Cisco 2014 Annual Security Report

Transkript

1 Cisco 2014 Annual Security Report

2 2 Cisco 2014 Annual Security Report Zusammenfassung Eine Frage des Vertrauens Cyberkriminelle und andere Angreifer machen sie sich in den meisten Fällen die simple Tatsache zunutze, dass wir den Systemen, Anwendungen, Menschen und Unternehmen, mit denen wir regelmäßig interagieren, zumeist blind vertrauen. Und dieser Ansatz funktioniert ganz offensichtlich. Mit immer neuen Methoden schleusen sie Malware in Netzwerke ein, die über längere Zeiträume unentdeckt bleibt und Daten stiehlt oder wichtige Systeme beeinträchtigt. Vom Diebstahl von Passwörtern und Anmeldedaten mittels Social Engineering bis hin zu stillen Infiltrierungen in Minutenschnelle nutzen Cyberkriminelle das allgemeine Vertrauen immer weiter zu ihrem Vorteil mit weitreichenden Folgen für die Betroffenen. Doch geht es bei der Vertrauensfrage um weit mehr als nur um Datendiebe, die Schwachstellen auszunutzen wissen oder über Social Engineering Informationen von Nutzern abgreifen: Das Vertrauen in öffentliche sowie private Unternehmen und Einrichtungen wird untergraben. Das Vertrauen in Netzwerke schwindet heutzutage auf zwei Wegen. Auf der einen Seite stehen Kunden, deren Glaube an die Integrität von Produkten schwindet. Auf der anderen Seite kommt die wachsende Gewissheit hinzu, dass Cyberkriminelle in der Lage sind, Vertrauensmechanismen zu überwinden. Die Effektivität der Sicherheits-, Authentifizierungs- und Autorisierungsarchitekturen von Netzwerken und Anwendungen muss daher infrage gestellt werden. Cisco stellt in diesem Report Daten und Einblicke zu den wichtigsten Bedenken und Herausforderungen in der IT- Sicherheit vor. Neben neuen Formen von Malware werden Entwicklungen bei Sicherheitslücken und die Zunahme von Distributed-Denial-of-Service-Angriffen (DDoS) beleuchtet. Weiterhin befasst sich dieser Report mit Kampagnen, die zielgerichtet gegen einzelne Organisationen, Konzerne und Branchen gefahren werden, sowie mit der zunehmenden Ausgereiftheit von Versuchen, sensible Informationen zu entwenden. Zum Schluss werden Empfehlungen zur effektiven Bewertung von Sicherheitsmodellen sowie zu Ansätzen gegeben, die ein besseres Verständnis des Angriffskontinuums vor, während und nach Angriffen ermöglichen. Cyberkriminelle nutzen das allgemeine Vertrauen auf immer neuen Wegen zu ihrem Vorteil mit weitreichenden Folgen für die Betroffenen.

3 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse: Angriffe richten sich zunehmend gegen Internet-Infrastrukturen. Cyberkriminelle verschaffen sich Zugang zu Webhosting-Servern, Namenservern und Rechenzentren. So bauen sie Über-Botnets auf, die die Bandbreite und Rechenleistung dieser Ressourcen verwenden. Pufferüberläufe zählen in den Bedrohungskategorien mit 21 Prozent der Common Weakness Enumeration (CWE) zu den größten Bedrohungen. Elektronikhersteller, Landwirtschaft und Bergbau geraten zunehmend ins Visier von Malware-Angriffen; in diesen Industriesektoren liegt die Angriffsrate rund sechsmal über dem Durchschnitt. Cyberkriminelle missbrauchen vertrauenswürdige Anwendungen, um Lücken im Perimeterschutz auszunutzen. Das Spam-Aufkommen insgesamt ist weiterhin rückläufig, der Anteil böswilliger Spam-Nachrichten bleibt jedoch konstant. 91 Prozent aller Web-Exploits entfallen auf Java. Etwa 76 Prozent der Unternehmen, die Services von Cisco Web Security in Anspruch nehmen, nutzen Java 6 eine eingestellte Version, für die kein Support mehr bereitgestellt wird. Sogenannte Watering Hole -Angriffe nehmen zur Verbreitung von Malware spezielle branchenbezogene Websites ins Visier. Die Untersuchung verschiedener multinationaler Unternehmen führte interne Kompromittierungen zutage. Die Netzwerke dieser Unternehmen generieren verdächtigen Datenverkehr, der versucht, eine Verbindung mit schädlichen Websites herzustellen. Derartige Kompromittierungen legen nahe, dass Netzwerkeingriffe auch über längere Zeiträume unerkannt bleiben. Die Zahl der Bedrohungsmeldungen nahm gegenüber dem Vorjahr um 14 Prozent zu, wobei die Anzahl neuer (nicht aktualisierter) Meldungen stieg. 99 Prozent aller mobilen Schadprogramme waren 2013 auf Android-Geräte zugeschnitten. In 71 Prozent der Fälle wurden Android-Smartphones und -Tablets über das Web mit Malware infiziert.

