Security-Trends 2011

Spektakuläre Cyber-Attacken wie Aurora - betroffen waren Hightech-Unternehmen wie Google oder Symantec, Night Dragon (Unternehmen aus der Öl-, Gas- und Chemiebranche) oder Stuxnet erregen große Aufmerksamkeit. Schließlich geht es um prominente Opfer, milliardenschwere Unternehmen oder Aktionen, die von reichlich James-Bond-Flair umweht werden wie im Fall Stuxnet. Doch glaubt man Experten wie Uri Rivner, Leiter für neue Technologien beim Verschlüsselungsspezialisten RSA, werden solche präzisen Attacken bald alltäglich sein.

Trojaner nehmen nicht mehr das halbe Internet oder nur global agierende Organisationen ins Visier, sondern werden für einen gezielten Angriff auf eine Branche oder sogar nur ein Unternehmen maßgeschneidert. Die zahlreichen bekannt gewordenen Angriffe auf einzelne Unternehmen belegen, dass sich hier ein gefährlicher Trend zur Konzentration auf Regionen abzeichnet.

Platz 10: HitmanPro
Das Sicherheits-Tool HitmanPro bietet einen Virenschutz unter Windows. Dabei verwendet die Software nicht nur die Scan-Engine eines Herstellers, sondern Cloud-basierend bindet HitmanPro gleich fünf Antivieren-Engines ein. Das Tool arbeitet als On-Demand-Scanner, Konflikte mit installierten Sicherheitslösungen sind somit kaum gegeben. HitmanPro muss praktischerweise auch nicht installiert werden, es genügt der Start der ausführbaren Datei. Damit lässt sich die Sicherheits-Software auch portabel auf USB-Sticks verwenden. Der Anbieter SurfRight bietet HitmanPro als kostenlose Testversion für 30 Tage an. Die Vollversion ist kostenpflichtig. HitmanPro eignet sich für alle Windows-Version ab XP. Auch Windows 8 wird bereits unterstützt.

Platz 9: Sticky Password
o werden auch Keylogger umgangen, die die Logins einzelner Dienste protkollieren wollen. Ein integrierte virtuelle Tastatur verhindert die Ausspähung des Hauptkennworts. Auch eine iPhone App ist mittlerweile verfügbar, allerdings nur für die PRO-Version. Die Benutzeroberfläche ist in mehreren Sprachen, darunter auch Deutsch erhältlich, Probleme bei der Konfiguration sollte es also keine geben. Im Kaufpreis sind Support, eine Updategarantie sowie eine portable Version der Anwendung enthalten. Sticky Password funktioniert mit jeder aktuellen Windows-Version.

Platz 8: Secunia PSI
Der Secunia Personal Software Inspector, kurz Secunia PSI, ist ein Programm, um den Update-Status eines PCs zu überwachen und bei veralteter oder gar fehlerbehafteter Software Alarm zu schlagen. So ist es möglich, stets einen Überblick auf die potentiellen Schwachstellen des Systems zu behalten und die reale Gefahrenlage ein Stück weit besser einschätzen zu können. Auch die Patches selbst werden mit Secunia PSI leichter: Aus der programminternen Datenbank wird für gewöhnlich sofort ein Link zum neuesten Update bezogen, das sich mit wenigen Klicks installieren lässt. Hiermit wird ein großer Nachteil der Windows-Welt, in der sich nur das Betriebssystem selbst, nicht aber die Anwendungen gesammelt aktualisieren lassen, ausgebessert. Über die Funktion "Auto Update" wird dieser Vorgang noch einmal deutlich erleichtert. Hierbei übernimmt der Personal Software Inspector selbstständig sämtliche Arbeiten. Das Interface ist sehr unkompliziert und minimalistisch geraten, und störende Steuerelemente oder komplexe Menüs geraten nicht in den Weg des Anwenders. Mit der für Unternehmen entwickelten Sicherheitslösung Secunia CSI arbeitet das Tool außerdem anstandslos zusammen. Die aktuelle Version von Secunia PSI ist in der Lage, sich selbst zu aktualisieren, so dass Ihnen Update-Stress und Ärger erspart bleiben. Secunia PSI ist anders als die CSI-Suite nur für Windows verfügbar, dafür aber kostenlos. Das Programm kann in fünf verschiedenen Sprachen beim Hersteller heruntergeladen werden.

