CHECK POINT SICHERHEITSBERICHT 2013

Ähnliche Dokumente
Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Endpoint Web Control Übersichtsanleitung

Erste Schritte mit Desktop Subscription

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

CHECK POINT. Software Blade Architektur. Sicher. Flexibel. Einfach.

Mail encryption Gateway

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

Sichere Freigabe und Kommunikation

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Der einfache Weg zu Sicherheit

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

System-Update Addendum

Anleitung. Update/Aktualisierung EBV Einzelplatz Homepage. und Mängelkatalog

Anleitung zum Prüfen von WebDAV

CHECK POINT SICHERHEITSBERICHT 2013 CHECK POINT 2013 SICHERHEITS- BERICHT

ROOT ZERTIFIKATS INSTALLATION UNTER WINDOWS 7/VISTA

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Firewalls für Lexware Info Service konfigurieren

SENSIBILISIERUNG FÜR CYBERSICHERHEIT: RISIKEN FÜR VERBRAUCHER DURCH ONLINEVERHALTEN

Kombinierte Attacke auf Mobile Geräte

Live Update (Auto Update)

Sicherheit für Windows Vista Teil 2: Windows Tool zum Entfernen bösartiger Software

Endpoint Web Control Übersichtsanleitung

Upgrade von Windows Vista auf Windows 7

Revit Modelle in der Cloud: Autodesk 360 Mobile

Windows Small Business Server (SBS) 2008

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

Wie richten Sie Ihr Web Paket bei Netpage24 ein

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

TeamSpeak3 Einrichten

Firewalls für Lexware Info Service konfigurieren

Übung - Konfigurieren einer Windows-XP-Firewall

Machen Sie mit IPS den Patch Tuesday zu einem ganz normalen Tag

CHECK POINT CHECK POINT. Software Blade Architektur. Sicher. Flexibel. Einfach.

ANYWHERE Zugriff von externen Arbeitsplätzen

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Verbreitete Angriffe

Neuigkeiten in Outpost Firewall Pro 2008

Swisscom TV Medien Assistent

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

Lizenzen auschecken. Was ist zu tun?

Aareon Internet GES Setup

Verwendung des Terminalservers der MUG

Einführung Inhaltsverzeichnis

F-Secure Mobile Security für Windows Mobile 5.0 Installation und Aktivierung des F-Secure Client 5.1

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

File Sharing zwischen Mac und PC über Crossover-Kabel

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

INTERNET-SICHERHEIT SICHERHEITSPAKET INSTALLATION

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

SCHWACHSTELLE MENSCH

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

In den vorliegenden, schrittweise aufgebauten Anweisungen

Backup Premium Kurzleitfaden

Überprüfung der digital signierten E-Rechnung

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB

2. ERSTELLEN VON APPS MIT DEM ADT PLUGIN VON ECLIPSE

KASPERSKY ANTI-MALWARE PROTECTION SYSTEM BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Netzwerkeinstellungen unter Mac OS X

RISIKEN BEIM ONLINE- UND MOBILE-BANKING

Guide DynDNS und Portforwarding

Protect 7 Anti-Malware Service. Dokumentation

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Trend Micro Worry-Free Business Security 8.0 Tipps und Tricks zur Erstinstallation

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Downloadlinks für Bitdefender-Sicherheitslösungen

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Bedienungsanleitung für den SecureCourier

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

XEROX SICHERHEITSBULLETIN XRX Eine Schwachstelle im Xerox MicroServer-Webserver könnte zu einem Denial of Service (DoS) führen.

FTP-Leitfaden RZ. Benutzerleitfaden

Anleitung. Update/Aktualisierung EBV Mehrplatz Homepage

Xerox Device Agent, XDA-Lite. Kurzanleitung zur Installation

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

WordPress lokal mit Xaamp installieren

Computersicherheit im Informationszeitalter / Seth Buchli

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Dropbox Schnellstart. Was ist Dropbox? Eignet sich Dropbox für mich?

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

12. Dokumente Speichern und Drucken

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Installation der IKARUS mobile.security

Installation und Inbetriebnahme von SolidWorks

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Woher kommt die Idee Internet?

Avira Support Collector. Kurzanleitung

:: Anleitung Hosting Server 1cloud.ch ::

Family Safety (Kinderschutz) einrichten unter Windows 7

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

Transkript:

Rufen Sie uns doch an Tel. +49 89 930 99 0 Oder senden Sie uns Contact Check Point now eine E-Mail: checkpoint@computerlinks.de http://www.computerlinks.de www.checkpoint.com/contactus By phone in the US: 1-800-429-4391 option 5 or 1-650-628-2000 CHECK POINT SICHERHEITSBERICHT 2013 Sie haben Fragen zu Check Point? CHECK POINT SICHERHEITSBERICHT 2013 JANUAR 2013 COntACt CHeCK POint Worldwide Headquarters 5 Ha Solelim Street, Tel Aviv 67897, Israel Tel: 972-3-753-4555 Fax: 972-3-624-1100 Email: info@checkpoint.com U.S. Headquarters 800 Skyway 959 Bridge Parkway, Road, Suite Redwood 300, San City, Carlos, CA 94065 CA 94070 Tel: 800-429-4391; Tel: 800-429-4391; 650-628-2000 650-628-2000 Fax: 650-654-4233 Fax: 650-654-4233 www.checkpoint.com www.checkpoint.com 2003 2012 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check Point 4600, Check Point 4800, Check Point 12000 Appliances, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On Demand, the Check Point logo, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, the More, better, Simpler Security logo, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, and the Zone Labs logo are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product names mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611, 6,496,935, 6,873,988, 6,850,943, 7,165,076, 7,540,013, 7,725,737 and 7,788,726 and may be protected by other U.S. Patents, foreign patents, or pending applications. März 2013 October 16, 2012 cover_print.indd 1 Classification: [Protected] - All rights reserved. 05.03.13 16:29

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 002

CHECK POINT SICHERHEITSBERICHT 2013 Check Point Sicherheitsbericht 2013 01 Einführung und Methodik 004 02 Bedrohungen für Ihr Unternehmen 006 03 Anwendungen im Arbeitsbereich von Unternehmen 020 04 Fälle von Datenverlust in Netzwerken 030 05 Zusammenfassung und Sicherheitsstrategie 036 06 Check Point Software Technologies 038 A Anhang 042 003

