und erstellen daraus sogenannte Yara-Regeln, mit denen sich Malware-Samples finden, kategorisieren und gruppieren lassen. Verhaltenssignaturen, die in der Sandbox angewendet werden, können bestimmte Verhaltensmuster von Schadcode erkennen und diese kategorisieren.

Ein Beispiel: In der Sandbox wird ein sich im Dateianhang befindliches Office-Dokument geöffnet. Dort erkennen die Verhaltenssignaturen, dass das zu untersuchende Dokument damit beginnt, Informationen über Benutzeraccounts zu sammeln und diese zu verschicken. Findet diese Analyse in einer cloudbasierten Umgebung statt, ist es anschließend möglich, die auffälligen E-Mails abzufangen und damit die Angriffe komplett zu blockieren. All diese und etliche weitere Abwehrmaßnahmen sollen dabei helfen, einen Angriff an möglichst früher Stelle abfangen und unterbinden zu können, damit die entstehenden Schäden durch Malware so gering wie möglich sind oder besser noch gar nicht erst auftreten.

Viele durch Malwareanalyse gewonnenen Rohdaten und daraus abgeleiteten Erkenntnisse sind zudem für die allgemeine Prävention nützlich. Forschungsvorhaben können davon profitieren und ihre wissenschaftlich fundierten Ergebnisse wiederum der Allgemeinheit zur Verfügung stellen. Daneben dient die Veröffentlichung von Malwareanalysen auch der Aufklärung der Allgemeinheit. Die Wissenserweiterung über Herangehensweisen von Cyberattacken und Malwareangriffen helfen dabei, deren Erfolgsraten einzugrenzen.

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

UPDATE vom 16.5.2018:

 

Um  auch unsere Unternehmenskunden, die ihre E-Mails noch über eine in-House-Lösung ver- und entschlüsseln und noch nicht den Hornetsecurity Encryption Service gebucht haben, proaktiv vor EFAIL zu schützen, haben wir zudem eine gesonderte Filterstufe für Angriffe nach dem EFAIL-Muster entwickelt. Voraussetzung hierfür ist lediglich, dass ihre E-Mail-Kommunikation über die Hornetsecurity-Server läuft, was bei unseren E-Mail-Security Produkten generell der Fall ist.

 

Die Filterstufe ist bei allen unseren Kunden, die mindestens den Hornetsecurity Spamfilter Service gebucht  haben, standardmäßig für alle ein- und ausgehenden E-Mails bereits aktiviert worden und schützt nicht nur vor EFAIL, sondern auch von künftigen Angriffen, die ähnliche Muster aufweisen.

 

+++++

 

Eine bekannte Schwachstelle wird auf die Protokolle PGP und S/MIME übertragen und bringt die Manipulation von E-Mails auf eine neue Ebene. Kein Problem für Hornetsecurity.

 

Am Montag, den 14.05.2018, veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) ein Paper, das die Sicherheit der Verschlüsselungsstandards PGP und S/MIME infrage stellt und damit weltweites Aufsehen erregt.

Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle, um verschlüsselte E-Mails durch den Mail-Client zu entschlüsseln und dem Angreifer zuzustellen.

Voraussetzung für die Ausführung der Angriffe ist, dass die E-Mails bereits in verschlüsselter Form beim Angreifer vorliegen. Dafür müssen die E-Mails auf dem Transportweg abgefangen werden. Der Angreifer muss zuvor eine Man-In-The-Middle-Attacke (MitM) ausgeführt oder einen Mailserver kompromittiert haben, um Zugang zu den E-Mails zu bekommen, die über ihn oder den Server laufen. Nur wenn diese Voraussetzungen erfüllt sind, kann der Angreifer einen der im Paper beschrieben EFAIL-Angriffe ausführen.

Die Autoren des Papers zeigen zwei ähnliche Angriffsmethoden auf, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln.

Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt:

Dazu erstellt der Angreifer eine E-Mail mit drei Body-Parts. Der erste Part formatiert die E-Mail als HTML und fügt zudem ein Image-Tag mit einer Ziel-Website ein. Die Anführungszeichen und der Image-Tag werden nicht geschlossen. Darauf folgt im zweiten Body-Part der mit PGP oder S/MIME verschlüsselte Text. Der dritte Part besteht wieder aus einer HTML-Formatierung und schließt den Image-Tag aus Part eins.

(Bild Quelle: EFAIL-Angriffe, Stand: 14.05.18)

Stellt der Angreifer diese E-Mail dem Absender der verschlüsselten Nachricht zu, ist es möglich, dass die Nachricht entschlüsselt und an die hinterlegte Website übertragen wird. Dazu muss der Mail-Client so konfiguriert sein, dass er automatisch externe Bilder herunterlädt, ohne den Nutzer danach zu fragen.

