Statistische Analysen von Malware-Events zur Entwicklung optimierter Malware-Abwehrstrategien Sebastian Brahm

Größe: px
Ab Seite anzeigen:

Download "Statistische Analysen von Malware-Events zur Entwicklung optimierter Malware-Abwehrstrategien Sebastian Brahm"

Transkript

1 Statistische Analysen von Malware-Events zur Entwicklung optimierter Malware-Abwehrstrategien Sebastian Brahm Master s Thesis. 26. September Research Group Embedded Malware Prof. Dr. Thorsten Holz

2

3 Sperrvermerk Die vorliegende Masterarbeit beinhaltet vertrauliche Informationen des kooperierenden Unternehmens (KU). Die Weitergabe des Inhalts der Masterarbeit im Gesamten oder in Teilen sowie das Anfertigen von Kopien oder Abschriften - auch in digitaler Form - sind grundsätzlich untersagt. Eine Freigabe wird ausschließlich zur Vorlage bei den zur Erlangung des akademischen Grades erforderlichen Stellen erteilt. Ausnahmen bedürfen der schriftlichen Genehmigung des KU.

4

5 Zusammenfassung Die Masterthesis befasst sich mit der statistischen Analyse von Malware-Events zur Entwicklung optimierter Malware-Abwehrstrategien. Dazu wurden Log-Daten in einem kooperierenden Unternehmen (KU) von einer Anti-Malware-Suite (McAfee) erhoben. Die aufgestellten fachlichen Vermutungen setzten die Merkmale Zeit, Systemtyp, Betriebsystem, Geschlecht, Alter, Privileg in Bezug zu den Log-Daten. Aus den genannten Merkmalen wurden statistische Hypothesen entwickelt, Regeln für die Zusammenfassung von Einzelevents aufgestellt und der Begriff der Infektion definiert. Aus den Ergebnissen der analysierten Hypothesen konnten Optimierungsmaßnahmen abgeleitet werden, um verbesserte Ansätze zur Malware-Abwehr zu entwickeln. Dies wurde exemplarisch beim KU durchgeführt, wäre aber auch in anderen Unternehmen in analoger Weise anwendbar. Für die in dieser Arbeit beschriebenen Analysen wurde eigens ein Tool entwickelt, dass die durchgeführten Untersuchungen ermöglichte. Den datenschutzrechtlichen Anforderungen bei statistischen Erhebungen wurde durch Anonymisierung Rechnung getragen. Das Tool kann ebenfalls in anderen Unternehmen eingesetzt werden. In diesem Fall muss im Tool die Konverterkomponente auf das verwendete Anti-Malware-Produkt angepasst werden. Bei den Merkmalen Zeit und Systemtyp wurden Auffälligkeiten festgestellt und zur Reduzierung des Malware-Befalls Maßnahmen vorgeschlagen. Zum Beispiel sollte bei den Serversystemen die Frequenz des On-Demand-Scan (ODS) überprüft und gegebenenfalls erhöht werden. Beim Merkmal Zeit konnte durch die Betrachtung der Malware-Events in einem bestimmten Zeitraum (12 bis 14 Uhr) ein möglicher Handlungsbedarf festgestellt und hieraus Empfehlungen für die Mitarbeiter des KU abgeleitet werden. Abschließend werden weiterführende Hinweise zur Verbesserung der Logging- und Reporting-Komponenten von Anti-Malware-Systemen gegeben.

6

7 Vorwort und Dank Mein Bachelorstudium an der Hochschule Niederrhein beendete ich im Oktober 2008 mit der Abschlussarbeit, die ich im Bereich Visualisierung geometrischer Algorithmen verfasste. Diese Arbeit war inhaltlich eng an die Lehrveranstaltung geometrische Algorithmen meines Studiums gebunden. Aus diesem Grunde habe ich mich dazu entschlossen, die Abschlussarbeit meines Masterstudiums, das ich seit 2008 an der Ruhr-Universität Bochum im Bereich IT-Sicherheit/ Netze und Systeme absolviere, innerhalb eines Unternehmens anzufertigen. Über eine Veranstaltung des Horst-Görtz-Instituts für IT-Sicherheit (HGI) habe ich erste Kontakte zu einem Unternehmen geknüpft, das bereit war, mir eine interessante Thematik für meine Masterarbeit anzubieten und mich bei der Erstellung zu begleiten. Bedanken möchte ich mich in erster Linie bei meinen Eltern Anneliese und Dieter Brahm, die mir mein Studium an der Hochschule Niederrhein sowie an der Ruhr-Universität Bochum ermöglicht haben. Des Weiteren gilt mein Dank dem kooperierenden Unternehmen und den beteiligten Mitarbeitern sowie Herrn Prof. Dr. Thorsten Holz von der Ruhr-Universität Bochum, die mich bei der Realisierung dieser Arbeit tatkräftig unterstützten. Außerdem danke ich allen, die diese Arbeit unter viel Zeitaufwand Korrektur gelesen haben.

8 Declaration I hereby declare that this submission is my own work and that, to the best of my knowledge and belief, it contains no material previously published or written by another person nor material which to a substantial extent has been accepted for the award of any other degree or diploma of the university or other institute of higher learning, except where due acknowledgment has been made in the text. Erklärung Hiermit versichere ich, dass ich die vorliegende Arbeit selbstständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe, dass alle Stellen der Arbeit, die wörtlich oder sinngemäß aus anderen Quellen übernommen wurden, als solche kenntlich gemacht sind und dass die Arbeit in gleicher oder ähnlicher Form noch keiner Prüfungsbehörde vorgelegt wurde. Date author

9 Inhaltsverzeichnis 1 Einführung Ziele der Thesis Aufbau der Arbeit Grundlagen Malware Maßnahmen gegen Malware-Befall Policy Awareness Verringerung von Sicherheitslücken Verringerung von Bedrohungen Anti-Malware-Systeme Einordnung von Anti-Malware-Systemen in die IT-Security Generelle Funktionsweise und Architektur McAfee Produktfamilie epolicy Orchestrator Virus Scan Enterprise Logging Exemplarische Logging Architektur Anti-Malware-Systeme Statistik Statistische Grundbegriffe Entscheidungsbaum Chi-Quadrat-Test Datenschutzanforderungen bei statistischen Erhebungen Begriff des Datenschutzes Rechtsgrundlagen Datenschutzgesetze für den öffentlichen Bereich Datenschutzgesetze für die Privatwirtschaft Personenbezogene Daten Anonymisierte Daten Anonymisierungsverfahren Pseudonymisierungsverfahren Beachtung des Datenschutzes und der Mitbestimmung des Betriebsrates bei Erstellung der Thesis

10 ii Inhaltsverzeichnis 3 Durchführung der Untersuchung Beschreibung der vorliegenden Daten Fachliche Vermutungen über Zusammenhänge Merkmal Zeit Merkmalsträger System Merkmalsträger Benutzer Werkzeuge für die Untersuchung Auswertungsdatei Virus und Trojaner Auswertungsdatei Infektionen Ergebnisse und Diskussion Merkmal Zeit Quartal & Monat Wochentag TOP 3 Malware Mehrdimensionale Auswertungen Merkmalsträger System Merkmal Systemtyp Merkmal Betriebssystem Merkmalsträger Benutzer Merkmal Geschlecht Merkmal Alter Merkmal Privileg Zusammenfassung der Verbesserungsmaßnahmen Fazit und Ausblick Zusammenfassung Ausblick A Abkürzungsverzeichnis 73 Abbildungsverzeichnis 75 Tabellenverzeichnis 77 Quellcodeverzeichnis 79 Literaturverzeichnis 81

11 1 Einführung Am 01. August 2011 veröffentlichte das Marktforschungs- und Beratungsunternehmen International Data Corporation (IDC) eine Studie zum Thema IT-Security in Deutschland. Diese beantwortet die Frage, inwieweit die Nutzung von Cloud Computing, Mobility und Social Media die Entwicklung von neuen Attacken auf Unternehmen begünstigt. Im Fokus dieser Auswertung stehen die Mitarbeiter von Unternehmen. Diese sollen verstärkt in die Sicherheitsüberlegungen einbezogen werden, da sie unter Zugrundelegung der Studie als größtes Sicherheitsrisiko ausgemacht worden sind. Insgesamt nahmen 202 Unternehmen mit mehr als 100 Mitarbeitern an der Studie teil. In 50 Prozent aller Unternehmen wurden die Mitarbeiter als schwächstes Glied in der IT-Security-Kette ausgemacht. Als weiterern Unsicherheitsfaktor nannten 31 Prozent der befragten Unternehmen Smartphones. Weitere Sicherheitsrisiken wurden in 21 Prozent der Unternehmen bei Laptops beziehungsweise PC-Arbeitsplätzen gesehen. Laut der Studie betrachten 42 Prozent der Unternehmen die Abwehr und Entwicklung von neuen Abwehrstrategien als wichtige Herausforderung [Mat11]. Dieser Trend lässt sich über mehrere Jahre verfolgen. Bereits 2009 veröffentlichte die Unternehmensberatung Capgemini in der Studie IT-Trends, dass mittlerweile 40 Prozent von 30 befragten Unternehmen auf Awareness-Maßnahmen und Schulungen von Mitarbeitern setzten. Dies sind 7 Prozent mehr als im Jahr Laut der Studie scheinen die meisten Unternehmen die Bedrohungen, für deren Eindämmung technische Systeme installiert wurden, wie Angriffe auf Firewalls oder durch Viren, Würmer und Trojaner im Griff zu haben. 80 Prozent der befragten Unternehmen schließen die technischen Systeme inzwischen in das Reporting ein. Weiche Faktoren hingegen, wie das Sicherheitsbewusstsein der Mitarbeiter, berücksichtigen nur 60 Prozent der Befragten [Cap09]. Vor diesem Hintergrund befasst sich die Thesis mit der statistischen Analyse von Malware-Events zur Entwicklung optimierter Malware-Abwehrstrategien. Es soll festgestellt werden, inwieweit sich durch statistische Analysen von Malware-Logdaten Ansätze sowohl zur Verbesserung von Awareness-Maßnahmen als auch von technischen Schutzvorkehrungen ermitteln lassen. Die Arbeit wurde in Zusammenarbeit mit einem international tätigen Unternehmen angefertigt. Aufgrund der Anonymisierung wird im weiteren Verlauf der Arbeit dieses Unternehmen als Kooperierendes Unternehmen (KU) bezeichnet. 1.1 Ziele der Thesis Die Arbeit befasst sich mit der statistischen Analyse von Malware-Events vor dem Hintergrund der Entwicklung optimierter Malware-Abwehrstrategien. In dieser Arbeit wird aufbauend auf einer grundlegenden Darstellung zu Anti-Malware-Systemen der Schwerpunkt auf die McAfee Produktfamilie gelegt, da die Thesis in Zusammenarbeit mit

12 2 1 Einführung einem KU erstellt wird, in dem diese Produktfamilie auf den Microsoft Windows-basierten Client- und Serversystemen verwendet wird. Kernstück dieser Arbeit sind statistische Analysen von Malware-Events sowie ihre Beziehungen zu ergänzenden Informationen. Dies können zum Beispiel soziodemographische oder systemspezifische Merkmale sein. In der Arbeit werden daher statistische Hypothesen aufgestellt, die dann mit Hilfe eines Unabhängigkeitstests ausgewertet werden. Auf dieser Grundlage wird in der Arbeit untersucht, inwieweit sich durch unterschiedliche (in Anti-Malware-Systemen enthaltene und darüber hinausgehende) Analysen von Malware-Events verbesserte Ansätze für eine Bedrohungsabwehr entwickeln lassen, zum Beispiel durch: Häufigkeitsstatistiken zu befallenen Objekten, Malware-Typen, Usern und Systemen, Betrachtung des Auftretens von Malware-Events im Zeitverlauf, Betrachtung der Unterschiede bei verschiedenen Scan-Typen, Feststellung von Korrelationen zwischen Events und anderen Merkmalen (zum Beispiel Eigenschaften der befallenen Systeme, Spezifika betroffener Benutzer). In dieser Arbeit wird weiterhin untersucht, ob dabei durch neue oder erweiterte Ansätze zur Auswertung von Eventlogs Verbesserungen erzielt werden können. Hierunter fallen zum Beispiel das Reduzieren beziehungsweise Komprimieren von Einzelevents durch Zusammenfassung gleicher, ähnlicher oder korrelierender Events. Es werden Regeln und Heuristiken für die Zusammenfassung von Events entwickelt, um Einzelevents zu Infektionen zusammenzufassen. Die Analyse wurde mit Hilfe eines eigens entwickelten Tools durchgeführt. Die Basis des Tools war Microsoft Excel und die Skriptsprache Visual Basic for Applications (VBA). Das Tool ermöglicht es, Daten aus unterschiedlichen Quellen zu erheben, um diese dann gezielt mit Hilfe geeigneter statistischer Verfahren auszuwerten. Abschließend wird untersucht, wie aus der optimierten Analyse verbesserte Malware-Abwehrstrategien abgeleitet werden können, die sich zum Beispiel auf die Systemkonfiguration und das Anwenderverhalten beziehen können. 1.2 Aufbau der Arbeit Die Arbeit gliedert sich in fünf Kapitel. Nach einer Einführung in die Thematik in Kapitel 1 werden in Kapitel 2 die grundlegenden Definitionen und Konzepte vorgestellt, die zum Verständnis der Arbeit beitragen. Darüber hinaus wird der Maßnahmenkatalog beschrieben, der die Grundlage für die späteren Interpretationen in Kapitel 4 darstellt. Kapitel 3 beschreibt die Durchführung der Untersuchung im Detail. Dabei werden die vorliegenden Daten (Malware-Funde, Systemdaten und Personeninformationen) näher beschrieben. Es werden fachliche Vermutungen über Zusammenhänge und daraus abgeleitete Hypothesen aufgestellt. Die Auswertung der Hypothesen erfolgt mit Hilfe eines Tools.

13 1.2 Aufbau der Arbeit 3 Dieses Tool wird erläutert und soll den Mitarbeitern des KU helfen, die hier aufgestellten Hypothesen in den Arbeitsprozess zu integrieren. In Kapitel 4 sind die Ergebnisse der Arbeit aufgeführt und interpretiert. Es werden Optimierungsmaßnahmen vorgeschlagen beziehungsweise Empfehlungen gegeben, die das KU umsetzen könnte. Die Arbeit schließt in Kapitel 5 mit einem Ausblick, in dem auf Einsatzmöglichkeiten des Analyseansatzes in anderen Unternehmen eingegangen wird sowie wünschenswerte Erweiterungen der Logging- und Reporting-Komponenten von Anti-Malware-Systemen aufgezeigt werden.

14

15 2 Grundlagen In diesem Kapitel werden die für diese Arbeit relevanten Grundlagen beschrieben und erläutert. Abschnitt 2.1 stellt die unterschiedlichen Malware-Typen wie Viren, Würmer und Trojaner vor. Der Abschnitt 2.2 betrachtet die Maßnahmen, die gegen einen Malware-Befall unternommen werden können. Insbesondere werden die Richtlinien für Präventionsmaßnahmen gegen Malware, die Verhaltensregeln für den Umgang mit der IT- Infrastruktur (Awareness), die Reduzierung von Sicherheitslücken und die Sicherheitstools für die Verringerung von Bedrohungen beschrieben. In Abschnitt 2.3 wird die Funktionsweise eines Anti-Malware Systems beleuchtet und insbesondere auf die Produktfamilie von McAfee eingegangen. Die Erläuterungen hierzu sind besonders ausführlich, da diese Produkte im KU eingesetzt werden. Andere Hersteller bieten ähnliche oder vergleichbare Anti-Malwarelösungen, jedoch werden sie im Rahmen dieser Arbeit nicht vorgestellt. In Abschnitt 2.4 wird eine Aussage dazu getroffen, warum ein Zusammenhang zwischen Logging-Architektur und Malware besteht. Außerdem enthält er einen generellen Überblick über eine Logging-Architektur. Der umfangreichste Teil dieser Thesis ist Abschnitt 2.5, in dem die Phasen einer allgemeinen statistischen Auswertung dargestellt werden. Es werden notwendige Begriffsdefinitionen geliefert, ein Entscheidungsbaum vorgestellt und die mit seiner Hilfe gewählten Verfahren näher beleuchtet. Abschnitt 2.6 beschreibt die Datenschutzanforderungen bei statistischen Erhebungen. 2.1 Malware Der englische Ausdruck Malware steht für ein Portmanteau 1, das aus den beiden Wörtern malicious für bösartig und Software zusammengesetzt ist. Malware wird auch als Schadprogramm beziehungsweise Schadsoftware bezeichnet.[mr07] Malware is a set of instructions that run on your computer and make your system do something that an attacker wants it to do. [AM08] Um die verschiedenen Arten von Malware zu verstehen, ist es sinnvoll, die Geschichte von Malware zu kennen. Die Anfänge von Malware gehen bis in das Jahr 1949 zurück. Dort beschrieb der Mathematiker John von Neumann in seiner Arbeit Theory and Organization of Complicated Automata und in einem nicht fertig gestellten Manuskript The Theory of Automata: Construction, Reproduction, Homogeneity, wie sich Computerprogramme 1 Kunstwort, das aus mindestens zwei Wortsegmenten besteht.

16 6 2 Grundlagen selbst reproduzieren [Neu66]. Diese Idee griff der Mathematiker Lionel Penrose in seinem Artikel Self-Reproducing Machines [Pen59] auf, wo er ein einfaches Modell ähnlicher Struktur mit der Fähigkeit beschreibt, aktiviert zu werden und sich selbst multipliziert entstand der erste Virus namens Elk Cloner. Dieser Bootvirus wurde für den Apple II entwickelt und verbreitete sich über Disketten (Boot-Sektor), da sich das Betriebssystem in der damaligen Zeit noch darauf befand. Der Begriff Virus wurde im November 1983 von Frederick Cohnen im Rahmen seiner Dissertation Computer Viruses - Theory and Experiments an der Lehigh Universität geprägt. Dort stellte er ein Programm namens V vor, dass in der Lage war, sich selbst zu reproduzieren. Ein Jahr später formalisierte er die grundlegenden Eigenschaften eines Viruses und nannte es auf Vorschlag seines Dozenten Prof. Leonard M. Adleman Computervirus. Im Jahr 1986 wurde der erste Virus für das Betriebssystem MS-DOS verbreitet. Er wird unter den Namen Brain, Lahore, Pakistani, Pakistani Brain, Brain-A und UIUC geführt. Er ersetzt den Boot-Sektor im Computer, indem er eine Kopie von sich selbst erzeugt wurde der Morris-Wurm veröffentlicht, der in der Lage war, tausende vernetzte Rechner zu infizieren. Der Wurm arbeitet ähnlich wie der Computervirus, jedoch besteht der essentielle Unterschied darin, dass sich der Computerwurm über Netzwerke oder über Wechselmedien, wie zum Beispiel USB-Sticks, selbst verbreitet und er keinen fremden Code infiziert. Um einen Host anzugreifen, haben die Programmierer verschiedene Angriffsmethoden. Sie nutzen zum Beispiel Schwachstellen in gängigen Internetbrowsern oder in Betriebssystemen. Der Wurm ist auf die selbständige Verbreitung in Netzwerken sowie das Stehlen von Rechenzeit ausgelegt. Es gibt zwei Hauptkategorien von Computerwürmern. Die erste Kategorie umfasst die Network service worms. Diese nutzen Sicherheitslücken in Netzwerkdiensten in Verbindung mit Anwendungen oder Betriebssystemen. Sasser und Witty sind Beispiele für solche Network service worms. Die zweite Kategorie umfasst die mass mailing worms. Sobald ein mass mailing worm ein System infiziert hat, sucht der Wurm nach -Adressen, um Kopien von sich selbst an diese Adressen zu senden. Entweder nutzt der Wurm den -Client des Systems oder verwendet einen eigenen. Beagle, MyDoom und SoBig sind Beispiele für die Kategorie der mass mailing worms [WBMW04]. Ab 1980 begann das Zeitalter der Trojanischen Pferde. Die Bezeichnung Trojaner bezieht sich auf das Trojanische Pferd in der griechischen Mythologie. Dort wurde das Pferd als Kriegslist gegen Troja verwendet. Der Legende nach versteckten sich griechische Krieger im Bauch des Pferdes und griffen die Trojaner aus dem Hinterhalt an. Im Computerbereich funktioniert diese List analog. Als nützliches Programm getarnt versucht der Angreifer, seine Schadsoftware unbemerkt im Zielsystem zu platzieren. Sobald er die Kontrolle erlangt hat, stehen ihm mannigfache Möglichkeiten zur Verfügung. Beispielsweise kann er Dateien löschen, Dateien modifizieren oder Passwörter ausspionieren. Zu den bekannten Trojanern zählen zum Beispiel SubSeven, Back Orifice oder Optix Pro. Im Gegensatz dazu ermöglicht eine Backdoor einen alternativen Zugang zu einer Anwendung oder einem Computersystem und ist vom Trojanischen Pferd klar abzugrenzen.