Platz 7: BoxCryptor
Daten in der Cloud zu sichern mag komfortabel sein, um die Sicherheit der Daten ist es jedoch oft schlecht bestellt. BoxCryptor soll hier durch besonders wirksame Verschlüsselungstechniken Abhilfe schaffen. Diese setzen auf Cloud Storage auf, wobei mehrere Dienste von Google SkyDrive über Amazon S3 bis Dropbox unterstützt werden. BoxCryptor existiert in zwei verschiedenen Versionen, als Desktop-Programm für Windows, Mac und Linux sowie als iOS- und Android-App. Auf dem PC lässt sich das Programm sehr leicht verwenden. Die zu sichernden Daten legt man in einem virtuellen Ordner ab, der mit dem sehr sicheren AES-256-Algoritmus verschlüsselt und mit einem Passwort versehen wird. Unter Windows kann BoxCryptor auch ein virtuelles Laufwerk mit frei wählbarem Buchstaben auf dem Rechner anlegen. Alle Daten, die dort abgespeichert werden, werden automatisch verschlüsselt und sind so vor Fremdzugriff geschützt. Auf den Mobilgeräten sieht es leider etwas unkomfortabler aus, denn hier muss BoxCryptor selbst als App gestartet werden und lässt sich nicht transparent ins Dateisystem einbinden. Positiv ist in jedem Fall zu erwähnen, dass das entwickelnde Unternehmen seine Lizenzpolitik deutlich aufgeweicht hat. So war der Dienst bisher ab zwei GByte kostenpflichtig, außerdem musste für die Apps ebenfalls bezahlt werden. Diese Beschränkungen fallen seit einiger Zeit vollständig weg. Als Alternative ist der bis 5 GByte kostenlose Dienst Wuala zu erwähnen, der bereits von Hause aus eine Vollverschlüsselung des Nutzerverzeichnisses anbietet.

Platz 6: Nmap
fer an ein System versucht wird, dessen Betriebssystem zu erkennen. Dies liefert wichtige Informationen zu potentiellen Schwachstellen. Auch Gegenmaßnahmen zur Erkennung durch Administratoren sind implementiert, etwa das sogenannte Stealth Scanning. Die Analyse eines Netzwerks kann auch über die integrierte Nmap Scripting Engine NSE automatisiert werden. Hierfür bringt das Programm eine umfangreiche Sammlung von Beispielskripten mit, die auch parallel eingesetzt werden können. Nmap wird normalerweise ohne grafische Interface betrieben, doch insbesondere die Portierung nach Windows verlangte nach einem solchen. Will man sich also nicht mit der Kommandozeile plagen, kann man auf die GUI Zenmap zurückgreifen. Der Einsatz in modernen Netzwerken ist im Übrigen dank seit der Version 6 voll implementierter IPv6-Unterstützung kein Problem.

Platz 5: Stegano.Net
Stegano.net ist ein kostenloses Steganografie-Tool für Windows XP, Windows Vista und Windows 7. Steganografie ist die Technik, beliebige Daten in einer Menge an größeren, unauffälligen Daten beliebigen Typs zu verstecken. Stegano.Net implementiert seit der Version 2.0.1.0 aus dem Kreis dieser Methoden das Verstecken von beliebigem Text und von Dokumenten in Bilddateien in den Formaten JPG und PNG. Zwar hat Steganographie ein Grundproblem, nämlich dass bei Kenntnis der Methodik die versteckten Daten problemlos zurückgewonnen werden können, doch dies umgeht Stegano.Net, indem die zu versteckenden Daten zuerst verschlüsselt werden. Leider erwähnt der Autor nicht, welche Algorithmen für die Verschlüsselung und das Verbergen der Nachricht zum Einsatz kommen, die Sicherheit der eingebetteten Informationen ist also letztlich ungewiss. Doch für hochkritische Daten, die in jedem Fall analysiert werden, ist Steganografie mithilfe von Bildern ohnehin nicht geeignet. Für weniger problematische Anwendungen oder schlicht den Spaß für zwischendurch reicht Stegano.Net aber allemal. Entsprechend leicht ist das Tool auch zu bedienen: Ein-Klick-Installation, selbsterklärende Schaltflächen, weniger Optionen und ein einfaches Interface eröffnen das Programm jedem potentiellen Nutzer. Dieser muss lediglich die Container-Datei angeben, bei Wunsch die Verschlüsselung mit Passwort aktivieren und den zu verschlüsselnden Text angeben. Ein Klick auf "Verbergen" versteckt die Daten, ein Klick auf "Sichtbar machen" zeigt sie wieder an.

