Man kann nie zu viele Auszeichnungen bekommen. Besonders Euro-Awards!

Hallo Leute – aus Österreich!…

Aber ich war nicht nur hier, um vom Fenster aus das graue Euro-Wetter zu beobachten. Ich war geschäftlich hier – und zwar in vielerlei Hinsicht; in erster Linie, um dies persönlich in Empfang zu nehmen! ->

… Denn wenn dein Unternehmen von keinem Geringeren als AV-Comparatives zum „Produkt des Jahres“ gekürt wird, steht es außer Frage, dass du persönlich nach Tirol fährst, um den Preis in Empfang zu nehmen! …

Read on: Man kann nie zu viele Auszeichnungen bekommen. Besonders Euro-Awards!

Infosec top-brass: wieder da – persönlich – bei SAS!

Trompeten, Trommelwirbel, Beifall, Jubel, Pfiffe! Hiermit habe ich zwei Neuigkeiten für euch: eine gute und eine noch bessere!…

Erstens: In diesem Jahr werden wir unsere 15. jährliche Cybersecurity-Konferenz veranstalten – den Security Analyst Summit (SAS). Fünfzehn? Oh mein Gott, wo ist nur die Zeit geblieben?!

Zweitens: Wir sind endlich wieder offline, d. h. persönlich, d. h. von Angesicht zu Angesicht, so wie in alten Zeiten!

// In den letzten Jahren waren diese Konferenz und viele andere online.

Unsere Tradition, alljährlich führende Cybersecurity-Experten, Akademiker und Geschäftsleute aus der ganzen Welt an einem warmen und ansprechenden Ort zusammenzubringen, begann bereits im Jahr 2009. (Verflixt – 2009 kommt mir wie gestern vor; es ist ganze 14 Jahre her!) Damals war die Veranstaltung noch viel kleiner, aber im Laufe der Jahre hat sie sich zu einem der wichtigsten jährlichen Termine im Kalender der globalen Cybersecurity-Veranstaltungen entwickelt.

// Wenn ihr wissen möchtet, wie sich SAS im Laufe der Jahre entwickelt hat, schaut euch diesen Tag an.

Dieses Jahr findet die Konferenz vom 25. bis 27. Oktober im warmen und angenehmen Phuket in Thailand statt. Wie üblich werden wir die neuesten Trends im Bereich der Cybersicherheit (einschließlich kürzlich aufgedeckter APT-Angriffe) sowie bahnbrechende Errungenschaften auf dem Gebiet der Forschung und Technologie präsentieren, austauschen und diskutieren.

Spoiler: Der Schwerpunkt wird auf den folgenden Themen liegen:

  • Schutz der industriellen Infrastruktur;
  • ICS/OT-Sicherheit;
  • Angriffe auf die Lieferkette und das IoT;
  • Methoden zur Bekämpfung von Ransomware und dem Darknet;
  • Die Vorstellung unseres neuen Schulungskurses in Reverse Engineering und Ghidra – präsentiert von unserem GReAT.

Und wir haben bereits den Call for Papers angekündigt! Wenn Sie Ihre bahnbrechende Forschung oder innovative Lösung präsentieren möchten, geben Sie die entsprechenden Informationen auf der Website ein…

So, da habt ihr es, Leute – SAS 2023: Es geht schnell voran. Es wird GReAT, es wird interessant, es wird super-informativ, es wird ein Super-Erfolg – wie immer!…

Wir sehen uns in Phuket!…

Zum Schluss noch ein kurzer SAS-Foto-Rückblick…

Flickr Foto-Stream

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

Rückblick 2022: Patente trumpfen auf!

Und die Erfindung neuer Spitzentechnologien ist nur ein Teil davon. Moment, nein: Lassen Sie uns nicht so kategorisch denken…

Eine innovative, bahnbrechende Technologie setzt einen Lebenszyklus in Gang, der wahrscheinlich sehr viel komplexer und langwieriger ist, als sich viele vielleicht vorstellen können. Natürlich steht die Erfindung selbst an erster Stelle, aber ohne den Lebenszyklus, der ihr folgt, läuft selbst die erstaunlichste und revolutionärste Technologie Gefahr, gegen die Wand zu laufen, bevor sie überhaupt richtig Fahrt aufgenommen hat. Oder die Erfindung birgt das Risiko, in die Hände von Verbraucherschützern (aka Consumer Champions) oder Patent-Trollen zu geraten.

Zu den vielen Geschäftsfunktionen, die am Lebenszyklus einer neuen Technologie beteiligt sind, gehört auch die Patentierung. Das liegt daran, dass man keinerlei Rechte an einer neuen Technologie hat, solange diese nicht patentiert wurde, selbst, wenn man sie selbst erfunden hat. Die Geschichte ist voller solcher Beispiele: die Karaoke-Maschine, Magnetstreifen auf Plastikkarten, Fidget Spinners und viele weitere.

Also – Patentierung. Es ist bei weitem nicht der einfachste oder zugänglichste Geschäftsprozess, und er erfordert viel Know-how und viel Geld – vor allem, wenn man ein globales Unternehmen ist. Aber das macht es nicht weniger notwendig. Und da K schon immer auf neuen Technologien beruhte, haben wir uns – sobald es unsere Geschäftsbilanz irgendwie ermöglichte – sofort um das Thema Patentschutz gekümmert: 2008 erhielten wir unser allererstes Patent. Seitdem haben wir unsere eigene Patentexpertise nach und nach so weit ausgebaut, wie wir es uns über die Jahre erlauben konnten.

Je erfolgreicher unser Unternehmen wurde und je mehr wir in der ganzen Welt expandierten, desto häufiger wurden wir von Patent-Trollen gejagt, die auf das schnelle Geld aus waren. Außerdem waren skrupellose Konkurrenten, obwohl sie über Technologien verfügten, die qualitativ kaum mit uns konkurrieren konnten, nicht damit einverstanden, dass Kunden unsere Produkte verwende(te)n. Was die Patentstreitigkeiten betrifft, so wurden insgesamt zehn Klagen gegen uns eingereicht, von denen wir neun gewonnen haben und eine derzeit noch geprüft wird. Denn wir geben niemals auf. Wir wehren uns – und gewinnen haushoch!

Das Gesamtbild.

Die Jahre der Pandemie sowie die geopolitischen Unruhen haben sich sicherlich negativ auf unser Geschäft und auch auf unsere Patentarbeit ausgewirkt. Sowohl die vergangenen als auch die gegenwärtigen Ereignisse werden wahrscheinlich noch jahrelang nachhallen. Das heißt aber nicht, dass wir uns zurücklehnen, bis sich die Situation bessert – ganz im Gegenteil! Gerade jetzt möchten wir noch mehr Gas geben als je zuvor. Und genau das haben wir im Jahr 2022 bereits getan (mehr zu 2021 finden Sie übrigens hier), trotz allem. Und ich verrate Ihnen, wie…

Das vergangene Jahr beendeten wir mit einem Portfolio von 1367 Patenten und 330 Patentanmeldungen in verschiedenen Ländern (darunter die USA, die EU, Russland und China). Im Jahr 2022 erhielten wir 123 neue Patente (davon 51 in den USA, 37 in Russland, 24 in China und 9 in der EU) und reichten 58 Patentanmeldungen ein. Aber wir sollten uns nicht nur auf die Quantität konzentrieren. Schauen Sie sich auch die Qualität an: Uns wurden für ~98 % unserer Patentanmeldungen die jeweiligen Patente erteilt (in einigen Ländern sogar für 100 %!), während der weltweite Durchschnitt für Unternehmen bei etwa 50 % liegt. Ein Hoch auf uns!

Unser gesamtes Patentbild sieht folgendermaßen aus:

Vielfalt ist die treibende Kraft des Fortschritts.

