Sicherheit am Client■ Software-Schutzschild

für Windows-PCs■ Bösartige Programme

aufspüren und löschen■ Verschlüsselung,Viren-

Prophylaxe, Biometrie

Sicherheit im Unternehmen■ Identitäten verwalten,

Spionage abwehren■ Digitale Dokumente

sicher archivieren■ Schwachstellenanalyse

und Penetrationstest

Cloud und VPN■ Maximaler Datenschutz

durch Hybrid Clouds■ Remote-Zugriff e von

außen absichern■ IT-Risiken bei Cloud-

Services minimieren

Sicherheit Sicherheit im

SECURITYG R U N D L A G E N ■ R A T G E B E R ■ P R A X I S

COMPACTit im mittelstand

Deutschland € 17,90Dezember 2016 www.TecChannel.de

tec_10_Titel_innen_Einbinder_Einzelblatt.indd 1 15.11.16 10:47

Inhaltsverzeichnis ‹ 5

Grundlagenwissen

10 › Erpresserviren: Alles zu Schutz, Hilfe und Datenrettung10 Was sind Erpresserviren und wie funktionieren sie?12 Warum sind Erpresserviren so stark verbreitet?13 Wie kommt der Schadcode auf den PC?14 Soll ich zahlen?16 Wie reagiere ich richtig, wenn mein PC betroffen ist?17 Wie kann ich meine verschlüsselten Daten retten?17 Bin ich nach einer Virenreinigung sicher?18 Wie schütze ich mich vor Erpresserviren?19 Gibt es Erpresserviren auch auf dem Smartphone?20 Die wichtigsten Erpresserviren im Überblick

21 › So funktionieren DDoS-Angriffe21 DDoS – was ist das?21 Wie gehen DDoS-Angriffe vonstatten?22 Der technische Hintergrund22 Die drei Angriffsarten22 Einfache Netzwerkangriffe23 Weitere Arten von Low-Level DoS/DDoS-Angriffen24 HTTP-Flooding25 DNS-Angriffe25 Typen von DNS-Angriffen auf DoS/DDoS-Basis25 Abwehr und Minderung

27 › Identitäten verwalten mit Blockchain27 Unknackbar ist nichts28 Die Lösung: Blockstack29 Ein strenges Regelwerk30 Abgleich mit der Hash-Tabelle30 Bring your own Identity31 Sicherer als Single-Sign-on31 Fazit

32 › Verschlüsselung: Techniken und Grundlagenwissen32 Die gängigsten Krypto-Arten33 Symmetrische Kryptographie34 Aymmetrische Kryptographie36 Vergleich beider Verfahren36 Zertifikate37 SSL/TLS-Verbindungen im Alltag38 Verschlüsselung in der Cloud40 Fazit

10›

Inhaltsverzeichnis6 ›

41 › Zutritts-, Zugangs- und Zugriffskontrolle41 Zutrittskontrolle: „Draußen vor der Tür“42 Zugangskontrolle: „Nur für Befugte“42 Zugriffskontrolle: „Deine, meine und unsere Daten“

44 › VPN: Das müssen Sie wissen44 VPNs für Business und Consumer45 Vorteile für Datenschutz und IT-Security45 Nicht alle sind gleich46 Geoblocking und Firewalls umgehen mit VPN46 VPN-Anbieter: Kostenlos oder nicht?47 VPN-Tunnel einrichten: Do-it-Yourself

48 › Datenschutz oder Sicherheit?

50 › Elektronische Dokumente sicher aufbewahren50 Dokumentenschutz51 Rechtezuordnung

53 › Festplatte oder SSD? Datendichte erhöht Gefahr für Datenverlust

57 › Security-Regeln für Social Media

Praxis-Ratgeber

59 › Windows-PC wirksam absichern59 Virenschutz installieren59 Regelmäßig mit Live-CD scannen61 Werbeblocker installieren61 Laufwerksverschlüsselung BitLocker nutzen62 Cloud-Daten mit Tools verschlüsseln63 Updates aktiv installieren und überprüfen63 Windows-Sicherheit optimal einstellen64 Erst überlegen, dann klicken64 Für jeden Benutzer ein eigenes Anmeldekonto64 Tauschbörsensoftware vermeiden

