Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im...

81
Cisco 2014 Annual Security Report

Transcript of Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im...

Page 1: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

Cisco 2014 Annual Security Report

Page 2: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

2 Cisco 2014 Annual Security Report

ZusammenfassungEine Frage des Vertrauens

Cyberkriminelle und andere Angreifer machen sie sich in den meisten Fällen die simple Tatsache zunutze, dass wir den Systemen, Anwendungen, Menschen und Unternehmen, mit denen wir regelmäßig interagieren, zumeist blind vertrauen. Und dieser Ansatz funktioniert ganz offensichtlich. Mit immer neuen Methoden schleusen sie Malware in Netzwerke ein, die über längere Zeiträume unentdeckt bleibt und Daten stiehlt oder wichtige Systeme beeinträchtigt.

Vom Diebstahl von Passwörtern und Anmeldedaten mittels Social Engineering bis hin zu stillen Infiltrierungen in Minutenschnelle nutzen Cyberkriminelle das allgemeine Vertrauen immer weiter zu ihrem Vorteil – mit weitreichenden Folgen für die Betroffenen. Doch geht es bei der Vertrauensfrage um weit mehr als nur um Datendiebe, die Schwachstellen auszunutzen wissen oder über Social Engineering Informationen von Nutzern abgreifen: Das Vertrauen in öffentliche sowie private Unternehmen und Einrichtungen wird untergraben.

Das Vertrauen in Netzwerke schwindet heutzutage auf zwei Wegen. Auf der einen Seite stehen Kunden, deren Glaube an die Integrität von Produkten schwindet. Auf der anderen Seite kommt die wachsende Gewissheit hinzu, dass Cyberkriminelle in der Lage sind, Vertrauensmechanismen zu überwinden. Die Effektivität der Sicherheits-, Authentifizierungs- und Autorisierungsarchitekturen von Netzwerken und Anwendungen muss daher infrage gestellt werden.

Cisco stellt in diesem Report Daten und Einblicke zu den wichtigsten Bedenken und Herausforderungen in der IT-Sicherheit vor. Neben neuen Formen von Malware werden Entwicklungen bei Sicherheitslücken und die Zunahme von Distributed-Denial-of-Service-Angriffen (DDoS) beleuchtet. Weiterhin befasst sich dieser Report mit Kampagnen, die zielgerichtet gegen einzelne Organisationen, Konzerne und Branchen gefahren werden, sowie mit der zunehmenden Ausgereiftheit von Versuchen, sensible Informationen zu entwenden. Zum Schluss werden Empfehlungen zur effektiven Bewertung von Sicherheitsmodellen sowie zu Ansätzen gegeben, die ein besseres Verständnis des Angriffskontinuums – vor, während und nach Angriffen – ermöglichen.

Cyberkriminelle nutzen das allgemeine Vertrauen auf immer neuen Wegen

zu ihrem Vorteil – mit weitreichenden Folgen

für die Betroffenen.

Page 3: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

3 Cisco 2014 Annual Security Report

Wichtigste ErkenntnisseIm Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

Angriffe richten sich zunehmend gegen Internet-Infrastrukturen.

• Cyberkriminelle verschaffen sich Zugang zu Webhosting-Servern, Namenservern und Rechenzentren. So bauen sie „Über-Botnets“ auf, die die Bandbreite und Rechenleistung dieser Ressourcen verwenden.

• Pufferüberläufe zählen in den Bedrohungskategorien mit 21 Prozent der Common Weakness Enumeration (CWE) zu den größten Bedrohungen.

• Elektronikhersteller, Landwirtschaft und Bergbau geraten zunehmend ins Visier von Malware-Angriffen; in diesen Industriesektoren liegt die Angriffsrate rund sechsmal über dem Durchschnitt.

Cyberkriminelle missbrauchen vertrauenswürdige Anwendungen, um Lücken im Perimeterschutz auszunutzen.

• Das Spam-Aufkommen insgesamt ist weiterhin rückläufig, der Anteil böswilliger Spam-Nachrichten bleibt jedoch konstant.

• 91 Prozent aller Web-Exploits entfallen auf Java. Etwa 76 Prozent der Unternehmen, die Services von Cisco Web Security in Anspruch nehmen, nutzen Java 6 – eine eingestellte Version, für die kein Support mehr bereitgestellt wird.

• Sogenannte „Watering Hole“-Angriffe nehmen zur Verbreitung von Malware spezielle branchenbezogene Websites ins Visier.

Die Untersuchung verschiedener multinationaler Unternehmen führte interne Kompromittierungen zutage. Die Netzwerke dieser Unternehmen generieren verdächtigen Datenverkehr, der versucht, eine Verbindung mit schädlichen Websites herzustellen.

• Derartige Kompromittierungen legen nahe, dass Netzwerkeingriffe auch über längere Zeiträume unerkannt bleiben.

• Die Zahl der Bedrohungsmeldungen nahm gegenüber dem Vorjahr um 14 Prozent zu, wobei die Anzahl neuer (nicht aktualisierter) Meldungen stieg.

• 99 Prozent aller mobilen Schadprogramme waren 2013 auf Android-Geräte zugeschnitten. In 71 Prozent der Fälle wurden Android-Smartphones und -Tablets über das Web mit Malware infiziert.

Page 4: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

4 Cisco 2014 Annual Security Report

Inhalt des Reports Der Cisco 2014 Annual Security Report stellt neue Erkenntnisse zum Thema Sicherheit in vier zentralen Bereichen vor:

Vertrauen

Für Unternehmen steht viel auf dem Spiel. Daher gilt es, das richtige Gleichgewicht zwischen Vertrauen, Transparenz und Datenschutz zu finden. Für Sicherheitsexperten wird dies aufgrund der folgenden Entwicklungen zunehmend zur Herausforderung:

•wachsende Angriffsflächen

•immer vielfältigere und ausgereiftere Angriffsmodelle

•zunehmende Komplexität von Bedrohungen und Lösungen

Bedrohungsinformationen

Cisco und Sourcefire haben die Ergebnisse des vergangenen Jahres anhand umfangreicher Telemetriedaten zu erkannten Bedrohungen gemeinsam analysiert und zusammengestellt:

•Angriffe richten sich zunehmend gegen Internet-Infrastrukturen.

•Cyberkriminelle missbrauchen vertrauenswürdige Anwendungen, um Lücken im Perimeterschutz auszunutzen.

•Diese Kompromittierungen legen nahe, dass Netzwerkeingriffe über längere Zeiträume unerkannt bleiben.

Page 5: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

5 Cisco 2014 Annual Security Report

Branche

Von Brute-Force-Angriffen über groß angelegte DDoS-Attacken und die Einschleusung von Ransomware, bis hin zur wachsenden Abhängigkeit von der Cloud und dem Mangel an IT-Sicherheitsexperten – die Ermittler der Cisco Security Intelligence Operations (SIO) erörtern in diesem Abschnitt relevante Branchentrends, die über die Telemetriedaten von Cisco hinausgehen.

Empfehlungen

Unternehmen sehen sich mit wachsenden Angriffsflächen, immer vielfältigeren und ausgereifteren Angriffsmodellen sowie zunehmend komplexen Netzwerken konfrontiert. Dabei gelingt es in vielen Fällen nur bedingt, ein effektives Sicherheitskonzept umzusetzen, das neue Technologien nutzt, sowohl Architektur als auch Betrieb vereinfacht und Sicherheitsteams umfassend unterstützt.

In diesem Abschnitt wird erläutert, wie Teams mithilfe eines auf die Abwehr von Bedrohungen zugeschnittenen Sicherheitsmodells jederzeit auf das gesamte Angriffskontinuum und alle Angriffsvektoren reagieren können – vor, während und nach einem Angriff.

Page 6: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

6 Cisco 2014 Annual Security Report

Bewertung der Bedrohungslandschaft durch Cisco

Angesichts der hohen Verbreitung unserer Lösungen und des Umfangs unserer sicherheitsrelevanten Erkenntnisse spielt Cisco in der Bewertung von Bedrohungen eine entscheidende Rolle:

• 16 Milliarden Webanfragen werden täglich durch Cisco Cloud Web Security geprüft.

• 93 Milliarden E-Mails werden täglich durch die gehostete E-Mail-Lösung von Cisco geprüft.

• 200.000 IP-Adressen werden täglich ausgewertet.

• 400.000 Malware-Samples werden täglich ausgewertet.

• 33 Millionen Dateien auf Endgeräten werden täglich durch FireAMP ausgewertet.

• 28 Millionen Netzwerkverbindungen werden täglich durch FireAMP ausgewertet.

Mithilfe dieser Maßnahmen konnte Cisco folgende Bedrohungen erfassen bzw. ausschalten:

• 4,5 Milliarden E-Mails werden täglich blockiert.

• 80 Millionen Webanfragen werden täglich blockiert.

• 6.450 bedrohliche Dateien auf Endgeräten werden täglich in FireAMP erkannt.

• 3.186 potenziell bedrohliche Endpunkt-Netzwerke werden täglich in FireAMP erkannt.

• 50.000 unbefugte Netzwerkzugriffe werden täglich erkannt.

Page 7: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

7 Cisco 2014 Annual Security Report

InhaltVertrauen .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

Neue Geschäftsmodelle, neue Sicherheitslücken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Der Verlust von Vertrauen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Die größten Sicherheitsherausforderungen 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Vertrauenswürdige, transparente Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

Bedrohungsinformationen .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Immer mehr Bedrohungen gemeldet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Spam-Aufkommen sinkt, Bedrohung bleibt bestehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24Web-Exploits: Java an der Spitze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28BYOD und Mobilität: Geräteentwicklung fördert Cyberkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Gezielte Angriffe: ungebetene „Gäste“ vor die Tür setzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Malware-Trends 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Vorrangiges Ziel: Schlüsselindustrien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Erste Risse in einem fragilen Ökosystem .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Schädlicher Datenverkehr – häufig Anzeichen gezielter Angriffe – in allen Unternehmensnetzwerken entdeckt . . 48

Branche .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Brute-Force-Angriffe: bevorzugte Taktik zur Kompromittierung von Websites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53DDoS-Angriffe sind zurück . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55DarkSeoul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Mangel an Sicherheitsexperten und wirksamen Lösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Die Cloud als neues Perimerter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61

Empfehlungen .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Ziele für 2014: Vertrauenswürdigkeit prüfen, Transparenz verbessern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Anhang .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Sicherheitsteams benötigen Datenexperten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Über die Cisco SIO .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Cisco SIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78

Hinweise zu diesem Dokument Die Inhalte dieses Dokuments können durchsucht und in einigen Fällen geteilt werden.

Über dieses Symbol können Sie die Suchfunktion in Adobe Acrobat nutzen.

Empfohlene Software Adobe Acrobat 7.0 oder höher

Über diese Symbole können Sie Inhalte teilen.[ ]

Page 8: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

8 Cisco 2014 Annual Security Report

VertrauenFür Unternehmen steht viel auf dem Spiel. Daher gilt es, das richtige Gleichgewicht zwischen Vertrauen, Transparenz und Datenschutz zu finden.

Page 9: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

9 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

Neue Geschäftsmodelle, neue SicherheitslückenSchwachstellen in der Technologielieferkette sind nur ein Aspekt in der komplexen Landschaft von Cyberbedrohungen und -risiken.

Eine nicht minder wichtige Rolle spielt die Entstehung der Any-to-Any-Infrastruktur, in der Geräte an beliebigen Standorten an beliebigen Stellen mit dem Netzwerk verbunden werden.1 Hinzu kommen immer mehr internetfähige Geräte wie Smartphones und Tablets mit Anwendungen, die wahlweise in einer Public Software-as-a-Service (SaaS) Cloud, einer Private oder einer Hybrid Cloud ausgeführt werden.2 Selbst grundlegende Internet-Infrastrukturservices sind mittlerweile zu einem Ziel von Hackern geworden, die sich die Reputation, Bandbreite und stetige Verfügbarkeit von Webhosting-Servern, Namenservern und Rechenzentren für immer größer angelegte Angriffe zunutze machen. (Siehe auch „Erste Risse in einem fragilen Ökosystem“ auf Seite 43.)

Trends wie Cloud Computing und Mobilität reduzieren die Transparenz und steigern die Komplexität im Bereich der Sicherheit. Unternehmen müssen sich dennoch damit auseinandersetzen, um ihren Wettbewerbsvorsprung und geschäftlichen Erfolg zu sichern. Gleichzeitig treten immer wieder neue und größere Sicherheitslücken auf, während Sicherheitsteams versuchen, herkömmliche Lösungen an neue und dynamische Geschäftsmodelle anzupassen. Cyberkriminelle nutzen derweil immer mehr Lücken aus, die mit nicht integrierten Punktlösungen nicht geschlossen werden können. Da sie über die nötigen Ressourcen für eine flexible Vorgehensweise verfügen, ist ihnen der Erfolg gewiss.

Die Netzwerke von Cyberkriminellen gewinnen zusehends an Größe und Stärke und funktionieren immer mehr wie legitime, moderne geschäftliche Netzwerke. Die Hierarchie der Cyberkriminalität ist heute wie eine Pyramide aufgebaut (siehe Abbildung 1). Den Bodensatz bilden Opportunisten ohne technischen Hintergrund und Nutzer von Crimeware-as-a-Service, die sich finanziell bereichern, ein Statement abgeben oder sogar beides gleichzeitig versuchen möchten. In der Mitte folgen Reseller und Verwalter von Infrastrukturen, die als „Mittelsmänner“ agieren. Die Spitze in der Hierarchie nehmen technologische Innovatoren ein – das sind zentrale Akteure, die zwar ganz oben auf den Fahndungslisten der Behörden stehen, meist jedoch ungeschoren davonkommen.

Die grundlegende Internet-Infrastruktur ist heutzutage das Ziel von

Hackern.

[

]

Page 10: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

10 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

Cyberkriminelle verfolgen heutzutage in der Regel klare wirtschaftliche Ziele. Sie wissen, nach welchen Informationen sie suchen oder welche Ergebnisse sie erreichen müssen – und sie wissen auch wie. So wenden sie viel Zeit dafür auf, Informationen über ihre Ziele einzuholen – oftmals sogar mithilfe sozialer Netzwerke – und ihre Angriffe strategisch zu planen.

Zahlreiche Akteure in der sogenannten Schattenwirtschaft setzen heutzutage außerdem Überwachungs-Malware ein, um Informationen über eine Umgebung zu sammeln und so herauszufinden, auf welche Sicherheitstechnologien sie sich bei ihren Angriffen vorbereiten müssen. Mithilfe derartiger Aufklärungsmissionen vergewissern sich einige Malware-Autoren, dass ihr Programm funktioniert. Einmal in ein Netzwerk eingeschleust kann diese Malware mit Command-and-Control-Servern kommunizieren und sich in der gesamten Infrastruktur ausbreiten, um ihre Mission zu erfüllen – wichtige Daten zu entwenden oder kritische Systeme zu beeinträchtigen.

ABBILDUNG 1

Die Hierarchie der Cyberkriminalität

TechnischeInnovatoren

Reseller/Infrastruktur-Verwalter

Opportunisten ohne technischen Hintergrund/Nutzer von Crimeware-as-a-Service

[

]

Page 11: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

11 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

Der Verlust von VertrauenAngriffe, die das Vertrauen von Nutzern in Systeme, Anwendungen, Menschen und Unternehmen ausnutzen, sind zu einer festen Größe in der Welt des Internets geworden.

Im Kern geht es fast immer um eine Form des Vertrauensmissbrauchs: Malware wird unbescholtenen Nutzern untergeschoben, die gewöhnliche Websites besuchen. Spam-E-Mails stammen dem Anschein nach von namhaften Unternehmen, enthalten jedoch Links zu schädlichen Websites. Mit Malware verseuchte Apps von Drittanbietern werden in gängigen Stores zum Download angeboten. Mitarbeiter nutzen ihre Zugriffsberechtigungen, um geistiges Eigentum von ihren Arbeitgebern zu stehlen.

Benutzer sollten deshalb generell davon ausgehen, dass sie der heutigen Cyberwelt kein Vertrauen schenken können. Sicherheitsexperten können ihren Unternehmen einen guten Dienst leisten, indem sie nicht jeden beliebigen Datenverkehr im Netzwerk genehmigen3 und den Sicherheitsvorkehrungen der Anbieter oder Lieferketten, von denen die Technologien im Unternehmen stammen, nicht blind vertrauen. Gleichzeitig möchten Unternehmen und Organisationen im öffentlichen und privaten Sektor, einzelne Benutzer und sogar ganze Staaten grundlegenden Technologien, auf die sie täglich angewiesen sind, auch vertrauen können.

Die Forderung nach vertrauenswürdigen Sicherheitsmechanismen trug maßgeblich zur Weiterentwicklung der „Common Criteria for Information Technology Security Evaluation“ bei. Als internationaler Standard ermöglichen es diese „Common Criteria“ Regierungsbehörden und anderen Gruppen, bestimmte Anforderungen für Technologien festzulegen und so deren Sicherheit und Vertrauenswürdigkeit zu garantieren. Aktuell haben 26 Länder, darunter auch Deutschland, das Common Criteria Recognition Arrangement unterzeichnet, ein multilaterales Übereinkommen, das die gegenseitige Anerkennung geprüfter Produkte durch die teilnehmenden Regierungen gewährleistet.

Indes kam es 2013 weltweit zu einem allgemeinen, schwerwiegenden Vertrauensverlust. Der Auslöser: Edward Snowden. Der bis dato für die US- Regierung tätige Systemadministrator übermittelte der britischen Tageszeitung The Guardian vertrauliche Informationen, an die er durch seine Arbeit im Auftrag der National Security Agency (NSA) gelangte.4

Benutzer sollten generell davon ausgehen,

dass sie der heutigen Cyberwelt kein Vertrauen

schenken können.

Page 12: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

12 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

So legte Snowden gegenüber Medien Einzelheiten über PRISM5 offen, ein Programm der NSA zur elektronischen Überwachung und Erfassung von Daten. Außerdem berichtete er über ein gemeinsames Programm der NSA und des britischen Geheimdienstes GCHQ6 namens MUSCULAR, mit dem angeblich der über Glasfasernetze laufende Datenverkehr zwischen den ausländischen Rechenzentren großer Internetunternehmen abgehört wurde.7

Diese und andere Enthüllungen Snowdens bezüglich der Überwachungstätigkeiten von Regierungen haben das Vertrauen auf unterschiedlichsten Ebenen geschädigt: zwischen einzelnen Staaten, zwischen Regierungen und dem privaten Sektor, zwischen Bürgern und ihren Regierungen sowie zwischen Bürgern und Organisationen im öffentlichen und privaten Sektor. Ferner riefen sie Bedenken hervor, was unbeabsichtigte Schwachstellen und absichtlich eingebaute Hintertüren in Technologieprodukten betrifft. Nicht zuletzt wurde in diesem Zusammenhang die Frage laut, ob Hersteller sich ausreichend bemühen, derartige Schwachstellen zu verhindern und Benutzer zu schützen.

