IT-Security 2008: Viren, Spam, Herausforderungen und Innovationen

Verdoppelung des Spam-Aufkommens, Datenklau bei Telekom und Co., 200 Prozent mehr entdeckte Malware, 5000 neue Viren oder Viren-Derivate täglich. Malware, Phishing, Botnets und Datenpannen waren auch 2008 die beherrschenden Themen der IT-Industrie. Nie zuvor waren Cyber-Kriminelle so erfolgreich und so dreist. TecChannel hat zwölf bekannte Sicherheitsfirmen gebeten, das Jahr 2008 aus ihrer Sicht zusammenzufassen.

Die Befragten waren:

• Gert Hansen, Chief Software Architect und Mitgründer von Astaro,

• Kurt Denk, Director Solution Sales bei CA,

• Dr. Christoph Skornia, Technical Manager Central Europe bei Checkpoint,

• Robert Rothe, Gründer von Eleven

• Klaus Jetter, Country Manager DACH bei F-Secure

• Reiner Baumann, Regional Director für Zentral- und Osteuropa bei Ironport Systems

• Axel Diekmann, Managing Director des Kaspersky Lab Central Europe

• Hans-Peter Bauer, Vice President Central und Eastern Europe bei McAfee

• Alexander Peters, Global Client & Partner Services Manager bei Messagelabs

• Frank Schwittay, Regional Director Central Europe bei Trend Micro

• Monika Nordmann, Marketing Manager Central and Eastern Europe bei Utimaco

• Michael Neumayr, Regional Director Central Europe bei Websense

Viren, Spam und Botnets – was bedrohte uns 2008?

Wie schon in 2006 und 2007 wurde Malware 2008 immer professioneller und profitoptimiert eingesetzt. Während es früher noch reichte, regelmäßig die Endanwender mit frischen Signaturen zu versorgen, muss man inzwischen auch vor Spam, Phishing, Industriespionage, Trojanern und Angriffen schützen. Daher die Frage an unsere Experten, was sie für die größte Herausforderung 2008 darstellt.

Gert Hansen, Astaro: Spam war auch 2008 weiterhin ein Problem, vor allem eines, das die Produktivität in Firmen negativ beeinflusst hat. Sicherheitsrisiken durch IM und P2P Applikationen haben als neue Bedrohung in 2008 an Bedeutung gewonnen. Durch steigende Nutzung von Web-2.0-Mechanismen wie AJAX und Nutzung von HTTPS wird Scanning von Webtraffic immer wichtiger.

Kurt Denk, CA: Die Dynamik bei Umstrukturierungen setzte IT-Abteilungen vielfach unter Zugzwang. Die zeitnahe Umsetzung von veränderten Berechtigungen und Zugriffsrechten konnte nicht immer fehlerfrei gewährleistet werden.

Dr. Christoph Skornia, Checkpoint: In 2008 wurde ganz deutlich, dass sich die Bedrohungsszenarien nachhaltig verändern. Während der Großteil der Bedrohungen in den vergangenen Jahren entweder auf Aufmerksamkeit für den Angreifer oder Schäden durch Betriebsbeeinträchtigungen abzielte, geht es jetzt vermehrt darum, an vertrauliche Daten zu gelangen, ohne Aufmerksamkeit zu erregen. Denn die angezapfte Datenquelle soll ja möglichst lang am Sprudeln gehalten werden.

Robert Rothe, Eleven: Die drei größten Herausforderungen lagen im fortgesetzten Spam-Wachstum, in der zunehmenden Nutzung legitimer Infrastrukturen zum Spam- und Malware-Versand und in einer rasanten Zunahme vireninfizierter Massen-E-Mails. So hat sich das Spam-Volumen im Jahresverlauf gegenüber dem bisherigen Rekordstand vom Dezember 2007 nochmals verdoppelt. Nach der Abschaltung des Spam-Hosts McColo im November ging das Spam-Volumen zwar dramatisch – um mehr als 60 Prozent – zurück, mittlerweile steigt das Aufkommen jedoch wieder. Wir rechnen damit, dass spätestens im 1. Quartal 2009 das Ursprungsniveau wieder erreicht sein wird, wenn die Spammer ihre Infrastruktur wieder aufgebaut haben.

