Dinah Kuke-Hartwig Dinah Kuke-Hartwig Moderator

Groß, größer, gigantisch: Arbor Networks registriert immer massivere DDoS-Angriffe

Gigantismus ist offenbar voll im Trend. Das gilt nicht nur für den Bau von (olympischen) Sportstätten, Fußballstadien oder Hauptstadtflughäfen. Auch im Bereich Cyber-Security oder besser gesagt Cyber-Crime ist ein gewisser Hang zu Größe festzustellen. Ein Beleg dafür ist die Entwicklung bei Distributed-Denial-Service-Angriffen (DDoS). Arbor Networks, ein Partner von Exclusive Networks und Anbieter von Lösungen zum Schutz vor DDoS-Angriffen, hat im ersten Halbjahr 2014 Attacken registriert, die es in dieser Form noch nicht gab. Demnach starteten Cyber-Kriminelle und politisch motivierte Angreifer mehr als 100 volumetrische DDoS-Angriffe, bei denen eine Netzwerkbandbreite von mehr als 100 GBit/s zum Einsatz kam. Zum Vergleich: In Rechenzentren werden Links mit 10 GBit/s verwendet, um über kurze Distanzen Hochleistungsserver, Storage-Systeme und High-End-Datenbanken zu koppeln. Und ein normaler Client-Rechner verfügt über eine Schnittstelle von 1 GBit/s Bandbreite, um in einem lokalen Netzwerk mit anderen IT-Systemen Daten auszutauschen. Um über Weitverkehrsverbindungen Angriffe mit 100 GBit/s und mehr durchzuführen, ist somit ein erheblicher Aufwand erforderlich. Network Time Protocol als Angriffsvehikel Vor allem im ersten Quartal häuften sich solche massiven Angriffe. Das ermittelte die ATLAS-Threat-Monitoring-Infrastruktur von Arbor Networks. Sie wertet anonymisierte Verkehrsdaten von mehr als 300 Service-Providern aus und erstellt auf Basis dieser Informationen eine "Digital Attack Map". In dieser Landkarte werden in Zusammenarbeit mit Google Ideas die Verkehrsströme sichtbar gemacht, die bei DDoS-Angriffen auftreten, also die Ursprungs- und Zielländer. Eine wichtige Rolle spielt bei DDoS-Angriffen das Network Time Protocol (NTP). Arbor Networks, aber auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachteten eine große Zahl von NTP-Reflection-Angriffen. Das NTP dient dem Abgleich der Systemzeiten von Rechnern. Bei einer NTP-Reflection-Attacke sendet ein Angreifer eine gefälschte Anfrage an einen solchen Zeit-Server. Er nutzt dazu die Adressdaten des Systems, das er angreifen möchte, gibt sich also als beim NTP-Server als besagtes System aus. Erfolgen von vielen gekaperten Rechnern aus solche "falschen" Anfragen, wird das Zielsystem mit Antworten des NTP-Servers überschwemmt. Diese Antworten sind umfangreicher, enthalten also aus mehr Datenpaketen als die Anfrage. Daher kann ein Angreifer mit relativ geringem Aufwand, also wenig Bandbreite, eine große Wirkung beim Opfer erzielen. Auch andere Protokolle werden für DDoS genutzt Arbor zufolge hat allerdings die Zahl der NTP-Reflection-Angriffe im zweiten Quartal 2014 nachgelassen. Dafür greifen Angreifer nun auf andere Netzwerkdienste beziehungsweise Protokolle zurück, um Reflection-Angriffe durchzuführen, etwa das SNMP (Simple Network Management Protocol), das für die Verwaltung von Netzwerksystemen verwendet wird. Auch Chargen (Character Generator Protocol), das zum Test von Netzwerkverbindungen dient, kommt zum Zuge. Kurzum: Cyber-Crime-Spezialisten sind erfinderisch und lassen sich von Gegenmaßnahmen, wie etwa dem Deaktivieren mancher Funktionen bei Netzwerkprotokollen, nicht abschrecken. Fazit: Viel Bandbreite hilft nicht weiter Die jüngste Entwicklung an der "DDoS-Front" zeigt laut Arbor Networks zweierlei: Erstens benötigen Unternehmen, aber auch öffentlichen Einrichtungen und Non-Profit-Organisationen eine integrierte, mehrschichtige Verteidigung gegen verteilte Denial-of-Service-Angriffe. Denn herkömmliche Techniken wie Firewalls sind gegen DDoS-Attacken weitgehend nutzlos. Zweitens hilft es nicht weiter, wenn ein Unternehmen auf Internet-Links mit hoher Bandbreite vertraut. Bei Angriffen mit Bandbreiten von mehr als 100 GBit/s gehen auch solche kostspieligen Breitbandverbindungen in die Knie, mit den üblichen Folgen: Web-Services sind nicht mehr erreichbar oder Kunden haben keinen Zugang zu Online-Shops. Mit einer Taktik nach dem Motto "Viel Bandbreite hilft viel" kommen IT-Abteilungen somit nicht weiter. Im Gegenteil: Das Geld, das sie für solche Breitband-Links zum Fenster hinaus werfen, sollten sie besser in leistungsstarke Sicherheitslösungen ausgeben, die tatsächlich vor DDoS-Angriffen schützen. Mehr zu Arbor Networks finden Sie hier http://www.exclusive-networks.de/hersteller/arbor.php.
Dinah Kuke-Hartwig Dinah Kuke-Hartwig Moderator

Warum Unternehmen kein Geheimnis aus ihren IT-Sicherheitsmaßnahmen machen sollten

Wenn ein Anbieter von IT-Sicherheitslösungen seine Kunden dazu bewegen möchte, der Öffentlichkeit darüber zu berichten, warum er die Produkte des Herstellers einsetzt, holt er sich häufig einen Korb. "Kein Kommentar", heißt die Devise. Denn, so die Argumentation der Anwender, diese Informationen könnten sich Cyber-Kriminelle zunutze machen, die in das Firmennetz eindringen wollen. Das ist gelinde gesagt Blödsinn! Im Gegenteil: Es ist für Unternehmen eher von Nachteil, wenn es aus seinen IT-Sicherheitsvorkehrungen ein Geheimnis macht. Denn jeder halbwegs versierte Hacker verfügt über das Know-how und die entsprechenden Tools, um sich "von außen" Informationen über die IT-Sicherheitsmaßnahmen zu beschaffen. Das gilt auch für Daten wie den Typ und den Hersteller der eingesetzten Security-Systeme. Also von wegen "Schweigen ist Gold". Wie Beispiele aus der Praxis zeigen, sind Angreifer durchaus in der Lage, die IT-Sicherheitsarchitektur und IT-Systemen von Firmen oder öffentlichen Einrichtungen auf Schwachstellen hin zu überprüfen, ohne dass der Anwender davon etwas mitbekommt. Auf Basis dieser Daten können Cybercrime-Fachleute anschließend eine Angriffsstrategie erarbeiten. Unternehmen können sich nicht unsichtbar machen Wer sich weigert, namentlich in der Pressemitteilung oder einer Case Study eines IT-Sicherheitsunternehmens genannt zu werden, ist somit nicht automatisch aus der Schusslinie. Vielmehr spiegelt sich in dieser Haltung eine gefährliche Ignoranz