Für welche technologischen Segmente haben wir also die meisten Patentanmeldungen eingereicht? Im Grunde gibt es eigentlich keine Bereiche, die wirklich überwiegen. Wir beantragen Patente für unsere Technologie, sobald wir etwas Neues in der breiten Palette unserer Cybersicherheitstechnologien entwickelt haben. Lassen Sie mich einfach auf einige unserer interessanteren Patente eingehen.

Fangen wir mit maschinellem Lernen an. Es macht in unserem Portfolio insgesamt 71 Patente und 63 Anmeldungen aus.

Dazu gehört der Einsatz von maschinellem Lernen zur Erkennung von Anomalien in Produktionsprozessen und damit zur Aufdeckung bisher unbekannter Cyberangriffe sowie von Ausfällen, Fehlfunktionen und Leerlaufzeiten von Industrieanlagen. All dies wird von unserem „Anomalie-Frühwarnsystem“ – MLAD (Details hier) – geleistet, das bereits 10 Patente vorweisen kann (und mit Sicherheit in Zukunft noch viele weitere erhalten wird).

Was die Patente für maschinelles Lernen im Jahr 2022 betrifft, haben wir ein Patent für eine Technologie angemeldet, die Diagnoseregeln verwendet, die zuvor bekannte Besonderheiten des Verhaltens eines überwachten Objekts beschreiben. Die Aktivierung von Regeln wird als Anomalie betrachtet, während ein Vorfall von einem speziellen Ereignis-Prozessor auf der Grundlage neurosemantischer Netze zur Aufdeckung von Mustern und anomalen Sequenzen klassifiziert wird.

Wir haben zahlreiche Patente zum Schutz unserer Erfindungen im Zusammenhang mit unserer Anti-Telefon-Spam-Anwendung WhoCalls angemeldet, die auf der Grundlage maschineller Lernalgorithmen und Nutzermeinungen die IDs eingehender Telefonnummern, ihre Reputation und Kategorie ermittelt. Sie funktioniert sowohl auf Android als auch auf iOS und bietet einen sicheren Raum für die soziale Interaktion per Telefon.

Beispielsweise verwenden wir bei WhoCalls Ansätze zur Ermittlung von Nummern auf der Grundlage der Art der von ihnen ausgehenden Anrufe und nutzen einen Bloomfilter bei der Sammlung von Statistiken über Telefonanrufe zur Entpersonalisierung von Daten.

Einer der am schnellsten wachsenden IT-Bereiche der Welt ist das Internet der Dinge (IoT). Die Dynamik in diesem Bereich ist vollkommen verrückt: Neue Produkte kommen in einem so rasanten Tempo auf den Markt, dass die Entwickler, gelinde gesagt, wenig an die Cybersicherheit denken. Es ist, als ob man sich erst in Handschellen legen und erst danach darüber nachdenken würde, den Kampf durch ein Gespräch zu beenden, anstatt sich grün und blau zu schlagen. Und wer wird den „Kampf“ letztendlich beenden? Wir! Und es gibt hier soooo viele Dinge zu patentieren. Es ist ein Bereich, der weitgehend unpatentiert ist!

Zu den interessantesten IoT-Patentanmeldungen gehören eine Technologie zum Abfangen des Datenverkehrs in IoT-Netzwerken, um Anomalien und schädliche Objekte zu erkennen, sowie eine Lösung für die digitale Sicherheit von Smart Homes durch die Installation von Schutzlösungen für intelligente Geräte.

Was ist noch erwähnenswert? (i) Die Patente zur Sandbox-Optimierung (verwendet in Research Sandbox, KATA usw.; insgesamt im Portfolio: 106 Patente und 24 Anmeldungen), um die Belastung durch die dynamische Analyse von Apps zu reduzieren; (ii) die Patente für den Einsatz von KasperskyOS zur Kontrolle des industriellen Datenverkehrs; und (iii) die Patente für die Technologie der Nachrichtenübermittlung innerhalb von KasperskyOS. Übrigens wurden im Jahr 2022 20 neue Patente für KasperskyOS erteilt und fünf Anträge eingereicht!

All das ist Ihnen noch nicht genug? Dann finden Sie im Anschluss die Crème de la Crème der Patente – die interessantesten Patente des Jahres:

US11514160: System und Verfahren zur Bestimmung eines Schädlichkeitskoeffizienten einer Datei unter Verwendung eines trainierten Lernmodells.

Dieses Patent deckt die Verwendung neuronaler Netze zur Bildung von Erkennungsregeln ab. Bei der Entdeckung eines APT (zielgerichteter Angriff), gibt es in der Regel nur eine oder zwei aufgedeckte schädliche Dateien, die eine Rolle für die Analyse spielen. Nach dieser Entdeckung müssen ähnliche Schaddateien gefunden werden – und zwar solche, die einige der gleichen Attribute wie die entdeckten Dateien aufweisen, aber möglicherweise völlig andere Aktionen ausführen. Hierfür verwenden wir ein spezielles neuronales Netzwerk, das auf eine einzelne Schaddatei und Sammlungen sicherer Dateien trainiert wird (um False Positives zu minimieren und die neuronalen Netzwerke weiter zu trainieren).

US11288401: System und Verfahren zur Reduzierung der Anzahl von False Positives bei der Klassifizierung von Dateien.

Ein Patent, das den Einsatz von zwei Klassifikatoren in einer Reihe zum Aufspüren schädlicher Dateien abdeckt. Die Analyse ist in zwei Etappen unterteilt: In der ersten werden leicht zu extrahierende Attribute verwendet (Dateigrößen, Anzahl der Abschnitte, andere Informationen aus dem Header der Datei). Auf der Grundlage solcher Attribute wird ein Hash berechnet – die Nummer des Sektors in der Dimension der Dateien. In der zweiten Etappe werden genauere Klassifikatoren (z. B. Entscheidungsbäume) für komplexere Daten verwendet – Analyse von Strings, Disassemblierung, Verwendung statistischer Daten. Der zweite Klassifikator für jeden Sektor wird separat trainiert, wodurch seine lokale Genauigkeit erhöht wird.

US11449615: System und Verfahren zur Erstellung eines Protokolls bei der Ausführung einer Datei mit Schwachstellen in einer virtuellen Maschine [aka Sandbox].

Und: US11379581System und Verfahren zur Erkennung von Schaddateien.

Die von diesen Patenten abgedeckte Technologie löst eine andere Aufgabe im Zusammenhang mit einer Sandbox: das Filtern analysierter Dateien mit Hilfe von maschinellem Lernen, was die Belastung der Infrastruktur durch das Herausfiltern polymorpher Dateien verringern kann.

US11385987System und Verfahren zur Bewertung der Auswirkungen von Software auf industrielle Automatisierungs- und Steuerungssysteme – eine spezielle Lösung für die Analyse von Malware-Aktivitäten und deren Auswirkungen auf ICS-Systeme (Details finden Sie hier).

US11356468System und Verfahren zum Einsatz von Regeln für die Inventarisierung zur Identifizierung von Geräten eines Computernetzwerks – passive Analyse des Netzwerkverkehrs zur Identifizierung von ICS-Objekten zusammen mit der Kontextdekodierung von Netzwerkpaketen.

Vielen Dank für Ihre Aufmerksamkeit! Patentüberblick 2022 – over & out!

 

11.11: Zwanzig Jahre auf den Tag genau!

Hallo zusammen!

