Security-Anbietercheck

Wie sich gezielte Angriffe abwehren lassen

29.10.2015 von Stefan Strobel
Anwender erwarten die Zuverlässigkeit ihrer Security-Systeme und hoffen gleichzeitig, dass sie sie erst gar nicht brauchen. Je zielgerichteter heutige Cyberattacken werden, desto trügerischer ist diese Hoffnung. Wir geben Tipps, was IT-Verantwortliche gegen immer ausgefeiltere Angriffsvektoren tun können.

Firewalls und Virenschutzsysteme allein genügen nicht mehr, um in der heutigen Bedrohungslage sicher zu bleiben. Das zeigen bekannt gewordene Datendiebstähle und Spionagefälle der jüngsten Zeit. Zugleich bieten zahlreiche Hersteller von Sicherheitslösungen neue Produkte an, die vor sogenannten APTs ("Advanced Persistent Threats") schützen sollen. Gemeint sind gezielte und nachhaltige Angriffe von professionellen Hackern, die als Mitglieder oder im Auftrag krimineller Vereinigungen in Unternehmen einbrechen, um dort Daten zu stehlen oder Anlagen zu sabotieren.

Die Ausgangslage

Ein Angreifer, der gezielt in ein bestimmtes Unternehmen einbrechen möchte, wird sich Zeit nehmen und den einfachsten oder elegantesten Weg suchen, um die Kontrolle über die Server des Opfers zu übernehmen. Vor 15 bis 20 Jahren waren extern sichtbare Server oftmals noch voller Schwachstellen. Die Betriebssysteme wurden zu selten oder überhaupt nicht aktualisiert, Firewalls waren schlecht konfiguriert und ein Angreifer musste nur einen Schwachstellen-Scanner wie Nessus starten, um einen Schwachpunkt zu finden und dann mit öffentlich verfügbaren Angriffswerkzeugen die Server zu übernehmen. Diese Zeiten sind immerhin bei jenen Unternehmen vorbei, die einen kompetenten Sicherheitsbeauftragten und einen sinnvollen Patch-Management-Prozess etabliert haben.

Seit mindestens zehn Jahren verschiebt sich daher der Fokus von Angreifern weg von der Betriebssystemebene hin auf die Applikationsebene. Die externen Web-Applikationen vieler - vor allem mittelständischer - Unternehmen sind jedoch auch heute noch mit Techniken wie SQL Injection oder Cross-Site Scripting angreifbar. Bei zahlreichen mittelständischen Unternehmen sind Web Application Firewalls (WAFs) nach wie vor eher selten im Einsatz und viele Firme nehmen nicht einmal jährlich Penetrationstests vor.

Ungeachtet dieser Defizite im Mittelstand haben Cyber-Kriminelle auch ihre Angriffstechniken auf Endgeräte von Benutzern weiterentwickelt. Dort kann man heute auch Unternehmen erfolgreich angreifen, die in den letzten Jahren ihre Hausaufgaben gemacht haben und bei denen externe Server und Web-Applikationen gut gesichert sind.

Anwender müssen in der Regel per Mail mit externen Personen kommunizieren können, und auch der Zugriff auf externe Webserver gehört heute zur alltäglichen Büroarbeit. Doch leider enthalten Hilfsprogramme wie PDF-Viewer, Flash Player, Java-Interpreter, die Office-Produkte, Webbrowser selbst und zahlreiche andere Plug-ins immer wieder neue Schwachstellen. Genau diese Schwachstellen nutzen Kriminelle aus: Sie versenden gezielte und echt aussehende Phishing-Mails und locken Anwender auf Webseiten mit individueller Malware.

So gehen die Phishing-Betrüger vor

Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.

Klickt man auf den Antwort-Button, ...

... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.

Sogar angebliche Auktionsteilnahmen sind gefälscht..

Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.

Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.

Virenscanner, die auf den PCs der Anwender oder auf Sicherheits-Gateways in der Firewall-Umgebung des Unternehmens installiert sind, können diese Probleme nicht lösen, denn sie erkennen nur bereits bekannte Malware. Die Angreifer entwickeln aber stets neue Varianten ihrer Viren, Trojaner und Rootkits und bleiben auf diese Weise lange Zeit unentdeckt.

Sandbox-Analyse

Die neuen Lösungen, die dieses Problem adressieren, setzen an unterschiedlichen Stellen an. Am bekanntesten ist momentan die Analyse von übertragenen Objekten in einer gesicherten virtuellen Maschine oder Sandbox in der Firewall-Umgebung, bezeichnet als "Sandbox-Analyse". Ein Sensor kopiert alle Dokumente beziehungsweise Objekte, die von Webseiten heruntergeladen werden oder an eingehenden Mails angehängt sind. Diese Objekte werden in einer abgeschotteten Sandbox auf einem zentralen System gespeichert und dort automatisch geöffnet oder zur Ausführung gebracht. Dabei überwacht ein Sicherheitssystem alle Aktivitäten in der Sandbox. Wenn nun Systemeinstellungen manipuliert werden, Code aus dem Internet nachgeladen oder sonstiges bösartiges Verhalten erkannt wird, geht man davon aus, dass es sich um Malware handelt.

Damit diese Analyse nicht mehrfach nötig wird, speichert das System eine Prüfsumme mit dem Analyseergebnis. So lässt sich das Objekt wiedererkennen, wenn es ohne Veränderung nochmals heruntergeladen wird oder einer Mail angehängt ist. Im Wiederholungsfall kann ein bereits zuvor analysiertes und als gefährlich eingestuftes Objekt dann auch direkt blockiert werden.

Diese Information - das Analyseergebnis der Malware und seine Prüfsumme - fällt unter den Überbegriff "Threat Intelligence". Die meisten Hersteller bieten ihren Kunden zusätzlich zu dem Analyse-System auch eine Cloud-Plattform, über die Threat Intelligence ausgetauscht werden kann. Damit können die Kunden des Herstellers von Informationen über bereits analysierte Malware anderer Kunden profitieren.

Threat Monitoring Tools & Services
Eine BT-Umfrage zeigt, ...
... dass 32 Prozent der Unternehmen glauben, dass ihre Geschäftsleitung die Bedeutung von IT-Sicherheit unterschätzt. Ohne Bewusstsein für die neuartigen Cyber-Bedrohungen werden aber kaum präventive Maßnahmen wie beispielsweise Cyber-Frühwarnsysteme eingesetzt.
Wachsende Bedrohungslage
Die Bedrohungen für IT-Systeme werden immer vielfältiger und komplexer. Gerade kleine und mittlere Unternehmen brauchen Unterstützung, um Angriffe möglichst frühzeitig erkennen und abwehren zu können. Eine wichtige Rolle können dabei Threat-Monitoring-Services aus der Cloud spielen.
Früherkennung von Gefahren
Die Kombination verschiedener, weit verteilter Quellen für sicherheitsrelevante Informationen ermöglicht es, Angriffe früher und besser zu erkennen. Dies ist die Basis für Lösungen im Bereich Threat Monitoring und Threat Intelligence.
Ergänzende Analyse-Funktionen
Die Lösung Arbor Networks Pravail Security Analytics gibt es auch als Cloud-Version. Über den Zugriff auf die Daten von ATLAS (Active Threat Level Analysis System) stehen dem Anwender-Unternehmen umfangreiche Bedrohungsinformationen für sein Frühwarnsystem zur Verfügung.
Dashboards helfen visualisieren
Lösungen wie Trustwave Threat Intelligence bieten dem Anwenderunternehmen Dashboards, mit denen die Bedrohungsdaten und -vorhersagen individuell dargestellt werden können. Dies hilft auch bei der gezielten Umsetzung von Compliance-Vorgaben.
In Echtzeit
Die Visualisierung von Cyber-Attacken in Echtzeit, wie dies zum Beispiel die Kaspersky-Cyberbedrohungsweltkarte bietet, zeigt eindrucksvoll die Bedrohungslage und hilft bei der Sensibilisierung. Zusätzlich besteht Bedarf an Bedrohungsdaten, die in IT-Sicherheitslösungen importiert werden können, um so die Abwehr möglichst automatisch optimieren zu können.

