Man kann nie zu viele Auszeichnungen bekommen. Besonders Euro-Awards!

Hallo Leute – aus Österreich!…

Aber ich war nicht nur hier, um vom Fenster aus das graue Euro-Wetter zu beobachten. Ich war geschäftlich hier – und zwar in vielerlei Hinsicht; in erster Linie, um dies persönlich in Empfang zu nehmen! ->

… Denn wenn dein Unternehmen von keinem Geringeren als AV-Comparatives zum „Produkt des Jahres“ gekürt wird, steht es außer Frage, dass du persönlich nach Tirol fährst, um den Preis in Empfang zu nehmen! …

Read on: Man kann nie zu viele Auszeichnungen bekommen. Besonders Euro-Awards!

Rückblick 2022: Patente trumpfen auf!

Und die Erfindung neuer Spitzentechnologien ist nur ein Teil davon. Moment, nein: Lassen Sie uns nicht so kategorisch denken…

Eine innovative, bahnbrechende Technologie setzt einen Lebenszyklus in Gang, der wahrscheinlich sehr viel komplexer und langwieriger ist, als sich viele vielleicht vorstellen können. Natürlich steht die Erfindung selbst an erster Stelle, aber ohne den Lebenszyklus, der ihr folgt, läuft selbst die erstaunlichste und revolutionärste Technologie Gefahr, gegen die Wand zu laufen, bevor sie überhaupt richtig Fahrt aufgenommen hat. Oder die Erfindung birgt das Risiko, in die Hände von Verbraucherschützern (aka Consumer Champions) oder Patent-Trollen zu geraten.

Zu den vielen Geschäftsfunktionen, die am Lebenszyklus einer neuen Technologie beteiligt sind, gehört auch die Patentierung. Das liegt daran, dass man keinerlei Rechte an einer neuen Technologie hat, solange diese nicht patentiert wurde, selbst, wenn man sie selbst erfunden hat. Die Geschichte ist voller solcher Beispiele: die Karaoke-Maschine, Magnetstreifen auf Plastikkarten, Fidget Spinners und viele weitere.

Also – Patentierung. Es ist bei weitem nicht der einfachste oder zugänglichste Geschäftsprozess, und er erfordert viel Know-how und viel Geld – vor allem, wenn man ein globales Unternehmen ist. Aber das macht es nicht weniger notwendig. Und da K schon immer auf neuen Technologien beruhte, haben wir uns – sobald es unsere Geschäftsbilanz irgendwie ermöglichte – sofort um das Thema Patentschutz gekümmert: 2008 erhielten wir unser allererstes Patent. Seitdem haben wir unsere eigene Patentexpertise nach und nach so weit ausgebaut, wie wir es uns über die Jahre erlauben konnten.

Je erfolgreicher unser Unternehmen wurde und je mehr wir in der ganzen Welt expandierten, desto häufiger wurden wir von Patent-Trollen gejagt, die auf das schnelle Geld aus waren. Außerdem waren skrupellose Konkurrenten, obwohl sie über Technologien verfügten, die qualitativ kaum mit uns konkurrieren konnten, nicht damit einverstanden, dass Kunden unsere Produkte verwende(te)n. Was die Patentstreitigkeiten betrifft, so wurden insgesamt zehn Klagen gegen uns eingereicht, von denen wir neun gewonnen haben und eine derzeit noch geprüft wird. Denn wir geben niemals auf. Wir wehren uns – und gewinnen haushoch!

Das Gesamtbild.

Die Jahre der Pandemie sowie die geopolitischen Unruhen haben sich sicherlich negativ auf unser Geschäft und auch auf unsere Patentarbeit ausgewirkt. Sowohl die vergangenen als auch die gegenwärtigen Ereignisse werden wahrscheinlich noch jahrelang nachhallen. Das heißt aber nicht, dass wir uns zurücklehnen, bis sich die Situation bessert – ganz im Gegenteil! Gerade jetzt möchten wir noch mehr Gas geben als je zuvor. Und genau das haben wir im Jahr 2022 bereits getan (mehr zu 2021 finden Sie übrigens hier), trotz allem. Und ich verrate Ihnen, wie…

Das vergangene Jahr beendeten wir mit einem Portfolio von 1367 Patenten und 330 Patentanmeldungen in verschiedenen Ländern (darunter die USA, die EU, Russland und China). Im Jahr 2022 erhielten wir 123 neue Patente (davon 51 in den USA, 37 in Russland, 24 in China und 9 in der EU) und reichten 58 Patentanmeldungen ein. Aber wir sollten uns nicht nur auf die Quantität konzentrieren. Schauen Sie sich auch die Qualität an: Uns wurden für ~98 % unserer Patentanmeldungen die jeweiligen Patente erteilt (in einigen Ländern sogar für 100 %!), während der weltweite Durchschnitt für Unternehmen bei etwa 50 % liegt. Ein Hoch auf uns!

Unser gesamtes Patentbild sieht folgendermaßen aus:

Vielfalt ist die treibende Kraft des Fortschritts.

Für welche technologischen Segmente haben wir also die meisten Patentanmeldungen eingereicht? Im Grunde gibt es eigentlich keine Bereiche, die wirklich überwiegen. Wir beantragen Patente für unsere Technologie, sobald wir etwas Neues in der breiten Palette unserer Cybersicherheitstechnologien entwickelt haben. Lassen Sie mich einfach auf einige unserer interessanteren Patente eingehen.

Fangen wir mit maschinellem Lernen an. Es macht in unserem Portfolio insgesamt 71 Patente und 63 Anmeldungen aus.