Die zweite Möglichkeit, um PGP oder S/MIME verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten.

Das für S/MIME CBC-Angriff und für PGP CFB-Angriff genannte Angriffsszenario ermittelt in einer verschlüsselten Nachricht einen bekannten Textanteil und überschreibt anschließende Blöcke mit eigenen Inhalten. Bei dem EFAIL-Angriff wird, wie im ersten Teil beschrieben, wieder ein Image-Tag mit einer Zielwebsite in den verschlüsselten Text eingefügt. Wird die Nachricht danach an den eigentlichen Empfänger der verschlüsselten Nachricht zugestellt, ist es möglich, dass die Nachricht entschlüsselt und an den Angreifer übertragen wird.

Die von Hornetsecurity verschlüsselten E-Mails sind per Design vor Angriffen dieser Art geschützt, da Hornetsecurity die für den Angriff vorausgesetzten unterschiedlichen Content-Types (Multipart/Mixed) gar nicht erst zulässt.

Die Verschlüsselungsmethoden selbst – S/MIME und PGP – wurden nicht gebrochen; vielmehr wurden Schwachstellen in E-Mail-Clients für HTML-Mails gefunden, die diese Verschlüsselungstechniken umgehen. Zudem widersprechen wir der Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung: PGP und S/MIME sind auch nach dieser Veröffentlichung weiterhin nicht per se unsicherer als keine oder eine reine transportverschlüsselte Übertragung. Da der Angriff eine MitM-Attacke, also ein Aufbrechen der eventuellen Transportverschlüsselung voraussetzt, wäre ein generelles Aushebeln von Inhaltsverschlüsselung fatal: Eventuelle Angreifer könnten den E-Mail-Verkehr dann sogar direkt mitlesen!

„Die gestern verbreitete Darstellung, PGP und S/MIME seien nicht mehr sicher, ist barer Unsinn“, ergänzt Daniel Hofmann, Geschäftsführer bei Hornetsecurity. „Sie führt zur Verunsicherung der Anwender und läuft dadurch allen Bemühungen zuwider, die IT-Sicherheit durch konsequenten Einsatz von Verschlüsselung zu verbessern. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung kann ich nicht nachvollziehen.“

 

Der gegen EFAIL immunen Hornetsecurity Encryption Service benötigt keinerlei Client-Plugins: Die Ver- und Entschlüsselung erfolgt vollautomatisiert durch Hornetsecurity in der Cloud – es sind keine Installation, Wartung oder Nutzerinteraktion erforderlich – einfach sicher!

Weiterführende Informationen:

Das Who is Who der Cyberkriminellen

Das Who is Who der Cyberkriminellen

Im ersten Teil unserer kleinen Blogserie über die Basics von Malware haben wir uns mit der Terminologie von Viren, Würmern usw. beschäftigt. Dabei haben wir festgestellt, dass sich die Arten von Cyberattacken im Laufe der Jahre verändert haben. Herrschten vor einigen Jahren noch verhältnismäßig einfache Spamnachrichten und Viren vor, die flächendeckend nach dem Minimax-Prinzip verbreitet wurden (minimaler Aufwand bei maximaler Reichweite), sind die Angriffe heutzutage wesentlich ausgereifter und individueller.

Der Grund liegt darin, dass sich die Abwehrmechanismen angepasst haben und die Erkennung von massenhaft auftretenden Spam- und Virenwellen deutlich verbessert wurde. Doch bevor wir uns in dieser mehrteiligen Reihe darum kümmern wollen, wie sich Malware analysieren und abwehren lässt, wollen wir beleuchten, wer hinter all diesen Angriffen steckt.

Die Klischeevorstellung eines Hackers sieht in etwa so aus: In einem dunklen Kellerraum sitzt ein bleicher, alleinstehender Mann, der Pizza isst, Cola trinkt und einen Kapuzenpulli trägt. Dort hackt er Code in einen Rechner ein und greift so seine Ziele an. Die Realität ist selbstverständlich wie immer wesentlich vielschichtiger.

Mittlerweile agieren die Hersteller von Cyberangriffen wie kleine Unternehmen – sie bestehen aus Teams, deren Mitglieder sich auf Teilaufgaben spezialisieren und die den Vertrieb ihrer „Ware“ professionell durchführen. Schließlich ist diese Branche ein hochlukratives Betätigungsfeld geworden, denn die Umsätze mit Cyberkriminalität sollen sogar höher liegen als im weltweiten Drogenhandel.

Mehr als nur Nerds, die in Kellern sitzen

Es gibt jedoch noch eine Vielzahl an weiteren Personengruppen im Bereich der Cyberkriminalität. Um die Auflistung thematisch zu vervollständigen, sollen daher auch Akteure aus dem Bereich Cyberwar aufgeführt werden. Sie verfolgen keine monetären, sondern andere, häufig ideologische Ziele.