Beim ersten Auftreten einer neuen Malware steht jedoch eine neue Analyse an. Da diese Analyse einige Zeit benötigt, ist es üblich, die Anwender nicht warten zu lassen. Folglich kommt die erste Übertragung in der Regel beim Anwender an, bevor die Analyse fertiggestellt werden konnte. Eine Sandbox-Analyse-Funktion bietet deshalb lediglich einen begrenzten vorausschauenden Schutz und dient vielmehr der Erkennung von Malware.

Bereits wieder unsicher

Doch auch der Wert der Erkennung sinkt bereits, da die die Autoren von Malware und die Kriminellen, die diese verbreiten, inzwischen verstanden haben, wie eine Sandbox-Analyse funktioniert. Entsprechend ändern sie das Verhalten ihrer Angriffsprogramme, damit sie nicht mehr so einfach erkannt werden können. Dazu können sie beispielsweise eine Eingabe des Benutzers fordern, die von der automatisierten Sandbox-Analyse-Komponente nicht geliefert werden kann. Im einfachsten Fall kann das ein vorgetäuschter Lizenzschlüssel oder ein Passwort sein, das in einer separaten Mail an den Empfänger gesendet wird.

Ein Anwender in der Personalabteilung wird sich vermutlich nicht einmal wundern, wenn ein Bewerber seine Unterlagen als verschlüsseltes Archiv sendet und das zugehörige Passwort in einer separaten Mail liefert. Sofern die Bewerbungsunterlagen Schadcode enthalten, kann der PC des Mitarbeiters nun kompromittiert werden. Für eine Sandbox-Analyse-Komponente wird es allerdings schwierig, das richtige Passwort automatisch einzugeben und den Schadcode zu erkennen.

Sandbox-Analyse-Funktionen werden heute von zahlreichen Herstellern angeboten. Firewall-Hersteller wie Check Point oder Palo Alto Networks haben eigene Module für ihre Firewalls. WatchGuard integriert die Lösung von Lastline in seine Firewall. Der Proxy-Hersteller Blue Coat hat dafür die Norman-Sandbox aufgekauft. Cisco bietet sein FireAMP-Produkt, und Hersteller wie FireEye, Cyphort, AhnLab, Lastline und andere haben eigenständige Appliances beziehungsweise Software-Lizenzen.

Ausgehenden Traffic analysieren

Eine andere Technik fokussiert nicht so sehr das eingehende Objekt, sondern die ausgehende Kommunikation. Die Ursprungsidee ist hier, dass Malware regelmäßig Kontakt zu einem Command-and-Control-Server (C&C-Server oder auch C2-Server) aufbaut, um dort entweder ausgespähte Daten abzuliefern, sich selbst zu aktualisieren oder Befehle abzuholen. Malware verwendet dafür oft DNS Tunneling. Das DNS-Protokoll ist für die Auflösung von Namen, beispielsweise aus URLs zu IP-Adressen, zuständig. Bei einem DNS Tunnel wird die ausgehende Kommunikation in DNS-Abfragen versteckt und die IP-Adresse der Antwort enthält die eingehenden Daten. Da die meisten Unternehmen die Auflösung von externen Namen im internen Netz erlauben, kann somit ein ungehinderter Datenaustausch erfolgen, der von klassischer Sicherheitstechnik in der Regel weder bemerkt noch behindert wird.

Ebenso kann die Kommunikation zwischen dem Schadcode im internen Netz und dem externen C&C-Server über HTTPS, sprich mittels verschlüsselter HTTP-Kommunikation, erfolgen.

Spezialisierte Sicherheitsprodukte versuchen, genau diese versteckte Kommunikation anhand ihrer speziellen Eigenschaften zu erkennen. Die häufige Änderung des Host-Anteils einer Namensauflösung, die Herkunft und das Alter der angefragten Domäne, die Menge der übermittelten Daten und viele weitere Details fließen dabei in eine Bewertung ein.

Bekannte Hersteller, die diese Technik implementiert haben, sind FireEye und Damballa, wobei letzterer hier seinen Schwerpunkt setzt.

Verhaltensanalyse

Neben der Analyse von eingehender und ausgehender Kommunikation kann man auch versuchen, Malware an seinem tatsächlichen Verhalten auf den Endgeräten zu erkennen. Zwar wird dafür zusätzliche Software auf den Arbeitsplatz-PCs der Mitarbeiter benötigt, zugleich ist die Erkennung jedoch genauer und weniger fehleranfällig. Die tatsächlichen Manipulationen und das Verhalten von Malware lassen sich direkt erfassen und bewerten. Entsprechende Produkte klinken sich typischerweise in den Betriebssystem-Kern des Endgeräts ein und überwachen dort jegliche Kommunikation und Systemänderung von Programmen. Malware, die sich in das System einnistet, Daten extrahiert oder weitere Komponenten nachlädt, ist auf diese Weise recht zuverlässig aufzuspüren.

Die größte Hürde beim Einsatz solcher Sicherheitssysteme ist der Einsatz eines weiteren Software-Agenten auf den Arbeitsplatz-PCs der Mitarbeiter. Das Verteilen der Software schreckt viele Unternehmen ab und macht Systeme, die nur an zentraler Stelle im Netzwerk angeschlossen werden müssen, scheinbar attraktiver. Wird jedoch auch der spätere Betriebsaufwand berücksichtigt, so relativiert sich der vermeintliche Vorteil einer netzwerkbasierten Lösung schnell. Bedingt durch die ungenaue Erkennung im Netz, kommt es immer wieder zu Alarmen, die dann mit hohem Aufwand auf den Endgeräten verifiziert werden müssen. Allein dafür wünschen sich die Betriebsverantwortlichen bald eine zusätzliche Analysekomponente auf allen Endgeräten. Diesen Weg hätte man jedoch auch von Anfang an gehen können.

Hacker auf dem Server
Hacker auf dem Server
Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Hacker auf dem Server
Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser.
Hacker auf dem Server
Auch zum Entfernen von Rootkits gibt es eigene Programme.
Hacker auf dem Server
Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Hacker auf dem Server
SmartSniff bietet einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Hacker auf dem Server
Mit dem kostenlosen Microsoft Network Monitor können Sie den Datenverkehr in Netzwerken verfolgen. Dabei muss es sich nicht immer um Microsoft-Netzwerke handeln.
Hacker auf dem Server
Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen.
Hacker auf dem Server
Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an.
Hacker auf dem Server
Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an.
Hacker auf dem Server
Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick, zur Sicherheit der Benutzerkonten.

Direkt auf dem Endgerät

Noch effektiver sind Lösungen, die auf dem Endgerät verteilt werden und nicht nur Malware erkennen und Alarm auslösen, sondern auch eine Kompromittierung des betroffenen Endgeräts verhindern. Dadurch sinkt der Aufwand im späteren Betrieb deutlich. Das erreichte Sicherheitsniveau ist zudem höher als bei einer Erkennungskomponente im Netz. Um dies zu erreichen, existieren mehrere technische Varianten am Markt: Sandboxing, Mikrovirtualisierung und Exploit Mitigation beziehungsweise Host Intrusion Prevention (HIPS).

Sandboxing auf Endgeräten und Host IPS sind keine neuen Ideen. Bereits vor etwa 15 Jahren brachten Aladdin mit seinem eSafe-Enterprise-Produkt und Finjan mit seinem Surfin Shield Sandbox-System Lösungen auf den Markt, die sich in das Betriebssystem einklinkt, um Schadcode daran zu hindern, sich in das System einzunisten oder auf sensible Daten zuzugreifen. Einige Jahre später kam mit dem StormWatch-Produkt von Okena ein erstes bekannteres Host-IPS-Produkt auf den Markt.

