Meltdown und Spectre: Der IT-Security-Supergau?

16. Januar 2018 Posted by Heiko Brenn

Neue Sicherheitslücken in Prozessoren treffen Hersteller ins Mark

Jeder Prozessor ist betroffen

Meltdown und Spectre – seit zwei Wochen halten sie die IT-Welt in Atem. Was nach Titeln von Hollywood Blockbustern klingt, ist alles andere als Spaß und Unterhaltung. Stattdessen haben wir es mit neuen, gravierenden Sicherheitslücken zu tun – vielleicht den größten der gesamten IT-Industrie. Denn dieses Mal ist nicht ein bestimmtes Betriebssystem oder Gerätetyp betroffen. Dieses Mal ist fast jeder Rechner, jedes Smartphone, jedes Tablet, jedes Cloud-System weltweit betroffen: Ganze Generationen von Computerchips, im Grunde genommen jeder Intel-Chip seit 1995, sind offenbar anfällig für Attacken, mit denen Passwörter und Kryptoschlüssel gestohlen werden können.

Während Sie sich Meltdown dabei wie einen Dieb vorstellen müssen, der in Ihre Tasche greift, um Ihr Hab und Gut zu stehlen, versteht sich Spectre auf Manipulation. Diese Variante bringt Sie dazu, Ihre Taschen freiwillig herauszugeben. Beide Angriffe hinterlassen keine Spuren und werden nicht von Antivirus-Software erkannt. Bislang weiß niemand, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden.

Chiphersteller wussten Bescheid

Sicherheitslücken in Prozessoren Bereits vor gut einem halben Jahr haben Mitarbeiter von Googles Project Zero gemeinsam mit Forschern verschiedener Universitäten und der Industrie die Sicherheitslücken in Prozessoren entdeckt. Anfang Juni 2017 wurden die Hersteller von Prozessoren informiert, darunter Platzhirsch Intel, aber auch AMD und ARM.

Für Dienstag, den 9. Januar 2018, war dann die Veröffentlichung geplant, bereits seit dem 3. Januar überschlagen sich allerdings die Meldungen um die neuen Sicherheitslücken: Amerikanische Technikjournalisten berichteten, dass Hersteller in der Windows- und Linux-Welt sowie in den namhaften Cloud-Plattformen hektisch an Updates arbeiten – etwas Großes musste dahinter stecken.

Technische Hintergründe

Wie sich zeigte, ist dem auch so: Die auf den Namen Meltdown und Spectre getauften Sicherheitslücken nutzen sogar die Achillesferse verschlüsselter Geräte aus. Um dem ganzen Problem auf den Grund zu gehen, müssten wir tief in die Computertechnik eintauchen. Die Hintergründe sind also sehr komplex und fast nur für Software-Programmierer zu verstehen. Wir versuchen, das Ganze vereinfacht, mit verständlichen Begriffen zu erklären:

Sicherheitslücken in Prozessoren Seit den 90er Jahren wurden Prozessoren dahingehend weiterentwickelt, Daten immer schneller zu verarbeiten. Zu diesem Zwecke werden mehrere Befehle gleichzeitig berechnet, um möglicherweise später benötigte Daten schon vorher abzurufen. Welche das sind, entscheidet der Computer – er spekuliert sozusagen, welcher Teil eines Programmes als nächstes ausgeführt werden könnte. Für die Spekulation greift der Prozessor auf Erfahrungswerte zurück. Stellt der Prozessor fest, dass er sich verspekuliert hat, verwirft er die berechneten Daten einfach. In der Regel irrt sich der Prozessor jedoch selten und die berechneten Daten werden schnell verarbeitet.

Während der Prozessor rechnet und sich spekulative Ergebnisse zwischenspeichert, stehen Daten unverschlüsselt im Speicher – zum Schutz in getrennten Speicherbereichen. Der Knackpunkt: Um Befehle auszuführen, müssen Daten ausgetauscht werden. Dazu muss ein Prozess jedoch teilweise auf Speicher zugreifen, den auch ein anderer Prozess erreichen kann. Das geschieht nach klar definierten Regeln – unter anderem aus dem Grund, damit einige Daten eben nicht ausgetauscht werden dürfen.

Sicherheitslücken in Prozessoren

Nun haben Sicherheitsforscher herausgefunden, dass der Speicherschutz umgangen werden kann. Es gibt Möglichkeiten, Daten, die einem Programm gehören, mit einem Schadprogramm auszulesen. Dieser Fehler eröffnet Hackern zwei Angriffsmöglichkeiten: „Meltdown“ und „Spectre“.

Meltdown

Meltdown verschafft sich Zugriff auf eigentlich geschützte Speicherbereiche. Konkret wird bei dieser Angriffsmethode die Vorab-Informationsbeschaffung des Prozessors ausgenutzt. Während er spekuliert, was als Nächstes zu tun ist, erzeugt der Prozessor selbst Daten und speichert diese zwischen. Aus diesem Cache heraus können Angreifer Daten abgreifen, indem sie Schadprogramme auf dem Gerät ihres Opfers installieren – beispielsweise über eine manipulierte Webseite – und ausführen.

Spectre

Spectre ist noch komplexer und zielt auf den oben genannten Lernprozess eines Chips ab, Prozesse zu verarbeiten und auf welcher Basis er Entscheidungen zu treffen hat. Angreifer können dem Chip beibringen, Entscheidungen zu treffen, die er eigentlich gar nicht treffen darf – sie manipulieren ihn und kommen auf diese Weise an die Daten. Diese Angriffsmethode ist zwar aufwändiger umzusetzen, weil Angreifer sich mehr Informationen beschaffen müssen, beispielsweise welche Software und welches Betriebssystem auf dem jeweiligen Gerät installiert ist. Dennoch ist ein Angriff dieser Art möglich.

Keine Antivirenlösung in Sicht

Sicherheitslücken in Prozessoren Niemand weiß, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden und wenn ja, von wem. Bislang ist auch keine Schadsoftware bekannt, die Meltdown oder Spectre ausnutzt. Und genau das ist auch schon das nächste Problem: Antivirenlösungen erkennen nur Schadprogramme, die bereits bekannt sind. Automatisch erkennt keine Antivirenlösung der Welt ein ihr unbekanntes Schadprogramm. Denn erst anhand seiner individuell typischen Signatur können Antivirenlösungen ein solches Programm erkennen und blockieren.

Noch gruseliger wird es, wenn Sie sich in Erinnerung rufen, wie einfach Schadprogramme auf einen Rechner gelangen können: Zum Beispiel versteckt im Anhang einer als seriös getarnten E-Mail oder als Download über eine gefakte Website (Phishingsite).

Was Sie tun können

In wilde Panik zu verfallen und den Prozessor tauschen zu wollen, nützt wenig: Es gibt aktuell keine Prozessoren, die nicht von Spectre betroffen sind. Die betroffenen Prozessorenhersteller Intel, AMD und ARM arbeiten eigenen Aussagen zufolge daran, das Problem zu lösen. Der Knackpunkt dabei: Der Programmcode, der Befehle des Betriebssystems für den Prozessor übersetzt, muss aktualisiert werden. Für jedes PC- und Smartphone-Modell müssen eigene Firmware-Updates bereitgestellt werden. Sie können sich vorstellen, dass das ein teures und aufwändiges Unterfangen ist.

Mehr als Updates für Ihre Betriebssysteme zu installieren, können Sie momentan also kaum tun. Immerhin bekommen Sie auf diese Weise wenigstens Meltdown in den Griff. Die ersten Updates für Betriebssysteme und Software liegen bereits vor. Gleich ob Smartphone, Windows- oder Linux-PC oder MacBook: Installieren Sie diese Updates unbedingt auf Ihren Geräten. Sollte für Ihr Betriebssystem (noch) kein Update vorliegen, halten Sie unbedingt Ausschau danach und installieren Sie es umgehend.

Updates mit allen iQ.Suite Versionen erfolgreich getestet

Lesetipp Mittlerweile stehen Updates u.a. von Microsoft zur Schließung der Sicherheitslücken zur Verfügung. Das Zusammenspiel dieser Updates wurde mit allen aktuellen iQ.Suite Versionen erfolgreich getestet. Alle relevanten Informationen können Sie in unserem neuesten Knowledgebase Artikel lesen.

Google

Laut Google sind auch Android-Systeme von Smartphones gefährdet. Die hauseigenen Smartphones seien mit dem Android-Sicherheitsupdate vom 2. Januar geschützt. Die Androiden anderer Hersteller haben ein solches Sicherheitsupdate nach heutigem Stand (9.1.2017) noch nicht erhalten. Die Google-Produkte Chromecast, Home und Google Wifi sind angeblich nicht von Meltdown und Spectre betroffen. Googles Browser Chrome soll mit seiner angekündigten Version 64 die Angriffsmöglichkeiten immerhin abschwächen.

Microsoft

Microsoft hat (neben Amazon) damit begonnen, seine Cloud-Dienste mit Updates abzusichern. Am 4. Januar hat Microsoft zudem für Windows ein außerplanmäßiges Sicherheits-Update herausgegeben. Mit diesem soll verhindert werden, dass Meltdown über Funktionen in den Browsern Edge und Internet Explorer ausgenutzt werden kann. In einem aktuellen Blog-Beitrag (https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/) erklärt Microsoft-Vizepräsident Terry Myerson die Updates genauer und gibt auch Einschätzungen über Performance-Einbußen ab: Unter Windows Server können die erheblich sein.

