Malware- Abwehr - Informationsdienst IT-Grundschutz

Bedrohungenverdienen, wenn Sie es schaffen, erweitertenSupport oder mehrjährigeVerträge für ihre „Sicherheitslösung“zu verkaufen.> RansomwareCyberkriminelle nutzenRansomware, um bestimmte Bereicheeines PCs mit modernen,kryptografischen Algorithmen zuverschlüsseln. Anschließend mussder Anwender ein „Lösegeld“ (engl.:Ransom) zahlen, um wieder Zugangzu bekommen. Bislang wurdenRansomware-Attacken fast ausschließlichin Russland gesichtet,mittlerweile steht aber auch der Restder Welt im Fokus. Eine besondersperfide Variante dieser Erpressungsmethodeist die Sperrung des Computersdurch eine angeblich offizielleBehörde aufgrund von gefundenen,verbotenen Dateien. Die Warnungteilt dem Betroffenen außerdem mit,dass der gesperrte Computer gegeneine „Gebühr“ wieder freigeschaltetwird.> Social-Media-SpamWer kennt es nicht. Die Flutunerwünschter E-Mails im Posteingangnimmt immer mehr zu. Da dieSpamfilter ständig effektiver werden,wenden sich Versender mehr undmehr Social-Media-Seiten zu. Dabeikaufen sich die Kriminellen entwedergestohlene Zugangsdaten oderüberzeugen Personen, in ihrem Auftragnicht zu erkennende Betrügereienzu promoten. Je mehr Freundeein Account hat, desto interessanterist er dabei für die Cyberkriminellen.Zudem hilft der Fakt, dass im Internetsehr viel schneller auf ein vermeintlichesSchnäppchen geklickt wird,wenn der Absender bekannt ist.> Gefälschte Online-Banking-SoftwareWährend der Zugriff aufOnline-Konten früher mit simplerKey-Logging-Software erfolgte, hatsich heutzutage eine hochentwickelteSonderform entwickelt, die mitimmer perfideren Methoden auf Authentifizierungsdatenvon Bankenaus ist. Moderne Banktrojaner sindzudem heutzutage nicht mehr aufPCs beschränkt, sondern treiben ihrUnwesen auch auf mobilen Gerätenwie Blackberry, Windows oder Android.Hier werden SMS-Nachrichtenabgefangen oder gleich ein Videovon den Bildschirmaktivitäten onlineweitergeleitet, wenn sensibleDaten eingegeben werden.> Betrügereien mitPremium-SMSSocial-Media-Spammer undHandy-Malware-Entwickler gehenimmer mehr dazu über, via SMS-Services auf indirektem Weg andas Geld auf den Bankkonten zukommen. Wenn zum Beispiel aufFacebook nach einer Telefonnummergefragt wird, um im Fall einer erfolgreichenGewinnspielteilnahmeeine Benachrichtigung zukommenlassen zu können, wird automatischein teures Premium-SMS-Abo aufdiese Nummer eingerichtet. Dasselbekann bei kompromittierten Android-Apps passieren, die ein nettes Extraanpreisen, bei Auswahl aber teureSMS-Versandservices aktivieren.Hält man sich dieses breiteSpektrum an potenziellen Malware-Attacken vor Augen, ist klar, dass hierkeine Einzelkämpfer am Werk sind.Die Täter spezialisieren sich immermehr in ihren Jobs. Im Allgemeinenbesteht ein Malware-Netzwerk mittlerweileaus vielen Spezialisten ausunterschiedlichsten Bereichen. Ganzam Anfang der Kette stehen die sogenanntenExploit-Writers. Diese Hackerhaben sich darauf spezialisiert,Software-Schwachstellen aufzuspürenund diese gesammelt an technischweniger versierte Kriminellezu verkaufen. Diese setzen dann dieSpam-E-Mails auf, wobei die nächsteGaunergruppe ins Spiel kommt: dieÜbersetzer. In den letzten Jahren istdie Qualität der Social-Engineering-Attacken stark angestiegen. Esscheint, dass die Cyberkriminellenmehr und mehr in professionelleÜbersetzungsteams investieren,um die Erfolgsquote ihrer Scams zuerhöhen. Dieser Erfolg hängt nebeneinem qualitativ hochwertigen Textnatürlich entscheidend auch von derVerbreitung ab. Für größtmöglichenEffekt sorgen die sogenannten BotHerders, die im wahrsten Sinne desWortes die Botnetze „hüten“ undlenken. Entsprechend können dieseGauner infizierte Rechnergruppennach unterschiedlichen Faktorenwie Region oder Anwendertyp zumKauf anbieten. Um die illegalenGelder möglichst schnell untersVolk zu bringen, agieren Geldkurierean vorderster Front und dienenals Schnittstelle zu Banken oderanderen Instituten. Viele der Kurieresind durch dubiose „Heimarbeit“-Angebote in diese Schiene gerutscht.In Heimarbeit sind auch zwei weitereGruppierungen aktiv: die Anbietervon Scam-Tools und die Malware-Entwickler selbst. Während Ersteredie entsprechende Basis für denVersand von Malware entwickeln, istdie zweite Gruppierung dafür zuständig,die eigentliche Schadsoftwarezu entwickeln. Last, but not leastspielen die Netzwerker eine wichtigeRolle im Malware-Jobkarussell. DieseSpezies konzentriert sich auf die Gestaltunguntereinander verknüpfterWerbeplattformen, die Kleinkriminelledazu animieren sollen, billigeMedikamente, gefälschte Luxusgüteroder andere, dubiose Services anzupreisen.Bei jedem Verkauf winkt dabeieine Provision. Es geht also auchhier wieder nur um das Eine: Geld. n6© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

BedrohungenZeit, sich zu wehrenBisher verlässt sich der Kampf gegen Malwarehauptsächlich auf Antivirensoftware und andereeinfache Schutzmechanismen. Immer öfter werdendiese Wächter aber links und rechts überholt undes kommt trotz Abwehrtechnik zu Infektionen.Neue Ideen und Wege müssen her, um im Kampfnicht zu unterliegen.Von Michael Kranawetter,Microsoft Deutschland GmbHAbwehr mit rechtlichenMittelnEine mögliche Maßnahmeist das gezielte Vorgehen gegen dieMacher, also die für die Angriffe Verantwortlichen.Facebook beispielsweisegehört zu den Unternehmen,die sich nicht allein auf Technik zurGefahrenabwehr verlassen – sondernauch aktiv rechtliche Mittel einsetzen.Zur technischen Infrastrukturdes Sozialen Netzwerks gehörenzahlreiche Honeypots. Mit derenHilfe sammeln die IT-Sicherheitsverantwortlichenvon Facebookmitunter so viele Informationen überdie Angreifer, dass sie die Personennamentlich ausmachen und mittelsjuristischer Schritte dann unschädlichmachen können.Rasant: UngefährerZuwachsan Malware seit1991 (Grafik ausMicrosoft SIRSpecial Edition,Februar 2012),Quelle: MicrosoftAuch wer keine Statistikenmag, muss doch die Wucht der Aussagekraftdieser Zahlen anerkennen:1991 waren knapp 1000 verschiedenePC-Schädlinge bekannt. FünfJahre später schon 10.000. Es dauertesechs weitere Jahre, um diese Zahl zuversechsfachen. Heute gehen die Statistikervon mehreren Millionen verschiedenenMalware-Vertretern aus.Ähnlich bitter sieht es imWeb selbst aus. Nach eigener Auskunftblockiert beispielsweise alleinGoogle jeden Tag knapp 9.500 neueMalware- und Phishing-Webseiten.Zu diesen eigens von Betrügern geschaffenen,gehören auch legitime,bösartig manipulierte Domains.Gegen diese Plagen setzt sichdie IT-Welt klassischerweise durchFilter (Web) oder Antivirenlösungen(lokale Malware) zur Wehr. Es wirdalso zumeist reagiert, die Angreifermachen den ersten Zug. Dass diesesVorgehen unbefriedigend ist undzunehmend unwirksam wird, liegtauf der Hand. Von daher ist es ander Zeit, neue Wege einzuschlagenbeim Kampf gegen Attacken ausdem Web (zu denen klassisch ebenMalware-Infektionen gehören, vonCybercrime gar nicht zu sprechen).Digital Crimes UnitAuch Microsoft hat mitähnlichem Vorgehen in den vergangenenJahren durchaus Erfolgezu verzeichnen: Im Hauptquartierin Redmond findet sich die Zentraleder Digital Crimes Unit (DCU). DieDCU ist eine in dieser Art einmaligeAbteilung, die den Kampf mitdem weltweiten Online-Verbrechenaufgenommen hat. Zum weltweitverstreuten Team der Digital CrimesUnit gehören Rechtsanwälte, Forscher,technische Analytiker, Sicherheitsexpertenund andere Spezialisten.Sie bekämpfen einerseits dasWerk von Malware-Autoren undBotnet-Infektionen (Projekt MARS,Microsoft Active Response for Security).Im Rahmen von Projekt MARSarbeiten Techniker und RechtsexpertenHand in Hand, um die Kreise vonMalware-Machern zu stören, indembeispielsweise die zum Steuern vonBotnetzen notwendigen Domainsbeschlagnahmt werden. Allerdingskann das nur unter der Prämisseerfolgen, dass Microsoft selbst betroffenist, zum Beispiel durch SCAM,Scare- oder Ransomware. Andererseitsunterstützt die DCU aber auchStrafverfolger auf der ganzen Weltdabei, Kindesmissbrauch im Netz8© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

