Netzwerk-Bedrohungsszenarien

Transkript

1 Eine Bestandsaufnahme und mögliche Lösungen DATAKOM Gesellschaft für Datenkommunikation mbh Lise-Meitner-Str Ismaning

2 Inhaltsverzeichnis Inhaltsverzeichnis... 2 Abbildungsverzeichnis Zielsetzung Mögliche Bedrohungsszenarien Technische Verfahren der Top-10-Bedrohungen Drive-By-Download (Exploits) Würmer, Viren und Trojaner Datenbank- und Webseiten-Attacken Viren-Baukästen (Exploit Kits) Botnetze Denial of Service Phishing Datenverluste Roque- und Scareware Spam Motivation für Angriffe Unternehmen Internet-Kriminelle Mitarbeiter Hacktivisten Staaten Terroristen Zuordnung von Angreifern und Bedrohungen Lösungen Aufklärung Konzept und Richtlinien Tools zur Verschlüsselung Hardware Firewall Intrusion Detection und Intrusion Prevention Schwachstellen Scanner Monitoring Systeme Seite 2 von 35

3 Abbildungsverzeichnis Abbildung 1: Top 10 der aktuellen Bedrohungen... 5 Abbildung 2: Aktuelle und zukünftige Trends... 6 Abbildung 3: Cybercrime Straftaten Abbildung 4: Schäden durch Cybercrime in Mio Abbildung 5: OSI- und TCP/IP Modell Abbildung 6: Gefälschte Sicherheitsmeldung Abbildung 7: Systemähnliche Präsentation soll Vertrauen erwecken Abbildung 8: Zuordnung von Angreifern und Top-10- Bedrohungen Abbildung 9: Phasen des Sicherheitsprozesses gem. BSI Abbildung 10: Prinzipielle Funktion eines IDS Seite 3 von 35

4 1 Zielsetzung Der Inhalt dieses Handbuches widmet sich dem Thema Netzwerksicherheit (Cyber Security). Es soll seinem Leser eine Übersicht über mögliche (Threats) sowie mögliche Lösungsansätze zum Schutz vor derlei Bedrohungen aufzeigen. Dieses Handbuch erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit, sondern soll vielmehr einen Beitrag dazu leisten, dass sich die Verantwortlichen und die Nutzer von Netzwerken darüber bewusst werden, welche Gefahren existieren und wie man sich vor diesen Gefahren bestmöglich schützen kann. 2 Mögliche Bedrohungsszenarien Es gibt eine Vielzahl möglicher Bedrohungen in Netzwerken. Meldungen hierüber sind inzwischen immer häufiger Bestandteil der Medien. Die folgende Abbildung zeigt die Top 10 Gefahren aus einer Presseinformation des BITCOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.) vom , wobei die Basis der Angaben auf einem aktuellen Bericht der ENISA (European Network and Information Security Agency) vom beruht: 1 Seite 4 von 35

5 Abbildung 1: Top 10 der aktuellen Bedrohungen Deutlich ist in Abbildung 1 zu erkennen, dass die Gefahren vielseitig sind und ein Ende noch nicht in Sicht ist. Angeführt wird die Liste aktuell von den sogenannten "Drive-by-Downloads", wobei sich die Nutzer die Schadsoftware beim Besuch manipulierter Webseiten einfangen können. Da einem Nutzer i.d.r. der Zugang zum Internet im Rahmen seiner Arbeit ohne weiteres möglich ist, ist diese Gefahr besonders groß. In Ergänzung dazu bricht der Bericht der ENISA (verfügbar als PDF 1 ) die aktuellen Trends aus Abbildung 1 auf verschieden Technologie Bereiche herunter, denen lt. ENISA zukünftig eine erhöhte Bedeutung zukommt. Siehe Abbildung Seite 5 von 35

6 Abbildung 2: Aktuelle und zukünftige Trends Gemäß den oben dargestellten Bereichen kommt lt. ENISA dem "Mobile Computing" eine besondere Bedeutung zu: von den aktuellen Top-10-Trends werden sich in diesem Bereich immerhin 6 der aktuellen Top-10-Trend verstärkt fortsetzen. Aktuelle Smartphones und Tablet-PCs sind absolut im Trend und verfügen inzwischen über umfangreiche Funktionen. Deshalb werden heutzutage immer mehr Firmen mit dem Thema BYOD (Bring Your Own Devise) konfrontiert. Laut BITCOM- Pressemitteilung vom setzen heute bereits 34 % der deutschen Unternehmen Tablet- PCs bei sich ein. Die Integration privater Geräte in die Firmennetzwerkstruktur stellt neue Ansprüche an die IT- Sicherheit und wirft zudem eine neue Herausforderung auf: den juristischen Aspekt. Hierbei muss sichergestellt sein, dass der Datenschutz von zu verarbeitenden personenbezogenen Daten sowie Betriebs- und Geschäftsgeheimnissen gewahrt bleibt. Die rechtliche Haftung umfasst nicht nur den eventuellen Schadensfall der Geräte selbst, sondern erstreckt sich auch über den eventuellen Ver- 1 Seite 6 von 35

7 lust von Daten Dritter, die im Unternehmen bearbeitet werden. Aus diesem Grund scheint die Einführung von Sicherheitsrichtlinien in Unternehmen unumgänglich. Der durch Internet-Kriminalität verursachte Schaden ist nicht unerheblich. Gemäß BKA Bundeslagebild 2011 Cybercrime (verfügbar als PDF 1 ) ist der wirtschaftliche Schaden im Vergleich zum Vorjahr um 16 % auf über 71 Mio Euro gestiegen, obwohl die in der polizeilichen Kriminalstatistik (PKS) erfassten Fälle im Jahr 2011 geringfügig zurückgegangen sind (0,6 %). Die Schadensbetrachtung bezieht sich lediglich auf die Bereiche Computerbetrug (rund 50 Mio. ) und Betrug mit Zugangsdaten zu Kommunikationsdiensten (rund 21,2 Mio. ). Die Tatsache, dass für nur zwei Deliktsbereiche eine statistische Schadenserfassung erfolgt, erlaubt zwar keine Aussagen über das tatsächliche Ausmaß des Schadens. Dennoch reichten diese Betrachtungen für die Darstellung einer Entwicklungstendenz aus, so das BKA. Abbildung 3: Cybercrime Straftaten Seite 7 von 35

8 Abbildung 4: Schäden durch Cybercrime in Mio. Der tatsächlich entstanden wirtschaftliche Schaden dürfte also wesentlich höher liegen, wenn man alle die in Abbildung 1 und Abbildung 2 gelisteten Bedrohungen berücksichtigte. Zusätzlich ist davon auszugehen, dass es hinsichtlich der Anzahl tatsächlich gemeldeter Delikte eine nicht unbeträchtliche Dunkelziffer gibt. Unter den zuvor genannten Aspekten stellt sich natürlich die Frage, ob und wie man sich auf eine geeignete Weise vor dieser Vielzahl an Bedrohungen schützen kann. Dabei sind weitere Gesichtspunkte zu betrachten wie die ständig steigende Professionalität der Schadsoftware, die sich ständig ändernde Vorgehensweise von Angriffen als Reaktion auf neu eingeführte Schutzsysteme, die Motivation für die Angriffe, die im Unternehmen genutzten Applikationen und deren Schwachstellen sowie der Kenntnisstand der Mitarbeiter. Bevor auf mögliche Lösungen eingegangen wird, werden zunächst die technischen Verfahren der unterschiedlichen Bedrohungen näher erläutert. Seite 8 von 35