65 › Hacker-Attacken und Virenbefall richtig erkennen

74 › So finden Sie verdächtige Programme unter Windows

76 › Sicherheitsboxen im Test: Schutz oder Augenwischerei?76 Kein dicker Schutzwall, sondern eher ein Schutzmäuerchen77 Sonderfall SSL: Zusatzschutz bei geschützten Verbindungen nötig78 Bitdefender Box: Viren-und Phishingschutz79 Eblocker: Schutz vor Trackern und Werbung81 Relaxbox: VPN-Schutz fürs Heimnetz83 Trutzbox: Viele Funktionen für höhere Ansprüche85 Upribox: Sympathische Box im Beta-Stadium87 Unser Rat: Diese Sicherheitsboxen lohnen sich

Inhaltsverzeichnis ‹ 7

88 › Brute-Force-Attacken: So wehren Sie Angriffe ab88 Für wen sind Brute Force-Angriffe gefährlich?88 Wirksamer Schutz vor Brute Force90 Webseiten gegen Brute-Force-Angriffe optimieren90 IP-Adressen und Proxys sperren – Intrusion Detection Systeme nutzen91 Mit Zed Attack Proxy die Sicherheit der eigenen Serverdienste testen92 Zusatzsoftware gegen Brute-Force-Angriffe nutzen 93 Fazit

94 › Remote Access Security: So schützen Sie den Zugriff von außen

97 › Die besten VPN-Apps für Desktop und Smartphone97 VPN für Firmenangehörige98 VPN für Privatanwender99 Kosten für VPN im Überblick99 Mehr Sicherheit beim Surfen100 Die VPN-Tools im Überblick105 Fazit

106 › Windows 10 als VPN-Client oder VPN-Server einrichten106 Windows 10 als VPN-Client nutzen107 VPNs mit der Einstellungs-App erstellen108 VPN mit Windows 10 for Mobile108 Windows 10 als VPN-Server nutzen109 Anpassen einer VPN-Verbindung110 Firewall-Einstellungen beachten

111 › Zwei-Faktor-Authentifizierung macht SSH einbruchssicher111 Zwei Faktoren: Wissen plus Besitzen112 Vorbereitung auf dem Server114 Smartphone oder Tablet einrichten

115 › USB-Anschlüsse für Speichermedien sperren mit Ratool

116 › App-Store unter Windows 10 sperren

117 › Sichere Kommunikation mit Facebook, Twitter und Co.119 Facebook sicher machen122 Google-Konten (Youtube, Plus und Co.) sicher machen124 Twitter, Instagram, Xing und Pinterest absichern

Sicherheit im Unternehmen

127 › Wie Kriminelle heute Unternehmen angreifen128 Social Engineering maßgeschneidert129 Malware nicht zu verachten129 Cloud: Problem oder Lösung?131 Abhilfe gegen den Datenklau

Inhaltsverzeichnis8 ›

133 › Mikrosegmentierung: Wenn nicht jetzt, wann dann?

135 › Wie Quantencomputer die IT-Sicherheit gefährden135 Verschlüsselungs-Tools: Nutzlos bis 2026?135 Quantum Computing vs. Kryptografie136 „Unser Cyber-Immunsystem ist nicht bereit für diese Art der Bedrohung“

137 › Vergleich: Schwachstellenanalyse vs. Penetrationstest137 Sicherheitsanalyse – für Pragmatiker138 Penetrationstest – der Weg zu den Kronjuwelen138 Kein Vulnerability Scan

140 › Dauertest: Fehlalarme bei Antiviruslösungen für Firmen140 Die Ergebnisse142 Testergebnisse im Überblick

143 › So nutzen Sie Mobilegeräte sicher im Firmenumfeld143 Sicherheitsrichtlinien für BYOD fehlen144 Der „Arbeitsplatz der Zukunft“ ist mobil145 Mobile Sicherheitspakete sind Pflicht146 Tipps für den Schutz vor Diebstahl oder Verlust

147 › Mit dem Business-PC sicher im Internet arbeiten147 Traditionelle Sicherheitswerkzeuge nutzen147 Enhanced Mitigation Experience Toolkit (EMET)149 Browser-Schutz und Tracking-Listen verwenden