Apple

Apple soll nach unbestätigten Berichten mit einem früheren Update für sein Betriebssystem Mac OS das Leck bereits teilweise geschlossen haben. Ansonsten tappen iOS-Nutzer noch im Dunklen: Apple äußerte sich bislang nicht (Stand: 9.1.2017), was mit iPhones und iPads ist. Auch diese laufen mit Prozessoren von ARM.

Der Beitrag Meltdown und Spectre: Der IT-Security-Supergau? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Read full article |Kommentare deaktiviert für Meltdown und Spectre: Der IT-Security-Supergau?
Tags: , ,
Categories: Allgemein

Sandbox-Technologien gegen Cyber-Angriffe

15. Dezember 2017 Posted by Heiko Brenn

GBS Ratgeber zur Sandbox-Technologie gibt Tipps

Sandbox-Technologie Attacken aus dem Internet werden immer dreister, intelligenter und aggressiver. Ein Blick auf die Bedrohungslage durch Verschlüsselungstrojaner und andere Schadsoftware zeigt die Brisanz des Themas: Jedes zweite Unternehmen war in den letzten beiden Jahren in Deutschland von Datendiebstahl, Industriespionage oder Sabotage betroffen. Im Fokus der Angreifer stehen laut Bitkom-Studie Kommunikationsdaten wie E-Mails, Finanzdaten und Kundendaten.

Trotz zahlreicher Präventivmaßnahmen gelangen immer wieder (neue) Schädlinge in die IT-Netze von Unternehmen und legen ganze Infrastrukturen lahm. Klassische, signaturbasierte Antivirenlösungen können die neuen Schädlinge nicht mehr rechtzeitig identifizieren. E-Mail-Anhänge sowie Drive-by Downloads durch den Besuch von Webseiten gehören dabei zu den häufigsten Infektionswegen eines Systems mit Schadprogrammen. Mit der Zunahme der digitalen Kommunikation in allen Lebensbereichen müssen wir davon ausgehen, dass sich dieser Trend weiter verstärkt.

Sandbox-Technologie: Keine Sandkastenspiele

Sandbox-Technologie Glücklicherweise stehen mit der Sandbox-Technologie bereits effektive Gegenmaßnahmen zur Verfügung, die schädliche Software bereits vor dem Eindringen in das Netzwerk erkennt und blockiert. Auch wir haben diese Technologie schon vor einigen Monaten in unsere E-Mail-Managementlösung iQ.Suite integriert – genauer gesagt in das Antivirenmodul iQ.Suite Watchdog. Dateien und Dokumente werden in einer abgesicherten Cloud-Umgebung unter realen Bedingungen auf schadhaftes Verhalten untersucht. Hierbei wird auch hochentwickelte Malware erkannt, die ihr bösartiges Verhalten zu verschleiern versucht und erst nach einer bestimmten Zeit aktiv wird.

Ratgeber Sandbox – 10 Tipps für mehr Schutz vor Trojanern & Co.

Lesetipp Jetzt können Sie sich mit unserem eBook „Ratgeber Sandbox – 10 Tipps für mehr Schutz vor Trojanern & Co.“ tiefgehender über das Thema Sandbox, dessen Funktionen und Einsatzgebiete informieren. Das kostenlose eBook können Sie hier als PDF herunterladen.

In unserem Ratgeber erfahren Sie:

  • Was eine Sandbox vom Standard-Virenschutz unterscheidet
  • Wie eine Sandbox vor noch unbekannten Bedrohungen schützt
  • Wo die Unterschiede zwischen On-Premise und Cloud-Einsatz liegen
  • Bei welchen Dateitypen die größten Gefahren lauern
  • Wie die Sandbox mit anderen Schutzmaßnahmen zusammenspielt
  • Was Sie beim Datenschutz beachten sollten

640 Millionen Malware-Varianten

Im Sekundentakt entsteht neue Malware. Täglich kommen 390.000 Schadprogramme hinzu. Zum Vergleich: Alle vier Tage erscheint derzeit die gleiche Menge an neuer Schadsoftware wie im gesamten Jahr 2007.

Attacken auf Sicherheitslücken in Betriebssystemen

Sandbox-Technologie Windows ist die am häufigsten attackierte Plattform – 7 von 10 Angriffen adressieren Microsoft-Plattformen. Die Verschlüsselungstrojaner WannaCry und eine Abwandlung von Petya, der 2016 schon einmal aktiv war, bewiesen diesen Frühsommer eindrucksvoll, wie kritisch Sicherheitslücken für Unternehmen sind: Beide Erpressungstrojaner setzten auf eine Lücke in der Windows-Dateifreigabe (SMB). Zwei Tage reichten aus, um tausende Windows-Rechner in bis zu einhundert Ländern lahmzulegen. Auch die Zahl der bekannten Malware-Programme für Macintosh-Rechner erhöhte sich im dritten Quartal dieses Jahres um 240 Prozent gegenüber dem selben Zeitraum des Vorjahres. Damit scheint die Immunität von Apples Betriebssystem zu schwinden.

Das Problem vieler Virenprogramme

Sandbox-Technologie Verbreitet wurden WannaCry und das Petya-Remake über E-Mail. Ihren Siegeszug konnten sie antreten, weil sie für die meisten Virenscanner unerkannt blieben. Kennt ein Virenprogramm ein Angriffsmuster nicht, erkennt es einen Schädling nicht. Schon kleinste Veränderungen genügen, damit ein Virus vom Antivirenprogramm übersehen wird. Zwar updaten die Hersteller von Antivirenprogrammen ihre Lösungen schnell, von der Entdeckung eines neuen Schädlings bis zur Auslieferung einer aktualisierten Signaturdatenbank an die Antivirenlösung kann jedoch wertvolle Zeit verloren gehen.

Malware in SSL-verschlüsselten Daten

Zunehmend versteckt sich Malware in verschlüsselten Daten, um einer Erkennung durch Antivirensoftware zu entgehen. Die Menge an schädlichen Inhalten, die über verschlüsselten Datenverkehr transportiert wurde, hat sich in den letzten sechs Monaten mehr als verdoppelt.

Alte Masche in neuem Gewand: Mails mit manipulierten PDF-Anhängen

Sandbox-Technologie Kriminelle werden raffinierter und verstecken ihre Malware nicht mehr nur in manipulierten Office-Dateien, die sie einer E-Mail anhängen. Auch PDFs können ausführbaren Schadcode enthalten, der beispielsweise über die Kommentarfunktion eingebettet ist. So präpariert werden sie dann als E-Mail-Anhang versendet. Dieses Jahr fingen sich etliche Unternehmen auf diesem Weg die Erpressungstrojaner Locky oder Jaff ein! Schutzmechanismen, wie dem Standard-Viren- oder Spamschutz, gehen derartige Attacken durch die Lappen, weil sie PDF ignorieren oder nur das Blockieren verdächtiger Dateien erlauben.

Haben Sie bereits Erfahrungen mit Sandbox-Technologien? Ich freue mich über Ihre Kommentare und weitere Anregungen.

Der Beitrag Sandbox-Technologien gegen Cyber-Angriffe erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Read full article |Kommentare deaktiviert für Sandbox-Technologien gegen Cyber-Angriffe
Tags: , ,
Categories: Allgemein

Finanzbranche als Angriffsziel von Cyberattacken

31. Juli 2017 Posted by Heiko Brenn

Machen Banken es Hackern einfach?

Finanzsektor wird häufiger als jede andere Branche von Cyberattacken bedroht

Die Finanzbranche als Angriffsziel zieht Cyberkriminelle seit Jahren magnetisch an. Denn mit der Digitalisierung des Bankengeschäfts landen riesige Mengen an Daten auf Bankenservern. Mit Phishing und Social-Engineering-Attacken gegen Bank-Accounts auf der einen sowie zielgerichteten Attacken und Malware-Vorfällen gegen die IT-Infrastruktur der Institute auf der anderen Seite, versuchen Angreifer dieser habhaft zu werden. Neben personenbezogenen Daten wie Kreditkarteninformationen sind auch unstrukturierte Daten beliebt, mit denen sich im Insiderhandel ordentlich Geld machen lässt. Eine neue IBM-Studie deckt nun auf, dass die Finanzbranche 2016 tatsächlich der Hacker liebstes Ziel war.

Rückblick: August 2016 – Goznym greift an

Finanzbranche als Angriffsziel Im August ist es genau ein Jahr her, als bekannt wurde, dass 13 deutsche Banken und ihre Kunden, darunter auch Sparkassen und Genossenschaftsbanken, von Online-Banking-Trojaner Goznym angegriffen wurden. Hacker nutzen 2016 den Trojaner unter anderem, um Kunden von Onlinebanking auf Phishing Websites umzuleiten. Die gefälschten Websites sahen den Internetauftritten der jeweiligen Institute dabei täuschend ähnlich. Aufgespürt wurde der Trojaner damals von den Sicherheitsexperten der IBM X-Force. Vor Kurzem haben die Sicherheitsforscher der IBM ihren aktuellen Financial Services Report 2016 veröffentlicht, in dem sie die IT-Sicherheit im Finanzbereich untersucht haben.