Keines der Produkte hat bis heute überlebt, denn die Hersteller waren offensichtlich ihrer Zeit voraus und der Markt war noch nicht bereit für derartige Lösungsansätze. Auch die damals verwendeten Betriebssysteme auf PC-Arbeitsplätzen waren Teil des Problems. Das Einklinken von Virenscannern, Personal Firewalls, VPN-Clients und ähnlichen Agenten in ein 32-Bit Windows XP führte nicht selten zu Kompatibilitätsproblemen und Systemabstürzen. Für die Hersteller von Sicherheitslösungen ist es heute einfacher, denn Windows 7 oder Windows 8.1 sind an dieser Stelle anders strukturiert.

Aladdin ist inzwischen in SafeNet aufgegangen und die eSafe-Produktlinie ist verschwunden. Die Finjan-Produkte wurden 2009 von M86 gekauft und M86 wurde wiederum 2012 von Trustwave übernommen. Okena wurde von Cisco gekauft - das Unternehmen machte aus dem StormWatch-Produkt den Cisco Security Agent und stellte ihn ein paar Jahre später ein.

10 Dinge, die Sie nach der Installation von Windows 8.1 tun sollten
Windows-Updates korrekt installieren
Nach der Installation von Windows 8.1 müssen Sie unter Umständen mehrere hundert MByte an Patches installieren, teilweise weit über 1 GByte. Achten Sie daher auf eine schnelle Internetleitung und bringen Sie Zeit mit. Viele Patches bauen aufeinander auf. Das heißt, Sie müssen immer wieder erneut nach neuen Updates suchen, bis wirklich alle Updates installiert sind. Am Ende kommt irgendwann einmal die Aktualisierung zu Windows 8.1 Update 1. Diese ist am leichtesten an ihrer Größe von etwa 900 MByte zu erkennen. Aber auch nach dieser Installation findet Windows 8.1 teilweise weitere Updates. Erst wenn alle Updates installiert sind, und der Rechner auch nach dem Neustart keine neuen Aktualisierungen mehr findet, ist der Rechner (zunächst) aktuell. Bei diesem Vorgang werden häufig auch Treiber installiert, die im System noch fehlen. Die Windows-Update-Installation finden Sie über wuapp auf der Startseite. Lassen Sie über diesen Weg immer auch die optionalen Updates installieren. Hier verstecken sich oft auch Treiber-Updates.
Treiber aktualisieren
Wenn alle Updates installiert sind, überprüfen Sie im Geräte-Manager ob für alle Geräte Treiber installiert wurden. Dazu starten Sie den Geräte-Manager durch die Eingabe von devmgmt.msc auf der Startseite. Treiber finden Sie entweder auf der CD, die beim Rechner dabei ist oder aktueller im Internet auf Seiten wie treiber.de.
Treiber mit Hilfe von Tools aktualisieren
Empfehlenswert ist in diesem Zusammenhang auch das Tool Slimdrivers. Die Freeware scannt den Rechner und ermöglicht den Download der neusten Treiber direkt beim Hersteller. Der Autor dieses Textes verwendet das Tool übrigens bei jeder Neuinstallation. Nachdem Sie alle Treiber installiert und aktualisiert haben, können Sie das Tool aus dem Autostart-Bereich des Rechners entfernen oder deinstallieren.
Virenschutz einrichten
Setzen Sie keinen professionellen Virenschutz ein, können Sie auch eine kostenlose Lösung installieren. Verlassen Sie sich allerdings nicht auf den Windows Defender in Windows 8.1. Dieser stellt nur einen rudimentären Grundschutz dar. Eine sehr gute und kostenlose Alternative ist AVG Antivirus Free 2015. Das Tool schützt Rechner zuverlässig vor Angriffen, ist schnell installiert und lässt sich so einrichten, dass es sich automatisch aktualisiert, ohne Anwender mit ständigen Meldungen zu nerven. Der Schutz ist wesentlich besser als Windows Defender. Bei Stiftung Wartentest und anderen Tests hat das Produkt sehr gut abgeschnitten.
Startseite aufräumen
Auf der Startseite können Sie per Drag&Drop eigene Gruppen erstellen und diese benennen. Nicht notwendige Programme können Sie über das Kontextmenü von der Startseite entfernen und wichtige Programme in den Vordergrund holen. Dadurch können Sie wesentlich effizienter mit dem Rechner arbeiten und nervige Programme verschwinden von der Startseite. Ordnen Sie die Programme so an, wie Sie diese benötigen und aktivieren Sie die Live Tiles, die notwendig sind.<br> Vor allem wenn Sie Rechner für Bekannte und Kollegen einrichten, können Sie diesen das Leben leichter machen, indem Sie nervige und verwirrende Apps aus der Startseite verbannen und wichtige Apps wie den Desktop vergrößert darstellen.
OneDrive und Synchronisierung einrichten
Arbeiten Sie mit einem Microsoft-Konto, wird automatisch auch OneDrive aktiviert. Über diesen Weg können Sie wichtige Daten sichern lassen und in die Cloud hochladen. Über die Charmsbar (Windows-Taste+C) und dem Aufrufen der PC-Einstellungen, erreichen Sie den Bereich OneDrive. Hier sollten Sie Einstellungen so anpassen, dass diese für Sie oder den entsprechenden Anwender passend sind. Über das Kontextmenü von OneDrive im Windows-Explorer erreichen Sie die Einstellungen für den lokalen Pfad von OneDrive. Auf der Registerkarte Pfad legen Sie fest, welcher lokaler Ordner auf dem Rechner mit dem Cloudspeicher synchronisiert werden soll. <br> Wenn Sie Backups in diesem Verzeichnis ablegen, werden diese zu OneDrive synchronisiert. Sollen die Daten sicher in der Cloud abgelegt werden, können Sie diese mit 7-Zip vor der Übertragung verschlüsseln lassen. Alternativ verwenden Sie kostenlose Tools wie Boxcryptor oder Cloudfogger. Passen Sie also alle Einstellungen in der Charmsbar und dem Explorer so an, wie Sie OneDrive nutzen wollen. Wollen Sie weitere Möglichkeiten zur Einrichtung von OneDrive erhalten, laden Sie sich den Client für OneDrive und OneDrive for Business herunter. Da alle Office-365-Abonnenten unbegrenzten Speicherplatz in OneDrive erhalten, sollten Sie diese Einstellungen und Möglichkeiten auf jeden Fall berücksichtigen.
Einstellungen für Taskbar und Desktop-Boot anpassen
In Windows 8.1 erreichen Sie über das Kontextmenü der Taskbar die Registerkarten Navigation und Taskleiste. Passen Sie hier die Einstellungen für den Desktop-Boot und die Verwendung des Desktops und der Taskbar an die Bedürfnisse des Anwenders an. Hier können Sie zum Beispiel einrichten, dass Windows 8.1 automatisch in den Desktop startet. Außerdem können Sie die PowerShell in das Kontextmenü der Startfläche einbinden und das Hintergrundbild des Desktops auf der Startseite aktivieren. Dadurch wirkt die Startseite transparent, was die Übersicht erhöht.
Browser anpassen – Chrome oder Firefox installieren
Installieren Sie auf dem Rechner einen alternativen Browser zum Internet Explorer. Diese sind häufig schneller, sicherer und bieten auch mehr Möglichkeiten für Add-Ins. Manchmal empfiehlt es sich schon aus Kompatibilitäts- oder Komfortgründen mehrere Browser am Start zu haben. Zudem gibt es für Chrome und Firefox oft sehr nützliche Add-Ins, die für den Internet Explorer nicht in der Vielfalt verfügbar sind.<br> Wollen Anwender den Internet Explorer nutzen, steht dieser weiterhin zur Verfügung, aber eben auch andere Browser, die teilweise deutlich besser sind. Vor allem für unbedarfte Anwender können Sie durch die Add-Ins das Internet-Erlebnis deutlich verbessern und teils auch die Sicherheit des Rechners erhöhen.
Zeitsynchronisierung einstellen
Windows 7/8.1 synchronisiert seine Zeit mit einem Server bei Microsoft. Auf deutschen Rechnern führt das leider oft zu Problemen bei der Zeitumstellung zur Sommer und Winterzeit. Dazu kommt, dass es in Deutschland schlicht und ergreifend besser ist, wenn Sie einen deutschen Zeitserver verwenden. Dann klappt es auch mit der Zeitumstellung und die Zeit ist immer korrekt, da der Zeitserver auch in der gleichen Zeitzone betrieben wird. Idealerweise sollten Sie hier einen deutschen Zeitserver verwenden, zum Beispiel von der technischen Universität Braunschweig.
Notwendige Anwendungen installieren
Sie sollten auf Rechnern möglichst ein Programm für das Packen und Entpacken von Archiven, ein Bildbetrachtungsprogramm und einen PDF-Reader installieren. Hier bieten sich die folgenden Tools an:<br> • 7-Zip<br> • Irfan View – für Irfan gibt es noch PlugIns, die so ziemlich jedes Bildformat öffnen<br> • Foxit PDF-Reader– Foxit ist sehr viel schlanker, schneller und ressourcenschonender als Adobe Acrobat Reader.
Nochmal alle Updates installieren
Haben Sie alle Programme installiert, sollten Sie am Ende noch einmal Windows-Updates installieren lassen. Vor allem wenn Sie andere Microsoft-Programme, wie Microsoft Office einsetzen, erhalten Sie über Windows-Update noch weitere Aktualisierungen, häufig ebenfalls in mehreren Wellen. Sie sollten am Ende der Einrichtung daher solange nach Updates suchen, bis keines mehr angezeigt wird. Stellen Sie auch sicher, dass in der Windows-Update-Steuerung, die Sie mit wuapp starten, die Option Updates für andere Microsoft-Produkte bereitstellen, wenn ein Windows-Update bereitgestellt wird. Diese Option finden Sie über Einstellungen ändern. Achten Sie auch hier darauf, dass bei allen Updates der Haken zur Installation gesetzt ist, und lassen Sie auch die optionalen Updates installieren.

