Content
Der Rat des Experten: Vorbeugung ist die beste Medizin
Zwar lässt die Bedrohung durch Viren nach, dafür nimmt aber die von Phishing und Trojanischen Pferden ausgehende Gefahr zu. Monty Ijzerman, Manager of Security Content bei McAfee, gehört zu einem Elite-Team von Sicherheitsforschern, die Gefahren für Server identifizieren, gewichten und bewerten. Ijzerman widmet sich kompetent der Entwicklung von Bedrohungen sowie der Frage, wie sich Unternehmen durch Vorbeugung wirksam gegen komplexe Bedrohungen schützen können.
Security Spotlight: Was zeichnet sich bei Angriffen auf Netzwerk und Hostrechner sowie bei aggressiven Programmen wie Würmern, Trojanischen Pferden und Viren ab?
Monty Ijzerman: Viren sind weniger stark verbreitet, aber Phishing und Trojanische Pferde mit bösartigem Code nehmen zu. Nach Aussage der Anti-Phishing Working Group haben sich die Phishing-Sites vom Juli bis zum Dezember 2004 um 24 Prozent vermehrt. Im Dezember 2004 waren mehr als 1700 aktive Phishing-Sites bekannt.
Komplexe Bedrohungen, die mehr als eine Angriffsart einsetzen, haben im Verlauf des vergangenen Jahres zugenommen. Früher wurde schädlicher Code gegebenenfalls über E-Mail versandt und gestartet, wenn ein Anwender einen Anhang öffnete. Inzwischen nutzt schädlicher Code mehr als eine Schwachstelle aus. Wenn die Schwachstelle A eines Rechners gesichert ist, probiert der bösartige Code Schwachstellen B und C.
So könnte der E-Mail-Server einer Firma zum Beispiel das erste Ziel sein. Wenn er befallen ist, setzt sich der Angriff fort. Der Angreifer dringt zum Außenbereich vor und installiert dort ein Bot (ein fernsteuerbares Tool), das anschließend Rechner unterschiedlicher Art angreift. So bewegt sich der Angreifer etwa von einem E-Mail-Server zu einem Desktop-Rechner und von dort zurück zu den Web-Servern. Für das Unternehmen bedeutet das, dass die Schutzvorkehrungen mit komplexen Bedrohungen fertig werden müssen.
Security Spotlight: Erwarten Sie für 2005 einen weiteren großen Zero Day Angriff?
Ijzerman: In den letzten drei oder vier Jahren hat sich pro Jahr ein Wurm weltweit ausgebreitet, der eine einzelne Schwachstelle ausnutzte. Aller Wahrscheinlichkeit nach werden wir in diesem Jahr mindestens einen Angriff erleben.
Als diese Würmer erschienen, waren die zugrunde liegenden Schwachstellen jeweils durch Microsoft bekannt und Patches verfügbar. Wenn man diese Patches allerdings nicht anwendet, können sich die Würmer ganz leicht ausbreiten.
Security Spotlight: Bessern sich die Verhältnisse?
Ijzerman: In der zweiten Hälfte von 2004 konnten sich die Kunden besser gegen Viren schützen. IT-Organisationen synchronisieren ihre internen Prozesse mit den Patch-Dienstagen von Microsoft und steigern so ihre Fähigkeit, Microsoft-Patches anzuwenden.
Eine wachsende Bedrohung
Security Spotlight: Wie ändert sich gegenwärtig die Bedrohung der Sicherheit? Was für Angriffstypen sind jetzt am häufigsten?
Ijzerman: Im Vordergrund stehen Spyware, Adware und Phishing-Angriffe. Der Schutz vor Phishing erfordert nicht nur gute Tools zur Gefahrenabwehr, sondern auch Anwender, die über die Gefahren potenziell unerwünschter Programme informiert sind. Manche dieser Betrugsmechanismen sind sehr ausgefeilt. Auch ein sicherheitsbewusster Anwender könnte versehentlich unerwünschte Software herunterladen oder sich von einem Schwindel täuschen lassen.
Es ändert sich auch die Art der Angriffe. Heutzutage finden sich die meisten Angriffe in Mediendateien, etwa vom Typ
WAV, oder beispielsweise in GIF-Bildern. Vor kurzem gab es das Problem, dass ein Angriff stattfinden könnte, wenn man im Windows Media Player eine Medienwiedergabeliste herunterlud. Die Gute Nachricht ist McAfee® VirusScan® 8.0i
Ihre Desktop-Rechner vor bösartigem Code schützt, der sich in Bildern oder Mediendateien verbirgt.
Angriffe in Bildern oder Mediendateien versuchen, einen Buffer Overflow auszulösen. Kommt es zu einem Buffer Overflow, werden die Daten an anderer Stelle im Speicher abgelegt. Wenn der Angreifer dies richtig macht, kann bösartiger Code ausgeführt werden. McAfee Entercept® schützt Host-Rechner und Server generell vor der Ausführung von bösartigen Programmen als Folge von Buffer Overflows. Es erkennt diese Angriffe sogar, wenn sie neuartig (Zero Day) sind.