200 Millionen Angriffe pro Jahr

Finanzbranche als Angriffsziel Die Zahlen sind erschreckend: 200 Millionen Angriffe auf Finanzdienstleister in 2016 zählten die Sicherheitsforscher – ein Anstieg um 937 Prozent zum Jahr 2015. Damit wurde der Finanzsektor im vergangenen Jahr häufiger als jede andere Branche von Cyberkriminellen angegriffen – um 65 Prozent lag hier die Angriffsrate höher! Angesichts solcher Ergebnisse beruhigt es etwas, wenn die Daten des IBM X-Force Threat Intelligence Index auch zeigen, dass die Finanzbranche erst an dritter Stelle steht, wenn es auch um den Erfolg solcher Angriffe geht. Die IBM geht davon aus, dass dies mit den höheren Investitionen der Branche in einen besseren IT-Sicherheitsschutz zu erklären ist. Am schlimmsten sind die Informations- und Kommunikationsbranche sowie der öffentliche Sektor von Sicherheitsvorfällen und Datenpannen betroffen.

Aktuelle Zahlen der Kaspersky-Studie zu Cybergefahren und -sicherheit in der Finanzbranche belegen dies: Die IT-Sicherheitsaufwendungen sind im Finanzbereich höher als in anderen Branchen. Demnach geben Finanzinstitute dreimal so viel für Cybersicherheit aus wie ähnlich große Organisationen aus dem Nicht-Finanzbereich.

Begehrte Kundendaten

Attacken gegen die bankeneigene Infrastruktur sowie gegen die Kundenbasis sind für Cyberkriminelle lukrativ, denn die Unternehmens- und Kundendaten versprechen satte Gewinne. So musste die Finanzbranche mit einem Anstieg der Cyberattacken um 29 Prozent im Vergleich zum Jahr 2015 fertig werden. Dabei haben die Angreifer 2016 mehr Daten gestohlen als die im Vergleichszeitraum von IBM X-Force ermittelte gleichbleibend hohe Anzahl öffentlich gemeldeter Vorfälle.

Dimension Data und Kaspersky: Spitzenreiter Finanzbranche als Angriffsziel

Zu ähnlichen Ergebnissen kommt auch der „Global Threat Intelligence Report 2017“ Nach Erkenntnis des IT-Dienstleistungsunternehmens Dimension Data, einem Unternehmen des japanischen Telekommunikationsriesen NTT, nehmen Behörden und Finanzinstitute den neuen Spitzenplatz der häufigsten Ziele von Cyberattacken im Jahre 2016 ein und verweisen den Spitzenreiter unter den Angriffszielen aus 2015, den Einzelhandel, auf Rang vier. Betrafen im Jahr 2015 lediglich drei Prozent der Virusattacken den Finanzsektor, so stieg der Anteil derartiger Angriffe 2016 auf 14 Prozent. Auf Platz drei liegt nach Angaben von Dimension Data übrigens das produzierende Gewerbe, das 2016 13 Prozent aller Angriffe über sich ergehen lassen musste.

Auch laut Kaspersky sind Finanzinstitutionen im Vergleich zu Organisationen aus anderen Branchen häufiger von zielgerichteten Attacken und Malware-Vorfällen betroffen, auch wenn sie im Vergleich generell weniger Sicherheitsvorfälle berichteten. Mehr als jede vierte Finanzorganisation (26 Prozent) hatte bereits eine zielgerichtete Attacke zu beklagen.

Insider sind die größte Bedrohung

Finanzbranche als Angriffsziel Es ist nicht neu, dass Mitarbeiter als einer der größten Risikofaktoren für die IT-Sicherheit im Unternehmen gelten. Auch wir haben in unserem Blog bereits darüber berichtet. Die IBM bestätigt dies nun auch für den Finanzsektor, denn laut Studie gehen die meisten Bedrohungen auch hier von Insidern aus: 58 Prozent aller Angriffe seien 2016 von Mitarbeitern begangen worden, vergleichsweise „nur“ 42 Prozent kamen komplett von außen. Das heißt jetzt allerdings nicht, dass alle Mitarbeiter absichtlich Schaden anrichten. In 53 Prozent der Fälle waren schädliche Aktivitäten das Ergebnis unbeabsichtigten Handelns, etwa wenn ein Mitarbeiter versehentlich Malware-verseuchte Dokumente aus Phishing-Mails öffnete und so Angreifern Tür und Tor zu Geschäftsdaten öffnet. Laut IBM treten viele dieser Angriffe auf, ohne dass Mitarbeiter sich dessen überhaupt bewusst sind.

Mitarbeiter: Zwischen Risikofaktor und dringend benötigter Fachkraft

LesetippDie größte Schwachstelle für die IT-Sicherheit ist der Mensch – darüber sind sich IT-Verantwortliche weltweit einig. Denn auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt über Clouds versenden, immer dieselben Passwörter nutzen, über ihre Social Media Accounts munter sensible Informationen preisgeben oder mit Malware infizierte Dateien auf ihre Computer herunterladen. Wie „gefährlich“ ein Mitarbeiter tatsächlich ist, hängt aber vor allem von seinem Alter ab. Das haben die Analysten des Ponemon Instituts nun in einer Studie herausgefunden. Lesen Sie mehr darüber im Blogartikel.

Finanz-Malware entwickelt sich weiter

Die Sicherheitsexperten von IBM stellten fest, dass einige Länder einen deutlichen Anstieg der Finanz-Cyberkriminalität im Jahr 2016 erlebt haben. Dabei fokussieren Cyberkriminelle ihre Angriffe zunehmend auf Konten von Geschäftsbanken, indem sie Malware wie Dridex, Neverquest, GozNym und TrickBot einschleusten. Da sich erfreulicherweise die großen Finanzinstitute immer besser gegen Angriffe aus dem Netz wappnen, haben IBM X-Force-Forscher herausgefunden, dass die erst kürzlich identifizieren TrickBot Malware Campaigns vor allem gegen weniger bekannte und kleinere Institute und Unternehmen gestartet werden. Dazu gehören Privatbanken, Vermögensverwalter und sehr hochwertige Kontotypen. Aus diesem Vorgehen schließen die X-Force-Forscher, dass ambitionierte Malware-Gangs neue Territorien erschließen wollen.

Minimieren Sie das Risiko

Finanzbranche als Angriffsziel Technische Sicherheitsmaßnahmen allein reichen nicht aus, der Angriffswelle Herr zu werden. Denn welchen Nutzen haben beispielsweise noch so gute Passwörter, wenn es an Anweisungen fehlt, wie damit sicher umgegangen werden soll? Es sind ja gerade solche Umstände, die dazu führen, dass Schwachstellen ausgenutzt werden, die aus (Fehl-)Verhalten von Mitarbeitern resultieren. Nur eine Mischung aus technischen und organisatorischen Sicherheitsmaßnahmen kann Finanzinstitute davor bewahren, ihre wertvollen Daten an Hacker zu verlieren.

Empfehlenswerte organisatorische Maßnahmen

… die über die Aufstellung von Sicherheitsrichtlinien hinausgehen, sind Folgende:

Schulungen und Sicherheitssensibilisierungen von Mitarbeitern, denn nur kontinuierliches Training und Tests sensibilisieren Mitarbeiter dafür, verdächtige E-Mails zu erkennen und nicht Opfer von Phishing-Mails zu werden.

Zugriffskontrollen und Berechtigungsmanagement, die den ungewollten Datenabfluss reduzieren können. Denn wenn der Zugang von Mitarbeitern zu Daten reglementiert ist und sie nur im Rahmen ihrer Tätigkeit oder Funktion auf Daten zugreifen können, kann versehentliches oder absichtliches kopieren, verändern und löschen dieser drastisch eingedämmt werden.

→ Die Entwicklung eines IT-Sicherheitshandbuches und dessen Implementierung im Unternehmen. Denn machen wir uns nichts vor: Jeder kann Opfer einer Cyberattacke werden – 100%-ige Sicherheit gibt es nicht. Um schnell reagieren zu können, ist die vorherige Identifikation und Definition der notwendigen Daten und Maßnahmen sinnvoll. Nicht zuletzt resultieren daraus aus Erkenntnisse, wie der Zugriff von Angreifern am besten verhindert werden kann.

Der Beitrag Finanzbranche als Angriffsziel von Cyberattacken erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Read full article |Kommentare deaktiviert für Finanzbranche als Angriffsziel von Cyberattacken
Tags: , ,
Categories: Allgemein

Sandbox-Technologie in die Cloud!

16. März 2017 Posted by Heiko Brenn

Sandbox Banner

Sandbox-Technologie hält Cyberkriminelle ab

Schutz vor neuen Bedrohungen durch Sandbox-Verhaltensanalyse

Die Bedrohungslage durch Verschlüsselungstrojaner und andere Schadsoftware wächst. Wir leben in einer Zeit, in der Nachrichten über immer neue Angriffswellen und -muster beinah alltäglich geworden sind. Gleichzeitig verbreitet die immer raffiniertere Vorgehensweise von Cyberkriminellen Angst und Schrecken in Unternehmen. Denn trotz zahlreicher Präventivmaßnahmen gelangen immer wieder Schädlinge in die IT-Netze von Unternehmen und legen ganze Infrastrukturen lahm. Es ist die Zeit für hochkarätige Gegenmaßnahmen – es ist Zeit für Sandbox. Lesen Sie heute, was es damit auf sich hat.