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 01 EINFÜHRUNG UND METHODIK Wie Wasser keine unveränderliche Form kennt, gibt es im Krieg keine unveränderlichen Bedingungen. 1 Obwohl dieser Satz bereits 2.600 Jahre alt ist, hat er immer noch eine überraschend hohe Relevanz für die moderne Kriegsführung den Cyber-Krieg. Die Techniken von Hackern unterliegen einem steten Wandel, sie setzen immer fortschrittlichere und komplexere Angriffsmethoden ein. So wird Sicherheit zu einer immer größeren Herausforderung. Rechenzentren, Computer von Mitarbeitern und Mobiltelefone gehören zu den häufigsten Zielen von Hackern. Diese setzten eine schier unendliche Vielfalt an Malware ein, zum Beispiel Bots, Trojaner und Drive-By-Downloads. Hacker nutzen Tricks und Social Engineering zur Manipulation ahnungsloser Nutzer, um so Zugriff auf Unternehmensdaten zu erhalten, wie interne Dokumente, Finanzberichte, Kreditkartennummern und Benutzerdaten, oder auch, um Dienste mittels Denial-of-Service-Angriffen abzuschalten. Diese moderne Art des Krieges mit hoch entwickelten Bedrohungen und Angriffen wird weiter fortgesetzt. Immer mehr Unternehmensdaten werden in Rechenzentren, auf Servern, PCs und Mobilgeräten gespeichert. Mehr Daten und Plattformen bedeuten größere Risiken. Außerdem wird die Anzahl der Sicherheitsbedrohungen nicht kleiner, und jeder neue Angriff zeigt einen noch höheren Entwicklungsgrad. Welchen Sicherheitsrisiken war Ihre Netzwerkumgebung im letzten Jahr am häufigsten ausgesetzt? Welche Risiken kommen im nächsten Jahr auf Sie zu? Dies waren die beiden wichtigsten Fragen, mit denen sich Check Points Sicherheitsexperten für Sicherheit in den letzten Monaten auseinandergesetzt hat. Im Zuge der Beantwortung dieser Fragen hat Check Point eine intensive Sicherheitsanalyse durchgeführt. Dieser Bericht gewährt einen Einblick in Sicherheit relevante Ereignisse in Netzwerken, die im Jahr 2012 in Unternehmen weltweit auftraten. Er informiert über die Sicherheit relevante Ereignisse in diesen Unternehmen, es werden Beispiele öffentlich gewordener Fälle genannt, und es wird erklärt, wie einige der Angriffe durchgeführt wurden. Darauf folgen Empfehlungen, welche Schutzmaßnahmen gegen derartige Sicherheitsbedrohungen ergriffen werden können. Der Bericht ist dreiteilig. Jeder Teil behandelt einen anderen Sicherheitsaspekt. Der erste Teil umfasst Sicherheitsbedrohungen wie Bots, Viren, Sicherheitslücken und Angriffe. Der zweite Teil behandelt risikoreiche Webanwendungen, die zur Bedrohung für die Sicherheit von Unternehmensnetzwerken werden. Der dritte Teil schließlich befasst sich mit Datenverlust durch unbeabsichtigte Handlungen von Mitarbeitern. Methodik Der Check Point Sicherheitsbericht 2013 basiert auf umfassender Untersuchung und Analyse von Sicherheitsereignissen. Die Informationen stammen vorwiegend aus vier Quellen: Analyseberichte von Check Point Sicherheits-Gateways 2, Check Point ThreatCloud 3, Check Point SensorNet -Netzwerk und Berichte von Check Point Endpoint Security. Es wurde eine Metaanalyse von Sicherheitsereignissen in Netzwerken von 888 Unternehmen durchgeführt. Hierbei fanden Daten Verwendung, die mithilfe von Check Point Security Gateways erfasst wurden. Diese Gateways scannen den ein- und ausgehenden Live-Netzwerkdatenverkehr in Unternehmen. Der Datenverkehr wurde mit der Software Blade Architektur von Check Point überprüft, um eine Vielzahl von Sicherheitsbedrohungen aufzuspüren, unter anderem risikoreiche Anwendungen, versuchtes Eindringen, Viren, Bots und Verlust sensibler Daten. Der Netzwerkverkehr wurde in Echtzeit überwacht, durch die Implementierung des Check Point Sicherheits- Gateways, inline oder im Überwachungsmodus (TAP). 004

CHECK POINT SICHERHEITSBERICHT 2013 Im Durchschnitt wurde der Netzwerkverkehr der einzelnen Unternehmen 134 Stunden überwacht. Die untersuchten Unternehmen stammen aus vielen verschiedenen Branchen und befinden sich an unterschiedlichen Standorten weltweit, wie die Diagramme 1-A und 1-B zeigen. Zusätzlich wurden über 111,7 Millionen Ereignisse aus 1.494 Security Gateways ausgewertet, mithilfe von Daten, die durch ThreatCloud von Check Point generiert wurden. ThreatCloud ist eine umfangreicher Security-Service (Anti-Virus, Anti-Malware, URL-Filtering), der in Echtzeit aktualisiert wird. Daten werden aus einem großen Netzwerk globaler Sensoren eingespeist, die weltweit strategisch platziert sind und Informationen zu Bedrohungen und Angriffen von Malware sammeln. ThreatCloud ermöglicht ein gemeinsames Netzwerk zur Bekämpfung von Cyber-Kriminalität durch die Identifizierung sich abzeichnender weltweiter Sicherheitstrends und Bedrohungen. Es erfolgte eine Auswertung von Daten aus ThreatCloud, die innerhalb von drei Monaten zwischen August und Oktober 2012 erfasst wurden. Referenzmaterial zu den Daten aus ThreatCloud wurde durch das SensorNet -Netzwerk von Check Point im Zeitraum vom 1. Juli bis zum 30. September 2012 gesammelt. Check Point SensorNet ist ein global verteiltes Netzwerk von Sensoren, die Sicherheitsinformationen und Datenverkehrsstatistiken an ein zentrales Analysesystem senden. Diese Daten werden ausgewertet, um Trends und Anomalien aufzuspüren und eine Echtzeit-Darstellung der weltweiten Sicherheitslage bereitzustellen. Außerdem wurde eine Metaanalyse von 628 Endpoint-Sicherheitsberichten in vielen verschiedenen Unternehmen durchgeführt. Diese Sicherheitsanalyse umfasste eine Prüfung aller Hosts zur Erkennung von Risiken in puncto Datenverlust, Eindringlinge und Malware. Die Analyse wurde mit dem Berichts-Tool von Check Point Endpoint Security durchgeführt. Dieses prüft, ob Virenschutz auf dem Host installiert und auf dem neuesten Stand ist, ob die aktuellste Softwareversion installiert ist und vieles mehr. Das Tool ist kostenlos und öffentlich zugänglich. Es steht auf der Website 4 von Check Point zum Download zur Verfügung. Dieser Bericht basiert auf Daten aus den oben genannten Quellen. Quelle: Check Point Software Technologies Geografie Branchen 26 % Sonstige 235 Diagramm 1-A 40 % EMEA* 354 39 % Industrie 346 40 % Nord- und Südamerika 356 14 % Finanzwesen 128 10 % Regierungen 89 20 % APAC* 178 4% Consulting 31 7 % Telekommunikation 59 *APAC Asiatisch-pazifischer Raum und Japan EMEA Europa, Naher Osten und Afrika Branchenspezifikation Industrie Chemie/Raffinerie, Gesundheitswesen, Pharmazie, IT, Produktion, Transport, Versorgung, Infrastruktur Finanzwesen Finanzen, Buchhaltung, Online-Banking, Investment Regierung Behörden, Militär Telekommunikation Telekommunikation, Dienstanbieter, ISP, MSP Consulting Consulting Services Sonstige Werbung/Medien, Distributor, Bildung, Recht, Freizeit/Gastgewerbe, Einzel-/Großhandel, Sonstige 005