9 3 Technische Verfahren der Top-10-Bedrohungen Die unterschiedlichen Bedrohungen basieren auf verschiedenen Verfahren, die alle das Ziel haben, eine mehr oder minder gefährliche Schadsoftware auf einem oder möglichst vielen Zielsystem(en) zu platzieren. 3.1 Drive-By-Download (Exploits) Als Exploit bezeichnet man die systematische Ausnutzung von Sicherheitslücken und Fehlfunktionen von Programmen oder Systemen, die bei der Entwicklung eines Programms nicht berücksichtigt wurden. Ziel ist es, sich durch Befehlsfolgen Zugang zu den Systemressourcen zu verschaffen und/oder die Systeme zu beinträchtigen. Bei Drive-By-Exploits oder Drive-By-Downloads wird die Schadsoftware (Malware) unbewusst und unbeabsichtigt (Drive-by: im Vorbeifahren) automatisch auf den Rechner des Nutzers geladen. Dazu genügt oft schon der Zugriff auf eine entsprechend präparierte (seriöse) Webseite. Bei dieser Art der Bedrohung werden Sicherheitslücken des Browsers genutzt. Heutige Webseiten enthalten sehr häufig dynamische Funktionen wie Java, JavaScript oder Adobe Flash. Diese Techniken erlauben eine permanente Kommunikation zwischen Server und Browser, ohne dass der Benutzer eine Aktion durchführen muss. Dieser Umstand wird systematisch für Drive-By-Download- Attacken (aus-)genutzt, um so die Schadsoftware auf dem Zielsystem zu hinterlassen. Drive-by- Downloads gehören inzwischen zu der am häufigsten verwendeten Art von Attacke und damit zu den Top-Bedrohungen. Im Mai 2012 wurde der erste Drive-By-Download für Android (Betriebssystem und Softwareplattform u.a. für Smartphones und Tablet-PCs) entdeckt, so dass neben ortsfesten PCs auch zunehmend mobile Endgeräte betroffen sein können. Die meisten der bekannten Drive-By-Download-Attacken stammen von Internet-Kriminellen, die sich die oben beschriebene Technik zu Nutze machen. Die Verbreitung erfolgt weitgehend mit sogenannten Viren-Baukästen (vgl. Kapitel 3.4). 3.2 Würmer, Viren und Trojaner Als Würmer bezeichnet man eine Schadsoftware, die die Fähigkeit besitzt, sich selbst zu vervielfältigen und zu verteilen. In Abgrenzung zu Viren werden durch Würmer jedoch keine fremden Dateien oder Bootsektoren durch die Schadsoftware infiziert. Würmer verbreiten sich über Netzwerke (zum Seite 9 von 35

10 Beispiel per ) oder Wechselmedien (USB Sticks usw.). Sie bedienen sich hierfür in der Regel, aber nicht zwangsläufig, automatisch eines Hilfsdienstes des Systems (Netzwerkdienst (evtl. über eine Anwendungssoftware) oder Autorun). Für die Verbreitung von Viren hingegen, bei dem sich die Schadsoftware in einer Datei oder im Bootsektor einnistet, ist die Interaktion des Benutzers erforderlich: Durch Öffnen der infizierten Datei oder durch Rebooten, bei dem sich die Schadsoftware von oder auf die angeschlossenen Wechselmedien übertragen kann. Die Verbreitung von Würmern ist damit deutlich effizienter als die Verbreitung von Viren. Deshalb spielen Viren heute eine eher untergeordnete Rolle. Während Würmer und Viren die Art der Verbreitung der Schadsoftware beschreiben, bezeichnet der Begriff Trojaner eine ausführbare Schadsoftware, die (heimlich) auf dem Zielsystem abgelegt wird. Der Trojaner tarnt sich als nützliche Anwendung, verfolgt jedoch einen gänzlich anderen Zweck (also eine Form der Verschleierungstechnik). Dabei können Trojaner Dateien zerstören oder auch Benutzerkenndaten stehlen, um diese für kriminelle Geschäfte zu nutzen. Sie können aber auch Hintertüren öffnen, um für kriminelle Aktivitäten zusätzliche Ressourcen zur Verfügung zu stellen. Von den in diesem Kapitel beschriebenen Techniken sind aber auch Mischformen möglich. So kann sich zum Beispiel ein Wurm der Verschleierungstechnik eines Trojaners bedienen, indem er als Anhang einer vorgibt, ein toller Bildschirmschoner oder ein super Spiel zu sein. Von daher gehören sowohl Würmer als auch Trojaner als klassische Typen von Schadsoftware zu den sehr weit verbreiteten Techniken. Sie stellen eine sehr große Bedrohung dar. Die Anzahl der mit Trojanern infizierten Systeme hat stark zugenommen und den bisherigen Spitzenreiter (durch massive Wurmepidemien infizierte Systeme) als die am häufigsten berichtete Art von Schadsoftware abgelöst. Bemerkenswert in diesem Zusammenhang ist, dass der Trojaner "Autorun" und der Wurm "Conficker" nach wie vor weltweit die Top 2 der Bedrohungen darstellen und auch heute noch Opfer finden, obwohl diese Schadsoftware bereits vier Jahre alt ist und die Sicherheitslücken, die ein Infizieren mit dieser Schadsoftware ermöglichen, lange adressiert sind. Unabhängig davon scheinen Soziale Netzwerke für die Autoren von Schadsoftware als Distributionskanal an Bedeutung zu gewinnen (der Wurm "Koobface" infizierte die Nutzer größerer Sozialer Netzwerke). Trojaner sind offenbar die größte Bedrohung für mobile Komponenten, wobei es eine Vielzahl von Ausprägungen gibt: Angefangen bei einfachen SMS-Trojanern bis hin zu multifunktionellen und deutlich anspruchsvolleren Trojanern, die den Daten-Diebstahl zum Ziel haben. Seite 10 von 35

11 3.3 Datenbank- und Webseiten-Attacken Diese Kategorie von Bedrohungen beschreibt eine Technik, die durch Einfügen von Software-Code (Code Injection) für Angriffe auf Web-Applikationen genutzt werden wie SQL Injection 1, Cross-Site Scripting 2, Cross-Site Request Forgery 3 oder Remote File Inclusion 4. Angreifer, die eine dieser Techniken verwenden, beabsichtigen, bestimmte Daten zu extrahieren oder Zugangsdaten (Credentials) zu stehlen, die Kontrolle über bestimmte Web-Server zu übernehmen oder aber ihre böswilligen Aktivitäten voranzubringen, indem sie gezielt Sicherheitslücken von Web-Applikationen ausnutzen. In den letzten Jahren wurde SQL Injection (SQLi) als die am häufigsten genutzte Variante ausgemacht. Sie ist äußerst populär bei Hacktivisten (politisch engagierte Hacker, die auf diese Weise ihr Gedankengut verbreiten), Hacker-Gruppen und Internet-Kriminellen (Cyber Criminals). Die SQLi- Technik wird hierbei bevorzugt auf Webseiten aus den Bereichen Unterhaltung, Einzelhandel, Technologie sowie Medien und Bildung eingesetzt. Gleichzeitig konnte aber auch ein signifikanter Anstieg beim Cross-Site Scripting (XSS) festgestellt werden, da diese Technologie auf alle Browser inklusive die der mobilen Endgeräte angewendet SQLi, beschreibt das Ausnutzen einer Sicherheitslücke in SQL Datenbanken, die durch mangelnde Maskierung oder Prüfung von sogenannten Metazeichen (Steuerzeichen für den SQL Interpreter) bei Benutzereingaben entsteht XSS, beschreibt eine Sicherheitslücke in Webapplikationen, bei der Informationen aus einem nicht vertrauenswürdigen in einen als vertrauenswürdig eingestuften Kontext eingefügt werden um von dort aus einen Angriff zu starten CSRF oder XSFR beschreibt eine Sicherheitslücke, die auf der Statuslosigkeit des HTTP beruht und bei der der Angreifer auf dem Webbrowser des Opfers ohne dessen Wissen einen manipulierten http-request hinterlegt, der dann bei einem Aufruf innerhalb einer Webapplikation durch ahnungslosen Benutzer die gewünschte Aktion des Angreifers ausführt RFI, beschreibt eine Sicherheitslücke in Skript-basierten Webanwendungen, die es einem Angreifer ermöglicht, unkontrolliert Programmcode in den Webserver einzuschleusen und dort auszuführen. Seite 11 von 35