Antivirenprogramme erkennen nicht alle Schädlinge

Klassische, signaturbasierte Antivirenlösungen identifizieren nicht immer jeden Schädling, sondern nur diejenigen, die sie kennen – oder besser: erkennen. Aber Cyberkriminelle schlafen nicht – sie entwickeln schnell immer neue Malware und verbessern Angriffsmuster, um ihre Schadsoftware an die Gegenmaßnahmen der Anbieter von Sicherheitslösungen anzupassen. Zwar gibt es keine konkreten Zahlen, aber nach Schätzung des Bundesamts für Informationssicherheit entstehen 400 000 neue Viren pro Tag. Kennt ein Virenprogramm ein Angriffsmuster nicht, erkennt es folglich einen Schädling nicht – und es reichen kleinste Veränderungen, damit ein Virus vom Antivirenprogramm übersehen wird. Zwar sind die Hersteller von Antivirenprogrammen schnell mit dem Updaten ihrer Lösungen, jedoch kann vom Entdecken eines neuen Schädlings bis zur Auslieferung einer aktualisierten Signaturdatenbank an die Antivirenlösung wertvolle Zeit verloren gehen.

E-Mails als Verbreitungswege

Sandbox Technologie Es bleibt dabei: Wie das Bundesamt für Sicherheit in der Informationstechnik in seinem „Report zur Lage der IT-Sicherheit in Deutschland 2016“ bestätigt, gehören E-Mail-Anhänge sowie Drive-by Downloads durch den Besuch von Webseiten zu den häufigsten Infektionswegen eines Systems mit Schadprogrammen. Weiterhin spielen auch Links auf Schadprogramme, deren Quelle manipulierte Werbebanner auf an sich vertrauenswürdigen Webseiten sind, eine gewichtige Rolle.

Bedrohungen lauern im Verborgenen

Malware wird von ihren Schöpfern so konzipiert, dass sie möglichst lange unentdeckt bleibt und möglichst viel Schaden anrichten kann. Sie soll unbemerkt Daten stehlen oder sich in der IT-Umgebung ausbreiten, um dann in maximalem Ausmaß zuzuschlagen. Zwei Angriffsmuster sind in diesem Zusammenhang zu nennen, die es in sich haben:

Advanced Persistent Threat (APT)

APT-Attacken (Advanced Persistent Threat) sind komplexe, zielgerichtete und aufwändig vorbereitete Cyberangriffe. Die Angreifer nehmen einen hohen Aufwand auf sich (Advanced), um auf das IT-System ihrer Opfer erfolgreich zuzugreifen und dabei möglichst lange (Persistent) unentdeckt Daten auszuspähen oder Schaden anzurichten. Um dauerhaft unentdeckt zu bleiben, müssen Angreifer permanent Codes umschreiben und raffinierte Ausweichtechniken einsetzen, um nicht doch vom Intrusion Detection System eines Netzwerks entdeckt zu werden. Aus diesem Grund sind APT-Attacken nur schwer zu identifizieren. Da sie in der Regel mit Datendiebstahl einhergehen, sind ihre Folgen erst anhand von Datenabflüssen aus dem Firmen-Netzwerk zu erkennen – und dann ist es schon zu spät.

Advanced Evasion Technique (AET)

AET-Attacken sind Cyberattacken, bei denen verschiedene, bekannte Angriffstaktiken so kombiniert werden, dass ein völlig neues Angriffsmuster entsteht, welches unbekannt ist und deshalb unentdeckt vom Antivirenprogramm auf IT-Infrastrukturen zugreifen kann. AET-Attacken dienen in erster Linie dazu, dem Angreifer unbemerkt Zugriff auf Netzwerke zu verschaffen. Selten richten AET-Attacken also direkten Schaden an.

Neue Erkennungstechnologien: Sandbox

Sandbox Technologie Neue Erkennungstechnologien werden deshalb immer wichtiger. Dazu zählen verhaltensbasierte Sicherheitsverfahren, die schädlichen Datenverkehr erkennen und dadurch Rückschlüsse auf Schadsoftware, die sich bereits auf den Endgeräten eingenistet hat, ziehen können. An dieser Stelle kommt die Sandbox-Technologie zum Einsatz: Sie unterstützt ein Antivirenprogramm darin, die IT-Infrastruktur vor Cyberangriffen zu schützen, indem sie schädliche Software bereits vor dem Eindringen in das Netzwerk erkennt und diese blockiert. Deshalb haben auch wir von GBS die Sandbox-Technologie nun in unser Antivirenmodul iQ.Suite Watchdog integriert.

Was ist eine Sandbox?

Eine Sandbox ist eine sichere Umgebung, die vollständig von der IT-Infrastruktur eines Unternehmens isoliert ist. In dieser sicheren Umgebung werden verschiedenste Computersysteme mit unterschiedlichen Betriebssystemen bereitgestellt, um eine reale IT-Umgebung zu simulieren. Unbekannte und verdächtige Programme und Dateien werden in dieser sicheren Umgebung zur Ausführung gebracht, um ihr Verhalten und die Auswirkungen auf das Computersystem zu beobachten. Anhand dieser Beobachtungen kann festgestellt werden, ob sich die Datei schädlich auf das System auswirkt oder nicht. Diese Bewertung bildet nun die Grundlage der Entscheidung, ob das Programm oder die Datei auf dem Endgerät zugelassen oder geblockt werden soll.

Sandbox in der Cloud? Natürlich!

Man kann eine Sandbox auch als eigene Lösung im Unternehmen betreiben. Die Verlagerung von Sandbox-Technologien in die Cloud hat jedoch immense Vorteile: Sicherheitsanbietern steht mehr Rechenleistung zur Verfügung und Ressourcen von mehreren Kunden können gemeinsam genutzt werden. Außerdem sind Unternehmen nicht mehr auf internes Fachwissen angewiesen, da ihre Anbieter oder Partner die Analysearbeit für sie an einem zentralen Ort erledigen können.

Sandbox-Verhaltensanalyse in Watchdog

Sandbox Technologie
  • Wird eine Datei als verdächtig eingestuft, zum Beispiel wenn sie ausführbare Inhalte enthält, wird sie von der Sicherheitslösung automatisch an die Sandbox gesendet. Dort wird der Hashwert dieser Datei ermittelt und mit denen bereits bekannter Malware verglichen.
  • Wenn die Datei schon einmal analysiert wurde und bekannt ist, übermittelt die Sandbox die Analysedaten an die Sicherheitslösung. Liegt eine Bedrohung vor, platziert iQ.Suite Watchdog die Datei samt E-Mail in der Quarantäne. Liegt keine Bedrohung vor, wird die Datei regulär zugestellt.
  • Ist der Hashwert unbekannt, wird eine anonymisierte Kopie der verdächtigen Datei an die Sandbox gesendet. Dort wird sie in einer sicheren Cloud-Umgebung zur Ausführung gebracht und ihr Verhalten überwacht und analysiert. Werden die Analysedaten als Bedrohung eingestuft, wird die Datei abgelehnt und blockiert. Wird die Datei als sicher eingestuft, erfolgt ihre Zustellung.
  • Anhand der von Sandbox ermittelten Informationen erstellt iQ.Suite Watchdog abschließend zu jedem Bedrohungsereignis einen forensischen Report, der tiefere Einblicke und Kontextinformationen liefert.

Ihr Weg zur passenden Lösung

Sandbox Technologie Es gibt sicherlich viele Sandbox-Angebote auf den Markt. Entscheiden Sie sich für eine Lösung, die sich einfach testen und bereitstellen lässt. Cloudbasierte Lösungen haben hier die Nase vorn, denn sie sind schnell installiert und können sofort genutzt werden. Eine Sandbox sollte grundsätzlich gut zur bestehenden Infrastruktur passen. Ideal ist es, wenn die Sandbox-Lösung sich in die bestehenden Sicherheitsprodukte einfach integrieren lässt, um sie zu erweitern.

Auf einige wichtige Merkmale Ihrer Sandbox sollten Sie außerdem achten:

  • So sollte eine Sandbox-Lösung auch Bedrohungen erkennen können, die speziell zum Umgehen von Sandboxes entwickelt wurden.
  • Eine gute Sandbox-Lösung sollte verdächtige Dateien unterschiedlichster Art analysieren können. Dazu gehören mindestens Microsoft-Office-Dokumente, PDFs und ausführbare Dateien.
  • Eine Sandbox muss außerdem verschiedene Betriebssysteme und Anwendungen unterstützen, damit auch Malware entdeckt wird, die zur Ausführung in einer ganz bestimmten Umgebung entwickelt wurde. Denn bedenken Sie: Malware verhält sich auf einer Windows Plattform anders als auf einer MacOS, Linux oder Android Plattform!
  • Dateien sollten mithilfe von Anti-Malware- und Reputationsdiensten gefiltert werden. Das reduziert die Zahl der fälschlich als schadhaft kategorisierter und an die Sandbox gesendeter Dateien. Mit detaillierten, vorfallbasierten Reports erhalten Sie zudem wertvolle Kontextinformationen über die Malware selbst oder den gezielten Angriff auf Ihre IT. Nutzt eine Sandbox außerdem eine so genannte „Kollektive Intelligenz“, können Bedrohungsanalysedaten von allen Kunden korreliert werden und allen Nutzern zugute kommen.