Sandboxing und Host IPS

Die Grundideen von Sandboxing und Host IPS sind durchaus miteinander verwandt. In beiden Fällen wird der Zugriff von Applikationen auf Betriebssystem-Ressourcen kontrolliert beziehungsweise manipuliert. Bei Sandboxen wird versucht, der jeweiligen Applikation eine eigene gekapselte Welt vorzutäuschen. In dieser Welt kann die Applikation nahezu beliebig agieren. Manipulationen werden jedoch nicht auf das darunter liegende Betriebssystem übertragen und bleiben in der Sandbox. Bei einem Host IPS dagegen verzichtet man, vereinfacht gesagt, auf das Vortäuschen einer eigenen Welt. Stattdessen werden lesende oder schreibende Zugriffe, die eine Gefahr darstellen könnten, einfach geblockt oder die verursachende Applikation wird beendet.

Anzeichen für einen Cyber-Angriff
Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.
Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.
Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.
Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.
Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.
Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.
Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.
Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.

Heute lässt sich eine Renaissance dieser Ideen am Markt beobachten. Getrieben durch die zuvor beschriebenen Probleme ist der Bedarf an Sicherheitslösungen auf dem Endgerät gestiegen. Zudem hat die Vernetzung und Mobilität in Unternehmen in den letzten Jahren weiter zugenommen. Auch dies unterstützt den Trend, dass zentrale Sicherheitslösungen im Unternehmensnetz die Probleme nicht mehr allein lösen können.

Der Hersteller Cyvera hat eine Idee aufgegriffen, die zuvor beispielsweise schon von eEye in seinem Blink-Produkt verfolgt wurde: das generische Erkennen und Verhindern der Ausnutzung von Sicherheitslücken mit Exploits.

eEye war jedoch ebenso wie Okena, Finjan oder Aladdin zu früh am Markt und konnte mit seiner Idee den Durchbruch damals nicht erreichen. Inzwischen wurde eEye von BeyondTrust übernommen und Blink fristet auch dort eher ein Nischendasein.

Cyvera dagegen wurde nach sehr kurzer Zeit von Palo Alto Networks gekauft. Das Unternehmen hat das Produkt in Traps umbenannt und positioniert es zusammen mit der Netzwerk-Sandbox-Analyse WildFire sehr aktiv als moderne Lösung gegen APTs.

Mikro-Virtualisierung

Eine grundlegend neue Interpretation der ursprünglichen Sandbox-Idee findet man in der Mikrovirtualisierungstechnik, die vom Hersteller Bromium erfunden wurde. Auch hier werden Applikationen in einer vorgetäuschten und gekapselten Umgebung "eingesperrt". Im Gegensatz zu klassischen Sandboxen, die bei Fehlern im Kern des Betriebssystems umgehbar sind, verwendet die Lösung von Bromium einen Hypervisor, der die Applikationen in einzelnen virtuellen Maschinen kapselt.

Bei Bromiums Lösung kapselt ein Hypervisor alle Applikationen in einzelnen virtuellen Maschinen.
Foto: Bromium

Damit der Speicherbedarf der einzelnen virtuellen Maschinen insgesamt nicht zu einem Problem wird, hat Bromium im Gegensatz zu etablierten Virtualisierungslösungen eine "Copy-on-write"-Technik implementiert. So geht der Platzbedarf der einzelnen virtuellen Maschinen kaum über den Platzbedarf der Applikation selbst hinaus. Greift beispielsweise ein Anwender mit seinem Browser auf eine externe Website zu, so wird innerhalb von zehn Millisekunden eine neue Mikro-VM erzeugt. Sie kapselt die einzelne Browser-Session und sorgt dafür, dass Schadcode oder auch Angriffe auf den Flash Player, Adobe Reader oder andere Plug-ins nicht aus der virtuellen Umgebung ausbrechen können. Der Anwender bemerkt davon nichts und kann arbeiten wie zuvor auch.

Die Gründer von Bromium sind keine Unbekannten, sondern es handelt es sich um das Team, das auch maßgeblich bei der Entwicklung des Xen-Hypervisor vor vielen Jahren mitgewirkt hat. An Erfahrung mit Virtualisierungstechnik mangelt es dem Hersteller also nicht.

Was CISOs tun können

Die Herausforderung für den CISO besteht darin, bei den zahlreichen Sicherheitstechniken und in der geänderten Bedrohungslage den Überblick zu behalten und sein begrenztes Budget nicht in eher unwichtige Maßnahmen zu investieren. Leider korreliert der Hype um einzelne neue Hersteller nicht mit der Sinnhaftigkeit der jeweiligen Maßnahmen im einzelnen Unternehmen.

Der richtige Weg besteht darin, zunächst die individuell zu schützenden Objekte zu identifizieren. In manchen Unternehmen sind das vertrauliche Konstruktionsdaten, die die Grundlage des Geschäfts und den Vorsprung vor Mitbewerbern sichern. In anderen Organisationen ist die kontinuierliche Verfügbarkeit von Produktionsanlagen kritisch, während vertrauliche Daten vergleichsweise unspektakulär sind. Diese Situation variiert von Unternehmen zu Unternehmen.

Alle Daten finden mit Gratis-Tools
Suche-Profis zum Download
Sie suchen eine bestimmte Datei auf Ihrem Rechner, können diese aber nicht mehr finden? Diese Suche-Profis helfen Ihnen beim Finden. Und das Beste: Sie verlangen keinen Cent dafür.
Aborange Searcher
Aborange Searcher vereinfacht Ihre Suchen.
Copernic Desktop Search lite
Copernic Desktop Search indiziert, sucht und zeigt Dateien in allen gängigen Formaten
Everything
Everything
Exif Pilot
Exif- und Iptc-Metadaten anpassen
MusicBrainz Picard
Ergänzen und Vervollständigen Sie die Titelinformationen Ihrer Musiksammlung
VVV (Virtual Volumes View)
Die Katalogisierungs-Software VVV liest interne und externe Laufwerke beziehungsweise Medien ein .

