Sie haben Fragen zu Check Point? Rufen Sie uns …„HRLICHER CHECK POINT SICHERHEITSBERICHT 2013 01...

Classification: [Protected] - All rights reserved.

©2003–2012 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check Point 4600, Check Point 4800, Check Point 12000 Appliances, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On Demand, the Check Point logo, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, the More, better, Simpler Security logo, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, and the Zone Labs logo are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product names mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611, 6,496,935, 6,873,988, 6,850,943, 7,165,076, 7,540,013, 7,725,737 and 7,788,726 and may be protected by other U.S. Patents, foreign patents, or pending applications.

October 16, 2012

Contact Check Point now

www.checkpoint.com/contactus

By phone in the US: 1-800-429-4391 option 5 or

1-650-628-2000

COntACt CHeCK POint

Worldwide Headquarters5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: [email protected]. Headquarters800 Bridge Parkway, Redwood City, CA 94065 | Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233 | www.checkpoint.com

COntACt CHeCK POint

Worldwide Headquarters5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: [email protected]. Headquarters959 Skyway Road, Suite 300, San Carlos, CA 94070 | Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233 | www.checkpoint.com

JANUAR 2013

CHECK POINT SICHERHEITSBERICHT 2013

CHECK POINT SICHERHEITS-BERICHT 2013

März 2013

Sie haben Fragen zu Check Point?

Rufen Sie uns doch an

Tel. +49 89 930 99 0

Oder senden Sie uns

eine E-Mail:

[email protected]

http://www.computerlinks.de

cover_print.indd 1 05.03.13 16:29

01 _ EINFÜHRUNG UND METHODIK

002

JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013


003


CheCk Point SiCherheitSberiCht 2013

01einführung und Methodik 004

02bedrohungen für ihr Unternehmen 006

03Anwendungen im Arbeitsbereich von Unternehmen 020

04Fälle von Datenverlust in netzwerken 030

AAnhang 042

06Check Point Software technologies 038

05Zusammenfassung und Sicherheitsstrategie 036


01

„Wie WASSer keine UnveränDerliChe ForM kennt, gibt eS iM krieg keine UnveränDerliChen beDingUngen.“1

ObwOhl dieser satz bereits 2.600 Jahre alt ist, hat er immer nOch eine überraschend hOhe relevanz für die mOderne Kriegsführung – den cyber-Krieg.

Die Techniken von Hackern unterliegen einem steten Wandel, sie setzen immer fortschrittlichere und komplexere Angriffs-methoden ein. So wird Sicherheit zu einer immer größeren Herausforderung. Rechenzentren, Computer von Mitarbeitern und Mobiltelefone gehören zu den häufigsten Zielen von Ha-ckern. Diese setzten eine schier unendliche Vielfalt an Malwa-re ein, zum Beispiel Bots, Trojaner und Drive-By-Downloads. Hacker nutzen Tricks und Social Engineering zur Manipula-tion ahnungsloser Nutzer, um so Zugriff auf Unternehmens-daten zu erhalten, wie interne Dokumente, Finanzberichte, Kreditkartennummern und Benutzerdaten, oder auch, um Dienste mittels Denial-of-Service-Angriffen abzuschalten. Diese moderne Art des Krieges mit hoch entwickelten Bedro-hungen und Angriffen wird weiter fortgesetzt. Immer mehr Unternehmensdaten werden in Rechenzentren, auf Servern, PCs und Mobilgeräten gespeichert. Mehr Daten und Plattfor-men bedeuten größere Risiken. Außerdem wird die Anzahl der Sicherheitsbedrohungen nicht kleiner, und jeder neue Angriff zeigt einen noch höheren Entwicklungsgrad.Welchen Sicherheitsrisiken war Ihre Netzwerkumgebung im letzten Jahr am häufigsten ausgesetzt? Welche Risiken kommen im nächsten Jahr auf Sie zu? Dies waren die beiden wichtigsten Fragen, mit denen sich Check Points Sicherheitsexperten für Sicherheit in den letzten Monaten auseinandergesetzt hat. Im Zuge der Beantwortung dieser Fragen hat Check Point eine intensive Sicherheitsanalyse durchgeführt.

Dieser Bericht gewährt einen Einblick in Sicherheit relevante Ereignisse in Netzwerken, die im Jahr 2012 in Unternehmen weltweit auftraten. Er informiert über die Sicherheit relevante Ereignisse in diesen Unternehmen, es werden Beispiele öffent-lich gewordener Fälle genannt, und es wird erklärt, wie einige der Angriffe durchgeführt wurden. Darauf folgen Empfehlun-gen, welche Schutzmaßnahmen gegen derartige Sicherheitsbe-drohungen ergriffen werden können. Der Bericht ist dreitei-lig. Jeder Teil behandelt einen anderen Sicherheitsaspekt. Der erste Teil umfasst Sicherheitsbedrohungen wie Bots, Viren, Sicherheitslücken und Angriffe. Der zweite Teil behandelt ri-sikoreiche Webanwendungen, die zur Bedrohung für die Si-cherheit von Unternehmensnetzwerken werden. Der dritte Teil schließlich befasst sich mit Datenverlust durch unbeabsichtigte Handlungen von Mitarbeitern.

MethodikDer Check Point Sicherheitsbericht 2013 basiert auf umfassen-der Untersuchung und Analyse von Sicherheitsereignissen. Die Informationen stammen vorwiegend aus vier Quellen: Ana-lyseberichte von Check Point Sicherheits-Gateways2, Check Point ThreatCloud™3, Check Point SensorNet™-Netzwerk und Berichte von Check Point Endpoint Security.

Es wurde eine Metaanalyse von Sicherheitsereignissen in Netz-werken von 888 Unternehmen durchgeführt. Hierbei fan-den Daten Verwendung, die mithilfe von Check Point Secu-rity Gateways erfasst wurden. Diese Gateways scannen den ein- und ausgehenden Live-Netzwerkdatenverkehr in Unter-nehmen. Der Datenverkehr wurde mit der Software Blade Architektur von Check Point überprüft, um eine Vielzahl von Sicherheitsbedrohungen aufzuspüren, unter anderem risikoreiche Anwendungen, versuchtes Eindringen, Viren, Bots und Verlust sensibler Daten. Der Netzwerkverkehr wurde in Echtzeit über-wacht, durch die Implementierung des Check Point Sicherheits-Gateways, inline oder im Überwachungsmodus (TAP).

einFÜhrUng UnD MethoDik

004



Im Durchschnitt wurde der Netzwerkverkehr der einzelnen Unternehmen 134 Stunden überwacht. Die untersuchten Un-ternehmen stammen aus vielen verschiedenen Branchen und befinden sich an unterschiedlichen Standorten weltweit, wie die Diagramme 1-A und 1-B zeigen.

Zusätzlich wurden über 111,7 Millionen Ereignisse aus 1.494 Security Gateways ausgewertet, mithilfe von Daten, die durch ThreatCloud™ von Check Point generiert wurden. ThreatC-loud ist eine umfangreicher Security-Service (Anti-Virus, An-ti-Malware, URL-Filtering), der in Echtzeit aktualisiert wird. Daten werden aus einem großen Netzwerk globaler Sensoren eingespeist, die weltweit strategisch platziert sind und Infor-mationen zu Bedrohungen und Angriffen von Malware sam-meln. ThreatCloud ermöglicht ein gemeinsames Netzwerk zur Bekämpfung von Cyber-Kriminalität durch die Identifizierung sich abzeichnender weltweiter Sicherheitstrends und Bedro-hungen. Es erfolgte eine Auswertung von Daten aus ThreatC-loud, die innerhalb von drei Monaten zwischen August und Oktober 2012 erfasst wurden.

Referenzmaterial zu den Daten aus ThreatCloud wurde durch das SensorNet™-Netzwerk von Check Point im Zeitraum vom 1. Juli bis zum 30. September 2012 gesammelt. Check Point SensorNet ist ein global verteiltes Netzwerk von Sensoren, die Sicherheitsinformationen und Datenverkehrsstatistiken an ein zentrales Analysesystem senden. Diese Daten werden ausge-wertet, um Trends und Anomalien aufzuspüren und eine Echt-zeit-Darstellung der weltweiten Sicherheitslage bereitzustellen.

Außerdem wurde eine Metaanalyse von 628 Endpoint-Sicher-heitsberichten in vielen verschiedenen Unternehmen durch-geführt. Diese Sicherheitsanalyse umfasste eine Prüfung aller Hosts zur Erkennung von Risiken in puncto Datenverlust, Eindringlinge und Malware. Die Analyse wurde mit dem Be-richts-Tool von Check Point Endpoint Security durchgeführt. Dieses prüft, ob Virenschutz auf dem Host installiert und auf dem neuesten Stand ist, ob die aktuellste Softwareversion ins-talliert ist und vieles mehr. Das Tool ist kostenlos und öffent-lich zugänglich. Es steht auf der Website4 von Check Point zum Download zur Verfügung.

Dieser Bericht basiert auf Daten aus den oben genannten Quellen.

*APAC – Asiatisch-pazifischer Raum und Japan EMEA – Europa, Naher Osten und Afrika

26 % Sonstige 235

39 % Industrie 346

14 % Finanzw

esen 128

10 % Regierungen 89

7 % Telekom

munikation 59

4% C

onsulting 31

Branchen

Geografie

40 % EM

EA* 354

40 % N

ord- und Südam

erika 35 6

20 % APAC

* 178

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

Diagramm 1-A

Branchenspezifikation

Industrie – Chemie/Raffinerie, Gesundheitswesen, Pharmazie, IT, Produktion, Transport, Versorgung, Infrastruktur Finanzwesen – Finanzen, Buchhaltung, Online-Banking, Investment Regierung – Behörden, MilitärTelekommunikation – Telekommunikation, Dienstanbieter, ISP, MSPConsulting – Consulting ServicesSonstige – Werbung/Medien, Distributor, Bildung, Recht, Freizeit/Gastgewerbe, Einzel-/Großhandel, Sonstige

005



02 beDrohUngen FÜr ihr UnternehMen

BLACKHOLE ein eXPloit-kit FÜr Die MASSe

Der starke Anstieg von schädlichen Aktivitäten im letzten Jahr liegt zum Teil daran, dass Hacker ganz einfach vorgefertigte Tools und Pakete für Angriffe nutzen. Mit nur einem Klick kann jeder ein komplettes, hochentwickeltes Angriffspaket herunterladen. Eines dieser Pakete ist das BlackHole Exploit Kit – ein weitverbreitetes, webbasiertes Softwarepaket. BlackHole

besteht aus mehreren Tools, die Sicherheitslücken in Webbrowsern ausnutzen, um Viren, Bots, Trojaner und andere Schadsoftware auf die Computer ahnungsloser Opfer herunterzuladen. Der Preis für diese Kits liegt zwischen 50 US-Dollar für einen Tag Nutzung, bis hin zu 1.500 für ein ganzes Jahr9.

motiviert und verfolgen bestimmte Ziele. Cyber-Kriminelle scheinen ein hohes Maß an Zeit und Ressourcen in das Sammeln von Informationen zu investieren. Ihre kriminellen Aktivitäten verursachen große Schäden bei Unternehmen, unter anderem Verlust vertraulicher Daten, Ausfälle, Image-Schäden und selbstverständlich auch finanzielle Einbußen. Die komplexesten und langwierigsten Angriffe, die zum Erreichen eines bestimmten, vorher festgelegten Ziels dienen, werden als Advanced Persistent Threats (APT) bezeichnet. Es ist unwahrscheinlich, dass sie von herkömmlichen Sicherheitssystemen erkannt werden. Dies stellt eine Gefahr für Regierungen, große Unternehmen, Kleinunternehmen und sogar private Netzwerke dar.

Sondermeldung:neuer Cyber-Angriff aufgedeckt

Im Jahr 2012 verbreiteten sich Cyber-Angriffe beständig und sorgten weiterhin für Schlagzeilen. Beinahe täglich schaffen es Bedrohungen durch Schadsoftware, Angriffe und Bot-Netze auf die Titelseiten der Zeitungen. Hacker feiern berüchtigte Erfolge beim Stehlen von Daten, Stilllegen von Abläufen und Ausspionieren von Unternehmen und Regierungen. Die folgenden Beispiele von Cyber-Angriffen im Jahr 2012 sind dabei nur die Spitze des Eisbergs: Hacker-Angriff auf das Netzwerk6 des Weißen Hauses, Hacker-Aktivisten der Gruppe Anonymus legten die Websites der Handelsgruppen U.S. Telecom Association und TechAmerica7 still, Cyber-Angriffe trafen die Capital One Financial Corp., BB&T Corp., die HSBC Bank USA8 und viele andere.

Advanced Persistent threatsCyber-Kriminelle sind längst keine isolierten Amateure mehr. In vielen Fällen gehören sie gut strukturierten Organisationen an, die an Terrorzellen erinnern. Sie sind finanziell gut ausgestattet,

„es gibt nur zwei arten vOn unternehmen:

dieJenigen, die bereits gehacKt wurden, und dieJenigen, die

NOCH GEHACKT WERDEN.“Robert Mueller, Director, FBI, März 20125

006



Global Payments Inc.Ein globales Unternehmen für Zahlungsverarbeitung wurde im Juni 2012 gehackt. Über 1,5 Millionen Kreditkartenangaben wurden gestohlen.

Clarksville, Tennessee, USAIm Juni 2012 drangen Hacker in das System der Clarksville-Montgomery County-Schulen ein und erbeuteten die Namen, Sozialversicherungsnummern und weitere persönliche Daten von rund 110.000 Personen. Die Hacker verwendeten Informationen, die Angestellte und Schüler online angegeben hatten, um Zugriff auf das System zu erhalten10.

Serco Thrift Savings PlanIm Mai 2012 führte ein Angriff auf Serco in den USA dazu, dass Daten von 123.000 Bundesbediensteten gestohlen wurden.

Universität von Nebraska Ein Datenleck führte zum Diebstahl von über 650.000 Dateien mit persönlichen Daten von Studenten, Ehemaligen, Eltern und Angestellten der Universität aus der Datenbank des Nebraska Student Information System.

USA, Utah Department of Technology ServicesIm März 2012 wurden 780.000 Patientenakten mit Daten zu Ansprüchen auf Medicaid-Leistungen (staatl. Gesundheitsfürsorge) vermutlich von Hackern aus Osteuropa von einem Server entwendet.

Staatliches Gesundheitssystem GroßbritanniensZwischen Juli 2011 und Juli 2012 traten beim staatlichen britischen Gesundheitssystem (National Health Service) mehrere Datenlecks auf, die nahezu 1,8 Millionen Patientenakten preisgaben11.

DATENLECKS iM JAhr 2012

erreicht. Jetzt kann er den infizierten Host verwenden, um Daten zu sammeln oder ferngesteuert Schaden anzurichten. Dabei bleibt er über einen langen Zeitraum beständig unentdeckt im Netzwerk.

bot-netze wird es weiterhin gebenEine der größten Bedrohungen der Netzwerksicherheit, denen Unternehmen heute ausgesetzt sind, stellen Bot-Netze dar. Ein Bot ist eine Form von Schadsoftware, die in einen Computer eindringt, diesen infiziert und es Kriminellen ermöglicht, aus der Entfernung die Kontrolle über den Rechner zu übernehmen. Der infizierte Computer kann dann illegale Aktivitäten ausführen, zum Beispiel Diebstahl von Daten, Versenden von Spam, Verteilen von Malware und Teilnahme an Denial-of-Service (DoS)-Angriffen. Dies geschieht oft ohne dass der Nutzer des infizierten Computers es bemerkt. Bots spielen außerdem eine entscheidende Rolle bei APT-Angriffen.

