Image Die Gefahr aus dem Netz

Für ein Unternehmen ist nichts so wichtig wie sein guter Ruf. Gerade im Internet lauern Gefahren, die das Image einer Firma innerhalb von wenigen Stunden ruinieren können. manager-magazin.de sagt, wie IT-Manager ihren Betrieb gegen die zunehmenden Bedrohungen aus dem Internet schützen können.
Von Lothar Lochmaier

Hamburg - Mit der zunehmenden Verbreitung von Internetanwendungen stehen auch der Ruf und das Image von Unternehmen auf dem Spiel. Im kommenden Jahr werden diese Anwendungen laut einer Studie des Marktforschungsunternehmens Gartner zur Nummer eins für die Verbreitung von schädlicher Software (Malware) in Betrieben aufsteigen. Die Sicherheit des Unternehmens im World Wide Web sei zum entscheidenden Faktor geworden, so die Auguren.

Sicherheitsspezialisten wie Ironport oder Trend Micro haben deshalb bereits Lösungen für das Reputationsmanagement in ihr Portfolio integriert, das auf einen besseren Schutz gegen webbasierte Bedrohungen wie URLs und Applikationen abzielt. Was vor allem zählt, ist eine rasche Reaktionszeit, um die Eindringlinge möglichst schon an der Eingangstüre ins Unternehmen abzufangen.

Denn die Gefahren über Zero-Day-Attacken via Internet, die den reibungslosen Geschäftsablauf von Unternehmen auf einen Schlag tangieren, nehmen weiter zu. Eine Studie des amerikanischen Ponemon Institutes im Auftrag von Microsoft  verdeutlicht jedoch, dass Unternehmen nur schwerlich eine wirksame Abwehrphalanx aufbauen können.

Dies vor allem deshalb, weil sie intern die Verantwortlichkeiten rund um Sicherheit, Datenschutz und Marketing kaum unter einen Hut bringen. Demnach gehen 78 Prozent der Sicherheitsverantwortlichen davon aus, dass ihre Marketingkollegen sie aktiv ansprechen, bevor sie persönliche Informationen sammeln oder nutzen.

Mangelhafte Kommunikation

Aber nur ein knappes Drittel der Marketingmanager informiert die anderen Bereiche. Intransparente Abläufe und fehlende Informationen fordern deshalb Sicherheitslücken geradezu heraus. Gleichzeitig bekräftigen mehr als 65 Prozent der Befragten, "der Erhalt und die Verbesserung des Rufs des Unternehmens“ sei einer der wichtigsten Businesstreiber für den Datenschutz.

Infolgedessen signalisieren zwar alle verantwortlichen Abteilungen unisono Zustimmung darüber, dass Diebstahl oder der Verlust von Kundendaten einen schädlichen Einfluss auf den Markenwert und den Ruf der Organisation haben. Die ausgebrochene Harmonie hält jedoch nicht lange vor.

Denn diese Erkenntnis bleibt meist folgenlos, weil sie nicht zu einer effizienteren Kommunikation zwischen den Sicherheits-, Datenschutz- und Marketingabteilungen führt, um konkrete Gefahren abzuwenden. Eine konsistente Strategie, um die vielfältigen Gefahren aus der Tiefe des World Wide Web abzuwehren, fehlt bei kleineren Unternehmen aufgrund mangelnder personeller Ressourcen und finanzieller Mittel ohnehin fast komplett.

Aber auch größere Unternehmen bieten unzählige Schlupflöcher. Nach Auffassung von Raimund Genes, CTO (Chief Technical Officer) Antimalware beim Sicherheitsspezialisten Trend Micro, bildet ein systematisches Reputationsmanagement deshalb eine der zentralen Koordinaten für den Geschäftserfolg von Unternehmen im 21. Jahrhundert. "Web Reputation ist aber nur ein Teilaspekt von dem, was tatsächlich getan werden muss", glaubt Genes.

