Wirtschaftsspionage. special. IT-Security. SecuMedia. Tools und Taktiken gegen. APT-Abwehr: Erkennen Eingrenzen Ausräuchern S. 12

Transkript

1 Verlagsbeilage, Mai 2014 Die Zeitschrift für Informations-Sicherheit special APT-Abwehr: Erkennen Eingrenzen Ausräuchern S. 12 IT-Security Mobile Security: VPNs schützen Verbindungen S. 24 Tools und Taktiken gegen Wirtschaftsspionage SecuMedia Uroburos: Analyse der komplexen Malware S. 5

2 HARMLOS? * * Klein muss nicht harmlos sein. Jede zweite App sendet ungefragt Daten. 1 Schutz vor Datenverlust und Spionage Das Trusted App Directory für sichere Smartphones und Tablets in Unternehmen. Jetzt kostenlosen Demo- Zugang anfordern. Mitglied der 1 Aktuelles Ergebnis aus über Tests von mediatest digital, Stand März 2014

3 Editorial Wirtschaftsspionage: Gefahren nehmen zu Cyber-Angriffe sind für viele deutsche Unternehmen eine reale Bedrohung. Gerade der innovative deutsche Mittelstand weiß, wie begehrt sein Know-how ist und wie hoch daher das Risiko, Opfer eines Angriffs zu werden. Den Angreifern geht es dabei meist darum, vertrauliche Informationen auszuspionieren oder, beispielsweise durch Erpressung, direkte finanzielle Gewinne abzuschöpfen. Doch auch die Sabotage von Infrastrukturen oder Geschäftsprozessen kann Motiv für einen Cyberangriff sein. Mitherausgeber Durch die globale Vernetzung genießen Unternehmen und ihre Kunden unbestritten viele Vorteile. Klar ist aber auch, dass sich dadurch die mögliche Angriffsfläche für IT-gestützte Wirtschaftsspionage enorm vergrößert hat. Die Geschwindigkeit, mit der sich Täter an neue Technologien, Prozesse und Sicherheitsmechanismen anpassen, wächst. Hier Schritt zu halten und die eigenen präventiven und reaktiven Vorkehrungen stetig nachzujustieren, ist eine Herausforderung für Unternehmen. Ein umfassender Schutz gegen Angriffe auf die eigene IT wird dadurch erschwert, dass zunehmend auch die Sicherheit mobiler Geräte wie Smartphones berücksichtigt werden muss. Unternehmen und Organisationen sollten sich dieser Risiken bewusst sein und präventive Maßnahmen ergreifen, um Wirtschaftsspionage vorzubeugen. Je abhängiger das Unternehmen von einem funktionierenden IT-System ist, je sensibler seine Daten in der IT sind, desto höher sollten auch die Investitionen in ein IT- Sicherheitsmanagement sein. Sicherheit sollte dabei nicht statisch, sondern als Prozess verstanden werden. Daher ist es wichtig, ein effizientes IT-Sicherheitskonzept zu erarbeiten, beispielsweise auf Basis des IT-Grundschutzes des BSI, und ausreichend in die IT- Sicherheitsinfrastruktur zu investieren. Der Staat unterstützt Unternehmen, indem er geeignete Rahmenbedingungen für mehr IT-Sicherheit in der Wirtschaft schafft und Hilfe im Kampf gegen Wirtschaftsspionage anbietet. Hier setzt die 2012 von BSI und BITKOM gegründete Allianz für Cyber-Sicherheit an. Sie hat das Ziel, aktuelle Informationen zur Cyber-Sicherheit in Deutschland bereitzustellen sowie konkrete Hilfestellungen zu geben und zu vermitteln. Nur in enger Zusammenarbeit wird es gelingen, Wirtschaftsspionage vorzubeugen und eine Beeinträchtigung der Leistungsfähigkeit des Standortes Deutschland zu verhindern. Eine anregende Lektüre wünscht Ihnen Ihr Michael Hange Präsident des Bundesamtes für Sicherheit in der Informationstechnik Security made simple. 3

4 Inhalt Verschlüsselung SINA: Hochsichere Kryptolösungen Mit der SINA-Technologie können sensible Informationen sicher bearbeitet, gespeichert, übermittelt und so vor Spionen geschützt werden. Neu im Programm ist das SINA-Tablet. Seite 18 Bedrohung Uroburos: Angriff auf die Großen Vor allem Hochsicherheitsnetze sind das Ziel einer neu entdeckten Malware mit dem Namen Uroburos. Unser Beitrag analysiert die Malware. Seite 5 Warum Cyberkriminalität so hohe Kosten verursacht Im Interview berichtet Sicherheitsexperte Dr. Larry Ponemon über die Ursachen des Kostenanstiegs bei der Bekämpfung von Cyberkriminalität. Seite 8 Maßnahmen gegen Advanced Persistent Threats Unser Beitrag beschreibt, warum Advanced Persistent Threats (APTs) so gefährlich sind und wie man ihnen begegnen kann. Seite 12 Spionage ist das zweitälteste Gewerbe der Welt In Zeiten des Medienhypes über Snowden, PRISM, NSA & Co. meinen viele Unternehmen, gerade von einer Spionagewelle überrollt zu werden. Doch ist dieses Thema wirklich nur heute aktuell? Seite 38 IT-Security-Management Bausteine zur App-Sicherheit Mit einem Mobile-Application-Management lassen sich Apps auf betrieblich genutzten Smartphones und Tablets nach Unternehmensrichtlinien absichern. Seite 14 UTM statt Chaos Unified-Threat-Management-(UTM)-Lösungen bieten ein All-in-one-Sicherheitspaket, das relativ einfach zu bedienen ist und gleichzeitig Enterprise-Funktionen bereitstellt. Seite 16 ReCoBS sperrt Spione aus ReCoB-Systeme trennen Webbrowser physisch von den Anwender-PCs. Eine Lösung, die auch im industriellen Umfeld vor Lauschangriffen schützt. Seite 28 Verschlüsselung für optische Datenverbindungen Wirtschaftsspione können optische Datenverbindungen leicht abhören. Eine fingierte Baustelle und ein Biegekoppler reichen aus. Seite 22 VPNs schützen mobile Endgeräte Schlüssige VPN-Konzepte können Daten auf Smartphone und Tablet schützen und dem Administrator einen großen Teil der Sorge abnehmen. Seite 24 Sicherer Dokumentenaustausch in der Cloud Eignet sich die Datei-, Container- oder Verzeichnisverschlüsselung am besten für den Austausch mit cloudbasierten Diensten? Seite 34 Geschlossene Gesellschaft Unternehmen können ihren -Verkehr heute mit Secure -Gateways verschlüsseln. Seite 32 Sicher telefonieren mit der Vodafone Secure Call -App Neben dem abhörsicheren Kanzler-Phone bietet das Düsseldorfer Unternehmen Secusmart gemeinsam mit Vodafone nun eine App zur Sprachverschlüsselung an. Seite 40 Impressum SecuMedia Verlags-GmbH Postanschrift: Postfach 12 34, Ingelheim (DE) Hausanschrift: Lise-Meitner-Straße 4, Gau-Algesheim (DE) Telefon , Fax info@secumedia.de, Web: Beteiligungsverhältnisse (Angabe gem. 9, Abs. 4 Landesmedienges. RLP): Gesellschafter zu je 1/6 sind Gerlinde Hohl, Klaus-Peter Hohl, Peter Hohl (GF), Veronika Laufersweiler, Nina Malchus (GF), Steffi Petersen Handelsregister AG Mainz HRB Herausgeber: Peter Hohl Redaktion: Sebastian Frank (verantw. f. d. red. Teil) Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel , anzeigenleitung@secumedia.de Satz: BlackArt Werbestudio, Stromberger Straße 47, Weiler bei Bingen Druck: Druckerei Raisch GmbH + Co. KG, Reutlingen Bildnachweis Titelbild: AXA AG Alle Rechte vorbehalten, auch die des auszugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikrofilm und andere Verfahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. 4 SecuMedia Verlags-GmbH Ingelheim <kes> Special Wirtschaftsspionage April 2014