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 02 BEDROHUNGEN FÜR IHR UNTERNEHMEN Sondermeldung: Neuer Cyber-Angriff aufgedeckt Im Jahr 2012 verbreiteten sich Cyber-Angriffe beständig und sorgten weiterhin für Schlagzeilen. Beinahe täglich schaffen es Bedrohungen durch Schadsoftware, Angriffe und Bot-Netze auf die Titelseiten der Zeitungen. Hacker feiern berüchtigte Erfolge beim Stehlen von Daten, Stilllegen von Abläufen und Ausspionieren von Unternehmen und Regierungen. Die folgenden Beispiele von Cyber-Angriffen im Jahr 2012 sind dabei nur die Spitze des Eisbergs: Hacker-Angriff auf das Netzwerk 6 des Weißen Hauses, Hacker-Aktivisten der Gruppe Anonymus legten die Websites der Handelsgruppen U.S. Telecom Association und TechAmerica 7 still, Cyber-Angriffe trafen die Capital One Financial Corp., BB&T Corp., die HSBC Bank USA 8 und viele andere. Advanced Persistent Threats Cyber-Kriminelle sind längst keine isolierten Amateure mehr. In vielen Fällen gehören sie gut strukturierten Organisationen an, die an Terrorzellen erinnern. Sie sind finanziell gut ausgestattet, ES GIBT NUR ZWEI ARTEN VON UNTERNEHMEN: DIEJENIGEN, DIE BEREITS GEHACKT WURDEN, UND DIEJENIGEN, DIE NOCH GEHACKT WERDEN. Robert Mueller, Director, FBI, März 2012 5 motiviert und verfolgen bestimmte Ziele. Cyber-Kriminelle scheinen ein hohes Maß an Zeit und Ressourcen in das Sammeln von Informationen zu investieren. Ihre kriminellen Aktivitäten verursachen große Schäden bei Unternehmen, unter anderem Verlust vertraulicher Daten, Ausfälle, Image-Schäden und selbstverständlich auch finanzielle Einbußen. Die komplexesten und langwierigsten Angriffe, die zum Erreichen eines bestimmten, vorher festgelegten Ziels dienen, werden als Advanced Persistent Threats (APT) bezeichnet. Es ist unwahrscheinlich, dass sie von herkömmlichen Sicherheitssystemen erkannt werden. Dies stellt eine Gefahr für Regierungen, große Unternehmen, Kleinunternehmen und sogar private Netzwerke dar. BLACKHOLE EIN EXPLOIT-KIT FÜR DIE MASSE Der starke Anstieg von schädlichen Aktivitäten im letzten Jahr liegt zum Teil daran, dass Hacker ganz einfach vorgefertigte Tools und Pakete für Angriffe nutzen. Mit nur einem Klick kann jeder ein komplettes, hochentwickeltes Angriffspaket herunterladen. Eines dieser Pakete ist das BlackHole Exploit Kit ein weitverbreitetes, webbasiertes Softwarepaket. BlackHole besteht aus mehreren Tools, die Sicherheitslücken in Webbrowsern ausnutzen, um Viren, Bots, Trojaner und andere Schadsoftware auf die Computer ahnungsloser Opfer herunterzuladen. Der Preis für diese Kits liegt zwischen 50 US-Dollar für einen Tag Nutzung, bis hin zu 1.500 für ein ganzes Jahr 9. 006

CHECK POINT SICHERHEITSBERICHT 2013 DATENLECKS IM JAHR 2012 Im letzten Jahr tauchten mehrere Datenlecks auf, wobei Kreditkarten-, Kunden-, Studenten- oder Patientendaten von Unternehmensservern ausgekundschaftet wurden. Diese schädlichen Aktivitäten zielen darauf ab, vertrauliche Informationen zu erlangen. Die folgende Liste enthält einige Beispiele: Global Payments Inc. Ein globales Unternehmen für Zahlungsverarbeitung wurde im Juni 2012 gehackt. Über 1,5 Millionen Kreditkartenangaben wurden gestohlen. Clarksville, Tennessee, USA Im Juni 2012 drangen Hacker in das System der Clarksville- Montgomery County-Schulen ein und erbeuteten die Namen, Sozialversicherungsnummern und weitere persönliche Daten von rund 110.000 Personen. Die Hacker verwendeten Informationen, die Angestellte und Schüler online angegeben hatten, um Zugriff auf das System zu erhalten 10. Serco Thrift Savings Plan Im Mai 2012 führte ein Angriff auf Serco in den USA dazu, dass Daten von 123.000 Bundesbediensteten gestohlen wurden. Universität von Nebraska Ein Datenleck führte zum Diebstahl von über 650.000 Dateien mit persönlichen Daten von Studenten, Ehemaligen, Eltern und Angestellten der Universität aus der Datenbank des Nebraska Student Information System. USA, Utah Department of Technology Services Im März 2012 wurden 780.000 Patientenakten mit Daten zu Ansprüchen auf Medicaid-Leistungen (staatl. Gesundheitsfürsorge) vermutlich von Hackern aus Osteuropa von einem Server entwendet. Staatliches Gesundheitssystem Großbritanniens Zwischen Juli 2011 und Juli 2012 traten beim staatlichen britischen Gesundheitssystem (National Health Service) mehrere Datenlecks auf, die nahezu 1,8 Millionen Patientenakten preisgaben 11. Der erste Schritt eines APT-Angriffs besteht typischerweise darin, Erkundungen vorzunehmen und somit Informationen über das Ziel zu erhalten. Dann erfolgt ein erstes Eindringen in das Netzwerk des Opfers, um eine Backdoor (Hintertür) zu öffnen und sich im Netzwerk einzunisten. Dies wird meist dadurch erreicht, dass ein Host mit einem Bot infiziert wird, der es dem Angreifer ermöglicht, unentdeckt mit dem infizierten Host zu kommunizieren. Der Angreifer versucht dann, weiter in das Netzwerk vorzudringen und noch mehr Knotenpunkte zu beeinträchtigen. Nach diesem Schritt hat der Angreifer sein Ziel BOT-TOOLKITS WERDEN ONLINE FÜR NUR 500 US-DOLLAR VERKAUFT UND VERURSACHEN BEI UNTERNEHMEN VERLUSTE IN MILLIONENHÖHE erreicht. Jetzt kann er den infizierten Host verwenden, um Daten zu sammeln oder ferngesteuert Schaden anzurichten. Dabei bleibt er über einen langen Zeitraum beständig unentdeckt im Netzwerk. Bot-Netze wird es weiterhin geben Eine der größten Bedrohungen der Netzwerksicherheit, denen Unternehmen heute ausgesetzt sind, stellen Bot-Netze dar. Ein Bot ist eine Form von Schadsoftware, die in einen Computer eindringt, diesen infiziert und es Kriminellen ermöglicht, aus der Entfernung die Kontrolle über den Rechner zu übernehmen. Der infizierte Computer kann dann illegale Aktivitäten ausführen, zum Beispiel Diebstahl von Daten, Versenden von Spam, Verteilen von Malware und Teilnahme an Denial-of-Service (DoS)-Angriffen. Dies geschieht oft ohne dass der Nutzer des infizierten Computers es bemerkt. Bots spielen außerdem eine entscheidende Rolle bei APT-Angriffen. 007

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 Unter den aktuellen Bedrohungen zeichnen sich zwei starke Trends ab, die auf Bot-Angriffen basieren. Der erste Trend ist die wachsende, profitorientierte Cyber-Kriminalität. Zu dieser Branche gehören Cyber-Kriminelle, Anwender von Malware, Programmierer sowie Anbieter von Tools und Partnerprogrammen. Ihre Produkte können ganz einfach online auf bestimmten Websites bestellt werden (zum Beispiel: Malware-Sets für Einsteiger, Versenden von Spam, Datendiebstahl und Denial-of-Service-Angriffe), und für Unternehmen ist es schwierig, diese Angriffe abzuwehren. Der zweite Trend besteht aus ideologischen und staatlich veranlassten Angriffen, die Personen oder Unternehmen aus politischen Gründen attackieren oder Teil einer Cyber-Kriegskampagne sind. Bot-Netze wird es weiterhin geben. Im Gegensatz zu Viren und anderer herkömmlicher statischer Malware (deren Code und Form gleich bleiben) sind Bot-Netze dynamisch und können schnell Form und Verhaltensmuster ändern. Bot-Toolkits werden online für nur 500 US-Dollar verkauft und verursachen durch AKTIVITÄTEN VON BOT-NETZEN Versand von Spam-E-Mails Verbreitung von Viren Verbreitung von Schadsoftware Angriffe auf Computer und Server Datendiebstahl 008

