Sicherheit
22.03.2016
Aktuelle Bedrohungen
1. Teil: „RSA kämpft gegen Cybercrime as a Service“

RSA kämpft gegen Cybercrime as a Service

Autor:
CybercrimeCybercrimeCybercrime
Fotolia / Mikko Lemola
Unternehmen sehen sich immer härteren Cyberattacken ausgesetzt. Die Angreifer feilen ständig an neuen Einbruchsmethoden, verfügen über Geld und sind international organisiert.
Auch Gurus können irren: 2008 sagte Verschlüsselungs-Legende Bruce Schneier großen Sicherheitskonferenzen wie der RSA Conference ein baldiges Ende voraus. Das Gegenteil ist eingetroffen. Vergangenes Jahr verzeichnete die jährlich stattfindende RSA-Konferenz in San Francisco mehr als 33.000 Besucher, etwa 500 Aussteller waren dort mit Ständen vertreten. Damit ist dieses Zusammentreffen von Sicherheitsexperten die größte Security-Konferenz weltweit.
Woran liegt es, dass die RSA-Konferenz in San Francisco nach wie vor riesigen Zulauf hat? Die Antwort ist einfach: Das Ausmaß der Cyberattacken durch organisierte Kriminalität und die Aktivitäten vieler Regierungen ist inzwischen so erdrückend, dass sich die Unternehmen zwangsläufig bemühen müssen, mehr über effiziente Gegenmaßnahmen und über Präventionsmöglichkeiten zu erfahren.

Cybersecurity-Trends

Auf einer der kleineren Konferenzen, die RSA während des ganzen Jahres rund um den Globus veranstaltet, zeigte Rashmi Knowles, Chief Security Architect Europa, im November in Abu Dhabi, wie sich die Bedrohungslandschaft (Threat Landscape) aus RSA-Sicht darstellt.
Man müsse zum Beispiel wissen, dass Sicherheit für die Mitarbeiter eines Unternehmens etwas Unterschiedliches bedeuten kann, je nach Erfahrung, Know-how oder Position. Die Identität, die einer Person von den für das Identitätsmanagement Zuständigen innerhalb einer Organisation oder eines Unternehmens zugeschrieben wird, ist laut Knowles ein zentraler Angriffspunkt für Attacken auf Netzwerke und Infrastruktur.
2. Teil: „Cyberkriminelle sind international organisiert “

Cyberkriminelle sind international organisiert

Anstelle einzelner, oft jugendlicher Hacker mit wenig Erfahrung ist die Bedrohungslandschaft heute durch erfahrene Einzelpersonen und Organisationen gekennzeichnet, die ständig an neuen Einbruchsmethoden feilen, über Geld verfügen und international organisiert sind. Knowles unterteilt sie in drei Gruppen.
  1. Nicht staatliche Akteure wie Terroristen (zum Teil von Regierungen unterstützt) oder engagierte Hacker-Gruppen, die gegen das „Establishment“ agieren.

  2. Einzelne Kriminelle mit wenig Know-how und organisierte Kriminalität mit ausgearbeiteten Supply Chains und mit etablierten Verkaufsmethoden für gestohlene Daten.

  3. Staatliche Akteure wie Regierungen sowie die Verteidigungsindustrie. Sie sind an Sabotage in Ländern interessiert, die als feindlich eingestuft werden, und an klassischer Industriespionage.
Knowles verweist auf die unterschiedlichen Datentypen, die zum Objekt der Begierde werden. Bei sogenannten Custodial Data (Depotdaten) handelt es sich um Daten von Personen, die bei Behörden, im Gesundheitswesen oder bei Banken und Versicherungen gespeichert werden. Werden solche sensi­blen Daten in größerem Ausmaß gestohlen – zum Beispiel Zehntausende Kreditkarteninformationen –, wird versucht, sie zurückzuverkaufen oder sie landen auf einem der Schwarzmärkte für solche Daten.
Top 10 Cybersecurity-Probleme
  1. Die Annahme, dass das eigene Unternehmen noch nicht gehackt wurde
  2. Es fehlen Gegenmaßnahmen für den Ernstfall
  3. Es fehlt an einem wirksamen Bedrohungsmanagement
  4. Das Management der Cybersecurity-Programme ist nicht tagesaktuell
  5. Es werden geografisch begrenzte Firewalls eingesetzt
  6. Mangelhafte Anwendungsentwicklung
  7. Schwaches Identitätsmanagement
  8. Zu wenige Maßnahmen zur Verhaltensänderung der Mitarbeiter
  9. Cybersicherheit wird nur als IT-Aufgabe gesehen
  10. Unzureichende Kommunikation auf Leitungsebene                    
Tabelle öffnen
Handelt es sich um den Diebstahl von geistigem Eigentum, dann sind in der Regel Unternehmen mit ihren geheimen Entwicklungen und ihrem speziellen Know-how betroffen. Von Interesse für Konkurrenten oder andere Staaten können auch die Geschäftsstrategien sein, zum Beispiel bei geplanten Expansionen oder beim Eintritt in neue Märkte, sowie Informationen über Lieferanten, Absatzkanäle oder Gewinnspannen.
Zu erwähnen ist ferner die über IT angestoßene Sabotage von Infrastruktureinrichtungen, vor allem der Öl- und Gas-industrie. Zu den wenigen bekannt gewordenen Fällen zählt der Versuch, die iranischen Atomreaktoren durch einen Software-Angriff mit Stuxnet zu beschädigen. Für RSA gehören hierzu auch Internetangriffe auf die kritische nationale Infrastruktur eines Landes – von Industrien über Telekommunikations- und Internetrechenzentren bis hin zu Verkehrs­anlagen.
  • Amit YoranAmit YoranAmit Yoran
     
