Ausgabe 02/2015 | € 1,50
www.wickhill.de | Kontakt: [email protected]
The
Guardian
ANTAGO
Was ist was?
Rigby Private Equity
investiert bei Wick Hill
Gini-Index der
IT-Sicherheit
Internet of Things
(IoT)
Seite 8
Seite 14
Bildquelle: plainpicture
EXPANSION
Seite 6
S IE U NS A
DER
TREFF
N
UF
E
Bildquelle: shutterstock
Wick Hill Kommunikationstechnik GmbH | YOUR value added distributor
Fortinet
STAND 12 | 504
6.
in den letzten Monaten war bei Wick
Hill einiges los. So freuen wir uns
sehr, jetzt auch die Netzwerk-Sicherheits-Lösungen von Tenable
Network Security vertreiben zu dürfen.
Ein weiterer wichtiger Schritt war
sicherlich der Einstieg der Rigby
Private Equity bei Wick Hill. Das
bedeutende Investment ebnet den
Weg für die Zukunft und ermöglicht
Wick Hill weiteres Wachstum. Zudem präsentieren wir uns und unsere Hersteller auch in 2015 vom 6. bis
8. Oktober auf der it-sa in Nürnberg.
In dieser Ausgabe des Guardians dreht sich alles um das Internet of Things und welche Auswirkungen hinsichtlich IT-Sicherheit
zu erwarten sind. Unsere Hersteller diskutieren daher in spannenden
Fachbeiträgen aktuelle Trends und
Entwicklungen.
Beste Unterhaltung beim Lesen
wünscht,
Helge Scherff
Geschäftsführer Wick Hill Deutschland
m
eln
rt
iC
S i e d i e Fo
Si e d i ewww.wickhill.de/forticoins
Fo
rt
ma
S
www.wickhill.de
Ci
m
eln
!s ni o
Sa m
oin
s!
OMOTION
PR
O K TO BE
So wird das IoT sicher!
R
Das Internet of Things bietet enorme
Marktchancen, birgt gleichzeitig aber
auch Risiken für die IT. Nur mithilfe intelligenter Lösungen und ausgefeilter
Richtlinien kann der Kampf um die IoTSicherheit gewonnen werden...
SSL Blind Spot –
Verschlüsselte Daten
bilden Sicherheitsrisiko
Stark im Team
35 bis 45 Prozent des gesamten Internetverkehrs
stellen eine potenzielle Bedrohung dar
Autor: Florian Hartmann, A10 Networks Regional Sales Engineer DACH
Um sich als Unternehmen vor Angriffen,
Malware, Datendiebstahl und weiteren
aktuellen Gefahren zu schützen, ist es unabdingbar, sowohl den eingehenden als auch den ausgehenden Datenverkehr zu überprüfen. Dazu gibt es bereits eine Vielzahl
von Security-Appliances wie Next Generation Firewalls,
IPS, DLP, Proxy-Diensten und weiterer Produkte, die vor
der ein oder anderen Gefahr schützen können.
Tests von verschiedenen Institutionen wie den NSS
Labs haben gezeigt, dass selbst aktuelle Security-Lösungen wie UTM, NG Firewalls und Intrusion-Prevention-Systeme für die SSL-Entschlüsselung oft sehr
schlecht ausgerüstet sind. Daneben sinken die Performance-Ergebnisse in den verschiedenen Testszenarien
aufgrund der SSL-Entschlüsselung um bis zu 86 Prozent.
rotzdem bleiben viele Unternehmen hochgradig
angreifbar, da SSL-verschlüsselte Daten bei mindestens 80 Prozent aller Firmen nicht überprüft
werden. Folglich passieren die Daten ungehindert sämtliche Sicherheitsbarrieren, unterlaufen die Security-Einstellungen und führen zu einem sogenannten „Blind
Spot“. Angreifer erhalten damit die Möglichkeit, vorhandene Abwehrmechanismen zu umgehen und dem Unternehmen unbemerkt Schaden zuzufügen. Wie Berichten
von verschiedenen Service-Providern und Herstellern zu
entnehmen ist, wird dieses Leck im Datenverkehr immer
größer.
Diese Entwicklung machen sich Malware-Programmierer und andere Angreifer zu Nutze. Prognosen gehen
davon aus, dass bis zum Jahr 2017 rund die Hälfte der
Angreifer eine Verschlüsselungstechnologie nutzt, um
beispielsweise die Kommunikation nach außen zu tarnen. Ferner bringen aktuelle Gesetzesinitiativen und die
daraus resultierenden Anforderungen an die SSL-Verschlüsselung, wie PFS oder die Nutzung von 2.048-Bit
– zukünftig 4.096-Bit – Schlüsseln, gegenwärtig eingesetzte Security-Geräte und -Technologien rasch an ihre
Grenzen.
T
Schon jetzt werden mehr als 40 Prozent des weltweiten
Internetverkehrs per SSL verschlüsselt und bis zum Jahr
2016 wird ein Anstieg auf gut 67 Prozent prognostiziert
(Quelle: Sandvine). Die Gründe für den vermehrten Einsatz von Verschlüsselung sind sehr unterschiedlich. Einerseits ist das Sicherheitsbewusstsein der Unternehmen gestiegen, andererseits wird dieser Trend aber auch
durch Anbieter wie z.B. Google begünstigt. Denn Google vergibt ein deutlich besseres Ranking im Suchergebnis
für SSL-verschlüsselte Seiten.
Der Wandel innerhalb der Unternehmens IT vom klassischen Rechenzentrumsbetrieb hin zu flexibleren CloudAnwendungen, sei es im Bereich Applikation oder Storage,
eröffnet weitere Perspektiven in der aktuellen Diskussion
zum Thema „Sicherheit“. Benutzer und Unternehmen, die
über „sichere“ SSL-verschlüsselte
Verbindungen in entfernten Rechenzentren arbeiten, müssen sich jedoch jederzeit darauf verlassen können, stets die Kontrolle über ihre
eigenen Daten zu haben.
...weiter auf Seite 5
... weiter auf Seite 12
Tenable
www.wickhill.de/a10
Liebe LeserInnen und Leser,
-8.
Anti-Malware und Vulnerability Scanner
bieten eine leistungsstarke Kombination
aus Vorsorge und proaktiver Bekämpfung
von Eindringlingen. Allerdings kann kein
Scanner die Funktionalitäten des jeweils
anderen vollständig ersetzen...
...weiter auf Seite 6
WatchGuard
Geschützt dank Unified
Threat Management
Ob Social Engineering oder das Kapern von bekannten Websites – die
IT-Gefahren sind enorm gestiegen. Es
bedarf ausgeklügelter Security-Lösungen um sich den immer raffinierteren
Angriffen zu erwehren...
...weiter auf Seite 15
Thales
Schutz des privaten
Signierschlüssels
Cloud-Dienste und mobile Computernutzung bieten neue Möglichkeiten,
aber die Sicherheit muss im Vordergrund stehen. Hier gilt es durch die
richtigen Maßnahmen das nötige Vertrauen aufzubauen...
...weiter auf Seite 10-11
Kaspersky Lab
Fallbeispiel einer
Cyberattacke
Immer wieder werden Online-Bezahlsysteme Ziel von Cyberkriminellen. In
diesem Artikel wird gezeigt, wie solche Attacken ausgeführt werden und
wie Banken und Finanzdienstleister
sich angemessen schützen können...
...weiter auf Seite 2
Wick Hill Guardian
2
Ausgabe 02/2015
Kaspersky-Analyse
Einbrüche in Online-Bezahlsysteme
Fernzugriff auf den Computer
I
Bei der ersten Analyse der Festplatte des
Buchhalter-Rechners wurde eine modifizierte Version des legalen Programms „Remote
Manipulator System“ gefunden, das die Fernsteuerung des Computers ermöglicht. Das von
Kaspersky Lab entdeckte Programm befand
sich in einem verdächtigen Verzeichnis, hatte eine dubiose Bezeichnung und war dahingehend verändert, dass seine Funktionalität verborgen wurde.
Mit Hilfe dieses Schadprogramms konnten die
Cyberkriminellen einen weiteren Schädling
auf den infizierten Computer laden, und zwar
Backdoor.Win32.Agent. Dieses Backdoor-Programm stellte einen entfernten VNC-Zugriff
(Virtual Network Computing) auf den Computer bereit. Doch wie ist das Schadprogramm
Backdoor.Win32.RMS auf dem Computer des
Buchhalters gelandet?
Infektion des Computers
Holger Suhl, General Manager DACH bei Kaspersky Lab
Der Fall
In diesem Fall hat sich ein Unternehmen an
Kaspersky Lab gewendet, um einen Sicherheitsvorfall im hauseignen Internet-Bezahlsystem zu
untersuchen. Eine Bank rief bei der Buchhaltung des betroffenen Unternehmens an und bat
um die Bestätigung einer Überweisung eines
hohen Betrags. Allerdings bekräftigte der Buchhalter des Unternehmens, dass er die Überweisung nicht vorgenommen habe; er befand sich
zum Zeitpunkt, als die Transaktion durchgeführt wurde, nicht an seinem Arbeitsplatz.
Der Buchhalter nutzte auf seinem Computer
eine Banken-Software zum Erstellen und Versenden von Zahlungsanweisungen. Im Aktivitätsprotokoll dieser Software waren zwei verdächtige Überweisungen verzeichnet, die beide
an ein und dieselbe Adresse gingen. Dabei war
die erste Zahlung in Höhe von ungefähr 6.000
Euro bereits erfolgreich durchgeführt worden.
Die zweite Überweisung in Höhe von mehr als
60.000 Euro weckte das Misstrauen der Bankangestellten.
Die Firma ging von einem Cyberangriff aus.
Doch wie konnte eine solche Attacke möglich
sein? Zumal eine dedizierte Banken-Software
verwendet wurde, die ein Passwort und eine
spezielle Datei erforderte, um auf das OnlineBezahlsystem zugreifen zu können.
Die Untersuchung
Die wichtigsten Ziele der Untersuchungen von
Schadprogrammvorfällen liegen darin, die genauen Angriffsfolgen zu erkennen, die kompromittierten Computer zu identifizieren sowie die
In der Datenbank von Microsoft Outlook fand
sich eine E-Mail mit einen Office-Dokument
als Anhang. Die Cyberkriminellen setzten hier
auf Social Engineering [3]. Im Text der E-Mail,
die im Namen der staatlichen Steuerbehörde
verschickt worden war, wurde um die umgehende Bearbeitung der Mitteilung gebeten. Dabei waren die Kontaktdaten von echten Mitarbeitern des Finanzamts aufgeführt.
Der Buchhalter sollte vermutlich den Anhang
öffnen, der unter Ausnutzung einer Sicherheitslücke in Microsoft Word ein sich selbst
entpackendes Archiv von einem entfernten
Server lud und es auf dem Rechner auspackte.
Im Zuge der Extraktion führte das ursprüngliche Archiv den Programm-Archivierer
„SYST.EXE“ mit den Parametern aus, die auf
die Entpackung des passwortgeschützten Archivs „SYST“ verweisen, und zwar unter Verwendung des integrierten Passwortes. Diese
Methode unter Einsatz eines passwortgeschützten Archivs dient der Umgehung der statischen
Entpackung der Datei durch Antiviren-Software, um so die Wahrscheinlichkeit der Entdeckung zu minimieren. Infolge des Entpackens
von „SYST“ wurde die Datei Backdoor.Win32.
RMS sowie das Skript „INST.CMD“ erstellt,
das die Installation des Backdoor-Programms
im System erledigte.
Schon nach Entdeckung der Backdoor bekam
man eine Vorstellung davon, wie das Geld gestohlen werden konnte. Wenn sich die Kriminellen Fernzugriff auf den Computer des Buchhalters verschafft hatten, so konnten sie auch
selbst eine Zahlungsanweisung erstellen. In
diesem Fall existierte allerdings noch das Problem, dass für den Zugriff auf die Banken-Software ein Passwort benötigt wird.
Die Aufmerksamkeit der Kaspersky-Experten
richtete sich auf die Datei „Svchost.exe“, die
sich im Root-Verzeichnis der Systemfestplatte befand. Die Datei erwies sich als Keylogger
zur Kontrolle der Einstellungen von Backdoor.
Win32.RMS. Der Keylogger wurde zudem mit
Hilfe der Backdoor Backdoor.Win32.RMS geladen.
Der Keylogger schickte nicht nur regelmäßig
Protokolle mit den gestohlenen Informationen
an den Server der Cyberkriminellen, sondern
speicherte auch eine aktuelle Kopie des Protokolls auf der Festplatte des infizierten Computers. Unter den vom Keylogger gestohlenen Informationen befand sich auch das Passwort für
die Banken-Software.
Das Angriffsschema
Aufgrund unserer Untersuchungsergebnisse
konnten wir die folgende Vorgehensweise der
Cyberkriminellen rekonstruieren:
1.Im Laufe einer zielgerichteten Attacke unter Einsatz von Social Engineering und Ausnutzung einer Sicherheitslücke in Microsoft
Word wurde der Computer des Buchhalters
mit dem Schädling Backdoor.Win32.RMS
infiziert.
2. Mit Hilfe dieser Backdoor luden die Cyberkriminellen zwei weitere Schadprogramme
auf den infizierten Rechner: einen Keylogger
(Trojan-Spy.Win32.Delf) und eine Backdoor
(Backdoor.Win32.Agent), die einen RemoteVNC-Zugriff auf den Computer bereitstellt.
3. Der Keylogger fing das Passwort für den
Zugriff auf das Online-Bezahlsystem ab.
4. Solange sich der Buchhalter nicht an seinem Arbeitsplatz befand, starteten die
Verbrecher mit Hilfe von Backdoor.Win32.
Agent und dem VNC-Zugriff die BankenSoftware im Namen des Buchhalters.
5.Nachdem sie das Passwort verwendet hatten, erstellten die Gauner eine Zahlungsanweisung über mehr als 6.000 Euro und
übermittelten sie an die Bank.
6. Kurz darauf wurde erneut eine Zahlungsanweisung erstellt und an die Bank gesendet –
dieses Mal über mehr als 60.000 Euro.
Das Angriffsschema der Cyberkriminellen
Quellen:
[1]http://www.kaspersky.de
Sicherheitstipps
für Banken
TR E FF
m vorliegenden Artikel geht es um eine typische Attacke von Cyberkriminellen, die
es auf den Diebstahl von Geld in OnlineBezahlsystemen abgesehen hat. Dieser Artikel
zeigt, wie diese Attacke durchgeführt wurde,
auf was Banken und Finanzdienstleister achten
sollten und wie sie sich adäquat vor Cyberangriffen schützen können [2].
Der Keylogger
S IE U NS A
DER
Einfallstore des Schadprogramms auf die Computer herauszufinden. So kann ein betroffenes
Unternehmen die aufgrund des Sicherheitsvorfalls erlittenen Verluste minimieren, die
Schwachpunkte in seinen IT-Sicherheitsmaßnahmen ermitteln sowie entsprechende Präventivmaßnahmen treffen.
N
UF
Unsere Experten
bei Kaspersky
Lab [1] werden
immer häufiger vor die Aufgabe gestellt, Sicherheitsvorfälle in Unternehmen aufzuklären, die
mit Schadprogrammen von außen attackiert
wurden.
E
Autor: Holger Suhl, General Manager DACH bei Kaspersky Lab
STAND 12 | 504
6.
Mitarbeiter in UnternehR
-8.
O K TO BE
men, die Kenntnis über
wichtige Unternehmensdaten
haben und mit Finanzinstitutionen in Verbindung stehen, müssen über die Grundlagen
der IT-Sicherheit aufgeklärt sein. In den Unternehmen müssen Sicherheitsregeln gelten,
die das Risiko einer Infektion des Unternehmensnetzwerks infolge einer Fahrlässigkeit
der Mitarbeiter auf ein Minimum reduzieren.
Da Zero-Day-Exploits in der Regel viel zu
teuer für Angriffe auf Unternehmen sind,
werden bei solchen Attacken Exploits zu bereits bekannten Sicherheitslücken eingesetzt.
In diesen Fällen bieten bereits regelmäßige Software-Aktualisierungen (insbesondere von Microsoft Office und Java) sowie eine
qualitativ hochwertige IT-Schutzlösung wie
Kaspersky Endpoint Security for Business
[4] mit fortschrittlichen Technologien zum
Schutz vor Exploits ein hohes Maß an Sicherheit.
Eine weitere Besonderheit bei Attacken auf
Banken ist die Verwendung legaler Software. Unsere Experten beobachten, dass Cyberkriminelle bei vielen Angriffen legitime Anwendungen einsetzen, die Fernzugriff,
Download und Start von Schaddateien ermöglichen. Diese legalen Programme werden
von Antiviren-Lösungen nicht als „schädlich“
erkannt. Wird eine unveränderte legale Software verwendet, so besteht die einzige Möglichkeit darin, dass die Schutzsysteme über
den Start potenziell unerwünschter Programme informieren. Anwender sollten sich immer darüber im Klaren sein, dass kein Sicherheitssystem hundertprozentigen Schutz
bieten kann. Daher sollten sie unbedingt auf
die Systembenachrichtigungen und auf ein
anomales Verhalten des Computers achten
und den Sicherheitsdienst über alle verdächtigen Ereignisse im System informieren.
Im Idealfall sollten die Computer, die für Finanztransaktionen in Online-Bezahlsystemen verwendet werden, im Modus „Default
Deny“ laufen, und zwar mit eingeschränktem Internetzugriff und dem Verbot zum
Start von Drittanbieter-Software, die nicht
auf Whitelists verzeichnet ist.
Kaspersky Lab bietet zudem eine spezielle IT-Sicherheitslösung für Banken, Finanzund E-Commerce-Dienstleister zum sicheren Abwickeln von Finanztransaktionen. Mit
Kaspersky Fraud Prevention [5] werden Security-Komponenten sowohl innerhalb der
IT-Infrastruktur des Anbieters als auch auf
den Geräten der Kunden installiert – auf
Computern, Laptops, Smartphones oder Tablets, die mit unterschiedlichen Betriebssystemen arbeiten. Zudem beinhaltet die Lösung
Werkzeuge, mit denen sichere, mobile Apps
auf Basis der fortschrittlichen KasperskyTechnologien entwickeln werden können.
Kaspersky Fraud Prevention bietet darüber hinaus Dienstleistungen, bei denen Informationen über aktuelle
Cybergefahren und Wege,
diese zu bekämpfen, kundenspezifisch auf bereitet
werden.
[2]http://www.kaspersky.com/de/business-security/fraud-prevention
[3]http://www.kaspersky.com/de/internet-security-center/bedrohungen/malware-social-engineering
[4]http://www.kaspersky.com/de/business-security
[5]http://www.kaspersky.com/business-security/fraud-prevention
www.wickhill.de/kaspersky
Wick Hill Guardian
3
Ausgabe 02/2015
Autor: Raymond Hartenstein, Vertriebsleiter, Link11 GmbH
Statt Bitcoins an DDoS-Erpresser
Bis zu 275 Bitcoins werden verlangt
Auch im Rahmen der drei größten DDoS-Erpresserwellen in Deutschland, forderten Cyberkriminelle in den vergangenen Monaten
ausschließlich Bitcoins. Ende 2014 gab es bereits einen groß angelegten Erpressungsversuch auf Unternehmen, die einen Großteil des
elektronischen Zahlungsverkehrs in Europa abwickeln. Die Geldforderung belief sich auf 275
Bitcoins. Im Mai dieses Jahres verlangten außerdem bislang unbekannte Täter unter dem
Pseudonym „Raul Garcia“ je 5 Bitcoins von
über 1.000 deutschen Online-Händlern. Großunternehmen im Finanzsektor sowie SaaS- und
Hosting-Unternehmen sollten zudem im Sommer DDoS-Schutzgeld an die weltweit tätige
DDoS-Erpresserbande DD4BC (DDoS for Bitcoins) zahlen. Die Cyberkriminellen forderten
branchenabhängig zwischen 30 bis 50 Bitcoins.
Bitcoin-Transfers verschleiern
die Spuren des Lösegelds
DER
STAND 12 | 504
6.
-8.
R
soll. Der seit Anfang 2015 sehr aktive Mietservice Lizard Stresser bietet unterschiedliche Pakete wie beispielsweise 30.000-Sekunden-Angriffe für nur 60,99 Dollar, zahlbar in Bitcoins.
Lizard Stresser bewirbt die Kapazität seiner
buchbaren DDoS-Attacken mit bis zu 20 Gbps.
Die von DD4BC umgesetzten DDoS-Attacken
erreichten unter Nutzung entsprechender Services sogar Peak-Bandbreiten bis zu 100 Gbps.
DDoS-Erpresser nutzen
Internet der Dinge für Botnetze
Realisiert werden die DDoS-Mietangebote vielfach durch Botnetze, in denen nicht mehr nur
Rechner, sondern auch internetfähige Haushaltsgeräte, wie Heim-Router,
DSL-Modems, Spielekonsolen und Fernseher, zuDDoS-Gefahr aktuell
sammengeschlossen sind.