Bedrohungenaufzuspüren und die Verantwortlichenzur Rechenschaft zu ziehen.Der jüngste Streich der DCUwar der erfolgreiche Schlag gegeneinige der gefährlichsten Botnetzeüberhaupt: Zeus, SpyEye und Ice-IXsind miteinander verwandte undaufs Online-Banking spezialisierteTrojaner, die weltweit pro Jahr zirkaeine halbe Milliarde US-Dollar anSchäden verursachen. Insgesamt 13Millionen PCs sind global mit Schädlingenaus dieser Familie infiziert.Gemeinsam mit Partnern hat dieDCU bei zwei US-Providern Command& Control-Server der Botnetzebeschlagnahmen lassen.Außerdem konnte die DCUzwei für das Botnet Verantwortlicheausmachen und entsprechende Beweisefür die Schuld der mutmaßlichenKriminellen an die US-BundespolizeibehördeFBI übergeben. Die Beschuldigtensind im Juli 2012 bereits imZusammenhang mit dem Verbreitenvon Zeus-Malware in Großbritannienin Haft. Sie haben sehr wahrscheinlichin den letzten fünf Jahren Schäden vonumgerechnet 75 Millionen Euro verursachtund die Malware auch zu Preisenzwischen knapp 500 und 11.000 Euroverkauft. Der Schlag gegen die Macherzeigt binnen einiger Wochen bereitsWirkung: Die Zahl der Infektionen mitZeus-Malware ist zwischen März undMitte Juni von 780.000 auf 340.000gesunken.Sicher ab Werkfig, dass eine Schwachstelle in einerAnwendung oder im Betriebssystemmissbraucht wird (Exploit), die nichtgepatcht worden ist, obwohl in derRegel bereits Sicherheitsupdates zurVerfügung stehen. Das vergangeneJahrzehnt hat einen drastischen Anstiegoffengelegter neuer Schwachstellenerlebt. Der Höhepunkt lag inden Jahren 2006 und 2007, gefolgtvon einem steten Rückgang über diefolgenden vier Jahre auf gut 4.000im Jahre 2011, was immer noch einehohe Anzahl von Schwachstellendarstellt.Initiative für fehlerfreieSoftwareDennoch machen sich offensichtlichverschiedene Initiativenzum Absichern der Anwendungenund Betriebssysteme bemerkbar.Denn je robuster die Software, destoschwieriger und unattraktiver wird esfür die Kriminellen, Malware auf dieseArt zu verteilen. Microsoft hat imJahr 2004 den Security DevelopmentLifecycle (SDL) eingeführt, um dieFehlerraten der Produkte zu senken.Der SDL ist die Grundlage für dasEntwickeln von sicherer, weitgehendfehlerfreier Software bei Microsoftund hat für riesige Fortschrittehinsichtlich der Qualität des Sourcecodesund somit aller Anwendungenund Betriebssysteme gesorgt. Dochnicht nur der sicherere Code selbstist entscheidend, auch die Reaktionbeim Bekanntwerden von Schwachstellenund die Schnelligkeiten derBereitstellung von Sicherheitsupdatessind der Schlüssel zum Erfolg.Inzwischen stehen der SDLund zahlreiche damit verbundeneTools auch Entwicklern außerhalbMicrosofts zur Verfügung. BekannteNamen wie Adobe und Cisco habenden SDL und seine Konzepte adaptiert,um ihren eigenen Produktenebenfalls zu mehr Widerstandsfähigkeitzu verhelfen. Dass die Zahlder entdeckten und in der Folgeöffentlich gemachten Schwachstellen(siehe Grafik) nicht noch drastischergesunken ist, liegt sicherlichauch daran, dass sich im Lauf derHalbwegs erfreulich:Die Zahlder Infektionendurch Würmer wieConficker oderPasswort-Klau-Schädlinge gehtlangsam zurück(Grafik aus MicrosoftSIR SpecialEdition, Februar2012).Nach wie vor stellen Driveby-Infektioneninsbesondere beiälteren Browserversionen im Windows-Umfeldein großes Risiko fürMalware-Infektionen ohne Zutundes Anwenders dar. Ebenso bestehtein hohes Risiko durch Social-Engineering-Angriffe,die den Anwenderzu einer Interaktion bewegen, wieMicrosoft bereits in seinen SIR Report11 ausgeführt hat.Tendenz sinkend:Seit 2002offengelegteSchwachstellen vonAnwendungen undBetriebssystemen(Grafik aus MicrosoftSIR SpecialEdition, Februar2012).Drive-bys sind nach wie vorgefährlich. Sie bedeuten zwangsläu-© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 20129

BedrohungenJahre mehr und mehr Sicherheitsforschermit immer besseren Toolsauf Schwachstellensuche begebenhaben. Nicht zuletzt deshalb, weilsich mit Bughunting der Lebensunterhaltbestreiten lässt und immermehr Unternehmen dazu übergehen,gemeldete Bugs gut zu bezahlen.Bedrohlich: User-Interaktionund Drive-by-Attacken werden durchverseuchte Webseiteneingefangen(Grafik aus MicrosoftSIR Special Edition,Februar 2012).Zwar bedeutet sichere,schwer anzugreifende Softwarekeinesfalls das Ende der Malwareproduktionund infektionsfreie PCs.Aber je unattraktiver das Suchen undMissbrauchen der Schwachstellenwird, desto stärker müssen sich dieAngreifer auf Social Engineering verlegen.Und dagegen hilft Aufklärung,Schulung, Training – unterm Strichalso gesunder Menschenverstand.Diesen Aspekt sollten IT-Sicherheitsverantwortlicheniemals außen vorlassen. Denn die beste Schutztechniknutzt nichts, wenn der Mensch nichtmit Bedacht durchs Netz navigiert.Zukunftsmusik? Mitnichten.Denn das von eco (Verband derdeutschen Internetwirtschaft e.V.),verschiedenen Providern wie 1&1,Deutsche Telekom, Kabel BW oderVodafone und einigen Banken ins Lebengerufene Anti-Botnet Beratungszentrumtut genau das. Die Providernutzen also ihre einmalige Stellungim Sinne der Internetsicherheit.Zwischen September 2010 und Mai2012 stellte das Beratungszentrumfast 400.000 Infektionen mit Botnet-Schädlingen fest. Mit Hilfe des leichteingeschränkter Internetzugriff möglichist. Erst wenn der Kunde – mitoder ohne Hilfe des Supports von TeliaSonera – seinen Rechner gesäuberthat, steht ihm das Web wieder uneingeschränktzur Verfügung. Bis dahinwird das weitere Streuen der Malwarewirksam unterbunden. Ist das Zensuroder Sicherheit? Entscheiden Sie.Es gibt Länder auf der Welt,in denen Schadsoftwareinfektionenweniger häufig auftreten als in anderenRegionen. Sicherheitsexpertenaus diesen Ländern nennen unteranderem das Einschreiten der ISPs alsFaktor für dauerhaft niedrige Malware-Infektionsratenin den Regionen.Daneben empfehlen die Fachleute,beispielsweise in den folgendenPunkten zu investieren:Die Rolle der ISPsWird ein PC trotz AV-Schutzund weitgehend lückenfreier Softwareinfiziert, merkt es dessen Besitzerzumeist nicht. Unsichtbar bleibt derSchädling aber dennoch nicht. Zumindestnicht für aufmerksame InternetService Provider (ISPs) oder auchBanken, mit deren Server sich der verseuchtePC verbindet. Stellen ISP oderBank die für bestimmte Schädlingecharakteristischen Datensignaturenfest, alarmieren sie den Kunden undweisen auf die Infektion hin.zu bedienenden DE-Cleaners wirddie Malware dann getilgt. Doch dasist nicht genug, hier sollten sich nochmehr Provider zusammenfindenund aktiv werden, um uns alle vorunerwünschten Folgen zu bewahren.Denn ISPs in anderen Länderngehen noch weiter, als denKunden zu alarmieren und mit Maßnahmenzum Säubern des PCs zuversorgen. Beispielsweise Telia Sonerain Finnland parkt infizierte Rechnergleich in einem Quarantäne-Teil desNetzwerks, aus dem heraus nur nochStarke öffentlich-privatePartnerschaften (PPP)Eine IT-Kultur, in derSystem administratoren schnell aufBerichte von Systeminfektionenoder -missbräuchen reagierenDurchsetzungsrichtlinienund die aktive Beseitigung vonBedrohungen durch Quarantäneinfizierter Systeme in Netzwerken desLandes/der RegionAusbildungskampagnenund Aufmerksamkeit der Medien,die zum Verbessern des öffentlichenBewusstseins für SicherheitsfragenbeitragenGeringe Raten von Softwarepiraterieund flächendeckenderEinsatz von Windows Update/Microsoft Update haben zu weiterhinrelativ geringen Infektionsratenbeigetragenn10© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

BedrohungenStand der TechnikWhite-/Blacklisting alleinist chancenlosEine Fülle von nationalen und internationalen Bestimmungen definieren die Compliance-Anforderungenin Unternehmen – der Schutz vor Malware gehört hier nicht nur entlang des Bundesdatenschutzgesetzesdazu. Hinzu kommen auch weitere wie KonTraG, SOX, HIPPA, Basel II, GOBS,FAMA, TDDG, Euro Sox, deren Vorschriften bestimmte Branchen oder den gesamten IT-Markt betreffen.Ein guter Schutz vor Malware ist heute durch traditionelle Ansätze des White- und Blacklistingnicht mehr erreichbar. Ein oder besser zwei gute Anti-Viren-Lösungen sind Grundvoraussetzung,aber was müssen Unternehmen noch tun?Von Dipl. Inform. Ramon Mörl, itWatch GmbHEtwa um das Jahr 2004/2005wurde im Markt allen bewusst, dassneue technische Wege in der Bekämpfungvon Malware beschrittenwerden müssen. PatternbasierteMalwareerkennung half zwar gegendas Grundrauschen, aber intelligenteAngriffe blieben unentdecktund mussten dann teuer von denbefallenen Systemen entsorgt werden.Grund dafür waren vor allemsich selbst verändernde Angriffscodes,zielgerichtete Attacken inunterschiedlichster Ausprägung, dieim professionellen Fall oft mit „socialengineering“-Attacken kombiniertwurden, und natürlich in „guten“Objekten versteckte Angriffe.12© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