In der folgenden Auflistung finden sich einige Gruppen, in die sich die meisten Cyberkriminellen einteilen lassen:

Berufskriminelle

Dieser Gruppe lassen sich all diejenigen zuordnen, die ein rein wirtschaftliches Ziel an Cyberangriffen haben. Ihnen geht es darum, einen möglichst hohen Geldbetrag zu erwirtschaften – in welcher Form auch immer. Hierzu nutzen sie neben Bankingtrojanern und Spyware auch Ransomware-Angriffe oder Cryptomining-Malware.

Daneben ist auch der Verkauf von gestohlenen Daten und Informationen zu nennen: Listen von E-Mails oder anderen persönlichen Daten, Botnetzen und anderen Inhalten, für deren Herausgabe sich teils hohe Einnahmen erzielen lassen.

Sogar der Verkauf von Malware selbst fällt in diese Kategorie: Angriffe werden als Dienstleistung angeboten, so dass auch technisch weniger erfahrene oder schlechter ausgestattete Personen Attacken durchführen (lassen) können. Das kann eine neue Ransomware sein, aber auch ein einfacher DDoS-Angriff auf Unternehmen, Organisationen und Behörden.

Schutz vor Ransomware

Staatliche Akteure

Hierbei handelt es sich um Akteure, die sich nationalen Regierungen zurechnen lassen. Eines ihrer Hauptziele ist, die Situation für das eigene Land zu verbessern, sei es durch Hackerangriffe oder auch durch Sabotageaktionen, klassische Spionagetätigkeiten oder das Infiltrieren von Gegnern. Auch wenn diese Aktivitäten von einzelnen Ländern nicht offen kommuniziert werden, ist es doch ein offenes Geheimnis.

So beschuldigen sich einzelne Länder immer wieder gegenseitig dieser Angriffe – aktuell werfen das amerikanische FBI und das britische National Cyber Security Centre (NCSC) Russland vor, für eine großflächige Cyberattacke verantwortlich zu sein, in welcher Hacker in großem Umfang Netzwerkinfrastrukturen infiltriert hätten. Zur Erläuterung ziehen die beiden Behörden übrigens die Cyber Kill Chain heran.

Zur Verbrechens- und Terrorbekämpfung setzen Behörden bestimmte Programme aktiv ein, um Zielpersonen auszuspionieren und auf diese Art ermittlungsrelevante Informationen zu erhalten – der Bundestrojaner, der angeblich bereits im Einsatz sein soll, ist ein solches Beispiel dafür. Offiziell unterliegen die staatlichen Organe der Legislative und Judikative, diese Kontrolle hat in der Realität jedoch ihre Lücken.

Manche staatliche Institutionen häufen sogar eigenes Wissen über Sicherheitslücken an, ohne diese schließen zu lassen, um sie eventuell selbst einmal ausnutzen zu können. Das Problem dabei ist jedoch , dass diese sogenannten Zero-Day-Exploits in falsche Hände gelangen und anschließend eingesetzt werden können – so geschehen bei dem Ransomware-Angriff WannaCry, bei dem ein vermutlich der NSA abhanden gekommener Exploit von nordkoreanischen Hackergruppen ausgenutzt wurde.

Aktivisten, politische Gruppen

Diese Gruppe an Cyberkriminellen, auch „Hacktivisten“ genannt, führt Cyberattacken auf Basis ihrer ideologischen Grundlagen durch. Opfer können neben privaten Unternehmen auch Politiker oder staatliche Organe sein. Das Ziel ihrer Aktionen ist der Versuch, ihre politischen, sozialen oder sonstigen Vorstellungen durchzusetzen. Dabei kommen neben klassischem Hacking auch DDoS-Angriffe zum Einsatz.

Zu Hacktivisten lassen sich die Gruppen Anonymous, WikiLeaks und LulzSec zählen.

Private Firmen

Im privatwirtschaftlichen Bereich gibt es ebenfalls Aktivitäten von Cybercrime. Verallgemeinernd mit Industriespionage umschrieben, liegt das Ziel dieser Gruppe von Angreifern darin, die Konkurrenz auszuspähen, Informationen zu erlangen und diese zum eigenen Vorteil zu nutzen.

Vandalen /„Spaßvögel“

Diese Angreifer setzen sich keine strategischen Ziele für ihre Cyberattacken – vielmehr geht es ihnen darum, ihre Neugier zu stillen, neue Ideen auszuprobieren und auch, Anerkennung für ihre Erfolge zu erlangen. Es kann auch eine reine Lust an der Zerstörung sein, die diese Personengruppe antreibt.