Platz 4: Sandboxie
Installationsprozess eines Programms berwachen, um es dann in eine Sandbox zu verkapseln. Bedient wird es durch eine einfache Oberfläache, die durch ein Tray-Icon gestartet wird. Sie enthält auch einen Dateimanager, der die während des Betriebs der Sandbox virtuell veränderten Dateien auflistet. Außerdem lassen sich hier alle Inhalte der Sandbox löschen, um sie wieder in den Nullzustand zurückzuversetzen. So lassen sich Sicherheitsrisiken minimieren und neue Programme gefahrlos und ohne das Risiko von dauerhaften Performance-Verlusten testweise installieren.

Platz 3: Offline NT Password
Das Tool Offline NT Password ist ein kostenloses Konsolenwerkzeug, mit dem Administratoren Windows-Passwörter zurücksetzen können. Man sollte das Tool chpwnt eigentlich nicht sehr oft benötigen. Allerdings wird der eine oder andere Administrator froh sein, die kostenlose Software zur Hand zu haben. Hübsch ist es nicht, dafür funktioniert es tadellos und tut genau das, was von ihm verlangt wird. Offline NT Password unterstützt Windows von der Verson NT 3.5 bis hin zu Windows 7 und 2008. Auch bei den 64-Bit-Versionen von Windows funktioniert das Tool

Platz 2: LastPass
LastPass hebt sich deutlich vom großen Markt der Passwort-Tresore ab. Das System vertraut vollständig auf die Cloud, in der sämtliche Passwörter verschlüsselt abgespeichert werden. Zwar lässt sich dies auch manuell umsetzen, indem etwa die Passwortdateien von KeePass online abgelegt werden, doch LastPass erweitert diesen Ansatz deutlich. Erstens werden die Passwörter sowohl online als auch offline in mehrere Backups abgelegt, sind also auch bei einem Geräteausfall und einer versehentlichen Löschung sicher. Außerdem bietet das Programm eine große Vielfalt von Plugins für Browser, Desktop-Programme sowie Smartphone-Apps. Auf diesem Weg lässt sich beinahe jede Passworteingabe durch LastPass abfangen und automatisch bei dem Dienst speichern, wie man es beispielsweise von den integrierten Passwortmanagern von Browsern kennt. Die erneute Eingabe der Passwörter geschieht dann plattformübergreifend auf allen Systemen mit LastPass-Integration. Unabhängig davon, ob momentan ein Windows-PC, ein Mac, ein Linuxrechner oder ein mobiles Betriebssystem verwendet werden, muss nur das aktuelle Masterpasswort eingegeben werden, und LastPass sendet das Login automatisch. Dem gegenüber muss bei anderen Cross-Platform-Managern der Nutzername und das Kennwort meist manuell kopiert und eingefügt werden. Selbst bei der Anmeldung an diversen Diensten greift LastPass ein und generiert auch für den unwichtigsten Account ein starkes Passwort. Diverse Zusatzfunktionen wie etwa eine virtuelle Tastatur zur Abwehr von Keyloggern, ein Importmodus für Passwörter anderer Manager oder ein Notiztresor sind ebenfalls dabei. Die Grundversion von LastPass ist kostenlos, will man hingegen fortgeschrittene Funktionen wie die Mobil-Apps verwenden, fällt ein geringer jährlicher Beitrag an.