BedrohungenMit White- oder Blacklistingfaule Eier suchenist chancenlosIn dieser Zeit wurde dannder Versuch unternommen, diekritischen Daten eines Systems zuschützen und mit den bekanntenWerkzeugen White- und Blacklistingauf Anwendungs- und Prozessebenegegen Angriffe vorzugehen. Diesverursachte jedoch Probleme: Vieleselbst entwickelte Anwendungenwurden fälschlicherweise als Angreiferidentifiziert, die Nutzer waren(daher) unzufrieden und Steuerungsmechanismen,wie das Aufnehmeneiner selbst implementierten Anwendungin eine Whitelist, waren nochsehr rudimentär implementiert.Die herkömmlichen MaßnahmenWhite- und Blacklisting stießenalso an ihre Grenzen. Als Lösungwurden schließlich heuristischeMethoden hoch gehandelt, um dieneuen Feinde zu bekämpfen, bargenjedoch zu große Fehlerquellen, denn„gute“ Daten wurden auf einmal abgewiesen,bloß weil sie neue Formatehatten. Außerdem lernten die Angreiferschnell, dass man heuristischeVerfahren durch andere „Verstecke“aushebeln konnte.Schwarz-Weiß gedachtEine Whitelist ist eine Policy,die alles verbietet, bis auf dieElemente, die explizit freigegebensind. Unter einer Blacklist verstehtman eine generelle Freigabe (alleserlaubt) und individuelle Sperre voneinzelnen Elementen. Für gutes Whitelistingist es also notwendig, alle„Guten“ auf die weiße Liste zu schreiben.Das ist aber leider zu kurz gedacht,denn wenn man die „Guten“nicht wirklich sicher identifizierenkann, dann können die „Bösen“ trotzweißer Liste einfach teilnehmen. EinBeispiel: Hat ein Unternehmen einDevice-Control-System eingerichtet,das einen sicheren USB-Stick anhanddes Namens identifiziert undallen anderen USB-Sticks den Zugriffverweigert, dann genügt es oft, einenMemory-Stick entsprechend umzubenennenund die Daten werden aufdiesen unverschlüsselt ausgelagert– ohne dass der Anwender es merkt.Es gilt also, die Kandidaten auf derweißen Liste zu authentisieren. ImFall von USB-Sticks geht das mit dengeeigneten Werkzeugen recht einfachdurch eine Individualisierungdes Sticks, eine Personalisierungoder sogar ein vollständiges starkesAuthentisierungsprotokoll.In der IT-Welt gibt es jedochnicht nur sicherheitsrelevante Geräte,deren eindeutige authentisierteCharakteristik Voraussetzung zumEinsatz ist, sondern auch – auf denersten Blick – völlig belanglose„Massenware“. Zu diesen zählenMäuse, Drucker, HID, CPU, Monitor.Hier steht nicht die Sicherheitim Vordergrund, sondern das einfacheManagement. Es sollte dahermöglich sein, erst einmal alle dieseGeräte freizugeben und nur dieschwarzen Schafe zu sperren. Dasist ein sinnvoller Einsatz für dasBlacklisting-Verfahren. Der Grund,eine Maus zu sperren, könnte sein,dass dieser Typ wegen Treiberproblemenan bestimmten Rechnern nichtrichtig funktioniert – also eher keineSicherheitsgründe.Die Kenntnis und insbesonderedie Pflege von Policy-Elementen, inklusive der Authentisierungdes individuellen Elements,sollten deshalb nur bei sensiblenoder schutzbedürftigen Technologiennotwendig sein. Das Unternehmenselbst muss die Entscheidungtreffen können, welche Technologienals schutzbedürftig gelten. Beidiesen wird ein Whitelist-Ansatzdas Mittel der Wahl sein, um nurbekannte und unternehmenseigeneElemente für Berechtigte zuzulassen.So wird die Komplexität derPolicy durch das Unternehmenselbst bestimmt und damit auch derAufwand, der in die Administrationfließt. Der subjektiv definierteSchutzbedarf wird bei jeder Technologieunternehmensindividuellberücksichtigt – das spart Kosten inder Administration.Der generelle Vorteil dieserArt der Umsetzung besteht darin,dass die IT-Security-Policy eines Unternehmensnur so komplex wird,wie es für die individuell gestelltenAnforderungen unerlässlich ist. Sokostet die Freigabe einer ganzenKlasse von unkritischen Objekten(Devices, Anwendungen, Zugriffsarten,Dokumente) nur ein einzigesPolicy-Element, unabhängig davon,wie viele unterschiedliche Instanzenvon diesem Objekttyp im Unternehmenvorhanden sind (Blacklist).Sicher gegen Malware –erfolgreiche AnsätzeDie Netzwerkkontaktpunktesind heute über Firewall-Systememeist gut gegen Malware geschützt,dürfen aber aus rechtlichen Gründenhäufig die verschlüsselten Datenströmenicht „aufbrechen“. Der Schutzvor Malware muss deshalb zwingendauf die Endpunkte, die PCs und Notebookserweitert werden. Zudem könnendie Daten auf dem Endpunkt besonderseinfach geprüft werden. Hierliegen sie zum einen unverschlüsseltund ohne Komprimierung vor, zumanderen ist der Handlungskontextdes Anwenders genau bekannt.Ist-Zustand kennenWichtig ist, potenziell kritischePunkte zu identifizieren, dieals Eintrittspunkte für Angriffe dienenkönnen. Es geht dabei um Netzwerkübergängezwischen privatenund öffentlichen Netzen, Kommunikationsanwendungenwie Browserund E-Mail, Ports / Schnittstellen,Geräte wie Modems, Netzwerkkartenoder auch mobile Datenträger wieMemory Sticks, gebrannte DVDsoder externe Festplatten. Ein Software-gestütztesRisikomonitoring alldieser Angriffspunkte bezüglich derVerwendung der Geräte, Schnittstellenund Ports, Netzverbindungen,der Anwendungen (welche sind© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 201213

Bedrohungenwann und ggf. von wem im Einsatzund was tun sie) sowie der Dateneingangund -ausgang ergibt ein umfassendesBild über den Ist-Zustand derSicherheit und der Bedrohungen. DieMonitoring-Ergebnisse dienen dazu,das gültige Sicherheitskonzept zuverfeinern und der aktuellen Situationanzupassen. Ebenso dienen die Risiko-Reports später dazu, die Verbesserungmessbar zu machen oder bestimmteproblematische Datenbewegungenforensisch zu bearbeiten.GrundpfeilerPattern-AnalyseWord-, Powerpoint, rtf undPDF-Dokumente stehen laut denBerichten des Bundesamtes für Sicherheitin der Informationstechnik(BSI) auf der Hitliste der populärstenFormate für eingebettete Angriffeweit oben. Diese Objekte könnenSchadcode als eingebettete ausführbareProgramme enthalten. Eine gutePattern-Analyse kann durch eineintelligente Inhaltsüberprüfung dieseeingebetteten Programme in Echtzeitvor der Ausführung erkennen und jenach Notwendigkeit durch Verbot,Quarantäne oder Ausführung ineiner Sandbox oder virtualisiertenUmgebung (z. B. ReCAppS) reagieren.Damit der Schutz vollständig ist, mussdas Sicherheitskonzept in der Lagesein, auch in beliebig geschachteltenArchiven oder verschlüsselten Dateiennach diesen Mustern zu suchen.Dieses Verfahren ist ein wesentlicherGrundpfeiler – reicht aber immer nochnicht aus.Rechte und IsolationEine wirksame Maßnahmegegen die verbleibenden Restrisikendurch Schadcode ist durch zwei weitereVerfahren gegeben: Rechte fürAnwendungen und Isolation durch(virtuelle) Schleusen. Drive-by-Attackenbringen den Browser dazu, Malwareim Rechteraum des Anwendersauszuführen. Hat der Anwender dasRecht JavaScript auszuführen, DLLszu schreiben oder sogar bestehende zuersetzen oder beliebige neue Executablesin das System einzubringen, wirddie Drive-by-Attacke ohne weitereSchutzmaßnahme erfolgreich sein.Kann man aber in seiner Endgeräte-Sicherheitsrichtlinie einfach der Anwendungdas Recht nehmen, DLLszu schreiben, JavaScript auszuführenoder Executables zu starten, dann istdas Ziel erreicht, ohne den Anwenderin seinen Rechten zu beschneiden.Genauso elegant kann mandie Anwendung, die diese problematischeAktion ausführen möchte, ineiner Schleuse ausführen. Schleusenrechnersind noch allseits bekanntund aufgrund der „Wegstrecke“durch die physikalische Trennung vonNetz und Arbeitsplatz unbeliebt. DieSchleusenfunktion kann aber auchlokal, zentral oder in der Cloud erbrachtwerden, ohne vom Arbeitsplatzaufzustehen – also virtualisiert werdenund jeweils mit unterschiedlichenMechanismen von den produktivenNetzen getrennt werden. Negativwirken sich alle Schleusenlösungenaus, die den Datenfluss zwischen virtuellemSandkasten und produktivenSystem zwangsweise vollständig verhindern.Real muss dieser Datenflussfür die geeignete Einbindung (z.B.das Drucken) mit den geeignetenMechanismen, also Automatisierungund Inhaltsüberprüfung, ausgestattetsein. Das heißt, der Schutz vorMalware über virtuelle Schleusenimpliziert wieder die Anbindungder virtuellen Schleuse – ähnlich alswäre ein externer Datenträger angesteckt– zur weiteren praktischenVerwendung, aber eben mit sicherenProtokollen und Datenaustausch.Druckdatenströme können nicht aufApplication Level auf einer Firewalluntersucht werden – gute Produktelösen diese Herausforderung abersicher.Als entscheidender Faktorkommt letztlich die Unternehmenskulturhinzu, denn im Umsetzender Aufgabenstellung wird das Unternehmensich entscheiden, ob derAnwender vor lauter Sicherheit nichtmehr arbeiten kann (IT-Sicherheit alsArbeitsverhinderer) oder die Sicherheithinten angestellt ist, weil die Anwenderall die neuen Anwendungenund Möglichkeiten in der Cloudbrauchen. Oder es wird die Infrastrukturso zur Verfügung gestellt, dass derAnwender alles tun kann, aber immersicher handelt. In der Praxis heißt dasje nach dem angemeldeten Benutzerund der durchgeführten Aktion, dierichtige Lösung zwischen dem „selbstverantwortlichenBenutzer“ mit allenFreiräumen und dem möglicherweiseungeschulten „Normalnutzer“ jeweilssituationsabhängig zu finden undvorab in einer flexiblen technischenSicherheitsrichtlinie zu verankern, dieimmer technisch durchgesetzt wird.FazitZum wirklichen Schutz vorMalware genügen die Ansätze derWhitelists schon lange nicht mehr.Weitere Verfahren sind notwendigund im Markt seit Jahren verfügbar.Nur wenige Anbieter verfeinerndas technische Angebot regelmäßigweiter, sodass gegen neue noch unbekannteAngriffe bereits geeigneterSchutz geboten wird. Die vergangenen15 Jahre zeigen, dass hier diedeutschen Sicherheitsarchitektenbereits vor DMA, Conficker, stuxnet,duqu und Flame Lösungen erarbeitethatten, die ohne genaue Kenntnis desAngriffs trotzdem vor diesem schützenkonnten.n14© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