Sicherheitsforscher

Es gibt auch Personen, die aktiv nach Schwachstellen in IT-Infrastrukturen suchen, um die Sicherheit von IT-Systemen zu erhöhen. Diese Experten sind in öffentlichen Einrichtungen wie Hochschulen und Behörden zu finden, aber auch in Privatunternehmen in sogenannten Security Labs. Die Schwierigkeit liegt jedoch manchmal darin, dass Cyberkriminelle diese veröffentlichten Erkenntnisse für ihre eigenen Zwecke missbrauchen und ausnutzen können.

Geld ist der Hauptantrieb

Interessant ist die ungefähre Verteilung der Motive, die hinter Angriffen stecken: Laut einer aktuellen Erhebung des Telekommunikationsanbieters Verizon waren im vergangenen Jahr 76 Prozent aller Sicherheitsverstöße finanzieller Natur, gefolgt von Spionageaktivitäten, „Spaß-Motiven“ und persönlichen Abneigungen. Eine weitere sehr spannende Zahl der Verizon-Studie: 28 Prozent aller Datenschutzverletzungen gingen auf das Konto von internen Mitarbeitern zurück.

Im nächsten Teil unserer Reihe beschäftigen wir uns damit, wie die Analyse von Malware funktioniert und wie sich auf Basis dieser Erkenntnisse Verteidigungsstrategien entwickeln lassen.

Vielleicht für Sie von Interesse:

Datenschutz – der Wind dreht sich

Datenschutz – der Wind dreht sich

Es war ein denkwürdiger Auftritt von Mark Zuckerberg vor dem amerikanischen Senatsausschuss: Der Chef von Facebook musste zum Datenskandal rund um sein soziales Netzwerk Rede und Antwort stehen. Dabei wurde er fünf Stunden lang unter anderem dazu befragt, wie es sein kann, dass ein externes Unternehmen auf die persönlichen Daten von 87 Millionen Facebook-Nutzern zugreifen konnte.

Die Technologieriesen aus dem Silicon Valley sind durch die von ihnen gesammelten Daten ihrer Nutzer sehr mächtig geworden. Werbetreibende kommen heutzutage um Google, Facebook und Co. kaum noch herum, wenn sie sich und ihre Produkte vermarkten möchten. Gleichzeitig lassen sich diese Daten nutzen, um Meinungen zu beeinflussen, Stimmungen zu manipulieren und öffentlich diskutierte Themen zu bestimmen. Umso wichtiger sollte es diesen Werbeplattformen sein, sinnvoll, bewusst und sensibel mit den Nutzerdaten umzugehen. Das jedoch ist ganz offensichtlich nicht der Fall.

Bislang brauchten die großen Tech-Konzerne eine übergroße Regulierung von Seiten der US-Regierung nicht zu fürchten. Im Gegenteil: Sie setzten quasi den Standard, wie die Handhabe von persönlichen Daten und der Zugriff darauf von Dritten sein sollten. Strikte Datenschutzregeln, wie sie in Europa und noch mehr in Deutschland gelten – z.B. die im Mai in Kraft tretende Datenschutzgrundverordnung (DSGVO) – wurden eher als hinderlich wahrgenommen. Mittlerweile scheint jedoch selbst die amerikanische Legislative aufzuwachen und stellt fest, dass die Dinge etwas aus dem Ruder gelaufen sind.

In einer Telefonkonferenz räumte Zuckerberg ein, dass die DSGVO und andere Regulierungen „very positive“ sind und „we intend to make all the same controls available everywhere, not just in Europe“. (Quelle) Der Plan sei, sich weltweit an die Datenschutzregeln zu halten und nicht nur einige Einstellungen anzupassen.

Damit akzeptiert Facebook de facto die europäische Datenschutzrichtline als Standard – ein fundamentaler Schwenk in der Firmenphilosophie. Sollte Facebook diese Ankündigung tatsächlich in die Praxis umsetzen, wären damit die anderen großen Technologiekonzerne in Zugzwang. Auch US-Senatoren deuteten an, Google und Co. stärker an die Kandarre zu nehmen: „In the past, many of my colleagues on both sides of the aisle have been willing to defer to tech companies’ efforts to regulate themselves. But this may be changing”. (Quelle)

Es scheint, als wäre der EU mit der Datenschutzgrundverordnung etwas gelungen, was noch vor Kurzem undenkbar schien: Ein europäisches Gesetz, das weit über die Grenzen der EU hinaus Wirkung entfaltet.

Die Zeiten des laxen Umgangs mit Nutzerdaten dürften daher bald der Vergangenheit angehören.

Verwandte Beiträge zum Thema Datenschutz:

Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Malware, Cyberangriffe und wie man sich davor schützen kann – diese Thematik beschäftigt sowohl Einzelpersonen als auch IT-Verantwortliche. Wir möchten daher in loser Abfolge eine Reihe an grundlegenden Informationen zu diesem Thema bereitstellen. Im ersten Beitrag geben wir eine Definition und Klassifikation von Malware im Allgemeinen. Diese erhebt keinesfalls den Anspruch auf Vollständigkeit, deckt jedoch einige der wichtigsten Arten an Malware ab.