5 Bedrohung Angriff auf die Großen Uroburos - Wenn der Drache unerkannt geheime Daten ausspioniert Vor allem Hochsicherheitsnetze sind das Ziel einer neu entdeckten Malware mit dem Namen Uroburos. Dabei handelt es sich um ein Rootkit, das autonom arbeitet und sich selbstständig in den infizierten Netzwerken verbreitet. Uroburos ist wahrscheinlich eine wohl auf lange Sicht hin angelegte, ausbaufähige Cyberspionage-Kampagne. Unser Beitrag analysiert die Malware. Von Thorsten Urbanski, G Data und Christine Schonschek, freie Journalistin Uroburos ist eine hochkomplexe Schadsoftware, die nicht nur in der Lage ist, Daten zu stehlen, sondern auch Rechner unerkannt unter seine Kontrolle bringt und für eigene Zwecke missbraucht. Durch den modularen Aufbau lässt der Schadcode Erweiterungen und damit neue Schadfunktionen zu. Entdeckt, analysiert und benannt wurde Uroburos von Sicherheitsexperten von G Data. Vermutlich gibt es die Schadsoftware schon seit drei Jahren. Denn bei der Analyse wurde ein Treiber entdeckt, der bereits 2011 kompiliert worden ist. Die Sicherheitsforscher von G Data haben fast ein Jahr für die Analyse der Malware gebraucht. Von anderen IT-Experten wird Uroburos auch als Turla oder Snake bezeichnet. Seine Entdecker haben die heimtückische Schadsoftware nach einer Bezeichnung im Quellcode Uroburos benannt. Dieser Begriff steht in der griechischen Mythologie als Bildsymbol für eine Schlange oder auch einen Drachen, der sich selbst in den eigenen Schwanz beißt. Dieser sogenannte Schwanzverzehrer wird als geschlossener Ring dargestellt und als autonomes Wesen beschrieben. Und gerade diese Definition des Uroburos passt zu der gleichnamigen Schadsoftware, denn sie arbeitet ebenfalls sehr eigenständig. Angriff gilt den Großen Wie die Analysen ergeben haben, gehört zum Beuteschema der Angreifer nicht der einfache Internetnutzer. Denn dafür wäre der Aufwand für die Entwicklung dieses Schadprogramms viel zu hoch gewesen. Der Angriff gilt vielmehr ganz gezielt den Großen. Die Schadcode-Entwickler wollen damit in High-Potential-Netzwerke eindringen, wie sie Großunternehmen, bei Nachrichtendiensten, in staatlichen Einrichtungen oder vergleichbaren Organisationen vorkommen. Dort setzt die Malware alles daran, geheime sowie hochsensible Daten auszuspähen und ermöglicht dem Angreifer die Kontrolle über den infizierten Rechner. Aus technischer Sicht betrachtet handelt es sich bei Uroburos um ein Rootkit. Diese Art von Virus nistet sich tief in das Betriebssystem ein und kann nur schwer entdeckt und wieder entfernt werden. Das ist an sich nicht weiter verwunderlich, denn entwickelt werden konnte das hochkomplexe Spionageprogramm vermutlich nur mit einem enormen Aufwand. Dahinter steckt wahrscheinlich ein ganzes Entwickler- Team, welches mit einer ausgefeilten Infrastruktur ausgerüstet ist. Das sind auch die Gründe, weshalb die Experten von G Data einen Geheimdienst als Ursprung vermuten. Vergleicht man Details wie Verschlüsselung, Dateinamen und Verhalten der Software, so ergibt sich der Verdacht, dass das Rootkit den gleichen Ursprung hat wie eine im Jahr 2008 durchgeführte Cyberattacke. Damals wurden mit dem Schadprogramm Agent.BTZ die USA angegriffen. Eingeschleust wurde dieser Virus seinerzeit in das Netzwerk des Pentagons wahrscheinlich über einen USB-Stick. Die amerikanischen Streitkräfte hatten, US-Medien zufolge, Monate gebraucht, um die betroffenen Rechner wieder von dem 5

6 Bedrohung Schädling zu befreien. Hinweisen zufolge sprechen die Drahtzieher beider Schadprogramme russisch. Der Verdacht, dass die beiden Schadprogramme aus derselben Quelle stammen, erhärtet sich auch in einem weiteren Punkt: Der Supervirus Uroburos prüft zunächst den Rechner ab, ob sich darauf bereits der Agent. BTZ befindet. Computer, die damit infiziert sind, werden nicht befallen. Modular aufgebautes Programm Das Rootkit Uroburos setzt sich zusammen aus zwei Dateien: dem Treiber, der unter anderem dafür sorgt, dass die Software unerkannt bleibt, und einem verschlüsselten virtuellen Dateisystem. Diese Schadsoftware ermöglicht es dem Angreifer, eine Kontrolle über den infizierten Rechner zu erlangen, um im Anschluss beliebige Programmcodes auf dem PC ausführen zu können. Diese Systemaktivitäten laufen versteckt ab, der Anwender bekommt davon nichts mit. Außerdem kann Uroburos auch den Netzwerkdatenverkehr mitprotokollieren und Daten entwenden. Das Schadprogramm ist modular aufgebaut. Dadurch ist der Angreifer in der Lage, das Spionageprogramm um neue Funktionen zu erweitern. Bedrohlich ist außerdem die Tatsache, dass Uroburos sich ein eigenes Netzwerk aufbauen kann. Über den Peer to Peer -Modus verbindet die Schadsoftware infizierte Computer miteinander. Dadurch sind die befallenen Computer in der Lage, untereinander zu kommunizieren. Dafür reicht es aus, dass nur ein einziger PC direkt mit dem Internet verbunden ist. Über diesen Rechner kann der Angreifer weitere Computer im Netzwerk infizieren, um sie unter seine Kontrolle zu bringen. Das Rootkit kann alle infizierten Rechner im Netz für seine Spionageattacken nutzen. Die von den Rechnern ohne Internetverbindung ausgespähten Daten werden über das eigene Netzwerk an einen Rechner mit Internetverbindung weitergeleitet und gelangen so in die Hände des Angreifers. Von alldem bekommt der PC-Nutzer jedoch nichts mit, da weder Antivirenprogramme darauf hinweisen noch die handelsübliche Firewall etwas dagegen ausrichten kann. Systematisch ausgespäht werden können mit Uroburos ganze Netzwerke, die auf Microsoft Windows-Systemen basieren. Schutzmechanismen werden überwunden Wie wird ein High-Profile- Netzwerk mit dem Supervirus Uroburos infiziert? Dieser Frage sind die G Data Experten nachgegangen. Zunächst konnte es nicht weiter eingegrenzt werden, als dass das Rootkit über verschiedene Wege eingeschleppt werden kann. Als mögliche Infektionsquellen können Social Engineering Attacken, Driveby-Downloads oder auch Spear- Phishing angenommen werden. Die Schadcode-Entwickler machen sich eine Kombination aus Techniken zunutze, mit deren Hilfe die mutmaßliche Geheimdienstsoftware zentrale Sicherheitsmechanismen im Kern von Windows 64-Bit-Systemen, dem sogenannten Kernel, überwinden kann. Wurde Uroburos einmal auf einen Rechner eingeschleppt, kann er die Kernel Patch Protection überwinden. Diese wird auch als PatchGuard bezeichnet. Damit wird das Herzstück eines Windows 64-Bit-Betriebssystems abgesichert und soll Veränderungen am System verhindern. Weil es sich bei Rootkits meist um Treiber handelt, die im Kernelraum arbeiten, hat sich Microsoft etwas überlegt, um diese Art der Malware zu bekämpfen. Die 64-Bit-Versionen von Windows Vista und neueren Betriebssystemen unterliegen dem Treibersignierungszwang. Das heißt, damit ein Treiber geladen werden kann, muss die Systemdatei eine Signatur von einem authentifizierten Herausgeber haben. Während der Testphase können Entwickler dies deaktivieren, um nicht jede kompilierte Treiberversion signieren zu müssen. Um den Zwang zur Treibersignatur zu deaktivieren, haben die Schadcode-Entwickler neue Techniken genutzt. Die Richtlinie konnte dadurch ausgeschaltet werden, indem eine Sicherheitslücke von einem ordnungsgemäß signierten Treiber ausgenutzt worden ist: Der Schadcode ist in der Lage, den Kernel so zu manipulieren, um ihn in den Test-Modus zu versetzen, und zwar ungeachtet dessen, dass beim Systemstart der Testmodus deaktiviert war. Dadurch wird dem Rootkit Tür und Tor geöffnet, sich im Betriebssystem einzunisten, weil im Testmodus der Rootkit-Treiber unbemerkt geladen werden kann. Es wird vom Betriebssystem als valider Systemtreiber akzeptiert. Wie die raffinierte Malware Uroburos zeigt, hat auch das Signaturverfahren seine Grenzen: Normalerweise wird die Gültigkeit einer Signatur so datiert, dass sie erst mehrere Jahre nach der Erstellung abläuft. Werden Sicherheitslücken entdeckt, wird ein Patch bereitgestellt. Da die alte Binärdatei dann aber immer noch verfügbar und gültig ist, müsste in einem solchen Fall das Zertifikat sowohl widerrufen als auch auf die Zertifikatsperrliste (CRL) gesetzt werden. Um diese Sperrliste überhaupt prüfen zu können, benötigt das System einen Zugang dazu. Da vom Uroburos aber auch Rechner ohne direkten Internetzugang infiziert werden können, dürfte gerade diese Überprüfung schwierig sein. Auf seinem Sicherheitsblog stellt G Data einen Report über die technische Analyse der Malware Uroburos zum Download bereit. n 6