Wir haben ein weiteres Jubiläum zu feiern. Hurra!…

Unser cyber-immunes Betriebssystem – KasperskyOS – ist heute… Moment. Nein, das ist nicht ganz richtig…

Vor genau 20 Jahren – am 11. November 2002 – begann unsere lange, bedeutsame Reise; eine Reise, auf der wir uns tatsächlich immer noch befinden. Ein großes, grandioses Projekt, das noch so vieles im Bereich der globalen Cybersicherheit verändern wird (und bereits verändert!). Und nein, das ist wirklich keine Übertreibung, sondern nichts als die Wahrheit. Aber um die ganze Geschichte unseres cyber-immunen Betriebssystems zu erfahren, müssen wir zunächst einen großen Sprung zu seinen bescheidenen Anfängen in den frühen 2000er Jahren machen…

Bevor wir jedoch 20 Jahre zurück in die Vergangenheit reisen, möchte ich noch ein paar Worte zur Gegenwart verlieren. Heutzutage weiß jeder, der nicht hinter dem Mond lebt, wie wichtig Cybersicherheit wirklich ist. Billionen von US-Dollar werden heute für die Behandlung der Symptome von Cyberproblemen ausgegeben; für die Beseitigung ihrer Ursachen ist das Budget jedoch knapp. Und die einzige Möglichkeit, den Kreislauf der ständigen Symptombekämpfung zu durchbrechen, besteht in einer Überarbeitung der Architektur von Computersystemen. Stimmen Sie mir in diesem Punkt zu? Ja? Gut, das freut mich!…

Das ist mir bereits vor mehr als 20 Jahren – im Herbst 1989! – bewusst geworden. Zu diesem Zeitpunkt wurde mein PC mit dem Cascade-Virus infiziert, der mich sofort neugierig stimmte und mich dazu bewegte, einen Schutz gegen diese und alle anderen Cyber-Viren entwickeln zu wollen.

Für uns war Neugierde also der Anfang von allem. Sie war der Grund, warum unser Antivirenprogramm -V überhaupt erschien, warum später Kaspersky Lab gegründet wurde und warum wir am Ende rund um den Globus expandierten.

12 Jahre nach Cascade realisierte ich schließlich, dass bestehende Betriebssysteme unvollkommen sind und in mir wuchs der stetige Drang, etwas dagegen zu tun (sollten das für Sie zu viele Details der Geschichte sein, tut es mir leid, aber das ist schließlich unser Werdegang😊…). Diese Erkenntnis kristallisierte sich als Ergebnis der folgenden logischen Kette heraus:

1) Die digitale Bösartigkeit war auf dem Vormarsch – und sie würde nur noch schlimmer werden, d. h. weiterverbreitet, vielfältiger und komplexer. Es bestand sogar die Gefahr, dass die globale Cybersicherheitsindustrie irgendwann nicht mehr in der Lage sein würde, mit der Situation fertig zu werden.

2) Das Hauptproblem war die grundsätzlich fehlende Sicherheit von Betriebssystemen: Sie wiesen mehr Löcher als Schweizer Käse auf, mit anderen Worten: sie waren verwundbar. Und es war einfach unmöglich, ihnen ein ausreichend hohes Maß an garantierter Sicherheit zu bieten.

3) Die beiden oben genannten Punkte führten zu folgender Frage: Wäre es möglich, ein Betriebssystem zu entwickeln, das von Grund auf sicher ist? Damit meine ich, per Definition sicher und architektonisch und mathematisch erwiesenermaßen sicher. Ein Betriebssystem, das überhaupt keinen Virenschutz benötigt: ein cyber-immunes Betriebssystem.

Dieser dritte Punkt führte zu einer Reihe von Treffen, an denen unser Team von Spitzeningenieuren/Architekten/Visionären teilnahm. Und das erste Treffen dieser Art fand damals am 11. November 2022 in meinem kleinen Büro in der Hauptgeschäftsstelle statt – ganz einfach deshalb, weil wir zu diesem Zeitpunkt noch nicht über Meetingräume verfügten.

Ich kann mich nicht erinnern, wie hitzig die Diskussion war. Aber ich erinnere mich, dass wir zu sechst waren (und wir alle unverletzt blieben!). Ich erinnere mich auch, dass wir alle sehr fasziniert von der Idee waren und dies auch in den darauffolgenden Treffen blieben. Und das, obwohl wir zu dieser Zeit alle so beschäftigt waren wie nie zuvor. Aber Rom wurde nicht an einem Tag gebaut, und auch nicht unser sicheres Betriebssystem. Daher setzten wir derartige Treffen mehrere Jahre lang so fort. Wir beschlossen übrigens auch, unseren Treffpunkt zu verlegen… und zwar in die Kneipe Fox & Pheasant in der Twerskaja-Straße im Zentrum Moskaus (Sie brauchen nicht danach suchen, die Kneipe gibt es schon lange nicht mehr). So kam es dazu, dass unsere ersten Ideen zu den Plänen für unser OS kurzerhand auf die Papierservietten der Kneipe gekritzelt wurden. Sehr wissenschaftlich. Aber ich schweife vom Thema ab…

2005 ging unser OS-Projekt dann von der konzeptionellen in die praktische Phase über: Andrey „Petrovich“ Dukhvalov und seine Truppe kamen eines Tages in mein Büro und verkündeten, dass sie mit der konzeptionellen Planung fertig seien und es an der Zeit sei, nach geeigneten Talenten für die Entwicklung zu suchen. Eine gewagte Ankündigung, wenn man bedenkt, dass wir überhaupt keine Erfahrung mit der Architektur von Betriebssystemen hatten! Und dann ging es auch schon los. Zunächst Schritt für Schritt, später mit zunehmender Intensität. Versuche, Forschung und viele Fehler. 2006 erhielten wir unser erstes Patent auf eine Betriebssystemtechnologie (heute sind es weltweit bereits 90). 2013 begannen wir mit Beta-Tests des Prototyps. Im März 2015 brachten wir die Kaspersky Security System-Plattform auf den Markt, und ein Jahr später kam unser erstes kommerzielles Produkt dazu – der Kraftway-Network-Switch powered by KasperskyOS. Und so weiter und so fort… Als Nächstes kam unser Industrial/IoT Secure Gateway, dann unsere Automotive Adaptive Platform und erst kürzlich unser Thin Client, der in der vergangenen Woche auf der World Internet Conference in China die prestigeträchtige Auszeichnung „World Leading Internet Scientific and Technological Achievement“ erhielt.

Und wir machen immer weiter, weiter und weiter: Wir haben weitere grandiose KOS-Projekte geplant; wir arbeiten an der Entwicklung eines Ökosystems für Entwickler (sollten Sie daran interessiert sein, werfen Sie einen Blick auf die Community Edition des Betriebssystems) und sehen, dass daran weltweit großes Interesse besteht. Das Projekt ist also nicht umsonst gewesen. Ebenso wie die Treffen im Fox & Pheasant. Eigentlich alles, was mit KOS zu tun hatte. Nicht vergeblich war das ganze 20-jährige visionäre Projekt, das bestätigt, woran ich wirklich glaube: weiterzumachen – komme was wolle! Oder, wie Winston Churchill einst in den schwierigsten Zeiten sagte: „Niemals aufgeben!“.

https://youtu.be/0C87eKEUYtk

Cyber-News von der dunklen (und nicht ganz so dunklen) Seite: Ein waghalsiger Krypto-Hack, K wird neuromorph und der Einstieg in ein Rechenzentrum über eine… Toilette!

Hallo miteinander!

Für alle, die immer noch im Büro schwitzen und (noch) nicht das Glück hatten, in den Urlaub zu fahren, hier einige unterhaltsame iNews, alias „Cyber-News von der dunklen (oder auch nicht so dunklen) Seite“, die es in sich haben. Außergewöhnliche, kaum zu glaubende Geschichten aus der Welt der Cybersicherheit.