Es gibt sie bereits seit Jahrmillionen – Viren. Verglichen mit diesem Zeitraum sind sie der Menschheit erst seit einem Wimpernschlag bekannt, denn wissenschaftliche Nachweise von Viren glückten nicht vor Ende des 19. Jahrhunderts. Viren sind für eine Vielzahl an Erkrankungen verantwortlich, und in der Natur wogt ein ewiger Kampf zwischen der Evolution von Viren und der Abwehr selbiger.

Nahezu identisch verhält es sich im Bereich der Informationstechnologie. Auch dort gibt es eine Vielzahl an bösartiger Schadsoftware, und die Anbieter von Abwehrsoftware müssen ständig neue Abwehrmethoden entwickeln, um ein Eindringen und damit negative Auswirkungen auf die IT-Systeme oder sensible Daten zu verhindern.

Bei der begrifflichen Benennung dieser Schadcodes findet in der Regel der Begriff „Virus“ Verwendung. Dies ist aus der historischen Betrachtungsweise heraus vollkommen nachvollziehbar, als ursprünglich nur Viren und Würmer als Bedrohung auftauchten, angesichts des Variantenreichtums heutzutage jedoch unzureichend ist.

Wir möchten daher ein wenig Licht ins Dunkel bringen und einen Überblick darüber geben, welche Terminologien eigentlich korrekt und welche Schadcodes heute am gebräuchlichsten sind.

Der Klassiker: Virus

 

Der Begriff „Virus“ wird häufig falsch eingesetzt, denn er steht oftmals sinnbildlich für den allgemeineren Term „Malware“. Dies ist jedoch nicht korrekt, denn Malware umfasst die Gesamtheit aller Schadsoftware.

Das Wort „Virus” bezeichnet nur den spezifischen Verbreitungsweg einer bestimmten Malwareart. Diese infiziert einen definierten Dateitypen und schleust dort ihren Teil des Schadcodes ein. Die so infizierte Datei trägt anschließend den Virus weiter, indem sie weitere Dateien gleichen Typs erkennt und diese wiederum auch infiziert.

Ein Sprung von Rechner zu Rechner erfolgt bei Viren jedoch nicht aktiv, sondern über externe Speichermedien, E-Mails oder innerhalb von Netzwerken.

Webinar zur Gefahr von Ransomware CEO Fraud und Phishing

 

Der Selbständige: Wurm

Der Typus des „Wurms“ steht wie der Virus für eine bestimmte Art der Verbreitung. Der Schadcode verbreitet sich dabei im Gegensatz zum Computervirus unter Ausnutzung vorhandener Sicherheitslücken aktiv und selbständig weiter. Ein aktuelles Beispiel ist ein Wurm, der sich vor allem im Bereich Internet of Things (IoT), also bei internetfähigen Geräten, über offene Android Debugging-Ports ausbreitet.

Im Gegensatz zu einer Erpressersoftware, die als eindeutiges Ziel hat, Rechnerdaten zu verschlüsseln und ein Lösegeld zu fordern, hat ein Computerwurm keine klare definierte Zielaufgabe. Er kann beispielsweise Veränderungen am System selbst vornehmen und kompromittieren, für eine sehr starke Auslastung der Internet-Infrastruktur sorgen oder auch DDoS-Attacken auslösen.

Undercover: Trojaner / Trojanische Pferde

Ein Großteil der Malware, die heutzutage im Umlauf ist, lässt sich als „Trojanisches Pferd“ bezeichnen. Der Begriff ist recht generisch und besagt aus, dass sich die Malware als gutartig tarnt. Das heißt, der User sieht nur die positive Anwendung, erkennt das negative Anwendungsresultat nicht und kann daher auch keinen Einfluss auf die Auswirkungen nehmen.

Der Name „Trojanisches Pferd“ geht auf die legendäre Überlistungsstrategie der griechischen Mythologie zurück, bei der die griechischen Angreifer die Bewohner Trojas mithilfe eines Holzpferdes überlisteten. Aus diesem Grund ist auch die im Sprachgebrauch geläufige Terminologie „Trojaner“ falsch, da beim historischen Vorbild Trojaner die Bewohner der Stadt waren und somit angegriffen wurden. Das Pferd wiederum war der Angreifer.

Vielzahl neuer Bedrohungstypen

Neben diesen am häufigsten auftauchenden Begrifflichkeiten von Schadsoftware gibt es noch eine hohe Zahl an Malware, die sich in einige der folgenden Kategorien aufteilen lässt.