7 Warum die Dose? Gehen Sie bei Ihren Daten doch auf Nummer sicher. OUT: Sicherheit aus der Dose IN: Sicherheit made in Germany Remote Access VPN-Lösungen für Profis: Läuft es gut, steht NCP drauf. Sicherheit made in Germany setzt auch in Sachen Mobility auf Benutzerfreundlichkeit und Wirtschaftlichkeit. Next Generation Network Access Technology

8 Bedrohung Interview mit Dr. Larry Ponemon Warum Cyberkriminalität so hohe Kosten verursacht Seit der erstmaligen Veröffentlichung der Studie Cost of Cyber Crime des Ponemon Institutes vor vier Jahren sind die jährlichen Kosten zur Bekämpfung der Cyberkriminalität um 78 Prozent gestiegen. Sicherheitsexperte Dr. Larry Ponemon berichtet im Interview über die Ursachen des Kostenanstiegs und mit welchen Strategien sich diese Entwicklung aufhalten lässt. SecuMedia: Die aktuelle Studie zeigt, dass die Kosten zur Bekämpfung der Cyberkriminalität im Jahresvergleich um 30 Prozent gestiegen sind. Was sind die Ursachen hierfür? Ponemon: Cyberkriminelle agieren heute weit intelligenter als früher. Ihre Attacken sind ausgefeilter geworden und daher schwieriger zu erkennen. Zudem sind die Angriffe nun eher langfristig ausgelegt. Es ist schwer, solchen Attacken entgegenzuwirken. Außerdem sind neue gesetzliche Bestimmungen und Compliancevorgaben die Ursache für steigende Kosten. Insbesondere in stark regulierten Branchen, wie zum Beispiel bei den Finanzdienstleistern, müssen Unternehmen einen höheren Aufwand betreiben, um nachzuweisen, dass sie Sicherheitskonzepte proaktiv umsetzen. Sie müssen auf Herausforderungen reagieren und dabei modernste Untersuchungsmethoden, effizientere Erkennungsmechanismen und bessere Sicherheitsverfahren einsetzen. Als wir vor vier Jahren diese Analyse zum ersten Mal durchführten, war erkennbar, dass einige Unternehmen bei den Erkennungsmechanismen und Untersuchungsmethoden zu wenig taten. Jetzt ist zu sehen, dass nur noch sehr wenige Unterneh- men sorglos mit dieser Problematik umgehen und sich Untersuchungen im Vorfeld nach wie vor verweigern. Auch das trägt zum Kostenanstieg bei. SecuMedia: Werden die Kosten weiter steigen? Ponemon: Mein Bauchgefühl sagt mir, dass sich die Ausgaben in nächster Zeit nicht stabilisieren werden. Es gibt mittlerweile Möglichkeiten zur Absicherung der IT, die es früher nicht gab, wie beispielsweise Techniken zur Erfassung und Auswertung von Sicherheitsdaten. SIEM ist ein gutes Beispiel hierfür. Es gibt jedoch noch andere, beispielsweise Big-Data-Analysetechnologie, mit denen Spezialisten Problemstellungen besser verstehen können. Ich sage nicht, dass wir durch diese neuen Möglichkeiten mit einer Steigerung um 20 oder 30 Prozent pro Jahr rechnen müssen. Aber ich gehe davon aus, dass wir kurzfristig mit einem weiteren Kostenanstieg rechnen können. Diese Entwicklung wird abflachen, da immer mehr Unternehmen geeignete leistungsfähige Technologien einsetzen. Auf lange Sicht werden die Kosten zurückgehen, da die Unternehmen auf Cyberkriminalität besser vorbereitet sein werden. Larry Ponemon, Ph.D., ist Vorsitzender und Gründer des Ponemon Instituts, einem Think Tank zur Förderung des Datenschutzes. Zudem ist er außerordentlicher Professor für Ethik und Datenschutz am CIO-Institute der Carnegie Mellon University. SecuMedia: Wie sieht eine effektive Taktik aus, mit der Unternehmen solche Angriffe unterbinden können? Ponemon: Unternehmen brauchen eine zentrale, sogenannte Command-and-Control -Taktik, sodass sie über alle Dinge, die das Unternehmen betreffen, informiert sind und erkennen können, wie sich Muster entwickeln. Bei Dingen, die bisher als zusammenhanglos erschienen, lassen sich so Zusammenhänge erkennen. Auf diese Weise lässt sich eine leistungsfähigere und effizientere Strategie aufbauen, da alle 8

9 benötigten Informationen zentral verfügbar sind und zentral gesteuert werden. Sobald das Command-and- Control -Sicherheitsmodell funktioniert, bedeutet dies, dass Sicherheit in jedem einzelnen Fachbereich vorhanden sein muss. Sie kann nicht als eigenständige Maßnahme betrachtet werden. Steht das Thema Sicherheit nur im Abseits, werden wichtige Aspekte nicht berücksichtigt. Die Puzzleteile lassen sich dann nicht so zusammensetzen, wie dies für die effektive Bekämpfung aggressiver Cyberattacken erforderlich wäre. So bleiben in manchen Fällen intelligente Attacken auf Fachbereichsebene gänzlich unbemerkt. Benutzer bemerken Datenverluste oder Unterbrechungen manchmal gar nicht, die durch sagen wir einmal unscheinbare, aber komplexe Malware verursacht wurden. Bei einer weiteren taktischen Priorität geht es um nachlässiges Verhalten bei Mitarbeitern. Viele Cyberattacken kommen zustande, weil ein Mitarbeiter versehentlich eine Aktion ausführte, deren Folgen für das Unternehmen zur Gefahr wurden. Diese Problematik tritt immer wieder auf und wird von Cyberkriminellen ausgenutzt. Die umfassende Schulung der Mitarbeiter hinsichtlich bestimmter Verhaltensweisen beim Thema Sicherheit sowie die Implementierung geeigneter Richtlinien und Verfahren werden sich diesbezüglich auf jeden Fall auszahlen. SecuMedia: Neben der Taktik spielt auch die Strategie eine Rolle. Was ist hier zu berücksichtigen? Ponemon: Es gilt, die Denkweise zu ändern: Wenn Sicherheitskonzepte funktionieren sollen, müssen CISOs die zuständigen Stellen davon überzeugen, das sie das Thema Sicherheit als hilfreiche Maßnahme sehen und nicht als etwas, dass neue Probleme schafft. Ihre sicherheitsspezifischen Zielsetzungen müssen vollständig an den allgemeinen geschäftlichen Zielsetzungen des Unternehmens ausgerichtet sein. Viele CISOs haben ein eher unbehagliches Gefühl, wenn sie das Thema Sicher- heit aus einer eher allgemeinen geschäftlichen Perspektive betrachten. Wir stellen jedoch fest, dass es immer mehr CISOs gibt, denen die Notwendigkeit eines solchen Sicherheitskonzepts bewusst ist. Sie verfügen mittlerweile über fundierte technische Kenntnisse, aber auch umfassendes Geschäftswissen. Diese Kombination ist praktisch unbezahlbar. SecuMedia: Sie haben ermittelt, welche Aspekte die meisten Kosten verursachen. Lässt sich Ihrer Meinung nach ein Zusammenhang in Bezug auf die Investitionen herstellen? Ponemon: Wir wissen, dass viele Unternehmen zu wenig in die Sicherheit investieren. Die Unternehmen, die diesbezüglich fortschrittlich ausgerichtet sind, können Probleme in der Regel gut erkennen und isolieren: Sie erkennen sehr schnell, was passiert ist. Diese Unternehmen setzen ihre Ressourcen direkt für die Problemerkennung ein, versuchen aber gleichzeitig auch, die Ursachen für das Problem Ponemon-Studie Cost of Cyber Crime Das Ponemon Institut veröffentlicht jährlich die Studie Cost of Cyber Crime, die die wirtschaftlichen Auswirkungen von Cyberkriminalität in sechs Ländern untersucht. In den USA wurde die Studie 2013 bereits zum vierten Mal durchgeführt, in Frankreich erstmals. Deutschland, Australien, Großbritannien und Japan waren bei der Untersuchung 2013 zum zweiten Mal dabei. Ziel der Studie ist es, die Kosten von Cyberattacken zu quantifizieren und deren Entwicklung über einen längeren Zeitraum zu beobachten. In Deutschland hat das Ponemon Institut 2013 knapp 400 Fach- und Führungskräfte aus 47 deutschen Organisationen befragt. Zudem flossen in die Studie die Analyseergebnisse tatsächlicher Cyberangriffe ein. Aus der aktuellen Studie geht hervor, dass Cyberkiminalität deutsche Unternehmen im Schnitt 5,7 Millionen Euro pro Jahr kostet ein Anstieg von 16 Prozent gegenüber dem Vorjahr. Im Mittel dauert die Beseitigung von Angriffsfolgen 22 Tage und kostet Euro. Versorger, Finanzdienstleister und Technologieunternehmen erleiden größeren Schaden als Unternehmen anderer Branchen. Im Schnitt verzeichnete jedes untersuchte Unternehmen im vergangenen Jahr 1,3 erfolgreiche Angriffe pro Woche ein Anstieg von 21 Prozent gegenüber Die höchsten Kosten verursachen in Deutschland Cyberangriffe von Insidern, Denial-of-Service- und Phishing-Attacken. Zusammen verursachen diese drei Angriffstypen 50 Prozent aller Kosten, die pro Unternehmen und Jahr durch Cyberkriminalität entstehen. Die Studie enthält eine ausführliche Darstellung der Ergebnisse für Deutschland. Sie wird von HP Enterprise Security kostenfrei zur Verfügung gestellt. Die Studie erhalten Sie auf folgender Webseite zum Download: register/ponemon_de (Registrierung erforderlich). 9