wider. Denn wenn ein Unternehmen nicht aus der Deckung kommt und verhindert, dass sein Name in einem Blog-Beitrag oder einer Story in einem IT-Sicherheitsfachtitel aufscheint, heißt das noch lange nicht, dass es für Angreifer "unsichtbar" ist. Offenkundig hat niemand solchen Unternehmen und ihren IT-Security-Fachleuten gesagt, dass es auch dann keine Sicherheit gibt, wenn man sich versteckt? Um es drastisch zu formulieren: Wenn Cyber-Kriminelle zu dem Schluss gekommen sind, dass ein bestimmtes Unternehmensnetzwerk ein lohnendes Ziel ist, können sie nicht nur sagen, welche Unterwäsche der IT-Administrator trägt. Sie wissen sogar, wie lange der Gummizug von dessen schicken Boxer-Shorts durchhält. "Wir haben starke IT-Sicherheitsmaßnahmen" oder ... Die IT-Security-Landschaft von heute ist geprägt durch neue, komplexere Angriffsverfahren und Attacken, die immer größere Dimensionen annehmen. Man denke an Distributed-Denial-of-Service-Angriffe, bei denen mittlerweile Bandbreiten von mehr als 100 Gigabit pro Sekunde eingesetzt werden. Ein Ende dieser Entwicklung ist nicht in Sicht, weil dem Einfallsreichtum von Hackern offenbar keine Grenzen gesetzt sind. Kein Unternehmen kann daher garantieren, dass es nicht zum Opfer einer Attacke wird und Kundendaten oder andere vertrauliche Unterlagen in falsche Hände gelangen. Wer durch einen solchen Vorfall in den Schlagzeilen landet und seine Kunden über einen Daten-GAU informieren muss, verliert nicht nur Geld, sondern vor allem das Vertrauen von Geschäftspartnern und Kunden. Wäre es für Unternehmen vor diesem Hintergrund nicht besser, in die Offensive zu gehen und öffentlich kundzutun, welche umfassenden Sicherheitsmaßnahmen sie gegen Cyber-Attacken ergriffen haben? ... "Nein, ich war es nicht"? Einige Fachleute vermuten allerdings, dass eine solche Entwicklung die Dinge auf den Kopf stellen könnte: Nicht die Anwender würden "mauern", sondern die Anbieter von IT-Sicherheitsprodukten. Der Grund: Käme es zu einem "Data Breach" bei einem ihrer Kunden, säßen die Anbieter gewissermaßen im selben Boot. Denn dann könnte der Eindruck entstehen, die Sicherheitsprodukte des Anbieters hätten versagt. Eine solche Argumentation ist jedoch nicht haltbar. Schließlich macht auch niemand ein Geldtransport-Unternehmen dafür verantwortlich, wenn einer ihrer Transporter von schwer bewaffneten Kriminellen gekapert wird. Fazit: Nicht mauern, sondern mit IT-Sicherheit werben Unternehmen, die IT-Sicherheitslösungen einsetzen, sollten daher nicht rundheraus "Nein!" sagen, wenn ein Hersteller oder Distributor sie bittet, über die Erfahrungen mit diesen Produkten zu berichten. Vielmehr eröffnet dies einem Anwender die Chance, Marketing in eigener Sache zu betreiben und sich gegenüber Kunden und Interessenten als Unternehmen zu präsentieren, das es mit IT-Sicherheit und Datenschutz ernst meint. Eine solche Vorgehensweise ist vielversprechender als eine restriktive Politik, die alle Informationen über IT-Sicherheitsmaßnahmen in den unternehmensinternen Giftschrank verbannt.
