computerwoche.de

Security

Cloud Computing für böse Zwecke

Im Kampf gegen Botnetze

09.11.2011
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Alle Posts des Autors Email:
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Alle Posts des Autors Email:

Tipps für Administratoren: Wie können sie ihre Systeme schützen?

Die Software schlägt Alarm.
Die Software schlägt Alarm.

Es ist schon schlimm genug für einen einzelnen Anwender, wenn er beispielsweise durch seine Security-Software darauf hingewiesen wird (Bild), dass sich auf seinem Rechner bereits ein solcher Bot befindet. Doch für Administratoren, die in Firmennetzwerken für sehr viele Client- und Server-Systeme zuständig sind, kann dieses Problem noch ganz andere Dimensionen erreichen. Phillip Wolf, Director Protection Labs bei Avira, erläutert dazu, dass für ein Firmennetz grundsätzlich andere Regeln gelten als für Privatrechner: Firmen tragen auch juristisch eine größere Verantwortung, so dass sie sich möglicherweise auch als "Mitstörer" strafbar machen könnten, wenn sie Sicherheitsmaßnahmen vernachlässigen. Was also sollen Administratoren und IT-Verantwortliche tun? Wolf rät zu folgender Vorgehensweise:

  • Administratoren müssen regelmäßig den Netzwerkverkehr überprüfen: Verbinden sich mehrere Rechner aus dem eigenen Netz auf einen eigentlich unbekannten beziehungsweise unwichtigen Server, so lohnt sich möglicherweise eine genauere Analyse des Traffics mit Hilfe von Netzwerk-Sniffer oder eine Untersuchung der betroffenen Rechner aufs Schädlingsbefall.

Candid Wüest, Senior Threat Researcher bei Symantec Security Response, ergänzt diese Vorschläge weiter:

  • Die modernen Command- und Control-Server (C&C, C2) lassen sich meistens über ganz normale HTTP-Anfragen erreichen. Deshalb funktioniert diese Kommunikation auch durch eine herkömmliche Firmen-Firewall. Aus diesem Grund ist der Einsatz der aktuellsten Sicherheitssoftware eine unbedingte Pflicht.

  • Alarme und Events an den Firewalls sollten auf jeden Fall regelmäßig ausgewertet werden, denn nur so kann ein Administrator ungewöhnliche Vorfälle auch bemerken und entsprechend reagieren.

Da nicht nur Botnetze über die üblicherweise freigegebenen Ports kommunizieren, sollten auch die folgenden Anregungen mit in Betracht gezogen werden, um eine höhere Sicherheitsstufe zu erreichen:

  • Administratoren sollten in ihre Überlegungen eine Erneuerung der Firewall-Installation im Unternehmen mit einbeziehen. Moderne Firewall-Lösungen sind ab einer gewissen Ausbaustufe dazu in der Lage, den Netzwerkverkehr auf Anomalien und maligne Programme hin zu prüfen.

  • Der Einsatz einer kostenfreien Fernwartungslösung über das Internet bietet sicher viele Vorteile: Problemlos kann in wenigen Minuten der Zugriff auf einen Unternehmens-PC bewerkstelligt werden. Administratoren müssen sich aber bewusst sein, dass auf diese Weise auch schnell weitere unerwünschte Datenverbindungen zustande kommen können!

Weitere Tipps für alle IT-Verantwortlichen und Administratoren, die sich mit dem Thema Sicherheit und Botnetze befassen, kommen von Juraj Malcho, Chief Research Officer bei Eset:

  • Neben den bereits erwähnten technischen Maßnahmen dürfen die Aufstellung und das Einhalten grundsätzlicher Sicherheitsrichtlinien nicht außer Acht gelassen werden.

  • Bot-Programme müssen zunächst einmal in das Netzwerk und auf die Rechner der Anwender gelangen. Dies geschieht sehr häufig über die gängigen Mechanismen zur Verteilung von Malware.

  • Aus diesem Grund sollten "der menschliche Faktor" und die Schulung der Anwender immer wichtige Teile der Sicherheitskette im Unternehmen sein.