Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Die aktuelle Lage der Internetbedrohungen
Attacken abwehren
Die Bandbreite der erfolgreichen Hackerangriffe umspannt mittlerweile das komplette Leistungsspektrum des Internets. Hierunter zählen neben Einbrüchen in Behörden-Netzwerke auch Account- bzw. Datendiebstähle bei Internet-Dienstleistern und Banken.
Die Komplexität der Internetbedrohungen ist heutzutage für Unternehmen ohne IT-Security Kompetenz nicht beherrschbar. Alle Faktoren (Mensch, Maschinen, Anwendungen, Systemsoftware, Patches, Applikationen, etc.) müssen in Sicherheits- und Schutzkonzepten eingeplant werden. Eine kontinuierliche und nachhaltige Überprüfung aller beteiligten IT-Komponenten ist zwingend notwendig.Die TV Serien Mr. Robot und CSI Cyber nutzen diese Vielfalt der Internetbedrohungen als Grundlage ihrer Drehbücher.Die Rohstoff „Daten“ muss vor dem Zugriff vor Unbefugten geschützt werden.
Bei den Unternehmens- und Kundendaten gelingt das in der sicheren zentralen DATEV-RZ-Infrastruktur.
Situation Malware
Eine Einzelbetrachtung der Vielzahl an Schadprogrammen (Virus, Trojaner, Ransomware, Spyware, etc…) und Methoden ist wenig zielführend. Im flexibelsten Fall wird ein System in einem Netzwerk von einer Grund-Schadsoftware (Downloader) infiziert, welches dann sukzessive neue Programmmodul nachlädt.Die Anzahl schädlicher Dateien, auch Malware genannt, steigt von Jahr zu Jahr an. In 2016 überstiegen alle bisher gefundenen Malware-Dateien die Summe von 500 Mio.
Ein Antiviren-Programm (AV) muss also in der Lage sein, alle 500 Mio. Schadprogramme auf einem PC-System zu erkennen. Jeden Tag erhöht sich die Anzahl zusätzlich um mehr als 400.000 (Stand 31.03.2016). Traditionell wird die Aktualität der AV-Programme durch zyklische Bereitstellung sogenannter AV-Pattern realisiert.
Malware Transportmittel E‑Mail
Das Transportmittel und Einfallstor Nr. 1 für digitale Schädlinge ist nach wie vor die E‑Mail. Die Vielfalt der Variationen von Inhalten gefährlicher E‑Mails ist mindestens so groß wie die der real existierenden geschäftlichen E‑Mails. Die Angreifer nutzen als Vorlage Original E‑Mails von Banken, Bezahldiensten, Shopping-Portalen oder Transport-Dienstleistern und ergänzen diese um einen Infektionsvektor. Alle Schwächen und Emotionen des Menschen werden dabei ausgenutzt. Die Varianten umfassen angebliche hohe Rechnungen, Androhungen von Rechtsfolgen oder Hinweise zur Verbesserung der persönlichen Sicherheit.
Die E‑Mail transportiert eine Malware-Datei mit beliebigem Schadcode als Anhang direkt in das E‑Mail-Postfach und damit auf das PC-System. Die Malware-Datei kann aus einem einfachen Word-Macro, mit einer einzigen Zeile Befehlscode oder einer komplexen Software bestehen. Damit es zur Infektion des PC-Systems kommt, muss der Anwender die Datei per Doppelklick zur Ausführung bringen. Nach erfolgreicher Installation der Malware beginnt diese mit der Kommunikation in das Internet. Jeder Download bzw. Upload von Dateien und Daten zu den Cyber-Kriminellen ist ab diesem Zeitpunkt möglich.
Eine weitere Falle basiert auf einer Fake/Betrugs-E-Mail. Der schädliche Inhalt in der E‑Mail besteht aus einem Link auf eine Malware-Datei bzw. auf Phishing-Web-Seiten. Durch den Klick auf den Link wird der Schadcode heruntergeladen und durch eine Interaktion des Anwenders installiert.
Internetbedrohung am Beispiel Jobbörse
Die digitale Automatisierung hat in der kriminellen Unterwelt schon lange Einzug gehalten. Die eindeutige Erkennung einer Bedrohung ist für den Anwender aufgrund der kriminellen Nutzung von legitimen Internet-Diensten nahezu unmöglich.Durch gezielte Informationsbeschaffung aus öffentlich verfügbaren Quellen und passender, zeitlicher Korrelation der Aktivitäten des Opfers fallen viele Anwender auf gefälschte E‑Mails herein.Das folgende Beispiel zeigt, wie die Nutzung der Jobbörse der Arbeitsagentur zum Ausfall einer Kanzlei führen kann.