Der erste Schritt eines APT-Angriffs besteht typischerweise darin, Erkundungen vorzunehmen und somit Informationen über das Ziel zu erhalten. Dann erfolgt ein erstes Eindringen in das Netzwerk des Opfers, um eine Backdoor (Hintertür) zu öffnen und sich im Netzwerk einzunisten. Dies wird meist dadurch erreicht, dass ein Host mit einem Bot infiziert wird, der es dem Angreifer ermöglicht, unentdeckt mit dem infizierten Host zu kommunizieren. Der Angreifer versucht dann, weiter in das Netzwerk vorzudringen und noch mehr Knotenpunkte zu beeinträchtigen. Nach diesem Schritt hat der Angreifer sein Ziel

bOt-tOOlKits werden Online für nur 500 us-dOllar

verKauft und verursachen bei unternehmen verluste in

MILLIONENHÖHE

Im letzten Jahr tauchten mehrere Datenlecks auf, wobei Kreditkarten-, Kunden-, Studenten- oder Patientendaten von Unternehmensservern ausgekundschaftet wurden. Diese schädlichen Aktivitäten zielen darauf ab, vertrauliche Informationen zu erlangen. Die folgende Liste enthält einige Beispiele:

007



AKTIVITÄTEN VON BOT-NETZEN

versand von Spam-e-Mails

Angriffe auf Computer

und ServerDaten-diebstahl

verbreitung von Schad-software

verbreitung von viren

Unter den aktuellen Bedrohungen zeichnen sich zwei starke Trends ab, die auf Bot-Angriffen basieren. Der erste Trend ist die wachsende, profitorientierte Cyber-Kriminalität. Zu dieser Branche gehören Cyber-Kriminelle, Anwender von Malware, Programmierer sowie Anbieter von Tools und Partnerprogrammen. Ihre „Produkte“ können ganz einfach online auf bestimmten Websites bestellt werden (zum Beispiel: Malware-Sets für Einsteiger, Versenden von Spam, Datendiebstahl und Denial-of-Service-Angriffe), und für Unternehmen ist es

schwierig, diese Angriffe abzuwehren. Der zweite Trend besteht aus ideologischen und staatlich veranlassten Angriffen, die Personen oder Unternehmen aus politischen Gründen attackieren oder Teil einer Cyber-Kriegskampagne sind.Bot-Netze wird es weiterhin geben. Im Gegensatz zu Viren und anderer herkömmlicher statischer Malware (deren Code und Form gleich bleiben) sind Bot-Netze dynamisch und können schnell Form und Verhaltensmuster ändern. Bot-Toolkits werden online für nur 500 US-Dollar verkauft und verursachen durch

008



ihre Angriffe bei Unternehmen Verluste in Millionenhöhe. Bots sind zu einem riesigen Problem geworden.

bot-netze gibt es überall, aber wie konkret ist die bedrohung?Schätzungsweise bis zu einem Viertel aller Privatcomputer mit Internetverbindung könnten Teil eines Bot-Netzes12 sein. Unsere jüngsten Forschungsergebnisse zeigen, dass in 63 % der Unternehmen mindestens ein Bot entdeckt wurde. Die meisten Unternehmen sind mit einer Vielzahl von Bots infiziert.

Funktionsweise von bot-netzenEin Bot-Netz umfasst typischerweise mehrere Computer, die mit Schadsoftware infiziert sind. Diese stellt eine Netzwerkverbindung mit einem oder mehreren Steuersystemen her, sogenannte Command & Control-Server. Wenn ein Bot einen Computer infiziert, übernimmt er die Kontrolle über den

verbreitung von viren

DER UNTERSUCHTEN UNTERNEHMEN WAREN VON BOTS BEFALLEN

63 %

Anzahl der mit bots infizierten hosts (% der Unternehmen)

48 % 1–3 Hosts

18 % 4–6 Hosts

10 %

7–9

Hos

ts

18 %

10–

21 H

osts

6 % Mehr als 21 Hosts

Rechner und schaltet die Verteidigung durch den Virenschutz aus. Bots sind schwer zu entdecken, da sie sich in Computern verstecken und ihre Erscheinungsform gegenüber Antiviren-Software verändern. Der Bot verbindet sich dann mit dem Command & Control-Center (C&C), um Anweisungen von den Cyber-Kriminellen zu erhalten. Für diese Verbindungen werden viele Kommunikationsprotokolle genutzt, einschließlich

Spam, Virus, DDoS

Krimineller „Bot-Herder“

Bot

Command & Control

Computer mit Internet-verbindung

Diagramm 2-A

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

009



Internet Relay Chat (IRC), HTTP, ICMP, DNS, SMTP, SSL und in manchen Fällen eigens von den Programmierern des Bot-Netzes erstellte Protokolle.

Command & Control-AktivitätenBots treten in vielen verschiedenen Arten und Formen auf und können eine Vielzahl an Aktivitäten ausführen. In vielen Fällen kann bereits ein einzelner Bot eine große Bedrohung darstellen. Befindet es sich erst unter der Kontrolle des Command & Control-Servers, kann ein Bot-Netz vom Bot-Herder angewiesen werden, illegale Aktivitäten ohne das Wissen des Nutzers auszuführen. Dazu gehören das Infizieren weiterer Computer zur Erweiterung des Bot-Netzes, der massenhafte Versand von Spam, DDoS-Angriffe und Diebstahl persönlicher Daten, Finanzdaten und vertraulicher Unternehmensdaten durch Bots im Bot-Netz. Bots werden außerdem oft als Werkzeuge für ATP-Angriffe

verwendet, bei denen Cyber-Kriminelle gezielt Personen oder Unternehmen attackieren.Diagramm 2-B zeigt die Häufigkeit der Kommunikation zwischen Bot und Command & Control-Center. 70 % der Bots, die im Zuge unserer Untersuchung entdeckt wurden, kommunizierten mindestens einmal alle zwei Stunden mit ihrem Command & Control-Center. Der Großteil der Command & Control-Aktivitäten fand in den USA statt, gefolgt von Deutschland, den Niederlanden und Frankreich, wie in Diagramm 2-C zu erkennen ist.Die verschiedenen Typen der Kommunikation von Bot zu Command & Control-Center umfassen Berichte über neu infizierte Hosts, Keep-Alive-Nachrichten und Daten, die im Host-System gesammelt wurden. Unsere Untersuchung ergab, dass ein Bot durchschnittlich alle 21 Minuten mit seinem Command & Control-Center kommuniziert.

Auf welches bot-netz sollte man achten?Es gibt zurzeit Tausende Bot-Netze. Die folgende Tabelle zeigt die bekanntesten und berüchtigtsten Bot-Netze, auf die wir während unserer Forschungen gestoßen sind. Zum besseren Verständnis dieser heimlichen Bedrohungen finden Sie weitere Informationen zu jeder Bedrohung in Anhang A.

Bot-Netz-Familie Bösartige Aktivität

Zeus Diebstahl von Zugangsdaten für Online-Banking

Zwangi Anzeige unerwünschter Werbebotschaften

Sality Selbstreproduzierender Virus

Kuluoz Entfernte Ausführung von schädlichen Dateien

Juasek Schädliche Aktionen per Fernzugriff: Öffnen einer Befehlsshell, Suchen/Erstellen/Löschen von Dateien und mehr

Papras Diebstahl von Finanzdaten und Erhalt von Fernzugriff

Weitere Informationen in Anhang A

ALLE 21 MINUTEN KOmmuniziert ein bOt

mit seinem cOmmand & cOntrOl-center

Diagramm 2-B

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

häufigkeit der kommunikation zwischen bot und Command &Control-Center.

25 % Bis zu 1 Stunde

45 % 1–2 Stunden

6 % 2–4 Stunden

24 % Mehr als 4 Stunden

010



DER UNTERNEHMEN GREIFT EIN HOST AUF EINE BÖSARTIGE WEBSITE ZU

75 % IN

LÄNDER MIT DEN MEISTEN COMMAND & CONTROL-CENTERN

58 %USA

3 %Kanada

3 %Australien

4 %China

9 %Deutschland

7 %Niederlande

3 %Venezuela

3 %Rumänien

3 %Argentinien

7 %Frankreich

Diagramm 2-CQ

uelle

: Che

ck P

oint

Sof

twar

e Te

chno

logi

es

011



Wie ihr Unternehmen mit Malware infiziert werden kannEs gibt viele Ansatzpunkte zur Durchbrechung des Schutzes von Unternehmen. Browser-basierte Schwachstellen, Mobiltelefone, schädliche Anhänge und Wechselmedien sind nur einige davon. Außerdem bietet die explosionsartige Verbreitung der Verwendung von Web-2.0-Anwendungen und sozialen Netzwerken in Unternehmen Hackern die Gelegenheit, Opfer dazu zu bringen, auf bösartige Links zu klicken oder „Malvertisements“ aufzurufen. Dies ist Schadwerbung, die auf legalen Websites angezeigt wird.Obwohl Bot-Netze zurzeit als eine der größten Bedrohungen für Netzwerksicherheit gelten, werden Unternehmen auch von anderen Bedrohungen im Bereich Malware in Gefahr gebracht, wie Viren, Würmer, Spyware, Adware, Trojaner und viele mehr. Unsere Forschungsergebnisse zeigen, dass in 75 % der Unternehmen ein Host auf eine bösartige Website zugreift.Das folgende Kreisdiagramm zeigt die Anzahl der Hosts, die auf eine bösartige Website zugegriffen haben, und den Prozentsatz an Unternehmen, in denen dies vorkam. In über 50 % der Unternehmen haben mindestens fünf Hosts auf eine bösartige Website zugegriffen.

18 % 3–4 Hosts

31 %

1–2

Hos

ts

16 % 9–16 Hosts

15 % Mehr als 16 Hosts

20 % 5–8 H

osts

Zugriff auf bösartige Websites nach Anzahl der hosts (% der Unternehmen)

Ein Schadprogramm kann von einem Nutzer heruntergeladen werden oder von einem Bot, der den Host bereits befallen hat. Unsere Untersuchung ergab, dass in 53 % der Unternehmen Malware im Unternehmensnetzwerk heruntergeladen wurde. In über 50 % dieser Unternehmen luden mehr als vier Hosts Malware herunter.Das folgende Kreisdiagramm zeigt die durchschnittliche Häufigkeit

häufigkeit von Malware-Downloads (% der Unternehmen)

43 % Mehr als 1 Tag

14 %

Bis

zu 2

Stu

nden

19 %

2–6

Stu

nden

12 % 6–12 Stunden12 % 12–24 Stunden

ALLE 23 MINUTEN greift ein hOst auf eine

bÖsartige website zu

von Malware-Downloads in den untersuchten Unternehmen.Diagramm 2-G zeigt die Anzahl der Hosts, die ein Schadprogramm heruntergeladen haben. In über 50 % der Unternehmen haben mindestens fünf Hosts auf eine bösartige Website zugegriffen.Bei unserer Untersuchung wurde der Großteil der Malware in den USA entdeckt, gefolgt von Kanada und Großbritannien, wie in Diagramm 2-F zu erkennen.Eine Methode zum Schutz vor Malware ist Virenschutz. Allerdings ergab unsere Untersuchung, dass 23 % der Hosts in Unternehmen ihren Virenschutz nicht täglich aktualisieren. Ein Host ohne aktuellen Virenschutz ist den neuesten Viren schutzlos ausgesetzt. Außerdem wurde deutlich, dass sich auf 14 % der Hosts in Unternehmen überhaupt kein Virenschutz befand. Hosts ohne Virenschutz sind besonders anfällig für eine Infektion mit Malware.

Diagramm 2-D

Diagramm 2-E

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

012



LÄNDER MIT DER MEISTEN MALWARE

71 %USA

8 %Kanada

2 %China

3 %Israel

3 %Deutschland

4 %Großbritannien

2 %Slowakei

2 %Tschechien

2 %Frankreich

3 %Türkei

„miniFlame“: eine kleinere und gefährlichere version des Flame-virusScheinbar ist die Malware Flame, die zu Beginn des Jahres 2012 entdeckt wurde, nur der Anfang. Im Laufe des Jahres wurde ein verwandtes Programm namens „miniFlame“ entdeckt, das präzisere Angriffe auf Ziele im Nahen Osten ausführt. miniFlame enthält eine „Backdoor“, die Fernsteuerung, Datendiebstahl und das Erzeugen von Screenshots ermöglicht.

Anzahl der hosts, die ein Schadprogramm heruntergeladen haben (% der Unternehmen)

45 % 1–4 H

osts

20 % M

ehr als 33

12 % 17–32 H

osts

13 % 5–8 H

osts

10 % 9–16 H

osts

Diagramm 2-F

Diagramm 2-G

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

013



EUROGRABBER-ANGRIFF Über 36 Million euro von Mehr als 30.000 bankkunden gestohlen

Im Jahr 2012 fand ein komplexer multidimensionaler Angriff auf verschiedene Banken in Europa statt, bei dem ca. 36 Millionen Euro von über 30.000 Bankkunden gestohlen wurden. Die Daten lagen völlig offen, und Online-Banking-Kunden wussten nicht, dass sie Ziel eines Trojaner-Angriffs geworden waren, dass ihre Online-Banking-Sitzungen manipuliert wurden oder dass Geld direkt von ihren Konten gestohlen wurde. Diese Angriffskampagne wurde von Versafe und Check Point Software Technologies entdeckt und „Eurograbber“ genannt. Der Eurograbber-Angriff umfasste eine neue und sehr erfolgreiche Variante des Trojaners ZITMO (Zeus-In-The-Mobile). Bis jetzt wurde diese Attacke nur in Ländern der Eurozone entdeckt. Eine Variation des Angriffs könnte jedoch auch Banken in Ländern außerhalb der EU gefährlich werden. Der mehrschichtige Angriff infizierte die Computer und Mobilgeräte der Online-Banking-Kunden, und sobald die Eurograbber-

Trojaner auf beiden Geräten installiert waren, wurden die Online-Banking-Sitzungen der Bankkunden vollständig von den Angreifern überwacht und manipuliert. Sogar die Zwei-Faktor-Authentifizierung, die von Banken zur Sicherung des Online-Banking eingesetzt wird, wurde bei dem Angriff umgangen. Die Angreifer nutzten diese sogar, um ihre illegalen Finanztransaktionen zu authentifizieren. Außerdem wurden die Trojaner, die zum Angriff auf Mobilgeräte eingesetzt wurden, für Blackberry- und Android-Betriebssysteme entwickelt. So konnten mehr Ziele erreicht und sowohl geschäftliche als auch private Bankkunden erfasst werden. Dies führte zu illegalen Abbuchungen von 500 bis 250.000 Euro pro Kundenkonto. Weitere Informationen zum Eurograbber-Angriff, einschließlich eines detaillierten Ablaufs der Attacke, finden Sie auf der Website von Check Point im Whitepaper zum Fallbeispiel Eurograbber-Angriff12.

Mehr Schwachstellen, mehr exploitsAllgemein bekannte Schwachstellen sind Hauptziele für Hacker. Diese verlassen sich auf die einfache Tatsache, dass viele Unternehmen ihre Software nicht wöchentlich aktualisieren. Je größer das Unternehmen, desto schwieriger ist es für Sicherheitsadministratoren, alle Systeme ständig aktuell zu halten. Daher kann in vielen Fällen eine Schwachstelle mit Patch, die bereits seit einem Jahr bekannt ist, immer noch dazu verwendet werden, in die Systeme großer und kleiner Unternehmen einzudringen, die in ihre Systeme nicht die neuesten Patches implementiert haben.Die schiere Anzahl an Schwachstellen, die jedes Jahr offengelegt werden, ist überwältigend. Allein 2012 wurden 5.00013 neue Möglichkeiten für Hacker entdeckt, Schaden zu verursachen und auf Systeme zuzugreifen. Außerdem existieren immer noch viele weitere unentdeckte Schwachstellen, die aktiv von Cyber-Kriminellen verwendet werden.Diagramm 2-I zeigt auf, dass die gängigsten Produkte, die von beinahe allen Unternehmen weltweit verwendet werden, am anfälligsten für Schadsoftware sind: Produkte von Oracle, Apple und Microsoft sind am stärksten gefährdet.Unsere Untersuchung zeigte, dass 75 % der Hosts in Unternehmen nicht die aktuellsten Softwareversionen verwenden (zum Beispiel: Acrobat Reader, Flash Player, Internet Explorer, Java Runtime

gesamtzahl gängiger Schwachstellen und risiken

5.672 2012

5.235 2011

5.279 2010

5.132 2009

Diagramm 2-H

Que

lle: G

ängi

ge S

chw

achs

telle

n un

d R

isik

en (C

VE

)

014



Environment und weitere). Das bedeutet, diese Hosts bieten eine große Zahl an Schwachstellen, die von Hackern ausgenutzt werden können. Unsere Untersuchung ergab außerdem, dass 44 % der Hosts in Unternehmen nicht die aktuellsten Service Packs für Microsoft Windows installiert haben. Service Packs enthalten üblicherweise Sicherheitsupdates für das Betriebssystem. Es ist ein Sicherheitsrisiko, das aktuellste Service Pack nicht zu installieren.Es zeigte sich außerdem, dass in 68 % der Unternehmen

Sicherheitsereignisse in Zusammenhang mit Produkten von Microsoft auftraten. Sicherheitsereignisse in Zusammenhang mit anderen Softwareherstellern wie Adobe und Apple wurden in einer deutlich geringeren Anzahl von Unternehmen entdeckt. Es ist interessant, dass – obwohl Apple die Nummer zwei in Bezug auf Schwachstellen darstellt – nur in einer vergleichsweise kleinen Zahl von Unternehmen Sicherheitsereignisse mit Bezug zu Apple-Produkten auftraten.

häufigste Schwachstellen und risiken 2012 nach Anbieter

59 HP

62 PHP

80 Google

118 IBM119 Cisco119 Adobe

150 Firefox

222 Microsoft

260 Apple384 O

racle


Hacker verwenden verschiedene Techniken, die als Angriffsmethoden bezeichnet werden. Das Diagramm 2-K zeigt einige dieser Angriffsmethoden sowie den Prozentsatz an Unternehmen, die ihnen zum Opfer gefallen sind. Beschädigung von Speichern, Pufferüberlauf und Denial-of-Service-Angriffe sind nach unseren Forschungsergebnissen die häufigsten Angriffsmethoden.