Im Anschluss sind die relevanten Bedrohungsszenarien zu betrachten. Dabei kann sich herausstellen, dass fortschrittliche Malware im Einzelfall gar kein wichtiges Thema ist, dass jedoch die Web-Plattform, ein Online-Shop oder ein Kunden-Portal bisher unzureichend geschützt sind. Die vorhandene Netzwerkstruktur, der Datenfluss im Unternehmen und die Bedeutung der jeweiligen IT-Systeme für die Geschäftsprozesse müssen bei diesen Überlegungen berücksichtigt werden.

Erst dann ist eine Grundlage gegeben, um zu entscheiden, ob Sandbox-Analyse-Systeme, Mikrovirtualisierung auf den Arbeitsplätzen, Netzwerkzugangskontrolle im LAN oder eine WAF zur Absicherung der Web-Applikationen die richtige Lösung ist

Sollte sich bei dieser Analyse herausstellen, dass fortschrittliche Malware, gezielte Angriffe beziehungsweise APTs aktuell besonders große Bedrohungen sind, wird die Detailbetrachtung der verfügbaren Lösungsansätze spannend. Zwar mag die derzeit meistdiskutierte Technik der Sandbox-Analyse an zentraler Stelle im Netzwerk auf den ersten Blick als elegante und einfache Lösung erscheinen. Langfristig wird sie jedoch nur eine Nebenrolle spielen. Daher ist es empfehlenswert, diese Komponenten allenfalls als kostengünstige Erweiterung vorhandener Firewalls oder Proxies zu implementieren und früher oder später ohnehin notwendige Komponenten auf den Endgeräten mit höherer Priorität zu betrachten.