Durch falsche Konfigurationen, fehlende Softwarewww.ddos-info.de
Updates und unveränderte
Informieren Sie sich
Standard-Passwörter könüber DDoS-Attacken und
nen Hacker mühelos auf die
DDoS-Erpressungen.
schlecht gesicherten Geräte
zugreifen. Schätzungen gewww.ddos-info.de
hen davon aus, dass MilLesen Sie ausführliche
lionen von Routern und
Reports zu konkreten
DSL-Modems bereits per
Sicherheitsvorfällen.
eingeschleuster Malware infiziert und zu Botnetwww.ddos-info.de
zen zusammengeschlossen
Registrieren Sie sich
wurden. Mit dieser Armee
für Warnmeldungen zu
an Heimgeräten erreichen
akuten DDoS-Gefahren.
die DDoS-Angreifer eine
sehr hohe Schlagkraft un-
E
TR E FF
Denn eine schnelle und gründliche Traffic-Filterung ist in Zeiten der steigenden Angriffsbandbreiten durch Internet-of-Things-Botnetze nur
mit den externen und schnell skalierbaren Ressourcen der Cloud möglich. Die softwarebasierte Abwehrlösung des Link11 DDoS-Schutzes
verfügt aktuell über eine mehrere hundert Gbps
starke Netzwerkanbindung. Das Scrubbing Center ist bereits im Backbone integriert. So gelingt
die frühe Filterung des Datenverkehrs, die verhindert, dass der DDoS-Traffic bis ins Unternehmensnetzwerk gelangt und dort die lokalen
Schutzmechanismen außer Kraft setzt.
Link11 warnt vor immer
neuen DDoS-Erpressungen
Außerdem sind DDoS-Schutzkunden von
Link11 über veränderte Angriffsszenarien sowie aktuelle Sicherheitsvorfälle stets gut informiert. Das Link11 Security Operation Center
(LSOC) überwacht anhand zahlreicher Sensoren auffällige DDoS-Aktivitäten im weltweiten
Netzwerk. Diese Informationen werden durch
die DDoS-Schutzexperten analysiert und im
Hinblick auf verschiedene Angriffsvektoren,
die Herkunft sowie das Ziel des Angriffs gewichtet. Die Ergebnisse gibt Link11 als frühzeitige Warnmeldungen und tiefgehende Sicherheitsreports an seine Kunden weiter. Die
Sicherheitswarnungen veröffentlicht das LSOC
außerdem auf der Webseite www.ddos-info.de
und bietet zudem einen
E-Mail-Alert-Service, der
über konkrete DDoS-Sicherheitsgefahren und BitcoinErpressungen informiert.
www.wickhill.de/link11
Wick Hill verdoppelt seine Ausstellungsfläche
auf der it-sa 2015 in Nürnberg
S IE U NS A
TR E FF
N
Bleibt die Lösegeldzahlung
hingegen aus, machen die
Erpresser ernst und starten ihre angedrohten Attacken. Diese kaufen sie häufig selbst per Bitcoins bei
DDoS-Mietangeboten ein.
Die Preisskala für DDoSAngriffe ist nach oben hin
offen und richtet sich z.B.
danach, wie lange der Angriff dauert und wie leistungsfähig das Botnetz sein
O K TO BE
UF
E
Zur leichteren Überwachung des Zahlungseingangs ordnen DDoS-Erpresser wie DD4BC in
DDoS-Mietservices
schon für wenige
Bitcoins
-8.
Bei der Erpresserwelle durch DD4BC hielten nicht alle Unternehmen den DDoS-Angriffen stand. Trotz eines 24-stündigen Zahlungs-Countdowns schafften es viele nicht, ein
ausreichendes Schutzschild zu installieren. Sie
wurden von den großvolumigen Attacken überrollt und ihre digitalen Geschäftsprozesse offline
genommen. Bei Unternehmen hingegen, die sich
von dem führenden deutschen DDoS-Schutzanbieter Link11 schützen ließen, prallten die Angriffe an ihren gut gesicherten Infrastrukturen
und Netzwerken ab.
sich vorrausschauend schützen!
Entgegen der Empfehlung, nie auf Lösegeldforderungen einzugehen, lassen sich, wie im Fall
von DD4BC, auf bereits veröffentlichten Bitcoin-Adressen Zahlungseingänge feststellen.
Das Geschäft scheint äußerst profitabel. Zur Verschleierung wird die Beute aber innerhalb kürzester Zeit über weitere anonyme Bitcoin-Konten bis hin zu Exchange
Services und Bitcoin Casinos weitertransferiert.
6.
Statt Bitcoins oder Offline
besser richtiger DDoS-Schutz
DDoS-SCHUTZ
zu zahlen, sollten Unternehmen
der Regel jedem Opfer eine individuelle BitcoinAdresse zu. Den Ermittlungsbehörden wiederum erschwert diese Taktik die Strafverfolgung.
Sie können über die Menge der eingesetzten Bitcoin-Adressen nur spekulieren. Wie viele Erpressungsversuche erfolgreich waren und wie
viele Bitcoins dabei insgesamt schon gezahlt
wurden, bleibt ebenfalls im Dunkeln.
STAND 12 | 504
ter der auch starke Firmennetzwerke einknicken,
wenn sie nicht entsprechend geschützt sind.
Bitcoins bei DDoS-Erpresser
immer beliebter
Schutzgelderpressungen mit DDoS-Attacken
sind nicht neu, aber die Zahlungsmodalitäten
ändern sich. Schon 2004 wurden Online-Wettbüros mit DDoS-Attacken unter Druck gesetzt.
Damals forderten die Erpresser das Schutzgeld
noch in U1-Vouchern oder Ukash-Codes, die
man an Tankstellen kaufen konnte. Seit dem
Start des Bitcoin-Netzwerks Anfang 2009, machen sich Cyber-Erpresser immer häufiger die
digitale Währung zunutze. Denn Bitcoins lassen
sich nicht nur online erwerben und weitertransferieren, sondern schützen auch die Anonymität
des Bezahlens. Wer das Kryptogeld wofür einsetzt, lässt sich nur schwer nachvollziehen. Bitcoins haben daher Zahlungsmittel wie Ukash
oder Paysafecard weit hinter sich gelassen hat.
DER
Kryptogeld wird zur Lieblingswährung der DDoS-Erpresser
Ukash und PaysafeCard
waren gestern. Im DDoSErpressungsgeschäft dreht sich inzwischen fast
alles um Bitcoins. Zum einen hilft die virtuelle
Währung den Cyberkriminellen, die Zahlungswege ihres erpressten Geldes zu verschleiern.
Auf der anderen Seite bezahlten die Erpresser
selbst mit Bitcoins, wenn sie zur Ausführung ihrer angedrohten Attacken auf kostenpflichtige
Miettools wie Botnetze aus Internet-of-ThingsGeräten setzen.
S IE U NS A
UF
Bitcoins oder offline!
N
O K TO BE
V
R
Unter dem Motto „Erleben Sie die ganze
Welt der IT-Security an einem Stand“ stellt
Wick Hill auch in diesem Jahr sein Portfolio
auf der it-sa in Nürnberg vor.
om 06. bis 08. Oktober haben Fachhändler die Möglichkeit, sich in Halle 12 am Stand 504 über die verschiedenen Security-Lösungen der Hersteller zu informieren. Nach dem großen Erfolg im Vorjahr wurde das
Standareal nun auf 93 m2 verdoppelt. Somit steht für unsere Hersteller A10, Corero, ExtraHop, Fortinet, Kaspersky,
Symantec, Tenable, Thales, Trustwave und VASCO noch
mehr Raum zur Verfügung, um ihre Lösungen den Besuchern
näher zu bringen.
www.wickhill.de
Während der gesamten Messe sind zudem Produktspezialisten von Wick Hill und der Hersteller vor Ort um Neukunden
und Bestandspartnern Einzelgespräche zu ermöglichen. Wie
bei allen Messen haben Interessierte die Möglichkeit bereits
im Vorfeld Termine zu vereinbaren. Hierfür stellen wir jedem Gast 1-3 Freikarten für den Tag des Meetings zur Verfügung. Mit einem Networking Event am Stand wird jeder Messetag gebührend abgerundet. Für ausreichend Speis und Trank
ist gesorgt.
In insgesamt sechs spannenden Fachvorträgen informieren die
Hersteller zudem über Trends und Innovationen der IT-Security
Branche. Fortinet, Trustwave, Tenable und Corero konzentrieren
sich im Forum Rot/Auditorium auf das Thema Management, da-
neben referieren Corero und Fortinet im Forum Blau auch über
IT-Security aus technischer Perspektive.
Das Team von Wick Hill steht Ihnen gerne während der gesamten Messezeit zur Verfügung, um Sie über aktuelle Sicherheitsanforderungen und entsprechende Best Practices zu informieren.
Wir freuen uns auf Ihren Besuch,
Ihr Wick Hill-Team
Für Terminvereinbarungen und kostenfreie
Eintrittskarten besuchen Sie unsere Website:
www.wickhill.de/it-sa2015
Wick Hill Guardian
4
Ausgabe 02/2015
Innovative WLAN-Produkte
Aruba Networks ebnet den Weg für das Internet of Things
Autor: Levin Merl, Regional Marketing Manager / Central, Eastern Europe and Russia, Aruba Networks
Während die 802.11ac Wave 2 Access
Points die Netzwerkkapazität signifikant verbessern, vereinen die Aruba
Wireless Branch-Controller mehrere
Netzwerk-Funktionen in einem Gerät.
E
in Alltag ohne WLAN ist mittlerweile fast undenkbar. Endverbraucher sind auf der ständigen
Suche nach einer WLAN-Verbindung,
wollen immer und überall verbunden sein.
Auch in der Geschäftswelt tut sich einiges,
Arbeitnehmer werden zunehmend mobiler und fordern f lexible Arbeitsplätze, die ein bandbreitenstarkes WLAN
bedingen. WLAN ist ebenso Grundvoraussetzung für Location-based-Services, die als neue Marketingtools im
Kommen sind.
Dank des neuen 802.11ac-WLANStandards, der eine größere Bandbreite bietet und somit Datentransfers im
Gigabit-Bereich ermöglicht, entwickelte sich WLAN zu einem der am schnellsten wachsenden Bereiche im Netzwerkmarkt. Endgeräte, die aktuell auf den Markt
kommen, sind WLAN-optimiert und können
schlicht nicht mehr kabelgebunden ins Internet gebracht werden, da sie keinen Anschluss mehr dafür haben.
Seien es Endgeräte rund um „Smart Home“ oder das Internet of Things (IoT) - bald werden alle Devices nur noch
WLAN als Standard-Connectivity eingebaut haben. Smartphones sollen zukünftig auch nur über WLAN geladen werden. Schaut man sich die verschiedenen Geschäftsbereiche
an, gibt es besonders in der Produktion neue Möglichkeiten: die Idee der „Smart Factory“ nimmt klare Konturen
an, bei der die Kommunikation der Maschinen nur über
WLAN funktioniert. WLAN ist auf der Überholspur und
treibt ganz offensichtlich den nächsten Trend an: Internet
of Things.
Neue Aruba Wave 2 Access Points
Deutlich höhere Netzwerkkapazität mit Aruba 320-Serie
Um den immer höheren WLAN-Anforderungen gerecht zu
werden, bedarf es innovativer Lösungen. Aruba Networks,
ein HP Unternehmen, hat den Trend erkannt und verbessert
mit seinen neuen Access Points (AP) der Serie Aruba 320
die Netzwerk-Performance in digitalen Arbeitsumgebungen. Aruba 320 sind die ersten 802.11ac Wave 2-APs mit
dynamischer MU-MIMO-Gruppierung (Multi-User, Multiple Input Multiple Output), die eine spürbare Verbesserung der Netzwerkkapazität
ermöglichen. Darüber hinaus sind es die ersten Wave 2-APs ihrer Klasse mit integrierten BLE (Bluetooth Low-Energy) Beacons,
die über die Cloud verwaltet werden können. Damit sind Firmware-Aktualisierungen, Batteriestandsüberwachung
und Konfigurationsänderungen anderer Aruba Beacons
möglich.
Bis 2018 werden rund 75
Prozent
aller
Mitarbeiter in großen Unternehmen
mehr als drei Mal täglich
per Video zusammenarbeiten. IT-Abteilungen sind daher gefordert ausreichend
WLAN-Bandbreite bereitzustellen. Hinzu kommt, dass mit
der Einführung schnellerer 802.11ac Wave 2-Infrastrukturen eine Netzwerkintelligenz erforderlich ist, mit der sich
Übertragungen zu MU-MIMO-fähigen Endgeräten effizient
gruppieren lassen.
Netflix, der weltweit führende Anbieter von TV-Streaming
mit mehr als 62 Millionen Mitgliedern in über 50 Ländern
und derzeit Kunde der drahtlosen Netzwerklösung Aruba 802.11ac Wave 2 beta, verfolgt die Entwicklungen der
802.11ac-Technik genau, um den Bandbreitenbedarf von modernen Anwendungen optimal unterstützen zu können.
Ausreichend Bandbreite für hohe Anzahl von Mobilgeräten
Um sich auf den erwarteten großflächigen Einsatz von Wave
2-Geräten vorzubereiten, hat Aruba neue innovative Funktionen in seine patentierte ClientMatch-Technologie integriert. Diese hatte bereits das „Sticky Client“-Problem gelöst,
bei dem ein WLAN-Client in einer vernetzten Infrastruk-
Zeit innerhalb von Gebäuden. Mehr als die Hälfte von ihnen nutzen WLAN- und Bluetooth-fähige Smartphones. Dieser große adressierbare Markt sowie die zunehmende Zahl an
Unternehmen, die ortsgebunden Dienste im Innenbereich (Indoor Location-based Services) implementieren wollen, bieten Organisationen eine einzigartige Gelegenheit, von Arubas Mobile Engagement-Lösungen zu profitieren.
Aruba hat Beacons in seine AP320 Serie integriert,
die nach dem BLE-Standard arbeiten. Dadurch
ist eine Cloud-basierte Fernwartung von batteriebetriebenen Aruba Beacons möglich,
so dass diese neben USB-gestützten Beacons genutzt werden können. Autarke Beacons von anderen Anbietern verfügen über
keine geeigneten Backend-ManagementWerkzeuge und lassen sich daher nicht für
den Einsatz in Unternehmen oder öffentlichen Veranstaltungsorten effizient skalieren. Mithilfe der in den Aruba AP320
Series integrierten Beacons können Organisationen über einen Cloud-basierten Server nun sogar mehrere tausend Beacons in
großen Installationen aus der Ferne verwalten, konfigurieren und den Ladezustand der
Batterie überwachen.
tur nicht zum nächsten AP wechseln (roamen) will. Arubas
neue, verbesserte ClientMatch-Technik erkennt mit seiner
Systemintelligenz Wave 2-MU-MIMO-Geräte, gruppiert
diese automatisch mithilfe von APs der Serie Aruba 320
und ermöglicht die simultane Datenübertragung auf mehrere Endgeräte. Durch diese Maßnahmen steigert ClientMatch
die nutzbare Gesamtkapazität des Netzwerks. Mit den Wave
2-Erweiterungen verbessert ClientMatch nicht nur die Performance einzelner Geräte, sondern auch die Gesamtperformance an jedem Ort im Netzwerk. Das Ergebnis ist eine
Steigerung der WLAN-Leistung um bis zu 42 Prozent gegenüber Lösungen des Wettbewerbs ohne ClientMatchTechnik.
„Um die Akzeptanz von 802.11ac Wave 2-Lösungen zu beschleunigen, arbeitet Qualcomm Atheros mit führenden Netzwerkausrüstern wie Aruba zusammen. Ziel ist es, WLANProdukte der nächsten Generation zu produzieren“, sagt
Irvind Ghai, Vice President, Product Management von Qual-
Aruba Cloud Services Controller:
die neue All-in-One Lösung
Netzwerkfunktionen vereint in einem Gerät
Ein weiteres innovatives Produkt, das hilft die WLAN-Funktionalität insbesondere für Unternehmen mit Zweigniederlassungen zu verbessern und vor allem zu vereinheitlichen, sind
die Wireless Branch-Controller der Aruba 7000er Serie. Die
Controller wurden bereits von der Funkschau für die Leserwahl „ITK-Produkte 2015“ im Bereich WLAN-Business-Lösungen nominiert. Das Besondere an den Aruba Cloud Services Controllern: Sie integrieren die einzelnen Funktionen
eines Netzwerks, die bisher von verschiedenen Geräten geregelt werden mussten, in nur einem.
Die Zusammenfassung aller erforderlichen Sicherheits- und
Kommunikations-Funktionen einer Niederlassung zu einem
Paket, stellt einen deutlichen Vorteil für Unternehmen dar.
Die Wireless Controller von Aruba vereinfachen also erheblich das Management von Filialnetzwerken und stellen gleichzeitig die notwendige Sicherheit, Konnektivität und Skalierbarkeit bereit.
Einfache Implementierung und optimiert für Lync
Die Aruba Cloud Services Controller der 7000er
Serie können in Filialen einfach und ohne IT-Spezialisten in Betrieb genommen werden. Die Konfiguration des Netzwerks wird automatisch über
das zentrale Rechenzentrum des Unternehmens
gesteuert. Der benötigte Zeitaufwand für das
Deployment wird somit stark reduziert. Die
neue All-in-One Lösung vereint unter anderem drei Kernkomponenten der Netzwerkinfrastruktur:
WLAN, Security und Voice Support.
comm Atheros Inc, einem Tochterunternehmen von Qualcomm Incorporated. „Aruba verfolgt mit seiner erweiterten
ClientMatch-Technik und der dynamischen MU-MIMOGruppierung einen innovativen Ansatz zum Optimieren der
Wave 2-Performance. Diese Technologie erkennt automatisch
MU-MIMO-fähige Geräte und lenkt sie auf die am nächsten
liegenden Wave 2-fähigen Access Points. Dadurch liefert ClientMatch überlegene Performance und Kapazität für Unternehmensnetzwerke.“
Bluetooth-Beacons und Management der Location Services sind integriert
In Industrienationen verbringen die meisten Menschen ihre
Ebenso unterstützen die neuen
Controller automatisch die Unified Communications-Plattform
Microsoft Skype for Business
(Lync) sowie Office365 Anwendungen, was die Benutzererfahrung deutlich verbessert. Die Performance und Kontrolle
von geschäftskritischen Applikationen in der Cloud werden
ebenfalls erhöht. Ferner bietet die in den Controller eingebaute Integration in die Palo Alto-Firewall automatisch Schutz
für alle Niederlassungen, ohne dass eine
Installation von zusätzlicher Hard- oder
Software nötig ist. So wird das Filialnetzwerk einheitlich und flächendeckend vor
Angriffen geschützt.
www.wickhill.de/aruba
Wick Hill Guardian
5
Ausgabe 02/2015
IT-Sicherheit auf drei Säulen
E
Die richtige Software-Lösung
in wichtiger Pfeiler des Konzepts ist eine einheitliche und
flexible Infrastruktur an Sicherheitssoftware. Wenn Lösungen verschiedener Hersteller eingesetzt werden, gibt
es oft Probleme bei der Kompatibilität. Dadurch können wiederum neue Sicherheitslücken in der IT entstehen. Besser ist es also,
sich für einen Anbieter mit umfassendem Produktsortiment zu
entscheiden. So lässt sich jede Ebene der IT abdecken, wobei
die einzelnen Technologien nahtlos ineinander greifen sollten.
Auf diese Weise entsteht ein Schutz, der sowohl in die Breite als
auch in die Tiefe geht. Optimal ist es, wenn die Sicherheitslösungen zusätzlich modular aufgebaut sind. So können Behörden ihr
Schutzniveau je nach Bedarf anpassen.
Kaspersky Lab hat mit Kaspersky Endpoint Security for
Business eine Geschäftskunden-Lösung entwickelt, die genau
diese Kriterien erfüllt. Sie lässt sich in vier Stufen aufstocken
...Fortsetzung von Seite 1
TR E FF
– vom Basis-Paket ‚Core‘ mit Anti-Malware und Firewall über
‚Select‘ und ‚Advanced‘ bis hin zur Komplettlösung ‚Total‘.
Diese vereint die leistungsstarken Konfigurationstools aller
darunterliegenden Stufen; hinzu kommt noch der Schutz
von Web-Gateways sowie Mail- und Collaboration-Server.
Gesteuert wird die gesamte Sicherheitssoftware über eine
zentrale Verwaltungskonsole.
•
Behörden, die ein SIEM-System (Security
Information and Event Management) einsetSTAND 12 | 504
zen, können diese Sicherheitstechnik durch
6.
R
-8.
regelmäßige Feeds ergänzen. Die Feeds lieO K TO BE
fern Informationen über schädliche URLs und
lassen sich mit den Protokollen verknüpfen, die von
Netzwerkgeräten an das zentrale SIEM gesendet werden.
Awareness bei Mitarbeitern schaffen
•
Mit dem Abonnement der Intelligence Reports erhalten Behörden aktuelle Informationen auf Grundlage von über 80
Millionen Statistiken aus 200 Ländern. Die Reports versorgen sie mit Beschreibungen aktueller Malware, Details zu
Cyberkampagnen sowie Hinweisen, woran öffentliche Einrichtungen einen Befall ihrer IT frühzeitig erkennen können.
