Aufsehnerregende Sicherheitsbedrohungen wie Aurora oder Stuxnet prägten das vergangene Jahr und sorgten für Wirbel in Unternehmen wie Google, Symantecoder Night Dragon (Unternehmen aus der Öl-, Gas- und Chemiebranche). Diese Attacken richteten sich erstmals sehr zielgerichtet gegen bekannte Unternehmen, um dort Schaden anzurichten. Doch die Sicherheitsexperten wie Uri Rivner, Leiter für neue Technologien beim Verschlüsselungsspezialisten RSA, sind sich einig: Solche geplanten und präzisen Angriffe werden bald zum Alltag gehören.
So wird Malware von den Cyber-Kriminellen zunehmend auf spezielle Branchen oder Unternehmen zugeschnitten sein, um dort gezielte Angriffe auszuführen. Die Motivation der Angreifer ist dabei vielfältig. Sie reicht vom wirtschaftlichen Schaden und Imageverlust bis hin zur Aneignung sensibler Firmendaten. Dies ist durchaus keine Utopie, wie die bereits bekannt gewordenen Attacken auf namhafte Unternehmen zeigen.
Spear Phishing schleust Trojaner ein
Verteilt wird die Schadsoftware, die dann später die wertvollen Daten abzieht, bei diesen punktgenauen Attacken per Spear Phishing. Beim diesem gezielten Phishing geht die E-Mail nur an eine Handvoll Mitarbeiter des potenziellen Opfers, manchmal wird sie sogar nur an eine Person geschickt. Klassische Spam-Filter und Antiviren-Scanner sind chancenlos, der Angriff fliegt unter ihrem Radar ein. Inhalt der E-Mails: in jedem Fall ein Attachment, das den Trojaner einschleust.
Der Inhalt der Mails passt zum Tagesgeschäft des Empfängers: Im Fließtext der Nachrichten wird mal nach einem Angebot gefragt, mal kommt nach einem Messeauftritt ein Dokument per E-Mail, das sich auf ein angebliches Gespräch am Messestand des Opfers bezieht. Wahlweise nehmen sich die Angreifer auch den Stellvertreter vor, der in einer Out-of-Office-Nachricht vom eigentlichen Adressaten erwähnt wird. Informationen, mit denen sich die E-Mails anreichern lassen, finden sich zumeist frei zugänglich auf der Website des auszuspähenden Unternehmens - oder auf den Facebook-Seiten der betreffenden Mitarbeiter. Viele Mitarbeiter posten dort Details aus ihrem Berufsleben. Und nachdem viele Facebook-Nutzer auch ihnen Unbekannte als Freund hinzufügen, kommen die Angreifer problemlos an diese Details.
Egal welchen Weg die Datendiebe nehmen, eines ist klar: Die Angriffe zielen nicht mehr länger auf Netzwerke oder andere technische Einrichtungen. Sie nehmen vielmehr den Menschen aufs Korn. Selbst hochrangige Vertreter von IT-Security-Herstellern wie Uri Rivner bestätigen, dass mit Ausnahme von Anwendungs-Whitelisting gegen solche Attacken derzeit kein technisches Kraut gewachsen ist. Einzig Schulungen, die das Bewusstsein aller Mitarbeiter - nicht nur des Managements - schärfen, taugen zur Verteidigung. Wobei IT-Sicherheitsverantwortliche trotzdem beim Management einsteigen sollten. Heather Adkins, IT-Sicherheitsspezialistin bei Google, erinnert sich: "Nachdem wir von Aurora betroffen waren, hatte ich sehr schnell die ungeteilte Aufmerksamkeit des Managements. Es muss aber nicht immer erst etwas passieren. Oft genügt es, den Verantwortlichen von erfolgreichen Angriffen auf andere, vergleichbare Unternehmen zu berichten."
Hacker-Teams organisieren Angriffe
Foto: Ulli Ries
Angriffe wie die durch Aurora oder Night Dragon werden unter dem Begriff Advanced Persistent Threats (APT) zusammengefasst, also moderne, langlebige Bedrohungen. Langlebig deshalb, weil die infizierten Maschinen oft über Monate oder gar Jahre sensible Informationen zu den Hintermännern schleusen. Schenkt man den Sicherheitsspezialisten Glauben, werden APT das beherrschende Thema der kommenden Jahre. Denn Angriffe dieser Art versprechen den Cyber-Kriminellen schnell hohe Einkünfte. Entsprechend professionell gehen die Banden dann auch zu Werke. George Kurtz, CTO beim Antivirenspezialist McAfee, sagt dazu: "Hinter Advanced Persistent Threats stehen keine einzelne Hacker, sondern Hacker-Teams samt Projektmanager."
