Der klassische Perimeterschutz in Form von Firewall und Antivirus-Software hat heute viel von seiner Abwehrwirkung verloren. Gegen individuelle Angriffswerkzeuge und Advanced Persistent Threats helfen nur ausgefeilte Verteidigungsmechanismen. [...]
Ist der Kampf gegen Hacker und deren Schadcode verloren? Zumindest lassen die erfolgreichen Angriffe sogar auf IT-Securityunternehmen wie beispielsweise RSA oder Symantec darauf schließen. Krypto-Anbieter RSA war vergangenes Jahr Ziel eines ausgeklügelten Angriffs geworden, bei dem unter anderem auch Daten über die Zwei-Faktor-Authentisierungslöungen der SecurID-Serie entwendet wurden. In der Folge musste RSA alle an seine Kunden ausgegeben SecurID-Tokens ersetzen, nachdem Teile der gestohlenen Informationen für einen gescheiterten Hackerangriff auf Lockheed Martin verwendet worden waren. Den Angriff führte RSA auf zwei Hackergruppen zurück, die im Auftrag einer ausländischen Regierung gehandelt haben sollen.
Auch Symantec geriet im Jänner dieses Jahres in die Schlagzeilen als bekannt wurde, dass Hacker aus Indien Sourcecode von Antivirenprogrammen des Herstellers stahlen. In der Folge musste Symantec bestätigen, dass der von der Hacktivisten-Gruppe »Lords of Dharmaraja« veröffentlichten Quellcode älterer Versionen der Programme Norton Internet Security und pcAnywhere echt ist. Mittlerweile befürchtet Symantec, dass die Angreifer den Quellcode auch anderer Symantec-Programme, welche die Hacker bei dem Angriff ebenfalls kopieren konnten, ebenso veröffentlichen werden.
ANGRIFFE BLEIBEN LANGE UNBEMERKT Was diese und ähnliche Angriffe gemeinsam haben, ist deren Zielgerichtetheit und Dauer. Gemäß eines offenen Briefes des RSA-CEO Art Coviello an RSA-Kunden handelte es sich bei dem Angriff um eine »extremely sophisticated cyber attack« der, ebenso wie jener auf Symantec, über einen längeren Zeitraum nicht erkannt werden konnte.
In zahlreichen Gesprächen mit der COMPUTERWELT gestehen viele Sicherheitsexperten hinter vorgehaltener Hand mittlerweile ein, dass der Kampf gegen Malware in der klassischen Form der »Perimetersicherheit« verloren sei. Die Absicherung durch Firewall, Antivirus-Software und das Einspielen von Softwarepatches stelle zwar einen gewissen Basisschutz da, ist aber nicht in der Lage, zielgerichtete Angriffe auf Softwareschwachstellen zu verhindern. Täglich tauchten weltweit mehrere Zehntausend neue Computerviren, Würmer, Trojaner oder Varianten auf. Diese Bedrohung sei kaum noch beherrschbar. Inzwischen ist es üblich geworden, individuelle Angriffswerkzeuge zu entwickeln und mittels so genannter Advanced Persistent Threats (APT) nur noch die IT-Infrastrukturen ausgewählter Unternehmen über einen längeren Zeitraum anzugreifen. Diese Attacken bleiben zudem sehr lange unbemerkt, da die Systeme oftmals zunächst nur nach möglichen Einfallstoren ausgekundschaftet und kritische Daten anschließend ohne nachweisbare Spuren kopiert werden. Weil die Angriffe sehr gezielt und jedes Mal komplett anders verlaufen, hilft hier auch kein noch so guter Malware-Schutz mehr weiter.
Eine Situation, die durch die zunehmende Zahl mobiler Endgeräte wie Smartphones oder Tablets, die Zugriff auf Firmennetze und damit deren sensible Daten haben, zusätzlich verschärft wird.
HONEYPOTS ZUR FRÜHERKENNUNG Eine der Konsequenzen ist, dass die Carrier-Netze selbst mit einem Mehr an Sicherheit aufwarten müssen. Im Rahmen der diesjährigen Cebit präsentierte die Deutsche Telekom erstmals Details ihres seit April 2010 laufenden Honeypot-Projektes.
Ursprünglich sollten die unterschiedlichen Honeypots nur Rückschlüsse auf Angriffe auf Web-Applikationen der Deutschen Telekom selbst ermöglichen. Heute verwendet die Telekom die Daten für verschiedenste Zwecke weiter, unter anderem auch für die Information von Endkunden und anderer ISP. Gleichzeitig präsentierte die Deutschen Telekom als erster Provider in Europa mobile Honeypots, um Angriffe auf iPhones und Android-Geräte zu analysieren.
Die Deutsche Telekom betreibt derzeit mehr als 40 Honeypot-Systeme, ein Gro
Be the first to comment