•
Zusätzlich bietet Kaspersky Lab auch Vorfallsuntersuchungen an, die eine gerade stattfindende oder erfolgte Attacke
unter die Lupe nehmen.
Allein der Einsatz einer Software reicht für ein umfassendes Security-Konzept aber nicht aus. Eine wichtige Komponente im
Kampf gegen IT-Bedrohungen besteht auch darin, die Mitarbeiter
aufzuklären, wo sich Risiken befinden.
Mit einem Angebot aus den Security Intelligence Services unterstützt Kaspersky Lab Organisationen der öffentlichen Hand,
mehr über aktuelle Angriffstechniken zu lernen. Das dreistufige
Schulungsprogramm für Cybersicherheit reicht von der Vermittlung wichtiger Sicherheitsgrundlagen bis hin zu fortgeschrittener
digitaler Forensik und Malware-Analyse.
Gefahr erkannt – Gefahr gebannt
Darüber hinaus umfassen die Security Intelligence Services weitere Maßnahmen, um sich vorbeugend über Cybergefahren zu informieren:
Fazit
Durch eine intelligente Kombination aus Security Software, Schulungen und dem Einholen aktueller Bedrohungsinformationen sind
Verwaltungen bestmöglich vor Cyberangriffen geschützt.
www.wickhill.de/kaspersky
SSL Blind Spot – Verschlüsselte Daten bilden Sicherheitsrisiko
Die A10 Thunder ADC
Serie mit SSL Insight™
bietet folgende Vorteile:
High-Speed SSLEntschlüsselung mit
A10 Thunder ADC
www.wickhill.de
•
•
•
•
Abbildung 2: Passiver Aufbau zur Analyse der Daten außerhalb des Datenstroms.
he Abbildung 1) kann alternativ auch
ein rein passiver Aufbau umgesetzt
werden. Dabei werden die Thunder
ADC im Pfad aufgebaut und die unverschlüsselten Daten werden dann
an IPS, Forensik Tools und andere
Produkte, die eine reine Analyse der
Daten übernehmen, weitergeleitet.
Die SSL Insight™ Lösung von A10 Networks kann mit verschiedensten Security-Anbietern zusammenarbeiten. A10
Networks hat eine Security Alliance gegründet und stellt dort mit vielen Herstellern gemeinsame Lösungskonzepte vor. Zusätzlich können Unternehmen
und Partner auf umfangreiche Deployment Guides zurückgreifen.
•
•
•
•
•
•
•
Den Funktionsumfang der Lösung
komplementiert das A10 „aFlex
Scripting“. Über Richtlinien lassen
sich z.B. Webseiten von der SSLEntschlüsselung ausnehmen. Eigene Listen mit Millionen von Einträgen können hierbei importiert oder
geschrieben werden.
Die SSL Insight™-Lösung wird
Firewalls
kontinuierlich um weitere interesIntrusion Prevention
sante Funktionen erweitert.
S IE U NS A
Systeme (IPS)
Eine dynamische PortN
Unified Threat
Analyse zur Prüfung von
Management (UTM)
n icht-H T T P-DatenverPlattformen
kehr
oder auch StartTLS
|
STAND 12 504
Data Loss Prevention
für
die
Mail-Kommuni6.
R
-8.
O K TO BE
(DLP) Produkte
kation ist eine der jüngsten
Threat Prevention
Erweiterungen. Kunden erhalPlattformen
ten diese Vorteile im Rahmen des
Network Forensics und Web
normalen Maintenance-Vertrags –
Monitoring Lösungen
es fallen keine zusätzlichen Lizenzkosten an.
E
Abbildung 1: Inline Aufbau einer SSL Insight
Lösung mit Thunder ADC vor und hinter den
Security Geräten.
Mit A10 Networks SSL Insight™
werden an zentraler Stelle der Unternehmenskommunikation oder DMZStrukturen die SSL-verschlüsselten
Verbindungen entschlüsselt und somit die Security Appliances anderer
Hersteller entlastet. Hierbei arbeitet
A10 mit Anbietern aus den folgenden
Bereichen eng zusammen:
•
Hohe Skalierung bei der SSL
Ver- und Entschlüsselung durch
leistungsstarke SSL Hardware
Investitionsschutz durch austauschbare SSL-Karten
Skalierung der Security Geräte durch Lastverteilung mit erweiterten ADC Funktionen
Reduzierung der Last durch zusätzliche Kontrolle und Entschlüsselung von zuvor selektiertem Verkehr oder Ausnahmen
von bekannten Webseiten
Bypass Funktionen durch
URL Klassifizierungsdienst
aFlex Scripting zur Analyse und
Beeinflussung des Datenverkehrs
automatisierte Konfiguration
durch die REST-based API inklusive verschiedener SDKs
und vorhandener Plugins
Logging und Reporting für den
Datenverkehr und weiterer Ereignisse. Hierbei werden umfangreiche Syslog, sFlow und Netflow
Daten sowie weitere Alarmmöglichkeiten über SNMP und
Mail zur Verfügung gestellt
Zusammenfassung
DER
Zusätzlich zum bereits beschriebenen Inline-Modus, bei dem die Thunder ADC Geräte vor und hinter den
Security-Systemen platziert sind (sie-
•
UF
Die A10 Thunder ADC Geräte entschlüsseln u.a. den Datenverkehr vor
Firewalls, IPS oder DLP-Lösungen.
Nach der Analyse werden diese dann
wieder in Richtung Internet oder Server verschlüsselt. Natürlich können
die Datenströme mit den erweiterten
Load-Balancing-Methoden entsprechend des Funktionsumfangs unseres ADC kombiniert werden. Hierfür
benötigen die Kunden keine zusätzlichen Lizenzen oder weitere Software-Komponenten.
•
TR E FF
Die A10 Thunder ADC Serie bietet auf Basis der ACOS (Advanced
Core Operating System)-Plattform
leistungsfähige Hardware mit dedizierten SSL Hardware Chips. Das
SSL Insight™ Feature steht hierbei
nicht nur als leistungsfähiger ADC,
sondern auch als eigene Appliance
für hoch performante SSL-Ent- und
Verschlüsselung zur Verfügung. Die
neuesten Modelle wie z.B. Thunder 3230S und Thunder 3430S bieten zusätzlich die Möglichkeit, die
Hardware SSL-Chips zu tauschen,
um auch mit zukünftigen Anforderungen Schritt zu halten. Unternehmen erhalten damit eine erweiterte
Investitionssicherheit, da sich damit
der „life-cycle“ der Appliances verlängert.
S IE U NS A
DER
Der jüngste Fall der Hackerattacke auf den Deutschen Bundestag zeigt: Sogar hochrangige
Regierungseinrichtungen zählen mittlerweile zu den Opfern von
Cyberangriffen. Umso stärker rückt auch der IT-Sicherheitsstandard im gesamten öffentlichen Sektor in den Fokus der Aufmerksamkeit. Doch auf was sollten Verwaltungen bei ihrem SecurityKonzept achten?
N
UF
E
Autor: Holger Suhl, General Manager DACH bei Kaspersky Lab
SSL Insight™ ist ein Standard-Feature des Thunder ADC und bietet neben umfassenden ADC Funktionen
auch die Möglichkeit zur Analyse von
zuvor verschlüsseltem Datenverkehr
unter Berücksichtigung der Best-ofwww.wickhill.de/a10
Breed Security.
Wick Hill Guardian
6
Ausgabe 02/2015
Vulnerability Scanning und Malware Scanning
Ein starkes Duo für wirkungsvollen Schutz
L
eider fehlte die nötige Voraussicht, um
zu erkennen, dass Malware sich weiterentwickeln würde. Die von Hobbyprogrammierern entwickelten Viren, Würmer
und Trojaner sind Geschichte. Mittlerweile ist
Malware ein rentables Geschäft für Profis. Als
das neue Jahrtausend voranschritt, wurden
diejenigen Angreifer, die Viren und Würmer
einsetzten, um eine politische Agenda oder
persönliche Ziele zu erreichen oder als erster
ein Angriffsziel zu infizieren, immer häufiger
von arbeitslosen Programmierern aus Ländern
wie der ehemaligen Sowjetunion ersetzt. Diese Programmierer hatten erkannt, wie sie mit
Adware und Botnets Profit machen konnten.
Malware Scanner werden in der Regel auf jedem
Host im Netzwerk installiert und laufen im Speicher-residenten Modus, um aktuelle Abläufe in
Echtzeit zu erfassen. Dies hat sowohl Vor- als
auch Nachteile. Zum einen bieten sich dadurch
mehrfache Sensorpunkte, zum anderen hat dies
aber auch zur Folge, dass mehrere Hosts aktualisiert werden müssen. Wenn alle Hosts regelmäßig aktualisiert werden, kann dies Engpässe
bei der Netzwerkbandbreite oder andere Folgen
nach sich ziehen, die zu Update-Fehlern führen.
Vulnerability Scanner wurden traditionell aus
Compliance-Gründen eingesetzt. Dazu müssen sie nicht überall aufgespielt werden, müssen nicht alles scannen und auch nicht rund um
die Uhr aktiv sein.
Viele halten den Aufbau einer Anti-Malware
Architektur für unproblematisch, da sie annehmen, dass dazu nur das jeweilige Produkt auf
dem Host zu installieren und auf den Unternehmensserver auszurichten ist. Aber ganz so einfach ist es nicht. Die für Vulnerability Scans
nötige Architektur und das Scheduling dafür sind um ein Vielfaches komplexer. Remote
Vulnerability Scanner befinden sich nicht auf
dem lokalen Host und sind dadurch in der Lage,
Hosts zu scannen, ohne dass die Ergebnisse dabei von infizierten Systemen verfälscht werden.
Remote Vulnerability Scanner sind häufig um
einiges flexibler, da sie es beispielweise erlauben, vom Anwender definierte Eingänge einzurichten. Dies macht sie zum Tool der Wahl
für Audits und um auf ungewöhnliche Vorfälle
zu reagieren. Security Experten erhalten damit
viel tiefere Einblicke, um eine effektive Verteidigung zu errichten.
Beide Scanner-Kategorien ergänzen sich hervorragend. Als Vergleich könnte der Fischfang dienen. Der professionelle Fischfang
setzt Netze ein, also eine Verbindung zahlreicher Seile, die sich wechselseitig ergänzen.
Amateure hingegen verwenden nur eine einzige Schnur, um einen Fisch nach dem ande-
Vulnerability Scanner
oder Malware Scanner?
Zuerst gab es nur zwei verschiedene Arten von
Scannern auf dem Markt – für Vulnerability Scans oder solche, die nach Schadsoftware
suchten. Die Anti-Virenscanner entwickelten sich zu Desktop Security Suites, die Funktionalitäten wie Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS),
Sandboxing, reputationsbasierte Web Checks
und die bekannten Virenscanner umfassen. Da
derartig viel Malware auftrat, wurden auch die
Virenscanner häufig mehrmals am Tag aktualisiert, manchmal sogar stündlich. Gleichzeitig
schritt auch die Entwicklung der Vulnerability Scanner immer weiter voran, die um immer
neue Kontrollen bezüglich Schwachstellen und
Betriebssystemen erweitert wurden.
E
ren zu fangen. Professionel- STAND 12 | 504
6.
ler Fischfang wird aufgrund
R
-8.
O K TO BE
der zahlreichen eingesetzten
Ressourcen dem einzelnen Angler immer überlegen sein. Bei Anti-Malware
und Vulnerability Scannern ist es ähnlich.
Sie bieten im Zusammenspiel enorme Vorteile, da sie sich gegenseitig unterstützen und
eine leistungsstarke Kombination aus Vorsorge und proaktiver Bekämpfung von Eindringlingen bieten.
Die Lösungen von Tenable
Nessus®, der Vulnerability Scanner von
Tenable Network Security ist das branchenweit
am häufigsten eingesetzte Produkt für die Bewertung von Schwachstellen- und Konfigurationen. Nessus bietet High-Speed-Erkennung,
Konfigurationsprüfung, Asset Profiling, Erkennung sensibler Daten (Sensitive Data Discovery), Patch-Management-Integration und
Schwachstellenanalyse der gesamten SecurityInfrastruktur.
SecurityCenter™ wiederum ist eine umfassende Lösung zur Analyse von Schwachstellen und
bietet tiefgehenden Einblick in die aktuelle Sicherheitslage von verteilter und komplexer ITInfrastruktur. Dies gelingt mittels fortschrittlicher Analysen sowie anpassbarer Dashboards/
Reports und Workflows, mit deren Hilfe Unternehmen Schwachstellen, Fehlkonfigurationen
und Malware erkennen können, um so die Angriffsfläche ihrer IT-Assets zu verringern.
SecurityCenter™ Continuous View (CV) ist
eine Plattform für durchgängiges Netzwerkmonitoring, die umfassende und integrierte
Einblicke in den Zustand des Unternehmensnetzwerks bietet. Es ist die einzige Plattform
auf dem Markt, welche Vulnerability Scanning, passives Netzwerkmonitoring und Vorfalls-Daten zusammenfasst, all diese auswertet und mit den aktuellsten Informationen über
Schwachstellen und Bedrohungen kombiniert.
Trotz des genannten Funktionsumfangs und
der weitreichenden Möglichkeiten sind natürlich weder Nessus, Security Center und Security Center Continuous View ein vollständiger
Ersatz für Malware-Scanner. Sie bieten mit ihren umfassenden Funktionen aber tiefe Einblicke in Unternehmensnetze
und deren Gesundheitszustand. Damit sind sie auch
eine hervorragende Ergänzung für bestehende Lösungen zur Malware-Bekämpfung.
Die Stärken und Schwächen von
Vulnerability und Malware Scannern
Jeder Scanner hat Stärken und Schwächen.
Selbstverständlich sind Anti-Malware Scanner
standardmäßig nicht für Vulnerability Scans,
und Vulnerability Scanner in der Regel nicht
für Malware Scans ausgelegt. Beide können nur
einen Teil der Aufgaben des jeweiligen ande-
TR E FF
ren Scanners erledigen. Viele Desktop Security Suites suchen beispielsweise nach bekannten
Schwachstellen, die von Malware ausgenutzt
werden. Dazu halten sie üblicherweise nach
Dateien Ausschau, die sich dementsprechend
verhalten. Einige Vulnerability Scanner wiederum stoßen bei der Suche nach Schwachstellen
auf Malware im System. Allerdings kann kein
Scanner die Funktionalitäten des jeweils anderen vollständig ersetzen.
Schnell auf neue Malware reagieren:
Das Malware Hunter Dashboard für SecurityCenter
www.wickhill.de/tenable
Was ist was?
Internet of Things (IoT)
Die Anwendungsbeispiele für das Internet der Dinge sind vielfältig: So blinkt der Regenschirm in der Tasche blau, sobald
sich Regen ankündigt. Die internetfähigen Socken hingegen
fungieren als Schrittzähler und in der „intelligenten Fabrik“
kommunizieren Maschinen mit Maschinen. Die Einsatzgebiete für das IoT sind unzählig und eine klare Definition, was
sich hinter diesem Begriff verbirgt, ist gerade deswegen herausfordernd.
D
ennoch gibt es sich wiederholende Grundmuster, denn
das „Internet of Things” oder zu Deutsch „Internet der
Dinge” bezeichnet die Vernetzung von physischen Objekte mit dem Internet. Die Gegenstände kommunizieren hier
untereinander selbstständig über das Internet, um so für den Be-
DER
Im Jahr 2003 hielt
Dr. Sarah Gordon
auf der jährlichen
Virus Bulletin Konferenz einen Vortrag über
ein Thema, das viele erst gar nicht diskutieren wollten: komplexe Bedrohungen, also
Computerviren oder -würmer, die eine oder
mehrere Schwachstellen ausnutzten, um so
Systeme zu infizieren oder sich auszubreiten.
Als Dr. Gordon ihren Vortrag hielt, waren
viele Experten der Meinung, dass der damals
noch bestehende Konflikt zwischen MalwareProgrammierern (vXers, Virus Exchanges)
und Hackern eine solche Zusammenarbeit
verhindern würde.
S IE U NS A
UF
Autor: Ken Bechtel, Malware Research Analyst bei Tenable Network Security
N
sitzer verschiedene Aufgaben zu erledigen. Das Ziel ist es, allen
Dingen, die bisher auf die Steuerung durch ihre menschlichen
Besitzer angewiesen waren, mithilfe des Internets eine Art Eigenleben einzuhauchen. Die unterstützende Wirkung der Geräte
geschieht im Optimalfall für die Menschen unmerklich und ohne
zu stören oder aufzufallen. Der Computer wird somit als Gerät
zunehmend obsolet, da die immer kleiner werdenden Sensoren,
direkt in die Alltagsgegenstände eingearbeitet werden. Der Begriff „Internet of Things“ geht auf den britischen TechnologiePionier Kevin Ashton zurück, der diesen bereits im Jahr 1999
zum ersten Mal in diesem Zusammenhang verwendete.
volution des Internets, bei vernetzten Alltagsgegenständen ist
die Sicherung gegen Cyberkriminalität noch ein Randthema.
Die enormen Datenmengen die zukünftig über das Netz ausgetauscht werden, gilt es zu schützen. Die Zeit ist also jetzt gekommen, die vielfältigen Risiken zu evaluieren und dort Lösungen
zu finden, wo es bereits möglich ist. Das Internet der Dinge stellt
uns also hinsichtlich IT-Security vor neue
Herausforderungen. Viele Hersteller aus dem
Wick Hill-Portfolio bieten mit ihren IT-Security-Produkten bereits heute passende Lösungen für die Zukunft.
So eine Vernetzung der Dinge ist allerdings nicht nur smart, sondern auch angreifbar. Noch stehen wir am Anfang dieser Re-
www.wickhill.de
Wick Hill Guardian
7
Ausgabe 02/2015
Der Abschied von Benutzername und Passwort
Die vergangenen 12 Monate waren von intensiver Aktivität an
der Front der Cyberkriminalität geprägt. Die Zahl der erfolgreich durchgeführten Angriffe, die mehr als 10.000 Benutzerkonten betrafen, war erstaunlich hoch. Auf dem illegalen Markt
wurden plötzlich allerlei E-Mail-Adressen, Sozialversicherungsnummern, Kreditkartendaten, Informationen über Bankkonten,
aber auch Anmeldeinformationen für unterschiedlichste Unternehmen, Behörden und Gesundheitsdienstleister geworfen oder
anderweitig veröffentlicht.
Online-Anwendungen und -Dienstleistungen boomen, da immer
mehr Organisationen und Unternehmen ihre Geschäfte online
abwickeln. Berücksichtigt man, dass Online-Dienste von anderen revolutionären Technologien, wie mobilen oder drahtlosen
Geräten sowie sozialen Netzwerken begleitet und vor allem getrieben werden, wird die Zahl solcher Anwendungen zweifellos
weiterhin exponentiell wachsen.
Das Passwort ist tot –
es lebe das Passwort
Der Begriff „sicheres Passwort“
hat sich zu dem Oxymoron
des 21. Jahrhunderts entwickelt. Das Problem unsicherer Passwörter hat sich offenbar noch lange nicht
erledigt. Im Gegenteil, jeder erfolgreiche Hack ist
eine Erinnerung an die
Notwendigkeit von dynamischen Einmal-Passwörtern und die Aufforderung an Unternehmen
wie Endanwender, ihre statischen Passwörter endlich abzulösen.
Mit der steigenden Anzahl von Online-Diensten und Anwendungen empfinden es die Menschen als zunehmend lästiger und
aufwändiger, ihre digitalen Existenzen auf diese Weise zu verwalten und abzusichern. Da sie sich nicht an jede Kombination
aus Benutzername und Passwort erinnern, werden diese lokal
auf dem PC oder dem mobilen Gerät gespeichert oder die Nutzer verwenden dann doch das gleiche Passwort für alle ihre Anwendungen.
Heute besitzt der durchschnittliche Internet-Nutzer in der Regel etwa fünfundzwanzig verschiedene Konten und viele kommen auf deutlich höhere Zahlen. Diese werden von durchschnittlich sechs verschiedenen statischen Passwörtern
geschützt, wobei die Benutzer eine deutliche
Vorliebe für bestimmte Arten von Passwörtern haben. Spitznamen, Geburtsdaten, Namen der Kinder oder
Haustiere und sogar das Wort
„Passwort“ sind weit verbreitet
und gerade in Zeiten der sozialen Netzwerke schnell erraten.
Die Suche nach
dem universellen
Passwortschutz
Die meisten Surfer erkennen mittlerweile, dass Passwörter eine Angelegenheit
von größter Bedeutung sind.
Schließlich sind sie die erste,
letzte und einzige "Line of Defense" gegen unbefugte Zugriffe. Lange Listen mit Tipps und Tricks, wie
das Problem zu lösen ist, finden sich überall: „Verwenden Sie keine realen Wörter, mischen
Sie verschiedene Zeichenarten und Ziffern, verwenden Sie
unterschiedliche Passwörter für verschiedene Konten, än-
Millionen von Webseiten bieten ihren
Kunden Dienstleistungen oder geschützte Inhalte und fordern für den Zugang Benutzernamen und Passwort. Persönliche und berufliche
Informationen werden in erheblichem Umfang über verschiedene Konten geteilt: Private E-Mails, Chats und Fotos
E
TR E FF
in sozialen Netzwerken, Unternehmensanwendungen mit sensiblen Daten – heute ist alles online. Um diese Informationen
zu schützen, wird oft empfohlen, sich für jede Anwendung eine
einzigartige Kombination aus Zugangsdaten auszudenken. Damit soll verhindert werden, dass ein einziger erfolgreicher Hacker-Angriff auf eine Anwendung auch gleich die Passwörter für
alle Accounts offen legt, da der Nutzer immer dieselben Daten
verwendet.
