IT-BEDROHUNGEN IM JAHR 2013

Transkript

1 IT-BEDROHUNGEN IM JAHR 2013 WIE KÖNNEN SICH UNTERNEHMEN SCHÜTZEN?

2 ÜBERBLICK Seit Jahren sehen sich Unternehmen mit einem kontinuierlich wachsenden Gefahrenpotenzial für ihre IT-Umgebung konfrontiert vor allem die Komplexität der Bedrohungen steigt weiter. Kaspersky Lab prognostiziert auf Basis seiner Malware-Analysen des Jahres 2012 folgende elf Bedrohungsszenarien, für die sich Unternehmen in 2013 wappnen sollten. 1. ZIELGERICHTETE ATTACKEN UND CYBER-SPIONAGE Cyber-Kriminelle greifen punktgenau an, um an die sensiblen Daten bestimmter Organisationen zu gelangen. 2. DER VORMARSCH DES HACKTIVISMUS Angriffe symbolisieren einen politischen oder sozialen Standpunkt. 3. STAATLICH GESPONSERTE CYBER-ATTACKEN Länder entwickeln Cyber-Waffen zum Diebstahl von Informationen und zur Sabotage von Systemen. 4. VERWENDUNG LEGALER ÜBERWACHUNGSTOOLS Auch Strafverfolgungsbehörden und Regierungen setzen Überwachungstools ein. 5. WOLKIGE AUSSICHTEN, MIT MALWARE-WAHRSCHEINLICHKEIT Die Cloud bietet eine beachtliche Angriffsfläche für IT-Attacken. 6. QUO VADIS, PRIVATSPHÄRE? Die eigenen Mitarbeiter können Cyber-Kriminellen den Weg ins Unternehmen ebnen. 7. WEM VERTRAUEN WIR? Zertifikate, die vertrauenswürdige Webseiten kennzeichnen sollen, sind oft gefälscht. 8. CYBER-ERPRESSUNG Cyber-Attacken blockieren Zugriffe und löschen Unternehmensdaten unwiderruflich. 9. MAC-OSX-MALWARE Apple-Produkte sind nicht immun: Die Zahl der Mac-Schadprogramme steigt seit zwei Jahren ständig an. 10. MOBILE MALWARE Schadprogramme verfolgen Mitarbeiter auf Schritt und Tritt, wenn sie mit ihren Endgeräten mobil sind. 11. SICHERHEITSLÜCKEN UND EXPLOITS Cyber-Kriminelle nutzen Sicherheitslücken und versäumte Software aktualisierungen als Schlupflöcher ins Unternehmen. Detaillierte Hintergrundinformationen dieser elf Sicherheitsrisiken sind in der Analyse Kaspersky Security Bulletin: Entwicklung der ITBedrohungen im Jahr 2012 unter analysis?pubid= verfügbar. Doch was genau bedeuten diese Entwicklungen für Unternehmen und Organisationen? Wie können sie auf die anstehenden Gefahren reagieren und sich bestmöglich vor Cyber-Attacken schützen? David Emm, Senior Regional Researcher, UK, Global Research & Analysis Team bei Kaspersky Lab, beleuchtet die Szenarien und zeigt Lösungen auf. 2

3 1. ZIELGERICHTETE ATTACKEN UND CYBER-SPIONAGE 2. DER VORMARSCH DES HACKTIVISMUS 3. STAATLICH GESPONSERTE CYBER-ATTACKEN 4. VERWENDUNG LEGALER ÜBERWACHUNGSTOOLS Organisationen, die noch nie Ziel eines Cyber-Angriffs waren, halten oftmals die meisten Nachrichten über Malware für übertrieben. Das gilt speziell für zielgerichtete Attacken und Cyber-Spionage. Sie beruhigen sich damit, dass zielgerichtete Attacken nur für große Organisationen ein Problem darstellen. Allerdings kann jede Organisation zum Cyber-Opfer werden. Denn sie alle verfügen über Daten, die für Cyber-Kriminelle wertvoll sind. Die meisten Schadprogramme gehen so unauffällig wie möglich vor, während sie im Hintergrund heimlich Daten sammeln. Das macht sie um einiges bedrohlicher als den Cyber-Vandalismus der 1990er-Jahre. Der von heutiger Malware verursachte finanzielle Schaden lässt sich wesentlich schwerer ermitteln, weil ein Opfer womöglich gar nicht bemerkt, dass sein Rechner infiziert wurde oder welche Daten die Cyber-Kriminellen gestohlen haben. Die meisten Angriffe verlaufen willkürlich und spekulativ. Allerdings nehmen zielgerichtete Attacken zu. Sie sind darauf ausgelegt, eine bestimmte Organisation anzugreifen, sensible Daten zu stehlen oder den Ruf eines Unternehmens zu beschädigen. Zudem ist es möglich, Schadprogramme auch als Cyber-Waffen einzusetzen. Cyber-Kriminelle schleusen die Schädlinge in die Unternehmenssoftware ein, um ihren politischen und sozialen Standpunkt als Protestaktion zu verdeutlichen. Sogar virtuelle Kriegsführung ist denkbar, um die Informationen anderer Unternehmen zu stehlen oder deren Systeme zu sabotieren. Vor allem Energieversorgungsanlagen und Kontrollsysteme im Transportwesen, Finanz- und Telekommunikationssysteme sowie andere Schlüsselsysteme der kritischen Infrastruktur sind von dieser Form des Angriffs betroffen. Geheime Informationsbeschaffung läuft auch in entgegengesetzter Richtung ab. Um mit den fortschrittlichen Technologien der Cyber-Kriminellen Schritt zu halten, setzen Strafverfolgungsbehörden und Regierungen regelmäßig Tools zur Überwachung der Aktivitäten von Verdächtigen ein. Welche Ausmaße der tatsächliche Kontrollradius besitzt, ist fraglich. Immer wieder gibt es Berichte über Regierungen, die starkes Interesse an Überwachungssoftware und verborgenen Zugriffen auf mobile Geräte haben. Ganz sicher hat der Einsatz legaler Überwachungstools große Auswirkungen auf den Datenschutz und die Bürgerrechte. Welchem Ziel auch immer eine Cyber-Attacke gilt: Es kann zu Kollateralschäden kommen, wenn sich eine Organisation nicht ausreichend abgesichert hat. Für Unternehmen ist es daher wichtig, in Sicherheitsmaßnahmen zu investieren. Dazu gehört auch die Entwicklung einer passenden Sicherheitsstrategie. Diese sollte nicht auf Standard-Schemata und groben Schätzungen des zu erwarteten Schadens durch Cyber-Attacken basieren, sondern individuell auf die jeweilige Organisation zugeschnitten sein. Im Rahmen ihrer Sicherheitsstrategie muss die Organisation analysieren, inwieweit sie in der Vergangenheit von Malware betroffen war. Außerdem muss sie eine Methode entwickeln, um die Wirksamkeit ihrer Sicherheitstools zu überprüfen. Darauf aufbauend kann sie beurteilen, wie sie künftig ihre Schutzmechanismen an neue Bedrohungen anpasst. Diese Schlüsse müssen regelmäßig überdacht werden, denn Sicherheitsmaßnahmen sind nur dann sinnvoll, wenn sie in regelmäßigen Intervallen durchgeführt werden. 3

4 Am Anfang aller Sicherheitsplanungen sollten hypothetische Überlegungen stehen, also das Was-wäre-wenn -Spiel. Organisationen können dadurch eine gründliche Risikoabschätzung durchführen. Sie macht klar, welche potenziellen Bedrohungen es gibt, wie diese die Sicherheitsmechanismen umgehen können, wie hoch der Schaden wäre und wie effektiv die vorbeugenden Maßnahmen sind. Beeinflussende Faktoren für die Risikobewertung sind die Art und Weise, wie die Organisation arbeitet, an welchen Orten die Mitarbeiter sitzen, welche Geräte sie verwenden und wo die Unternehmensdaten gespeichert werden. Eine Sicherheitsstrategie beinhaltet folgende Schlüsselelementen: Risiken abschätzen Passende Strategien und Verfahren entwickeln Notfallplan erstellen und Mitarbeiter-Team ernennen,das für dessen Einhaltung zuständig ist Sicherheitslösungen im Unternehmen ausrollen Eine Strategie für Sicherheitsupdates entwickeln Alle Maßnahmen dokumentieren Eine Strategie entwickeln, um Mitarbeiter für Sicherheitsfragen zu sensibilisieren Die Menge an Malware, ihre schnelle Verbreitung und die zunehmende Raffinesse der Attacken machen den Einsatz von proaktiven Technologien unverzichtbar. So analysiert beispielsweise Kaspersky Lab täglich rund einzigartige Schadprogramme. Moderne Anti-Malware-Lösungen sollten sich deshalb nicht ausschließlich auf die Signatur-basierte Erkennung verlassen, sondern zusätzlich in der Lage sein, neue, unbekannte Bedrohungen in Echtzeit zu blockieren. Der Notfallplan sollte nicht nur vorbeugende Maßnahmen enthalten, sondern auch sicherstellen, dass ein Unternehmen seine Geschäfte im Ernstfall wie gewohnt weiterführen kann. Außerdem gilt es, die nichttechnischen Auswirkungen eines Angriffs zu berücksichtigen. Dies kann zum Beispiel ein Imageschaden sein. Um solche indirekten negativen Folgen abzuwenden oder zumindest zu minimieren, müssen Unternehmen beispielsweise auch die Öffentlichkeitsarbeit heranziehen. 4