Diagramm 2-I

Que

lle: G

ängi

ge S

chw

achs

telle

n un

d R

isik

en (C

VE

)

Sicherheitsereignisse nach Softwareanbieter % der Unternehmen

3 % HP

4 % Apple5 % Apache5 % Novell

13 % Adobe15 % Oracle

68 % M

icrosoft

Diagramm 2-J

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

015



Wie sieht ein SQl-injektionsangriff aus? Ablauf einer SQl-injektionDieser Fall zeigt ein reales Beispiel einer Serie von SQL-Injektionsangriffen, die zwischen Juli und Oktober 2012 in der Umgebung eines Kunden von Check Point stattfanden. Der Angriff wurde von einem Check Point Sicherheits-Gateway entdeckt und abgewehrt. Dieser Fall wurde vom Check Point ThreatCloud Managed Security Service Team aufgezeichnet.

SQL-Injektion ist eine Sicherheitsbedrohung (CVE-2005-0537), bei der ein Angreifer SQL-Code (Structured Query Language) in die Eingabemaske eines Web-Formulars einschleust, um so Zugriff auf Ressourcen zu erhalten oder Veränderungen an gespeicherten Daten vorzunehmen. Diagramm 2-M zeigt, wie ein solcher Angriff aussieht. Der markierte Text zeigt die Daten, die der Hacker mithilfe der SQL-Injektion offenlegen wollte (in diesem Fall Benutzernamen und Kennwörter). Die SQL-Befehle sind: „select“, „concat“ und „from“.Der Angriff wurde von 99 verschiedenen IP-Adressen aus durchgeführt. Obwohl sich das attackierte Unternehmen in Europa befindet, fanden die Angriffe von vielen verschiedenen Orten aus statt, wie Diagramm 2-M erkennen lässt.

Eine SQL-Injektion kann manuell erfolgen (ein Hacker verwendet eine Tastatur) oder automatisiert sein (skriptbasierter Angriff). In diesem Fall, wie in Diagramm 2-L zu sehen ist, bestand die Spitze des Angriffs aus 4.184 Angriffsversuchen (wahrscheinlich automatisiert), die innerhalb von zwei Tagen mit dem gleichen Injektionsmuster von einer einzigen IP-Adresse aus durchgeführt wurden.

häufigste Angriffsmethoden

Pufferüberlauf 32 %

Beschädigung von Speichern 32 %

Denial-of-Service 32 %

Code-Ausführung 24 %

19 % Stack-Überlauf

15 % Registrierungs-Spoofing

10 % Ganzzahlüberlauf

8 % Offenlegung von Informationen

6 % Null-Zeiger-Dereferenzierung

5 % Privilegienerweiterung

2 % Pufferüberlauf

1 % Authentifizierungsumgehung

22. J

uli

5. aug.

19. a

ug.

2. se

pt.

16. s

ept.

30. s

ept.

14. o

kt.

28. o

kt.

2.500

1.500

500

2.000

1.000

SQl-injektionsrate Anzahl der SQL Injection

Diagramm 2-J

Diagramm 2-K

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

016



• IPS zum proaktiven Schutz vor Eindringlingen• Web-Kontrolle – URL Filtering und Anwendungskontrolle zur

Verhinderung von Zugriffen auf Websites, die Malware hosten oder verbreiten

• Echtzeit-Sicherheitsinformationen und globale Zusammenarbeit• Intelligente Überwachung, die proaktive Datenanalyse liefert

eingehende schädliche Daten aufhaltenUnternehmen benötigen eine Anti-Malware-Lösung zur Überprüfung von Dateien, die in das Netzwerk eindringen. Diese muss in Echtzeit entscheiden können, ob die Dateien von Malware befallen sind. Die Lösung sollte schädliche Dateien davon abhalten,

SICHERHEITSEMPFEHLUNGEN MEHRERE SICHERHEITSEBENEN

Da Bedrohungen immer komplexer werden, wachsen auch die Sicherheitsanforderungen. Zur Maximierung der Netzwerksicherheit in Unternehmen ist ein mehrschichtiger Schutzmechanismus erforderlich, der Schutz gegen die verschiedenen Angriffsmethoden bei Netzwerkbedrohungen und Sicherheitslücken bietet:• Anti-Virus zur Identifizierung und Abwehr von Malware• Anti-Bot zur Aufdeckung und Verhinderung von Schäden

durch Bots

SQL-INJEKTIONSRATE NACH URSPRUNGSLANDTOP 10

http:// ______________/ns/index.php?action=com_clan&cid=185 and 1=2 union select 1,2,3,4,5,6,concat(0x26,0x26,0x26,0x25,0x25,0x25,username,0x3apassword 0x25,0x25,0x25,0x26,0x26,0x26),8 from jos_users--

37 Großbritannien

369 U

SA

42 Rumänien

52 Ukraine

53 Georgien

58 Spanien

98 Deutschland122 N

iederlande

130 Algerien

198

Russl

and

Diagramm 2-M

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

017



Unternehmensnetzwerke zu infizieren und außerdem den Zugriff auf Webseiten mit Malware verhindern, die versuchen, Drive-By-Downloads auszuführen.

Mehrschichtiger bot-SchutzSchutz vor Bots besteht aus zwei Phasen: Aufdeckung und Abwehr.Zur Maximierung der Möglichkeiten, Bots in einem Netzwerk zu erkennen und alle Aspekte des Bot-Verhaltens abzudecken, ist ein mehrschichtiger Aufspürmechanismus für Bots erforderlich. Eine Sicherheitslösung zum Aufspüren von Bots sollte eine Reputationsprüfung enthalten, die IP, URL und DNS erkennt, die zur Verbindung mit einem Bot-Netz von Kriminellen aus der Ferne verwendet werden. Außerdem ist es sehr wichtig, dass dieser Schutz die unverwechselbaren Kommunikationsmuster und Protokolle jeder Bot-Familie erkennt. Das Aufdecken von Bot-Aktionen ist ein weiterer wichtiger Bestandteil des Bot-Schutzes. Die Lösung sollte Bot-Aktivitäten wie Versand von Spam, Klickbetrug und Selbstreplikation erkennen.Die zweite Phase nach dem Erkennen infizierter Computer ist das Blockieren ausgehender Bot-Kommunikation an den Command &

Control-Server. Diese Phase schaltet die Bedrohung aus und stellt sicher, dass die Bot-Agents keine sensiblen Daten versenden und auch keine weiteren Anweisungen für schädliche Aktivitäten erhalten. So wird der durch Bots verursachte Schaden sofort begrenzt. Mit diesem Ansatz erleben Unternehmen keine Ausfälle. Benutzer können normal weiterarbeiten, ohne zu bemerken, dass die Kommunikation von Bots blockiert wird. Das Unternehmen ist geschützt, ohne Beeinträchtigung der Produktivität.

globale Zusammenarbeit in echtzeitDas Problem der Cyber-Angriffe ist zu groß, als dass ein Unternehmen es alleine lösen könnte. Unternehmen haben bessere Chancen, die wachsende Herausforderung zu meistern, wenn sie auf Zusammenarbeit und professionelle Unterstützung setzen. Wenn Cyber-Kriminelle Malware wie Bots und andere Formen komplexer Bedrohungen einsetzen, greifen sie oft massenhaft Seiten und Unternehmen an, um die Erfolgsaussichten zu erhöhen. Wenn Unternehmen diese Bedrohungen einzeln bekämpfen, bleiben

Die politischen Turbulenzen, die im Jahr 2010 mit dem Arabischen Frühling begannen, setzten sich auch 2012 mit verschiedenen Protestbewegungen in weiteren Ländern fort. Es ist daher keine Überraschung, dass eine Welle ideologisch motivierter Cyber-Angriffe entstand.

Der Apple-Zulieferer Foxconn wurde von einer Organisation gehackt, die sich selbst Swagg Security nennt. Dieser Angriff fand offensichtlich aufgrund von Medienberichten statt, die über schlechte Arbeitsbedingungen in den Werken des Herstellers in China berichteten.14

Die Hacktivismus-Gruppierung Anonymous behauptete, einen Website-Server des US-amerikanischen Justizministeriums für das Bureau of Justice Statistics gehackt zu haben und veröffentlichte 1,7 GB gestohlene Daten. Die Organisation verbreitete folgende Aussage zu den gestohlenen Daten: „Wir veröffentlichen sie, um der Korruption Einhalt zu gebieten und diejenigen, die unterdrückt werden, wirklich zu befreien.“15 Die Websites und E-Mail-Server des Vatikans wurden ebenfalls gehackt. Der Angriff durch Anonymus dauerte eine

Woche. Die Gruppierung rechtfertigte diese Aktion mit der Behauptung, dass leistungsstarke Sender des Vatikan-Radios in ländlichen Gebieten außerhalb von Rom angeblich ein Gesundheitsrisiko darstellten. Die Gruppe behauptete weiterhin, dass diese Sender „Leukämie und Krebs“ bei Menschen auslösten, die in der Nähe lebten. Außerdem behauptete Anonymous weiter, der Vatikan habe die Nazis unterstützt, historisch wertvolle Bücher zerstört und seine Geistlichen hätten Kinder sexuell belästigt.16

Mit einem weiteren Cyber-Angriff legten Hacker der Gruppe Anonymous die Websites der Handelsgruppen U.S. Telecom Association und TechAmerica lahm. Diese Angriffe wurden anscheinend durchgeführt, da diese Unternehmen die Gesetzesvorlage zur Cyber-Sicherheit des Abgeordneten Mike Rogers unterstützen. Dieser Gesetzesvorschlag würde es privaten Unternehmen und der Regierung der USA ermöglichen, Informationen, die „direkt eine Schwachstelle eines oder eine Bedrohung für“ ein Computernetzwerk darstellen, freizugeben.17

2012: ein Jahr des hacktivisMus

018



viele Angriffe unentdeckt, da die Unternehmen untereinander keine Informationen über die Bedrohungen austauschen. Um moderne Bedrohungen auszuschalten, müssen Firmen daher zusammenarbeiten und Daten austauschen. Nur durch Zusammenarbeit werden Sicherheitsmaßnahmen stärker und effektiver.

intrusion PreventionIntrusion Prevention ist eine zwingend erforderliche Sicherheitsebene im Kampf gegen Cyber-Angriffsmethoden. Eine IPS-Lösung ist notwendig zur intensiven Datenverkehrskontrolle, um Eindring- linge von der Durchbrechung der Sicherheitsvorkehrungen und vom Diebstahl wichtiger Unternehmensdaten abzuhalten. Eine angemessene IPS-Lösung bietet folgende Funktionen:• Protokollvalidierung und Erkennung von Anomalien – Identifi-

zierung und Ausschaltung von Datenverkehr, der nicht mit Protokollstandards übereinstimmt und Fehlfunktionen von Geräten oder Sicherheitsprobleme hervorrufen kann

• Verhinderung der Übertragung unbekannter Nutzlasten, die bestimmte Schwachstellen ausnutzen können

• Verhinderung übermäßiger Kommunikation, die Anzeichen für einen Denial-of-Service-Angriff (DoS) sein kann

bedrohungen erkennen und geeignete Maßnahmen ergreifenEin guter Überblick über Sicherheitsereignisse und Trends ist ein weiterer wichtiger Bestandteil der Bekämpfung von Cyber-Kriminalität. Sicherheitsadministratoren müssen ständig genau über den Status der Netzwerksicherheit informiert sein, um

Bedrohungen und Angriffe auf das Unternehmen zu erkennen. Dies erfordert eine Sicherheitslösung, die einen sehr guten Überblick über die Schutzmaßnahmen ermöglicht und auf entscheidende Informationen sowie potenzielle Angriffe hinweist. Die Lösung sollte außerdem die Möglichkeit bieten, intensive Untersuchungen bestimmter Ereignisse durchzuführen. Eine weitere unverzichtbare Funktion ist die Fähigkeit, auf Basis dieser Informationen sofort Aktionen auszuführen. Dies ermöglicht die Abwehr von Angriffen in Echtzeit oder proaktives Blockieren zukünftiger Bedrohungen. Die Sicherheitslösung muss flexibel und intuitiv verwaltbar sein und so die Bedrohungsanalyse vereinfachen und den Betriebsaufwand für Veränderungen gering halten.

Sicherheits-Updates und SupportDa sich die Bedrohungen immer wieder ändern, müssen sich die Verteidigungsmaßnahmen gemeinsam mit diesen entwickeln oder ihnen in der Entwicklung voraus sein. Sicherheitsprodukte können aktuelle Malware sowie die neuesten Schwachstellen und Exploits nur effektiv bekämpfen, wenn der Sicherheitsanbieter umfassende Untersuchungen durchführt und regelmäßig Sicherheits-Updates bereitstellt.Erstklassiger Sicherheits-Service basiert auf:• Interner Untersuchung des Anbieters und Erhalt von Daten aus

verschiedenen Quellen• Regelmäßigen Sicherheits-Updates für alle wichtigen Technolo-

gien, einschließlich IPS, Anti-Virus und Anti-Bot• Unkompliziertem und bequemem Support, Antworten auf Fragen

und Probleme, die für die Umgebung des Kunden spezifisch sind

019



es gibt neue SpielregelnDie Spielregeln haben sich verändert. Internetanwendungen galten früher einmal als Freizeitbeschäftigung: zum Ansehen der Urlaubsfotos von Freunden oder lustiger Filme. Web-2.0-Anwendungen sind jedoch zu essentiellen Geschäftstools für moderne Unternehmen geworden. Wir kommunizieren mit Kollegen, Kunden und Partnern, geben Informationen weiter und erhalten aktuelle Nachrichten und Meinungen. Internetbasierte Tools wie Facebook, Twitter, WebEx, LinkedIn und YouTube werden auch in Unternehmen immer wichtiger, da sie als Geschäftsmotoren gelten.In diesem Abschnitt unserer Untersuchung erörtern wir die allgemeinen Risiken von Web-2.0-Anwendungen und ihrer Infrastruktur. Anschließend werfen wir einen Blick auf einzelne Anwendungen, die in den analysierten Unternehmen verwendet werden. Unsere Ergebnisse illustrieren wir mit Ereignissen und Beispielen aus der realen Geschäftswelt.

Webanwendungen sind kein SpieleNeuartige Technologien bringen neue Sicherheitsprobleme mit sich. Dies gilt auch für webbasierte Tools. Verschiedene nützliche Internetanwendungen werden von Cyber-Kriminellen verwendet, um Unternehmen anzugreifen. Außerdem können sie Verletzungen der Netzwerkintegrität verursachen. Anwendungen wie Anonymisierungsprogramme, Dateispeicher- und Freigabe-lösungen, P2P-Filesharing, Remoteverwaltungstools und soziale Medien sind bereits für Angriffe auf Unternehmen genutzt worden.Zahlreiche Plattformen und Anwendungen können für private und geschäftliche Zwecke eingesetzt werden. Jedes Unternehmen muss wissen, welche Anwendungen Mitarbeiter für welche Zwecke nutzen, und eigene Internetrichtlinien festlegen.In 91 % der analysierten Unternehmen setzten Benutzer Anwendungen ein, die Sicherheitslösungen umgehen, Identitäten verschleiern und Datenverluste oder Malware-Infektionen verursachen können, ohne dass sie dies bemerken.

03 AnWenDUngen iM ArbeitSbereiCh von UnternehMen

Im Juni 2012 klagte die amerikanische Federal Trade Commission (FTC) zwei Unternehmen wegen der Offenlegung sensibler Daten in P2P-Filesharing-Netzwerken an. Betroffen waren Tausende von Kunden. Die FTC warf einem der Unternehmen (EPN Inc., ein Inkassobeauftragter mit Sitz in Provo, Utah) vor, vertrauliche Daten mit Sozial- und Krankenversicherungsnummern sowie medizinischen Diagnose- codes von 3.800 Krankenhauspatienten offengelegt zu haben. Sämtliche Computer, die mit dem P2P-Netzwerk verbunden waren, hätten auf die Daten zugreifen können. Dem anderen Unternehmen (einem Fahrzeughändler namens Franklin‘s

Budget Car Sales Inc.) warf die FTC vor, Daten von 95.000 Kunden in einem P2P-Netzwerk offengelegt zu haben. Dazu gehörten Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und Führerscheinnummern.18 Im Jahr 2010 hatte die FTC fast 100 Unternehmen mitgeteilt, dass über ihre Netzwerke persönliche Daten von Kunden und/oder Mitarbeitern den Weg in P2P-Filesharing-Netzwerke gefunden hatten. Jeder Benutzer dieser Netzwerke hatte die Möglichkeit, die Daten für Identitätsdiebstahl und andere betrügerische Handlungen zu verwenden.19

SENSIBLE DATEN, DIE IN DEN USA PER P2P-FILESHARING-ANWENDUNGEN VERBREITET WURDEN

020



P2P-Anwendungen öffnen hintertüren zu ihrem netzwerkPeer-to-Peer (P2P)-Anwendungen dienen der gemeinsamen Verwendung von Dateien durch mehrere Benutzer. Immer mehr Angreifer setzen auf P2P, um mit den geteilten Dateien auch Malware zu verbreiten. P2P-Anwendungen stellen also ein beträchtliches Sicherheitsrisiko für Ihr Netzwerk dar. Mit ihrer Hilfe können Benutzer Ordner erstellen, aus denen sensible Daten verschwinden können. Zudem könnten Unternehmen für Mitarbeiter haften, die über P2P-

Netzwerke illegale Inhalte herunterladen. In mehr als der Hälfte aller Unternehmen (61 %) wurden P2P-Anwendungen gefunden. Die wichtigsten P2P-Filesharing-Tools sind BitTorrent-Clients. Das folgende Diagramm verdeutlicht, dass im Asien-Pazifik-Raum Filesharing-Anwendungen beliebter sind als in anderen Regionen der Welt.