S IE U NS A
DER
Nutzer, die viel im Internet unterwegs sind, müssen sich viele Zugangsdaten merken. Es geht aber auch anders.
N
UF
Autor: Jan Valcke, seit 2002 President und COO bei VASCO Data Security
dern Sie Ihre Kennwörter regelmäßig etc.“. Da12 | 504
bei wird die ganze Situation nur noch proble- STAND
6.
R
-8.
matischer, wenn die Benutzer dazu aufgefordert
O K TO BE
werden, ihre Passwörter alle 90 Tage zu ändern.
Sie haben ja schon ohnehin Schwierigkeiten, sich ihre
Passwörter zu merken.
Online-Passwort-Manager scheinen auf den ersten Blick eine
gute Lösung für dieses Problem zu sein. Sie versprechen, Unannehmlichkeiten und Aufwand zu reduzieren und alle Passwörter,
egal wie unterschiedlich, komplex oder und regelmäßig wechselnd sie auch sein mögen, zuverlässig zu speichern. Allerdings
gibt es eine offensichtliche Ironie bei dem Versuch, von Natur aus
schwache Passwörter mit einem weiteren Passwort zu schützen.
Die Lösung: das Einmal-Passwort
Derzeit erleben wir die letzten Tage von Benutzernamen und
Kennwörter. Zu sehr treiben Hacker mittlerweile die Industrie,
sicherere Authentifizierungsmethoden zu entwickeln und zu implementieren. Einmal-Passwörter sind dabei die bevorzugte Lösung. Sie bleiben nur für etwa 30 Sekunden nutzbar und werden
nach einmaligem Gebrauch ungültig. Jedes Mal, wenn ein Benutzer sich anmelden will, bekommt er ein neues Passwort. Dies
bedeutet, dass er innerhalb der oft empfohlenen 90 Tage sein Benutzer-Passwort nicht einmal, sondern mehr als 250.000-mal ändert, was deutlich sicherer ist. Zudem ist es auch wesentlich einfacher, denn merken muss er sich diese Einmal-Passwörter nicht.
Die lange Zeit bevorzugten Ziele von Online-Betrügern, die
Banken, haben sich bereits weitestgehend von schwachen statischen Passwörtern verabschiedet und nutzen stattdessen EinmalPasswörter. Für die Hacker bedeutet das, dass sie neue Einkommensquellen erschließen mussten. Sie wählten andere Branchen
und suchten auch nach anderen Daten, die sie nutzbringend verwerten konnten. Dazu gehören vertrauliche oder geschäftskritische Informationen, Handelsunternehmen, das Gesundheitswesen, Regierungen, Behörden und viele weitere, die so zu Opfern
von Hacker-Angriffen wurden.
Es wird daher Zeit, dass wir uns alle bewegen und auf EinmalPasswörter setzen, um unsere kritischen Informationen zuverlässig zu schützen. Zumal
wir dabei nicht nur an Sicherheit, sondern
auch an Komfort gewinnen, da wir Passwörter in Zukunft getrost vergessen können.
www.wickhill.de/vasco
Wick Hill vertreibt Lösungen von Tenable Network Security
Reseller können sich beim Support auf geschultes Wick Hill Team verlassen
Der Value Added Distributor Wick Hill aus Hamburg erweitert sein Portfolio und vertreibt seit Juni 2015 auch Netzwerk-Sicherheits-Lösungen von Tenable Network Security.
Tenable ist ein amerikanisches Unternehmen mit Hauptsitz
in Maryland und unterstützt Unternehmen mit einem kontinuierlichen Monitoring des Netzwerks, um Schwachstellen
zu identifizieren, Risiken zu reduzieren und die Compliance
zu sichern.
T
enable ist ein führender Anbieter von Continuous Network Monitoring, der Erfinder des Nessus Vulnerability
Scanners und Entwickler von agentenlosen EnterpriseClass-Lösungen. Damit ist ein ganzheitliches Netzwerk-Monitoring möglich, um Schwachstellen, Konfigurationsschwächen,
Datenlecks und Log-Management zu vermeiden oder Kompromittierungsversuche umgehend zu erkennen. Auf diese Weise
sind Netzwerk-Sicherheit und Compliance mit den Standards
FDCC, FISMA, SANS CAG und PCI gewährleistet. Die preisgekrönten Produkte von Tenable werden von vielen Global
2000-Unternehmen und Regierungsbehörden genutzt, die dadurch Risiken für ihr Netzwerk proaktiv minimieren können.
www.wickhill.de
ren Kunden aktuelle und verlässliche Lösungen zur Absicherung
ihres Netzwerks an die Hand gibt.“
Die Reseller erhalten über Wick Hill ab sofort die folgenden
Tenable-Produktfamilien:
•
•
SecurityCenter Continuous View: liefert einen
umfassenden und integrierten Einblick in
den aktuellen Zustand des Netzwerks
Nessus®: weltweiter Standard zum Entdecken
und Bewerten von Netzwerkdaten
Helge Scherff, Geschäftsführer bei Wick Hill sagt: „Wir freuen uns sehr auf die Zusammenarbeit mit Tenable. Die neue Partnerschaft zeigt erneut, dass unser Wachstumskurs auch im fortlaufenden Jahr 2015 anhält. Unsere Reseller können mit Tenable
auf einen ausgezeichneten Security-Spezialisten zählen, der ih-
„Mit Wick Hill haben wir einen im Markt fest etablierten Distributionsparter, der sowohl durch seine Kompetenz im Bereich IT Security, als auch durch seinen Fokus auf die umfassende Beratungskompetenz seiner Mitarbeiter überzeugt. Wir freuen uns, gemeinsam
die bewährten Sicherheitslösungen von Tenable anzubieten. Damit
geben wir den Kunden umfassenden und durchgängigen Einblick in
den Zustand ihres Netzwerks, damit sie Schwachstellen erkennen,
Risiken senken und die Einhaltung ihrer Compliance-Vorgaben sicherstellen können“, kommentiert Gavin Millard, Technical Director, EMEA bei Tenable die Kooperation.
Die Security Monitoring-Lösungen von Tenable ergänzen hervorragend das aktuelle Portfolio von Wick Hill, das somit über ein vollständiges Angebot für die Analyse der IT-Sicherheit
in Unternehmen verfügt. Davon können alle
Partner und Reseller von Wick Hill profitieren.
www.wickhill.de/tenable
Wick Hill Guardian
8
Ausgabe 02/2015
expertentipp
Die fünf äußerst effektiven Gewohnheiten
von CEOs mit hohem Sicherheitsanspruch
E
aut der in diesem Jahr veröffentlichten
Umfrage „Annual Global CEO Survey“
der
Wirtschaftsprüfungsgesellschaft
PricewaterhouseCoopers (PwC) sind 61 Prozent aller Umfrageteilnehmer bezüglich Cyberbedrohungen entweder „ziemlich“ oder „äußerst“ besorgt. Das entspricht im Vergleich
zum Jahr 2014 einer Zunahme um 13 Prozentpunkte. In den Vereinigten Staaten trifft dies
sogar auf 86 Prozent aller CEOs zu. In derselben Umfrage gaben dreiviertel aller CEOs in
Amerika außerdem an, dass ihrer Ansicht nach
Cybersicherheit ein „sehr wichtiger“ strategischer Aspekt für ihre Unternehmen sei.
CONTINUOUS MONITORING OF APPLICATIONS
L
Auch der diesjährige Security Pressures Report
(Bericht über Sicherheitsdruck) von Thales untermauert dieses Ergebnis. Demnach haben 61
Prozent der über 1.000 befragten Sicherheitsbeauftragten den Eindruck, dass der Großteil
des „menschlichen Drucks“ von Eigentümern,
Vorständen und anderen Mitgliedern der Geschäftsleitung stammt.
Trotz dieses wachsenden Bewusstseins klafft
jedoch immer noch eine Lücke zwischen dem
Sicherheitsanspruch im Vorstandszimmer und
dem im Serverraum.
Tipps für die Geschäftsführung
Wer ein Unternehmen leitet, weiß um die Häufigkeit von Datenschutzverletzungen und welche verheerenden Folgen diese für die Bilanz
einer Organisation haben können: Diese reichen von Rufschädigung, über Probleme mit
der Einhaltung von Sicherheitsbestimmungen
bis hin zur Kundenabwanderung.
Möglicherweise sind sich Vorstände und Geschäftsführer nicht im Klaren darüber, dass sie
die entscheidende Rolle spielen, damit der ITSecurity überall im Unternehmen eine hohe
Priorität eingeräumt wird. Im Interesse einer
soliden Unternehmensführung, im Hinblick
2. Sie haben die Gesamtsituation im Auge:
Ähnlich wie beim ersten Punkt betrifft
das Thema Sicherheit alle Mitarbeiter
in allen Abteilungen einer Organisation.
Unzulängliche
Sicherheitsmaßnahmen
und unzureichende Notfallprogramme
Application Security Stack
Application Testing
•
•
•
•
•
WAF
App Scanning (App Scanner)
Training
Virtual Patching
Code Review
Database Scanning
•
AppDetectivePRO
Web-base Anti-Malware
•
SWG (Secure Web Gateway)
Network Scanning
•
Network PenTest (SpiderLabs)
1. Sie vereinen alle: Cyberrisiken sind im
Grunde genommen nichts anders als andere Wirtschaftsrisiken und gewiss von
höherer Bedeutung als ein gewöhnliches
IT-Problem. CEOs, denen Sicherheit und
Risikomanagement wichtig ist, fördern
eine bestimmte Firmenkultur, bei der die
Initiative zur Kommunikation von oben
nach unten und auch mit den Partnern ergriffen wird. Daneben ist jedoch ein verschärftes Sicherheitsbewusstsein, das von
unten nach oben aufgebaut werden muss,
ebenso wichtig. Schließlich werden die
meisten Datenschutzverletzungen begangen, indem irgendwo irgendein Mitarbeiter
dazu verleitet wird, auf etwas zu klicken,
das sich als Malware herausstellt. Dabei
könnte auch die Geschäftsführung ebenfalls das Ziel eines gezielten Phishing-Angriffs sein.
TR E FF
auf den Datenschutz und damit dem Informationssicherheitsteam die ihm gebührende Achtung zukommt, folgt eine Liste mit fünf absolut
notwendigen Eigenschaften, die ein sicherheitsbewusster CEO haben sollte:
in einem einzigen Firmenbereich können
sich auf alle anderen Bereiche auswirken,
v.a. wenn die Maßnahmen nicht allumfassend sind. Ein angemessenes Sicherheitsbewusstsein muss bei allen Mitarbeitern
vorhanden sein und von der Geschäftsführung auch vorgelebt werden.
3. Sie sind realistisch: So anspruchsvoll
Firmendirektoren bei der Verinnerlichung von Sicherheit in die Firmenkultur auch sein müssen, so müssen sie auch
etwas Verständnis zeigen. Für Cybersicherheit gibt es letztendlich keine Garantie und selbst die ausgereiftesten Organisationen sind davor nicht gefeit. Da
Firmen stets und ständig richtig handeln
müssen, werden Hacker immer eine Angriffsstelle finden. Ein CEO sollte nicht
Perfektion erwarten, sondern persönlich
einen engen Kontakt zur
STAND 12 | 504
6.
IT- und SicherheitsbelegR
-8.
O K TO BE
schaft pflegen und das gesamte Unternehmen dazu animieren, sich möglichst gut gegen teure
Datenschutzverletzungen in Stellung zu
bringen.
4. Sie haben eine Vision: Der effektivste
CEO ist jemand, der nicht nur Zuschauer ist und sich auf ein vierteljährliches
Gespräch mit den Sicherheitsbeauftragten verlässt. Stattdessen sollte er bzw. sie
sich regelmäßig informieren und im ständigen Kontakt mit den für die Sicherheit
zuständigen Mitarbeitern sein. Dazu gehört auch, die neuesten Bedrohungen zu
kennen und zu verstehen, dass Cybersicherheit ein Geschäftsrisiko darstellt
und nicht nur ein Punkt auf der Compliance-Checkliste ist. Zu einem umfassenden Schutz gehört demnach das Entdecken und Verhüten von und die Reaktion
auf Risiken – insbesondere angesichts
der stetig steigenden Wahrscheinlichkeit,
dass eine Verletzung der Datensicherheit
jederzeit eintreten kann.
5. Sie sind sich des Werts unabhängiger
Hilfe bewusst: Mit der PwC-Umfrage
wurde einerseits ein signifikant steigendes Verständnis von Cyberrisiken nachgewiesen und anderseits festgestellt, dass
73 Prozent aller CEOs weltweit – und 78
Prozent in den Vereinigten Staaten – darüber besorgt sind, ob sie über die notwendigen Fertigkeiten verfügen, um sich
den größten Bedrohungen stellen zu können. Da Cyberangriffe zu diesen Bedrohungen gehören, vertrauen zukunftsorientierte Firmenchefs auf renommierte
Partner wie Managed Security Services
Provider. Diese können den Schutz in
denjenigen Bereichen wesentlich erweitern, in denen
das eigene Unternehmen
über kein ausreichendes
Know-how verfügt.
www.wickhill.de/trustwave
Rigby Private Equity investiert bei Wick Hill
Kooperation ebnet Weg für weiteres Wachstum und internationale Expansion von Wick Hill
Die PE-Gesellschaft Rigby Private
Equity, ein Tochterunternehmen
der Rigby Group Investments, beteiligt sich seit Juli signifikant an dem
Value Added Distributor Wick Hill.
Das bedeutende Investment ermöglicht Wick Hill weiteres Wachstum
in Deutschland und Großbritannien sowie die Expansion in weitere
europäische Märkte und den Mittleren Osten.
L
aut Wick Hill und Rigby Private Equity werden die zukünftigen Geschäftsprozesse
wie gewohnt fortgesetzt. Auch zukünftig setzt Wick Hill seine bisher
erfolgreiche Arbeit mit allen Mitarbeitern und Management-Team,
mit Ian Kilpatrick an der Spitze,
fort. Keine Veränderungen wird es
auch bei der Market-Making- und
High-Value-Add-Philosophie in der
DACH-Region
und
Großbritannien geben.
nern, aber auch einigen Kunden
nach einem internationalen Netzwerk für unser hervorragendes Va-
DER
Firmenchefs (CEOs) und
andere hochrangige Angestellte sind heute in Bezug
auf digitale Bedrohungen und Cyberattacken
wachsamer denn je.
S IE U NS A
UF
Autor: Dan Kaplan, Trustwave
N
für unser Team, die Verkäufer und
Vertriebspartner. Ich freue mich
sehr auf die spannende Zeit, die
dem Unternehmen bevorsteht.“
Ian Kilpatrick, VorPaul Eccleston, Leisitzender der Wick
ter der Rigby Private
Hill Group, sagt dazu:
Equity, kommentiert:
„Der Deal bietet uns
„Das Ziel von Rigby
die einmalige Chance
Private Equity besteht
für immenses Wachsdarin, am Markt etabtum und eröffnet uns
lierte Unternehmen zu
zudem die Möglichidentifizieren, die sokeit, unser erfolgrei- Ian Kilpatrick (Wick Hill) und Paul Eccleston (Rigby Private Equity)
wohl über ein großes
ches Vertriebsmodell
Marktpotenzial
als
in ganz Europa und dem Mittleren
lue-Add-Modell zu bedienen. Das
auch über hervorragende WachsOsten zu etablieren. Damit sind wir
ist der logische, nächste Schritt für
tumszahlen verfügen. In diese Unin der Lage, die vielen Anfragen
uns und wir sind sehr zuversicht- ternehmen investiert Rigby Privaunserer Partner, potentiellen Part- lich bezüglich der Möglichkeiten
te Equity, um die Wachstumspläne
optimal zu unterstützen. Wick Hill
ist schon seit mehr als drei Dekaden marktführend im Segment der
High-Value-Distribution. Daneben
sind Ian und sein Team für ihre exzellente Arbeit bekannt und haben
weitreichende Wachstumspläne.
Die Rigby Private Equity ist höchst
erfreut, jetzt Teil des Teams zu sein
und dabei helfen können, diese Ziele zu erreichen. Das ist sowohl eine
spannende Zeit für
uns, als auch für
das gesamte Wick
Hill Team, deren
Kunden und Verkaufspartnern.“
www.wickhill.de
Wick Hill Guardian
9
Ausgabe 02/2015
Die Entwicklung von DDoS-Schutzstrategien
Ein ausgereifter Ansatz für die Abwehr moderner DDoS-Angriffe
D
arüber hinaus scheint sich die Motivation für DDoSAttacken in den einzelnen vertikalen Märkten zu unterscheiden. Die Palette reicht von Cyberterrorismus
sowie politischen oder ideologischen Motiven über Betrug/
Erpressung und die Verschaffung finanzieller Vorteile bis
hin zum versuchten Datendiebstahl oder zur
Schwächung von Mitbewerbern. Gründe scheint
es viele zu geben, und
die Zahl der Attacken
wächst unauf haltsam an.
Service Provider sollten sich nicht nur angesichts ihrer Bandbreitenkapazität und des hohen
Kundenvolumens speziell auf das Thema DDoS
konzentrieren, sondern
auch aufgrund der Tatsache, dass der Trend zu einer zunehmend verteilten Netzwerkarchitektur
hingeht, um den Teilnehmern zielgerichtete Services anbieten zu können.
Diese Entwicklung bietet eine enorme Chance für die Bereitstellung anspruchsvoller Reaktionssysteme für die Bedrohungen als Bestandteil einer Unternehmenslösung, mit der sich
zudem wichtige neue Einkommensquellen erschließen und
zugleich die Kundenbindung verbessern lassen.
Moderne DDoS-Abwehrmethoden können durch Automatisierung zu einer Senkung der Investitions- und Betriebskosten
beitragen und durch eine Begrenzung des Service schnellere
Reaktionszeiten bieten sowie unerwünschten Backhaul-Verkehr reduzieren.
Die Entwicklung von DDoS-Attacken
Blick zurück und Status quo
Betrachtet man die Entwicklung der Lösungen zur Bekämpfung von DDoS-Bedrohungen, sollte man sich vor Augen
führen, dass die Provider anfangs nicht sehr ausgefeilte Methoden, wie z. B. Black Hole-Routing, verwendeten. Dabei
musste der Carrier oder ISP die Datenströme zur IP-Adresse des DDoS-Opfers einfach nur sperren, sodass der gesamte
für diese IP-Adresse vorgesehene Verkehr durch vorgelagerte Peers verworfen wurde. Dadurch blieben zwar alle anderen
Benutzer in der Infrastruktur des Carriers verschont, doch
das eigentliche Ziel der Attacke wurde damit komplett lahmgelegt. Somit stellt diese Maßnahme eigentlich den perfekten
Denial of Service dar.
Als nächstes kam Out-of-Band-Scrubbing mit separaten Bereinigungs-Engines für DDoS-Datenströme zum Einsatz. Dabei handelt es sich um einen vernünftigen, jedoch nicht unbedingt idealen Ansatz. Denn sobald der explosionsartig
ansteigende Datenverkehr erkannt wird, muss durch das zuständige Personal bestimmt werden, ob ein Eingreifen erforderlich ist. Selbst bestens ausgerüstete Unternehmen benötigen dafür mindestens 15 Minuten. Bei anderen Firmen, die
nicht über derartige Ressourcen verfügen, kann es Tage dauern, bis die Entschärfungsmaßnahmen abgeschlossen sind.
In einer Welt, in der 24x7-Erreichbarkeit gefordert ist und
www.wickhill.de
Was steht auf dem Spiel?
Laut einer in 2015 von B2B International durchgeführten Studie kostet eine DDoS-Attacke je nach Unternehmensgröße im
Durchschnitt 52.000 bis 444.000 USD.
Echtzeit: Moderne Ansätze für die
Abwehr von DDoS-Angriffen
Aufgrund der Hochverfügbarkeit unserer Netzwerke ist heutzutage eine präzise Durchsetzung von Richtlinien in Echtzeit
zur Abwehr von DDoS-Angriffen mit hoher Übertragungsgeschwindigkeit und maximaler Sicherheitswirkung erforderlich.
Corero hat eine innovative Strategie der dritten Generation zur
Erkennung und Bekämpfung von DDoS-Bedrohungen entwickelt, bei der Abwehrtechnologie in Echtzeit abgewendet wird.
Eine dynamische Lizenzierung von Bandbreite verwendet
eine hochleistungsfähige Inline-Engine für die Entschärfung
von DDoS-Attacken in Echtzeit. Diese stets aktiven Abwehrdienste ermöglichen eine kontinuierliche Erkennung von Bedrohungen sowie Netzwerk-Forensik mit automatischer Eskalation für die entsprechende Behebung.
