Sicherheit 2009: Raffinierte Attacken

NetzwerkeSicherheitVirus

Investitionen in Sicherheit bleiben 2009 ein notwendiges Übel. Die Angriffe werden raffinierter, die Gefahren zahlreicher. Helfen könnten hier neuartige Firewall-Konzepte.

Viele tun die ständigen Berichte über immer neue Varianten von Trojanern, über Angriffe auf Web-2.0-Angebot wie Facebook, Youtube oder Google Docs oder über Sicherheitslücken in weit verbreiteten Anwendungen als Panikmache ab. Zyniker sehen hinter den Meldungen gar das Werk von IT-Sicherheitsherstellern, die ihre Produkte an den Mann bringen wollen.

Doch eine allzu laxe Einstellung dem Thema IT-Sicherheit gegenüber ist auch in Zukunft der Garant für ernste Schwierigkeiten. Denn einer automatisierten Schwachstellensuche durch ein in Russland oder Brasilien kontrolliertes Botnetz ist es egal, ob sie eine schlecht gesicherte SQL-Datenbank in Deutschland, den USA oder in Südkorea findet – die Sicherheitslücke wird ausgenutzt, die Daten fließen ab. Der Angreifer kann hinterher in Ruhe entscheiden, ob die Beute für ihn einen (kommerziellen) Wert hat.

Mehr Trojaner durch Web 2.0
Angesichts der Entwicklungen im vergangenen Jahr 2008 sind sich die Experten von Firmen wie Symantec oder Websense einig, dass 2009 noch erheblich mehr Trojaner-Infektionen von Web-2.0-Seiten kommen. Nachdem diese Sites regelmäßig vom Arbeitsplatz aus genutzt werden, schwappt das Sicherheitsproblem ins Unternehmen.

Scharfschützen: Laut Cisco wird sich der Anteil der gezielten Spam-Attacken auf einzelne Opfer im kommenden Jahr verdoppeln. Bis zu ein Prozent des Spam-Volumens sollen auf so genanntes Spear Phishing entfallen. (Grafik: Cisco)

Mit traditionellen Firewalls, die Datenströme nur anhand des verwendeten TCP/IP-Ports und Protokolle sortieren, ist das Problem nicht in den Griff zu bekommen. Denn die bösartige Software nimmt genauso den Weg über Port 80 wie der normale HTTP-Traffic.

Neuartige Firewalls erkennen Anwendungen
Bisher verwendete Firewalls konnten daher den Zugriff auf die betreffende Website nur komplett blockieren. Dies geht angesichts des geschäftlich notwendigen Zugriffs auf diese Sites nicht mehr. Daher gehört neuartigen Firewalls wie den Modellen von Palo Alto Networks die Zukunft.

Diese Firewalls sind in der Lage, einzelne Anwendungen wie Facebook oder Google Docs zu erkennen und können daher entscheiden, ob sich die Web-Anwendung normal verhält oder ob Gefahr droht.

Patchen, patchen, patchen
Selbst die intelligenteste Firewall kann nie gegen alle erdenklichen Attacken absichern. Die Angreifer geben zumeist den Takt vor, die Anbieter von Sicherheitsprodukten reagieren. Von daher werden Angriffe aus dem Internet regelmäßig ihr Ziel – die Clients und Server hinter der Firewall – erreichen.

Daher ist es unabdingbar, dass die auf diesen Maschinen installierten Anwendungen stets auf dem neuesten Stand sind. Malware-Statistiken belegen ein ums andere Mal, dass ein großer Teil der erfolgreichen Angriffe sich auf Lücken in weit verbreiteten Anwendungen wie Acrobat Reader, Adobe Flash, Quicktime oder dem Internet Explorer konzentriert, für die es schon ein Jahr oder länger Updates der Softwarehersteller gibt.