17 2.2 Maßnahmen gegen Malware-Befall 7 Um das Nutzerverhalten unentdeckt zu analysieren, werden die beiden Malware-Typen Spyware und Adware verwendet. Hierbei handelt es sich um Software, die einerseits Informationen über die Tätigkeit des Benutzers sammelt, um diese dann an Dritte weiterleiten, andererseits aber auch für Werbung oder Marktforschung verwendet wird. Durch eine Backdoor erhalten die Angreifer unbemerkt Zugriff auf das befallene System und werden so als sogenannte Bots missbraucht. Diese ferngesteuerten Systeme werden von einem Angreifer zu einem Botnetz zusammengefasst. Diese können dann durch einen Command and Control-Server zentral gesteuert werden, um beispielsweise gezielte Denial of Service (DoS) Angriffe durchzuführen. Das seit März 2009 bekannte Cimbot- Botnetz mit maximal Bots versendet rund 1,9 Milliarden Spammails pro Tag [Bun11]. Bei einem DoS-Angriff wird ein Computersystem von vielen Anwendern mit Netzwerkpaketen oder Anfragen regelrecht bombardiert. Der Rechner kann die gewaltigen Datenmengen meist nicht verarbeiten und bricht überlastet zusammen. Ein Beispiel sind die Angriffe von Wiki-Leaks-Unterstützern auf staatliche Stellen und Firmen im Jahr Der englische Begriff Hoax bezeichnet eine Falschmeldung oder Ente, die über eine verbreitet werden kann. In einer solchen wird zum Beispiel vor einem neuen gefährlichen Virus gewarnt. Sobald der Empfänger die öffnet, wird der Virus aktiv. 2.2 Maßnahmen gegen Malware-Befall In diesem Abschnitt wird das Portfolio der möglichen Maßnahmen gegen Malware-Befall aufgespannt. Um sich vor einem Malware-Befall zu schützen, gibt es keine einheitliche Lösung. Das geeignete Bündel von Schutzmaßnahmen muss individuell auf das Unternehmen zugeschnitten werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt im Rahmen des IT-Grundschutzkataloges eine Zusammenstellung in Form von Bausteinen zur Verfügung, um sich gegen Schadsoftware zu schützen. Darüber hinaus publizierte das National Institute of Standards and Technology (NIST) einen Leitfaden für die Prävention und Störungsbeseitigung von Malware [MKN05]. Diese beiden Konzepte werden in diesem Abschnitt zu einem Maßnahmenkatalog zusammengefasst. Im weiteren Verlauf der Arbeit erfolgt die Interpretation, um daraus Optimierungsmaßnahmen abzuleiten. In den nachfolgenden Abschnitten werden einige wichtige Themenbereiche näher betrachtet Policy Policies (innerbetriebliche Regelwerke) stellen die Rahmenvorschriften für Berechtigungen und Verbote für die im Unternehmen durchgeführten Präventions-, Entdeckungs- und Reaktionsmaßnahmen dar. Zur Erzielung eines angemessenen IT-Sicherheitsniveaus werden die nachfolgenden Maßnahmen empfohlen, die von Unternehmen entsprechend ihres spezifischen Risikoprofils ausgewählt werden können:

18 8 2 Grundlagen Bevor Medien im Unternehmen verwendet werden können, müssen sie auf Malware untersucht werden. Anhänge einschließlich komprimierter Dateien wie zum Beispiel ZIP-Dateien müssen, bevor sie auf lokale Laufwerke oder Medien gespeichert werden, auf Malware untersucht werden. Bestimmte Arten von Dateien (zum Beispiel.exe) dürfen nicht per versendet oder empfangen werden. Darüber hinaus sollten Dateitypen bei einem drohenden Malware-Befall blockierbar sein. Die Verwendung unnötiger Software, wie zum Beispiel Instant Messenger, Desktop- Suchmaschinen, Peer-to-Peer Filesharing-Dienste, muss eingeschränkt oder verboten werden. Die Benutzung von Services von externen Anbietern, wie zum Beispiel , dürfen nicht verwendet werden, wenn dieser Service zum Portfolio des Unternehmens gehört. Die Nutzung administrativer Rechte muss beschränkt werden, da es auch den Spielraum von Malware beeinflusst. Betriebssysteme und Anwendungen müssen durch ein Update- und Patchmanagement up-to-date gehalten werden. Weiterhin muss die Verwendung von Wechseldatenträgern, wie zum Beispiel CDs, USB-Sticks etc., beschränkt werden. Besonderes Augenmerk muss auf Systeme gelegt werden, die ein hohes Risiko für Infektionen darstellen. Zugang zu anderen Netzwerken (einschließlich Internet) ist nur durch die in der Organisation anerkannten und gesicherten Mechanismen erlaubt. Firewall-Konfigurations-Änderungen dürfen nur durch einen dokumentierten Prozess zugelassen werden. Spezifizieren, welche Arten von mobilen Codes zwischen verschiedenen Systemen transferiert werden dürfen, beispielsweise JavaScript, VBScript, Java Applets und Makros, die in Office-Dokumente eingebettet sind. Mobile Geräte dürfen nur in vertrauenswürdigen Netzen kommunizieren Awareness Ein effektives Awarenessprogramm erklärt dem Mitarbeiter die richtigen Verhaltensregeln für den Umgang mit der IT-Infrastruktur im Unternehmen. Der Faktor Mensch und seine Sensibilisierung spielt dabei eine entscheidende Rolle. Da für ihn die technischen Sicherheitsmaßnahmen nicht ausreichen, müssen hierfür administrative Maßnahmen beziehungsweise Richtlinien ergriffen werden, indem beispielsweise das Verständnis über technische Zusammenhänge und Bedrohungen bei den Nutzern hergestellt wird. Damit dieses erfolgreich umgesetzt werden kann, müssen die Direktiven, Policies, Richtlinien

19 2.2 Maßnahmen gegen Malware-Befall 9 und Weisungen im Unternehmen gelebt werden. Eine Policy hat nur dann Sinn, wenn diese durchgesetzt wird und Verstöße geahndet werden. Jeder Mitarbeiter muss darüber informiert und aufgeklärt werden, wie Malware in Systeme gelangt, wie diese infiziert werden und welches Risiko besteht. Einige Empfehlungen werden vorgestellt, die dem Mitarbeiter in der Praxis helfen, sich vor Malware zu schützen: Keine verdächtigen s oder -Anhänge von bekannten oder unbekannten Absendern öffnen. Nicht auf verdächtige Pop-Ups von Web-Browsern klicken. Keine Dateien öffnen mit den Endungen (zum Beispiel.exe,.bat,.com,.pif,.vbs). Nicht die vorhandenen Sicherheitsmechanismen wie Anti-Viren-Software, Spyware- Erkennung und removal utilities, Personal-Firewall deaktivieren. Keinen Administratorstatus für die normalen Systemvorgänge verwenden. Keine Programme von unsicheren Quellen ausführen oder downloaden. Auch Broschüren, Aktions-Flyer, Aufkleber und Poster, die beispielsweise in der Kantine ausgelegt werden, können dazu beitragen, die IT-Sicherheit dem Mitarbeiter näher zu bringen. Das in Abbildung 2.1 dargestellte Poster ist ein Beispiel für eine spezifische Awareness Maßnahme, die auf das regelmäßige Ändern seines Passwortes abzielt. Neben generellen Maßnahmen können auch zielgruppenspezifische Maßnahmen durchgeführt werden. Mitarbeiter könnten an einem Quiz teilnehmen, bei dem an einem PC-Arbeitsplatz verschiedene sicherheitsrelevante Verstöße vorgenommen wurden. Anhand eines Formulars kann der Teilnehmer zu verschiedenen Themen Möglichkeiten ankreuzen, die für den Bereich der IT-Sicherheit relevant sind. Ein weiterer Anreiz wären Preise, die die Mitarbeiter aufgrund ihres guten Wissens gewinnen können [BW07] [MP07] Verringerung von Sicherheitslücken Malware nutzt oft Sicherheitslücken in Betriebssystemen, Diensten und Anwendungen aus, um unerlaubten Zugriff auf Systeme zu erhalten. Aus diesem Grund ist die Verringerung von Schwachstellen eine wichtige Maßnahme für die Prävention von Malware-Angriffen. Nach Auftreten einer Sicherheitslücke können verschiedene Methoden angewandt werden, um Malware-Angriffe zu verhindern. Durch Einspielen von Patches kann die Software aktualisiert oder neu konfiguriert werden (zum Beispiel Sperrung eines Dienstes). Unternehmen sollten für die Minderung von Schwachstellen das Prinzip der gestaffelten Verteidigung verwenden, da meistens nicht eine, sondern eher mehrere Maßnahmen nötig sind, um Malware-Befälle zu mindern. Einige Maßnahmen werden im Folgenden näher erläutert:

20 10 2 Grundlagen Abbildung 2.1: Poster Awareness Passwort [Inf08]

21 2.2 Maßnahmen gegen Malware-Befall 11 Patch Management Um Sicherheitslücken in Betriebssystemen und Anwendungen zu schließen, bildet das Patchen von Systemen die Grundlage für eine sichere IT-Infrastruktur. Das Patch-Management umfasst mehrere Schritte. Zunächst wird die Kritikalität der Sicherheitslücke eingestuft und die Auswirkung auf die IT-Infrastruktur eingeschätzt. Die Einstufung von Sicherheitslücken erfolgt durch das Common Vulnerability Scoring System (CVSS). Das CVSS ist ein standardisiertes, plattformunabhängiges Bewertungssystem für IT-Sicherheitslücken. Das System weist Sicherheitslücken je nach Schweregrad einen Zahlenwert von 0 bis 10 zu. Um so höher der Wert, desto höher ist der Schweregrad der Sicherheitslücke. Darüber hinaus erhält jede Sicherheitslücke eine Komplexitätsbewertung von Niedrig, Mittel oder Hoch [Mic10]. Dabei ist zu beachten, dass eine niedrige Komplexität eine größere Gefahr darstellt. Das Testen und Dokumentieren der Patche wird im zweiten Schritt vorgenommen. Ferner ist zu beachten, dass das Testen der Patche in einer kontrollierten Umgebung stattfindet. Um Sicherheitslücken auszuschließen, muss gewährleistet werden, dass der Zeitpunkt der Entdeckung und das Einspielen des Patches nah beieinander liegen. Um dies zu gewährleisten empfiehlt das BSI in dem Artikel Die Lage der IT-Sicherheit in Deutschland 2011 effektive Aktualisierungs-Mechanismen, um Sicherheitslücken schnell und wirksam zu beheben [Bun11]. Durch automatische Update- Mechanismen wird, ohne Zutun des Anwenders, das System auf dem neuesten Stand gehalten. Derartige Funktionen sind bereits in den meisten Anwendungen vorhanden. Doch auch hier können Probleme auftreten. Zum einen besteht das Problem der minimalen Rechte (zum Beispiel Installationsverbot für Updates) und zum anderen mangelt es an zentralen Update-Funktionalitäten. Beispielsweise gestalten viele Hersteller ihre Update- Zyklen unterschiedlich. Minimale Rechte Das Konzept der minimalen Rechte bezieht sich auf die Konfiguration von Benutzern, Prozessen und Hosts. Diese erhalten nur die minimal benötigten Rechte, um ihre Aufgabe zu erfüllen. Da in den meisten Fällen übergeordnete Rechte (zum Beispiel für die Zurücksetzung von Passwörtern) benötigt werden, kann dieses Prinzip Malware-Befälle verhindern. Denn die meisten Schadprogramme benötigen uneingeschränkte Rechte für ihre Installation, um beispielsweise Treiber für die Protokollierung der Tastaturanschläge einzurichten. Jedoch ist dieses Konzept sehr ressourcenintensiv, da Benutzer zum Beispiel nicht in der Lage sind, dass Betriebssystem oder Anwendungen zu aktualisieren. Weitere Präventionsmaßnahmen Zusätzlich zu den beiden genannten Methoden, wie regelmäßiges Patchen von Systemen und Reduzieren der Rechte, sollten Unternehmen noch weitere Methoden in Betracht ziehen, wie sie ihre Systeme vor Malware schützen. Weitere Beispiele sind: Deaktivieren oder Löschen von nicht benötigten Diensten insbesondere Netzwerk- Dienste, welche Schwachstellen enthalten können. Entfernen oder Ändern von Standard-Benutzernamen und Kennwörtern für Betriebssysteme und Anwendungen, da sie von Malware verwendet werden können, um unbefugten Zugriff auf Systeme und Anwendungen zu erhalten.

22 12 2 Grundlagen Deaktivierung des automatischen Ausführens von Skripten und Binärdateien. Unternehmen sollten Leitfäden für Betriebssysteme und Anwendungskonfigurationen sowie Checklisten für Administratoren bereitstellen, um ihre Client- und Server-Systeme effektiv und konsistent abzusichern. Diese Leitfäden enthalten typischerweise Empfehlungen für die Einstellung von Systemen, um die Standard-Sicherheitsstufe zu erhöhen. Darüber hinaus sollten Unternehmen regelmäßige Penetrationstest durchführen, um Schwachstellen in der IT-Infrastruktur zu identifizieren und gezielte Gegenmaßnahmen zu entwickeln Verringerung von Bedrohungen Dieser Abschnitt beschreibt die verschiedenen Arten von Sicherheitstools, die Malware- Bedrohungen verringern können. Anti-Viren Software Viren-Schutzprogramme sind die am häufigsten verwendete technische Kontrolle für Malware. Für Betriebssysteme und Anwendungen, die häufig Ziel von Malware sind, ist die Anti-Viren-Software zu einer Notwendigkeit geworden. Deshalb stellt die Auswahl und Beschaffung eine wesentliche Rolle dar, wobei die meisten Produkte der Softwarehersteller eine ähnliche Schutzwirkung erzielen. Eine genauere Beschreibung der Funktionsweise ist im Abschnitt 2.3 zu finden. Anti-Spyware Software Anti-Spyware Software ist dafür konzipiert, viele Arten von Spyware 2 auf Systemen zu erkennen. Darüber hinaus ist sie in der Lage, Dateien, die durch Spyware infiziert worden sind, zu löschen oder in Quarantäne zu verschieben. Folgende Funktionen sollte eine Anti-Spyware Software beinhalten: Identifizieren von verschiedenen Arten an Spyware (mobilen Code, Trojanische Pferde, Tracking-Cookies) Durchführung von regelmäßigen Scans von Dateien, Speicher- und Konfigurationsdateien auf bekannte Spyware Überwachung von Netzwerktreibern und Windows-Shell-Einstellungen Überwachung von Prozessen und Programmen, die automatisch beim Systemstart geladen werden Zur Minderung von Spyware-Bedrohungen sollten Unternehmen Anti-Spyware Software verwenden oder Anti-Viren-Software mit diesen Fähigkeiten. 2 Spyware setzt sich aus spy vom englischen Wort Spion, und -ware als Endung von Software zusammen. Spyware wird typischerweise verwendet, um Daten eines Computerbenutzers ohne dessen Wissen oder Einwilligung an den Hersteller der Software oder an Dritte zu senden.

23 2.2 Maßnahmen gegen Malware-Befall 13 Intrusion Prevention Systems Netzwerkbasierende Intrusion Prevention System (IPS) versuchen, durch Analyse des Netzwerkverkehrs verdächtige Aktivitäten zu entdecken. In der Regel werden diese Systeme inline eingesetzt. Dies bedeutet, dass die Software wie eine Netzwerk-Firewall fungiert. Sie empfängt Pakete, analysiert diese und entscheidet, ob die Pakete akzeptiert oder blockiert werden. Diese Architektur ermöglicht es, Angriffe auf das Netzwerk zu entdecken, bevor sie das eigentliche Ziel erreichen. Die meisten Produkte nutzen eine Kombination aus Angriffssignaturen und Analyse von Netzwerkund Anwendungsprotokollen, d.h. sie vergleichen die Netzwerkaktivität von häufig angegriffenen Anwendungen (zum Beispiel -Server, Web-Server). IPS-Produkte werden verwendet, um viele Arten von bösartigen Aktivitäten neben Malware zu erkennen. Standardmäßig kennen diese Systeme nur eine geringe Anzahl von Malware. Die Erkennung von Malware kann durch Anpassung der Konfiguration und Bereitstellung der Signaturen in kürzester Zeit von Administratoren erhöht werden. Router und Firewall Netzwerkbasierende Geräte wie Router und Firewall sowie Client basierende Firewall-Software untersuchen den Netzwerkverkehr. Anhand von Regeln erlauben oder verbieten sie diesen. Ein Router verwendet in der Regel einen einfachen Satz von Regeln, wie eine Access Control List (ACL). Bei Firewalls hingegen werden zwei Typen unterschieden. Netzwerkfirewalls werden zwischen zwei Netzen eingesetzt, um den Datenverkehr zwischen diesen beiden zu untersuchen. Der zweite Typ Firewall ist ein Stück Software, welches auf einem Host installiert ist. Auf diesem Host können ein- und ausgehende Netzwerkaktivitäten eingeschränkt werden. Beide Arten von Firewalls können Malware-Befälle verhindern. Anwendungseinstellungen Malware nutzt häufig Funktionen von gängigen Anwendungen wie -Clients, Web-Browsern oder Textverarbeitungsprogrammen, um Schadcode auf dem Zielsystem zu verbreiten. Während in der Vergangenheit die meisten Softwarehersteller bei der Herstellung ihrer Anwendungen eher auf Punkte wie Benutzerfreundlichkeit und Funktionalität setzten, sollten sie nunmehr ihr Augenmerk auf Sicherheitsfunktionen legen. In den letzten Jahren ist der Punkt der Sicherheit immer mehr in den Fokus der Hersteller gerückt. Dennoch sollten Unternehmen die Software, die eingesetzt werden soll beziehungsweise vorhanden ist, auf Sicherheit überprüfen und gegebenenfalls nicht benötigte Funktionen deaktivieren. Einige Anwendungseinstellungen werden im Folgenden näher vorgestellt: Verdächtige -Anhänge blockieren: Viele Unternehmen verhindern das Einschleusen von Malware, indem sie auf ihren Mailservern und gegebenenfalls - Clients Dateianhänge auf möglichen Schadcode untersuchen. Einige Unternehmen blockieren Dateiendungen wie pif,.vbs oder verdächtige Dateierweiterungen wie.txt.vbs, htm.exe. Hierdurch können Anhänge blockiert werden, die jedoch legitim sind. Deshalb verändern einige Unternehmen die verdächtigen Dateianhänge. Der Empfänger muss deshalb die Anlage zuerst speichern und gegebenenfalls umbenennen. Dies kann ein guter Kompromiss zwischen Funktionalität und Sicherheit sein.

