Interview zum Cisco 2010 Annual Security Report Mobile Security ist 2011 die größte Herausforderung für Unternehmen

Redakteur: Stephan Augsten

Spam ist nicht mehr so erfolgreich, andere Risiken sind dafür auf dem Vormarsch. Zu diesem Ergebnis kommt Cisco im 2010 Annual Security Report. Security-Insider.de hat sich mit Klaus Lenssen, Senior Business Development Manager Security und Government Affairs, über die aktuelle und künftige Gefahrenlage unterhalten.

Firma zum Thema

( Archiv: Vogel Business Media )

Security-Insider.de: Herr Lenssen, im Cisco 2010 Annual Security Report heißt es, dass Spam-Attacken weltweit zurückgehen. Ist mit weiteren Entspannungen zu rechnen oder waren Botnetz- und Rogue-ISP-Abschaltungen nur ein Tropfen auf den heißen Stein?

Klaus Lenssen: Von einem Tropfen auf den heißen Stein würde ich nicht sprechen – doch es ist ein Kampf, der noch lange nicht gewonnen ist. Erstmals seit wir Spam kennen gehen die weltweiten Zahlen zurück. Ein Grund hierfür ist das enorme Engagement von Sicherheitsforschern weltweit, die im letzten Jahr zur Abschaltung von Spammern führten.

China, Brasilien und die Türkei haben nationale Anstrengungen unternommen, die zur deutlichen Senkung des Spam-Aufkommens beigetragen haben. Mit Sorge beobachten wir jedoch den massiven Anstieg von Spam in UK, Frankreich oder der Ukraine. Solange sich damit noch Geld verdienen lässt, wird es auch Rogue ISPs geben, die bösartige Webseiten sowie Command-and-Control-Server hosten. Positiv ist, dass der Druck der Strafverfolgungsbehörden weltweit auf Spammer wächst.

Security-Insider.de: Liegt der schwindende Spam-Erfolg nicht zuletzt auch an den Aufklärungskampagnen in den Unternehmen?

Lenssen: Im Falle der E-Mails hat die Sensibilisierung in den Unternehmen tatsächlich gut funktioniert. Doch zu viel einseitige Warnung bedeutet auch Abstumpfung. Wenn man den Faktor Mensch nicht in den Sicherheitsansatz mit einbezieht, dann ist ein Security-Konzept schon zum Scheitern verurteilt. Auf unserer Webseite zeigen wir, wie Ciscos Securit-Awareness-Trainings gestaltet sind und stellen Handbücher zur Verfügung, wie man mit verschiedenen sozialen Medien umgeht.

Security-Awareness-Kampagnen für Unternehmen ein sehr wichtiges Instrument, weil Cyber-Kriminelle immer auf die menschliche Psyche zielen, wenn sie Vertrauen erschleichen. Sie nutzen dabei menschliche Schwäche wie Gier, Eitelkeit, implizites Vertrauen, Faulheit, Mitleid oder Druck bzw. Dringlichkeit.

Nachdem Spammer mit derartigen Methoden erfolgreich waren, werden diese nun auch in Sozialen Netzwerken eingesetzt. Beispiele in 2010 zeigen jedoch, dass die Zielgruppe hierbei professionelle Nutzer sind, beispielsweise Business Netzwerke wie LinkedIn nutzen. Social Network Scam wird einer der großen Trends 2011.

Seite 2: Was man aus 2010 lernen kann

Security-Insider.de: Soziale Netzwerke bergen natürlich noch eine andere Gefahr: sie eröffnen ganz neue Möglichkeiten für Solidaritätsbekundungen und zentral gesteuerte Aktionen. Können Unternehmen etwas aus den Angriffen wie im Falle Wikileaks vs. Mastercard etwas lernen?

Lenssen: Tatsächlich sind Denial-of-Service-Angriffe (DoS) etwas in Vergessenheit geraten. Während wir in den Jahren 2007 und 2008 einen regelrechten DoS/DDoS-Hype hatten, sind diese Form der Angriffe in den beiden folgenden Jahren deutlich zurückgegangen, weil sich die Angreifer darauf verlegt haben Daten unauffällig zu ‚phishen’, statt Netze mit massiven und weithin sichtbaren Aktionen zu stören.

Die Wikileaks-Affäre hat gezeigt, dass DoS-Angriffe trotzdem noch möglich sind – auch wenn sie diesmal politisch motiviert waren. Wenn schon eine Plattform wie die von Mastercard in die Knie geht, dann sollte dies ein Aha-Effekt sein, sich über die Hochverfügbarkeit und Service-Qualität der eigenen Web-Angebote Gedanken zu machen.

Stellt sich nun die Frage wie man am besten darauf reagiert, besonders dann, wenn man nicht über die Mittel eines Großkonzerns verfügt. Hier bieten Cloud-Lösungen, speziell die Sicherheitsdienstleistungen aus der Cloud, eine Chance sein Sicherheitsniveau zu vernünftigen Kosten zu verbessern. In jedem Fall aber sollte man im Kalkül haben, die eigenen Security Best Practices zu prüfen und bei Bedarf zu justieren.