Klaus Jetter, F-Secure: Die Gesamtmenge der in den vergangenen 21 Jahren entdeckten Malware hat sich im vergangenen Jahr um 200 Prozent erhöht, und Schadsoftware hat 2008 sogar um 450 Prozent zugenommen. Besonders bedenklich ist in diesem Zusammenhang, dass immer mehr Cyberkriminelle mit ihren Machenschaften Erfolg haben und schwer zu fassen sind. Langfristig wird die größte Herausforderung darin bestehen, die wahren Übeltäter, also die Cyber-Kriminellen, die hinter den Attacken stehen, zu überführen und sie für ihre digitalen Straftaten vor einem realen Gericht zur Rechenschaft zu ziehen. Aus diesen Gründen spricht sich F-Secure für eine Internetpolizei nach dem Vorbild von Interpol aus.

Reiner Baumann, Ironport: Im Jahr 2008 verzeichnete unser Threat Operations Center eine 90-prozentige Steigerung der Internetbedrohungen, die von legitimen, aber gehackten Domains ausgingen – das sind doppelt so viel Vorfälle wie im Jahr zuvor. Zudem überschwemmte 2008 eine enorme Spam-Flut mit bis zu 200 Milliarden Nachrichten pro Tag die Mailboxen der PC-Nutzer. Auch nach dem kürzlichen Einbruch durch das Ausschalten vom Provider McColo sind die Spam-Volumen wieder deutlich angestiegen und tragen dazu bei, dass über 90 Prozent aller weltweit verschickten E-Mails heutzutage Spam sind.

Datenlecks und Social Networks – bekannte Szenarien, neu definiert

Axel Diekmann, Kaspersky: Eine der größten Herausforderungen stellte und stellt die Konsolidierung der Cyber-Kriminellen dar. Im kriminellen Untergrund herrscht mittlerweile Arbeitsteilung, sodass Malware-Autoren zum einen sehr effektiv arbeiten können, zum anderen für die Strafverfolgung nur schwer zu fassen sind. Cybercrime ist mittlerweile ein wichtiger Geschäftszweig der Unterwelt, und mit Computerschädlingen lässt sich auf vielfältige Weise Geld verdienen. Die andere große Herausforderung, die uns auch im neuen Jahr weiterhin beschäftigen wird, ist der rasante Anstieg von Malware: In unserer Signaturdatenbank haben wir mittlerweile über 1,4 Millionen Signaturen, täglich erreichen uns über 5000 neue Viren beziehungsweise Varianten bekannter Schädlinge. Dieser Flut Herr zu werden, bleibt eine der größten Herausforderungen.

Hans-Peter Bauer, McAfee: Die größten Herausforderungen der IT-Sicherheit bei Unternehmen lagen im Bereich Datenverlust. 2008 gab es ziemlich spektakuläre Fälle von Datenmissbrauch, etwa bei der Deutschen Telekom, bei Kika und bei staatlichen Behörden nicht nur in Deutschland, sondern auch im Ausland. Vertrauliche Daten vor dem Zugriff unberechtigter Dritter zu schützen, war und ist nach wie vor eine der größten Aufgaben von Unternehmen.

Alex Peters, Messagelabs: Insbesondere für kleine und mittelständische Unternehmen gibt es noch sehr viel Nachholbedarf, sensible IT-Ressourcen abzusichern – sowohl im Sinne von Schutz vor Datenverlust oder Missbrauch, aber auch im Sinne von der Verfügbarkeit kritischer Systeme und Daten. Leider gab es 2008 nur allzu viele Beispiele für den leichtsinnigen Umgang mit sensiblen Daten, und diese zeigten auch klar die Notwendigkeit, die rechtlichen Rahmenbedingungen in Bezug auf Datenschutz und Datenverlust zu optimieren.

Frank Schwittay, Trend Micro: Aus Sicht von Trend Micro war im Sicherheitsbereich die größte Herausforderung die Vielzahl an Malware. Aufgrund des exponentiellen Anstiegs in den letzten Monaten und Jahren mussten neue Lösungen gefunden werden, um der unglaublichen Anzahl und dem Variantenreichtum Herr zu werden.

Monika Nordmann, Utimaco: 2008 war das Jahr von Datenklau und Datenschutzpannen. Allein bei T-Mobile gingen bekanntermaßen 17 Millionen Kundendaten verloren. Presseberichten zufolge kursieren illegal rund 4000 Datensätze von Telekom-Kunden, angereichert mit Angaben zu Bankverbindungen und Geburtsdaten. Die Vielzahl von Datenskandalen in diesem Jahr hat die Bundesbürger für das Thema Datensicherheit sensibilisiert.