Haben Sie bereits Erfahrungen mit Sandbox-Technologien? Hier erfahren Sie mehr über die neue Sandbox-Technologie in iQ.Suite Watchdog. Ich freue mich über Ihre Kommentare und weitere Anregungen.

Der Beitrag Sandbox-Technologie in die Cloud! erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Read full article |Kommentare deaktiviert für Sandbox-Technologie in die Cloud!
Tags: , ,
Categories: Allgemein

Die Evolution der Virtualisierung: Container-Technologie

6. Oktober 2016 Posted by Heiko Brenn

Windows Server 2016 Banner

Der Beginn der Virtualisierung

Ursprünglich in der Mainframewelt zuhause, revolutionierten virtuelle Maschinen (VMs) auf Basis von Lösungen wie VMWare, VirtualBox und Hyper-V auch in der Windows Welt den IT-Betrieb. Das Erstellen und Verwalten einzelner Server und ganzer Serverfarmen vereinfachte und beschleunigte sich durch die Einführung der Virtualisierung immens. Ein Rechenzentrumsbetrieb ohne VMs ist heute undenkbar. Der limitierende Faktor bei der Verwendung virtueller Maschinen war hier lange Zeit ausschließlich die zugrundeliegende Hardware. Der Ruf nach immer schnellerer Bereitstellung neuer Maschinen, besserer Skalierbarkeit und optimierter Ressourcen-Nutzung, führte mit der Zeit zur Notwendigkeit, die Virtualisierung weiterzuentwickeln. Eine treibende Kraft ist hier nicht zuletzt die steigende Akzeptanz Cloud-basierter Lösungen. Dadurch ergeben sich zusätzliche Anforderungen bezüglich Hochverfügbarkeit, Multi-Mandantenfähigkeit und Portabilität.

Container-Technologie hält Einzug

Container-Technologie hat enorme Vorteile Im Cloud-Zeitalter stehen Software-Dienste im Mittelpunkt. Diese müssen schnell und einfach entwickelt, getestet und bereitgestellt werden können. Dabei verschwimmen die Grenzen zwischen On-Premise und Cloud. Um all die genannten Anforderungen zu erfüllen, entstand die Idee virtuelle Maschinen um standardisierte Container zu ergänzen.

Aus dem Transportwesen kennen wir Container als eine Möglichkeit in genormten Behältern alle denkbaren Güter von A nach B zu verfrachten. Dabei können diese Container auf Schiffen, Zügen oder LKWs transportiert werden. Was sich innerhalb des Containers befindet, ist für den Transport völlig unerheblich. Der Schlüssel ist also die Entkopplung des Container-Inneren von der Außenwelt.

Wenn wir diese Idee nun in die Softwarewelt verlagern, ergibt sich daraus die Möglichkeit, Software zuverlässig laufen zu lassen, nachdem sie von einer Umgebung in eine andere transportiert wurde. Das heißt, eine Software funktioniert in einem Container exakt gleich, egal ob sich dieser auf dem Rechner des Entwicklers, in einer lokalen Testumgebung, einem physikalischen Computer oder innerhalb einer virtuellen Maschine On-Premise bzw. in der Cloud befindet.

Wie unterscheiden sich Container von virtuellen Maschinen?

Bildquelle: https://www.docker.com/whatisdocker Eine virtuelle Maschine besteht aus einem vollständigen Betriebssystem (OS) mit eigener Speicherverwaltung, Treibern, Massenspeicher und den erforderlichen Software-Komponenten, um Applikationen verwenden zu können. Ein Container dagegen beinhaltet kein Betriebssystem. Damit ist der Overhead eines Containers im Vergleich zu einer VM wesentlich geringer. Das Betriebssystem läuft bei diesem außerhalb des Containers. Dieses kann natürlich wiederum virtualisiert betrieben werden. Durch den Wegfall des Betriebssystems ist es möglich, Container in einem Bruchteil der Zeit zu starten. Darüber hinaus sind für den Betrieb der Container-Technologie wesentlich weniger Ressourcen nötig. Ein Container ist kleiner als eine VM, somit können auf einem Server sehr viel mehr Container als VMs betrieben werden.

Ein weiterer Vorteil besteht darin, dass alle erforderlichen Komponenten um eine Applikation zu nutzen, Bestandteil des Containers sind. D.h. die benötigten Bibliotheken und andere Binär- und Konfigurationsdateien werden mit dem Container bereitgestellt. Damit können keine Probleme mit unterschiedlichen Versionsständen und Patch-Levels auftreten, egal auf welcher Plattform der Container betrieben wird. Für den Betrieb von Software-Lösungen, egal ob On-Premise oder in der Cloud, ergeben sich durch Container ganz neue Möglichkeiten der Skalierbarkeit. Denn zusätzliche Container können schnell und einfach gestartet und in Betrieb genommen oder auch wieder gestoppt werden.

Aus der Tatsache, dass sich mehrere Container dasselbe Betriebssystem teilen, ergeben sich allerdings auch Nachteile. Gibt es beispielsweise Sicherheitslücken im Betriebssystem, können diese ggf. alle darauf betriebenen Container in Mitleidenschaft ziehen. Umgekehrt könnte mit privilegierten Berechtigungen innerhalb eines Containers, das darunterliegende OS angegriffen werden. Daher ist es zum einen wichtig, die Berechtigungen in Containern mit Bedacht zu setzen, und zum anderen das Betriebssystem stets mit den aktuellsten Updates zu versehen.

Docker und Windows Server 2016

GBS - Server-Manager Eine Möglichkeit Container-Technologien zu verwenden, stellt u.a. Docker zur Verfügung. Daneben existieren auch andere Lösungen, wie beispielsweise Rocket für CoreOS oder auch Kubernetes.

Die erste Docker Version wurde 2013 noch als „dotCloud“ veröffentlicht. 2014 konnte Docker in der Linux-Welt dann schnell an Bekanntheit und Popularität gewinnen. Durch die Partnerschaft mit Microsoft stand bisher Docker im Rahmen von Azure unter Linux zur Verfügung. Mit Windows Server 2016 sind diese Möglichkeiten jetzt auch im Microsoft Betriebssystem verfügbar. Dabei können Container auf zwei Arten verwendet werden, als Windows Server Container und Hyper-V Container. Beide Arten werden auf die gleiche Weise erstellt bzw. verwaltet und funktionieren identisch. Der Unterschied besteht im Isolationsgrad zwischen Container, Hostbetriebssystem und anderen Containern, die auf dem Host ausgeführt werden.

Bei der Verwendung von Windows Server Containern können mehrere Containerinstanzen auf einem Host gleichzeitig isoliert ausgeführt werden. Dies gilt u.a. für Ressourcen, Prozesse, Dateisystem und Namespaces. Der OS Kernel wird dabei zwischen Container und Host geteilt. Im Gegensatz zu Windows Server Container werden Hyper-V Container jeweils auf einem speziellen virtuellen Computer ausgeführt. Damit wird eine Isolation auf OS Kernel Ebene zwischen Hyper-V Container und Host erreicht. Über den Server-Manager kann das Windows-Container-Feature installiert werden. Zusätzlich sind dabei das Docker-Modul und der Docker-Client erforderlich. Sobald der Docker-Service gestartet ist, können über die Powershell Container erstellt werden.

Resümee

Mit der Bereitstellung von Windows Server Container-Technologie bieten sich für die oben genannten Prozesse der Software-Entwicklung sehr interessante Möglichkeiten. Diese waren bisher nur unter Linux realisierbar. Auch für den Software-Betrieb unter Windows stehen nun neue Skalierungsoptionen zur Verfügung.

Kennen Sie Docker? Hat die Container-Technologie auch bereits in Ihrem Unternehmen Einzug gehalten? Ich freue mich über Ihre Kommentare, weitere Tipps und Anregungen.

Der Beitrag Die Evolution der Virtualisierung: Container-Technologie erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Read full article |Kommentare deaktiviert für Die Evolution der Virtualisierung: Container-Technologie
Tags: , ,
Categories: Allgemein

Ende des Blindflugs: Data Leakage Prevention verbessert Datenschutz

4. August 2016 Posted by Heiko Brenn

Wo sind all die Daten hin: Datenverlust den Kampf ansagen

Schutz vor Datendiebstahl

Data Leakage Prevention ist aktueller denn je. Phishing-Mails, Spam und Hackerangriffe – beinah täglich hören und lesen wir über IT-Sicherheitsvorfälle. Geraten sensible Informationen wie Kundendaten, Bankdaten oder Passwörter in die Hände unbefugter Dritter, kann Unternehmen und Behörden erheblicher Schaden entstehen. Sie müssen deshalb sicherstellen, dass Daten nicht unerwünscht den eigenen Kontrollbereich verlassen.