100 Security-Anforderungen an Ihren Anbieter
1. Verfügt der Anbieter über eine definierte Strategie für das Risk Management?
Verfügt er über keine Strategie, wird sich ein Investment kaum lohnen. Hat er doch eine, die allerdings eher zweifelhaft ist, macht ein Auftrag ebenfalls keinen Sinn.
2. Verfügt der Anbieter über ein (aktuelles) Regelwerk, Organisationsstrukturen, Vorgaben und Maßnahmen für die Umsetzung dieser Strategie?
Wenn die Führung einer Organisation die Cyber-Sicherheit nicht als Priorität ansieht, dann wird das auch die Belegschaft nicht tun. Anders, wenn Security integraler Bestandteil der Unternehmens-DNA ist.
3. Welche Verwaltungsstrukturen belegen, dass der Anbieter seine Sicherheitsstrategie ernst nimmt? Gibt es einen gesonderten Ausschuss oder andere überwachende Stellen?
Je ranghöher die Mitglieder eines solchen Ausschusses besetzt sind, desto mehr können Sie darauf vertrauen, dass es sich nicht nur um Lippenbekenntnisse handelt.
4. Wie stellt der Anbieter sicher, dass die Sicherheit integraler Bestandteils seines Angebotes ist, wie ist der Vorstand darin eingebunden und wie kann er zur Rechenschaft gezogen werden?
Tragen bestimmte Vorstände persönliche Verantwortung für die Umsetzung der Sicherheitsstrategie beim Kunden?
5. Welchen Ansatz verfolgt der Anbieter, um die Umsetzung der Sicherheitsstrategie in all seinen Unternehmensteilen sicherzustellen? Wie wird er angewendet?
Ist die Sicherheitsstrategie des Anbieters nur bei einigen wenigen Stellen konzentriert, kann sie nicht Teil der Unternehmens-DNA sein.
6. Welche Unterstützung erfährt die Sicherheitsstrategie im Unternehmen des Anbieters? Stehen auch die letzten regionale Außenstellen hinter ihr?
Trägt jeder Teil des Anbieters zur Umsetzung der Sicherheitsstrategie bei oder wird dies durch ein spezielles Team verantwortet? Im zweiten Falle kann die Verantwortung leicht abgeschoben werden.
7. In jeder Firma treten Sicherheitsvorfälle auf. Wie ist der Anbieter in der Vergangenheit damit umgegangen und was wurde daraus gelernt?
Hat sich das Management nicht mit diesen Vorfällen befasst, dann kann Security auch kein integraler Bestandteil des Unternehmens sein.
8. War die IT des Anbieters jemals Opfer einer Cyberattacke? Wenn ja: Was wurde daraus gelernt?
Der Anbieter sollte die Anwendung seiner eigenen Medizin in seiner Organisation demonstrieren können.
9. Unterstützt der Provider in seiner Sicherheitsstrategie international anerkannte Standards? Welche Standardisierungsgremien wachen über deren Einhaltung?
Erst wenn stets die neuesten Standards übernommen werden, lässt sich von einer Sicherheitsstrategie "up-to-date" sprechen.
10. Wie erfolgt die Identifikation neuester Standards und Vorgaben? Welche Maßnahmen werden ergriffen, um mögliche Konflikte mit bestehenden Gesetzen und Vorgaben zu lösen und immer auf dem Stand zu sein?
Der Anbieter sollte über ein definiertes Verfahren verfügen, um neue Standards zu überprüfen und rechtliche Konflikte auszuschließen.
11. Verfügt der Anbieter über geeignete Stellen oder ein Team, um die neusten Standards zu unterstützen – inklusive und insbesondere Kryptografie?
Neben der Verschlüsselung sollte auf die Prozess-Standards der ISO 27000-Serie sowie Industriestandards wie X.805, PCI und OWASP geachtet werden.
12. Was tut der Anbieter, um gesetzliche Vorgaben und Bestimmungen zur Cybersicherheit in all den Ländern, in denen er agiert, zu verstehen und umzusetzen? Wie fließen diese in seine Produkte und Services ein?
Der Anbieter muss zeigen können, wie er auf teilweise widersprüchliche Gesetze in den verschiedenen Ländern reagiert.
13. Wie stellt der Anbieter sicher, dass sein Angebot gesetzeskonform ist? Was, wenn dies einmal nicht der Fall ist? Gibt es Aussagen des Providers über seine Beziehung zu Regierungen?
Können sich die verschiedenen Länderteams beim Gesamtmanagement Gehör verschaffen? Nimmt das Management Rücksicht auf Gesetze?
14. Wie stellt der Anbieter sicher, dass sein Angebot mit den gesetzlichen Exportbestimmungen d'accord geht? Etwa im Falle von starker Kryptografie gibt es Ausfuhrverbote.
Der Anbieter muss integrale Prozesse vorweisen können, um auch hier sicherzustellen, dass die gesetzlichen Bestimmungen ausreichend Berücksichtigt werden.
15. Wie steht es um den Umgang mit geistigem Eigentum?
Der Anbieter muss definierte Vorgaben für den Umgang mit geschützten Inhalten vorweisen können, die auch ethnische und regionale Unterschiede in Betracht ziehen.
16. Wie stellt der Anbieter sicher, dass seine lokalen Vertriebsteams nur Produkte und Services anbieten, die im jeweiligen Land gesetzeskonform sind?
Vertriebler wollen verkaufen und betrachten dabei Gesetze und Vorgaben oft als lästig. Es braucht stringente unternehmensinterne Regeln, um diese Teams auf die jeweils gültigen Regeln einzuschwören.
17. Wie stellt der Anbieter sicher, dass abgeschlossene Verträge die jeweils geltenden Gesetze berücksichtigen?
Vertragswerke sind in der Regel sehr komplex, dennoch muss ein Verfahren bestehen, mit dem sie auf ihre "Wasserdichtheit" bezüglich der jeweils geltenden Gesetze überprüft werden können.
18. Kaum ein Service beziehungsweise Software kommt ohne Bestandteile von Dritten aus. Wie stellt der Anbieter sicher, dass diese ebenfalls allen gesetzlichen Bestimmungen entsprechen?
Der Anbieter muss Kontrollmechanismen vorweisen können, um etwa Lizenzkonflikte auszuschließen.
19. Wird auch das Management-Team des Anbieters in Sachen Cyber Security geschult? Erhalten sie regelmäßige Updates und Trainings?
Solange das Management – und hier besonders das mittlere Management – keine Vorbildfunktion einnimmt, werden auch die Angestellten eine laxe Haltung der Sicherheit gegenüber einnehmen.
20. Hat der Anbieter besonders sensible Posten identifiziert, also Stellen, an denen besonders auf Risiken geachtet werden muss?
Jeder Mitarbeiter des Anbieters, der auf Ihr System und Ihre Daten Zugriff hat, muss ganz besonders geschult werden, um seiner Verantwortung gerecht werden zu können.
21. Wie werden diese sensiblen Stellen überprüft und überwacht? Wird der Background der betreffenden Person gecheckt? Wie können Sie eine möglicherweise unsichere Person schnell loswerden?
Interne Gefahren sind größer als externe, Sie müssen sowohl darauf vorbereitet sein als auch darauf reagieren können.
22. Welche Schulungsmaßnahmen werden für sensible Stellen angeboten? Wie wird die Teilnahme daran überprüft?
Wenn das Wissen der entscheidenden Mitarbeiter nicht "up-to-date" ist, gehen Sie ein hohes Risiko ein.
23. Hat der Anbieter Regeln für die Fortbildung der sensiblen Stellen aufgestellt?
Kritische Posten müssen definierte Prozesse der Fortbildung durchlaufen.
24. In vielen Ländern gibt es Gesetze gegen Bestechung und Korruption. Sind die Mitarbeiter in diesem Hinblick auf dem jeweils neusten Stand?
Der Anbieter muss standardisierte Verfahren vorweisen können, mit denen Mitarbeiter die Gesetzeslage nahe gebracht wird.
25. Kann der Anbieter Mechanismen vorweisen, mit denen Mitarbeiter das Management auf etwaige Regelverstöße aufmerksam machen kann?
Die Mitarbeiter, nicht das Management, haben den Finger am Puls des Kunden und spüren als erstes, wenn etwas schief läuft. Es muss dezidierte Abläufe für Alarmrufe an das Management geben.
26. Was macht der Anbieter, wenn ein wichtiger Mitarbeiter das Unternehmen verlässt?
Mitarbeiter haben oft jede Menge Erfahrungen gesammelt – profitiert der Anbieter davon, auch wenn der Mitarbeiter das Unternehmen verlässt, etwa dadurch, dass er ihn abschließend befragt? Auch hier sollte es festgelegte Mechanismen geben.
27. Welche definierten Strafmaßnahmen hat der Anbieter für Mitarbeiter vorgesehen?
Wie will der Anbieter gegen Mitarbeiter vorgehen, die wissentlich gegen die Vorgaben und Regularien zur Cybersicherheit verstoßen haben?
28. Beziehen die Strafmaßnahmen auch die Vorgesetzten mit ein?
Verstöße sollten erst gar nicht passieren, da das Management seine Mitarbeiter streng überwachen sollte. Bei Vorfällen sollten sich diese übergeordneten Stellen nicht aus der Verantwortung stehlen können.
29. Gibt es standardisierte Vorgaben für den Entwicklungsprozess, die auf die Einhaltung von Cyber-Security-Richtlinien abzielen?
Der Anbieter muss ein Regelwerk vorlegen können, um sichere Entwicklungsprozesse gewährleisten zu können. Hier gibt es keinen globalen Standard, jedes Unternehmen muss seine eigenen Prozesse definieren.
30. Wie ist die Sicherheit im Entwicklungsprozess verankert und wie reagiert sie auf eine wandelnde Bedrohungslage? Wie unterscheidet der Anbieter zwischen zwingenden und eher lässlichen Maßnahmen?
Der Anbieter muss belegen können, dass sein Sicherheitskonzept dynamisch und fest im Entwicklungsprozess integriert ist.