12 werden kann. Sie stellt somit die kritischste Schwachstelle für traditionelle und Web basierte Anwendungen dar. Dennoch kann das aus XSS resultierende Risiko geringer als das aus SQLi eingestuft werden, da Angreifer die XSS Technologie üblicherweise nicht für Szenarios einsetzen, bei denen das große Geld verdient wird. Cross-Site Request Forgery (CSRF oder XSFR) schließlich ist die Technik, die am häufigsten bei Web 2.0 oder auf Webseiten von Hosting Providern angewendet wird. Der Trend dieser hier beschriebenen Technologien ist steigend und damit ebenfalls als große Bedrohung einzustufen. 3.4 Viren-Baukästen (Exploit Kits) Viren-Baukästen, sogenannte Exploit Kits, sind verwendungsfertige Softwarepakete, die Aktionen im Bereich der Internet-Kriminalität quasi automatisieren. Diese Pakete nutzen meistens die Drive- By-Download-Technik (vgl. Kap. 3.1), deren bösartiger Code dann in möglichst populäre Webseiten eingefügt wird. Die Attacken können dabei gleich mehrere Schwachstellen in Browsern oder Browser Plug-Ins nutzen. Darüber hinaus werden im Rahmen der Attacke eine Fülle von Kanälen genutzt, um Schadsoftware auf unverdächtige Webseiten zu verteilen und auf diesen zu installieren. Eine wichtige Eigenschaft dieser Exploit Kits ist der Bedienkomfort (meist über einen Webbrowser), so dass diese Baukästen durchaus auch von Personen ohne tiefgehendes technisches Verständnis gekauft (!) und genutzt werden können. Da diese fertigen Baukästen käuflich erworben werden können, hat sich inzwischen ein neues Geschäftsmodell etabliert: Malware-as-a-Service (MaaS). Dies wiederum führt zu einer erhöhten Professionalisierung und Kommerzialisierung rund um die Ware Internet-Kriminalität. Die hohe Gefahr dieser Bedrohung ist dadurch begründet, dass die Exploit Kits ausgeklügelte Techniken (Verschlüsselung, Polymorphie oder extreme Verschleierung u.ä.) nutzen und entwickeln, um dann als Folge davon die klassischen Erkennungsmechanismen umgehen zu können. In der ers- 1 Web 2.0 beschreibt lt. Gablers Wirtschaftslexikon keine grundlegend neue Technologie, sondern lediglich eine in sozio-technischer Hinsicht veränderte Nutzung des Internets, bei der es nicht mehr allein um die reine Bereitstellung von Informationen geht, sondern zusätzlich um die Beteiligung der Nutzer am Web und um die Generierung von weiterem Zusatznutzen. (vgl. Seite 12 von 35

13 ten Jahreshälfte 2012 war das Blackhole Exploit Kit 1 das am höchsten entwickelte und am häufigsten erkannte Viren-Baukastensystem. Der Trend für diese Art von Bedrohung ist steigend. 3.5 Botnetze 1 2 Unter einem Bot (von engl. robot "Roboter") versteht man ein Computerprogramm, das auf einem vernetzten Rechner läuft und weitgehend automatisch sich wiederholende Aufgaben abarbeitet, ohne dabei auf eine Interaktion mit einem menschlichen Benutzer angewiesen zu sein. Agiert nun eine Gruppe von Bots in einem gemeinsamen Netzwerk, spricht man von einem Botnetz. Betreiber illegaler (krimineller) Botnetze installieren Bots ohne Wissen der Nutzer auf deren Computern und nutzen sie für ihre Zwecke. Im Zusammenhang mit der Internet-Kriminalität werden deshalb normalerweise nicht mehr die Programme selbst, sondern die kompromittierten Rechner, auf denen das Programm installiert ist, als Bot (oder auch als Zombie) bezeichnet. Innerhalb eines Botnetzes können dann die meisten Bots von einem Botnetz-Operator (auch Bot-Master oder Bot-Herder genannt) zum Zwecke der bösartigen Steuerung über einen Kommunikationskanal überwacht und Befehle empfangen werden. Der Server, der zur Steuerung der Bots verwendet wird, wird in der Fachsprache als Command-and-Control-Server (C&C Server) bezeichnet. Botnetze werden als vielfältiges Werkzeug für Spamming (unaufgefordertes Versenden von s, vgl. Kapitel 3.10), Identitätsdiebstahl oder auch zum Infizieren weiterer Rechner und der weiteren Verbreitung von Schadsoftware genutzt. Um die Stabilität zu erhöhen und das Risiko eines Single-Point-of-Failure auszuschließen, wird die Botnetz C&C Infrastruktur mittels P2P (Peer-to-Peer) Technologien zunehmend dezentralisiert (Beispiel: ZeroAccess Botnetz 2 ). Hinzu kommt, dass die Botnetze anstatt wie anfangs für Einfach- Attacken (Spam, DoS) zunehmend auch zu Mehrfach-Attacken genutzt werden. Bei ZeroAccess handelt es sich um einen Trojaner, von dem Microsoft Windows-Betriebssysteme betroffen sind und der u.a. dazu benutzt wird, ein Botnetz aufzubauen; vgl. hierzu auch Seite 13 von 35