Selbstverteidigendes Netzwerk?

Selbstverteidigendes Netzwerk - ein Mythos

Denn kaum weiter bringt es Unternehmen, sich auf einen hektischen und oft marketinggetriebenen Aktionismus einzulassen. Alle großen Hersteller von Antimalwarekonzepten arbeiten an entsprechenden umfassenden Lösungen, mitunter auch als Unified Treat Management (UTM) bezeichnet. Bislang jedoch ohne durchschlagenden Erfolg. Die Eindringlinge sind immer einen Schritt voraus. Securitylösungen als eierlegende Wollmilchsau sind kaum greifbar.

"Das sich selbst verteidigende Netzwerk ist noch in weiter Ferne", sagt CTO Genes. Es sei zudem fraglich, ob sich dieses Vorhaben überhaupt realisieren lasse, "da die Malware-Industrie auch nicht schläft". Der vor allem vom Netzwerkspezialisten Cisco  geprägte Begriff des "sich selbst verteidigenden Netzwerks" wurde nämlich zu einer Zeit entwickelt, als es globale Viren- und Wurmausbrüche gab. Heute dominieren verborgene, gleichwohl zielgerichtete und ausgesprochen effiziente Attacken.

Die erste Phase der globalen Wurm- und Virenepidemien versuchten die Netzwerkspezialisten auf der Basis einer Zugangskontrolle ins Netzwerk - der sogenannten Network Admission Control - in den Griff zu bekommen, bei dem nur vertrauenswürdige Rechner im Netzwerk zugelassen wurden. Dafür mussten diese Systeme dem Unternehmen bekannt sein sowie über die aktuellsten Systemupdates und Antivirentechnologien beziehungsweise Signaturen verfügen.

Sicherheitslücken werden verkauft

Zusammen mit einer Anomalienerkennung auf dem Endgerät sollte dieses Konzept für absolute Sicherheit sorgen. Der von führenden IT-Playern in den zurückliegenden Jahren propagierte Ansatz half zunächst zwar bei der Systemverwaltung und dem Management von Endgeräten. Jedoch zeigte eine Überprüfung auf bekannte Software- und Sicherheitsupdates nicht an, ob das System infizierbar war, oder bereits infiziert wurde.

Der Grund: "Unbekannte Systemschwächen werden heute nicht mehr dem Hersteller genannt, sondern im Internet an den Meistbietenden verkauft", erläutert Genes. Folglich könne ein Endgerät kaum auf unbekannte Systemschwächen oder unbekannte Schadsoftware überprüft werden. "Dies ist natürlich möglich, generiert aber im Regelfall zu viele Fehlalarme", so der Experte weiter.

Infolge dessen ziehen die IT-Sicherheitsexperten die Mauer ums Unternehmen nicht mehr so eng. Ein fataler Fehler. Denn um genau jene Anzahl unnötiger Fehlalarme zu reduzieren, lockern die Spezialisten den Gürtel, und stellen die Systeme weniger sensibel ein, was wiederum das Risiko einer Infektion steigert.

Auch ein Blick in die aktuellen Bedrohungslagen zeigt, die bisherigen technologischen Ansätze greifen immer noch zu kurz. So hat der seit Jahresbeginn aktive Storm-Wurm ungeahnte Fähigkeiten entwickelt. Er kann nicht nur die vielfältigen Funktionen der Netzwerkszugangskontrolle aushebeln, die Antivirensoftware umgehen, sondern ganz nebenbei auch noch die Anwendungen infizieren.

Welche Technologien schützen

Welche Technologien schützen

Bereits auf der diesjährigen Cebit stellte Trend Micro eine Lösung vor, die anhand des Verhaltens der Webseiten und des Betreibers der Webseite Anhaltspunkte für verdächtige Aktivitäten wie Phishing gab. So deutet zum Beispiel das häufige Umziehen einer Webseite – wie etwa alle zwei Stunden in ein anderes Land – auf verdächtige Aktivitäten hin.