10 Bedrohung zu verstehen. Sie versuchen, die einzelnen Informationsteilchen zusammenzufügen, um bei zukünf- tigen Problemen dynamischer und besser auf Probleme reagieren zu können. Ausgaben bei dieser Art von Problemstellung zum Beispiel für die Erkennung von Problemen und nicht nur für die Eingrenzung und Behebung scheinen zu helfen, bessere Ergebnisse und einen höheren Nutzen zu erzielen. SecuMedia: Das hört sich nach hohen Kosten an. Ponemon: Alles, was man hierfür braucht, ist das Wissen, um das Problem in vollem Umfang zu verstehen. Das mag vielleicht nach Zeitverschwendung klingen, aber viele Attacken gehen oft in einen wie wir es nennen Ruhezustand über und schlagen dann immer wieder zu. Die Attacken verändern zwar ihre Form, sind im Grundsatz aber immer noch im System vorhanden. Auf den ersten Blick mögen die Investitionen sehr hoch erscheinen. Sie werden jedoch intelligent eingesetzt, da Unternehmen ihr Budget dafür ausgeben, um das Problem zu verstehen und langfristig neuen Attacken vorzubeugen und nicht nur, um den aktuellen Vorfall zu beheben. SecuMedia: Wie sollte ein CISO Ihrer Meinung nach den Balanceakt meis tern zwischen Investitionen in Vorbeugung und in Reaktionsmaßnahmen auf aktuelle Attacken und deren Behebung? Ponemon: Ich sehe eine Tendenz, dass Unternehmen durch mehr Investitionen in vorbeugende Maßnahmen Probleme wirklich lösen können. Die Budgets werden zweckgebunden für vorbeugende Technologien genutzt und weniger für Erkennungs- oder Eindämmungstechnologien. Es sollte gleichmäßig in die drei Bereiche Vorbeugung, Erkennung und Reduzierung von Fehlalarmen investiert werden, um diese so gemeinsam und nicht einzeln zu optimieren. n Anzeige Datenspionage abwehren durch globale Ende-zu-Ende Verschlüsselung Verschlüsseln hilft Datenspionage durch Cyberspione oder Geheimdienste ist eine ernsthafte Bedrohung für unsere Wirtschaft. Als Schutz beim Datenaustausch ist weder eine link-to-link Transportverschlüsselung mittels SSL/TLS noch eine site-to-site verschlüsselung mit einem Secure gateway ausreichend. Hier bleiben zu viele Angriffspunkte offen. Nur mit einer durchgängigen end-to-end Verschlüsselung vom Gerät des Absenders bis zum Device des Empfängers können die Abhörmöglichkeiten abgewehrt werden. s verschlüsseln mit Standardsoftware Gängige clients auf Desktops und Smartphones unterstützen E- Mailverschlüsselung nach dem S/MIME Standard. Ein Zertifikatsserver wie die Secardeo certbox versorgt die Clients zur Ende-zu-Ende Verschlüsselung automatisch mit Millionen von Benutzerzertifikaten weltweit. Auch an Partner ohne Public Keys kann mit ad-hoc Zertifikaten sofort verschlüsselt werden. Mit der Secardeo certbox ist es auch möglich, mit den Mail-Apps auf iphone oder Android Geräten ad-hoc an beliebige Partner zu verschlüsseln von Gerät zu Gerät. Verschlüsseln für die Cloud Mit Secardeo certdrive können Dateien Ende-zu-Ende verschlüsselt mit beliebigen Partnern über Cloud Storage wie z.b. DropBox ausgetauscht werden. Dies geschieht mit wenigen Fingertipps mit der certdrive App beispielsweise auf einem Android Smartphone. Die zur Verschlüsselung erforderlichen Zertifikate werden über die Secardeo certbox transparent für den Benutzer bereitgestellt. Woher kommen die Zertifikate? Viele Unternehmen betreiben eine Inhouse PKI, oft mit einer Windows CA. Ein Problem hierbei ist die Akzeptanz der Zertifikate außerhalb der Organisation. Das wird mit der Nutzung einer öffentlichen CA wie SwissSign gelöst. Mit dem Secardeo certep Certificate Enrollment Proxy können automatisch für alle Benutzer in einer Domäne solche global anerkannten Zertifikate ausgestellt werden. Auch mobile Endgeräte können hierüber versorgt werden. Die privaten Benutzerschlüssel bleiben unter der vollen Kontrolle des Unternehmens. 10

11

12 Bedrohung Erkennen Eingrenzen Ausräuchern Maßnahmen gegen Advanced Persistent Threats Was können Unternehmen gegen Advanced Persistent Threats (APTs) tun? Unser Beitrag beschreibt, warum diese Angriffe so gefährlich sind und wie man ihnen begegnen kann. Bild: heller, corporate design Von Steve Matthews, Context Information Security Advanced Persistent Threats (APT), also komplexe und zielgerichtete Angriffe, haben die Bedrohungslandschaft in den vergangenen Jahren stark verändert. Das Ziel der Angreifer ist es hier, in die IT-Systeme des Opfers einzudringen und dort möglichst lange unentdeckt Informationen abzuschöpfen. Die Kriminellen verwenden dabei unterschiedliche und sehr komplexe Angriffsmethoden, die mit einem hohen Aufwand verbunden sind. Gegen solche Angriffe sind kein Wirtschaftszweig und keine Behörde immun. In letzter Zeit steigen jedoch die Erkennungsraten. Eine Ursache hierfür ist, dass Unternehmen zunehmend sensibilisiert sind und sich externe Spezialisten ins Haus holen, die die Firmen-IT testen und APTs erkennen und beseitigen können. Jedenfalls verzeichnet der Sicherheitsdienstleister Context Information Security hierfür eine steigende Nachfrage. Die Einfallstore zielgerichteter Angriffe sind zu einem großen Teil seit Jahren die gleichen, zum Beispiel sind s mit Schadsoftware im Anhang oder einem Link zu einer verseuchten Webseite immer noch beliebt. Im Gegensatz zu herkömmlichen Angriffen sind diese dann jedoch auf ein bestimmtes Unternehmen zugeschnitten. Einmal ausgeführt, wird dann eine Verbindung zum Computer der angegriffenen Person verschleiert hergestellt und Schadsoftware nachgeladen, um das Firmennetz weiter zu infiltrieren. Auch nutzen entgegen vieler Medienberichte Angreifer eher selten unbekannte Sicherheitslücken aus, stattdessen verwenden sie aktuelle, aber ungepatchte Schwachstellen. Deswegen kann man davon ausgehen, dass fortlaufend Angriffe auf die Unternehmens-IT stattfinden, um gezielt nach noch ungepatchten Schwachstellen zu forschen. In den letzten Jahren hat es keinen Mangel an erfolgreich angegriffenen Unternehmen in Deutschland gegeben: Bayer, EADS und Thyssen Krupp haben öffentlich erklärt, dass sie Opfer von Wirtschaftsspionage geworden sind. Deutsche Unternehmen sind ein lohnendes Ziel für ausländische Staaten nicht nur aus China. Oftmals sind es gerade mittelständische Unternehmen, die gefährdet sind, da sie weder die technischen noch die personellen Ressourcen haben, um solche Angriffe zu identifizieren und zu untersuchen. Deswegen wird ein Sicherheitsvorfall auch oftmals erst erkannt, wenn es zu spät ist. Natürlich wäre es nicht gerecht, ausschließlich die chinesischen und russischen Regierungsinstitutionen zu beschuldigen. Auch Länder wie beispielsweise Indien, Iran, Südkorea und Israel haben fortgeschrittene Wirtschaftsspionageprogramme. Ebenfalls mit dabei sind westliche Staaten, wie zuletzt die Dokumente von Edward Snowden nur zu deutlich zeigten. Der Schaden für die Wirtschaft ist enorm: Laut der deutschen Industrie und Handelskammer kostet Wirtschaftsspionage jährlich bis zu 30 Milliarden Euro und Arbeitsplätze. Die Schätzung des Verfassungsschutzes ist noch höher: Die Behörde beziffert den Schaden auf mehr als 50 Milliarden Euro im Jahr. Die Dunkelziffer wird wahrscheinlich sogar um einiges höher liegen, da viele Unternehmen 12

13 Angriffe gar nicht entdecken oder, wenn sie diese bemerken, darüber schweigen, um einem möglichen Reputationsverlust vorzubeugen. Awareness schaffen durch simulierte Angriffe Ein erster Schritt hin zu einem erfolgreichen Schutz vor APTs ist Awareness. Denn viele Unternehmer verstehen gar nicht, wie anfällig sie für APTs sind. Angesichts der jährlichen Investitionen für Sicherheitsmaßnahmen, wie zum Beispiel Firewalls, Intrusion-Detection- Systeme und Anti-Viren-Lösungen, denken viele Führungskräfte, ihre IT-Systeme seien sicher und wollen die Gefahr nicht wahrhaben. In solchen Fällen empfiehlt Context die Durchführung einer Red Team - Untersuchung. Das ist eine Simulation eines gezielten Angriffs mit dem Ziel, die Wirksamkeit der Abwehrmaßnahmen des Kunden zu prüfen und Verbesserungen zu empfehlen. Die Simulation startet mit einer Aufklärungsphase, in der Informationen über das Unternehmen gesammelt und ausgewertet werden. Einzelheiten zu den Niederlassungen, Mitarbeitern, Systemen, Kommunikationsstrukturen und den Prozessen sind dabei von höchstem Interesse und werden im Laufe des simulierten Angriffs genutzt. Im weiteren Vorlauf finden parallel Angriffe statt, um die Sicherheit des Unternehmens zu prüfen. Hierbei werden sowohl die physische Sicherheit als auch die Sicherheit der IT-Systeme von einer externen Perspektive abgeklopft. Zudem wird versucht, mittels Social Engineering Vertrauen zu Mitarbeitern aufzubauen, um dies in einer späteren Phase des Angriffes auszunutzen. Häufig offenbart die Red Team -Analyse, dass auch das interne Unternehmensnetzwerk über unterschiedliche Wege erfolgreich aus dem Internet kompromittiert werden kann. Danach führen die Experten weitere Angriffe auf das interne Netzwerk aus, natürlich mit dem Ziel, vertrauliche Informationen zu entwenden. Die Ergebnisse werden nach der Simulation aufbereitet und den Führungskräften präsentiert. Netzwerkverkehr prüfen lassen Neben einem simulierten Angriffsszenario können Unternehmen, die wissen wollen, ob ihr Netz bereits kompromittiert wurde, auch direkt ihren Netzwerkverkehr sowie die Server- und Clientsysteme von Sicherheitsdienstleistern wie beispielsweise Context analysieren lassen. Zu diesem Zweck werden entsprechende Geräte an jedem kritischen Punkt des Netzes installiert. Außerdem wird auf den Servern und Clients eine Software ausgerollt, die weitere Informationen für die Untersuchung sammelt. In den meisten Fällen sind auch weiterführende Analysen notwendig, denn die Angreifer verwenden immer ausgefeiltere Methoden zum Verschleiern von Angriffen und sind so sehr schwer zu entdecken. Aus diesem Grund ist auch eine regelmäßige Analyse empfehlenswert. Fazit Die Praxis zeigt, dass Sicherheitsmaßnahmen gegen APTs immer dann erfolgreich sind, wenn das Unternehmensmanagement die Risiken erkennt und hinter den notwendigen Schritten zur Risikominimierung steht. Außerdem müssen Unternehmen hinsichtlich ihrer IT-Sicherheit zukünftig mehr proaktiv handeln. Ein erster Schritt hierfür ist, sich bewusst zu machen, dass man ein potenzielles Angriffsziel ist und es Möglichkeiten gibt, seine geschäftskritischen Daten zu schützen. Weiterhin ist es wichtig, Informationen über APT-Angriffe mit anderen Unternehmen zu teilen. So sind beispielsweise Unternehmen aus der gleichen Branche eher auch gleichen Angriffen ausgesetzt. Ein gegenseitiger Informationsaustausch nutzt allen. n Wer liest bei Ihnen mit? Globale Ende-zu-Ende Verschlüsselung von s und Cloud-Storage spontan mobil mit Jedermann! Ihr Schlüssel zur Sicherheit 13

14 IT-Security-Management Mobile-Application-Management Bausteine zur App-Sicherheit Smartphones und Tablets sind ein attraktives Ziel für Spionageangriffe. Geräte und Software müssen deswegen im Rahmen der bestehenden IT-Sicherheitsarchitektur zentral verwaltet und reglementiert werden. Lösungen hierzu bieten die Disziplinen des Enterprise-Mobility-Managements (EMM), ein zentraler Baustein ist hier das Mobile-Application-Management (MAM). Von Sebastian Wolters, mediatest digital GmbH Die Zahl der Sicherheitslücken und Schadsignaturen in Smartphone- und Tablet-Apps steigt rasant: mediatest digital und das Fraunhofer Institut haben kürzlich unabhängig voneinander Statistiken veröffentlicht, aus denen hervorgeht, dass jede zweite App über alle mobilen Betriebssysteme hinweg sicherheitskritisches Verhalten und Schadprofile aufweist. Apps fehlt häufig die Transparenz im Umgang personenbezogenen Daten und erhobenem Nutzungsverhalten. Zudem wird Datensammlern und Spionen die Arbeit durch mangelnde Sensibilisierung der App-Nutzer sowie fehlenden Schutzmechanismen begünstigt. Für Unternehmen bedeutet die massenhafte und teils ungeschützte Übertragung sensibler Daten ein enormes Risiko, da unternehmensinterne Informationen in die falschen Hände gelangen. Aktuelle Enthüllungen rund um die NSA und andere Geheimdienste unterstreichen, in welchem Umfang personenoder unternehmensbezogene Daten erhoben und ausgewertet werden. Versand von Daten. In vielen Fällen senden die Apps Daten an Werbenetzwerke und Trackinganbieter ohne Zustimmung der Nutzer und somit auch ohne Wissen des Arbeitgebers. Hinzu kommen bekannte Schadsignaturen wie Malware und Viren, die besonders bei Android-Geräten weit verbreitet und schwer kontrollierbar sind. Wenn Unternehmen Smartphones und Tablets einsetzen, sollten sie zum Beispiel folgende Bedrohungen im Blick haben: Datenspionage durch die Cloud Neben der massenhaften Erhebung und Speicherung von Kommunikationsdaten durch die NSA und andere Geheimdienste sind besondere Cloud-Dienste anfällig für Spionageattacken. Die bekannten Cloud-Anbieter haben ihren Sitz in den USA und unterliegen somit dem Patriot Act. Sie müssen die Daten ihrer Nutzer auf Anfrage der Regierungsbehörden jederzeit herausgeben, auch ohne den konkreten Verdacht einer Straftat. Dass diese Möglichkeiten in der Vergangenheit verstärkt missbraucht wurden, ist hinreichend bekannt. Cloud-Dienste sollten Unternehmen nur verwenden, wenn der Anbieter in Deutschland oder mindestens in Europa sitzt und die abgelegten Daten hochverschlüsselt sind, sodass selbst der Betreiber keine Möglichkeit der Einsicht hat. Systematische Angriffe auf - Accounts Im Januar 2013 berichtete die New York Times, dass über den Zeitraum von vier Monaten ihre -Accounts systematisch ausspioniert wurden. Seit Februar 2014 wird REWE mit Daten erpresst, die ein Hacker aus dem -Account eines Vorstandmitglieds gestohlen hat. Ob dies über einen stationären Zugriff oder den Zugang über sein Smartphone geschehen ist, ist bisher nicht bekannt. Es macht jedoch deutlich, wie wichtig eine vernünftige Die typischen Schadprofile und Sicherheitslücken in öffentlich zugänglichen Apps sind breit gefächert. Sie beginnen bei der ungefragten Einräumung von Berechtigungen und Zugriffen auf sensible Informationen wie Kontaktdaten, E- Mails, Passwörter, Kreditkartendaten, Kalendereinträge oder Standortdaten. Hinzu kommen Sicherheitslecks wie der unverschlüsselte und ungefragte Bausteine des Enterprise-Mobility-Managements. (Bild: mediatest digital) 14

15 Absicherung des Smartphones und der -Apps ist. Übermittlung der Standortdaten (GPS) Die unverschlüsselte Übermittlung von Geodaten ist eine der häufigsten, unbemerkten Sicherheitslücken in Apps. Für Unternehmen ergibt sich daraus das Risiko der Überwachung von Mitarbeitern und somit der Verlust vertraulicher und schützenswerter Informationen. Hinzu kommt, dass durch die Erhebung von Standortdaten nicht nur der aktuelle Aufenthaltsort ermittelt, sondern auch der zukünftige vorhergesagt werden kann, was kürzlich britischen Studenten eindrucksvoll geglückt ist. Sie konnten auf Basis von Telefonnummern, GPS-Verläufen, Anrufen, versendeten SMS, Adressbüchern sowie Bluetooth- und WLAN-Verbindungen bei 200 freiwilligen Smartphone-Nutzern mit einer Genauigkeit von bis zu drei Metern vorhersagen, wo sich der Nutzer zukünftig befinden wird. Internationale Spionage Immer häufiger finden Sicherheitsexperten zum Beispiel chinesische Schadsoftware auf Geräten mittelständischer Unternehmen. In diesem Fall steht das Ziel der Industriespionage im Vordergrund, was sich nicht zuletzt in der Marktüberschwemmung mit Plagiaten manifestiert. Vertrauliche Konstruktionszeichnungen und Fotos aus Forschungsabteilungen stehen hoch im Kurs. Diese Bedrohung ist eins von vielen Beispielen, bei denen die Gefahr aus dem stationären PC-Bereich auf die mobile Infrastruktur übergeht. Einige Unternehmen schützen sich bereits vor diesen Gefahren, indem sie die Smartphone-Kameras deaktivieren. Da jedoch sensible Daten wie Fotos und Zeichnungen nicht nur per Kamera, sondern über s, Cloud- Dienste oder Messenger-Apps auf die Geräte gelangen, sollte man die Softwareseite ebenso gewissenhaft überprüfen. Sichere mobile Infrastruktur Die oben genannten Beispiele zeigen das breite Spektrum an Bedrohungen für die mobile IT- Infrastruktur und sensible Unternehmensdaten. Eine Herausforderung für CIOs und IT-Security-Verantwortliche entsteht zudem durch die große Vielfalt an Endgeräten und Betriebssystemen. Das wird mittlerweile durch Mobile-Device-Management- (MDM)-Systeme komfortabel gelöst. Allerdings herrscht im Bereich der genutzten Software, den Apps, oft noch ein undurchschaubarer Wildwuchs. Deshalb sollten Unternehmen ein Mobile-Application-Management (MAM) einsetzen, das Verantwortlichen die notwendigen Werkzeuge an die Hand gibt, um eine sichere App-Infrastruktur zu schaffen. Das MAM beinhaltet Software- und Service-Lösungen, die die Nutzung von Apps auf betrieblich genutzten Smartphones und Tablets nach Unternehmensrichtlinien gewährleisten und absichern. Berücksichtigt werden dabei sowohl selbst entwickelte Apps als auch solche aus öffentlich zugänglichen App-Stores. Eine skalierbare Sicherheitsprüfung von Apps wird von einigen unabhängigen Testinstituten angeboten. CISOs sollten darauf achten, dafür deutsche Anbieter zu wählen, da diese einen entsprechend hohen Anspruch an Datenschutz- und Datensicherheitsmerkmale der Apps stellen und bei ihren Prüfungen die Vorgaben aus dem Bundesdatenschutzgesetz berücksichtigen. Darüber hinaus ist es sinnvoll einen Anbieter zu wählen, der auf das Prüfen von Apps spezialisiert ist. Durch die hohe Dynamik des App-Marktes und die hohe Updatefrequenz haben nur wenige Anbieter bisher die Möglichkeit und die technischen Voraussetzungen, standardisiert, skalierbar und trotzdem tiefgreifend und zuverlässig zu prüfen. Im Anschluss an einen Test bieten einige Institute schon die Möglichkeit, die Testergebnisse in Form von White- und Blacklisting- Katalogen zu bündeln und sie über die App-Stores der MDM-Systeme automatisiert auf die Geräte der Mitarbeiter auszurollen. Dieses integrierte Vorgehen bildet das Herzstück des Mobile-Application-Managements und schützt Unternehmen zunehmend vor aufwendigen Recherchen, händischen App-Freigaben und kostspieligen Datenverlusten. Das MAM arbeitet eng verzahnt mit dem Mobile-Device-Management und schafft im Zusammenspiel eine integrierte und standardisierte Umgebung. Mobile-Information- Management Unternehmen sollten sich jedoch nicht nur auf die oben beschriebenen Maßnahmen beschränken. Um eine nachhaltige sogenannte Enterprise-Mobility-Strategie zu verfolgen, sollte neben MDM und MAM auch eine dritte Disziplin, das Mobile-Information-Management, berücksichtigt werden. Hier stehen cloudbasierte Services für den geräteübergreifenden Austausch, die Speicherung, die Synchronisation und die Kontrolle von Daten, Medien und Dokumenten im Mittelpunkt. Eine der wichtigsten Funktionen des MIM ist die sichere Kontrolle der Daten. Sie ermöglicht das Vorhalten verschlüsselter Daten und gewährt ausschließlich vertrauenswürdigen Anwendungen den Zugriff. Die drei beschriebenen Disziplinen des Enterprise-Mobility- Managements können Unternehmen durch das Enterprise-Mobility- Consulting (EMC) vervollständigen. Das EMC, so wie mediatest digital es beispielsweise anbietet, beantwortet alle Fragen, mit denen sie sich bei der Einführung von Enterprise-Mobility- Konzepten konfrontiert sehen. Nach einem Fünf-Stufen-Prozess steht am Ende eine individuelle Enterprise- Mobility-Strategie. n 15

16 IT-Security-Management Verschwimmende Netzwerkgrenzen absichern UTM statt Chaos In Zeiten immer perfiderer Cyberangriffe sind ganzheitliche IT-Sicherheitssysteme für Unternehmen zunehmend wichtiger. Ein Werkzeug hierfür sind Unified-Threat-Management- (UTM)-Lösungen, die Netzwerk, Daten und Endpoints unabhängig von Benutzerstandort und Verbindungsmethode schützen können. Und das bei gleichzeitig überschaubaren Kosten und einfachem Handling gerade für KMUs ein entscheidender Faktor. Von Angelo Comazzetto, Sophos Um das Unternehmensnetz vor Angreifern zu schützen, reicht es schon lange nicht mehr aus, eine Firewall zu installieren und ab und zu ein Antivirus-Programm über den Desktoprechner laufen zu lassen. Heute brauchen Unternehmen wirksame Schutzmaßnahmen, die einen ganzheitlichen Ansatz gegen Cyberspionage bieten. Hier kommt Unified Threat Management (UTM) zum Einsatz. Eine Technologie, die vor allem für kleine und mittlere Unternehmen oftmals ideal ist, da sie ein All-in-one-Sicherheitspaket bietet, das relativ einfach zu bedienen ist und gleichzeitig Enterprise- Funktionen wie Advanced Threat Protection (ATP) oder Sandboxing bereitstellt. Heute breiten sich die Netzwerkgrenzen eines Unternehmens immer weiter aus. So stammen die Daten nicht länger aus ein und demselben Gebäude oder kommen von der immer gleichen Benutzergruppe. Stattdessen sind Außenstellen über das Internet angebunden und zahlreiche Benutzer sollen die gleichen Daten gemeinsam bearbeiten. Darüber hinaus gibt es überall Wireless- User. Und der Siegeszug der Cloud und die Beliebtheit mobiler Geräte definieren das Netzwerk neu die Grenzen verschwimmen und jedes Gateway, also jeder Übergang zum Internet, muss trotzdem abgesichert werden. Je mehr neue technische Verfahren in Unternehmen zum Ein- satz kommen, desto komplexer wird die Verwaltung des Netzes, da jedes Gateway im erweiterten Netzwerk nach wie vor zu schützen ist. Zudem ist kein technisches Verfahren vor Manipulation und Missbrauch gefeit. Diese Aussage trifft auch auf alle Geräte zu, die zwei Netzwerke miteinander verbinden, zum Beispiel Firewalls, Router und Switches, oder den Zugriff auf das Netz ermöglichen. IT-Sicherheitsexperten stehen somit vor großen Herausforderungen: Sie müssen die Endpoints von zahlreichen Anbietern an unterschiedlichen Standorten verwalten egal ob intern, remote, mobil oder in der Cloud. Sie müssen für eine sichere Authentisierung sorgen, fallweise Richtlinien durchsetzen und alle Sicherheitskomponenten im Blick behalten. Eine UTM-Lösung setzt genau hier an: In ihrer Funktion als Datenverkehrspolizei setzt sie Perimetersicherheit durch, indem sie Pakete und Sitzungen inspiziert und entscheidet, ob diese ins geschützte Netzwerk eingelassen oder geblockt werden sollen. Tatsächlich haben sich Firewalls besonders die der zweiten Generation zum zentralen Punkt für den Netzwerkzugriff entwickelt. Sie analysieren und kontrollieren den Datenverkehr unter Einsatz von Firewall-Skripts, die Anwendungs-, Adressen- und Benutzerparameter definieren. Im Gegenzug helfen diese Skripts dabei, die Verbindungspfade zu externen Netzwerken und Rechenzentren zu schützen. Indem eine UTM-Lösung alle Geräte identifiziert, die Zugriff auf das Netz haben, wird die allgemeine Netzwerksicherheit erhöht. Dabei werden alle Perimetergeräte als Teil des Netzwerkperimeters betrachtet, hierzu zählen Netzwerk- Hardwaregeräte, Server und alle Endpoints sowie sämtliche Geräte, die in Zukunft dynamisch hinzugefügt werden können, zum Beispiel VPN-Clients. Einfache Fehlerbehebung Firewall, Intrusion Detection, Intrusion Prevention (IDS/ IDP), ATP oder Gateway-Virenschutz werden in einer UTM-Lösung in einer einzigen Netzwerksicherheits- Appliance kombiniert. So müssen sich Administratoren nicht mit unterschiedlichen Verwaltungsumgebungen vertraut machen, die sich sowohl in den Funktionsbezeichnungen als auch im Design stark unterscheiden. Ohne UTM müssen sie viele Firmware und Pattern-Updates abwickeln und die Lösungen so konfigurieren, dass diese reibungslos zusammenarbeiten und die gesamte Sicherheitsumgebung am Laufen bleibt. Zusätzlich erhöhen zahlreiche Netzwerksicherheitslösungen die Komplexität bei Fehlerbehebungen, da fehlerhafte Konfigurationen und Störungen an vielen Punkten 16

17 AT HOME AND ON THE MOVE Mobile Control Secure VPN Client EndPoint Antivirus SafeGuard Encryption REMOTE OFFICE Secure VPN RED Secure WiFi EndPoint Antivirus SafeGuard Encryption Mobile Control Die Abbildung zeigt anhand der Sophos-Produkte, wie man ein sicheres Netzwerk aufbauen kann. HEADQUARTERS SOPHOS CLOUD Management Protection Reporting V Administration Mobile Control Server Antivirus Web Application Firewall EndPoint Antivirus SafeGuard Encryption Secure Wi-Fi Secure Web Gateway UTM NextGen Firewall Secure Web Gateway Secure Gateway Web Application Firewall Secure Gateway Guest Wi-Fi auftreten können. So gibt es viele Stellen (Knoten, Verknüpfungen, Endpoints), die Administratoren zur Auffindung eines Problems prüfen müssen. Wird eine UTM-Lösung eingesetzt, können Fehler über eine zentrale Managementkonsole behoben werden. Eine UTM-Appliance ist zwar teurer als einzelne Sicherheitslösungen, wenn man die Kosten für Service-Abonnements, zum Beispiel Support, Wartung und Updates, der Insellösungen mit einrechnet, ist sie jedoch insgesamt günstiger. So müssen beispielsweise nur einmal Abonnementgebühren an ein Unternehmen gezahlt werden. Außerdem sind die Anwendungen auf einem UTM-Gerät aufeinander abgestimmt und ergänzen sich gegenseitig. Sie kann beispielsweise erst eingehende VPN-Verbindungen von mobilen Mitarbeitern, beispielsweise IPSec or SSL, entschlüsseln und den Datenverkehr dann durch ein Intrusion- Protection-System filtern. Diese Vorgehensweise hat klare Vorteile gegenüber Einzelprodukten, da Administratoren diese erst in der richtigen Reihenfolge installieren und dann mit komplexen Regeln für Routing und Datenverkehrsverarbeitung konfigurieren müssten, da die Filter sonst nicht korrekt funktionieren. Die Cloud wird immer wichtiger Da sich der Netzwerkperimeter immer weiter ausdehnt, beeinflusst das auch die Entwicklung neuer technologischer Verfahren zu seiner Absicherung. Das wahrscheinlich beste Beispiel für diesen Trend ist die Cloud. Wenn Daten und Prozesse an Cloud-Provider übertragen werden, kann eine UTM-Lösung als sicheres Gateway fungieren. Das Sophos UTM Security Gateway kann beispielsweise Amazon Machine Images (AMIs) unterstützen, die in der Amazon-Cloud (EC2) ausgeführt werden. Mit der EC2 können Unternehmen virtuelle Maschinen innerhalb einer skalierbaren und verlässlichen Cloud-Infrastruktur ausführen, ohne sich um Datenleitungen, Appliance-Versand oder Rackmontage-Hardware kümmern zu müssen. Administratoren können das UTM-Gateway über die EC2 starten und erhalten innerhalb von Minuten eine sichere, skalierbare. Gateway-Lösung für ihr Unternehmen. Im Produktionsmodus können IT-Administratoren auf die EC2 und das UTM-Gateway zugreifen und binden Außenstellen über Remote Ethernet Device (RED) ein. Sie haben somit einen stabilen und zentralen Punkt für VPN-Verbindungen und verwalten dort auch potenzielle Wireless Access Points, die mit bereits ausgerollten RED-Geräten verbunden sind. Darüber hinaus unterstützen moderne Systeme auch den Amazon-Virtual-Private- Cloud-(VPC)-Service, mit dem Unternehmen ihre Serverinfrastruktur in einer sicheren, skalierbaren Cloud hosten und ausführen können. Mit einem VPN-Connector erhalten sie direkt vom Security Gateway eine verschlüsselte permanente Verbindung zu den VPC-Ressourcen. Anstatt technische Hardware-VPNs mit Border-Gateway-Patrol-Funktion per Hand zu konfigurieren, braucht man mit dem VPC-Connector nur eine einzige Datei von Amazon herunterzuladen und anschließend in ein lokales Gateway hochzuladen, das dann automatisch die Verbindung mit dem VPC aufbaut. n 17