CHECK POINT SICHERHEITSBERICHT 2013 63 % DER UNTERSUCHTEN UNTERNEHMEN WAREN VON BOTS BEFALLEN ihre Angriffe bei Unternehmen Verluste in Millionenhöhe. Bots sind zu einem riesigen Problem geworden. Bot-Netze gibt es überall, aber wie konkret ist die Bedrohung? Schätzungsweise bis zu einem Viertel aller Privatcomputer mit Internetverbindung könnten Teil eines Bot-Netzes 12 sein. Unsere jüngsten Forschungsergebnisse zeigen, dass in 63 % der Unternehmen mindestens ein Bot entdeckt wurde. Die meisten Unternehmen sind mit einer Vielzahl von Bots infiziert. Rechner und schaltet die Verteidigung durch den Virenschutz aus. Bots sind schwer zu entdecken, da sie sich in Computern verstecken und ihre Erscheinungsform gegenüber Antiviren- Software verändern. Der Bot verbindet sich dann mit dem Command & Control-Center (C&C), um Anweisungen von den Cyber-Kriminellen zu erhalten. Für diese Verbindungen werden viele Kommunikationsprotokolle genutzt, einschließlich Anzahl der mit Bots infizierten Hosts (% der Unternehmen) Funktionsweise von Bot-Netzen Ein Bot-Netz umfasst typischerweise mehrere Computer, die mit Schadsoftware infiziert sind. Diese stellt eine Netzwerkverbindung mit einem oder mehreren Steuersystemen her, sogenannte Command & Control-Server. Wenn ein Bot einen Computer infiziert, übernimmt er die Kontrolle über den Krimineller Bot-Herder Command & Control Bot 10 % 7 9 Hosts 18 % 10 21 Hosts 6 % Mehr als 21 Hosts 48 % 1 3 Hosts Quelle: Check Point Software Technologies Computer mit Internetverbindung Spam, Virus, DDoS 18 % 4 6 Hosts Diagramm 2-A 009

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 Internet Relay Chat (IRC), HTTP, ICMP, DNS, SMTP, SSL und in manchen Fällen eigens von den Programmierern des Bot- Netzes erstellte Protokolle. ALLE 21 MINUTEN KOMMUNIZIERT EIN BOT MIT SEINEM COMMAND & CONTROL-CENTER Command & Control-Aktivitäten Bots treten in vielen verschiedenen Arten und Formen auf und können eine Vielzahl an Aktivitäten ausführen. In vielen Fällen kann bereits ein einzelner Bot eine große Bedrohung darstellen. Befindet es sich erst unter der Kontrolle des Command & Control-Servers, kann ein Bot-Netz vom Bot-Herder angewiesen werden, illegale Aktivitäten ohne das Wissen des Nutzers auszuführen. Dazu gehören das Infizieren weiterer Computer zur Erweiterung des Bot-Netzes, der massenhafte Versand von Spam, DDoS-Angriffe und Diebstahl persönlicher Daten, Finanzdaten und vertraulicher Unternehmensdaten durch Bots im Bot-Netz. Bots werden außerdem oft als Werkzeuge für ATP-Angriffe Häufigkeit der Kommunikation zwischen Bot und Command &Control-Center. 6 % 2 4 Stunden 25 % Bis zu 1 Stunde 24 % Mehr als 4 Stunden 45 % 1 2 Stunden Quelle: Check Point Software Technologies verwendet, bei denen Cyber-Kriminelle gezielt Personen oder Unternehmen attackieren. Diagramm 2-B zeigt die Häufigkeit der Kommunikation zwischen Bot und Command & Control-Center. 70 % der Bots, die im Zuge unserer Untersuchung entdeckt wurden, kommunizierten mindestens einmal alle zwei Stunden mit ihrem Command & Control-Center. Der Großteil der Command & Control- Aktivitäten fand in den USA statt, gefolgt von Deutschland, den Niederlanden und Frankreich, wie in Diagramm 2-C zu erkennen ist. Die verschiedenen Typen der Kommunikation von Bot zu Command & Control-Center umfassen Berichte über neu infizierte Hosts, Keep-Alive-Nachrichten und Daten, die im Host-System gesammelt wurden. Unsere Untersuchung ergab, dass ein Bot durchschnittlich alle 21 Minuten mit seinem Command & Control-Center kommuniziert. Auf welches Bot-Netz sollte man achten? Es gibt zurzeit Tausende Bot-Netze. Die folgende Tabelle zeigt die bekanntesten und berüchtigtsten Bot-Netze, auf die wir während unserer Forschungen gestoßen sind. Zum besseren Verständnis dieser heimlichen Bedrohungen finden Sie weitere Informationen zu jeder Bedrohung in Anhang A. Bot-Netz-Familie Zeus Zwangi Sality Kuluoz Juasek Papras Weitere Informationen in Anhang A Bösartige Aktivität Diebstahl von Zugangsdaten für Online-Banking Anzeige unerwünschter Werbebotschaften Selbstreproduzierender Virus Entfernte Ausführung von schädlichen Dateien Schädliche Aktionen per Fernzugriff: Öffnen einer Befehlsshell, Suchen/ Erstellen/Löschen von Dateien und mehr Diebstahl von Finanzdaten und Erhalt von Fernzugriff Diagramm 2-B 010

CHECK POINT SICHERHEITSBERICHT 2013 LÄNDER MIT DEN MEISTEN COMMAND & CONTROL-CENTERN 7 % Niederlande 9 % Deutschland Quelle: Check Point Software Technologies 3 % Kanada 58 % USA Diagramm 2-C 7 % Frankreich 3 % Venezuela 3 % Argentinien 3 % Rumänien 4 % China 3 % Australien IN 75 % DER UNTERNEHMEN GREIFT EIN HOST AUF EINE BÖSARTIGE WEBSITE ZU 011

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 Wie Ihr Unternehmen mit Malware infiziert werden kann Es gibt viele Ansatzpunkte zur Durchbrechung des Schutzes von Unternehmen. Browser-basierte Schwachstellen, Mobiltelefone, schädliche Anhänge und Wechselmedien sind nur einige davon. Außerdem bietet die explosionsartige Verbreitung der Verwendung von Web-2.0-Anwendungen und sozialen Netzwerken in Unternehmen Hackern die Gelegenheit, Opfer dazu zu bringen, auf bösartige Links zu klicken oder Malvertisements aufzurufen. Dies ist Schadwerbung, die auf legalen Websites angezeigt wird. Obwohl Bot-Netze zurzeit als eine der größten Bedrohungen für Netzwerksicherheit gelten, werden Unternehmen auch von anderen Bedrohungen im Bereich Malware in Gefahr gebracht, wie Viren, Würmer, Spyware, Adware, Trojaner und viele mehr. Unsere Forschungsergebnisse zeigen, dass in 75 % der Unternehmen ein Host auf eine bösartige Website zugreift. Das folgende Kreisdiagramm zeigt die Anzahl der Hosts, die auf eine bösartige Website zugegriffen haben, und den Prozentsatz an Unternehmen, in denen dies vorkam. In über 50 % der Unternehmen haben mindestens fünf Hosts auf eine bösartige Website zugegriffen. Zugriff auf bösartige Websites nach Anzahl der Hosts (% der Unternehmen) 31 % 1 2 Hosts Diagramm 2-D ALLE 23 MINUTEN GREIFT EIN HOST AUF EINE BÖSARTIGE WEBSITE ZU 18 % 3 4 Hosts 15 % Mehr als 16 Hosts 20 % 5 8 Hosts 16 % 9 16 Hosts Quelle: Check Point Software Technologies Ein Schadprogramm kann von einem Nutzer heruntergeladen werden oder von einem Bot, der den Host bereits befallen hat. Unsere Untersuchung ergab, dass in 53 % der Unternehmen Malware im Unternehmensnetzwerk heruntergeladen wurde. In über 50 % dieser Unternehmen luden mehr als vier Hosts Malware herunter. Das folgende Kreisdiagramm zeigt die durchschnittliche Häufigkeit Häufigkeit von Malware-Downloads (% der Unternehmen) Quelle: Check Point Software Technologies 19 % 2 6 Stunden 14 % Bis zu 2 Stunden Diagramm 2-E 43 % Mehr als 1 Tag 12 % 12 24 Stunden 12 % 6 12 Stunden von Malware-Downloads in den untersuchten Unternehmen. Diagramm 2-G zeigt die Anzahl der Hosts, die ein Schadprogramm heruntergeladen haben. In über 50 % der Unternehmen haben mindestens fünf Hosts auf eine bösartige Website zugegriffen. Bei unserer Untersuchung wurde der Großteil der Malware in den USA entdeckt, gefolgt von Kanada und Großbritannien, wie in Diagramm 2-F zu erkennen. Eine Methode zum Schutz vor Malware ist Virenschutz. Allerdings ergab unsere Untersuchung, dass 23 % der Hosts in Unternehmen ihren Virenschutz nicht täglich aktualisieren. Ein Host ohne aktuellen Virenschutz ist den neuesten Viren schutzlos ausgesetzt. Außerdem wurde deutlich, dass sich auf 14 % der Hosts in Unternehmen überhaupt kein Virenschutz befand. Hosts ohne Virenschutz sind besonders anfällig für eine Infektion mit Malware. 012