5 5. WOLKIGE AUSSICHTEN, MIT MALWARE- WAHRSCHEINLICHKEIT Zwei Schlüsselfaktoren treiben die Nutzung von Cloud-Diensten in Unternehmen voran: der Kostenvorteil und die Flexibilität. Durch das Speichern von Daten oder das Hosten von Anwendungen in der Cloud können in fast allen Geschäftszweigen signifikante Ertragssteigerungen erreicht werden. Auch sind die Daten zu jeder Zeit, von jedem Ort und von jedem Gerät abrufbar, egal ob Laptop, Tablet-PC oder Smartphone. Doch je mehr Organisationen die Cloud nutzen, desto attraktiver wird sie als Angriffsziel für Cyber-Kriminelle. Diese Tatsache sollten Unternehmen unbedingt beachten genauso wie die folgenden Punkte: den geografischen Ort, an dem die Unternehmensdaten gespeichert werden, die Rechtshoheit, unter welche die Daten fallen, sowie die Sicherheitsmaßnahmen des Providers und inwieweit die Daten vor dem Zugriff anderer Kunden des Providers geschützt sind. Auch logistische Fragen spielen eine Rolle, sollte es künftig einmal darum gehen, die gespeicherten Daten an einen anderen Provider zu übertragen. 6. QUO VADIS, PRIVATSPHÄRE? Beim Einrichten jedes Online-Accounts gelangen private Informationen ins Netz und können gehackt werden. Außerdem stehen Unternehmen auf der ganzen Welt in der Kritik, Daten über ihre Kunden zu sammeln und sie für Werbezwecke zu nutzen. Viele Menschen fühlen sich folglich in ihrer Privatsphäre bedroht. Trotzdem geben sie im Netz zu unbekümmert ihre persönlichen Daten preis. Ihnen ist nicht immer bewusst, welch großen Wert ihre Auskünfte für Cyber-Kriminelle haben. Dieses mangelnde Bewusstsein wirkt sich auch auf die Sicherheit von Unternehmen aus. Hier beginnen Angriffe oftmals durch einfache Tricks: Cyber-Kriminelle bringen Mitarbeiter beispielsweise mittels kostenloser Lockangebote dazu, ihre Daten mitzuteilen. Die Angreifer sammeln zudem Informationen über Mitarbeiter in Sozialen Netzwerken sowie anderen öffentlich zugänglichen Ressourcen. Anschließend versuchen sie, sich mit Hilfe der zusammengetragenen Daten an den Sicherheitsschleusen des Unternehmens vorbei zu mogeln. Menschen sind aus unterschiedlichen Gründen anfällig für diese Social-Engineering-Tricks. Sie erkennen die Gefahr des Datenmissbrauchs schlichtweg nicht oder sie verzichten auf die Nutzung sicherer Passwörter und auf deren regelmäßige Änderung. Unternehmen ignorieren beim Thema Sicherheit oftmals den Faktor Mensch. Daher ist es wichtig, Mitarbeiter zu sensibilisieren und das Bewusstsein für die Gefahrenabwehr zu einem Teil der Sicherheitsstrategie zu machen. 5