Die größten Sicherheitsherausforderungen 2014Angesichts der Zweifel an der Vertrauenswürdigkeit von Systemen und Beziehungen ergeben sich für Unternehmen verschiedene zentrale Herausforderungen im Bezug auf das Thema Sicherheit:

1 | Wachsende Angriffsflächen2 | Immer vielfältigere und ausgereiftere Angriffsmodelle3 | Zunehmende Komplexität von Bedrohungen und Lösungen

Diese Trends schaffen und verschärfen Sicherheitslücken, über die Cyberkriminelle ihre Angriffe so schnell durchführen, dass Unternehmen nur hilflos zusehen können.

Diese Bedrohungen und Risiken werden auf den folgenden Seiten näher beleuchtet.

[

]

Page 13: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

13 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

1 |Wachsende Angriffsflächen

Cyberkriminelle finden heutzutage unzählige Möglichkeiten, wie sie große und anfällige Netzwerke aushebeln können. Mit dem ununterbrochenen Wachstum bei Endgeräten, Zugängen und Daten, die nicht von Unternehmen kontrolliert werden, geht auch weiterhin ein exponentieller Anstieg der Angriffsfläche einher.

In den meisten Fällen haben die Angreifer es auf Daten abgesehen, da diese sich leicht zu Geld machen lassen. Egal, ob es sich um geistiges Eigentum eines Großunternehmens oder um gesundheitsrelevante Daten von Einzelpersonen handelt: Haben Daten einen „Marktwert“, sind sie automatisch gefährdet. Ist der Wert der Daten dann auch noch höher als das Risiko, das Cyberkriminelle mit dem Diebstahl eingehen, werden sie gehackt. Selbst kleinste Unternehmen sind der Gefahr eines solchen Hackerangriffs ausgesetzt. Und wie Analysen von Cisco zeigen, wurden die meisten großen wie kleinen Unternehmen bereits ohne ihr Wissen kompromittiert. So wurden in allen von Cisco untersuchten Unternehmensnetzwerken Daten auf Websites übertragen, die mit Malware infiziert sind.

ABBILDUNG 2

Der Aufbau moderner Bedrohungen

Internet- und Cloud-Anwendungen

Ö�entliches Netzwerk

Campus

Perimeter

Unternehmen

Rechenzentrum

Beginn der Infektion außerhalb des Unternehmens

Hochentwickelte Malware umgeht Perimeterschutz

Malware verbreitet sich und versucht, wertvolle Daten zu stehlen

Page 14: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

14 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

Der in Abbildung 2 dargestellte Aufbau moderner Bedrohungen veranschaulicht, wie Cyberkriminelle ins Rechenzentrum gelangen, um dort wichtige Daten zu erbeuten. In diesem Beispiel wird zunächst schädliche Software auf ein Gerät außerhalb des Unternehmensnetzwerks eingeschleust. Diese Infektion wird auf das Campus-Netzwerk übertragen. Dieses dient wiederum als Sprungbrett ins Unternehmensnetzwerk, von wo aus Angreifer das Rechenzentrum erreichen können.

Angesichts der immer größer werdenden Angriffsfläche und der Bedrohung durch zahllose Hacker empfehlen Sicherheitsexperten von Cisco in diesem Jahr, folgende Fragen zu beantworten: „Wo sind die wichtigsten Daten gespeichert?“ und „Wie können wir eine sichere Umgebung zum Schutz dieser Daten schaffen, insbesondere, wenn wir aufgrund von Trends wie Cloud Computing und Mobilität nur wenig Kontrolle über sie haben?“

2 |Immer vielfältigere und ausgereiftere Angriffsmodelle

Die Bedrohungslandschaft hat sich in den letzten zehn Jahren drastisch verändert. An die Stelle einzelner Hacker, die mit einfachen Angriffen überschaubare Schäden verursachten, sind finanzkräftige Banden von Cyberkriminellen getreten, die Unternehmen mit hochentwickelten Angriffsmethoden erhebliche Schäden zufügen können.

So sind vor allem Unternehmen in den Fokus zielgerichteter Angriffe gerückt. Diese lassen sich nur schwer entdecken, richten ihr Unheil in Netzwerken über längere Zeit an und nutzen Netzwerkressourcen für Angriffe auf weitere Ziele.

Um gegen Angriffe jeglicher Art gewappnet zu sein, müssen Unternehmen verschiedenste Angriffsmöglichkeiten mit Lösungen unterbinden, die überall dort eingesetzt werden können, wo Bedrohungen sich manifestieren können: im Netzwerk, auf Endpunkten und Mobilgeräten sowie in virtuellen Umgebungen.

„Wo werden unsere wichtigsten Daten gespeichert?“ und „Wie können wir sichere Umgebungen erstellen, die unsere Daten schützen – vor allem, wenn neue Unternehmensmodelle, wie Cloud Computing und Mobilität, uns nur wenig Kontrolle über diese lassen?“Cisco Sicherheitsexperten

Das Ziel vieler Angriffe von

Cyberkriminellen ist es, in das Rechenzentrum

zu gelangen und wertvolle Daten auszuschleusen.

Page 15: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

15 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

3 |Zunehmende Komplexität von Bedrohungen und Lösungen

Die Zeiten, in denen Spam-Blocker und Antivirensoftware ein effektiver Schutz vor den meisten Bedrohungen waren, sind längst vorbei. Netzwerke gehen heute über ihre einstigen Grenzen hinaus und bringen im Zuge ihrer stetigen Weiterentwicklung immer neue Angriffsvektoren hervor: Mobilgeräte, Web- und Mobilanwendungen, Hypervisoren, Social Media, Webbrowser, private PCs und sogar Fahrzeuge. Point-in-Time-Lösungen ermöglichen keine effektive Reaktion auf die unzähligen Technologien und Strategien, die Cyberkriminelle nutzen. Die Überwachung und das Management der Informationssicherheit werden damit umso schwieriger.

Die Zahl der Schwachstellen in Unternehmen nimmt unterdessen unweigerlich zu, da verteilte Punktlösungen und unterschiedliche Managementplattformen eingesetzt werden. Das Ergebnis sind heterogene Technologien an Kontrollpunkten, die nicht für den gemeinsamen Einsatz entwickelt wurden. In der Folge steigt das Risiko des Verlusts von Kundendaten, geistigem Eigentum und weiteren vertraulichen Informationen, sodass letztlich der Ruf eines Unternehmens auf dem Spiel steht.

Aus diesen Gründen bedarf es einer ganzheitlichen Lösung, die in der Lage ist, die Herausforderungen der heutigen komplexen Bedrohungslandschaft zu bewältigen. Denn Angriffe beschränken sich heute nicht auf bestimmte Zeitpunkte, sondern werden dauerhaft durchgeführt. Das Gleiche sollte für die Abwehrmaßnahmen eines Unternehmens gelten.

Da Bedrohungen und entsprechende Lösungen komplexer sind als je zuvor, müssen Unternehmen ihre Sicherheitsstrategie überdenken. Statt auf Punktlösungen zu setzen, können sie die Komplexität verringern, indem sie Sicherheitsfunktionen fortlaufend selbst in das Netzwerk integrieren, und das mit folgenden Ergebnissen:

•Kontinuierliche Überwachung und Analyse von Dateien sowie frühzeitige Erkennung bösartigen Verhaltens.

•Unterstützung bei der Skalierung der Richtliniendurchsetzung für mehr Transparenz und Sicherheit im Hinblick auf die steigende Anzahl von Netzwerkgeräten.

•Schnellere Erkennung von Bedrohungen durch gesteigerte Transparenz des Datenverkehrs.

•Möglichkeit zur Aggregation einzigartiger Kontextsensitivität, die sich mit sicherheitsspezifischen Geräten allein nicht erreichen lässt.

Point-in-Time- Lösungen ermöglichen keine effektive Reaktion

auf die unzähligen Technologien und

Strategien, die Cyberkriminelle

nutzen.

Page 16: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

16 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

Im Zuge der steigenden Nutzung von Mobility- und Cloud-Services entstehen Sicherheitsrisiken durch End- und Mobilgeräte, die möglicherweise nicht einmal mit dem Unternehmensnetzwerk in Berührung kommen. Denn ein Sicherheitsrisiko ist bereits gegeben, wenn Mobilgeräte für den Zugriff auf Unternehmensdaten in Public Clouds verwendet werden. Die Geräte greifen auf Cloud-Services und Systeme von Drittanbietern zu, deren Sicherheitseinrichtungen womöglich unbekannt sind und außerhalb der Kontrolle des Unternehmens liegen. Weiter gesteigert wird das Risiko durch das rasante Wachstum bei mobiler Malware. Und aufgrund mangelnder Transparenz sind die meisten IT-Sicherheitsteams auch nicht in der Lage, mögliche Bedrohungen zu identifizieren, die von Mobilgeräten ausgehen.

Fortschrittliche Ansätze, die ganzheitliche Lösungen beinhalten, werden künftig bei der Erkennung hochentwickelter Malware eine größere Rolle spielen. So werden Big Data-Analysen eingesetzt, die Daten und Ereignisse im erweiterten Netzwerk aggregieren, um selbst dann höhere Transparenz zu bieten, wenn eine Datei bereits ins Netzwerk gelangt ist oder zwischen Endgeräten übertragen wurde. Diese Methode unterscheidet sich klar von punktuellen Sicherheitslösungen auf Endpunkten, die Dateien zu einem Anfangszeitpunkt auf Malware prüfen. Hochentwickelte Schadprogramme können diesen Scan umgehen. So setzen sie sich im Handumdrehen auf Endpunkten fest und verbreiten sich über Netzwerke weiter.

Vertrauenswürdige, transparente SystemeTrotz immer größerer Angriffsflächen, vielfältiger und ausgereifter Angriffsmodelle sowie komplexer Bedrohungen und Lösungen müssen wir Systemen und Informationen vertrauen können. Und zwar unabhängig davon, wie wir auf vernetzte Services zugreifen.

Die Aufgabe, eine wirklich sichere Netzwerkumgebung für Regierungsbehörden und Unternehmen zu schaffen, wird umso komplexer, je mehr in Lösungen für Mobilität, Zusammenarbeit, Cloud Computing und andere Formen der Virtualisierung investiert wird.

Werden mobile Geräte zum Zugriff auf

Unternehmensressourcen genutzt, stellt dies ein Sicherheitsrisiko dar.

Page 17: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

17 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

Zwar können mit ihrer Hilfe die Ausfallsicherheit verbessert, die Effizienz gesteigert und Kosten gesenkt werden, doch entstehen durch sie auch neue Risiken. Die zunehmende Fälschung und Manipulation von IT-Produkten belegt zudem, dass die Sicherheit schon bei der Geräteherstellung gefährdet ist. So verwundert es kaum, dass Cybersicherheit und damit verbundene Vertrauensfragen für die meisten Führungskräfte derzeit zu den wichtigsten Themen zählen. Für Sicherheitsexperten wiederum ergibt sich die Frage, was sie angesichts einer bevorstehenden Kompromittierung anders machen würden.

Cyberkriminelle suchen gezielt nach Schwachstellen in der Technologielieferkette, um diese auszunutzen. Sicherheitslücken und absichtlich eingebaute Hintertüren in IT-Produkten bieten ihnen unter Umständen uneingeschränkten Zugang zu den Ressourcen eines Unternehmens. Solche Hintertüren stellen schon seit Langem ein Sicherheitsproblem dar und geben Anlass zur Sorge, da sie betrügerische oder kriminelle Aktivitäten ermöglichen.

Zur Entwicklung vertrauenswürdiger Systeme ist es unerlässlich, Sicherheitsfunktionen vom Anfang bis zum Ende eines Produktlebenszyklus von Grund auf eng zu integrieren. Der Cisco Secure Development Lifecycle (CSDL)8 beschreibt hierzu eine reproduzierbare und messbare Methode, um bereits bei der Planung eines Produkts Sicherheitsmechanismen zu integrieren, Schwachstellen im Zuge der Entwicklung zu minimieren und die Widerstandsfähigkeit des Produkts bei einem Angriff zu erhöhen.

Vertrauenswürdige Systeme sind entscheidend bei der effektiven Erkennung und frühzeitigen Abwehr neuer Bedrohungen. Solche Infrastrukturen schützen nicht nur vertrauliche Informationen, sondern stellen vor allem auch die Verfügbarkeit wichtiger Services sicher. Mit vertrauenswürdigen Produkten von zuverlässigen Anbietern können Benutzer Kosten und Imageschäden, die mit dem Missbrauch oder Verlust von Daten oder dem Ausfall eines Services einhergehen, minimieren.

Vertrauenswürdige Systeme sind jedoch keinesfalls mit einer Immunität gegen externe Angriffe gleichzusetzen. IT-Kunden und -Nutzer müssen selbst dazu beitragen, dass ihre vertrauenswürdigen Systeme Angriffe effektiv abwehren können. Dazu müssen sicherheitsrelevante Updates und Patches rechtzeitig installiert, ungewöhnliches Systemverhalten aufmerksam beobachtet und im Falle eines Angriffs wirksame Gegenmaßnahmen eingeleitet werden.

Cyberkriminelle suchen gezielt nach

Schwachstellen in der Technologielieferkette, um diese auszunutzen.

Page 18: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

18 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

Die technologische Entwicklung steht niemals still – Angreifer ebenso wenig. Die Vertrauenswürdigkeit eines Systems muss daher über den gesamten Lebenszyklus eines Netzwerks gewährleistet sein, angefangen bei den ersten Entwürfen über Herstellung, Systemintegration, täglichen Betrieb, Wartung und Updates bis hin zur Außerbetriebnahme der Lösung.

Vertrauenswürdige Systeme umfassen dabei über das unternehmenseigene Netzwerk hinaus auch jene Netzwerke, mit denen die Ressourcen des Unternehmens verbunden sind. In diesem Zusammenhang konnten die Teams von Cisco Security Research and Operations im Laufe des vergangenen Jahres ein verstärktes Aufkommen von „Pivoting“ beobachten. Bei dieser Methode nutzen Cyberkriminelle im Angriffsmanöver eine Hintertür, Schwachstelle oder einfach das Vertrauen von Benutzern oder Unternehmen aus, um eine Plattform für komplexere Angriffe auf weitaus größere Ziele zu erhalten – wie etwa das Netzwerk eines wichtigen Energieversorgers oder das Rechenzentrum eines Finanzinstituts. Grundlage eines Pivoting-Angriffs ist häufig das zwischen zwei Organisationen herrschende Vertrauen: Hacker verschaffen sich zunächst Zugang zum Netzwerk eines Unternehmens, um von dort aus anschließend in das Netzwerk eines nichts ahnenden Geschäftspartners oder einer Regierungsbehörde einzudringen.

Angesichts derartiger Sicherheitsbedrohungen ist entsprechende Wachsamkeit geboten. Sicherheitsmaßnahmen müssen in sämtlichen Phasen der IT-Umgebung eines Unternehmens angepasst werden, indem die Vertrauenswürdigkeit von Systemen anhand unabhängiger, nachweisbarer Daten und Prozesse objektiv und messbar überprüft wird. Ein dynamischer und individuell zugeschnittener Schutz mit Sicherheitskontrollen, deren Effektivität durch fortlaufende Weiterentwicklung sichergestellt wird, ist dabei besonders nachhaltig wirksam.9

Eine solche Umgebung bietet ideale Voraussetzungen für vertrauenswürdige Systeme, deren Aufbau Transparenz erfordert. „Ein vertrauenswürdiges System erfordert

Die wichtigsten Bedenken für 2014 heutiger CISOsWährend sich CISOs (Chief Information Security Officers) ein Bild von der heutigen Bedrohungslandschaft machen, stehen sie immer mehr unter dem Druck, Terabytes an Daten zu schützen, strenge Compliance-Richtlinien einzuhalten und die Risiken der Zusammenarbeit mit Drittanbietern zu bewerten – und all das mit immer weiter gekürzten Budgets und kleineren IT-Teams. CISOs übernehmen heutzutage mehr Aufgaben als je zuvor und sind für die Abwehr hochentwickelter und komplexer Bedrohungen verantwortlich. Die Hauptsicherheitsanalysten der Cisco Security-Services, die CISOs hinsichtlich der Sicherheitsansätze für ihr Unternehmen beraten, haben eine Liste der wichtigsten Bedenken und Herausforderungen für 2014 erstellt:

Compliance-Management

Die oberste Priorität von CISOs hat heute wohl der Schutz von Daten, die in einem immer poröseren Netzwerk gespeichert werden. Außerdem müssen sie wertvolle Ressourcen für die Einhaltung der Compliance aufwenden. Compliance alleine reicht jedoch für umfassende Sicherheit nicht aus. Sie ist lediglich eine minimale Grundlage für die Anforderungen einer speziell regulierten Umgebung. Bei Sicherheit wiederum handelt es sich um einen umfassenderen Ansatz, der alle geschäftlichen Aktivitäten mit einschließt.

Fortsetzung auf der nächsten Seite

Page 19: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

19 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Vertrauen

eine solide Grundlage. Dazu zählen die Methoden in der Produktentwicklung, eine vertrauenswürdige Lieferkette und ein Architekturansatz, der Netzwerkdesign, -implementierung und -richtlinien umfasst“, so John N. Stewart, Senior Vice President und Chief Security Officer bei Cisco. „Am wichtigsten ist jedoch die Transparenz seitens des Herstellers.“

Zwar geht mehr Transparenz mit Zugeständnissen beim Datenschutz einher. Doch in Zusammenarbeit mit dem Hersteller lässt sich hier das richtige Gleichgewicht finden, das letztlich zusätzliche Möglichkeiten eröffnet, Bedrohungsinformationen und Best Practices in Sachen Sicherheit zu koordinieren. Für Unternehmen steht viel auf dem Spiel. Daher gilt es, das richtige Gleichgewicht zwischen Vertrauen, Transparenz und Datenschutz zu finden.

Auf lange Sicht wird sich die Cybersicherheit für alle Nutzer verbessern und das Potenzial der Internet of Everything10 Economy kann realisiert werden. Die Erfüllung dieser Ziele ist jedoch von effektiven Datenschutzrichtlinien und zuverlässigen Schutzmechanismen für Netzwerke abhängig, die Sicherheitsfunktionen intelligent auf Endpunkte und das Netzwerk verteilen. Kurzfristig betrachtet muss jedes moderne Unternehmen die besten zur Verfügung stehenden Methoden und Informationen nutzen. Nur so kann es wertvolle Ressourcen schützen und dafür sorgen, dass es nicht auf direktem Wege zu weiteren Cyberbedrohungen beiträgt.

Unternehmen müssen heutzutage die möglichen Auswirkungen ihrer Sicherheitsvorkehrungen auf die zunehmend komplexe und vernetzte Netzwerkumgebung bedenken. Eine zu enge Betrachtungsweise, die die größeren Zusammenhänge außer Acht lässt, kann die Reputationsbewertung eines Unternehmens verschlechtern. Die Folge: Anbieter von Sicherheitslösungen verbieten Benutzern den Zugriff auf die Website des Unternehmens. Den Eintrag in einer Blacklist und den damit verbundenen Vertrauensverlust können Unternehmen nur schwer wieder gutmachen – einigen gelingt es nie.

Weitere Informationen zu vertrauenswürdigen Systemen von Cisco finden Sie unter www.cisco.com/go/trustworthy.