152 › Security-Einmaleins für KMUs

154 › Cloud Security 2016: Ist die Cloud per se unsicher?155 Guidance in Sachen Datenschutz gefragt157 Dropbox und Co. technisch unterbinden

159 › Hybrid Cloud: Security-Strategien für Unternehmen159 Eine moderne IT-Infrastrukturumgebung ist hybrid160 Dynamic- und Static-IT: Brücke zwischen zwei Welten161 IT-Sicherheit in der Hybrid Cloud163 Handlungsempfehlungen für den CIO

Sicherheit im UnternehmenWie Kriminelle heute Unternehmen angreifen ‹ 127

Sicherheit im UnternehmenHardware, Software, Anwendungen und Cloud-Dienste tragen zur IT-Sicherheit bei und verursachen andererseits selbst Sicherheitsprobleme. Wenn IT-Sicherheit nicht nur aus punktuellen Lösungen besteht, sondern ein ganzheitlicher Ansatz verfolgt wird, lässt sich das Risiko für Unternehmensnetze reduzieren. Dieses Kapitel wird Ihnen helfen, sich möglichst gut abzusichern. Wir liefern das Hintergrundwissen, um eine umfassende Security-Strategie für Ihr Unternehmen zu entwickeln.

Wie Kriminelle heute Unternehmen angreifenErfolgreiche Attacken auf Unternehmensnetze beruhen nicht auf den Program-mierkünsten der Schadsoftware-Autoren. Bevor Malware zum Einsatz kommt, nehmen die Angreifer in aller Regel ein leicht verführbares Ziel ins Visier: die Mitarbeiter eines Unternehmens.

Das Muster scheint stets gleich: Erst werden einzelne Mitarbeiter eines Unterneh-mens per Spear-Phishing ihrer Login-Daten für Dienste im Unternehmensnetz be-raubt. Anschließend werden mittels dieser Daten dann Arbeitsstationen und vor allem Rechner infiziert. Selbst für letzteres ist nicht immer Malware nötig, wie das Führungsteam der IT-Sicherheitsberater von Crowdstrike (www.crowdstrike.com) in einem Vortrag erläuterte: Nach dem Datenklau hangeln sich die Angreifer bei-spielsweise mittels gängiger Windows-Tools durch das Netzwerk.

› Keine Malware nötig: Bei einem von Crowdstrike analysierten Angriff kamen unter anderem die Windows Powershell und andere Windows-Tools zum Einsatz. (Quelle: Crowdstrike)

Sicherheit im UnternehmenWie Kriminelle heute Unternehmen angreifen128 ›

Der Vorteil: Der Aufruf dieser auf den attackierten Maschinen vorinstallierten Werk-zeuge lässt die Antivirensoftware kalt. In einem von Crowdstrike beobachteten An-griff nutzten die Kriminellen beispielsweise unter anderem die Windows Powershell, wmic, vssadmin oder netdom, um sich nach und nach Zugang zu diversen Servern zu beschaffen. Dieses Treiben bleibt dann unter dem Radar der Sicherheitssysteme.

Alex Cox, leitender Mitarbeiter der Threat-Watch-Abteilung beim Verschlüsselungs-spezialisten RSA (www.rsa.com/de-de), bestätigt, dass für den Einstieg ins Netzwerk zumeist Social Engineering verwendet wird. Neben dem Spear Phishing hat er auch verstärkt sogenannte Waterhole-Attacken gesehen. Dabei werden Webseiten infi-ziert, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren. Ein Besuch der Seite und ein nicht vollständig gepatchter Rechnern genügen, um die Maschine zu infizieren. Die dabei installierte Malware ist zum Ab-saugen der Daten nötig. Beispielsweise, um die Daten verschlüsselt per FTP nach außen zu transferieren. Per se ist das auch nichts Neues – aber es scheint immer noch zu funktionieren. Cox hat beobachtet, dass sowohl fertige Malware wie Poison Ivy oder Ghost zum Einsatz kommen. Aber auch eigens für den Angriff fabrizierte Schädlinge finden sich in der Praxis. Wenngleich diese im Vergleich zu ausgefuchs-ter Online-Banking-Malware wie ZeuS oder Citadel vergleichsweise simpel gehal-ten ist und oft auch auf Verschleierungsmaßnahmen wie Packing verzichtet. Offen-bar genügt eine so simple Malware, um die Aufgabe zu erledigen.