DER UNTERNEHMEN WIRD EINE P2P-FILESHARING-ANWENDUNG GENUTZT

61 % IN

SENSIBLE DATEN, DIE IN DEN USA PER P2P-FILESHARING-ANWENDUNGEN VERBREITET WURDEN

Wichtigste P2P-Filesharing-Anwendungen(% der Unternehmen)

Weitere Informationen zu verbreiteten P2P- Anwendungen finden Sie in Anhang B.

20 % eMule

19 % SoulSeek

7 % Windows Live Mesh

6 % BoxCloud

10 % Sopcast11 % Gnutella

40 % BitTorrent

7 % iMesh

Diagramm 3-A

nutzung von P2P-Filesharing-Anwendungen nach region(% der Unternehmen) 72 %

APAC

62 % N

ord- und Südam

erika

55 % EM

EA

Diagramm 3-B

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

Anonymisierungsprogramme ermöglichen eine Umgebung der Sicherheitsrichtlinien von UnternehmenEin Anonymisierungsprogramm (oder Anonymisierungs-Proxy) ist ein Tool, das eine Nachverfolgung der Aktivitäten von Benutzern im Internet verhindert. Das Programm nutzt einen Proxyserver, der als Maske zwischen Client-Computern und dem restlichen Internet dient. Das Tool greift für den Benutzer auf das Internet zu und verbirgt persönliche Informationen, indem die Identifizierungsdaten des Client-Computers sowie das gewünschte Ziel versteckt werden. Anonymisierungsprogramme lassen sich zur Umgehung von Sicherheitsrichtlinien verwenden, die im Prinzip auf den Identitäten von Benutzern und Ziel-URLs

021



nutzung von Anonymisierungsprogrammen nach region(% der Unternehmen)

49 % N

ord- und Südamerika

40 % EM

EA

35 % APAC

WebserverUltrasurf-Proxy

Ultrasurf-Client

Ultrasurf stellt Verbindung mit einem seiner Proxyserver her

Internet

aufbauen. Durch eine Verwendung solcher Dienste wird der Benutzer unter einer anderen IP-Adresse sichtbar und scheint andere Ziele aufzurufen. So kann die Sicherheitsrichtlinie für diesen Benutzer mit veränderter IP-Adresse und Zieladresse nicht durchgesetzt werden. In manchen Fällen können Anonymisierungsdienste auch zum Verbergen krimineller Handlungen verwendet werden.In 43 % der untersuchten Unternehmen wurde von Mitarbeitern mindestens ein solcher Dienste verwendet. Besonders beliebt ist dabei „Tor“. 86 % der Unternehmen, in denen Anonymisierungsprogramme gefunden wurden, gaben an, dass deren Verwendung eine Verletzung ihrer Sicherheitsrichtlinien darstellt.Wenn wir die Nutzung dieser Programme nach Regionen betrachten, sehen wir, dass sie in Nord- und Südamerika besonders beliebt und im Asien-Pazifik-Raum weniger verbreitet sind.

Wie funktioniert das Anonymisierungsprogramm Ultrasurf?Ultrasurf ist ein extrem ausgeklügeltes Anonymisierungsprogramm, das als Proxy-Client fungiert und zwischen Computern von Benutzern sowie einem zentralen Pool an Proxyservern einen verschlüsselten HTTP-Tunnel einrichtet. So können Benutzer Firewalls und Zensurfunktionen umgehen. Ultrasurf ist äußerst leistungsfähig bei der Erkennung von Proxyservern und verfügt über eine Cache-Datei mit IP-Adressen von Proxyservern, DNS-Anfragen, die verschlüsselte IP-Adressen von Proxyservern zurückgeben, und verschlüsselten Dokumenten in Google Docs. Hinzu kommt eine hart kodierte Liste mit IP-Adressen von Proxyservern, die in das Programm integriert ist. Diese Verfahren

Diagramm 3-D

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

13 % CGI-Proxy

8 % Ultrasurf

7 % Hopster

7 % Hide My Ass

6 % Hamachi

verbreitete Anonymisierungsprogramme(% der Unternehmen)

Weitere Informationen zu verbreiteten Anonymisierungsprogrammen finden Sie in Anhang B.

Diagramm 3-C

23 % Tor

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

022



erschweren Sicherheitsgeräten die Erkennung noch zusätzlich.

remoteverwaltungstools, die für bösartige Angriffe verwendet werdenRemoteverwaltungstools können hilfreiche Instrumtente sein, wenn sie von Administratoren und Helpdesk-Mitarbeitern verwendet werden. In den letzten Jahren sind jedoch häufiger standardmäßige Remoteverwaltungstools genutzt worden, um infizierte Geräte fernzusteuern, Netzwerke zu infiltrieren, Tastatureingaben zu protokollieren oder vertrauliche Daten zu stehlen.Da diese Tools eigentlich essentielle Geschäftsanwendungen sind, dürfen sie nicht komplett gesperrt werden. Ihre Nutzung muss jedoch genau überwacht werden, um einen potenziellen Missbrauch zu verhindern.Unsere Untersuchung hat ergeben, dass in 81 % der Unternehmen mindestens ein Remoteverwaltungstool zum Einsatz kommt. Microsoft RDP ist dabei besonders beliebt.

Bei aktuellen Sicherheitsuntersuchungen wurde ein Botnet entdeckt, dass von Angreifern über einen Internet Relay Chat (IRC)-Server kontrolliert und als versteckter Dienst im „Tor“-Anonymisierungsnetzwerk ausgeführt wird. Die Verbindungen zwischen Benutzern und den „Tor“-Knoten werden mehrfach verschlüsselt, sodass es für Überwachungssysteme, die auf der lokalen Netzwerk- oder ISP-Ebene aktiv sind, äußerst schwer ist, das beabsichtigte Ziel eines Benutzers zu ermitteln.20 Das Hauptziel des „Tor“-Netzwerks (auch „The Onion Router“ genannt) besteht in der Anonymisierung von Verbindungsdaten

beim Browsen im Internet. Die Anwendung ist weit verbreitet, verursacht in Firmen jedoch verschiedene Sicherheitsprobleme. „Tor“ lässt sich ganz leicht missbräuchlich verwenden, um Sicherheitsrichtlinien von Unternehmen zu umgehen, da es genau mit dem Ziel entwickelt wurde, Benutzern Anonymität zu bieten. Wenn „Tor“ für den Zugriff auf Ressourcen im Internet verwendet wird, werden die vom Computer eines Benutzers gesendeten Anfragen zufällig über eine Reihe von Knoten weitergeleitet, die freiwillig von anderen „Tor“-Nutzern betrieben werden.

IN 43 % DER UNTERNEHMEN WERDEN ANONYMISIERUNGSPROGRAMME VERWENDET

81 % der unternehmen verwenden REMOTEVERWALTUNGSTOOLS

verbreitete remoteverwaltungstools(% der Unternehmen)

17 % VNC

4 % Bomgar

3 % Gbridge

Weitere Informationen zu verbreiteten Remoteverwaltungstools finden Sie in Anhang B.

Diagramm 3-F

52 % Team

View

er

43 % LogM

eIn

58 % M

S-RD

P

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

DAS ANONYMISIERUNGSPROGRAMM „TOR“ STELLT EIN SICHERHEITSRISIKO DAR

023



Dateifreigaben sind nicht immer sicherDas englische Sprichwort „Sharing is caring“ kann man in etwa mit „Geben ist besser als Nehmen“ übersetzen. Bei der Freigabe von Dateien mithilfe von Dateispeicher- und Freigabeanwendungen in Unternehmensumgebungen ist dies jedoch nicht immer der Fall.

verbreitete Anwendungen für Speicherung und Freigaben von Dateien(% der Unternehmen)

Weitere Informationen zu verbreiteten Dateispeicher- und Freigabeanwendungen finden Sie in Anhang B.

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

51 % W

indows Live O

ffice

9 % Microsoft SkyDrive

22 % YouSendIt

13 % Sugarsync

10 % PutLocker

69 % D

ropbox

Diagramm 3-G

Von Juli bis September 2011 fand eine Angriffswelle unter dem Namen „Nitro“ statt. Angreifer verwendeten ein standardmäßiges Remoteverwaltungstool namens Poison Ivy, um fast 50 Unternehmen auszuspionieren (die meisten davon aus den Bereichen Chemie und Verteidigung). Poison Ivy war auf Windows-PCs von Benutzern installiert worden, die Opfer eines E-Mails-Betrugs geworden waren. Die E-Mails gaben vor, Gesprächsanfragen von echten Geschäftspartnern zu enthalten. In manchen Fällen wurden Aktualisierungen für Antivirensoftware und Adobe Flash Player vorgetäuscht. Sobald Benutzer den E-Mail-Anhang öffneten, installierten sie unwissentlich Poison Ivy auf ihren Geräten. Von hier aus konnten die Angreifer Befehle an die

infizierten Computer schicken, übergeordnete Kennwörter ausspähen, um sich Zugriff auf Server mit vertraulichen Informationen zu verschaffen, und gestohlene Inhalte auf eigene Systeme herunterladen. 29 der 48 erfolgreich attackierten Unternehmen stammten aus der Chemiebranche bzw. dem Handel mit hochmodernen Materialien (zum Teil mit Verbindungen zu Herstellern militärischer Fahrzeuge). Die übrigen 19 Firmen kamen aus verschiedenen Bereichen (darunter dem Verteidigungssektor).21 Nitro ist nicht der einzige Missbrauchsfall im Zusammenhang mit Remoteverwaltungstools. Weitere Beispiele sind RSA, ShadyRAT und Operation Aurora. In all diesen Fällen wurde Poison Ivy verwendet.

HACKING MIT REMOTEVERWALTUNGSTOOLS

Eine der wichtigsten Eigenschaften von Web-2.0-Anwendungen ist die Möglichkeit zur Erstellung und Weitergabe von Inhalten. Es gibt jedoch auch Risiken. Sensible Informationen können in falsche Hände geraten, wenn vertrauliche Dateien übertragen werden. In unsere Untersuchung wurden besonders riskante Dateispeicher- und Freigabeanwendungen einbezogen, die ohne das Wissen der Benutzer Datenverluste oder Malware-Infektionen verursachen können. Die Ergebnisse der Analyse zeigen, dass 80 % der Unternehmen über mindestens eine Dateispeicher- oder Freigabeanwendung in ihrem Netzwerk verfügen. 69 % aller Ereignisse hatten mit der Verwendung von Dropbox zu tun. Windows Live Office nimmt mit 51 % den zweiten Platz ein.

nutzung von hochriskanten Anwendungen nach brancheCheck Point hat die Nutzung hochriskanter Anwendungen nach Branchen aufgeschlüsselt analysiert. Diagramm 3-E zeigt, dass Behörden und Industrieunternehmen besonders häufig hochriskante Anwendungen nutzen. Es gibt Fälle, in denen der Einsatz dieser Anwendungen in Unternehmen legitim ist (zum Beispiel die Verwendung von Remoteverwaltungstools durch Helpdesk-Mitarbeiter). Darum gibt die horizontale Leiste im Diagramm die Wahrscheinlichkeit einer legitimen Nutzung in Geschäftsumgebungen an.

80 % der unternehmen nutzen ANWENDUNGEN FÜR SPEICHERUNG

UND FREIGABEN VON DATEIEN

024



Speic

herun

g und

Freig

abe v

on D

ateien

Remote

verwalt

ung

P2P-Fi

lesha

ring

Anony

misierun

gsprog

ramme

81 %

82 %

82 %

82 %

76 %

71 %

81 % 71 %

62 %63 %

59 %

55 %

48 %

44 %

44 %42

%

84 %

70 %

38 %

29 %

relevanz in bezug auf den einsatz in Unternehmen

PROZENTSATZ DER UNTERNEHMEN NACH BRANCHE, DIE HOCHRISKANTE ANWENDUNGEN NUTZEN

behörden

industrie

Finanzwesen

telekommunikation

consulting

(% der Unternehmen)

Diagramm 3-E

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

025



Quelle: C

heck Point Software Technologies

ZWEI SCHWERE DROPBOX-SICHERHEITSVORFÄLLE IN ZWEI JAHREN

13 % Twitter

12 % LinkedIn

59 % Facebook

bandbreitennutzung durch soziale netzwerkeDurchschnittliche Nutzung durch soziale Netzwerkanwendungen

Diagramm 3-H

legitimer Facebook-Post oder virus?Mit der steigenden Popularität von sozialen Netzwerken kommen auch neue Probleme auf Unternehmen zu. Eine unabsichtliche Veröffentlichung sensibler Projektdaten in sozialen Netzwerken kann dem Ruf von Unternehmen schaden, Wettbewerbsvorteile mindern oder finanzielle Verluste nach sich ziehen. Hacker nutzen neue, auf sozialen Netzwerken basierende Methoden, um Botnets zu aktivieren. In soziale Netzwerkseiten eingebettete Videos und Links sind zu beliebten Zielen geworden, auf denen Hacker Malware platzieren. Ein weiteres Problem sozialer Netzwerkanwendungen besteht darin, dass sie zu einer Überlastung der Netzwerkbandbreite führen können. Facebook ist mit Sicherheit das beliebteste soziale Netzwerk. Weitere soziale Netzwerke, auf die Mitarbeiter gerne zugreifen (wenn auch deutlich seltener als auf Facebook), sind Twitter und LinkedIn.Ein Facebook-Link, der auf eine schädliche Website verweist:

Social engineering-Angriffe – eine FallstudieAktuelle Angriffe legen den Verdacht nahe, dass Hacker als Verbreitungskanal an der Stelle von regulären E-Mails zunehmend soziale Netzwerke verwenden. Die folgende Fallstudie basiert auf einem tatsächlichen Angriff, der im August 2012 stattgefunden

Im Juli 2012 fand ein Angriff auf Benutzer von Dropbox statt. Benutzernamen und Kennwörter für Dropbox, die auf einer anderen Website gestohlen worden waren, wurden bei Dropbox-Konten getestet. Die Hacker nutzten ein gestohlenes Kennwort und meldeten sich beim Konto eines Dropbox-Mitarbeiters an, der ein Dokument mit E-Mail-Adressen von Benutzern hochgeladen hatte. Spammer verwendeten diese E-Mail-Adressen, um Spam-Nachrichten zu versenden.22

Der Vorfall ist ein Beispiel für eine von Hackern häufig genutzte Taktik. So stehlen Hacker oft Benutzernamen und Kennwörter von Websites, die auf den ersten Blick keine wertvollen finanziellen oder privaten Daten enthalten. Anschließend testen sie die Daten jedoch bei Websites von

Finanzinstituten, Wertpapierdepots und Dropbox-Konten, wo sie möglicherweise lukrativere Informationen finden können. Im Jahr 2011 war es aufgrund eines fehlerhaften Updates der Dropbox-Software für jeden möglich, sich bei einem beliebigen Dropbox-Konto mit der E-Mail-Adresse des jeweiligen Benutzers anzumelden. Durch diesen Fehler wurden von Benutzern geteilte Dokumente und Informationen offengelegt. Das Problem wurde zwar innerhalb weniger Stunden behoben. Es war jedoch eine Warnung für Anwender und Unternehmen, deren Mitarbeiter Dateispeicher- und Freigabedienste wie Dropbox und Google Docs nutzen, um sensible Unternehmensdaten zu speichern.23

026



EMPFEHLUNGEN FÜR EINE SICHERE NUTZUNG VON WEBANWENDUNGEN IN IHREM NETZWERK

Wie können Sie für einen effektiven Web-2.0-Schutz sorgen?Der erste Schritt auf dem Weg zu einer sicheren Nutzung von Webanwendungen in Unternehmen ist die Implementierung einer Sicherheitslösung, die die Kontrolle und Durchsetzung aller Aspekte der Webnutzung ermöglicht. Sämtliche Anwendungen, die in der Umgebung ausgeführt werden, müssen vollkommen transparent sein. Außerdem muss sich ihre Verwendung überwachen lassen. Die Kontrolle muss sowohl für Client-Anwendungen (wie Skype) als auch den traditionellen URL-basierten Teil des Internets (Websites) gewährleistet werden. Da viele Websites (wie Facebook) auf Grundlage ihrer URL die Ausführung zahlreicher Anwendungen ermöglichen, müssen Informationen zur Verfügung stehen, die über die URL-Ebene hinausgehen. Dies gilt zum Beispiel für den Facebook-Chat oder Spiele. So sollten Unternehmen dazu in der Lage sein, Anwendungen einfach zu sperren, wenn diese eine Bedrohung für die Sicherheit darstellen.