Vertrauen in die Cloud

CISOs müssen entscheiden, wie sie Daten trotz eingeschränkter Budgets und begrenzter Zeitvorgaben sicher verwalten können. So ist die Cloud zu einer kosteneffizienten und flexiblen Lösung für das Management wachsender Datenmengen geworden. Bei CISOs löst sie jedoch zusätzliche Bedenken aus. CEOs (Chief Executive Officers) und Vorstände sehen das Cloud Computing als eine Art Patentrezept, das kostspielige Hardware unnötig macht. Sie wollen von den Vorteilen der Cloud profitieren und erwarten von den CISOs eine schnelle und sichere Umsetzung.

Vertrauen in Anbieter

Unternehmen bauen neben der Cloud auch auf Anbieter, die ihnen spezielle Lösungen bereitstellen. Kostentechnisch macht eine Zusammenarbeit mit Drittanbietern durchaus Sinn. Gleichzeitig sind diese Anbieter jedoch attraktive Ziele für Cyberkriminelle, die wissen, dass die Sicherheitsmaßnahmen von Drittanbietern unter Umständen nicht besonders effektiv sind.

Behebung von Sicherheitslücken

Unternehmen sollten generell davon ausgehen, dass Ihre Datenbanken schon einmal gehackt wurden oder sich zumindest bewusst machen, dass es nur eine Frage der Zeit ist, bis sie einem Angriff zum Opfer fallen. Kürzlich verübte Angriffe wie die Operation „Night Dragon“, die RSA-Sicherheitslücke und der Shamoon-Angriff gegen einen großen Öl- und Gaskonzern im Jahr 2012 spuken vielen CISOs auch heute noch im Kopf herum. (Siehe Studie von Cisco zur Verbreitung schädlicher Aktivitäten in Unternehmensnetzwerken auf Seite 48.)

Fortsetzung von vorheriger Seite

[

]

Page 20: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

20 Cisco 2014 Annual Security Report

Bedrohungs- informationenCisco und Sourcefire haben die Ergebnisse des vergangenen Jahres anhand umfangreicher Telemetriedaten zu erkannten Bedrohungen gemeinsam analysiert und zusammengestellt.

Page 21: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

21 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Immer mehr Bedrohungen gemeldetZahl der von Cisco IntelliShield® gemeldeten Schwachstellen und Bedrohungen steigt stetig: Jahresgesamtzahl der Warnmeldungen liegt im Oktober 2013 um 14 Prozent höher als im Oktober 2012 (Abbildung 3).

Warnmeldungen erreichten im Oktober 2013 ihren höchsten Stand seit Beginn der Aufzeichnung durch IntelliShield im Mai 2000.

Bemerkenswert ist auch, dass IntelliShield deutlich mehr neue als aktualisierte Warnmeldungen ermittelt hat (Abbildung 4). Technologieanbieter und Forscher haben eine wachsende Zahl neuer Schwachstellen festgestellt (Abbildung 5). Dies ist allerdings auf den verstärkten Einsatz von hochsicheren Entwicklungslebenszyklen sowie auf Verbesserungen bezüglich der eigenen Produktsicherheit zurückzuführen. Die größere Zahl neuer Schwachstellen kann auch ein Zeichen dafür sein, dass Anbieter noch vor Veröffentlichung neuer Produkte den Produktcode eingehend auf mögliche Schwachstellen untersuchen und diese beseitigen.

ABBILDUNG 3

Gesamtzahl der Meldungen 2010–2013

0Jan. Dez.Nov.Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

1000

2000

3000

4000

5000

6000

7000

Monat

2013

2012

2011

2010

Page 22: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

22 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 4

Neue und aktualisierte Meldungen 2013

Jan. Nov.Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

NeueBedrohungs-meldung

AktualisierteMeldung

Monat

224

303

386

212

333

281

387

256

221

32436

629

1

293

391

215

286

278

437

320

517

0

400

200

800

600

1000

211

347

Durch mehr Sicherheit bei der Softwareentwicklung können Anbieter das Vertrauen in ihre Lösungen erhöhen. Ein sicherer Entwicklungslebenszyklus verringert nicht nur das Risiko von Schwachstellen und ermöglicht das frühzeitige Erkennen potenzieller Mängel, sondern vermittelt Käufern auch, dass sie der Lösung vertrauen können.

Page 23: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

23 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 5

Von Cisco IntelliShield verfolgte allgemeine Bedrohungskategorien HINWEIS: Diese Common Weakness Enumeration-Bedrohungskategorien (CWE), gemäß Definition in der National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), entsprechen den Methoden Cyberkrimineller für Angriffe auf Netzwerke.

1

1 5

2

3

4

6

7

8

2

34

5

6

7

8

9

CWE-119: Bu�er Errors

Sonstige IntelliShield-Meldungen (Aktivität, Probleme, CRR, AMB)

CWE-399: Resource Management Errors

CWE-20: Input Validation

9

CWE: Design Error

CWE-310: Cryptographic Issues

CWE-287: Authentication Issues

CWE-352: Cross-Site Request Forgery (CSRF)

CWE-22: Path Traversal

CWE-78: OS Command Injections

CWE-89: SQL Injection

CWE-362: Race Conditions

CWE-255 Credentials Management

CWE-59: Link Following

CWE-16: Con�guration

CWE: Insu�cient Information

CWE: Sonstige

CWE-189: Numeric Errors

CWE-264: Permissions, Privileges, and Access Control

CWE-200: Information Leak/Disclosure

CWE-79: Cross-Site Scripting (XSS)

CWE-94: Code Injection

Page 24: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

24 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Spam-Aufkommen sinkt, Bedrohung bleibt bestehenDas Spam-Aufkommen war 2013 weltweit rückläufig. Auch wenn sich das Gesamtvolumen verringert hat, bleibt der Anteil an schädlichem Spam konstant.

Spammer nutzen Geschwindigkeit als Mittel, um das Vertrauen von E-Mail-Benutzern zu missbrauchen. So versenden sie große Mengen an Spam, wenn das Misstrauen bei Empfängern angesichts besonderer Ereignisse oder Nachrichten niedriger liegt.

Nach dem Attentat auf den Boston Marathon am 15. April 2013 begannen zwei groß angelegte Spam-Kampagnen: eine am 16. April, die andere am 17. April. Diese nutzen die Tatsache aus, dass E-Mail-Benutzer stark an den neuesten Informationen interessiert waren. Zuerst ermittelten Forscher von Cisco nur wenige Stunden nach dem Bombenattentat die Registrierung von Hunderten von Domänennamen rund um das Thema „Bombe“.11

Beide Spam-Kampagnen implizierten in ihren Betreffzeilen, dass sie aktuelle Nachrichten zum Attentat enthielten. Die E-Mails enthielten dann Links, die angeblich zu Videos der Bombenexplosionen oder zu Nachrichten von vertrauenswürdigen Medienquellen führten. Die Links leiteten die Empfänger auf Websites, die wiederum Links zu echten News oder Videos enthielten – aber auch Links zu bösartigen iFrames, mit denen die Computer der Besucher infiziert werden sollten. Auf dem Höhepunkt betrug der Anteil an Spam mit Bezug zum Bostoner Attentat bis zu 40 Prozent aller weltweit am 17. April 2013 gesendeten Spam-Mails.

Abbildung 6 zeigt eine der Spam-Kampagnen des Botnet, die als CNN-Meldung getarnt war.12 In Abbildung 7 ist der HTML-Quellcode für eine Spam-Mail zum Boston-Attentat aufgeführt. Der endgültige iFrame (verdeckt) führt zu einer bösartigen Website.13

Da Spam mit aktuellen Nachrichten oder Eilmeldungen besonders schnell ist, halten E-Mail-Nutzer diese Spam-Mails eher für vertrauenswürdig. Spammer nutzen den menschlichen Informationsdurst angesichts bestimmter Ereignisse schamlos aus. Spammer geben Onlinenutzern das, was diese sich wünschen. So lassen sie sich leicht dazu bewegen, z. B. auf einen infizierten Link zu klicken. Auf diese Weise wird auch verhindert, dass Benutzer die Vertrauenswürdigkeit der Nachricht infrage stellen.

Spammer nutzen den menschlichen Informationsdurst

angesichts bestimmter Ereignisse

schamlos aus.

Page 25: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

25 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 6

Spam zum Boston Marathon

ABBILDUNG 7

HTML-Quellcode für eine Spam-Mail zum Bostoner Attentat

<iframe width="640" height="360"src="https://www.youtube.com/embed/H4Mx5qbgeNo"><iframe>

<iframe width="640" height="360"src="https://www.youtube.com/embed/JVU7rQ6wUcE"><iframe>

<iframe width="640" height="360"src="https://bostonmarathonbombing.html"><iframe>

Page 26: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

26 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Spam in Zahlen

Die Daten von Cisco Threat Research Analysis and Communications (TRAC)/SIO deuten weltweit auf ein sinkendes Spam-Aufkommen hin (Abbildung 8), je nach Land variieren die Zahlen allerdings (Abbildung 9).

ABBILDUNG 8

Weltweites Spam-Aufkommen 2013Quelle: Cisco TRAC/SIO

0Jan. Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

20

40

60

80

100

120

140

160

Monat

Mrd

. pro

Tag

ABBILDUNG 9

Volumentrends 2013Quelle: Cisco TRAC/SIO

0Jan. Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

5

10

15

20

25

Monat

Volu

men

in P

roze

nt

USA

Korea, Republik

China

Italien

Spanien

Page 27: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

27 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 10

Topthemen von Spam-Mails weltweit

1.Überweisungs-/ZahlungsbenachrichtigungenBenachrichtigungen zu Einlagen, Überweisungen, Zahlungen, Rückschecks und Betrugswarnungen

2. Online-ShoppingBestell- und Auftragsbestätigungen, Angebote, Testversionen

3. Bildanhänge Schädliche angehängte Bilddateien

4. VersandbenachrichtigungenRechnungen, Benachrichtigungen über Lieferung oder Abholung, Sendungsverfolgung

5. Online-DatingPartnerbörsen

6. SteuernSteuerunterlagen, Rückzahlungen, Steuermeldungen, Forderungen, Online-Steuererklärungen

7. FacebookKontostatus, Updates, Benachrichtigungen, Sicherheitssoftware

8. Geschenkkarten oder GutscheineMitteilungen von unterschiedlichen Online-Stores (Apple auf Platz 1)

9. PayPalKontoaktualisierungen, Bestätigungen, Zahlungsau�orderungen, Zahlungsstreitigkeiten

Page 28: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

28 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Web-Exploits: Java an der SpitzeGemäß den Daten von Cisco sind von allen webbasierten Sicherheitsbedrohungen Schwachstellen in der Java-Programmiersprache weiterhin das Hauptziel von Cyberkriminellen.

Java-Exploits kommen weit häufiger vor als solche in Flash- oder Adobe PDF-Dokumenten, die ebenfalls beliebte Angriffsziele sind (Abbildung 11).

Gemäß den Daten der FireAMP-Lösung von Sourcefire (jetzt Cisco) für erweiterte Malware-Analyse und Malware-Schutz machen Java-Exploits außerdem den Großteil (91 Prozent) aller Gefährdungsindikatoren (Indicators of Compromise, IoC) aus (Abbildung 12). FireAMP ermittelt live Gefahren an Endpunkten und zeichnet den Softwaretyp auf, der die Gefahr verursacht.

ABBILDUNG 11

Bösartige Angriffe via PDF, Flash und Java 2013Quelle: Cisco Cloud Web Security-Berichte

Nov.Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

Flash

PDF

Monat

Java

Jan.0

2 %

4 %

6 %

10 %

8 %

14 %

12 %

16 %

Page 29: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

29 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Sicherheitsexperten müssen bei Bedrohungen wie Java-Exploits zwei entscheidende Fragen klären: „Wie ist die Malware in die Netzwerkumgebung gelangt?“ und „Wie kann die Infektionsgefahr minimiert werden?“ Bestimmte Aktionen sind möglicherweise nicht bedrohlich, können sich in einer Kette von Ereignissen jedoch schnell als Malware-Angriff entpuppen. Durch die Verknüpfung von Ereignissen können Daten rückwirkend analysiert und so der Weg ermittelt werden, auf dem Angreifer die Perimetersicherheit umgehen und in das Netzwerk eindringen.

Treten sie einzeln auf, können Gefährdungsindikatoren den Eindruck erwecken, als sei der Zugriff auf eine bestimmte Website sicher. So kann sowohl der Start von Java als auch das Ausführen einer Datei eine sichere Aktion darstellen. Dennoch besteht für Unternehmen Gefahr, wenn ein Benutzer eine iFrame-infizierte Website besucht, über die Java gestartet wird und anschließend eine ausführbare Datei herunterlädt, die schädigende Aktionen vornimmt.

ABBILDUNG 12

Gefahrenindikatoren nach TypQuelle: Sourcefire (FireAMP-Lösung)

3 %Microsoft Excel

1 %Microsoft PowerPoint

3 %Adobe Reader

2 %Microsoft Word

91 %Java-Kompromittierung

Page 30: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

30 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Da Java praktisch überall genutzt wird, stellt es weiterhin eines der beliebtesten Angriffsziele für Cyberkriminelle dar. So waren Java-Kompromittierungen 2013 mit Abstand die schädlichsten „Ereignisverkettungs“-Aktivitäten. Wie im Bereich „Erfahren Sie mehr über die Java-Technologie“ auf der Java-Website zu lesen ist, wird Java in den USA auf 97 Prozent aller Unternehmensdesktops und auf 89 Prozent aller Desktop-Computer ausgeführt.14

Java bietet eine derart große Angriffsfläche, dass Cyberkriminelle ihr einfach nicht widerstehen können. Sie entwickeln Lösungen, bei denen Exploits in einer bestimmten Reihenfolge genutzt werden. So gelangen sie zum Beispiel in ein Netzwerk oder stehlen Daten, indem sie die größte oder am besten bekannte Schwachstelle ausnutzen, bevor sie mit anderen Methoden fortfahren. In den meisten Fällen ist Java der Exploit, den Cyberkriminelle zuerst wählen, da dieser bei geringem Aufwand den größten Erfolg verspricht.

Reduzierung des Risikos von Java

Auch wenn Java-basierte Exploits an der Tagesordnung sind und sich Schwachstellen nur schwer beseitigen lassen, gibt es durchaus effektive Methoden, um deren Auswirkungen einzudämmen:

•Wenn Java nicht unbedingt benötigt wird, sollte es unternehmensweit in Browsern deaktiviert werden, sodass sich Exploits gar nicht erst starten lassen.

•Telemetrietools wie Cisco NetFlow, die Bestandteil zahlreicher Sicherheitslösungen sind, ermöglichen die Überwachung von Java-bezogenem Datenverkehr. Sicherheitsexperten können so ein besseres Verständnis für Bedrohungsquellen erlangen.

•Durch umfassendes Patchmanagement lassen sich zahlreiche Sicherheitslücken schließen.

•Durch Endpunktüberwachung und Analysetools, die Dateien nach deren Eintritt in das Netzwerk weiterverfolgen und analysieren, lassen sich schädigende Elemente, die zunächst als sicher eingestuft und durchgelassen wurden, nachträglich ermitteln und stoppen.

•Es kann eine Prioritätenliste der potenziell gefährdeten Geräte generiert werden, indem die Gefahrenindikatoren für den Abgleich mit der Malware-Erkennung (auch Tarnereignisse) und zur Identifizierung von Zero-Day-Infektionen ohne vorhandene Antivirus-Signaturen genutzt werden.

Auch das Aktualisieren auf die neueste Java-Version hilft bei der Reduzierung des Bedrohungspotenzials. Entsprechend den Untersuchungen von Cisco TRAC/SIO verwenden 90 Prozent der Kunden von Cisco das Java 7 Runtime Environment (die aktuelle Version). Im Hinblick auf die Sicherheit ist dies positiv zu bewerten, da diese Version einen besseren Schutz vor Bedrohungen bietet.

Page 31: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

31 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Allerdings zeigen die Untersuchungen von Cisco TRAC/SIO auch, dass 76 Prozent der Unternehmen, die Lösungen von Cisco einsetzen, neben Java 7 auch das Java 6 Runtime Environment nutzen. Java 6 ist eine ältere, bereits eingestellte Version, für die kein Support mehr angeboten wird. Unternehmen nutzen häufig beide Versionen des Java Runtime Environment, da verschiedene Anwendungen unterschiedliche Versionen zur Ausführung von Java-Code benötigen. Da also mehr als drei Viertel aller von Cisco untersuchten Unternehmen eine veraltete Lösung mit Schwachstellen verwenden, für die wahrscheinlich keine Patches mehr bereitgestellt werden, stehen Cyberkriminellen viele Möglichkeiten offen.

Im April 2013 erreichte Java-Web-Malware mit 14 Prozent der gesamten im Internet festgestellten Malware einen Höhepunkt. Der Umfang sank im Mai und Juni 2013 mit rund 6 und 5 Prozent auf den niedrigsten festgestellten Anteil (Abbildung 13).

(Anfang des Jahres hatte Oracle mitgeteilt, dass auf der öffentlichen Download-Website keine Java SE 6-Updates mehr bereitgestellt werden, auch wenn vorhandene Java SE 6-Updates über das Java-Archiv im Oracle Technology Network verfügbar sind.)

Wenn Sicherheitsexperten, die im Kampf gegen Web-Exploits unter hohem Zeitdruck stehen, ihr Hauptaugenmerk auf Java richten, dann sind die Ressourcen am richtigen Platz.

ABBILDUNG 13

Java-Malware im Internet 2013Quelle: Cisco TRAC/SIO

Nov.Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

Monat

Jan.

7,50

%

6,75

%

9,00

%

14,0

0 %

6,00

%

5,00

%

12,2

5 %

7,50

%

6,25

%

9,50

%

6,50

%

0

2 %

4 %

6 %

10 %

8 %

12 %

14 %

Page 32: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

32 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

BYOD und Mobilität: Geräteentwicklung fördert CyberkriminalitätCyberkriminelle und deren Opfer eint eine gemeinsame Herausforderung: Beide versuchen herauszufinden, wie sie Trends wie BYOD (Bring-Your-Own-Device) und Mobilität am profitabelsten nutzen können.

Zwei Aspekte scheinen Cyberkriminellen dabei einen Vorteil zu verschaffen. Einer davon ist die Weiterentwicklung mobiler Plattformen. Sicherheitsexperten von Cisco haben festgestellt: Je mehr Smartphones, Tablets und andere Geräte so wie herkömmliche Desktop- und Laptopcomputer funktionieren, desto einfacher ist die Entwicklung von Malware für diese Geräte.

Der zweite Aspekt ist die verstärkte Nutzung mobiler Apps. Wenn Benutzer eine mobile App herunterladen, dann installieren sie im Grunde einen einfachen Client auf einem Endpunkt. Das bedeutet, sie laden Code herunter. Eine weitere Herausforderung: Viele Benutzer laden regelmäßig mobile Apps herunter, ohne sich dabei Gedanken um das Thema Sicherheit zu machen.

Derweil schlagen sich Sicherheitsteams mit dem „Any-to-Any-Problem“ herum: Wie kann man jedem Benutzer auf jedem Gerät an jedem Standort die notwendige Sicherheit für den Zugriff auf beliebige Anwendungen oder Ressourcen bieten?15 Der BYOD-Trend verschärft diese Problematik. Es ist ausgesprochen schwierig, all die unterschiedlichen Gerätetypen zu verwalten – vor allem bei einem begrenzten IT-Budget. Gerade in einer BYOD-Umgebung müssen Sicherheitsverantwortliche dafür sorgen, dass der Datenraum umfassend kontrolliert wird.