Michael Neumayr, Websense: Wir haben in diesem Jahr wiederholt E-Mail-Kampagnen aufgespürt, die Social Networks missbrauchen. Facebook-Mitglieder etwa erhielten von der glaubwürdig wirkenden Domain eine Mail mit dem Hinweis, dass eine Schulfreundin sie als Kontakt aufnehmen möchte. Der Empfänger der Mail wurde aufgefordert, den Kontaktwunsch zu bestätigen und sich ein angehängtes ZIP-File mit dem Bild der angeblichen Freundin anzuschauen. Wer darauf reinfiel, erhielt statt eines Fotos einen Trojaner auf seinen Rechner. Verstärkt sind Cyber-Kriminelle aber auch dazu übergegangen, bekannte und als vertrauenswürdig geltende Webseiten zu „besetzen“ und als Startrampe für ihre Malware zu nutzen.

Innovationen und Gegenmaßnahmen – wie schützen wir uns?

Glücklicherweise haben sich 2008 nicht nur die Malware-Industrie, sondern auch die Sicherheitshersteller weiterentwickelt. Neue Herausforderungen waren unter anderem der verstärkte Einsatz von Instant Messaging, Social Networks oder gesetzliche Vorgaben zum Datenschutz. Vor allem Letzteres wurde dieses Jahr durch viele Datendiebstähle und -pannen einer breiten Masse der Bevölkerung erstmals bewusst. Wir fragten daher unsere Experten nach den Sicherheits-Innovationen in 2008.

Gert Hansen, Astaro: Die Kontrolle von IM und P2P-Applikationen (wie etwa Skype), welche ungefiltert wegen des uneingeschränkten Datenaustauschs ein Sicherheitsrisiko darstellen, gehören seit 2008 zu den Standardaufgaben einer Sicherheitslösung. Die E-Mail-Verschüsselung, mit den Standardverfahren OpenPGP und S/MIME zentral auf dem Gateway, hat sich 2008 weiter verbreitet, vor allem durch großflächigen Einsatz in vertikalen Märkten, wie beispielsweise Automobilindustrie, Energieversorger oder Kreditkartenunternehmen.

Kurt Denk, CA: Bewährte Identity-Management-Lösungen wurden um die Komponente Rollen-Management erweitert. Für unsere Kunden bedeutet dies einen großen Schritt in Richtung automatisierter Compliance-Prozesse mit dem Ziel, Compliance-Vorgaben und interne Sicherheitsanforderungen höchsteffizient zu erreichen.

Dr. Christoph Skornia, Checkpoint: Deutliche Fortschritte gab es im Bereich der koordinierten Aktionen zwischen Netzwerk- und Endgerätesicherheit, welche mittelfristig zu tragfähigen Lösungen für DLP und dem ganzen Spannungsfeld von Fremdgeräten in geschützten Netzen führen werden. Parallel dazu gab es, getrieben durch die vmsafe-Initiative, im Bereich Sicherheit für virtuelle Systeme signifikante Entwicklungen. Diese werden voraussichtlich im nächsten Jahr in konkreten Produkten münden.

Robert Rothe, Eleven: Bedeutendste Innovation 2008 war die Entwicklung integrierter E-Mail-Sicherheitslösungen, welche zunehmend die bisher üblichen Einzellösungen, zum Beispiel Virenschutz und Spam-Filter, ablösen und Unternehmen einen umfassenden sowie lückenlosen Schutz ihrer E-Mail-Infrastruktur bieten. Vor dem Hintergrund der Vermischung verschiedener Bedrohungen wie beispielsweise die spamartige Verbreitung von Viren und Trojanern und des Trends, dass eine Malware-Art mehrere Gefahren birgt wie zum Beispiel die Wirkung von Spam-Wellen als DoS-Attacken, sehen mehr und mehr Unternehmen die Notwendigkeit, ihre E-Mail-Infrastruktur in ihrer Gesamtheit zu schützen und die E-Mail-Kommunikation zu jedem Zeitpunkt sicherzustellen. Statt separat agierender AV- und Anti-Spam-Maßnahmen geht es daher zunehmend um umfassenden und lückenlosen Schutz der gesamten E-Mail-Infrastruktur.