Diese Technologie funktioniert jedoch bislang nur bei amateurhaften Phishing- und Infektionsversuchen. Entsprechende Tools, die mittlerweile auch soziale Netzwerke und Suchmaschinen erfassen, suggerieren dem Endanwender nicht selten eine trügerische Scheinsicherheit.

Wesentlich komplizierter gestalten sich die Reaktionszeiten nach der Enttarnung verdächtiger Muster bei Angriffen auf etablierte Webseiten. So wurden Mitte Juni dieses Jahres bei einem italienischen Webhoster sämtliche Webseiten beziehungsweise Domänen mit einem zusätzlichen HTML-Code versehen, der zu einer Seite umleitete, von welcher aus der Besucher infiziert wurde.

Mitte Oktober entdeckte Sicherheitsspezialist Trend Micro eine Liste von Behördenseiten in Europa, Amerika und Asien. Diese ebenfalls infiltrierten Seiten leiteten direkt auf die mit Schadenssoftware gespickten Seiten der kriminellen Akteure weiter. Der Gegenseite bleibt nichts anderes übrig, als den immer neu variierten Angriffsmustern hinter her zu laufen. So erweiterte Antimalwarehersteller Trend Micro die sogenannte Domain Reputation um zusätzliche Elemente.

Frühwarnsystem blockt Umleitungen ab

Seit kurzem ist das Frühwarnsystem in der Lage, die Umleitungen zu erkennen und abzublocken. "Die neue Technologie hilft, Malware anders als bisher nicht nur über Virensignaturen zu bekämpfen“, erklärt CTO Genes. Mit Hilfe der sogenannten In-the-Cloud-Technologie werde über eine Onlineverbindung eine Abfrage in Echtzeit automatisch durchgeführt. Dadurch lässt sich die Kommunikation mit infizierten Webseiten unterbinden, unabhängig davon, wie der Schadcode auf diesen Seiten aussieht. Sobald eine neue "schlechte" Webseite oder IP-Adresse hinzugefügt werde, seien binnen kürzester Zeit Millionen von Anwendern automatisch geschützt – und zwar gänzlich ohne Aktualisierung der Sicherheitssoftware.

Trotz dieser graduellen Fortschritte stellt sich die Frage, ob es überhaupt ein realistisches Ziel sein kann, die komplexe Infektionskette im Internet zu unterbrechen. Wollen die Anbieter dadurch letztlich nicht nur neue Tools vermarkten? "Es ist besser als jährlich Millionen von Virensignaturen zu erstellen und zu erwarten, dass alle Anwender diese regelmäßig aktualisieren", entgegnet Genes.

Die Internetseite AV-Test.org hat im ersten Halbjahr 2007 über eine Million zusätzliche Malwaremuster in ihre Kollektion eingefügt und mittlerweile gibt es Toolkits, die bei jeder Infektion den schadhaften Code komplett anders aussehen lassen. Es gibt jedoch nur eine begrenzte Anzahl von Webseiten, die schadhaften Code verteilen.

Mithilfe sogenannter Feedback Loops ist Trend Micro etwa in der Lage zu sehen, wenn sich das Verhalten einer Webseite verändert. Findet innerhalb kürzester Zeit ein extrem häufiger Zugriff auf die Seite statt, können neu hinzugekommene schadhafte oder infiltrierte Seiten schnell identifiziert werden. "Je mehr User diese Technologie nutzen, umso besser ist der Schutz", glaubt der Trend-Micro-Manager.

Webserver sind besonders gefährdet

Webserver sind besonders gefährdet

Gefährdet sind vor allem Webserver, da die Spezialisten zahlreiche systembedingte Schwachstellen nicht rasch genug schließen können. Laut White-Hat Security waren im Zeitraum von Januar 2006 bis März 2007 fast drei Viertel aller untersuchten Webserver leicht angreifbar und verwundbar. Die zunehmende Verbreitung von Web-2.0-Technologien tut ein Übriges, das Problem zu verschärfen.

So finden sich überall, wo Anwender rasch Inhalte ins Netz stellen können, Links zu schadhaften Codes. Häufig werden diese aber auch direkt auf den Seiten ausgeführt. Das ist etwa bei Seiten der Fall, die die Programmiersprache Javascript zulassen, wie etwa die Community-Website MySpace.

Mittlerweile gibt es auch Schadcode aus dem Stammbaum der Virenschreiber von "Storm", der auf jedem infizierten System, gleich ob Server oder Rechner des Endanwenders, in jedes beliebige HTML-Dokument eine Umleitung zu einer schadhaften Seite einbauen kann. "Damit sind sämtliche Anwendungen betroffen, die über einen Webbrowser und HTML-Seiten mit dem Anwender kommunizieren", taxiert Genes das beträchtliche Unruhepotenzial für die Web Reputation.

Zum Ende dieses Jahres will Trend Micro das Konzept einer umfassenden "Total Web Threat Protection" vorstellen. Mittlerweile erhält der Dienstleister von Anwendern aus den Unternehmen etwa 3.5 Milliarden URL-Anfragen täglich. "Jeden Tag weisen wir zirka neun Millionen Seiten zurück, da diese eine Bedrohung darstellen", bilanziert der Experte.

Zunehmende Anzahl an Angriffen

Die Verfügbarkeit der Services liege bei 99.999 Prozent, in Branchenkreisen ein anerkannt hoher Wert. Allerdings zeigt sich auch Genes vom Anstieg des Volumens überrascht. Der Sicherheitsspezialist musste daher in diesem Jahr zusätzliche Serversysteme bereitstellen, um die Datenmengen zu bewältigen. Bis Ende kommenden Jahres rechnet das Unternehmen mit mindestens zehn Milliarden Anfragen pro Jahr. "Dementsprechend müssen wir unsere Systeme skalieren", so Genes.

Der Grund für die Aufrüstung der Abwehrkräfte liegt in der steigenden Angriffsflut. Erst Ende Oktober infiltrierten die Eindringlinge mehrere türkische Regierungsseiten.

Die Seiten leiteten den Anwender unbemerkt zu einem Server in Panama, von welchem aus versucht wurde, das System zu infizieren. Parallel dazu infiltrierten die Angreifer zeitgleich ein System in Brasilien, das von dort aus ebenfalls den Server in Panama abfragte.

Sowohl prominente Seiten als auch unbekannte Domains verwiesen plötzlich nach Panama. Registriert war der dortige Server im Auftrag eines "Russian Business Network". Laut Wikipedia handelt es sich bei diesem Netzwerk um einen Internetprovider in St. Petersburg, der einschlägig bekannt für illegale Geschäftsmodelle im organisierten Verbrechen ist. Über das Netzwerk werden unter anderem Kinderpornos sowie Seiten zur Verbreitung von Phishing und Malware angeboten.

Angesichts dieser gut ausgerüsteten mobilen Armada sind letztlich auch die Hersteller machtlos. Immerhin können die Spezialisten die "schlechten" IP-Adressen abfangen und den Zugriff darauf sperren. Die infiltrierte Seite lässt sich zwar nicht rasch abschalten, aber die Umleitung funktioniert zumindest nicht mehr.

Was aber passiert, wenn das Unternehmen ungewollt sein Image riskiert, weil es in die Infektionskette einbezogen ist? "Generell sollte der CIO für 2008 eine bessere Absicherung der eigenen Webinfrastruktur in seine Planung mit aufnehmen und dafür sorgen, dass der generierte Webverkehr der Anwender auf Sicherheitsprobleme untersucht wird", empfiehlt Genes.

Fast überall gibt es Sicherheitslecks

Fast überall gibt es Sicherheitslecks

Die Analyse beginnt in der Regel mit einer schonungslosen Offenlegung des Ist-Zustands. Rund 80 Prozent der Webshops, E-Business-Portale oder Homepages von Unternehmen sind löchrig, schätzen Experten. Mit einer lose organisierten Sicherheitsfortbildung für die Entwickler ist das Problem jedoch keineswegs gelöst. Das Thema gehört von Beginn an in die Projektplanung.

Relativ simple Attacken wie Cross Site Scripting oder SQL-Injection bringen so manchen Shop oder manches Portal in Bedrängnis. Kein Wunder also, dass sich bei rund 80 Prozent der getesteten Internetseiten schon binnen 30 Minuten mindestens ein Schlupfloch finden lässt. Und die wachsende Anzahl an Cracking Tools mit automatisierten Angriffsmöglichkeiten bietet sogar für unerfahrene Script-Kiddies die Möglichkeit, kleine Schwächen in Webanwendungen auszunutzen.

Trotzdem bauen die meisten Firmen zuerst eine Anwendung und fragen oft erst hinterher nach der Sicherheit. Entwickler sollten beim Programmieren zwar auf korrekte Ein- und Ausgabeprüfung achten sowie die Zugriffsberechtigungen spezifizieren oder einschränken, doch lassen sich hochgesteckte Vorgaben in der Praxis selten durchgängig realisieren. Regelmäßige Prüfung der Programmiertechnik sowie Designchecks sind bisher nur selten Usus.

Auch mangelt es an bedarfsgerechten, herstellerunabhängigen und umfassenden Securityschulungen zum Thema Webapplikationen, die zudem Theorie und Praxis sinnvoll verzahnen. Nur wenige Anbieter wenden sich bisher mit gezielten Angeboten an die Entwickler. Das Terrain gilt als ausgesprochen sensibel. Oft führen kurzfristig beauftragte Teams aufgrund kritischer Vorgänge quasi posthum Ad-hoc-Penetrationstests auf Webapplikationen im Beisein des Kunden durch, die das eine oder andere Aha-Erlebnis für die Verantwortlichen nach sich ziehen.

Basislektionen richtig anwenden

Im Dschungel der Weiterbildungen zur Web Application Security ist zudem der Grat ausgesprochen schmal, zwischen einem zu hoch spezialisierten Expertentum und unnützem Halbwissen. Deshalb raten Experten das Thema von der grundsätzlichen Seite anzugehen: Wichtig ist, dass die Entwickler die Basistechnologien richtig begreifen, wie etwa die Funktionsweise relationaler Oracle-Datenbanken.

Daneben gilt es, gezieltes Wissen aufzubauen, etwa über sichere Java- oder PHP-Anwendungen. Ein festgelegtes und strukturiertes Vorgehen erspart unnötige Arbeit. Und durch sorgfältige Planung, Auswertung der Erfahrungen sowie wieder verwendbare Komponenten kann das Unternehmen sogar Geld einsparen.

Fakt ist aber auch, dass Firewall, Virenschutz und Intrusion Detection allein nicht ausreichen. Denn der Eindringling schlüpft in die Rolle des Programmierers und nutzt nicht erwartete Eingaben zur Manipulation von Daten oder zum Einschleusen von gefährlichem Code. Beispielwsweise wird in das Eingabefeld einer Maske ein Javaskript eingegeben, welches dann oft tatsächlich ausgeführt wird und so eine Hintertür in die Applikation öffnet.

Diese Anwendungen stellen häufig aber nicht nur die jeweilige Webpräsenz des Unternehmens dar, sondern sind untrennbar mit Backend- und Datenbanksystemen verbunden. Aufgrund der komplexen Bedrohungsmuster gilt es deshalb die technischen Lösungen in das gesamte Reputationsmanagement einzubinden, inklusive einer Evaluierung am gemeinsamen runden Tisch, mit den relevanten Fachabteilungen.

Die Wiedergabe wurde unterbrochen.