Wie gut diese Teams sind, vermag derzeit niemand zu beurteilen. Alexander Hutton, Forensik-Spezialist beim Dienstleister Verzion Business und Co-Autor des jährlich erscheinenden Reports "Data Breach Investitgations Reports", sagt: "Wir wissen nicht, ob Aurora und Night Dragon von der A-Mannschaft ausgeführt wurden oder ob die Reservetruppe am Werk war. Eventuell war es die B-Mannschaft, und wir entdecken die Angriffe der besseren Cyber-Gangster gar nicht."
Halbwegs einig sind sich die Experten, was die Bösartigkeit der APTs angeht. Mit Ausnahme von Grenzfällen wie Stuxnet rechnen sie nicht mit echter Zerstörung durch die Angreifer, indem sie beispielsweise Daten manipulieren oder löschen. Wobei die finanziellen Schäden zumeist ohnehin dramatisch genug sind. Der Forensiker Kevin Mandia, Chef des amerikanischen Dienstleisters Mandiant, hat in der Praxis nach Datenpannen jedenfalls noch keine Zerstörungen beobachtet. Lediglich Logfiles würden manipuliert, um die Spuren des Angriffs zu verwischen.
Mobile Malware im Kommen - auch Smartphones sind bedroht
Foto: Ulli Ries
Ist man sich bei den APT nicht sicher, ob hier nur ein neues Schlagwort für ein längst bekanntes Phänomen gefunden wurde, gibt es rund um mobile Malware keine Zweifel mehr: Sie ist "endlich" da. Nachdem Experten wie Mikko Hypponen von F-Secure jährlich aufs Neue das Jahr der Smartphone-Schädlinge erwarteten, ist es jetzt so weit. Insbesondere Googles Mobile-Betriebssystem Android ist ins Visier der Angreifer geraten.
Der Grund ist die Offenheit in der Android-Welt. Neben Googles eigenem App Store (Android Marketplace) können Anwendungen prinzipiell auch aus anderen Quellen heruntergeladen werden. Ob und wer bei den alternativen App-Sammlungen die Anwendungen überprüft, bleibt zumeist unbekannt. Apple ist hier deutlich rigoroser: In den App Store kommt nur, was zuvor auf Herz und Nieren geprüft wurde. Vermeintlich harmlose Apps, die de facto aber Schadsoftware verstecken, haben so kaum eine Chance.
In Googles Android Marketplace und vor allem in den alternativen App-Sammlungen tauchen immer wieder Apps auf, die im Hintergrund Daten ausspähen. Der Anwender glaubt, dass die neue Wetter-App ihm lediglich die Vorhersage der nächsten drei Tage anzeigt - dabei saugt die Software im Hintergrund den SMS-Speicher und das Adressbuch vom Gerät und schickt es an seine Schöpfer. Es sind bereits diverse solcher Schädlinge aufgetaucht. Kürzlich wurde eine Malware demonstriert, die Gespräche belauschen und darin übermittelte Kreditkartendaten ausmachen kann. Diese Daten werden dann dem Hintermann auf dem Silbertablett präsentiert. Glück im Unglück: Die mithörende Schadsoftware war nur ein Forschungsprojekt und kein realer Angriff.
Wie real die Gefahr einer Infektion durch bösartig modifizierte Apps ist, wurde kürzlich überdeutlich: Google entfernte über 20 - der Sicherheitssoftwarehersteller Lookout sprach sogar von mehr als 50 - Anwendungen, denen von Unbekannten eine Funktion zum Datenklau angeflanscht worden war. Es waren bereits veröffentlichte, legitime Anwendungen, die unter dem Namen eines anderen Publishers nach dem unfreundlichen Tuning erneut ihren Weg in den Marketplace fanden.
Problematisch im Zusammenhang mit mobiler Malware sind gleich mehrere Punkte: Smartphones sind insbesondere in Unternehmen immens weit verbreitet. Die Schädlinge kommen auf solchen Geräte also ohne Probleme an sensible Unternehmensdaten. Selbst der SMS-Speicher oder das Adressbuch können in den Händen eines Angreifers zur Waffe werden - weil sie als Sprungbrett für eine gezielte Attacke dienen können, wie sie zuvor beschrieben wurde.