Platz 1: KeePass
KeePass ist der wohl bekannteste digitale Safe für vertrauliche Informationen aller Art. Insbesondere ist die Software dazu gedacht, Passwörter, PINs, TANs und ähnliche Zugangsinformationen abzuspeichern und zu verwalten. Hierfür legt das Programm eine mit AES stark verschlüsselte Datenbank mit einem SHA256-gehashten Hauptpasswort an. Auch die anderen Sicherheitsfeatures sind eine Erwähnung wert: Die Passwörter werden auch innerhalb des Speichers verschlüsselt gehalten, sodass eine Auslagerung des RAM auf die Festplatte keine Konsequenzen hat, und auch die Eingabe des Hauptpassworts kann gegen Keylogger gesichert werden. Alternativ kann ein Keyfile zum Einsatz kommen, für weiter gesteigerte Sicherheit können die Methoden auch kombiniert werden. Praktisch ist darüber inaus, dass KeePass portabel ist - insbesondere bei einer derartigen Anwendung ist das ausgesprochen praktisch, um Zugangsdaten auf mehreren PCs verwenden zu können. Ähnlich verhält es sich mit der Passwortdatenbank: Diese besteht nur aus einer Datei, kann also bequem zu Online-Diensten wie Dropbox geliefert werden. Dort lässt sie sich mit den diversen Versionen von KeePass weiterverarbeiten, denn das Programm ist explizit plattformkompatibel ausgelegt. Die mit "Professional" bezeichnete PC-Version ist mit Mono-Unterstützung geschrieben, läuft also neben Windows auch auf allen anderen Mono-Plattformen (Mac OS X, Linux, BSD), und auch für diverse mobile Systeme existieren Clients. Auch der Komfort kommt übrigens nicht zu kurz: Passwörter können zum Beispiel vollautomatisch auf passenden Websites eingetragen werden, und die Datenbanken anderer Passwortsafes lassen sich leicht importieren. Außerdem ist ein Plugin-System vorgesehen. Einzig eine vollautomatische Synchronisierung der Passwortdatenbank lässt das Programm leider vermissen. KeePass ist Open Source und damit kostenlos auf der Seite des Teams erhältlich.

Trend 1: Spear Phishing schleust Trojaner ein

Verteilt wird die Schadsoftware, die dann später die wertvollen Daten abzieht, bei diesen punktgenauen Attacken per Spear Phishing. Beim diesem gezielten Phishing geht die E-Mail nur an eine Handvoll Mitarbeiter des potentiellen Opfers, manchmal wird sie sogar nur an eine Person geschickt. Klassische Spam-Filter und Antiviren-Scanner sind chancenlos, der Angriff fliegt unter ihrem Radar ein. Inhalt der E-Mails: In jedem Fall ein Attachment, das den Trojaner einschleust.

Der Inhalt der Mails passt zum Tagesgeschäft des Empfängers: Im Fließtext der Nachrichten wird mal nach einem Angebot gefragt, mal kommt nach einem Messeauftritt ein Dokument per E-Mail, das sich auf ein angebliches Gespräch am Messestand des Opfers bezieht. Wahlweise nehmen sich die Angreifer auch den Stellvertreter vor, der in einer Out-of-Office-Nachricht vom eigentlichen Adressaten erwähnt wird. Informationen, mit denen sich die E-Mails anreichern lassen, finden sich zumeist frei zugänglich auf der Webseite des auszuspähenden Unternehmens – oder auf den Facebook-Seiten der betreffenden Mitarbeiter. Viele Mitarbeiter posten dort Details aus ihrem Berufsleben. Und nachdem viele Facebook-Nutzer auch ihnen Unbekannte als Freund hinzufügen, kommen die Angreifer problemlos an diese Details.

Egal welchen Weg die Datendiebe nehmen, eines ist klar: Die Angriffe zielen nicht mehr länger auf Netzwerke oder andere technische Einrichtungen. Sie nehmen vielmehr den Menschen aufs Korn. Selbst hochrangige Vertreter von IT-Security-Herstellern wie Uri Rivner bestätigen, dass mit Ausnahme von Anwendungs-Whitelisting gegen solche Attacken derzeit kein technisches Kraut gewachsen ist. Einzig Schulungen, die das Bewusstsein aller Mitarbeiter – nicht nur des Managements – schärfen, taugen zur Verteidigung. Wobei IT-Sicherheitsverantwortliche trotzdem beim Management einsteigen sollten. Heather Adkins, IT-Sicherheitsspezialistin bei Google, erinnert sich: „Nachdem wir von Aurora betroffen waren, hatte ich sehr schnell die ungeteilte Aufmerksamkeit des Managements. Es muss aber nicht immer erst etwas passieren. Oft genügt es, den Verantwortlichen von erfolgreichen Angriffen auf andere, vergleichbare Unternehmen zu berichten.“

Markus Hennig, Astaro
"Es ist wichtig, die eigene Infrastruktur mit Schutzmechanismen aufzurüsten, die den modernen Internettechnologien gerecht werden."

