Der Magic Software Germany Blog

Freitag, 16. November 2012

„Nicht mehr nur Systeme, sondern die Daten schützen“

- Midrange Magazin -

Controlware Security Day 2012: Umdenken ist dringend nötig


Viel Geld steckt hinter Angriffen, der Schutz durch Perimeter reicht nicht mehr, Konzepte wie „bring Your Own Device“ macht die Umgebung komplexer – so sieht die bedrohungslage für Unternehmen aus. In seiner Keynote zum Controlware Security Day 2012 skizziert Raimund Genes, CTO bei Trend Micro, die Ausgangssituation und erklärte einige Lösungsansätze.


Die Realität beweist es eindeutig: 52 Prozent aller Unternehmen haben gemeldet, dass bei ihnen ein Sicherheitsvorfall in 2011 erfolgt ist. Dabei hatten alle diese Unternehmen Antivirus-Lösungen, IPS und IDS sowie Firewalls im Einsatz hatten. Diese Aussagen stammen von Raimund Genes. Der Chief Technology Officer von Trend Micro hat die Keynote auf dem Controlware Security Day 2012 in Dietzenbach gehalten und dabei das Beispiel Sony kommentiert: „Da verschwanden 110 Millionen Datensätze – und das passiert nicht in Millisekunden. Da wurde ein Server gehakt – der Server war eine vertrauenswürdige Ressource. Daher wäre es auch nicht damit getan, die Daten zu Verschlüsseln. Auf alle Fälle dauerte der Angriff eine längere Zeit.“ Ähnliches sei bei RSA passiert – einem Sicherheitsunternehmen. Auch dort hat die Malware – zuerst gezielt ausgebracht – die Daten abgefischt. Daher müssten sich die Sicherheitsverantwortlichen in Unternehmen klar sein: Eine 100prozentige Sicherheit gibt es nicht. Daher sollte sich jedes Unternehmen einen Notfallplan überlegen – was ist zu tun an öffentlicher Kommunikation, welche rechtlichen Probleme entstehen. Die bestehende Perimeter- Defense bricht auseinander, und durch den Einsatz von Mobilgeräten sowie das Konzept Bring Your Own Device – BYOD – wird das noch gefährlicher. „Die Motivation der Angreifer ist eine andere“, gibt Genes zu bedenken. „Es steckt mehr Geld hinter den Angriffen, weil sich die Angreifer auch mehr unrechtmäßiges Geschäft versprechen.“

Aktuell werden zielgerichtete Angriffe auf bestimmte Institutionen oder Firmen als „Advanced Persistent Threads“ (APTs) bezeichnet. Die Erkennungsrate bei APT ist recht niedrig. Da fragen die Schadroutinen zunächst ab, ob das Programm auf einem System einer bestimmten Unternehmens läuft und erst dann wird der Schadcode aktiv. Damit lässt sich der Code nur sehr schwer entdecken. Die Konsequenz aus diesen Bedrohungen liegt für Genes auf der Hand: „Traditionelle Sicherungsansätze allein reichen nicht mehr aus. Die muss man nach wie vor haben – allein schon aus Gründen des Audits. Er empfiehlt vielmehr den Fokus auf den Schutz der Daten zu legen und dort die Sichtweise „von innen nach außen“ zu berücksichtigen. So sollte man zum Beispiel auf Servern keine Applikationen ausführen, die von unbekannter Quelle kommt und dabei keine Ausnahmen erlauben. Dazu gehört es auch, die Applikationen auf den Server vorher in Bezug auf Integrität testen. Beim Aktualisieren der Anwendung müsse man ebenfalls aufpassen, das sollte der Integritätscheck auch abdecken können. „Wir müssen uns vom ‚sicheren Perimeter- Modell‘ verabschieden. Es gilt zudem den Datenfluss zu überwachen und auch die Systeme, die miteinander kommunizieren. Dazu ist eine sichere Server-Infrastruktur nötig“, gibt sich Genes überzeugt. „Die Sichtweise muss von innen nach draußen gerichtet sein. Wer den Server des Angreifers kennt, an den die Daten gesendet werden, der ist schon auf dem richtigen Weg. Zudem ist die Verbindung zu diesem Server länger aktiv und somit erkennbarer als Malware, die sich schnell ändert.“ Das machen, so Genes, noch zu wenig Unternehmen. Die Informationen im Kern des Unternehmens sind zu schützen und zwar egal auf welchen Systemen die liegen. Dazu sollten die Daten verschlüsselt sein. Und ein Auslagern an einen Provider hilft nicht, im Zweifelsfall müsse der Verantwortliche im Unternehmen selbst ins Gefängnis.

Doch die Angriffsziele ändern sich.




geißelt die
mangelhafte
Sicherheit von
Android-geräten
– Raimund Genes
von Trend Micro.





Windows und Intel gilt mittlerweile nicht mehr als das große Angriffsziel: Smartphone und Tablet – auf der Basis Android und ARM sind die neuen Favoriten. Trendmicro hat die Malware Verbreitung auf Android angesprochen und eine Prognose dazu abgegeben. Daraufhin haben Google und viele Mitbewerber aus der Sicherheitsindustrie gesagt, das sei Angstmache: Es wird nie einen Anstieg auf 130.000 Schädlinge auf Android bis Ende 2012 geben, wie es die Schätzung von Trend Micro vorhersagt. Doch mittlerweile sind bereits im September 2012 ganze 116.000 „böse Apps“ auf Android bekannt – sprich es werden viel mehr werden bis Ende 2012. „Doch nicht nur Schädlinge sind ein Thema, auch ‚normale Apps‘ senden die Telefonnummer und die Location des Smartphones/Tablets raus“, macht Genes klar. Diese Schadsoftware sei vor allem China, Russland und Japan verbreitet, weniger dagegen in Deutschland. Der Weg dazu sei laut Genes nicht so schwer: „Ein Angreifer nimmt eine Applikation, wie etwa Angy Birds, schaltet alle Level frei und versieht sie mit Schadcode und stellt sie wieder in Google Play. Die testen nicht gut genug, Anwender lädt die App runter und infiziert sich. Gibt der Anwender dann der App die nötigen Rechte frei, hat der Schadcode freie Bahn.“ Mittlerweile könne man auch Viren auf Android schreiben, so Genes. Das Grundproblem der Plattform lautet: „Bei Android ist das ganze Ecosystem komplett offen. Jeder kann am Sourcecode Änderungen machen. Zudem laufen die meisten Geräte noch mit der Version 2.3. Dagegen ist Android 4.x sicherer, da sind einige Vorkehrungen getroffen, wie etwa Verschlüsselung.“ Gute Noten gibt es von Genes dagegen für die Apple-Welt: „iOS 6 ist da weitaus restriktiver, derartige Ansätze funktionieren dort nicht. Apple hat ein geschlossenes Ecosystem geschaffen. – alles muss über den App Store gehen.