AnzeigeAbwehr von Malware,heute und in der ZukunftDer Schutz eines Systems vor Schad-Software hat heutzutage mehr Bedeutung als je zuvor.Wir verlassen uns sowohl im Unternehmen als auch im täglichen Leben in zunehmendem Maßeauf Computer, aber sowohl Anzahl als auch die Art der Angriffe nehmen stetig zu und werdenimmer komplexer.Das erste Halbjahr 2012 hat uns neueRekorde beschert, was das Wachstumim Bereich der Schad-Software angeht.Derzeit haben wir es in den McAfeeLabs tagtäglich mit ca. 100.000 neuenVarianten von Schad-Software zu tun.Hauptsächlich Trojaner, produziert vonKriminellen mithilfe von verschiedenenleistungsfähigen Toolkits, die in Untergrundforenvertrieben werden. Diesesind so angepasst, dass sie von keinemVirenscanner mit aktuellen Signaturenund heuristischen Verfahren erkanntwerden. Dabei geraten auch anderePlattformen, wie mobile Systeme undMac OS X, zunehmend mehr in denFokus der Angreifer. Verbreitet werdendiese dann per E-Mail, als Dateianhangoder Link sowie über maliziöse Webseiten.Die monatliche Anzahl neuerbösartiger Webseiten hat sich dabei seitAnfang 2011 quasi verzehnfacht.Die Cloud zur Erlangungvon Echtzeit-ErkenntnissenUm dieses Problem zeitnah lösen zukönnen, wird „die Cloud“ zu Hilfe genommen.Erstmalig unter dem Namen„Artemis“ von McAfee in 2008 eingeführt,werden dabei Server in der Cloudmit einem Fingerprint verdächtigerDateien abgefragt, um in Echtzeit dieaktuellsten Erkenntnisse zu dieser Datei- ob Schad-Software oder „sauber“ - zuerhalten. Diese Technologie wird inverschiedenen Variationen von allenbedeutenden AV-Software-Herstellerneingesetzt – allerdings als optionaleErgänzung der traditionellen Erkennungsmethoden.Leider sind auch vierJahre nach der Einführung viele Unternehmenin Deutschland zögerlich beider Nutzung.Schutz auf Basis der ReputationGenaugenommen handelt es sich beidieser Cloud-basierten Erkennung umeinen „Reputationsdienst“, bei dem dieReputation einer Datei abgefragt wird.Solche Dienste gibt es bereits in verschiedenenanderen Bereichen schon länger,z.B. bei der Erkennung von Spam. Einanderer Reputations-Service spielt in derPrävention eine große Rolle: Die Reputationvon Webseiten, wie sie zum Beispielder McAfee SiteAdvisor liefert. Hier wirdvor dem Ansurfen einer Webseite oderauch bei den Ergebnissen einer Google-Suche die Reputation der Webseite in derCloud abgefragt. Sollte es sich um eineWebseite mit schlechter Reputation handeln,wird der Benutzer gewarnt oder derBesuch komplett geblockt. Die Reputationberuht dabei ausschließlich darauf,ob es sich um eine maliziöse Webseitehandelt. Der Inhalt spielt im Gegensatzzu Lösungen zum Schutz von Kindernhierbei keinerlei Rolle. Durch den McAfeeSiteAdvisor kann damit also einer derwichtigsten Verbreitungswege von Malwareunterbunden werden. Spamschutzdurch IP-/Domain-Reputation adressierteinen weiteren Verbreitungsweg.Die Kombination der verschiedenenReputationsdienste machtden UnterschiedEin Angriff besteht aus verschiedenenSchritten: die Verbreitung – per E-Mailoder via Webseiten, die Schad-Softwarean sich, die Kommunikation mit einemC&C-Server und das Hochladen gestohlenerDaten. Mit der Kombinationder verschiedenen Reputationsdiensteder McAfee Global Threat Intelligence(GTI) lässt sich jede neue Variation einesAngriffs abwehren. Ein Beispiel: Wennwir eine Spam-Mail mit einem Linkerhalten, wird die Domain-Reputationum diese Information ergänzt und wirbekommen von diesem Sender keinenSpam mehr. Wir untersuchen den Link,laden die Malware herunter und dieWeb-Reputation dieser Seite ebensowie die Datei-Reputation wird ergänzt.Wenn in neuen Spam-Mails auf diese Seiteverlinkt wird, wird diese trotzdem geblockt.Ebenso die Malware, auch wennsie auf anderen Seiten liegt. Die Analyseder Malware zeigt eine Kommunikationmit einem bestimmten C&C-Server.Die IP-/Domain-Reputation von diesemwird ergänzt und jede zukünftige Variantedes Trojaners, die denselben C&C-Server kontaktieren will, wird geblockt.Systemschutz, der über dasBetriebssystem hinausgehtAber auch für den reinen Systemschutzgibt es neue Technologien. Ein zunehmendgrößeres Problem ist der Einsatzvon Rootkit-Technologien, die Malwareteils mit erheblichem technischen Aufwandauf einem infizierten System tarnt.Hierbei entsteht ein weiterer Wettlaufzwischen Schad-Software und Schutzlösungenund es gilt: „Kein System kannjemals von Wächtern beschützt werden,die im selben Raum operieren, weil siedieselben Ressourcen und Restriktionenwie der Angreifer haben.“ Um dies zuadressieren, muss der Schutz also amBetriebssystem vorbei und direkt dieHardware ansprechen können, um jedenEinfluss von Malware innerhalb desOS auszuschließen. Diesen Schritt gehtdie McAfee DeepSAFE-Technologie, diedirekt die Virtualisierungstechnologieeiniger Prozessoren zur komplettenÜberwachung des Systems nutzt.Toralv DirroEMEA Security Strategist, McAfee LabsWeitere Informationen zur McAfeeDeepSAFE-Technologie können Sie übernachfolgenden Link herunterladen:http://mcaf.ee/ad5i3© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 201215

Systeme und ihr UmfeldMit ReCoBS gegenDrive-by-DownloadsNie war es so leicht wie heute, sich quasi im Vorbeisurfen einen gefährlichen Schädling einzufangen.Auch aktuelle Betriebssysteme, Webbrowser und Virenscanner bieten keinen sicherenSchutz. Treffen kann es jeden: Cyberkriminelle lassen anerkannt seriöse Internetangebotebesonders gerne zu unfreiwilligen Schadcode-Schleudern mutieren. Höchste Zeit also, prinzipbedingtunzulängliche Filtertechnologien durch präventive Schutzkonzepte zu ersetzen.Von Patrick Leibbrand,m-privacy GmbHMalware wird von ihrenUrhebern meist mit einer ganzbestimmten Zielsetzung in Umlaufgebracht. In letzter Zeit haben esMalware-Programmierer zumeistauf vertrauliche Daten auf denRechnern ihrer Opfer abgesehen,die sich gewinnbringend verkaufenoder zu weiteren Straftaten nutzenlassen. Nachdem Anwender improfessionellen wie auch privatenUmfeld durch Maßnahmen wie Virenscanneroder Firewalls bestimmteZugangswege begrenzen, nutzenAngreifer ausgefeiltere Methoden derKompromittierung. Einer davon istder sogenannte Drive-by-Download,also die Übertragung von Schadsoftwarenebenbei, sozusagen im Vorbeisurfen.Während der Anwenderarglos eine Internetpräsenz besucht,wird zeitgleich mit den abgerufenenNutzinhalten auch schädlicher Programmcodeauf den anfragendenRechner geladen. Dies kann beispielsweiseein Arbeitsplatzcomputersein, der sich innerhalb eines Unternehmens-oder Behördennetzwerksbefindet. Unmerklich installiert sichder Schädling auf dem Zielsystemund entfaltet dort mehr oder mindergefahrenträchtige Aktivitäten nachden Vorgaben seines Urhebers. Bisder Angriff entdeckt wird, ist derSchaden längst angerichtet.Missbrauchte AnbieterAuch die sorgsame Auswahlder eigenen Surfziele im Internetschützt nicht vor Drive-by-Downloads.Immer wieder gelingt es Angreifern,fremde Internetangebotezu manipulieren und diese nebenden beabsichtigten Inhalten auchbösartigen Programmcode ausliefernzu lassen. So wurde etwa über diebekannte und oft genutzte Präsenzwetter.com Mitte Mai über mehrereTage hinweg Schadcode verteilt - nurein aktuelles Beispiel von vielen. Diemittels solcher Verfahren versandteMalware kann sogar in Dateien stecken,in denen man dergleichen nieerwarten würde - in Bilddateien etwa.Kaum ist dieser Code auf dem eigenenRechner, wird er infolge einerSchwachstelle im Browser promptausgeführt. Wenn schließlich klarist, dass ein Rechner infiziert wurde,können bereits wichtige Systemdateienverändert oder große Datenmengenabgeflossen sein.16© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