  • RAT bzw. Remote Access Trojans: Diese Art von Malware ermöglicht es Angreifern, Rechner zu übernehmen und fernzusteuern. Sie können so Kommandos auf den Systeme des Opfers ausführen und das RAT auf andere Computer zu verteilen mit dem Ziel, ein Botnetz aufzubauen.
  • Backdoor: Eine Backdoor-Malware setzt auf eine ähnliche Zielvorstellung wie ein RAT, nutzt jedoch eine andere Herangehensweise. Die Angreifer nutzen bei einem Backdoor sogenannte Hintertüren aus, die teilweise bewusst in Programme oder Betriebssysteme platziert wurden. Sie können jedoch auch heimlich installiert worden sein. Die Besonderheit von Backdoors ist die Tatsache, dass sich hierüber die üblichen Abwehrmechanismen umgehen lassen und daher für Cyberkriminelle sehr attraktiv sind, zum Beispiel sind sie sehr beliebt zum Anlegen von Botnetzen.
  • Botnetze und ZombiesBotnetze sind große Ansammlungen an infizierten Rechnern, die sich der Angreifer aufbaut. Zombies werden die betroffenen Rechner genannt, also die einzelnen Teile der Botnetzes. Der Angreifer kann Kommandos an alle Rechner gleichzeitig senden, um so Aktivitäten auszulösen, etwa, um DDoS-Attacken durchzuführen oder um Bitcoins mit Hilfe der Zombierechner zu schürfen. Das Perfide dabei ist, dass die Besitzer der Rechner die „Mitgliedschaft“ in einem Botnetz frühestens dann bemerken, wenn dieser bereits die fremdgesteuerten Aktivitäten ausführt.
  • Spyware: Hierbei handelt es sich um Malware, die Informationen auf dem Rechner des Opfers sammelt. Dies können sogenannte Credential Stealers sein, die die Zugangsdaten von Benutzer-Accounts wie dem eigenen E-Mail-Postfach, Amazon oder Google entwendet. Keylogger wiederum schneiden mit, was Benutzer sprechen oder schreiben und fertigen oftmals auch Screenshots an. Bitcoinstealer suchen nach Bitoin Wallets und rauben diese aus.
  • Downloader/Dropper: Downloader oder Dropper sind kleine Programme, die nur einen Zweck erfüllen – weitere Malware aus dem Internet nachladen. Das Opfer kann dabei zunächst nicht erkennen, welche Inhalte heruntergeladen werden, da lediglich eine URL sichtbar ist. Der große Vorteil des Angreifers an dieser Methode wiederum ist, dass er ständig neue Malware zum Download bereitstellen kann und somit aktuelle und nur schwer erkennbare Schadsoftware verteilen kann.
  • Rootkit: Bei Rootkits handelt es sich um die gefährlichste Art an Malware, wobei es sich eigentlich gar nicht unbedingt um Schadsoftware handelt. Vielmehr lässt sich mit einem Rootkit Schadcode vor der Entdeckung verstecken. Bei dieser Form eines Angriffs dringt der Angreifer tief in das Computersystem vor, gelangt an Root-Privilegien und erhält dadurch allgemeine Zugriffsrechte. Die Cyberkriminellen ändern anschließend das System so um, dass der Nutzer nicht mehr erkennt, wenn Prozesse und Aktivitäten gestartet werden. Angriffe basierend auf den Rootkit-Verschleierungen sind dadurch nur sehr schwer auffindbar.

Selbstverständlich gibt es noch weitere Kategorien und Definitionen von Malware, die hier jedoch nicht aufgeführt sind. Es soll jedoch ergänzt werden, dass die derzeit kursierende Malware zum überwiegenden Teil eine Mischung aus verschiedenen Typen ist. So gibt es etwa Trojanische Pferde, die auch ein Backdoor beinhalten.

Oftmals lassen sich die unterschiedlichen Angriffstypen dynamisch nach dem Baukastenprinzip zusammenbauen. Die heutzutage gefundene Malware lässt sich daher nicht mehr eindeutig einer der oben genannten Kategorien zuordnen.

Weiterführende Informationen:

  1. Direkt zu Teil 2: Das Who is Who der Cyberkriminellen
  2. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Jetzt mehr erfahren.
  3. Informationen zu Managed Security Services in Unternehmen: Direkt zur Security Automation Studie 2017.
Mangelnde IT-Sicherheit in deutschen Unternehmen: Aktuelle Zahlen und effiziente Lösungsansätze

Mangelnde IT-Sicherheit in deutschen Unternehmen: Aktuelle Zahlen und effiziente Lösungsansätze

Trotz steigendem Bewusstsein für IT-Themen wie Datenschutz und digitaler Kriminalität besitzen viele kleinere und mittlere Unternehmen (KMU) noch keine ausreichende IT-Sicherheit. Wir zeigen, mit welchen IT-Problemen Unternehmen kämpfen und wie sie diese mit kostengünstigen Mitteln beheben können.