14 Ähnlich wie im Falle der Viren-Baukästen ist auch hier eine vermehrte Kommerzialisierung auszumachen: Interessierte können sich für ihre Zwecke existierende Botnetze mieten. Dabei haben die aktuellen Botnetze die Möglichkeit, Rechner mit den unterschiedlichsten Betriebssystemen zu infizieren. Im April 2012 wurde über das Botnetz "Flashback" berichtet, das aus über infizierten MAC Computern von Apple bestand. Und es scheint, dass die Autoren von Schadsoftware zunehmendes Interesse daran zeigen, Android-basierte Smartphones in "Zombies" zu verwandeln oder auch Cloud-Computing-Plattformen für das Aufsetzen von Botnetzen zu nutzen. Ausgeklügelte Angriffsoperationen von großen Botnetzen sind heute allerdings eher selten auszumachen, da diesen in den letzten Jahren mehr Aufmerksamkeit von Ermittlungsbehörden und der Sicherheitsindustrie zuteil wurde und viele zerschlagen werden konnten. Der Trend geht hier eher zu kleinen Botnetzen, die deutlich schwerer auszumachen und zu zerschlagen sind. In jedem Fall ist der Trend für diese Art von Bedrohung ebenfalls steigend. 3.6 Denial of Service Als Denial of Service (DoS) wird eine Form von Attacke bezeichnet, bei der versucht wird, Nutzern den Zugriff auf einen bestimmten Dienst oder eine bestimmte Ressource nicht zu ermöglichen (von engl. denial of service "Dienstverweigerung"). Attackieren mehrere Angreifer gleichzeitig dasselbe Ziel, spricht man von einer verteilten DoS-Attacke (Distributed Denial-of-Service, DDoS). Für die Nichtverfügbarkeit eines Dienstes kann es verschiedene Gründe geben. Von DoS spricht man grundsätzlich dann, wenn die Nichtverfügbarkeit des Dienstes die Folge einer Überlastung einer Komponente im Infrastruktursystem ist. Das kann durchaus auch unbeabsichtigt sein. Wird DoS jedoch gezielt eingesetzt, um einen Dienst für andere nicht nutzbar zu machen, spricht man von einer DoS-Attacke. Für DDoS-Attacken nutzen die Angreifer so viel "Feuerkraft" wie möglich, damit die Attacke möglichst schwer abzuwehren ist. In der Regel werden dazu möglichst viele verschiedene (kompromittierte) Computer eingesetzt (evtl. auch ganze Botnetze, vgl. Kapitel 3.5). Die Täter, die DoS- Attacken initiieren, zielen entweder direkt auf bekannte Webseiten oder Dienste oder aber sie nutzen diese nur indirekt, sofern sie Bestandteil von übergeordneten Instanzen sind. Obwohl diese Angriffe nicht auf vertrauliche oder integre Informationen zielen, so können dennoch erhebliche finanzielle Schäden und/oder Imageverlust die Folge sein. Seite 14 von 35

15 Aktuell scheinen sich die DoS-Angreifer von einem relativ einfachen Ansatz (wie der Nutzung von UDP, ICMP oder SYN Flood 1 ) zu verabschieden, um dafür auf höher entwickelte Applikationen (und hier am häufigsten auf HTTP, DNS oder SMTP) zu setzen. DoS-Attacken-Tools von heute, selbstverständlich öffentlich verfügbar, setzen nach dem TCP/IP-Modell eher auf dem Applikationslayer auf als auf dem Transport- oder Internet-Layer. OSI Model Layer TCP/IP Model Layer TCP/IP Model Protocol Suite Application Layer Presentation Layer Application Layer HTTP DNS SMTP etc. Session Layer Transport Layer Transport Layer TCP UDP Network Layer Internet Layer ARP IP(v4) ICMP Data Link Layer Physical Layer Network Interface Layer Ethernet WLAN etc. Abbildung 5: OSI- und TCP/IP Modell DDoS-Attacken mit einer Bitrate von 20 Gbps sind heute die Norm, die Grenze von 100 Gbps wurde erstmals 2011 überschritten, wobei Hacktivismus (politisch motivierter Protest), Vandalismus und Erpressung in den meisten Fällen als Motivation dienen wurde von der ersten IPv6-DDoS- Attacke berichtet. Der Trend für diese Art von Bedrohung insgesamt ist jedoch stabil. 1 Senden von kontinuierlichen TCP SYN-Flags und anschließendem Nicht-Senden von TCP ACK-Flags im Rahmen des TCP 3-Wege-Handshakes Seite 15 von 35

16 3.7 Phishing Unter Phishing versteht man Versuche, über gefälschte Web-Seiten, s oder Kurznachrichten an Identitätsdaten eines Internet-Benutzers zu gelangen (Identitäts-Diebstahl). Die gestohlenen Identitätsdaten werden verwendet, um Zugriff auf ein Konto des Internet-Benutzers zu erhalten und diesem finanziellen Schaden zuzufügen. Phishing ist ein Kunstwort, das sich, evtl. in Anlehnung an den Begriff phreaking (Manipulieren von Telefonverbindungen, bestehend aus "phone" und freak") aus den Wörtern password (engl. für "Passwort") und fishing (engl. für "Fischen") zusammensetzt, sinnbildlich also: "Angeln nach Passwörtern". Häufiger wird das "h" in Phishing aber auch mit harvesting (engl. für "Ernte") erklärt, sinnbildlich dann: das "Ernten von Passwörtern". Eine Phishing-Variante in sozialen Netzen wie Facebook nennt sich Likejacking (Zusammensetzung aus to like (engl. für "mögen") und jacking (engl. abgeleitet von to hijack "entführen")). Dabei wird durch einen unbeabsichtigten Klick auf eine möglicherweise verstecke Schaltfläche eine Gefälltmir-Aktion ausgeführt, die zum Beispiel im Profil des Benutzers einen Link auf eine Webseite anlegt. Diese Webseite enthält dann die Schadsoftware. Klicken anschließend die Facebook-Freunde ebenfalls auf diesen Link, entsteht möglicherweise ein Schneeballeffekt. Neben der Phishing Variante für soziale Netzwerke existiert ebenfalls eine Variante für VoIP 1 - Systeme, die als Vishing (VoIP basiertes Phishing) bezeichnet wird. Bei dieser Methode versuchen Kriminelle mit Hilfe von Telefonaten jemanden in die Irre zu führen, um so an sensible Daten zu gelangen. Phisher hosten ihre Seiten zumeist auf legitimen kompromittierten Webservern, die als Folge von veränderten Sicherheits- und Registrierungsvorschriften für Webseiten nun bevorzugt in Web- Hosting-Umgebungen betrieben werden, um dann auch mit Hilfe von Hacking-Tools automatisierte Techniken nutzen zu können. Typischerweise zielt diese Art von Bedrohung in den meisten Fällen auf Webseiten von Finanzinstituten oder Zahlungsdiensten. Auf der anderen Seite sind aber auch soziale Netzwerke, Internetserviceprovider, gemeinnützige Organisationen, Paketdienste und Webseiten der öffentlichen Hand häufig das Ziel von - Phishing-Attacken. Obwohl die Betriebszeit von Phishing-Seiten in der ersten Hälfte 2012 auf ein 1 Voice over IP Seite 16 von 35