24 14 2 Grundlagen Filtern von Spam: Spam wird häufig für Phishing und Spyware verwendet. Oftmals sind Web-Bugs in Spam oder andere Arten von Malware enthalten. Durch Spamfilter auf -Servern oder Clients kann die Menge an Spam deutlich reduziert werden. Inhalte von Webseiten filtern: Content-control Software wird normalerweise für die Verhinderung des Zugangs zu unerwünschtem Material (zum Beispiel pornographische Webseiten) am Arbeitsplatz verwendet. Diese Software kann auch Phishing-Webseiten beinhalten und dadurch zu einem Schutz vor Malware beitragen. Ausführung von mobilem Code begrenzen: Anwendungen wie Webbrowser und -Clients können so konfiguriert werden, dass nur erforderliche Arten von mobilem Code zulässig sind, beispielsweise JavaScript, ActiveX oder Java. Darüber hinaus kann das Ausführen von mobilem Code nur auf bestimmte Orte begrenzt werden (zum Beispiel interne Webseite). Dies kann zu Einschränkungen der Funktionalität auf manchen Webseiten führen. Blockieren von Popups Browser Cookies einschränken Verhinderung von Installationen innerhalb vom Web-Browser (plugins) Automatisches Laden von -Grafiken: Die meisten -Clients können so konfiguriert werden, dass sie keine -Grafiken automatisch aus dem Internet nachladen. Dies ist besonders hilfreich bei der Verhinderung von Zählpixeln. Diese Zählpixel (engl. Tracking Bug oder Web-Bug) sind kleine Grafiken in HTML-E- Mails oder auf Webseiten, die eine Logdateianalyse ermöglichen. Diese werden häufig für statistische Auswertungen verwendet. Dateizuordnung ändern: Viele Betriebssysteme bieten einen Mechanismus für die Festlegung, welche Dateitypen mit bestimmten Programmen geöffnet werden dürfen. Einschränkung von Makrobenutzung: Die Konfiguration der einzelnen Anwendungen kann die Sicherheit und die Häufigkeit von Malware-Angriffen reduzieren. Jedoch sollten die Unternehmen die Auswirkungen der einzelnen Einstellungen in den Anwendungen sorgfältig überprüfen. Hier sind die Vorteile der Sicherheit gegenüber dem Verlust der Funktionalität abzuwägen. Beispielsweise kann das Deaktivieren der Java-Unterstützung dazu führen, das Java basierende Web-Anwendungen nicht mehr im Unternehmen ausgeführt werden können. 2.3 Anti-Malware-Systeme Abschnitt bettet das Anti-Malware-System in den Gesamtkontext der Informationssicherheit 3 ein. Darüber hinaus wird die Funktionsweise und Architektur im Abschnitt In dieser Arbeit werden die Begriffe Informationssicherheit, IT-Security und IT-Sicherheit als Synonyme verwendet.

25 2.3 Anti-Malware-Systeme 15 näher erläutert. Da das KU die Produkte von McAfee einsetzt, werden die beiden wichtigsten Komponenten im Rahmen dieser Thesis im Abschnitt näher beschrieben Einordnung von Anti-Malware-Systemen in die IT-Security Um über die generelle Funktionsweise und Architektur sprechen zu können, wird das Anti-Malware-System in den Gesamtkontext der IT-Sicherheit einbettet. Im Allgemeinen geht es bei der Informationssicherheit darum, die Vertraulichkeit, Verfügbarkeit und Integrität von informationsverarbeitenden Systemen sicherzustellen. Abbildung 2.2: IT-Sicherheitskomponenten Definition (Vertraulichkeit) Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen a. Vertrauliche Daten b und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. [ ] [BSI11] a Kenntnisse (Details) über Dinge oder Vorgänge [Moc11] b Vereinheitlichte/Systematische (vergleichbare) Informationen zur Verarbeitung und Speicherung [Moc11]

26 16 2 Grundlagen Definition (Verfügbarkeit) Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese den Benutzern stets wie gewünscht zur Verfügung stehen. [ ] [BSI11] Definition (Integrität) Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf Daten angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf Informationen angewendet. Der Begriff Information wird dabei für Daten verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. [ ] [BSI11] Die IT-Sicherheit gliedert sich in sechs große Teilbereiche, die in Abbildung 2.3 dargestellt sind. Das Anti-Malware-System gehört in den Bereich der Network Security. Die Network- Abbildung 2.3: Teilbereiche der IT-Security [ese08]

27 2.3 Anti-Malware-Systeme 17 Security gliedert sich in Firewall/ VPN, Gateway Mail Security, Gateway Web Security, Endpoint Security (Client/ Server) und System Integrity. In diesen Teilbereichen ist das Anti-Malware-System (s. Abbildung 2.2) an vielen Stellen zu finden. Beispielsweise bei der Endpoint Security ist ein Antivirus-, Spyware- oder Spamschutz auf Clients beziehungsweise Servern zu finden. Zusätzlich kann ein Antivirenschutz auf einem Web Gateway konfiguriert werden Generelle Funktionsweise und Architektur Viren-Schutzprogramme bieten unterschiedliche Betriebsarten an. Zum einen den speicherresidenten On-Access-Scan (OAS), der als Systemdienst in Windows oder als Daemon in Unix Systemen aktiv ist. Dieser Dienst scannt nicht nur die ausführbaren Dateien, sondern alle Dateien und Programme in Echtzeit. Grundsätzlich unterscheidet man zwei Strategien beim Echtzeitschutz. Einerseits können die Dateien beim Öffnen (Lesevorgang) und außerdem beim Erstellen oder Ändern einer Datei (Schreibvorgang) gescannt werden. Um einen reibungslosen Ablauf zu gewährleisten, werden von den Anti-Malware-Systemen sogenannte Filtertreiber installiert, die eine Schnittstelle zwischen den On-Access-Scannern und dem Dateisystem bereitstellen. Der OAS bietet keinen ausreichenden Schutz vor Malware. Oftmals kommt es vor, dass eine Viren-Signatur erst später zu dem Portfolio des Scanners hinzugefügt wird und somit sich eine virulente, aber unaktive Datei auf dem Computer befindet. Diese Datei wird nicht durch den Scanner erkannt. Hierzu ist es hilfreich, den zweiten Mechanismus des Virenscanners zu verwenden. Der On-Demand-Scan (ODS) bietet die Möglichkeit, das Dateisystem vollständig zu überprüfen. Der Benutzer muss jedoch diesen Scan manuell oder durch eine geplante Ausführung starten. Findet der Scanner schädliche Software, erhält der Benutzer eine Warnung. In der Regel bietet der Virenscanner Optionen zur Reinigung, Quarantäne oder Löschung der befallenen Datei an. Die signaturbasierenden Verfahren haben keine Möglichkeit, absolut neue Malware zu entdecken, da sie nur Malware erkennen, die in ihrer Signaturdatenbank vorhanden sind. Aus diesem Grund haben die Hersteller von Anti-Viren-Software eine heuristische Technik entwickelt und in ihre Produkte integriert. Diese Technik sucht nach verdächtigen Code-Sequenzen und simuliert das Verhalten von Dateien. Diese werden in einer virtuellen Maschine ausgeführt und das Verhalten überwacht McAfee Produktfamilie McAfee ist ein Softwarehaus, das sich auf die Entwicklung von Antiviren- und Computersicherheitssoftware spezialisiert hat. Das Unternehmen wurde 1987 von John McAfee in den USA gegründet und hat seit 2010 circa 6100 Mitarbeiter mit Hauptsitz in Santa Clara, Kalifornien. Es machte in diesem Jahr einen Umsatz von zwei Milliarden US-Dollar. McAfee bietet Lösungen für unterschiedliche Bereiche der Computersicherheit an. Einige Produkte, die für diese Arbeit relevant sind, werden in den Abschnitten und näher beschrieben. Zum einen ist es das Antivirenprogramm von McAfee, welches seit der Version 8.8 auch die zuvor separate Antispyware-Komponente beinhaltet und zum

28 18 2 Grundlagen anderen der electronic Policy Orchestrator (epo). Diese beiden Komponenten werden neben anderen Sicherheitslösungen im KU eingesetzt epolicy Orchestrator McAfee electronic Policy Orchestrator (epo) ist als erweiterbare Software für das Sicherheitsmanagement für Netzwerk, Rechner und Daten zuständig. Auch das Einhalten von Gesetzen und Richtlinien (Compliance) ist Bestandteil des epolicy Orchestrator. Clients können über die epo-konsole zentral verwaltet werden. Die epo-konsole ist Abbildung 2.4: McAfee epo-dashboard eine Komponente vom electronic Policy Orchestrator Server (epo-server), sie beinhaltet mehrere Subkomponenten. Hierunter fallen der Applikationsserver, der Agent Handler, der Event Parser und eine Rogue System Detection (RSD). Die vorgenannte Konsole wird für die Produkte der Firma McAfee eingesetzt. Der Server lädt die aktuellen Virensignaturen, Scanmodule sowie Patches der Scansoftware von McAfee herunter. Der epo-server verteilt diese dann an die einzelnen epo-agents, die sich auf den Client-Systemen befinden. Der McAfee Agent ist die Schnittstelle zwischen dem epo-server und dem zu verwaltenden System. Die Abbildung 2.4 zeigt eine Möglichkeit des konfigurierbaren Dashboards, welches vom Anwender individuell zusammengestellt werden kann. Die epo-konsole bietet die Möglichkeit, einen McAfee Security Agenten, ohne weitere Vorbereitung, auf jeden Client in der IT-Infrastruktur auszubringen. Über diese Client-Komponente lassen sich

29 2.3 Anti-Malware-Systeme 19 weitere Produkte nachinstallieren und anpassbare Richtlinien erzwingen, die zuvor im epo konfiguriert wurden. Stellt der epo-agent zum Beispiel fest, dass keine oder eine veraltete DAT-Datei gefunden wurde, so wird die aktuellste DAT-Version vom Repository geladen und der VirusScan Engine zur Verfügung gestellt. Die DAT-Datei beinhaltet alle Malware-Signaturen, die von der Scan-Engine des Virenscanners erkannt werden. In regelmäßigen Abständen sendet der Agent die aufgetretenen Events an den epo- Server. Über eine Weboberfläche (siehe Abbildung 2.4) ist es möglich, den epo-server zu steuern und abzufragen. Diese Abfragen bieten dem Administrator die Möglichkeit, die Malware-Events im Detail zu betrachten und gegebenenfalls Abwehrmaßnahmen einzuleiten. Darüber hinaus eignen sie sich für die in dieser Arbeit durchgeführten statistischen Auswertungen, um die Daten so über die Abfragen vorzuselektieren, dass eine sinnvolle Datenerhebung möglich ist. Die Daten werden als csv-export (*.csv) zur Verfügung gestellt. Der epo-server hält jedoch nur eine beschränkte Anzahl von Datenfeldern bereit. Um eine Verbindung mit anderen Daten zu ermöglichen, bietet sich als Schlüsselfeld die Benutzerkennung an. Da die Benutzerkennung auch in anderen Datenbeständen (HR, AMS) vorhanden ist, können so Beziehungen zwischen diesen hergestellt werden Virus Scan Enterprise Der seit den 80er Jahren kontinuierlich weiterentwickelte Virenschutz bietet Sicherheit gegen Viren, Würmer und Trojaner. Darüber hinaus bietet der Scanner Schutz gegen Potential Unwanted Program (PUP) und Code. Auch buffer overflows werden betrachtet und gehören mit zum Virenscanner Portfolio. Damals war es jedoch ein reines Kommandozeilenprogramm, welches unter MS-DOS lief. Dieser Scanner war bis März 2010 standardmäßig in jedem Updatepaket vorhanden. Der McAfee Virenschutz kann als eigenständiges Produkt oder mit Hilfe der Managementkonsole (epo) zentral verwaltet werden. Im Abschnitt wurde die Konsole vorgestellt, über die Richtlinien auf Clients ausgebracht, Sicherheitswarnungen verarbeitet und Reports erstellt werden können. Die Abbildung 2.5 gibt einen Überblick über vorhandenen Komponenten der Virus Scan Enterprise. Client Das Client System ist eines von zwei weiteren Komponenten, die in Abbildung 2.5 dargestellt sind. Auf dem Client System ist die VirusScan Enterprise Software von McAfee installiert. Optional kann der McAfee Agent nachinstalliert werden, der die sichere Kommunikation zwischen verwalteten Produkten (zum Beispiel VirusScan Enterprise) und dem epolicy Orchestrator ermöglicht. Der Agent sammelt Informationen und Ereignisse von den verwalteten Produkten und sendet diese an den epo-server. Darüber hinaus ermöglicht er die Installation beziehungsweise Upgrades von den verwalteten Produkten. Der detection definiton file (DAT) kann von einer zentralen Stelle wahlweise aus dem Repository oder aus dem Headquarter geladen werden. Die Scan-Engine wird benutzt, um Dateien, Ordner und Laufwerke auf dem Client Computer zu scannen. Die Engine vergleicht die durchsuchten Komponenten anhand der Signaturen in der DAT-Datei.

30 20 2 Grundlagen Abbildung 2.5: VirusScan Enterprise Komponenten [McA10] Die Artemis Komponente führt einen heuristischen Netzwerkcheck für verdächtige Dateien durch. Sie betrachtet verdächtige Programme und DLLs, die auf dem Client-System laufen, vorausgesetzt der VirusScan Enterprise von McAfee ist auf dem Clientcomputer installiert. Entdeckt die Echtzeit Malwareerkennung ein verdächtiges Programm, wird eine Domain Name System (DNS)-Anfrage an den Datenbankserver von McAfee Labs gesendet. Diese Anfrage beinhaltet einen digitalen Fingerabdruck der verdächtigen Datei und wird mit der zentralen Datenbank abgeglichen. Optional kann auf dem Client der McAfee Agent installiert werden. Dieser ermöglicht eine geschützte Kommunikation zwischen Managementprodukten und dem epolicy Orchestrator von McAfee. Darüber hinaus bietet der Agent noch weitere lokale Service an. Darunter fallen zum Beispiel Updates, Logging, Reports von Events und Einstellungen, Prozesssteuerung, Kommunikation und Richtlinienspeicherung. Headquarter Das McAfee Headquarter ist die Schnittstelle zu McAfee Labs und dem technischen Support. McAfee Labs besitzt eine Datenbank mit detaillierten Informationen über Viren, Würmer, Trojaner, Hoax und PUP. Diese Informationen beinhalten die Bedrohungsquelle, wie sie das System kompromittieren und auf welche Art und Weise die Infektion bearbeitet werden könnte. Das Artemis Feature sendet einen digitalen Fingerabdruck der verdächtigen Datei an McAfee Labs, wo eine Analyse der Datei durchgeführt und eine Empfehlung ausgesprochen wird. Das Headquarter beinhaltet eine Scan-Engine Updatefunktion. Die Updates der Scan-Engine werden auf einem zentralen Datenbankserver gespeichert. Diese Updates werden benötigt, um die Engine auf dem neuesten Stand zu halten. Eine weitere Updatefunktion ist die der DAT-Updates. Die DAT-Updates werden über diesen Mechanismus an die Clients per Autoupdate oder optional an ein DAT-Repository verteilt.

31 2.4 Logging 21 Server Die Serverkomponente in Abbildung 2.5 ist eine optionale Erweiterung. Diese Erweiterung ermöglicht es, viele Clients per Fernwartung zu verwalten. Der epo verwaltet und setzt Richtlinien für den McAfee Virenscanner. Darüber hinaus können Abfragen erstellt und Infektionen und Aktivitäten über das mitgelieferte Dashboard verfolgt werden. Der Server ruft die aktuellen Signaturen von McAfee ab und stellt ein Repository bereit. Die DAT-Datei kann allen angeschlossenen Systemen zur Verfügung gestellt werden. 2.4 Logging Das Erheben und Speichern von Logdaten ist Grundvoraussetzung für die in dieser Arbeit durchgeführten statistischen Auswertungen. Logdaten werden auf unterschiedliche Weise von Anwendungen wie beispielsweise Anti-Malware-Software, Web-Servern und Betriebssystemen generiert. Logdaten sind ereignisgesteuert und werden beispielsweise erzeugt, wenn sich Benutzer an- oder abmelden, bei gescheiterten Anmeldeversuchen oder bei Statusmeldungen von Diensten. Oftmals enthalten die Protokolldateien Einträge, die auf mögliche Sicherheitsprobleme oder bereits eingetretene Sicherheitsvorfälle schließen lassen. Aus diesem Grund ist es sinnvoll, die vorhandenen Logdaten zur Verbesserung der IT-Sicherheit zu erfassen und auszuwerten. Auf Unix-Systemen nennt sich dieser Dienst SYSLOG beziehungsweise SYSLOG-NG. Auf Windows-Systemen spricht man von Ereignisprotokollierung. Diese Protokollierung kann entweder auf dem System selbst oder auf einem gesonderten System ausgeführt werden. Bei einer Protokollierung über das Netzwerk können die Netzwerkkomponenten Nachrichten an einen oder mehrere SYSLOG Server senden [Bra05] [SK06]. Security Information and Event Management (SIEM) 4 ist eine weitere Art der zentralen Logging-Software im Vergleich zu SYSLOG. Die SIEM-Produkte beinhalten einen oder mehrere Logserver, die die Loganalyse durchführen. Die Logdaten können auf einem oder mehrere Datenbankserver gespeichert werden. In Abschnitt wird eine typische Logging-Architektur beschrieben. Aussagen über spezifische Loggingeigenschaften bei Anti-Malware-Systemen werden in Abschnitt getroffen Exemplarische Logging Architektur Die in Abbildung 2.6 dargestellte dreistufige Logging-Architektur ist ein mögliches Beispiel für eine reale Logging-Architektur und hilft dem Leser, die in dieser Arbeit verwendeten Datenbestände besser in Zusammenhang zu setzen. Log Erzeugung Die erste Schicht beinhaltet die Hosts, die die Logdaten erzeugen. Ein Host, wie in Abbildung 2.6 dargestellt,ist ein Hardwaresystem (Client oder Server). Quellen von Logdaten sind beispielhaft in Tabelle 2.1 zu finden. Auf einigen Clients laufen Logging-Anwendungen oder Dienste, die ihre gesammelten Daten automatisch über das Netzwerk einem Logserver zur Verfügung stellen. Andere wiederum erwarten 4 SIEM, SIM, SEM (s. Bild 2.2 zur IT-Security) werden weitgehend synonym verwendet