Klaus Jetter, F-Secure: Eine wichtige Errungenschaft war sicherlich die Integration von Deep Guard 2.0 in unsere Produktlinien. Diese verlagert Teile unserer Sicherheitstechnologien in unser cloud-basiertes Echtzeit-Schutznetzwerk. Damit können wir noch schneller auf etwaige Bedrohungen reagieren und benötigen weniger Rechenleistung auf dem zu schützenden System. Vertrauenswürdige Applikationen werden ausgeführt, verdächtige Applikationen geblockt und unbekannte Applikationen einer Verhaltensanalyse unterzogen. Unser Ziel ist es, die eigene Bestandssammlung vertrauenswürdiger Applikationen im Jahr 2009 zu verzehnfachen. Eine große Datensammlung vertrauenswürdiger Applikationen ermöglicht es unserer Virenschutzsoftware, deutlich aggressiver gegen die stark wachsende Anzahl unbekannter gefährlicher Bedrohungen vorzugehen und die Anwender davor zu schützen.

Reiner Baumann, Ironport: Um den Angriffen aus dem Internet gerecht zu werden, haben wir unseren Reputationsdienst SenderBase bereits vor drei Jahren um die Bewertung von Websites erweitert. Wir denken, dass Web-Reputationsdienste entscheidend sind, um einen wirksamen Schutz in Echtzeit vor infiltrierten Websites zu bieten, ohne dabei die Geschwindigkeit der Datenübertragung spürbar zu beeinträchtigen. Mit der neuen Exploit-Filtertechnologie bieten unsere Web Security Appliances auch Schutz vor Malware, die von vertrauenswürdigen, jedoch infiltrierten Webseiten ausgehen – selbst dann, wenn die meist legitimen Websites von URL- und signaturbasierten Filtern nicht als kompromittiert erkannt werden oder noch nicht gelistet sind. Der Exploit-Filter nutzt dazu unsere Web-Reputationstechnologie und das Echtzeit-Cloud-Scanning. Mit dieser Technologie werden nur die tatsächlich infizierten Teile einer Webseite geblockt, die unbedenklichen Bereiche bleiben jedoch zugänglich.

Axel Diekmann, Kaspersky: In diesem Jahr wurden zahlreiche neue Security-Technologien eingeführt, unter anderem die Schwachstellenanalyse, die den Nutzer vor potenziellen Einfallslöchern warnt. Aber auch Host-Intrusion-Prevention-System (HIPS-)Technologien haben sich in diesem Jahr etabliert. Zudem werden von aktuellen Security-Programmen auch die persönlichen Daten der Anwender besser geschützt – ohne Frage ein wichtiger Teil des Sicherheitspakets, sowohl für Privatanwender als auch für Firmen.

Lang bekannte Technologien erhalten wieder Aufwind

Hans-Peter Bauer, McAfee: Keine Innovationen aus technischer Sicht, vielmehr Innovationen bei der Integration: Nur integrierte Sicherheitslösungen bieten, übrigens auch laut Analysten wie Gartner, wirtschaftlichen und kosteneffizienten Schutz. Das hat zu einer Konsolidierung in der IT-Security-Industrie und zum Aussteigen einiger Nischenanbieter geführt.

Alex Peters, Messagelabs: Innovationen gab es recht viele in diversen Security-Bereichen, aber wenige, die etwas wirklich komplett Neues und Innovatives lieferten. Die innovativsten Lösungen meiner Meinung nach haben gezeigt, welche Szenarien man auch mit externer Infrastruktur (also in Form von „Cloud Computing“) abdecken kann – wie zum Beispiel externe Storage-Netzwerke oder virtuelle, redundante, interne E-Mail- und Groupware-Infrastruktur. Bereiche, bei denen man in den Jahren zuvor gar nicht daran gedacht hat, sie nicht als Inhouselösung zu implementieren.

Innovativ finde ich deshalb auch die Einsicht von IT-Managern, dass es letztlich nicht um Technologien geht, sondern um praktische und wirtschaftlich sinnvolle Lösungen, welche Unternehmen dabei unterstützen, die Produktivität zu steigern. Die verstärkte Akzeptanz von Managed Security ist für mich ein integraler Bestandteil dieser Einsicht.

Frank Schwittay, Trend Micro: Die größten Innovationen sind im Softwarebereich die „in-the-cloud“-Techniken. Trend Micro hat sich seit 2006 in diese Richtung entwickelt, Datenbanken angelegt, Korrelationsmöglichkeiten und -notwendigkeiten getestet und implementiert. Das Smart Protection Network ist nun eine ausgefeilte „in-the-cloud“-Technik, die unsere Kunden zuverlässig absichert. Natürlich können wir noch nicht gänzlich auf die klassischen Pattern verzichten, aber wir haben bereits als Vorreiter einen guten Weg eingeschlagen.