Mobilität birgt neue Risiken für Benutzer und Daten. Forscher von Cisco haben Angreifer beobachtet, wie sie sich durch das Abhören von Funkübertragungskanälen Zugang zu Daten verschafft haben, die über diese Kanäle ausgetauscht wurden. Mobilität bereitet auch Unternehmen zahlreiche Sicherheitsprobleme, wie zum Beispiel den Verlust von geistigem Eigentum und anderen vertraulichen Daten, wenn nicht gesicherte Geräte von Mitarbeitern verloren gehen oder gestohlen werden.

Viele Benutzer laden regelmäßig mobile Apps

herunter, ohne sich dabei Gedanken um die Sicherheit zu machen.

Page 33: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

33 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Nach Meinung der Experten von Cisco kann die Unternehmenssicherheit durch ein formales Programm zur Verwaltung der mobilen Geräte gestärkt werden, das dafür sorgt, dass nur sichere Geräte auf das Netzwerk zugreifen. Zumindest sollte aber eine PIN-Sperrung für die Benutzerauthentifizierung eingerichtet werden. Außerdem sollte das Sicherheitsteam in der Lage sein, ein Gerät bei Verlust oder Diebstahl auszuschalten oder darauf befindliche Daten zu löschen.

Trends bei mobiler Malware 2013

Die folgende Untersuchung zu Trends mobiler Malware 2013 wurde von Cisco TRAC/SIO und Sourcefire (jetzt Teil von Cisco) durchgeführt.

Mobile Malware, die auf bestimmte Geräte abzielt, machte 2013 nur 1,2 Prozent der gesamten festgestellten Web-Malware aus. Auch wenn der Anteil nicht erheblich ist, verdient er dennoch Beachtung, da mobile Malware ein aufstrebender und viel versprechender Bereich für Malware-Entwickler ist.

Wenn mobile Malware für ein Gerät entwickelt wird, dann handelt es sich den Forschern von Cisco TRAC/SIO zufolge zu 99 Prozent um ein Android-Gerät. Trojaner, die auf Java Micro Edition (J2ME)-fähige Geräte abzielen, liegen 2013 mit 0,84 Prozent an zweiter Stelle der gesamten festgestellten mobilen Malware.

Nicht jede mobile Malware wurde jedoch für ein bestimmtes Gerät entwickelt. Zahlreiche festgestellte Malware betrifft Phishing, Likejacking (Missbrauch der „Gefällt mir“-Funktion) oder andere Tricks, die soziale Netzwerke missbrauchen, um Nutzer ungewollt auf verseuchte Websites zu leiten. Eine Cisco TRAC/SIO-Analyse der Benutzer-Agenten ergab, dass Android-Benutzer mit 71 Prozent die meisten Angriffe festgestellt haben, wobei dies alle Formen von Web-Malware betraf. Mit 14 Prozent liegen hier Apple iPhone-Benutzer auf dem zweiten Platz (Abbildung 14).

Cisco TRAC/SIO-Forscher entdeckten 2013 außerdem Versuche der Monetarisierung von Android-Angriffen, z. B. durch Platzierung von Adware oder von Spyware, die auf kleine und mittelständische Unternehmen abzielt.

Mit 43,8 Prozent war Andr/Qdplugin-A laut Cisco TRAC/SIO-Untersuchung die am häufigsten festgestellte mobile Malware. Die Infektion erfolgte meist über Repackaging-Kopien von legitimierten Apps, die über inoffizielle Marktplätze in Umlauf gebracht wurden (Abbildung 15).

Mobile Malware, die auf bestimmte Geräte

abzielt, machte 2013 nur 1,2 Prozent der gesamten

festgestellten Web-Malware aus.

Page 34: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

34 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 14

Web-Malware nach mobilen GerätenQuelle: Cisco Cloud Web Security-Berichte

Andr

oid

iPho

ne

iPad

Blac

kBer

ry

Noki

a

Sym

bian

iPod

Huaw

ei

Win

dow

sPh

one

Mot

orol

a

Play

stat

ion

Nook

Zune

WP

Kind

le

Win

dow

s CE

0

40 %

20 %

80 %

60 %

100 %

ABBILDUNG 15

Top Ten der mobilen Malware 2013 Quelle: Cisco Cloud Web Security-Berichte

Andr

/Qdp

lugi

n-A

Andr

/New

year

L-B

Andr

/Sm

sSpy

-J

Andr

/SM

SSen

d-B

Andr

/Spy

-AAH

Troj

an.A

ndro

idO

S.Pl

angt

on.a

Andr

/Dro

idRt

-A

Andr

/Gm

aste

r-E

Andr

oidO

S.W

oobo

o.a

Troj

an-S

MS.

Andr

oidO

S.Ag

ent.a

o

Andr

/Dro

idRt

-C

0

20 %

10 %

40 %

30 %

50 %

Page 35: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

35 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 16

Am häufigsten beobachtete Android-Malware-Familien 2013HINWEIS: Auf SMSSend entfallen 98 Prozent der gesamten Android-Malware; die übrigen 2 Prozent werden proportional gezeigt. Quelle: Sourcefire

16 %

14 %11 % 10 % 7 %

7 %

6 % 4 % 4 %4 %

4 %

Andr.T

rojan

DroidK

ungF

u

Andr

.Tro

jan.

Opfa

ke

Andr

.Tro

jan.

Anse

rver

Andr

.Exp

loit.

Gin

gerb

reak

Andr

.Exp

loit.

Ratc

BC.E

xplo

it.An

drAn

dr.E

xplo

it.Ex

ploi

dAn

dr.T

roja

n.St

els

Andr

.Tro

jan.

Gein

imi

Adnr

.Troj

an.D

roid

Drea

mLig

ht

(>1

%) A

ndr.T

roja

n.No

tCom

patib

le

(>1

%) A

ndr.T

roja

n.Ro

gueS

PPus

h

(>1

%) A

ndr.T

roja

n.TG

Load

er

(>1

%) A

ndr.T

roja

n.Ac

kpos

ts

(>1

%) A

ndr.T

roja

n.O

Bad

(>1

%) A

ndr.T

roja

n.C

huli

(>1

%) A

ndr.T

roja

n.G

inge

rMas

ter

(>1

%) A

ndr.T

roja

n.Ba

dnew

s

(>1

%) A

ndr.T

roja

n.Fa

keTi

mer

(1 %

) And

r.Tro

jan.

Gon

esix

ty(1

%) A

ndr.T

roja

n.Km

in(1

%) A

ndr.T

roja

n.Zs

one

(1 %

) And

r.Tro

jan.

Plan

kton

Andr

.Troj

an.A

drd

Andr.T

rojan

.Gold

drea

m

Andr.T

rojan

.And

rora

t

(2 %) A

ndr.T

rojan

.Pjap

ps

(2 %) A

ndr.T

rojan

.YZHC

3 %3 %

3 %

98 %Andr.SMSSend

Page 36: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

36 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Gezielte Angriffe: ungebetene „Gäste“ vor die Tür setzenDie Wahrscheinlichkeit ist groß, dass Ihr Netzwerk bereits durch zielgerichtete Angriffe unterwandert wurde.

Ist ihr Netzwerk erst einmal kompromittiert, stehlen diese „Gäste“ unbemerkt Daten oder verwenden Netzwerkressourcen zum „Pivoting“, um dann andere Systeme anzugreifen (mehr zu Pivoting auf Seite 18). Der Schaden geht dabei über den Diebstahl von Daten oder die Störung des Geschäftsbetriebs hinaus. Das Vertrauen zwischen Partnern und Kunden kann verloren gehen, wenn diese Angreifer nicht so schnell wie möglich aus dem Netzwerk entfernt werden.

Zielgerichtete Angriffe bedrohen geistiges Eigentum, Kundendaten und sensible Regierungsinformationen. Die Entwickler dieser Angriffe nutzen intelligente Werkzeuge, mit denen sich Sicherheitsinfrastrukturen aushebeln lassen. Cyberkriminelle geben sich viel Mühe, damit die Einbrüche unbemerkt bleiben. Dabei verwenden sie Methoden mit kaum wahrnehmbaren „Gefahrenindikatoren“. Der methodische Ansatz, um in Netzwerke einzudringen und den Plan auszuführen, lässt sich als eine Angriffskette darstellen: eine Aneinanderreihung von Ereignissen, die zu den und durch die einzelnen Phasen des Angriffs führen.

Sobald sich diese zielgerichteten Angriffe unbemerkt in einem Netzwerk eingenistet haben, führen sie ihre Aufgaben auf effiziente Weise aus, ohne dass sie entdeckt werden.

Cyberkriminelle betreiben viel

Aufwand, damit Sicherheitsverletzungen nicht erkannt werden.

Page 37: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

37 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 17

Die Angriffskette Um die heutigen Bedrohungen zu verstehen und Netzwerke wirksam dagegen verteidigen zu können, müssen IT-Sicherheitsexperten wie Angreifer denken. Nur durch ein tiefgründiges Verständnis des methodischen Ansatzes, den die Angreifer zur Ausführung ihrer Pläne nutzen, können Unternehmen wirksame Verteidigungsmaßnahmen entwickeln. Die Angriffskette ist eine vereinfachte Version der „Cyber Kill Chain“. Sie beschreibt die Ereignisse, die zu den und durch die einzelnen Phasen des Angriffs führen.

1. UntersuchenGesamtbild der Umgebung erhalten: Netzwerk, Endgeräte, Mobilgeräte und virtuelle Umgebung (einschließlich Technologien zum Schutz der Umgebung).

2. SchreibenZielgerichtete, kontextsensitive Malware erstellen.

3. TestenBeabsichtigte Funktion der Malware sicherstellen, sodass sie vorhandene Sicherheitstools umgehen kann.

4. DurchführenDurch das erweiterte Netzwerk navigieren – auf die Umgebung achten, Erkennung umgehen und lateral zum Ziel bewegen.

5. Erfüllen der MissionDaten sammeln, (Zer-)Störung verursachen.

Page 38: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

38 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Malware-Trends 2013Sicherheitsexperten von Cisco untersuchen und analysieren kontinuierlich den Malware-Datenverkehr und andere entdeckte Bedrohungen, die einen Einblick in mögliche künftige kriminelle Handlungen gewähren und bei der zukünftigen Erkennung von Bedrohungen helfen können.

ABBILDUNG 18

Häufigste Malware-Kategorien Diese Abbildung zeigt die wichtigsten Malware-Kategorien. Trojaner treten am häufigsten auf, gefolgt von Adware. Quelle: Sourcefire (ClamAV- und FireAMP-Lösungen)

Troj

aner

Adw

are

Wur

m

Viru

s

Dow

nloa

der

Drop

per (

0 %

)

64 % 20 % 8 % 4 % 4 %

ABBILDUNG 19

Häufigste Malware-Familien für Windows Diese Abbildung zeigt die wichtigsten Malware-Familien für Windows. Die größte Familie, Trojan.Onlinegames, zielt hauptsächlich auf den Diebstahl von Passwörtern ab. Sie wurde durch die ClamAV-Antiviruslösung von Sourcefire entdeckt. Quelle: Sourcefire (ClamAV-Lösung)

Onl

ine-

Spie

le

Mul

tiplu

g(A

dwar

e)

Syfr

o

Meg

asea

rch

Zeus

bot

Gam

evan

ce

Blac

khol

e

Hupi

gon

Spye

ye (>

1 %

)

41 % 14 % 11 % 10 % 10 % 7 % 4 % 3 %

Page 39: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

39 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 20

Top Ten-Kategorien von Web-Malware-Hosts 2013 Diese Abbildung zeigt die häufigsten Malware-Hosts gemäß den Untersuchungen von Cisco TRAC/SIO. Quelle: Cisco Cloud Web Security-Berichte

0Jan. Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

5 %

10 %

15 %

20 %

25 %

30 %

35 %

40 %

Monat

Anzeigen

Wirtschaft und Industrie

Online-Communitys

Computer und Internet

Infrastruktur

NachrichtenEinkaufen

Suchmaschinen und Portale

Web-Hosting

Nicht klassi�ziert

Sonstiges

Nov.

45 %

ABBILDUNG 21

Malware-Kategorien nach Anteil an der Gesamtzahl 2013Quelle: Cisco TRAC/SIO

Meh

rzw

eck-

Troj

aner

iFra

mes

und

Expl

oits

Date

ndie

bsta

hl-T

roja

ner

Dow

nloa

der

und

Drop

per

Rans

omw

are

und

Scar

ewar

e

Wür

mer

und

Vire

n

(1 %

)SM

S, P

hish

ing

und

Like

jack

ing

(1 %

)Ko

nstr

ukto

ren

und

Hack

tool

s

27 % 23 % 22 % 17 % 5 % 3 %

Page 40: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

40 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 22

Anzahl ermittelter Malware-Hosts und IP-Adressen 2013 Quelle: Cisco Cloud Web Security-Berichte

Nov.Okt.Sep.Aug.Jul.Jun.MaiApr.Mär.Feb.

EinzelnerHost

Monat

EinzelneIP

Jan.0

10.000

30.000

20.000

50.000

40.000

60.000

Die von Cisco TRAC/SIO 2013 durchgeführte Untersuchung hat gezeigt, dass Mehrzweck-Trojaner mit 27 Prozent die am häufigsten festgestellte Web-Malware ausmachten. Schadhafte Skripte wie Exploits und iFrames waren mit 23 Prozent die zweithäufigste Ursache. Datendiebstahl-Trojaner wie Kennwortdiebe und Backdoor-Angriffe summierten sich auf 22 Prozent der gesamten Web-Malware, und Downloader- und Dropper-Trojaner lagen mit 17 Prozent auf dem vierten Platz (siehe Abbildung 21).

Die stetige Abnahme der einzelnen Malware-Hosts und IP-Adressen – um 30 Prozent zwischen Januar und September 2013 – lässt vermuten, dass sich Malware auf immer weniger Hosts und IP-Adressen konzentriert (Abbildung 22). (Hinweis: Eine IP-Adresse kann für Websites mehrerer Domänen verwendet werden.) Da die Anzahl der Hosts auch bei gleicher Menge an Malware abnimmt, werden Wert und Reputation dieser Hosts immer wichtiger, da sich kriminelle Ziele mit guten Hosts besser erreichen lassen.

Page 41: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

41 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Vorrangiges Ziel: SchlüsselindustrienUnternehmen in äußerst profitablen vertikalen Märkten wie die Pharma- und Chemieindustrie oder Elektronikhersteller weisen nach Cisco TRAC/SIO-Recherche einen besonders hohen Anteil an Web-Malware auf.

Der Anteil steigt und fällt mit dem Wert bestimmter Güter oder Dienstleistungen einer Branche.

Cisco TRAC/SIO-Forscher haben zuletzt einen bemerkenswerten Anstieg an Malware in der Landwirtschaft und im Bergbau festgestellt – Branchen, in denen das Risiko bisher eher gering war. Der Anstieg an Malware in diesen Branchen weist darauf hin, dass Cyberkriminelle Trends wie den Rückgang der Edelmetallvorkommen oder wetterbedingte Ausfälle bei der Nahrungsmittelversorgung aufgreifen.

Ein weiterer Anstieg an Malware ist auch in der Elektronikindustrie zu verzeichnen. Sicherheitsexperten von Cisco berichten, dass Malware, die auf diese Branche abzielt, vor allem den Zugriff auf geistiges Eigentum im Blick hat, mit dem sich wiederum Wettbewerbsvorteile erzielen lassen oder das an den Meistbietenden verkauft wird.

Um branchenspezifische Malware-Anteile festzustellen, vergleichen die Cisco TRAC/SIO-Forscher die durchschnittliche Angriffsrate aller Unternehmen mit Proxy-Zugriff über die Cisco Cloud Web Security mit der durchschnittlichen Angriffsrate all derer Unternehmen, die den Cisco Service nutzen und der entsprechenden Branche angehören. Eine branchenspezifische Angriffsrate von über 100 Prozent verweist auf ein höheres Risiko von Web-Malware-Angriffen, während eine Angriffsrate unter

Watering Holes: keine Oase für angegriffene UnternehmenEine Möglichkeit, um Malware in Unternehmen bestimmter Industriezweige einzuschleusen, besteht in sogenannten „Watering Hole“-Angriffen. Dabei visieren Cyberkriminelle eine bestimmte Zielgruppe an (zum Beispiel Mitarbeiter in der Luftfahrtbranche) und beobachten, welche Websites diese Gruppe besonders häufig frequentiert, um die Websites dann mit Malware zu infizieren. Anschließend wird so lange gewartet, bis mindestens eine Person der Gruppe die Seite besucht und somit kompromittiert ist.

Bei einem „Watering Hole“-Angriff wird im Grunde das Vertrauen des Benutzers in die besuchte Website ausgenutzt. Es ist zudem eine Form von Spear-Phishing. Während Spear-Phishing jedoch auf ausgewählte Individuen zielt, sind Watering Holes so angelegt, dass sie eine Gruppe von Personen angreift, die gemeinsame Interessen verfolgen. Watering Hole-Angriffe erkennen ihre Ziele nicht, das heißt jeder, der die infizierte Website besucht, ist betroffen.

Ende April wurde ein Watering Hole-Angriff über die Website des US-Arbeitsministeriums gestartet, speziell über Seiten mit nuklearbezogenen Informationen.16 Dann beobachteten Cisco TRAC/SIO-Forscher ab Anfang Mai 2013 einen weiteren Watering Hole-Angriff über verschiedene andere Websites zu Themen rund um den Energie- und Ölsektor. Ähnlichkeiten wie die in beiden

Fortsetzung auf der nächsten Seite

Page 42: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

42 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Angriffen verwendete spezifische Ausprägung des Exploits lassen vermuten, dass beide Angriffe miteinander im Zusammenhang standen. Die Cisco TRAC/SIO-Forscher verwiesen darauf, dass viele der Websites denselben Webdesigner und denselben Provider nutzten. Dies könnte implizieren, dass es in der ersten Angriffsphase um das Phishing oder Stehlen von Berechtigungen dieses Providers ging.17

Zum Schutz von Benutzern vor derartigen Angriffen müssen Computer und Webbrowser hinsichtlich Patching auf dem aktuellen Stand sein, um die Anzahl der Schwachstellen zu minimieren, die von einem Angreifer ausgenutzt werden können. Zudem ist es wichtig, dass der Webdatenverkehr vor der Weiterleitung an den Browser des Benutzers gefiltert und auf Malware geprüft wird.

Fortsetzung von vorheriger Seite

100 Prozent für ein niedrigeres Risiko steht. Für eine Firma, die beispielsweise eine Angriffsrate von 170 Prozent hat, liegt das Risiko 70 Prozent über dem Mittelwert. Für eine Firma mit einer Angriffsrate von 70 Prozent liegt das Risiko hingegen 30 Prozent unter dem Mittelwert (Abbildung 23).