Security Spotlight: Wer schreibt solche Angriffe oder setzt sie frei? Sind die Wurm-Autoren andere als die Entwickler von Adware und Spyware?
Ijzerman: Es wurden nur die Autoren der Würmer Sasser und Blaster gefasst. Die meisten Virenautoren bleiben unbekannt. Es gibt fast keine Berichte von organisiertem Cyber-Verbrechen. Die Autoren von Spyware und Adware sind eher finanziell motiviert.
Mit Spyware oder Adware installieren sie Software auf dem Desktop-Rechner, die man eventuell haben will oder auch nicht. Es handelt sich um potenziell unerwünschte Software. Manchmal taucht aus dem Nichts ein Popup-Kasten mit der Frage auf: "Ist es OK, wenn diese Software installiert wird?" Wenn man den Fehler begeht, "OK" zu klicken, heißt das, man willigt in die Installation der Software ein. Das ist nicht illegal.
Andere Spyware- und Adware-Firmen installieren insgeheim Software. Es gibt Tricks, mit denen man die Schwachstellen des Microsoft Internet Explorer kombiniert, um Software auf einen Rechner zu bringen. Sie wird zu Spyware, wenn man sich damit nicht einverstanden erklärt hat. In Form von Popup-Anzeigen kann Spyware harmlos sein – oder schädlich, wenn sie versucht, Kreditkartennummern abzuschöpfen.
Um sich zu schützen, sollte man Software gegen Spyware einsetzen, etwa McAfee AntiSpyware. McAfee AntiSpyware erkennt und beseitigt Anwendungen wie Key-Logger, ferngesteuerte Programme und Browser-Hijacker, die sich zum Diebstahl persönlicher Daten einsetzen lassen. Sie stoppt auch Adware-Programme, die lästige Popups auslösen und dem Rechner Leistung entziehen.
Durchlässige Grenze
Security Spotlight: Reicht eine mehrstufige Abwehr gegen diese Angriffe aus? Wie ändert sich der Schutz von Datenbeständen, wenn die Vorstellung von einer Netzwerkgrenze des Unternehmens ihre Bedeutung verliert?
Ijzerman: Der Grenzbereich des Unternehmensnetzes, wie es ihn vor zehn Jahren gab, existiert nicht mehr. Die Menschen schließen ihre Laptops zu Hause oder in Flughafen-Cafes an und bringen sie anschließend in die Firma, sodass der Grenzbereich verletzt werden kann. Das bedeutet, dass ein mehrstufiges Abwehrsystem wichtiger wird als das simple Vertrauen auf eine Firewall und eine Virenschutz-Lösung.
Am wichtigsten ist der Schutz durch Abwehr von Angriffen. Angriffe lassen sich mithilfe von Netzwerk Intrusion Prevention-Systemen wie McAfee IntruShield® oder Host Intrusion Prevention-Systemen wie McAfee Entercept blockieren. Wenn Unternehmen IntruShield einsetzen, wird bösartiger Datenverkehr im Netzwerk abgefangen und blockiert. Wenn ein Angriff durch das Netzwerk dringt und versucht, am Server etwas zu bewirken, oder wenn ein Angriff lokal gestartet wird, dann blockiert ihn Entercept.
IT-Abteilungen von Unternehmen sollten ihre Computer nach Schwachstellen absuchen. IT-Manager sollten ihr eigenes Netzwerk kennen und wissen, welche Anwendungen auf ihren Servern und Desktop-Rechnern laufen. Sie sollten sicherstellen, dass ihre Rechner Patches erhalten. Hierfür ist McAfee Foundstone eine der besten Lösungen. Mit Foundstone können IT-Manager ihre wichtigen Unternehmenswerte kontinuierlich erfassen und aktiv schützen. Damit lassen sich begrenzte Mittel auf den Schutz der wichtigsten Dinge konzentrieren.
Unternehmen sollten Nutzungsregeln für Computer zwingend vorschreiben. Sorgen Sie dafür, dass Mitarbeiter sicher sind, wenn sie im Internet surfen. Wenn ich hier bei McAfee eine zweifelhafte Website anwähle, blockieren mich die Firmenrichtlinien. Auch kann ich auf meinem Firmenrechner keine Software installieren.
Firmen brauchen außerdem einen Prozess für die Reaktion auf Vorfälle, damit sich Probleme eingrenzen und auf sichere und geordnete Weise beseitigen lassen.
Security Spotlight: Welche Lösungen können Unternehmen einführen, um ihre Netzwerke und Rechner zu schützen?
Ijzerman: Die beste Strategie besteht darin, eine mehrstufige Abwehr einzusetzen und Angriffe zu blockieren, wenn sie auftreten. Wählen Sie einen Anbieter, der eine umfassende Sicherheitslösung anbietet – vom Schutz vor Viren und Spyware bis hin zu Netzwerk und Host Intrusion Prevention-Systemen. Es ist wirklich schwierig, Produkte von vielen verschiedenen Anbietern einzusetzen und damit sicheren Schutz zu erreichen.
Ressourcen
Schauen Sie sich die Demo zu verschlüsselten Bedrohungen an.