Bedrohungen: … von außen

Zu den schwerwiegendsten Bedrohungen zählen ohne Zweifel Hackerangriffe: Datendiebe nutzen Spam- oder Phishing-Mails, um an sensible Firmendaten zu gelangen. Durch Vortäuschung eines vertrauenswürdigen Absenders und unter dem Deckmantel eines legitimen Betreffs wird der Empfänger dazu gebracht, persönliche Informationen preiszugeben. Häufig soll er durch Anklicken von Links in einer E-Mail oder durch Öffnen eines Mail-Anhangs die Installation eines Trojaners einleiten, der sensible Daten sammelt. Durch dieses Anklicken verschaffen sich Hacker weiteren, oft auch langfristigen, Zugang zum Unternehmensnetzwerk.

… und von innen

Ein mindestens ebenso hohes Risiko können auch die eigenen Mitarbeiter darstellen, wenn es um Datenverlust geht: Wie aus dem Data Breach Investigations Report 2016 von Verizon hervorgeht, sind rund 16,3 Prozent der 2015 registrierten Sicherheitsvorfälle auf den „Missbrauch durch Insider“ zurückzuführen. Das ist immerhin ein leichter Rückgang im Vergleich zum Vorjahr von knapp 5 Prozent (2014: 21 Prozent). Interessanterweise sind es nicht etwa Administratoren oder IT-Entwickler mit ihren umfangreichen Zugriffsrechten, die sich unerlaubt an Daten bedienen. Als Täter benennt Verizon zu rund einem Drittel Endanwender – mit einem klaren Motiv: In 34 Prozent der Fälle sind finanzielle Gründe das Tatmotiv für den Datenmissbrauch.

IBM Studie - Datendiebstahl Gestützt werden diese Ergebnisse durch ähnliche Studien von IBM: Die Analysten beobachteten im vergangenen Jahr einen Anstieg unautorisierter Zugriffe auf Unternehmensdaten von 37 auf 45 Prozent. Laut IBM sind dafür zu 60 Prozent Personen verantwortlich, denen im Geschäftsalltag eigentlich vertraut wird: Eigene Mitarbeiter, Berater, Projektmitarbeiter und externe Dienstleister.

Es muss natürlich nicht immer böse Absicht dahinter stecken. Doch überlegen Sie einmal, wie schnell kritische Geschäftsinformationen an einen falschen Empfänger gemailt sind?! Oft genügt ein Moment der Unachtsamkeit und schon sind vertrauliche Inhalte an Dritte preisgegeben. Deshalb wundert es nicht, dass laut IBM die eigenen Mitarbeiter in mehr als 50 Prozent aller Cyberattacken involviert sind.

Es sind erschreckende Zahlen. Unautorisierte Zugriffe durch Insider sind schwer zu entdecken und nicht minder schwer zu verhindern. Laut Verizon dauert es in 70 Prozent der Fälle, bei denen Insider in Sicherheitsvorfälle verwickelt sind, mehrere Monate oder gar Jahre, bis der Missbrauch entdeckt wird.

Es geht schneller als Sie denken!

Der von zu Hause mitgebrachte USB-Stick, auf dem in Sekundenschnelle technische Projektdaten gespeichert werden, die am Telefon ausgeplauderten Namen einiger Großkunden. Die unbemerkt per E-Mail versandten Geschäftszahlen oder der Gast mit Zugriff auf das Firmen-WLAN, der sich interne Dateien auf sein Notebook kopiert: Unterschätzen Sie nicht die Geschwindigkeit, in der Daten Ihr Unternehmen verlassen können!

Datenschutzlücken durch Social Engineering

Bitkom Studie - Opfer von Data Leakage Insbesondere das Gesundheits- und Finanzwesen ist von Datenverlusten betroffen, gefolgt von der Industrie. Aber nicht nur Unternehmen der Privatwirtschaft haben offenbar mit Datenschutzlücken zu kämpfen. Eine Umfrage im Auftrag des Digitalverbands Bitkom aus dem Jahr 2015 unter 70 Sicherheitsverantwortlichen von Behörden ergab, dass fast die Hälfte (49 Prozent) von digitalen Angriffen betroffen waren. Als häufigstes Delikt, mit einem Anteil von 26 Prozent, wurde dabei Social Engineering genannt. Das ist die Manipulation von Mitarbeitern, um an bestimmte Informationen zu gelangen. Zwar setzen fast alle befragten Behörden für den Schutz ihrer Informationen IT-Security Lösungen ein. Aber gerade einmal ein knappes Drittel (30 Prozent) setzt auf die Sicherheit der Mitarbeiter. Klare Richtlinien, Schulungen und Sensibilisierung oder Sicherheitsüberprüfungen werden häufig vernachlässigt. Und gerade Mitarbeiter sind es, die beabsichtigt oder aus Unachtsamkeit heraus, Informationen preisgeben.

Nur wenige tun etwas gegen ungewollten Datenabfluss

Bitkom Studie - Notfallmanagement Aber zurück zu den Datenlecks. E-Mail ist wohl der naheliegende Weg, um Informationen im Handmdrehen zu versenden. Beim Thema E-Mail-Sicherheit aber nur an das Absichern der eingehenden E-Mails und den Schutz vor Viren und Spam zu denken, reicht nicht mehr aus. Während Virenscanner, Passwortschutz und Firewall sowie die Verschlüsselung externer Datenträger längst zum Basisschutz gehören, tun sich Unternehmen wie Behörden schwer mit der Absicherung der ausgehenden Kommunikation: Über Systeme zur Absicherung gegen Datenverlust von innen verfügen laut Bitkom nur 27 Prozent aller vom Branchenverband befragten Behörden und 29 Prozent der befragten Unternehmen. Dabei sollte angesichts der massenhaften Datenschutzvorfälle diese Themen ganz oben auf der IT-Sicherheitsagenda stehen: Die Vermeidung von ungewolltem Datenabfluss spielt eine ebenso große Rolle, wie die automatische Verschlüsselung sensibler Informationen und eine intelligente Viren- und Spamabwehr! Denn nur wer Anomalien beim Zugriffsverhalten oder verdächtige Aktivitäten frühzeitig erkennt, kann auch potenzielle Datenschutzverstöße, Leaks und Insider-Aktivitäten verhindern.

Die Lösung: Data Leakage Prevention Systeme schützen vor Datenklau

Moderne Lösungen für Data Leakage Prevention (DLP) bieten eine intelligente Inhaltskontrolle des unternehmensweiten ausgehenden E-Mail-Verkehrs, bei der die E-Mail-Nutzung von Anwendern in Echtzeit analysiert und mit ihrem Standardverhalten verglichen wird. Dateiformate, wie Excel-Dateien oder bestimmte Textinhalte können mittels Fingerprint-Technologie erkannt und der Versand von Kundenlisten oder Kreditkartennummern blockiert werden. Neue innovative Technologien, wie die von GBS, sind in der Lage, Datenklau anhand von Verhaltensanomalien zu identifizieren: Steigt beispielsweise das Datenvolumen versendeter E-Mails exponentiell an oder werden plötzlich überdurchschnittlich viele E-Mails pro Stunde verschickt, wird der Versand gestoppt und vorläufig in Quarantäne gestellt. Ein solcher Sicherheitsmechanismus wird durch eine 4-Augen-Prüfung abgerundet, bei der eine weitere, zuvor festgelegte Person über Freigabe oder endgültige Blockierung entscheidet.

Wie genau funktioniert Data Leakage Prevention? In unserem kurzen Video erklären wir Ihnen, wie Sie Datenklau erfolgreich verhindern können:

Rundum-Schutz statt Insellösungen

Data Leakage Prevention, also der Schutz vor ungewollten Datenabfluss, muss sowohl die Absicherung gegen Phishing-Angriffe und Spam-Attacken umfassen, als auch den Schutz von unkontrolliertem Datenabfluss von innen. Denn die Hälfte aller Cyberattacken geht auf Anwendungsfehler zurück. Um zu verhindern, dass sie Teile der Schutzmechanismen zur Data Leakage Prevention außer Kraft setzen, sollte ein modernes IT-Sicherheitskonzept auch Mechanismen enthalten, die bei ungewöhnlichen Aktivitäten sofort Alarm schlagen. Die Prozesse sollten zentral und aufeinander abgestimmt laufen, so daß Spam- und Malware-Prüfungen, Phishing-Schutz, die Erkennung und Kategorisierung sensibler Informationen, die 4-Augen-Prüfung ausgehender E-Mails und Verschlüsselung automatisiert ablaufen. Erst dann ist ein wichtiger Schritt in Sachen Datenschutz getan.

Mit Data Leakage Prevention gegen Datenklau

Umfassende Data Leakage Prevention enthält folgende Kernelemente

  • Ihre ausgehende Kommunikation wirdauf unerwünschte Inhalte überprüft.
  • Es wird sichergestellt, dass keine Schadprogramme wie Trojaner den Weg ins Unternehmen finden.
  • Phishing-Angriffe werden erkannt und abgewehrt.
  • Eine unternehmensweite Verschlüsselungslösung befindet sich im Einsatz.
  • Mitarbeiter werden regelmäßig über die neuesten DLP-Gefahren und den richtigen Umgang mit sensiblen Informationen geschult.