4 4 Cisco 2014 Annual Security Report Inhalt des Reports Der Cisco 2014 Annual Security Report stellt neue Erkenntnisse zum Thema Sicherheit in vier zentralen Bereichen vor: Vertrauen Für Unternehmen steht viel auf dem Spiel. Daher gilt es, das richtige Gleichgewicht zwischen Vertrauen, Transparenz und Datenschutz zu finden. Für Sicherheitsexperten wird dies aufgrund der folgenden Entwicklungen zunehmend zur Herausforderung: wachsende Angriffsflächen immer vielfältigere und ausgereiftere Angriffsmodelle zunehmende Komplexität von Bedrohungen und Lösungen Bedrohungsinformationen Cisco und Sourcefire haben die Ergebnisse des vergangenen Jahres anhand umfangreicher Telemetriedaten zu erkannten Bedrohungen gemeinsam analysiert und zusammengestellt: Angriffe richten sich zunehmend gegen Internet- Infrastrukturen. Cyberkriminelle missbrauchen vertrauenswürdige Anwendungen, um Lücken im Perimeterschutz auszunutzen. Diese Kompromittierungen legen nahe, dass Netzwerkeingriffe über längere Zeiträume unerkannt bleiben.

5 5 Cisco 2014 Annual Security Report Branche Von Brute-Force-Angriffen über groß angelegte DDoS- Attacken und die Einschleusung von Ransomware, bis hin zur wachsenden Abhängigkeit von der Cloud und dem Mangel an IT-Sicherheitsexperten die Ermittler der Cisco Security Intelligence Operations (SIO) erörtern in diesem Abschnitt relevante Branchentrends, die über die Telemetriedaten von Cisco hinausgehen. Empfehlungen Unternehmen sehen sich mit wachsenden Angriffsflächen, immer vielfältigeren und ausgereifteren Angriffsmodellen sowie zunehmend komplexen Netzwerken konfrontiert. Dabei gelingt es in vielen Fällen nur bedingt, ein effektives Sicherheitskonzept umzusetzen, das neue Technologien nutzt, sowohl Architektur als auch Betrieb vereinfacht und Sicherheitsteams umfassend unterstützt. In diesem Abschnitt wird erläutert, wie Teams mithilfe eines auf die Abwehr von Bedrohungen zugeschnittenen Sicherheitsmodells jederzeit auf das gesamte Angriffskontinuum und alle Angriffsvektoren reagieren können vor, während und nach einem Angriff.

6 6 Cisco 2014 Annual Security Report Bewertung der Bedrohungslandschaft durch Cisco Angesichts der hohen Verbreitung unserer Lösungen und des Umfangs unserer sicherheitsrelevanten Erkenntnisse spielt Cisco in der Bewertung von Bedrohungen eine entscheidende Rolle: 16 Milliarden Webanfragen werden täglich durch Cisco Cloud Web Security geprüft. 93 Milliarden s werden täglich durch die gehostete -Lösung von Cisco geprüft IP-Adressen werden täglich ausgewertet Malware-Samples werden täglich ausgewertet. 33 Millionen Dateien auf Endgeräten werden täglich durch FireAMP ausgewertet. 28 Millionen Netzwerkverbindungen werden täglich durch FireAMP ausgewertet. Mithilfe dieser Maßnahmen konnte Cisco folgende Bedrohungen erfassen bzw. ausschalten: 4,5 Milliarden s werden täglich blockiert. 80 Millionen Webanfragen werden täglich blockiert bedrohliche Dateien auf Endgeräten werden täglich in FireAMP erkannt potenziell bedrohliche Endpunkt-Netzwerke werden täglich in FireAMP erkannt unbefugte Netzwerkzugriffe werden täglich erkannt.

7 7 Cisco 2014 Annual Security Report Inhalt Vertrauen...8 Neue Geschäftsmodelle, neue Sicherheitslücken... 9 Der Verlust von Vertrauen...11 Die größten Sicherheitsherausforderungen Vertrauenswürdige, transparente Systeme...16 Bedrohungsinformationen Immer mehr Bedrohungen gemeldet...21 Spam-Aufkommen sinkt, Bedrohung bleibt bestehen...24 Web-Exploits: Java an der Spitze BYOD und Mobilität: Geräteentwicklung fördert Cyberkriminalität Gezielte Angriffe: ungebetene Gäste vor die Tür setzen Malware-Trends Vorrangiges Ziel: Schlüsselindustrien...41 Erste Risse in einem fragilen Ökosystem Schädlicher Datenverkehr häufig Anzeichen gezielter Angriffe in allen Unternehmensnetzwerken entdeckt Branche Brute-Force-Angriffe: bevorzugte Taktik zur Kompromittierung von Websites DDoS-Angriffe sind zurück DarkSeoul Mangel an Sicherheitsexperten und wirksamen Lösungen Die Cloud als neues Perimerter...61 Empfehlungen...63 Ziele für 2014: Vertrauenswürdigkeit prüfen, Transparenz verbessern Anhang Sicherheitsteams benötigen Datenexperten Über die Cisco SIO Cisco SIO...78 Hinweise zu diesem Dokument Die Inhalte dieses Dokuments können durchsucht und in einigen Fällen geteilt werden. Über dieses Symbol können Sie die Suchfunktion in Adobe Acrobat nutzen. [ ] Über diese Symbole können Sie Inhalte teilen. Empfohlene Software Adobe Acrobat 7.0 oder höher

8 8 Cisco 2014 Annual Security Report Vertrauen Für Unternehmen steht viel auf dem Spiel. Daher gilt es, das richtige Gleichgewicht zwischen Vertrauen, Transparenz und Datenschutz zu finden.