6 7. WEM VERTRAUEN WIR? Zertifizierte Anwendungen oder Webseiten, die mit einem Sicherheitsbeleg einer offiziellen Zertifikatsstelle (Certificate Authority, CA) ausgezeichnet sind, wirken vertrauenswürdig. Allerdings sind Cyber-Kriminelle in der Lage, Zertifikate für ihre Malware zu fälschen. Dabei verwenden sie so genannte selbstsignierte Zertifikate. Sie haben es sogar geschafft, in die Systeme verschiedener CAs einzudringen und gestohlene Zertifikate zum Signieren ihres Codes zu nutzen. Diese Tatsache zeigt, wie notwendig es für Unternehmen ist, komplexe und integrierte Anti-Malware-Technologien zu implementieren, statt nur einer singulären Lösung zu vertrauen. 8. CYBER-ERPRESSUNG Die von Cyber-Kriminellen eingesetzten Methoden, mit denen sie ihre Opfer um Geld erleichtern, sind nicht immer subtil. Einen zerstörerischen Rundumschlag verursachen Ransomware -Schädlinge (Erpresser-Schadprogramme), die sich ähnlich bemerkbar machen wie Denial-Of-Service-Ereignisse (DoS bezeichnet die Nichtverfügbarkeit von Diensten als Folge einer Überlastung der Infrastruktursysteme): Sie blockieren entweder den Zugriff auf das System oder verschlüsseln Daten auf der Festplatte. Es ist meist kein Problem, das schädliche Programm zu entfernen oder den infizierten Rechner neu aufzusetzen. Der kritische Punkt liegt im möglichen Verlust von Daten. Daher ist es für jedes Unternehmen unabdingbar, regelmäßig Backups anzulegen. 9. MAC-OSX-MALWARE Ungeachtet geläufiger Vorstellungen sind Macs nicht immun gegen Malware. Im Gegenteil: Die Zahl der Mac-Schadprogramme ist in den vergangenen zwei Jahren beständig gestiegen. Verglichen mit der Flut von Schädlingen für Windows ist die Menge der Mac-basierten Malware zwar noch gering, trotzdem kommt es immer wieder zu allgemeinen Attacken wie der Infizierung von Macs mit dem Bot-Trojaner Flashfake. Es kommt auch vermehrt zu zielgerichteten Angriffen auf Unternehmen oder Einzelpersonen, die als Mac-Nutzer bekannt sind. Die Bedrohung von Macs ist also real und wird vermutlich größer werden. 6

7 10. MOBILE MALWARE Der traditionelle Arbeitsplatz verliert an Bedeutung. Gleichzeitig steigen die Anforderungen an die Datensicherheit, denn immer mehr Mitarbeiter erledigen ihre Aufgaben unterwegs: zu Hause, am Flughafen, im Hotel oder überall dort, wo es einen drahtlosen Internetzugang gibt. Das klassische Büro-Netzwerk ist also ebenso wie seine Nutzer in Bewegung. Diese Mobilität hat die Zahl der Angriffspunkte für Malware und Hacker erhöht. Auch der steigende Einsatz von Smartphones am Arbeitsplatz beeinflusst die Sicherheit im Unternehmen, denn IT-Abteilungen müssen nun eine Mischung aus diversen Endgeräten verwalten: Desktop-Rechner, Laptops und zusätzlich die unterschiedlichsten Smartphones. Dieses Problem wird dadurch verstärkt, dass viele Anwender das Endgerät gleichzeitig am Arbeitsplatz und privat nutzen ein Trend, der mit Bring your own Device (BYOD) bezeichnet wird. Durch das Pendeln zwischen Arbeit und Zuhause entstehen potenzielle Sicherheitsrisiken nicht nur aufgrund von Malware- Bedrohungen. Die Sicherheit ist auch dann in Gefahr, wenn das mobile Gerät verloren geht oder gestohlen wird. Unternehmen müssen also ihre Sicherheitsrichtlinien an die Abläufe im heutigen Arbeitsalltag anpassen. IT-Abteilungen können nicht länger nur die traditionelle Netzwerk-Infrastruktur überwachen und absichern. Sie müssen garantieren, dass jeder Mitarbeiter unabhängig von Ort und genutztem Endgerät geschützt arbeiten kann. 11. SICHERHEITSLÜCKEN UND EXPLOITS Cyber-Kriminelle nutzen ungepatchte Sicherheitslücken in Programmen aus, um Schadprogramme auf Computern zu installieren. Sie profitieren von der Existenz genereller Schwachstellen und dem Versäumnis einzelner Anwender oder des Unternehmens, die verwendete Software rechtzeitig zu aktualisieren. Dabei richten Cyber-Kriminelle ihre Aufmerksamkeit typischerweise auf populäre Anwendungen, die wahrscheinlich für lange Zeit ungepatcht bleiben. Somit besteht für sie ein ausreichendes Zeitfenster, um sich Zugang zum Unternehmensnetzwerk zu verschaffen. Auf Java-Sicherheitslücken entfallen derzeit mehr als 50 Prozent aller Schwachstellen, während Adobe Reader für weitere 25 Prozent verantwortlich ist. Um die Angriffsfläche zu verkleinern, müssen Unternehmen sicherstellen, dass sie die aktuellsten Versionen ihrer Software verwenden. Sicherheitsupdates sollten sie sofort nach deren Erscheinen auf ihre Rechner spielen. Darüber hinaus ist es ratsam, alle Programme zu entfernen, die im Unternehmen nicht mehr benötigt werden. Ein Schwachstellenscanner zum Aufspüren ungepatchter Anwendungen minimiert das Risiko, dass solche Applikationen übersehen werden. 7

8 Kaspersky Labs GmbH Despag-Straße Ingolstadt Deutschland salesdach@kaspersky.de Telefon +49 (0) Telefax +49 (0) cg24a/stand: Februar 2013