20090506j AVG Schutz der Unternehmensdaten
|
|
|
»manage
it«
als
|
Schutz der Unternehmensdaten vor Online-KriminalitätDie Gefahr lauert im NetzNur selten werden Fälle von Wirtschaftskriminalität im Mittelstand bekannt – zu groß ist die Angst der Unternehmen vor Imageschäden. Hacker brauchen deshalb kaum eine Strafverfolgung zu befürchten und entwickeln stattdessen immer raffiniertere Methoden, um an brisante Daten zu gelangen. Um sich vor solchen Angriffen zu schützen, reicht ein einfacher Antivirenschutz für Firmen schon lange nicht mehr aus. Hier sind vielmehr neue Lösungen gefragt.
ro Tag werden etwa 15.000 neue Websites entdeckt, die mit Viren, Würmern oder ähnlichen Schädlingen befallen sind. Diese Zahl gibt aber nur in etwa eine Vorstellung von dem, was im Internet auf den User wartet. Die Dunkelziffer dürfte wohl um einiges höher liegen. Kriminelle haben das Internet als lukrativen Wirtschaftszweig entdeckt und verdienen mit dem Verkauf gehackter Daten Geld. Dies spiegeln auch die Ergebnisse einer Studie des Handelsblatts wider. So zählen mehr als die Hälfte der 5.154 befragten deutschen Mittelständler Spionage und Informationsdiebstahl oder -verlust zu den größten Risiken. Gerade wenn es um das Ausspionieren von Unternehmensinformationen geht, werden Hacker kreativ. Mit sogenannten Exploits – also gezielt ausgenutzten Sicherheitslücken und Fehlfunktionen in den Anwendungen – werden Schwachstellen in den Rechnern erkannt und Daten ausgespäht. Etwa drei Viertel aller im vergangenen Jahr neu entdeckten Schwachstellen waren geeignet, um Benutzer- oder Administratorenrechte zu erlangen, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders erschreckend: Nur für etwa die Hälfte der Sicherheitslücken stellten die Hersteller der Programme Updates zur Verfügung. Hackern stehen somit zahlreiche Möglichkeiten offen, um Unternehmensdaten auszuspionieren. Hacker und ihre Methoden Ausspähprogramme in E-Mail-Anhängen gehören mittlerweile in die Mottenkiste der Angreifer – auch wenn sie immer noch nicht ganz ausgestorben sind. Auch versteckte Angriffe beim Öffnen von pdf-, ppt- oder Bild-Dateien sind inzwischen hinreichend bekannt. Cyberkriminelle gehen daher mit immer ausgeklügelteren Methoden zu Werke, um Unternehmensdaten auszuspionieren: Sie knacken seriöse Websites, bestücken diese gezielt mit Exploits und blenden zeitweise oder dauerhaft falsche Links ein. Durch Anklicken eines präparierten Links installiert sich das Ausspähprogramm im Verborgenen auf dem Rechner und gibt dem Hacker Einblick in die dort gespeicherten Daten. Doch es ist nicht einmal ein Mausklick nötig, um Malware zu verbreiten: Das bloße Aufrufen einer infizierten Website reicht bereits aus. Währenddessen installiert sich der Exploit automatisch und vom User unbemerkt. Diese sogenannten Drive-By-Downloads sind besonders tückisch, da sie visuell nicht erkennbar sind. Aufbau, Layout und Erscheinungsbild der gefälschten Websites entsprechen genau den jeweiligen Originalen – bei gehackten Original-Websites ist keinerlei Unterschied erkennbar. Gerald Hahn, Country-Manager Deutschland von AVG Technologies, warnt deshalb: »Wachsames Surfen allein reicht nicht aus, wenn kritische Daten vor unbefugtem Zugriff geschützt werden sollen.« Statt Internetseiten mit manipulierten Links zu fälschen, gehen Hacker immer öfter dazu über, komplette Webseiten umzuprogrammieren. Mit der Möglichkeit, Umlaute in URLs zu missbrauchen, haben Cyberkriminelle eine weitere Variante entwickelt, um Nutzerdaten auszuspionieren. Erscheint in der Domain beispielsweise ein »ü«, lässt sich dieses in ein »ue« verwandeln, was den User auf eine gefälschte Seite umleitet. Noch schwerer erkennbar ist die Verwendung von Schriftzeichen aus dem Alphabet anderer Sprachen. Manche Buchstaben, etwa aus dem Kyrillischen, unterscheiden sich nicht vom Lateinischen, sind also auch für einen versierten Internet-User nicht erkennbar. Derartige Manipulationen von Websites zielen immer häufiger darauf ab, Arbeitsplatzrechner auszuspähen. Bisher galten Cyberattacken in erster Linie Unternehmensservern. Die