    Amit Yoran: Im Interview mit com! spricht der RSA-President über die Entwicklungen in der Cyberkriminalität und wie sich Unternehmen dagegen wappnen können.
    Quelle:
    Wiehr
Knowles bemerkt hierzu: „Wer sich über den Wert seiner Daten und ihre Gefährdung Rechenschaft geben will, sollte seinen Geschäftsansatz und mögliche Auswirkungen von Cyberangriffen genau abschätzen. Nur auf dieser Grundlage können eine Sicherheitsstrategie und Präventivmaßnahmen entwickelt werden.“ RSA könne hierbei mit seinen Consulting-Erfahrungen praktische Unterstützung leisten.
Zur Bedrohungslandschaft gehören für RSA Trojaner wie Zeus, die Informationen stehlen, DDoS-Angriffe, die Server und Netzwerke lahmlegen, und Ransomware, die Lösegeld erpresst. Oft gelangt solche Malware über eine Phishing-Attacke auf einen PC oder in ein Rechenzentrum, zum Beispiel, indem ein Mitarbeiter leichtfertig auf einen Link klickt.
Laut dem Verizon-Report „Data Breach Investigations“ von 2015 verwenden 95 Prozent aller Cyberattacken gestohlene Identitäten.
3. Teil: „Cybercrime as a Service immer brisanter“

Cybercrime as a Service immer brisanter

Wie weit sich die organisierte Cyberkriminalität bereits professionalisiert hat, kann man daran ablesen, dass es inzwischen eine Schattenwirtschaft im Internet gibt – und sich neben gehackten Identitäten viele Crime-taugliche Tools käuflich erwerben lassen.
Angeboten werden unter anderem Exploit Kits, also Werkzeugkästen für Malware, Botnetz-Infrastrukturen zur geografischen Verteilung von Infektionen, Callcenter-Dienstleistungen, Facebook-Accounts einschließlich dort zu platzierender Anzeigen, Bitcoin-Stealer oder DDoS-Attacken.
Mit gestohlenen Kreditkartendaten lässt sich die Identität des Opfers übernehmen. Es wird nicht nur Geld abgeschöpft, sondern die Identität dient auch als Eintrittskarte in Drittsysteme im Internet. Die Opfer merken oft erst einmal nichts, weil sich Profi-Täter zurückhalten und nicht sofort das ganze Konto plündern.
Wie RSA hervorhebt, verkompliziert sich die Situation mit einigen der neuen Trends weiter: Big Data, Internet of Things, Cloud und die Zunahme mobiler Geräte schaffen neue Gefahrenzonen. So werden heute bereits 40 Prozent aller betrügerischen Transaktionen über mobile Geräte abgewickelt.
Knowles nennt fünf Anhaltspunkte, die Unternehmen im Kampf gegen Cyberkriminalität beachten sollten:
  1. Es muss ein Bewusstsein für die Bedrohungen geben – sowohl technisch wie geschäftlich
     
  2. Es muss ein umfassendes Programm gegen Cyberangriffe entwickelt und getestet werden
     
  3. Es muss ein effektives Identitäts- und Zugangsmanagement vorhanden sein
     
  4. Es müssen wirksame Verhaltensregeln im Bezug auf Cyberangriffe im Unternehmen verankert werden
     
  5. Die Diskussion des Themas Cybersicherheit darf nicht nur in der IT-Abteilung stattfinden, sondern muss bis hinauf zur Managementebene geführt werden
RSA Security Logo
Das Unternehmen RSA
RSA Security ist ein auf IT-Sicherheit spezialisiertes Tochterunternehmen von EMC. Benannt ist es nach seinen drei Gründern Ronald L. Rivest, Adi Shamir und Leonard Adleman, von denen auch der Algorithmus kommt, auf dem das weit verbreitete RSA-Verschlüsselungssystem basiert. Seine wichtigsten Produkte sind die Kryptografie-Programmbiblio­thek RSA BSafe und das Authentifizierungssystem SecurID.
Bekannt ist das Unternehmen auch für die Sicherheitskonferenz RSA Conference, die einmal im Jahr in San Francisco stattfindet.
Tabelle öffnen
RSA-President Amit Yoran betont im Gespräch mit com! professional die mehrdimensionale Ausrichtung von RSA gegen die Cyberkriminalität: „Wir wollen uns nicht auf den Verkauf weiterer isolierter Produkte oder auf den Netzverkehr beschränken, sondern wir haben eine Vision, wie Security-Policy durchgeführt werden sollte. Wir verkaufen keine Next Generation Firewalls, sondern wir gehen ganzheitlich vor.“
4. Teil: „Identity Management kontrolliert Zugangskriterien“

Identity Management kontrolliert Zugangskriterien

In der Produktpalette von RSA spielt das Identitätsmanagement eine zentrale Rolle. Das hebt der Chief Security Architect Robert Griffin hervor.
IMG – Identity Management and Governance – müsse permanent kontrollieren, wer aufgrund welcher Kriterien Zugang zu bestimmten Applikationen, Datenspeichern oder Netzwerkdiensten erhalten hat. Die Verwaltung der Identitäten müsse auf einfache Weise über ihren kompletten Lebenszyklus geregelt werden.
15 Anzeichen für eine Cyberattacke
  1. Ungewöhnlicher externer Netzwerkverkehr
    (sowohl nach Art als auch nach Menge unüblich; Command-&-Control-Traffic)
     
  2. Außergewöhnlich viele Aktivitäten von privilegierten Nutzern
    (zum Beispiel aufgrund eines gehackten Benutzerkontos oder einer Insider-Attacke – Art und Umfang der betroffenen Daten müssen überprüft werden)
     
  3. Geografische Unregelmäßigkeiten
    (Verbindungen in kurzem Zeitabstand von mehreren IP-Adressen aus zu Re­gionen, zu denen keine Geschäftsbeziehungen bestehen)
     
  4. Logins lösen Warnhinweise aus
    (Gründe dafür sind etwa mehrere gescheiterte Logins in kurzer Zeit, was ein Indikator für einen Einbruchsversuch sein kann)
     
  5. Plötzlicher starker Anstieg des Lese-Volumens bei Daten­banken
    (Anzapfen der Datenbank)
     
  6. Großer Umfang an HTML-Antworten
     
  7. Große Anzahl von Aufrufen der gleichen Datei
    (bei Web­anwendungen typischerweise PHP-Dateien)
     
  8. Nicht übereinstimmender Traffic bei Port Applications
    (Verwendung unüblicher oder obskurer Ports)
     
  9. Verdächtige Registry-Änderungen
    (gelten als einer der erfolgversprechendsten Wege, um hartnäckige Angriffe zu etablieren; wahrscheinlicher Angriff auf Host-Ports)
     
  10. Anormale DNS-Anfragen
    (starker Anstieg von DNS-Anfragen; DNS-Anfragen an externe Hosts)
     
  11. Unerwartete Patching-Systeme
     
  12. Großes Datenvolumen in wenigen Ordnern
    (Anzeichen für möglicherweise drohenden Exportversuch)
     
  13. Ungewöhnlicher Webtraffic
    (simultane Browseraktivitäten; auffallender Umfang an gescheitertem Traffic)
     
  14. Profil-Änderungen bei mobilen Geräten
    (auf Austausch von Apps achten; unbestätigte Änderungen an den Geräten)
     
  15. Anzeichen von DDoS-Aktivität
    (häufig zur Ablenkung; zwingt oft auch Security-Tools in die Knie)
Tabelle öffnen

mehr zum Thema

10 Stationen

1.500 Händler bei der AVM-Roadshow

Der Fokus der Solution Tour 2024 von AVM lag auf den Themen Glasfaser, Wi-Fi 7 und Smart Home, und mehr als 1.500 Handelspartner folgten der Einladung des Herstellers an die insgesamt 10 Standorte in Deutschland. >>
Huawei Roadshow 2024

Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs

Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen. >>
Teldat-Tochter

Bintec Elmeg stellt den Betrieb ein

Auf LinkedIn teilt der Hersteller mit, dass Bintec Elmeg seine Aktivitäten in der DACH-Region einstellt. Die Sanierung sein gescheitert, so heißt es offiziell. >>
Cyberbedrohungen überall

IT-Sicherheit unter der Lupe

Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch. >>