Dinah Kuke-Hartwig Dinah Kuke-Hartwig Moderator

Die Fußball-WM: Ein Fest für Sportbegeisterte und Cyber-Kriminelle

Es ist immer dasselbe: Sportliche Großereignisse wie die Olympischen Spiele oder die Fußball-Weltmeisterschaft in Brasilien ziehen nicht nur Sportbegeisterte in ihren Bann. Auch Cyber-Kriminelle und Hacktivisten betätigen sich als "Trittbrettfahrer" solcher Veranstaltungen. So plant die Aktivisten-Gruppe Anonymous angeblich Cyber-Attacken auf die Hauptsponsoren der Fußball-WM, etwa Coca-Cola, den Sportartikelhersteller Adidas und den Brauereikonzern Budweiser. Auf diese Weise will die Gruppe gegen die Kosten der WM protestieren. Einen kleinen Vorgeschmack darauf, was auf die Firmen zurollen könnte, gaben Angriffe der Aktivisten auf die E-Mail-Server des brasilianischen Außenministeriums. Mehrere Tage lang hatten konnten Diplomaten des Landes wegen der Attacken nicht auf ihre elektronischen Nachrichten zugreifen. Zudem mussten mehrere Tausend Regierungsmitarbeiter wegen des Angriffs ihre Account-Daten ändern. Gefährlich: Mit Schadsoftware hinterlegte Fußball-Web-Seiten Doch auch "normale" Cyber-Kriminelle versuchen nach Angaben der IT-Sicherheitsfirma LogRhythm von der Fußballbegeisterung zu profitieren. Ein beliebter Trick: Suchen Internet-Nutzer via Google nach Daten zu Spielen oder Mannschaften, landen sie möglicherweise auf Web-Seiten, die Kriminelle mit Malware hinterlegt haben. Diese Schadsoftware prüft beispielsweise, ob der Browser des Besuchers Sicherheitslücken aufweist. Wenn ja, wird über diese Schwachstelle Malware auf den Rechner des Users transportiert. Besonders gefährlich ist dies nach Angaben von LogRhythm, wenn der Nutzer von seinem Arbeitplatzrechner aus auf solche Web-Seiten zugreift und sich einen Virus oder Trojaner "einfängt". Dubiose Apps und Streaming-Clients Zudem können Angreifer mithilfe von Keyloggern, die sie auf dem Zielsystem eingeschleust haben, Zugangsdaten für den Zugriff auf das Firmennetzwerk aufzeichnen. Diese Informationen lassen sich wiederum nutzen, um Insider-Angriffe zu starten und Geschäftsdaten oder persönliche Informationen des Nutzers "abzusaugen". Eine weitere Gefahr sind bösartige Apps für Mobilgeräte und vermeintliche Streaming-Clients, mit deren Hilfe Mitarbeiter WM-Spiele auf ihrem Arbeitsplatzrechner anschauen können. In vielen Fällen lässt sich nur schwer abschätzen, ob eine solche Software "sauber" ist oder mit höchst unerwünschten Zusatzfunktionen versehen wurde, etwa einem Trojaner. IT-Sicherheitsfirmen warnen zudem vor Links zu Web-Sites, die angeblich Live-Übertragungen oder Mitschnitte der Spiele anbieten. Etliche dieser Internet-Seiten werden von Cybercrime-"Fachleuten" aufgesetzt, die dort Malware verstecken. Selbst Fußball-Fans, die den Desktop ihres PCs oder Firmen-Notebook mit einem netten Hintergrundbild verzieren wollen, etwa dem Konterfei eines Spielers oder dem Foto eines WM-Stadions, sind gefährdet: Auf mehreren dubiosen Web-Seiten sind Wallpaper aufgetaucht, die der Nutzer herunterladen und auf seinem System installieren kann. Dumm nur, wenn neben dem Konterfei von Cristiano Ronaldo oder "Schweini" kleine Hacker-Tools auf dem Rechner landen. Dem Datenverkehr auf die Finger schauen LogRhythm empfiehlt daher den Einsatz so genannter Protective-Monitoring-Systeme. Sie überwachen die IT-Infrastruktur in Echtzeit und korrelieren alle von IT-Systemen generierten Log-Daten mit bekannten Ereignissen. Dadurch kann das IT-Security-Team umgehend Einbruchsversuche ins Netzwerk erkennen und Gegenmaßnahmen einleiten, bevor ein Schaden entsteht. Allerdings sollten sich Fußball-Fans nicht alleine auf solche IT-Sicherheitstools verlassen. Ebenso wichtig sind der gesunde Menschenverstand und ein gewisses Misstrauen, wenn im Internet allzu verlockende Angebote im Zusammenhang mit der Fußball-WM auftauchen. Weitere Informationen zu LogRhythm finden Sie hier: http://www.exclusive-networks.de/hersteller/logrhythm.php