31. Kunden aus aller Welt haben unterschiedliche, manchmal widersprüchliche Ansprüche an die Sicherheit. Verfügt der Anbieter über ein Portfolio integrierter Prozesse, die den unterschiedlichen Interessen Rechnung trägt?
Jedes Land hat andere Gesetze – unflexible Prozesse sind nicht in der Lage, darauf adäquat zu reagieren.
32. Verfügt der Anbieter über ein Life-Cycle-Management für seine Produkte in Hinblick auf die Sicherheit? Wenn ja, wie ist dieses definiert?
Wie schließt der Anbieter Konflikte zwischen Sicherheitsanforderungen und gewünschten Funktionen über den gesamten Lifecycle hinweg aus?
33. Kann Ihr Anbieter detailliert darlegen, wie sein Produkt weiterentwickelt und damit verbessert werden kann? Sind Reviews, Sicherheitschecks und Ausschlusskriterien vordefiniert?
Software kann sehr komplex sein, ihre Weiterentwicklung muss in einem eng gesteckten Rahmen erfolgen, sonst wird sie leicht überladen und kontraproduktiv.
34. Software besteht oftmals aus vielen verschiedenen Programmen von verschiedenen Herstellern. Wie garantiert der Anbieter, dass sie alle sicher sind?
Ungeprüfte Unterprogramme von Dritten können ein System behindern oder gar lahmlegen, von der mangelnden Sicherheit ganz abgesehen.
35. Mittels eines Konfigurations-Managements wird das ordentliche Zusammenspiel verschiedenen Programme gewährleistet. Dafür gibt es unterschiedliche Ansätze. Wie sieht der Ihres Anbieters aus?
Der Anbieter sollte die Integration einer neuen Software in das bestehende System demonstrieren können.
36. Die Trennung von Aufgaben ist unumgänglich, um Bedrohungen zu begrenzen und Schäden auszuschließen. Wie spiegelt sich das im Entwicklungsprozess insbesondere bei der Arbeit der Entwickler wider?
Es gilt, interne Gefahren einzudämmen, indem nicht zu viel Verantwortung in eine Hand gelegt wird.
37. Oftmals wird Code von Drittanbietern in eigene Programme integriert – wie genau wird dies überprüft?
Die Software Ihres Anbieters mag konfliktfrei und sicher sein – stimmt dies aber auch für alle fremden Teile?
38. Open-Source-Software und andere Programme können oft kostenfrei von diversen Websites bezogen werden – wie stellt der Anbieter sicher, dass diese Trojaner-frei ist?
Die Qualitätskontrolle muss auch auf Software von Dritten angewandt werden.
39. Mit welchen Mechanismen wird Code von Dritten auf Schwachstellen hin überprüft?
Wie sieht die Qualitätskontrolle konkret aus?
40. Wie stellt der Anbieter sicher, dass gefundene Fehler überall ausgemerzt werden, wo sich die betreffende Software im Einsatz befindet?
Guter Code findet sich oft in vielen Bereichen eines Systems – ein Fehler darin muss methodisch und überall behoben werden.
41. Kommen verschiedene Entwicklungssprachen und -werkzeuge zum Einsatz?
Im Laufe des Bestehens eines Unternehmens sammeln sich viele verschiedene Programme an – mit welchen Mitteln stellt der Anbieter sicher, dass sie alle auf ihre Sicherheit hin überprüft werden?
42. Welchen Ansatz verfolgt der Anbieter, um den gesamten Entwicklungsprozess von Anfang bis zum Ende zu dokumentieren, inklusive aller Open-Source-Bestandteile und anderer Software von Dritten?
Ohne genauen Überblick über alle eingesetzten Komponenten kann die Fehlersuche Tage oder gar Wochen dauern. In dieser Zeit können Sie das Angebot nicht nutzen.
43. Ausgefeilte Programme bestehen aus Millionen von Code-Zeilen. Mit welchem Verfahren werden sie im Rahmen des Entwicklungsprozesses überprüft?
Automatisierte Programme und Werkzeuge sollten für eine dynamische und permanente Überprüfung des Systems sorgen.
44. Welche Verfahren setzt der Anbieter ein, um ein Produkt als "marktreif" freizugeben?
Ihr Anbieter sollte Ihnen garantieren können, dass sein Produkt nicht nur zu 95 sondern zu 100 Prozent marktreif ist.
45. Im Leben einer Software treten immer wieder mal Defekte auf – wie werden diese entdeckt und ausgebessert?
Sie wollen sich nicht immer aufs Neue mit einem bekannten Problem herumschlagen. Wie stellt der Anbieter sicher, dass ein Defekt ein und für alle mal aus dem System verschwindet?
46. Wie belegt der Anbieter seine Kompetenz in Sachen Cybersicherheit? Gibt es dafür etwa ein Competence-Center?
Niemand kann Experte für alles sein. Es muss unter den Entwicklern spezielle Personen für die Sicherheit von Codes geben.
47. Die Bedrohungslage ändert sich ständig. Wie reagiert der Anbieter darauf?
Nicht nur bekannte Gefahren gilt es abzuwehren, auch für künftige müssen Sie gewappnet sein. Wie will dies der Anbieter garantieren?
48. Mit welchen Mitteln arbeiten die Sicherheitsmechanismen des Anbieters? Hat er eine Datenbank der bekannten Bedrohungen aufgebaut oder eine Bibliothek für durchgeführte Tests?
Für jeden Prozess ihres Anbieters sollte es eine Reihe von integrierten Plattformen geben.
49. Wie sieht das Release Management Ihres Anbieters aus? Wird eine Anwendung oder ihre Überarbeitung gleichzeitig an alle Kunden in allen Ländern ausgegeben oder gibt es andere Mechanismen?
Hier gibt es kein "richtiges" Modell, Sie müssen einfach überprüfen, ob das Release Management Ihres Anbieters zu Ihnen passt.
50. Gibt es zusätzlich zum Expertenteam im Entwicklungsbereich ein Cyber Security Laboratory, das Software unabhängig und noch vor dem Marktstart auf Herz und Nieren überprüft?
Entwickler haben ihre eigene Sicht der Dinge – erst eine unabhängige Instanz sorgt für ausreichend Objektivität.
51. Können die Entwickler oder das Marketing des Anbieters Weisungen dieses Cyber Security Laboratory ignorieren?
Der unabhängigen Testinstanz muss ein Vetorecht zugebilligt werden.
52. Führt das Laboratory Penetrationstests sowie statische und dynamische Code-Scans durch, um die Sicherheit zu gewährleisten?
Welche Methoden kommen zum Einsatz, um die Produkte des Anbieters wasserdicht zu halten?
53. Gibt es externe und unabhängige Einrichtungen, die die Sicherheit der Produkte des Anbieters überprüfen?
Ein gewisser Wettbewerb zwischen interner und externer Kontrollinstanz gewährt ein Plus an Sicherheit.
54. Können Anwender die Produkte des Anbieters in ihren eigenen Test-Centern überprüfen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden.
55. Würde Ihr Anbieter Ihnen oder anderen Kunden erlauben, ein unabhängiges Testlabor mit der Überprüfung seines Codes zu beauftragen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden.
56. Falls ja: Besteht der Anbieter auf die Ersteinsicht in die Ergebnisse der Überprüfung durch ein unabhängiges Testlabor?
Erhalten Sie von dem unabhängigen Testlabor einen ungeschminkten Ist-Bericht oder will der Anbieter diesen schönen?
57. Hat Ihr Anbieter Einfluss auf die Untersuchungsmethoden des unabhängigen Testlabors?
Kennt ihr Anbieter die eingesetzten Untersuchungsmethoden, dann kann er sich dafür präparieren.
58. Welche Mechanismen stellen sicher, dass von unabhängigen Testlaboren gefundene Fehler an das Entwicklerteam zurückgemeldet und behoben wird?
Fehlerreports dürfen nicht einfach in der Ablage P oder einer Schublade landen.
59. Darf ein unabhängiges Testlabor die bereinigte Software neuerlich überprüfen?
Vermeintlich "gesäuberte" Software ist nur vermeintlich sicher – sie muss neuerlich überprüft werden.
60. Lernt der Anbieter aus den von einem unabhängigen Testlabor gefundenen Fehlern und sammelt er systematisch Erkenntnisse?
Fehler (und Lösungen) müssen systematisch gesammelt werden, damit sie in Zukunft ausgeschlossen werden können.
61. Wie hält es der Anbieter mit der Sicherheit in den Produkten seiner Zulieferer (Hardware, Software, Services)?
Wie garantiert Ihr Anbieter, dass alle von Zulieferern bezogenen Produkte Ihren Sicherheitserwartungen entsprechen?
62. Welche Sicherheitsanforderungen stellen diese Zulieferer an ihre Zulieferer?
Hier wird es schnell unübersichtlich: Zertifikate können dabei helfen, die Produkte von Zulieferern der Zulieferer als sicher zu behandeln.
63. Hat der Anbieter einen Katalog über Sicherheitsanforderungen an seine wichtigsten Zulieferer formuliert?
Zulieferer müssen wissen, was von ihnen in Sachen Sicherheit erwartet wird.
64. Wie gedenkt Ihr Anbieter die Einhaltung dieser Sicherheitsanforderungen zu überprüfen? Kommen Scorecards oder andere Metriken zum Einsatz?
Zulieferer kommen und gehen – es muss eine davon unabhängige und festgeschriebene Methode zur Überprüfung der Einhaltung des Maßnahmenkatalogs vorgesehen sein.
65. Gibt es ein definiertes Berichtswesen für etwaige später gefundene Fehler in Produkten von Zulieferern?
Immer wieder treten in Anwendungen erst nach einiger Zeit Probleme auf. Ihr Anbieter muss darüber schnellstmöglich informiert werden, so dass er Sie schützen kann.
66. Welche Maßnahmen gedenkt Ihr Anbieter zu ergreifen, wenn ein Zulieferer nicht mehr Ihren Sicherheitsansprüchen genügt?
Ein Zulieferer muss dazu gebracht werden können, Sicherheitsüberprüfungen durchzuführen und Maßnahmen zu verbessern. Ist dies aus welchen Gründen auch immer nicht möglich, müssen weitere Maßnahmen greifen.