9 9 Cisco 2014 Annual Security Report Vertrauen [ Neue Geschäftsmodelle, neue Sicherheitslücken Schwachstellen in der Technologielieferkette sind nur ein Aspekt in der komplexen Landschaft von Cyberbedrohungen und -risiken. Eine nicht minder wichtige Rolle spielt die Entstehung der Any-to-Any-Infrastruktur, in der Geräte an beliebigen Standorten an beliebigen Stellen mit dem Netzwerk verbunden werden. 1 Hinzu kommen immer mehr internetfähige Geräte wie Smartphones und Tablets mit Anwendungen, die wahlweise in einer Public Software-as-a-Service (SaaS) Cloud, einer Private oder einer Hybrid Cloud ausgeführt werden. 2 Selbst grundlegende Internet- Infrastrukturservices sind mittlerweile zu einem Ziel von Hackern geworden, die sich die Reputation, Bandbreite und stetige Verfügbarkeit von Webhosting-Servern, Namenservern und Rechenzentren für immer größer angelegte Angriffe zunutze machen. (Siehe auch Erste Risse in einem fragilen Ökosystem auf Seite 43.) Trends wie Cloud Computing und Mobilität reduzieren die Transparenz und steigern die Komplexität im Bereich der Sicherheit. Unternehmen müssen sich dennoch damit auseinandersetzen, um ihren Wettbewerbsvorsprung und geschäftlichen Erfolg zu sichern. Gleichzeitig treten immer wieder neue und größere Sicherheitslücken auf, während Sicherheitsteams versuchen, herkömmliche Lösungen an neue und dynamische Geschäftsmodelle anzupassen. Cyberkriminelle nutzen derweil immer mehr Lücken aus, die mit nicht integrierten Punktlösungen nicht geschlossen werden können. Da sie über die nötigen Ressourcen für eine flexible Vorgehensweise verfügen, ist ihnen der Erfolg gewiss. ] Die grundlegende Internet-Infrastruktur ist heutzutage das Ziel von Hackern. Die Netzwerke von Cyberkriminellen gewinnen zusehends an Größe und Stärke und funktionieren immer mehr wie legitime, moderne geschäftliche Netzwerke. Die Hierarchie der Cyberkriminalität ist heute wie eine Pyramide aufgebaut (siehe Abbildung 1). Den Bodensatz bilden Opportunisten ohne technischen Hintergrund und Nutzer von Crimeware-as-a-Service, die sich finanziell bereichern, ein Statement abgeben oder sogar beides gleichzeitig versuchen möchten. In der Mitte folgen Reseller und Verwalter von Infrastrukturen, die als Mittelsmänner agieren. Die Spitze in der Hierarchie nehmen technologische Innovatoren ein das sind zentrale Akteure, die zwar ganz oben auf den Fahndungslisten der Behörden stehen, meist jedoch ungeschoren davonkommen.

10 10 Cisco 2014 Annual Security Report Vertrauen [ Cyberkriminelle verfolgen heutzutage in der Regel klare wirtschaftliche Ziele. Sie wissen, nach welchen Informationen sie suchen oder welche Ergebnisse sie erreichen müssen und sie wissen auch wie. So wenden sie viel Zeit dafür auf, Informationen über ihre Ziele einzuholen oftmals sogar mithilfe sozialer Netzwerke und ihre Angriffe strategisch zu planen. Zahlreiche Akteure in der sogenannten Schattenwirtschaft setzen heutzutage außerdem Überwachungs-Malware ein, um Informationen über eine Umgebung zu sammeln und so herauszufinden, auf welche Sicherheitstechnologien sie sich bei ihren Angriffen vorbereiten müssen. Mithilfe derartiger Aufklärungsmissionen vergewissern sich einige Malware-Autoren, dass ihr Programm funktioniert. Einmal in ein Netzwerk eingeschleust kann diese Malware mit Command-and-Control-Servern kommunizieren und sich in der gesamten Infrastruktur ausbreiten, um ihre Mission zu erfüllen wichtige Daten zu entwenden oder kritische Systeme zu beeinträchtigen. ] ABBILDUNG 1 Die Hierarchie der Cyberkriminalität Technische Innovatoren Reseller/Infrastruktur-Verwalter Opportunisten ohne technischen Hintergrund/ Nutzer von Crimeware-as-a-Service