Erfahren Sie mehr in unseren Websessions

Sie möchten sich weiter informieren? Im September und Oktober bieten wir aufgrund der hohen Nachfrage erneut DLP Websessions an. In diesen erhalten Sie einen Überblick, wie Sie mit iQ.Suite DLP unautorisierten Datenabfluss verhindern, sich effektiv vor Datenverlust schützen und in wenigen Schritten mehr Datenschutz in Ihrem Unternehmen verankern. Dabei stellen wir Ihnen die Kernelemente einer durchgängigen DLP-Strategie inklusive innovativer Erkennungstechnologien zum Aufdecken von Verhaltensanomalien im E-Mail-Verkehr vor.

Erfahren Sie außerdem, wie Sie

  • sensible E-Mail Inhalte sicher erkennen und schützen.
  • eine prozessgesteuerte 4-Augen-Prüfung für kritische E-Mail Inhalte umsetzen.
  • das E-Mail Nutzerverhalten komfortabel über ein Dashboard auswerten.
  • Anomalien unter Berücksichtigung von Datenschutzrichtlinien erkennen.
  • Aktionen bei auffälligen Veränderungen im E-Mail Nutzerverhalten definieren.

Melden Sie sich gleich hier an.

Data Leakage Prevention:
Die Top 10 Tipps gegen Datenklau

LesetippIn diesem eBook geben wir Ihnen 10 wichtige Tipps, wie Sie unautorisierten Datenabfluss verhindern und sich effektiv vor Datendiebstahl schützen können.

Der Beitrag Ende des Blindflugs: Data Leakage Prevention verbessert Datenschutz erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Read full article |Kommentare deaktiviert für Ende des Blindflugs: Data Leakage Prevention verbessert Datenschutz
Tags: , ,
Categories: Allgemein

Microsoft Exchange 2016: Die Neuerungen auf einen Blick

10. Dezember 2015 Posted by Heiko Brenn

Aus Outlook Web App wird „Outlook on the web“

Exchange 2016 mit Cloud Fokus„Microsoft Exchange Server 2016“ ist seit Oktober auf dem Markt und enthält viele Anpassungen, die bereits seit geraumer Zeit in Office 365, sprich Exchange Online, verfügbar sind. Damit trägt Microsoft der „Mobile First/Cloud First“ Strategie Rechnung, und adaptiert Funktionen aus der Cloud-Welt für die Exchange On-Premise Version.

Undo-Button macht Änderungen rückgängig Prominentes Beispiel dafür ist die neue Outlook Web App. Neben der geänderten Bezeichnung „Outlook on the web“, stehen dem Benutzer jetzt einige neue Möglichkeiten zur Verfügung, die bisher nur in Office 365 enthalten waren. So können nun alle Änderungen über einen Undo-Button rückgängig gemacht werden und über eine neue Funktionsleiste sind häufig verwendete Befehle schneller im Zugriff. Mit der Funktion „Pin“ kann der Benutzer jetzt dafür sorgen, dass wichtige E-Mails dauerhaft am Beginn der E-Mail-Liste zu finden sind. Neu ist auch, dass die Suche im WebClient jetzt auch für Kalendereinträge funktioniert. Ebenfalls neu ist das Feature „Sweep“, mit dem das Aufräumen der Inbox vereinfacht wird.

Weniger ist mehr – Konsolidierung der Server Rollen

'Single Building Block' Waren bei Exchange 2007/2010 noch fünf Server Rollen und bei Exchange 2013 drei Server Rollen zu finden, so arbeitet Exchange 2016 nur noch mit zwei Rollen: Die Edge Transport Server Rolle und die Mailbox Server Rolle. Erstere kann vernachlässigt werden, da diese in der Praxis nur sehr selten zum Einsatz kommt. Die Mailbox Server Rolle vereint nun alle Exchange Funktionen, von den Informationsstores über den E-Mail Transport (SMTP) bis zu den Client-Zugriffen. Microsoft spricht hier von einem „Single Building Block“. Damit vereinfacht sich die Exchange Infrastruktur, da nun alle Exchange Server identisch sind.

Was ändert sich für den Administrator?

Wer unter Exchange 2016 das erste Mal das Exchange Admin Center öffnet, meint sich in Exchange 2013 zu befinden. Das ist allerdings auch nicht verwunderlich, denn in diesem Bereich hat sich tatsächlich sehr wenig verändert. Alles ist und bleibt an seinem angestammten Platz. Damit ist für den Administrator der Umstieg auf 2016 ohne Umstellung möglich.

Was gibt es Neues im Bereich Sicherheit?

Auch im Bereich Sicherheit bietet Exchange 2016 keine wesentlichen Neuerungen. Zwar wurde die DLP Funktionalität (Data Leakage Prevention) um neue Templates aufgebohrt, ob aber das Erkennen von deutschen Führerscheinnummern eine nennenswerte Erweiterung darstellt, ist sicherlich eine Frage des Blickwinkels. Damit bleibt auch die Tatsache bestehen, dass ein sicherer und alltagstauglicher Betrieb von Exchange 2016 nur mit zusätzlichen Lösungen für Virenschutz, Verschlüsselung und Signatur Management gewährleistet werden kann.

System-Voraussetzungen für Exchange Server 2016

Logo Als Basis Betriebssystem für Exchange 2016 ist Windows Server 2012 R2 oder Windows Server 2016 (derzeit als Technical Preview verfügbar) erforderlich. Daneben wird das .NET Framework 4.5.2 und Windows Management Framework 4.0 vorausgesetzt. Outlook 2007 ist übrigens mit Exchange Server 2016 nicht mehr lauffähig. Es ist mindestens Outlook 2010 erforderlich.

Fazit

Zusammenfassend lässt sich resümieren, dass Exchange 2016 tatsächlich mehr ein Service Pack für Exchange 2013 darstellt, als eine neue Major Version. Microsoft sieht dies offensichtlich genauso, was anhand der Buildnummern erkennbar ist. Im Gegensatz zu Exchange 2010 (Build 14.0.x) und Exchange 2013 (Build 15.0.x), macht Exchange 2016 nur einen Sprung auf 15.1.x.

Der Beitrag Microsoft Exchange 2016: Die Neuerungen auf einen Blick erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.

Read full article |Kommentare deaktiviert für Microsoft Exchange 2016: Die Neuerungen auf einen Blick
Tags: , ,
Categories: Allgemein

Verschlüsselte E-Mails? Aber sicher!

13. Februar 2014 Posted by Heiko Brenn

Herausforderungen „klassischer“ E-Mail-Verschlüsselung

B2C: Webbasierte E-Mail-Verschlüsselung!Die Bedeutung von E-Mail-Verschlüsselung ist mittlerweile in vielen Unternehmen erkannt worden. Trotzdem setzen immer noch vergleichsweise wenige entsprechende Lösungen ein. Dies hat verschiedene Gründe, doch vor allem verbinden viele mit dem Thema Verschlüsselung Begriffe wie „teuer“, „komplex“ und „mangelnde Benutzerakzeptanz“. Mit dem Einsatz einer zentralen serverbasierten Software können diese Herausforderungen jedoch einfach gelöst werden. Verwendet man dabei ausschließlich die Standards S/MIME und PGP, bleibt auch hier ein Problem bestehen: Bevor eine Verschlüsselung durchgeführt werden kann, müssen Absender und Empfänger ihre öffentlichen Schlüssel austauschen. D.h. beide müssen PGP oder S/MIME aktiv unterstützen. Was im B2B Bereich vielleicht noch handhabbar ist, kann bei der Kommunikation mit Endkunden leicht zum Albtraum werden. Aber auch hier gibt es eine Lösung: Eine webbasierte Verschlüsselung.

Aus der Praxis

Betrachten wir folgendes Szenario: Ein Unternehmen möchte Dokumente wie Rechnungen, Buchungsbestätigungen und Gehaltsabrechnungen, die derzeit per Brief (teuer und langsam) versendet werden, zukünftig per E-Mail (günstig und schnell) transportieren. Dies muss aber natürlich auf sichere Art und Weise geschehen. Dies macht eine E-Mail-Verschlüsselung dringend erforderlich. Viele dieser Dokumente gehen an Privatpersonen und kleine Unternehmen. Teilweise ist es auch nur ein einzelner Vorgang der sicher abgewickelt werden muss. Damit scheidet die Verwendung von S/MIME und PGP mit der Notwendigkeit der aktiven Unterstützung auf der Empfängerseite und des Schlüsselaustausches aus.

Voraussetzungen webbasierter E-Mail-Verschlüsselung

Die Kombi aus server- und webbasierter Verschlüsselung macht's Auf der Absenderseite kommt neben dem E-Mail Server eine weitere Komponente ins Spiel. Diese Komponente findet ihren Platz entweder als On-Premise Lösung in der Infrastruktur des Absenders oder als sichere Cloud-Lösung bei einem Hosting-Anbieter.
Dieser Server sorgt dafür, dass E-Mail Inhalte für die Empfänger automatisch verschlüsselt werden. Diese erhalten im Ergebnis eine E-Mail, an die ein Attachment angehängt ist (z.B. secure.html), welches die ursprüngliche Nachricht in verschlüsselter Form enthält. Durch das Öffnen der Datei gelangt der Empfänger über eine sichere Webbrowserverbindung (https) auf das Anmeldeportal. Dort erhält er Zugriff auf die Nachricht in entschlüsselter Form, hat dabei u.a. die Möglichkeit auf diese E-Mail über das Portal zu antworten und sich die E-Mail in entschlüsselter Form herunterzuladen.