Systeme und ihr UmfeldViel Aufwand –wenig SchutzNach den Vorstellungen derAnbieter sollte mittels über den Browserabgerufener Daten kein Zugriffaußerhalb der Browser-Umgebungmöglich sein. Vielmehr sollten hierklare programmtechnische Schrankenwirken, doch die Praxis siehtleider anders aus. Programmierfehlerund Schwachstellen im Software-Design reißen immer wieder gefährlicheSicherheitslücken in Firefox,Internet Explorer & Co. Offenbar bestehtwenig Hoffnung, dass sich daseinmal durchgreifend ändern wird -zumal die Komplexität der beliebtenSurfprogramme ständig zunimmt.Der Suchmaschinen-Gigant Googlegeht mit seinem Browser „Chrome“daher zumindest einen kleinenSchritt in Richtung Vorbeugung undsperrt jedes Browser-Fenster in eineeigene Sandbox. Mit medienwirksamgeringem Erfolg: Der vermeintlichsichere Mechanismus wurde baldgehackt und Google war das dafürausgelobte Preisgeld binnen wenigerTage los.Grobe FilterAlle anderen derzeit verfügbaren,konventionellen Abwehrmaßnahmensetzen auf filterndeTechnologien. Sie tragen vielversprechendeBezeichnungen wieetwa „Safe Browsing“ (Google) oder„SmartScreen-Filter“ (Microsoft) undberuhen letztlich auf einem Vergleicheiner benutzerseitig aufgerufenenURL mit der Blacklist des Herstellers.Ob externer Virenscanner oder browserspezifischeOnline-Erkennung:Definitionsbasierte oder auf Black -listing beruhende Malware-Detektionkann letztlich immer nur bekannteSchädlinge, nie aber gezielteAngriffe erkennen - ein dürftigerKompromiss. Letzteren aber solltenIT-Sicherheitsverantwortliche inprofessionell betriebenen Infrastrukturenbesser nicht eingehen, dennabgesehen von weiteren technischenNachteilen wie Fehlalarmgefahr undRessourcenverbrauch ist die Gefahrgroß, dass ein bis dato unbekannterSchädling übersehen wird. Die Folgensind im Fall einer Kompromittierungwichtiger Systeme oder einesDiebstahls relevanter Datenbeständevon ärgerlich über existenzbedrohendbis hin zu staatsgefährdend zucharakterisieren.Stumpfe SchwerterGegen Drive-by-Downloadskann man sich durch konventionelleMaßnahmen nur wenig schützen.Internetbrowser unterstützen fastschon zwangsläufig aktive Inhaltewie Java, JavaScript oder AdobeFlash und bieten damit immer einegewisse Angriffsfläche zusätzlichzu potenziellen Fehlern im eigenenProgrammcode. Diese Schwachstellenproblematikwird uns wie schonerwähnt erhalten bleiben, und dervirtuelle Gegner rüstet weiter auf.Technisch höher entwickelte Schädlingeüberwinden früher oder späterauch ausgefeiltere Schutzkonzeptewie Sandboxes oder lokale Virtualisierungslösungen.Sie werden zwarderzeit noch überwiegend für gezielteAngriffe verwendet, etwa im Bereichder Wirtschaftsspionage. Dennochdürften solche Angriffe in Zukunfthäufiger auftreten, zumal Cyberkri-Machen Sie sich keine Gedanken über E-Mail-Sicherheit.Das machen wir für Sie.Wir sorgen weltweit für sichere und störungsfreie E-Mail-Kommunikation.Mit den Retarus Managed E-Mail Services, der flexiblen Komplettlösung für unternehmensweite E-Mail-Sicherheit, schützen Sie Ihr Unternehmen zuverlässig vor Spam, Viren und allen anderen Gefahren derE-Mail-Kommunikation. Und zwar bevor diese Ihr Netzwerk erreichen. Das entlastet Ihre IT-Infrastrukturund Ihre Mitarbeiter, erhöht die Produktivität und senkt die Kosten. www.retarus.de/mail-security© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 201217

Management und WissenSysteme und ihr UmfeldReCoBS und die AlternativenFilternde Technologien arbeitenreaktiv, das heißt treten erst in Aktion,wenn ein Schädling bereits bekannt ist. DieErkennungsraten sind generell abhängig vonder Qualität und dem Umfang der Signaturdatenbanken:Was ein Malware-Scannernicht kennt, erkennt er auch nicht - egal obonline oder offline. Ein ReCoBS schützt vorSchadcode von außen durch vorbeugendeTrennung interner Netzwerke von der „Gefahrenquelle“Internet, auch ohne häufigeAktualisierungen.Verhaltensanalysen und Heuristikenmachen regelmäßig entweder durchmangelnde Erkennungsraten oder häufigeFehlalarme von sich reden. Ein dediziertesReCoBS kommt ohne „künstlich intelligente“Komponenten aus, die letztlich vor allemden Administrationsaufwand erhöhen undmitunter mehr schaden als nützen.Lokale Virtualisierung auf deneinzelnen Arbeitsplatzrechnern bewirktnachweislich keine sichere Trennung internerRessourcen vom Internet. Schadcodekann aus dem Gastsystem innerhalb einervirtuellen Maschine ausbrechen und in dasHostsystem eindringen. Dann sind der Hostund das ihn umgebende Netzwerk hoch gefährdet.Dedizierte ReCoB-Systeme trennenphysikalisch und damit eigensicher.ReCoBS Marke „Eigenbau“ etwaunter Verwendung von Terminalserver-Infrastrukturen sind nicht für Aufgaben inder IT-Sicherheitsinfrastruktur optimiert. Dieauf konventionellen Betriebssystemen basierendenTerminalserver sind nicht adäquatgehärtet und damit ihrerseits für Angriffeanfällig. Als Single Point of Failure eines ausgedehntenFirmennetzwerks bei Verbindungzum Internet sind sie vielmehr erheblichschutzbedürftig. Ein professionelles ReCoBSkann jedoch einfach vorgeschaltet werden.Es schützt damit den Server und alle Klientenzugleich.minellen auch ständig verbesserteWerkzeuge zur halb automatischenErzeugung von Schadsoftware zurVerfügung stehen.Präventive Trennungdurch ReCoBSIn schutzbedürftigen undregelmäßig gut gesicherten IT-Infrastrukturen ist man sich dergrundsätzlichen Unzulänglichkeitklassischer Abwehrstrategien auchhinsichtlich gefährlicher Driveby-Downloadsvielfach bewusst.Insbesondere bei unmittelbarerGefahr von Datendiebstahl oder(Wirtschafts-)Spionage stecken Verantwortlichein einem Dilemma,zumal in heutiger Zeit auf eineInternetanbindung einzelner oderaller Arbeitsplätze in den meistenFällen nicht mehr generell verzichtetwerden kann. Roman Maczkowsky,IT-Sicherheitsberater und Geschäftsführerder Berliner m-privacy GmbH,bringt es auf den Punkt: “In klassischenBetriebssystemen hat derBrowser dieselben Rechte wie derBenutzer - wer den Browser hackt,übernimmt den Arbeitsplatzrechner.“Während noch vor kurzemvollständig separate Netzwerke mitund ohne Internetzugang vorgesehenwurden, um auch im Fall einerKompromittierung ungewollten Datenabflusszu verhindern, nehmenheute moderne Remote-ControlledBrowser Systems (ReCoBS) dieseTrennfunktion wahr.Abstand schafftSicherheitDer Arbeitsplatzrechnerkommuniziert hierbei nicht mehrdirekt mit dem Internet. Stattdessenübernimmt der dem internen Netzwerkvorgelagerte ReCoB-Server dieAusführung des Webbrowsers oderweiterer internetgebundener Applikationen.Das System ruft die angefordertenInhalte ab und leitet demComputer des Anwenders nur dieBildschirmausgabe über ein grafikbasiertesProtokoll zu. Ein Virenscannerwird weiterhin verwendet - dientaber lediglich als flankierende Maßnahmezur zusätzlichen Absicherungbei Downloads und Dateitransfers.Das Schutzniveau wird in dieser Konstellationim Wesentlichen durch dasdedizierte ReCoB-System bestimmt,zugleich kann das Internet ohneAngriffsgefahr vollfunktional genutztwerden. Drive-by-Downloadserreichen das interne Netzwerknicht mehr und können sich aufdem vorgeschalteten ReCoBS-Serveraufgrund dessen massiven Eigenschutzesnicht auswirken. Selbstaktive und multimediale Inhalte sindrisikolos darstellbar und müssen seitensder Systemadministration nichtaus Sicherheitserwägungen herausgesperrt werden.Dediziert statt virtuell:TightGate-ProReCoB-Systeme sind immerdedizierte Rechner außerhalbdes internen Netzwerks, nurdann entfalten sie ihre zuverlässigeSchutzwirkung. Lokale Virtualisierungslösungensind in der sicherheitstechnischenBetrachtung dediziertenRemote-Controlled BrowserSystems (ReCoBS) nachvollziehbarunterlegen. Gerade in jüngster Zeithäufen sich Berichte, nach denenes - aus fachlicher Sicht durchauserwartungsgemäß - gelang, mitSchadcode aus Gastsystemen aufvirtuellen Maschinen auszubrechenund in das Hostsystem einzudringen.Eine lokale virtuelle Maschine kanndie Trennwirkung einer physikalischgetrennten Appliance von der Gefahrenquelle„Internet“ technischbedingt nicht erreichen. Eine insbesonderein IT-Umgebungen mit erhöhtemSchutzbedarf häufig installierte,dedizierte ReCoBS-Lösung istTightGate-Pro. Das zentrale Systemist der probate „Drive-by-Schutz“und erteilt gefährlichen „Mitbringseln“aus dem Internet die definitiveAbfuhr.n18© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