11 11 Cisco 2014 Annual Security Report Vertrauen Der Verlust von Vertrauen Angriffe, die das Vertrauen von Nutzern in Systeme, Anwendungen, Menschen und Unternehmen ausnutzen, sind zu einer festen Größe in der Welt des Internets geworden. Im Kern geht es fast immer um eine Form des Vertrauensmissbrauchs: Malware wird unbescholtenen Nutzern untergeschoben, die gewöhnliche Websites besuchen. Spam-E- Mails stammen dem Anschein nach von namhaften Unternehmen, enthalten jedoch Links zu schädlichen Websites. Mit Malware verseuchte Apps von Drittanbietern werden in gängigen Stores zum Download angeboten. Mitarbeiter nutzen ihre Zugriffsberechtigungen, um geistiges Eigentum von ihren Arbeitgebern zu stehlen. Benutzer sollten deshalb generell davon ausgehen, dass sie der heutigen Cyberwelt kein Vertrauen schenken können. Sicherheitsexperten können ihren Unternehmen einen guten Dienst leisten, indem sie nicht jeden beliebigen Datenverkehr im Netzwerk genehmigen 3 und den Sicherheitsvorkehrungen der Anbieter oder Lieferketten, von denen die Technologien im Unternehmen stammen, nicht blind vertrauen. Gleichzeitig möchten Unternehmen und Organisationen im öffentlichen und privaten Sektor, einzelne Benutzer und sogar ganze Staaten grundlegenden Technologien, auf die sie täglich angewiesen sind, auch vertrauen können. Die Forderung nach vertrauenswürdigen Sicherheitsmechanismen trug maßgeblich zur Weiterentwicklung der Common Criteria for Information Technology Security Evaluation bei. Als internationaler Standard ermöglichen es diese Common Criteria Regierungsbehörden und anderen Gruppen, bestimmte Anforderungen für Technologien festzulegen und so deren Sicherheit und Vertrauenswürdigkeit zu garantieren. Aktuell haben 26 Länder, darunter auch Benutzer sollten generell davon ausgehen, dass sie der heutigen Cyberwelt kein Vertrauen schenken können. Deutschland, das Common Criteria Recognition Arrangement unterzeichnet, ein multilaterales Übereinkommen, das die gegenseitige Anerkennung geprüfter Produkte durch die teilnehmenden Regierungen gewährleistet. Indes kam es 2013 weltweit zu einem allgemeinen, schwerwiegenden Vertrauensverlust. Der Auslöser: Edward Snowden. Der bis dato für die US- Regierung tätige Systemadministrator übermittelte der britischen Tageszeitung The Guardian vertrauliche Informationen, an die er durch seine Arbeit im Auftrag der National Security Agency (NSA) gelangte. 4

12 12 Cisco 2014 Annual Security Report Vertrauen So legte Snowden gegenüber Medien Einzelheiten über PRISM 5 offen, ein Programm der NSA zur elektronischen Überwachung und Erfassung von Daten. Außerdem berichtete er über ein gemeinsames Programm der NSA und des britischen Geheimdienstes GCHQ 6 namens MUSCULAR, mit dem angeblich der über Glasfasernetze laufende Datenverkehr zwischen den ausländischen Rechenzentren großer Internetunternehmen abgehört wurde. 7 Diese und andere Enthüllungen Snowdens bezüglich der Überwachungstätigkeiten von Regierungen haben das Vertrauen auf unterschiedlichsten Ebenen geschädigt: zwischen einzelnen Staaten, zwischen Regierungen und dem privaten Sektor, zwischen Bürgern und ihren Regierungen sowie zwischen Bürgern und Organisationen im öffentlichen und privaten Sektor. Ferner riefen sie Bedenken hervor, was unbeabsichtigte Schwachstellen und absichtlich eingebaute Hintertüren in Technologieprodukten betrifft. Nicht zuletzt wurde in diesem Zusammenhang die Frage laut, ob Hersteller sich ausreichend bemühen, derartige Schwachstellen zu verhindern und Benutzer zu schützen. [ Die größten Sicherheitsherausforderungen 2014 Angesichts der Zweifel an der Vertrauenswürdigkeit von Systemen und Beziehungen ergeben sich für Unternehmen verschiedene zentrale Herausforderungen im Bezug auf das Thema Sicherheit: 1 Wachsende Angriffsflächen 2 Immer vielfältigere und ausgereiftere Angriffsmodelle 3 Zunehmende Komplexität von Bedrohungen und Lösungen ] Diese Trends schaffen und verschärfen Sicherheitslücken, über die Cyberkriminelle ihre Angriffe so schnell durchführen, dass Unternehmen nur hilflos zusehen können. Diese Bedrohungen und Risiken werden auf den folgenden Seiten näher beleuchtet.