Zu wenig PCs sind gepatcht
Angesichts einer Untersuchung der IT-Sicherheitsexperten von Secunia sind weniger als zwei Prozent aller PCs mit allen notwendigen Patches versorgt. Auf mehr als 45 Prozent der 20 000 untersuchten Clients wurden elf oder mehr verwundbare Anwendungen entdeckt – ein Paradies für Web-basierte Attacken. Die Zahlen sind allerdings mit Vorsicht zu genießen, da nicht bekannt ist, wie viele der Rechner von Unternehmen und wie viele von Privatanwendern betrieben und gepflegt werden.

Wirksames Patchmanagement setzt voraus, dass alle verwendeten Anwendungen bekannt sind. Nur so können die notwendigen Updates verteilt werden. Wie jeder IT-Verantwortlich weiß, tauchen auch in strukturiert betriebenen IT-Organisationen immer wieder unbekannte Anwendungen auf Clients auf. Von daher nutzt es nichts, nur die von der IT-Abteilung verteilten Applikationen zu patchen. Auch die nicht unterstützten Programme.

Phishing von Profis gegen Profis
Auch das Phänomen des Spear Phishings (spear, englisch für Speer) wird im kommenden Jahr stärker werden. Spear Phishing ist die Phishing-Variante der Profis: Anstatt nach dem Gießkannenprinzip Milliarden von Werbe-E-Mails an beliebige E-Mail-Adressen zu verschicken, senden Spear Phisher gezielt einzelne Nachrichten an ausgewählte Empfänger. Die Nachrichten sind gespickt mit zum Empfänger passenden Informationen, so dass er nicht misstrauisch wird und das anhängte – mit Malware infizierte – Attachment öffnet oder auf den Link in der Nachricht klickt.

Profiliert: Firewalls von Palo Alto Networks filtern Datenströme nicht nur anhand von IP-Port und Protokoll, sondern erkennen Web-Anwendungen anhand ihres Profils. (Grafik: Palo Alto)


So wurden beispielsweise Kunden des Internet Providers Network Solutions ausfindig gemacht und mit perfekt nachgeahmten E-Mails versorgt. Daher kamen die Nachrichten den Empfängern – hoch qualifizierte Mitarbeiter der Network-Solutions-Kunden – nicht merkwürdig vor. Nach Klick auf den Phishing-Link waren sie jedoch ihre Login-Daten los, so dass die Phisher Monate später unbemerkt DNS-Einträge modifizieren und so wiederum die Nutzer der Websites ihrer Opfer auf bösartige Seiten umleiten konnten.

Sicherheitsreport von Cisco
Cisco erwartet in seinem jährlichen Sicherheitsreport, dass Spear Phishing in Zukunft knapp ein Prozent des weltweiten Spams ausmachen wird – eine gewaltige Zahl angesichts der täglich verschickten 200 Milliarden Spam-Nachrichten. Wie gefährlich eine solche Attacke sein könnte, belegt das Beispiel des für die US-Regierung tätigen Beratungsunternehmens Booz Allen Hamilton.


Erkennt automatisch, wenn persönliche Daten wie Kreditkartennummern übers Netz gehen: die Firewall PA-4050 von Palo Alto Networks mit Data Leak Prevention (DLP). (Foto: Palo Alto)

Gegen derartig ausgefeilte Angriffe ist kein technisches Kraut gewachsen. Hier helfen nur Schulungen der Mitarbeiter, die das Bewusstsein schärfen.

Passend zur Aufklärung über neuartige Gefahren hat Microsoft eine Online-Anwendung namens Irbi (Internet Risk Behaviour Index) veröffentlicht, mit der jeder Web-Nutzer verschiedene Szenarien durchspielt, die ihm bei der täglichen Arbeit mit dem PC unterkommen können. Für eingefleischte Web-Profis bringt Irbi wenig Überraschendes, aber durchschnittlich bewanderte Mitarbeiter lernen durchaus Neues.
(Uli Ries/mt)

Weblinks
Cisco Sicherheitsreport
Symantec Sicherheitstrends
Websense
Secunia
Firewalls Palo Alto Networks
Microsoft Internet Risk Behaviour Index