18 Verschlüsselung Sichere Inter Netzwerk-Architektur (SINA) Hochsichere Kryptolösungen für Unternehmen Die SINA-Technologie sorgt dafür, dass sensible Informationen sicher bearbeitet, gespeichert, übermittelt und vor unbefugtem Zugriff geschützt werden. So können Standorte, mobile sowie Heimarbeitsplätze hochsicher über potenziell unsichere Netze wie das Internet, WLAN oder UMTS miteinander verbunden werden. In Unternehmen sind derartige Hochsicherheitssysteme jedoch noch selten zu finden, obwohl sie sich gerade zur Abwehr von Wirtschaftsspionage sehr gut eignen. Von Jens Westphal, secunet Security Networks AG Die Berichterstattung über den Abhörskandal und weitere Snowden-Enthüllungen im Sommer des vergangenen Jahres haben einen deutlichen Impuls für eine neue Diskussion zum Thema Wirtschaftsspionage gesetzt. Dabei sollte bei ehrlicher Betrachtung auch schon vorher allgemein bekannt gewesen sein, dass in jedem Betrieb und jeder Organisation sensible Informationen vorliegen, die vor Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation geschützt werden müssen. Konkurrenzausspähung ist nur eine von vielen Möglichkeiten, die zu Schäden am geistigen Eigentum von Unternehmen führen. Denn letzten Endes ist es gleichgültig, aus welchem Grund Informationen verloren gehen. Schutz vor Angriffen jeglicher Art auf IT-Infrastrukturen bieten hochsichere Umgebungen, die mit geeigneten IT-Sicherheitsprozessen eng verknüpft sind. Auch die nötige Sensibilität für IT-Sicherheit im Unternehmen führt zu einer Steigerung des Sicherheitsniveaus. Kleine wie große Unternehmen können auf Hochsicherheitsprodukte zurückgreifen, die zum Schutz von Infrastrukturen, die für die nationale Sicherheit von Bedeutung sind, entwickelt wurden. Das Auswärtige Amt betreibt zum Beispiel bereits seit mehr als zehn Jahren eine IT- Infrastruktur, die auf der Sicheren Inter Netzwerk-Architektur (SINA) basiert. Die dabei zum Einsatz kommenden Techniken sind prinzipiell übertragbar und sichern auch Unternehmen gegen Angriffe auf die Vertraulichkeit und Integrität ihrer Daten ab. Sichere Kommunikation durch SINA Die SINA-Technologie wurde von der secunet in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und sorgt dafür, dass schutzbedürftige Informationen sicher bearbeitet, gespeichert, übermittelt und gegen unbefugten Zugriff geschützt werden. Neben dem Auswärtigen Amt gehört SINA auch in weiteren Bundesbehörden, der Bundeswehr und internationalen Einrichtungen seit vielen Jahren zu den bevorzugt eingesetzten Kryptolösungen. Das SINA-Produktportfolio reicht von Client-Komponenten über Gateways bis zu Leitungsverschlüsselungsgeräten. Ergänzend steht eine hochleistungsfähige Managementlösung zur Verfügung, mit der die einzelnen Komponenten des sicheren Netzwerks flexibel konfiguriert werden können. SINA wurde ursprünglich als eine Verschlüsselungslösung für deutsche Behörden mit hohem Schutzbedarf entwickelt. Die Projektidee entstand aus der Anforderung, im Rahmen des Regierungsumzugs von Bonn nach Berlin lokale Netzwerke zu betreiben, die eine sichere Kommunikation zwischen den Standorten ermöglichen. Darüber hinaus bestand genereller Bedarf nach einer nationalen, hochwertigen Verschlüsselung auf Internet-Protokoll- 18

19 Ebene mit der Einsatzperspektive der Absicherung von Kommunikation über Weitverkehrsnetze. Geschützt durch ein kryptografisches Virtual Private Network (VPN) können daher vertrauliche Informationen über offene Netze übertragen werden. Als Behördenvariante ist SINA vom BSI für die Verarbeitung und Übermittlung von Daten bis zur Geheimhaltungsstufe STRENG GE- HEIM zugelassen. Die Tablet-PC- Lösung auf Basis der SINA-Technologie ermöglicht Anwendern aus Unternehmen und Behörden mobiles und gleichzeitig hochsicheres Arbeiten. Hochsicherheit auch in Unternehmen? In Unternehmen sind derartige Hochsicherheitssysteme noch selten zu finden, obwohl sie hier den gleichen Schutz gegen Industrie- und Wirtschaftsspionage bieten. Mit SINA können Standorte, mobile sowie Heimarbeitsplätze hochsicher über potenziell unsichere Netze wie das Internet, WLAN oder UMTS verbunden werden. Die Kommunikation wird so über die Unternehmensmauern hinaus zuverlässig abgesichert. Vor allem für Betreiber von kritischen Infrastrukturen eignet sich die vom BSI zugelassene SINA- Lösung aus dem Hochsicherheitsumfeld. Diese Infrastrukturen verlangen einen besonderen Schutz, da sie eine maßgebliche Rolle in der Versorgung des öffentlichen Lebens spielen. Aktuell kommen solche Systeme im Umfeld von Wasserversorgern zum VIP-Partner von SecuMedia 2014 Wir bedanken uns für die nachhaltige Unterstützung unserer Verlagsprojekte PlatIn-Partner Gold-Partner SIlber-Partner Sie interessieren sich für die Vorteile einer VIP-Partnerschaft mit SecuMedia? Wir informieren Sie gerne! 19 Birgit Eckert, SecuMedia Verlags-GmbH, Telefon / , b.eckert@secumedia.com

20 Verschlüsselung CeBIT 2014: Dr. Rainer Baumgart, Vorstandsvorsitzender der secunet, präsentiert der Bundeskanzlerin das neue SINA Tablet. Risiken hinsichtlich Wirtschaftsspionage bergen. Durch die konsequente starke Verschlüsselung der Festplatte ist es Angreifern zum Beispiel auch durch das Booten eines alternativen Betriebssystems nicht möglich, auf die Daten zuzugreifen. Das Unterbinden des Boot-Vorgangs durch passwortgesicherte BIOS-Einstellungen ist somit nicht erforderlich, was dem Anwender zusätzliche Flexibilität ermöglicht. Einsatz, die genau wie alle Unternehmen der Versorgungswirtschaft im Rahmen von KRITIS (Nationale Strategie zum Schutz Kritischer Infrastrukturen) speziellen Auflagen unterliegen, die eine sichere Versorgung gewährleisten sollen. Mit SINA werden Einwahlen und gesicherte Fernverbindungen zum Zugriff auf die Leitsystemtechnik realisiert. Gleichzeitig kann eine Verbesserung des Sicherheitsniveaus in mehreren kritischen Bereichen, darunter der Austausch mit externen Dienstleistern, in Prozess-Steuer-Anlagen, an Arbeitsplatzsystemen und mobilen Rechnern sowie im Datennetzwerk und in der IT-Sicherheitsinfrastruktur erzielt werden. Aber auch in Unternehmen, an die keine KRITIS-Anforderungen gestellt werden, gibt es kritische Geschäftsprozesse, die sichere Lösungen erfordern, um sie mit den Anforderungen der globalisierten Arbeitswelt, der höheren Mobilität von Mitarbeitern oder der wachsenden Dynamik beim Datenaustausch ausreichend abzusichern. Vor allem in den sensiblen Bereichen erfordern Informationen einen besonderen Schutz, zum Beispiel in der Forschungs- und Entwicklungsabteilung oder im Vertrieb, der mit Kundendaten arbeitet und ebenso einen wettbewerbsrelevanten Bereich darstellt. Auch Außendienstmitarbeiter und Zweigstellen haben es den Datendieben und Wirtschaftsspionen angetan. Hier vermuten sie einen besonders leichten Zugang oder schlechter gesicherte Systeme und haben sogar erstaunlich oft recht mit dieser Annahme. Denn nach wie vor sind die Laptops in vielen Unternehmen nicht ausreichend abgesichert und können als Ausgangspunkt für Angriffe auf das restliche Firmennetz und die sensiblen Abteilungen genutzt werden. Spione haben dann leichtes Spiel an Unternehmensinformationen zu gelangen. Hier kann der Einsatz von SINA-Clients Abhilfe schaffen. Die Laptops und zukünftig auch Tablet- PCs bieten höchste Sicherheit durch: starke 2-Faktor-Nutzerauthentifizierung per Smartcard oder USB- Token (mit integrierter Smartcard), strikte Trennung von Arbeitsumgebungen durch moderne Virtualisierungstechnologie, vollständig verschlüsseltes Dateisystem, Device-Kontrolle und unumgehbaren VPN Client auf Basis von IPsec. Sie sind besonders interessant für Mitarbeiter im Außendienst und Vertrieb, wenn sie sich in Arbeitsumgebungen befinden, die Fazit Auch in Zukunft bleibt die Bedrohung durch Wirtschaftsspionage unverändert stark oder wird noch weiter zunehmen. Dabei sind es längst nicht nur die großen Konzerne, die im Fokus der Spione stehen. Potenziell ist jedes Unternehmen gefährdet und Globalisierung und weltweite Vernetzung bilden einen idealen Nährboden für Angriffe auf vertrauliche Daten von Unternehmen, nicht zuletzt durch den damit verbundenen, wachsenden internationalen Wettbewerb. Bewährte Technik aus dem Hochsicherheitsumfeld ist die passende Lösung für Unternehmen, die sich wirksam gegen Wirtschaftsspionage schützen wollen. n 20