Nutzung sozialer Medien für die Ausübung von GeschäftenManche Unternehmen sperren den Zugriff auf Facebook vollständig. Die Anwendung ist jedoch in vielen Firmen ein wichtiges Geschäftstool. Unternehmen veröffentlichen Informationen über anstehende Webinare und Veranstaltungen, neue Releases und Produkte sowie Links zu interessanten Artikeln und Videos.Wie kann die Nutzung sozialer Medien in Unternehmen gestaltet werden, ohne dass die Sicherheit beeinträchtigt wird? Durch eine Kontrolle der Funktionen und Widgets in Apps und auf Plattformen. Wenn Unternehmen Facebook zulassen, aber für das Geschäft weniger relevante Komponenten blockieren, lassen sich soziale Medien weiter nutzen und Sicherheitsrisiken minimieren.

hat. Hacker verwendeten Social-Engineering-Techniken in Twitter und Facebook, um schädliche Inhalte zu verbreiten. Über ein gehacktes Twitter-Konto sendete der Hacker Nachrichten an alle Abonnenten des entsprechenden Kontoeigentümers. Die Nachricht lautete: „was genau du in diesem Film [Facebook-URL] getan hast … wow, ganz schön verrückt“.

Die URL verwies auf eine Facebook-App, die eine „Twitter-Anmeldung“ voraussetzte. Das Anmeldefenster war jedoch in Wahrheit ein Webserver des Hackers, mit dem die Twitter-Anmeldedaten der Empfänger ausgespäht wurden.

Mithilfe der gesammelten Anmeldedaten konnte der Hacker den Prozess erneut ausführen, um auf Grundlage des gehackten Kontos weitere Kennwörter zu stehlen. Die gestohlenen Anmeldedaten konnte der Hacker für andere Dienste wie Gmail, Facebook usw. verwenden. Vor allem konnte er damit auch auf Bankkonten und geschäftsbezogene Services wie SalesForce zugreifen.Nach der Weiterverbreitung der bösartigen Nachricht (dieses Mal an alle Abonnenten des gehackten Benutzers) blieb dem Anwender nichts anderes übrig, als sich bei seinen Freunden zu entschuldigen.

027



Verschiedene Benutzer mit unterschiedlichen AnforderungenVerschiedene Benutzer im Unternehmen haben unterschiedliche Anforderungen. Die definierte Sicherheitsrichtlinie muss diese Anforderungen unterstützen, um Geschäfte nicht zu beeinträchtigen. Ein Vertriebsmitarbeiter zum Beispiel verwendet Facebook, um mit Kunden und Partnern in Kontakt zu bleiben. Das IT-Personal hingegen nutzt die Anwendung, um sich aktuelle Branchennachrichten zu verschaffen. Wie also können Unternehmen sicherstellen, dass Benutzer den Zugriff erhalten, den sie benötigen? Ist es realistisch, zu erwarten, dass Sicherheitsmanager wissen, auf welche Elemente einzelne Benutzer bzw. Gruppen zugreifen dürfen und auf welche nicht?Eine praktische Lösung benötigt genaue Informationen über Benutzer, Gruppen und Geräte, um problemlos zwischen Mitarbeitern und anderen Anwendern wie Gästen und Zulieferern unterscheiden zu können.Ein weiterer wichtiger Aspekt ist die Möglichkeit, Nutzer beim Einsatz von Anwendungen in Echtzeit zu informieren und einzubinden. Wenn Benutzer eine fragwürdige Website aufrufen oder eine riskante Anwendung öffnen, kann eine Pop-up-Meldung angezeigt werden, in der die Benutzer den Grund für ihre Aktivität angeben müssen. Die Antwort wird protokolliert und überwacht. Außerdem kann die Meldung Anwendern Informationen über die geschäftliche Nutzungsrichtlinie bereitstellen und sie darauf hinweisen, dass der Einsatz solcher Anwendungen kontrolliert wird.

„Verständnis“ ist eine entscheidende Komponente der WebkontrolleAdministratoren müssen über eine vollständige Übersicht über Websicherheitsereignisse verfügen, um eine zuverlässige Webkontrolle gewährleisten zu können. Sie benötigen also eine Sicherheitslösung, die umfassende und präzise Informationen über alle Web Security-Ereignisse bereitstellen kann. Die Lösung muss verschiedene Transparenz- und Überwachungsfunktionen bieten. Hierzu gehören eine Zeitachse mit Ereignissen sowie eine komplette Liste dieser Ereignisse, die sich nach Benutzer, Anwendung, Kategorie, Risikostufe, Bandbreitennutzung, Zeit usw. filtern, gruppieren und sortieren lässt. Außerdem müssen sich Offline-Berichte erstellen lassen, in denen die wichtigsten Kategorien, Apps, Sites und Benutzer angezeigt werden, um Trends sichtbar zu machen und die Kapazitätsplanung zu unterstützen.

ZusammenfassungDie Spielregeln haben sich verändert. Die Nutzung von Web-2.0-Anwendungen sicher zu machen, geht über das Blockieren unangemessener URLs hinaus. Genauso wenig reicht es, einfach nur die Ausführung von Anwendungen zu unterbinden. Für das Web 2.0 ist ein integrierter Ansatz mit verschiedenen Schutzebenen erforderlich: URL Filtering, Anwendungskontrolle, Malware-Schutz und Bot-Abwehr – zusammen mit Benutzeraufklärung, intelligenter Überwachung und Tools für die Ereignisanalyse, damit Administratoren stets die vollständige Kontrolle haben.

DIE SICHERE NUTZUNG VON WEB-2.0-anwendungen setzt einen

integrierten ansatz mit url filtering, anwendungsKOntrOlle,

benutzeraufKlÄrung und umfassender webKOntrOlle durch

den administratOr vOraus.

028



029



04 Fälle von DAtenverlUSt in ihreM netZWerk

geschäftliche Daten: Die wertvollste ressource von UnternehmenGeschäftliche Daten lassen sich leichter aufrufen und übertragen als je zuvor, wobei der Großteil dieser Daten auf die eine oder andere Weise sensibel ist. Manche von ihnen sind vertraulich, da sie interne Unternehmensinformationen enthalten, die nicht für die Öffentlichkeit bestimmt sind. Andere Daten können aufgrund unternehmensinterner Vorschriften, nationaler Gesetze oder internationaler Bestimmungen sensibel sein. In vielen Fällen hängt der Wert der Daten sogar von ihrer Geheimhaltung ab – denken Sie nur an geistiges Eigentum oder Informationen über Mitbewerber.Ein Problem ist also das Risiko von Datenverlusten. Eine weitere Herausforderung sind die neuen Tools und Verfahren, welche die Wahrscheinlichkeit irreversibler Fehler deutlich erhöhen: Cloud-Server, Google Docs oder eine versehentliche Verletzung von Unternehmensrichtlinien (zum Beispiel Angestellte, die Arbeit mit nach Hause nehmen). Die meisten Fälle von Datenverlusten geschehen tatsächlich unabsichtlich.

Datenverluste können jedem von uns passierenDatenlecks müssen nicht das Werk von Cyber-Kriminellen sein. Auch die eigenen Mitarbeiter können versehentlich Datenverluste verursachen. Als vertraulich eingestufte Dokumente werden unabsichtlich an die falsche Person versendet oder auf einer öffentlichen Website veröffentlicht. Oder eine Arbeitsdatei wird an eine nicht autorisierte, private E-Mail-Adresse geschickt. Solche Missgeschicke können jedem von uns passieren – mit zum Teil dramatischen Folgen. Der Verlust von sensiblen Daten kann die Reputation des Unternehmens beschädigen, Vorschriften verletzen und entgangene Umsätze oder hohe Strafen zur Folge haben.

Unsere UntersuchungWenn Unternehmen festlegen möchten, welche Daten nicht nach außen dringen dürfen, müssen verschiedene Aspekte berücksichtigt werden: Um welche Daten handelt es sich? In wessen Händen befinden sie sich? Von wem werden sie versendet? Und wer ist der beabsichtigte Empfänger? Wann werden die Daten gesendet?

DER UNTERSUCHTEN UNTERNEHMEN WAREN VON MINDESTENS EINEM POTENZIELLEN DATENVERLUST BETROFFEN

54 %

030



Wie hoch sind die Kosten, wenn Geschäftsprozesse beeinträchtigt werden, da die Sicherheitsrichtlinie strenger als nötig ist?In unserer Untersuchung haben wir Daten analysiert, die von Unternehmen nach außen gesendet wurden. Dabei haben wir sowohl HTTP- als auch SMTP-Verkehr untersucht. Wenn E-Mails zum Beispiel an einen externen Empfänger gesendet werden, inspiziert ein Check Point-Gerät den Text sowie die Empfänger und Anhänge einer E-Mail (auch bei gezippten Dateien). Zudem haben wir Webbrowsing-Aktivitäten wie Web-Posts und Web-Mails analysiert. Als Sicherheitsrichtlinie auf diesen Geräten haben wir standardmäßige, vordefinierte Datentypen konfiguriert, um sensible Daten, Formulare und Vorlagen (wie Kreditkartennummern, Quellcode, Finanzdaten und vieles mehr) erkennen zu können. Es würde einen Datenverlust bedeuten, wenn sie in die falschen Hände gerieten. Eine genaue Liste der Datentypen finden Sie in Anhang D.

Potenzielle Datenverluste in ihrem UnternehmenUnsere Untersuchung hat gezeigt, dass 54 % aller befragten Unternehmen mindestens einmal einen Datenverlust zu beklagen

Im Folgenden finden Sie einige Beispiele für Datenverluste, die Mitarbeiter von Unternehmen im Jahr 2012 unabsichtlich verursacht haben:

Im Oktober 2012 musste die Stadtverwaltung von Stoke-on-Trent in Großbritannien eine Strafe von 120.000 £ zahlen, nachdem ein Mitarbeiter der Rechtsabteilung E-Mails mit vertraulichen Daten an eine falsche Adresse geschickt hatte. Elf E-Mails, die eigentlich für einen Anwalt gedacht waren, der an einem Fall arbeitete, wurden aufgrund eines Tippfehlers an eine andere E-Mail-Adresse gesendet.

Ebenfalls im Oktober 2012 kündigte die japanische Zeitung Yomiuri Shimbun einem ihrer Mitarbeiter, da dieser einen vertraulichen Bericht an falsche Empfänger geschickt hatte. Der Journalist wollte seine Ergebnisse per E-Mail an Kollegen senden, schickte die Nachricht jedoch an verschiedene Medien und gab dabei die Identität seiner Quellen preis.24

Im April 2012 versendete das Virginia Military Institute in Lexington (USA) aus Versehen Noten von Studenten in einem E-Mail-Anhang. Eine E-Mail, die eine angehängte Tabelle mit den Noten aller Absolventen enthielt, wurde an den Leiter der Abschlussklasse geschickt. Ohne den Anhang beachtet zu haben, leitete der Rektor die Nachricht an 258 Studenten weiter. Eigentlich hatte er nur eine Tabelle mit Namen und Unterkünften versenden wollen, damit die Studenten ihre Postadressen bestätigen können.25

Die Texas A&M University schickte aus Versehen eine E-Mail mit einem Anhang, der Sozialversicherungsnummern, Namen und Adressen von 4.000 früheren Studenten enthielt, an eine Person, die die Universität auf ihren Fehler aufmerksam machte. Der Vorfall ereignete sich am 26. April 2012.

OH JE … ICH HABE DIE E-MAIL AN EINE FALSCHE ADRESSE GESCHICKT!

61 % Finanzwesen

50 % Industrie

45 % Telekommunikation

33 % Consulting

54 % Sonstige

70 % Behörden

Prozentsatz der Unternehmen mit mindestens einem potenziellen Datenverlust nach branche(% der Unternehmen)

Diagramm 4-A

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

031



hatten. Dies würde heißen, dass es durchschnittlich alle sechs Tage zu einem potenziellen Datenleck kommt. Dabei haben wir Fälle berücksichtigt, in denen interne Daten (siehe Liste mit Datentypen in Anhang D) an externe Ziele gesendet wurden – entweder an externe E-Mail-Empfänger oder durch Online-Posts.Unsere Analysen machen deutlich, dass Behörden und Finanzinstitute besonders gefährdet sind (siehe Diagramm 4-A).

interne e-Mails, die an externe empfänger gesendet werdenOftmals treten Datenverluste dadurch auf, dass Mitarbeiter E-Mails versehentlich an einen falschen Empfänger senden. Bei unserer Untersuchung haben wir zwei Arten von E-Mails analysiert, die Datenverluste bedeuten können. Zum einen E-Mails, die an sichtbare interne Empfänger (An und CC) sowie an externe Empfänger (BCC) gesendet werden. Solche E-Mails sehen oft nach internen Nachrichten aus, verlassen jedoch das Unternehmen. Zur zweiten Art gehören E-Mails, die an mehrere interne sowie einen externen Empfänger geschickt werden. Diese Nachrichten werden in der Regel unabsichtlich an einen falschen externen Empfänger versendet. Eines oder beide dieser Ereignisse wurde in 28 % der untersuchten Unternehmen ermittelt.

Welche Arten von Daten werden durch Mitarbeiter an externe empfänger gesendet oder online veröffentlicht?Diagramm 4-C gibt die wichtigsten Datenarten wieder, die an Empfänger außerhalb von Unternehmen geschickt werden. Kreditkartendaten führen die Liste an, es folgen Quellcode und mit Kennwörtern geschützte Dateien.

hält ihr Unternehmen alle PCi-vorschriften ein?Mitarbeiter verschicken Kreditkartennummern über das Internet – eigene Daten genauso wie die von Kunden. Sie senden zum Beispiel Zahlungsbelege von Kunden, die eine Kreditkartennummer enthalten, in einem E-Mail-Anhang. Oder sie antworten auf eine Kunden-E-Mail, die im Haupttext die Kreditkartennummer des Kunden enthält. Manchmal schicken Mitarbeiter Tabellen mit Kundendaten an private E-Mail-Konten oder an Geschäftspartner. Oftmals sind Ereignisse mit Kreditkartennummern das Ergebnis eines fehlerhaften Geschäftsprozesses oder der Unachtsamkeit von Mitarbeitern. Solche Vorfälle können ein Hinweis darauf sein, dass die Sicherheitsrichtlinie des Unternehmens nicht ausreicht, um eine sichere und sorgfältige Nutzung von Unternehmensressourcen zu gewährleisten.Der Versand von Kreditkartennummern über das Internet erfüllt zudem nicht die PCI-DSS-Anforderung 4. Hier wird vorgeschrieben, dass Karteninhaberdaten beim Verschicken in öffentlichen Netzwerken verschlüsselt sein müssen. Eine Verletzung der PCI-DSS-Vorschriften kann zu einer Beschädigung des Rufs, strafrechtlicher Verfolgung, Versicherungsproblemen, Kündigungen von Konten, Schwierigkeiten mit Zahlungskarten und behördlichen Strafen führen.In unserer Analyse haben wir den ausgehenden Datenverkehr von Unternehmen inklusive aller E-Mail-Bestandteile untersucht (mit Anhängen und Archiven). Unser Ziel war es, E-Mails mit Kreditkartennummern oder Karteninhaberdaten zu erkennen. Die Inspektionen basierten auf regelmäßigen Ausdrücken, der Validierung von Prüfzahlen und den PCI-DSS-Vorschriften.

36 % Finanzwesen

26 % Industrie

18 % Telekommunikation

11 % Consulting

26 % Sonstige

47 % Behörden

Prozentsatz der Unternehmen nach branche, in denen kreditkartendaten an externe empfänger versendet worden waren(% der Unternehmen)

IN 28 % ALLER BEFRAGTEN UNTERNEHMEN waren interne

e-mails an externe empfÄnger versendet wOrden

Diagramm 4-B

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies 14 % Kennwort g

eschützte

Dateien7 % Als vertra

ulich eingestufte E

-Mails

032



DATEN, DIE VON UNTERNEHMEN AN EXTERNE EMPFÄNGER GESENDET WURDEN

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

Diagramm 4-C

29 %

Kred

itkart

enda

ten

13 %

Geh

altsd

aten14 % Kennwort g

eschützte

Dateien

24 % Quellc

ode

7 % Als vertraulich eingestu

fte E-Mails

21 %

Son

stige

6 %

Gesc

häftl

iche D

atens

ätze

3 %

Kon

tonu

mm

ern

(% der Unternehmen)

DER FINANZINSTITUTE WURDEN KREDITKARTENDATEN AN EXTERNE EMPFÄNGER VERSENDET

36 % IN

033



Unsere Ergebnisse zeigen, dass im Analysezeitraum in 29 % der Unternehmen mindestens ein Vorfall erkannt wurde, der darauf hindeutet, dass PCI-relevante Daten das Unternehmen verlassen haben. Außerdem haben wir herausgefunden, dass es in 36 % der Finanzinstitute, die in der Regel zur Einhaltung der PCI-Vorschriften verpflichtet sind, zu mindestens einer PCI-Verletzung kam.

hiPAADie amerikanische Datenschutzregelung HIPAA gewährleistet den staatlichen Schutz vertraulicher Gesundheitsdaten und verleiht Patienten eine Reihe von Rechten hinsichtlich dieser Daten. Die Vorschriften wurden dabei so definiert, dass für die Patientenbetreuung und andere wichtige Zwecke erforderliche Gesundheitsdaten weitergegeben werden können.27

Die HIPAA-Verordnung gestattet es Akteuren im Gesundheits- wesen, gesundheitliche Aspekte mit Patienten per E-Mail zu erörtern – unter der Voraussetzung, dass ausreichende Sicherheits- maßnahmen getroffen worden sind. Eine Verschlüsselung ist dabei nicht vorgeschrieben. Es müssen jedoch andere Schutzvorkehrungen getroffen werden, um die Datensicherheit zu gewährleisten. Wie lassen sich E-Mail-Kommunikationskanäle mit Patienten und Partnern nutzen, ohne dass der Datenschutz oder die HIPAA-Verordnung verletzt werden?