ABBILDUNG 23

Branchenrisiko und Web-Malware- Begegnungen 2013 Quelle: Cisco Cloud Web Security-Berichte

Wirtschaftsprüfung

Landwirtschaft und Bergbau

Automobilbranche

Luftfahrt

Banken und Finanzinstitute

Wohlfahrtsorganisationen und NGOs

Vereine und Verbände

Bildungswesen

Elektronikhersteller

Energie-, Öl- und Gasversorger

Maschinenbau und Bauwesen

Unterhaltung

Speisen und Getränke

Behörden

Gesundheitswesen

Heizungs-, Sanitär- und Klimatechnik

IT und Telekommunikation

Industriell

Versicherungswesen

Rechtswesen

Fertigung

Medien und Verlagswesen

Pharma- und Chemieindustrie

Professional Services

Immobilien und Landmanagement

Einzel- und Großhandel

Transport und Spedition

Reise und Freizeit

Versorgungssysteme

0,0 100 % 200 % 300 % 400 % 500 % 600 % 700 %

Page 43: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

43 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Erste Risse in einem fragilen Ökosystem Cyberkriminelle erkennen derzeit die Vorteile der Nutzung der Internet-Infrastruktur im Gegensatz zum Zugriff auf einzelne Computer.

Die neueste Entwicklung von böswilligen Exploits ist der Zugriff auf Webhosting-Server, Namenserver und Rechenzentren – mit dem Ziel, die enormen Verarbeitungsressourcen und Bandbreiten auszunutzen, die diese bereitstellen. Mit diesem Ansatz können Exploits wesentlich mehr Computernutzer erreichen und haben viel größere Auswirkungen auf die betroffenen Unternehmen – egal ob es darum geht, ein politisches Statement zu verbreiten, einen Gegner zu zermürben oder Einnahmen zu generieren.

ABBILDUNG 24

Hocheffiziente Infektionsstrategie

Kompromittierter Hostserver

KompromittierteWebsite

KompromittierteWebsite

KompromittierteWebsite

KompromittierteWebsite

KompromittierteWebsite

Page 44: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

44 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Im Wesentlichen bedeutet dieser Trend hin zur Internet-Infrastruktur, dass das Internet an sich nicht mehr vertrauenswürdig ist. Die Methoden, mit denen letztlich der Root-Zugriff auf Hostserver erlangt werden soll, variieren. Sie nutzen unterschiedliche Taktiken wie Trojaner auf Management-Workstations, die Anmeldeberechtigungen für Server stehlen, Schwachstellen in Managementtools von Drittanbietern, die auf Servern eingesetzt werden, oder aber Brute-Force-Anmeldeversuche (siehe Seite 53). Unbekannte Schwachstellen in der Serversoftware selbst können ebenfalls mögliche Angriffsflächen bieten.

Ein einmal kompromittierter Hostserver kann weltweit Tausende von Websites und Website-Eigentümern infizieren (Abbildung 24).

Die auf kompromittierten Servern gehosteten Websites dienen einerseits zur Umleitung (der Vermittler in der Infektionskette) und andererseits als Malware-Repository. Malware wird nun nicht mehr von vielen kompromittierten Websites einiger weniger befallener Domänen geladen (Many-to-Few-Beziehung). Stattdessen ändert sich die Beziehung in eine Many-to-Many-Beziehung und erschwert Maßnahmen zur Außerbetriebnahme.

Domain-Name-Server sind das primäre Ziel dieser neuartigen Angriffe, deren exakte Methoden noch nicht vollständig untersucht sind. Ein Indikator hierfür ist, wenn neben einzelnen Websites und Hostservern auch Namenserver bestimmter Host-Provider angegriffen werden. Laut Sicherheitsexperten von Cisco markiert dieser Trend hin zur Internet-Infrastruktur eine Veränderung der Bedrohungslandschaft, da Cyberkriminelle nun die Kontrolle über einen nicht unwesentlichen Teil der eigentlichen Basis des Internets erlangen.

„Cyberkriminalität ist äußerst lukrativ geworden und wurde so weit standardisiert, dass es einer leistungsstarken Infrastruktur bedarf, um Stabilität gewährleisten zu können“, erläutert Gavin Reid, Director of Threat Intelligence bei Cisco. „Durch die Kompromittierung von Hostservern und Rechenzentren erlangen Angreifer nicht nur Zugriff auf enorm viel Bandbreite, sie profitieren auch vom kontinuierlichen Betrieb dieser Ressourcen.“

„Cyberkriminalität ist äußerst lukrativ geworden und wurde so weit standardisiert, dass es einer leistungsstarken Infrastruktur bedarf, um Stabilität gewährleisten zu können.“Gavin Reid, Director of Threat Intelligence bei Cisco

[

]

Page 45: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

45 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Eins und eins zusammenzählen: DarkLeech und Linux/CDorked

Der DarkLeech-Angriff, über den Cisco 2013 berichtete,18 unterstreicht, wie die Kompromittierung von Hostservern als Sprungbrett für weit größer angelegte Kampagnen dienen kann. Durch den DarkLeech-Angriff wurden innerhalb kurzer Zeit weltweit schätzungsweise mindestens 20.00019 legitimierte Websites kompromittiert, die auf Apache HTTP-Serversoftware basieren. Die Websites wurden über eine Secure Shell Daemon (SSHD)-Backdoor infiziert, die Remote-Angreifern das Hochladen und Konfigurieren böswilliger Apache-Module erlaubt. Durch diese Infizierung konnten Angreifer dynamisch und in Echtzeit iFrames (HTML-Elemente) auf gehosteten Websites einschleusen, welche dann mithilfe des Exploit-Kits „Blackhole“ Exploit-Code und andere schädigende Inhalte verteilten.

Da die DarkLeech-iFrame-Infizierung nur während des Aufenthalts auf der Website stattfindet, sind die Anzeichen der Infektion nicht sofort erkennbar. Um den Befall zudem zu verschleiern, nutzen Cyberkriminelle ausgeklügelte Kriterien. So wird der iFrame beispielsweise nur

ABBILDUNG 25

Mit DarkLeech kompromittierte Server nach Land 2013Quelle: Cisco TRAC/SIO

58 % USA

2 % Italien

0,5 % Türkei

0,5 % Zypern

1 % Schweiz

0,5 % Sonstige

2 % Spanien

1 % Australien

1 % Japan

0,5 % Malaysia

1 % Litauen

0,5 % Dänemark

1 % Niederlande

9 % Deutschland 1 % Belgien

2 % Singapur

2 % Thailand

3 % Kanada

10 % Großbritannien

2 % Frankreich

0,5 % Irland

Page 46: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

46 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ABBILDUNG 26

Antworten von DarkLeech-kompromittierten ServernQuelle: Cisco TRAC/SIO

0,5 % Apache/CentOS

43 % Apache/2.2.3 CentOS

39 % Apache – nicht näher angegeben

8 % Apache/2.2.3 RedHat

7 % Apache/2.2.22

2 % Apache/2.2.8

eingeschleust, wenn der Besucher von der Ergebnisseite einer Suchmaschine kommt. Wenn die IP-Adresse des Besuchers zu der des Website-Besitzers oder des Host-Providers passt, wird er nicht eingeschleust. Außerdem wird der iFrame für einzelne Besucher nur einmal alle 24 Stunden eingeschleust.

Die Cisco TRAC/SIO-Untersuchung hat aufgedeckt, dass DarkLeech-Angriffe weltweit auftraten, wobei in Ländern mit den meisten Host-Providern naturgemäß die höchsten Infektionsraten zu verzeichnen waren.

Cisco SIO/TRAC-Forscher führten Abfragen auf Tausenden von befallenen Servern aus, um die Verteilung der betroffenen Serversoftwareversionen zu ermitteln.

Im April 2013 wurde ein weiterer Backdoor-Angriff aufgedeckt, der Hunderten von Servern mit Apache HTTP-Serversoftware galt. Linux/CDorked20 ersetzte das HTTPD-Binärprogramm auf Apache-Versionen, die mit cPanel installiert wurden. Ähnliche Backdoor-Angriffe, die auf Nginx und Lighttpd abzielten, wurden ebenfalls entdeckt. Wie DarkLeech im Moment des

Page 47: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

47 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Angriffs verwendet auch CDorked Kriterien für das bedingte dynamische Einschleusen von iFrames auf den Websites, die von den befallenen Servern gehostet werden. Jeder Besucher, der eine betroffene Website aufruft, erhält unbemerkt schädlichen Inhalt von einer anderen schädlichen Website, auf der ein Crimeware-Toolkit versucht, den PC des Benutzers weiter zu kompromittieren.21

Ein besonderes Merkmal von Linux/CDorked ist das Zirkulieren auf Website-Domänen mit einem Rhythmus von durchschnittlich 24 Stunden. Nur wenige kompromittierte Websites werden länger ausgenutzt. Wenn also eine Malware-Domäne entdeckt wird, haben sich die Angriffe bereits weiterbewegt. Außerdem werden bei Linux/CDorked die Host-Provider regelmäßig gewechselt (etwa alle zwei Wochen). Sie zirkulieren von einem befallenen Host zum nächsten, um einer Entdeckung zu entgehen. Kompromittierte Namenserver bei denselben Host-Providern aktivieren Schadelemente, die sich von Host zu Host bewegen, ohne beim Übergang die Kontrolle über die Domänen zu verlieren. Sobald ein neuer Host eingenommen wurde, beginnen die Angreifer mit dem Zirkulieren auf neuen Domänen. Dabei werden häufig Domänennamen im Tippfehlerstil22 verwendet (Typosquatting), um bei oberflächlicher Betrachtung wie eine legitimierte Website zu wirken.

Die von Cisco TRAC/SIO durchgeführte Analyse der Datenverkehrsmuster von CDorked legt eine enge Verbindung zu DarkLeech nahe. Die spezielle Kodierung der von CDorked genutzten Referrer-URL ist besonders kennzeichnend für den Datenverkehr von DarkLeech. Dies ist jedoch noch nicht einmal die interessanteste Entwicklung in Sachen Malware: CDorked wie auch DarkLeech scheinen Teil einer viel größeren und weitaus komplexeren Strategie zu sein.

„Die Raffinesse dieser Angriffe lässt vermuten, dass Cyberkriminelle bereits die Kontrolle über Tausende von Websites und zahlreiche Host-Server erlangt haben, einschließlich der von diesen Hosts eingesetzten Namenserver“, so Gavin Reid, Director of Threat Intelligence bei Cisco. „In Kombination mit der aktuellen Häufung von Brute-Force-Anmeldeangriffen auf einzelne Websites entwickelt sich scheinbar ein neuer Trend. Zunehmend wird die Internet-Infrastruktur zum Aufbau eines sehr großen und äußerst leistungsfähigen Botnet genutzt. Dieses „Über-Botnet“ kann zum Senden von Spam, zur Verteilung von Malware oder auch zum Starten von DDoS-Angriffen in einem bislang unbekannten Ausmaß verwendet werden.“

CDorked und DarkLeech scheinen Teil einer wesentlich

größeren und deutlich komplexeren Strategie

zu sein.

Page 48: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

48 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Schädlicher Datenverkehr – häufig Anzeichen gezielter Angriffe – in allen Unternehmensnetzwerken entdecktNach einer von Cisco durchgeführten Untersuchung zu Gefahrentrends ist schädlicher Datenverkehr ausnahmslos in allen Unternehmensnetzwerken anzutreffen. Das beweist, dass Cyberkriminelle oder andere Akteure mit ausgeklügelten Taktiken in diese Netzwerke eingedrungen sind und dort möglicherweise bereits seit Längerem unerkannt aktiv sind.

Unternehmen sollten generell davon ausgehen, dass Ihre Datenbanken schon einmal gehackt wurden, oder sich zumindest bewusst machen, dass es nur eine Frage der Zeit ist, bis sie einem Angriff zum Opfer fallen.

In einem aktuellen Projekt zur Untersuchung von Domain Name Service (DNS)-Suchläufen, die aus dem Unternehmensnetzwerk heraus gestartet werden, haben die Experten von Cisco in jedem Unternehmen Hinweise für den Missbrauch oder die Kompromittierung des jeweiligen Netzwerks gefunden (Abbildung 27). So wiesen beispielsweise 100 Prozent der von Cisco analysierten Netzwerke Datenverkehr zu Websites auf, die als Malware-Host fungieren, während in 92 Prozent der Netzwerke Datenverkehr entdeckt wurde, der zu Websites ohne Inhalt führte – Anzeichen für schädigende Aktivitäten. In 96 Prozent der untersuchten Netzwerke wurde Datenverkehr zu gehackten Servern gefunden.

Cisco entdeckte außerdem Datenverkehr, der zu Websites von Militär und Regierungseinrichtungen führte, obwohl die Unternehmen keine entsprechenden Geschäfte tätigten, oder aber zu Websites für besonders riskante geografische Gebiete, wie z. B. Länder, über die ein Handelsembargo verhängt wurde. Cisco hat beobachtet, dass diese Websites wahrscheinlich aufgrund der hohen Reputation genutzt werden, die öffentliche oder Regierungseinrichtungen genießen. Datenverkehr zu diesen Websites muss nicht unbedingt

[

]

Page 49: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

49 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

ein Zeichen für eine Kompromittierung sein. Aber bei Unternehmen, die keine Geschäfte mit Regierungseinrichtungen oder Militär tätigen, kann derartiger Datenverkehr darauf hindeuten, dass Netzwerke kompromittiert sind und von Cyberkriminellen für das Eindringen in Websites und Netzwerke von Regierungseinrichtungen und Militär missbraucht werden.

Trotz großer Anstrengungen, ihre Netzwerke frei von Sicherheitsbedrohungen zu halten, hat Cisco in allen 2013 untersuchten Unternehmen Hinweise zu verdächtigem Datenverkehr gefunden. Der durch DNS-Suchläufe identifizierte Datenverkehr kann starke Gefährdungsindikatoren aufweisen. Unternehmen, welche diesen schwer zu fassenden Akteuren Einhalt gebieten möchten, sollten diese Indikatoren genauer untersuchen. Auf diese Weise lassen sich kriminelle Bewegungen, die normalerweise schwer zu lokalisieren sind, besser sichtbar machen.

ABBILDUNG 27

Die Verbreitung von schädlichem Datenverkehr

100 %

100 %

96 %

92 %

88 %

79 %

71 %

50 %

Hochgefährliche Malware Verbindungen zu Domains mit bekannten Malware-Bedrohungen oder Bedrohungsvektoren

Regierung und Militär Verdächtiger und übermäßiger Datenverkehr hin zu von der Ö�entlichkeit in der Regel nicht besuchten Stellen

Gekaperte Infrastruktur Verbindungen zu bekannten gekaperten Infrastrukturen oder kompromittierten Websites

Websites ohne Inhalt Verbindungen zu leeren Websites mit Code zur Einschleusung von Malware in Systemen

Verdächtige FTP-Verbindungen Unerwartete Verbindungen zu ungewöhnlichen FTP-Sites

Verdächtige VPN-Verbindungen

Verbindungen in einem Unternehmen zu verdächtigen VPN-Sites

Bedrohungen über Bildungseinrichtungen

Verbindungen zu Universitäten an verdächtigen Orten, ggf. als Drehpunkt für andere Malware-Arten

Pornogra�e Au�allend viele Verbindungsversuche zu bekannten Pornogra�e-Websites

Page 50: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

50 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

SONDERBERICHT VON CISCO SECURITY RESEARCH:

Neue Entwicklung bei Bitsquatting – und neue AbwehrstrategienCyberkriminelle nutzen bereits seit langem „Cybersquatting“. Dabei werden Domänennamen registriert, die einem Erkennungszeichen gleichen oder diesem sehr ähnlich sind. Zuletzt hat sich „Bitsquatting“, die Registrierung von Domänennamen, die sich in nur einer Binärziffer vom Originalnamen unterscheiden, als weitere Möglichkeit zum Umleiten von Internetdatenverkehr auf Malware- oder Scam-verseuchte Websites etabliert.

Bitsquatting ist eine Form des Cybersquatting, die auf Bitfehler im Computerspeicher abzielt. Ein Speicherfehler tritt immer dann auf, wenn sich bei mindestens einem der gelesenen Bits der Status gegenüber dem zuvor geschrieben geändert hat. Diese Fehler im Speicher können vielfältige Ursachen haben, einschließlich kosmischer Strahlung (energiereiche Teilchen, von denen jede Sekunde 10.000 pro Quadratmeter auf die Erde treffen), der Verwendung eines Geräts unter nicht empfohlenen Umgebungsbedingungen, einem Herstellungsfehler oder auch schwacher nuklearer Explosionen.

Durch Änderung eines einzigen Bit wird eine Domäne wie „twitter.com“ zur Bitsquat-Domäne „twitte2.com“. Ein Angreifer kann Bitsquat-Domänen registrieren lassen, auf einen Speicherfehler warten und dann den Internetdatenverkehr abfangen.

Sicherheitsexperten vermuten, dass sich Bitsquatting-Angriffe vor allem gegen häufig aufgelöste Domänennamen richten, da sich diese Domänen bei Auftreten eines Bitfehlers mit großer Wahrscheinlichkeit im Speicher befinden. Jüngste Untersuchungen von Cisco legen aber nahe, dass Domänen, die bisher aufgrund ihrer geringeren Popularität als zu unattraktiv für Angriffe galten, ebenfalls eine nutzbare Menge an Bitsquat-Datenverkehr produzieren werden. Grund ist, dass sowohl der Gerätespeicher als auch die Anzahl der mit dem Internet verbundenen Geräte immer weiter wächst. Nach Einschätzung von Cisco werden 2020 rund 37 Milliarden „intelligente Objekte“ mit dem Internet verbunden sein.23

Vektoren von Bitsquatting-Angriffen

Die Cisco TRAC/SIO hat neue Bitsquatting-Angriffsvektoren identifiziert:

• Subdomänen-Delimiter-Bitsquatting: Gemäß der akzeptierten Syntax für Domänenamen-Label sind die einzigen gültigen Zeichen in Domänennamen A-Z, a-z, 0-9 und Bindestrich. Bei der Prüfung auf Bitsquat-Domänen wird durch Eingrenzung der Suche nach diesen Zeichen jedoch ein wichtiges Zeichen vergessen, das in Domänennamen ebenfalls gültig ist: der Punkt. Eine der neuen Bitsquatting-Techniken setzt auf Bitfehler, bei denen der Buchstabe „n“ (binär 01101110) zu einem Punkt „.“ (binär 00101110) wird und umgekehrt.

• Subdomänen-Delimiter mit Tausch von „n“ und „.“: Wenn bei einer Variante der obigen Methode ein Second-Level-Domänenname den Buchstaben „n“ enthält und es mindestens zwei Zeichen nach dem Buchstaben „n“ gibt, dann besteht die Gefahr von Bitsquatting. Beispiel: „windowsupdate.com“ wird zu „dowsupdate.com“.

• URL-Delimiter-Bitsquats: Ein beliebter Kontext für Domänennamen sind URLs. In einer typischen URL dient der normale Schrägstrich „/“ als Delimiter, um das Schema vom Hostnamen und vom URL-Pfad zu trennen. Der normale Schrägstrich (binär 00101111) kann bei Tausch eines Bits zum Buchstaben „o“ (binär 01101111) werden und umgekehrt.

Fortsetzung auf der nächsten Seite

Page 51: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

51 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Bedrohungsinformationen

Verhindern von Bitsquatting-Angriffen: Bitsquat RPZ erstellen

Die beiden Techniken, die im Allgemeinen zur Verhinderung von Bitsquatting eingesetzt werden, sind durchaus sinnvoll, aber nicht optimal:

• Verwendung von Fehlerkorrekturspeicher: Diese Lösung ist nur dann wirksam, wenn alle weltweit installierten Geräte gleichzeitig aktualisiert werden.