Berichtsfunktionen für Sicherheitsereignisse optimieren die
Schutzprofile und sorgen für eine stetige Verbesserung des
Sicherheitsniveaus der Internet-basierten Services ihrer Kunden. Zu den weiteren Vorteilen zählen die Inline-Bedrohungsabwehr und die intuitiven Integrationsmöglichkeiten mit
führenden SIEM- und Log-Management-Plattformen. Im Gegensatz zu gehosteten Scrubbing-Centern bietet das System
flexible Skalierungsmöglichkeiten in 10 Gbps-Inkrementen
auf das gewünschte Level und kann nicht durch DDoS-Attacken außer Gefecht gesetzt werden.
Die Chance für Hosting- und ServiceProvider, eine bedeutende Rolle zu spielen
Carrier können Inline-Scrubbing als verwalteten Service für
ihre Kunden implementieren und sich damit Umsätze in bestehenden Geschäftsbereichen sichern. Service Provider der
Kategorie Tier 2 oder Tier 3 verwenden Tier 1 für die Bereitstellung von Transportverbindungen, wobei der größere
Dienstanbieter möglicherweise gar keine DDoS-Attacken erkennen kann, weil sie so klein und daher für ihn quasi unsichtbar sind. Durch Downstream können diese Angriffe viel
Schaden anrichten.
Allerdings wirkt sich die ganze Sache auch vorteilhaft auf die
Umsatzsituation aus: Carrier können Inline-Scrubbing nicht
nur für sich selbst sondern auch als Managed Service für die
Kunden implementieren. Dies ist durchaus sinnvoll, nachdem
die Service Provider in zunehmendem Maße verwaltete Ser-
E
vices einsetzen, um bestehende Geschäftsbereiche zu optimieren.
Fazit
TR E FF
Downtime ein Problem darstellt, kann das ernsthafte Konsequenzen mit sich bringen.
DER
Bei DDoS-Angriffen (Distributed Denial
of Service) stehen Unternehmen, unabhängig von ihrer Größe, einer sich rasch weiterentwickelnden Bedrohungslage gegenüber, die schon jetzt komplex
ist und immer raffinierter wird. Während opportunistische
DDoS-Attacken auch weiterhin ein Problem darstellen,
nimmt die Zahl der zielgerichteten Angriffe stetig zu, um
herkömmliche Abwehrmechanismen außer Gefecht zu setzen.
FIRST LINE OF DEFENSE
S IE U NS A
UF
Autor: Guido Erroi, VP Sales EMEA, Corero Network Security
N
STAND 12 | 504
6.
-8.
O K TO BE
R
In Bezug auf das Ausmaß und die Komplexität von DDoS-Bedrohungen sehen wir derzeit wohl nur die Spitze des Eisbergs.
Benötigt wird eine moderne, vollständig integrierte Lösung,
die die Bedrohungen von heute und morgen in Echtzeit bekämpfen kann und auf das Volumen der Attacken zugeschnitten ist.
Mit einem derart effizienten DDoS-Schutz können sich Unternehmen und Online-Anbieter erst einmal beruhigt zurücklehnen. Für Carrier stellt diese Entwicklung eine enorme
Chance dar, da sie nicht
nur ihre eigenen Netzwerke schützen sondern auch
ihren Kunden DDoS-Abwehrservices bereitstellen
können. Dies wiederum
ermöglicht eine verbesserte Kundenbindung und die
Erschließung neuer Umsatzfelder.
Das Corero SmartWall
TDS ist auf die Erkennung
und Abwehr einer breiten
Palette an DDoS-Bedrohungen ausgerichtet; angefangen bei Volumen- über
Multi-Vektor- bis hin zu
Low & Slow-Attacken der
Anwendungsebene.
Darüber hinaus erkennt, analysiert und reagiert die
Lösung auf DDoS-Angriffe durch die Überprüfung des Internet-Traffic mit Line-Rate-Performance und die Identifikation einer Bedrohung bereits nach den ersten angreifenden
Paketen.
In diesem Stadium der Bedrohungsabwehr ermöglicht der
Do-no-Harm-Ansatz für den DDoS-Schutz von Corero eine
unterbrechungsfreie Aufrechterhaltung von erwünschtem
Benutzer-Traffic, während der angreifende Datenverkehr sofort aufgehalten wird.
Die extrem skalierbare Lösung 3.0 zur Verteidigung gegen DDoS-Attacken in Echtzeit bzw. ein Ansatz der dritten Generation ist die wirtschaftlich effizienteste Methode zur Bekämpfung von DDoS-Angriffen im Vergleich zu
den manuellen Anti-DDoS-Methoden früherer Generationen
(Blackhole-Routing, Best-Effort-Scrubbing).
Oliver Paul, Prokurist und Projektleiter für Produktqualität
bei 4Players: "Wir haben lange nach der richtigen Antwort
gesucht, um uns vor modernen DDoS-Attacken zu schützen
und dabei viele unterschiedliche Lösungen ausprobiert. Mit
der Corero SmartWall haben wir eine on-premise Lösung gefunden, die in Echtzeit und automatisiert alle Anforderungen
erfüllt, unsere Produktqualität erhöht und uns als Administratoren ruhig schlafen lässt. Für uns ist dies die beste AntiDDoS Lösung am Markt. "
Die 4Players GmbH, eine Tochter der
Computec Media GmbH, betreibt eines
der erfolgreichsten deutschen OnlineSpieleportale. Unter www.4Players.de
finden Computer- und
Videospieler aktuelle News und Kolumnen,
kritische Tests, Spieletipps und Guides, exklusive Video-Streams sowie Downloads in
einmaliger Geschwindigkeit - für PC, Konsole und Handhelds.
www.wickhill.de/corero
Wick Hill Guardian
10
Ausgabe 02/2015
Code Red
Vertrauen in Geschäftsanwendungen aufbauen
D
er vermehrte Einsatz cloudbasierter Dienste und mobiler Computer hat enorme Auswirkungen auf die Unternehmenseffizienz hinsichtlich der Senkung von Betriebskosten und die Nutzung unvorhergesehene Wachstumschancen.
Zusammen mit der „App Store Economy“ und dem Einsatz intelligenter vernetzter Geräte steigern diese Technologien den Anteil
an Geschäftslogik, die sich auf unsicheren Geräten befindet. Jedoch ist in diesen Umgebungen Kontrolle meist auf ein Minimum
reduziert. Entwickler, die für vernetzte Standorte Codes generieren, müssen demzufolge beitragen, die Integrität der eigenen Software sicherzustellen.
Doch dabei dürfen die Signierschlüssel nicht aus den Augen verloren oder deren Wert übersehen werden. Obwohl sie keine Daten verschlüsseln (wie das normalerweise der Fall ist), bildet
die Signierschlüssel-Sicherheit das Rückgrat der Code-Signierungstechnologie. Vorausgesetzt, sie wurde seit ihrer Herausgabe nicht manipuliert, ist sie ein wesentliches Tool zur Verifizierung von Softwarequellen.
Dies ist von besonderer Bedeutung, da mittlerweile bei allen modernen Betriebssystemen vor vielen Softwareinstallationen Warnmeldungen aufpoppen, die auf fehlende Herausgeber-Informationen hinweisen. Glücklicherweise ist die Nutzersensibilisierung hinsichtlich der Installation von Software von unbekannten
oder nicht vertrauenswürdigen Herausgebern erheblich gestiegen, wodurch sich die Wahrscheinlichkeit erhöht, dass Benutzer
die Installation einer unsicheren Software rechtzeitig abbrechen.
Hier signieren
Digitale Signaturen gehen aufgrund besonderer Verschlüsselungstechniken über die elektronischen Versionen herkömmlicher Signaturen hinaus. So erhöhen sie Sicherheit und Transparenz enorm, was wiederum von entscheidender Bedeutung bei
der Schaffung von Vertrauen und Rechtsgültigkeit ist. Allerdings sorgt das bloße Erfordernis, Codes zu signieren, nicht für
Sicherheit.
Um das Sicherheitslevel eines Code-Signierungsprozesses zu
steigern, ist der umfassende Schutz des privaten Signierschlüssels das entscheidende Element. Denn sobald ein Code-Signierschlüssel verloren geht, kann der Wiederherstellungsprozess bei
der Herausgabe weiterer Software-Upgrades für bestehende Geräte behindert werden.
Wenn ein Schlüssel allerdings gestohlen oder die Signatur mithilfe eines schwachen Algorithmus ausgeführt wird, kann ein
Angreifer möglicherweise ein schädliches Upgrade signieren,
das entweder sensible Daten stiehlt oder Millionen von Geräten lahmlegt. Dieser kann dann – wie bei jeder auf PKI (Public
Key Infrastructure) basierenden Technologie – digitale Signaturen erzeugen, die als „gültig“ erachtet werden, wenn gleichzeitig
der private Schlüssel neben der autorisierten Instanz für jemanden zugänglich ist. Aufgrund der zugeordneten digitalen Zertifikat und identifizierten Organisation wird der Anschein erweckt,
dass sie von einer vertrauenswürdigen Quelle stammen.
E
TR E FF
Ein sehr bekanntes Beispiel dafür, wie das Kompromittieren privater Schlüssel funktioniert, ist der berüchtigte Stuxnet-Angriff
vor fünf Jahren, bei dem dieses Verfahren zum Einsatz kam.
fähigkeit, Angriffe schnell zu erkennen, zur
STAND 12 | 504
6.
R
langfristigen Verletzung der Datensicherheit
-8.
O K TO BE
und zum Diebstahl großer Datenmengen führen.
Eine Veränderung der Bedrohungsumgebung
Signierschlüssel – eine Anleitung für Schwachstellen
In den vergangenen Jahren hat sich die Bedrohungsumgebung
maßgeblich verändert; es ist ein deutlicher Anstieg von Malware
zu erkennen. Die auf Host-Servern ausgeführten Geschäftsanwendungen werden immer anfälliger für sogenannte Advanced
Trotz der bekannten Bedrohung verlorener oder gestohlener
Code-Signierschlüssel gibt es zahlreiche Faktoren, die es schwer
machen, sie zu schützen. Signierschlüssel werden üblicherweise
in Entwickler-Workstations aufbewahrt. Die meisten Entwickler
legen ihren Schwerpunkt auf das Schreiben von Code und nicht
so sehr auf Systemsicherheit. Angreifer wissen das und ziehen
daraus ihren Vorteil.
Der Zentralisierungsprozess für die Code-Signierungsgenehmigung kann insbesondere für mittlere bis große Software-Unternehmen eine Herausforderung sein. Gemeinsam genutzte Signierungsressourcen werden hier durch die (Um-)Verteilung von
Software-Erstellungsstationen gewährleistet, womit Signierungsanfragen gleich mehrerer Plattformen entsprochen werden kann.
Unter Berücksichtigung dieser größer werdenden Herausforderung hat Facebook vor einigen Wochen Applikationsentwickler
aufgerufen, ab dem 1. Oktober 2015 nur noch sicherere Hashalgorithmustypen zu verwenden. Das Unternehmen begründete
dies damit, dass dies der Unterstützung von digitalen Signaturen
für ihre Apps diene. Zudem sind die Entwickler aufgerufen, zukünftig ausschließlich SHA-2 anstatt SHA-1 zu verwenden.
Im Vergleich zum zwanzig Jahre alten SHA-1 handelt es sich bei
SHA-2 um einen neueren, stabileren Hashalgorithmus, der weit
weniger anfällig für Kollisionsangriffe ist. Adam Gross, Produktionstechniker bei Facebook beschreibt diesen Wechsel als
„Teil einer größeren Veränderung dahingehend, wie Browser und
Websites Datenverkehr verschlüsseln, um die Inhalte von Online-Kommunikation zu schützen“.
DER
In einer zunehmend vernetzten, dezentralisierten und virtualisierten Welt, stehen Unternehmen vor der Frage, wie Vertrauen in inhärent
vertrauensunwürdige Umgebungen hergestellt werden kann.
S IE U NS A
UF
Autor: John Grimm, Senior Director Product Marketing, Thales e-Security
N
Persistent Threats (APT), die einerseits durch Malware, andererseits durch Insider-Angriffe und Hacker eingeschleust werden.
Das Hauptproblem bei APTs ist, dass Angreifer meist lange unentdeckt bleiben und Anwendungscodes oder Gerätefirmware
meist unbemerkt ändern. Die Palette der Szenarien reicht dabei
vom Diebstahl von Unternehmensdaten bis hin zum Platzieren
von Malware in nationaler Infrastruktur (z.B. Flugcomputer), intelligenten Netzen oder sogar Verkehrsampeln.
Das ganze Ausmaß wird sichtbar, wenn man sich die steigende
Zahl der mit dem Internet verbundenen Geräte, die routinemäßig über das Internet aktualisiert werden, vergegenwärtigt. Vom
Smartphone über Fernseher bis hin zu Routern oder industriellen Steuergeräten können Upgrades alles Mögliche sein: ein neues Betriebssystem, eine neue Anwendung oder ein neues Anwendungs-Plugin. Aufgrund der Erweiterung der App-Stores
werden nun noch mehr Anwendungen auf mobile Geräte heruntergeladen. Leider messen Endnutzer den Referenzen des Autors
wenig Bedeutung bei. Vor diesem Hintergrund kann der Verlust
eines Code-Signierschlüssels katastrophale Folgen haben.
APTs verwenden gestohlene private Schlüssel, die gültigen digitalen Zertifikaten zugewiesen sind. Diese Bedrohung setzt viele Software-Hersteller, Online-Service-Provider und Organisationen für Unternehmens-IT unter Druck, ihre Sicherheitsstufe
des Code-Signierungsprozesses zu erhöhen und den Umfang der
signierten Software hinsichtlich Scripts, Plugins, Bibliotheken
und anderen Tools zu erweitern. Diese Anforderungen können
durch mehrere Faktoren gesteuert werden. Dennoch haben alle
das gleiche Ziel: das Risiko schädlicher Softwareänderungen zu
reduzieren und das Potenzial des damit verbundenen Imageverlusts und Gewinneinbußen zu senken.
Schlussendlich ist beachtenswert, dass der Forschungsschwerpunkt für Anwendungssicherheit auf dem frühen Stadium des
App-Entwicklungsprozesses liegt. So soll sichergestellt werden,
dass die Entwickler einen sicheren Code ohne Fehler erstellen.
Die darauffolgenden Code-Analysen garantieren dann, dass der
Entwicklungsprozess auch sicher geblieben ist. Im Zuge der steigenden, auf Malware basierenden Angriffe sollten wir hinter die
Code-Erstellung blicken. Wie können wir sonst gewährleisten,
dass die App kein Risiko für Korruption darstellt, anfällig für
Lauschangriffe oder Änderungen nicht autorisierter Anwendungen ist?
Key Management – Erfolgsstrategien
Am erfolgreichsten schützt man seine Schlüssel auf einem speziellen Key Management-Gerät, dem HSM (Hardware Security Module). HSMs bieten eine spezielle, zertifizierte Umgebung. Sie wird verwendet, um private digitale Signierschlüssel
zu schützen und Code-Signierschlüsselvorgänge auszuführen.
HSMs bieten drei große Vorteile:
1. Vereinfachung von Schlüssel-Backup und Archivierung. So
können die Schlüssel nie verloren gehen.
2. Bereitstellung von unabhängigem und zertifiziertem Lebenszyklusschutz gegen versehentlichen Verlust oder schädlichen Schlüsseldiebstahl. Dies gilt von der Erstellung bis
zur Zerstörung.
3. Durchsetzung anpassbarer Kontrollen über Code-Signierverfahren, einschließlich doppelter Kontrolle, Multi-Faktor
Authentifizierung und anderer Methoden. So wird eine nicht
autorisierte Verwendung von Code-Signierschlüsseln verhindert.
Hardware ist ein geprüfter und getesteter Vertrauensanker in
der unüberschaubaren Menge nicht vertrauenswürdiger Prozesse und trägt erheblich zu einer Gesamtstrategie für die Anwendungssicherheit bei. Darüber hinaus bieten manche HSMs
sogar die Möglichkeit, einen sicherheitssensiblen AnwendungsCode innerhalb der sicheren Grenzen des HSMs auszuführen.
So können Benutzer diesen Code von den herkömmlichen Anwendungs-servern nehmen und dafür eine neue und stärkere Sicherheitsstufe einbauen.
Anwendungs-Codes sind besonders attraktive Ziele für Angreifer, da sie direkten Zugriff auf wertvolle Daten bieten. Selbst
wenn Daten in der Speicher-Umgebung verschlüsselt sind, werden sie irgendwann am Anwendungsort von einer Anwendung
benutzt und potenziell enthüllt. Ein weiteres Problem: wertvolle Anwendungen sind einfach zu erkennen. Es ist für einen Angreifer nicht schwer herauszufinden, dass das Rechnungsstellungssystem auf Kontoinformationen von aktuellen Benutzern
zugreift und so einen laserähnlichen Zugriff auf diese wertvollen Daten ermöglichen kann.
Auf Hardware basierende Sicherheit scheint als Lösung für auf
Software und Cloud basierte Schwachstellen zunächst unpassend. Jedoch ist dabei im Hinterkopf zu behalten, dass sich alle
virtualisierten Arbeitsumfänge zu einem bestimmten Zeitpunkt
auf einer Hardware-Plattform an einem physischen Ort formieren. Die Inhalte der HSMs sind also sicher und wohlbehütet, aber
unterdessen steigt die Bedrohung für Anwendungen, die über
APIs mit den HSMs kommunizieren, immer weiter an.
Angriffe auf Anwendungsebene können außerordentlich schwer
aufzudecken sein, da diese in der Lage sind ihre Spuren zu verwischen, indem sie Erkennungsmechanismen ausschalten und Prüfprotokolleinträge fälschen. Aus Unternehmenssicht kann die Un-
Bitcoin ist hier das beste Beispiel. Das Protokoll für die Signierung von Bitcoin-Transaktionen enthält mehrere Stufen. Selbst
dann, wenn die Signaturen in einem HSM ausgeführt werden,
können die temporären und vorübergehenden „Geheimnisse“,
Wick Hill Guardian
11
Ausgabe 02/2015
...Fortsetzung von Seite 10
aus denen die Signatur besteht, für Angreifer gelüftet werden:
Wenn sie nämlich vor der Übergabe auf das HSM auf Host-Servern verarbeitet wurden.
Vereinfachen und automatisieren
Digitale oder elektronische Zeitmarkierungstechnologie kann
die Sicherheit eines Code-Signierungssystems noch verstärken,
indem ein weiteres Mittel hinzugefügt wird. Anhand dessen
wird präzise geprüft, ob ein Code über eine integrierte, vertrauenswürde Zeitmarke signiert wurde. So wird ein prüfbarer Pfad
zu einer vertrauenswürdigen Zeitquelle erstellt.
Das ist unabdinglich für Unternehmen, die eine elektronische Signierung nachweisen müssen. Einerseits um Daten- und Anwendungsintegrität herzustellen und andererseits um die langfristige Prüfbarkeit elektronischer Aufzeichnungen zu garantieren.
Während ausschließlich auf Software basierende Zeitmarkie-
rungslösungen jedoch anfällig für Bedrohungen wie Manipulationen der Computer-Uhr sind, steigern auf Hardware basierende Zeitmarkierungsanwendungen mit starker Sicherung die
Vertrauenswürdigkeit der Lösung und sorgen so für ein höheres
Geschäftsvertrauen.
Mit einem größeren Vertrauen in die Prüfbarkeit digitaler Aufzeichnungen und der Präzision elektronischer Zeitmarkierungen,
können Unternehmen auch ihr Automatisierungsniveau erhöhen.
Gleichzeitig werden so Kosten von Prozessen gesenkt, die heute
auf papierbasierte Signaturen und Datensätze angewiesen sind.
Bei dieser höheren Prozess-Automatisierung ist es jedoch unerlässlich, dass der zugrundeliegenden Infrastruktur vertraut wird.
Und genau hier liegt die Herausforderung, da Mobilität und Vernetzbarkeit in bemerkenswertem Tempo zunehmen.
Sicherheitsbedrohungen haben sich parallel zu neuen Technologien entwickelt, da Angreifer Lücken und Schwachstellen in
neuen Service- und Bereitstellungsmodellen gezielt ausbeuten.
Mit der steigenden Anzahl an Bedrohungen werden diese immer schwieriger zu entdecken und ihr Einfluss auf die Wirtschaft
steigt weiter. Erst kürzlich machten Schlagzeilen hinsichtlich eines Angriffs auf ein russisches Softwareunternehmen die Runde. Es wurden digitale Anmeldedaten verwendet, die dem weltweit bekannten Elektronikhersteller Foxconn gestohlen worden
waren.
In einer digitalen Welt sind Code-Signierungsprozesse, private
Code-Signierschlüssel und digitale Zertifikate von entscheidender Bedeutung. Unternehmen müssen erbittert um die Sicherheit der Systeme und der sie implementierenden
und kontrollierenden Menschen kämpfen, da diese nicht nur ihre Software schützen, sondern ihr
Markenimage.
www.wickhill.de/thales
Angriffe auf die Handelsketten Target und Home Depot
Global Encryption
Trends Study von Thales fördert
erschreckende Ergebnisse zu Tage.