Außerdem ist die Riege der Hersteller von Antivirensoftware gefordert. Die bislang erhältlichen Produkte hatten kaum reale Prüfungen zu bestehen, zu gering war das Aufkommen an Schadsoftware. Die bisher verwendeten Konzepte sind aber nicht zukunftssicher: Die signaturbasierte Erkennung hat sich auf dem Desktop-PC überlebt und wird auf dem Smartphone ebenfalls keine Chance mehr haben. Zudem müssen die Handy-Wächter mit den knappen Ressourcen - schwachbrüstige Prozessoren, limitierte Netzwerkbandbreite und vor allem wertvolle Akku-Laufzeit - sorgsam umgehen. Hier ist noch reichlich Platz für Innovationen.
Facebook, Twitter und Co. im Visier
Facebook dient Cyber-Gangstern nicht nur im Vorfeld der beschriebenen gezielten Attacken zur Recherche. Es ist - zusammen mit anderen Sozialen Netzwerken, allen voran Twitter - auch Tummelplatz für Betrugsversuche aller Art. In aller Regel spielen die Angreifer mit der Neugier oder Sensationslust der Nutzer, um sie zum Klick auf einen vielversprechenden Link zu motivieren: Mal werden vermeintlich iPads verlost, mal warten Fotos von sexy Frauen, ein andermal verspricht der Link ein Video, auf dem ein Unfall oder Selbstmord zu sehen ist.
Diese Links führen niemals zur angekündigten Sensation, sondern entweder zu Online-Formularen, die persönliche Daten abgreifen wollen. Oder sie leiten direkt auf eine manipulierte Website, die den Rechner des potenziellen Opfers nach nicht gepatchten Lücken in Anwendungen untersucht, um ihn so mit Malware zu verseuchen.
Next Generation Firewalls bieten mehr Schutz
Foto: Ulli Ries
Traditionelle Firewalls, die Datenverkehr nur nach IP-Port und Protokoll klassifizieren können, sind hier chancenlos. Für diese Modelle sieht der per Port 80 gestartete Betrugsversuch genauso aus wie harmloser Web-Traffic. Die Industrie hat sich des Problems angenommen und das Konzept der sogenannten Next Generation Firewalls (NGFW) erdacht. Diese Firewalls können einzelne Webanwendungen unterscheiden. Modelle wie die PA4020 von Palo Alto Networks erkennen einen Unterschied zwischen Facebook, Twitter, SharePoint oder Salesforce - auch wenn die Datenpakete alle über Port 80 (http) oder Port 443 (https) ins Unternehmensnetz rauschen.
Der Gründer von Palo Alto Networks, Nir Zuk, hat seinerzeit die jetzt so chancenlos aussehende Stateful Inspection Firewall mit erdacht. Heute lässt er kein gutes Haar mehr an seiner Erfindung: "Diese Art Firewall versucht, mit 15 Jahre alter Technik gegen die Bedrohungen von heute zu kämpfen." Obwohl das Konzept der NGFW nicht mehr neu ist, gingen die Analysten von Gartner Ende 2010 davon aus, dass lediglich ein Prozent des weltweiten Datenverkehrs durch NGFW-Modelle analysiert wird. Die älteren, zunehmend hilfloser werdenden Generationen werden offenbar nur langsam ersetzt. Angesichts der Bedrohungslage vielleicht sogar zu langsam.
Zuks neues Unternehmen ist jedoch nicht der einzige Hersteller, der moderne Firewalls im Programm hat. Kürzlich kündigte Netzwerkausrüster Cisco mit SecureX ein ähnliches Konzept an. SecureX ist eine Software, die aus den Cisco-ASA-Firewalls Next Generation Firewalls macht. Später soll SecureX auch für Router und Switche bereitstehen.
Außerdem ist die Software in der Lage, den jeweiligen Kontext zu erkennen: SecureX Software findet selbstständig heraus, welcher User gerade welchen Webdienst nutzt, ob er es mit einem von der Unternehmens-IT verwalteten Endgerät oder einem anderen Client tut und welche Art Netzwerk für den Zugriff dient. Anhand all dieser Informationen kann das System dann gezielter nach potenziell gefährlichen Datenströmen suchen.
Fazit: Security-Weiterbildung ist ein Muss
Auch die cleverste Firewall ist chancenlos, wenn unbedarfte Anwender jeden beliebigen E-Mail-Anhang öffnen. McAfee-Manager Kurtz fasst die Naivität nur halb scherzhaft zusammen: "Viele Anwender würden auch auf ’OK’, klicken, wenn die Bildschirmmeldung sagt: ’Jetzt wird dein PC infiziert.’" Unternehmen kommen also nicht umhin, neben ausgeklügelter Security-Hardware und -Software auch in die Schulung der eigenen Mitarbeiter zu investieren. Denn Angreifer nehmen längst auch das Ziel zwischen Monitor und Bürostuhl ins Visier - und beschränken sich nicht länger auf Lücken in Anwendungen und Betriebssystemen. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.