• Registrieren der Bitsquat-Domäne, sodass diese kein Dritter registriert: Dies ist nicht immer möglich, da viele beliebte Bitsquat-Domänen bereits registriert wurden. Bei längeren Domänennamen kann dies auch sehr kostspielig sein.

Sicherheitsexperten können jedoch auch andere Techniken nutzen, um Benutzer vor einer unbeabsichtigten Fehlleitung des Internetdatenverkehrs zu schützen. Durch ausreichende Anpassungen könnte mit den neuen Maßnahmen das Bitsquatting-Problem sogar fast komplett gelöst werden.

Response Policy Zones (RPZs) verfügen zum Beispiel ab BIND Version 9.8.1 über eine Konfigurationsoption, für ältere Versionen von BIND gibt es Patches (BIND ist eine häufig verwendete Internet-DNS-Software). RPZs sind Dateien für lokale Zonen, mit denen DNS-Resolver bestimmte DNS-Anforderungen so beantworten können, dass der Domänenname nicht vorhanden ist (NXDomäne), dass der Nutzer zu einem abgeschlossenen Bereich (Plattform) umgeleitet wird, oder andere Möglichkeiten.

Um die Auswirkungen von einzelnen Bitfehlern für Anwender eines DNS-Resolver zu senken, kann der Resolver-Administrator eine RPZ einrichten, die gegen Bitsquats von regelmäßig aufgelösten oder rein internen Domänennamen schützt. Die RPZ kann zum Beispiel so eingerichtet werden, dass jede an einen DNS-Resolver gesendete Anforderung für Bitsquat-Varianten dieser Domänen eine NXDomäne-Antwort erhält, wobei die Bitfehler still und ohne Eingreifen des betroffenen Client korrigiert werden.24

Fortsetzung von vorheriger Seite

Page 52: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

52 Cisco 2014 Annual Security Report

BrancheDie Ermittler der Cisco SIO fördern Diskussion rund um Branchentrends, die über die Telemetrie von Cisco hinausgehen.

Page 53: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

53 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

Brute-Force-Anmeldeversuche: die bevorzugte Taktik zur Kompromittierung von WebsitesAuch wenn Brute-Force-Anmeldeversuche keine neuartige Taktik von Cyberkriminellen sind, hat sich deren Einsatz in der ersten Hälfte des Jahres 2013 verdreifacht.

Im Zuge von Untersuchungen durch Cisco TRAC/SIO konnten Forscher einen Daten-Hub aufdecken, der für derartige Aktionen genutzt wurde. Er umfasste 8,9 Millionen mögliche Kombinationen von Benutzernamen und Passwörtern, einschließlich starker Passwörter – also nicht nur leicht zu knackende „passwort123“-Varianten. Mithilfe gestohlener Benutzeranmeldedaten bleiben Listen wie diese immer gut gefüllt.

ABBILDUNG 28

So funktionieren Brute-Force-Anmeldeversuche

PC kontaktiert Command-and-Control-Server und lädt Trojaner herunter.

Zukünftige Opfer erhalten den Downloader, und der Kreislauf beginnt von vorn.

Betro�ene Websites werden dann zu Spam-Relays.

PC lädt bei Erfolg den PHP-Bot und andere Skripte auf die nun kompromittierte Website.

PC greift Website mittels verschiedener CMS-Exploits/Brute-Force-Anmeldeversuche an.

PC erhält Namen der Ziel-Website von Command-and-Control-Server.

Page 54: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

54 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

Hauptziele der jüngsten Brute-Force-Anmeldeversuche sind umfassend genutzte Plattformen für Content-Management-Systeme (CMS) wie WordPress und Joomla. Ist der Versuch, nicht autorisierten Zugriff auf ein CMS zu erlangen, erfolgreich, können Angreifer PHP-Backdoors (Hypertext-Preprocessor) und andere schadhafte Skripte auf kompromittierte Websites hochladen. In einigen Fällen wird Angreifern durch die Kompromittierung der Weg zu einem Hostserver eröffnet, der dann eingenommen werden kann (Abbildung 28).

Bei weltweit mehr als 67 Millionen WordPress-Websites und der Nutzung der Plattform zur Veröffentlichung von Blogs, Nachrichtenseiten, Firmenwebsites, Zeitschriften und Magazinen, sozialen Netzwerken, Sportseiten usw. ist es nicht verwunderlich, dass viele Cyberkriminelle diese CMS hacken.25 Auch Drupal, eine schnell wachsende CMS-Plattform, war 2013 Ziel von Angriffen. So wurden Benutzer im Mai dazu angewiesen, ihre Passwörter zu ändern. Als Begründung wurde angegeben, dass sich Dritte durch die Installation von Software in der Serverinfrastruktur von „Drupal.org“ unerlaubten Zugang zu Drupal verschafft haben.26

Doch nicht nur ihre Beliebtheit macht diese Systeme attraktiv für Cyberkriminelle. Viele dieser Websites – auch wenn sie noch verfügbar sind – wurden von ihren Eigentümern schon längere Zeit vernachlässigt. Wahrscheinlich gibt es Millionen von brachliegenden Blogs und gekauften, aber nie genutzten Domänen. Und viele davon werden sicherlich nun von Cyberkriminellen genutzt. Sicherheitsexperten von Cisco gehen davon aus, dass sich das Problem verschärfen wird, je mehr Menschen in den neuen Internet-Wachstumsmärkten rund um den Globus einen Blog oder eine Website betreiben möchten – nur um sie dann später verkümmern zu lassen.

Auch die weit verbreitete Nutzung von Plug-ins, die speziell zur Erweiterung der Funktionalität eines CMS entwickelt wurden und mehr Leistung für Videos, Animationen und Games bieten, ist ein Segen für Übeltäter, die versuchen, nicht autorisierten Zugriff auf Plattformen wie WordPress und Joomla zu erhalten. Viele der von Cisco Forschern 2013 beobachteten CMS-Kompromittierungen lassen sich auf Plug-ins zurückführen, die in PHP-Skriptsprache geschrieben und bezüglich Sicherheit völlig unzureichend konzipiert waren.

Viele Cyberkriminelle wollen über CMS Zugriff

auf Daten gewinnen.

[

]

Page 55: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

55 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

DDoS-Angriffe sind zurückDistributed-Denial-of-Service-Angriffe (DDoS), die den Datenverkehr von und zu Ziel-Websites unterbrechen und Internet-Provider komplett aushebeln können, haben sich in Umfang und Schweregrad erhöht.

Da DDoS-Angriffe in Sachen Cybercrime-Techniken lange als „alter Hut“ galten, dachten viele Unternehmen, dass die bestehenden Sicherheitsmaßnahmen ausreichenden Schutz böten. Diese Zuversicht wurde durch groß angelegte DDoS-Angriffe 2012 und 2013 grundlegend erschüttert. Zu den Angriffen zählte auch „Operation Ababil“, der auf verschiedene Finanzinstitutionen abzielte und wahrscheinlich politisch motiviert war.27

„Unternehmen und öffentlichen Einrichtungen sollten DDoS-Angriffe 2014 ganz oben auf die Themenliste in Sachen Sicherheit setzen“, rät John N. Stewart, Senior Vice President und Chief Security Officer bei Cisco. „Es ist zu erwarten, dass sich Umfang und Dauer künftiger Angriffe spürbar erhöhen werden. Unternehmen – und hier vor allem jene in Branchen, die wie Finanzdienstleister und der Energiesektor bereits zu den primären Angriffszielen zählen – müssen sich selbst fragen, ob sie ausreichend gegen DDoS-Angriffe gewappnet sind.“

Eine neue Entwicklung: Einige DDoS-Angriffe werden mit großer Wahrscheinlichkeit dazu genutzt, von anderen schädigenden Aktivitäten abzulenken, wie einem Überweisungsbetrug vor, während und nach einer Kampagne (siehe „DarkSeoul“ Seite 57). Mit den Angriffen sollen Bankmitarbeiter davon abgelenkt werden,

DNS-AMPLIFICATION:

SchutztechnikenAngriffe, die über DNS-Amplification gestartet werden, bleiben nach Meinung der Sicherheitsexperten von Cisco auch 2014 ein Problem. Das Open Resolver Project (openresolverproject.org) berichtet, dass die im Oktober 2013 festgestellten 28 Millionen offenen Internet-Resolver eine

„signifikante Bedrohung“ darstellen (vor allem wenn man bedenkt, dass für den Spamhaus-DDoS-Angriff mit 300 Gbit/s nur 30.000 offene Resolver notwendig waren).

Ein offener Resolver bedeutet, dass dieser nicht filtert, wohin Antworten gesendet werden. DNS verwenden das statuslose UDP-Protokoll, sodass Anforderungen im Namen eines Dritten gesendet werden können. Und dieser Dritte erhält dann eine erhöhte Menge an Datenverkehr. Daher ist das Identifizieren von offenen Resolvern – inkl. Maßnahmen zu deren Schließung – ein Aspekt, mit dem sich die Branche in nächster Zeit auseinandersetzen muss.

Unternehmen können das Risiko eines durch DNS-Amplification gestarteten Angriffs auf verschiedene Weise senken, so durch Implementierung der Best Current Practice (BCP) 38 der Engineering Task Force, wodurch sie vermeiden, Quelle des Angriffs zu sein. Diese BCP empfiehlt, dass Upstream-Provider von IP-Verbindungsfilterpaketen ihre Netzwerke über Downstream-Kunden betreten und alle Pakete verwerfen, die eine nicht zugewiesene Quelladresse zu diesem

Fortsetzung auf der nächsten Seite

[

]

Page 56: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

56 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

Kunden aufweisen.30 Die von Cisco mitentwickelte BCP bietet Richtlinien für die Bereitstellung von uRPF.31

Eine weitere Schutztechnik besteht darin, alle autoritativen DNS-Server so zu konfigurieren, dass sie den Datendurchsatz begrenzen. Der autoritative Namenserver für eine Domäne des Unternehmens ist generell für alle Anforderungen offen. DNS RRL (Durchsatzbegrenzung von DNS-Antworten) ist ein Feature, das aktiviert werden kann, damit ein DNS-Server nicht zu häufig auf dieselbe Anfrage von derselben Entität antwortet – so kann sich ein Unternehmen davor schützen, als Vermittler in DDoS-Angriffen missbraucht zu werden. DNS RRL ist auf DNS-Servern aktiviert, und es ist eine Möglichkeit für Server-Administratoren, den Missbrauch von Servern für Amplification-Angriffe zu begrenzen. DNS RRL ist ein relativ neues Feature, das noch nicht auf allen DNS-Servern verfügbar ist. Es wird aber von ISC BIND unterstützt, einem sehr beliebten DNS-Server.

Zusätzlich wird auf allen rekursiven DNS-Servern eine Zugriffskontrollliste konfiguriert, sodass diese nur auf Anfragen von Hosts aus dem eigenen Netzwerk antworten. Eine schlecht verwaltete Liste kann der ausschlaggebende Faktor in DNS-Angriffe sein – vor allem bei großen Servern mit großen Mengen an verfügbarer Bandbreite. Mit dieser Technik kann außerdem das Risiko gesenkt werden, als Vermittler in DDoS-Angriffen missbraucht zu werden.

Fortsetzung auf der nächsten Seite

Fortsetzung von vorheriger Seite

Transfermitteilungen an Kunden zu versenden, sodass diese den Betrug nicht bemerken und daher nicht anzeigen können. Und ehe sich das Finanzinstitut von einem solchen Ereignis erholt hat, kann es die finanziellen Verluste nicht mehr rückgängig machen. Ein solcher Angriff fand am 24. Dezember 2012 statt. Er richtete sich gegen die Website einer regionalen Finanzinstitution in Kalifornien und „half dabei, die Bankangestellten von der Übernahme des Online-Kontos eines ihrer Kunden abzulenken. Die Beute betrug mehr als 900.000 USD.“28

Dass es schnell ersichtlich wird, wie Hostserver sich kompromittieren lassen, macht es Cyberkriminellen nur noch einfacher, DDoS-Angriffe zu starten und die ausgesuchten Ziele zu bestehlen (siehe „Erste Risse in einem fragilen Ökosystem“ auf Seite 43). Indem kriminelle Akteure Teile der Internet-Infrastruktur unter ihre Kontrolle bringen, können sie Vorteile aus der großen Menge an verfügbarer Bandbreite ziehen und diese zum Starten einer beliebigen Anzahl leistungsfähiger Kampagnen einsetzen. Dies ist keine Utopie: Im August 2013 berichtete die chinesische Regierung, dass durch den größten jemals registrierten DDoS-Angriff das chinesische Internet für rund vier Stunden zum Erliegen kam.29

Auch Spammer nutzen DDoS-Angriffe, um bei Unternehmen zurückzuschlagen, von denen sie denken, dass diese ihrer Einnahmegenerierung im Wege stehen. Im März 2013 war die gemeinnützige Organisation Spamhaus, die Spammer verfolgt und mit der Spamhaus Block List ein Verzeichnis aller verdächtigen IP-Adressen erstellt, Ziel eines DDoS-Angriffs, der die Website zwischenzeitlich lahmlegte und den Internetdatenverkehr weltweit verlangsamte. Die Angreifer gehörten vermutlich zu dem in den Niederlanden ansässigen CyberBunker, einem Host-Provider mit großzügigen Nutzungsbedingungen, und zu STOPhaus, das öffentlich sein Missfallen an den Aktivitäten von Spamhaus geäußert hat. Der DDoS-Angriff erfolgte, nachdem der viel genutzte Spamhaus-Dienst CyberBunker auf seine Blacklist gesetzt hatte. Mit dieser offensichtlichen Vergeltungsmaßnahme versuchten die verdächtigten Spammer Spamhaus mittels eines DDoS-Angriffs offline zu setzen.

Page 57: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

57 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

„In der Sicherheitsbranche wird immer noch diskutiert, ob es autoritativen Namenservern erlaubt sein soll, Anfragen von Entitäten zurückzuweisen, die als Vermittler in DDoS-Angriffen erkannt wurden. Daher sollten Unternehmen zunächst die oben beschriebenen, einfachen Verfahren implementieren“, so Gavin Reid, Director of Threat Intelligence bei Cisco.

Weitere Informationen zu DNS Best Practices finden Sie auf der Seite „DNS Best Practices, Netzwerk Protections, und Attack Identification“ unter http://www.cisco.com/web/about/security/intelligence/ dns-bcp.html.

Fortsetzung von vorheriger Seite

Bei dieser DDoS-Störung wurde ein DNS-Amplification-Angriff mit offenen DNS-Resolvern eingesetzt, die auch auf Anfragen von außerhalb des eigenen IP-Bereichs antworten. Indem Angreifer eine sehr kleine, aber wohlformulierte Anfrage mit einer manipulierten Quelladresse des Ziels an einen offenen Resolver senden, können sie eine signifikant längere Antwort an das gewünschte Ziel auslösen. Nachdem die ersten Versuche, Spamhaus offline zu setzen, fehlschlugen, führten die Angreifer einen DNS-Amplification-Angriff auf Tier 1 und andere für Spamhaus tätige Upstream-Provider aus.

DarkSeoulWie im Abschnitt „DDoS-Angriffe sind zurück“ beschrieben, werden DDoS-Angriffe und der Datendiebstahl in Unternehmen durch die Kompromittierung von Hostservern sowie immer mehr entsprechende Kenntnisse erleichtert.

Sicherheitsexperten von Cisco warnen, dass künftige DDoS-Kampagnen wahrscheinlich in der Lage sein werden, sowohl signifikante Unterbrechungen als auch Schäden zu verursachen – einschließlich finanzieller Verluste durch Diebstahl.

In die zielgerichteten DarkSeoul-Angriffe vom März 2013 war auch „Wiper“-Malware involviert, die Daten auf den Festplatten von Zehntausenden von PCs und Servern zerstörte. Die Angriffe richteten sich gegen Finanzinstitutionen und Medienunternehmen in Südkorea, wobei die Payload zum gleichen Zeitpunkt aktiviert wurde. Die Wiper-Malware war augenscheinlich aber nur eine Facette des Angriffs. Denn zeitgleich mit dem Auslösen der Malware wurde die Website des koreanischen Netzwerk-Providers LG U+ zerstört, und die Netzwerke anderer

Page 58: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

58 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

anvisierter Unternehmen wurden heruntergefahren – Fähigkeiten, die sich mit der Wiper-Malware nicht reproduzieren lassen.32

Einige vermuten, die Angriffe waren das Ergebnis eines Cyberangriffs von Nordkorea, um Südkorea ökonomisch zu schaden, oder ein Sabotageakt eines anderen Staates. Aber es besteht auch die Möglichkeit, dass die DarkSeoul-Angriffe darauf abzielten, finanzielle Gewinne zu verschleiern.33

Sicherheitsforscher versuchen immer noch, diese Angriffe zu verstehen und herauszufinden, wer dafür verantwortlich war. Es gibt aber Beweise dafür, dass mit der Umsetzung der Pläne für DarkSeoul bereits 2011 begonnen wurde. In jenem Jahr warnte das FBI erstmals vor dem Auftreten von Banktrojanern, die zur Verschleierung des Transfers von betrügerischen Geldanlagen auf Konten von Opfern entwickelt wurden.34 Dann berichtete die Sicherheitsfirma RSA 2012 von neuen Cyberkriminellen und raffinierten Trojanerkampagnen, mit denen ein Angriff an einem geplanten Tag ausgeführt wird. Dabei wird versucht, „das Geld von so vielen kompromittierten Konten wie möglich abzuziehen, bevor diese Vorgänge durch Sicherheitssysteme gestoppt werden.“35 Am Weihnachtsabend 2012 nutzten Onlinediebe einen DDoS-Angriff als Deckmantel für den Diebstahl bei einem regionalen Finanzdienstleister in Kalifornien.36

Wie Cisco TRAC/SIO-Ermittler herausgefunden haben, handelt es sich bei einer der bei den DarkSeoul-Angriffen identifizierten Malware-Binärdateien um einen Banking-Trojaner, der speziell auf Kunden der betroffenen Banken ausgerichtet war. Dieser Fakt lässt zusammen mit Cybercrime-Trends, die die Entwicklung hin zu DarkSeoul beschreiben, den Schluss zu, dass es sich bei dieser Kampagne letztlich um einen gut getarnten Diebstahl handelte.

Ransomware

Im Jahr 2013 ging die Anzahl herkömmlicher Botnet-basierter Infektionen auf PCs immer weiter zurück. Teil dieser Neuorientierung ist die verstärkte Verwendung von Ransomware als eigentliche Malware-Payload, die über kompromittierte Websites, bösartige E-Mails und Downloader-Trojaner verteilt wird. Ransomware ist eine Kategorie von Malware, die den normalen Betrieb infizierter Systeme so lange behindert, bis ein vorgeschriebener Geldbetrag gezahlt wird.