Security-Insider.de: Werden wir künftig mehr politisch und wirtschaftlich orientierte Auseinandersetzungen im Internet erleben?

Lenssen: Auf jeden Fall wird es derartige Phänomene auch weiterhin geben, denn darin finden die Menschen ein Ventil. Ob die jeweiligen Aktionen recht- oder verhältnismäßig sind, lassen wir dabei mal außen vor.

Security-Insider.de: Wie wahrscheinlich ist es, dass wir in Zukunft ähnlich hochentwickelte und zielgerichtete Angriffe wie mithilfe des Stuxnet-Trojaners sehen?

Lenssen: Die Gefahr ist durchaus gegeben, ich glaube aber nicht, dass es allzu viele Nachahmer dieses Kalibers geben wird. Stuxnet kombinierte Microsoft Day Zero Exploits mit einer Malware für Industriesteuerungssysteme von Siemens. Die Entwickler sind davon ausgegangen, dass Stuxnet auch wirklich sein Ziel findet. Man kann von einem sehr gezielten Angriff auf kritische Infrastrukturen sprechen

SCADA-Systembetreiber (Supervisory Control And Data Aqcuisition) haben sich sicher gefühlt. Da ihre Systeme nicht mit dem Internet verbunden sind haben sie fälschlicherweise angenommen, eine Infektion sei ausgeschlossen. Quod erat demonstrandum.

Seite 3: Die Gefahrenlage 2011

Security-Insider.de: Auf welche Gefahren und Trends müssen wir uns denn in diesem Jahr stellen?

Lenssen: Ausnutzung von Vertrauen ist immer noch die stärkste Waffe der Cyber-Kriminellen. Sie werden weiterhin auf bewährte Methoden wie Scareware und Spyware, Click-Betrug und Pharma-Spam setzen, um ihre Profite einzufahren. So wird sicherlich auch künftig Geld mit dem Zeus-Trojaner generiert. Mittlerweile sind die Cyber-Kriminellen ja sogar in der Lage, selbst in mTAN-geschützte Transaktionen einzugreifen.

Ebenso floriert der Handel mit Accounts von Handelsplattformen, bei denen unter Umständen schon die Kreditkarten-Daten hinterlegt sind. Im Windschatten von Zeus werden weiterentwickelte Trojaner wie Bugat, Carberp, SpyEye und Ableger davon zu Einsatz kommen, um Account-Informationen und Identitäten zu stehlen.

Den größten Fokus werden Cyber-Kriminelle jedoch in 2011 auf die Geldwäsche – den Transfer von virtuellem Geld in die Realwelt – legen. Dafür werden mehr Money Mules benötigt als in der Vergangenheit. Das Verhältnis der gestohlenen Accounts zu Money Mules wird auf 10.000:1 geschätzt. Neben dem direkten Transfer von Geldern werden weitere Wege entwickelt, beispielsweise der Kauf von Waren mit gestohlenen Identitäten und deren Versand an Packstationen, mit Hilfe ebenfalls gestohlener Packstation-Nutzerdaten.

Security-Insider.de: Unternehmen sind davon natürlich weniger betroffen, worin besteht denn dort die größte Herausforderung?

Lenssen: Auch die Unternehmen sind betroffen, wie die der Fokus von Social Network Scam auf die Business Netzwerke zeigt. Mobile Sicherheit wird die IT-Abteilungen in den Unternehmen im Jahr 2011 aber voraussichtlich am meisten beschäftigen.

Die IT-Abteilungen sind zunehmendem Druck von Seiten der Anwender durch IT-Consumerization ausgesetzt, weil diese mit immer neuen, teilweise sogar privat beschafften Endgeräten, arbeiten wollen. Vor allem junge Mitarbeiter sind privat oft besser ausgerüstet, als im Unternehmen, was sie als Beschneidung der eigenen Möglichkeiten empfinden und deshalb versuchen zu umgehen. Allein die Explosion der Smartphone-Verkäufe ist ausschlaggebend dafür, dass Arbeitgeber sich Gedanken über das Thema ‚Mobile Sicherheit’ machen müssen.

Hersteller arbeiten mit Hochdruck daran Sicherheitslücken zu schließen – Apple beispielsweise hat schon 60 Patches für iOS 4 veröffentlicht. Nutzer können dies jedoch mit einem Jailbreak bzw. Rooting aushebeln. Dies birgt natürlich einige Gefahren, da Software aus dubiosen Quellen auf dem Smartphone installiert werden kann – vor allem, wenn ein Mitarbeiter mit einem solchen Mobiltelefon auf Komponenten wie die CRM-Software zugreift.

Klaus Lenssen ist Senior Business Development Manager Security und Government Affairs bei Cisco.

(ID:2049315)