13 13 Cisco 2014 Annual Security Report Vertrauen 1 Wachsende Angriffsflächen Cyberkriminelle finden heutzutage unzählige Möglichkeiten, wie sie große und anfällige Netzwerke aushebeln können. Mit dem ununterbrochenen Wachstum bei Endgeräten, Zugängen und Daten, die nicht von Unternehmen kontrolliert werden, geht auch weiterhin ein exponentieller Anstieg der Angriffsfläche einher. In den meisten Fällen haben die Angreifer es auf Daten abgesehen, da diese sich leicht zu Geld machen lassen. Egal, ob es sich um geistiges Eigentum eines Großunternehmens oder um gesundheitsrelevante Daten von Einzelpersonen handelt: Haben Daten einen Marktwert, sind sie automatisch gefährdet. Ist der Wert der Daten dann auch noch höher als das Risiko, das Cyberkriminelle mit dem Diebstahl eingehen, werden sie gehackt. Selbst kleinste Unternehmen sind der Gefahr eines solchen Hackerangriffs ausgesetzt. Und wie Analysen von Cisco zeigen, wurden die meisten großen wie kleinen Unternehmen bereits ohne ihr Wissen kompromittiert. So wurden in allen von Cisco untersuchten Unternehmensnetzwerken Daten auf Websites übertragen, die mit Malware infiziert sind. ABBILDUNG 2 Der Aufbau moderner Bedrohungen Internet- und Cloud-Anwendungen Campus Unternehmen Öffentliches Netzwerk Beginn der Infektion außerhalb des Unternehmens Perimeter Hochentwickelte Malware umgeht Perimeterschutz Rechenzentrum Malware verbreitet sich und versucht, wertvolle Daten zu stehlen

14 14 Cisco 2014 Annual Security Report Vertrauen Der in Abbildung 2 dargestellte Aufbau moderner Bedrohungen veranschaulicht, wie Cyberkriminelle ins Rechenzentrum gelangen, um dort wichtige Daten zu erbeuten. In diesem Beispiel wird zunächst schädliche Software auf ein Gerät außerhalb des Unternehmensnetzwerks eingeschleust. Diese Infektion wird auf das Campus-Netzwerk übertragen. Dieses dient wiederum als Sprungbrett ins Unternehmensnetzwerk, von wo aus Angreifer das Rechenzentrum erreichen können. Angesichts der immer größer werdenden Angriffsfläche und der Bedrohung durch zahllose Hacker empfehlen Sicherheitsexperten von Cisco in diesem Jahr, folgende Fragen zu beantworten: Wo sind die wichtigsten Daten gespeichert? und Wie können wir eine sichere Umgebung zum Schutz dieser Daten schaffen, insbesondere, wenn wir aufgrund von Trends wie Cloud Computing und Mobilität nur wenig Kontrolle über sie haben? Das Ziel vieler Angriffe von Cyberkriminellen ist es, in das Rechenzentrum zu gelangen und wertvolle Daten auszuschleusen. 2 Immer vielfältigere und ausgereiftere Angriffsmodelle Die Bedrohungslandschaft hat sich in den letzten zehn Jahren drastisch verändert. An die Stelle einzelner Hacker, die mit einfachen Angriffen überschaubare Schäden verursachten, sind finanzkräftige Banden von Cyberkriminellen getreten, die Unternehmen mit hochentwickelten Angriffsmethoden erhebliche Schäden zufügen können. So sind vor allem Unternehmen in den Fokus zielgerichteter Angriffe gerückt. Diese lassen sich nur schwer entdecken, richten ihr Unheil in Netzwerken über längere Zeit an und nutzen Netzwerkressourcen für Angriffe auf weitere Ziele. Um gegen Angriffe jeglicher Art gewappnet zu sein, müssen Unternehmen verschiedenste Angriffsmöglichkeiten mit Lösungen unterbinden, die überall dort eingesetzt werden können, wo Bedrohungen sich manifestieren können: im Netzwerk, auf Endpunkten und Mobilgeräten sowie in virtuellen Umgebungen. Wo werden unsere wichtigsten Daten gespeichert? und Wie können wir sichere Umgebungen erstellen, die unsere Daten schützen vor allem, wenn neue Unternehmensmodelle, wie Cloud Computing und Mobilität, uns nur wenig Kontrolle über diese lassen? Cisco Sicherheitsexperten

15 15 Cisco 2014 Annual Security Report Vertrauen 3 Zunehmende Komplexität von Bedrohungen und Lösungen Die Zeiten, in denen Spam-Blocker und Antivirensoftware ein effektiver Schutz vor den meisten Bedrohungen waren, sind längst vorbei. Netzwerke gehen heute über ihre einstigen Grenzen hinaus und bringen im Zuge ihrer stetigen Weiterentwicklung immer neue Angriffsvektoren hervor: Mobilgeräte, Web- und Mobilanwendungen, Hypervisoren, Social Media, Webbrowser, private PCs und sogar Fahrzeuge. Point-in-Time-Lösungen ermöglichen keine effektive Reaktion auf die unzähligen Technologien und Strategien, die Cyberkriminelle nutzen. Die Überwachung und das Management der Informationssicherheit werden damit umso schwieriger. Die Zahl der Schwachstellen in Unternehmen nimmt unterdessen unweigerlich zu, da verteilte Punktlösungen und unterschiedliche Managementplattformen eingesetzt werden. Das Ergebnis sind heterogene Technologien an Kontrollpunkten, die nicht für den gemeinsamen Einsatz entwickelt wurden. In der Folge steigt das Risiko des Verlusts von Kundendaten, geistigem Eigentum und weiteren vertraulichen Informationen, sodass letztlich der Ruf eines Unternehmens auf dem Spiel steht. Aus diesen Gründen bedarf es einer ganzheitlichen Lösung, die in der Lage ist, die Herausforderungen der heutigen komplexen Bedrohungslandschaft zu bewältigen. Denn Angriffe beschränken sich heute nicht auf bestimmte Zeitpunkte, sondern werden dauerhaft durchgeführt. Das Gleiche sollte für die Abwehrmaßnahmen eines Unternehmens gelten. Da Bedrohungen und entsprechende Lösungen komplexer sind als je zuvor, müssen Unternehmen ihre Sicherheitsstrategie überdenken. Statt auf Punktlösungen zu setzen, können sie die Komplexität verringern, indem sie Sicherheitsfunktionen fortlaufend selbst in das Netzwerk integrieren, und das mit folgenden Ergebnissen: Kontinuierliche Überwachung und Analyse von Dateien sowie frühzeitige Erkennung bösartigen Verhaltens. Unterstützung bei der Skalierung der Richtliniendurchsetzung für mehr Transparenz und Sicherheit im Hinblick auf die steigende Anzahl von Netzwerkgeräten. Schnellere Erkennung von Bedrohungen durch gesteigerte Transparenz des Datenverkehrs. Möglichkeit zur Aggregation einzigartiger Kontextsensitivität, die sich mit sicherheitsspezifischen Geräten allein nicht erreichen lässt. Point-in-Time- Lösungen ermöglichen keine effektive Reaktion auf die unzähligen Technologien und Strategien, die Cyberkriminelle nutzen.

