Neue Angriffe erfordern neue Gegenwehr

22.12.2006
Von Rüdiger Trost 
Die Bedrohungen für die IT haben sich in den vergangenen Monaten verändert. Doch auch alte Gefahrenquellen bleiben präsent.
Am stärksten sehen sich Unternehmen durch digitale Schädlinge bedroht.
Am stärksten sehen sich Unternehmen durch digitale Schädlinge bedroht.

Seit 1986 der erste Virus für das Microsoft-Betriebssystem MS-DOS auftauchte, versuchen IT-Verantwortliche in Unternehmen, ihre Systeme so gut wie möglich gegen Bedrohungen abzusichern. Was in den Anfangstagen der IT noch relativ einfach war, hat sich in den vergangenen Jahren zu einem Hase-und-Igel-Rennen entwickelt, bei dem handfeste wirtschaftliche Interessen im Vordergrund stehen.

Rootkits

Das Thema Rootkits ist vor einigen Monaten ins Bewusstsein der Öffentlichkeit gedrungen - Sony hatte in den USA Audio-CDs vertrieben, deren Kopierschutz auf einem Rootkit beruhte. Rootkits verbergen den Zugriff auf einen Rechner, der durch Hacker oder Malware erfolgt. In der Regel dienen sie dazu, Würmer oder andere Schädlinge vor dem legitimen Benutzer oder einer Sicherheitssoftware zu verstecken. Typisch für Rootkits ist, dass sie eine Backdoor öffnen: Sie suchen sich einen Weg durch die Firewalls nach außen, um weitere Schadsoftware aus dem Internet auf den befallenen PC zu laden. Um ein Firmennetz vollständig gegen Rootkits zu schützen, müssten demnach alle Ports der Firewall am Perimeter geschlossen werden - und damit alle Verbindungen des Unternehmens ins Internet.

Hier lesen Sie …

• worin sich die heutigen Bedrohungsszenarien von früheren unterscheiden;

• wie sich dies auf die Abwehrstrategien der Unternehmen auswirkt;

• welche Schutzmaßnahmen als Basisschutz unerlässlich sind.

Mehr zum Thema

www.computerwoche.de/

568258: Security: Nur so viel wie notwendig;

1216805: Wo die IT-Gefahren lauern;

581491: Gartner identifiziert die Top-IT-Attacken.

www.computerwoche.de/ security-expertenrat

Bis vor kurzem mussten sich Security-Verantwortliche vor allem mit Amateuren befassen: Jugendlicher Übermut war die Haupttriebfeder der meisten Hacker und Virenschreiber. Deren Malware und Angriffe konnten Unternehmen zwar einen erheblichen Schaden zufügen, ließen sich aber durch den Einsatz grundsätzlicher Sicherheitsprodukte, regelmäßige Betriebssystem-Updates und einfache Regeln für den Umgang mit E-Mail meist in den Griff bekommen. Inzwischen hat sich die Situation verändert: Hinter Attacken auf Server sowie den Schadprogrammen stehen zunehmend Profis, die mit krimineller Energie zu Geld kommen wollen. Laut Gartner nimmt dieses als "Cyber-Crime" bezeichnete Phänomen seit 2003 stark zu. Den Marktforschern zufolge haben es die Kriminellen vor allem auf Kundendaten wie Kreditkarteninformationen oder Erpressung abgesehen.

Kollateralschäden

Auch nicht ganz so schwer wiegende Verbrechen - etwa "Directory Harvesting Attacks" (DHA) - können ernsthafte Schäden für ein Unternehmen zur Folge haben. Dabei versuchen Spammer, an gültige Mail-Adressen zu kommen. Die Methode ähnelt den bekannten Denial-of-Service-Angriffen (DoS): Der Absender bombardiert sein Ziel mit zahllosen Mails, deren Empfängeradressen innerhalb einer Domain willkürlich ausgewählt wurden. Jede ungültige Adresse wird vom SMTP-Server (Simple Mail Transfer Protocol) mit einem NDR (No-Delivery-Report) quittiert. Durch die immense Kommunikation erreicht der Mail-Server schnell seine Grenzen - das System fällt aus. Diese Schäden nimmt der Spammer billigend in Kauf - oder der Ausfall ist sogar Ziel des Angriffs.

