:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die 80/20-Regel und die IT-Sicherheit Das Pareto-Prinzip und Malware
Das Pareto-Prinzip geht auf den italienischen Ingenieur Vilfredo Pareto zurück und besagt, dass man 80 Prozent der Ergebnisse mit rund 20 Prozent des Gesamtaufwandes erreichen kann. Ein Prinzip, welches heute gerne im Zeit- und Projektmanagement verwendet wird.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Das Pareto-Prinzip bei IT Security anzuwenden wäre ideal. Denn IT-Sicherheit ist ein wichtiges Thema, dass durch eine beeindruckende Dynamik stetig an Komplexität gewinnt und immer mehr Fachwissen erfordert. Denn es ist keine tote Materie, sondern eine Auseinandersetzung mit einem menschlichen Angreifer, der aber keine Kanonen und Bomben nutzt, sondern Informationstechnik.
Wäre es via Pareto möglich, das erforderliche Fachwissen für diese Attacke-Arten kompakt, ansprechend und informativ verpackt, schnell zu konsumieren (20 Prozent)könnte man einen Großteil aller Angriffe erkennen und erfolgreich abfangen (80 Prozent). Doch die Krux liegt im Detail, bei IT Security zählt kein „Wir haben überwiegend alle Bedrohungen erkannt und beseitigt“ kein „Fast alle Malware konnte entfernt werden“ – es gibt nur ein binäres Ergebnis. Alles OK „0“ oder nicht OK „1“.
Risiko-Ansatz Pareto
Die Informationsqualität und Informationsmenge ist aber der entscheidende Faktor bei IT-Sicherheit. Denn falsche Entscheidungen, die auf zu wenig oder schlechtem Wissen basieren, können fatale Folgen haben. Wie sich 80 Prozent-Fachwissen und 100 Prozent-Fachwissen unterscheiden können, sollen die nachfolgenden Beispiele verdeutlichen. Wobei generell gilt, dass möglicherweise auch 80 Prozent genügen können, um Angriffe abzuwehren – doch dies ist nicht garantiert. Die Chancen sind besser, wenn die Administratoren und Security-Experten einen Wissensstand haben, der nicht unter der Schirmherrschaft des Pareto-Prinzips erworben wurde, sondern klassisch in Trainings und im realen Betrieb.
Millionen von Computerviren
Wer die Veröffentlichungen zum Thema Malware-Erkennung verfolgt findet oft Diagramme, die den Anstieg von Malware in den letzten Jahren darstellen. Professionelle Forscher, Analysten und Security-Hersteller nennen hier Zahlen, von monatlich mehreren Hunderttausend neuen Schadprogrammen. Das renommiere AV-TEST Institut aus Magdeburg rechnet aktuell mit über 300.000 neuen Malware-Exemplaren je Monat.
Eine beeindruckende Zahl! Würden jeden Tag 10 neue Programme für Schadsoftware erstellt werden, bräuchte man jedoch 1000 Programmierer, die dies tun. Derartiges könnte wahrscheinlich nur eine sehr große Organisation bzw. Firma durchführen oder ein automatisch ablaufender Erstellungs-Algorithmus.
Real dürfte ein Mix aus beiden sein, wobei aber die Mehrzahl der Arbeit von automatischen Routinen erledigt werden, die den Programmcode der Malware variieren bzw. permutieren. Wird nun jede Variante, die einen anderen Binärcode hat, als eigener Virus gezählt sind diese Zahlen korrekt. Allerdings ist es nur eine Variante und betrachtet auf die Aufgab und/oder Schadfunktion nur eine Variante.
Würde man programmiertechnisch eine 1 addieren wollen, so gäbe es viele Wege dies zu erreichen.
X=X+1X=X+3-2X=1+(X/4)*4etc.Ist nun aber jedes Programm, welches eine andere Variante nutzt, ein neues Programm? So würden Autohersteller wohl jedes Jahr huderte Modelle auf den Markt bringen, wenn Sie Ausstattungsmerkmale zählen, Lackierungsarten und Sonderausstattungen. Aber in der Praxis gibt es über einen Zeitraum hinweg (1 Jahr, 2 Jahre) ein oder zwei Modelle und ggf. ein Sondermodell.