Sascha Krieger, eleven
"Während die Quantität von Spam abnahm, legte die Qualität, was die Überlistung von Spam-Filtern anging, zu. Dies galt für die verstärkte Nutzung populärer Anlässe wie zum Beispiel Feiertage als Spam-Köder ebenso wie für E-Mails, die mit versteckten Links oder JavaScript-Umleitungen versuchten, Reputationsfilter auszutricksen."

Christian Funk, Kaspersky Labs
"Virtualisierung und Cloud Computing haben sich etabliert und die Kinderstube verlassen. Insbesondere die Clouds haben ihren Wert durch ihre flexible Erreichbarkeit bewiesen, nun geht es darum, die Endgeräte adäquat abzusichern, um Fremdzugriffe durch verlorene Note- und Netbooks sowie Smartphones zu verhindern, und so sensible Unternehmensdaten geschützt zu halten.“

Isabell Unseld, McAfee
" Eine noch höhere Verbreitung von Malware wird über mobile Geräte erwartet, die von Mitarbeitern nicht nur privat, sondern auch beruflich genutzt werden und so Unternehmensnetzwerke einem höheren Risiko aussetzen. Auch das Downloaden nicht vertrauenswürdiger Applikationen wird Administratoren nächstes Jahr beschäftigen."

Michael Hoos, Symantec
" Cyberattacken erreichten dieses Jahr mit Stuxnet eine neue Qualität. Der Schädling greift gezielt kritische Infrastrukturen an, in diesem Fall die Steuerung von Fertigungsanlagen. Einmal eingenistet, kann er diese Systeme erschreckend geschickt und weitreichend manipulieren. "

Martin Rösler, Trend Micro
"Mitarbeiter bringen ihr eigenes Equipment wie Smartphones oder Tablets mit ins Unternehmen. Somit wird "Mobile Device Management"eine große Herausforderung werden. Die so genannten "Nomadic Workers" sind Standard. Das heißt, es gibt keine festen Netzwerkgrenzen mehr. Vielmehr findet eine Vermischung statt von Firmen- und privater Nutzung.“

Trend 2: Hacker-Teams organisieren Angriffe

Angriffe wie die durch Aurora oder Night Dragon werden unter dem Begriff Advanced Persistent Threats (APT) zusammen gefasst, also moderne, langlebige Bedrohungen. Langlebig deshalb, weil die infizierten Maschinen oft über Monate oder gar Jahre sensible Informationen zu den Hintermännern schleusen. Schenkt man den Sicherheitsspezialisten glauben, werden APT das beherrschende Thema der kommenden Jahre. Denn Angriffe dieser Art versprechen den Cyber-Kriminellen schnell hohe Einkünfte. Entsprechend professionell gehen die Banden dann auch zu Werke. George Kurtz, CTO vom Antivirenspezialist McAfee sagt dazu: „Hinter Advanced Persistent Threats stehen keine einzelne Hacker, sondern Hackerteams samt Projektmanager.“

Wie gut diese Teams sind, vermag derzeit niemand zu beurteilen. Alexander Hutton, Forensik-Spezialist beim Dienstleister Verzion Business und Co-Autor des jährlich erscheinenden Reports „Data Breach Investitgations Reports“, sagt: „Wir wissen nicht, ob Aurora und Night Dragon von der A-Mannschaft ausgeführt wurden, oder ob die Reservetruppe am Werk war. Eventuell war es die B-Mannschaft und wir entdecken die Angriffe der besseren Cyber-Gangster gar nicht.“

Halbwegs einig sind sich die Experten, was die Bösartigkeit der APTs angeht. Mit Ausnahme von Grenzfällen wie Stuxnet rechnen sie nicht mit echter Zerstörung durch die Angreifer, indem sie beispielsweise Daten manipulieren oder löschen. Wobei die finanziellen Schäden zumeist ohnehin dramatisch genug sind. Der Forensiker Kevin Mandia, Chef des amerikanischen Dienstleisters Mandiant, hat in der Praxis nach Datenpannen jedenfalls noch keine Zerstörungen beobachtet. Lediglich Logfiles würden manipuliert, um die Spuren des Angriffs zu verwischen.

Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.

Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?

Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?

Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?

Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?

Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?

Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?

Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?

Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?

Transaktionen im Internet
Liegen Verisign-Zertifikate vor?

Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?

Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?

Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?

Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?

Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?

Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?

Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?

Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?

Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?

Trend 3: Mobile Malware im Kommen - auch Smartphones sind bedroht

Ist man sich bei den APT nicht sicher, ob hier nur ein neues Schlagwort für ein längst bekanntes Phänomen gefunden wurde, gibt es rund um mobile Malware keine Zweifel mehr: Sie ist „endlich“ da. Nachdem Experten wie Mikko Hypponen von F-Secure jährlich aufs Neue das Jahr der Smartphone-Schädlinge erwarteten, ist es jetzt soweit. Insbesondere Googles Mobile-Betriebssystem Android ist ins Visier der Angreifer geraten.

Der Grund ist die Offenheit in der Android-Welt. Neben Googles eigenem App Store (Android Marketplace) können Anwendungen prinzipiell auch aus anderen Quellen herunter geladen werden. Ob und wer bei den alternativen App-Sammlungen die Anwendungen überprüft, bleibt zumeist unbekannt. Apple ist hier deutlich rigoroser: In den App Store kommt nur, was zuvor auf Herz und Nieren geprüft wurde. Vermeintlich harmlose Apps, die de facto aber Schadsoftware verstecken, haben so kaum eine Chance.

In Googles Android Marketplace und vor allem in den alternativen App-Sammlungen tauchen immer wieder Apps auf, die im Hintergrund Daten ausspähen. Der Anwender glaubt, dass die neue Wetter-App ihm lediglich die Vorhersage der nächsten drei Tage anzeigt – dabei saugt die Software im Hintergrund den SMS-Speicher und das Adressbuch vom Gerät und schickt es an seine Schöpfer. Es sind bereits diverse solcher Schädlinge aufgetaucht. Kürzlich wurde eine Malware demonstriert, die Gespräche belauschen und darin übermittelte Kreditkartendaten ausmachen kann. Diese Daten werden dann dem Hintermann auf dem Silbertablett präsentiert. Glück im Unglück: Die mithörende Schadsoftware war nur ein Forschungsprojekt und kein realer Angriff.

Wie real die Gefahr einer Infektion durch bösartig modifizierte Apps ist, wurde kürzlich überdeutlich: Google entfernte über 20 – der Sicherheitssoftwarehersteller Lookout sprach sogar von über 50 – Anwendungen, denen von Unbekannten eine Funktion zum Datenklau angeflanscht wurde. Es waren bereits veröffentlichte, legitime Anwendungen, die unter dem Namen eines anderen Publishers nach dem unfreundlichen Tuning erneut ihren Weg in den Marketplace fanden.

Problematisch im Zusammenhang mit mobiler Malware sind gleich mehrere Punkte: Smartphones sind insbesondere in Unternehmen immens weit verbreitet. Die Schädlinge kommen auf solchen Geräte also ohne Probleme an sensible Unternehmensdaten. Selbst der SMS-Speicher oder das Adressbuch können in den Händen eines Angreifers zur Waffe werden – weil sie als Sprungbrett für eine gezielte Attacke dienen können, wie sie zuvor beschrieben wurde.

Außerdem ist die Riege der Hersteller von Antivirensoftware gefordert. Die bislang erhältlichen Produkte hatten kaum reale Prüfungen zu bestehen, zu gering war das Aufkommen an Schadsoftware. Die bisher verwendeten Konzepte sind aber nicht zukunftssicher: Die signaturbasierte Erkennung hat sich auf dem Desktop-PC überlebt und wird auf dem Smartphone ebenfalls keine Chance mehr haben. Zudem müssen die Handy-Wächter mit den knappen Ressourcen – schwachbrüstige Prozessoren, limitierte Netzwerkbandbreite und vor allem wertvolle Akkulaufzeit – sorgsam umgehen. Hier ist noch reichlich Platz für Innovationen.

