Die RSA Konferenz gilt als eine der besten Sicherheitsmessen für IT-Professionals. Weniger als Produkte stehen Malware-Trends und Abwehrmöglichkeiten im Mittelpunkt.
Art Coviello, RSAs President, startet offiziell die RSA Europe Conference.
Hilton Metropole, London, - für drei Tage verwandelt sich das Edelhotel in einen der zentralen Orte für IT-Security. Während Veranstaltungen wie Blackhat oder Defcon in erster Linie neue Angriffsmethoden in den Mittelpunkt stellen, liegt der Schwerpunkt der RSA Konferenz auf IT-Sicherheit im Geschäftsalltag und wie Firmen Angriffe verhindern und abwehren können. Wie schwierig das geworden ist, zeigte Tom Heiser, Chief Operating Offizer von RSA, auf. Administratoren müssten heute dutzende Systeme überwachen, die teilweise zueinander nicht kompatible Daten lieferten. Beziehe man künftig noch Cloud-basierende Anwendungen und Infrastruktur mit ein, werde dies in Zukunft kaum noch zu verwalten sein. Heiser entwarf die Vision eines schichtenbasierenden Framework als Lösung, in dem die verschiedenen Schichten ineinander greifen und die Verwaltung und Überwachung vereinfachen.
Digital Underground - die dunkle Cloud
Uri Rivner erklärt die Dark Cloud und wie Cyber-Kriminelle diese nutzen.
Nicht nur Firmen setzen verstärkt auf Cloud-Dienste, auch die Kriminellen haben mittlerweile eine eigene Dark Cloud aufgesetzt. Das berichtet Uri Rivner, der bei RSA unter anderem das eFraud-Netzwerk betreut. Die Kriminellen würden ähnliche Dienste anbieten wie normale Provider, etwa Rechenzeit oder Online-Speicher. Als Infrastruktur verwendeten sie reguläre Infrastruktur, die sie illegal mitnutzten. So könnten sie von den Skaleneffekten, die Cloud Computing bietet, genau wie ein legaler Nutzer profitieren.
Die Internet-Betrüger brauchen die Ressourcen, denn die Schadprogramme haben sich in letzter Zeit gewandelt. Statt sich lediglich auf Zugangsdaten zu Bankkonten zu beschränken, stehlen Trojaner alles von Eingabefeldern in Browsern bis hin zu Dateien auf den jeweiligen Systemen. "So erklärt sich die große Speicher- und Ressourcennachfrage", sagt Rivner.
Tom Heiser, COO bei RSA, fordert einen neuen Ansatz im IT-Management.
Mit der hinzugewonnenen Rechenpower im Gepäck könnten sich Zeus und Co weiter ausbreiten, ohne Rücksicht auf die angesammelten Datenmengen nehmen zu müssen. Rivner zeigte an einem Beispiel, dass Angebote für nicht limitierten Online-Speicherplatz ab 15 US-Dollar im Monat starten. Ein weiterer Grund für den wachsenden Speicherbedarf liege in der Tatsache, dass vermehrt Firmennetzwerke in den Fokus der Cyber-Kriminellen geraten. "Täglich verlassen mehrere Terabyte an Daten die Firmennetzwerke", erklärte Rivner.
So schützen Sie Ihre Daten
So schützen Sie Ihre Daten Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.
1. Regeln für E-Mail-Kommunikation definieren: Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.
2. Datenverschlüsselung einsetzen: Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.
3. Starke Passwörter verwenden: Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.
4. Regelmäßig Sicherheits-Audits durchführen: Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.
5. IT-Sicherheits-Regelwerk erstellen und pflegen: Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.
6. Vertrauenswürdigkeit von Partnern prüfen: Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.
7. System-Management konsequent umsetzen: Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.
8. Auch Systemverwalter überwachen: Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.
9. Spezielle Sicherheitssysteme nutzen: Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.
10. Die Gebäudesicherheit nicht vergessen: Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.
Einfallstore und künftige Trends
Bruce Schneier widmet sich dem Thema Privatsphäre im Web.
Wurde früher die Infrastruktur attackiert, richten sich die Angriffe nun vor allem gegen die Nutzer. Diese Erkenntnis bestätigt auch der Verzion Data Breach Report 2010, eine Studie, die Verizon in Zusammenarbeit mit dem US-Geheimdienst erstellt hat. Dabei kommt häufig maßgeschneiderte Malware zum Einsatz, um Anti-Viren-Systeme zu umgehen. Nutzer installieren diese, etwa weil sie als notwendiger Codec für ein Video verkauft wird. Laut Verizons Matt van der Wel sei Data Breaching, also der Zugriff auf Unternehmensdaten, ein lohnendes Geschäft. Durch zahlreiche Benutzerkonten mit zu vielen Berechtigungen sei der Zugriff ein Leichtes. Zudem hätten nur wenige Unternehmen Richtlinien, was geschehen soll, wenn sie von einem kompromittierten Nutzer-Account erfahren.
