IT-Sicherheit 2012: Aktuelle und künftige Security-Risiken in Unternehmen

2011 - Hacktivisten und Botnetze

Die Artenvielfalt von Angriffen auf einzelne Computer oder auf eine Unternehmens-IT ist vergangenes Jahr ständig weitergewachsen. Wir haben unsere Sicherheitsexperten befragt, was für sie die größten Herausforderungen in puncto Sicherheit 2011 waren?

Markus Hennig, Sophos / Astaro: "Das Jahr 2011 war durch aufmerksamkeitsstarke Internetattacken geprägt, die, unterstützt von der rasch steigenden Nutzung mobiler Geräte im Geschäftsleben, viele neue Plattformen anvisiert haben. Entsprechend sorgten immer mehr schlagkräftige "Hacktivisten"-Gruppen mit ihren virtuellen Firmeneinbrüchen für unschöne Schlagzeilen. Der Kampf gegen diese Gruppierungen steht seit einigen Monaten vermehrt im Fokus und ist lange noch nicht gewonnen - zumal die Aufmerksamkeit von Privatpersonen und Unternehmen aufgrund vermeintlich immer sichererer Systeme abgenommen hat. Hier galt es, die Trägheit zu überwinden und Administratoren für die vielfältigen Bedrohungen zu sensibilisieren."

Sascha Krieger, eleven: "Die Sicherheitslandschaft hat sich vor allem im Bereich des E-Mail-Schutzes 2011 spürbar verändert. Einen nicht unwichtigen Anteil daran hatte die Abschaltung des weltgrößten Botnets Rustock im März, woraufhin das weltweite Spam-Aufkommen um zirka 80 Prozent einbrach. Ende Mai war ein erster leichter Spam-Anstieg zu verzeichnen, und erst im August wuchs das Spam-Volumen wieder deutlich an. Das Niveau vor der Rustock-Abschaltung ist bis heute nicht erreicht. Das liegt jedoch weniger an den Verbreitungskapazitäten der Spammer, die ihre Botnet-Infrastrukturen weitgehend ersetzt haben.

Vielmehr lässt sich der dominierende Trend 2011 in drei Wörtern zusammenfassen: Qualität statt Quantität.

Egal ob Spam, Malware oder Phishing: Es geht weniger darum, möglichst große Mengen unerwünschter oder gefährlicher E-Mails zu versenden. Im Zentrum steht zunehmend das Ziel, E-Mails professioneller zu gestalten, um die Öffnungsrate deutlich zu verbessern. So machten beispielsweise die Viagra-Spammer, die von der Rustock-Abschaltung am stärksten betroffen waren, aus der Not eine Tugend: Statt mit eindeutigen Betreffzeilen für ihre Produkte zu werben, nahmen sie zunehmend populäre Ereignisse als Vorwand. Sie versprachen exklusive Meldungen oder Bilder in der Hoffnung, dass der Nutzer auf diese Weise auf eine Seite des Anbieters von Viagra & Co. gelangt und eher bereit ist, auch einzukaufen. Im Bereich Phishing war eine starke Regionalisierung zu beobachten. So wurden deutsche E-Mail-Nutzer vor allem mit falschen Nachrichten deutscher Banken oder Behörden attackiert, die auch in Deutsch verfasst waren. Damit steigt die Wahrscheinlichkeit, dass der Empfänger die Nachricht als echt empfindet. Ähnliche Trends lassen sich ebenso im Bereich Malware beobachten.

Zum Thema "Qualität statt Quantität" gehören auch sogenannte "Blended Threats": 2011 war gekennzeichnet von einer Zunahme von E-Mails, die mehr als einem Zweck dienten, beispielsweise Phishing und Malware-Verbreitung gleichzeitig. Auch bei der Art der Verbreitung gibt es Verschiebungen, wobei die Botnets ihre dominierende Rolle beibehalten haben. Gleichzeitig versuchen Online-Kriminelle jedoch zunehmend, E-Mail-Konten zu hacken, um über diese Spam abzusetzen. Verstärkt beobachten wir Phishing-Angriffe, die auf Zugangsdaten für E-Mail-Konten abzielen. Ähnliches gilt für Facebook- oder Twitter-Konten. Schutzmaßnahmen gegen Phishing sollten daher im Mittelpunkt jeder E-Mail-Sicherheitsstrategie stehen.