Bei unserer Untersuchung haben wir den ausgehenden Verkehr von Einrichtungen analysiert (inklusive aller Bestandteile von Nachrichten und Anhängen). Dabei haben wir nach E-Mails gesucht, die vertrauliche Patientendaten wie die Sozialversicherungsnummer und verwandte medizinische Begriffe wie CPT, ICD-9, LOINC, DME, NDC usw. enthalten.Unsere Ergebnisse zeigen, dass in 16 % der Gesundheits- einrichtungen und Krankenhäuser HIPAA-relevante Patienten- daten an externe Empfänger gesendet bzw. online veröffentlicht wurden.

SICHERHEITSEMPFEHLUNGENIn einer Geschäftswelt, in der Datenverluste immer häufiger auftreten, haben Unternehmen keine andere Wahl, als sensible Daten zu schützen. Eine optimale Lösung zur Verhinderung von Datenlecks ist die Implementierung einer automatisierten Unternehmensrichtlinie, die sensible Daten abfängt, bevor sie das Unternehmen verlassen. Solch eine Lösung wird Data Loss Prevention (DLP) genannt. Inhaltssensible DLP-Produkte weisen eine hohe Funktionsvielfalt auf und bieten Unternehmen verschiedene Bereitstellungsoptionen. Vor der Implementierung der DLP-Lösung müssen Unternehmen eine klare DLP-Strategie mit konkreten Anforderungen entwickeln – zum Beispiel hinsichtlich der Fragen, welche Daten als vertraulich gelten sollen, wer diese versenden darf usw.

DER EINRICHTUNGEN IM GESUNDHEITS- UND VERSICHERUNGSWESEN WURDEN HIPAA-RELEVANTE PATIENTENDATEN AN EXTERNE EMPFÄNGER GESENDET

16 % IN

034



engine für die DatenklassifizierungHohe Präzision bei der Ermittlung sensibler Daten ist eine Grundanforderung an DLP-Lösungen. Die Lösung muss persönlich identifizierbare Informationen (PII), Compliance-bezogene Daten (HIPAA, SOX, PCI usw.) sowie vertrauliche Geschäftsdaten erkennen können. Sie muss übertragene Inhalte prüfen und die Durchsetzung von Richtlinien bei den am häufigsten verwendeten TCP-Protokollen wie SMTP, FTP, HTTP, HTTPS und Webmail gewährleisten. Darüber hinaus muss die Lösung Mustervergleiche und Dateiklassifizierungen durchführen, um Inhaltstypen unabhängig von Dateierweiterungen oder Komprimierung identifizieren zu können.Und sie muss sensible Formulare durch den Abgleich mit Dateien und Formularen erkennen und schützen können. Eine wichtige Funktion von DLP-Lösungen ist die Möglichkeit zur Erstellung benutzerdefinierter Datentypen, welche die standardmäßigen Datentypen des Anbieters sinnvoll ergänzen.

ermöglichen Sie benutzern die lösung von ProblemenHerkömmliche DLP-Produkte können spezifische Dokumente und Dateitypen ermitteln, klassifizieren und einordnen. Sie sind jedoch nicht in der Lage, die Absichten von Benutzern bei der Weitergabe sensibler Informationen zu erkennen. Eine technische Überprüfung reicht alleine also nicht aus, da sie Absichten nicht verstehen bzw. entsprechend reagieren kann. Darum muss eine geeignete DLP-Lösung Benutzer in das Verfahren einbeziehen, um optimale Ergebnisse erzielen zu können. Eine Methode besteht darin, Benutzern die Lösung von Problemen in Echtzeit zu ermöglichen. Das DLP-Produkt muss Benutzer warnen, dass eine Aktion Datenverluste zur Folge haben kann, und ihnen die Möglichkeit bieten, die Nachricht zu löschen oder trotzdem zu versenden. So lässt sich die Sicherheit deutlich verbessern, da Benutzer Informationen zu Datennutzungsrichtlinien erhalten und vor möglichen Fehlern gewarnt werden. Sie können Probleme umgehend beheben und legitime Nachrichten im Handumdrehen autorisieren. Auf diese Weise wird auch die Verwaltung erleichtert. Auf Wunsch kann der Administrator DLP-Ereignisse für Analysezwecke in Echtzeit verfolgen. Erforderlich ist dies jedoch nicht, da Anfragen zum Versand von Daten an externe Empfänger automatisch bearbeitet werden.

Schutz vor internen DatenlecksEine weitere wichtige DLP-Funktion neben der Überwachung sensibler Daten, die das Unternehmen verlassen, ist die Kontrolle vertraulicher E-Mails, die zwischen verschiedenen Abteilungen versendet werden. Richtlinien müssen so definiert werden, dass vertrauliche Daten nicht an falsche Abteilungen gesendet werden. Informationen, die vor einer versehentlichen Weiterleitung an andere Abteilungen geschützt werden müssen, sind unter anderem Vergütungspläne, vertrauliche Dokumente aus der Personalabteilung, Fusionspläne oder medizinische Unterlagen.

Datensicherheit für Festplatten von endgerätenUnternehmen müssen mit einer umfassenden Sicherheitsrichtlinie dafür sorgen, dass Daten auf Laptops zuverlässig geschützt sind. Ohne ausreichenden Schutz können Außenstehende über verloren gegangene oder gestohlene Laptops auf wertvolle Daten zugreifen. Dies kann gravierende rechtliche und finanzielle Folgen nach sich ziehen. Eine geeignete Lösung muss nicht autorisierte Benutzer daran hindern, auf Informationen zuzugreifen, indem Daten auf Festplatten aller Endgeräte verschlüsselt werden, einschließlich Benutzerdaten, Betriebssystemdateien sowie temporärer und gelöschter Dateien.

Datensicherheit für WechselmedienUm zu verhindern, dass Unternehmensdaten über USB-Speichergeräte und andere Wechseldatenträger in falsche Hände gelangen, müssen diese Geräte verschlüsselt werden. Mitarbeiter speichern oft persönliche Dateien wie Musik, Fotos oder Dokumente zusammen mit geschäftlichen Dateien wie Finanz- oder Personalakten auf tragbaren Medien, was den Schutz von Unternehmensdaten erheblich erschwert. Durch eine Verschlüsselung von Wechselmedien lassen sich Sicherheitsrisiken für den Fall minimieren, dass Unberechtigte Zugriff auf diese Geräte erhalten.

Schutz von DokumentenGeschäftliche Dokumente werden von Dateispeicheranwendungen ins Internet hochgeladen, an private Smartphones versendet, auf Wechselmedien kopiert und regelmäßig an externe Geschäftspartner weitergegeben. Bei jeder dieser Aktivitäten besteht das Risiko, dass sensible Daten verloren gehen bzw. von nicht autorisierten Personen verwendet werden. Zur Sicherheit von Unternehmensdokumenten müssen Sicherheitslösungen eine Verschlüsselungsrichtlinie für Dokumente durchsetzen und den Zugriff durch nicht autorisierte Personen verhindern.

event-ManagementNeben der Definition von DLP-Regeln zur Einhaltung der Datennutzungsrichtlinien sind geeignete Überwachungs- und Berichterstellungsfunktionen erforderlich. Um das Risiko von Datenverlusten zu minimieren, muss die Sicherheitslösung eine Überwachung und Analyse von aktuellen und vergangenen DLP-Verstöße ermöglichen. So erhält der Sicherheitsadministrator umfassende Informationen über nach außen versendete Daten und ihre Quellen, um bei Bedarf in Echtzeit reagieren zu können.

035



Auch 2.600 Jahre später noch eignet sich der gleiche Ansatz zur Bekämpfung aktueller Cyber-Bedrohungen – die optimale Netzwerksicherheit wird erreicht, wenn die verschiedenen Schutzebenen aufeinander abgestimmt werden, um sämtliche Sicherheitsrisiken zu beseitigen.Dieser Bericht beschäftigte sich mit den unterschiedlichen Seiten von Sicherheitsbedrohungen, die Check Point in vielen verschiedenen Unternehmen erkannt hat. Er zeigte, dass Bots, Viren, Sicherheitsverletzungen und Angriffe in vielen Unternehmen zum Alltag gehören. In diesem Bericht wurde erläutert, wie manche der von Mitarbeitern genutzten Webanwendungen die Netzwerksicherheit gefährden können. Außerdem haben wir Verfahren vorgestellt, die Mitarbeiter häufig nutzen und dabei einen versehentlichen Verlust von vertraulichen Daten riskieren.

in ihrer Sicherheitsstrategie darf technologie nicht alles seinDer Ansatz von Check Point zum Erreichen einer spezifischen Sicherheits-Anforderung eines Unternehmens, erkennt an, dass Technologie alleine nicht ausreicht. Sicherheit bedeutet, dass Lösungen nicht mehr nur aus einzelnen Technologien und Verfahren bestehen dürfen, sondern einen effektiven Geschäftsprozess bilden müssen. Check Point rät Unternehmen, bei der Auswahl einer Sicherheitsstrategie und -lösung drei Aspekte zu beachten: Policy, People Enforcement.

richtlinienSicherheit beginnt mit einer verständlichen und klar definierten Richtlinie. Sie muss an geschäftliche Anforderungen angepasst sein, anstatt auf eine Sammlung von diversen Technologien und Prüfungen auf der Systemebene zu setzen. Richtlinien sollten berücksichtigen, dass Geschäftsabläufe Priorität haben, und bei Unternehmensmethoden die Richtung vorgeben, damit sich der Betrieb sicher gestalten lässt.Bei unserer Untersuchung haben wir zum Beispiel herausgefunden, dass Mitarbeiter Webanwendungen nutzen, die zwar für den Geschäftsablauf wichtig sind, aber gleichzeitig ein Risiko für die Unternehmenssicherheit darstellen. Wenn wir ausschließlich Technologien bereitstellen, die die Nutzung solcher Webanwendungen unterbinden, würden sich Mitarbeiter mit Beschwerden an den Sicherheitsadministrator wenden. Oder sie würden nach Wegen suchen, die Richtlinie zu umgehen, und dabei Sicherheitsprobleme verursachen. Stattdessen empfiehlt Check Point Kunden die Erstellung einer Richtlinie, die Fälle berücksichtigt, bei denen die Nutzung dieser Anwendungen erforderlich ist, und das Verfahren festlegt, mit dem eine Verwendung auf sichere Weise erfolgen kann. Benutzer können bei Bedarf automatisch auf diese Richtlinie hingewiesen werden.

zum abschluss ein weiteres zitat vOn sunzi aus seinem werK „die Kunst des Krieges“ – hier eine empfehlung für einen general:

„nAChDeM er eine ArMee AUFgeStellt UnD Die StreitkräFte UM SiCh verSAMMelt hAt, MUß er Deren verSChieDene eleMente vereinen UnD in hArMonie bringen, bevor er Sein lAger AUFSChlägt.“28

05 ZUSAMMenFASSUng UnD SiCherheitSStrAtegie

036



MenschenBenutzer von Computersystemen sind ein zentraler Teil des Sicherheitsprozesses. Oft sind sie es, die Fehler machen und damit Malware-Infektionen oder Datenverluste verursachen. Unternehmen müssen dafür sorgen, dass Benutzer in das Sicherheitsverfahren einbezogen werden. Mitarbeitern muss die Sicherheitsrichtlinie erläutert werden. Sie müssen erfahren, was von ihnen erwartet wird, wenn sie im Internet surfen oder vertrauliche Daten weitergeben. Außerdem sollte die Sicherheitsprozedur so nahtlos und transparent wie möglich sein und nicht bedeuten, dass Benutzer ihre Arbeitsweise verändern müssen.Die Implementierung eines Sicherheitsprogramms sollte folgende Komponenten umfassen:• Ein Schulungsprogramm – damit alle Benutzer wissen, dass

Systeme Schwachstellen aufweisen und ein entsprechendes Verhalten notwendig ist.

• Technologie – informiert Mitarbeiter in Echtzeit, wenn bestimmte Aktionen ein Risiko darstellen, und zeigt ihnen, wie sie sich sicher verhalten können.

DurchsetzungDie Bereitstellung von Sicherheitslösungen wie Security Gateways und Endpunkt-Software ist essentiell, um Unternehmen vor Sicherheitsverletzungen und Datenverlusten zu schützen. An allen Verbindungspunkten sind Security Gateways erforderlich, die dafür sorgen, dass ausschließlich relevanter und autorisierter Datenverkehr das Netzwerk erreichen oder verlassen kann. Diese Validierung sollte alle Sicherheits- und Kommunikationsebenen sowie Protokolle, Methoden, Anfragen, Antworten und Payloads umfassen, damit sie von Sicherheitslösungen wie Firewall, Application Control, URL Filtering, DLP, Anti-Virus und Anti-Bot überwacht werden können.

037



Check Point Software Technologies Ltd. (www.checkpoint.com), der weltweit führende Hersteller von Lösungen für Sicherheit im Internet, bietet Kunden unvergleichlichen Schutz vor allen Arten von Bedrohungen. Unsere Produkte sind besonders anwenderfreundlich und zeichnen sich durch niedrige Gesamtbetriebskosten aus. Check Point ist mit FireWall-1 und seiner patentierten Stateful Inspection-Technologie ein wichtiger Pionier der Branche. Auch heute entwickelt Check Point auf Grundlage der Software Blade-Architektur Innovationen und stellt Kunden flexible und einfache Lösungen bereit, die sich genau an die individuellen Sicherheitsanforderungen von Unternehmen anpassen lassen. Check Point ist der einzige Anbieter, der nicht nur Technologien einsetzt, sondern Sicherheit auch als Geschäftsprozess definiert. Check Point 3D Security ist ein einzigartiges Produkt, das Policy, People Enforcement kombiniert, um Datenressourcen besser zu schützen. Die Lösung unterstützt Unternehmen bei der Implementierung eines Sicherheitsmodells, das auf geschäftliche Anforderungen abgestimmt ist. Zu den Kunden gehören Zehntausende von Unternehmen aller Größen, darunter sämtliche Fortune- und Global-100-Unternehmen. Die preisgekrönten ZoneAlarm-Lösungen von Check Point schützen Millionen von Kunden vor Hackern, Spyware und Identitätsdiebstahl.

Check Point 3D SecurityCheck Point 3D Security definiert Sicherheit neu: als dreidimensionalen Geschäftsprozess, der Policy, People Enforcement miteinander kombiniert. So lassen sich alle Ebenen inklusive Netzwerk, Daten und Endgeräten besser schützen. Um ein dem 21. Jahrhundert angemessenes Maß an Sicherheit gewährleisten zu können, dürfen Sicherheitslösungen nicht mehr aus separaten Technologien bestehen, sondern müssen zu einem effektiven Geschäftsprozess zusammengefasst werden. Mit 3D Security können Unternehmen nun ein Sicherheitsmodell implementieren, das über reine Technologie hinausgeht und für die Integrität der gesamten Datensicherheit sorgt.