Demnach gehören zu den Top-Trends im Sicherheitsbereich vor allem Advanced Persistent Threats. Dieses Buzzword ist der Oberbegriff für ständige Angriffe auf die IT von Leuten, die über besonders hohes technisches Verständnis sowie ausgefeilte Ressourcen verfügen. Hinter APTs stecken nur selten Individuen, eher Gruppen oder gar Nationen. Ein Beispiel für so eine Bedrohung ist Stuxnet, ein Botnet, dessen Opfer Siemens geworden ist und das auch auf der RSA-Konferenz immer wieder erwähnt wurde. Allerdings sind die Experten uneins, was die Malware eigentlich erreichen wollte. Die wenigsten denken, dass Stuxnet politisch motiviert war - dazu habe es zu viele Systeme weltweit penetriert. Wahrscheinlicher ist, dass das Botnet ein Test ist, inwieweit sich die verwendeten Schwachstellen ausnutzen lassen. Oder, wie es ein Experte ausdrückt: "Die Malware verfügt über vier Zero-Day-Attacken - es wäre leichtsinnig zu glauben, dass die Macher nicht noch mehr in der Hinterhand hätten."
Dennoch wäre es ein Fehler, sich lediglich gegen von Staaten gesponserte Attacken abzusichern - im Gegenteil. Winkler rät Firmen, ihre Schwachstellen zu kennen und vor allem die kleineren Angriffe zu verhindern. Denn, was normale Kriminelle stoppt, bereitet auch APTs und angreifenden Staaten Probleme - für den Fall, dass man in deren Visier gerät.
Cyber Peace statt Cyber War
Richard A. Clarke zeigt wie Cyber War funktionieren könnte.
Einer der Vorträge über Cyber War kam von Richard A. Clarke, einem langjährigen Mitglied der US-Regierung, Special Advisor zum Thema Cybersecurity und Buchautor. Clark wies auf die Mythen des Cyber Wars hin, der von Medien gerne aufgegriffen und zur Bedrohung stilisiert werde. Die meisten Regierungen hätten zwar durchaus das Potential für Cyber-Attacken, ähnlich wie bei Atomwaffen diene dies aber hauptsächlich der Abschreckung. Clarke warf eine weitere interessante These in den Raum: Cyber-Attacken könnten zum Teil verehrende Auswirkungen auf die Zivilbevölkerung haben, etwa wenn das Stromnetz einer Metropole mehrere Tage ausfällt. Daher sollten Regierungen Abkommen über den Einsatz beziehungsweise den Verzicht von Cyber-Attacken anstoßen. Dies möge zwar schwer zu kontrollieren sein, aber diesen Einwand ließ Clarke nicht gelten. Schließlich sei auch der Verzicht auf Chemie- oder Bio-Waffen schwer zu überprüfen, aber allein das Vorhandensein der Abkommen habe die Welt sicherer gemacht.
18 praktische Verschlüsselungs-Tools
aborange Crypter Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/76722/aborange_crypter/"> aborange Crypter </a>
AxCrypt Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/69136/axcrypt/"> AxCrypt </a>
Blowfish Advanced Das Sicherheitsprogramm verschlüsselt sensible Dateien mit den Algorithmen Blowfish, PC1, Triple-Des und Twofish. Zusätzlich lassen sich die Dateien komprimieren. Das Tool integriert sich in den Explorer und kann im Batch-Verfahren arbeiten. Wer möchte, löscht außerdem Dateien so, dass sie sich nicht wieder herstellen lassen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/6347/blowfish_advanced_cs/index.html"> Blowfish Advanced CS </a>
Capivara Capivara hält Ihre Dateien auf dem aktuellen und gleichen Stand, indem es Verzeichnisse auf den lokalen Laufwerken, dem Netzwerk und auch auf FTP- und SSH-Servern synchronisiert. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/backup_brennen/backup/137163/capivara/"> Capivara </a>
Challenger Die kostenlose Verschlüsselungssoftware verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/55187/challenger/index.html"> Challenger </a>
ClickCrypt Das Programm integriert sich direkt in das Senden-an-Menü von Dateien. Um eine Datei beispielsweise vor dem Versand per Mail oder FTP zu verschlüsseln, markieren Sie die Datei, rufen das Kontextmenü auf, schicken die Datei über die „Senden-an“-Funktion von Windows an Clickcrypt und lassen sie chiffrieren. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/28063/clickcrypt_26/index.html"> ClickCrypt </a>
Crosscrypt Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/115016/crosscrypt_043/index.html"> Crosscrypt </a>
Cryptool Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/tools_utilities/sonstiges/23884/cryptool_1305/"> Cryptool </a>