16 16 Cisco 2014 Annual Security Report Vertrauen Im Zuge der steigenden Nutzung von Mobility- und Cloud-Services entstehen Sicherheitsrisiken durch End- und Mobilgeräte, die möglicherweise nicht einmal mit dem Unternehmensnetzwerk in Berührung kommen. Denn ein Sicherheitsrisiko ist bereits gegeben, wenn Mobilgeräte für den Zugriff auf Unternehmensdaten in Public Clouds verwendet werden. Die Geräte greifen auf Cloud-Services und Systeme von Drittanbietern zu, deren Sicherheitseinrichtungen womöglich unbekannt sind und außerhalb der Kontrolle des Unternehmens liegen. Weiter gesteigert wird das Risiko durch das rasante Wachstum bei mobiler Malware. Und aufgrund mangelnder Transparenz sind die meisten IT-Sicherheitsteams auch nicht in der Lage, mögliche Bedrohungen zu identifizieren, die von Mobilgeräten ausgehen. Werden mobile Geräte zum Zugriff auf Unternehmensressourcen genutzt, stellt dies ein Sicherheitsrisiko dar. Fortschrittliche Ansätze, die ganzheitliche Lösungen beinhalten, werden künftig bei der Erkennung hochentwickelter Malware eine größere Rolle spielen. So werden Big Data-Analysen eingesetzt, die Daten und Ereignisse im erweiterten Netzwerk aggregieren, um selbst dann höhere Transparenz zu bieten, wenn eine Datei bereits ins Netzwerk gelangt ist oder zwischen Endgeräten übertragen wurde. Diese Methode unterscheidet sich klar von punktuellen Sicherheitslösungen auf Endpunkten, die Dateien zu einem Anfangszeitpunkt auf Malware prüfen. Hochentwickelte Schadprogramme können diesen Scan umgehen. So setzen sie sich im Handumdrehen auf Endpunkten fest und verbreiten sich über Netzwerke weiter. Vertrauenswürdige, transparente Systeme Trotz immer größerer Angriffsflächen, vielfältiger und ausgereifter Angriffsmodelle sowie komplexer Bedrohungen und Lösungen müssen wir Systemen und Informationen vertrauen können. Und zwar unabhängig davon, wie wir auf vernetzte Services zugreifen. Die Aufgabe, eine wirklich sichere Netzwerkumgebung für Regierungsbehörden und Unternehmen zu schaffen, wird umso komplexer, je mehr in Lösungen für Mobilität, Zusammenarbeit, Cloud Computing und andere Formen der Virtualisierung investiert wird.