Eine neue Stellenausschreibung für einen „Lohn- und Gehaltsbuchhalter“ wird in das Portal Jobbörse der Arbeitsagentur ausgeschrieben. Am darauf folgenden Tag landet eine individualisierte Bewerbungs-E-Mail im Postfach des Arbeitgebers. Der Arbeitgeber wird in der E‑Mail persönlich mit seinem Namen angesprochen. Im Betreff und Mail-Body steht die korrekte Bezeichnung der ausgeschriebenen Stelle.Der Text der Bewerbungsmail gibt dem Anwender und installierten AV-Produkten keinerlei Anlass zum Misstrauen. Die eigentlichen Bewerbungsdokumente werden laut Bewerber, aufgrund der Datei-Größe, in einem Cloud-Speicher bereitgestellt.Der Link auf die Bewerbungsunterlagen zeigt auf legitime und bekannte Online-Speicherdienste wie z.B. Dropbox. Für diese Angriffsmethode werden nahezu alle Online-Speicher-Dienstleister (Apple iCloud, Microsoft OneDrive, Dropbox, Telekom Magenta Cloud, jottacloud, etc.) missbraucht.
Der erste Klick auf den Dropbox-Link ist zum Download bzw. zur Ansicht der Bewerbungsunterlagen unausweichlich. Anhand der „sicheren Implementierung“ dieser kriminellen Bereitstellungsform von Dokumenten kann man aus dem Inhalt des Link keinesfalls auf die Dateien bzw. Daten zurückschließen.
Der Anwender speichert die angeblichen Bewerbungsunterlagen menügeführt auf seinem lokalen PC-System im Kanzleinetzwerk. Da die Nutzung der Speicherdienste für digitale Geschäftsprozesse durchaus üblich ist, z.B. als zentrales Ablagesystem oder zur Bereitstellung größerer Dateimengen, schöpft der Betroffene keinerlei Verdacht.Die verschlüsselte (HTTPS) Tunnel-Verbindung zur Dropbox verhindert eine automatisierte Überprüfung der transferierten Dateien auf Schadcodes. Eine Maßnahme zum Schutz der Anwender kann eine Lösung zur Erhöhung der Awareness „just“in time“ sein z.B. Mail-Radar-Orange.
Beim Öffnen der angeblichen Bewerbungsunterlagen wird das System infiziert und der Ransomware-Schadcode verschlüsselt unsichtbar im Hintergrund alle Nutzdateien auf dem PC-System. Je nach weiteren Berechtigungen des Anwenders werden auch Dateien auf Server-Laufwerken verschlüsselt. Die Erpresserbotschaft mit der Lösegeldforderung zur Entschlüsselung der Dateien wird auf dem Desktop oder als PopUp eingeblendet. Der Druck zur Zahlung der geforderten Summe wird durch Androhung der Veröffentlichung der gestohlenen Dateien und des Kanzleinamens erhöht.
Anhand dieses Beispiels kann man sehr schön die neue Dimension der Internetbedrohungen 4.0 erkennen. Alle Anbieter von öffentlich erreichbaren Diensten, müssen sich viel mehr um deren korrekte Funktionalität und Sicherheit bemühen. Zusätzlich muss eine kontinuierliche Überprüfung auf Missbrauch erfolgen.Beispielhaft zeigt die Welt der Ransomware bzw. Krypto-Schädlinge, dass der Schutz der Daten in kleinen Netzwerken ohne professionelle IT-Security nicht wirklich gewährleistet werden kann. Es stellt sich nicht die Frage „ob“, sondern nur noch „wann“ eine Cyber-Attacke erfolgreich sein wird.
Professionelle Schutz ‑Technologien sind aus Kosten/Nutzen Sicht nur in Cloud Lösungen bzw. Rechenzentren wirtschaftlich.

Dieter Schröter ist seit 1990 im Bereich IT-Dienstleistungen und Security bei der DATEV eG tätig. Bis 2009 zuständig für die Entwicklung von Security Systemen und Sicherheitskonzepten. Heute liegt sein Schwerpunkt auf zentralen sicheren Internetdiensten und Anti-Malware Strategien.

Neueste Kommentare