Suchen

Wie gefährdet sind unsere Systeme und Infrastrukturen wirklich? Die Bedrohung durch Red October und Co.

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Jüngst hat Kaspersky Lab Informationen über eine Malware veröffentlicht, die vermutlich bereits seit 2007 von Angreifern verwendet wird. Die Antivirus-Experten haben den Schadcode seit vergangenen Oktober untersucht, ihn Red October getauft und bei der Analyse mit betroffenen Stellen zusammengearbeitet.

Firmen zum Thema

Angesichts solcher Bedrohungen wie Red October stellt sich die Frage, wie viel Malware unentdeckt im Internet kursiert.
Angesichts solcher Bedrohungen wie Red October stellt sich die Frage, wie viel Malware unentdeckt im Internet kursiert.
(Bild: Archiv)

Martin Kuppinger: „Warum hat es so lange gedauert, bis Red October identifiziert werden konnte?“
Martin Kuppinger: „Warum hat es so lange gedauert, bis Red October identifiziert werden konnte?“
(Bild: KuppingerCole)
Die Angriffe von Red October haben vor allem Regierungsstellen, Botschaften, Forschungseinrichtungen in den Bereichen Luft- und Raumfahrt sowie Nukleartechnologie, Energieversorger und das Militär betroffen. Opfer gab es insbesondere in den Staaten der früheren Sowjetunion, aber auch in den USA, Brasilien, Indien, Belgien, der Schweiz, Deutschland und in anderen Ländern. Insgesamt wurden Opfer in 39 Staaten identifiziert.

Neben der von Kaspersky Lab ausführlich beschriebenen Arbeitsweise von Red October sind vor allem zwei Fragen interessant: Warum hat es so lange gedauert, bis die Malware identifiziert werden konnte? Und wenn es bei einer Malware, mit der eine Vielzahl von Institutionen in kritischen Bereichen angegriffen wurde, schon so lange dauert: Was für Schadcodes kursieren noch im Internet – wie groß ist die Bedrohung wirklich?

Die Antworten auf diese Fragen liegen leider im Dunkeln. Allerdings muss „Red October“, auch wenn es von Experten nicht als die gefährlichste Malware der letzten Zeit angesehen wird – hier ist zumeist „Flame“ an erster Stelle – doch zu einer Neubewertung von Sicherheitseinschätzungen führen.

Realistisch betrachtet ist davon auszugehen, dass „Red October“ kein Einzelfall ist, sondern nur einer von mehreren oder sogar vielen Schadcodes, die unentdeckt ihr Unwesen treiben. Hinzu kommt, dass staatliche Stellen ja längst unter den Angreifern sind, sowohl gegenüber anderen Staaten als auch gegenüber ihren Bürgern.

Die Tücken politisch motivierter Malware

Ob Duqu, Stuxnet oder der Bundestrojaner: In allen Fällen kommt die Malware von staatlichen Stellen, aus welcher Motivation heraus auch immer – und wie auch immer man die Legitimität beurteilen mag. Das bedeutet aber auch, dass Staaten potenziell ein Interesse an Hintertürchen in Security-Software haben, um diese Angriffe möglichst unerkannt durchführen zu können.

Der US-amerikanischen NSA (National Security Agency) wird ein solches Handeln ja schon lange nachgesagt. Das bedeutet aber in der Konsequenz auch, dass damit mehr Malware unentdeckt sein kann. Es muss nicht unbedingt so sein, dass wir nur die Spitze des Eisbergs sehen, was Malware betrifft. Wahrscheinlicher ist es, dass ein signifikanter Teil erkannt wird und nur ein kleiner Teil unentdeckt bleibt. Das Risiko ist aber in jedem Fall größer als bisher angenommen.

Damit stellt sich die Frage, was man tun kann. Die Antwort ist leider wenig erfreulich: Gegen einen Feind, den man nicht kennt, kann man sich nur begrenzt schützen. Die wichtigsten Schritte sind die Identifikation und Bewertung von Sicherheitsrisiken und die Umsetzung von „good practices“ im Bereich der IT-Sicherheit.

Mehrschichtige Schutzkonzepte, neue Lösungen für die Analyse von sicherheitsrelevanten Informationen, bei denen Big Data-Ansätze mit IT-Sicherheit kombiniert werden und das Schaffen von Bewusstsein für die IT-Sicherheit bei den Mitarbeitern sind die wichtigsten Schritte. Der Fokus muss sich dabei stärker auf den Schutz von Informationen richten.

Themen wie Information Rights Management in Kombination mit Enterprise Key Management werden ebenso an Bedeutung gewinnen wie durchdachte, umfassende Lösungen für das Identity und Access Management. Das gilt gerade weil man davon ausgehen muss, dass die erste Schutzschicht mit Firewalls und Endpoint Security nur unzureichend funktioniert. Vor allem sollte man sich aber nicht in Sicherheit wiegen, denn die Risiken sind wohl deutlich größer als befürchtet.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:37761510)