Systeme und ihr UmfeldMalware-Schutz durch Code-AnalyseGezielte Attacken auf Unternehmen und Organisationen häufen sich. Da dieherkömmlichen Schutzprodukte hier nicht ausreichend greifen, gehen vieleUnternehmen dazu über, zusätzlich Malware-Analyse zur Abwehr einzusetzen.Mit Norman Malware Analyzer G2 ist eine automatisierte Lösung verfügbar,die an unternehmensspezifische Anforderungen angepasst werden kann.Von Oliver Kunzmann,Norman Data Defense Systems GmbHTäglich kommen mehr als50.000 neue Schadcodes in Umlauf;die Unternehmen müssen zunehmendmit zielgerichteten Angriffenund Advanced Persistent Threats(APTs) zum Zweck der Spionage beziehungsweiseWirtschaftsspionageund des Diebstahls rechnen. Signaturbasierterund virtueller Perimeter-Schutz reichen für deren Abwehr jedochnicht aus, da nicht veröffentlichteSchwachstellen genutzt werdenund neue, unbekannte Malware, fürdie keine Signaturen verfügbar sind.Die Analyse des Codes unbekannterDateien hilft Unternehmen mit sensiblenDaten beziehungsweise hohenAnforderungen an deren Schutzherauszufinden, ob es sich bei demSchadcode um einen zufälligen Trefferoder um einen gezielten Angriffhandelt. Sie ermöglicht umgehendmanuelle Eingriffe, beispielsweisedas Blocken oder Sperren von IP-Adressen. Beim Malware Analyzer G2(MAG2), der Plattform, die Normanseit einem Jahr als Nachfolger desSandBox Analyzers anbietet, versetztdie Automatisierung von Analyseund Auswertung auch Unternehmenohne ausgeprägte Erfahrungmit Code-Untersuchungen in dieLage, zu schlüssigen Bewertungen zukommen und Abwehrmaßnahmenergreifen zu können.Emulierte und virtuelleUmgebungenDie Software-Plattform stelltsowohl emulierte Umgebungen aufBasis der Norman SandBox als auchvirtuelle Maschinen auf der Grundlageder von Norman entwickeltenTechnik IntelliVM zur Verfügung.Der Vorteil der SandBox ist, dassMalware sich in einer echten Umgebungwähnt und ihrem Auftragentsprechend verhält. Außerdemist sie ausbruchssicher, der Codekann also auch Verbindungen übersInternet aufnehmen. Bei virtuellenMaschinen liegt der Schwerpunktdarauf, dass reale Installationenwie selbstentwickelte Kundensoftwarenachgestellt werden können.Die Spiegelung kundenspezifischerUmgebungen wird für die Suchenach neuartigen beziehungsweisegezielten Angriffen eingesetzt undermöglicht die Erkennung von Malwaremit bisher nicht bekanntemAufbau. Ein Beobachtungs-Agent aufunterster Kernel-Ebene verfeinert dieBeobachtung der untersuchten Software.Er überwacht alle Tätigkeitendes Systems und alle relevanten Prozesseund protokolliert beispielsweiseÄnderungen in der Registry oderden Systemverzeichnissen. So könnenRootkits aufgespürt werden sowieMalware, die VM-Umgebungenerkennt und sich entsprechendunverdächtig verhält. Da sich dieStärken der beiden Verfahren ergänzen,wird erheblich mehr Schadcodeals solcher erkannt.Tools und SchnittstellenDie Aktionen des zu analysierendenCodes werden durch ein umfangreichesTool-Set für klassischesReverse Engineering und Debuggingbeobachtet und aufgezeichnet,darunter die Echtzeitsuche in denDebug-Informationen. Über RemoteAbb. 1: Startseitefür den Analyse-Prozess© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 201219

Systeme und ihr UmfeldAbb. 2: Übersichtder einemSample zugeordnetenTasksund der Detailszum SampleRisiko-Bewertung einfließt. Anhandhinterlegter, individuell anpassbarerMuster (Pattern) beurteilt das Systemdie Aktivitäten und ermittelt dasGefährdungspotenzial des Codes,beispielsweise ob dieser als Malwarebekannt ist oder ob Muster aus bekanntemSchadcode vorkommen.Eine Datenbank, in der Samples,Berichte und Ereignisse gespeichertsind, hilft ebenfalls bei der Einordnung.Abb. 3:Standard-Report mit derZusammenfassungderwichtigstenSystem-EreignisseAPI können im Unternehmen bereitsvorhandene Analysetools oder-umgebungen sowie Drittanbieter-Produkte an MAG2 angebundenwerden. Die optionale Einbindungvon Normans Inline-Scanner NormanNetwork Protection (NNP) stellteinen praktikablen Weg dar, um dieErkennung zielgerichteter Attackenund APTs zu verbessern. Die SecurityAppliance wird an strategisch passenderStelle einfach ins Netz eingeklinktund scannt im Datenverkehrdie für die Malware-Übertragungrelevanten Protokolle, darunter auchCIFS und SMB/SMB2. Alle ausführbarenDateien und PDFs, die sie nichterkennt, schickt sie zur Analyse anMAG2. Die Management- und Verwaltungskonsoleist webbasiert; dieIT-Spezialisten können von jedembeliebigen Ort aus auf die Plattformzugreifen.Code analysierenFür den Start einer Analysegibt der Anwender eine Sample-ID,eine Task-ID oder einen Hash-Wert indas Feld der Startseite ein. Außerdemkann er die Standard-Einstellungenanpassen und beispielsweise festlegen,wie tief der Code analysiertoder ob die Firewall geöffnet werdensoll, damit der Code gegebenenfallsseinen C&C-Server kontaktierenkann, um Updates nachzuladen undInformationen über das infizierteSystem zu übertragen.Auswertung derErgebnisseDie Plattform wertet dieCode-Aktivitäten automatisiert aus.Die Automatisierung unterstütztinsbesondere weniger erfahrene Mitarbeiterund spart den SpezialistenZeit. Für die Erkennung potenziellgefährlicher Aktionen werden Filtereingesetzt. Zusätzlich zu den mitgeliefertenFiltern können eigeneFilter erstellt und in die Plattformeingebunden werden, sodass bestehendesAnalyse-Know-how automatischin die benutzerdefinierteAnalyse-ErgebnissevergleichenDer Einsatz unterschiedlicherTools und Verfahren bei derAnalyse desselben Codes kann zuunterschiedlichen Ergebnissen undBewertungen führen. Ein Vergleichder Ergebnisse macht Übereinstimmungenund Abweichungen imVerhalten unter den unterschiedlichenBedingungen sichtbar, ausdenen die Security-SpezialistenRückschlüsse auf die Eigenschaftendes Codes ziehen können. Um nochdetailliertere Ergebnisse zu erhalten,durch die auch exzellent getarnteMalware aufgespürt werden kann,können die Anwender zum Beispieldie Laufzeit des Codes in IntelliVMbeziehungsweise in der SandBox verlängern.Eigene Umgebungenauf AngreifbarkeittestenDie Flexibilität der virtuellenMaschinen macht es möglich, dassindividuelle Rechnerkonfigurationenabgebildet und unternehmensspezifischeSoftware installiertund auf Angreifbarkeit durch denfraglichen Code getestet werden können.Die Konfigurationen könnendie Anwender in Form von Profilenanlegen. Damit stehen sie im Bedarfsfallwiederverwendbar zur Verfügungund müssen nicht jedes Mal neuangelegt werden. Außerdem lässtsich kundenspezifische Software wiezum Beispiel SAP und Office-Paketezeitsparend parallel testen.20© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

Systeme und ihr UmfeldErgebnis-Berichte undReportsDie Ausgabe der Analyse-Ergebnissekann an das Know-how derIT-Spezialisten angepasst werden. InSachen Malware-Analyse weniger erfahreneMitarbeiter können mit demStandard-Report einen allgemein gehaltenenÜberblick über die Aktivitätendes Codes abrufen. Er zeigt denRisk Level auf einer Skala von 0 bis10 und die dazugehörigen Ergebnisseaus dem Pattern-Abgleich. AuchScreenshots, PCAP-Dateien mit denaufgezeichneten Netzwerkevents zurAnsicht in Wireshark, gegebenenfallsDropped Files, also von der Malwareerzeugte Dateien, sowie die Ausgabedes Reports als PDF werden auf derReport-Seite verfügbar gemacht. EineEvent Timeline zeigt Auffälligkeitenim Zeitverhalten der Malware; Confickerbeispielsweise war zunächst60 Sekunden inaktiv. Die zeitlicheAbfolge der Code-Aktivitäten erzeugteinen charakteristischen Graphen.Der Vergleich mit anderen Verläufenweist die Anwender auf Verwandtschaftenzwischen Schadcodes hin.Erfahrenen Malware-Analystenliefert die Full Event List zusätzlichdetaillierte Informationen zu jedereinzelnen Aktivität des Codes undermöglicht eine tiefgehende Analyseder Malware.nAbb. 4: Die „FullEvent List“ einesTasks zeigt demExperten alleaufgezeichnetenEreignisse an.Abb. 5: Die „EventTimeline“ zeigtdie Abfolge deraufgezeichnetenEreignisse, die imVergleich Hinweiseauf Verwandtschaftzwischen Codesgibt.Lernen Sie das Original kennen!Jetzt Probeheftanfordern! - Die Zeitschrift für Informations-Sicherheit erscheint 6-mal jährlich mit wichtigemKnow-how und aktuellen Informationen. liefert Hinweise zu Risiken und Strategienund macht Lösungsvorschläge zu allen Themen der IT-Security.Themen in : Internet/Intranet-Sicherheit / Zutrittskontrolle / Virenabwehr /Verschlüsselung / Risikomanagement / Abhör- und Manipulationsschutz / Sicherheitsplanung/ Elektronische Signatur und PKI / IT-Recht / BSI-ForumLernen Sie - Die Zeitschrift fürInformations-Sicherheit kennen:Fordern Sie gleich ein Gratisexemplar anFAX an +49 6725 5994PROBEHEFT-ANFORDERUNGja, bitte schicken Sie mir gratis und unverbindlich ein Exemplarder - Die Zeitschrift für Informations-SicherheitLieferung bitte anSecuMedia Verlags-GmbHLeser-ServicePostfach 12 3455205 Ingelheim© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 201221

