Weitere Artikel
ANZEIGE
IT-Sicherheit

Bedrohlich für Unternehmen: Anschläge aus dem Virtuellen Raum werden eklatant unterschätzt

Allein der Wortschatz der IT-Welt für Angriffsmethoden, Abwehr- und Sicherheitsmaßnahmen verlangt Unternehmen spezielle Kenntnisse ab; ganz abgesehen von den vielen Abkürzungen und ihren dahinter stehenden Bedeutungen. Im Interview mit Holger Suhl, dem Experten für IT-Sicherheit und General Manager DACH bei Kaspersky Lab, ging unsere Redaktion einigen „Unbekannten aus der virtuellen Welt“ auf die Spur. Einerseits mit dem Ziel Erläuterungshilfen zu geben und andererseits als Appell die Aufmerksamkeit auf die weitreichende und meist kostspielige Bedrohung zu lenken und über Schutzmöglichkeiten zu informieren. Lediglich 4% der befragten Unternehmen schätzen die Anzahl der täglich neu entdeckten Schadsoftware-Varianten richtig ein. Es sind nicht 10 Tausend, wie von den meisten Befragten geschätzt, es sind weit über 300 Tausend neu entdeckte Schadsoftware-Varianten täglich!

Welche Merkmale weisen Angriffsmethoden APT und DDoS auf und welche Gefahren können daraus resultieren?

APT (Advanced Persistent Threats) sind gezielte, komplexe und andauernde Cyberangriffe deren Ziel bestimmte Unternehmen oder Branchen sind. Charakteristisch ist der Einsatz von hochkomplexer Schadsoftware, die sich unerkannt und über einen langen Zeitraum in der Unternehmens-IT einnistet. Gefahr: Geschäftskritische Informationen, wie Kundendaten, Daten aus der Produktionsumgebung etc., können ausspioniert oder Gelder gestohlen werden. Die Folge sind langfristige Finanz- und Imageschäden. Angriffsmethode: oft über infizierte E-Mails. Ein Beispiel aus der Unternehmenspraxis: Cyberkriminelle geben sich in einer E-Mail als ein Mitarbeiter der IT-Abteilung aus und bitten den Kollegen, seine Anmeldedaten (Benutzername und Passwort) für das Einloggen ins Unternehmensnetzwerk zurückzuschicken, weil angeblich ein Softwareproblem vorliegt. Die Mail sieht dabei so „echt“ aus, dass der Kollege nichtsahnend seine Daten an die Cyberkriminellen sendet. Auch Phishing -Links (Links, die zu einer gefälschten Website führen, auf der man seine Login-Daten eingeben soll) oder infizierte Anhänge in E-Mails sind gängige Angriffsmethoden.

DDoS (Distributed Denial of Service) heißt eine Angriffsmethode, bei der das Senden von massenhaft parallel laufenden Anfragen an IT-Systeme von Unternehmen ein derart hohes Datenverkehrsaufkommen erzeugt, dass die Kapazität der Internetverbindung des angegriffenen Unternehmens übersteigt; ein sogenannter Überlastungsangriff. Die Folge: Alle anderen Online-Aktivitäten des Unternehmens werden deaktiviert oder verzögert. Eine weitere Angriffsmethode aus dem DDoS-Repertoire ist der Angriff auf der Programmebene, mit dem Server lahmgelegt werden, die wichtige Programme bereitstellen. Unter Umständen werden dadurch sämtliche Geschäftsabläufe lahmgelegt und folglich große finanzielle mit sich bringen kann.

Worin unterscheiden sich heuristische Analyseverfahren von herkömmlichen Verfahren zur Erkennung von Angriffen?

Mit herkömmlichen Verfahren, wie Antiviren-Technologien und Firewalls, lassen sich Schadsoftware-Varianten abwehren, die bereits bekannt und in Datenbanken registriert sind. Bei APT-Angriffen werden aber meist völlig neue Schadprogramme eingesetzt. Um diese Attacken aufzuspüren, sind heuristische Analyseverfahren für Unternehmen wichtig. Das Entscheidende bei heuristischen Methoden ist der proaktive Ansatz: Sie analysieren Programme noch während der Ausführung und suchen dabei ständig nach verdächtigen und ungewöhnlichen Verhaltensmustern, die auf eine unbekannte Bedrohung hinweisen könnten. Deshalb können heuristische Verfahren neue Schadsoftware oder noch nicht bekannte Modifikationen bekannter Schadsoftware frühzeitig erkennen, auch wenn sie noch nicht in einer Datenbank gelistet sind.

Was ist ein Aktivitätsmonitor und was ist unter Default-Deny-Modus zu verstehen und was leisten Kaspersky-Lösungen in diesem Zusammenhang?

Ein Aktivitätsmonitor erfasst Daten zu Programmen und anderen Systemaktivitäten und untersucht dabei deren Verhaltensmuster. In Kooperation mit Anti-Schadsoftware-Technologien, der Firewall sowie weiteren Schutzkomponenten werden schädliche Aktionen und destruktive Verhaltensmuster, die auf Schadsoftware hinweisen, blockiert. Default Deny-Modus bedeutet, dass alle unbekannten Programme automatisch blockiert werden. Sie werden nur dann ins Unternehmensnetzwerk hereingelassen, wenn der Administrator explizit zustimmt. Diese Methode sorgt dafür, dass nur vertrauenswürdige Programme auf den Firmenrechnern ausgeführt werden. Mit beiden Technologien lassen sich Prozesse überwachen, verdächtige Verhaltensmuster erkennen, schädliche Aktivitäten blockieren und somit Unternehmen auch vor bisher unbekannter Schadsoftware schützen.