Social Engineering maßgeschneidertZwar sehen Fachleute wie Alex Cox nach wie vor bekannte Mechanismen zum Ein-bruch in die Netze: Vermeintlich von Unternehmen wie Amazon, Apple (iTunes) oder Google (Google Mail) stammende E-Mails mit Password-Reset-Links oder Links zu gefälschten Login-Seiten. Die hierzu verwendeten E-Mails seien inzwischen weitgehend frei von Rechtschreibfehlern und die infizierten Seiten beim Waterho-ling handverlesen. Bevor auch nur eine einzige Phishing-Nachricht versandt würde, hätten die Angreifer zuvor meist E-Mail- oder Chat-Konversationen im Unterneh-men mitverfolgt, um überzeugendere Nachrichten formulieren zu können. Dem Verizon Data Breach Report zufolge liegt die Erfolgsrate beim Spear-Phishing bei gut elf Prozent. Jede zehnte Nachricht führt also zum Erfolg.

James Lyne, Chef-Malwareforscher bei Sophos (www.sophos.com), sagt für die kommenden Jahre sogar noch eine weitere Professionalisierung der Social-En-gineering-Angriffe voraus. Der Grund: Immer höhere Codequalität in Anwendun-gen und Betriebssystemen sowie Schutzmechanismen wie der seit Windows 8.1 Update 3 verfügbare Control Flow Guard . Sie machen das Finden und Missbrau-

Sicherheit im UnternehmenWie Kriminelle heute Unternehmen angreifen ‹ 129

chen von Schwachstellen in Software schwieriger, so dass sich Angreifer laut Lyne auf das weichere Ziel „Mensch“ konzentrieren.

Der Antiviren-Experte berichtet von einer Social-Engineering-Attacke, die selbst ihn beinahe hinters Licht führte: Ihn erreichte vor einer tatsächlich stattfindenden Geschäftsreise eine E-Mail, die vermeintlich von einem Kollegen stammte. Der In-halt der Nachricht schlug ein Treffen vor Ort vor. Im Anhang: Eine Word-Datei mit der Beschreibung der Reiseroute des Kollegen und ein Vorschlag zum Treffpunkt. Das Word-Dokument hätte beim Öffnen mittels Makro die eigentliche Schadsoft-ware heruntergeladen, die dann – ganz ohne Exploit oder Admin-Rechte – die Ma-schine des Opfers übernommen hätte. Die Angreifer machten sich vor dem Versand der Spear-Phishing-Nachricht offensichtlich kundig, wo Lyne demnächst sein würde und mit wem er eventuell zusammenarbeitet.

Malware nicht zu verachtenAuch wenn bei Attacken auf Unternehmen die Social-Engineering -Komponenten eine wichtige Rolle spielen: Letztendlich muss auch immer Schadsoftware mit ins Spiel. Fachleute wie Lyne und Cox sagen zwar, dass die Qualität der Schädlinge oft nicht mit der von Banking-Malware mithalten kann. Aber sie sehen dennoch ausge-fuchste Mechanismen. So weiß James Lyne von diversen Schädlingen, die über dynamisch verschlüsselte Kanäle (Command & Control) Kontakt halten zu ihrem „Mutterschiff“. Hiermit hätten so gut wie alle Intrusion-Detection-Systeme in Unter-nehmen immense Probleme.

Und auch die Hersteller von Antiviren-Software hätten ihre liebe Mühe, da Analysen solcher Malware sehr aufwändig seien. Zum einen machen es die verschlüsselten Kanäle schwer. Zum anderen schützt sich die Malware selbst auch gegen gängigen Analysemethoden der Malware-Forscher. Selbst absolute Profis könnten bei manchen Infektionen zwar den Befall feststellen – jedoch nicht, welche Daten abgeflossen sind.