Daher muß man die Anzahl der monatlich neu erscheinenden Malware relativieren und angesichts der horrenden Zahlen nicht in Panik verfallen. Denn wenn man es versteht, die Arbeitsweise des Algorithmus zu durchbrechen bzw. zu erkennen, ist die Erkennung – ungeachtet der Anzahl, nicht das Problem. Der Kauf neuer Anti-Malware kann also ggf. unterbleiben. Ein Aspekt, der bei der Pareto-Betrachtung möglicherweise untergeht und so zu einer nicht zwingend erforderlichen Investition führt und einer falschen Risikobewertung.
Die gute Malware
Um es gleich vorweg zu sagen, es gibt keine guten Viren und auch keine gutartige Schadsoftware. Derartige Software geht primär auf einige Ansätze aus der Start-Zeit der „Computerviren“ zurück. Seltsamerweise taucht dieses Statement aber immer wieder bei Betrachtungen (Diskussionsforen, Vorträge und Retrospektiven) auf, wenn es darum geht Schadsoftware „etwas positiver“ darzustellen.
Das Hauptargument orientiert sich dabei oft an Malware im Unix – und MS-DOS-Umfeld. Beides also Betriebssysteme, die in der damaligen Ausprägung heute nicht mehr genutzt werden. In dieser Zeitphase liegen auch Creeper & Reeper – ein (böser) Arpanet-Wurm Creeper wurde durch den (guten) Wurm Reeper bekämpft.
Auch DOS-Schadsoftware wurde bekannt, die Computerviren bekämpfte und vom System des Users entfernte – jedoch nur um sich selbst darauf zu installieren und störungslos zu agieren.
Auch Trojaner, folgen dieser Strategie, indem sie eine effektive Malware-Bekämpfung anbieten, aber de-facto Daten sammeln, das infizierte System als Steuerungszentrale missbrauchen oder Hintertüren zum System etablieren.
Als Faustregel kann man sagen, wenn mindestens eine der nachfolgenden Funktionen ausgeführt wird, sollte die Software hinterfragt werden:
- Nicht vorab erwähnter Verbrauch von Ressourcen (Speicherplatz, Rechnerleistung, Kommunikation via Lan, WAN oder WWW, E-Mail etc.)
- Nicht vorab erwähnte Modifikation von Systemfunktionen (Ports, Dateien, Rechte Systemtreiber etc.)
- Nicht vorab erwähnte Abänderung/Nutzung von Anwender-Ressourcen (Dateien, Links, Einstellungen, E-Mail-Daten etc.)
- Eigenständige Ausbreitung auf dem System und/oder im Netzwerk
Alles was ohne Wissen und Erlaubnis des Benutzers erfolgt ist daher sicherheitstechnisch bedenklich (es gibt Personen, die deshalb ganze Betriebssysteme als Malware einstufen).
Ausnahmen die diese Regeln bestätigen gibt es auch, wie Linux.Wifatch – ein Tool, welches die Sicherheit von Routern im Auge hat. Jedoch sollte diese Funktionalität durch jeden guten Administrator erledigt werden, ohne dass es der Hilfe von Wifatch bedarf. Welche Informationen via Pareto-Prinzip nun bei dem Anwender landen ist offen – im ungünstigsten Fall ist es „Es gibt gute Malware“, die zu einer Verharmlosung der Bedrohung führen kann.
Ransomware ist die gefährlichste Schadsoftware
In letzter Zeit wird man immer wieder mit der Behauptung konfrontiert, dass Ransomware die gefährlichste Schadsoftware ist. Weshalb? Nun, Ransomware, entzieht dem Anwender den Zugriff auf seine Daten und gibt diesen erst nach Zahlung eines Lösegelds weder frei. Wobei aber auch die Bezahlung keine Garantie ist, dass man wirklich wieder mit den eigenen Dateien arbeiten kann. Aber auch hier gilt, dass bei der 80 Prozent der vermittelten Informationen mitunter nur plakativ Risiken aufzählt werden.