CHECK POINT SICHERHEITSBERICHT 2013 LÄNDER MIT DER MEISTEN MALWARE 4 % Großbritannien 3 % Deutschland Quelle: Check Point Software Technologies 8 % Kanada 71 % USA 2 % Frankreich 2 % Slowakei 2 % Tschechien 3 % Israel 3 % Türkei 2 % China Diagramm 2-F Anzahl der Hosts, die ein Schadprogramm heruntergeladen haben (% der Unternehmen) Diagramm 2-G 45 % 1 4 Hosts 13 % 5 8 Hosts 10 % 9 16 Hosts 12 % 17 32 Hosts 20 % Mehr als 33 Quelle: Check Point Software Technologies miniflame : eine kleinere und gefährlichere Version des Flame-Virus Scheinbar ist die Malware Flame, die zu Beginn des Jahres 2012 entdeckt wurde, nur der Anfang. Im Laufe des Jahres wurde ein verwandtes Programm namens miniflame entdeckt, das präzisere Angriffe auf Ziele im Nahen Osten ausführt. miniflame enthält eine Backdoor, die Fernsteuerung, Datendiebstahl und das Erzeugen von Screenshots ermöglicht. 013

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 EUROGRABBER-ANGRIFF Über 36 Million Euro von mehr als 30.000 Bankkunden gestohlen Im Jahr 2012 fand ein komplexer multidimensionaler Angriff auf verschiedene Banken in Europa statt, bei dem ca. 36 Millionen Euro von über 30.000 Bankkunden gestohlen wurden. Die Daten lagen völlig offen, und Online-Banking-Kunden wussten nicht, dass sie Ziel eines Trojaner-Angriffs geworden waren, dass ihre Online-Banking-Sitzungen manipuliert wurden oder dass Geld direkt von ihren Konten gestohlen wurde. Diese Angriffskampagne wurde von Versafe und Check Point Software Technologies entdeckt und Eurograbber genannt. Der Eurograbber-Angriff umfasste eine neue und sehr erfolgreiche Variante des Trojaners ZITMO (Zeus-In-The-Mobile). Bis jetzt wurde diese Attacke nur in Ländern der Eurozone entdeckt. Eine Variation des Angriffs könnte jedoch auch Banken in Ländern außerhalb der EU gefährlich werden. Der mehrschichtige Angriff infizierte die Computer und Mobilgeräte der Online-Banking-Kunden, und sobald die Eurograbber- Trojaner auf beiden Geräten installiert waren, wurden die Online-Banking-Sitzungen der Bankkunden vollständig von den Angreifern überwacht und manipuliert. Sogar die Zwei- Faktor-Authentifizierung, die von Banken zur Sicherung des Online-Banking eingesetzt wird, wurde bei dem Angriff umgangen. Die Angreifer nutzten diese sogar, um ihre illegalen Finanztransaktionen zu authentifizieren. Außerdem wurden die Trojaner, die zum Angriff auf Mobilgeräte eingesetzt wurden, für Blackberry- und Android-Betriebssysteme entwickelt. So konnten mehr Ziele erreicht und sowohl geschäftliche als auch private Bankkunden erfasst werden. Dies führte zu illegalen Abbuchungen von 500 bis 250.000 Euro pro Kundenkonto. Weitere Informationen zum Eurograbber-Angriff, einschließlich eines detaillierten Ablaufs der Attacke, finden Sie auf der Website von Check Point im Whitepaper zum Fallbeispiel Eurograbber- Angriff 12. Mehr Schwachstellen, mehr Exploits Allgemein bekannte Schwachstellen sind Hauptziele für Hacker. Diese verlassen sich auf die einfache Tatsache, dass viele Unternehmen ihre Software nicht wöchentlich aktualisieren. Je größer das Unternehmen, desto schwieriger ist es für Sicherheitsadministratoren, alle Systeme ständig aktuell zu halten. Daher kann in vielen Fällen eine Schwachstelle mit Patch, die bereits seit einem Jahr bekannt ist, immer noch dazu verwendet werden, in die Systeme großer und kleiner Unternehmen einzudringen, die in ihre Systeme nicht die neuesten Patches implementiert haben. Die schiere Anzahl an Schwachstellen, die jedes Jahr offengelegt werden, ist überwältigend. Allein 2012 wurden 5.00013 neue Möglichkeiten für Hacker entdeckt, Schaden zu verursachen und auf Systeme zuzugreifen. Außerdem existieren immer noch viele weitere unentdeckte Schwachstellen, die aktiv von Cyber- Kriminellen verwendet werden. Diagramm 2-I zeigt auf, dass die gängigsten Produkte, die von beinahe allen Unternehmen weltweit verwendet werden, am anfälligsten für Schadsoftware sind: Produkte von Oracle, Apple und Microsoft sind am stärksten gefährdet. Unsere Untersuchung zeigte, dass 75 % der Hosts in Unternehmen nicht die aktuellsten Softwareversionen verwenden (zum Beispiel: Acrobat Reader, Flash Player, Internet Explorer, Java Runtime Gesamtzahl gängiger Schwachstellen und Risiken Quelle: Gängige Schwachstellen und Risiken (CVE) Diagramm 2-H 5.672 2012 5.235 2011 5.279 2010 5.132 2009 014