Ein Krypto-Malheur

Die Gaming-Community wird sich mit Sicherheit daran erinnern, wie im Frühjahr dieses Jahres Axie Infinity, das Online-Kryptospiel (das vielleicht am bekanntesten dafür ist, dass virtuelle Gewinne in echtes Geld umgetauscht werden können), Opfer einer der größten Raubüberfälle aller Zeiten wurde. Es scheint ganz so, als seien nordkoreanische Cyberkriminelle in die Ronin-Blockchain, über die das Spiel gesteuert wird, eingebrochen, um daraufhin sage und schreibe 625 Millionen US-Dollar (die genaue Zahl variiert je nach Quelle) von Nutzerkonten zu entwenden! Der Vorfall blieb einige Zeit vor der Öffentlichkeit verborgen, was nicht nur die Schwachstellen des Sicherheitssystems des Spiels unterstrich, sondern auch den Ruf des dahinter stehenden Entwicklers Sky Mavis einen bitteren Schlag versetzte.

Aber Moment – das ist noch lange nicht alles!

Anfang dieses Monats wurde enthüllt, wie es den Kriminellen tatsächlich gelang, sich ihren Weg in die Blockchain zu bahnen. Ich hoffe, Sie sitzen gerade!

Vor einigen Monaten schickten die angeblichen Mitarbeiter eines frei erfundenen Unternehmens auf LinkedIn Informationen über gefälschte Stellenangebote an Mitarbeiter von Sky Mavis. Ein Senior Entwickler von Axie Infinity beschloss, sich auf eine der Ausschreibungen zu bewerben. Er nahm sogar an mehreren (gefälschten) Vorstellungsgesprächen teil, nach denen ihm ein äußerst attraktives (nicht existentes) Gehalts- und Zusatzleistungspaket angeboten wurde. Kurz gesagt: Ihm wurde ein Angebot gemacht, das er nicht ablehnen konnte.

Das besagte Angebot landete schließlich in Form eines PDF-Dokuments im Posteingang des Entwicklers, welches er ohne Bedenken herunterlud und auf seinem Arbeitsrechner öffnete. Und das war’s – der perfekte Einstiegspunkt für die Cyberkriminellen. Von nun an war alles nur noch eine Frage der Technik: Ein Spionageprogramm schleuste sich in Ronin ein, wodurch den Kriminellen Zugriff auf vier der neun Validatoren, die das Netzwerk schützen, erlangen konnten. Zugang zum fünften Validator (der benötigt wurde, um den Angriff zu vervollständigen und dann das gesamte Geld zu stehlen) erhielten die Hacker über die dezentralisierte autonome Organisation Axie DAO – eine Gruppe, die zur Unterstützung des Gaming-Ökosystems gegründet wurde. Jackpot, Baby!

Obwohl der Hack nicht zu einem direkten Diebstahl von Token führte, musste Sky Mavis dennoch die Konten aller Spieler vorübergehend auf Eis legen. Das Unternehmen schloss sich darüber hinaus mit Strafverfolgungsbehörden und Investoren zusammen, um sicherzustellen, dass alle Verluste vollständig erstattet wurden. Ach ja – noch etwas: Erinnern Sie sich an den Mitarbeiter, der sich für den Fake-Job beworben hatte? Er wurde gefeuert. Schockierend!

Diese Geschichte zeigt, wie selbst die erfahrensten Techniker durch Phishing überrumpelt werden können – und das mit schwerwiegenden Folgen. Leider ist bereits jetzt klar, dass dieser Vorfall kein Einzelfall bleiben wird – ja, es wird noch mehr davon geben. Der Hauptgrund dafür ist vielleicht, dass Blockchain-basierte Spiele in letzter Zeit einige sehr ernsthafte Investitionen anziehen. Und das wiederum erweckt zwangsläufig das Interesse Cyberkrimineller aller Couleur – von wenig qualifizierten Amateuren bis hin zu professionellen APT-Gruppen.

Eine neue Geschäftsrichtung

Unsere Experten sind derzeit aktiv an der Entwicklung von neuronalen Verarbeitungseinheiten beteiligt. In diesem Zusammenhang haben wir erst kürzlich in das Start-up-Unternehmen Motive Neuromorphic Technologies investiert.

Diese Geschäftsrichtung ist sehr vielversprechend. Die Architektur der neuromorphen Prozessoren basiert auf dem Prinzip des menschlichen Gehirns; sie sind viel schneller als herkömmliche Prozessoren und verbrauchen dabei viel weniger Energie. Im Grunde sind sie genau das, was man für die Verarbeitung riesiger Datenmengen braucht. Sie sind auch genau das, wonach maschinelle Lerntechnologien schreien. Lösungen mit neuromorphen Chips werden ihr Anwendungsfeld in der Herstellung von Drohnen, Gesichtserkennungssystemen, in der Robotik, im Internet der Dinge, in der Industrie usw. finden. Details darüber, warum wir fest daran glauben, dass neuromorphen Prozessoren die Zukunft gehört, finden Sie hier.

Übrigens: Wir sind noch auf der Suche nach Partnern für die Durchführung von Pilotprojekten mit dem „Altai“-Neurochip. Sie sind interessiert? Dann lassen Sie es uns wissen!

Eine buchstäblich physische Hintertür!

Abschließend noch ein wenig Ironie…

Die Rede ist von einer (auf den ersten Blick) lustig anmutenden Geschichte eines Pentesters, dem es gelang, über eine Toilette in ein Rechenzentrum einzudringen…! Ja, Sie haben richtig gelesen!

Nachdem der InfoSec-Spezialist während eines Pentests die Baupläne des Rechenzentrums studiert hatte, fand er heraus, dass sich hinter den Herrentoiletten in einem der Stockwerke ein schmaler Gang befand, der (eigentlich nur!) von Klempnern genutzt werden sollte, um im Notfall Zugriff auf die Toiletten in den Kabinen zu erhalten. Alles kein Problem… bis sich herausstellte, dass dieser Korridor ein Verbindungsglied zwischen ungeschützten Bereichen und Bereichen höchster Sicherheitsstufe des Rechenzentrums darstellte.

So konnte der Pentester ungehindert durch eine Hintertür der barrierefreien Toilette, die auf den Gang führte, in den abgesicherten Bereich (protected space) gelangen. Er umging so auch die Kontrolle der Sicherheitsschleusen, bei der im Normalfall die Abgabe aller digitalen Geräte gefordert wird. Und diese klaffende Sicherheitslücke in einer „Hochsicherheits“einrichtung ist/war in den öffentlich zugänglichen Bauplänen zu sehen! Leider kann ich auch in diesem Fall nicht sagen, dass solche absurden Sicherheitslücken selten sind; sie scheinen nur selten gemeldet zu werden. Das macht die Geschichte aber nicht weniger interessant.

Nun gut, das war es für heute von meiner Wenigkeit. Jetzt fahre ich erst einmal in einen längeren Urlaub (Bilder und Texte folgen!). In diesem Sinne: Lassen Sie sich die Hitze nicht zu Kopf steigen.

Ein Vierteljahrhundert? Wo ist das geblieben?!…

Hallo Leute!

Vor 25 Jahren und neun Tagen – am 26. Juni 1997 – wurde das Unternehmen, das zufällig den gleichen Namen wie ich trägt, eingetragen. Und es waren im wahrsten Sinne des Wortes „bescheidene Anfänge“: etwa ein Dutzend Leute mit null Umsatz – aber mit einigen besonderen technischen Kenntnissen und einigen ebenso besonderen und seeehr ehrgeizigen Plänen. Und so sah das ungefähr aus:

Zwei Jahre später, im Jahr 1999, ist unser Team bereits auf 40 Person angewachsen. ->

Und so fing alles an. // Übrigens: Mehr Details über unsere Geschichte findet ihr hier

Fünfundzwanzig Jahre – ein Vierteljahrhundert! – haben wir großartige Arbeit geleistet! Auf der Grundlage unserer eigenen, weltbesten Antiviren-Engine haben wir bahnbrechende Internet-Sicherheitsprodukte für Privatanwender entwickelt. Es lief nicht immer reibungslos, aber wir haben es geschafft! Da war unsere Version 6 – erinnert ihr euch? (Und was für eine grandiose Geschichte es da zu erzählen gibt:) Daraufhin sind wir nach und nach in den Unternehmensmarkt eingestiegen und haben auch dort einige großartige Produkte entwickelt: zunächst in der Kategorie Endpunkte, dann auch für die Kontrolle des Netzwerkverkehrs, den Schutz vor gezielten Angriffen und so weiter. Als nächstes haben wir uns dem Schutz von Industrieobjekten zugewandt. Und heute kann ich (ohne zu bescheiden zu sein) sagen, dass wir das einzige Unternehmen weltweit sind, das ein so breites Spektrum an erstklassigem Cyber-Schutz bietet: für Benutzergeräte, Workstations, Server-Infrastruktur und Netzwerkverkehr sowie für industrielle Kontrollsysteme wie SCADA. Außerdem decken wir das breiteste Spektrum an Betriebssystemen und Gerätetypen ab.

