Klassische Angriffe per E-Mail haben noch lange nicht ausgedient, dennoch sind in den vergangenen Monaten weitere Bedrohungen hinzugekommen, auf die die IT-Security-Industrie reagieren muss. Der Grund: Die Abwehr klassischer Spam- und Virenmails ist zu erfolgreich. Neue Methoden wie Erpressersoftware, auf bestimmte Zielpersonen ausgerichtete Angriffe oder gut versteckte Links zu Schadcode richten hingegen beträchtliche Schäden an. Fehlendes Wissen über die verschiedenen Angriffstypen und eine hohe Unsicherheit darüber, wie sich diese abwehren lassen, herrschen in vielen Unternehmen vor.

 

Die Kompetenzgruppe Sicherheit des Internetverbandes eco veranstaltet daher kommende Woche ein Workshop zu dem Thema. Der Arbeitstitel lautet: “Locky, CEO-Fraud und Co. – Wie funktionieren Advanced Threats und was kann man dagegen tun?” Der Workshop findet am Donnerstag, den 3. November 2016 ab 14 Uhr in Köln statt. IT-Security-Anbieter wie Hornetsecurity, Blue Coat, Dtex Systems, G Data, aber auch ein Vertreter des LKA Nordrhein-Westfalens werden für eine unterhaltsame und äußerst informative Veranstaltung sorgen, die niemand verpassen sollte, dem aktuell noch Fragen zu Advanced Threats und deren Abwehr unter den Nägeln brennt.

 

Als Leiter der Kompetenzgruppe Sicherheit bei eco wird Oliver Dehning durch den Workshop führen. Vorab stand er noch dem Newsletter von eco für ein paar Fragen zur Verfügung, die wir hier an dieser Stelle ebenfalls  veröffentlichen möchten.

 

Herr Dehning, was versteht man unter „Advanced Threats“?

 

“Advanced Threat” ist eine Verkürzung von “Advanced Persistent Threat”. Damit sind, wie der Name sagt, fortgeschrittene, länger andauernde Bedrohungen gemeint. Genau genommen sind das Angriffe, die sehr gezielt auf Organisationen oder Personen zugeschnitten sind. Solche Angriffe erfordern auf Seiten der Angreifer Planung, das Sammeln von Informationen, genaue Analyse dieser Informationen und in der Regel mehrere Angriffsschritte, die aufeinander abgestimmt sind. Die in letzter Zeit gehäuft auftretenden Fälle von CEO-Fraud sind solche Angriffe: Die Angreifer informieren sich über Details der Zielorganisation, identifizieren exponierte Personen und versuchen dann, diese so zu beeinflussen, dass z.B. Überweisungen mit zum Teil sehr großen Beträgen auf Konten des Angreifers erfolgen.

In der IT-Security Branche hat sich zudem der Begriff “Advanced Threat Protection” (ATP) eingebürgert. “Advanced” sind hier nicht notwendigerweise die Angriffe, vielmehr ist die verwendete fortgeschrittene Technologie zur Erkennung gemeint. ATP schützt vor Advanced Persistent Threats genauso, wie vor herkömmlichen Angriffen, wie z.B. Virenwellen, die per E-Mail massenhaft verbreitet werden. Durch die verwendete Technik, z.B. “Sandboxing”, kann Advanced Threat Protection auch Schutz vor bis dahin unbekannten Angriffen und Viren bieten, anders als herkömmliche, signaturbasierte Erkennungsverfahren. Eine solche Erkennung “ab dem ersten Virus-Exemplar” hat zunehmende Bedeutung erlangt, da verschickte Viren immer schneller ihre Gestalt bzw. ihr Aussehen verändern (sog. polymorphe Viren). Signaturbasierte Verfahren können der Geschwindigkeit der Änderung nur schwer folgen und viele Exemplare polymorpher Viren passieren herkömmliche Filter deshalb anstandslos.

 

Wie ist Ihre Beobachtung: Nimmt Ransomware gegenüber der „normalen“ Malware an Bedeutung zu?

 

Absolut. Das Phänomen ist eigentlich schon recht alt – erste Exemplare solcher Viren wurden 1989 bekannt. Mittlerweile sind allerdings komplette Software-Kits verfügbar, mit denen Angreifer mit relativ wenig Aufwand Angriffe mit Ransomware-Viren starten können. Das hat dazu geführt, dass seit etwa einem Jahr die Zahl der Attacken drastisch zugenommen hat. Wir sehen das bei Hornetsecurity deutlich an der Zahl der erkannten Virenmails. Man erfährt aber auch aus Gesprächen, dass praktisch jeder jemanden kennt, der Opfer einer solchen Attacke geworden ist. Über etliche spektakuläre Fälle wurde ja auch in den Medien breit berichtet.

 

Wie erklären Sie sich, dass Social Engineering und speziell CEO-Fraud immer wieder funktioniert?

 

Die Angreifer machen sich menschliches Verhalten zu Nutze. Unsere Gemeinschaft funktioniert grundsätzlich auf der Basis von Vertrauen. Es ist angebracht, in bestimmten Situationen misstrauisch zu sein – würde man aber alles hinterfragen und prüfen, wäre jede Art der Zusammenarbeit ausgeschlossen. Auch Ängste von Mitarbeitern spielen eine Rolle – die Angst davor, etwas falsch zu machen oder die Angst davor, dumm auszusehen, weil man zu oft nachgefragt hat.

 

Der technische Schutz gegen die Cyberganoven ist nur eine Kompetente. Was empfehlen Sie Unternehmen, um einen ganzheitlichen Schutz sicherzustellen?

 

Technischer Schutz ist wichtig, vor dem Einsatz jeglicher Schutzmaßnahmen sollte aber eine Bedrohungsanalyse durchgeführt werden. Welche Werte im Unternehmen sind eigentlich besonders schützenswert? Welche Daten und Systeme müssen besonders geschützt werden, welche sind vielleicht weniger wichtig? Die Ergebnisse dieser Analyse ermöglichen erst einen effizienten Mitteleinsatz. Bei den Maßnahmen selber sind dann neben technischen Schutzeinrichtungen immer wieder die Mitarbeiter wichtig. Technische Schutzmaßnahmen helfen nicht, wenn sie umgangen werden, z.B. durch Schatten-IT. Die IT muss aber auch die Bedürfnisse der Mitarbeiter ernst nehmen, diese umgehen Schutzmaßnahmen nämlich meist, weil sie dann ihre Arbeit schneller und effizienter erledigen können. Auch eine offene Unternehmenskultur hilft – so nutzen z.B. bei CEO-Fraud Angreifer gezielt die Angst von Mitarbeitern vor ihrem Chefs, um zu verhindern, dass diese zu viele Fragen stellen.