E
iner neuen Studie des Ponemon
Institute zufolge, werden rund
44 Prozent der Einzelhändler
Opfer von mehr als 50 Cyberangriffen
pro Monat. Noch erschreckender ist
jedoch, dass die Einzelhändler durchschnittlich bis zu 197 Tage benötigen,
um eine Verletzung der Datensicherheit zu erkennen – abgesehen davon,
dass bis dahin noch keinerlei Schritte
zur Schadensbegrenzung unternommen wurden. Im Hinblick auf die Kette der ernstzunehmenden Cyberangriffe des vergangenen Jahres und auf
die erheblichen Herausforderungen,
die aufgrund der Studienergebnisse
den Einzelhändlern bevor stehen, sehen sie sich einem starken Druck ausgesetzt, ihre Sicherheitslage deutlich
zu verbessern.
Angriffe wie auf die US-amerikanische Baumarktkette Home Depot
und den Discounteinzelhändler Target sind nach wie vor sehr präsent
und haben den Einzelhandel dazu
motiviert, sorgfältig und zielgerichtet vorzugehen, um das Risiko, das
ihnen etwas Ähnliches geschieht,
zu minimieren. Die von Thales geförderte Global Encryption Trends
Study (Studie zur weltweiten Entwicklung von Verschlüsselung) kam
kürzlich zu dem erfreulichen Ergebnis, dass im Jahr 2014 der Einsatz
von Verschlüsselungstechnologien
im Einzelhandelssektor deutlich zugenommen hat.
Problemdiagnose
Die zunehmende Verwendung von
Verschlüsselung sorgt jedoch für Be-
www.wickhill.de
reitstellungsprobleme, deren Ursachen vielfältig sind: Mehr als die
Hälfte (56 Prozent) aller Teilnehmer
der Thales Studie führten an, dass
es am schwierigsten ist, die sensiblen Daten des Unternehmens überhaupt erst einmal zu identifizieren.
Sofern diese dann definiert werden
konnten, so gab mehr
als ein Drittel an, bestünde die nächste
Herausforderung darin, festzulegen, welche Daten verschlüsselt werden sollen.
Doch das ist insbesondere im Hinblick auf kürzlich
erfolgte
Hackerangriffe auf Unternehmen von immenser
Wichtigkeit. Die Einzelhändler
stehen
in der Pflicht, Risikograd und Datentyp sorgfältig zu bestimmen, damit ihre Kundendaten
nicht ins Internet durchsickern. Dabei ist zu beachten, dass für unterschiedliche Datentypen unterschiedliche Schutzgrade erforderlich sind:
Die ethischen Standards eines Unternehmens sind beispielsweise nicht
so interessant für einen Hacker, wie
die Kundendatenbank eines Unternehmens. Um eine effektive Verschlüsselungsstrategie umzusetzen,
müssen Einzelhändler daher ihre
wertvollsten und wichtigsten Daten
ausfindig machen.
Nachdem die geschäftskritischen Informationen ermittelt wurden, müssen die Einzelhändler bestimmen,
welche kryptographischen Schlüssel sie zur Verschlüsselung ihrer Daten während der Bearbeitung, der
Übertragung oder der Speicherung
auf dem Server verwenden wollen.
Da die Angriffe immer zielgerichteter erfolgen, können Daten, die
zu jedem beliebigen Zeitpunkt verschlüsselt wurden, zu jeder Zeit entschlüsselt werden, v.a. dann, wenn
Hackern direkter Zugriff auf die
kryptografischen Schlüssel ermöglicht wird. Daher ist es außerordentlich besorgniserregend, dass über
die Hälfte (51 Prozent) der Befragten angaben, sich bei der Schlüsselverwaltung auf Excel-Tabellen oder
papierbasierte Prozesse zu verlassen.
Einzelhändler sollten ihre wertvollen Daten schützen, indem sie auch
auf ein entsprechendes Key-Management achten. Ansonsten untergraben sie den Wert des Verschlüsselungsprozesses und könnten auch
gleich ihren Haustürschlüssel unter
der Fußmatte verstecken. In der Umfrage war das Schlüsselmanagement
ein weiteres Anliegen von ca. einem Drittel der Studien-Teilnehmer,
die anführten, dass das Verschlüsselungs- und Key Management ihre
größte Herausforderung sei.
Dieses Problem kann auf drei Hauptquellen zurückgeführt werden: Es
gibt keinen eindeutig Verantwortlichen für das Key Management (58
Prozent), es sind isolierte und zerstückelte Systeme vorhanden (50 Prozent) und der Handel verfügt über
keine ausreichend qualifizierten Mitarbeiter (47 Prozent). Diese Aspekte sind alle
miteinander
verbunden und spiegeln den taktischen
Ansatz der Verschlüsselung wieder, der in vielen
Unternehmen verfolgt wird. Tatsächlich gab nur ein
Drittel der Teilnehmer an, dass Verschlüsselung mit
einem
strategischen Ziel verfolgt
werde.
Strategisch Denken
Offensichtlich handelt es sich bei
Verschlüsselung und Key Management um allgemeingültige Aspekte,
die nicht länger auf den Finanzsektor
und Behörden beschränkt sind. Alle
Unternehmen, und hier insbesondere
die Einzelhändler, besitzen sensible
Daten, die in den Händen von CyberKriminellen erheblichen Schaden
anrichten können.
Diesem Aspekt kann eine zentrale
Herausforderung zugeordnet werden: Einzelhändler müssen ihre
Daten verstehen, verstehen was sie
wert sind, die Auswirkungen von
Kompromissen verstehen und daher verstehen, wie diese Daten geschützt werden sollten. Das Mantra
E
TR E FF
S IE U NS A
DER
Autor: John Grimm, Senior Director Product Marketing, Thales e-Security
N
UF
Der Spuk bei den Einzelhändlern geht weiter
STAND 12 | 504
sollte lauten: „Ver6.
R
-8.
O K TO BE
schlüssele das, was
am Wichtigsten ist und
wahre die Kontrolle über
die Schlüssel“. Durch die Auswahl
von erstklassigen Key Management-Tools kann ein Unternehmen konsistent an die Verschlüsselung herangehen. So werden nicht
nur Daten geschützt, sondern auch
Komplexität verringert und Kosten gesenkt. Ein strategischer Ansatz für Verschlüsselung ist nur ein
weiterer Schritt, um das Risiko zu
senken, dass Angriffe, wie sie auf
Target und Home Depot erfolgten,
erfolgreich durchgeführt werden
können.
Die Global Encryption and Key Management Trends Study 2015 (Studie zur weltweiten Entwicklung von
Verschlüsselung und Key Management) basiert auf einer unabhängigen Studie, die vom Ponemon Institute durchgeführt und von Thales
gefördert wurde. Die Untersuchung
umfasste rund 4.700 Unternehmen
und IT-Manager in den USA, Großbritannien, Deutschland, Frankreich,
Australien, Japan, Brasilien, Russland, Indien und Mexiko. Untersucht
wurden dabei einerseits die Verschlüsselungsentwicklungen
weltweit und andererseits regionale Unterschiede in der Verwendung von
Verschlüsselung.
Weitere Informationen gibt es unter
folgendem Link:
www.thales-esecurity.com/knowledge-base/
analyst-reports/global-encryption-trends-study
Wick Hill Guardian
12
Ausgabe 02/2015
Wie das Internet of Things (IoT) sicher wird
Autor: Christian Vogt, Regional Director Germany, Fortinet
Derzeit wird
heiß über das
Thema Internet of Things (IoT) diskutiert.
Dabei stehen einerseits die geschäftlichen
Möglichkeiten und Vorteile im Mittelpunkt
des Interesses, aber auch die Implikationen
für Datenschutz und Datensicherheit.
D
as IoT ist Teil einer umfassenderen Entwicklung – nämlich des Übergangs von
der Kommunikation zwischen Maschinen (M2M) zum Internet of Everything (IoE) –
die gleichzeitig durch drei Trends beschleunigt
wird. Dazu gehören 1. die Verbreitung vernetzter
Geräte weltweit, 2. das explosive Wachstum bei
plattformunabhängigen Anwendungen und 3. reife Netzwerktechnologien, die Milliarden verteilter
Geräte billig und einfach vernetzen können.
Die Technologie bietet enorme Marktchancen. So prognostiziert das Marktforschungsunternehmen Gartner beispielsweise, dass die
Hersteller von IoT-Produkten und -Dienstleistungen im Jahr 2020 mehr als 300 Milliarden
Dollar umsetzen werden. Die Größe des IoT
wird zum selben Zeitpunkt auf etwa 26 Milliarden vernetzte Systeme geschätzt.
Unternehmen drohen
Datenverluste durch IoT
Das IoT hat immense Auswirkungen auf das
zwischenmenschliche Kommunikationsverhalten, die Zusammenarbeit in Unternehmen oder
die Abwicklung von Transaktionen. Gleichzeitig ist es jedoch die Inspirationsquelle für die
Entwicklung vieler innovativer Lösungen und
Dienstleistungen.
Systeme nicht unter Berücksichtigung von Sicherheitsgesichtspunkten, weshalb sie keine
ausreichenden Reaktionsmechanismen gegen
Angriffe besitzen.
Andererseits ergeben sich aus dem IoT erheblich höhere Sicherheitsrisiken, da zunehmend
mehr Aktivitäten ins Internet verlagert werden. Dies kann aus zweierlei Gründen leicht
kompromittiert werden: Zum einen ist das Netz
durch IoT-Systeme erheblich mehr Sicherheitsrisiken ausgesetzt, zum anderen ist die Software von IoT-Systemen oft unsicher und fällt
somit eher Angriffen von Hackern zum Opfer.
In die Produkte der großen Softwarehersteller
sind viele Sicherheitsmechanismen integriert,
die erfolgreiche Angriffe erschweren. Adobe
Reader zum Beispiel besitzt eine Sandbox, um
Angriffen besser widerstehen zu können. IoTGeräte profitieren normalerweise nicht von derartigen Kontrollmechanismen. Obendrein entstehen durch die Integration verschiedenster
IoT-Geräte mit der Zeit hochkomplexe Produkte, was die Zahl der sicherheitsrelevanten
Schwachstellen weiter erhöht.
Unternehmen stehen in der Pflicht, ihre eigenen
Daten zu schützen und gleichzeitig für die Sicherheit der Daten ihrer Kunden und Mitarbeiter zu sorgen. Global gesehen, müssen sie ihre
Kunden heute nicht mehr nur vor Kreditkartenbetrügern, sondern auch vor unbefugter Nutzung und Weitergabe ihrer persönlichen Informationen bewahren.
IoT-Endgeräte sind unsicher
Einen Zugang zu IoT-Geräten zu erhalten ist
ziemlich einfach: sie bestehen aus unterschiedlichen Modulen und verbreiteten ihre Softwarebibliotheken meist mit offenem Quellcode.
Häufig nutzen sie auch relativ neue Protokolle,
die mit mehr Fehlern behaftet sind als die älteren und besser etablierten Protokolle. Zudem
produzieren die meisten IoT-Hersteller ihre
FortiGuard Labs, konnte bereits feststellen,
dass sich im Visier der Hacker vermehrt IoTSysteme befinden. Zwar gab es erst wenige Angriffe, aber in den kommenden Monaten ist ein
Anstieg zu erwarten. Hacker wissen, dass sie
länger und erfolgreicher angreifen können, wo
gute PSIRT-Teams fehlen, die Patches verwalten und IoT-Sicherheitsprobleme prompt beseitigen. Oft ist ein IoT-Device deshalb das Einfallstor für einen nachfolgenden Angriff auf
das interne Netzwerk.
Netzwerküberwachung ist entscheidend
Durch die größere Angriffsfläche, die das IoT
bietet, werden die Sicherung der Endgeräte
und ihr Management noch stärker fragmentiert.
Die meisten IoT-Geräte besitzen keinen Virenschutz, aber selbst wenn sie einen hätten, wäre
die Verwaltung der Abwehrmechanismen wegen der Vielfalt des IoT-Ökosystems viel zu
komplex.
Die rigorose Überwachung des Netzwerks ist
deshalb die einzige sinnvolle Schutzmethode
für das IoT. In jedem Netz muss eine Security-Appliance implementiert werden, die intelligent genug ist, um Code, der für diese neuartigen Plattformen geschrieben wurde, tiefgehend
zu prüfen. Die sogenannte Plattform-agnostische Analyse ist die beste Methode, um mit
dem Wachstum des IoT zu skalieren.
Das bedeutet letztendlich: Das Netz benötigt
zukünftig traditionelle Schutztechnologien wie
Firewall, Intrusion Prevention, Web-Filter und
Anti-Malware-Lösungen, um Regeln durchzusetzen und Applikationen zu überwachen.
Noch wichtiger ist, dass auch Inhalte überprüft
werden, da die Angriffsfläche wächst. Bedrohungen können sich heute überall verstecken –
sogar eingebettet in an sich legale Datenströme.
Nur mit intelligenten Lösungen, ausgefeilten
Richtlinien und wachsamem IT-Sicherheitspersonal können Unternehmen den
harten Kampf um die IoT-Sicherheit gewinnen und ihr Geschäft
auf dem richtigen Kurs halten.
www.wickhill.de/fortinet
Jagd auf „Indicators of Compromise“
Autor: Alexander Peters CISSP, CCSK, Manager Technology Sales & Services, Office of the CTO, DACH, Symantec (Deutschland) GmbH
Es ist ein
erbarmungsloser Kampf, der im IT-Sicherheitsumfeld gegen Cyber-Attacken
ausgefochten wird. Die Herausforderung bei modernen, hochentwickelten Angriffen (Advanced Persistent Threats) besteht darin, diese
sofort und nicht erst nach Monaten
oder gar Jahren zu entdecken. Es
ist daher wichtig, die Spuren erfolgreicher Angriffsversuche – als
Indicators of Compromise (IOCs)
oder Breach Indicators bezeichnet
– möglichst schnell zu sichern und
zu analysieren, um sofort handeln
zu können.
S
chutzmaßnahmen für Endpunkt- oder Netzwerkebene reichen bei weitem nicht
aus. Daher ist die Vorbereitung
auf eine schnellere Erkennung und
Schadensminderung
unumgänglich, denn hochentwickelte Angriffe folgen meist einem typischen
Muster. Ein besonderer Fokus ist
auf die neuralgischen Punkte der
Infrastruktur (Endpunkte, Netzwerkübergänge) zu legen. Wer
die dort auftretenden Breach Indicators rechtzeitig erkennt, kann
Angriffe entsprechend abwehren.
Doch ohne eine intelligente Korrelation mehrerer Informationspunkte mit anderen Informationsquellen (z.B. Threat Intelligence),
sind diese Anzeichen nicht effektiv zu priorisieren.
1. Schritt: Aufklärung
In der Regel wird das Ziel eines Cyberangriffs vorsichtig ausgewählt
und sorgfältig ausgespäht (Reconnaissance). Im Visier der Angreifer stehen zunächst technische
Schwachstellen, aber auch Menschen und Prozesse (Social Engineering).
tiv werden E-Mails versandt, die so
vertrauenswürdig erscheinen, dass
der Empfänger den Anhang öffnet.
Zunehmend populärer werden auch
„Watering-Hole Attacks“, bei denen
die Angriffssoftware über häufig
von Mitarbeitern genutzte Webseiten verteilt wird.
Wurde der Exploit erfolgreich ausgeliefert,
Anzeichen für die Vorerhält der Angreibereitung eines Angriffer schnell Zugriff
fes sind Phishing Eauf die Zielsysteme
Mails, die probeweise
(Exploitation).
ErSchadcodes an ein Ziel
schreckend ist, dass
versenden, um die Efoft mehrere Wochen
fektivität der Schutzoder Monate vergemaßnahmen zu teshen, bis bekannte
ten. Auch Portscans
Schwachstellen geam Netzwerk-Perimepatched werden. Den
ter sind weit verbreitet.
Angreifern genügen
Danach wird eine be- Alexander Peters CISSP,
somit „alte” Exploits,
stimmte Software (Ex- CCSK, Manager Technology
um zum Ziel zu komSales & Services, Office of
ploits) eingesetzt, um
men. Die Identifithe CTO, DACH, Symantec
über eine Sicherheits- (Deutschland) GmbH
kation von neuen
lücke im IT-System
Exploits erfolgt hinZugang und Kontrolle zu erhalten
gegen mittels Reputationstechnolo(Weaponisation).
gien und Sandboxing. Verdächtige
Dateien können so verifiziert und
Schritt 2: Der Einbruch
eliminiert werden.
Sobald die Angriffsmethode vorbereitet ist, muss diese an das Ziel geliefert werden (Delivery). Beliebt
sind „menschliche Schwachstellen”,
wie Mitarbeiter, die z.B. Dateien
von einem geschenkten USB-Stick
auf ihrem Rechner öffnen. Alterna-
Schritt 3: Entdecken
Hat der Angreifer erst einmal Zugang zu einem System erlangt, lädt
er oft weitere Tools auf das kompromittierte System hoch (Installation).
Im Fokus stehen hier Systeme und
Daten, die als besonders lohnenswert scheinen. Dabei ist es wichtig, bei der Erkundung vorsichtig zu
agieren, um nicht entdeckt zu werden. Eine gute Netzwerksegmentierung kann hier die laterale Bewegung der Angreifer erschweren.
Schritt 4: Erobern
Danach erfolgt die Übernahme relevanter Systeme im Hintergrund mit
dem Ziel, über einen längeren Zeitraum Daten nach extern zu übertragen. In dieser Phase werden die Angriffstools regelmäßig aktualisiert
und nach Bedarf auch neue Module ergänzt. Die Kriminellen nutzen
dafür einen verdeckten Kommunikationskanal sowie ein verteiltes
Kommandozentrum (Command &
Control), um Befehle an die gekaperten Systeme zu leiten. Eine reputationsbasierte Analyse und Korrelation verdächtiger IP-Adressen
kann zu einer rechtzeitigen Erkennung eines Angriffes in diesem Stadium führen.
Schritt 5: Herausschleusen
Im letzten Schritt werden die Daten
über verschlüsselte Kommunikationswege nach außen geleitet, analysiert und verwertet (Exfiltration). In
vielen Fällen kommt es nun zu einer
Veräußerung der gewonnenen Daten.
Die Informationen, die über Zielunternehmen, Mitarbeiter und Kunden
gewonnen wurden, stehen nun auch
für erfolgreiche Angriffs auf andere
Ziele (z.B. Geschäftspartner) bereit.
Die Exfiltration kann jedoch mittels Korrelation von Kommunikationsdaten (z.B. E-Mail oder Netzwerk), gekoppelt mit einer Analyse
verdächtiger URLs und IP Adressen,
verhindert oder schnell erkannt werden.
Von Protect hin zu
Detect & Respond
Das NIST Framework für Cybersicherheit zeigt, wie wichtig die Punkte Detect & Respond sind. Patchen
und die Härtung von Systemen reichen dabei nicht aus. Vielmehr sollte aktiv auf die Jagd nach Indikatoren gegangen werden, die zeigen, ob
es schon zu einem der oben genannten Angriffsschritte gekommen ist.
Dabei hilft eine stärkere Automatisierung enorm, intelligente Priorisierung durch Korrelation verschiedener Informationspunkte mit
globalen Bedrohungsdaten und eine
ausgereifte „Detonation” und Analyse von Schadcodes zu erhalten,
bei der die Ergebnisse umgehend
Handlungsschritte ermöglichen.
Waidmannsheil!
www.wickhill.de/symantec
Wick Hill Guardian
13
Ausgabe 02/2015
Ransomware – Unternehmensdaten in Geiselhaft
Das Cyber-Kidnapping von Inhalten zielt nicht auf Diebstahl der Daten ab
Autor: Michael Haas, Area Sales Director Central EMEA, WatchGuard Technologies
Das aktuelle Beispiel aus
dem deutschen Bundestag
zeigt in bestürzender Weise,
wie machtlos selbst erfahrene IT-Spezialisten werden, wenn sie nicht mehr alleiniger
Herr ihrer eigenen Daten und Infrastrukturen sind. Dabei
muss es erst gar nicht zu den oft zitierten „Datenabflüssen“
kommen. Es reicht bereits, wenn alle Unternehmensdaten und
-systeme über eine Ransomware für den Besitzer unerreichbar
verschlüsselt sind und die „Befreiung“ aus diesem Cyber-Kidnapping nur nach Zahlung eines Lösegelds möglich ist.
R
ansomware ist Malware, die in unterschiedlichen Ausprägungen seit mehr als 20 Jahren ihr Unwesen treibt.
In den letzten Jahren hat sie jedoch eine wahre Renaissance erfahren. Der Grund dafür: Alle Anwender, egal ob privat
oder in Unternehmen, sind mehr denn je auf die Daten auf ihren
Computern angewiesen. Eine Ransomware verschlüsselt jedoch
die Inhalte derart, dass der Zugriff darauf unmöglich wird. Angefangen von Mails, Bildern, Musik und Dokumenten wie der
Steuererklärung im privaten Bereich bis hin zu geschäftskritischen Unterlagen und Programmen im Business-Umfeld sind
alle Betroffenen bereit, buchstäblich jeden Preis zu bezahlen, um
die Datenhoheit über ihre Inhalte zurückzuerlangen. Oftmals ist
genau das jedoch überhaupt nicht vorgesehen, sodass neben der mittels Bezahldiensten wie Paysafecard, Ukash,
BitCoin oder via Western Union bezahlten Summe auch die eigenen Inhalte unwiederbringlich verloren sind.