17 Rekordtief fiel (laut Untersuchungen schaffen es Banken im Durchschnitt innerhalb von vier bis acht Stunden, erkannte Phishing-Websites weltweit löschen zu lassen), sind neue steigende Phishing-Trends zu erkennen. Diese sind in der Lage, Zwei-Faktoren Authentifizierungs- Mechanismen auszuhebeln, bei denen zur Authentifizierung sowohl der PC wie auch das mobile Endgerät genutzt werden. Zunehmend werden außerdem Phishing-Seiten per SMS an Smartphone-Nutzer versendet. Als Gesamtheit betrachtet ist der Trend für diese Art von Bedrohung aber stabil. 3.8 Datenverluste Die Gefährdung, die den Verlust meistens vertraulicher Daten zur Folge hat, beschreibt Datenpannen, bei denen Informationen bewusst oder unbewusst offenbart werden. Die Gefahrenquelle kann intern oder extern liegen. Ein Verlust sensibler Daten ist dabei weder auf einen Unternehmensbereich (Verwaltung, Gesundheit, Industrie, etc.) noch auf eine Unternehmensgröße (Small and Medium Businesses (SMB), Großunternehmen oder Organisationen) beschränkt. Diese Datenpannen werden üblicherweise durch irgendeine Form von Hacking, versteckt eingebauter Schadsoftware, physikalischen (Einbruch) oder sozialtechnischen Angriffen (Social-Engineering-Attacks) oder Missbrauch von Rechten realisiert. Sie entsprechen einem Verstoß gegen den Datenschutz. Fahrlässiges Verhalten von Insidern und bösartige Attacken von extern sind die Hauptursachen von Datenpannen, wobei die größte externe Bedrohung von Internet-Kriminellen und Hacktivisten ausgeht. Schätzungen gehen davon aus, dass die Datenpannen in 9 von 10 Fällen hätten verhindert werden können, wenn sich die betroffenen Unternehmen an bewährte Methoden des Datenschutzes und der Informationssicherheit gehalten hätten. Kritisch in diesem Zusammenhang ist, dass betroffene Unternehmen nicht nur einen unmittelbaren finanziellen Verlust erleiden, sondern in der Folge auch den Verlust von Kunden und/oder den des guten Rufes befürchten müssen. Grundsätzlich lässt sich sagen, das der Schlüssel zu vielen der Datenpannen die Verwundbarkeit von Web-Applikationen ist. Das Jahr 2011 wird als das Jahr des Sicherheitsverstoßes (Security Breach) charakterisiert. In den letzten Jahren ist die Anzahl von Datenpannen (Data Breach) im Gesundheitswesen ständig gestiegen. Die Einführung elektronischer Patientendaten-Systeme, die identifizierbare Personendaten speichern, scheinen das besondere Interesse der Internet-Kriminellen geweckt zu haben. Der Trend für diese Art von Bedrohung ist steigend. Seite 17 von 35

18 3.9 Roque- und Scareware Die Bedrohung durch Roqueware (von roque, engl. für "Schurke", "Spitzbube") besteht darin, dass Internet-Kriminelle ihre Opfer oft durch gezielte Beeinflussung mit einer scheinbar unbedingt erforderlichen Software ködern. Die Software selbst ist aber ein Fake (engl. für "Schwindel"). Ihr einziger Nutzen darin besteht, dass der Internet-Kriminelle seine bösartigen Absichten umsetzen kann. Bei Scareware (von scare, engl. für "Schreck") handelt es sich um eine spezielle Art von Roqueware, bei der falsche Alarme aus dem Sicherheitsbereich genutzt werden, um die Schadsoftware zu installieren. Abbildung 6: Gefälschte Sicherheitsmeldung 1 1 Quelle: Seite 18 von 35

19 Roqueware wird in den meisten Fällen als Freeware angeboten, wobei der Anwender schnell erkennen muss, dass die gewünschte Funktion nur über eine kostenpflichtige Vollversion zu realisieren ist. Und darin besteht der eigentliche Betrug: Sie kaufen ein Heilmittel für eine Krankheit, die Sie gar nicht haben. In der Regel entsteht durch diese Bedrohung "nur" ein finanzieller Schaden. In Summe kann dieser sehr hoch ausfallen, denn für die Aufforderung zur Installation der Freeware werden wiederum andere Bedrohungstechniken (Spam, Würmer, Drive-By-Downloads, soziale Netzwerke) genutzt. Aus dem Bereich von Roqueware stellt aufgrund von Aufklärungsarbeit nur noch Scareware ein großes Sicherheitsproblem dar. Das liegt auch daran, dass zur Verbreitung von Scareware neben den bereits zuvor genannten jetzt auch gezielt die sogenannte Search Engine Optimization (SEO) verwendet wird. Dabei locken häufig verwendete Suchbegriffen Nutzer zunächst über eine Suchmaschine auf eine Scareware-Webseite. Die Scareware-Website zeigt dem Opfer dann einen Bildschirm an, der aussieht, als würde ein Web-Scanner laufen. Windows-ähnliche Fenster oder kleine Popups zeigen sich und warnen vor Malware mit dem Hinweis, mit einer "Freeware" könne man sich Gewissheit verschaffen. Ein kurzer Klick (auf den einzig vorhandenen Button) und der nächste "Drive-By-Download" ist perfekt. Scripts auf der Scareware-Webseite versuchen dabei systembekanntes Verhalten nachzustellen (wie das seit Windows Vista typische Abdunkeln des Hintergrundes, wenn eine Zustimmung für eine Aktion erforderlich ist), um auf diese Art besonders vertrauensvoll zu wirken. Seite 19 von 35

20 Abbildung 7: Systemähnliche Präsentation soll Vertrauen erwecken 1 Vermehrt ist in jüngster Zeit eine weitere Bedrohung aufgetreten, die von Internet-Kriminellen als neues Geschäftsmodell entdeckt wurde. Das Verfahren ist wie oben beschrieben, allerdings wird anstatt der später kostenpflichtig zu erwerbenden Software-Vollversion eine Schadsoftware installiert. Diese Malware kryptografiert die Daten auf dem System. Der Nutzer kann den Schlüssel zum Entschlüsseln käuflich erwerben. Diese Software bezeichnet man als Ransomware (von ransom, engl. für "Lösegeld"). Alles in Allem ist der Trend dieser Bedrohung stabil. 1 Quelle: Seite 20 von 35

21 3.10 Spam Unter Spam versteht man die missbräuchliche Nutzung der -Technologie, bei der -Boxen mit unerwünschten Nachrichten "geflutet" werden. Das Versenden unerwünschter s erzeugt vergleichsweise geringen Zeitaufwand auf Seiten des Senders (nur schreiben), jedoch höheren Zeitaufwand auf Seiten des Empfängers (lesen, verstehen, evtl. weiterführende Aktionen) bzw. höheren Kosten auf Seiten des Service-Providers für Hardware und Infrastruktur. National und international koordinierte Aktivitäten (Zerschlagen großer Botnetze) resultierten in 2011 in einem signifikanten Rückgang von Spam-Aktivitäten. Dieser Trend setzte sich in 2012 fort. Unabhängig davon versuchen die Absender von Spammails mit immer überzeugenderen Inhalten zu trumpfen, wobei gefälschte Arzneimittel (Pharmazie Spam), Sex oder Partnervermittlung, Spielsucht Gegenstand dieser Art von s sind. Geschickt verschleiert kann man so sogar ungewollt zum Teilnehmer an kriminellen Aktivitäten werden. Von Spams sind am häufigsten der Bildungs-, Automobil-, öffentlicher und pharmazeutischer Sektor betroffen. Derzeit ist der Trend für diese Art von Bedrohung rückläufig Seite 21 von 35