Monika Nordmann, Utimaco: Die öffentlich bekannt gewordenen Sicherheitslecks sind nur die Spitze des Eisbergs. Wichtig aus unserer Sicht: Hierzulande ist endlich eine öffentliche Diskussion um die informationelle Selbstbestimmung der Bürger in Gang gekommen. Es war längst überfällig, dass die Politik das Thema endlich ernst nimmt. Utimaco weist schon seit Langem darauf hin, dass ein wirksamer Datenschutz dem Missbrauch vorbeugt. Dazu gehört auch mehr Transparenz durch Informationspflicht bei Datenschutzpannen. Die Möglichkeit dazu bietet sich mit der Novellierung des Bundesdatenschutzgesetzes. Um einen Datenmissbrauch wirksam zu verhindern, reicht allerdings die von der Bundesregierung geplante, ausdrückliche Einwilligung der Verbraucher zur Datenweitergabe nicht aus. Im Falle eines Datenmissbrauchs müssen auch die Unternehmen zur Verantwortung gezogen werden. Die Voraussetzung: Sie müssen zum sachgemäßen Umgang mit sensiblen Daten verpflichtet werden – die technischen Möglichkeiten in Form zuverlässiger Verschlüsselungstechnologien sind schon lange vorhanden.

Michael Neumayr, Websense: Websense hat in diesem Jahr die branchenweit erste Lösung zur Klassifikation von Web 2.0 Content und gleichzeitigem Schutz vor Malware auf den Markt gebracht. Mit Websense Web Security V7 und dem Web Security Gateway als Basistechnologie können Unternehmen Web-2.0-Technologien in ihrem Geschäftsalltag sicher nutzen, da die Mitarbeiter sowie unternehmenskritische Daten vor Risiken jeder Art abgesichert sind.

Web Security Gateway klassifiziert in Echtzeit bekannten und sich ständig ändernden Content, um zu entscheiden, ob eine Webseite sowie deren Inhalte sicher sind. Dazu wird der gesamte Content – und nicht nur die Webseite selbst – kategorisiert. Mit diesem abgestuften Ansatz lässt sich der Zugriff auf Webseiten so steuern, dass ein Zugang auf „sichere“ Elemente erlaubt ist und andere, als hochriskant eingestufte Inhalte nicht zugänglich sind. Diese völlig neuartige Lösung nutzt am Web-Gateway Identifikations- und Klassifikationstechnologien und schützt dabei in Echtzeit vor bekannten und ständig neuen Bedrohungen aus dem Internet.

Fazit: Wie immer, nur schlimmer

Eines wurde 2008 klar: Es ist endgültig Schluss mit großen Angriffen und Malware von Script-Kiddies. Die Malware-Szene ist erwachsen gewordenen und will Geld verdienen. Das kommt durch Spam und Botnets in die Kassen der Cyber-Kriminellen. Im Zuge der kommenden Wirtschaftskrise dürften aber auch gezielte Angriffe samt Industriespionage hoch im Kurs stehen. In jedem Fall sollte die IT-Sicherheit auch 2008 eins der primären Themen bleiben.

Die populärsten IT-Zwischenfälle in diesem Jahr waren keine Virenausbrüche, sondern Datenmissbrauch und Datenschutz. Tausende private Informationen wurden angesammelt, kombiniert und teilweise an zwielichtige Geschäftemacher verkauft. Wie viele noch in dunklen Kanälen gelandet sind, kann niemand sagen. Der Ruf jedes Unternehmens, das solche sensiblen Daten seiner Kunden verliert, setzt seinen Vertrauensvorschuss und die Reputation aufs Spiel. Daher könnten im nächsten Jahr vor allem Technologien rund um Data Leakege Prevention deutlich populärer werden und sich weiter etablieren.

Im zweiten Teil dieses Artikels haben wir unsere Experten einen Blick in die Kristallkugel werfen lassen. Was kommt 2009 auf uns zu? Wie werden sich die Bedrohungen entwickeln? Und vor allem: Wie überzeuge ich die Finanzabteilung, dass IT-Sicherheit ihr Geld wert ist? Die Antworten demnächst bei TecChannel. (mja)