Read on: Ein Vierteljahrhundert? Wo ist das geblieben?!…

3 Zutaten für Cybersicherheit auf höchstem Niveau: Analyse der Vergangenheit, Testen der Gegenwart & Vorhersage der Zukunft.

Wirft man einen Blick auf die Vergangenheit, kann man sich ein detailliertes Bild von der Gegenwart machen; der analytische Verstand vieler Experten kann Warnungen für die absehbare Zukunft aussprechen oder letztere sogar vorhersagen. Auf diese Weise können auch wir bei K oft genau prognostizieren, in welche Richtung sich die digitale Landschaft entwickeln wird. Zudem halten wir uns über die neuesten Cybertrends auf dem Laufenden, um rechtzeitig die entsprechenden Technologien entwickeln zu können, die wir im Kampf gegen bevorstehende Cyberangriffe benötigen. Ja, tatsächlich hat es auch Zeiten gegeben, in denen wir uns mit unserer auf Fachwissen basierenden Cyber-Prophezeiung geirrt haben – dennoch waren solche Fälle immer die Ausnahme; meistens lagen wir goldrichtig.

Aber wie genau machen wir das? Stecken hinter unseren Cyber-Prophezeiungen ausschließlich superschlaue Typen und Typinnen? Nein, ganz im Gegenteil! Vieles davon ist automatisiert und das ist auch gut so: Menschen können mit der heutigen Rechenleistung, den Algorithmen, Robotern, KI und maschinellem Lernen nicht mehr mithalten. Natürlich wird die humane Denkkapazität noch immer benötigt, aber warum sollte der Mensch die ganze Arbeit allein machen?

In diesem Beitrag möchte ich Ihnen von der technologisch wissenschaftlich fundierten Schwerstarbeit berichten, die es uns ermöglicht, die Zukunft vorherzusagen (bei der es sich übrigens nicht um eine mystische Wahrsagerei à la Wanga handelt).

Lassen Sie mich Ihnen zunächst von der Entwicklung unserer Threat Intelligence Platform (TIP) erzählen.

Aufschlüsseln möchte ich das Thema wie im Titel bereits angedeutet: In die Analyse der Vergangenheit, das Testen der Gegenwart testen und die Vorhersage der Zukunft.

Die Vergangenheit analysieren

Als wir 2016 mit der Entwicklung unserer TIP begonnen haben, befassten sich die ersten Tools mit der Analyse der Vergangenheit. Dies waren (und sind immer noch) die sogenannten Threat Data Feeds. Wie der Name schon sagt, handelt es sich dabei um Daten-Feeds über bereits bekannte Bedrohungen: Angriffsindikatoren, Adressen von Malware-Websites, Adressen von Botnet-Kontrollzentren und vieles mehr. Sie können sich für diese Feeds anmelden, um Updates in Echtzeit zu erhalten.

Auf der nächsten Stufe stehen unsere detaillierten Bedrohungsberichte. Zum Beispiel: analytische Berichte über APT-Bedrohungen, die sich auf zielgerichtete Angriffe und kriminelle Gruppierungen beziehen; Crimeware Intelligence Reporting, das neue Varianten von Schadprogrammen beschreibt; und ICS TI Reporting, bei dem es um die Erfassung neuer Bedrohungen für industrielle Kontrollsysteme geht.

Da wir die Daten, die wir im Laufe des letzten Vierteljahrhunderts gesammelt haben, wahrscheinlich niemals vernichten werden, haben wir jetzt Bedrohungsdaten in Form von unendlichen Petabytes, Exabytes, Zettabytes gespeichert. Und es wäre eine Schande, diese Daten unter Verschluss zu halten. Deshalb haben wir beschlossen, unseren Kunden (wir sprechen hier eindeutig von Unternehmen, d. h. deren IT-/IT-Sicherheitsabteilungen) die Möglichkeit zu geben, unsere Datenbank selbst zu durchsuchen. So entstand unser Threat Lookup Service, eine Art Google Threats, der bereits von Hunderten bekannter und hoch angesehener Unternehmen aus der ganzen Welt genutzt wird.

Die Gegenwart testen

Wenden wir uns nun der Gegenwart zu…

Stellen Sie sich vor, Sie haben irgendwo in Ihrem Unternehmensnetzwerk eine verdächtige Datei gefunden, die Sie umgehend analysieren müssen. Will heißen, dass Ihre Threat Intelligence (TI)-Plattform unverzüglich die notwendigen Analysetools bereitstellen muss.

Als Erstes ist eine statische Code-Analyse fällig. Damit haben wir uns schon vor langer Zeit befasst, als wir mit klassischen Antiviren-Methoden (Hashes, Heuristiken) begannen, die sich im Laufe der Jahre zu einem hochmodernen System für die Bedrohungsanalyse entwickelt haben. Unser System ist jetzt in der Lage, den Ursprung von Malware zu ermitteln, selbst wenn es sich um eine weitgehend umgeschriebene Version von bereits bekannter Malware handelt.

Bestimmte „Gene“ – charakteristische Teile des Computercodes – sind so etwas wie die Signatur eines Hackers und bleiben daher unveränderbar. Und genau solche Gene werden von unserer Threat Attribution Engine erkannt, die darauf trainiert wurde, die Hunderte Millionen von guten und schlechten Genen zu erkennen, die wir in den letzten 25 Jahren gesammelt haben. Das Ergebnis ist, dass wir in der Lage sind, neue Malware bekannten Autoren zuzuordnen.

Danach werfen wir die verdächtige Datei in unsere Cloud-Sandbox. Dabei handelt es sich buchstäblich um eine kontinuierliche dynamische Analyse einer Datei bei ihrer Ausführung in einer isolierten Umgebung. Denn Dateien können unter bloßer Betrachtung ihres Codes vollkommen harmlos erscheinen, aber in der Sandbox ausgeführt versucht die Datei ganz plötzlich etwas zu verschlüsseln! Wer hätte das gedacht?

Nun stellt sich die Frage: Woher kommt diese Hinterlist? Und sollten wir uns in der Umgebung umsehen, um herauszufinden, ob dort noch etwas anderes lauert? Ja, das sollten wir!…

Dazu werfen wir einen Blick auf unseren Research Graph, der die Verbindung der untersuchten Datei zu anderen Objekten darstellt: Domains, mit denen sie interagiert hat, Dateien, die sie geladen hat sowie Verbindungen zu anderen Bedrohungen und Indikatoren, die in unserer Datenbank aufgeführt sind. Diese Indikatoren können dann vom Kunden selbst im Internet gesucht werden.

Die Zukunft vorhersagen

Wir haben also unser Wissen aus der Vergangenheit genutzt, um einen Vorgang in der Gegenwart zu untersuchen. Aber was ist mit der Zukunft? Selbstverständlich ist die Zukunft noch nicht geschrieben – aber wir können bereits Anzeichen dafür erkennen, wie sie höchstwahrscheinlich aussehen könnte. Dinge wie Schwachstellen im Schutz Ihrer Infrastruktur, Schwachstellen in Software und Einstellungen sowie potenzielle Einfallstore für Cyberangriffe gehören zu solchen Indikatoren. In den oben erwähnten abonnementbasierten Berichten (Threat Intelligence Reporting) finden Sie derartige Informationen. Hier beschreiben wir detailliert, welche kriminellen Gruppierungen es auf der Welt gibt, welche Tools und mit welchen Absichten sie diese verwenden. D. h., wir decken ihre TTPs (Tactics, Techniques, and Procedures) – Taktiken, Techniken und Verfahren – auf. Wenn man all dies weiß, kann man sich viel besser auf mögliche zukünftige Angriffe vorbereiten.

Die Methoden der Kriminellen können sich jedoch in verschiedenen Kontexten unterscheiden, und unsere Kunden bitten uns oft um weitere Daten darüber, wie bestimmte Angriffstechniken in einer für sie typischen Situation angewendet werden können. Eine solche Beratung durch Analysten erhalten Sie nun in Echtzeit über unseren Dienst Ask the Analyst.

Weitere Anzeichen, über das, was in der Zukunft passieren könnte, bieten verdächtige Aktivitäten „irgendwo im Internet“, bei denen die Daten eines Unternehmens verwendet werden, was als Planung eines Angriffs angesehen werden kann. Diesen Anzeichen widmet sich unser Dienst Digital Footprint Intelligence (DFI).

Funktionieren tut dies folgendermaßen: Mit Hilfe von speziellen Robotern erstellt unser Expertenteam ein „digitales Porträt“ der jeweiligen Organisation und verfolgt dann, wie diese Daten im Internet genutzt werden, um mögliche Angriffe voraussagen zu können.

Wird beispielsweise eine Domain registriert, die der eines bestimmten Unternehmens sehr ähnlich ist (z. B. durch Änderung eines Buchstabens oder Hinzufügen eines Bindestrichs), und eine Website ins Leben gerufen, die dem „Original“ zum Verwechseln ähnlich sieht, warnt der DFI-Dienst Sie vor solchen Phishing-Seiten, während der Takedown Service bei der raschen Sperrung der Fake-Seite hilft.

Außerdem gibt es in der neuen Version unseres TI-Portals jetzt eine spezielle Internet-Suchfunktion. Was Sie früher in unserer internen Bedrohungsdatenbank fanden, wird nun durch frische Daten aus geprüften offenen Quellen ergänzt, darunter Medien zur Cybersicherheit, Informationssicherheitsforen und Expertenblogs.

Abschließend kann unser TIP auch dazu verwendet werden, die dunkelsten Ecken des Webs (Dark Web, Deep Web) zu durchsuchen. Sie können überprüfen, ob Daten eines Unternehmens einem Leck zum Opfer gefallen sind, ob es Gerüchte über die Schwachstellen eines Unternehmens oder andere Anzeichen für die Vorbereitung eines Angriffs gibt.

Jetzt fragen Sie sich vielleicht, ob wir vorhersagen können, wer in 3 Jahren einen Angriff auf Ihr Unternehmen plant. Und die Antwort ist selbstverständlich nein! Was wir tun können, ist, den Nutzern unserer Analyseplattform die wichtigsten Informationen über die Bedrohungen zu geben, mit denen sie realistischerweise konfrontiert werden können: von wem und warum sie angegriffen werden können, wie solche Angriffe durchgeführt und wie sie sich davor schützen können.

Ich nenne dies ganz gerne unsere „Zeitmaschinen-Cybersicherheit“ bei der Vergangenheit, Gegenwart und Zukunft miteinander verwoben sind! Aber trotz dieser Science-Fiction-Formulierung hoffe ich, dass Sie jetzt erkennen, dass dies alles andere als Science-Fiction ist. Nicht Wanga, nicht Sauron, keine Wahrsager, keine Astrologie, keine Magie. Nur pure Wissenschaft und Technologie!

Wer hätte gedacht, dass man die Vergangenheit analysieren, die Gegenwart erforschen und die Zukunft vorhersagen muss, um im Jahr 2022 erstklassige Cybersicherheit zu gewährleisten? Wir! Und wir tun dies mit Kaspersky Threat Intelligence.

Cyber-Aufklärung: Wie man Wölfe im Schafspelz effektiv fängt; und warum es zum Lernen nie zu spät ist.

Hallo zusammen!

Wir alle wissen, dass sich im Internet jegliche Arten von Malware tummeln – von der primitiven Amateur- bis zur ausgeklügelten Profi-Klasse. In den letzten drei Monaten hat sich die Situation jedoch deutlich zugespitzt. Cyberkriminelle werden immer wagemutiger und ihre Methoden immer fortschrittlicher und raffinierter. Und obwohl der Kampf gegen Cyberkriminelle absolut notwendig ist, ist Vorsorge immer besser als Nachsorge.

Schädliche Vorhaben rechtzeitig zu identifizieren ist daher eine Aufgabe von entscheidender strategischer Bedeutung; umso mehr, wenn es nicht nur um den Schutz von Unternehmen geht, sondern um den Schutz kritischer Infrastrukturen, die uns sichere, komfortable und stabile Lebensbedingungen bieten.

Dementsprechend wichtig ist es, Mitarbeiter eines Unternehmens darin zu schulen, Cyberangriffe auf Unternehmensnetzwerke zu erkennen. Und ja, wir sind weltweit die größten Fans einer solchen Cyber-Aufklärung und führen deshalb regelmäßige Schulungen verschiedenster Art und Formate durch: sowohl online (in Echtzeit) als auch offline, und das alles unter den fürsorglichen und aufmerksamen Augen unserer Experten.

Vor nicht allzu langer Zeit habe ich hier auf meinem Blog über unsere Schulungsprogramme zur Identifizierung von Cyberangriffen auf der Grundlage von Malware-Merkmalen berichtet (mehr über YARA-Regeln erfahren Sie hier). Aber wie Sie bereits wissen, dreht sich das Rad bei K immer weiter. Deshalb möchte ich Ihnen heute von unserem neuen Online-Kurs für Experten erzählen.

Hier ist er also: unser Kurs zur Reaktion auf (Windows-Betriebssystem-) Vorfälle (einschließlich Ransomware) – unser Kurs Kaspersky Windows Incident Response. Übrigens gab es diesen Kurs früher nur im Offline-Format und war bei unseren Kunden am beliebtesten. Er richtet sich sowohl an interne Teams als auch an unabhängige Cybersicherheitsspezialisten, die ihr Wissen weiter vertiefen und ihre Qualifikation steigern möchten.

Jüngsten Untersuchungen zufolge scheinen Top-Manager von (Nicht-IT-)Unternehmen und auch Eigentümer von Unternehmen ihre Fähigkeiten im Umgang mit Ransomware zu überschätzen – insbesondere, wenn sie noch nie mit dem Problem konfrontiert wurden. Und ~73% der Unternehmen sind selbst mit Hilfe ihrer IT-Dienstleister nicht in der Lage, einen Ransomware-Angriff zu bewältigen. Ja – das ist eine ganze Menge!

Was macht diesen Kurs so besonders?

Das Schulungsprogramm wurde von unserem GERT-Team (Global Emergency Response Team), das übrigens nicht mit unserem GReAT-Team zu verwechseln ist, entworfen;

Der Schwerpunkt des Kurses liegt auf praktischen Aufgaben, und sein Hauptmerkmal ist die Entwicklung von Fähigkeiten anhand eines realen Vorfalls – des REvil-Ransomware-Angriffs.

Was kann man von unserem Kurs erwarten? Cybersicherheitsspezialisten wissen, wie man Cybervorfälle identifiziert und darauf reagiert, können APTs von anderen Bedrohungen unterscheiden und verschiedene Methoden und Anatomien zielgerichteter Angriffe über eine Cyber Kill Chain analysieren. Die Teilnehmer sind in der Lage Sicherheitsvorfälle zu untersuchen, lernen, wie man Beweise sammelt, Protokolle von (i) Betriebssystemen, (ii) Netzwerkverkehr und (iii) Speicherinhalte analysiert; Kompromissindikatoren ermittelt und vieles mehr…

Darüber hinaus erhalten sie Zugang zu einer modellierten virtuellen Arbeitsumgebung mit allen notwendigen Tools zur Entwicklung ihrer Fähigkeiten.