CHECK POINT SICHERHEITSBERICHT 2013 2012 Environment und weitere). Das bedeutet, diese Hosts bieten eine große Zahl an Schwachstellen, die von Hackern ausgenutzt werden können. Unsere Untersuchung ergab außerdem, dass 44 % der Hosts in Unternehmen nicht die aktuellsten Service Packs für Microsoft Windows installiert haben. Service Packs enthalten üblicherweise Sicherheitsupdates für das Betriebssystem. Es ist ein Sicherheitsrisiko, das aktuellste Service Pack nicht zu installieren. Es zeigte sich außerdem, dass in 68 % der Unternehmen Sicherheitsereignisse in Zusammenhang mit Produkten von Microsoft auftraten. Sicherheitsereignisse in Zusammenhang mit anderen Softwareherstellern wie Adobe und Apple wurden in einer deutlich geringeren Anzahl von Unternehmen entdeckt. Es ist interessant, dass obwohl Apple die Nummer zwei in Bezug auf Schwachstellen darstellt nur in einer vergleichsweise kleinen Zahl von Unternehmen Sicherheitsereignisse mit Bezug zu Apple-Produkten auftraten. Quelle: Gängige Schwachstellen und Risiken (CVE) Häufigste Schwachstellen und Risiken 2012 nach Anbieter 80 Google 62 PHP 59 HP Diagramm 2-I 150 Firefox 119 Adobe 119 Cisco 118 IBM 260 Apple 222 Microsoft 384 Oracle Quelle: Check Point Software Technologies Sicherheitsereignisse nach Softwareanbieter % der Unternehmen 5 % Novell 5 % Apache 4 % Apple 3 % HP Diagramm 2-J 15 % Oracle 13 % Adobe 68 % Microsoft Hacker verwenden verschiedene Techniken, die als Angriffsmethoden bezeichnet werden. Das Diagramm 2-K zeigt einige dieser Angriffsmethoden sowie den Prozentsatz an Unternehmen, die ihnen zum Opfer gefallen sind. Beschädigung von Speichern, Pufferüberlauf und Denial-of-Service-Angriffe sind nach unseren Forschungsergebnissen die häufigsten Angriffsmethoden. 015

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 Häufigste Angriffsmethoden Pufferüberlauf 32 % Beschädigung von Speichern 32 % Code-Ausführung 24 % Denial-of-Service 32 % 19 % Stack-Überlauf 15 % Registrierungs-Spoofing 10 % Ganzzahlüberlauf 8 % Offenlegung von Informationen 6 % Null-Zeiger-Dereferenzierung 5 % Privilegienerweiterung 2 % Pufferüberlauf 1 % Authentifizierungsumgehung Quelle: Check Point Software Technologies SQL-Injektion ist eine Sicherheitsbedrohung (CVE-2005-0537), bei der ein Angreifer SQL-Code (Structured Query Language) in die Eingabemaske eines Web-Formulars einschleust, um so Zugriff auf Ressourcen zu erhalten oder Veränderungen an gespeicherten Daten vorzunehmen. Diagramm 2-M zeigt, wie ein solcher Angriff aussieht. Der markierte Text zeigt die Daten, die der Hacker mithilfe der SQL-Injektion offenlegen wollte (in diesem Fall Benutzernamen und Kennwörter). Die SQL-Befehle sind: select, concat und from. Der Angriff wurde von 99 verschiedenen IP-Adressen aus durchgeführt. Obwohl sich das attackierte Unternehmen in Europa befindet, fanden die Angriffe von vielen verschiedenen Orten aus statt, wie Diagramm 2-M erkennen lässt. Eine SQL-Injektion kann manuell erfolgen (ein Hacker verwendet eine Tastatur) oder automatisiert sein (skriptbasierter Angriff). In diesem Fall, wie in Diagramm 2-L zu sehen ist, bestand die Spitze des Angriffs aus 4.184 Angriffsversuchen (wahrscheinlich automatisiert), die innerhalb von zwei Tagen mit dem gleichen Injektionsmuster von einer einzigen IP-Adresse aus durchgeführt wurden. SQL-Injektionsrate Anzahl der SQL Injection 2.500 2.000 1.500 Diagramm 2-K 1.000 500 Wie sieht ein SQL-Injektionsangriff aus? Ablauf einer SQL-Injektion Dieser Fall zeigt ein reales Beispiel einer Serie von SQL- Injektionsangriffen, die zwischen Juli und Oktober 2012 in der Umgebung eines Kunden von Check Point stattfanden. Der Angriff wurde von einem Check Point Sicherheits-Gateway entdeckt und abgewehrt. Dieser Fall wurde vom Check Point ThreatCloud Managed Security Service Team aufgezeichnet. 22. Juli 5. Aug. Diagramm 2-J 19. Aug. 2. Sept. 16. Sept. 30. Sept. 14. Okt. 28. Okt. 016

58 Spanien CHECK POINT SICHERHEITSBERICHT 2013 SQL-INJEKTIONSRATE NACH URSPRUNGSLAND TOP 10 Diagramm 2-M 130 Algerien 198 Russland 369 USA Quelle: Check Point Software Technologies 122 Niederlande 98 Deutschland 53 Georgien 52 Ukraine 42 Rumänien 37 Großbritannien http:// /ns/index. php?action=com_clan&cid=185 and 1=2 union select 1,2,3,4,5,6,concat(0x26,0x26,0x26,0x25,0x 25,0x25,username,0x3apassword 0x25,0x25,0x25,0x26,0x26,0x26),8 from jos_users-- Sicherheitsempfehlungen Mehrere Sicherheitsebenen Da Bedrohungen immer komplexer werden, wachsen auch die Sicherheitsanforderungen. Zur Maximierung der Netzwerksicherheit in Unternehmen ist ein mehrschichtiger Schutzmechanismus erforderlich, der Schutz gegen die verschiedenen Angriffsmethoden bei Netzwerkbedrohungen und Sicherheitslücken bietet: Anti-Virus zur Identifizierung und Abwehr von Malware Anti-Bot zur Aufdeckung und Verhinderung von Schäden durch Bots IPS zum proaktiven Schutz vor Eindringlingen Web-Kontrolle URL Filtering und Anwendungskontrolle zur Verhinderung von Zugriffen auf Websites, die Malware hosten oder verbreiten Echtzeit-Sicherheitsinformationen und globale Zusammenarbeit Intelligente Überwachung, die proaktive Datenanalyse liefert Eingehende schädliche Daten aufhalten Unternehmen benötigen eine Anti-Malware-Lösung zur Überprüfung von Dateien, die in das Netzwerk eindringen. Diese muss in Echtzeit entscheiden können, ob die Dateien von Malware befallen sind. Die Lösung sollte schädliche Dateien davon abhalten, 017