32 22 2 Grundlagen Log Erzeugung Host Langzeitspeicher Log- Daten Netzwerk Log-Server Loganalyse Reporting automatische Analyse Kurzzeitspeicher Netzwerk Untersuchung Abbildung 2.6: Einfache Logging Architektur Security Software Tabelle 2.1: Quellen von Logdaten Anwendungen Anti-Malware-Software Intrusion Detection Systems Router Firewalls Client Requests Server Responses eine Authentifizierung durch den Server und stellen erst dann eine Kopie der Daten bereit. Log-Server Die zweite Schicht besteht aus einem oder mehreren Log-Servern. Sie erhalten von Client-Systemen die Logdaten oder entsprechende Kopien. Die Daten werden meist in Echtzeit beziehungsweise nahezu in Echtzeit an die Server gesendet. In manchen Konfigurationen werden auch die Logdaten in bestimmten Zeitabständen (geplant) an die Server übermittelt. Die erhaltenen Daten können auf den Servern selbst oder auf einer separaten Datenbank gespeichert werden. Loganalyse Die dritte Schicht enthält Konsolen, die die auf den Servern gespeicherten Logdaten überwachen beziehungsweise überprüfen. Die Konsolen können meist die Logdaten analysieren und Reports erstellen. In manchen Fällen übernehmen die Konsolen auch die Administration der Client- und Server-Systeme. Darüber hinaus können die Benutzerrechte auf solch einer Konsole begrenzt werden. Die Kommunikation zwischen Log-Management-Infrastruktur-Komponenten wird in der Regel über das Unternehmensnetz sichergestellt, da die meisten Komponenten sich im Netz des Unternehmens befinden. Allerdings kann ein physisch oder logisch getrenntes Protokollierungs-Netzwerk sinnvoll sein, insbesondere für den Erhalt von wichtigen Logdaten, wie zum Beispiel von Firewalls und von Intrusion-Detection-Systemen. Für die

33 2.4 Logging 23 Übertragung von Logdaten zwischen Logservern sollte ein separates Netzwerk verwendet werden. Ein weiterer Vorteil für die Verwendung eines Protokollierungsnetzwerkes ist der Schutz vor Lauschangriffen und die Unabhängigkeit vom Unternehmensnetz. Ist die Verwendung eines separaten Netzwerkes zu aufwendig, sollte die Kommunikation über das Unternehmensnetzwerk verschlüsselt werden. Die Loganalyse-Methoden reichen von manueller bis hin zur anspruchsvollen Echtzeitanalyse. Deren Potenzial wird durch die Beschreibung der einzelnen Schichten der in Abbildung 2.7 dargestellten Pyramide verdeutlicht. Ziel einer Loganalyse ist das Ereichen der Spitze der dargestellten Pyramide. Echtzeit OLAP/ Data Mining Datenbankabfragen File Viewer/ File Analyser Manuelle Analyse Abbildung 2.7: Ebenen der Loganalyse Manuelle Analyse Aus der ersten Schicht ist die manuelle Analyse einer Log-Datei erkennbar. Bei dieser Methode wird jede einzelne Datei von Hand betrachtet und analysiert. Jedes einzelne Log-Event in solch einer Datei muss manuell ausgewertet und gegebenenfalls bearbeitet werden. Für eine solche Auswertung werden meist Texteditoren oder Kommandozeilentools wie grep und sed verwendet. 5 Diese Art von Logdatenauswertung ist sehr zeitintensiv. Auch unterschiedliche Analysten können zu unterschiedlichen Ergebnissen beziehungsweise Auswertungen kommen. File Viewer & File Analyser Eine bessere Alternative sind Tools, die eine Syntaxhervorhebung (engl. Syntax highlighting) vorsehen. Dies wird in der zweiten Schicht der Pyramide durch die File Viewers repräsentiert. Der Vorteil besteht darin, dass die Event-Logs farbig dargestellt werden. Des Weiteren haben sie eine automatische Filterung, die nicht relevante Event-Logs entfernt. Diese Tools haben den Nachteil, dass sie nur eine Handvoll an Log-File-Formaten unterstützen. Deshalb kann es notwendig sein, zusätzliche Software zu beschaffen, um besondere Formate zu unterstützen. 5 grep und sed sind Programme, die in unterschiedlichen UNIX Distributionen zu finden sind.

34 24 2 Grundlagen Der zweite Teil der zweiten Schicht beschreibt den File Analyser. Dieser bietet im Gegensatz zum File Viewer die Funktion, einen weiteren Log-File hinzuzufügen und ihn mit dem bereits vorhandenen in Korrelation zu setzen. Datenbankabfragen Eine weitere Art, die Log-Events zu speichern und zu analysieren, wird mit der Schicht drei dargestellt werden. Datenbanken bieten die Möglichkeit, große Mengen an Log-Events zu speichern und diese mit Hilfe einer Datenbankabfragesprache wie zum Beispiel SQL abzufragen. Datenbanken bieten den Vorteil, große Abfragen auf Event-Logs in sehr kurzer Zeit durchführen. Einerseits können der Bearbeitungsprozess beschleunigt und Kosten eingespart werden, andererseits bleibt zu bedenken, dass das Betreiben einer solchen Infrastruktur signifikante Kosten verursacht. OLAP & data mining Die Schicht vier stellt die zu den analytischen Informationssystemen gehörenden Methoden Online Analytical Processing (OLAP) und Data-Mining dar. OLAP-Methoden ermöglichen eine Umwandlung der in relationale Datenbanken gespeicherten Daten in ein mehrdimensionales Modell. Durch diese Methode werden schnellere Antwortzeiten bei Abfragen auf zuvor definierte Dimensionen erzielt. Normalerweise wird OLAP in Enterprise Resource Planning (ERP) angewendet. Die Anwendung von OLAP-Methoden auf Logdaten ist eine neue Methode, in der es gilt, Erfahrungen zu sammeln. Die Data-Mining-Techniken gehen einen Schritt weiter und versuchen, Muster in den Daten zu identifizieren, die zuvor nicht entdeckt wurden. Echtzeit Sowohl die OLAP- als auch die Data-Mining-Technik besitzen den Nachteil, dass sie nicht in der Lage sind, Logdaten in Echtzeit zu analysieren. Echtzeitverarbeitung von Logdaten erfordert eine komplexe Logging-Architektur und ist somit teuer und aufwendig im IT-Betrieb. Solche Systeme sind oft in der IT-Frühwarnung zu finden Anti-Malware-Systeme Viele Hersteller von kommerziellen Anti-Malware-Systemen bieten eine zentrale Verwaltung ihrer Produkte an, beispielsweise der in Abschnitt [S. 18] vorgestellte epolicy Orchestrator von McAfee. Weitere Beispiele sind der Trendmicro Control Manager und der F-Secure Policy Manager. Diese Systeme rufen die Logdaten der entsprechenden Einzelprodukte wie den in Abschnitt [S. 19] vorgestellten Virusscan von McAfee oder den Trendmicro Officescan ab und senden ihre gesammelten Logdaten an einen zentralen Server. Die Daten werden zumeist in einer zentralen Datenbank gespeichert, um ein auf ihr basierendes Reporting zu ermöglichen. Abfragen gegen diese Datenbank können über Standard SQL-Statements via ODBC oder JDBC durchgeführt werden. Ob ein Netzwerkzugriff auf die Datenbank möglich ist, hängt von der einzelnen Konfiguration der verwendeten Datenbank ab. McAfee Virus Scan Enterprise Format Der Virenschutz von McAfee bietet zwei Varianten, um Logdaten zu verarbeiten. Zum einen verwendet der Scanner ein lokales Logging,

35 2.5 Statistik 25 zum anderen bietet er die Möglichkeit, sich in ein zentrales Logging und Reporting zu integrieren. Die einzelnen Dateien sowie Felder des Virenscanners können der Tabelle 2.2 entnommen werden. Das von McAfee verwendete Format ist nicht weiter spezifiziert. Es beinhaltet tabulatorgetrennte Felder. Die Datensätze beginnen immer mit Zeit und Datum, jeweils in zwei getrennten Feldern. Um den Virenscanner in eine zentrale per epo gesteuerte Umgebung zu integrieren, sieht das Konzept von McAfee eine Installation eines Software-Agents auf jedem Virusscan-Rechner vor. Der Agent ist für die Übertragung der Logdaten an den epo-server verantwortlich. Die Logdaten werden in einer zentralen Datenbank vom Typ Microsoft Desktop Engine (MSDE) gespeichert. 2.5 Statistik Statistik ist die Lehre von den Methoden zum Umgang mit Daten. Sie bietet die Möglichkeit, eine systematische Verbindung zwischen Erfahrung und Theorie herzustellen und unterteilt sich in zwei Teilbereiche [Rin08]. Diese lauten deskriptive und induktive Statistik und werden wie folgt definiert: Deskriptive Statistik - Statistische Methoden zur Beschreibung der Daten in Form von Graphiken, Tabellen oder einzelnen Kennwerten bezeichnen wir zusammenfassend als deskriptive Statistik [Bor05]. Induktive Statistik - Statistik, die auf der Basis von Stichprobenergebnissen induktiv allgemeingültige Aussagen formuliert. Zur Inferenzstatistik zählen die Schätzung von Populationsparametern (Schließen) und die Überprüfung von Hypothesen (Testen) [Bor05]. Der nachfolgend abgebildete Prozess stellt die Phasen einer allgemeinen statistischen Auswertung dar (siehe Abbildung 2.8). Abbildung 2.8: Statistik-Prozess Vorbereitung zu erledigen: Bei der Vorbereitung einer statistischen Analyse sind folgende Aufgaben Festlegung des Untersuchungsziels (zum Beispiel Entwickeln einer verbesserten Bedrohungsabwehr) Bestimmung der Merkmale (zum Beispiel Zeit, Benutzer oder System) Schaffung der organisatorischen und technischen Voraussetzungen

36 26 2 Grundlagen AccessProtectionLog.txt Tabelle 2.2: Dateien McAfee Virus Scan BufferOverflowProtectionLog.txt Datum Zeit Ereignis Benutzer Dateiname MirrorLog.txt Datum Zeit Welche ausführbare Datei verursachte den Überlauf? Stack- oder Heapüberlauf OnAccessScanLog.txt Datum Zeit Pfad der mirror Dateien weitere Informationen Datum Zeit entdeckte Malware Welche Aktion wurde ausgeführt? Was wurde gefunden? OnDemandScanLog.txt UpdateLog.txt Datum Uhrzeit des Scans ausgeführte Aktion (gelöscht, gesäubert, keine, ersetzt, Zugriff verweigert) Datum Uhrzeit des Updates Wer führte das Update durch? weitere Informationen Welche Datei? Was wurde gefunden?

37 2.5 Statistik 27 Datenerhebung Im Datenerhebungsprozess werden die unterschiedlichen Datenquellen betrachtet und die für die jeweilige Hypothese relevanten Daten aus einer Urliste erhoben. Darüber hinaus werden die Daten so aufbereitet, dass sie für die Analyse verwendet werden können. Definition (Urliste) In der deskriptiven Statistik werden Daten gesammelt, bearbeitet und ausgewertet. Um diese bearbeiten und auswerten zu können, sind zunächst noch nicht bearbeitete Daten erforderlich. Solche Daten werden in einer Liste erfasst. Eine Liste mit unbearbeiteten Daten heißt Urliste. Statistische Analyse Die statistische Analyse hat die Aufgabe, Daten zu sammeln, zu analysieren und zu präsentieren. Damit ist das Ziel verbunden, gültige Schlussfolgerungen und fundierte Entscheidungen zu unterstützen. Unter Berücksichtigung von Computersoftware wird die statistische Analyse an geeigneten Systemen durchgeführt. Beispiele für bekannte und umfangreiche statistische Analysepakete sind SPSS 6 und SAS 7. Für bestimmte Analysen kann auch Microsoft Excel zum Einsatz kommen. Ergebnisse Die Ergebnisse werden in Form von Tabellen oder Grafiken dargestellt, zusammengefasst und interpretiert, um daraus Schlussfolgerungen ziehen zu können Statistische Grundbegriffe In diesem Abschnitt werden einige Grundbegriffe definiert, die für diese Arbeit relevant sind. Grundgesamtheit - Alle potentiell untersuchbaren Objekte, die ein gemeinsames Merkmal aufweisen. Bsp.: Bewohner einer Stadt, Frauen, dreisilbige Substantive [Bor05] Merkmal - messbare Eigenschaft statistischer Einheiten, die zu einer Klasseneinteilung (= Zerlegung) der Grundgesamtheit führt. [Rin08] Stichprobe - Miniaturbild der Grundgesamtheit [Bor05] Repräsentativität - Rückschlüsse aus einer Stichprobe auf eine Grundgesamtheit Hypothese: Aussagen oder Schlussfolgerungen, die aus allgemeinen Theorien abgeleitet sind. [Bor05] Alternativhypothese - Gegenteil der Nullhypothese und beschreibt in der Regel die eigentlich interessierende Annahme 6 Quelle: 7 Quelle:

38 28 2 Grundlagen Nullhypothese - Die Nullhypothese ist eine Negativhypothese, mit der behauptet wird, dass die zur Alternativhypothese komplementäre Aussage richtig sei [Bor05]. Signifikanzniveau (α-fehler-niveau) - Die Irrtumswahrscheinlichkeit, die ein Untersuchungsergebnis maximal aufweisen darf, damit die Alternativhypothese als bestätigt gelten kann. Im Allgemeinen spricht man von einem signifikanten Ergebnis, wenn die Irrtumswahrscheinlichkeit höchstens 5%, von einem sehr signifikanten Ergebnis, wenn sie höchstens 1% beträgt [Bor05]. Im Rahmen dieser Arbeit wird standardmäßig ein Testniveau von 1% festgelegt Entscheidungsbaum Der von Sven Blankenberger 8 und Dirk Vorberg 9 modifizierte Entscheidungsbaum von Vorberg (1981) stellt eine Hilfe dar, um für Versuchspläne angemessene Verfahren zu finden. Der aktualisierte Baum enthält weitere statistische Tests sowie Literaturverweise. Er unterstützt die Auswahl von Signifikanztests und Zusammenhangsmaßen. Dem Benutzer des Baumes werden entsprechende Fragen gestellt und deren Beantwortung führt zu einem für die Problemstellung angemessenen Verfahren. Die Verzweigungspunkte im Entscheidungsbaum sind als Fragen formuliert, deren jeweilige Beantwortung zu einer weiteren Verzweigung oder zu der gesuchten Antwort führt. Darüber hinaus beinhaltet der Baum einen Verweis, wo das gefundene Verfahren beschrieben und diskutiert wird. Der Verfasser dieser Arbeit stützt seine Wahl des geeigneten Verfahrens auf diesen Entscheidungsbaum. Zusätzlich wurde die statistische Beratung an der Ruhr-Universität Bochum als weitere Absicherung in Anspruch genommen. In erster Linie untersucht der Entscheidungsbaum, ob Unterschiede zwischen Stichproben und theoretischen Erwartungen (Unterschiedshypothesen) oder ein Zusammenhang zwischen zwei Variablen (Zusammenhangshypothesen) vorliegt. In dieser Arbeit werden sie auf Zusammenhang geprüft. Aus diesem Grund wird der in Abbildung 2.9 dargestellte Teilbereich des Entscheidungsbaumes in Betracht gezogen. Um die in dieser Arbeit aufge- Abbildung 2.9: Auszug aus dem Entscheidungsbaum (Zusammenhangshypothese) stellten Hypothesen auf Zusammenhang zu interpretieren, muss bestimmt werden, welche Variablentypen vorliegen. Es wird zwischen quantitativen und qualitativen Variablen 8 Institut für Psychologie der Martin-Luther-Universität 9 Institut für Psychologie der Technischen Universität Braunschweig

39 2.5 Statistik 29 unterschieden. Bei den im Rahmen dieser Arbeit aufgestellten Hypothesen sind immer beide Merkmale qualitativ (zum Beispiel Merkmal Geschlecht unterteilt sich in männlich und weiblich). Des Weiteren ist festzustellen, wie viele Kategorien die beiden Variablen aufweisen. Im Rahmen dieser Arbeit weist zumindest eine Variable [Systemtyp (Laptop, Workstation, Server)] mehr als zwei Kategorien auf. Infolgedessen wird grundsätzlich die k m Matrix verwendet. Deshalb ist der weitere Schritt die Interpretation hinsichtlich der Enge des Zusammenhangs (symmetrische Fragestellung) oder des Vorhersagefehlers (asymmetrische Fragestellung). Bei dieser Thesis wird die Enge des Zusammenhangs betrachtet und dabei der Kontingenzkoeffizient verwendet. Um den Koeffizienten zu bestimmen, muss der Chi-Quadrat-Test vorhanden sein. Die genauen Berechnungsschritte dieses Wertes werden im Abschnitt [S. 29] näher erläutert [VB99] Chi-Quadrat-Test Der Chi-Quadrat-Test überprüft die Verteilungseigenschaft einer statistischen Grundgesamtheit. Der Test gliedert sich in den Verteilungs- (Anpassungstest), Unabhängigkeitsund Homogenitätstest. Vorraussetzung für die Durchführung eines Chi-Quadrat-Tests ist, dass die einzelnen Beobachtungen voneinander unabhängig und zufällig sind. Des Weiteren muss jedes Objekt eindeutig einer Merkmalskategorie zugeordnet werden können. In dieser Arbeit wird der Unabhängigkeitstest näher beschrieben, da er für die aufgestellten Hypothesen relevant ist. Der Vorteil dieses Tests liegt darin, dass die Merkmale beliebig skaliert sein können. Der Unabhängigkeitstest ist ein Signifikanztest und prüft die vorhandenen Merkmale auf Unabhängigkeit. Als Hilfsmittel verwendet der Test sogenannte Kontingenztafeln (engl.: contingency table ). In der Literatur werden sie auch als Kontingenztabellen oder Kreuztabellen bezeichnet. Diese Tabellen beinhalten die beobachteten (absoluten) oder relativen Häufigkeiten von Kombinationen und deren Merkmalsausprägung. Ein allgemeiner Aufbau ist in Tabelle 2.3 dargestellt, in der die Ausprägung der einzelnen Merkmale in j Zeilen und i Spalten dargestellt werden. In dieser Tabelle können in L/K i 1 i 2... i k Summe j 1 h 11 h h 1k h 1. j 2 h 21 h h 2k h j l h l1 h l2... h lk h i. Summe h.1 h.2... h.k h.. Tabelle 2.3: Kontingenztafel für zwei Variablen K und L jeder Zelle die beobachteten oder die erwarteten (relativen) Häufigkeiten eingetragen werden (h für f b oder f e ). Im Ergebnisteil wird jede Zelle der Kontingenztafel nach dem Schema: beobachtete Häufigkeiten (erwartete Häufigkeiten) (f b (f e )) dargestellt. Der Chi-Quadrat-Test verwendet die oben vorgestellten Kreuztabellen und berechnet mit Hilfe der beobachteten Häufigkeiten (f b ) die relativen Häufigkeiten(f e ). Diese Häufigkeiten sind

40 30 2 Grundlagen Schätzungen der unbekannten Wahrscheinlichkeiten. Vorraussetzung für die Berechnung der relativen Häufigkeiten ist, dass höchstens 20 Prozent der Häufigkeiten kleiner als fünf sind. Die erwarteten Häufigkeiten werden nach der Formel: f e(i,j) = Zeilensumme i Spaltensumme j h.. (2.1) bestimmt. Die Stufen des Merkmals K werden mit i 1,..., i k bezeichnet und die Stufen des Merkmals L mit j 1,..., j l. Der χ 2 -Wert berechnet sich nach folgender Vorschrift: k l χ 2 (f b(i,j) f e(i,j) ) 2 = (2.2) f i=1 j=1 e(i,j) Wird die Nullhypothese mit dem Chi-Quadrat-Test abgelehnt, so besteht die Möglichkeit, den Grad der Abhängigkeit der beiden Merkmale zu berechnen. Der Kontingenzkoeffizient C (engl.: contingency coefficient ) nach Pearson berechnet sich nach folgender Gleichung: χ C = 2 k 1 χ 2, C [0, ], mit k = min(i, j) (2.3) + h k wobei χ 2 = Chi-Quadrat-Wert und h der Stichprobenumfang ist. Der Kontingenzkoeffizient kann nur positive Werte annehmen. Seine Größe hat nur theoretisch die Grenzen 0 und +1, 00. Bei maximaler Abhängigkeit strebt der Kontingenzkoeffizient nur gegen 1,00, wenn die Anzahl der Felder der Kontingenztafel gegen unendlich geht. Damit die Werte 0 und 1 angenommen werden können, gibt es den nachfolgenden korrigierten Koeffizienten. Es gilt: 0 C korr 1 Der maximale Wert des Kontingenzkoeffizienten ist abhängig von der Zeilen- und Spaltenzahl der Kontingenztafel. Der Wert ergibt sich aus folgender Gleichung: C max = k 1, mit k = min(i, j) (2.4) k Der Ablehnungsbereich wird mit Hilfe der Freiheitsgrade (df) bestimmt. Die Freiheitsgrade für den χ 2 -Wert ergeben sich aus k 1 Zeilensummen und l 1 Spaltensummen. F reiheitsgrade(df) = (k 1) (l 1) (2.5) Anhand der Tabelle 2.4 [S. 31], für die Verteilungsfunktion der χ 2 -Verteilung, lässt sich der kritische Schwellenwert ablesen. Ist der kritische Wert größer als der Testwert, so liegt der Wert im Akzeptanzbereich von H 0, d.h. H 0 kann nicht verworfen werden. Ist der kritische Wert dem Testwert, so fällt das in den Akzeptanzbereich von H 1 und folglich wird diese H 0 verworfen.