67. Hält sich Ihr Anbieter an international gültige Bestimmungen wie Trade Partnership Against oder Transported Asset Protection Association (TAPA)? Ist er dafür zertifiziert?
In verschiedenen Ländern gelten verschiedene Standards – Ihr Anbieter sollte eine wirklich große Palette an unterstützten Protokollen vorweisen können.
68. Führt Ihr Anbieter regelmäßig Sicherheits-Audits bei seinen Zulieferern durch? Worauf achtet er dabei? Wie wird auf gefundene Schwachstellen reagiert?
Ein kollaborativer Ansatz kann Ihnen, Ihrem Anbieter und seinen Zulieferern helfen, Produkte sicherer zu machen.
69. Welche Standards und Best Practices kommen bei Ihrem Anbieter im Fertigungsprozess zum Einsatz?
In der Fertigung kommen viele komplexe Prozesse und Verfahren zum Einsatz. Ihr Anbieter sollte einen holistischen Ansatz dafür darlegen können, in dem die besten international gültigen Standards und Ansätze versammelt sind.
70. Ihr Anbieter muss den Fertigungsprozess von Anfang bis Ende beschreiben können und angeben, an welchen Kontrollinstanzen schad- oder fehlerhafte Codes aussortiert bzw. repariert werden.
Treten Anwendungsfehler im Betrieb auf, müssen die betreffenden Teile separiert und geprüft werden, bevor sie zurück ins System gespielt werden.
71. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten auch tatsächlich die Codes sind, die er bestellt hat?
Ihr Anbieter sollte keinem seiner Zulieferer Vertrauen schenken, sondern auf Nummer Sicher gehen.
72. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten nicht von eigenen Mitarbeitern verändert werden?
Wieder gilt es, die internen Gefahren im Haus des Anbieters zu minimieren.
73. Wie schützt der Anbieter seine Software nach deren Vollendung vor Manipulationen?
Fertige, aber noch nicht eingesetzte Produkte bieten ideale Möglichkeiten für Manipulationen. Wie schützt sich der Hersteller dagegen in seinen Fabriken und Lagerhallen?
74. Wie stellt Ihr Anbieter sicher, dass das Produkt, das Sie erhalten, identisch ist mit dem, was er Ihnen zuvor demonstriert hat?
Logistikströme müssen überwacht und vor Manipulationen geschützt sein.
75. Wie stellt Ihr Anbieter sicher, dass die von ihm in seinen Produkten eingesetzten Komponenten immer auf dem neusten Stand sind?
Software ist oft fehlerhaft und braucht Updates. Der Einsatz der jeweils neusten Releases minimiert das Fehlerrisiko.
76. Wie stellt Ihr Anbieter sicher, dass die bei Ihnen eingespielte Software exakt diejenige ist, die von seinem Entwicklerteam freigegeben wurde?
Ihr Anbieter muss eine lückenlose End-to-End-Integration demonstrieren können.
77. Wie stellt Ihr Anbieter sicher, dass keiner seiner Mitarbeiter während des Fertigungsprozesses Malware in die Software einschleust?
Gerade während der Fertigung braucht Software besonderen Schutz. Eine Monitoring-Lösung sollte den Zugriff von Unautorisierten verhindern.
78. Wie stellt Ihr Anbieter sicher, dass nach angeschlossener Produktion alle Verbindungen von seinen Mitarbeitern zur Software gekappt wurden?
Offene Ports erlauben es, auch noch nachträglich Manipulationen am fertigen Produkt vorzunehmen.
79. Ist Ihre Software während des Fertigungsprozesses anonymisiert?
Ein Produkt, das einem Abnehmer fix zugeordnet ist, lädt zu Angriffen auf eben diesen spezifischen Abnehmer ein. Anonymisierte Software minimiert dieses Risiko.
80. Wie stellt Ihr Anbieter sicher, dass das Produkt nicht manipuliert wurde, falls das Produkt "ungebraucht" an den Anbieter zurückgegeben wird?
Wieder muss Ihr Anbieter beweisen können, dass er niemandem traut – noch nicht einmal Ihnen!
81. Sollten Sie Ihr Produkt einmal etwa wegen eines Fehlers zurückgeben müssen, wie stellt der Anbieter sicher, dass dabei keine Ihrer Daten mit übernommen werden?
Oft handelt es sich um Kundendaten, und die dürfen schon aus datenschutzrechtlichen Gründen nicht weitergegeben werden, natürlich auch nicht an Ihren Software-Anbieter.
82. Wie stellt Ihr Anbieter sicher, dass eine "gefixte" Software frei von Malware ist und dass es sich tatsächlich um die Software handelt, die sie zur Reparatur eingeschickt haben?
Auch beim Beheben von Fehlern darf der Anbieter von seinem Konzept der absoluten Überwachung nicht abweichen.
83. Wie genau werden alle Komponenten einer Software überwacht, sei es bei der Fertigung oder während einer Reparatur? Wer wann und wo wie Zugriff hat, muss genau dokumentiert sein.
Die Sicherheit einer Software kann nur durch eine lückenlose Überwachung und Dokumentation gewährleistet werden.
84. Wie erhalten die Service-Mitarbeiter Ihres Anbieters Zugang zum Produkt?
Auch die von Ihnen eingesetzte Software benötigt Wartung – Sie dürfen aber die Kontrolle über den Zugang dazu nie verlieren.
85. Welche Schutzmechanismen hat Ihr Anbieter für die Service-Zugänge installiert?
Der Anbieter muss Richtlinien und Verfahren vorweisen können, wie die Zugangsdaten geschützt sind und was mit Ihnen nach Beendigung der Wartung passiert.
86. Wie sind die PCs und Laptops der Mitarbeiter Ihres Anbieters abgesichert? Können sie eigene Software aufspielen?
Sind die Rechner der Mitarbeiter verseucht, besteht auch höchste Gefahr für Ihre Anwendung und Ihre Daten.
87. Wie stellt Ihr Anbieter sicher, dass seine Mitarbeiter immer die korrekte Software einsetzen?
Produkte für Unternehmenskunden sind oft sehr komplex, Teile davon benötigen Updates etc. Ihr Anbieter muss nachweisen können, dass stets die aktuelle Version bearbeitet wird.
88. Wie will Ihr Anbieter Ihnen garantieren, dass die Service-Mitarbeiter keine Malware in Ihr Produkt einschleusen?
Hier müssen Methoden installiert sein, um das Korrumpieren Ihres Produkts zu verhindern.
89. Ihr Anbieter muss Ihnen sein Sicherheitskonzept bis ins Detail darlegen und Komponenten daraus - wie etwa Firewalls - demonstrieren können.
Auch alle Hardware-Komponenten müssen abgesichert werden.
90. Wenn Ihr Anbieter für die Problembehandlung mit Ihren Kundendaten umgehen muss, holt er dafür die Erlaubnis des Kunden ein? Wie stellt er sicher, dass mit den Daten sorgsam umgegangen wird?
Es muss Vorschriften und Regeln über den Umgang mit Kundendaten geben, diese muss man Ihnen vorlegen können.
91. Welche Regeln gelten, wenn für das Beheben von Problemen Kundendaten über Landesgrenzen hinweg versendet werden müssen?
Sie müssen sich mit Ihrem Anbieter auf Vorgaben einigen, was in diesem Fall erlaubt ist und was nicht. Bedenken Sie dabei immer die Datenschutzrichtlinien der betreffenden Länder.
92. Was passiert mit den verschobenen Daten nach der Behebung des Problems?
Auch für das Löschen von Daten müssen automatisierte Methoden vorliegen, diese muss man Ihnen demonstrieren können.
93. Für das Finden von Fehlern sind Überwachungsprotokolle essentiell – wie stellt Ihr Anbieter sicher, dass in diesen wirklich alle relevanten Daten erfasst werden?
Hier sollten industrieweit anerkannte Überwachungsprotokolle zum Einsatz kommen.
94. Sie benötigen Ihren Anbieter ganz besonders in Krisenzeiten – wie wird Ihnen Ihr Anbieter im Falle von Naturkatastrophen oder Systemausfällen beistehen? Fordern Sie konkrete Beispiele und konkrete Hilfestellungen ein.
Business Continuity muss neben der Sicherheit ganz oben auf der Prioritätenliste Ihres Anbieters stehen.
95. Verfügt Ihr Anbieter über ein Kriseninterventionsteam (PSIRT/CSIRT)? Wo ist es ansässig und wie können Sie es schnellstmöglich erreichen? Wie laufen im Notfall die Prozesse ab?
Vorkonfigurierte Prozesse und ein jederzeit erreichbares Kriseninterventionsteam minimieren den Schaden.
96. Wie arbeitet das Kriseninterventionsteam Ihres Anbieters mit Ihrem eigenen Kriseninterventionsteam zusammen? Gibt es eine zentrale Stelle, die gegebenenfalls die Kommunikation koordiniert?
Ihr Anbieter sollte sich als flexibel genug erweisen, um mit Ihnen beziehungsweise Ihrem Team auch im Krisenfall reibungslos zusammenarbeiten zu können.
97. Arbeitet Ihr Anbieter mit der Security Research-Community zusammen?
Ihr Anbieter muss sich als lernfähig erweisen und in Sachen Sicherheitsbedrohungen auf dem jeweils neusten Stand sein.
98. Wie werden Sie im Krisenfall informiert?
Treten Probleme auf, zählt jede Sekunde. Stellen Sie sicher, dass es vorkonfigurierte Kommunikationskanäle vom Anbieter zu verantwortlichen Stellen in Ihrem Unternehmen gibt.
99. Welche Vorschriften und Methoden hat Ihr Anbieter eingerichtet, damit sein Management-Team und der Vorstand schnellstmöglich über interne Vorfälle und die allgemeine Sicherheitslage informiert werden?
Je mehr Feedback die Konzernspitze Ihres Anbieters über die eigene Sicherheitslage erhält, umso vertrauenswürdiger ist er.
100. Erlaubt Ihr Anbieter seinen wichtigsten Anteilseignern und anderen externen Stellen ein Audit seiner Prozesse?
Je offener ein Anbieter für Untersuchungen und Expertisen von Dritten ist, desto wahrscheinlicher ist sein Unternehmen ein sicheres.