Trend 4: Facebook, Twitter und Co. im Visier

Facebook dient Cyber-Gangstern nicht nur im Vorfeld der beschriebenen gezielten Attacken zur Recherche. Es ist – zusammen mit anderen Sozialen Netzwerken, allen voran Twitter – auch Tummelplatz für Betrugsversuche aller Art. In aller Regel spielen die Angreifer mit Neugier oder Sensationslust der Nutzer, um sie zum Klick auf einen vielversprechenden Link zu motivieren: Mal werden vermeintlich iPads verlost, mal warten Fotos von sexy Frauen, ein andermal verspricht der Link ein Video, auf dem ein Unfall oder Selbstmord zu sehen ist.

Diese Links führen niemals zur angekündigten Sensation, sondern entweder zu Online-Formularen, die persönliche Daten abgreifen wollen. Oder sie leiten direkt auf eine manipulierte Website, die den Rechner des potentiellen Opfers nach nicht gepatchten Lücken in Anwendungen untersucht, um ihn so mit Malware zu verseuchen.

Trend 5: Next Generation Firewalls bieten mehr Schutz

Traditionelle Firewalls, die Datenverkehr nur nach IP-Port und Protokoll klassifizieren können, sind hier chancenlos. Für diese Modelle sieht der per Port 80 gestartete Betrugsversuch genauso aus wie harmloser Web-Traffic. Die Industrie hat sich des Problems angenommen und das Konzept der sogenannten Next Generation Firewalls (NGFW) erdacht. Diese Firewalls können einzelne Web-Anwendungen unterscheiden. Modelle wie die PA4020 von Palo Alto Networks erkennen einen Unterschied zwischen Facebook, Twitter, Sharepoint oder Salesforce – auch wenn die Datenpakete alle über Port 80 (http) oder Port 443 (https) ins Unternehmensnetz rauschen.

Der Gründer von Palo Alto Networks, Nir Zuk, hat seinerzeit die jetzt so chancenlos aussehende Stateful Inspection Firewall mit erdacht. Heute lässt er kein gutes Haar mehr an seiner Erfindung: „Diese Art Firewall versucht, mit fünfzehn Jahre alter Technik gegen die Bedrohungen von heute zu kämpfen.“ Obwohl das Konzept der NGFW nicht mehr neu ist, gingen die Analysten von Gartner Ende 2010 davon aus, dass lediglich ein Prozent des weltweiten Datenverkehrs durch NGFW-Modelle analysiert wird. Die älteren, zunehmend hilfloser werdenden Generationen werden offenbar nur langsam ersetzt. Angesichts der Bedrohungslage vielleicht sogar zu langsam.

Zuks neues Unternehmen ist jedoch nicht der einzige Hersteller, der moderne Firewalls im Programm hat. Kürzlich kündigte Netzwerkausrüster Cisco mit SecureX ein ähnliches Konzept an. SecureX ist eine Software, die aus den Cisco-ASA-Firewalls Next Generation Firewalls macht. Später soll SecureX auch für Router und Switche bereit stehen.

Außerdem ist die Software in der Lage, den jeweiligen Kontext zu erkennen: SecureX Software findet selbständig heraus, welcher User gerade welchen Webdienst nutzt, ob er es mit einem von der Unternehmens-IT verwalteten Endgerät oder einem anderen Client tut und welche Art Netzwerk für den Zugriff dient. Anhand all dieser Informationen kann das System dann gezielter nach potentiell gefährlichen Datenströmen suchen.

Security-Weiterbildung ist ein Muss

Auch die cleverste Firewall ist chancenlos, wenn unbedarfte Anwender jeden beliebigen E-Mail-Anhang öffnen. McAfee-Manager Kurtz fasst die Naivität nur halb scherzhaft zusammen: „Viele Anwender würden auch auf ’OK’, klicken, wenn die Bildschirmmeldung sagt: ’Jetzt wird Dein PC infiziert.’“ Unternehmen kommen also nicht umhin, neben ausgeklügelter Security-Hardware und -Software auch in die Schulung der eigenen Mitarbeiter zu investieren. Denn Angreifer nehmen längst auch das Ziel zwischen Monitor und Bürostuhl ins Visier – und beschränken sich nicht länger auf Lücken in Anwendungen und Betriebssystemen. (wh)