22 4 Motivation für Angriffe Die Nutzung von IT ist für Unternehmen genauso risikoreich wie die Vielfalt und Anzahl der Bedrohungen. Ein Angriff auf die IT eines Unternehmens ist in den meisten Fällen kriminell motiviert und bringt nur dem Angreifer einen Nutzen. Direkte Auswirkungen der Bedrohungen sind Störungen im Ablauf von Geschäftsprozessen, Störungen der IT-Infrastruktur oder Verlust von geistigem Eigentum. Immer wichtiger werden jedoch die indirekten Auswirkungen wie die Haftung, wenn es zum Beispiel um die Verbreitung fragwürdigen (politischen oder sexuellen) Gedankenguts oder das Ausspähen persönlicher Daten geht. Wer aber sind die Angreifer (Threat Agents), von denen die Bedrohungen ausgehen? Hier zunächst der Versuch einer Definition für den Angreifer 1 : Ein Angreifer ist eine Person oder Sache, die derart agiert bzw. die Möglichkeiten dazu hat, dass eine Bedrohung ausgelöst, gefördert, übertragen oder unterstützt wird. Beispiele für mögliche Angreifer sind bösartige Hacker, organisierte Banden, Insider (inklusive System-Administratoren und Entwickler), Terroristen oder gar Staaten. In den folgenden Kapiteln wird versucht, die unterschiedlichen Typen von Angreifern sowie ihre Eigenschaften und Intentionen zu beschreiben. Da beide Faktoren einem Änderungsprozess unterliegen, ist ein kontinuierlicher Identifizierungsprozess unabdingbar. 4.1 Unternehmen Diese Art von Angreifern beschreibt Unternehmen, Organisationen oder Firmen, die sich mit offensiven Taktiken beschäftigen und/oder diese anwenden. Sie können als feindliche Angreifer betrachtet werden, deren Intension und Motivation es ist, sich einen Vorteil gegenüber dem Wettbewerb zu verschaffen. Je nach Größe und Sektor können diese Angreifer über signifikante Technologie- und Kompetenz-Ressourcen verfügen. 1 Quelle: Seite 22 von 35

23 4.2 Internet-Kriminelle Internet-Kriminelle oder Cyber-Kriminelle sind von Natur aus feindselig. Ihre Motivation ist der finanzielle Gewinn. Sie verfügen heutzutage über ein hohes Maß an IT-Kompetenz und setzen ausgeklügelte Angriffsmethoden ein. Dabei können Internet-Kriminelle durchaus lokal, national oder international organisiert und vernetzt sein. 4.3 Mitarbeiter Diese Kategorie umfasst die Belegschaft, Lieferanten, Außendienst-Mitarbeiter und Sicherheitsbediensteten eines Unternehmens. Sie alle können Zugriff auf die Mittel eines Unternehmens haben, wobei hier wird zwischen nicht-feindlichen (unbewusstes Handeln durch Fahrlässigkeit oder Unwissenheit) und feindlichen Angreifern (bewusstes Handeln bei Verärgerung oder Missachtung) unterschieden wird. Unabhängig von der Art des Handelns verfügen diese Angreifer über ausreichend Kenntnisse, um Angriffe gegen die Vermögenswerte des Unternehmens zu starten. 4.4 Hacktivisten Bei Hacktivisten handelt es sich um eine neuere Art von Angreifern. Sie sind sozial oder politisch motiviert und nutzen Computersysteme, um ihren Protest kundzutun und ihr Anliegen zu promoten. Normalweise richtet sich ihr Angriff auf bekannte Webseiten, Unternehmen, Nachrichtendienste und militärische Institutionen. 4.5 Staaten Staaten können über aggressives Angriffspotenzial verfügen und dieses möglicherweise im Rahmen eines Cyberkrieges gegen ihre Feinde einsetzen. 4.6 Terroristen Terroristen haben ihre Aktivitäten erweitert und engagieren sich inzwischen auch in Cyber- Angriffen. Diese Angriffe können politisch oder religiös motiviert sein. Je nach Kompetenz und Potenzial können die Angriffsszenarien durchaus von einfach bis komplex variieren. Bevorzugte Ziele der Cyber-Terroristen sind kritische Infrastrukturen wie das Gesundheitswesen, die Energieerzeu- Seite 23 von 35

24 gung oder die Telekommunikation, weil hier die Auswirkungen auf Regierung und Bevölkerung besonders groß sind. Allerdings sind trotz aller Analysen die Profile der Cyber-Terroristen derzeit noch etwas verschwommen. 4.7 Zuordnung von Angreifern und Bedrohungen Mit einem Auszug einer Abbildung aus der ENISA Threat Landscape 1 soll versucht werden darzustellen, welche Angreifer welche der zuvor beschriebenen Top-10-Bedrohungen einsetzen. Abbildung 8: Zuordnung von Angreifern und Top-10- Bedrohungen 1 Seite 24 von 35

25 5 Lösungen Um es vorwegzunehmen: es gibt keinen absoluten Schutz gegen die hier beschriebenen oder gegen alle übrigen Bedrohungen. Und: es gibt auch keine Universallösung, die grundsätzlich für jedes Unternehmen passt. Dennoch: Sämtliche etablierte oder zu etablierende IT-Sicherheitssysteme bringen mehr Nutzen als Schaden. Letzterer wird leider immer wieder erst dann erkannt, wenn das Kind bereits in den Brunnen gefallen ist. Durch die Dynamik und die immer intelligenter werdenden Bedrohungen wird es heute immer schwerer, einen Angriff zu erkennen und sich dagegen zu verteidigen. Für IT- Sicherheitskomponenten gilt das gleiche wie für alle anderen Sicherheitssysteme auch: Sie basieren zu einem Teil immer auch auf rückliegenden Erkenntnissen und können deshalb eher reagieren als (präventiv) agieren. Um der Dynamik und der Komplexität heutiger Bedrohungen gerecht zu werden, ist es von elementarer Bedeutung, die IT-Sicherheit nicht als Produkt, sondern als kontinuierlichen Prozess zu betrachten. Die Strategien und Konzepte dieses Prozesses sind ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben. Auch das BSI 1 empfiehlt in seinem BSI-Standard einen solchen Prozess. Um zu einem bedarfsgerechten Sicherheitsniveau für alle Geschäftsprozesse, Informationen und auch der IT- Systeme einer Institution zu kommen, ist laut BSI " mehr als das bloße Anschaffen von Antivirensoftware, Firewalls oder Datensicherungssystemen notwendig." Wichtig ist vielmehr "ein ganzheitliches Konzept", zudem "vor allem ein funktionierendes und in die Institution integriertes Sicherheitsmanagement [gehört]. Informationssicherheitsmanagement (oder kurz IS-Management) ist jener Teil des allgemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Anwendungen und IT-Systemen gewährleisten soll." Der vom BSI empfohlene Prozess ist in der nachfolgenden Abbildung dargestellt. 1 2 Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Vorgehensweise Seite 25 von 35

26 Abbildung 9: Phasen des Sicherheitsprozesses gem. BSI 1 "Antivirensoftware, Firewalls oder Datensicherungssysteme", von denen das BSI spricht, sind dennoch elementarer Bestandteil des Gesamtprozesses. In den folgenden Kapiteln werden deshalb Werkzeuge beschrieben, die einen Beitrag zur IT-Sicherheit leisten können. 1 Quelle: Seite 26 von 35