Was sind „Security Intelligence Services“ und was können Unternehmen davon erwarten?

Security Intelligence Services sind verschiedene Dienstleistungsangebote von Kaspersky Lab, die Unternehmen dabei unterstützen, IT-Gefahren frühzeitig zu erkennen und abzuwehren. Das Angebot umfasst drei Benachrichtigungs- und Alarmierungsservices, einen Analyseservice (Vorfalluntersuchung) sowie ein Schulungsprogramm zur Cybersicherheit, welches sich in drei Stufen gliedert – von wichtigen Sicherheitsgrundlagen für alle Mitarbeiter bis hin zu tiefgreifendem Know-how für IT-Sicherheitsexperten.

Was versteht man unter „Feeds zu schädlichen URLs“?

Die URL-Feeds von Kaspersky Lab liefern Bedrohungsdaten zu: schädlichen URLs (Datensatz mit URLS, der schädliche Links und Webseiten enthält), Phishing-URLs (Datensatz mit URLs, die von Kasperky Lab als Phishing-Webseiten identifiziert wurden), Botnet C&C-URLs (Datensatz von Command-and-Control-Server-URLs (C&C) und verwandten schädlichen Objekten). Die URL-Feeds lassen sich in bestehende SIEM-Systeme (Securitiy Information and Event Management) von Unternehmen einfügen. Ein SIEM-System leitet Meldungen zu sicherheitsrelevanten Ereignissen auf Netzwerkgeräten an eine zentrale Konsole weiter. Mit SIEM können Unternehmen kontinuierlich den Sicherheits- und Compliance -Standard ihrer gesamten IT überwachen. Um Unternehmen eine zusätzliche Schutzebene zu bieten, können die von unterschiedlichen Netzwerkgeräten an das SIEM-System gesendeten Protokolle mit den URL-Feeds von Kaspersky Lab verknüpft werden.

Was sind „Intelligence Reports“?

Mit dem Abonnement der Intelligence Reports erhalten Unternehmen vierteljährlich Berichte mit aktuellen Sicherheitsinformationen auf Grundlage von über 80 Millionen Statistiken aus 200 Ländern. Die Reports versorgen Unternehmen mit technischen Beschreibungen und Statistiken aktueller und gefährlicher Schadsoftware, Details zu Cyberkampagnen sowie Hinweisen, woran sie einen Befall ihrer IT frühzeitig erkennen können.

Was sind Botnet-Überwachungs und Benachrichtigungsservices?

Viele Netzwerkangriffe werden mithilfe von Botnets ausgeführt. Diese Angriffe sind oft auf Inline-Kunden spezieller Unternehmen ausgerichtet. Die Lösung von Kaspersky Lab verfolgt die Aktivität von Botnets und bietet eine schnelle Benachrichtigung zu Bedrohungen (innerhalb von 20 Minuten), die mit den Benutzern einzelner Online-Zahlungs- und –Bankingsysteme zusammenhängen. Unternehmen können dann auf Grundlage dieser Informationen entsprechende Benachrichtigungen zu besteheenden Risiken an ihre Kunden herausgeben. Zum Umfang dieses Services gehören personalisierte Benachrichtigungen mit Informationen zu übereinstimmenden Markennamen, die durch die Analyse von Schlüsselwörtern in den von Kaspersky Lab überwachten Botnets ermittelt wurden. Die Benachrichtigungen enthalten u.a. folgende Informationen: „Botnet-Typ“ – präzise Bestimmung des Schadsoftware-Typs der eingesetzt wird, um die Transaktionen der Kunden zu gefährden, „Angriffs-Typ“ – Hinweise, zu welchem Zweck die Schadsoftware eingesetzt wird, z. B. Injektion von Webdaten, Bildschirmlöschung, Videoaufzeichnung oder Weiterleitung an Phishing-URLs, „Geografische Verteilungsmuster“ – statistische Daten zur weltweiten Verteilung der Schadsoftware-Proben.

Was genau sind Vorfalluntersuchungen?

Vorfalluntersuchungen sind Analysen gerade stattfindender oder bereits erfolgter Attacken. Die Untersuchungsservices von Kaspersky Lab helfen Unternehmen durch eine umfassende Bedrohungsanalyse, das Schadsoftware-Verhalten sowie seine Konsequenzen zu verstehen und die entsprechenden Schritte für die Behebung des Vorfalls einzuleiten. Dieser Ansatz hilft Unternehmen indirekt bei der Erreichung folgender Ziele: Senkung der Kosten für die Behebung von Problemen durch Cyberinfektionen, Vermeidung der Offenlegung von vertraulichen Informationen über infizierte PCs, Verringerung der Risiken für Rufschädigungen aufgrund der Schadsoftware-Infektion, Wiederherstellung der normalen Funktion von PCs, die durch Infektionen beschädigt wurden. Die Untersuchungen Kasperky lab werden von erfahrenen Analysten mit praktischen Fachkenntnissen der digitalen Forensik und Schadsoftware-Analyse durchgeführt. Nach Abschluss der Untersuchungen wird dem Kunden ein detaillierter Bericht vorgelegt, der die vollständigen Ergebnisse der Cyberuntersuchung sowie vorgeschlagene Schritte zur Korrektur enthält.

(Redaktion)


 

 

Kaspersky Lab
Schadsoftware
Bedrohung
Angriff
Botnet-Typ
Anti-Schadsoftware-Technologien
SIEM-System
Gefahr
E-Mail
Analyse
URL-Feeds
Aktivität
Verfahren

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "Kaspersky Lab" - jetzt Suche starten:

Kommentar abgeben

Bei einer Antwort möchte ich per E-Mail benachrichtigt werden

 
 

 

Entdecken Sie business-on.de: