Von Manuel HüttlAlles soll und muss heute sicher sein: Die Daten im Archiv, Clients und Server, die Anwendungen im Netzwerk, die Benutzerdaten im Verzeichnis, der Firmenzugang übers Web, die Mails im Postfach, Blackberrys und Smartphones und die Flash-Speicher an der USB-Schnittstelle sowieso. Oft stellt die Absicherung jedes einzelnen dieser Bereiche mittlerweile eine eigene Disziplin dar. Speziell von der IT-Abteilung wird dabei sehr viel spezifisches Know-how abverlangt. Gerade bei der Konzentration auf einzelne Details läuft man Gefahr, den überblick zu verlieren. Dabei sind gerade überblick und Weitblick die Gebote der Stunde. überblick, weil sich die Teillösungen zwangsläufig irgendwann tangieren werden und sich zu einem großen Ganzen zusammenfügen lassen müssen. Weitblick, weil kein Teilbereich der IT sich der Forderung nach Sicherheit entziehen wird können. Die wirksame Verteidigung gegen eine schnell wachsende Zahl komplexer, räumlich und zeitlich verteilter Bedrohungen hat ihren Preis - insbesondere die Erhöhung der Komplexität des Gesamtsystems. Dementsprechend sind IT-Sicherheitslösungen, die über die Zeit von einem einfachen Virenschutz zu mehrstufigen Schutzzonen und Firewall-Einrichtungen gewachsen sind, oft sehr komplex, und benötigen ein hohes Maß an Expertenwissen für ihren Betrieb und ihre permanente Adaption an neue Bedrohungen.
In den Medien wird täglich von neuen Viren, Würmern, Spyware oder anderen Bedrohungen berichtet. Dabei fällt es nicht nur für den Laien sondern auch für den Experten zunehmend schwerer, eine klare Trennschärfe vorzunehmen. Blended Threats, Bots, Spam, Trojanische Pferde, Phishing, Pharming, Spoofing - allein bei der Typologie kann man schnell den überblick verlieren. Und die Bedrohungen werden täglich komplexer: Hinzu kommen technische Innovationen, die das Thema nicht gerade einfacher machen. Die Unterhaltungselektronik wird in Zukunft genauso mit der Informationstechnologie verschmelzen wie es für die Telekommunikation bereits zutrifft. Die VoIP-Technologie wird vermehrt in den Haushalten Einzug halten und bald Teil unseres täglichen Lebens werden. Welche Bedrohungspotentiale uns dann blühen, können wir uns derzeit nur annähernd ausmalen. An Spam auf dem E-Mail-Account haben wir uns ja mittlerweile gewöhnt. Aber Spam over Internet Telephony (SPIT)? Freilich, neue Kommunikationsplattformen bringen neue Bedrohungen mit sich - so funktioniert das Spiel. Also, stellen wir uns im Zuge der Nutzung von Internet Telephony innerlich schon mal auf eine Flut an unsinnigen Anrufen ein, die uns den großen Gewinnspielgewinn oder die Wahl zum Verbraucher des Monats versprechen. Der nächste Schritt scheint nur ein kleiner Sprung. ähnlich wie auf elektronischer Ebene: nach Spam kam Phishing. Und nach SPIT kommt PHIT (Phishing over Internet Telephony), oder auch Vishing genannt - da sind sich die Experten noch nicht so recht einig. über verlockende Angebote wird man zur Herausgabe persönlicher Daten verleitet.
Breite Attacken bleiben aus. Früher waren Angreifer daran interessiert möglichst viele Systeme parallel lahm zu legen, um durch derartige Attacken ein hohes Maß an öffentlichkeitswirksamkeit zu erzielen. Die Viren-Jäger haben jedoch reagiert und sind vor allem bei massenhafter Verbreitung von Malware in der Lage entsprechend schnell die neuen Signaturen im Virenscanner zu adaptieren. Seit einiger Zeit bleiben breit angelegte Angriffe aus und Hacker konzentrieren sich auf gezielte Attacken auf definierte Ziele. Dazu werden speziell programmierte Schädlinge bevorzugt langsam in Umlauf gebracht. Dieses Vorgehen verschleiert die Attacke und wird daher schwerer erkannt. Malware der heutigen Generation versteckt sich auf Systemen, übernimmt im Hintergrund das Zepter und inkubiert ein Netzwerk. Daten werden fehlgeleitet, Viren und trojanische Pferde gesteuert und Identitäten geklaut.