Mit einer webbasierten E-Mail-Verschlüsselung ist das beschriebene Szenario sehr gut umzusetzen. Auf Empfängerseite sind dafür nur zwei Voraussetzungen zu erfüllen:

  • Empfänger benötigt ein E-Mail Postfach
    • Möglichkeit, sich über eine sichere Verbindung (https) auf einen Server im Internet zu verbinden

    Bleibt noch die Frage, wie der Empfänger seine initialen Zugangsdaten erhält. Diese Informationen können zum Beispiel an den Absender per E-Mail kommuniziert werden. Damit ist dieser in der Lage die Daten entweder per E-Mail oder einem anderen Medium (z.B. SMS) an den Empfänger zu senden. Darüber hinaus ist es möglich, dass sich Empfänger selbstständig einen Account auf dem Portal anlegen. Der Absender kann das Look & Feel des Webportals natürlich an seine Bedürfnisse anpassen und auch die Unterstützung von mehreren Sprachen ist gewährleistet.

    Fazit – Die Kombi macht’s

    Nicht mit Technik überfrachten

    LesetippIn der E-Mail-Verschlüsselung gilt es den Überblick zu bewahren. In diesem Artikel beleuchten wir E-Mail-Verschlüsselung aus serverbasierter Sicht: E-Mail-Verschlüsselung: Nur ein Ausnahmezustand?

    Verschlüsselte E-Mails zu schreiben und zu empfangen ist ein gutes Gefühl – denn niemand außer Ihnen und der Kontaktperson kennt den Inhalt. Das nennt sich Privatsphäre. Vor allem verschlüsselte Kommunikation kann uns derzeit vor großangelegter Datenspionage schützen. Sie können und sollten Ihre individuellen Nachrichten verschlüsseln – auch wenn sowohl Sender als auch Empfänger der Nachricht vorher etwas Arbeit investieren müssen, um den Schutz zu gewährleisten. In Kombination mit der klassischen Verschlüsselung (S/MIME und PGP) und der webbasierten Herangehensweise, sind alle möglichen Anwendungsfälle im Bereich der sicheren E-Mail Kommunikation abgedeckt.

    Sie haben bereits Erfahrungen mit dem Thema E-Mail-Verschlüsselung? Oder haben Sie Fragen zum Thema? Ich freue mich auf Ihre Kommentare.

Read full article |Kommentare deaktiviert für Verschlüsselte E-Mails? Aber sicher!
Tags: , , , ,
Categories: Allgemein

E-Mail-Verschlüsselung: Nur ein “Ausnahmezustand”?

11. Dezember 2013 Posted by Heiko Brenn

Wie funktioniert sichere E-Mail-Kommunikation?

Was Julius Cäsar schon wussteVerschlüsselung sensibler Inhalte ist fast so alt, wie die schriftliche Kommunikation selbst. Bereits der Feldherr und spätere römische Kaiser Cäsar hat seine Korrespondenz verschlüsselt. Dabei wurden die Buchstaben im Alphabet um drei Stellen verschoben. Das ist zugegebener Maßen ein sehr einfaches Verfahren, war aber wohl dennoch erfolgreich.
Für die heutige Zeit sind dank moderner Technologien natürlich viel ausgefeiltere Verschlüsselungsmethoden nutzbar. In der E-MailKommunikation haben sich hierbei zwei Standards herausgebildet, S/MIME und PGP. Beide Standards sorgen dafür, dass die Säulen der sicheren Kommunikation umgesetzt werden können.

Drei Säulen der sicheren Kommunikation

  • Integrität

Im Rahmen der sicheren E-Mail-Kommunikation stellen S/MIME und PGP sicher, dass sich der Inhalt der Nachricht auf dem Weg vom Absender zum Empfänger nicht verändert bzw. etwaige Veränderungen dem Empfänger sofort angezeigt werden. Dies wird mit Hilfe der digitalen Signatur erreicht.

  • Authentizität

Eine weitere Aufgabe der digitalen Signatur ist es, die Echtheit des Absenders sicherzustellen. D.h. der Empfänger einer signierten Nachricht hat die Sicherheit, dass die E-Mail tatsächlich vom angegebenen Absender versandt wurde.

  • Vertraulichkeit

Mit E-Mail-Verschlüsselung wird schließlich gewährleistet, dass der Inhalt einer E-Mail auf dem Weg vom Absender zum Empfänger von Dritten nicht gelesen werden kann.

Problem erkannt…

Sehen wir uns im Folgenden genauer an, wie S/MIME und PGP die Verschlüsselung realisieren. Eine der Herausforderungen bei der Verschlüsselung ist die Frage, wie der Empfänger die Informationen erhält, um eine verschlüsselte Nachricht zu entschlüsseln. Nehmen wir das Anfangsbeispiel der sogenannten Cäsar-Verschlüsselung. Der Empfänger muss für die Entschlüsselung wissen, wie der Absender die Nachricht verschlüsselt hat. Würde diese Information nun gemeinsam mit dem verschlüsselten Text transportiert werden, so könnte jemand den Überbringer der Nachricht stoppen und bekäme damit Zugriff auf die geheime Information. Damit wäre er in der Lage, die aktuelle Nachricht und alle zukünftigen auf der gleichen Basis verschlüsselten Texte lesbar zu machen.

Vor- und Nachteile des Secret-Key

Verwendung eines Schlüssels Symmetrische Verschlüsselungsverfahren verwenden zum Ver- und Entschlüsseln jeweils den gleichen Schlüssel, den Privaten (Secret-Key). Die schon erwähnte Cäsar-Chiffre ist ein symmetrisches Verfahren. Mit dem Besitz dieses Schlüssels ist es möglich, Nachrichten zu ver- und zu entschlüsseln. Es gestaltet sich problematisch, den Schlüssel auf einem sicheren Weg zwischen den Kommunikationspartnern zu vereinbaren und auszutauschen. Der Vorteil ist die Geschwindigkeit dieser Methode.

Vor- und Nachteile des Public-Key

Verwendung eines Schlüsselpaares Beim asymmetrischen Verschlüsselungsverfahren ist ein Schlüsselpaar beteiligt. Mit dem Public-Key wird die Nachricht ver- und mit dem dazu gehörigen privaten Schlüssel wieder entschlüsselt.
Hieraus ergibt sich der Vorteil, dass nur der öffentliche Schlüssel verteilt werden muss. Der Secret-Key bleibt an einem sicheren Ort geheim. Der Nachteil dieses Verfahrens besteht darin, dass es mehr Rechenkapazität erfordert und im Vergleich zum symmetrischen Verfahren langsamer ist.

…Problem gebannt: Hybridverfahren – Die Kombination macht’s!

S/MIME und PGP kombinieren Diese Schwierigkeit wird bei S/MIME und PGP durch die kombinierte Verwendung von symmetrischen und asymmetrischen Verschlüsselungsmethoden gelöst. Man spricht hierbei auch von einem Hybridverfahren. Der Weg einer verschlüsselten Nachricht zum Klartext Die Information wird mittels eines so genannten Sitzungsschlüssels, der nur ein Mal Verwendung findet, symmetrisch verschlüsselt. Dieser Session-Key wird dann asymmetrisch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Nachricht angehängt. Der Empfänger kann mit seinem Secret-Key den Schlüssel und anschließend die Information entschlüsseln. Für Nachrichten ist dieses Vorgehen effektiver als eine asymmetrische Verschlüsselung der gesamten Nachricht. Da der Session-Key nur ein einziges Mal verwendet wird, ist diese Methode genauso sicher wie eine asymmetrische Verschlüsselung.

Fazit

E-Mail Verschlüsselung – zu kompliziert?

LesetippStellen Sie sich die Frage nach der Vertraulichkeit der versendeten Daten und der Notwendigkeit einer Verschlüsselung? In diesem Artikel werfen wir einen Blick auf das brisante Thema: E-Mail-Verschlüsselung: Muss das sein?

Man sieht, die Abläufe und Voraussetzungen bei Verschlüsselung sind recht komplex. Daher zeigt sich auch in der Praxis: Eine effiziente Verschlüsselung findet dann in der Breite Verwendung, wenn die einzelnen E-Mail-Absender und -Empfänger mit den eigentlichen Ver- und Entschlüsselungsprozessen nicht konfrontiert werden. Der beste Weg dahin ist die Nutzung einer servergestützten Ver- und Entschlüsselung, die dafür sorgt, dass die erforderlichen Funktionen voll automatisch durch ein unternehmensweites Regelwerk gesteuert werden. S/MIME- und PGP-Verschlüsselung funktioniert dann, wenn Absender UND Empfänger einen dieser Standards aktiv unterstützen. D.h. bevor mit der Verschlüsselung begonnen werden kann, sind die jeweils öffentlichen Schlüssel bzw. Zertifikate zwischen Absender und Empfänger auszutauschen. Hat der Absender nun die Anforderung mit beliebigen Empfängern verschlüsselt zu kommunizieren, also auch mit solchen, die nicht S/MIME oder PGP nutzen können oder wollen, existieren dafür web-basierte Alternativen. Diese beleuchten wir in einem der nächsten Blog-Artikel.

Read full article |Kommentare deaktiviert für E-Mail-Verschlüsselung: Nur ein “Ausnahmezustand”?
Tags: , , ,
Categories: Allgemein