Check Point 3D Security hilft Unternehmen bei der Neudefinition von Sicherheit, indem folgende Dimensionen in einem Geschäftsprozess vereint werden:

Check Point Software blade ArchitectureDie Check Point Software Blade Architecture™ist eine modulare Architektur für die Gewährleistung von 3D Security, mit dem Unternehmen Sicherheitsrichtlinien durchsetzen und Benutzer über die Richtlinien informieren können. Die Software Blade-Architektur ist die erste und einzige Sicherheitsarchitektur, die vollständigen, flexiblen und leicht zu verwaltenden Schutz für Unternehmen jeder Größe bietet. Angesichts stets neuer Bedrohungen und Anforderungen unterstützt die Software Blade-Architektur von Check Point eine bedarfsbasierte Erweiterung von Security Services – und zwar ohne neue Hardware oder Steigerung der Verwaltungskomplexität. Lösungen lassen sich mithilfe einer zentralen Oberfläche verwalten, sodass Komplexität und Betriebskosten sinken. Mehrschichtiger Schutz ist heute essentiell, damit dynamische Bedrohungen wie Bots, Trojaner und Advanced Persistent Threats (APTs) zuverlässig abgewehrt werden können. Firewalls ähneln heute Multi-Funktions-Gateways, wobei

Durchsetzung, Konsolidierung und Kontrolle aller Sicherheitsebenen – Netzwerk, Daten, Anwendungen, Inhalte und Benutzer

Sicherheit, die Menschen in der Richtliniendefinition, Unterweisung und Lösung von Ereignissen umfasst

Richtlinien, die geschäftliche Anforderungen unterstützen und Sicherheit in einen Geschäftsprozess verwandeln

06 Über CheCk Point SoFtWAre teChnologieS

038



Unternehmen jedoch nicht unbedingt durchgehend das gleiche Sicherheitsniveau implementieren möchten. Sie wünschen sich Flexibilität und eine umfassende Kontrolle über ihre Sicherheitsressourcen.Software Blades sind Sicherheitsfunktionen wie Firewall, Virtual Private Network (VPN), Intrusion Prevention System (IPS) oder Application Control. Sie arbeiten unabhängig voneinander, sind modular und lassen sich zentral verwalten. Mit ihrer Hilfe können Unternehmen das Sicherheitsniveau genau anpassen und für eine optimale Balance zwischen Schutz und Investitionen sorgen. Software Blades können über beliebige Gateways oder Managementsysteme mit einem simplen Mausklick aktiviert und konfiguriert werden – Hardware-, Firmware- oder Treiberaktualisierungen sind nicht erforderlich. Bei steigenden Anforderungen lassen sich problemlos weitere Software Blades aktivieren, um den Schutz einer vorhandenen Konfiguration mit der gleichen Sicherheitshardware auszubauen.Check Point bietet ein zentrales Event-Management für alle Check Point-Produkte und für Geräte von Drittanbietern. Dank Echtzeitansichten von Sicherheitsereignissen ist es

möglich, über eine einzige Oberfläche die Sicherheitslage rasch einzuschätzen und bei Bedarf umgehend Maßnahmen zu ergreifen. In der Zeitachsenansicht lassen sich Trends und die Verbreitung von Angriffen visualisieren. Die Diagrammansicht stellt Ereignisstatistiken in Kreis- oder Balkendiagrammen bereit. In der Kartenansicht werden potenzielle Bedrohungen nach Ländern aufgeschlüsselt angezeigt.

Check Point Security gateway SmartDashboard Aktivierungsfenster für Software blades

verwaltung von Sicherheitsereignissen mit Check Point Smartevent echtzeitüberblick

039



threatCloud™ real-time Security intelligence Feeds

ThreatCloud ist ein kollaboratives Netzwerk mit einer Cloud-basierten Datenbank, die Security Gateways in Echtzeit dynamische Sicherheitsinformationen bereitstellt. Diese Informationen werden dazu genutzt, neue Bedrohungen und Trends zu erkennen. ThreatCloud dient als Grundlage für das Anti-Bot Software Blade, sodass Gateways die sich ständig ändernden IP-, URL- und DNS-Adressen analysieren können, wenn die entsprechenden Command & Control-Server bekannt sind. Da die Verarbeitung in der Cloud erfolgt, lassen sich Millionen von Signaturen und Malware-Elementen in Echtzeit überprüfen.Die Datenbank von ThreatCloud wird mithilfe von Feeds aus einem Netzwerk an globalen Bedrohungssensoren, Angriffsdaten aus Gateways weltweit, Check Point-Untersuchungslaboren und den besten Malware-Feeds der Branche dynamisch aktualisiert. Korrelierte Informationen über Sicherheitsbedrohungen werden dann an alle Gateways weitergegeben.

Check Point Security AppliancesIn modernen Unternehmensnetzwerken bestehen Security Gateways nicht nur aus einer Firewall. Es handelt sich um Geräte, die eine ständig steigende Zahl an ausgeklügelten Bedrohungen bekämpfen müssen. Gateways müssen verschiedene Technologien nutzen, um den Netzwerkzugriff zu kontrollieren, ausgeklügelte Angriffe zu erkennen, zusätzliche Sicherheitsfunktionen wie Data Loss Prevention und Schutz vor webbasierten Bedrohungen bereitzustellen sowie die steigende Zahl mobiler Geräte wie iPhones und Tablets in den Netzwerken von Unternehmen zu schützen. Die zunehmenden Bedrohungen und Sicherheitsfunktionen setzen eine höhere Leistung und Vielseitigkeit der Sicherheits-Appliances voraus.Auf Grundlage von Check Point GAiA, einem Sicherheits- betriebssystem der nächsten Generation, umfassen Check Point-Appliances hochleistungsfähige Multi-Core-Funktionen sowie extrem schnelle Netzwerktechnologien – und bieten somit maximalen Schutz für Daten, Netzwerke und Mitarbeiter. Dank der Optimierung für die erweiterbare

Software Blade-Architektur kann jede Appliance eine beliebige Kombination an Software Blades ausführen – inklusive Firewall, IPsec VPN, IPS, Application Control, Mobile Access, DLP, URL Filtering, Anti-Bot, Anti-Virus, Anti-Spam, Identity Awareness und Advanced Networking & Clustering. So können sich Unternehmen an jeder Netzwerkstelle auf volle Flexibilität und Sicherheit verlassen. Durch die Kombination verschiedener Sicherheitstechnologien in einem zentralen Sicherheits-Gateway stellen die Appliances intelligente und integrierte Sicherheitslösungen dar, mit denen sich alle Schutzanforderungen von Unternehmen erfüllen lassen. Eingeführt im August 2011 ist SecurityPower™ eine Kennzahl, mit der sich die Kapazität einer Appliance bei der Ausführung erweiterter Funktionen in spezifischen Verkehrsvolumen messen lässt. Sie ist ein revolutionärer Benchmark, mit dessen Hilfe Kunden Sicherheits-Appliances auswählen können, die optimal für ihre Umgebung geeignet sind. Die SecurityPower-Bewertungen werden anhand von realem Datenverkehr bei Kunden, verschiedenen Schutzfunktionen und einer typischen Sicherheitsrichtlinie ermittelt.

Check Point 61000 Appliance

040



Check Point endpoint SecurityCheck Point Endpoint Security Software Blades sorgen für unübertroffene Flexibilität, Kontrolle und Effizienz bei der Verwaltung und Bereitstellung von Sicherheit für Endgeräte. IT-Manager können zwischen sechs Endpoint Software Blades wählen, um erforderlichen Schutz implementieren und die Sicherheit bei Bedarf erhöhen zu können. Das Full Disk Encryption Software Blade schützt automatisch und transparent alle Daten, die sich auf Festplatten von Endgeräten befinden. Mittels Multi-Faktor-Pre-Boot-Authentifizierung wird die Benutzeridentität sichergestellt. Das Media Encryption Software Blade sorgt für eine zentral durchsetzbare Verschlüsselung von austauschbaren Speichermedien. Dabei ist es auch möglich, nur geschäftsbezogene Daten zu verschlüsseln und Benutzer mit wichtigen Informationen zu versorgen. Das Remote Access VPN Software Blade bietet Benutzern, die auf Reisen sind oder extern arbeiten, sicheren, nahtlosen Zugang

zu Unternehmensnetzwerken und -ressourcen. Das Anti-Malware and Program Control Software Blade sorgt mit einem einzigen Scanvorgang für eine effektive Erkennung und Entfernung von Malware auf Endgeräten. Mit der Programmkontrolle wird sichergestellt, dass nur legitime und zugelassene Programme auf Endgeräten ausgeführt werden können. Das Firewall and Security Compliance Verification Software Blade schützt eingehenden und ausgehenden Datenverkehr proaktiv vor Malware und verhindert eine Infizierung von Endgeräten. Außerdem werden gezielte Angriffe abgewehrt und unerwünschter Datenverkehr gesperrt. Mit der Überprüfung der Sicherheits-Compliance wird gewährleistet, dass Ihre Endgeräte stets der unternehmensweiten Sicherheitsrichtlinie entsprechen. Das WebCheck Secure Browsing Software Blade schützt vor neuen webbasierten Bedrohungen wie Drive-by-Downloads, Phishing-Sites und Zero-Day-Angriffen. Browsersitzungen werden in einer sicheren virtuellen Umgebung ausgeführt.

Check Point endpoint Security Client

041


A

Dieser Anhang enthält weitere Informationen zu Malware, die während unserer Untersuchung am häufigsten gefunden wurde. Eine vollständige Malware-Datenbank von Check Point finden Sie unter threatwiki.checkpoint.com.

Zeus ist ein Backdoor-Bot-Agent, der eine Bedrohung für Microsoft Windows-Plattformen darstellt. Eine Backdoor ist eine Methode zur Umgehung von Authentifizierungsvorgängen. Wurde ein System erst einmal beeinflusst, können eine oder mehrere Backdoors installiert werden, um künftig leichter Zugriff zu erhalten.29 Bei unserer Untersuchung stießen wir auf Zeus-Bots, die Version 2.0.8.9 des Zeus-Toolkits verwendeten. Zeus umfasst eine große Familie von Online-Banking-Trojanern mit vielen Versionen und Varianten. Die Malware ermöglicht Angreifern Fernzugriff auf infizierte Systeme. Zeus wurde bisher hauptsächlich eingesetzt, um Zugangsdaten für Online-Banking zu stehlen, wenn Benutzer auf ihre Konten zugreifen.

Zwangi ist eine Adware, die Microsoft Windows-Plattformen angreift. In einem infizierten System wird sie als Browser Helper Object registriert. Die Adware installiert eine Toolbar in Internet Explorer und zeigt dem Nutzer unerwünschte Werbebotschaften an. Sie infiziert Systeme über Softwarepakete.

Sality ist ein Virus, der sich selbst verbreitet, indem er ausführbare Dateien infiziert und verändert und sich selbst in Wechsellaufwerke oder gemeinsam genutzte Ordner kopiert.

Kuluoz ist ein Bot, der eine Bedrohung für Microsoft Windows-Plattformen darstellt. Berichten zufolge wurde dieser Bot über Spam-E-Mails verbreitet, die vorgaben, von der US-Post versandt worden zu sein. Er versendet Systeminformationen und ermöglicht das Eindringen von einem entfernten Server, um schädliche Dateien herunterzuladen und auf dem infizierten Computer auszuführen. Außerdem erstellt er einen Registry-Eintrag, um nach dem Neustart des Systems gestartet zu werden.

Juasek ist ein Backdoor-Bot, der eine Bedrohung für Microsoft Windows-Plattformen darstellt. Diese Malware ermöglicht es einem Angreifer, aus der Ferne und ohne Authentifizierung schädliche Aktionen auszuführen. Dies umfasst Öffnen einer Befehlsshell, Herunter- oder Hochladen von Dateien, Erstellen neuer Prozesse, Verzeichnen/Löschen von Prozessen, Suchen/Erstellen/Löschen von Dateien und Abrufen von Systeminformationen. Außerdem installiert er einen Dienst, um Neustarts des Systems zu überstehen.

Papras ist ein Bank-Trojaner, der Microsoft Windows 32- und 64-Bit-Plattformen angreift. Diese Malware versendet Systeminformationen und fordert von einem entfernten Host Konfigurationsinformationen an. Der Trojaner greift bei Netzwerkfunktionen und überwacht die Internetaktivitäten von Nutzern, um wichtige Finanzdaten zu stehlen. Außerdem besitzt er eine Backdoor-Funktion, die Angreifern aus der Ferne unautorisierten Zugriff auf infizierte Computer ermöglicht. Die Steuerbefehle, die der Trojaner zulässt, umfassen das Herunterladen weiterer schädlicher Dateien, Sammeln von Cookies und Zertifikat-Informationen, Neustart und Herunterfahren des Systems, Versenden von Anmeldedaten, Erstellen von Screenshots, Aufbau von Socket-Verbindungen mit einem entfernten Host für weitere Aktivitäten und mehr. Außerdem schleust die Malware sich selbst und möglicherweise auch weitere schädliche Dateien in Prozesse ein.

AnhAng A häUFigSte MAlWAre

042



B AnhAng b AnWenDUngen Mit hoheM riSiko

Dieser Anhang enthält weitere Informationen zu den risikoreichsten Anwendungen in unseren Forschungsergebnissen. Eine vollständige Anwendungs-Datenbank von Check Point finden Sie unter threatwiki.checkpoint.com.

Anonymisierungsprogramme

Tor ist eine Anwendung, die Anonymität im Internet ermöglichen soll. Die Client-Software leitet den Internetdatenverkehr durch ein Netzwerk teilnehmender Server, um den Standort eines Nutzers oder dessen Internetnutzung vor Netzwerküberwachung oder Datenverkehrsanalyse zu verbergen. Die Verwendung von „Tor“ erschwert die Rückverfolgung von Internetaktivitäten zum Benutzer, einschließlich des „Besuchs von Websites, Online-Kommentaren, Instant Messaging-Kommunikation und anderer Kommunikationsformen“.CGI-Proxy ist ein Softwarepaket für eine allgemeine Gateway-Schnittstelle. Es wird dem Nutzer als Webseite angezeigt, die den Zugriff auf eine andere Site erlaubt. Unterstützte Protokolle sind unter anderem HTTP, FTP und SSL.Hopster ist eine Anwendung zur Umgehung von Firewalls und Proxy-Servern, die anonymes Surfen und Chatten ermöglicht.Hide My Ass ist ein kostenloser Web-Proxydienst, der IP-Adressen verschleiert. So können anonym Verbindungen zu Websites aufgebaut werden.Hamachi ist eine Shareware-Anwendung für ein virtuelles privates Netzwerk (VPN). Sie wird verwendet, um eine Verbindung über das Internet herzustellen, die eine Verbindung über ein lokales Netzwerk (LAN) emuliert.Ultrasurf ist ein kostenloses Proxy-Tool, mit dem Nutzer Firewalls und Software zum Blockieren von Internetinhalten umgehen können.OpenVPN ist eine kostenlose Open-Source-Softwareanwendung, die VPN-Techniken (virtuelles privates Netzwerk) verwendet, um sichere Punkt-zu-Punkt- oder Site-to-Site-Verbindungen bei gerouteten oder überbrückten Konfigurationen und Fernzugriff aufzubauen.

P2P-FilesharingBitTorrent ist ein P2P-Kommunikationsprotokoll für Peer-to-Peer-Filesharing. Es ist eine Möglichkeit zur umfangreichen Verteilung großer Datenmengen, bei der ein Ursprungsverteiler nicht die gesamten Kosten für Hardware, Hosting und Bandbreite übernehmen muss. Werden Daten mit dem BitTorrent-Protokoll verbreitet, stellt jeder Empfänger neuen Empfängern Teile der Daten zur Verfügung. Dies verringert Kosten und Last je individueller Quelle, bietet Redundanz gegen Systemprobleme und mindert die Abhängigkeit gegenüber dem ursprünglichen Verteiler. Es existieren viele kompatible BitTorrent-Clients in vielen verschiedenen Programmiersprachen und für eine Vielzahl an Plattformen.eMule ist eine Peer-to-Peer-Filesharinganwendung, die mit dem eDonkey-Netzwerk und dem Kad-Netzwerk verbunden ist. Die Software bietet direkten Austausch von Quellen zwischen Client-Knoten, Wiederherstellung beschädigter Downloads und die Benutzung eines Punktesystems zur Belohnung regelmäßiger Uploads. Um Bandbreite zu sparen, überträgt eMule Daten in komprimierter Form (zlib-Dateien).Soulseek ist eine Peer-to-Peer-Filesharinganwendung. Sie wird hauptsächlich zum Austausch von Musik verwendet, obwohl Benutzer auch viele andere Dateien austauschen können.Gnutella ist ein beliebtes Filesharing-Netzwerk und eines der meistgenutzten Peer-to-Peer Protokolle. Anwendungen wie BearShare, Shareaza, Morpheus und iMesh verwenden dieses Protokoll. Es wird meist genutzt, um MP3-Musikdateien, Videos, Anwendungen und Dokumente zu teilen.Sopcast ist eine Anwendung für das Streaming von Medien über P2P-Netzwerke. Sopcast ermöglicht es Benutzern, Medien zu übertragen und übertragene Streams anzusehen.

remoteverwaltungstoolsRemotedesktopprotokoll (RDP) ist eine proprietäre Anwendung von Microsoft, die dem Benutzer eine Remoteschnittstelle für einen anderen Computer bietet.Team Viewer ermöglicht es Benutzern, Computer aus der Ferne zu bedienen, indem sie Client-Software verwenden oder sich bei einer Website anmelden.