Wissenschaftliche, quantitative Befragung von 1.505 KMU

Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat im Auftrag des Bundesministeriums für Wirtschaft und Energie 1.505 Klein- und Mittelständische Unternehmen zur internen IT-Sicherheit befragt. Die Studie knüpft an eine Analyse aus 2011/2012 an. Die wissenschaftliche Befragung unterteilt die Unternehmen in kleinere KMU (< 50 Mitarbeiter) und größere KMU (50 – 499 Mitarbeiter). Diese werden im folgenden Text zur besseren Übersicht farblich markiert werden.

Mangelnde Investitionen in IT-Sicherheit

Die Ergebnisse der Befragung zeigen, dass das Bewusstsein für den Schutzbedarf von Daten seit 2011/2012 signifikant angestiegen ist. So schätzen heute 80 % der Befragten den benötigten Schutz von Kundendaten als hoch bis sehr hoch ein.

Trotz des steigenden Bewusstseins für digitale Sicherheit hapert es an der Umsetzung. Nur 20 % der kleineren KMU haben bereits eine IT-Sicherheitsanalyse durchgeführt. Bei den größeren KMU hat nur jedes zweite Unternehmen eine solche Analyse veranlasst.

Drastisch fällt das fehlende Gefühl für digitale Gefahren gegenüber Unternehmen aus, wenn man das geplante Budget für IT-Sicherheit als Bezugsgröße wählt. 33 % beziehungsweise 44 % deutscher KMU haben in 2017 überhaupt kein Budget für IT-Sicherheit eingeplant. Weitere 28 % / 24 % planten mit maximal 2.000 € Jahresbudget. Durchschnittlich wurden 2.600 € eingeplant. Da lediglich 9 % der befragten Unternehmen mehr als 2.000 Euro Budget einplanten, ist davon auszugehen, dass einige wenige Unternehmen mit sehr hohen Ausgaben diesen Durchschnittswert in die Höhe getrieben haben.

Mangelnde Investitionen in IT-Sicherheit bei KMU

Mangelnde Investitionen in IT-Sicherheit bei KMU. Angaben in Prozent | Quelle: wik.org

Zeitaufwand, Kostenaufwand und fehlende Qualifikationen als größte Hürde

Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste hat die Unternehmen nach den Gründen für ihre mangelnde IT-Sicherheit befragt. Als häufigsten Grund (75% / 85 %) nennen die Befragten fehlende Zeit, gefolgt von einem zu hohen Kostenaufwand (68 % / 85 %) und fehlenden Qualifikationen der Mitarbeiter (60 % / 71 %).

Besonders interessant ist die Erkenntnis der fehlenden digitalen Kompetenz in KMU auf Personalebene. Nur 54 % der kleineren KMU besitzen mindestens einen Mitarbeiter mit IT-Kenntnissen. Bei den größeren Unternehmen sind es 85 %. Erschreckend ist die Erkenntnis, dass 66 % aller kleineren KMU einen IT-Sicherheitsbeauftragten für irrelevant halten. Dies wird vor allem Cyberkriminelle freuen.

60 % aller KMU haben einen IT-System-Ausfall erlebt

Die aufgeführten Statistiken lassen vermuten, dass die fehlenden Investitionen in eine gute IT-Infrastruktur und IT-Sicherheit damit zu erklären sind, dass die Mehrzahl der Unternehmen bisher mit keinen größeren IT-Problemen zu kämpfen hatten. Jedoch zeigt die Befragung ganz andere Ergebnisse auf. 60 % der Befragten erlitten mindestens einen IT-System-Ausfall. Jedes zweite KMU wurde Opfer von Virenangriffen. Jedes dritte Unternehmen musste Datenverluste hinnehmen.

Schlecht geschützte E-Mail-Kommunikation in Unternehmen

96 % beziehungsweise 99 % der befragten KMU nutzen die E-Mail als Kommunikationsmedium. Dabei geben 90 % / 98 % an, einen Spamfilter zu nutzen. 98 % / 100 % verwenden einen Virenschutz. Im Kontrast dazu steht die Aussage, dass jedes zweite Unternehmen schon mindestens einmal mit Problemen durch Virenangriffe zu kämpfen hatte.

Dies lässt annehmen, dass entweder die Aussagen der Befragten nicht korrekt sind oder die genutzten Schutzmechanismen nicht für den professionellen Gebrauch in Unternehmen geeignet sind. Beide Vermutungen werden unterstützt durch die kaum bis gar nicht vorhandenen Investitionen in IT-Sicherheit.