Schwächen vorhandener Security-Lösungen Die meisten Unternehmen, die tagtäglich mit dem Internet arbeiten, sichern ihre Daten mit signaturbasierten Virenschutzprogrammen. Im Idealfall aktualisieren sich diese Programme mit regelmäßigen Updates. Angesichts der immer raffinierteren Hacking-Methoden ist das Limit dieser Software jedoch schnell ausgereizt. Signaturbasierte Virenschutzprogramme erkennen ausschließlich bekannte Bedrohungen oder versuchen sie anhand von Ähnlichkeiten zu erraten. Erkennt der Algorithmus Daten, die einem bekannten Gefahrenmuster ähneln, löst das Virenschutzprogramm einen Alarm aus. Dadurch kann es zu Fehlalarmen kommen, sogenannte False Positives – auch dann, wenn keine wirkliche Bedrohung vorliegt. Treten grundsätzlich neue Bedrohungen aus dem Internet auf, reagieren signaturbasierte Security-Lösungen in der Regel nicht. Um die Attacke überhaupt erkennen zu können, müssen sie zuerst mit dem nötigen Update aktualisiert werden. Bis neue Patches programmiert und verbreitet werden, können in Einzelfällen mehrere Wochen vergehen. Für Unternehmen ist diese Phase äußerst kritisch, da Hacker bis zur Veröffentlichung des Updates genug Zeit haben, brisante Daten unbemerkt zu stehlen. Es muss aber nicht unbedingt an einer neuen Bedrohung liegen, wenn Unternehmensdaten Online-Kriminellen leicht zugänglich sind. Denn nicht alle Internet-User sind stets mit Updates versorgt – selbst wenn der Unternehmensadministrator dies vorgesehen hat. Manche Anwender schalten diese Funktion gänzlich aus oder sind mit ihren Notebooks längere Zeit offline und daher von Updates ausgeschlossen. Software, die mitlernt Anders arbeiten hingegen verhaltensbasierte Lösungen. Sie kommen ohne Signaturen aus und sind daher grundsätzlich auch auf unbekannte Angriffe vorbereitet. So schützt etwa die Lösung Identity Protection (IDP) von AVG Technologies sowohl vor bekannten als auch vor neuen, bisher unbekannten Exploits sowie vor Identitätsdiebstahl. Das Prinzip ist leicht nachvollziehbar: Die Software schafft eine zusätzliche Schutzebene für persönliche Daten und arbeitet ähnlich wie das menschliche Immunsystem. IDP speichert das normale Verhalten des Rechners, indem es die Codepfade der Anwendungen beobachtet und registriert, wie diese untereinander agieren. Ändert sich ein Codepfad aufgrund von Softwareproblemen, Konfigurationsfehlern oder Malware-Attacken, schlägt die Anwendung Alarm und eliminiert die Schadsoftware. 295 Verhaltensmuster und die dazugehörigen sichtbaren und unsichtbaren Prozesse werden überwacht. Angriffe aus dem Web lassen sich somit abwehren, bevor sie auf dem Rechner Schaden anrichten können.
Die neue Security-Lösung Identity Protection (IDP) von AVG Technologies überwacht die Codepfade der Anwendungen und lernt das Verhalten des Computers. (Quelle: AVG Technologies, 2009) Da IDP die Codepfade in Echtzeit – also live und bei jeder Veränderung – überwacht, spielen Zeitfenster, wie sie bei der Patch-Aktualisierung entstehen, keine Rolle. Dank der Lernfähigkeit der Anwendung kommt die Security-Lösung ohne Systemscans aus, die Aktualisierung erfolgt automatisch. Die Identitätsschutz-Software ist darauf ausgelegt, bestehende Antiviren-Software zu ergänzen und kann deshalb parallel zu den marktgängigen Sicherheitsprogrammen installiert werden. Deswegen wurde das Programm vom Hersteller bewusst schlank gehalten. Laut AVG Technologies liegt die Belastung bei weniger als einem Prozent der Gesamtleistung. Security-Komponenten mit geringer Ressourcenbelastung eignen sich insbesondere zur Absicherung von Laptops und Netbooks, da die Speicherkapazitäten hier stark begrenzt sind. Echtzeitschutz bringt VorteileWährend sich klassische signaturbasierte Methoden auf teils veraltete Datenbanken gefährlicher Seiten verlassen und nach bekannten Byte-Mustern arbeiten, prüft Software mit Echtzeitschutz die Informationen live und sekundenaktuell. Der entscheidende Vorteil: Dank der Live-Überprüfung funktionieren verhaltensbasierte Echtzeitlösungen auch in der Signaturlücke und bei den gefürchteten Zero-Hour-Exploits – also in