Bevorzugte Beute Information. Informationen sind in unserer elektronischen Welt zu einem unschätzbaren Gut geworden. Zugangsdaten zu Internet-Diensten, PIN und TANs oder persönlichen Informationen auf Kreditkarten stehen dabei genauso im Blickpunkt wie das Verhalten der Anwender beim Umgang mit dem Internet. Zusammen mit E-Mail Adressen, die die Schädlinge auf dem System vorfinden, werden diese Daten, vom Nutzer unbemerkt, gesammelt und an den Malware-Autor zurückgesandt. Der Klau von Identitäten stellt auch eine neue Form der Bedrohung dar. Hier handelt es sich tatsächlich um eine kriminelle Handlung. Wenn digitale Identitäten dazu missbraucht werden, Konten zu plündern stellt das ein Delikt mit neuen Dimensionen dar. Dann geht es nicht mehr nur um ein Infizieren von Systemen und um Publicity in der Hacker-Community. Der moderne Angreifer ist nicht selten in kriminellen Vereinigungen organisiert. Eine elektronische Attacke ist schließlich nicht so aufwendig umzusetzen wie ein Raubüberfall. Die Internetkriminalität konzentriert sich zunehmend auf den so genannten Identitätsklau (Identity Theft). Phishing und Pharming lassen grüßen... Insbesonders Banken haben enorm mit diesem Thema zu kämpfen.
\"Security by Obscurity“ greift nicht. Das Thema IT-Sicherheit wandelt sich von der technischen Ebene über die organisatorische hin zur zukünftig immer mehr an Bedeutung gewinnenden strategischen und gesellschaftlichen Ebene. Themen wie Virenschutz und Firewalls gehören selbst bei mittelständischen Unternehmen zum Standard, sind seit vielen Jahren etabliert und technische Innovationen auf diesem Gebiet kaum mehr zu erwarten.Immer mehr Angreifer richten ihre Attacken auf organisatorische Schwachstellen von Unternehmen. Die Sicherheitsexperten müssen daher versuchen, die auf einer höheren Unternehmensebene identifizierten Schwachstellen zu schließen.
Eines der Hauptprobleme, neben der reinen Identifikation von organisatorischen Schwachstellen, ist die Gewährung von Mitteln für organisatorische Maßnahmen. Beispielsweise die Sensibilisierung und Schulung der Mitarbeiter. Und die marketing-getriebenen Plattitüden, die sich in erster Linie des Angstfaktors bedient haben, sind in diesem Kontext absolut kontraproduktiv. \"Security by Obscurity“ greift nicht - es bedarf einer sachlichen und balancierten Vermittlung des Themas. Sensibilisierung schaffen und Bewusstsein bilden mittels einer offenen Kommunikation muss die Devise lauten.
Content Security als Maß aller Dinge? Content Security kümmert sich - wie das Wort schon aussagt - um die Inhalte von Daten- und Informationspaketen. Die EICAR (European Expert Group for IT-Security) unterscheidet dabei drei Säulen: Audit & Validation, Malware und Access Control. Dabei konzentriert sich Audit & Validation auf rechtlich relevante und organisatorische Prozesse während Malware und Access Control per se technische Aspekte im Fokus haben. Bei Malware geht der Trend klar zu proaktiven Maßnahmen.
Durch die immanente Medienpräsenz des Themas IT-Sicherheit, aber auch durch neue rechtliche Regelungen wie Basel II, welches IT-Sicherheit explizit als vergaberelevant herausstellt, spielt das Thema nicht mehr nur für Großkonzerne eine Rolle, auch klein- und mittelständische Unternehmen werden sensibilisiert. Firmen rüsten auf. Auch in einer Zeit der wirtschaftlichen Stagnation wird zunehmend in die Absicherung des eigenen Unternehmens investiert. Aufgrund der Komplexität des Themas und der begrenzten Sicht eines Individuums, oder auch eines einzelnen Unternehmens, fehlt jedoch häufig die Sicht für künftige Entwicklungen. Somit werden Probleme nicht proaktiv angegangen, sondern werden reaktiv beseitigt. Die frühzeitige Erkennung von neuen Gefahren und der Umsetzung geeigneter Gegenmaßnahmen kann jedoch nur durch entsprechende Technologien gewährleistet werden. Das Web bietet neue Schlupflöcher für Angreifer, die sich immer komplexerer Techniken bedienen.
Entsprechende Analysen sind notwendig, damit aufkommende Probleme schon vor Eintritt ins Unternehmensnetzwerk erkannt und frühzeitig angegangen werden können.Schutz auf Layer 8. Die Behaviour-Blocking-Technologie stellt ein so genanntes proaktives Verfahren zur Analyse möglicher Malware dar. Sie lässt sich anschaulich am Beispiel der Lösungen von Finjan, dem führenden Hersteller auf diesem Gebiet, erklären. Die Technologie analysiert aktive Inhalte (Active Content), die eventuell malicious Code enthalten, in Bezug auf ihr Verhalten. Dies passiert auf der Application-Layer Ebene - sprich die Anwendungen werden auf mögliche Schadcodes hin untersucht, bevor sie den Computer oder das Netzwerk erreichen. Dabei werden die Kombinationen der Operationen, die Parameter, Manipulationen an Skripten oder andere Exploits identifiziert und untersucht. In diesem Analyseprozess wird eruiert, ob Active Content (auch mobile code genannt) versucht, Schwachstellen auszunützen, um eine Anwendung oder ein System zu infizieren. Entsprechend der Unternehmensrichtlinien kann Finjan´s Lösung dann entscheiden, ob die Inhalte passieren dürfen, oder ob sie geblockt oder gar neutralisiert werden sollen.
Active Content bezieht sich auf Software-Komponenten, die in elektronischen Dokumenten eingebettet sind und Aktivitäten automatisch oder dynamisch ausführen und anstoßen können - oftmals ohne das Wissen oder die Zustimmung des Anwenders. Active Content kann (wie die Grafik verdeutlicht) zu Geschäftszwecken oder für Netzwerkangriffe eingesetzt werden.
Active Content wird dem Anwender zugespielt, während er im Web surft. Um eine bessere Kundenzufriedenheit zu erreichen, bedienen sich Webseiten vieler interaktiver Funktionalitäten, wie beispielsweise Animationen oder kleinen interaktivem Anwendungen. Diese stellen oftmals das Transportmittel für Active Content dar. Die Schadcodes können aber auch über e-Mail, Dokumentenaustausch, Instant Messaging oder andere Kommunikationskanäle ausgetauscht werden. Man spricht in diesem Zusammenhang auch von mobile code auf Layer 8.
Active Content operiert ein Layer über der Anwendungsebene. Durch den Einsatz von Active Content werden höher einzustufende Anwendungen wie CRM oder Web-Conferencing, die http als Transportvehikel und den Browser als Operationsplattform nutzen, ermöglicht. Anspruchsvolle Malware wie beispielsweise Spyware oder bestimmte Würmer lassen keine Fingerabdrücke im System zurück, die eine genaue Identifikation ermöglichen würden. Erst durch die Analyse der Verhaltensmuster wird ein Erkennen von schadhaftem Active Content möglich. |
Active Content schließt folgende Anwendungen ein:
- Java Scripts: typische Web Scripts, wie sie von Programmierern üblicherweise verwendet werden (andere Web Scripts sind beispielsweise VBScript, ECMAScript sowie JScript)
- Java applets, Active X controls: Programme, die sich auf dem Computer befinden oder vom Web in den Browser heruntergeladen werden können (entweder als unabhängige Files oder als eingebetteter Teil einer HTML-Webseite)
- Macros, Tabellen oder anderer interpretierbarer, beziehungsweise auswertbarere Code, der in geschützten Desktop-Applikationen enthalten ist
- Lauffähige Dokumente
In den meisten Fällen ist Active Content in herkömmlichen Geschäftsanwendungen wie zum Beispiel Web-Conference-, E-Learning- oder E-Commerce-Software zu finden. Active Content kann aber auch dazu missbraucht werden, malicious Code zu transportieren. Sobald die Webinhalte die Scanning-Maschine durchlaufen hat, erfolgen folgende Schritte:
- Erkennung des Content Typus: wird genutzt, um die unterschiedlichen Typen von Active Content zu identifizieren. Die entsprechenden Algorithmen sind in der Lage, verseuchte File-Typen oder verschlüsselte Skripte zu erkennen.
- Entschlüsseln der Schadcodes
- Aufbrechen der HTML-Codes in Komponenten (HTML-Befehle, Text-Sektionen, URI etc.)
- Jede Active Content-Komponente wird gescannt
- Konstruktion eines Verhaltensprofils
- Vergleich der Verhaltensprofile anhand einer Profilliste mit entsprechenden Mustern. Wenn dabei Unstimmigkeiten auftreten, wird der Inhalt geblockt.
Oftmals passieren Codes Netzwerk-basierte AV-Scanner oder Signatur-basierte Prüfungen, weil sie als gutartig interpretiert werden. Erst eine genaue Untersuchung und eine Analyse der kombinierten Operationen sind in der Lage zu erkennen, ob Active Content tatsächlich malicious Code transportiert. Bisherige Verhaltensmuster von Malware, die bereits aufgetreten sind, werden in so genannten Caches gespeichert. Wenn ein ähnliches Muster noch einmal auftreten sollte, wird die Active Content List (ACL) abgefragt und der Schadcode entsprechend aussortiert. Das Programm ist demnach in der Lage zu lernen.
Zusammenfassung. Eine ultima ratio, sprich einen hundertprozentigen Schutz gegen Attacken und unerwünschte Angriffe wird es nie geben. Mit einem proaktiven Ansatz nimmt man den Anwender weitgehend aus der Verantwortung. Der komplette Malware Schutz, einschließlich der regulären Updates läuft im Hintergrund ab und ist für den Benutzer nicht einsehbar. Hier könnte man die bereits angerissene Diskussion wieder aufblühen lassen. Wie viel \"Mündigkeit“ gestehe ich einem Anwender denn zu? Ist es in der heutigen Zeit, bei dieser Flut an diversen Bedrohungen überhaupt sinnvoll den Benutzer in die Verantwortung zu ziehen?
Ein integrierter Content-Security Ansatz beinhaltet idealerweise eine Kombination aus starken Authentifikationstechnologien sowie einer effizienten Analyse von Malware - bevor sie ins Netzwerk gelangt. Eine Kombination aus einzelnen Sicherheitsbausteinen scheint der sinnvollste Ansatz und erlaubt eine maximale Entdeckungsrate und damit einen hinreichenden Schutz.
Manuel Hüttl ist freier Journalist in München und Vorstandsmitglied der EICAR (European Expert Group for IT-Security)