17 17 Cisco 2014 Annual Security Report Vertrauen Zwar können mit ihrer Hilfe die Ausfallsicherheit verbessert, die Effizienz gesteigert und Kosten gesenkt werden, doch entstehen durch sie auch neue Risiken. Die zunehmende Fälschung und Manipulation von IT-Produkten belegt zudem, dass die Sicherheit schon bei der Geräteherstellung gefährdet ist. So verwundert es kaum, dass Cybersicherheit und damit verbundene Vertrauensfragen für die meisten Führungskräfte derzeit zu den wichtigsten Themen zählen. Für Sicherheitsexperten wiederum ergibt sich die Frage, was sie angesichts einer bevorstehenden Kompromittierung anders machen würden. Cyberkriminelle suchen gezielt nach Schwachstellen in der Technologielieferkette, um diese auszunutzen. Sicherheitslücken und absichtlich eingebaute Hintertüren in IT-Produkten bieten ihnen unter Umständen uneingeschränkten Zugang zu den Ressourcen eines Unternehmens. Solche Hintertüren stellen schon seit Langem ein Sicherheitsproblem dar und geben Anlass zur Sorge, da sie betrügerische oder kriminelle Aktivitäten ermöglichen. Zur Entwicklung vertrauenswürdiger Systeme ist es unerlässlich, Sicherheitsfunktionen vom Anfang bis zum Ende eines Produktlebenszyklus von Grund auf eng zu integrieren. Der Cisco Secure Development Lifecycle (CSDL) 8 beschreibt hierzu eine reproduzierbare und messbare Methode, um bereits bei der Planung eines Produkts Sicherheitsmechanismen zu integrieren, Schwachstellen im Zuge der Entwicklung zu minimieren und die Widerstandsfähigkeit des Produkts bei einem Angriff zu erhöhen. Vertrauenswürdige Systeme sind entscheidend bei der effektiven Erkennung und frühzeitigen Abwehr neuer Bedrohungen. Solche Infrastrukturen schützen nicht nur vertrauliche Informationen, sondern stellen vor allem auch die Verfügbarkeit wichtiger Services sicher. Mit vertrauenswürdigen Produkten von zuverlässigen Anbietern können Benutzer Kosten und Imageschäden, die mit dem Missbrauch oder Verlust von Daten oder dem Ausfall eines Services einhergehen, minimieren. Cyberkriminelle suchen gezielt nach Schwachstellen in der Technologielieferkette, um diese auszunutzen. Vertrauenswürdige Systeme sind jedoch keinesfalls mit einer Immunität gegen externe Angriffe gleichzusetzen. IT-Kunden und -Nutzer müssen selbst dazu beitragen, dass ihre vertrauenswürdigen Systeme Angriffe effektiv abwehren können. Dazu müssen sicherheitsrelevante Updates und Patches rechtzeitig installiert, ungewöhnliches Systemverhalten aufmerksam beobachtet und im Falle eines Angriffs wirksame Gegenmaßnahmen eingeleitet werden.

18 18 Cisco 2014 Annual Security Report Vertrauen Die wichtigsten Bedenken für 2014 heutiger CISOs Während sich CISOs (Chief Information Security Officers) ein Bild von der heutigen Bedrohungslandschaft machen, stehen sie immer mehr unter dem Druck, Terabytes an Daten zu schützen, strenge Compliance- Richtlinien einzuhalten und die Risiken der Zusammenarbeit mit Drittanbietern zu bewerten und all das mit immer weiter gekürzten Budgets und kleineren IT-Teams. CISOs übernehmen heutzutage mehr Aufgaben als je zuvor und sind für die Abwehr hochentwickelter und komplexer Bedrohungen verantwortlich. Die Hauptsicherheitsanalysten der Cisco Security-Services, die CISOs hinsichtlich der Sicherheitsansätze für ihr Unternehmen beraten, haben eine Liste der wichtigsten Bedenken und Herausforderungen für 2014 erstellt: Compliance-Management Die oberste Priorität von CISOs hat heute wohl der Schutz von Daten, die in einem immer poröseren Netzwerk gespeichert werden. Außerdem müssen sie wertvolle Ressourcen für die Einhaltung der Compliance aufwenden. Compliance alleine reicht jedoch für umfassende Sicherheit nicht aus. Sie ist lediglich eine minimale Grundlage für die Anforderungen einer speziell regulierten Umgebung. Bei Sicherheit wiederum handelt es sich um einen umfassenderen Ansatz, der alle geschäftlichen Aktivitäten mit einschließt. Fortsetzung auf der nächsten Seite Die technologische Entwicklung steht niemals still Angreifer ebenso wenig. Die Vertrauenswürdigkeit eines Systems muss daher über den gesamten Lebenszyklus eines Netzwerks gewährleistet sein, angefangen bei den ersten Entwürfen über Herstellung, Systemintegration, täglichen Betrieb, Wartung und Updates bis hin zur Außerbetriebnahme der Lösung. Vertrauenswürdige Systeme umfassen dabei über das unternehmenseigene Netzwerk hinaus auch jene Netzwerke, mit denen die Ressourcen des Unternehmens verbunden sind. In diesem Zusammenhang konnten die Teams von Cisco Security Research and Operations im Laufe des vergangenen Jahres ein verstärktes Aufkommen von Pivoting beobachten. Bei dieser Methode nutzen Cyberkriminelle im Angriffsmanöver eine Hintertür, Schwachstelle oder einfach das Vertrauen von Benutzern oder Unternehmen aus, um eine Plattform für komplexere Angriffe auf weitaus größere Ziele zu erhalten wie etwa das Netzwerk eines wichtigen Energieversorgers oder das Rechenzentrum eines Finanzinstituts. Grundlage eines Pivoting-Angriffs ist häufig das zwischen zwei Organisationen herrschende Vertrauen: Hacker verschaffen sich zunächst Zugang zum Netzwerk eines Unternehmens, um von dort aus anschließend in das Netzwerk eines nichts ahnenden Geschäftspartners oder einer Regierungsbehörde einzudringen. Angesichts derartiger Sicherheitsbedrohungen ist entsprechende Wachsamkeit geboten. Sicherheitsmaßnahmen müssen in sämtlichen Phasen der IT-Umgebung eines Unternehmens angepasst werden, indem die Vertrauenswürdigkeit von Systemen anhand unabhängiger, nachweisbarer Daten und Prozesse objektiv und messbar überprüft wird. Ein dynamischer und individuell zugeschnittener Schutz mit Sicherheitskontrollen, deren Effektivität durch fortlaufende Weiterentwicklung sichergestellt wird, ist dabei besonders nachhaltig wirksam. 9 Eine solche Umgebung bietet ideale Voraussetzungen für vertrauenswürdige Systeme, deren Aufbau Transparenz erfordert. Ein vertrauenswürdiges System erfordert