Abwehr von Malwaremit WildFireDie Bekämpfung von Malware steht aufgrund des hohenBedrohungspotenzials ganz oben auf der Tagesordnung derSecuritymanager. Als Antwort auf die zunehmenden Herausforderungenmoderner Schadprogramme hat das UnternehmenPalo Alto die Sicherheitslösung WildFire entwickelt.Von Achim Kraus,Palo Alto NetworksSysteme und ihr UmfeldDen Administratoren stehtüber das Webportal zudem umfangreichesInformationsmaterial überdie erkannte Malware zur Verfügung.Es wird ein detaillierter Report erzeugt,einschließlich Informationenüber den geschädigten User, der mitMalware infizierten Applikation, sowiealler URLs, die an der Einschleusungoder dem Datenversand durchdie Malware beteiligt waren.WildFire ist ein kostenlosesMalwareschutzAdd-on für dieFirewallprodukte vonPalo Alto. Erkennt die Firewall eineunbekannte Datei, wird diese direktzur virtualisierten WildFire-Sandboxgesendet, dort ausgeführt und aufgefährliche Verhaltensweisen untersucht.Dabei nutzt WildFire sowohldie kundeneigene Firewall als aucheine cloudbasierte Analyse-Engine.Dadurch wird Malware schnell undpräzise erkannt, auch wenn diesezuvor noch nie in Erscheinung getretenist.Einsetzen lässt sich WildFireganz einfach durch Konfigurationeiner Richtlinie auf einer Palo AltoFirewall der nächsten Generation.Die Richtlinie definiert, welche Artenvon Dateien an die Sandbox gesendetund ob dazugehörige Informationendazu eingeholt werden. Entdeckt dieFirewall im Netzwerk-Traffic danneine Datei, die einer Weiterleitungsrichtlinieentspricht, wird diesezunächst auf eine vertrauenswürdigeSignatur eines Softwareherstellersüberprüft. Wird eine solche Signaturnicht gefunden, erfolgt eine Anfragein der Cloud, um festzustellen, ob dieseDatei bereits zuvor vom WildFire-Service überprüft wurde. Dadurchwird das Versenden und Prüfen vonDuplikaten vermieden. Wurde dieDatei zuvor noch nicht überprüft,erfolgt die komplette Übermittlungan den WildFire-Service.AutomatisierterSignatur-GeneratorNach Eingang einer Dateiin WildFire prüft das Tool in einervirtuellen Maschine diese auf gefährlichesVerhalten. Dazu werdendie Aktivitäten auf dem virtuellenRechner überwacht und mit über70 hinterlegten Verhaltensweisen,die auf eventuellen Schadcodehinweisen, abgeglichen. Anschließendwird das Sample als gut- oderbösartig bewertet und ein Reporterzeugt, der dem Administratorüber das WildFire-Webportal sowieüber konfigurierbare automatischeE-Mail-Reports zur Verfügungsteht.Wird ein Sample als Malwareidentifiziert, wird es an einen Signatur-Generatorweitergereicht, der automatischeine Signatur erzeugt undauf Genauigkeit überprüft. Mit Hilfevon WildFire in der Cloud könnendie Signaturen automatisch mit einerumfangreichen Sample-Datenbankabgeglichen und anschließend imRahmen des täglichen Signatur-Updates an alle Kunden versendetwerden. Zusätzlich zu den Signaturenfür die infektiösen Dateienerzeugt Palo Alto Networks auchSignaturen zur Identifikation der Befehls-und des Steuerungstraffics derMalware; so wird sichergestellt, dassdie Mitarbeiter alle aktiven, bereitsim Netzwerk befindlichen Angriffestoppen können.VerhaltensbasierterBotnet-ReportZusätzlich zur Überwachungund Korrelation von verdächtigemNetzwerk-Traffic sucht ein verhaltensbasierterBotnet-Report nacheiner Reihe auffälliger Anzeichen füreine Botnet-Infektion, zum Beispielunbekannter Applikations-Traffic,IRC-Traffic, wiederholte Versucheoder Dateien herunterzuladen. DerReport nutzt die User-ID zur Identifizierungdes infizierten Users sowieder Umstände, die zu diesem Analyseergebnisführten.Enge Verzahnung mitder FirewallEin Hauptvorteil von Wild-Fire ist die enge Verzahnung mit denFirewall-Produkten von Palo Alto.Dies ermöglicht ein einfaches Setupund eine schnelle Umsetzung. Weiterhinbesteht durch die Anbindungan die Cloud Zugriff auf umfangreicheHardware-Ressourcen. Diegesamte Kommunikation zwischender Firewall und der Cloud bleibtdabei verschlüsselt. Die virtuelleSandbox ist durch mehrere Security-Ebenen abgesichert. Darüber hinauslässt sich das Produkt ganz einfachdurch die Entwickler von Palo Altoupdaten. So kann schnell auf neueMalware-Strategien reagiert werden.WildFire zentralisiert die Analyseunbekannter Dateien und bietet soauch eine zentrale Schutzquelle füralle Palo Alto Firewalls. n22© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

Data Loss durch MalwareAngriffe durch eingeschleuste Malware (LNK, PDF, IE, ZIP, Stuxnet …), mangelndes Risikobewusstsein der Anwenderund vorsätzlicher Datendiebstahl sind Hauptursachen für den Verlust vertraulicher Informationen. itWatch schütztgegen jeden dieser Angriffe.Key Logger sicher verhindernHardware-Keylogger werden durch besondere Verfahrenaufgespürt und abgeschaltet – für besonderssensible Information (Passwort, PIN ...) wird dieEingabe automatisch auf Mauseingabe über eine(zufallsbedingte) Bildschirmtastatur umgeschaltet.Software-Keylogger haben keine Chance (auch nichtals Plug-In, DLL oder Skript), denn itWatch schütztvor dem unbemerkten Einschleusen von allen ausführbarenObjekten – egal über welchen Weg dieseauf den PC kommen.Spyware bleibt draußenAngreifer schleusen Schadcode verborgen ineigentlich erlaubten Dateiformaten über Email, Weboder USB-Sticks und durch die Ausnutzung vonSchwachstellen in Programmen vom Benutzer unbemerktin das Unternehmen ein. Dieser wird unterNutzerrechten im Hintergrund ausgeführt undüberträgt sensible Daten verschlüsselt ins Internet.itWatch blockt den Schadcode, egal über welchenWeg er auf den PC kommt.Verschlüsselung mit PDWatchDaten sicher verwenden und speichern - immer undüberall - lokal unterwegs auf Drittrechnern und im Netz.PDWatch2GoIT-Sicherheit zum MitnehmenitWatchUnterschiedliche Schlüssel für unterschiedlicheBelange auf einem Datenträger. AutomatischeNutzung – individualisierbare auf den Firmenbedarfeinstellbare Oberfläche, inkl. beliebigerAnwendungen, Logos und Links, die in derOberfläche integriert sind.Holen Sie sich Ihre kostenfreie Verschlüsselungslösungals Download unter: PDWatch2Go.de+49 (0) 89 620 30 100info@itWatch.dewww.itWatch.deGmbHGPEC, security-zone, PITS, security essen, it-sa, RSA Conference, CeBIT ...in Leipzig, Zürich, Berlin, Essen, Nürnberg, San Francisco, Hannover ... www.itWatch.de/events

Systeme und ihr UmfeldDer Weg zu mehr SicherheitDie Liste der IT-Bedrohungen durch Malware ist lang.Insbesondere mittelständische Unternehmen fühlen sichdaher häufig überfordert. Die Frage ist: Was ist einpragmatischer Weg zu mehr Sicherheit?Von Martin Seeger,NetUSE AGFür mittelständische undkleine Unternehmen führt der Wegzu mehr IT-Sicherheit zuerst über eineIST-Analyse der IT-Systeme. Die ersteFrage, der dann nachgegangen wird,ist dabei typischerweise „Wird dasUnternehmen derzeit angegriffen?“.StandortbestimmungWährend man nicht ohneerheblichen Aufwand die Vergangenheitbeurteilen kann, ist es hingegenfür die aktuelle Lage mit sehr überschaubaremAufwand möglich.Beispielsweise ist es möglichzu testen, ob Rechner eines Unternehmensderzeit in Bot-Netzen aktiv sind.Zu diesem Zweck werden die Daten(IP-Adressen und Domainnamen)mit Datenbanken über bekannteBot-Netz-Aktivitäten abgeglichen.Bei einer Übereinstimmung wird einAlarm ausgelöst. Eine solche Prüfungkann einmalig oder als dauerhafterService eingerichtet werden. DerVorteil dieser Methode ist, dass keineInstallation von Hard- oder Softwarenotwendig ist, und innerhalb kurzerZeit (1-2 Wochen) ein Ergebnisvorliegt. Außerdem sind die Alarmevon hoher Qualität, da false positivespraktisch nicht auftreten.Die zweite Möglichkeit derAnalyse ist der 3D-Security-Report.Diese Methode umfasst ein wesentlichbreiteres Spektrum an Bedrohungenund eine größere Menge anDaten. Hierzu wird eine spezialisierteAppliance der Firma Check Pointmit einer Kopie des Datenstroms amÜbergabepunkt zum Internet (zumBeispiel mittels eines Mirror-Ports)versorgt. Diese Daten werden füreinen vorher festgelegten Zeitraumerfasst und dann vor Ort ausgewertet.Die erhobenen Daten verbleibenwährend der Auswertung imUnternehmen und verlassen diesesnicht.Die Analyse erfolgt automatisiertauf Basis aktueller und typischerBedrohungen. Der Bericht listet auf,an welchen Stellen Anzeichen fürInfektionen von Systemen bestehen,welche Daten das Unternehmennicht oder nicht unverschlüsselt perE-Mail verlassen sollten, wo durchdie Nutzung unsicherer WebseitenRisiken entstehen und welche Maßnahmenzur Abwehr getroffen werdenkönnen.Von der Technik zurOrganisationDer nächste Schritt ist dieBeantwortung der Fragen „Ist derderzeitige Sicherheitsstand ausreichend?“und „Ist das Unternehmenauch für zukünftige Bedrohungengerüstet?“. Um dies zu analysierenund die optimalen Maßnahmeneinzuleiten, muss, neben den technischenAspekten, auch die dahinterstehendeUnternehmensstruktur,das Geschäftsmodell und weitereRahmenbedingungen betrachtet werden.Dazu gehört, u.a. Antworten auffolgende Fragen zu finden:Welche Daten sind schützenswert?Welche Vorgaben macht derGesetzgeber dem Unternehmen inBezug auf die IT-Sicherheit?Wie beeinflusst die IT-Sicherheit das Geschäftsmodell undumgekehrt?In welchem Umfang könnenRessourcen für die Umsetzung derIT-Sicherheit bereitgestellt werden?Eine offizielle Richtlinie undOrientierungshilfe zur Umsetzungvon IT-Sicherheit für Unternehmenist der IT-Grundschutz-Standard desBundesamtes für Sicherheit in derInformationstechnik (BSI) , der auf dieISO-Standards ab ISO 27000 aufbaut.24© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