41 2.6 Datenschutzanforderungen bei statistischen Erhebungen 31 1-α Freiheitsgrade (df) 0,950 0, , , , , , , , , , , , , , , , , , , , ,2093 Tabelle 2.4: Quantile der χ 2 -Verteilung [HW70] 2.6 Datenschutzanforderungen bei statistischen Erhebungen Begriff des Datenschutzes Im 20. Jahrhundert ist aus dem Obrigkeitsstaat der demokratische und soziale Rechtsstaat entstanden und die technisierte Welt einer modernen Industriegesellschaft hielt Einzug. Die Furcht vor dem gläsernen Menschen bestand schon lange. George Orwell hat in seinem 1949 erschienen Roman 1984 den Schrecken eines totalitären Überwachungsstaates beschrieben. In einem solchen Staat werden die Intimsphäre und damit die Persönlichkeit systematisch zerstört. Der Roman 1984 wird zu Recht als Vision der Folgen von Missbräuchen mit Computern zitiert [BHM07]. Mit Beginn des 21. Jahrhunderts lassen es die technischen Möglichkeiten zu, die Visionen und Horrorvorstellungen umzusetzen. In der heutigen Gesellschaft, die über immer mehr Informationen und Wissen verfügen will, gewinnt das Erheben, Nutzen und Speichern personenbezogener Daten mehr und mehr an Bedeutung. Das staatliche als auch wirtschaftliche Handeln hat sich verändert, weil durch die vorhandenen technischen Möglichkeiten massenhaft personenbezogene Daten verarbeit werden können. Damit das Grundrecht auf informationelle Selbstbestimmung auch in der heutigen Gesellschaft als Freiheitsrecht der Menschen gewahrt wird, ist die Verarbeitung personenbezogener Daten durch rechtliche Regelungen und technische Maßnahmen (Datenschutz) begrenzt. Datenschutz hat das Ziel, jeden einzelnen Menschen vor den Gefahren beim Umgang mit personenbezogenen Daten zu schützen. Die vielfältigen Vorkehrungen zur Verhinderung unzulässiger Informationsverarbeitung wird als Datenschutz bezeichnet [BHM07] Rechtsgrundlagen Das Datenschutzrecht der Bundesrepublik Deutschland ist in verschiedenen Gesetzen geregelt. Diese Gesetze können wie folgt unterteilt werden: (siehe Abbildung 2.10) [BHM07]:

42 32 2 Grundlagen Welches der vorgenannten Gesetze angewendet wird, ist davon abhängig, ob die Daten- Abbildung 2.10: Gesetze Übersicht [Lan11] verarbeitung im öffentlichen oder privaten Bereich stattfindet [Lan11] Datenschutzgesetze für den öffentlichen Bereich In den Datenschutzgesetzen der Länder ist geregelt, unter welchen Voraussetzungen die Behörden und sonstigen öffentlichen Stellen des jeweiligen Bundeslandes personenbezogene Daten verarbeiten dürfen. Nach dem Datenschutzgesetz Nordrhein-Westfalen ist die Verarbeitung personenbezogener Daten nur zulässig, wenn: eine besondere Rechtsvorschrift sie erlaubt oder wenn die betroffene Person eingewilligt hat ( 4 Abs. 1 DSG NRW). Neben den allgemeinen Datenschutzgesetzen gibt es Spezialgesetze des Bundes oder der Länder, zum Beispiel das Polizeigesetz Nordrhein-Westfalen. Das Bundesdatenschutzgesetz (BDSG) regelt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Bundesbehörden und andere öffentliche Stellen des Bundes. Auch in diesem Bereich gibt es Spezialgesetze wie zum Beispiel das X. Sozialgesetzbuch für die Bundesagentur für Arbeit Datenschutzgesetze für die Privatwirtschaft Die nicht-öffentliche Stellen - etwa Wirtschaftsunternehmen, Banken, Rechtsanwälte oder Privatkliniken - haben ebenfalls den Datenschutz zu beachten. Die entsprechenden Regelungen finden sich im Bundesdatenschutzgesetz. Nach diesem Gesetz ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen nur zulässig wenn: eine besondere Rechtsvorschrift sie erlaubt oder

43 2.6 Datenschutzanforderungen bei statistischen Erhebungen 33 wenn die betroffene Person eingewilligt hat ( 4 Abs. 1 BDSG). Besondere Datenschutzregelungen sind in Spezialgesetzen enthalten und vorrangig zu berücksichtigen. Solche Spezialgesetze sind beispielsweise das Kreditwesengesetz und Geldwäschegesetz sowie das Telekommunikationsgesetz und die Telekommunikationsüberwachungsverordnung [Lan11]. Eine spezielle Regelung für die Datenverarbeitung durch nicht-öffentliche Stellen findet sich in 28 Bundesdatenschutzgesetz. Nach 28 Abs. 1 Nr. 2 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt Personenbezogene Daten Der Schutzbereich des Rechts auf informationelle Selbstbestimmung umfasst das Recht des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. (BVerfGE 65, 1). Nach dem Bundesdatenschutzgesetz ( 1 Abs.1) und dem Datenschutzgesetz Nordrhein-Westfalen ( 3 Abs. 1) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise: Name, Alter, Familienstand, Geburtsdatum Anschrift, Telefonnummer, Adresse Konto-, Kreditkartennummer Kundendaten ( Namen von Ansprechpartnern oder -Kontaktdaten) Ebenso enthalten Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen personenbezogene Daten, wobei die technische Form dieser Angaben nicht von Bedeutung ist. Einzelangaben einer bestimmten oder bestimmbaren natürliche Person Angaben über eine bestimmte Person liegen dann vor, wenn die Daten mit dem Namen der betroffenen Person verbunden sind. Um geschützte Daten handelt es sich auch dann, wenn sich aus dem Inhalt bzw. dem Zusammenhang der Bezug zu einer Person unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität ohne unverhältnismäßigen Aufwand unmittelbar oder mittels Zusatzwissen festgestellt werden kann. Die Angaben müssen sich auf eine lebende Person beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Beziehen sich die Angaben auf Personen, die hinter

44 34 2 Grundlagen der juristischen Person stehen, kann es sich um geschützte Daten handeln. Dies kann dann der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen Anonymisierte Daten Der Begriff Anonymisieren wird in 3 Abs. 6 BDSG geregelt und hat folgenden Wortlaut: Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können [BS10]. Eine ähnliche Definition enthält 16 Abs. 6 Bundesstatistikgesetz (BStatG) [BL95]: Für die Durchführung wissenschaftlicher Vorhaben dürfen vom Statistischen Bundesamt und den statistischen Ämtern der Länder Einzelangaben an Hochschulen oder sonstige Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung übermittelt werden, wenn die Einzelangaben nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können und die Empfänger Amtsträger, für den öffentlichen Dienst besonders Verpflichtete oder Verpflichtete nach Abs. 7 sind. [DMT88] Die vorgenannten Definitionen bezeichnen den Vorgang des Anonymisierens als eine Sonderform der Veränderung. Hierdurch sind aus einem Datenbestand mit personenbezogenen Daten anonymisierte Daten erhältlich, die für statistische, planerische oder wissenschaftliche Zwecke verwendet werden können. Sobald die verarbeiteten Daten keinen Zusammenhang mit einer Person erkennen lassen, endet die durch das Grundgesetz geschützte Entscheidungsbefugnis des Einzelnen über seine Daten. Es werden drei Arten der Anonymisierung unterschieden: a) echte Anonymisierung b) faktische Anonymisierung c) Quasi-Anonymisierung Zu a): Bei der echten Anonymisierung werden die Identifikationsmerkmale (zum Beispiel Personaloder Versicherungsnummer, Name) gelöscht. Somit sind aus dem anonymisierten Datenbestand keine Daten mehr zu gewinnen, die auf eine Person schließen lassen (keine De-Anonymisierung). Der Bezug zur Person ist verloren gegangen, und der Schutz durch das Bundesdatenschutzgesetz ist nicht mehr gegeben.

45 2.6 Datenschutzanforderungen bei statistischen Erhebungen 35 Zu b): Bei der faktischen Anonymisierung werden die Identifikationsmerkmale nicht gelöscht, sondern getrennt gespeichert. Eine De-Anonymisierung = Re-Identifikation ist nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft möglich. Die Zuordnung zu einer Person - wenn auch unter erschwerten Bedingungen - ist möglich. Es handelt sich um eine bestimmbare Person und damit um personenbezogene Daten nach 3 Abs. 1 BDSG. Zu c): Wie bei der faktischen Anonymisierung verhält es sich bei der Quasi-Anonymisierung. Dabei sind nach 30 Abs. 1 Satz 1 BDSG und 40 Abs. 2 Satz 2 BDSG die Identifikationsmerkmale ebenfalls gesondert zu speichern. Im Gegensatz zur faktischen Anonymisierung können die beiden getrennten Datenbestände mit geringem Aufwand wieder zusammengeführt, und damit der Personenbezug wieder hergestellt werden. Nach 30 Abs. 1 Satz 2 BDSG und 40 Abs. 2 Satz 2 BDSG reicht hierfür sogar der Speicherungs- oder Forschungszweck aus. 30 Abs. 1 BDSG lautet wie folgt: Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zweckes der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist. [BS10] 40 Abs. 2 BDSG hat folgenden Wortlaut: Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert. [BS10] Anonymisierungsverfahren Die gebräuchlichsten Anonymisierungsmethoden sind: das formale Anonymisieren der Datensätze, das Verallgemeinern und das Mikro-Aggregieren (kleinerer) Datensätze, das Einstreuen von Zufallsfehlern, das Zerlegen von Datensätzen in separate Merkmalsbereiche,

46 36 2 Grundlagen das Ziehen von Stichproben und Unterstichproben (Sub-Sampling), das Nutzen von Schlüsseln und Codierungen. Diese Verfahren führen aber häufig nicht im ersten Schritt zu einer faktischen Anonymisierung. Dies wird manchmal erst nach mehreren Schritten oder durch Kombination der Verfahren erreicht. [MW00] Pseudonymisierungsverfahren Der Begriff Pseudonymisieren wird durch 3 Abs. 6 a BDSG wie folgt geregelt: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren: [BS10] Bei der Pseudonymisierung werden personenbezogene Daten durch eine Zuordnungsregelung derart verändert, dass ohne Kenntnis oder Nutzung der Zuordnungsregelung nicht auf eine bestimmte Person geschlossen werden kann. Ein Name oder ein anderes Identifikationsmerkmal werden durch ein Pseudonym (zumeist eine mehrstellige Buchstabenoder Zahlenkombination, auch Code genannt) ersetzt. Hierdurch wird ausgeschlossen oder wesentlich erschwert, den Betroffenen zu identifizieren. Im Gegensatz zur Anonymisierung wird bei der Pseudonymisierung der Bezug von Informationen zu einer bestimmten Person nicht endgültig aufgehoben. Durch eine Zuordnungsregelung können die Informationen nachträglich wieder zusammengefasst und somit der Person, dem Namen zugeordnet werden [Tho11]. Je umfangreicher und aussagekräftiger eine Datenansammlung ist (zum Beispiel Einkommen, Krankheitsgeschichte, Wohnort, Größe), desto größer ist die theoretische Möglichkeit, die Daten auch ohne Code einer bestimmte Person zuzuordnen und diese zu identifizieren. Aus diesem Grunde müssen die vorhandenen Daten gegebenenfalls getrennt oder verfälscht werden, um die Identifizierung zu erschweren Beachtung des Datenschutzes und der Mitbestimmung des Betriebsrates bei Erstellung der Thesis Die für diese Arbeit im KU erhobenen beziehungsweise bereitgestellten Daten enthalten Malware-, Personen- und Systeminformationen. Die personenbezogenen Daten wurden durch Mitarbeiter des KU durch den Einsatz des Hash-Algorithmus (Sha 256) anonymisiert und anschließend dem Verfasser dieser Arbeit zur Auswertung im KU zur Verfügung gestellt. Im Rahmen der Arbeit erfolgte im KU eine Abstimmung mit dem Datenschutzbeauftragten und dem Betriebsrat.

47 3 Durchführung der Untersuchung Der in Abbildung 3.1 dargestellte Durchführungsprozess beschreibt die Vorgehensweise der Untersuchung. Im ersten Schritt des Prozesses werden fachliche Vermutungen aufgestellt, Abbildung 3.1: Durchführungsprozess inwieweit ein Zusammenhang zwischen dem Ereignis Infektion und anderen Merkmalen besteht. Systeme, die durch Malware infiziert wurden, generieren unter bestimmten Umständen mehrere Einträge in der Datenbank des Virenschutzes. Hierbei ist es denkbar, dass sich ein Virus, Wurm oder Trojaner selbständig verbreitet oder gezielt verschiedene Teile des Systems infiziert. Der in dem KU eingesetzte Virenschutz von McAfee generiert zum Beispiel für den W32/Conficker.worm.gen.a Wurm, die in Tabelle 3.1 [S. 37] dargestellten Einträge. Hier wird der Benutzer (B1) durch den W32/Conficker.worm.gen.a Zeit der Ereignisgenerierung Benutzer Hostname des Bedrohungsziels :54 Benutzer (B1) Host1 (H1) <SID> :55 Benutzer (B1) Host1 (H1) <SID> :56 Benutzer (B1) Host1 (H1) <SID> Dateipfad des Bedrohungsziels Tabelle 3.1: W32Conficker.worm.gen.a Einträge in der Datenbank infiziert. Dieser von McAfee als Trojaner klassifizierte Wurm befällt in kürzester Zeit mehrere Dateien beziehungsweise Registrierungseinträge auf ein und demselben System. Korrekterweise protokolliert der McAfee Virenscanner alle Malware-Befälle und bereinigt diese. Für das Ziel der statistischen Auswertung müssen diese Einträge jedoch nach Regeln bearbeitet werden, um die wirklichen Infektionen zu betrachten. Um fachliche Vermutungen treffen zu können, ist zunächst zu klären, was unter dem Begriff Infektion zu verstehen ist. Hierzu wird auf die nachfolgende Definition verwiesen:

48 38 3 Durchführung der Untersuchung Definition (Infektion) Treffen für Einzelevents folgende Kriterien zu, so werden die Einzelevents zu einem Datensatz zusammengefasst: Der Malware-Fund wurde am selben Tag entdeckt. Der Malware-Fund wurde durch den gleichen Benutzer ausgelöst. Der Malware-Fund wurde am gleichen System entdeckt. Treffen diese Kriterien für ein oder mehrere Einzelevents zu, so wird im weiteren Verlauf der Arbeit von Infektion gesprochen. Zu den oben erwähnten und im Rahmen dieser Thesis betrachteten anderen Merkmalen gehören Zeit, Systemtyp, Betriebssystem, Geschlecht, Alter und Privileg. Diese werden im Kapitel 3.2 ausführlich beschrieben. Im zweiten Schritt des Durchführungsprozesses werden unter Zugrundelegung der fachlichen Vermutungen die Nullhypothese H 0 und die Alternativhypothese H 1 festgelegt, die einer genauen Betrachtung bedürfen. Im weiteren Verlauf der Untersuchung wird das Signifikanzniveau α festgelegt und standardmäßig ein Niveau von einem Prozent festgesetzt. Dies entspricht der Wahrscheinlichkeit, beim Test eine Fehlentscheidung zu treffen (d.h. die Nullhypothese abzulehnen, obwohl sie zutrifft). Danach wird die eigentliche Berechnung des Hypothesentests ausgeführt (siehe Abschnitt [S. 29]). Die Berechnung der Tests wird mit Hilfe eines in dieser Arbeit entwickelten Tools realisiert (siehe Abschnitt 3.3 [S. 45]). Im vorletzten Schritt der Untersuchung werden anhand der Berechnungen die Testentscheidungen getroffen. Im letzten Schritt des Durchführungsprozesses werden die beiden möglichen Ergebnisse interpretiert. Einerseits kann die Nullhypothese abgelehnt werden, weil ein Zusammenhang zwischen dem Ereignis Infektion und einem anderen Merkmal besteht. Es besteht jedoch die Gefahr, dass eine Fehlentscheidung getroffen wurde. Im Rahmen dieser Arbeit liegt das Signifikanzniveau bei einem Prozent. Der genaue Ablauf der Untersuchung wird exemplarisch im Folgenden dargestellt: Anhand der Vermutung, ob es einen Zusammenhang zwischen dem Typ eines Systems (Workstation, Laptop, Server) und aufgetretenen Infektionen gibt, werden die Nullhypothese H 0 und die Alternativhypothese H 1 festgelegt. H 0 : Es liegt Unabhängigkeit vor, d.h. es besteht kein Zusammenhang zwischen Infektion und Systemtyp. H 1 : Es liegt keine Unabhängigkeit vor, d.h. es besteht ein Zusammenhang zwischen Infektion und Systemtyp. Ziel ist es, durch ein geeignetes statistisches Verfahren die H 0 abzulehnen. Die Tabelle 3.2 zeigt die beobachteten Häufigkeiten des Merkmales Systemtyp und dem Ereignis Infektion. Laut Tabelle 3.2 [S. 39] wurden im Jahr Workstations infiziert. In

49 39 Von Infektionen Systemtyp betroffen nicht betroffen Summe Laptop Workstation Server Summe h = 6039 Tabelle 3.2: Beobachtete Häufigkeiten von Systemtypen Von Infektionen Systemtyp betroffen nicht betroffen Summe Laptop 87, , Workstation 235, , Server 30,57 492, Summe h = 6039 Tabelle 3.3: Erwartete Häufigkeiten von Systemtypen diesen sind nur die Rechner enthalten, die im Jahr 2010 eine oder mehrere Infektionen enthielten. Gezählt wird ein betroffenes System nur einmal (dies gilt analog für Laptop und Server). Definition (Betroffen) Tritt eine Infektion auf, so wird sie nur einmal berücksichtigt, auch wenn sie innerhalb des auszuwertenden Zeitraums mehrmals aufgetreten ist. Mittels der Vorschrift 2.1 auf Seite 30 werden aus den beobachteten die erwarteten Häufigkeiten bestimmt und in der Tabelle 3.3 dargestellt: Aus den beiden tabellarischen Aufstellungen errechnet sich ein Chi-Quadrat-Wert von 134,897. Für die (k 1) * (l 1) Freiheitsgrade (df) wird in diesem Fall (3 1)*(2 1) = 2df ermittelt (siehe Formel 2.5). Bei einem Signifikanzniveau von einem Prozent lesen wir aus der Tabelle 2.4 einen kritischen Schwellenwert von 9,21034 ab, d.h. der gefundene Chi-Quadrat-Wert von 134,897 ist auf dem 1 %-Niveau signifikant. Aus diesem Grund kann H 0 nicht aufrechterhalten werden. Somit besteht ein Zusammenhang zwischen den beiden untersuchten Merkmalen. Seine Stärke wird durch den Kontingenzkoeffizienten bestimmt, der 0,15 beträgt. Je stärker der Wert gegen Null geht, desto geringer ist der Abhängigkeitsgrad. Die Interpretation kann dem Kapitel 3.2 [S. 42] entommen werden.