Die Programmierer von Viren, Würmern und Trojanern haben sich ebenfalls "professionalisiert": Ging es den meisten bislang darum, ihren Schädling möglichst häufig in den Medien erwähnt zu wissen, arbeiten die Cyber-Kriminellen laut Gartner mittlerweile lieber ohne öffentliche Aufmerksamkeit. Es liegt ihnen nichts daran, möglichst viele PCs rund um den Globus zu infizieren. Das führt jedoch zu einem ganz neuen Problem bei der Abwehr von Malware: Bei den bisherigen Virenausbrüchen handelte es sich um Massenphänomene. Tauchte ein neuer Schädling auf, wurden die Hersteller von Abwehrtechniken demnach schnell mit hinreichend Codeproben konfrontiert, konnten in der Regel binnen weniger Stunden die Signaturdatenbanken ihrer Produkte aktualisieren und den Anwendern somit rasch Schutz anbieten. Angesichts der neuen, zielgerichteten Angriffe versagt diese Abwehr. Da die Malware nicht mehr flächendeckend verteilt wird, erhalten die Virenschutzanbieter nur selten Samples davon und können Signaturen nicht zeitnah bereitstellen. Darüber hinaus versuchen die Übeltäter, die Methoden der heuristischen Schädlingsbekämpfung zu unterlaufen und ihre Malware zu tarnen.

Hierzu werden unter anderem ausgefeilte Rootkits eingesetzt, die verdächtige Prozesse auf dem Rechner vor dem Benutzer und der Sicherheitssoftware verstecken. Zudem basieren viele der zielgerichteten Angriffe darauf, noch ungepatchte Sicherheitslücken in häufig verwendeten Programmen auszunutzen. Diesen Zero-Day-Attacken lässt sich nur mittels "Sandboxes" oder vergleichbaren Techniken begegnen: Dabei wird unbekannter Code zunächst in einer sicheren Umgebung auf dem PC ausgeführt, analysiert und bei verdächtigem Verhalten vom Virenschutzprogramm blockiert. Allerdings bieten bislang nur wenige Hersteller solche Verfahren an.

Schutzmaßnahmen im Wandel

Mit den sich wandelnden Bedrohungsszenarien ändern sich die notwendigen Sicherheitsprodukte. Allerdings nicht so, dass die Abwehr älterer Gefahren vernachlässigt werden darf - so bleibt etwa der klassische Virenscanner unverzichtbar. Nach einer Studie von Forrester Research unter nordamerikanischen IT-Entscheidern vom Februar 2006 fühlen sich 73 Prozent der Unternehmen von Viren und Würmern bedroht, 66 Prozent sahen im unerlaubten Verhalten der Mitarbeiter eine Gefahr. Nach wie vor sind die einfachen Viren und Würmer der Script-Kiddies im Internet unterwegs, die altbekannten Makroviren für Microsoft Office gibt es ebenfalls noch. E-Mail und Downloads stellen auch heute die wichtigsten Einfallstore für Malware dar.

Ebenso kritisch sind mittlerweile USB-Sticks, Digitalkameras, MP3-Player, PDAs und Smartphones. Fast jeder Mitarbeiter benutzt eines oder mehrere dieser Geräte - die zunächst einmal mobile Speichermedien sind. Damit können versehentlich Schadprogramme von zu Hause oder von Kunden an allen Sicherheitsmechanismen des Perimeters vorbei ins Unternehmen getragen werden. Zwar ließe sich über entsprechende Richtlinien die Benutzung der USB-Schnittstellen für Massenspeicher blockieren. Allerdings können die Policies dadurch sehr komplex werden, denn meist sind zahlreiche Ausnahmen zu berücksichtigen. Virenschutz am Client ist auch in Szenarien unerlässlich, in denen die Bedrohung durch massenhaft verschickte Malware geringer wird.

