VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Richard WernerDas erste Halbjahr 2015 zeigt, wie Sicherheitslücken die Bedrohungslandschaft verändert haben – ein Kommentar von Richard Werner, Regional Solution Manager beim japanischen IT-Sicherheitsanbieter Trend Micro.

Für IT-Sicherheitsexperten war die erste Jahreshälfte sehr arbeitsreich, allein der Hack des Hacking-Teams hielt Branche und Anwender lange in Atem. Was zum einen an der hohen Zahl von Zero-Day-Sicherheitslücken liegt, die daraus zutage gefördert wurden – und zum anderen daran, dass sich durch solche Sicherheitslücken die Bedrohungslandschaft allgemein geändert hat.

Dass die Risiken bei der Nutzung von Betriebssystemen wie „OS X“, „iOS“ und „Android“ und Anwendungen wie „Flash Player“ in den ersten sechs Monaten dieses Jahres größer geworden sind, zeigen die Daten von Hacking Team ebenso wie die von Trend Micro: Unsere Sicherheitsforscher entdeckten und veröffentlichten zwischen Januar und Juni 26 Sicherheitslücken, davon acht Zero-Days. Nicht zu vergessen die kritische Microsoft-Sicherheitslücke, die alle Betriebssystem-Versionen bis hinunter zu Windows-XP betraf.

Zero-Day-Sicherheitslücken werden in erster Linie dazu genutzt, zielgerichtete Angriffe auszuführen. Sie sind per Definition unbekannt, nicht vorhersagbar und gefährden auch die Systeme der gründlichsten IT- und Security-Verantwortlichen.

Sicherheitslücken finden und melden

Unsere Sicherheitsforscher konzentrieren sich in ihrer Arbeit auf die Analyse entsprechender Muster, die sie von Opfern gezielter Angriffe erhalten. Aus diesen Informationen können sie nicht nur viele Zero-Day-Angriffe aufspüren, wie in den ersten sechs Monaten dieses Jahres – mithilfe von Statistikanalysen, Fuzzing (einer speziellen Technik für Software-Tests) und Penetrationstests lassen sich auch proaktiv Sicherheitslücken finden und dann den Anbietern melden, bevor Hacker sie nutzen können.

Einigen ist bei der öffentlichen Nennung von Details unwohl, immerhin kann man sie auch als „Blaupause“ für Angriffe interpretieren. Die Frage, ob veröffentlichte Informationen Cyberkriminelle erst zum Angriff „motivieren“ oder deren Beutezüge überhaupt ermöglichen, ist durchaus berechtigt. Es gibt im Untergrund ganze Gruppierungen, deren Geschäftsmodell darin besteht, Sicherheitslücken zu finden und an den Meistbietenden zu verkaufen. Ohne sie selbst auszunutzen, das überlassen sie den Käufern.

Wir sollten daher solche Berichte als die positiven Informationen sehen, die sie sind: Erst wenn Lücken bekannt werden, können Software-Hersteller sie adressieren und Sicherheitshersteller Lösungen zur Schließung bereitstellen. Sei es als temporäre Lösung, bis die Software oder der Dienst gepatcht wurde – Stichwort „virtuelles Patchen“ –, oder als dauerhafte Lösung, falls mangels Support keine Patches mehr veröffentlicht werden können. Deshalb sprechen sich Sicherheitsanbieter wie Trend Micro mit den betroffenen Herstellern ab, auch über die Kommunikationsmaßnahmen.

Getrübter Blick fürs Wesentliche

Die Möglichkeit, Zero-Days zu erkennen, ist für Anwender noch wertvoller als deren Aufdeckung und die Reaktion darauf. Dass aufgrund der Vielzahl an Informationen der Blick fürs Wesentliche manchmal getrübt bleibt, ist auch und gerade bei der Bekämpfung von Schadsoftware sichtbar – und vielfach auch gewünscht: Sicherheitsbeauftragte interessieren sich oft gar nicht für die Details hinter einzelnen Vorfällen, sondern nur dafür, dass ein Problem gelöst ist. Aus verschiedenen Gründen vergehen Monate bis Jahre zwischen Infektion und Entdeckung; man kann im Ernstfall nicht mehr feststellen, wie weit das Problem bereits verbreitet ist und muss dann ein solches Netzwerk bereinigen. Eine Sisyphusaufgabe! Es kommt also darauf an, dass Angriffe frühzeitig erkannt werden, dass Informationen ausgetauscht werden und dass dann Gegenmaßnahmen eingeleitet werden können.

Sand ist nicht gleich Sand

Neben klassischer Malwarebekämpfung geht es dabei auch um Funktionen wie „Sandboxing“: Mit modernen Varianten lassen sich viele der 2015 entdeckten Zero-Day Exploits erkennen, ohne dass ein Update notwendig wäre. Natürlich ist es wichtig, dass die Bedrohungsforscher eng mit den Entwicklern zusammenarbeiten, um die Effizienz der Produkte und Erkennungsmethoden kontinuierlich zu validieren und zu verbessern. Dieses Benchmarking und die fortschrittliche Erkennung helfen, den Angreifern einen Schritt voraus zu sein.

Sandboxing spielt dabei eine Schlüsselrolle. Doch Sandbox ist nicht gleich Sandbox: Die „smarte Sandbox“ ist anpassbar und umfasst neben Payload-Verhaltenserkennung auch die Verhaltenserkennung von Scripts und Shell-Code. Anders als bei einem standardisierten, nicht individuell konfigurierbaren Lösungsansatz können hier auch reale Produktivumgebungen nachgebildet werden.

Und erst dann ist die Verteidigung eines Unternehmens nicht auf Sand gebaut.

Weitere Informationen, darunter Details zu den einzelnen Sicherheitslücken sowie den Auswirkungen auf Mac-Anwender, enthält der deutschsprachige Blogeintrag.

GRID LIST
Penetrationstest

Penetrationstests offenbaren gefährliches Tor in Unternehmensnetzwerke

Ob Schwachstellen in Webanwendungen oder öffentlich verfügbare Verwaltungsschnittstellen…
Startup

Wie zufrieden sind Startups mit dem Standort Deutschland?

Der Standort Deutschland ist für Startups viel besser als sein Ruf. Ob…
Insurance

Digitalisierung der Versicherungsbranche steckt in den Kinderschuhen

Einen Schaden online melden oder eine Leistungsabrechnung digital bearbeiten: Was für die…
Hacking detected

Neueste Entwicklungen bei von Hackern entdeckten Sicherheitslücken

HackerOne, eine Plattform für Bug-Bounties und Cybersecurity, gab heute die Ergebnisse…
Investment

Digitale Kompetenzen: Knapp sechs von zehn Unternehmen investieren

Um in der Arbeitswelt 4.0 zu bestehen, sind digitale Kompetenzen unabdingbar. Allerdings…
Business Intelligence

Unternehmen bringen Daten-PS fachlich nicht auf die Straße

Unternehmen in Deutschland, Österreich und der Schweiz (DACH) erarbeiten sich zu wenige…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security