Das macht dieses „Geschäftsmodell“
für Cyber-Angreifer so attraktiv.
So funktioniert Ransomware
Ransomware infiziert einen Rechner
über die bei Malware typischen Wege
– mittels „Drive-by“ beim Surfen auf
einer infizierten Webseite, das Klicken auf einen Link oder Anhang in
einer Phishing-Mail, den Download
von veränderten Dateien aus einem
P2P-Netzwerk oder den Gebrauch eines USB-Sticks aus unsicherer Quelle.
Sobald sich der Eindringling dann auf
dem Rechner befindet, übernimmt er
die Kontrolle über dessen Inhalte und
Funktionen. Spätestens beim nächsten Neustart erscheint dann anstatt
des gewohnten Anmelde- oder Startfensters ein Hinweis, dass der Zugriff
ab sofort gesperrt ist und nur gegen
Bezahlung eines „Lösegelds“ wieder möglich wird. Häufig setzt ein zusätzlicher Timer den Anwender dabei
unter Druck, diesen Hinweisen möglichst schnell Folge zu leisten.
Neuere und erweiterte Varianten von
Ransomware zielen mittlerweile auf
eine größere Anzahl von Dateitypen ab – neben Dokumenten und
Fotos beispielsweise auch auf SCADA- oder CAD-Dateien. Darüber hinaus verbreiten sie sich über das Netzwerk nicht nur auf
benachbarte Rechner, sondern auch auf cloudbasierte Speicherorte. Eine „App“solute Sicherheit gibt es übrigens nicht, denn sogar
Mobilgeräte wie Smartphones und Tablets sind nicht mehr davor
gefeit. Im Mai 2014 wurde etwa eine Attacke entdeckt, die auf die
Funktion „iPhone-Suche“ in iOS abzielte. Weitere Hinweise deuten darauf hin, dass auch Android-Geräte zunehmend ins Fadenkreuz der Angreifer rücken. Als Einfallstor wurde hier der AppMarktplatz identifiziert, welcher etwas weniger restriktiv ist als
das eher geschlossene Ökosystem von Apple.
Schutz gegen Ransomware
Jeder, der sich schon einmal mit Ransomware beschäftigt hat,
weiß, dass dabei die Zeit ein kritischer Faktor ist. Die gute
www.wickhill.de
Nachricht: Unternehmen und Privatanwender können sich
auf die Phasen einer Attacke vorbereiten und jeder Aktion der
Schadsoftware mit einer passenden Gegenreaktion die Stirn
bieten.
„Feature“-Liste
aktueller Ransomware
- Kann mehr unterschiedliche Dateitypen verschlüsseln
Auf eine Attacke vorbereitet sein
- Scannt nach dem befallen Rechner auch die
Netzwerkumgebung und verbundene Cloudspeicher
Cyber-Kidnapping findet über die bereits genannten Wege
statt: Ransomware verbreitet sich über infizierte Webseiten,
Links, Mails, Anhänge, Dateien oder USB-Sticks. IT-Verantwortliche können daher auf recht einfache Weise bei ihren
Anwendern ein Bewusstsein für diese Bereiche schärfen, beispielsweise mit regelmäßigen theoretischen und praktischen
Anwenderschulungen. In diesem Zusammenhang ist es wichtig, dass auch die verwendeten Betriebssysteme – sowohl im
privaten wie auch im geschäftlichen Bereich – stets auf dem
neuesten Stand gehalten werden. Viele der vor allem älteren
Cyberattacken adressieren Schwachstellen, die von den Softwareherstellern bereits ausgemerzt wurden. Ein darauf basierender Angriff läuft in so einem Fall einfach ins Leere.
Allerdings ist es zu empfehlen, regelmäßige und am besten
automatisierte Backups aller Systeme und Daten anzufertigen. Diese Sicherungen befinden sich entweder auf einer eigenen Partition der Festplatte oder – besser – auf einem externen Datenträger, der separat
verschlüsselt werden kann.
- Verwendet eine starke RSA-2048-Verschlüsselung,
die nicht geknackt werden kann
- Löscht die Dateien und Backups in einer
Weise, die keine Wiederherstellung erlaubt
- Versteckt sich effizienter, in dem sie
sich selbst verschlüsselt bzw. nach der
Installation weitere Inhalte nachlädt
- Bringt zusätzliche Schadprogramme mit, wie
Software zum Diebstahl von BitCoins
- Anonymisiert sich, indem es sich
über P2P und Tor tarnt
- Bietet wie in einem „Freemium“-Modell zunächst
einen limitierten Zugang, verlangt dann aber
eine Gebühr für den vollständigen Zugriff
Im Tagesgeschäft geschützt
Die gute Nachricht: IT-Verantwortliche müssen sich nicht permanent
mit der Bedrohungssituation auseinandersetzen. Diese Aufgabe übernehmen die Anbieter von entsprechenden Sicherheitslösungen. Sie
verfolgen die Aktivitäten der Angreifer und halten ihre Antiviruslösungen mit laufenden Updates
stets auf dem neuesten Stand. Die
schlechte Nachricht: Davon lassen
sich nur rund 12 Prozent der Angriffe beeindrucken. Bei den restlichen 88 Prozent verändert sich die
Signatur der Ransomware nach der
Ersterkennung entsprechend. Die
neuen Versionen schlüpfen dann
teilweise über einen Zeitraum von
mehreren Wochen durch das Suchraster herkömmlicher Lösungen.
Gegen Attacken dieser Art bieten
vor allem Systeme mit einer „Advanced Threat Protection“ Schutz.
Diese Appliances sperren den Angreifer zunächst in eine virtuelle
Sandbox. Dort beobachten und analysieren sie seine Arbeitsweise und
können dadurch auch „Zero-Day“Ransomware erkennen. Einige dieser Sandboxes nutzen einige der
Spezifika der Schadsoftware sogar
zur Verteidigung, indem sie sich tarnen und damit Ransomware-Varianten austricksen, die sich auf die Erkennung von Sandboxen spezialisiert haben.
Verhalten im Schadensfall
Falls trotz aller Vorbereitungen und Schutzmaßnahmen doch der
„worst-case“ eingetreten ist, gilt es vor allem, Ruhe zu bewahren. Denn die Mehrzahl der Ransomware-Varianten muss nun
zunächst den public-private-Key zur Verschlüsselung der Daten
von einem Server anfordern. Genau diese Art von Verbindungen
kann allerdings in einer Software wie dem WatchGuard WebBlocker erkannt und abgefangen werden. Typischerweise erfolgt
das über den URL-Filter. Darüber kann die Kommunikation mit
bereits bekannten Bot-Netzen und Servern mit Schadsoftware
generell blockiert sowie der allgemeine Zugriff auf Webseiten
reglementiert werden.
- Wiederholt die Aufforderung zur Zahlung
mit der Zeit immer aufdringlicher
Falls das System jedoch unglücklicherweise von einer Ransomware befallen wurde, die komplett offline arbeitet und alle
Inhalte bereits verschlüsselt sind, besteht immer noch eine
Hoffnung auf Rettung. Denn in vielen Fällen kann bereits die
Identifikation des Schädlings dazu beitragen, ihn zu bekämpfen. Webseiten wie BleepingComputer.com sind hier eine große Hilfe. Im nächsten Schritt sollte ein aktueller Virenscanner
von der offiziellen Seite des Herstellers heruntergeladen und
der Rechner offline überprüft werden. Manche der Ransomware-Varianten können bereits damit entfernt werden. Diejenigen
mit einer älteren und damit schwächeren Verschlüsselung lassen sich hingegen mit entsprechenden Tools und unter Einsatz
von Brute-Force entschlüsseln. Versionen, die sich nur ins Betriebssystem einnisten und dabei keine systemrelevanten Dateien überschreiben, können teilweise sogar direkt deinstalliert
werden. Alternativ besteht die Möglichkeit, das System mittels einer vorhandenen, sauberen Schattenkopie wiederherzustellen. Für frühe Cryptolocker-Schädlinge, die ihrerseits bereits entschlüsselt wurden, lassen sich sogar die Private Keys
von Webseiten wie DecryptCryptolocker.com abrufen.
Wenn es doch zu spät ist
Falls alle bisherigen Maßnahmen und Versuche zur Rettung fehlgeschlagen sind, sollte man sich lange und gut überlegen, ob einem die in digitale Geiselhaft geratenen Inhalte das reale Lösegeld wirklich wert sind. Der Verlust wichtiger Daten ist sicherlich
nicht einfach zu verschmerzen. Auf der anderen Seite unterstützt
man damit die Machenschaften der Angreifer und bestärkt sie sogar bei der Entwicklung noch ausgefeilterer Ransomware. Außerdem ist generell nicht sichergestellt, dass die Verschlüsselung
nach der Zahlung aufgehoben wird. Im schlimmsten Fall kommen
weitere Nachforderungen oder die Inhalte werden einfach unwiederbringlich gelöscht. Unternehmen können sich mit modernen
Next-Generation Firewalls (NGFW) oder Unified-Threat-Management-Systemen am besten vor Ransomware
und weiteren Schadprogrammen schützen, da die
Appliances die beschriebenen Angriffsmöglichkeiten vollumfänglich abdecken.
www.wickhill.de/watchguard
Wick Hill Guardian
14
Ausgabe 02/2015
Gini-Index der IT-Sicherheit
Autor: Alexander Dörsam, Leiter Information Security bei Antago
Noch heute und trotz der Präsenz unzähliger Sicherheitsspezialisten und hochentwickelter
Lösungen auf dem deutschen
IT-Security Markt werden Unternehmen und Behörden teilweise mit einfachsten gefälschten E-Mails kompromittiert, wie sie bereits vor über zehn Jahren im Umlauf waren. Doch wie ist das möglich?
wand und die damit einhergehende Kosten eingeschlossen.
Umgekehrt wird Unternehmen, die von Wirtschaftsspionage betroffen sind, von „Spezialisten“ auf dem Markt vorgegaukelt, dass bereits die Installation einer Firewall einen ausreichenden Schutz bieten würde. Das bedeutet – um beim
Beispiel des Personenschützers zu bleiben – dass die Bundeskanzlerin so behandelt werden würde, als hätte sie den Schutzbedarf eines Normalbürgers.
ie Anzahl dokumentierter erfolgreicher IT-Angriffe war
noch nie so hoch wie zum aktuellen Zeitpunkt. Parallel
dazu haben fast alle Messen oder Anbieter im IT-Sektor
das Thema „IT-Sicherheit“ im Portfolio. Welche Problematiken
stecken hinter dieser Situation und welche Aufgaben kommen
auf Kunden und Anbieter von IT-Sicherheit zu, um diese Probleme zukünftig zu vermeiden?
Ob nun überhöhte Ansprüche des tatsächlichen Experten oder
völlig unzureichende Maßnahmen der vielen in den letzten
Jahren auf dem Markt aufgetauchten Pseudo-Experten. Was
ist schlussendlich die Konsequenz für die Unternehmen?
D
Die IT-Sicherheit im Wandel der Zeit
Um die aktuelle Thematik zu verstehen, ist
ein Blick in die Historie der IT-Sicherheit notwendig. Mit der Veröffentlichung von automatisierter Angriffs-Software wie zum Beispiel
Backtrack, kann jeder motivierte Einsteiger in
das Thema IT-Sicherheit schon jetzt Systeme
erfolgreich kompromittieren.
Die logische Konsequenz ist Scheitern im Sinne der tatsächlichen Anforderungen. Und nach dem Scheitern setzt nicht selten Frustration ein, welche wiederum das Einstellen der Aktivitäten nach sich zieht.
Doch leider tummeln sich auf dem Markt neben tatsächlichen
Security-Experten mit tiefgreifender Expertise auch zunehmend solche, die aus dem Verkauf von Sicherheitslösungen
stammend über Nacht zum „Experten“ mutiert sind und wenig
mehr an Know-how vorzuweisen haben, als in den Schulungen
der Hersteller von Security-Lösungen erlernbar ist.
Bewaffnet mit automatischen Analysetools, deren tatsächliche Arbeitsweise meist nicht einmal bekannt ist, beraten diese Unternehmen zu Tagessätzen, die vom Dumpingpreis bis
hin zu – gemessen an der abgelieferten Leistung – absoluten
Wucherpreisen reichen. Nicht selten hinterlässt ein vermeintlicher „Experte“ im Unternehmen, dank hemmungslosem Ausführen nicht selbst geschriebener Exploits, mehr Probleme als
vor seiner Analyse vorhanden waren. Er zerstört mit diesem
Vorgehen nicht nur die Unternehmenssicherheit des betroffenen Kunden, sondern auch den Ruf der Branche.
Gleichzeitig gibt es viele Security-Experten, die
sich tief in der Materie der IT-Sicherheit auskennen, aber leider keinen Blick für angemessene
IT-Sicherheitsmaßnahmen entwickelt haben und
daher die Unternehmen in die falsche Richtung
beraten.
Alexander Dörsam auf der Wick Hill Hausmesse 2015
Schlussendlich gibt es aber auch Anbieter, die
IT-Sicherheit im Sinne des klassischen Sicherheitsbegriffs verstanden haben: Sie bieten angemessene Maßnahmenentwicklung im Zuge eines
realistischen Sicherheitsmanagements, gepaart
mit tiefem IT-technischen Security Know-how.
Das Unternehmen diese Anbieter nicht in der
Riege der Dumping-Preise finden werden, versteht sich von selbst.
Ursprünglich war die Beschäftigung mit ITSicherheit, mit erfolgreichen Angriffen und
deren Abwehr, einem kleinen, elitären Kreis
vorbehalten, der weitestgehend unbeachtet
gearbeitet hat. Hier wurde aus dem Wunsch
heraus, die eigenen und die Grenzen von
Computersystemen auszuloten und zu erforschen, mit teilweise wissenschaftlicher Akribie an Angriffen, Schwachstellen und Abwehrmechanismen gearbeitet.
Noch vor 15-20 Jahren spalteten sich IT-Security Experten im
Wesentlichen in drei Gruppen auf: So gab es diejenigen, die
aus purer wissenschaftlicher Neugier heraus Computersysteme bis hin zu Chipsätzen auf mögliche Schwachstellen analysierten. Andere trieb der Ehrgeiz und die Profilierung an, sie
maßen sich in regelrechten Wettbewerben darin, wer zum Beispiel die meisten Webseiten im Netz kompromittieren – defacen – konnte. Die dritte Gruppe nutzte IT zum Beispiel, um
Handel mit Raubkopien zu betreiben.
Allen drei Gruppen war gleich, dass sie zum Erreichen ihrer
jeweiligen Ziele regelrechte Pionierarbeit auf dem Bereich der
IT-Security leisteten und eine Menge an Ehrgeiz, Ausdauer,
Neugierde und Intelligenz in Ihre Arbeit legen mussten. Was
fehlte, war jedoch meist das Grundverständnis für „Sicherheit“
im eigentlichen Sinn und die ganzheitliche Betrachtungsweise,
um diese erfolgreich in Lösungskonzepte einzubinden. Die Pioniere der damaligen Zeit jedoch sind die IT-Sicherheitsexperten und Lösungsentwickler von heute.
Das Fehlen von Sicherheit in der IT-Security
IT-Sicherheit und klassische Sicherheitsbereiche haben bei der
Bewertung der notwendigen Sicherheitsmaßnahmen die gleiche Vorgehensweise. Im Risikomanagement werden Risiken
anhand Ihrer Eintrittswahrscheinlichkeiten und Schadenshöhe bewertet. Danach werden angemessene Maßnahmen zur
Reduktion des Restrisikos abgeleitet und durchgeführt.
Doch genau an diesem Punkt tritt das Problem ein. Denn die
Bewertung von tatsächlich angemessenen Maßnahmen wird
in der IT-Sicherheit oft vom individuellen Selbstverständnis
von IT-Sicherheit des Security-Spezialisten überlagert. Anstelle der analytisch und sachlich richtigen Maßnahmen treten
oftmals überhöhte Vorstellungen des notwendigen Sicherheitsmaßes und damit Anforderungen an die Kunden.
So werden klassische Mittelstandsunternehmen mit durchschnittlichem Sicherheitsbedarf mit Maßnahmenkatalogen konfrontiert,
die konzipiert sind, um zum Beispiel Angriffe von Geheimdiensten abzuwehren. Dies steht so wenig im Verhältnis, wie wenn professionelle Personenschützer Durchschnittsbürger abschirmen
würde, als wären diese die Bundeskanzlerin. Den gesamten Auf-
Was bleibt also den Unternehmen?
Es ist für Unternehmen essentiell, die eigenen 100 Prozent Sicherheit genau zu definieren und zu praktizieren. Das Anstreben „falscher“ Sicherheitsdefinitionen ist häufig ein großes
Problem für Kunden und es ist Aufgabe einer professionellen
Beratung, hier den richtigen Weg zu weisen. Häufig bedeutet
dies auch, zunächst die Anforderungen auf ein erreichbares
Maß zu drosseln, bevor diese wieder erhöht werden.
Die richtige Bewertung der Angemessenheit von Sicherheitsmaßnahmen ist ein komplexes Feld, in der die klassische Sicherheitsberatung der IT-Sicherheit Jahrzehnte voraus ist. Die
klaffende Schere zwischen dem Bedarf an angemessener Sicherheit auf der einen und der Stand der eigenen IT-Sicherheit von
vor 10 Jahren auf der anderen Seite, ermöglicht die Unsicherheit
von Systemen, die wir heute tagtäglich erleben.
Das Vakuum in der IT-Sicherheit –
die Frage nach dem richtigen Anbieter
Die vorliegende Schere zwischen tatsächlichem Bedürfnis und
Angebot kann durchaus als massives Vakuum interpretiert
werden. Schon vor einigen Jahren war absehbar, dass in diesem ein hohes Umsatzpotenzial für qualifizierte Sicherheitsberater verborgen liegt. So formten sich etliche Unternehmen
mit einer Spezialisierung auf IT-Sicherheit, von denen sich mit
der Zeit diejenigen hervortaten, welche neben dem notwendigen Expertenwissen auch über den Blick für die Angemessenheit der Risikomaßnahmen verfügten und Unternehmen ganzheitlich beraten konnten. Für eine umfängliche qualifizierte
Bedienung des Wachstumsmarktes IT-Security reichte das
vorliegende Angebot jedoch nicht aus.
Zusätzlich stieg durch die mediale Präsenz erfolgreicher und
spektakulärer IT-Einbrüche auf Seiten der Unternehmen das
Bedürfnis nach IT-Sicherheit. Ein Wachstumsmarkt mit
enormem Potential entwickelte sich. Dieses haben viele Anbieter mittlerweile erkannt und bieten IT-Security-Leistungen an. Für den Kunden gilt es nun, den richtigen Anbieter
für sich zu beauftragen.
Trotzdem entscheiden Kunden oftmals über den
Preis, da es auf Basis reiner Angebote für den Interessenten kaum auseinander zu halten ist, mit
welcher Art von Anbieter er es zu tun hat. Dabei ist der Preis
aus vorgenannten Gründen eine Metrik, die zur Ermittlung
wirklich qualifizierter Anbieter denkbar schlecht geeignet
ist. Empfehlungen und aussagekräftige Referenzen sind hier
die anzuwendende Metrik, professionelle Unternehmen werden trotz der Vertraulichkeitsanforderungen über solche Dokumente verfügen.
Wasch‘ mich,
aber mach‘ mich nicht nass
Zu allen anderen bereits beschriebenen Problematiken fügt
sich noch eine weitere hinzu. Sowohl in der Medienberichterstattung als auch in vielzähligen Gesprächen mit Interessenten zeigt sich deutlich, dass die Einstellung zur IT-Sicherheit oftmals nicht integer ist. So wird zwar auf der einen Seite
über Datenschutz diskutiert, gleichzeitig aber private Bilder
und Informationen in soziale Netze hochgeladen. Sicherheit
wird gleichzeitig mit Funktionsfreiheit ausgesprochen. Datensicherheit und Freiheit im Umgang mit Daten können jedoch
nur in einem Kompromiss parallel existieren.
Besonders bemerkbar macht sich das zum Beispiel in der ITforensischen Analyse. Schützt man die Daten aller Bürger vor
dem Zugriff durch Dritte, kann auf der anderen Seite im Schadensfall auch nur eine eingeschränkte Ermittlung von Tätern
oder Tathergängen erfolgen. Denn wenn Providern verboten
wird Verbindungsdaten zu archivieren, um die Privatsphäre
der Bürger zu schützen, kann hinterher auch nur schwer ermittelt werden, wer der Urheber eines Angriffes auf ein System ist. Schützt der Datenschutz private Daten auf unternehmenseigenen Systemen, muss intensiv argumentiert werden,
um diese Systeme dann noch vollständig auf Manipulation hin
untersuchen zu dürfen.