Cloud: Problem oder Lösung?Die Fachleute sind sich einig: Insbesondere für kleinere und mittlere Unternehmen kann die Cloud entscheidend zum Erhöhen der Sicherheit beitragen. Denn in aller Regel haben die Anbieter eigene IT-Sicherheitsmannschaften, deren Expertise über das hinausgeht, was bei den Kunden zu finden ist. Dazu kommt, dass Unterneh-mensnetze unter anderem auch deswegen leicht(er) angreifbar sind, weil allzu oft die gleichen Komponenten (Betriebssystem, Firewall, Antivirensoftware etc.) ver-

Sicherheit im UnternehmenWie Kriminelle heute Unternehmen angreifen130 ›

wendet würde. Finden sich in diesen Bauteilen Lücken, können Angreifer quasi nach Anleitung in Netze auf der ganzen Welt eindringen. Bei Cloud-Providern fin-den sich keine derart homogenen Landschaften.

Alan Kessler gibt jedoch zu bedenken, dass Cloud-Kunden nicht nur auf die Zu-griffsreche der eigenen, sondern auch die die der Administratoren beim Anbieter achten müssen. Zudem gilt: Verschlüsselungs-Keys dürfen niemals das Unterneh-men des Kunden verlassen. Dann sei laut Kessler selbst ein US-Cloud-Anbieter in Ordnung. Denn die US-Regierung kann vom Provider dann auch mit Druck kein Material zum Entschlüsseln der Daten bekommen.

Grundsätzlich gelte bei der Auswahl eines Anbieters: Ist im eigenen Unternehmen nur wenig IT-Sicherheitsfachwissen vorhanden, dann sind SaaS (Software as a Ser-vice)-Provider die beste Wahl. Bare-Metal-Provider empfehlen sich nur für Fachleute. Zum Ermitteln des eigenen Risiko-Profils hat die Cloud Security Alliance (CSA, https://cloudsecurityalliance.org) diverse Werkzeuge auf ihrer Webseite parat. Un-ternehmen mit hohem Risikoprofil sollten bei-spielsweise unbedingt ein eigenes Key-Manage-ment-System für ihre Cloud-Dienste einsetzen.

›Die drohende Überforderung

Diese Werkzeuge könnten laut James Lyne viele kleinere Unternehmen jedoch überfordern. Insbe-sondere dann, wenn sie in Kontakt stünden mit großen Anbietern. Denn von außen sei es sehr schwer, deren Sicherheitskompetenz zu prüfen. Von daher empfiehlt auch Lyne, so viel wie mög-lich zu verschlüsseln. Nicht nur auf Dateisysteme-bene, sondern möglichst schon in der Anwen-dung. Wer selbst Anwendungen entwickelt, solle zum Verschlüsseln unbedingt auf fertige Frameworks zurückgreifen und sich auf-grund des komplexen Themas keinesfalls selbst daran versuchen.

Außerdem sehe der Malware-Spezialist einen Vorteil, wenn Kunden alle Schutzme-chanismen aus einer Hand bezögen. Best-of-Breed sei nur für Konzerne handhab-bar. Er empfiehlt kleineren und mittleren Unternehmen Lösungen, die sowohl auf den Endpunkten im Netzwerk, als auch auf dem Weg in die Cloud – und aus dieser zurück ins Unternehmensnetz – nach Gefahren und Anomalien suchen. Kombiniere man dies dann noch mit einem Dienstleister, der sich der Log-Analyse annimmt,

› James Lyne, Leiter der welt-weiten Sicherheitsforschung bei Sophos, sieht Social Engi-neering als großes Problem für Unternehmen. (Foto: Uli Ries)

Sicherheit im UnternehmenWie Kriminelle heute Unternehmen angreifen ‹ 131

ergebe sich ein wirksamer Schutzwall, so Lyne. Beim Thema Datenbankverschlüsse-lung sehe es den Fachleuten zufolge leider nicht so rosig aus. Zwar würde seit Jah-ren an der homomorphen Verschlüsselung gearbeitet. Mit ihr lassen sich die Inhalte von Datenbanken in der Datenbank selbst verschlüsseln und beim Zugriff einer Anwendung wieder entschlüsseln. Noch befänden sich aber alle Anstrengungen im Entwicklungsstadium, kommerzielle Produkte seien noch keine in Sicht.