Ransomware bietet Angreifern einen schwer zu verfolgenden, jedoch unkomplizierten direkten Einnahmestrom, ohne dass die von herkömmlichen Botnets angebotenen Vermittlerdienste erforderlich wären. Angreifer ahmen legitimierte lokale Wirtschaftsstandorte nach, die aufgrund von Arbeitsplatzverlusten und konjunktureller

Im Jahr 2013 ging die Anzahl herkömmlicher

Botnet-basierter Infektionen auf PCs

immer weiter zurück.

[

]

Page 59: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

59 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

Abschwünge einen signifikanten Anstieg an Einzelunternehmen verzeichnen. Cyberkriminelle ziehen ihre Motivation dabei aus dem Verlust an Botnet-Verfügbarkeit und dem Zugriff auf Exploit-Kits aufgrund von Firmenschließungen.

Im Herbst 2013 begann ein neuer Typ von Ransomware, CryptoLocker genannt, die Dateien seiner Opfer mit einer Kombination aus RSA 2048-Bit-Schlüsselpaaren und AES-256 zu verschlüsseln – ein Code, der als nicht entschlüsselbar gilt. Bei seiner Aktivierung verschiebt CryptoLocker Dateien vom lokalen Computer, um jedem beschreibbaren zugeordneten Laufwerk passende Dateitypen hinzuzufügen. Nach der Ausführung der Verschlüsselungsroutine wird den Opfern eine Serie von Dialogfenstern angezeigt, die detaillierte Anweisungen für die Bezahlung des Lösegeldes enthalten (Abbildung 29). Außerdem wird ein Zeitmesser angezeigt, der dem Opfer die noch verfügbare Zeit für die Zahlung angibt (reicht von 30 bis 100 Stunden). Im Dialogfenster wird weiterhin davor gewarnt, dass bei Nichtbezahlung der Lösegeldsumme nach Ablauf der Zeit der private Schlüssel durch den Command-and-Control-Server gelöscht wird und danach keine Chance mehr bestünde, die Dateien zu entschlüsseln.

CryptoLocker verbreitete sich ab Mitte Oktober möglicherweise als Antwort auf den Verlust von der Blackhole- und Cool-Exploit-Kits und die Verhaftung der mutmaßlichen Autoren dieser Frameworks.

ABBILDUNG 29

Anweisungen zur Lösegeldzahlung von CryptoLocker

Page 60: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

60 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

Mangel an Sicherheitsexperten und wirksamen LösungenDas hohe Niveau der von Cyberkriminellen eingesetzten Technologien und Taktiken sowie die ununterbrochenen Versuche, Netzwerke zu hacken und Daten zu stehlen, übersteigt die Möglichkeiten von IT- und Sicherheitsexperten, entsprechend gegen diese Bedrohungen vorzugehen. Die meisten Unternehmen verfügen nicht über das Personal oder die Systeme, um ihre Netzwerke rund um die Uhr überwachen zu lassen und festzustellen, auf welchem Weg diese kompromittiert wurden.

Der Mangel an Sicherheitsexperten verschärft das Problem: Selbst wenn die erforderlichen Budgets vorhanden sind, haben CISOs große Probleme, Mitarbeiter zu finden, deren Fähigkeiten in Sachen Sicherheit auf dem aktuellen Stand sind. Es wird geschätzt, dass dieser Mangel in der Branche 2014 noch weiter wächst und weltweit mehr als eine Million Sicherheitsexperten fehlen. Weiterhin besteht ein Mangel an Sicherheitsexperten mit Kenntnissen im Bereich Datenwissenschaften: Durch das Verständnis und die Analyse von Sicherheitsdaten kann die Ausrichtung an Geschäftszielen verbessert werden (siehe Anhang auf Seite 68, „Sicherheitsteams benötigen Datenexperten: einführende Datenanalysetools für Sicherheitsexperten“).

CISOs haben Schwierigkeiten damit, Sicherheitsexperten

einzustellen.

[

]

Page 61: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

61 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

Die Cloud als neues PerimerterCISOs erklären gegenüber Sicherheitsexperten von Cisco, (siehe Seite 18), dass immer größere Mengen an geschäftskritischen Daten in die Cloud verlagert werden. Dies führt wiederum zu wachsenden Sicherheitsproblemen.

Die Cloud-Revolution ist nach Meinung von Michael Fuhrman, Cisco Vice President of Engineering, mit der rasanten Entwicklung von webbasierten Lösungen in den späten 1990er Jahren vergleichbar.

„Dies war damals ein radikaler Schritt hin zum geschäftlichen Einsatz neuer Technologien – doch zugleich wuchs auch die Zahl der Online-Angriffe durch Cyberkriminelle“, beschreibt Fuhrman. „Heute ist die Cloud für einschneidende Veränderungen verantwortlich. Nicht nur Unternehmen verlagern viele ihrer wichtigsten Anwendungen in die Cloud; sie verwenden die Cloud auch zur Verarbeitung und Analyse kritischer Geschäftsinformationen.“

Die steigende Popularität von Cloud Computing lässt sich weder leugnen noch stoppen. Cisco hat prognostiziert, dass der Datenverkehr in Cloud-Netzwerken bis 2017 um mehr als das Dreifache ansteigen wird.37

Sicherheitsexperten erwarten, dass in den nächsten Jahren ab 2014 ganze Unternehmens-Perimeter in die Cloud verlagert werden. Die Definition dieser Netzwerkgrenzen hat in den letzten Jahren an Schärfe verloren – die Grenzen sind fließender geworden. Doch wenn so viele Anwendungen und Daten in die Cloud verlagert werden, können Unternehmen nicht mehr sehen, wer und was die Grenzen des Unternehmens passiert und welche Aktionen Benutzer ausführen.

Mit dem Übergang zur Cloud wird neu definiert, wo Daten gespeichert sind, wohin sie bewegt werden und wo der Zugriff erfolgt – was Angreifern wiederum viele neue Möglichkeiten eröffnet.

Zu den Ängsten, die Kontrolle über die Daten an die Cloud zu verlieren, kommt der Mangel an Informationen darüber, wie Cloud-Anbieter ihre Produkte vor Sicherheitslücken schützen. Unternehmen stellen häufig nicht genug Fragen zu den Inhalten der Service Level Agreements ihrer Anbieter. Sie hinterfragen auch nicht die Häufigkeit, mit der Anbieter ihre Sicherheitssoftware aktualisieren oder Sicherheitslücken durch Patches beseitigen.

Die steigende Popularität von Cloud Computing lässt sich weder leugnen noch

stoppen.

[

]

Page 62: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

62 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Branche

Unternehmen müssen sich rückversichern, dass ein Cloud-Provider die modernsten Tools und Strategien zur Abwehr von Angriffen einsetzt und aktive Eingriffe so aufdeckt und unterbindet. Für Informationssicherheitsteams hängt die Entscheidung, wie weiter verfahren wird, häufig von einer Frage ab: „Welche Kontrollmittel muss ich bei einem Provider voraussetzen, damit ich ihm hinsichtlich Management und Schutz meiner Daten vertrauen kann?“

Auf der anderen Seite kämpfen Cloud-Anbieter damit, einen verwaltbaren Satz an Kontrollmitteln für die wachsende Zahl an internationalen Vorschriften und Richtlinien zu entwickeln und zu implementieren, die für die immer aggressivere Bedrohungslandschaft benötigt werden.

„Wenn wir einen Anbieter für wichtige Sicherheits- und Infrastrukturlösungen auswählen, beruht unsere Entscheidung oftmals auf technischen Qualifikationen und dem Ruf des Unternehmens“, so John N. Stewart, Senior Vice President und Chief Security Officer bei Cisco. „Neuerdings gewinnen allerdings Prozesse und die Weiterentwicklung von Sicherheitsansätzen als Faktoren immer mehr an Bedeutung.“

Gleichzeitig können die Faktoren, die die Cloud zu einer Bedrohung machen (wie Standort außerhalb des Netzwerk-Perimeters und zunehmende Verwendung der Cloud für geschäftskritische Daten), ein Unternehmen aber auch befähigen, wesentlich bessere Sicherheitsentscheidungen nahezu in Echtzeit zu fällen. Wenn mehr Datenverkehr an die Cloud abgegeben wird, können Sicherheitslösungen, die ebenfalls die Cloud nutzen, diesen Datenverkehr schnell und einfach analysieren und von den zusätzlichen Informationen profitieren. Zudem kann ein gut geschützter und gut verwalteter Cloud-Dienst kleineren Unternehmen oder Unternehmen mit engen Budgets mehr Sicherheitsmechanismen bereitstellen als die unternehmenseigenen Server und Firewalls.

„Wenn wir einen Anbieter für wichtige Sicherheits- und Infrastrukturlösungen auswählen, beruht unsere Entscheidung oftmals auf technischen Qualifikationen und dem Ruf des Unternehmens. Neuerdings gewinnen allerdings Prozesse und die Weiterentwicklung von Sicherheitsansätzen als Faktoren immer mehr an Bedeutung.“John N. Stewart, Senior Vice President und Chief Security Officer bei Cisco

Page 63: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

63 Cisco 2014 Annual Security Report

EmpfehlungenImmer mehr Unternehmen bemühen sich um ein effektives Sicherheitskonzept, das neue Technologien nutzt, sowohl Architektur als auch Betrieb vereinfacht und Sicherheitsteams umfassend unterstützt.

Page 64: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

64 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Empfehlungen

Ziele für 2014: Vertrauenswürdigkeit prüfen, Transparenz verbessernIn einer heutigen Umgebung, in der das Vertrauen, das einem Netzwerk oder einem Gerät entgegengebracht wird, dynamisch bewertet werden muss, sehen sich Unternehmen uneinheitlichen Sicherheitsmodellen gegenüber. Diese umfassen inkonsistente Optionen zur Richtliniendurchsetzung, isolierte Funktionen zur Abwehr von Bedrohungen und zahlreiche Anbieter und Produkte, die verwaltet werden müssen.

Die Verbindungen zwischen Unternehmen, Daten und den hochentwickelten Angriffen von Cyberkriminellen sind einfach zu komplex, als dass eine einzelne Appliance ausreichen würde. Außerdem verfügen die meisten Unternehmen nicht über genügend Sicherheitsmitarbeiter mit entsprechender Fachkompetenz und Erfahrung. Diese sind für die Anpassung von Sicherheitsmodellen an die Herausforderungen und Möglichkeiten, die mit Cloud Computing, Mobilität und anderen neuen Unternehmenstrends auf Basis von Technologieinnovationen einhergehen, von Vorteil.

Verschiedenste Unternehmen standen in den letzten Jahren vor der Herausforderung, Innovationen zu implementieren, ohne neue Sicherheitslücken zu schaffen oder bestehende auszuweiten. Außerdem rückte 2013 auch das Thema Vertrauen in den Vordergrund. Die Wahrscheinlichkeit, dass Benutzer die Vertrauenswürdigkeit der Technologie, die sie täglich für die Arbeit oder privat nutzen, in Frage stellen, ist nun sogar noch höher als zuvor. Für Technologieanbieter ist es darum wichtiger denn je, Kunden glaubhaft zu versichern, dass Sicherheit höchste Priorität bei ihren Herstellungsprozessen hat.

„Der Markt ist im Wandel. Vertrauen ist dabei extrem wichtig. Prozesse und Technologien müssen wesentliche Merkmale des Produktdesigns sein, damit Anbieter ausreichende Sicherheit gegen heutige Bedrohungen gewährleisten können“, so John N. Stewart, Chief Security Officer bei Cisco. „Das bloße Versprechen eines Anbieters ist nicht ausreichend. Firmen benötigen Sicherheit durch zertifizierte Produkte, integrierte Entwicklungsprozesse, innovative Technologie und einen festen Stand in der Branche. Außerdem muss die Überprüfung der Vertrauenswürdigkeit der Technologieprodukte, die ein Unternehmen nutzt, und der Anbieter, die diese bereitstellen, fortwährende Priorität für das Unternehmen haben.

[

]

Page 65: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

65 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Empfehlungen

Auch die Verbesserung der Abstimmung zwischen Sicherheitskonzepten und Unternehmenszielen ist eine wichtige Maßnahme zur Stärkung der Unternehmenssicherheit. In heutigen Umgebungen, die von eingeschränkten Ressourcen und schmalen Budgets geprägt sind, kann diese Abstimmung CISOs und Sicherheitsverantwortlichen dabei helfen, die wichtigsten Risiken und die entsprechenden Maßnahmen für deren Minderung zu identifizieren. Ein Teil dieses Prozesses besteht darin, zu akzeptieren, dass nicht alle Unternehmensressourcen zu jeder Zeit geschützt werden können. „Sie müssen sich darüber einig werden, welchen Ressourcen im Hinblick auf Cybersicherheit die größte Bedeutung zukommt“, empfiehlt Gavin Reid, Director of Threat Intelligence bei Cisco. „Dieser Ansatz ist deutlich produktiver als die Suche nach einer Wunderlösung, die alle Probleme beseitigt.“

Um heutige Sicherheitsanforderungen von Anfang an erfüllen zu können, müssen Unternehmen ihr Sicherheitsmodell ganzheitlich untersuchen und einen umfassenden Überblick über das gesamte Angriffskontinuum gewinnen:

•VoreinemAngriff: Damit Unternehmen ihr Netzwerk effektiv schützen können, müssen sie genau wissen, was sich darin alles befindet: Geräte, Betriebssysteme, Services, Anwendungen, Benutzer und vieles mehr. Außerdem müssen sie Zugriffskontrollen implementieren, Sicherheitsrichtlinien durchsetzen und Anwendungen und den allgemeinen Zugriff auf wichtige Ressourcen blockieren. Dennoch sind Richtlinien und spezielle Kontrollen nur ein kleiner Teil des großen Ganzen. Diese Maßnahmen können zwar helfen, die Angriffsfläche in Ihrer Umgebung zu verkleinern. Angreifer werden jedoch immer eine Lücke finden und diese ausnutzen, um ihr Ziel zu erreichen.

•WährendeinesAngriffs: Unternehmen müssen auf zahlreiche Angriffsvektoren vorbereitet sein und benötigen so Lösungen, die an jeder möglicherweise betroffenen Stelle greifen – im Netzwerk, auf Endgeräten, Mobilgeräten und in virtuellen Umgebungen. Mit effektiven Lösungen sind Sicherheitsexperten besser aufgestellt, Bedrohungen abzuwehren und die Umgebung zu schützen.

•NacheinemAngriff: Generell sind viele Angriffe, die auf Unternehmen zielen, erfolgreich. Das bedeutet, dass Unternehmen über einen formellen Plan verfügen müssen, der es ihnen ermöglicht, das Ausmaß der Schäden zu bestimmen, den Vorfall einzudämmen und zu lösen und so schnell wie möglich den Normalbetrieb wiederherzustellen.

„Angreifer und ihre Tools sind heutzutage so raffiniert, dass sie herkömmliche Abwehrmaßnahmen umgehen können. Es ist tatsächlich so, dass wir uns mittlerweile nicht mehr fragen müssen, ob Angreifer in unsere Umgebung gelangen, sondern wann“, stellt Marty Roesch fest, Chief Security Architect der Security Group von Cisco. „Um Benutzer im gesamten Angriffskontinuum vor, während und nach einem Angriff schützen zu können, ist ein transparenter Sicherheitsansatz erforderlich, in dessen Fokus die Bedrohungen stehen.“

[

]

Page 66: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

66 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Empfehlungen

So helfen Services bei der Überwindung von SicherheitsherausforderungenDurch größere Angriffsflächen, immer mehr und ausgereiftere Angriffsmodelle und wachsende Komplexität im Netzwerk haben viele Unternehmen Schwierigkeiten damit, ein Sicherheitskonzept umzusetzen, das neue Technologien umfasst, ihre Architektur und Abläufe vereinfacht und ihre Sicherheitsteams stärkt.

Wie auf Seite 60 erläutert, werden diese Schwierigkeiten durch das Fehlen von Mitarbeitern mit dem entsprechenden Know-how im Bereich Sicherheit noch zusätzlich verkompliziert. Darüber hinaus entwickelt sich die Sicherheitsbranche schneller weiter, als Unternehmen neue Innovationen bzw. Tools implementieren und in Betrieb nehmen können.

Die Suche nach einem passenden Mitarbeiter im hochgradig dynamischen Sicherheitsmarkt kann sich als schwierig herausstellen. Durch die Integration zusätzlicher externer Ressourcen können nicht nur Kosten eingespart, sondern auch andere Ressourcen entlastet werden, die sich dann um wichtigere Dinge kümmern können.

Stärkung des schwächsten GliedsDie Vermeidung von Angriffen ist für die Aufrechterhaltung von Cybersicherheit natürlich von großer Bedeutung. Da immer mehr Cyberkriminelle heute auf die Internet-Infrastruktur anstatt auf einzelne Computer abzielen, empfehlen die Sicherheitsexperten von Cisco ISPs und Hosting-Unternehmen, sich aktiver am Schutz der Integrität des Internets zu beteiligen.

Die Identifizierung von schwer zu erkennenden Bedrohungen wie DarkLeech und Linux/CDorked (siehe Seite 45) erfordert eine deutlich höhere Reaktionsfähigkeit auf Seiten der Hosting-Anbieter. Diese umfasst die vollständige Untersuchung von Benutzerberichten und einen ernsten Umgang mit diesen. Außerdem müssen die Anbieter bessere Kontrollen implementieren, damit sie die Integrität ihrer Serverbetriebssysteme überprüfen können. Ermittler von Cisco geben an, dass das Sicherheitsteam bei raffinierter Malware wie CDorked nicht hätte wissen können, dass die Binärdatei ausgetauscht wurde, wenn nicht schon eine Kontrolle vorhanden gewesen wäre, mit der die Integrität der Installation überprüft werden konnte.

Die Systeme einzelner Benutzer sind natürlich anfällig für Angriffe. Dennoch sind sie nicht unbedingt das schwächste Glied in der Kette, da Angreifer oft schon Schaden anrichten, bevor sie diese Systeme überhaupt erreichen. Viel häufiger zielt der Angriff auf die Mitte der Kette. Aus diesem Grund sollten sich die Anbieter viel mehr mit potenziellen Bedrohungen auseinandersetzen, die auf die Internet-Infrastruktur abzielen.

Page 67: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

67 Cisco 2014 Annual Security Report

Anhang

Page 68: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

68 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Sicherheitsteams benötigen Datenexperten Einführende Datenanalysetools für Sicherheitsexperten

CSO-Teams (Chief Security Officer) sammeln mehr Daten als jemals zuvor. Die Informationen, die in diesen erfassten Daten stecken, sind viel zu wertvoll, als dass sie ungenutzt bleiben sollten. Durch die Analyse sicherheitsrelevanter Daten erhalten Sie eine ungefähre Vorstellung von den Aktivitäten der Angreifer sowie nützliche Einblicke in Möglichkeiten zur Abwehr von Bedrohungen.

Für Sicherheitsexperten ist die Datenanalyse kein Neuland. Außerdem erwarten sie, dass Berichte erstellt und entsprechend ausgezeichnet werden. Pen-Tester erstellen einen Untersuchungsbericht nach der Bewertung. Entwickler von Betriebssystemen implementieren Überprüfungssubsysteme. Anwendungsentwickler konzipieren Anwendungen, die Protokolle generieren.

Ganz gleich, wie die Berichte benannt werden, eines ist in jedem Fall sicher: Sicherheitsexperten verfügen über riesige Datenvolumina, und die Analyse dieser kann zu wichtigen Erkenntnissen führen.

