INTERNET WORLD Business Logo Abo
Hacker-Angriff auf Unternehmen
Security 18.03.2016
Security 18.03.2016

CeBIT 2016 Kaspersky warnt vor Attacken auf Firmen

Shutterstock.com/welcomia
Shutterstock.com/welcomia

Kaspersky zeigte auf der CeBIT seine neue "Anti Targeted Attack Platform" für Unternehmen und Infrastrukturanbieter. Viele Attacken auf Firmen bleiben 98 Tage und länger unentdeckt und verursachen enorme Schäden.

Die Zahlen sind ernüchternd und werden von den betroffenen Unternehmen natürlich nicht an die große Glocke gehängt. Attacken auf Finanzhäuser bleiben, nach Auswertungen des Sicherheitsanbieters Kaspersky, im Durchschnitt 98 Tage lang unentdeckt. Die Eindringlinge manipulieren typischerweise erst einmal nichts, sondern sondieren die IT-Systeme des Opfers, bevor sie dann zuschlagen.

Neue Kaspersky-Plattform

Schaubild: Architektur der neuen "Anti Targeted Attack Platform" von Kaspersky Lab.

Kaspersky

Der Schaden beträgt etwa eine halbe Million Euro, in Einzelfällen noch mehr. Da sind der Imageschaden, den das Unternehmen erleidet, Gerichtskosten wegen Schadensersatzansprüchen und Verluste an Wettbewerbsfähigkeit noch nicht eingerechnet. Noch länger bleiben Attacken bei Einzelhändlern unentdeckt: Laut Kaspersky handelt es sich durchschnittlich um 198 Tage (Kaspersky Global Security Risks Report 2015).

Firewalls reichen nicht

Der traditionelle Parameter-Ansatz, bei dem eine Firewall die IT-Systeme wie die Befestigungsmauern einer Burg von außen schützt, ist den Angriffen nicht mehr gewachsen. Irgendein Virus kommt immer durch, irgendein Endanwender klickt immer auf das mit Malware verseuchte Mail-Attachement oder riskiert einen Blick auf die Datei "Gehaltslisten 2016", wo er dann den Trojaner aktiviert.

Sicherheitsplattformen der nächsten Generation rechnen deshalb mit erfolgreichen Eindringlingen und versuchen, den Schaden im IT-System so gering wie möglich zu halten, den Virus zu isolieren und seinen Aktionsradius einzugrenzen. So wie ein gutes Medikament die Beschwerden beim kranken Patienten minimiert.

Kaspersky spricht von einer "Weltneuheit" und stellte auf der CeBIT seine "Anti Targeted Attack Platform" vor. Oleg Glebov, Solution Business Lead beim russischen Sicherheitsanbieter, war extra aus Moskau eingeflogen, um die Details zu erläutern. Die neue Plattform ist so komplex, dass Kaspersky einen Riesenkuchen mit mehreren Layern und Komponenten aufgebaut hatte, mit dem sich das Publikum schon einmal geschmacklich dem Thema annähern konnte.

Sensoren auf allen Layern

Kasperskys Anti Targeted Attack Platform überwacht den Netzverkehr im Unternehmen in Echtzeit und kombiniert das mit einer Metadaten-Analyse, einer Objekt-Sandbox zum Isolieren verdächtiger Dateien und einer Endpoint-Verhaltensanalyse der Anwender. Die Bedrohungsanalyse korreliert also mehrere Einflussfaktoren miteinander, um neue Malware, Ransomware, Crimeware und die besonders gefährlichen Advanced Persistent Threats zu erkennen.

Advanced persistent Threats

Advanced Persistent Threats: Selten, aber brandgefährlich und schädlich.

Kaspersky

Im Einzelnen:

  • Netzwerksensoren überwachen den Netz-Traffic, um Frühindikatoren zu erkennen, die auf einen Angriff hindeuten (Anomalien. Musterabweichungen etc.).
  • E-Mail-Sensoren sollen potenziell schädliche Objekte aus Mail-Anhängen entfernen.
  • Endpoint-Sensoren (light agents) sammeln Informationen über netzwerkaktive Prozesse, die von den Endanwendern (Endpoints) des Unternehmens ausgeführt werden.
  • Websensoren machen potenziell gefährliche Objekte im Webverkehr unschädlich und verwenden dafür das ICAP-Protokoll. Dadurch werden Angriffe vereitelt, die bereits durch den bloßen Besuch einer infizierten Webseite starten.

Kasperskys Sandbox-Technologie ist eine Art Hochsicherheitslabor für besonders gefährliche Viren. Sandboxen stellen eine isolierte, virtualisierte Umgebung bereit, wo Sicherheitsexperten verdächtige Objekte, die Netzwerk-, Mail- und Websensoren identifiziert haben, dynamisch untersuchen können. Stellt sich ein Objekt im isolierten Sandbox-Test als Schädling heraus, kann er trotzdem keinen Schaden im System anrichten.

Der Targeted Attack Analyzer kombiniert die Daten der Netzwerk- und Endpoint-Sensoren und vergleicht sie mit der "Baseline", also den typischen Mustern, um verdächtige Aktivitäten aufzuspüren. Durch die Korrelation mehrerer Faktoren wird ungewöhnliches, abweichendes Verhalten transparent. Ein einfacher Virenscanner wäre nicht in der Lage, solch komplexe Angriffe aufzudecken.

Viele Unternehmen sind im Besitz der Daten und "Incidents", nutzen sie aber nicht für die Prävention, sagt Oleg Glebov. Das sei ein teurer Fehler. Das Zeitalter der Produkte gehe zu Ende, die Ära der Plattformen breche an. Das war auf der CeBIT oft zu hören und gilt auch für die Sicherheit.

Das könnte Sie auch interessieren