50 40 3 Durchführung der Untersuchung 3.1 Beschreibung der vorliegenden Daten Nach DIN ISO/IEC 2382 sind Daten Gebilde aus Zeichen oder kontinuierlichen Funktionen, die aufgrund bekannter oder unterstellter Abmachungen Informationen darstellen, vorrangig zum Zweck der Verarbeitung und als deren Ergebnis [Deu96]. Die für diese Arbeit erhobenen Daten enthalten Malware-, Personen- sowie Systeminformationen. Diese drei Bereiche sind in der Abbildung 3.2 dargestellt und werden im weiteren Teil des Kapitels näher erläutert: Abbildung 3.2: Bereiche der Datenerhebung Malware-Funde Tritt Malware auf einem System auf, so werden zwei wesentliche Schritte durchgeführt. Zunächst bereinigt der lokale Virenschutz auf dem System die Malware. Im zweiten Schritt kommuniziert der McAfee Agent mit der zentralen Serverkomponente im KU. Dort werden alle auftretenden Malware-Events in einer Datenbank abgespeichert. Diese werden über die epo-konsole abgefragt und in tabellarischer Form dargestellt. Die Ergebnisse der Abfrage können für eine weitere Verarbeitung exportiert werden und liegen in diesem Fall vom bis zum vor. Insgesamt wurden 1338 Malware-Events in dem oben genannten Zeitraum aufgezeichnet. Aufgrund der Vielfalt und der unterschiedlichen Informationen, die zu einem Malware- Event gespeichert werden, bietet die epo-konsole die Möglichkeit, die vorhandenen Daten einer Vorselektierung zu unterziehen. Dies geschieht mit der Weboberfläche der epo-konsole und erleichtert die Datenerhebung. Diese Vorselektierung und die genaue Vorgehensweise werden im Grundlagenteil zur epo-konsole behandelt. Das Feld Zeit der Ereignisgenerierung (UTC) beinhaltet die Uhrzeit sowie das Kalenderdatum des Malware-Fundes in koordinierter Weltzeit. Um eine regionale beziehungsweise globale Aussage über die Zeitpunkte der Malware-Funde zu treffen, muss die Coordinated Universal Time (UTC)-Zeit auf die jeweilige Ortszeit am Standort umgerechnet werden. Die jeweilige Zeit am Standort wird durch ein Offset bestimmt. Beispielsweise für Bochum in mitteleuropäischer Sommerzeit wird die UTC-Zeit um zwei Stunden erhöht (UTC+2). Dieses Feld wird in der späteren Auswertung innerhalb des Tools vom Konverter nach Datum und Uhrzeit getrennt. Ein weiteres Feld ist der Hostname des Bedrohungsziels. Dieses Feld beinhaltet den Systemnamen, auf dem die Malware entdeckt wurde. Über den Hostnamen kann unter anderem der Systemtyp (zum Beispiel S für Server, L für Laptop und W für Workstation) ermittelt werden.

51 3.1 Beschreibung der vorliegenden Daten 41 Logfeld Beispiel Beschreibung Zeit der Ereignisgenerierung (UTC) :42:59 Zeitangabe in koordinierter Weltzeit Domänenname - - Hostname des Bedrohungsziels Host1 (H1) - Benutzername des Bedrohungsziels SYSTEM - Ereigniskategorie Malware entdeckt - Ereignis-ID Schweregrad der Bedrohung Warnung Hinweis, kritisch, Notfall, Warnung Name der Bedrohung W32/HLLP. Philis.dam Dateipfad des Bedrohungsziels <SID> - DAT-Version 5558 Version der Virensignatur Entdeckungsmethode des Analyseprogramms On Demand Scan Scantypen: ODS, OAS Ausgeführte Aktion gelöscht gelöscht, gesäubert, keine, replaced, Zugriff verweigert Typ der Bedrohung virus Kategorien: Virus oder Trojaner Verarbeitete Bedrohung WAHR Betriebssystem Windows 2003 Server 5.2 Service Pack 2 Tags Server - Ereignisbeschreibung Die infizierte Datei wurde gelöscht. Benutzername Benutzer1 (B1) - Tabelle 3.4: Abgefragte Logfelder - Windows XP SP2 oder SP3, Windows 2003 Server -

52 42 3 Durchführung der Untersuchung Um die Daten aus dem epo-server in Beziehung zu personenbezogenen Daten zu setzen, wird über die epo-konsole der Benutzername des Bedrohungsziels erhoben. Dieses Feld beinhaltet den Benutzer, der zum Zeitpunkt des Malware-Fundes angemeldet war. Aufgrund der Eindeutigkeit der Benutzerkennung im KU eignet sich dieses Feld als Schlüsselfeld. Beispielsweise können über dieses Feld personenbezogene Daten mit Malware-Funden in Beziehung gesetzt werden, da in jeder Datenquelle diese Benutzerkennung vorhanden ist. Im allgemeinen Fall bedeutet dies, dass für die Verbindung der Datenquellen ein geeignetes Feld gefunden werden muss, welches die Schlüsselfeldeigenschaft, ähnlich wie der Primary-Key, der einen Datensatz eindeutig in einer relationalen Datenbank beschreibt, besitzt. Ein weiteres Feld beinhaltet den Typ der Bedrohung. Hier wird nach Virus und Trojaner als Bedrohungsarten unterschieden. Ausführliche Erläuterungen finden sich im Grundlagenkapitel 2.1. Systemdaten Der zweite wichtige Kernbereich für die Auswertung sind die Daten aus dem Asset Management System (AMS). In dieser Datenbank werden die systemspezifischen Daten des KU gespeichert. Das AMS stellt beispielsweise die Kostenstelle, den Standort und den Systemtyp der Geräte zur Verfügung. Im Rahmen dieser Arbeit war es nicht erforderlich, auf zusätzliche AMS-Daten des KU zurückzugreifen, da die benötigten Informationen aus den zuvor beschriebenen epo-daten (siehe Malware-Funde) gewonnen werden konnten. Personeninformationen Der dritte Bereich sind die personenbezogenen Daten, die über das Human Resource Management System (HRMS) bereitgestellt wurden. Diese Daten hat der Verfasser dieser Arbeit nicht selbst erhoben; vielmehr wurden sie vom KU in nicht veränderbarer Form zur Verfügung gestellt. Im Datenbestand waren unter anderem die Felder Geschlecht, Alter und Abteilung zu finden. Diese Daten waren bereits so aufbereitet (anonymisiert), dass auf eine bestimmte Person nicht geschlossen werden konnte. Für die weitere Verarbeitung der personenbezogenen Daten wurden die Mitarbeiter in Altersgruppen zusammengefasst. 3.2 Fachliche Vermutungen über Zusammenhänge Die Grafik 3.3 zeigt die Merkmalsträger System und Benutzer sowie das Merkmal Zeit, die Einfluss auf den Malware-Befall haben und in dieser Arbeit näher untersucht werden. Diese wurden gewählt, um umfassende Erkenntnisse für den Einfluss von Malware-Befall zu gewinnen Merkmal Zeit Die Zeit ist ein möglicher Ansatzpunkt, der Einfluss auf den Malware-Befall haben könnte. Die Arbeitszeit der Mitarbeiter ist in einem Unternehmen recht unterschiedlich. So variieren Beginn und Ende der täglichen Arbeitszeit. Auch ist zu beachten, ob in einem

53 3.2 Fachliche Vermutungen über Zusammenhänge 43 Abbildung 3.3: Einflussfaktoren für Malware-Befall Unternehmen feste Arbeitszeiten bestehen oder Gleitzeit eingeführt ist. Darüber hinaus ist der Zeitraum der Mittagspause ein Kriterium, der Einfluss auf den Malware-Befall haben kann. Die Betrachtung von Gleitzeit, Kernarbeitszeit, Mittagspause und/oder fester Arbeitszeit ist deshalb von Bedeutung. Außerdem kann eine mögliche Einflussgröße auf das Merkmal Zeit die Anzahl der aktiven Nutzer an den Systemen sein. Auch die Anzahl der Mitarbeiter in Abwesenheit ist gegebenenfalls ein Kriterium für die Betrachtung Merkmalsträger System Zu diesem Punkt werden die Merkmale Systemtyp und Betriebssystem näher beschrieben. Merkmal Systemtyp Laptop, Workstation und Server können von Malware befallen werden. Bei Außendienstmitarbeitern beispielsweise, die ein Laptop zur Verfügung haben und sich in unterschiedliche Infrastrukturen verbinden, um auf das Firmennetz zuzugreifen, ist es vorstellbar, dass diese Systeme mehr Infektionen aufweisen als ein System, welches nur am Arbeitsplatz der Unternehmensumgebung (Workstation) eingesetzt wird. Grundsätzlich lässt sich vermuten, dass Client-Systeme (Laptop oder Workstation) mehr befallen sind, da sie die direkte Schnittstelle zum Benutzer und dem Internet darstellen. Aufgrund der Client-/Server- Architektur werden grundsätzlich alle Dateien in dem KU auf Fileservern abgelegt. Hierbei ist zu erwarten, dass diese Systeme stärker durch Malware betroffen sind, als reine Applikationsserver, wo nur administrative und Wartungstätigkeiten durchgeführt werden sollten. Um alle Sachverhalte prüfen zu können, wird folgende Zusammenhangshypothese aufgestellt:

54 44 3 Durchführung der Untersuchung H 0 : Es liegt Unabhängigkeit vor, d.h. es besteht kein Zusammenhang zwischen Infektion und Systemtyp. H 1 : Es liegt keine Unabhängigkeit vor, d.h. es besteht ein Zusammenhang zwischen Infektion und Systemtyp. Merkmal Betriebssystem Bei diesem Punkt soll die Vermutung untersucht werden, ob Clientbetriebssysteme (zum Beispiel Microsoft Windows XP) oder Serverbetriebssysteme (zum Beispiel Microsoft Windows Server 2003) stärker von Infektionen betroffen sind. Nach Auffassung des Verfassers sollten Serverbetriebssysteme weniger anfällig sein, da sie in der Regel einem höheren Schutzniveau unterliegen. Dagegen bieten Clientbetriebssysteme eine höhere Infektionsgefahr, da hier gegebenenfalls ungefilterte Daten durch Besuche auf Internetseiten geladen werden können. Die Sicherheitsstandards werden bei Serverbetriebssystemen typischerweise höher angesetzt als bei Clientbetriebssystemen, da bei einem Serverausfall erhebliche Daten verloren gehen können. Hierdurch sind stundenoder tagelange Arbeitsausfälle sowie der Verlust von Arbeitszeit/Produktivität nicht auszuschließen. Die bei einem Clientsystem (Laptop, Workstation) verlorenen Daten betreffen in der Regel einen Einzelnen und sind mit einem verhältnismäßig vertretbaren Aufwand wieder zu beschaffen. Davon unabhängig sollte das Schutzniveau bei allen Komponenten dem maximal möglichen und zeitgemäßen Niveau entsprechen. Dies wird durch folgende Hypothese überprüft: H 0 : Es liegt Unabhängigkeit vor, d.h. es besteht kein Zusammenhang zwischen Infektion und Betriebssystem. H 1 : Es liegt keine Unabhängigkeit vor, d.h. es besteht ein Zusammenhang zwischen Infektion und Betriebssystem Merkmalsträger Benutzer Zu diesem Merkmalsträger sind die Einflüsse von Geschlecht, Alter und Privileg auf den Malware-Befall betrachtet worden. Merkmal Geschlecht Hier ist davon auszugehen, dass sich die Malware-Funde gleichmäßig auf männliche und weibliche Beschäftigte verteilen. Einerseits kann ein Grund für die Unabhängigkeit das identische Bildungsniveau beider Geschlechter sein. Andererseits spricht dagegen, dass es geschlechterspezifische Interessen gibt. Die Mitarbeiterin wird zum Beispiel in der Mittagspause andere Internetseiten aufsuchen als der Mitarbeiter. Geschlechterspezifische Quellen sind somit potenziell für den Malware-Befall relevant. Um diesen Sachverhalt zu prüfen, wird folgende Zusammenhangshypothese aufgestellt:

55 3.3 Werkzeuge für die Untersuchung 45 H 0 : Es liegt Unabhängigkeit vor, d.h. es besteht kein Zusammenhang zwischen Infektion und Geschlecht. H 1 : Es liegt keine Unabhängigkeit vor, d.h. es besteht ein Zusammenhang zwischen Infektion und Geschlecht. Merkmal Alter Welche Altersgruppe mehr oder weniger Malware-Funde hat, lässt sich nicht genau bestimmen. Für die jüngeren Mitarbeiter spricht der selbstverständliche Umgang mit sozialen Netzwerken. Bei Älteren eher die Unerfahrenheit mit Computern. Auch ist zu vermuten, dass die jüngeren Beschäftigten den Computer mehr nutzen als die älteren Mitarbeiter, sofern die Arbeitsabläufe dies zulassen. Darüber hinaus ist die jeweilige Kreativität der Mitarbeiter nicht einzuschätzen. Um diesen Sachverhalt zu prüfen, wird folgende Zusammenhangshypothese aufgestellt: H 0 : Es liegt Unabhängigkeit vor, d.h. es besteht kein Zusammenhang zwischen Infektion und Alter. H 1 : Es liegt keine Unabhängigkeit vor, d.h. es besteht ein Zusammenhang zwischen Infektion und Alter. Merkmal Privileg Privilegierte Mitarbeiter (zum Beispiel Administratoren, Betreuer von spezieller Software) können ein erhöhtes Risiko darstellen. Jedoch sind sie aufgrund ihres fachlichen Know-hows in diesem Bereich mit einer hohen Sensibilität ausgestattet. Um diesen Sachverhalt zu prüfen, wird folgende Zusammenhangshypothese aufgestellt: H 0 : Es liegt Unabhängigkeit vor, d.h. es besteht kein Zusammenhang zwischen Infektion und Privileg. H 1 : Es liegt keine Unabhängigkeit vor, d.h. es besteht ein Zusammenhang zwischen Infektion und Privileg. 3.3 Werkzeuge für die Untersuchung Für die Untersuchung der aufgestellten fachlichen Vermutungen werden verschiedene Werkzeuge benötigt. An die Auswahl der Werkzeuge wurden Bedingungen geknüpft, die sich wie folgt darstellen. Alle Untersuchungen müssen innerhalb des KU durchgeführt werden, da es nicht gestattet ist, Daten außerhalb des KU zu bearbeiten. Aus diesem Grund wurden Werkzeuge verwendet, die dem KU zur Verfügung stehen. Weiterhin bestand die Anforderung, dass die verwendeten Werkzeuge möglichst breit auch in anderen Unternehmen verfügbar sein sollten. Eines dieser Werkzeuge ist Bestandteil der Microsoft-Office-Suite.

56 46 3 Durchführung der Untersuchung Excel bildet die Grundlage für die durchgeführten Analysen. Es beinhaltet einige statistische Verfahren, wie zum Beispiel die Funktion CHITEST, die den Chi-Quadrat- Test beinhaltet (s. Abschnitt: [S. 29]). Darüber hinaus kann der Funktionsumfang durch Programmierung mit der Skriptsprache VBA erweitert werden. Das in dieser Arbeit entwickelte Tool benutzt und erweitert den Funktionsumfang von Microsoft Excel und ermöglicht es, die aufgestellten fachlichen Vermutungen halbautomatisch zu überprüfen. Die Abbildung 3.4 stellt den Aufbau des Tools abstrakt dar und setzt sich aus drei Excel-Dateien zusammen. Die import.xls beinhaltet die Malware-Funde Personal Asset Management System Konverter 1 Konverter 2 Konverter 3 Import.xls auswertung_ virus_trojaner.xls auswertung_ infektionen.xls Abbildung 3.4: Abstrakter Aufbau des Tools Import- sowie die Konvertierfunktion für die unterschiedlichen Datenbestände. Die auswertung_virus_trojaner.xls beinhaltet die Auswertung nach Virus und Trojaner. Diese Auswertungsdatei ist McAfee spezifisch, da die Einteilung der Malware-Funde durch McAfee so vorgenommen wird. Deshalb wurde eine weitere Datei auswertung_infektionen.xls erstellt, die die Auswertung nach den in dieser Arbeit aufgestellten fachlichen Vermutungen sowie die Zusammenfassung der Malware-Funde zu Infektionen beinhaltet. Die grafische Benutzeroberfläche (GUI), die in Abbildung 3.5 dargestellt ist, ist eine Softwarekomponente, die es dem Benutzer erlaubt, nach dem Start der import.xls die Datenbestände vom KU in die verschiedenen Tabellenblätter (s. Abbildung 3.6 Tabellenblätter) zu importieren. Die Anforderungen an eine grafische Benutzungsschnittstelle im Rahmen der Mensch-Computer-Kommunikation sind in der europäischen Norm EN ISO

57 3.3 Werkzeuge für die Untersuchung 47 Abbildung 3.5: UserInterface ff. geregelt. Aufgrund dieser Norm hat der Verfasser dieser Arbeit die GUI gestaltet. Um keine Inkonsistenz zur Abbildung 3.4 zu bekommen, wurde in die GUI das AMS mit aufgenommen. Da in den McAfee Daten alle benötigten AMS Daten bereits vorhanden sind, wird dieser Teil des Tools nicht weiter beschrieben. Sollten die Datenbestände in anderen Unternehmen Verwendung finden, müsste dieser Teil weiter ausgebaut werden. Durch Ausführen des epo-import sowie des HR-import Buttons wird die in Listing 3.1 Abbildung 3.6: Tabellenblätter der Arbeitsmappe import.xls dargestellte Import-Funktion ausgeführt und in die jeweiligen Tabellenblätter ( McAfee epo beziehungsweise HR ) eingefügt. Sub import(tabellenblatt As String) Dim worksheet Dim Dateiname Dialog öffnen Dateiname = Application.GetOpenFilename("Importdatei " & "(*.csv; *.xls;),*.csv; *.xls") *.csv oder *.xls ins das gewählte Tabellenblatt importieren Set worksheet = ActiveWorkbook.Sheets(Tabellenblatt) If Dateiname <> False Then Workbooks.Open Dateiname ActiveSheet.UsedRange.Copy worksheet.cells(1) ActiveWorkbook.Close Application.ScreenUpdating = True End If End Sub Listing 3.1: Import-Funktion Die Funktion ermöglicht es, zwei unterschiedliche Dateiformate.xls oder.csv in ein

58 48 3 Durchführung der Untersuchung bestimmtes Tabellenblatt (siehe Abbildung 3.6) zu importieren. Über den epo-convert Button wird die Konvertierfunktion (epodatenbearbeiten()) aufgerufen. Diese Methode konvertiert die importierten McAfee Malware-Events in einen auswertbaren Datenbestand, indem die entsprechenden Excel-Formeln aufgerufen werden. Aufgrund der Größe des Quellcodes werden im Folgenden wichtige Teilbereiche näher beschrieben. Die in Listing 3.2 aufgeführten Befehle ermöglichen es, den Systemtyp aus dem Hostname zu entnehmen. Systemtyp Xtes Zeichen aus Zelle auslesen, um Systemtyp aus Hostnamen zu erhalten Y Zeichen werden ausgelesen (Anzahl_Zeichen).Range("Spalte" & Zeilenzahl).FormulaLocal = "=Teil(Zelle;X;Y)" Listing 3.2: Hostname des Bedrohungsziels Das Feld Zeit der Ereignisgenerierung beinhaltet das Datum und die Uhrzeit des Malware- Fundes. Aus diesem Feld wird die Uhrzeit, Datum, Jahr, Monat, Quartal, Wochentag und Stunde in UTC-Zeit entnommen. Die einzelnen Excel-Formeln können dem Listing 3.3 entnommen werden. Uhrzeit.Range("Spalte" & Zeilenzahl).FormulaLocal = "=Rest("Zelle";1)" Datum.Range("Spalte" & Zeilenzahl).FormulaLocal = "=KÜRZEN("Zelle")" Jahr.Range("Spalte" & Zeilenzahl).FormulaLocal = "=TEXT("Zelle";""jjjj"")" Monat.Range("Spalte" & Zeilenzahl).FormulaLocal = "=Monat("Zelle")" Quartal.Range("Spalte" & Zeilenzahl).FormulaLocal = "=AUFRUNDEN(MONAT("Zelle")/3;0)&"". Quartal""" Wochentag.Range("Spalte" & Zeilenzahl).FormulaLocal = "=TEXT("Zelle";""tttt"")" Stunde.Range("Spalte" & Zeilenzahl).FormulaLocal = "=TEXT("Zelle";""hh"")" UTC-Zeit in Ortszeit konvertieren.range("spalte" & Zeilenzahl).FormulaLocal = "=utcconvert("utc-zeit";"standort")" Listing 3.3: McAfee Uhrzeit (UTC) konvertieren Da das Feld Zeit der Ereignisgenerierung den Zeitpunkt der koordinierten Weltzeit beinhaltet, ist zum Beispiel für die Betrachtung der Malware-Funde im zeitlichen Verlauf dieses Feld nur bedingt brauchbar. Deshalb wird die in Listing 3.4 dargestellte utcconvert() Methode benötigt und ermöglicht eine Umrechnung der UTC-Zeit in die jeweilige Ortszeit des Standortes. Function utcconvert(utc As Date, standort As String) As Date Dim startdst, enddst As Date Select Case standort Beispiel für die Umrechnung der UTC-Zeit in MESZ bzw. MEZ Aufgrund der Anonymisierung wurden die Standorte durch Buchstaben ersetzt Case "A"

59 3.3 Werkzeuge für die Untersuchung 49 startdst = DateAdd("h", 2, WochentagSuchen("L", 1, 3, Year(utc))) enddst = DateAdd("h", 3, WochentagSuchen("L", 1, 10, Year(utc))) MESZ If utc >= startdst And utc <= enddst Then utcconvert = DateAdd("h", 2, utc) MEZ Else utcconvert = DateAdd("h", 1, utc) End If Case Else utcconvert = utc End Select End Function Listing 3.4: UTCconvert Funktion Die Funktion WochentagSuchen() (s. Listing 3.5) wird von der utcconvert() Funktion benötigt, um den richtigen Startpunkt für die Umrechnung zu ermitteln. Public Function WochentagSuchen(postition, tag As Long, monat As Long, jahr As Long) position in der Woche 1-5 tag 1=Sonntag, 2= Monatg usw. monat 1= Januar, 2= Februar usw. Dim erstertag As Date If tag < 1 Or tag > 7 Then WochentagSuchen = CVErr(xlErrValue) Exit Function End If Select Case postition Case 1, 2, 3, 4, 5, "L", "l" erstertag = DateSerial(jahr, monat, 1) ersten Tag finden If Weekday(ersterTag, vbsunday) < tag Then erstertag = erstertag + (tag - Weekday(ersterTag, vbsunday)) ElseIf Weekday(ersterTag, vbsunday) > tag Then erstertag = erstertag + (tag Weekday(ersterTag, vbsunday)) End If letzten Tag finden bei "L" If IsNumeric(postition) Then WochentagSuchen = erstertag + (postition - 1) * 7 If Month(WochentagSuchen) <> Month(ersterTag) Then WochentagSuchen = CVErr(xlErrValue) Else WochentagSuchen = erstertag Do Until Month(WochentagSuchen) <> Month(WochentagSuchen + 7) WochentagSuchen = WochentagSuchen + 7 Loop End If Case Else WochentagSuchen = CVErr(xlErrValue) End Select End Function Listing 3.5: WochenTagSuchen Funktion

60 50 3 Durchführung der Untersuchung Beispielsweise wird an manchen Standorten die Umstellung von Sommer- auf Winterzeit immer an einem Sonntag in der zweiten Woche des Monats März vorgenommen. Um die beiden Datenbestände ( HR und McAfee ) zusammenzuführen, wird der Benutzername in beiden Tabellenblättern in gleicher Form benötigt (siehe Listing 3.6). Benutzername_adm.Range("Spalte" & Zeilenzahl).FormulaLocal = "=WENN(RECHTS("Zelle";3)=""adm"";LINKS("Zelle";LÄNGE ("Zelle")-3);"Zelle")" Benutzername_Klein.Range("Spalte" & Zeilenzahl).FormulaLocal = "=Klein("Zelle")" Administrator_Ja_Nein.Range("Spalte" & Zeilenzahl).FormulaLocal = "=ZÄHLENWENN("Zelle";""*adm"")" Scan-Typ OAS.Range("Spalte" & Zeilenzahl).FormulaLocal = "=ZÄHLENWENN("Zelle";""*OAS*"")" Scan-Typ ODS.Range("Spalte" & Zeilenzahl).FormulaLocal = "=ZÄHLENWENN("Zelle";""*On Demand Scan*"")" Herkunft.Range("Spalte" & Zeilenzahl).FormulaLocal = "=GROSS(TEIL("Zelle";1;1))" Listing 3.6: epo-daten Um die beiden Scan-Typen zu untersuchen, wird das Feld Entdeckungsmethode des Analyseprogramms in die beiden Felder ODS (on-demand Scan) und OAS (on-access Scan) unterteilt. Die beiden Formeln können dem Listing 3.6 entnommen werden. An den vom KU bereitgestellten HR-Daten wurden keine signifikanten Veränderungen vorgenommen. Die beiden aufbereiteten Datenbestände ( McAfee epo und HR ) können mit dem in Listing 3.7 aufgeführten SQL-Statement zu einem neuen Tabellenblatt( Zusammenfassung ) konsolidiert werden (siehe Abbildung Tabellenblätter). SELECT McAfee epo$.datum_ortszeit, McAfee epo$.benutzername, McAfee epo$. Administrator Ja/Nein, McAfee epo$. Ausgeführte Aktion, McAfee epo$. Benutzername des Bedrohungsziels, McAfee epo$.benutzername_klein, McAfee epo$.benutzername_adm, McAfee epo$.betriebssystem, McAfee epo$. Dateipfad des Bedrohungsziels, McAfee epo$.datum_utc, McAfee epo$. DAT-Version, McAfee epo$.domänenname, McAfee epo$. Entdeckungsmethode des Analyseprogramms, McAfee epo$.ereignisbeschreibung, McAfee epo$. Ereignis-ID, McAfee epo$.ereigniskategorie, McAfee epo$.herkunft, McAfee epo$. Hostname des Bedrohungsziels, McAfee epo$.jahr_ortszeit, McAfee epo$.jahr_utc, McAfee epo$.monat_ortszeit, McAfee epo$.monat_utc, McAfee epo$. Name der Bedrohung, McAfee epo$.ortszeit, McAfee epo$.quartal_ortszeit, McAfee epo$.quartal_utc, McAfee epo$. Scantyp ODS, McAfee epo$. Scantyp OAS, McAfee epo$. Schweregrad der Bedrohung, McAfee epo$.standort, McAfee epo$.stunde_ortszeit, McAfee epo$.stunde_utc, McAfee epo$.system, McAfee epo$.tags, McAfee epo$. Typ der Bedrohung, McAfee epo$.uhrzeit_utc, McAfee epo$. Verarbeitete Bedrohung, McAfee epo$.wochentag_ortszeit, McAfee epo$.wochentag_utc, McAfee epo$. Zeit der Ereignisgenerierung (UTC), HR$.Geschlecht, HR$. Lebensalter (Jahre), HR$.Organisationseinheit, HR$. User-ID, HR$. Windows-ID, HR$. Windows-ID_klein FROM {oj McAfee epo$ McAfee epo$ LEFT OUTER JOIN HR$ HR$ ON McAfee epo$.benutzername_klein = HR$. Windows-ID_klein } Listing 3.7: SQL-Statement

61 3.3 Werkzeuge für die Untersuchung 51 Abbildung 3.7: Tabellenblätter der Arbeitsmappe auswertung_virus_trojaner.xls Das durch die SQL-Abfrage erstellte Tabellenblatt (Zusammenfassung) bildet die Grundlage für die weiteren Auswertungen in der auswertung_virus_trojaner.xls Datei. Mit Hilfe des Infektionen-convert Buttons wird die Definition [S. 38] auf das Tabellenbatt Zusammenfassung angewendet. Die InfektionenDatenBearbeiten() (s. Listing 3.8) Funktion fasst alle Einzelevents zu Infektionen zusammen, die den oben genannten Kriterien entsprechen. Die so erstellte Infektionstabelle ( Infektionen ) bildet die Grundlage für die weiteren Auswertungen in der auswertung_infektionen.xls Datei. Sub InfektionenDatenBearbeiten() Dim Zeilenzahl Dim TabellenName As String TabellenName = "Infektionen" Dim Blatt As Worksheet Set Blatt = ThisWorkbook.Worksheets(TabellenName) Blatt.Activate Tabellenende Zeilenzahl = ActiveSheet.Cells(Rows.Count, 3).End(xlUp).Row With Blatt Dim temp As String Dim temp1 As String Dim i As Long For i = Zeilenzahl To 2 Step -1 Kriterium: gleicher Tag & gleicher Benutzer & gleiches System temp =.Cells(i, 1) &.Cells(i, 2) &.Cells(i, 3) temp1 =.Cells(i - 1, 1) &.Cells(i - 1, 2) &.Cells(i - 1, 3) If temp = temp1 Then Zeilen löschen Rows(i).Delete Shift:=xlUp End If Next i End With End Sub Listing 3.8: Infektionen bearbeiten Auswertungsdatei Virus und Trojaner Über einen indirekten Verweis wird auf die zuvor beschriebene import.xls Datei mit dem Tabellenblatt Zusammenfassung zugegriffen. Diese Datei besteht aus den in Abbildung 3.7 dargestellten Tabellenblättern. Im Konfigurationstabellenblatt kann der Dateipfad der import.xls angepasst werden. Darüber hinaus werden folgende Felder für die Konfiguration zur Verfügung gestellt: Jahr der Auswertung (hier: 2010) Dateiname (hier: import.xls) Standort der Auswertung (hier: alle Standorte)

62 52 3 Durchführung der Untersuchung Tabellenname der import.xls für die Auswertung (hier: Zusammenfassung ) Anzahl Zeilen des Tabellenblatts (hier: Anzahl Zeilen vom Tabellenblatt Zusammenfassung ) Für jede aufgestellte Hypothese wurde ein Tabellenblatt erstellt und der χ 2 -Test ausgeführt. Er benötigt in Excel als Input die beobachteten sowie die erwarteten Häufigkeiten. =SUMMENPRODUKT((INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&System&""&Zeilen&"")=" L") *(INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&Standort_import&""&Zeilen&"")=""& Standort) *(INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&Jahr_Ortszeit&""&Zeilen&"")=""&Jahr) *(INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&Typ_der_Bedrohung&""&Zeilen&"")=" virus")) Listing 3.9: Excel-Formel Summenprodukt Virus und Trojaner Um die beobachteten Häufigkeiten zu ermitteln, wird die Formel in Listing 3.9 pro Zelle benötigt. Je nach Hypothese und benötigtem Feld muss die Formel in Listing 3.9 angepasst werden. Die dargestellte Formel sucht in der import.xls (Tabellenblatt: Zusammenfassung ) die Einträge für die exemplarisch vorgestellte Hypothese Systemtyp mit folgenden Kriterien und bildet das Summenprodukt: System mit Buchstaben L für Laptop Standort (zum Beispiel alle Standorte) Jahr (hier: 2010) Typ der Bedrohung (hier: Virus oder Trojaner) Aus den so ermittelten beobachteten Häufigkeiten werden mit der in Abschnitt beschriebenen Vorschrift 2.1 [S. 30] die erwarteten Häufigkeiten berechnet und in zwei Tabellen dargestellt (siehe Abschnitt 3). Auf Grundlage dieser beiden Tabellen kann der Chi-Quadrat-Wert ( =CHITEST(Beob_Meßwerte, Erwart_Werte) ) errechnet werden. Die CHIINV Funktion errechnet anhand des oben beschrieben Wertes den Chi-Quadrat- Wert mit Hilfe der errechneten Freiheitsgrade. Aus diesem Wert wird der kritische Schwellenwert (Kontingenzkoeffizient) mit der Vorschrift 2.3 [S. 30] bestimmt. Die Interpretation der Ergebnisse muss anschließend vom Anwender durchgeführt werden Auswertungsdatei Infektionen Über einen indirekten Verweis wird auf die zuvor beschriebene import.xls Datei mit dem Tabellenblatt Infektionen zugegriffen. Die auswertung_infektionen.xls beinhaltet die in Abbildung 3.8 dargestellten Tabellenblätter. Im Konfigurationstabellenblatt können die in Abschnitt beschrieben Einstellungen vorgenommen werden. In dieser Beschreibung der Auswertungsdatei wird der Systemtyp exemplarisch verwendet.

63 3.3 Werkzeuge für die Untersuchung 53 Abbildung 3.8: Tabellenblätter der Arbeitsmappe auswertung_infektionen.xls =SUMMENPRODUKT(WENN((INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&Systemtyp&""& Zeilen&"")<>""); 1/ZÄHLENWENN(INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&Systemtyp&""&Zeilen&""); INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&Systemtyp&""&Zeilen&""));0) *(INDIREKT(" "&Dateipfad&"\["&Dateiname&"]"&Tabellenname&"!"&System&""&Zeilen&"")="L")) Listing 3.10: Excel-Formel Summenprodukt Infektionen Die in Listing 3.10 dargestellte Formel ermittelt die beobachteten Häufigkeiten nach folgenden Kriterien: Hostname des Bedrohungsziels Systemtyp Laptop (L) Die Formel zählt jeden Host nur ein einziges Mal, wobei das Kriterium Systemtyp zusätzlich zutreffen muss. Durch die Zusammenfassung der Malware-Events zu Infektionen und der oben beschrieben Formel in Listing 3.10 wird erreicht, dass nur die betroffenen Hosts gezählt werden. Nachdem die Tabelle mit den beobachteten Häufigkeiten gefüllt ist, erfolgen die weiteren Berechnungsschritte analog, wie sie in Abschnitt beschrieben wurden.

64

65 4 Ergebnisse und Diskussion Die in dieser Arbeit zugrunde gelegten Daten beschreiben den Zeitraum vom bis zum Die Auswertung erfolgte über alle Standorte. Insgesamt wurden 1338 Malware-Events für den angegebenen Zeitraum ermittelt, die sich in der von McAfee festgelegten Kategorisierung Virus und Trojaner widerspiegeln. Bei den geloggten Viren ergaben sich 206 und den Trojanern 1132 Malware-Funde. Für die Ergebnisse dieser Untersuchung wurden die erfassten Malware-Events, unter Anwendung der in dieser Arbeit definierten Regeln für die Zusammenfassung von Malware- Events, zu Infektionen komprimiert. Die Zusammenfassung der Malware-Events erfolgte deshalb, um Mehrfach-Events (die auf derselben Virusinfektion beruhen) zu eliminieren. Durch diesen wesentlichen Schritt war es überhaupt möglich, mit statistischen Verfahren Aussagen zu gewinnen. Im weiteren Verlauf der Analyse werden 559 Infektionen betrachtet. Die bei einzelnen Merkmalen abweichenden betroffenen Infektionshäufigkeiten sind dadurch bedingt, dass die zur Verfügung gestellten Datenbestände keine eindeutige Zuordnung ermöglichten. In Abbildung 4.1 [S. 55] sind die ausgeführten Aktionen des McAfee Virenschutzes für 559 Infektionen dargestellt. Im einzelnen ist ersichtlich, dass von 559 Infektionen 88 Prozent Abbildung 4.1: Ausgeführte Aktion für 559 Infektionen im KU gelöscht wurden und somit dem Verfahren eine hohe Erfolgsquote bescheinigt werden kann. Einschränkend muss darauf hingewiesen werden, dass das Virenschutzverfahren nur die ihm bekannte Malware erkennt und bearbeitet. Darüber hinaus kann der Abbildung 4.2 [S. 56] der Schweregrad der Infektionen entnommen werden. Danach sind vom Virenschutzprogramm in 93 Prozent der Fälle Warnungen über eine Infektion generiert worden. Die unter Punkt 3.2 aufgestellten fachlichen Vermutungen zu den Merkmalen Zeit, Systemtyp, Betriebssystem, Geschlecht, Alter und Privileg wurden in Hypothesen

66 56 4 Ergebnisse und Diskussion Abbildung 4.2: Schweregrad der Bedrohung von 559 Infektionen im KU umgewandelt und mit Hilfe des Tools ausgewertet. Das Tool beinhaltet den χ 2 -Test, der für die Auswertung der Hypothesen relevant ist. Die durch das Tool erstellten Ergebnisse werden in diesem Kapitel dargestellt und diskutiert. 4.1 Merkmal Zeit Bei der Betrachtung der in Abbildung 4.3 dargestellten Grafik ist festzustellen, dass ein überdurchschnittlicher Anstieg des Malware-Befalls in einem bestimmten Zeitraum zu verzeichnen ist (nämlich zwischen 12 und 14 Uhr). In diesem Zeitraum liegt die Mittagspause im KU, die von den Beschäftigten individuell gestaltet werden kann und unter anderem durch private Nutzung, beispielsweise des Internets, geprägt ist. Gemäß Abbildung 4.3 treten in dieser Zeit auf den Systemen des KU viele Malware-Funde auf. Ursache für den Anstieg des Malware-Befalls kann das Internetnutzungsverhalten der Mitarbeiter im KU sein. Darüber hinaus ist die Kombination Nutzung des Internets und Nutzung von Wechseldatenträgern wie USB-Sticks und CDs eine weitere Möglichkeit für den ansteigenden Malware-Befall. Dies deckt sich mit den Ergebnissen der Studie vom BSI Die Lage der IT-Sicherheit in Deutschland 2011, in der davon ausgegangen wird, dass sich die meisten Schadprogramme inzwischen über Drive-By-Download verbreiten [Bun11]. Da im KU Wechseldatenträger erlaubt sind, ist vorstellbar, dass Mitarbeiter versehentlich mit Schadsoftware infizierte Wechseldatenträger im Unternehmen zum Einsatz bringen. Beispielsweise wurde der private Rechner über das Internet infiziert und das Schadprogramm hat sich über den USB-Stick weiterverbreitet. Häufig sind Microsoft Office- oder Adobe PDF-Dokumente manipuliert. Mögliche Ansatzpunkte für Verbesserungen sind: Konkrete Hinweise an die betroffenen Mitarbeiter zur Verbesserung des Virenschutzes auf den Privatrechnern: Hinweise sind möglich durch interne Rundschreiben, Infos im Intranet, Aushänge und/oder Flyer Nutzung von Fre -Diensten mit Virenschutz, beispielsweise GMX, Web.De

67 4.1 Merkmal Zeit 57 Abbildung 4.3: Infektionshäufigkeiten im Zeitverlauf für 2010

68 58 4 Ergebnisse und Diskussion oder Googl Reduzierung der privaten Nutzung des Internets: Die private Nutzung des Internets kann zum Beispiel dadurch reduziert werden, dass nur separate Rechner beispielsweise pro Sachgebiet für das Internet freigeschaltet und zur privaten Nutzung zugelassen sind USB-Sticks werden nur für ausgesuchte Clientsysteme zugelassen, d.h. nur ein Mitarbeiter, der für betriebliche Zwecke einen USB-Anschluss benötigt, erhält auch die entsprechende Freigabe Einführung eines USB-Stick-Pools, d.h. im KU dürfen nur zugelassene USB-Sticks verwendet werden Wechseldatenträger vor deren Einsatz im KU komplett nach Malware durchsuchen (ODS) Quartal & Monat 2010 Im 3. und 4. Quartal ist ein Anstieg der Infektionen zu verzeichnen. Hierbei sind die Monate Juli (81 Infektionen), September (68 Infektionen), November (98 Infektionen) und Dezember (87 Infektionen) signifikant (siehe Abbildung 4.5). Eine genaue Ursache Abbildung 4.4: Infektionen im Quartal in 2010 konnte aus den vom KU zur Verfügung gestellten Daten nicht ermittelt werden. Jedoch lässt sich aus dem von Microsoft veröffentlichten Microsoft Security Intelligence Report ein erhöhter Anstieg der Exploits, die von Microsoft-Antimalwareprodukten für Desktops im Jahr 2010 entdeckt wurden, verzeichnen. Im dritten Quartal nahm die Anzahl der Java-Angriffe um das 14-fache im Vergleich zum zweiten Quartal zu. Grund für den Anstieg waren zwei Sicherheitslücken in Versionen von Sun JVM (jetzt Oracle JVM),

69 4.1 Merkmal Zeit 59 Abbildung 4.5: Infektionen pro Monat in 2010 CVE und CVE Darüber hinaus wurden zwei Zero-Day-Exploits 2 CVE und CVE für Windows entdeckt [Mic10] Wochentag 2010 Bei den in Abbildung 4.6 dargestellten Wochentagen zeigen der Mittwoch und das Wochenende (besonders der Samstag) ein starkes Aufkommen an Infektionen auf. Grund Abbildung 4.6: Infektionen pro Wochentag in 2010 für die größere Zahl von festgestellten Infektionen am Mittwoch ist der regelmäßige 1 Softwarelücken werden in der Common Vulnerabilities and Exposures (CVE)-Liste veröffentlicht (siehe 2 Exploits, die nicht veröffentlicht oder neu veröffentlicht wurden, bevor Hersteller Sicherheitsupdates für diese veröffentlichen konnten. 3 Sicherheitslücke, die die Windows-Hilfe und das Supportcenter von Windows XP und Windows Server 2003 betreffen. 4 Sicherheitslücke, die die Art und Weise wie die Windows-Shell Verknüpfungsdateien behandelt, betrifft. Diese Sicherheitslücke wird vom Win32/Stuxnet-Wurm als Mittel der Verbreitung genutzt.

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Konfiguration von Sophos Anti-Virus für Windows

Konfiguration von Sophos Anti-Virus für Windows Konfiguration von Sophos Anti-Virus für Windows Diese Konfigurationsanleitung beschreibt die grundlegenden Einstellungen von Sophos Anti-Virus. Bei speziellen Problemen hilft oft schon die Suche in der

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Malware - Viren, Würmer und Trojaner

Malware - Viren, Würmer und Trojaner Department of Computer Sciences University of Salzburg June 21, 2013 Malware-Gesamtentwicklung 1984-2012 Malware-Zuwachs 1984-2012 Malware Anteil 2/2011 Malware Viren Würmer Trojaner Malware Computerprogramme,

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Versionshinweise McAfee Advanced Threat Defense 3.0 Revision A Inhalt Über dieses Dokument Funktionen von McAfee Advanced Threat Defense 3.0 Gelöste Probleme Hinweise zur Installation und Aktualisierung

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management McAfee Vereinfachen Sie Ihr Sicherheits-Management Seit der erste Computervirus vor 25 Jahren sein Unwesen trieb, hat sich die Computersicherheit dramatisch verändert. Sie ist viel komplexer und zeitaufwendiger

Mehr

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Inhalt F-Secure Anti-Virus for Mac 2015 Inhalt Kapitel 1: Einstieg...3 1.1 Abonnement verwalten...4 1.2 Wie kann ich sicherstellen, dass mein Computer geschützt ist?...4

Mehr

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Viren, Würmer, Trojaner

Viren, Würmer, Trojaner Viren, Würmer, Trojaner Was muss ich beachten? Ralf Benzmüller G DATA Software AG Überblick Einleitung Grundlegende Begriffe Gefahrensituation Zahlen und Daten Trends Infektionsmechanismen Viren Würmer

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen

Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Handbuch ECDL 2003 Basic Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Viren und Daten auf Viren prüfen Dateiname: ecdl2_06_01_documentation_standard.doc Speicherdatum: 14.02.2005 ECDL

Mehr

Rechteausweitung mittels Antivirensoftware

Rechteausweitung mittels Antivirensoftware Rechteausweitung mittels Antivirensoftware Eine Schwachstelle in der Softwarekomponente McAfee Security Agent, die unter anderem Bestandteil der Antivirensoftware McAfee VirusScan Enterprise ist, kann

Mehr

ESET NOD32 Antivirus. für Kerio. Installation

ESET NOD32 Antivirus. für Kerio. Installation ESET NOD32 Antivirus für Kerio Installation Inhalt 1. Einführung...3 2. Unterstützte Versionen...3 ESET NOD32 Antivirus für Kerio Copyright 2010 ESET, spol. s r. o. ESET NOD32 Antivirus wurde von ESET,

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

mobile Geschäftsanwendungen

mobile Geschäftsanwendungen Virenschutz & mobile Geschäftsanwendungen Roman Binder Security Consultant, Sophos GmbH Agenda Die Angreifer Aktuelle Bedrohungen Malware-Trends Die Zukunft Schutzmaßnahmen Die Angreifer Professionalisierung

Mehr

1 Ratgeber und Praxis

1 Ratgeber und Praxis 1 Ratgeber und Praxis Nicht nur große, sondern zunehmend auch mittlere und kleine Unternehmen sind Zielscheibe von Cyberkriminellen. Dieses Kapitel gibt IT-Verantwortlichen und Administratoren einen praxisrelevanten

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

McAfee Data Loss Prevention Discover 9.4.0

McAfee Data Loss Prevention Discover 9.4.0 Versionshinweise Revision B McAfee Data Loss Prevention Discover 9.4.0 Zur Verwendung mit McAfee epolicy Orchestrator Inhalt Informationen zu dieser Version Funktionen Kompatible Produkte Installationsanweisungen

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon Deep Security Die optimale Sicherheitsplattform für VMware Umgebungen Thomas Enns -Westcon Agenda Platformen Module Aufbau Funktion der einzelnen Komponenten Policy 2 Platformen Physisch Virtuell Cloud

Mehr

[Produktinformationen zu Kaspersky Anti-Virus Business-Optimal]

[Produktinformationen zu Kaspersky Anti-Virus Business-Optimal] IT-Services & Solutions Ing.-Büro WIUME [Produktinformationen zu Kaspersky Anti-Virus Business-Optimal] Produktinformationen zu Kaspersky Anti-Virus Business-Optimal by Ing.-Büro WIUME / Kaspersky Lab

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn

Mehr

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Der optimale Schutz für dynamische Unternehmens-Netzwerke Der optimale Schutz für dynamische Unternehmens-Netzwerke Kaspersky Open Space Security steht für den zuverlässigen Schutz von Firmen- Netzwerken, die immer mehr zu offenen Systemen mit ständig wechselnden

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Der optimale Schutz für dynamische Unternehmens-Netzwerke Der optimale Schutz für dynamische Unternehmens-Netzwerke Kaspersky Open Space Security steht für den zuverlässigen Schutz von Firmen- Netzwerken, die immer mehr zu offenen Systemen mit ständig wechselnden

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Sibylle Schwarz Westsächsische Hochschule Zwickau Dr. Friedrichs-Ring 2a, RII 263 http://wwwstud.fh-zwickau.de/~sibsc/ sibylle.schwarz@fh-zwickau.de WS 2009/2010 Informationssicherheit

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Die Sicherheit Ihres Praxisverwaltungssystems

Die Sicherheit Ihres Praxisverwaltungssystems Die Sicherheit Ihres Praxisverwaltungssystems Was Sie im Umgang mit EDV-Anlagen und Onlinediensten beachten sollten Gefahren bei Sicherheitslücken Ihr Praxisbetrieb ist in hohem Maße abhängig von Ihrem

Mehr

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Kostengünstige Daten- und Benutzersicherheit Wenn der Geschäftsbetrieb erste Priorität hat, bleibt keine Zeit für die Lösung von Sicherheitsproblemen, ständiges Patchen und Bereinigen

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

AV-TEST. Sicherheitslage Android

AV-TEST. Sicherheitslage Android AV-TEST Sicherheitslage Android Sicherheitslage Android 1 SICHERHEITSLAGE ANDROID MEHR ALS 30 IT-SPEZIALISTEN MEHR ALS 15 JAHRE EXPERTISE IM BEREICH ANTIVIREN-FORSCHUNG UNTERNEHMENSGRÜNDUNG 2004 EINE DER

Mehr

Virenschutz für SAP E-Recruiting

Virenschutz für SAP E-Recruiting Virenschutz für SAP E-Recruiting ein White-Paper E-Recruiting der Trend im Personalmarkt Viele Unternehmen realisieren mit dem Einsatz moderner E-Recruiting Technologie signifikante Einsparungen im Bereich

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

3 Konfiguration von Windows

3 Konfiguration von Windows Einführung 3 Konfiguration von Windows Vista Sicherheitseinstellungen Lernziele: Die UAC (User Account Control) Der Windows Defender Sicherheit im Internet Explorer 7 Die Firewall Prüfungsanforderungen

Mehr

Netzwerk- Prüfung Risikobericht

Netzwerk- Prüfung Risikobericht Netzwerk- Prüfung Risikobericht VERTRAULICHE Informationen: Die in diesem Bericht enthaltene Informationen sind ausschließlich für den Gebrauch des oben angegebenen Kunden und enthält unter Umständen vertrauliche,

Mehr

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Stand: 02. 02. 2009 UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien 1 INHALTSVERZEICHNIS Entgeltbestimmungen:... 3 Leistungsbeschreibung:...

Mehr

Unterrichtseinheit 9

Unterrichtseinheit 9 Unterrichtseinheit 9 Sicherheitsrichtlinien werden verwendet, um die Sicherheit im Netzwerk zu verstärken. Die effizienteste Möglichkeit zum Implementieren dieser, stellt die Verwendung von Sicherheitsvorlagen

Mehr

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Datenblatt: Endpoint Security Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Überblick Mit minimieren Unternehmen das Gefährdungspotenzial der ITRessourcen,

Mehr

www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! Installationsanleitung Windows Seite

www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! Installationsanleitung Windows Seite www.dolphinsecure.de Kinder im Internet? Aber mit Sicherheit! 1 Installationsanleitung Windows Willkommen bei Dolphin Secure Auf den folgenden n werden Sie durch die Installation der Kinderschutz-Software

Mehr

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut

Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut TWINSOF T Security Information und Event Management (SIEM) erweiterte Sicherheitsanforderungen bei wachsender Datenflut 05.06.2013 GI Themenabend BIG DATA: Matthias Hesse, Twinsoft Ablauf 1. Wer ist denn

Mehr

Compliance mit dem IEM Endpoint Manager durchsetzen

Compliance mit dem IEM Endpoint Manager durchsetzen Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit

Mehr

F-Secure Anti-Virus for Mac Benutzerhandbuch

F-Secure Anti-Virus for Mac Benutzerhandbuch F-Secure Anti-Virus for Mac Benutzerhandbuch F-Secure Anti-Virus for Mac Inhaltsverzeichnis 3 Inhalt Kapitel 1: Einstieg...5 Was nach dem Installieren zu tun ist...6 Abonnement verwalten...6 Öffnen des

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Computer Viren: Eine tägliche Bedrohung

Computer Viren: Eine tägliche Bedrohung Computer Viren: Eine tägliche Bedrohung Seit etwa Februar 2004 sind wieder enorm viele Viren in verschiedenen Varianten im Umlauf. Die Verbreitung der Viren geschieht hauptsächlich per E-Mail, wobei es

Mehr

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können

Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Der aktuelle Fall DNSChanger was Computernutzer jetzt tun können Inhalt Was bisher geschah 2 Was passiert am 8. März 2012? 2 Wie teste ich meine Interneteinstellungen? 3 Auf dem PC 3 Auf dem Router 5 Allgemeine

Mehr

ESET Smart Security Business Edition

ESET Smart Security Business Edition ESET Smart Security Business Edition ESET Smart Security Business Edition ist eine neue, hochintegrierte Lösung für die Endpunkt-Sicherheit von Unternehmen aller Größen. ESET Smart Security bietet die

Mehr

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung

Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Martin Mink Universität Mannheim 10. Deutscher IT-Sicherheitskongress des BSI Bonn, 23. Mai 2007 Vorstellung Lehrstuhl

Mehr

McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht

McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht COPYRIGHT Copyright 2009 McAfee, Inc. Alle Rechte vorbehalten. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche

Mehr

Trend Micro - Deep Security

Trend Micro - Deep Security Trend Micro - Deep Security Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen

Andy Kurt Vortrag: 7.11.14. OSX - Computeria Meilen Andy Kurt Vortrag: 7.11.14 OSX - Computeria Meilen 1 von 10 Andy Kurt Vortrag: 7.11.14 Screen IT & Multimedia AG Webseite: www.screen-online.ch Link Fernwartung: http://screen-online.ch/service/fernwartung.php

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

Avira Version 2014 - Update 1 Release-Informationen

Avira Version 2014 - Update 1 Release-Informationen Release-Informationen Releasedatum Start des Rollouts ist Mitte November Release-Inhalt Für Produkte, die das Update 0, bzw. Avira Version 2014 nicht erhalten haben Die meisten Produkte der Version 2013

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013

Reverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013 Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates RIWA NetUpdater Tool für automatische Daten- und Softwareupdates Grundlegendes... 1 Ausführbare Dateien und Betriebsmodi... 2 netupdater.exe... 2 netstart.exe... 2 netconfig.exe... 2 nethash.exe... 2 Verzeichnisse...

Mehr

Anwender verfügen über ein Software-Portfolio mit durchschnittlich. 14 verschiedenen. Update-Verfahren. Secunia Jahresbericht 2010

Anwender verfügen über ein Software-Portfolio mit durchschnittlich. 14 verschiedenen. Update-Verfahren. Secunia Jahresbericht 2010 Anwender verfügen über ein Software-Portfolio mit durchschnittlich 14 verschiedenen Update-Verfahren Secunia Jahresbericht 2010 Einige Schwachstellen werden bis zu zwei Jahren vernachlässigt SANS, 2009

Mehr

UPC Austria Services GmbH

UPC Austria Services GmbH UPC Austria Services GmbH Entgeltbestimmungen und Leistungsbeschreibungen für das Zusatzprodukt Internet Security in Tirol Stand 15. März 2010 Seite 1 von 5 Inhaltsverzeichnis I) LEISTUNGSBESCHREIBUNG...

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Ist das Netzwerk Ihres Unternehmens optimal abgesichert? VT security [ firewall plus ]

Ist das Netzwerk Ihres Unternehmens optimal abgesichert? VT security [ firewall plus ] Ist das Netzwerk Ihres Unternehmens optimal abgesichert? VT security [ firewall plus ] VT security [ firewall plus ] Wirkungsvoller Schutz vor Gefahren aus dem Internet Gefahren aus dem Internet sind nie

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1 F-Secure Mobile Security for Nokia E51, E71 und E75 1 Installation und Aktivierung F-Secure Client 5.1 Hinweis: Die Vorgängerversion von F-Secure Mobile Security muss nicht deinstalliert werden. Die neue

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

Die Avira Sicherheitslösungen

Die Avira Sicherheitslösungen Welche Viren? Über 70 Millionen Anwender weltweit Die Avira Sicherheitslösungen für Privatanwender und Home-Office * Quelle: Cowen and Company 12/2008 Mit der Sicherheit persönlicher Daten auf dem Privat-PC

Mehr

1 GRUNDBEGRIFFE ZU SICHERHEIT 7 1.1 Datenbedrohung... 7

1 GRUNDBEGRIFFE ZU SICHERHEIT 7 1.1 Datenbedrohung... 7 Der Aufbau dieser Lernunterlage ist der Gliederung des ECDL-Syllabus 5.0 angepasst. Kapitel und Unterkapitel sind daher in der gleichen Nummerierung, wie sie im ECDL-Core-Lernzielkatalog verwendet wird.

Mehr

E-Mail-Exploits und ihre Gefahren

E-Mail-Exploits und ihre Gefahren E-Mail-Exploits und ihre Gefahren Warum zum Erkennen von E-Mail-Exploits eine beson dere Engine benötigt wird In diesem White Paper erfahren Sie, worum es sich bei E-Mail-Exploits handelt und welche E-Mail-Exploits

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Avira AntiVir 10 Service Pack 2 Release-Informationen

Avira AntiVir 10 Service Pack 2 Release-Informationen Release-Informationen Erhöhte Zuverlässigkeit / Stabilität: Der AntiVir-Scanner repariert die Registrierungsschlüssel, die von Malware verändert wurden MailGuard verhindert einen Absturz während des Scans

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Grundlegende Systemadministration unter Apple Mac OSX. 15.06.2010 Dr. Ronald Schönheiter

Grundlegende Systemadministration unter Apple Mac OSX. 15.06.2010 Dr. Ronald Schönheiter Grundlegende Systemadministration unter Apple Mac OSX Systemadministration umfasst 1. Benutzerkonten / Berechtigungen 2. Netzanbindung 3. IT Sicherheit 4. Netzdienste 1. Dateizugriff (Freigaben / NetApp)

Mehr

NetDefend Firewall UTM Services

NetDefend Firewall UTM Services Merkmale Echtzeit AntiVirus Gateway Inspection (AV) Professionelles Intrusion Prevention System (IPS) Automatische Signaturen- Updates Zero Day Schutz vor Angriffen Web Surfing Management (WCF) Geringe

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011 Patch-Management Thomas Beer Abgabedatum: 28.03.2011 Anmerkung: Diese Wissenschaftliche Arbeit ist

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

GFI-Produkte hier wird in drei Bereiche unterschieden: Inhaltssicherheit:

GFI-Produkte hier wird in drei Bereiche unterschieden: Inhaltssicherheit: GFI-Produkte hier wird in drei Bereiche unterschieden: Inhaltssicherheit: MailEssentials GFI MailEssentials for Exchange/SMTP bietet Spam- und Phishing-Schutz sowie E-Mail-Management auf Server-Ebene.

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Avira Small Business Security Suite Version 2.6.1 Release-Informationen

Avira Small Business Security Suite Version 2.6.1 Release-Informationen Avira Small Business Security Suite Version 2.6.1 Release-Informationen Produktmerkmale Die Avira Small Business Security Suite ist eine komplette Sicherheitslösung, zugeschnitten auf die Erwartungen und

Mehr