Fire Encrypter Wenn Sie schnell einen Text verschlüsseln möchten, dann können Sie dies ohne Aufrufen einer externen Applikation und direkt mit Fire Encrypter innerhalb von Firefox tun. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/browser_netz/browser-tools/61622/fire_encrypter_firefox_erweiterung/index.html"> Fire Encrypter </a>
GnuPT GnuPT ist eine grafische Benutzeroberfläche für das kostenlose Verschlüsselungsprogramm GnuPG, mit dem Sie Ihre Daten und E-Mails sicher verschlüsselt übertragen und speichern können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/159460/gnupt/index.html"> GnuPT </a>
Gpg4win Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/136989/gpg4win/"> Gpg4win </a>
Guardian of Data Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/36894/guardian_of_data/"> Guardian of Data </a>
KeePass Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein einiges Passwort merken müssen. Das Open-Source-Tool Keepass speichert Ihre Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank, die mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt wird. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/112115/keepass/index.html"> KeePass </a>
KeePass Portable Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/118251/keepass_portable/index.html"> KeePass Portable </a>
MD5 Algorithmus MD5 (Message Digest 5) ist ein Einweg-Algorithmus, um aus einer beliebig langen Zeichenkette eine eindeutige Checksumme mit fester Länge zu berechnen. In diesem Archiv finden Sie eine Implementation von MD5 für Windows-Systeme (MD5.EXE). Ebenfalls enthalten sind C++-Quellen und die Spezifikationen nach RFC1321. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/34481/md5_algorithmus/index.html"> MD5 Algorithmus </a>
Opheus Mit Opheus verschlüsseln Sie Ihre Dateien, so dass diese vor unbefugtem Zugriff gesichert sind. Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/66510/opheus/"> Opheus </a>
Steganos LockNote Das kostenlose Programm Steganos LockNote verschlüsselt für Sie wichtigen Daten und verhindert so den Datenmissbrauch. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/132112/steganos_locknote/index.html"> Steganos LockNote </a>
TrueCrypt Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/105893/truecrypt/index.html"> TrueCrypt </a>
Die Crux der E-Mail-Verschlüsselung
E-Mail-Verschlüsselung sei leider auch nur ein Teil der Lösung, so RSA-Spezialist Ash Devata gegenüber COMPUTERWOCHE. Zwar könne man damit sensible Daten relativ gut schützen - allerdings sei dazu genug Rechenkapazität und die Unterstützung der Nutzer notwendig. Vor allem letzteres ist nicht immer gegeben, vor allem, wenn die Verschlüsselung zu viel Aufwand für den Nutzer fordert. Ein weiteres Problem sei, dass nicht alle Verschlüsselungssysteme miteinander problemlos kommunizieren könnten, zumal nur wenige Web-Clients mit verschlüsselten Nachrichten umgehen könnten. Erschwerend komme hinzu, dass verschlüsselte Nachrichten oftmals Probleme bereiten, wenn sie auf Spam oder Malware untersucht werden sollen.
Wie man sicher nach China reist
Ira Winkler spricht über Sicherheit in sozialen Netzwerken und Cyper-Spionage.
Zu Industriespionage und Cyberattacken äußerte sich Ira Winkler im Gespräch mit der COMPUTERWOCHE. China-Reisende hätten es gelegentlich mit Danaer-Geschenken zu tun, beispielsweise Malware in geschenkten Bilderrahmen oder Kameras und Rechnern. Auch wenn es unwahrscheinlich sei, dass man sofort das Ziel von Spionen werde, sollte man in jedem Fall seine E-Mails filtern. Am Besten wäre es, wenn ein Dritter die E-Mails durchsucht und an einen separaten Account weiterleitet. So würden sensible Daten in Anhängen nicht anderen Personen in die Hände fallen. Wer die Sicherheit eine Stufe weitertreiben will, sollte einen komplett leeren Rechner verwenden, und sein eigenes System von einem USB-Stick aus starten, den man ständig bei sich trägt. Letzteres sei allerdings ein wenig paranoid, so Winkler - die E-Mail-Filterung würde er allerdings in jedem Fall nutzen.
Praktikabler sei es daher, E-Mail-Verschlüsselung als Teil von Data Leakage Prevention zu betrachten. Nur ein Bruchteil der verschickten E-Mails sei wirklich so sensibel, dass er durch Verschlüsselung geschützt werden müsste. DLP-Techniken könnten solche Nachrichten vor dem Absenden erkennen. Anschließend können die Nachrichten durch die Lösung automatisch verschlüsselt werden, so dass nur ein minimaler Eingriff der Nutzer notwendig ist. (ph)