der kritischen Zeit direkt nach der Entdeckung neuer Sicherheitslücken. Zudem werden False Positives auf ein Minimum reduziert. Bei signaturbasierten Sicherheitslösungen gibt es hingegen gleich mehrere Verzögerungen, während derer die Anwender ungeschützt sind: Erstens vergeht Zeit, bis der Exploit bekannt wird, zweitens muss eine Signatur und ein Gegenmittel entwickelt werden und drittens muss diese Signatur dann auch noch den Rechner des Anwenders erreichen. In Zeiten, in denen Angriffsmuster teils im Stundentakt variieren, ist dies schlicht zu langsam, selbst wenn Signatur-Updates stündlich oder in noch kürzeren Abständen durchgeführt werden. Ein einfaches Beispiel für Echtzeitschutz sind die Inhaltsfilter bekannter Suchmaschinen. Andere Technologien wie Linkscanner prüfen das http-Protokoll, den sogenannten Port 80, der den Computer mit dem Web verbindet. Sie filtern Schädlinge heraus, bevor diese den eventuell gefährdeten Browser überhaupt erreichen. Von Echtzeitschutz spricht man also, da die tatsächlich ankommenden Daten analysiert werden. Der entscheidende Unterschied zu signaturbasierten Lösungen liegt im zeitlichen Ablauf des Sicherheitschecks. Echtzeitlösungen sind deshalb eine ideale Ergänzung zu bereits vorhandenen Antivirusprogrammen, da sie einen besseren Schutz vor neuen, noch unbekannten Attacken aus dem Web bieten. Mausklick ohne Risiko Doch auch wenn Unternehmensdaten vor Exploits und anderen Bedrohungen geschützt werden, stellt das die Internet-Nutzung ein grundsätzliches Risiko dar. Der Ratschlag, beim Gebrauch des Webs wachsam zu sein, ist in der Praxis häufig nicht umsetzbar. Zusatzsoftware wie Linkscanner-Technologien, die Websites schon beim Öffnen live überprüfen, können die vorhandene Security-Software daher sinnvoll ergänzen. Sie schützen den Firmenrechner, indem schon beim Aufrufen einer Webadresse oder eines Suchergebnisses die Seite auf bösartige oder manipulierte Inhalte überprüft wird. In der Regel dauert dies nur Bruchteile von Sekunden. Neben dem Link erscheint dann ein Icon, das anzeigt, ob von einer Seite Gefahren ausgehen oder der User sie bedenkenlos aufrufen kann. Auch für diese Art der Echtzeitüberprüfung werden nur die tatsächlich beim Anwender ankommenden Daten unter die Lupe genommen.
Linkscanner-Technologien überprüfen die Daten schon bei der Web-Suche auf Gefahren. Die Ergebnisse der Auswertung erscheinen visualisiert als Icon. (Quelle: AVG Technologies, 2009) Eine weitere Möglichkeit zielt vor allem auf den Einsatz in Unternehmen und bei ISPs ab: Sie erfordert weder eine Hardware- noch Software-Installation, sondern funktioniert als Web Security Cloud Service über eine spezielle Einstellung im Browser. Seit Kurzem bietet das Unternehmen Zscaler diesen Web-Dienst in Europa an. Er beinhaltet nicht nur klassische Erkennungs- und Filtermethoden wie URL-Filter, Antivirus und Anti-Spyware, sondern schützt auch vor komplexen Bedrohungen wie Zero-Day-Exploits, aktiven und schädlichen Inhalten sowie vor Gefahren durch Web 2.0-Anwendungen und P2P-Verbindungen. Dafür nutzt das Unternehmen eine eigens entwickelte Proxy-Technologie: Die neue Single-Scan-Multi-Action-Technik (SSMA) erzielt höchste Sicherheit bei minimaler Zugriffsverzögerung. Mit mehr als 250.000 Transaktionen pro Sekunde erreicht jeder einzelne Gateway den 50- bis 100-fachen Durchsatz bislang verfügbarer Proxy-Methoden. Um Latenzzeiten zusätzlich zu minimieren, leitet der Service seine Nutzer automatisch über das nächstgelegene Gateway. Europäische Zscaler-Gateways stehen derzeit in Frankfurt, Amsterdam, Paris und London zur Verfügung. »Für den Betrieb des Dienstes sind keine Investitionen notwendig. Die Nutzer können ihn modular lizenzieren und verbrauchsgerecht abrechnen. Dadurch ergeben sich Kosteneinsparungen, die bis zu 50 Prozent gegenüber herkömmlichen Proxy-Systemen betragen«, erklärt Daniel Wolf, Territory Manager für Deutschland, Österreich und die Schweiz bei Zscaler. Christiane Manow-Le Ruyet ____________________________________________________ Christiane Manow-Le Ruyet, freie Journalistin in München.
|