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 2012: Ein Jahr des Hacktivismus Die politischen Turbulenzen, die im Jahr 2010 mit dem Arabischen Frühling begannen, setzten sich auch 2012 mit verschiedenen Protestbewegungen in weiteren Ländern fort. Es ist daher keine Überraschung, dass eine Welle ideologisch motivierter Cyber-Angriffe entstand. Der Apple-Zulieferer Foxconn wurde von einer Organisation gehackt, die sich selbst Swagg Security nennt. Dieser Angriff fand offensichtlich aufgrund von Medienberichten statt, die über schlechte Arbeitsbedingungen in den Werken des Herstellers in China berichteten. 14 Die Hacktivismus-Gruppierung Anonymous behauptete, einen Website-Server des US-amerikanischen Justizministeriums für das Bureau of Justice Statistics gehackt zu haben und veröffentlichte 1,7 GB gestohlene Daten. Die Organisation verbreitete folgende Aussage zu den gestohlenen Daten: Wir veröffentlichen sie, um der Korruption Einhalt zu gebieten und diejenigen, die unterdrückt werden, wirklich zu befreien. 15 Die Websites und E-Mail-Server des Vatikans wurden ebenfalls gehackt. Der Angriff durch Anonymus dauerte eine Woche. Die Gruppierung rechtfertigte diese Aktion mit der Behauptung, dass leistungsstarke Sender des Vatikan-Radios in ländlichen Gebieten außerhalb von Rom angeblich ein Gesundheitsrisiko darstellten. Die Gruppe behauptete weiterhin, dass diese Sender Leukämie und Krebs bei Menschen auslösten, die in der Nähe lebten. Außerdem behauptete Anonymous weiter, der Vatikan habe die Nazis unterstützt, historisch wertvolle Bücher zerstört und seine Geistlichen hätten Kinder sexuell belästigt. 16 Mit einem weiteren Cyber-Angriff legten Hacker der Gruppe Anonymous die Websites der Handelsgruppen U.S. Telecom Association und TechAmerica lahm. Diese Angriffe wurden anscheinend durchgeführt, da diese Unternehmen die Gesetzesvorlage zur Cyber-Sicherheit des Abgeordneten Mike Rogers unterstützen. Dieser Gesetzesvorschlag würde es privaten Unternehmen und der Regierung der USA ermöglichen, Informationen, die direkt eine Schwachstelle eines oder eine Bedrohung für ein Computernetzwerk darstellen, freizugeben. 17 Unternehmensnetzwerke zu infizieren und außerdem den Zugriff auf Webseiten mit Malware verhindern, die versuchen, Drive-By- Downloads auszuführen. Mehrschichtiger Bot-Schutz Schutz vor Bots besteht aus zwei Phasen: Aufdeckung und Abwehr. Zur Maximierung der Möglichkeiten, Bots in einem Netzwerk zu erkennen und alle Aspekte des Bot-Verhaltens abzudecken, ist ein mehrschichtiger Aufspürmechanismus für Bots erforderlich. Eine Sicherheitslösung zum Aufspüren von Bots sollte eine Reputationsprüfung enthalten, die IP, URL und DNS erkennt, die zur Verbindung mit einem Bot-Netz von Kriminellen aus der Ferne verwendet werden. Außerdem ist es sehr wichtig, dass dieser Schutz die unverwechselbaren Kommunikationsmuster und Protokolle jeder Bot-Familie erkennt. Das Aufdecken von Bot-Aktionen ist ein weiterer wichtiger Bestandteil des Bot-Schutzes. Die Lösung sollte Bot-Aktivitäten wie Versand von Spam, Klickbetrug und Selbstreplikation erkennen. Die zweite Phase nach dem Erkennen infizierter Computer ist das Blockieren ausgehender Bot-Kommunikation an den Command & Control-Server. Diese Phase schaltet die Bedrohung aus und stellt sicher, dass die Bot-Agents keine sensiblen Daten versenden und auch keine weiteren Anweisungen für schädliche Aktivitäten erhalten. So wird der durch Bots verursachte Schaden sofort begrenzt. Mit diesem Ansatz erleben Unternehmen keine Ausfälle. Benutzer können normal weiterarbeiten, ohne zu bemerken, dass die Kommunikation von Bots blockiert wird. Das Unternehmen ist geschützt, ohne Beeinträchtigung der Produktivität. Globale Zusammenarbeit in Echtzeit Das Problem der Cyber-Angriffe ist zu groß, als dass ein Unternehmen es alleine lösen könnte. Unternehmen haben bessere Chancen, die wachsende Herausforderung zu meistern, wenn sie auf Zusammenarbeit und professionelle Unterstützung setzen. Wenn Cyber-Kriminelle Malware wie Bots und andere Formen komplexer Bedrohungen einsetzen, greifen sie oft massenhaft Seiten und Unternehmen an, um die Erfolgsaussichten zu erhöhen. Wenn Unternehmen diese Bedrohungen einzeln bekämpfen, bleiben 018

CHECK POINT SICHERHEITSBERICHT 2013 viele Angriffe unentdeckt, da die Unternehmen untereinander keine Informationen über die Bedrohungen austauschen. Um moderne Bedrohungen auszuschalten, müssen Firmen daher zusammenarbeiten und Daten austauschen. Nur durch Zusammenarbeit werden Sicherheitsmaßnahmen stärker und effektiver. Intrusion Prevention Intrusion Prevention ist eine zwingend erforderliche Sicherheitsebene im Kampf gegen Cyber-Angriffsmethoden. Eine IPS-Lösung ist notwendig zur intensiven Datenverkehrskontrolle, um Eindringlinge von der Durchbrechung der Sicherheitsvorkehrungen und vom Diebstahl wichtiger Unternehmensdaten abzuhalten. Eine angemessene IPS-Lösung bietet folgende Funktionen: Protokollvalidierung und Erkennung von Anomalien Identifizierung und Ausschaltung von Datenverkehr, der nicht mit Protokollstandards übereinstimmt und Fehlfunktionen von Geräten oder Sicherheitsprobleme hervorrufen kann Verhinderung der Übertragung unbekannter Nutzlasten, die bestimmte Schwachstellen ausnutzen können Verhinderung übermäßiger Kommunikation, die Anzeichen für einen Denial-of-Service-Angriff (DoS) sein kann Bedrohungen erkennen und geeignete Maßnahmen ergreifen Ein guter Überblick über Sicherheitsereignisse und Trends ist ein weiterer wichtiger Bestandteil der Bekämpfung von Cyber- Kriminalität. Sicherheitsadministratoren müssen ständig genau über den Status der Netzwerksicherheit informiert sein, um Bedrohungen und Angriffe auf das Unternehmen zu erkennen. Dies erfordert eine Sicherheitslösung, die einen sehr guten Überblick über die Schutzmaßnahmen ermöglicht und auf entscheidende Informationen sowie potenzielle Angriffe hinweist. Die Lösung sollte außerdem die Möglichkeit bieten, intensive Untersuchungen bestimmter Ereignisse durchzuführen. Eine weitere unverzichtbare Funktion ist die Fähigkeit, auf Basis dieser Informationen sofort Aktionen auszuführen. Dies ermöglicht die Abwehr von Angriffen in Echtzeit oder proaktives Blockieren zukünftiger Bedrohungen. Die Sicherheitslösung muss flexibel und intuitiv verwaltbar sein und so die Bedrohungsanalyse vereinfachen und den Betriebsaufwand für Veränderungen gering halten. Sicherheits-Updates und Support Da sich die Bedrohungen immer wieder ändern, müssen sich die Verteidigungsmaßnahmen gemeinsam mit diesen entwickeln oder ihnen in der Entwicklung voraus sein. Sicherheitsprodukte können aktuelle Malware sowie die neuesten Schwachstellen und Exploits nur effektiv bekämpfen, wenn der Sicherheitsanbieter umfassende Untersuchungen durchführt und regelmäßig Sicherheits-Updates bereitstellt. Erstklassiger Sicherheits-Service basiert auf: Interner Untersuchung des Anbieters und Erhalt von Daten aus verschiedenen Quellen Regelmäßigen Sicherheits-Updates für alle wichtigen Technologien, einschließlich IPS, Anti-Virus und Anti-Bot Unkompliziertem und bequemem Support, Antworten auf Fragen und Probleme, die für die Umgebung des Kunden spezifisch sind 019