Das Programm ist voller wirklich nützlichem, praktischem Know-how und sehr interessant für sein Zielpublikum. Weitere Details, auch zur Anmeldung, finden Sie hier.

Wenn auch Sie interessiert sind an einem seriösen, verbesserten Training für die ernsthafte Aufgabe, fortgeschrittene Bedrohungen zu bekämpfen, springen Sie auf unseren Cyber-Zug (in eine sicherere Welt mithilfe erstklassiger Cybersicherheit) auf.

Cybersoft IP vs. K: ein weiterer Sieg im Kampf gegen Patent-Trolle

Auch in schwierigen Zeiten setzen wir unsere Arbeit fort, um die Welt vor Cyberbedrohungen jeglicher Art zu schützen. Deshalb nehmen wir kein Blatt vor den Mund ->

Hallo!

Regelmäßige Leser meines Blogs werden wahrscheinlich bemerkt haben, dass bereits einige Zeit vergangen ist, seit der Tag „Patent-Trolle“ das letzte Mal sinnvoll eingesetzt wurde. Der letzte Beitrag, der mit diesem Tag versehen wurde, handelte von unserem Sieg in der Patentklage gegen Uniloc im März 2020 – zu dieser Zeit wurden übrigens erstmalig weltweite Lockdowns beschlossen. Deshalb ist es heute an der Zeit, das Thema „Patent-Troll“ erneut aufzugreifen. Glücklicherweise handelt es sich um gute Nachrichten, die man aktuell mehr als zu schätzen weiß…

Vor kurzem nahm der einjährige Rechtsstreit mit dem US-Patent-Troll Cybersoft IP, LLC ein Ende. Gute Nachrichten, keine Frage. Aber jetzt kommt die noch bessere Nachricht: Wir haben gewonnen!

Welche Ansprüche dieser Troll genau gestellt hat? Sehen Sie selbst:

Cybersoft IP, LLC reichte im April 2021 beim Bezirksgericht von Massachusetts eine Klage gegen uns ein, in der das Unternehmen unser voll integriertes E-Mail-System Kaspersky Secure Mail Gateway beanstandete und behauptete, es verstoße gegen das unternehmenseigene US-Patent Nr. US6763467B1 („Methodik und System zum Abfangen von Netzwerkverkehr“) – dabei bezog sich das Unternehmen insbesondere auf die Netzwerksicherheitstechnologie, die über ein Netzwerk übertragene Daten auf Nutzergeräten prüft (hauptsächlich in E-Mails und E-Mail-Anhängen).

Das Patent umfasst ein Verfahren, das innerhalb eines mit einem Netzwerk verbundenen Computersystem durchgeführt wird, um alle Daten – ohne Ausnahmen – abzufangen, zu untersuchen und zu kontrollieren, die über Transportverbindungen zwischen der Transportschicht eines Betriebssystems und Benutzeranwendungen fließen. Hier werden die abgefangenen Daten überprüft, um abzuwägen, ob sie auf unerwünschte Inhalte gescannt werden können oder nicht.

Im Grunde genommen bezieht sich das Patent auf etwas, das einer persönlichen Firewall, die Netzwerkdaten abfängt und scannt, sehr ähnelt. Die Beschreibung des Patents sowie die nachfolgenden Abbildungen [Diagramme] bestätigen dies eindeutig. Eine solche Technologie zur Filterung des Netzwerkverkehrs, die auf dem Gerät eines Benutzers installiert ist, ist nicht nur eine bekannte und weit verbreitete Technologie – sie ist auch seit Jahren in der Cybersicherheitsbranche präsent.

Übrigens, ein Gutachten über den möglichen Schaden, der im Worst-Case-Szenario auf uns hätte zukommen können, bezifferte diesen auf rund eine halbe Million US-Dollar.

Obwohl sich das Patent auf eine gute Idee bezieht, warf die „Qualität“ des Patents viele Fragen auf. Beispielsweise legt die Patentgesetzgebung eines jeden Landes der Welt klar fest, dass ein unabhängiger Patentanspruch einer Erfindung ausführlich erläutert werden muss; auf der anderen Seite kann ein Patent, dessen Beschreibung für das Verständnis einer bestimmten Anspruchsbeschränkung nicht detailliert genug ist, als ungültig anerkannt werden. Das Patentrecht der Vereinigten Staaten bildet in beiden Fällen keine Ausnahme.

Im Falle dieses Patents wurden bei weitem nicht alle Anspruchsbeschränkungen erläutert. Ich möchte in diesem Artikel nicht auf die exakten Details eingehen, aber so viel sei gesagt: der Patentanmelder hat mehrere Sinnfehler begangen, was die Interpretation des Patents unlogisch und bei genauer Prüfung sogar unlesbar machte.

Schlussendlich erkannte Cybersoft IP die Sinnlosigkeit seines Rechtsstreits und entschied sich für eine frühzeitige Einigung im Verfahren. Dabei bestanden wir auf die Unterzeichnung einer Zusage, nicht gegen uns zu klagen, um Cybersoft IP daran zu hindern, gegen uns, unsere Kunden, Partner oder andere mit uns verbundene Personen wegen Verletzung desselben Patents in einer unserer Lösungen Klage einzureichen.

Obwohl das Gerichtsverfahren kein ganzes Jahr dauerte, war es dennoch mit viel Arbeit verbunden:

✅ Wir haben alle Patente des Unternehmens analysiert und Ungültigkeitsargumente für eine Vielzahl dieser Patente formuliert und dokumentiert.

✅ Es ist uns gelungen, dass alle Ansprüche in Bezug auf indirekte Rechtsverletzungen fallen gelassen wurden. Lediglich die hier erwähnte Klage in Bezug auf Kaspersky Secure Mail Gateway wurde aufrechterhalten.

✅ Wir haben einen Plan B entwickelt – für alle Fälle: Dieser bestand aus Argumenten, die zeigen, dass Kaspersky Secure Mail Gateway nicht in unserer US-Infrastruktur eingesetzt wurde.

✅ Wir haben eine hybride Strategie entwickelt, um das Patent für ungültig zu erklären, nachdem wir alle Aspekte seines Anspruchs und seiner Beschreibung analysiert haben. Wir konnten das Patent nach Artikel 103 des US-Patentgesetzes (Erfinderische Tätigkeit) anfechten und unsere Anwälte davon überzeugen, auf Grundlage des Artikels 112 (Unzureichende Offenlegung) strategisch vorzugehen.

✅ Wir konnten den Troll davon überzeugen, unserer Position in Bezug auf Schlüsselbegriffe zuzustimmen und so die sinnvolle Interpretation vieler anderer Begriffe widerlegen, was den Patentanspruch am Ende bedeutungslos machte.

Ich könnte stundenlang so weitermachen, aber das würde den Rahmen dieses Blogposts sprengen. Die Hauptsache ist, dass unser erstklassiges Team im Gerichtsverfahren gegen IP einen weiteren Sieg in unserem anhaltenden Kampf gegen Patent-Trolle errungen hat. Danke für diese großartige Arbeit! Und mögen Innovation und wissenschaftlich-technischer Fortschritt in Zukunft frei von diesen Parasiten bleiben!

PS: Mittlerweile steht es 10:0 für uns! Sie haben richtig gelesen – zehn für uns, null für die Trolle, die versucht haben, es mit uns aufzunehmen! Übrigens: fallen gelassene Klagen zählen nicht dazu 😉.

1,4 Milliarden US-Dollar Schadensersatz: Ein Wendepunkt für Cyberversicherer

Hallo!