Bei Sicherheit geht es also nicht um “richtig” oder “falsch”,
sondern primär um Angemessenheit und Integrität. Wer also
mehr Sicherheit verlangt, muss gemeinsam mit
qualifizierten Beratern sinnvolle Maßnahmen
etablieren und die damit einhergehenden Konsequenzen tragen.
www.antago.info
Wick Hill Guardian
15
Ausgabe 02/2015
Umfassender Schutz von IT-Infrastrukturen
mit Unified Threat Management (UTM)
Autoren: Thomas Fleischmann und Jonas Spieckermann, Sales Engineers Central Europe, WatchGuard Technologies GmbH
In den letzten Jahren
hat
sich
die
ITSicherheitslage grundlegend verändert. Die
Zahl der potenziellen Gefahrenquellen für
Unternehmen und Behörden ist heute sowohl
in quantitativer und in qualitativer Hinsicht
enorm gestiegen. Die Angreifer gehen im Vergleich zu früher bei der technischen Umsetzung äußerst raffiniert ans Werk.
D
ie Bandbreite reicht dabei von „Script
Kiddies“, die ihr Hacker-Können
spielerisch unter Beweis stellen, bis
hin zu kriminellen Organisationen, die es auf
Informationen jeglicher Art abgesehen haben.
In deren Visier sind vor allem Bankdaten,
Forschungsergebnisse oder anderes geistiges
Eigentum. Gleichzeitig betreiben staatliche
Organisationen in zunehmend größerem Umfang professionelle „Wirtschaftsspionage“,
um sich Wettbewerbsvorteile zu verschaffen.
Auch Webanwendungen, wie soziale Netzwerke, Online-Speicher oder Cloud-Services, fallen maßgeblich ins Gewicht, da einem
wichtigen Detail bei der Absicherung des Datenverkehrs nicht ausreichend Beachtung geschenkt wird: Der Zugriff darauf erfolgt primär über zwei Standard-TCP-Ports – Port 80
für HTTP und Port 443 für HTTPS. Das wissen auch die Angreifer und verwenden gezielt
diese beiden Ports. Denn die Masse an Datenströmen ist perfekt dazu geeignet, die Kommunikation zwischen dem infizierten System und dem Command-and­- Control-Server
des Angreifers zu verstecken. Die Angreifer
eine fortschrittliche, cloudbasierte SandboxLösung. Dabei handelt es sich um eine virtuelle Umgebung, in der der Code analysiert,
emuliert und ausgeführt wird, um sein Bedrohungspotenzial zu bestimmen.
DATA LOSS PREVENTION (DLP): Das
DLP-Abonnement beugt Datenschutzverletzungen vor, indem Text und gängige Dateitypen hinsichtlich sensibler Inhalte analysiert werden. Alle via E-Mail, über das Internet oder per FTP übertragenen Daten werden
automatisch überprüft.
Den Spitzenplatz besetzt zurzeit „Social Engineering“. Der Anschlag erfolgt indirekt
über einen „Umweg“, um das Wunschziel von
vertrauenswürdiger und somit oft schlecht geschützter Seiten zu erreichen.
Neben dem Social Engineering hat das Kapern
von vertrauenswürdigen und bekannten Webseiten extrem zugenommen. Anstatt den Schadcode
via E-Mail zu verbreiten,
wird die Malware hinter einem manipuliertem Link
versteckt. Beim Einschleusen wird zudem
immer häufiger auf
verschlüsselte HTTPS-Verbindungen
gesetzt, da auf
diese Weise die
Inhalte meist
ungefiltert im
aufrufenden
System ankommen.
www.wickhill.de
Das Leistungsangebot von WatchGuard basiert
auf einer „Best of Breed“-Strategie: Alle UTMLösungen vereinen die jeweils zuverlässigsten
Technologien des Marktes auf einer Plattform,
die selbst bei Aktivierung aller Funktionalitäten hohe Durchsatzraten garantiert. Im Sinne
maximaler Flexibilität und der Erfüllung hoher
Sicherheitsstandards lässt sich der Funktionsumfang jederzeit zielgenau erweitern.
Zudem bietet WatchGuard einen weiteren
Vorteil: WatchGuard Dimension. Dabei handelt es sich um eine cloudfähige Visualisierungslösung, die entscheidend zur passgenauen Absicherung des Netzwerkes beiträgt
und allen Anwendern der WatchGuard UTMund NGFW-Appliances zur Verfügung steht.
Dank zahlreicher Big-Data-Visualisierungsund Reporting- Werkzeuge lassen sich sicherheitsrelevante Probleme und Trends im
Handumdrehen identifizieren. Aufgrund der
detaillierten Einblicke steht der netzwerkweiten Umsetzung passgenauer Sicherheitspolicies nichts mehr entgegen.
Die Top-Bedrohungsszenarien
Der Angreifer späht zunächst Mitarbeiter oder
Dienstleister, die mit dem eigentlichen Ziel in
unmittelbarer Verbindung stehen, sorgfältig
aus. Ist deren Verhalten genau analysiert, erfolgt ein fokussierter Angriff auf die einzelne
Person, z.B. mittels personalisierter Phishing
E-Mails, die Malware auf dem persönlichen
System platzieren sollen. Teilweise rufen die
Angreifer das Opfer sogar an. Sie geben sich
gerne als Software-Firma aus, die im Auftrag
des Arbeitgebers eine Software-Installation
per Remote-Verbindung durchführen müssen. Danach werden erfolgskritische Daten
gestohlen oder Malware auf den wichtigeren
Systemen des Unternehmens installiert, wie
im Jahr 2011 als das Sicherheitsunternehmen
RSA attackiert wurde.
Detection): Unerwünschte und gefährliche
E-Mails werden sofort und dauerhaft abgefangen.
Fazit – mit UTM gegen Gefahren
von innen und außen geschützt
sind so in der Lage, meist über einen langen
Zeitraum hinweg, das Verhalten der Malware
zu beeinflussen und weiteren Schadcode auf
dem System zu platzieren.
Um Schaden von Unternehmen abzuwenden,
die Hoheit über die Informationen zu behalten und um sich mit hochgerüsteten Gegnern
zu messen, bedarf es umfassender SecurityLösungen, wie sie WatchGuard z.B. mit der
Firebox zur Verfügung stellt.
Die WatchGuard Firebox / XTM
WatchGuard bietet über sein
UTM-Portfolio
vielfältige UTM-Dienste nach
dem Baukastenprinzip
an. Da sich diese individuell
kombinieren lassen, profitieren
Unternehmen
von
maßgeschneidertem
Schutz bei gleichzeitig hoher Performance.
Dazu gehören:
APT BLOCKER:
WatchGuard APT
Blocker nutzt das
Prinzip der Verhaltensanalyse, um
festzustellen,
ob
eine Datei bösartig
ist. APT Blocker identifiziert verdächtige Dateien und gibt diese an
APPLICATION CONTROL: Die Anwendungskontrolle ist eine wesentliche Komponente aller Sicherheitslösungen der nächsten Generation. Sie schützt das Netzwerk und
blockiert unproduktive und unerwünschte
Anwendungen, um sicherzustellen, dass Benutzer sich um die wirklich wichtigen Aufgaben kümmern.
INTRUSION PREVENTION SERVICE
(IPS): Durch das IPS-Abonnement ist das
Netzwerk umfassend vor Angriffen wie
Puffer-Überläufen, SQL Injections und
Cross-Site Scripting geschützt.
WEBBLOCKER: URL- und Inhaltsfilterung sind unerlässlich, wenn der Zugriff auf
Websites mit bedenklichen Inhalten oder Seiten, die ein Sicherheitsrisiko für das Netzwerk
darstellen, kontrolliert werden soll. Dazu zählen unter anderem bekannte Spyware- oder
Phishing-Websites.
GATEWAY ANTIVIRUS: Prüft den Datenverkehr in allen wichtigen Protokollen, um
Angreifer zu stoppen, bevor diese auf die Server gelangen und gefährliche Schadsoftware
ausführen können.
REPUTATION ENABLED DEFENSE:
WatchGuard XTM ist das einzige UTM-System auf dem Markt, das einen schlagkräftigen, Cloud-basierten Reputationsüberprüfungsservice bietet und damit schnelleres,
sicheres Surfen im Internet ermöglicht.
SPAMBLOCKER: Zuverlässige Erkennung
von Spam erfolgt mittels der branchenführenden RPD-Technologie (Recurrent Pattern
Unified Threat Management basiert auf dem
genauen Zusammenspiel vielfältiger Sicherheitsfunktionen nach außen und innen. Einerseits werden sowohl Quell-­
/ Ziel-IP-Adresse und Port gefiltert, als auch der Inhalt der
ausgetauschten Datenpakete einheitlich betrachtet und ausgewertet. Da alle Sicherheitsfunktionen gleichzeitig zum Einsatz kommen,
erhöhen sich Präzision und Analyse-Geschwindigkeit spürbar.
Andererseits ist auch zwischen internen Netzwerkbereichen die Anwendung der jeweiligen
Security-Services sinnvoll. Eine effektiv umgesetzte Netzwerksegmentierung inklusive
individueller Absicherung durch UTM-Systeme, verhindert die Ausnutzung von Sicherheitslücken, wie sie durch veraltete Software, ungepatchte Betriebssysteme, Drucker
oder VoIP-Systeme sowie mitgebrachte USBSticks von Mitarbeitern oder durch deren eigene Endgeräte entstehen.
Die ganzheitliche Herangehensweise, eine intuitive Benutzeroberfläche, die Auffälligkeiten in Echtzeit anzeigt und die Steuerung der
einzelnen Sicherheitsfunktionen per Mausklick ermöglicht, sorgt für einen leichteren
Arbeitsalltag der IT-Administratoren.
Daneben sind UTM-Lösungen hinsichtlich
Anschaffungs-, Unterhalts- und Betriebskosten deutlich günstiger als verschiedene
spezialisierte Systeme (Spezialized Security Appliances), die meist separat unterhalten
werden müssen.
Mit UTM werden potenzielle Angriffe sofort
am zentralen Zugang erkannt und Übergriffe im Idealfall umgehend verhindert.
Lesen Sie hier das vollständige
WhitePaper:
www.watchguard.com/de/wgrd-international/resources
Wick Hill Guardian
16
Ausgabe 02/2015
EVENTRÜCKBLICK
EVENTRÜCKBLICK
Wick Hill Hausmesse 2015
CeBIT 2015
Rundum gelungener Messetag in Hamburg
Die Wick Hill Hausmesse 2015 war auch in
diesem Jahr ein voller Erfolg. Den entsprechenden Event-Rahmen lieferte das altehrwürdige
Curio-Haus in Hamburg. Mehr als 450 Gäste
fanden sich dort ein, um sich über die neuesten
Entwicklungen bei Wick Hill und über die aktuellen Security-Produkte der Hersteller am Stand
oder in zahlreichen Vorträgen zu informieren.
E
röffnet wurde die Hausmesse durch Herrn Dirk Wollberg, Major Account Manager Utilities beim Platin-Partner
Fortinet. In seiner Keynote ging
Wollberg auf die Herausforderungen ein, die sich durch Digitalisierung und Industrie 4.0 ergeben.
Direkt nach der Keynote konnten sich die Teilnehmer im Rahmen des umfangreichen Vortragsprogramms mit innovativen Lösungen unter anderem
zu den Themen Remote Administration, Endpoint
Security, Compliance oder Advanced Persistent
Threads vertraut machen. Den Höhepunkt bildete zur Mittagszeit eine Live-Hacking-Demonstration mit Alexander Dörsam von der Firma Antago.
Am Nachmittag folgte dann Teil zwei der Vor-
tragsreihe. Der Andrang zu den einzelnen Workshops war teilweise enorm. Abgerundet wurde der
Abend mit leckerem Barbecue im Innenhof und
Street Food im Kochlabor. Eine bunte Auswahl an
verschiedenen Cocktails sorgte zudem für eine lockere Atmosphäre beim Networking.
Wir bedanken uns herzlich bei allen Teilnehmern,
Herstellern und insbesondere bei unserem Platinpartner Fortinet sowie unseren Goldsponsoren A10, Link11, Tenable und
Thales.
Wir freuen uns
schon jetzt auf
die Hausmesse im
kommenden Jahr.
www.wickhill.de
Wick Hill Services
Aufgrund der sich ständig verändernden Erwartungen der Endkunden stehen ChannelPartner immer wieder vor großen Herausforderungen.
U
m diesen begegnen zu können, unterstützen die zertifizierten und kontinuierlich fortgebildeten Mitarbeiter mit
langjähriger Hersteller- und Projekterfahrung
Unternehmen bei der Umsetzung von kleinen
bis hin zu globalen Projekten. Wick Hill bietet
dabei flexible Module, die die Partner anhand
ihrer Bedürfnisse auswählen können: Diese
reichen von der Betreuung für einzelne Teilbereiche eines Projektes, wie z.B. ein besonderes
Produkt, bis hin zu der Realisierung weltweiter Rollouts, die ganzheitlich begleitet werden.
Services
• Pre-Sales
• Projektmanagement
• Professional Service
• Support
• Training
Pre-Sales-Service. Die Partner können sich
dabei auf ein profundes Wissen über Marktgegebenheiten und Mitbewerberprodukte verlassen, was ihnen bei der Umsetzung von Projekten jedweder Größe einen enormen Vorteil
verschafft. Zu den Pre-Sales-Services gehört
Folgendes:
• Demo Equipment
• Vorort oder Remote Demonstrationen
• Proof of Concept
• WLAN Site Survey
• Netzwerkdesign
SUPPORT
WORKSHOPS
Die Service-Angebote sind so angepasst, dass sie die Bedürfnisse
der Partner umfassend abdecken. Es
WEBINARE
enthält eine große Bandbreite von der
ersten Pre-Sales-Unterstützung bis hin
zur langjährigen Kundenbindung inkl.
der Möglichkeit, die Mitarbeiter der Partner und der Endkunden für die Produkte zu
schulen und zu zertifizieren.
Support
Das Wick Hill Support-Team gibt unseren Partnern die Möglichkeit, schnell
auf Probleme bei Kunden zu reagieren. Das Team setzt sich aus Produktspezialisten zusammen, die über
langjährige Herstellererfahrungen
CONSULTING und ausgezeichnetes Troubleshooting Know-how verfügen und somit
den Technikern der Partnerunternehmen kompetent zur Seite stehen. Zusätzlich können besondere Lösungen
TESTCENTER
bei Kunden realisiert werden, wenn z.B.
Kunden bestimmte Service Level Agreements fordern, die von den Partnern so
nicht umgesetzt werden können.
SUPPORT+
SCHULUNGEN
Das Wick Hill Team
gen oder das benötigte Know-how für einzelne Produkte noch erworben werden muss. Die
Nutzung der Dienstleistungen seitens Wick
Hill ist dabei vollständig flexibel und kann jeweils an die Anforderungen des Kunden angepasst werden. Das Portfolio besteht aus folgenden Leistungen:
• Migration der vorhandenen Systeme
• Installation und Konfigurationen kompletter Systeme
• Installation und Konfiguration einzelner Elemente (z.B. Application Control)
• Installationsworkshops
• Penetration Tests
• Vulnerability Scans
MARKETING
Training
Projektmanagement
Pre-Sales
• Ein performantes Team bestehend aus
Vertriebsinnen- und Außendienst
• Consultants mit langjähriger Erfahrung in
der Beratung und Betreuung von Kunden
Professional Service
• Projektleiter
• Zertifizierte System Engineers
Support
• Support-Spezialisten mit
langjähriger Erfahrung
Training
• Zertifizierte Trainer der Hersteller
Im Rahmen von Projektrealisierungen kann
der Professional Service ProjektmanagementAufgaben übernehmen. Das Leistungsspektrum beinhaltet sowohl die Erstellung von
Pflichten- und Lastenheften als auch die vollständige Übernahme des Projektmanagements.
Die Leistungen im Einzelnen:
• Pflichtenhefte
• Lastenhefte
• Projektpläne
• Projektleiter
• Reporting
Pre-Sales
Professional Service
Um seine Partner in die Lage zu versetzen, erfolgreich neue Projekte bei Kunden zu generieren, bietet Wick Hill einen umfassenden
Dank des Professional Service sind Partner
in die Lage, auch aufwändige Projekte zu realisieren, obwohl personelle Engpässe vorlie-
Das Schulungsangebot von Wick Hill rundet
das Dienstleistungsangebot ab. Dank entsprechender Hersteller-Zertifizierungen können die
Wick Hill Trainer ihr umfangreiches Wissen
an die Techniker der Partner weitergeben, um
dort benötigtes Wissen aufzubauen. Die Schulungen orientieren sich dabei stets am aktuellen
Bedarf der Kunden. Zur Wahl stehen entweder
offizielle Zertifizierungskurse oder individuelle Schulungen, die in den Räumlichkeiten der
Wick Hill bzw. des Partners / Kunden durchgeführt werden können. Da das Trainer-Team
der Wick Hill über fundierte Produktkenntnisse
und langjährige Erfahrung in der Projektrealisierung verfügt, wird sichergestellt, dass in den
Trainings nicht nur theoretisches
Wissen vermittelt wird. Vielmehr
liegt der Fokus auf dem praktischen Einsatz einer bestimmten
Technologie in der „echten“ Welt.
www.wickhill.de/schulungen
Wick Hill präsentierte
umfangreiches
Security-Portfolio
Der in Hamburg ansässige Value Added Distributor (VAD) Wick Hill stellte vom 16. bis 20.
März 2015 auf der CeBIT in Hannover namhafte Hersteller aus seinem breitgefächerten
Security-Portfolio vor. Die knapp 250 Quadratmeter Ausstellungsfläche standen dabei
unter dem Motto „Erleben Sie die ganze Welt
der IT-Security“.
N
etwork Security Anbieter Corero war
in diesem Jahr zum ersten Mal vertreten und zeigte auf dem Stand von Wick
Hill seine Lösungen zum Schutz vor DDoS-Angriffen. Zudem konnten sich die Besucher einen
Überblick über alle angebotenen IT Sicherheitslösungen verschaffen und sich mit den ProduktTeams der Partner austauschen. Daneben standen die Produktspezialisten von Wick Hill bereit,
um mit den Interessenten aktuelle Anforderungen an die IT-Sicherheit zu besprechen.
Helge Scherff, Geschäftsführer von Wick Hill
kommentiert: „Die CeBit war auch in diesem
Jahr ein voller Erfolg für uns. Die interessierten
CeBIT-Besucher haben am Stand von Wick Hill
keine Einzellösungen erhalten, sondern einen
vollständigen Überblick über die verschiedenen
Security-Bereiche. Denn von Netzwerksicherheit
über Endpoint und Mobile Security bis hin zur IT
Compliance bietet unser Hersteller-Portfolio jederzeit die richtige Lösung. Wir freuen uns schon
jetzt auf das kommende Jahr.“
Hersteller am Wick-Hill-Stand:
A10 Networks, Aruba Networks, Corero Network Security, Fortinet, Guidance Software,
Kaspersky, Macmon, ShoreTel,
Symantec, Trustwave, Vasco,
WatchGuard. www.wickhill.de
IMPRESSUM
Wick Hill Kommunikationstechnik GmbH
Sachsenfeld 4 · 20097 Hamburg
Geschäftsführer: Kenneth Ward, Helge Scherff
Eingetragen beim Amtsgericht Hamburg, HRB 53548
E-Mail:
[email protected]
Telefon: +49 (0)40 - 23 73 01-0
Fax:
+49 (0)40 - 23 73 01-80
Webseite: www.wickhill.de
Redaktion:
.S tefanie Frese (V.i.S.d.R.), Christian Reinecke
Waggener Edstrom Worldwide GmbH:
Andreas Rieger, Kurt Müller, www.waggeneredstrom.de
Autoren: Andreas Rieger, Kurt Müller, Alexander Dörsam,
Alexander Peters, Holger Suhl, Helge Scherff, Levin Merl,
Michael Haas, Christian Vogt, Dan Kaplan, Jan Valcke, Florian
Hartmann, Oliver Paul, Raymond Hartenstein, Ken Bechtel,
Guido Erroi, Thomas Fleischmann, Jonas Spieckermann
Art Direction: Christian Reinecke
Einsendungen:
Redaktionelle Beiträge werden gerne von der Redaktion entgegengenommen. Sie müssen frei sein von Rechten Dritter.
Sollten sie auch an anderer Stelle zur Veröffentlichung oder
gewerblichen Nutzung angeboten worden sein, so muss das
angegeben werden. Mit der Einsendung gibt der Verfasser die
Zustimmung zur Verwertung durch Wick Hill Kommunikationstechnik GmbH. Honorare nach Vereinbarung. Für unverlangt
eingesandte Manuskripte wird keine Haftung übernommen.
Auflage September 2015: 69.000 Stück
Druck: L.N. Schaffrath GmbH & Co. KG DruckMedien,
Marktweg 42-50, 47608 Geldern, Deutschland, www.schaffrath.de

Tag der offenen Tür - Fusspflegepraxis Elisabeth Wick, Wil

Kaspersky Internet Security 2016 Antiviren

EUROPEAN HILL RACE 6.-8. MAY 2016 ESCHDORF

wick-luftbefeuchter-erholsamer-schlaf

Festprogramm - MGV Frohsinn Neuenstein

PDF - Ursula Wick

Schuster, bleib bei deinem Leisten

JAZZFOTOGRAFIE IN BREMEN

Senior Information Security Incident Manager (w/m)