Zweifellos ist die Wirkung von Ransomware nicht zu unterschätzen:
- Der Anwender kann nicht mit seinen Daten arbeiten
- Daten können per FTP (etc.) an andere Stellen übertragen werden (Datenmissbrauch durch die Ransomware)
- Freigabe der verschlüsselten Daten nur nach Erbringung einer Gegenleistung (Bitcoins, elektronische Finanzdienstleister)
- Täter sind fast nicht zu fassen
- Möglicherweise finanzielle Nachforderungen
- Kompromittierung der Person/Firma durch die im Zugriff befindlichen Daten
Jedoch gibt es ein probates Mittel, die Ransomware zu bekämpfen, nachdem eine installierte Security-Software oder die Ransomware selbst den Anwender über die Schädigung informierte.
Das Mittel nennt sich Restore eines Backups zu dem Zeitpunkt, da die Ransomware noch nicht aktiv war. Die Bekämpfungsstrategie ist etwa wie folgt:
Restore/Backup
- System vom Netz trennen
- User-Dateien sichern
- Full-Backup des Systems (Falls Maßnahmen nicht funktionieren)
- System neu aufsetzen (Installieren)
- Mit dem zuletzt erstellten, sauberen Backup di3 User Daten wiederherstellen
- Schwachstelle, welche die Ransomware zur Infiltration nutzte, suchen und beseitigen
- Übliche nachgelagerte Security-Maßnahmen ausführen
Damit ist das System wieder funktionell arbeitsbereit und der Anwender kann über seine Daten verfügen. Allerdings einen Haken hat dieses Restore/Backup-Mittel. Wenn die Ransomware schleichend agiert und über einen längeren Zeitraum täglich nur eine kleine Menge an Dateien manipuliert (verschlüsselt), kann der Zyklus, der User-Daten archiviert auslaufen. In diesem Fall würden keine unverfälschten Daten mehr zur Verfügung stehen.
Allerdings spricht die Gier der Ransomware-Programmierer, gegen die Slow-Manipulation. Ebenso sollte ein Anwender bemerken, wenn seine Daten nicht mehr zugreifbar sind oder verschlüsselte, anstatt lesbare Inhalte aufweisen. Besonders dann, wenn dies über Wochen hinweg immer wieder passiert. Ein Slow-Infektor ist technisch möglich. Ebenso könnten auch programmiertechnische Tricks zum Einsatz kommen, die Veränderungen verschleiern (Stichwort Stealth-Viren) – aber dies trifft auch für andere Malware-Arten zu.
Von daher sollte man Aussagen, nach der Ransomware die „gefährlichste Malware“ relativieren und anstreben, ein 100 Prozent Informationslevel zu erreichen, anstatt sich mit 80 Prozent zufrieden zu geben. Denn möglicherweise macht die Investition in eine clevere Backup&Restore-Lösung mehr Sinn als in ein weiteres Anti-Malware-Tool.
Resümee
Trotz Zeitmangel sollte man das Pareto-Prinzip bevorzugt in den Bereichen belassen, bei denen es nützlich und wirksam ist. Denn eine schnelle und vordefinierte Informationsaufnahme, die sich auf einige Kernaussagen fokussiert kann im Umfeld der IT-Sicherheit mehr schaden als nutzen.
Wer aufgrund schlechter Informationsqualität sein Budget falsch investiert oder nur einem Trend folgt „Weil es alle machen“ wird sich mit einem erhöhten Risiko auseinandersetzten müssen – welches ggf. aus einer ganz anderen Richtung kommt.
(ID:47355030)
:quality(80)/p7i.vogel.de/wcms/fa/c9/fac9372d4b52f35aa0501c06cdfd0f13/0109965455.jpeg "Über eine Netzwerksegmentierung, beispielsweise durch die Separation von Servern, Clients und Produktionsnetzen, lassen sich bereits in 80 – 90 Prozent aller Fälle verhindern, dass sich Ransomware auf weitere Systeme ausbreitet. (Bild: Suttipun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/91/59915279871df1cbdbb2137714ee888b/0109557235.jpeg "Bei einem Steganographie-Angriff mittels Bilddatei verstecken Cyberkriminelle Malware-Code in Bildern, ohne dass er optisch auffällig ist. (Bild: freshidea - stock.adobe.com)")