19 19 Cisco 2014 Annual Security Report Vertrauen Fortsetzung von vorheriger Seite Vertrauen in die Cloud CISOs müssen entscheiden, wie sie Daten trotz eingeschränkter Budgets und begrenzter Zeitvorgaben sicher verwalten können. So ist die Cloud zu einer kosteneffizienten und flexiblen Lösung für das Management wachsender Datenmengen geworden. Bei CISOs löst sie jedoch zusätzliche Bedenken aus. CEOs (Chief Executive Officers) und Vorstände sehen das Cloud Computing als eine Art Patentrezept, das kostspielige Hardware unnötig macht. Sie wollen von den Vorteilen der Cloud profitieren und erwarten von den CISOs eine schnelle und sichere Umsetzung. Vertrauen in Anbieter Unternehmen bauen neben der Cloud auch auf Anbieter, die ihnen spezielle Lösungen bereitstellen. Kostentechnisch macht eine Zusammenarbeit mit Drittanbietern durchaus Sinn. Gleichzeitig sind diese Anbieter jedoch attraktive Ziele für Cyberkriminelle, die wissen, dass die Sicherheitsmaßnahmen von Drittanbietern unter Umständen nicht besonders effektiv sind. Behebung von Sicherheitslücken Unternehmen sollten generell davon ausgehen, dass Ihre Datenbanken schon einmal gehackt wurden oder sich zumindest bewusst machen, dass es nur eine Frage der Zeit ist, bis sie einem Angriff zum Opfer fallen. Kürzlich verübte Angriffe wie die Operation Night Dragon, die RSA- Sicherheitslücke und der Shamoon- Angriff gegen einen großen Öl- und Gaskonzern im Jahr 2012 spuken vielen CISOs auch heute noch im Kopf herum. (Siehe Studie von Cisco zur Verbreitung schädlicher Aktivitäten in Unternehmensnetzwerken auf Seite 48.) [ eine solide Grundlage. Dazu zählen die Methoden in der Produktentwicklung, eine vertrauenswürdige Lieferkette und ein Architekturansatz, der Netzwerkdesign, -implementierung und -richtlinien umfasst, so John N. Stewart, Senior Vice President und Chief Security Officer bei Cisco. Am wichtigsten ist jedoch die Transparenz seitens des Herstellers. Zwar geht mehr Transparenz mit Zugeständnissen beim Datenschutz einher. Doch in Zusammenarbeit mit dem Hersteller lässt sich hier das richtige Gleichgewicht finden, das letztlich zusätzliche Möglichkeiten eröffnet, Bedrohungsinformationen und Best Practices in Sachen Sicherheit zu koordinieren. Für Unternehmen steht viel auf dem Spiel. Daher gilt es, das richtige Gleichgewicht zwischen Vertrauen, Transparenz und Datenschutz zu finden. Auf lange Sicht wird sich die Cybersicherheit für alle Nutzer verbessern und das Potenzial der Internet of Everything 10 Economy kann realisiert werden. Die Erfüllung dieser Ziele ist jedoch von effektiven Datenschutzrichtlinien und zuverlässigen Schutzmechanismen für Netzwerke abhängig, die Sicherheitsfunktionen intelligent auf Endpunkte und das Netzwerk verteilen. Kurzfristig betrachtet muss jedes moderne Unternehmen die besten zur Verfügung stehenden Methoden und Informationen nutzen. Nur so kann es wertvolle Ressourcen schützen und dafür sorgen, dass es nicht auf direktem Wege zu weiteren Cyberbedrohungen beiträgt. Unternehmen müssen heutzutage die möglichen Auswirkungen ihrer Sicherheitsvorkehrungen auf die zunehmend komplexe und vernetzte Netzwerkumgebung bedenken. Eine zu enge Betrachtungsweise, die die größeren Zusammenhänge außer Acht lässt, kann die Reputationsbewertung eines Unternehmens verschlechtern. Die Folge: Anbieter von Sicherheitslösungen verbieten Benutzern den Zugriff auf die Website des Unternehmens. Den Eintrag in einer Blacklist und den damit verbundenen Vertrauensverlust können Unternehmen nur schwer wieder gutmachen einigen gelingt es nie. Weitere Informationen zu vertrauenswürdigen Systemen von Cisco finden Sie unter ]

20 20 Cisco 2014 Annual Security Report Bedrohungsinformationen Cisco und Sourcefire haben die Ergebnisse des vergangenen Jahres anhand umfangreicher Telemetriedaten zu erkannten Bedrohungen gemeinsam analysiert und zusammengestellt.