27 5.1 Aufklärung Einer der wichtigsten Beiträge, den man für die Netzwerksicherheit leisten kann, ist die Aufklärung der Mitarbeiter. Trotz aller Informationen in den öffentlichen Medien lassen viele Nutzer von IT leider immer noch nicht die notwendige Sorgfalt im Umgang mit dieser walten. Dabei ist nicht zwingend ein feindliches Ansinnen vorhanden, vielmehr liegt der mögliche Schaden oft in der Unwissenheit begründet (vgl. Kapitel 4.3). Von daher ist die Einbeziehung der Mitarbeiter in den Sicherheitsprozess genauso wichtig wie das Leben des Prozesses. Verdeutlichen Sie Ihren Mitarbeitern, dass Sie als Unternehmen in der Haftung sind und dass der eigentliche Schaden u.u. viel weitreichendere Folgen hat. Daraus können nicht nur für den Verursacher Konsequenzen resultieren (vgl. Kapitel 2). Deshalb ist die Vermittlung von Mitverantwortung ein wichtiger Aspekt. 5.2 Konzept und Richtlinien Machen Sie sich vor der Umsetzung von IT-Sicherheit (Cyber-Security) Gedanken, wie Sie die Umsetzung mit Ihrem Workflow am besten vereinbaren können. Schreiben Sie dieses in einem Konzept fest, so dass die erforderliche Transparenz für alle Mitarbeiter gegeben ist. Die Definition von Richtlinien, den sogenannten Policies, sorgt für Klarheit und Eindeutigkeit. Beziehen Sie Ihre Mitarbeiter aktiv in den Prozess mit ein, um in jedem Fall den optimalen Workflow sicherzustellen und für die erforderliche Akzeptanz zu sorgen. Versuchen Sie, die Kommunikation und die Verwendung von Applikationen auf das minimal Erforderliche zu beschränken. Brechen Sie die erforderlichen Aktivitäten und den Zugriff auf bestimmte Systeme auf den kleinstmöglichen gemeinsamen Nenner herunter, um so die größtmögliche Sicherheit zu gewährleisten. Hierzu empfiehlt BSI in ihrem Grundschutzstandard die Einrichtung von Sicherheitszonen zur Trennung von Bereichen mit unterschiedlichem Schutzbedarf (solche Sicherheitszonen können sowohl räumlich, als auch technisch oder personell ausgeprägt sein). Erstellen Sie in jedem Fall das Konzept bevor Sie sich an die Umsetzung machen. Nur so können Sie sicherstellten, dass Sie Ihr Konzept mit der für die Umsetzung erforderlichen Hardware auch optimal realisieren. Seien Sie bei der Erstellung des Sicherheitskonzepts eher paranoid als unbedarft und vertrauensvoll. Seite 27 von 35

28 5.3 Tools zur Verschlüsselung Versuchen Sie, Tools zur Verschlüsselung zu nutzen, wo immer es geht, und schreiben Sie die Nutzung in den Policies fest. Verschlüsselung ist ein Mittel, mit dem man die Unternehmenswerte auf einfache Weise schützen kann. Das gilt sowohl für den Bereich der Datensicherung (was andere nicht lesen können, hilft ihnen nichts) als auch für den Bereich der Kommunikation (was andere nicht mitbekommen, kann Ihnen einen entscheidenden Wettbewerbsvorteil bringen). 5.4 Hardware Der Einsatz von Hardware ist für die Umsetzung eines Sicherheitskonzeptes unumgänglich. Das Angebot ist vielfältig und oftmals auch kostenintensiv. Empfehlenswert ist deshalb eine Risikobetrachtung innerhalb des Konzeptes, um zu einer möglichst wirtschaftlichen Lösung zu kommen. "Viel hilft viel" muss an dieser Stelle nicht zwangsläufig richtig sein. Versuchen Sie vielmehr, die Anforderungen an eine bestimmte Hardware so detailliert wie möglich zu definieren, so dass Sie zumindest die Minimalanforderungen abdecken können. Im Internet findet man hierzu bereits hilfreiche Checklisten. Trotzdem man muss sich darüber im Klaren sein, dass selbst die teuerste Hardware keine absolute Sicherheit bietet. Aber wenn Sie den vermeintlich hohen Preis für die Hardware im Rahmen der Risikoabschätzung einem möglichen finanziellen Schaden gegenüberstellen, kann sich dieser schnell relativieren. Betrachten Sie aber nicht nur den Preis für die Hardware allein, sondern berücksichtigen Sie auch, dass die erforderlichen Ressourcen für Konfiguration, Analyse und Wartung der Hardware bereitgestellt werden müssen. IT-Sicherheit ist ein sehr komplexer Bereich und erzeugt einen nicht zu unterschätzenden Aufwand. In den folgenden Kapiteln werden beispielhaft mögliche Komponenten aus dem Bereich der IT- Sicherheit beschrieben Firewall Eine Firewall (englisch für "Brandwand") ist ein softwarebasiertes Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt und somit ein Teilaspekt des Sicherheitskonzepts. In Abhängigkeit davon, ob ein gesamtes Netzwerk oder eine einzelne Komponente geschützt werden soll, unterscheidet man zwischen externer (Netzwerk) oder personal (englisch für "persönlich") bzw. Desktop Firewall (Einzelkomponente). Seite 28 von 35

29 Da externe Firewalls auf einer separaten Plattform laufen sind sie wesentlich performanter, weil sie sich ausschließlich mit Sicherheitsaufgaben befassen. In ihrer ursprünglichen Funktion bestand die Aufgabe einer Firewall ausschließlich darin, die Regeln für die Netzwerk-Kommunikation umzusetzen, nicht aber Angriffe auf das Netzwerk zu erkennen. Bei den heute eingesetzten Firewalls trifft das nur noch bedingt zu, weil der Begriff Firewall oftmals für ein modulares Sicherheitssystem verwendet wird. Einzelne Module dieses Sicherheitssystems können neben dem eigentlichen Regelwerk Web- oder Inhaltsfilter, Schadsoftware- und Viruserkennung, Angriffserkennung (Intrusion Detection) und - verhinderung (Intrusion Prevention) oder VPN-Terminierung (Virtual Privat Network, englisch für "virtuelles privates Netzwerk") sein. Sind mehrere dieser Module auf einer einzigen Hardware-Plattform zusammengefasst und zentral zu managen, spricht man von einer UTM (Unified Threat Management, englisch für "vereinheitlichtes Bedrohungsmanagement") Appliance oder einer UTM Firewall. Ist das nicht der Fall und ein Modul befindet sich auf einer separaten Plattform, spricht man dagegen von einer Spezialized Security Appliance (SSA). Immer häufiger findet man heute auch die Begriffe Next Generation oder Next Generation Network (NGN) Firewall, wobei hierfür keine eindeutige Definition existiert. Viele der etablierten Hersteller von Firewalls bezeichnen ihre um ein zusätzliches Applikationserkennungsmodul ergänzte UTM Firewall als NGN Firewall. Dabei wird einfach eine zusätzliche Kontrollinstanz hinter die bereits vorhandenen geschaltet (Daisy-Chain Prinzip, englisch für "in Reihe geschaltet"). Das ist technologisch gesehen keine wirkliche Neuerung und insofern zumindest fragwürdig, ob man in diesem Fall von einer neuen Firewall-Generation sprechen kann. Andere Hersteller wiederum setzen ein völlig neues Firewall-Konzept. Hierbei muss keine (durch das Daisy-Chain Prinzip) bedingte Mehrfachanalyse mehr durchgeführt werden. Stattdessen kommt eine sogenannte Single-Pass-Engine (englisch für "Maschine mit einem einzigen Arbeitsschritt") zum Einsatz, die die erforderliche Analyse nur einmal für alle Sicherheitsmodule durchführt. Das Ergebnis wirkt sich in einer deutlich höheren Performance aus. Aufgrund der zuvor beschriebenen unterschiedlichen Firewall Verfahren ist zu prüfen, ob der erforderliche Firewall-Durchsatz auch unter Lastbedingungen (d.h. bei Verwendung aller erforderlichen Sicherheitsmodule) erreicht werden kann. Um einen möglichst hohen Sicherheitsgrad zu erreichen, sollte mit der eingesetzten Firewall ein Zonenkonzept umgesetzt werden (vgl. Kapitel 5.2). In jedem Fall sollte die Firewall aber über eine Applikationserkennung und eine sogenannte SPI (Stateful Packet Inspection, englisch für "zustandsorientierte Paketüberprüfung") verfügen. Seite 29 von 35