Seit meiner letzten iNews-Veröffentlichung, aka Cyber-News von der dunklen Seite, ist bereits einige Zeit vergangen. Mit dem heutigen Beitrag möchte ich dieser Artikelreihe neues Leben schenken, um Sie, meine Leser, mit den besten Highlights atemberaubender Cyber-Infos zu versorgen, von denen Sie vermutlich nichts in Ihren üblichen Nachrichtenquellen erfahren würden…

In diesem Artikel soll es ausnahmsweise nur um ein einziges Highlight gehen – das es dafür aber in sich hat!

Hier eine kurze Zusammenfassung zur Orientierungshilfe: Nach einem langwierigen Gerichtsverfahren in den USA gewinnt der Pharmariese Merck eine Schadensersatzklage in Höhe von 1,4 Milliarden US-Dollar gegen seine Versicherungsfirma und wird so für die im Jahr 2017 durch NotPetya (alias ExPetr oder Petya) entstandenen Verluste entschädigt.

Wir springen zurück ins Jahr 2017…

Im Juni 2017 erscheint wie aus dem Nichts ein technologisch fortschrittlicher Erpressungstrojaner – NotPetya – der sich wie ein Lauffeuer verbreitet. Zunächst zielt dieser nur auf die Ukraine ab, wo er Opfer über eine beliebte Buchhaltungssoftware angreift – zu den Opfern zählen damals Banken, Regierungsstellen, der Flughafen Charkow, die Überwachungssysteme des Kernkraftwerks Tschernobyl (!!!) uvm. Danach breitet sich die Epidemie erst in Russland, danach auf der ganzen Welt weiter aus. Viele Quellen gehen mittlerweile davon aus, dass NotPetya bis dato der folgenschwerste Cyberangriff aller Zeiten ist. Ja, das scheint sehr plausibel, wenn man die Zahl der angegriffenen Unternehmen zählt (von denen Dutzende jeweils Hunderte Millionen US-Dollar verloren haben, während der Gesamtschaden für die Weltwirtschaft auf mindestens 10 Milliarden US-Dollar geschätzt wurde)!

Eines der nennenswertesten Opfer des globalen Cyberangriffs ist zu dieser Zeit der US-Pharmariese Merck. Lektüren zufolge, werden innerhalb von 90 Sekunden (!) nach Beginn der Infektion rund 15.000 seiner Computer bereinigt, während das Rechenzentrum-Backup des Unternehmens (verbunden mit dem Hauptnetzwerk) fast im selben Atemzug verloren geht. Bis zum Ende des Angriffs verliert Merck rund 30.000 Workstations und 7.500 Server. Nach dem Angriff wird monatelang versucht zu retten, was zu retten ist – die Kosten belaufen sich dabei auf ~1,4 Milliarden US-Dollar. Und nicht nur das: Merck sieht sich aufgrund der Unterbrechungen seiner Produktionsabläufe dazu gezwungen, Impfstoffe im Wert von 250 Millionen US-Dollar von externen Quellen zu leihen.

So viel zu den Hintergrundinformationen; jetzt aber zum Wesentlichen:

Der Policen-Vertrag zwischen Merck und der Versicherungsgesellschaft Ace American deckte alle möglichen Risiken ab; auch den Datenverlust im Falle eines Cybervorfalls. Die Versicherungssumme für derartige Schäden belief sich auf sagenhafte 1,75 Milliarden US-Dollar. Ace American weigerte sich jedoch, den NotPetya-Angriff als gedeckten Verlust anzuerkennen, und wollte den geforderten Betrag daher nicht zahlen; sie stuften den Angriff als Ereignis höherer Gewalt ein. Um dies zu untermauern, sagten sie, dass Russland NotPetya entwickelt hatte, um den Trojaner als Cyberwaffe im Krieg gegen die Ukraine einzusetzen, und der Versicherer nicht dazu verpflichtet sei, Folgeschäden einer militärischen Aktion zu ersetzen. Um diese Aussage zu bestärken, zitierte Ace American die öffentlichen Ankündigungen der Regierungen des Vereinigten Königreichs und der USA, die Russland offiziell für diesen Cyberangriff verantwortlich gemacht hatten.

Im Jahr 2019 verklagte Merck seinen Versicherer mit der Begründung, der Angriff sei keine offizielle Aktion eines Nationalstaats gewesen und könne daher nicht als Militäraktion oder bewaffneter Konflikt gewertet werden. Darüber hinaus betonten die Anwälte des Pharmaindustrieunternehmens, dass Cyberangriffe nicht in den Ausnahmen vom Versicherungsschutz der Police aufgeführt waren. Letztendlich entschied das Gericht zugunsten von Merck, mit der Begründung, dass Ace American wusste, dass Cyberangriffe als militärische Aktionen anerkannt werden können, sich jedoch bewusst dazu entschieden hatte, dies nicht in der Versicherungspolice aufzuführen.

Ich bin mir sicher, dass viele Versicherungsunternehmen diesen Fall aufmerksam verfolgt haben und ihre Einheitspolicen von jetzt an auf Herz und Nieren prüfen werden. Dies gilt übrigens genauso für die vielen Opfer unzähliger Cybervorfälle, die höchstwahrscheinlich auch einen genaueren Blick auf die Bedingungen ihrer Versicherungsverträge geworfen haben, um festzustellen, ob ihnen aufgrund dieses Präzedenzfalls von Merck möglicherweise eine Schadensersatzzahlung zusteht. Versicherten und Versicherern sollte jedoch klar sein, dass sie die Langzeitwirkung im Auge behalten müssen: Werden die „Spielregeln“ verändert, sind deutliche Erhöhungen der Versicherungsprämien vermutlich unausweichlich.

Ich lehne mich sogar noch weiter aus dem Fenster und behaupte, dass sich Cyberrisiko-Versicherungen eines Tages in ein sehr großes Geschäft verwandeln werden – und zwar in Form einer Übertragung der traditionellen Versicherungspraxis auf den Bereich der Cybersicherheit, wodurch Anbieter diesen gesamten Versicherungssektor erheblich – wenn nicht sogar irreparabel – schädigen könnten. Die meisten Cybersicherheitsunternehmen garantieren heute immerhin einen 50%igen Schutz gegen Ransomware wie NotPetya.

Doch ein 50%iger Schutz ist ungefähr so als würde man Kameras, Wachleute, Alarmanlagen und Co. einfach durch ein Schild über der Haustür mit der Aufschrift: „Einbrecher nicht erlaubt“ ersetzen! Deshalb gilt: entweder Sie erhalten einen 100%igen Schutz oder gar keinen. Übrigens bietet nur ein Unternehmen 100%igen Schutz vor Ransomware. Raten Sie mal, von welchem ich spreche!

Die Situation sieht also ungefähr folgendermaßen aus: die Risiken eines Cyberangriffs können massiv sein, was bedeutet, dass Unternehmen diese Risiken selbstverständlich versichern wollen. Gleichzeitig wird jeder klardenkende Versicherer, der Zeuge des Vorfalls Merck geworden ist, sein Bestes geben, um sicherzustellen, dass Cyberrisiken nicht in den Versicherungspolicen aufgeführt werden. Was uns zu einer absolut revolutionären Situation führt: Versicherungen wollen Cyberrisiken nicht versichern, obwohl ihre Kunden unbedingt eine Cyberrisiko-Versicherung abschließen möchten.

Was kann man in einem solchen Fall tun? Selbstverständlich die Risiken eines Angriffs auf digitale Infrastrukturen weitgehend minimieren. Mit anderen Worten: die Infrastruktur muss so aufgebaut werden, dass anfällige und kritische Segmente quasi immun gegen externe (und auch interne) Angriffe sind, während der andere Teil der Infrastruktur durch eine mehrschichtige Sicherheitslösung geschützt wird!