043


Speicher- und Sharing-AnwendungenDropbox ist eine Anwendung, mit der Benutzer Dateien austauschen können. Sie ist ein Filehosting-Dienst, der von Dropbox Inc. angeboten wird. Dieser Dienst umfasst Speicherung in der Cloud, Synchronisierung von Dateien und Client-Software. Dropbox ermöglicht es Benutzern, einen bestimmten Ordner je Computer zu erstellen. Diese werden dann von Dropbox synchronisiert, sodass die Order auf allen Computern über die gleichen Inhalte verfügen und von jedem der Computer darauf zugegriffen werden kann. Zugriff auf die Dateien aus diesem Ordner ist auch über eine Website oder Apps für Mobilgeräte möglich.Windows Live Office ist ein Online-Tool von Microsoft, mit dem Microsoft Office-Dokumente gespeichert, bearbeitet und ausgetauscht werden können. Mit Office Web Apps können Nutzer Dokumente, Arbeitsmappen, Präsentationen und Notizen online erstellen, anzeigen, bearbeiten, austauschen und gemeinsam bearbeiten. Dies funktioniert von jedem Ort aus, an dem Internetzugriff möglich ist.Curl ist ein Befehlszeilentool, mit dem Benutzer Daten mit URL-Syntax übertragen können. Es unterstützt die Zertifikate FILE, FTP, HTTP, HTTPS, SSL und verschiedene Übertragungsprotokolle.YouSendIt ist ein digitaler Datenlieferdienst. Er ermöglicht es Nutzern, Dateien nach Bedarf zu versenden, zu erhalten und nachzuverfolgen.

LogMeIn ist ein Paket aus Software-Services, das über das Internet Fernzugriff auf Computer ermöglicht. Die vielfältigen Produktversionen bieten sowohl Lösungen für Endbenutzer als auch für professionelles Helpdesk-Personal. LogMeIn-Produkte für Fernzugriff verwenden ein proprietäres Remotedesktopprotokoll, das per SSL übertragen wird. Benutzer können aus der Ferne auf Computer zugreifen, indem sie ein internetbasiertes Webportal verwenden oder (optional) die eigenständige Anwendung LogMeIn Ignition nutzen.VNC ist eine Software, die aus einer Server- und Clientanwendung für das VNC-Protokoll (Virtual Network Computing) besteht und mit der man einen Computer aus der Ferne steuern kann. Die Software kann unter Windows, Mac OS X und Unix-ähnlichen Betriebssystemen ausgeführt werden. VNC kann außerdem auf der Java-Plattform und mit einem iPhone, iPod touch oder iPad von Apple ausgeführt werden.

ANHANG

044



AnhAng C: ZUSätZliChe ergebniSSe – nUtZUng von WebAnWenDUngen

Die folgenden Daten bieten eine ausführliche Darstellung der Ergebnisse aus dem Kapitel „Anwendungen im Arbeitsbereich von Unternehmen“.Die Diagramme C-A und C-B zeigen die Nutzung von Anwendungen nach Kategorie und Region.

nutzung der Anwendungen nach kategorie(% der Unternehmen)

81 % Remoteverwaltung

80 % Speicherung und

Sharing von Dateien

61 % P2P-Filesharing

43 % Anonymisierungsprogramme

nutzung der Anwendungen nach region(% der Unternehmen)

remoteverwaltungstools 83 % EMEA

80 % Nord- und

Südamerika

77 % APAC

Speicherung und Sharing von Dateien

82 % Nord- und

Südamerika

81 % EMEA

72 % APAC

P2P-Filesharing 72 % APAC

62 % Nord- und Südamerika

55 % EMEA

CQ

uelle

: Che

ck P

oint

Sof

twar

e Te

chno

logi

es

Que

lle: C

heck

Poi

nt S

oftw

are

Tech

nolo

gies

Anonymisierungsprogramme

49 % Nord- und Südamerika

40 % EMEA

35 % APAC

Diagramm C-A

Diagramm C-B

045


Die folgenden Tabellen bieten weitere Informationen zu den beliebtesten BitTorrent- und Gnutella-Clients.

häufigste bittorrent-Clients Anzahl der Unternehmen

Vuze 108

Xunlei 74

uTorrent 55

BitComet 25

FlashGet 21

QQ Download 8

Pando 7

P2P Cache 7

Transmission 6

Sonstige 242

häufigste gnutella-Clients Anzahl der Unternehmen

BearShare 52

LimeWire 23

FrostWire 16

Foxy 2

Sonstige 31

Anwendungskategorie region Anwendungsbezeichnung % der Unternehmen

Anonymisierungsprogramme Nord- und Südamerika

Tor 24 %CGI-Proxy 16 %Hamachi 8 %Hopster 8 %

Ultrasurf 7 %EMEA Tor 23 %

CGI-Proxy 12 %Hamachi 4 %Hopster 7 %Hide My Ass 7 %

APAC Tor 20 %Hopster 6 %CGI-Proxy 6 %Hamachi 6 %Hide My Ass 7 %

Die folgende Tabelle bietet weitere Informationen zu den am häufigsten genutzten Anwendungen nach Kategorie und Region.

ANHANG

046



P2P-Filesharing Nord- und Südamerika

BitTorrent-Clients 35 %SoulSeek 23 %eMule 21 %Windows Live Mesh 8 %Sopcast 8 %

EMEA BitTorrent-Clients 33 %SoulSeek 19 %eMule 15 %Sopcast 12 %iMesh 10 %

APAC BitTorrent-Clients 62 %eMule 26 %SoulSeek 11 %Sopcast 10 %BearShare 8 %

Speicherung und Sharing von Dateien

Nord- und Südamerika

Dropbox 73 %Windows Live Office 52 %Curl 28 %YouSendIt 26 %ZumoDrive 12 %

EMEA Dropbox 71 %Windows Live Office 51 %Curl 22 %YouSendIt 21 %ImageVenue 18 %

APAC Dropbox 57 %Windows Live Office 50 %Curl 26 %YouSendIt 16 %Hotfile 10 %

ANHANG

047



Remoteverwaltung Nord- und Südamerika

MS-RDP 59 %LogMeIn 51 %TeamViewer 45 %VNC 14 %

Bomgar 8 %EMEA MS-RDP 60 %

TeamViewer 55 %LogMeIn 44 %VNC 20 %pcAnywhere 3 %

APAC TeamViewer 58 %MS-RDP 51 %LogMeIn 26 %VNC 16 %Gbridge 3 %

ANHANG

048



Unsere Analyse umfasste auch die Überprüfung Dutzender verschiedener Datentypen auf der Suche nach potenziellen Datenverlustereignissen. Die folgende Auflistung zeigt die von Check Points DLP-Software Blade am häufigsten untersuchten und entdeckten Datentypen.Quellcode – Entspricht Daten mit Programmiersprache, wie C, C++, C#, Java und weitere. Es droht Verlust von geistigem Eigentum.Kreditkartendaten – Diese umfassen zwei Datentypen: Kredit- kartennummern und PCI-sensitive Authentifizierungsdaten.• Kreditkartennummern:

Suchkriterien: Bezug zur Kreditkartenbranche (Payment Card Industry, PCI); entspricht Daten mit Kreditkartennummern von MasterCard, Visa, JCB, American Express, Discover und Diners Club; Übereinstimmung basiert sowohl auf Mustern (reguläre Ausdrücke) als auch auf der Validierung von Prüfzahlen im Schema, die in Anhang B der Norm ISO/IEC 7812-1 und in JTC 1/SC 17 (Luhn MOD-10 Algorithmus) definiert sind. Weist auf Verlust vertraulicher Informationen hin.Beispiel: 4580-0000-0000-0000.

• PCI-sensitive Authentifizierungsdaten:Suchkriterien: Bezug zur Kreditkartenbranche (Payment Card Industry, PCI); entspricht Informationen, die nach PCI-Datensicherheitsstandard (DSS) als sensitive Authentifizierungsdaten klassifiziert sind. Derartige Daten sind, im Gegensatz zu Karteninhaberdaten, besonders sensibel und dürfen nach PCI-DSS nicht gespeichert werden. Entspricht Daten, die Nachverfolgungsdaten (Spur 1, 2 oder 3) von Magnetstreifen auf Kreditkarten enthalten sowie einen verschlüsselten oder unverschlüsselten PIN-Block und eine Kartenprüfnummer (Card Security Code, CSC).Beispiele: %B4580000000000000^JAMES/L.^99011200000000000?, 2580.D0D6.B489.DD1B, 2827.

Kennwortgeschützte Datei – Entspricht Dateien, die entweder kennwortgeschützt oder verschlüsselt sind. Diese Dateien enthalten möglicherweise vertrauliche Informationen.

Gehaltsabrechnung – Entspricht Dateien mit Lohn-/Gehaltsabrechnungen, auch Lohn-/Gehaltszettel genannt; weist auf Verlust persönlicher Daten hin.Vertrauliche E-Mail – Entspricht Microsoft Outlook-Nachrichten, die vom Absender als ‹vertraulich› gekennzeichnet wurden. Diese E-Mails enthalten üblicherweise sensible Informationen. Hinweis: Microsoft Outlook ermöglicht es Absen- dern, versandte E-Mails in verschiedene Vertraulichkeitsstufen einzuordnen. Dieser Datentyp entspricht E-Mails, die mit der Vertraulichkeitsoption von Outlook als ‹vertraulich› gekennzeichnet wurden.Vergütungsinformationen – Entspricht Dokumenten, die Wörter und Ausdrücke enthalten, die sich auf Vergütungsdaten von Mitarbeitern beziehen, z. B. Gehalt, Bonus usw.Weitere Datentypen, die während der Untersuchung entdeckt wurden:Ausweis aus Hong Kong, Finanzbericht/Konditionen, Kontonummern, finnische IBAN, kanadische Sozialversicherungsnummer, vertrauliche Zeugnisse der FERPA, US-amerikanische Postleitzahlen, britische Mehrwertsteuerregistrierungsnummer, mexikanische Sozialversicherungsnummer, US-amerikanische Sozialversicherungsnummern, Benotungen (Notendurchschnitt), Kontonummern, Verkaufsberichte, finnische Identifikationsnummer, Vorschriften zum internationalen Handel mit Waffen (ITAR), sensible persönliche Aufzeichnungen, CAD-CAM-Dateien/Grafikdesign-Dateien, geschützte Informationen über den Gesundheitszustand (HIPAA), französische Sozial- versicherungsnummer, Namen von Mitarbeitern, Daten der neuseeländischen Steuerbehörde, PCI/Karteninhaberdaten, US-amerikanische Führerscheinnummern, Krankenaktennummern (HIPAA), ICD-9 (HIPAA), dänische IBAN, finnische Steuer- nummer, internationale Kontonummer (IBAN) und weitere.

AnhAng D: DlP-DAtentYPenD

049


1 Sunzi, Die Kunst des Krieges, http://suntzusaid.com/artofwar.pdf (Englisch)2 http://www.checkpoint.com/campaigns/3d-analysis-tool/index.html3 http://www.checkpoint.com/products/threatcloud/index.html4 http://supportcontent.checkpoint.com/file_download?id=206025 http://www.nytimes.com/2012/03/05/technology/the-bright-side-of-being-hacked.html?pagewanted=2&ref=global-home6 http://edition.cnn.com/video/#/video/bestoftv/2012/10/01/exp-erin-cyberattack-nuclear-networks-leighton.cnn?iref=allsearch7 http://www.networkworld.com/news/2012/071312-security-snafus-260874.html?page=48 http://www.businessweek.com/news/2012-10-18/bank-cyber-attacks-enter-fifth-week-as-hackers-adapt-to-defenses9 http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/10 http://www.networkworld.com/slideshow/52525/#slide111 http://www.ihealthbeat.org/articles/2012/10/30/breaches-at-uks-nhs-exposed-nearly-18m-patient-health-records.aspx12 http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf13 http://cve.mitre.org/index.html14 http://www.networkworld.com/news/2012/020912-foxconn-said-to-have-been-255917.html15 http://news.cnet.com/8301-1009_3-57439718-83/anonymous-attacks-justice-dept-nabbing-1.7gb-of-data/16 http://news.cnet.com/8301-1009_3-57396114-83/vatican-anonymous-hacked-us-again/17 http://news.cnet.com/8301-1023_3-57411619-93/anonymous-hacks-into-tech-and-telecom-sites/18 http://www.ftc.gov/opa/2012/06/epn-franklin.shtm19 http://www.ftc.gov/opa/2010/02/p2palert.shtm20 http://www.networkworld.com/news/2012/091212-botnet-masters-hide-command-and-262402.html21 http://www.computerworld.com/s/article/9221335/_Nitro_hackers_use_stock_malware_to_steal_chemical_defense_secres22 http://bits.blogs.nytimes.com/2012/08/01/dropbox-spam-attack-tied-to-stolen-employee-password/23 http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/24 http://japandailypress.com/newspaper-reporter-fired-for-emailing-sensitive-info-to-wrong-people-15927725 http://www.roanoke.com/news/roanoke/wb/30756426 http://tamutimes.tamu.edu/2012/04/13/am-acting-on-email-message-that-inadvertently-included-some-alumni-ss-numbers/27 http://www.hhs.gov/ocr/privacy/index.html28 Sunzi, Die Kunst des Krieges, http://suntzusaid.com/artofwar.pdf (Englisch)29 http://en.wikipedia.org/wiki/Malware#Backdoors

QUellen

050


051

Classification: [Protected] - All rights reserved.

©2003–2012 Check Point Software Technologies Ltd. All rights reserved. Check Point, AlertAdvisor, Application Intelligence, Check Point 2200, Check Point 4000 Appliances, Check Point 4200, Check Point 4600, Check Point 4800, Check Point 12000 Appliances, Check Point 12200, Check Point 12400, Check Point 12600, Check Point 21400, Check Point 6100 Security System, Check Point Anti-Bot Software Blade, Check Point Application Control Software Blade, Check Point Data Loss Prevention, Check Point DLP, Check Point DLP-1, Check Point Endpoint Security, Check Point Endpoint Security On Demand, the Check Point logo, Check Point Full Disk Encryption, Check Point GO, Check Point Horizon Manager, Check Point Identity Awareness, Check Point IPS, Check Point IPSec VPN, Check Point Media Encryption, Check Point Mobile, Check Point Mobile Access, Check Point NAC, Check Point Network Voyager, Check Point OneCheck, Check Point R75, Check Point Security Gateway, Check Point Update Service, Check Point WebCheck, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, DefenseNet, DynamicID, Endpoint Connect VPN Client, Endpoint Security, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IP Appliances, IPS-1, IPS Software Blade, IPSO, R75, Software Blade, IQ Engine, MailSafe, the More, better, Simpler Security logo, Multi-Domain Security Management, MultiSpect, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, the puresecurity logo, Safe@Home, Safe@Office, Secure Virtual Workspace, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, SecurityPower, Series 80 Appliance, SiteManager-1, Smart-1, SmartCenter, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, SmartEvent, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartReporter, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartViewTracker, SmartWorkflow, SMP, SMP On-Demand, SocialGuard, SofaWare, Software Blade Architecture, the softwareblades logo, SSL Network Extender, Stateful Clustering, Total Security, the totalsecurity logo, TrueVector, UserCheck, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Edge, VPN-1 MASS, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VE, VPN-1 VSX, VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Antivirus + Firewall, ZoneAlarm DataLock, ZoneAlarm Extreme Security, ZoneAlarm ForceField, ZoneAlarm Free Firewall, ZoneAlarm Pro Firewall, ZoneAlarm Internet Security Suite, ZoneAlarm Security Toolbar, ZoneAlarm Secure Wireless Router, Zone Labs, and the Zone Labs logo are trademarks or registered trademarks of Check Point Software Technologies Ltd. or its affiliates. ZoneAlarm is a Check Point Software Technologies, Inc. Company. All other product names mentioned herein are trademarks or registered trademarks of their respective owners. The products described in this document are protected by U.S. Patent No. 5,606,668, 5,835,726, 5,987,611, 6,496,935, 6,873,988, 6,850,943, 7,165,076, 7,540,013, 7,725,737 and 7,788,726 and may be protected by other U.S. Patents, foreign patents, or pending applications.

October 16, 2012

Contact Check Point now

www.checkpoint.com/contactus

By phone in the US: 1-800-429-4391 option 5 or

1-650-628-2000

COntACt CHeCK POint

Worldwide Headquarters5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: [email protected]. Headquarters800 Bridge Parkway, Redwood City, CA 94065 | Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233 | www.checkpoint.com

COntACt CHeCK POint

Worldwide Headquarters5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: [email protected]. Headquarters959 Skyway Road, Suite 300, San Carlos, CA 94070 | Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233 | www.checkpoint.com

JANUAR 2013


CHECK POINT SICHERHEITS-BERICHT 2013

März 2013

Sie haben Fragen zu Check Point?

Rufen Sie uns doch an

Tel. +49 89 930 99 0

Oder senden Sie uns

eine E-Mail:

[email protected]

http://www.computerlinks.de

cover_print.indd 1 05.03.13 16:29

Sie haben Fragen zu Check Point? Rufen Sie uns …„HRLICHER CHECK POINT SICHERHEITSBERICHT 2013 01...

Documents

Transcript of Sie haben Fragen zu Check Point? Rufen Sie uns …„HRLICHER CHECK POINT SICHERHEITSBERICHT 2013 01...