Abhilfe gegen den DatenklauAngesichts des professionellen Vorgehens der Angreifer scheint es unausweichlich, dass ein Netzwerk kompromittiert wird. Und was dann? Laut Alan Kessler, President und CEO von Vormetric (www.vormetric.com), hielten laut eines Reports über 50 Prozent der Befragten die bewährten Produkte für Data Breach Prevention- für hin-reichend. Bislang würden sie laut Kessler hauptsächlich verwendet, um Auditoren glücklich zu machen.

Inzwischen setzt sich die Erkenntnis durch, dass das Vermeiden von negativen Fol-gen, wie es solche Produkte ebenfalls böten, nach dem unvermeidlichen Einbruch wichtiger ist denn je. Laut Kessler sei ein vollständiges Absichern des Perimeters ohnehin utopisch. Daher müsse gelten: „Es ist leichter, die Lebensmittel im Haus vor dem Einbrecher zu verstecken, als das Haus hermetisch zu verrammeln.“

Sinnvollerweise entscheidet eine Data Leakage Prevention (DLP)-Lösung pro Nutzer und Datensatz, welche Aktionen erlaubt und welche zu unterbinden sind. Zeitgleich kann man die Rechte von Administratoren beschneiden. Laut Kessler greifen die gängigen Lösungen auf das „Least Privilege“-Prinzip zurück. Dieses sei sowohl auf Betriebssystemebene (Filesystem), als auch in der Anwendung durch zu setzen.

Zu diesem Pflichtprogramm kommt noch die Kür: das Überwachen der Zugriffe und das Erkennen von Anomalien. Weicht nach einem erfolgreichen Angriff das Verhal-tensmuster einzelner Anwender oder Maschinen vom bisher gewohnten ab, schlägt die DLP-Lösung Alarm. Wurden zuvor Zugriffsrechte per Least Privilege vergeben, erleichtert dies das Erkennen von Anomalien und auch das zeitraubende Analysie-ren von Logfiles.

› Technik: Nur ein Teil der Lösung

Schutzmechanismen wie DLP sorgen aber keinesfalls für umfassenden Schutz. Sie mindern zwar das Risiko, kämpfen auf verlorenem Posten, wenn Kollege Mensch nicht ebenfalls auf der Hut ist. Und genau hier sehen die Fachleute in der Praxis die größten Lücken: Nur in wenigen Unternehmen sähen sie Aufklärungskampagnen,

Sicherheit im UnternehmenWie Kriminelle heute Unternehmen angreifen132 ›

die Mitarbeiter – am besten fortlau-fend – über neue Angriffsmaschen informieren wür-den. Ohne das Wissen, wie eine Spear-Phishing- Kampagne aussieht und welche Raffi-nesse dabei an den Tag gelegt wird, hätten Mitarbeiter gute Chancen, zu Opfern einer sol-chen Kampagne zu werden.

Aber nicht nur die Kollegen in den Fachabteilungen benötigen Wissen. Auch die IT-Mitarbeiter selbst müssten laut RSA-Sprecher Alex Cox besser geschult werden. Denn ohne tiefgehendes Fachwissen seien moderne Schutzmechanismen gar nicht sinnvoll nutzbar. Auch fehle es so gut wie immer an der Expertise, die Wirkweise einer von der Software entdeckten Malware zu analysieren. Allzu oft wür-de zudem der Kardinalsfehler begangen: Das sofortige Säubern der infizierten End-geräte. Damit nähmen sich Unternehmen laut Cox jegliche Chance, mehr über die Hintermänner beziehungsweise die erbeuteten Daten zu erfahren. Fehlt dieser Einblick, ist die nächste, noch wirksamere Spear-Phishing-Kampagne so gut wie sicher. Denn niemand im Unternehmen weiß, welche der eigenen Daten für die nächste Attacke missbraucht werden.

Uli Ries

›Gut gemacht: Eine vermeintlich vom Google Enterprise Support stammende, fehlerfrei formulierte Nachricht bringt ein infiziertes Attachment mit. (Quelle: Cyren)