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 03 ANWENDUNGEN IM ARBEITSBEREICH VON UNTERNEHMEN Es gibt neue Spielregeln Die Spielregeln haben sich verändert. Internetanwendungen galten früher einmal als Freizeitbeschäftigung: zum Ansehen der Urlaubsfotos von Freunden oder lustiger Filme. Web- 2.0-Anwendungen sind jedoch zu essentiellen Geschäftstools für moderne Unternehmen geworden. Wir kommunizieren mit Kollegen, Kunden und Partnern, geben Informationen weiter und erhalten aktuelle Nachrichten und Meinungen. Internetbasierte Tools wie Facebook, Twitter, WebEx, LinkedIn und YouTube werden auch in Unternehmen immer wichtiger, da sie als Geschäftsmotoren gelten. In diesem Abschnitt unserer Untersuchung erörtern wir die allgemeinen Risiken von Web-2.0-Anwendungen und ihrer Infrastruktur. Anschließend werfen wir einen Blick auf einzelne Anwendungen, die in den analysierten Unternehmen verwendet werden. Unsere Ergebnisse illustrieren wir mit Ereignissen und Beispielen aus der realen Geschäftswelt. Webanwendungen sind kein Spiele Neuartige Technologien bringen neue Sicherheitsprobleme mit sich. Dies gilt auch für webbasierte Tools. Verschiedene nützliche Internetanwendungen werden von Cyber-Kriminellen verwendet, um Unternehmen anzugreifen. Außerdem können sie Verletzungen der Netzwerkintegrität verursachen. Anwendungen wie Anonymisierungsprogramme, Dateispeicher- und Freigabelösungen, P2P-Filesharing, Remoteverwaltungstools und soziale Medien sind bereits für Angriffe auf Unternehmen genutzt worden. Zahlreiche Plattformen und Anwendungen können für private und geschäftliche Zwecke eingesetzt werden. Jedes Unternehmen muss wissen, welche Anwendungen Mitarbeiter für welche Zwecke nutzen, und eigene Internetrichtlinien festlegen. In 91 % der analysierten Unternehmen setzten Benutzer Anwendungen ein, die Sicherheitslösungen umgehen, Identitäten verschleiern und Datenverluste oder Malware-Infektionen verursachen können, ohne dass sie dies bemerken. SENSIBLE DATEN, DIE IN DEN USA PER P2P- FILESHARING-ANWENDUNGEN VERBREITET WURDEN Im Juni 2012 klagte die amerikanische Federal Trade Commission (FTC) zwei Unternehmen wegen der Offenlegung sensibler Daten in P2P-Filesharing-Netzwerken an. Betroffen waren Tausende von Kunden. Die FTC warf einem der Unternehmen (EPN Inc., ein Inkassobeauftragter mit Sitz in Provo, Utah) vor, vertrauliche Daten mit Sozial- und Krankenversicherungsnummern sowie medizinischen Diagnosecodes von 3.800 Krankenhauspatienten offengelegt zu haben. Sämtliche Computer, die mit dem P2P-Netzwerk verbunden waren, hätten auf die Daten zugreifen können. Dem anderen Unternehmen (einem Fahrzeughändler namens Franklin s Budget Car Sales Inc.) warf die FTC vor, Daten von 95.000 Kunden in einem P2P-Netzwerk offengelegt zu haben. Dazu gehörten Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und Führerscheinnummern. 18 Im Jahr 2010 hatte die FTC fast 100 Unternehmen mitgeteilt, dass über ihre Netzwerke persönliche Daten von Kunden und/ oder Mitarbeitern den Weg in P2P-Filesharing-Netzwerke gefunden hatten. Jeder Benutzer dieser Netzwerke hatte die Möglichkeit, die Daten für Identitätsdiebstahl und andere betrügerische Handlungen zu verwenden. 19 020

CHECK POINT SICHERHEITSBERICHT 2013 IN 61 % DER UNTERNEHMEN WIRD EINE P2P- FILESHARING-ANWENDUNG GENUTZT Quelle: Check Point Software Technologies P2P-Anwendungen öffnen Hintertüren zu Ihrem Netzwerk Peer-to-Peer (P2P)-Anwendungen dienen der gemeinsamen Verwendung von Dateien durch mehrere Benutzer. Immer mehr Angreifer setzen auf P2P, um mit den geteilten Dateien auch Malware zu verbreiten. P2P-Anwendungen stellen also ein beträchtliches Sicherheitsrisiko für Ihr Netzwerk dar. Mit ihrer Hilfe können Benutzer Ordner erstellen, aus denen sensible Daten verschwinden können. Zudem könnten Unternehmen für Mitarbeiter haften, die über P2P- Wichtigste P2P-Filesharing-Anwendungen (% der Unternehmen) 11 % Gnutella 10 % Sopcast 20 % emule 19 % SoulSeek 7 % Windows Live Mesh 7 % imesh 6 % BoxCloud Diagramm 3-A Weitere Informationen zu verbreiteten P2P- Anwendungen finden Sie in Anhang B. 40 % BitTorrent Netzwerke illegale Inhalte herunterladen. In mehr als der Hälfte aller Unternehmen (61 %) wurden P2P-Anwendungen gefunden. Die wichtigsten P2P-Filesharing-Tools sind BitTorrent-Clients. Das folgende Diagramm verdeutlicht, dass im Asien-Pazifik- Raum Filesharing-Anwendungen beliebter sind als in anderen Regionen der Welt. Diagramm 3-B Nutzung von P2P-Filesharing- Anwendungen nach Region (% der Unternehmen) 55 % EMEA 62 % Nord- und Südamerika 72 % APAC Anonymisierungsprogramme ermöglichen eine Umgebung der Sicherheitsrichtlinien von Unternehmen Ein Anonymisierungsprogramm (oder Anonymisierungs-Proxy) ist ein Tool, das eine Nachverfolgung der Aktivitäten von Benutzern im Internet verhindert. Das Programm nutzt einen Proxyserver, der als Maske zwischen Client-Computern und dem restlichen Internet dient. Das Tool greift für den Benutzer auf das Internet zu und verbirgt persönliche Informationen, indem die Identifizierungsdaten des Client-Computers sowie das gewünschte Ziel versteckt werden. Anonymisierungsprogramme lassen sich zur Umgehung von Sicherheitsrichtlinien verwenden, die im Prinzip auf den Identitäten von Benutzern und Ziel-URLs Quelle: Check Point Software Technologies 021

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 aufbauen. Durch eine Verwendung solcher Dienste wird der Benutzer unter einer anderen IP-Adresse sichtbar und scheint andere Ziele aufzurufen. So kann die Sicherheitsrichtlinie für diesen Benutzer mit veränderter IP-Adresse und Zieladresse nicht durchgesetzt werden. In manchen Fällen können Anonymisierungsdienste auch zum Verbergen krimineller Handlungen verwendet werden. In 43 % der untersuchten Unternehmen wurde von Mitarbeitern mindestens ein solcher Dienste verwendet. Besonders beliebt ist dabei Tor. 86 % der Unternehmen, in denen Anonymisierungsprogramme gefunden wurden, gaben an, dass deren Verwendung eine Verletzung ihrer Sicherheitsrichtlinien darstellt. Wenn wir die Nutzung dieser Programme nach Regionen betrachten, sehen wir, dass sie in Nord- und Südamerika besonders beliebt und im Asien-Pazifik-Raum weniger verbreitet sind. Diagramm 3-D Nutzung von Anonymisierungsprogrammen nach Region (% der Unternehmen) 35 % APAC 40 % EMEA 49 % Nord- und Südamerika Quelle: Check Point Software Technologies Verbreitete Anonymisierungsprogramme (% der Unternehmen) Diagramm 3-C 8 % Ultrasurf 7 % Hopster 7 % Hide My Ass 6 % Hamachi 13 % CGI-Proxy Weitere Informationen zu verbreiteten Anonymisierungsprogrammen finden Sie in Anhang B. 23 % Tor Quelle: Check Point Software Technologies Wie funktioniert das Anonymisierungsprogramm Ultrasurf? Ultrasurf ist ein extrem ausgeklügeltes Anonymisierungsprogramm, das als Proxy-Client fungiert und zwischen Computern von Benutzern sowie einem zentralen Pool an Proxyservern einen verschlüsselten HTTP-Tunnel einrichtet. So können Benutzer Firewalls und Zensurfunktionen umgehen. Ultrasurf ist äußerst leistungsfähig bei der Erkennung von Proxyservern und verfügt über eine Cache-Datei mit IP-Adressen von Proxyservern, DNS-Anfragen, die verschlüsselte IP-Adressen von Proxyservern zurückgeben, und verschlüsselten Dokumenten in Google Docs. Hinzu kommt eine hart kodierte Liste mit IP-Adressen von Proxyservern, die in das Programm integriert ist. Diese Verfahren Internet Ultrasurf- Proxy Webserver Ultrasurf stellt Verbindung mit einem seiner Proxyserver her Ultrasurf- Client 022

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback