Aufrufe
vor 9 Monaten

Cybersecurity 2020

  • Text
  • Cybersecurity
  • Februar
  • Malware
  • Mitarbeiter
  • Angriffe
  • Sicherheit
  • Schweizer
  • Cyber
  • Schweiz
  • Unternehmen

Vertrauen in

Vertrauen in Digitalisierung – mit Sicherheit! Trotz andauernder Euphorie bezüglich der Digitalisierung dürfen die Fehler der Vergangenheit nicht wiederholt werden. Sicherheit ist, wie auch schon in der Maslow’schen Bedürfnispyramide nachzusehen, endlich als grundlegendes Bedürfnis als Basis jeder (Neu)-Entwicklung und Änderung zu etablieren. Die gesellschaftliche Akzeptanz für digitalisierte Prozesse und Virtualisierung der Realität basiert auf Vertrauen – dieses Vertrauen kann nur durch glaubwürdige Sicherheit geschaffen werden. TECHNOLOGY Bild: gregepperson / iStock.com Obwohl Cybersecurity in Umfragen, Berichten und Prognosen in vielen Branchen einen Spitzenplatz einnimmt, wird damit auch viel Verwirrung gestiftet. Was genau ist dieses «cyber» – Antworten finden sich in der Begriffsdefinition der Kybernetik – der Cyberspace ist damit der virtuelle Raum, «Cyber» die Abkürzung des Begriffs «Kybernetik». Allerdings wird man auf der deutschen Wikipedia-Seite bei Eingabe des Begriffs zu «Informationssicherheit» weitergeleitet, in der englischen Variante zum Artikel «Computer Security». Im Wesentlichen also nichts wirklich Neues – bedenkt man, dass sowohl Computer und auch das Internet seit gut 50 Jahren existieren. Die Fehler der Vergangenheit bestehen vor allem darin, das Thema weitgehend zu ignorieren oder durch implizite Annahmen als gegeben vorauszusetzen. Sicherheit – ob Cybersecurity, Information Security oder IT-Security – ist keine schwarze Magie, sondern kann und muss spezifiziert, konzipiert, geplant und vor allem finanziert werden. Dabei ist Sicherheit vereinfacht gesagt die Absenz von Risiko – und Risiko etwas eher Abstraktes. Was es entsprechend nicht einfacher macht, das Thema der betroffenen Gesellschaft näherzubringen. Sicherheit muss «by design» sein Das zeigt sich an der Diskussion zur E-Voting-Sicherheit – eines der prägenden Themen des vergangenen Jahres. Meine Meinung dazu ist: In einer Demokratie sollen die Bürger entscheiden, ob sie E-Voting ihr Vertrauen aussprechen und es zulassen wollen. Das bedingt allerdings, dass die Stimmbürger über die Risiken transparent und sachlich informiert werden und ihnen kein «Schlangenöl» verkauft wird. Sicherheit ist nicht etwas, das am Ende der Entwicklung auf ein Produkt oder einen Prozess «dazu gemacht» wird – Sicherheit ist eine inhärente Eigenschaft, die «by design» als Anforderung spezifiziert und in das Produkt oder den Prozess konzipiert wird. Das kommt freilich nicht kostenlos daher – Sicherheit kostet. Keine Sicherheit kostet möglicherweise mehr – Risiken haben leider die Eigenschaft, sich nicht immer im Voraus anzukündigen. Ob man sicher ist, merkt man entsprechend meist erst dann, wenn das Risikoereignis sich manifestiert. Ich freue mich auf die Zukunft – auch wissend, dass mir die Arbeit zur Förderung der Cybersecurity für meine Kunden und die Gesellschaft in voraussehbarer Zeit nicht ausgehen wird. Mit der zunehmenden «Smartisierung» aller möglichen Gerätschaften (Stichwort IoT) und der zunehmenden Unterstützung von Entscheidungsprozessen durch maschinelles Lernen und «künstlicher Intelligenz» verschwimmt die klare Abgrenzbarkeit von virtueller und realer Welt. Zur Vermeidung einer Dystopie haben wir als Informatiker, Konsumenten und Mitglieder der Gesellschaft die Möglichkeit, Sicherheit zu machen und zu bekommen – sofern wir sie explizit verstehen und einfordern! Digitales Vertrauen bekommt man nicht – es muss verdient werden. Mit Sicherheit! Der Autor Umberto Annino, Evangelist für Informationssicherheit und Mitglied des Cybersecurity-Beirats der SATW 59

Das Team von Check Point vor Ort: (v. l.) Martin Christen, Strategic Account Manager, Yannick Gugler, Security Engineer, und Alvaro Amato, Sales Manager Switzerland. TECHNOLOGY Wie man Malware analysiert und dateilose Angriffe lanciert Check Point hat an einer Roadshow gezeigt, wie Spezialisten Malware analysieren. Vor den Augen des Publikums zerlegte das israelische Cybersecurity-Unternehmen die Malware Ramnit. Und es zeigte zudem, wie Cyberattacken nur im Arbeitsspeicher stattfinden können. Autor: Coen Kaat Wie geht man vor, wenn man ein Schadprogramm untersuchen möchte? Diese Frage hat Check Point am 12. September in Zürich beantwortet. An einem «Lunch & Learn»-Event im Placid Hotel in Zürich veranstaltete der israelische Sicherheitsanbieter eine Live-Malware-Analyse. Das «Opfer» auf dem Seziertisch in Zürich? Ramnit. Eine sehr alte Malware, die schon 2010 zum ersten Mal genutzt wurde. Damals war Ramnit noch ein Spionage-Programm, das unbemerkt Screenshots machen und Browser-Cookies stehlen konnte. 2011 integrierte Ramnit den Source-Code von Zeus, «einem der schlimmsten E-Banking-Trojaner, die es gibt», erklärte Yannick Gugler. Gugler ist Security Engineer bei Check Point und leitete die Besucher durch die Live-Analyse. Seit 2011 taucht Ramnit immer wieder in abgeänderten Versionen auf – zuletzt Anfang 2019. Wie findet man Malware im System? Im Wesentlichen gibt es zwei Wege, ein Schadprogramm auf einem Windows-System zu finden, sagte Gugler. Entweder man kennt alle Malware-Arten und weiss, wie man sie identifiziert. Oder man weiss haargenau, wie Windows und alle Komponenten des Betriebssystems funktionieren, was dazugehört und was nicht. Beide Wege sind gleichermassen unwahrscheinlich. Darum empfiehlt Gugler einen Mittelweg, bei dem man sowohl auf bekannte «Indicators of compromise» (IOC), also auf Anzeichen einer Infektion, wie auch auf ungewöhnliches Verhalten innerhalb von Windows achtet. So existieren die Prozesse «services.exe», «lsass.exe» und «lsm.exe» auf einem sauberen System nur einmal. Wer einen der Prozesse mehrfach vorfindet, sollte diese genauer überprüfen. Ferner ist «services.exe» immer der Vaterprozess von «svhost. exe». «Läuft ein ‚svhost.exe’-Prozess mit einem anderen Vaterprozess, dann ist etwas kaputt auf dem System», sagte Gugler. Ein weiter nützlicher Tipp: Es gibt gemäss dem Security Engineer zwei vertrauenswürdige Verzeichnisse in einem Windows- System. Gemeint sind \Windows\System32 und \Windows\ SysWOW64. Um auf diese Verzeichnisse zuzugreifen, benötigt man Admin- oder noch höhere Rechte, wie etwa Domain-Rechte. «Jeder Prozess, der nicht aus diesen beiden Directories heraus gestartet wird, ist schon mal verdächtigt», sagte Gugler. «Nicht bösartig, aber verdächtig.» Dynamische oder statische Analyse? Auch bei der Analyse eines Schadprogramms steht man wieder vor zwei Optionen: Macht man eine dynamische oder eine statische Analyse? «Eine dynamische Analyse ist nichts anderes als eine Sandbox», sagte Gugler. Der Schädling wird in einer abgeschlossenen Umgebung ausgeführt, während automatisierte Tools alles protokollieren, was geschieht. Schadprogramme werden jedoch stets gewiefter. Heutige Varianten verwenden einen Grossteil ihrer Kapazitäten dafür, 60

Archiv