Systeme und ihr UmfeldAllerdings ist dieser sehr umfangreichund besonders mittelständische undkleine Unternehmen tun sich schwer,sich in diese Thematik einzuarbeitenoder auch nur einen Einstieg zufinden.Der Plan zur UmsetzungPragmatischer ist ein Einstiegin die Thematik über einen Workshopmit einem Spezialisten wie derNetUSE AG, in dem die oben genanntenFragen beantwortet, Anforderungenspezifiziert und gemeinsamAnsätze für eine IT-Security-Strategieerarbeitet werden.Zu dem mehrtägigen Workshopgehört auch eine qualifizierteAnalyse und Bewertung des IST-Zustands auf der Basis einer zusätzlichenSichtprüfung von Technik,Dokumentation und Organisation.Die Umsetzung sieht dann jenach Unternehmen fast immer unter-schiedlich aus. Während für das eineUnternehmen die sichere Anbindungvon Zweigstellen und Mitarbeitern imVordergrund steht, ist für das nächsteUnternehmen die Unterbindungauch versehentlicher Datenverlustemit der höchsten Priorität anzugehen.Bei der Auswahl von Herstellernund Lösungen ist darauf zu achten,dass diese in Anzahl und Umfangmöglichst gering gehalten werden.Ein „best of breed“-Ansatz, bei demverschiedene Lösungen und Herstellerzu einer optimalen Gesamtlösungintegriert werden, ist auch für größeremittelständische Unternehmen nichtumsetzbar. Gerade hier ist eine Konsolidierungund hohe Integrationsdichtevon Bedeutung.Denn es ist wichtig, dass dieBetreuung eines Unternehmens nichtmit dem Verkauf einer Firewall oderVirenscanners endet. Sicherheit istein Prozess, der sich von der Planungüber die Konzeption zur Installationund Konfiguration bis hin zu Betriebund Wartung sowie einer regelmäßigenÜberprüfung erstreckt.Was kostet der pragmatischeWeg?Eine Standortbestimmungwie oben beschrieben kostet beiNetUSE 1.000 Euro. Der Workshopschlägt bei einem mittelständischenUnternehmen mit 5.000 Euro undwenigen Tagen eigenen Arbeitsaufwandszu Buche.Was die konkrete Umsetzungvon Maßnahmen angeht, kann man,ohne die genauen Parameter zu kennen,keine genauen Zahlen abschätzen.Aber bei den wenigsten mittelständischenUnternehmen sindInvestitionen von über 20.000 Euronotwendig, um auch für zukünftigeBedrohungen gerüstet zu sein. nVIP-Partner von SecuMedia 2012Wir bedanken uns für die nachhaltige Unterstützung unserer VerlagsprojektePlatIn-PartneritWatchGmbHGold-PartnerSIlber-PartnerIT-Sicherheit einfach effizientJAKOBSOFTWAREEinfach sicher surfen.Rohde & Schwarz SIT:Verschlüsselung & IT-Sicherheit© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 201225

NewsDr.Web Antivirus 7.0für Windows DateiserverDas Unternehmen Doctor Web stellt eine aktualisierteVersion Dr.Web Antivirus für Windows Dateiserverzur Verfügung. Die neue Version 7.0 enthält eine Reihe vonVerbesserungen, die die Funktionsstabilität und Leistungder Software optimieren. So können Rechte des Programmswährend der Prüfung automatisch erhöht werden, wennder Scanner aus dem nicht privilegierten Benutzerkonto gestartetwurde. Das Produkt enthält auch den neuen Dr.WebControl Service, der für eine einheitliche Verwaltung vonSoftware-Komponenten, deren Interaktion, Sammlung vonStatistiken und Planung von Updates verantwortlich ist.Außerdem bietet Version 7.0 bietet die Möglichkeit einerautomatischen Wiederherstellung der Komponenten ausdem lokalen Repository, wenn diese geändert oder entferntwurden. Das Lizenzmanagement-Modul und der Updater,die nicht mehr vom Windows-Planer abhängig sind, wurdenebenfalls optimiert. Bei der Aktualisierung von Version 6.0auf Version 7.0 können die Konfigurationsdaten von Dr.WebSpIDer Agent 6.0 und Dr.Web SpIDer Guard 6.0 auf die Version7.0 übertragen werden. Die neue Version steht auf derWebsite von Doctor Web zur Verfügung.(www.drweb-av.de)ForeScout und Fiberlinkveröffentlichen integrierte NACund MDM-LösungDie Sicherheitsanbieter ForeScout Technologies undFiberlink bieten gemeinsam ein voll integriertes Mobile-Device-Management (MDM) und Network-Access-Control(NAC) an. Das neue „ForeScout MDM powered by MaaS360“verbindet cloudbasierten Mobile Device Management-Service,umfassende Geräteunterstützung und vereinheitlichteSicherheitskontrollen. Dadurch gewinnen Unternehmenden flexiblen und kosteneffektiven Ansatz, um Bring YourOwn Device (BYOD) und mobiles Sicherheitsmanagementzu vereinfachen. ForeScout MDM ist als Jahresabo mit Preisenab $6 pro Mobilgerät und Monat verfügbar. ForeScoutMobile, ein add-on-Modul der Network Access Control(NAC) Plattform des Unternehmens, gibt iOS- und Android-Geräten Sicherheit sowie MDM Integration. Durch dasAngebot einer Auswahl an mobilen Sicherheitslösungen,ermöglicht ForeScout IT-Organisationen BYOD stufenweiseeinzuführen und ihre mobilen Sicherheits-Investitionenfür die unterschiedlichen Arten von Nutzern, Geräten undAnwendungen anzupassen.(www.forescout.com)Ein Mehrfachscanner-Konzept verbessertdie SicherheitslageAuch wenn es eine ganze Reihe professionellerAntiviren-Lösungen auf dem Markt gibt, die einen relativguten Schutz vor Viren-Attacken bieten, so hat jeder Virenscannerseine Schwachstellen. Denn Viren werden regelmäßigaktualisiert und so kann es immer wieder zu „blindenFlecken“ bei einem Virenscanner kommen. Selbst wenn nurein Virus übersehen wird, kann dies für ein Unternehmenfatale Folgen haben. Daher reicht ein einzelner Virenscannernicht aus, um alle Angriffe abzufangen. Erst der kombinierteEinsatz mehrerer Virenscanner bietet maximale Sicherheit.Unternehmen können diese Sicherheit allerdings nur miterheblichen Lizenzkosten und Mehraufwand erreichen.Der Münchner Mail- und Security-Spezialist Retarus betreibtim Rahmen seiner Managed E-Mail Services mehrereAntivirentechnologien parallel nebeneinander und bietetUnternehmen damit den bestmöglichen Schutz. Die höhereErkennungsrate bei Virus-Mutationen und der schnellereSchutz vor neuen Bedrohungen spricht für ein Mehrfachscanner-Konzeptnach dem Follow-The-Sun-Prinzip: Durchdie Integration von nach regionalen Kriterien ausgewähltenVirenscannern - zum Beispiel USA, Asien, Zentral- und Osteuropa- und dem zusätzlichen Einsatz heuristischer Erkennungsmethodenverbessert sich die durchschnittliche Reaktionsgeschwindigkeitund damit auch die Schutzwirkung.(www.retarus.de)ImpressumSecuMedia Verlags-GmbHPostanschrift: Postfach 12 34, 55205 Ingelheim (DE)Hausanschrift: Lise-Meitner-Straße 4, 55435 Gau-Algesheim (DE)Telefon +49 6725 9304-0, Fax +49 6725 5994E-Mail: info@secumedia.de, Web: www.secumedia.deBeteiligungsverhältnisse (Angabe gem. § 9, Abs. 4 Landesmedienges.RLP): Gesellschafter zu je 1/6 sind Gerlinde Hohl,Klaus-Peter Hohl, Peter Hohl (GF), Veronika Laufersweiler (GF),Nina Malchus (GF), Steffi PetersenHandelsregister AG Mainz HRB 22282Herausgeber: Peter HohlRedaktion: Sebastian Frank (sf)(verantwortlich für den red. Teil), s.frank@secumedia.deAnzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil)Tel. +49 6725 9304-20, E-Mail: anzeigenleitung@secumedia.deSatz: BlackArt Werbestudio,Stromberger Straße 47, 55413 Weiler bei BingenDruck: Schmidt & more Drucktechnik GmbHHaagweg 44, 65462 Ginsheim-GustavsburgBildnachweis Titelbild: © Andreas HellerAlle Rechte vorbehalten, auch die des auszugsweisen Nachdrucks,der Reproduktion durch Fotokopie, Mikrofilm und andere Verfahren,der Speicherung und Auswertung für Datenbanken undähnliche Einrichtungen.26© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 2012

© SecuMedia Verlags-GmbH · 55205 Ingelheim · Special Malware · August 201227