Auch wenn das Spam-Wachstum zunächst gestoppt scheint: Die massenhafte Verbreitung von Spam, Phishing und Malware bleibt das A und O der E-Mail-Kriminalität. Um profitabel zu sein, müssen diese E-Mails weiterhin in großer Zahl versandt werden. Allerdings scheint derzeit ein Niveau erreicht zu sein, das die Urheber dieser Kampagnen zufriedenstellt und ihnen die Möglichkeit gibt, durch professionellere Kampagnen die Öffnungsraten zu steigern."

Stefan Ortloff, Kaspersky Lab: "Die stark gestiegene Anzahl von mobilen Schädlingen, besonders für die Android-Plattform. Des Weiteren war 2011 das Jahr des "Hacktivism" und "APT" (Advanced Persistent Threat: gezielte, verdeckte Cyber-Attacke) mit der Entdeckung von "Duqu". Auch die Angriffe auf die SSL-Zertifikat-Infrastruktur durch DigiNotar und Comodo waren große Themen im vergangenen Jahr."

Toralv Dirro, McAfee: "Rückblickend waren dies sicher der konstante, große Zuwachs an Malware und deren technologische Weiterentwicklung. Im kriminellen Untergrund gab und gibt es einen Wettbewerb um Marktanteile zwischen mehreren Entwicklern von Crime Packs, die es Kriminellen mit wenig Technikverständnis erlauben, sich fortschrittliche Trojaner nach Bedarf zusammenzustellen. Entsprechend schnell werden neue Technologien und Features eingebaut. Dabei macht vor allem die inzwischen weit verbreitete Verwendung von Rootkit-Technologien Schwierigkeiten, insbesondere bei der Bereinigung. Bedenklich war außerdem der dramatische Zuwachs an Malware im Bereich Mobile."

Thomas Hemker, Symantec: "Die Menge der Schadcodes ist genauso gewachsen wie die Qualität einzelner Schädlinge. Wir haben pro Tag rund 1,8 Millionen neue Samples erfasst und zugleich mit "Duqu" einen mutmaßlichen Nachfolger von "Stuxnet" entdeckt. Beide Entwicklungen sind ein Beleg für die wachsende Qualität, der wir gegenüberstehen.

Cyber-Kriminelle gingen zielgerichteter vor, als das bislang der Fall war. Speziell Industrieunternehmen rückten dabei in den Fokus der Angriffe. Das primäre Ziel ist der Diebstahl von Know-how. Prominente Beispiele sind hier der Duqu-Trojaner und die Nitro-Attacken. Für 2012 erwarten wir, dass im Durchschnitt pro Angriff mindestens zehn Systeme betroffen sein werden.

Aber nicht nur größere Industriefirmen waren betroffen. Cyber-Kriminelle hatten zudem auch kleine und mittlere Unternehmen (KMU) verstärkt im Visier. Eine Symantec-Studie ergab, dass sich seit Anfang 2010 ganze 40 Prozent aller Cyber-Attacken gegen Firmen mit weniger als 500 Mitarbeitern richteten, wohingegen große Unternehmen nur in 28 Prozent der Fälle Opfer solcher Angriffe waren. Dies haben sich kleinere Unternehmen oft selbst zuzuschreiben, da sie die Bedrohungslage schlicht unterschätzen und einfachste Schutzmaßnahmen nicht berücksichtigen.

Mobiles Arbeiten, soziale Medien, die steigende Zahl von Anwendungen sowie die Vermischung privater und geschäftlicher Daten auf einem Gerät - all diese Entwicklungen bedeuteten 2011 vor allem eines: Es wurden neue Angriffsflächen für den wachsenden Schadcode geschaffen."

Raimund Genes, Trend Micro: "Die größten Herausforderungen für einen IT-Sicherheitshersteller wie Trend Micro waren die Sicherheitsrisiken, die durch die privaten Endgeräte im Arbeitsalltag sowie durch Virtualisierung und Cloud Computing entstanden sind. Dadurch wurde das bisherige Sicherheitskonzept des Perimeterschutzes obsolet. Wenn nicht mehr zu jedem beliebigen Zeitpunkt mit Sicherheit feststeht, wo sich unternehmensrelevante Informationen gerade befinden und wer darauf zugreifen kann und darf, muss ein neuer Sicherheitsansatz her, der nicht den Schutz der Geräte, sondern den der Daten in den Mittelpunkt stellt. Wir haben 2011 diesen Ansatz entwickelt und vorgestellt; außerdem sind schon erste konkrete Produkte verfügbar, die diesen neuen Ansatz realisieren. Im Kern geht es darum, Spionageabwehr zu betreiben und die schützenswerten Daten und Ressourcen mit Selbstverteidigungsmechanismen auszustatten."