Mit Honeypots den Angreifern auf der Spur

Der klassische Perimeterschutz in Form von Firewall und Antivirus-Software hat heute viel von seiner Abwehrwirkung verloren. Gegen individuelle Angriffswerkzeuge und Advanced Persistent Threats helfen nur ausgefeilte Verteidigungsmechanismen. [...]

Ist der Kampf gegen Hacker und deren Schadcode verloren? Zumindest lassen die erfolgreichen Angriffe sogar auf IT-Securityunternehmen wie beispielsweise RSA oder Symantec darauf schließen. Krypto-Anbieter RSA war vergangenes Jahr Ziel eines ausgeklügelten Angriffs geworden, bei dem unter anderem auch Daten über die Zwei-Faktor-Authentisierungslöungen der SecurID-Serie entwendet wurden. In der Folge musste RSA alle an seine Kunden ausgegeben SecurID-Tokens ersetzen, nachdem Teile der gestohlenen Informationen für einen gescheiterten Hackerangriff auf Lockheed Martin verwendet worden waren. Den Angriff führte RSA auf zwei Hackergruppen zurück, die im Auftrag einer ausländischen Regierung gehandelt haben sollen.
Auch Symantec geriet im Jänner dieses Jahres in die Schlagzeilen als bekannt wurde, dass Hacker aus Indien Sourcecode von Antivirenprogrammen des Herstellers stahlen. In der Folge musste Symantec bestätigen, dass der von der Hacktivisten-Gruppe »Lords of Dharmaraja« veröffentlichten Quellcode älterer Versionen der Programme Norton Internet Security und pcAnywhere echt ist. Mittlerweile befürchtet Symantec, dass die Angreifer den Quellcode auch anderer Symantec-Programme, welche die Hacker bei dem Angriff ebenfalls kopieren konnten, ebenso veröffentlichen werden.
ANGRIFFE BLEIBEN LANGE UNBEMERKT Was diese und ähnliche Angriffe gemeinsam haben, ist deren Zielgerichtetheit und Dauer. Gemäß eines offenen Briefes des RSA-CEO Art Coviello an RSA-Kunden handelte es sich bei dem Angriff um eine »extremely sophisticated cyber attack« der, ebenso wie jener auf Symantec, über einen längeren Zeitraum nicht erkannt werden konnte.
In zahlreichen Gesprächen mit der COMPUTERWELT gestehen viele Sicherheitsexperten hinter vorgehaltener Hand mittlerweile ein, dass der Kampf gegen Mal­ware in der klassischen Form der »Peri­metersicherheit« verloren sei. Die Ab­­sicherung durch Firewall, Antivirus-Software und das Einspielen von Softwarepatches stelle zwar einen gewissen Basisschutz da, ist aber nicht in der Lage, zielgerichtete Angriffe auf Softwareschwachstellen zu verhindern. Täglich tauchten weltweit mehrere Zehntausend neue Computerviren, Würmer, Trojaner oder Varianten auf. Diese Bedrohung sei kaum noch beherrschbar. Inzwischen ist es üblich geworden, individuelle Angriffswerkzeuge zu entwickeln und mittels so genannter Advanced Persistent Threats (APT) nur noch die IT-Infrastrukturen ausgewählter Unternehmen über einen längeren Zeitraum anzugreifen. Diese Attacken bleiben zudem sehr lange unbemerkt, da die Systeme oftmals zunächst nur nach möglichen Einfallstoren ausgekundschaftet und kritische Daten anschließend ohne nachweisbare Spuren kopiert werden. Weil die Angriffe sehr gezielt und jedes Mal komplett anders verlaufen, hilft hier auch kein noch so guter Malware-Schutz mehr weiter.
Eine Situation, die durch die zunehmende Zahl mobiler Endgeräte wie Smartphones oder Tablets, die Zugriff auf Firmennetze und damit deren sensible Daten haben, zusätzlich verschärft wird.
HONEYPOTS ZUR FRÜHERKENNUNG Eine der Konsequenzen ist, dass die Carrier-Netze selbst mit einem Mehr an Sicherheit aufwarten müssen. Im Rahmen der diesjährigen Cebit präsentierte die Deutsche Telekom erstmals Details ihres seit April 2010 laufenden Honeypot-Projektes.
Ursprünglich sollten die unterschiedlichen Honeypots nur Rückschlüsse auf Angriffe auf Web-Applikationen der Deutschen Telekom selbst ermöglichen. Heute verwendet die Telekom die Daten für verschiedenste Zwecke weiter, unter anderem auch für die Information von Endkunden und anderer ISP. Gleichzeitig präsentierte die Deutschen Telekom als erster Provider in Europa mobile Honeypots, um Angriffe auf iPhones und Android-Geräte zu analysieren.
Die Deutsche Telekom betreibt derzeit mehr als 40 Honeypot-Systeme, ein Gro


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*