Des Weiteren nutzen nur 35 % beziehungsweise 44 % eine E-Mail-Verschlüsselungs-Lösung. Es wird deutlich, dass das Bewusstsein für einen erhöhten Datenschutz zwar gestiegen ist, dies jedoch nicht die erforderlichen Maßnahmen herbeiführt.

Trotz des technischen Know-hows verschlüsseln selbst im E-Commerce-Gewerbe lediglich 40 % beziehungsweise 33 % der Unternehmen ihren E-Mail-Verkehr. Positiv hingegen ist die Nutzung gesetzeskonformer E-Mail-Archivierung. Zwei Drittel der KMU im E-Commerce archivieren ihre E-Mails gesetzeskonform.

Statistiken zu Spam in Unternehmen

E-Mail Sicherheit in Unternehmen. Hohes Spam-Aufkommen in Deutschland

Einfache und kostengünstige Maßnahmen zur Steigerung der IT-Sicherheit

Die Steigerung der IT-Sicherheit ist selbst in kleinen Unternehmen mit wenigen Mitteln umzusetzen. Die einfachste Möglichkeit ist die Schulung der eigenen Mitarbeiter. Die Aufklärung über potentielle Gefahren kann vor einem Großteil digitaler Gefahren schützen.

Zudem hilft die Erarbeitung eines IT-Notfallplans, angemessen auf Cyber-Angriffe zu reagieren und mögliche Schäden zu minieren. Welche Situation kann eintreten und mit welchen Mitteln und in welcher Zeit sollte darauf reagiert werden. Ein simpler Plan, der die Verbreitung von Schäden verhindert, ist das sofortige Trennen des infizierten Gerätes vom Netzwerk.

Privat häufig genutzt, in Unternehmen gerne vernachlässigt: Regelmäßige Backups verhindern folgenschwere Datenverluste. Zuverlässige und leistungsstarke Lösungen gibt es bereits für geringes Geld – entweder lokal oder noch besser als Cloud-Dienst.

Skalierbare SaaS-Lösungen als Ersatz für eigene IT-Sicherheits-Mitarbeiter

Insbesondere kleinere Unternehmen können das Budget für einen Angestellten, der ausschließlich für die IT-Sicherheit zuständig ist, nicht bereitstellen. Eine einfache und preisgünstigste Alternative bietet Software as a Service (SaaS). SaaS-Anbieter spezialisieren sich als Experten auf einen Service-Bereich und bieten dem Kunden eine große Expertise. In der IT-Security-Branche sind diese Services meist cloudbasierte Lösungen. Diese sind zuverlässig, kostengünstig, schnell eingerichtet und skalierbar. Zusätzlicher Vorteil: Es ist kein Aufwand für die Einrichtung der Hard- und Software-Infrastruktur notwendig, da dies die Cloudanbieter bereitstellen. Selbst kleine Unternehmen mit geringer IT-Expertise und kleinem Budget können so die interne digitale Sicherheit erhöhen.

Cloud E-Mail-Security für Unternehmen

Hornetsecurity hat es sich zum Ziel gesetzt, die IT-Sicherheit in Unternehmen zu erhöhen. Dabei liegt der Fokus der Services auf Mail-, Web- und File-Security. So lassen sich beispielsweise der Spamfilter mit einer Erkennungsrate von 99,9 %, die E-Mail-Archivierung oder die E-Mail-Verschlüsselung innerhalb weniger Stunden einrichten. Die Einrichtung benötigt kein Expertenwissen und steigert die IT-Sicherheit eines Unternehmens signifikant. Zudem betragen die Kosten im Vergleich zu einem eigenen IT-Angestellten nur einen Bruchteil. Der Preis für die Nutzung des Hornetsecurity Spamfilters, der E-Mail-Archivierung und der E-Mail-Verschlüsselung in einem Betrieb mit 50 Angestellten beträgt insgesamt weniger als 10 % des Jahresgehalts eines fähigen IT-Sicherheitsexperten.

Fazit

Obwohl die Digitalisierung der Gesellschaft und der Unternehmen immer weiter vorantreibt, scheint die Sicherheit bei der Nutzung digitaler Möglichkeiten immer noch keine große Rolle zu spielen. Ein Großteil deutscher KMU kümmern sich zu wenig um die eigene IT-Sicherheit. Besonders deutlich wird dies bei den kaum vorhandenen geplanten jährlichen Ausgaben für IT-Sicherheit.

Theoretisch ist die Anstellung eines IT-Security-Mitarbeiters mehr als notwendig. In der Praxis wird die IT-Sicherheit zu sehr vernachlässigt. Cloudbasierte SaaS Lösungen wie die Mail-Security-Services von Hornetsecurity unterstützen Unternehmen dabei, mit einem geringen Budget die IT-Sicherheit drastisch zu erhöhen und Cyberkriminalität präventiv zu bekämpfen.