Auch wenn die Datenanalyse an sich nichts Neues ist, so hat die Entwicklung der Sicherheitslandschaft doch einen erheblichen Einfluss auf den Prozess der Analyse genommen.

•Alleine die Menge der generierten Daten ist unglaublich.

•Die Häufigkeit, mit der Ad-hoc-Datenanalysen benötigt werden, steigt immer weiter an.

•Standardisierte Berichte sind zwar hilfreich, reichen jedoch nicht aus.

Sicherheitsexperten verfügen über riesige Datenvolumina, deren Analyse zu wichtigen Erkenntnissen führen

kann.

Page 69: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

69 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Glücklicherweise stehen Sicherheitsexperten auch in dieser komplexen Umgebung bei der Datenanalyse kaum Hürden im Weg. Sie verfügen sogar über eine große Auswahl an Datenanalysetools. Im Folgenden erhalten Sie einen Überblick über einige der kostenlos erhältlichen Tools, die Experten nutzen können, um in die Datenanalyse einzusteigen.

Analyse von Datenverkehr mit Wireshark und Scapy

Zwei ausgezeichnete Tools für die Analyse von Datenverkehr sind Wireshark und Scapy. Wireshark sollte keiner Vorstellung bedürfen. Scapy ist ein Python-basiertes Tool, das entweder als Python-Modul oder auch interaktiv für die Erstellung oder Überprüfung von Datenverkehr genutzt werden kann.

Durch seine große Auswahl an Kommandozeilentools ist Wireshark als Datenanalysetool unverzichtbar. Über den Anzeigefilter „tcp.stream“ von Wireshark kann eine pcap-Datei, die mehrere TCP-Streams beinhaltet, in kleinere Dateien aufgeteilt werden, die jeweils die gesamten Pakete umfassen, die zu einem einzelnen TCP-Stream gehören.

Abbildung A1 zeigt diesen Befehl, über den der TCP-Streamindex der ersten fünf TCP-Pakete in traffic_sample.pcap angezeigt wird.

ABBILDUNG A1

Der tshark-Befehl zum Extrahieren des Index „tcp.stream“

tshark -r tra�c_sample.pcap -T �elds -e tcp.stream tcp | head -n 5

tshark ist eines der Befehlszeilen-Tools von Wireshark.

tcp.stream verweist auf das Streamindex-Feld des TCP-Anzeige�lters.

Page 70: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

70 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Mit diesem Wissen können Sie ein Skript schreiben, das traffic_sample.pcap in mehrere pcap-Dateien aufspaltet:

$ cat ~/bin/uniq_stream.sh #!/bin/bash

function getfile_name() {

orig_name=$1 stream=$2 file_name=”$(echo $orig_name | cut -d’.’ -f1)” file_name+=”-${stream}.pcap”

echo “${file_name}”

return 0 }

streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘)

for x in ${streams} do file_name=$(getfile_name ${1} ${x}) echo “Creating ${file_name}...” tshark -r ${1} -w $file_name tcp.stream eq ${x} done $

Das Skript erstellt eine einzelne pcap-Datei für jeden der 147 TCP-Streams in traffic_sample.pcap. Dadurch sind weitere Analysen jedes TCP-Streams jetzt wesentlich einfacher. Beachten Sie, dass Pakete aus traffic_sample.pcap, die nicht TCP nutzen, nicht in den neuen pcap-Dateien enthalten sein werden:

$ /bin/uniq_stream.sh traffic_sample.pcap Creating traffic_sample-1.pcap... Creating traffic_sample-2.pcap... … … Creating traffic_sample-146.pcap... Creating traffic_sample-147.pcap...

Page 71: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

71 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Scapy hat seine eigenen Vorteile. Da es in Python geschrieben ist, können alle Funktionen der Python-Sprache und andere Python-Tools genutzt werden. Der folgende Ausschnitt zeigt, wie Scapy die Operatorüberladung nutzt, sodass Datenverkehr schnell und intuitiv erstellt werden kann:

# scapy

>>> dns_query = IP()/UDP()/DNS()

>>> from socket import gethostbyname,gethostname

>>> dns_query[IP].src = gethostbyname(gethostname())

>>> dns_query[IP].dst = “8,8.8,8”

>>> import random

>>> random.seed()

>>> dns_query[UDP].sport = random.randint(0, 2**16)

>>> dns_query[DNS].id = random.randint(0, 2**16)

>>> dns_query[DNS].qdcount = 1

>>> dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”)

>>> scapy.sendrecv.sr1(dns_query)

>>> response = scapy.sendrecv.sr1(dns_query)

Begin emission:

............Finished to send 1 packets.

.*

Received 14 packets, got 1 answers, remaining 0 packets

>>> response[DNS].ar[DNSRR].rdata

‘64.102.255.44’

>>>

Dieses Beispiel zeigt, wie Pakete erstellt werden und wie Live-Datenverkehr analysiert werden kann. Scapy kann jedoch genauso einfach für die Analyse von pcap-Dateien eingesetzt werden.

Page 72: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

72 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Analyse von CSV-Daten

Bei CSV (Comma-separated Values) handelt es sich um ein weitverbreitetes Format für den Austausch von Daten. Zahlreiche Tools (einschließlich tshark) können Daten im CSV-Format exportieren. Meistens nutzen Sicherheitsexperten Tabellenkalkulationsprogramme wie Excel, um CSV-Daten zu analysieren. Oft ist es auch möglich, Befehlszeilentools wie grep, cut, sed, awk, uniq und sort einzusetzen.

Auch csvkit stellt eine Alternative dar. Csvkit bietet mehrere Dienstprogramme, mit denen die Verarbeitung von CSV-Daten über die Befehlszeile vereinfacht wird. Die folgende CSV-Datei macht deutlich, wie einfach es ist, alle Zeilen zu finden, bei denen der Host „tty.example.org“ in der src-Spalte steht:

$ head -n 3 tcp_data.csv src,srcport,dst,dstport “tty.example.org”,“51816”,”vex.example.org”,”443” “vex.example.org”,”443”,”tty.example.org”,”51816”

$ csvgrep -n tcp_data.csv 1: src 2: srcport 3: dst 4: dstport

$ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5 src,srcport,dst,dstport tty.example.org,51816,vex.example.org,443 tty.example.org,51816,vex.example.org,443 tty.example.org,51427,paz.example.org,5222 tty.example.org,51767,bid.example.org,80

Page 73: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

73 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Csvkit umfasst zahlreiche Dienstprogramme. Csvstat ist besonders praktisch, da es automatisch mehrere Statistiken errechnet. So ist es beispielsweise ganz einfach, zu bestimmen, welche src-Hosts am häufigsten vorkommen:

$ csvstat -c 1 tcp_data.csv 1. src <type ‘unicode’> Nulls: False Unique values: 55 5 most frequent values:

tty.example.org: 2866 lad.example.org: 1242 bin.example.org: 531 trw.example.org: 443 met.example.org: 363 Max length: 15

Row count: 6896

Matplotlib, Pandas, IPython und weitere

Es steht eine große Auswahl an Python-basierten Analyse- und Visualisierungstools zur Verfügung. Auf der SciPy-Website (http://www.scipy.org) finden Sie umfassende Informationen zu diesen Tools. Besonders interessant sind die Pakete „Matplotlib“, „Pandas“ und „IPython“:

•Matplotlib ermöglicht eine einfache und flexible Analyse und Visualisierung.

•Pandas bietet Tools für die Bearbeitung und Untersuchung von Rohdaten.

•Mit IPython können Sie im Python-Interpreter Funktionen nutzen, die eine interaktive Datenanalyse vereinfachen.

Page 74: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

74 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Im Folgenden sehen Sie, wie Sicherheitsexperten mithilfe dieser drei Tools die häufigsten src-Hosts in tcp_data.csv grafisch darstellen können:

In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”)In [4]: dfOut[4]: <class ‘pandas.core.frame.DataFrame’>Int64Index: 6896 entries, 0 to 6895Data columns (total 4 columns):src 6896 non-null valuessrcport 6896 non-null valuesdst 6896 non-null valuesdstport 6896 non-null valuesdtypes: int64(2), object(2)In [5]: df[‘src’].value_counts()[0:10]Out[5]: tty.example.org 2866lad.example.org 1242bin.example.org 531trw.example.org 443met.example.org 363gee.example.org 240gag.example.org 126and.example.org 107cup.example.org 95chi.example.org 93dtype: int64In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”)Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>

Page 75: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

75 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

ABBILDUNG A2

Mithilfe von Plot erstellte Tabelle ()

0

1000

500

1500

2000

2500

3000

tty.

exam

ple.

org

lad.

exam

ple.

org

bin.

exam

ple.

org

trw

.exa

mpl

e.or

g

met

.exa

mpl

e.or

g

gee.

exam

ple.

org

gag.

exam

ple.

org

and.

exam

ple.

org

cup.

exam

ple.

org

chi.e

xam

ple.

org

Der größte Vorteil von Pandas sind die Optionen zur Untersuchung von Daten. So ist es beispielsweise ganz einfach für jede einzelne dst- und dst-Port-Kombination, mit der kommuniziert wird, die Anzahl der einzelnen src-Ports zu finden, über die tty.example.org verbunden ist:

In [229]: tty_df = df[df.src == “tty.example.org”] In [230]: num_ports = lambda x: len(set(x)) In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports) Out[231]: dst dstport add.example.org 80 2 ala.example.org 80 3 and.example.org 80 1 auk.example.org 80 2 bid.example.org 80 1 …

Page 76: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

76 Cisco 2014 Annual Security ReportCisco 2014 Annual Security Report Anhang

Starten der Datenanalyse

Die Beispiele auf den vorherigen Seiten zeigen nur einen Bruchteil der Möglichkeiten der beschriebenen Tools auf. Dennoch reichen sie aus, damit Sicherheitsexperten aussagekräftige Datenanalysen durchführen können.

CSOs müssen ihre Sicherheitsexperten dazu bringen, dabei die Perspektive eines Datenwissenschaftlers einzunehmen. Die Analyse der verfügbaren Daten schafft Einblicke, die auf andere Weise nicht möglich wären. Mit der Zeit entwickelt sich außerdem eine Art Intuition dafür, welcher Teil der Daten genauer betrachtet werden sollte. Einige Unternehmen werden darüber hinaus feststellen, dass sie von einem dedizierten Datenwissenschaftler in ihren Teams profitieren können.

Page 77: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

77 Cisco 2014 Annual Security Report

Über die Cisco SIO

Page 78: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

78 Cisco 2014 Annual Security Report Über die Cisco SIO

Cisco SIODie Verwaltung und Sicherung der verteilten und flexiblen Netzwerke von heute wird zu einem immer größeren Problem.

Das Vertrauen der Benutzer in Verbraucheranwendungen und -geräte wird nach wie vor von Cyberkriminellen ausgenutzt. Damit steigt das Risiko für Unternehmen und Mitarbeiter. Die herkömmliche Sicherheit, die durch Schichtung von Produkten und verschiedene Filter gewährt wird, ist als Schutz vor der neuesten Malware-Generation nicht ausreichend. Diese breitet sich schnell aus, verfolgt globale Ziele und nutzt mehrere Vektoren, um sich zu verbreiten.

Um auch vor den neuesten Bedrohungsformen Schutz zu bieten, verwendet Cisco Echtzeit-Bedrohungsinformationen aus den Cisco Security Intelligence Operations (SIO). Bei den Cisco SIO handelt es sich um die weltweit umfangreichste Cloud-basierte Sicherheitsumgebung, in der täglich über 75 Terabit an Live-Datenfeeds aus allen Cisco E-Mail, Web-, Firewall- und IPS-Lösungen analysiert werden.

Nach der Auswertung und Verarbeitung der Datenströme erstellen die Cisco SIO mithilfe von über 200 Parametern Regeln zum Schutz vor Bedrohungen. Es werden kontinuierlich Informationen zu sicherheitsrelevanten Ereignissen gesammelt, die kritische Auswirkungen auf Netzwerke, Anwendungen und Geräte haben können. Die Sicherheitslösungen nutzen diese Informationen wiederum, um den Schutz vor aktuellen Bedrohungen gewährleisten zu können. Dabei werden alle drei bis fünf Minuten dynamische Regeln an implementierte Cisco Sicherheitslösungen übermittelt.

Zusätzlich veröffentlicht das Cisco SIO-Team Best Practices und taktische Richtlinien zur Abwehr von Bedrohungen. Cisco stellt umfassende integrierte Sicherheitslösungen bereit, die zeitgerecht und wirksam arbeiten. Unternehmen in aller Welt vertrauen auf die Lösungen von Cisco und gewährleisten so ein hohes Maß an Sicherheit. Mit Cisco können Unternehmen bei der Suche nach Bedrohungen und Schwachstellen Zeit sparen und sich auf einen proaktiven Sicherheitsansatz konzentrieren.

Informationen zu Frühwarnung, Bedrohungs- und Schwachstellenanalysen sowie bewährte Lösungen von Cisco für die Risikosenkung finden Sie unter www.cisco.com/go/sio.

Herkömmliche Sicherheitslösungen

reichen nicht aus, wenn es um den Schutz vor neuer Malware geht.

Page 79: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

79 Cisco 2014 Annual Security Report

Endnoten 1 Weitere Informationen zur Any-to-Any-Entwicklung finden Sie unter „Der Nexus zwischen Geräten, Clouds und

Anwendungen“ im Cisco 2013 Annual Security Report: http://www.cisco.com/web/DE/pdfs/Cisco_ASR_2012_v2_020813.pdf.

2 Ibid

3 „No More Chewy Centers: Introducing The Zero Trust Model Of Information Security“, von John Kindervag, Forrester, 12. November 2012

4 „Timeline of Edward Snowden’s Revelations“, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html.

5 „NSA collecting phone records of millions of Verizon customers daily“, von Glenn Greenwald, The Guardian, 5. Juni 2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.

6 GCHQ: Government Communications Headquarters, ein britischer Geheimdienst

7 „NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say“, von Barton Gellman und Ashkan Soltani, 30. Oktober 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.

8 Weitere Informationen finden Sie unter „Cisco Secure Development Lifecycle (CSDL)“: http://www.cisco.com/web/about/security/cspo/csdl/index.html.

9 Ibid

10 Für Cisco stellt das Internet of Everything den nächsten großen Wachstumsschub des Internets dar, der sich durch das Zusammenspiel von Personen, Prozessen, Daten und Objekten ergibt.

11 „Massive Spam and Malware Campaign Following the Boston Tragedy“, Cisco Security Blog, 17. April 2013: http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.

12 Ibid

13 Ibid

14 Bereich „Erfahren Sie mehr über die Java-Technologie“ auf der Java-Website: http://www.java.com/de/about/.

15 Weitere Informationen zur „Any-to-Any-Entwicklung“ finden Sie im Cisco 2013 Annual Security Report: http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.

16 „Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities“, von Craig Williams, Cisco Security Blog, 04.05.2013: http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.

17 „Watering-Hole Attacks Target Energy Sector“, von Emmanuel Tacheau, Cisco Security Blog, 18. September 2013: http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.

18 „Apache DarkLeech Compromises“, von Mary Landesman, Cisco Security Blog, 2. April 2013: http://blogs.cisco.com/security/apache-DarkLeech-compromises/.

19 „Ongoing malware attack targeting Apache hijacks 20.000 sites“, von Dan Goodin, Ars Technica, 2. April 2013: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.

20 „Linux/CDorked FAQS“, von Mary Landesman, Cisco Security Blog, 01.05.2013: http://blogs.cisco.com/security/linuxcdorked-faqs/.

21 „DarkLeech Apache Attacks Intensify“, von Matthew J. Schwartz, InformationWeek, 30. April 2013: http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.

22 Beim Typosquatting werden Domänennamen registriert, die sich nur in einem Zeichen von einem gängigen Domänennamen unterscheiden.

23 „Thanks to IoE, the next decade looks positively ‘nutty’“, von Dave Evans, Cisco Platform Blog, 12. Februar 2013: http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.

Page 80: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

80 Cisco 2014 Annual Security Report

24 Weitere Informationen zu Risikominderungsstrategien für Bitsquatting finden Sie im Cisco Whitepaper „Examining the Bitsquatting Attack Surface“, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf.

25 „WordPress Sites in the World“ und „A Look at Activity Across WordPress.com“, WordPress.com: http://en.wordpress.com/stats/.

26 „Important Security Update: Reset Your Drupal.org Password“, Drupal.org, 29.05.2013: https://drupal.org/news/130529SecurityUpdate.

27 Einen umfassenden Bericht zu den Mustern und Payloads der Kampagne „Operation Ababil“ finden Sie in „Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions“: http://www.cisco.com/web/about/security/intelligence/ ERP-financial-DDoS.html.

28 „DDoS Attack on Bank Hid $900.000 Cyberheist“, von Brian Krebs, KrebsonSecurity Blog, 19. Februar 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

29 „Chinese Internet Hit by Attack Over Weekend“, von Paul Mozer, China Real Time Report, WSJ.com, 26. August 2013: http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.

30 Quelle: Wikipedia: „Ingress Filtering“: http://en.wikipedia.org/wiki/Ingress_filtering.

31 „Understanding Unicast Reverse Path Forwarding“, Cisco Website: http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html.

32 „Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack“, von Sean Gallagher, Ars Technica, 20. März 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean- cyber-attack/.

33 „Thoughts on DarkSeoul: Data Sharing and Targeted Attackers“, von Seth Hanford, Cisco Security Blog, 27. März 2013: http://blogs.cisco.com/tag/darkseoul/.

34 Ibid

35 „Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks“, von Mor Ahuvia, RSA, 4. Oktober 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/.

36 „DDoS Attack on Bank Hid $900.000 Cyberheist“, von Brian Krebs, KrebsonSecurity Blog, 19. Februar 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

37 „Cisco projects data center-cloud traffic to triple by 2017“, ZDNet, 15. Oktober 2013: http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.

Page 81: Cisco 2014 Annual Security Report · 3 Cisco 2014 Annual Security Report Wichtigste Erkenntnisse Im Mittelpunkt des Cisco 2014 Annual Security Report stehen die folgenden drei Erkenntnisse:

Cisco verfügt über mehr als 200 Niederlassungen weltweit. Die Adressen mit Telefon- und Faxnummern finden Sie auf der Cisco Website unter www.cisco.com/go/offices.

Der gesamte Inhalt ist urheberrechtlich geschützt. Copyright © 2011–2014 Cisco Systems, Inc. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. Cisco und das Cisco Logo sind Marken von Cisco Systems, Inc. und/oder Partnerunternehmen in den Vereinigten Staaten und anderen Ländern. Eine Liste der Cisco Marken finden Sie unter www.cisco.com/go/trademarks. Die genannten Marken anderer Anbieter sind Eigentum der jeweiligen Inhaber. Die Verwendung des Begriffs „Partner“ impliziert keine gesellschaftsrechtliche Beziehung zwischen Cisco und anderen Unternehmen. (012114 v1)

Hauptgeschäftsstelle Nord- und Südamerika Cisco Systems, Inc. San Jose, CA

Hauptgeschäftsstelle Asien-Pazifik-Raum Cisco Systems (USA) Pte. Ltd. Singapur

Hauptgeschäftsstelle Europa Cisco Systems International BV Amsterdam, Niederlande