30 Bei der Applikationserkennung werden die unterschiedlichen Applikationen nicht anhand des von der Applikation genutzten Ports, sondern anhand des genutzten Protokolls identifiziert und klassifiziert. Das ist in puncto IT-Sicherheit insofern von Bedeutung, weil die Applikationen zunehmend intelligenter werden und dynamisch ihren Port ändern können sobald sie feststellen, dass eine höhere Instanz (in diesem Fall die Firewall) versucht, sie in ihrem Funktionsumfang einzuschränken 1. Unter SPI versteht man eine dynamische Paketfiltertechnik, bei der jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird. Dabei werden die Datenpakete analysiert und in dynamischen Zustandstabellen gespeichert, so dass der Verbindungsstatus in die Entscheidung, ob ein Paket verworfen werden soll oder nicht, einbezogen werden kann. Firewalls mit SPI-Technik sind daher in sicherheitsrelevanten Anwendungen den reinen Paketfilter-Firewalls überlegen. Bei reinen Paketfilter Firewall können die vermeintlichen Ziele mit den vermeintlichen Quellen kommunizieren, ohne eine explizite Anfrage erhalten zu haben. Sind personell ausgeprägte Zonenkonzepte zu berücksichtigen, sollte die Firewall außerdem die Erstellung Benutzer- oder Benutzergruppen-spezifischer Regeln unter Berücksichtigung einer dynamischen IP-Adressvergabe per DHCP (Dynamic Host Configuration Protocol, englisch für "dynamisches Host Konfigurationsprotokoll") zulassen. Beim Einsatz von DHCP legt ein Server die Netzwerkkonfiguration (IP Adresse) des Client nach dessen Anmeldung fest. Da die IP-Adresse dynamisch vergeben wird und somit variieren kann, kann ein Benutzer nicht mehr zuverlässig anhand einer bestimmten IP-Adresse im Netz identifiziert werden. Kann die Firewall jedoch mit dem Server, der einem Benutzer seine IP-Adresse dynamisch zuweist, kommunizieren, so kann die Firewall intern eine benutzerspezifische in eine adressenbezogene Regel umsetzen Intrusion Detection und Intrusion Prevention Ein IDS (Intrusion Detection System, englisch für "Einbruchmeldeanlage") ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Computernetz gerichtet sind. Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken erhöhen. Unterschieden werden beim IDS hostbasierte IDS (HIDS, auf 1 Die Fähigkeit einer Applikation seinen Port zu ändern ist eine Verschleierungstechnik, die als Port Hopping (englisch für "Portwechsel") bezeichnet wird. Neben Schadprogrammen beherrschen auch allgemein gebräuchliche Applikationen wie Skype oder AOL Instant Messanger diese Technik Seite 30 von 35

31 der lokalen Maschine), netzwerkbasierte IDS (NIDS, für ein Netzwerksegment) und hybride Systeme, die beide Prinzipien verbinden. Beim HIDS ist darauf zu achten, dass es zu dem verwendeten Betriebssystem passt. Seine Informationen erhält das HIDS aus Log-, Kernel- und Systemdaten (z.b. der Registry). Das HIDS sendet einen Alarm, sobald es aus den überwachten Daten einen vermeintlichen Angriff erkennt. Nachteil dieses Systems ist, dass das HIDS durch DoS-Attacken (vgl. Kapitel 3.6) auszuhebeln ist und lahmgelegt ist, wenn das darunterliegende Betriebssystem außer Kraft gesetzt wurde. Vorteil eines HIDS ist, dass es sehr spezifische Aussagen über einen Angriff liefert und ein einzelnes System umfassend überwachen kann. Im Gegensatz zum HIDS versucht ein NIDS alle Pakete im überwachten Netzwerk aufzuzeichnen und zu analysieren. Zusätzlich dazu versucht das IDS außerdem aus dem Netzwerkverkehr Angriffsmuster zu erkennen (Anomalie Erkennung auf Basis einer statischen Analyse). Wie das HIDS auch setzt das NIDS einen Alarm ab, sobald es verdächtige Aktivitäten zu erkennen meint. Nachteil des NIDS ist, dass es bedingt durch die Überwachung eines Netzwerkes über eine sehr hohe Performance verfügen muss. Wird die maximal vom NIDS zu verarbeitende Bandbreite überschritten, kann keine lückenlose Überwachung mehr sichergestellt werden. Gleiches kann gelten, wenn ein einzelnes NIDS in einem geswitchten Netzwerk eingesetzt wird, weil es dort u.u. nicht den vollständigen Netzwerkverkehr analysieren kann. Abhilfe könnte in diesem die Nutzung des Mirrorports eines Switches sein. Vorteil dieses Systems ist, neben einem einzigen erforderlichen Sensor für das gesamte Netzwerk, dass es auch dann noch funktioniert, wenn einzelne Zielsystem nicht aktiv (ausgeschaltet) sind. Das hybride IDS wird zu einer möglichst optimalen Überwachung eingesetzt und ist eine Kombination aus HIDS und NIDS. Es besteht sowohl aus host- als auch aus netzwerkbasierten Sensoren und einem übergeordneten Managementsystem. Die zwei vom IDS genutzten Verfahren (Signaturvergleich und statistische Analyse) erfordert eine hohe Rechenleistung. Die folgende Abbildung verdeutlicht, das für die Signaturanalyse der Inhalt jedes Paketes gegen die unterschiedlichsten in einer Datenbank abgelegten Patternmuster abgeglichen werden muss. Je mehr verschiedene Patternmuster in der Datenbank vorhanden sind, umso zeitaufwendiger der Vergleich. Seite 31 von 35

32 Abbildung 10: Prinzipielle Funktion eines IDS Anhand der obigen Abbildung wird der kritische Punkt sofort deutlich: Je mehr Pakete den Sensor passieren und je mehr Patternmuster verglichen werden müssen, umso größer wird der Aufwand. Wenn der Aufwand zu groß werden sollte schaffst es das IDS nicht mehr, alle Pakete zu prüfen. Damit ist die Prüfung lückenhaft, es entstehen Sicherheitslöcher. Einige IPS verwenden heuristische Methoden, um auch bisher nicht bekannte Angriffsmethoden entdecken zu können. Allerdings sind in der Praxis signaturbasierte IDS deutlich mehr verbreitet. Ein Grund hierfür ist, dass ihr Verhalten einfacher vorherzusehen ist. Ein IPS (Intrusion Prevention System, englisch für wörtlich "Einbruchverhinderungssystem") arbeitet nach dem gleichen Prinzip wie ein IDS. Anstatt jedoch wie das IDS nur einen Alarm zu generieren, kann das IPS aktiv in den Netzwerkverkehr eingreifen (indem es z.b. einzelne Pakete verwirft oder ganze Leitungen unterbricht). Die eigentliche Schwierigkeit bei IDS und IPS ist das sehr aufwendige "Fine-Tuning". Im praktischen Einsatz zeigt sich nämlich sehr häufig, dass entweder viele falsche Warnungen (sog. false positives, englisch für "falsches positives Ergebnis") generiert werden oder aber einige Angriffe gar nicht erst entdeckt werden (sog. false negatives, englisch für "falsches negatives Ergebnis"). Seite 32 von 35