Mehr Sicherheit, mehr Technik

Aus diesem Grund ist der Schutz vor neuen Bedrohungen in der Regel eine Erweiterung bestehender Sicherheitsstrategien. So sind Firewalls am Perimeter ebenso unverzichtbar wie Antivirenprodukte am Gateway. Angesichts der neuen Angriffsarten kommt besonders an den PCs der Bedarf nach Personal Firewalls hinzu, die bei nicht autorisierten Anwendungen jeden Kontakt zum Internet unterbinden können. War es bislang üblich, unerwünschten Programmen die Kommunikation aus dem Unternehmen heraus auf Port-Ebene am Gateway abzuschneiden, zeigen sich einige aktuelle Applikationen - etwa der Voice-over-IP-Client "Skype" - davon unbeeindruckt: Er findet fast immer einen Weg durch die Firewalls, indem er im Zweifelsfall einfach Port 80 benutzt. Dieser muss zwingend geöffnet sein, da sonst kein Mitarbeiter das Internet nutzen könnte. Auch Peer-to-Peer-Software ist häufig dazu in der Lage, Firewalls oder Proxy-Server zu umgehen.

Mit dem Einsatz von Personal Firewalls lässt sich im Gegenzug allerdings die bislang übliche Schutzmethode der Netzsegmentierung etwas großzügiger handhaben: Nach wie vor ist es Usus, das Unternehmensnetz in logische Segmente zu unterteilen, die gegeneinander durch Firewalls geschützt sind. Damit kann bei einem Malware-Ausbruch der Schaden auf einen Teil des Netzes begrenzt werden. In den meisten Szenarien lässt sich mit Client-Firewalls ein ähnlicher Schutz herstellen, der zudem einfacher zu administrieren ist. Für das Gros der Personal Firewalls gibt es mittlerweile komfortable Management-Lösungen. Darüber hinaus gewinnt das Firmennetz durch die Reduzierung der Segmente an Übersichtlichkeit, was auch die Verwaltung erleichtert. Ihre Berechtigung haben durch Firewalls getrennte, kleinmaschige Segmente vor allem in Abteilungsnetzen mit sehr hohem Schutzbedarf - etwa für Forschung und Entwicklung, Finanzbuchhaltung oder Personalverwaltung.

Umstrittenes IDS

Ähnliches gilt für IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems). Über Sinn und Unsinn reiner IDS streitet sich die Fachwelt schon lange, da sie Angriffsversuche nur aufzeigen, aber nicht abwehren können. Im Gegensatz dazu sind IPS in der Lage, erkannten Angriffen direkt entgegenzuwirken, indem sie etwa den Datenverkehr einer verdächtigen IP-Adresse blockieren. Allerdings sind IDS wie IPS aufwändig zu konfigurieren und anfällig für Fehlalarme, die negative Auswirkungen auf die Geschäftsprozesse haben können. Zudem sitzen IPS hinter der Firewall und bilden eine zweite Schutzschicht. Da sie den gesamten Datenverkehr analysieren müssen, gelangen IPS und IDS schnell an die Grenzen ihrer Leistungsfähigkeit.

Trotz der schwierigen Konfiguration und anderer potenzieller Probleme sind IDS und IPS hilfreich, wenn es hochsensible Bereiche zu schützen gilt. So können sie helfen zu verhindern, dass Sicherheitslücken in Servern von außen ausgenutzt werden. Nahezu unerlässlich sind IPS zum Schutz etwa des Datenbank-Servers eines Online-Shops, der die Kundendaten vorhält. Diese Informationen sind für Kriminelle ein besonders lohnendes Ziel, das beispielsweise via SQL-Injection angegriffen werden kann.

Mehr Technik, mehr Aufwand

Neue Angriffe kommen zu den bekannten Risiken hinzu. Vor diesem Hintergrund ist IT-Sicherheit ein stetig wachsender Technologie-Stack, aus dem nur in seltenen Fällen eine Komponente entfernt werden kann. Jede neue Schutzvorkehrung bedeutet demnach einen Mehraufwand für die IT-Mitarbeiter und birgt im Fall einer Fehlkonfiguration erhebliche Risiken für das Unternehmen - mit zunehmender Komplexität steigt die Gefahr von Fehlern. Hinzu kommt die Bequemlichkeit der Anwender: Sicherheit geht immer mit Einschränkungen einher. Daher darf der Fokus beim IT-Basisschutz nicht ausschließlich auf der Technik liegen. Vielmehr muss der Endanwender ins Zentrum rücken. IT-Sicherheit beginnt damit, dass die Benutzer verstehen, warum gewisse technische Schranken notwendig sind. Sie müssen geschult werden, um potenzielle Risiken zu erkennen und entsprechend damit umzugehen. Erst dann kann die verfügbare Technik wirklichen Nutzen bringen. (kf)