Dazu gehört der Einsatz von maschinellem Lernen zur Erkennung von Anomalien in Produktionsprozessen und damit zur Aufdeckung bisher unbekannter Cyberangriffe sowie von Ausfällen, Fehlfunktionen und Leerlaufzeiten von Industrieanlagen. All dies wird von unserem „Anomalie-Frühwarnsystem“ – MLAD (Details hier) – geleistet, das bereits 10 Patente vorweisen kann (und mit Sicherheit in Zukunft noch viele weitere erhalten wird).

Was die Patente für maschinelles Lernen im Jahr 2022 betrifft, haben wir ein Patent für eine Technologie angemeldet, die Diagnoseregeln verwendet, die zuvor bekannte Besonderheiten des Verhaltens eines überwachten Objekts beschreiben. Die Aktivierung von Regeln wird als Anomalie betrachtet, während ein Vorfall von einem speziellen Ereignis-Prozessor auf der Grundlage neurosemantischer Netze zur Aufdeckung von Mustern und anomalen Sequenzen klassifiziert wird.

Wir haben zahlreiche Patente zum Schutz unserer Erfindungen im Zusammenhang mit unserer Anti-Telefon-Spam-Anwendung WhoCalls angemeldet, die auf der Grundlage maschineller Lernalgorithmen und Nutzermeinungen die IDs eingehender Telefonnummern, ihre Reputation und Kategorie ermittelt. Sie funktioniert sowohl auf Android als auch auf iOS und bietet einen sicheren Raum für die soziale Interaktion per Telefon.

Beispielsweise verwenden wir bei WhoCalls Ansätze zur Ermittlung von Nummern auf der Grundlage der Art der von ihnen ausgehenden Anrufe und nutzen einen Bloomfilter bei der Sammlung von Statistiken über Telefonanrufe zur Entpersonalisierung von Daten.

Einer der am schnellsten wachsenden IT-Bereiche der Welt ist das Internet der Dinge (IoT). Die Dynamik in diesem Bereich ist vollkommen verrückt: Neue Produkte kommen in einem so rasanten Tempo auf den Markt, dass die Entwickler, gelinde gesagt, wenig an die Cybersicherheit denken. Es ist, als ob man sich erst in Handschellen legen und erst danach darüber nachdenken würde, den Kampf durch ein Gespräch zu beenden, anstatt sich grün und blau zu schlagen. Und wer wird den „Kampf“ letztendlich beenden? Wir! Und es gibt hier soooo viele Dinge zu patentieren. Es ist ein Bereich, der weitgehend unpatentiert ist!

Zu den interessantesten IoT-Patentanmeldungen gehören eine Technologie zum Abfangen des Datenverkehrs in IoT-Netzwerken, um Anomalien und schädliche Objekte zu erkennen, sowie eine Lösung für die digitale Sicherheit von Smart Homes durch die Installation von Schutzlösungen für intelligente Geräte.

Was ist noch erwähnenswert? (i) Die Patente zur Sandbox-Optimierung (verwendet in Research Sandbox, KATA usw.; insgesamt im Portfolio: 106 Patente und 24 Anmeldungen), um die Belastung durch die dynamische Analyse von Apps zu reduzieren; (ii) die Patente für den Einsatz von KasperskyOS zur Kontrolle des industriellen Datenverkehrs; und (iii) die Patente für die Technologie der Nachrichtenübermittlung innerhalb von KasperskyOS. Übrigens wurden im Jahr 2022 20 neue Patente für KasperskyOS erteilt und fünf Anträge eingereicht!

All das ist Ihnen noch nicht genug? Dann finden Sie im Anschluss die Crème de la Crème der Patente – die interessantesten Patente des Jahres:

US11514160: System und Verfahren zur Bestimmung eines Schädlichkeitskoeffizienten einer Datei unter Verwendung eines trainierten Lernmodells.

Dieses Patent deckt die Verwendung neuronaler Netze zur Bildung von Erkennungsregeln ab. Bei der Entdeckung eines APT (zielgerichteter Angriff), gibt es in der Regel nur eine oder zwei aufgedeckte schädliche Dateien, die eine Rolle für die Analyse spielen. Nach dieser Entdeckung müssen ähnliche Schaddateien gefunden werden – und zwar solche, die einige der gleichen Attribute wie die entdeckten Dateien aufweisen, aber möglicherweise völlig andere Aktionen ausführen. Hierfür verwenden wir ein spezielles neuronales Netzwerk, das auf eine einzelne Schaddatei und Sammlungen sicherer Dateien trainiert wird (um False Positives zu minimieren und die neuronalen Netzwerke weiter zu trainieren).

US11288401: System und Verfahren zur Reduzierung der Anzahl von False Positives bei der Klassifizierung von Dateien.

Ein Patent, das den Einsatz von zwei Klassifikatoren in einer Reihe zum Aufspüren schädlicher Dateien abdeckt. Die Analyse ist in zwei Etappen unterteilt: In der ersten werden leicht zu extrahierende Attribute verwendet (Dateigrößen, Anzahl der Abschnitte, andere Informationen aus dem Header der Datei). Auf der Grundlage solcher Attribute wird ein Hash berechnet – die Nummer des Sektors in der Dimension der Dateien. In der zweiten Etappe werden genauere Klassifikatoren (z. B. Entscheidungsbäume) für komplexere Daten verwendet – Analyse von Strings, Disassemblierung, Verwendung statistischer Daten. Der zweite Klassifikator für jeden Sektor wird separat trainiert, wodurch seine lokale Genauigkeit erhöht wird.

US11449615: System und Verfahren zur Erstellung eines Protokolls bei der Ausführung einer Datei mit Schwachstellen in einer virtuellen Maschine [aka Sandbox].

Und: US11379581System und Verfahren zur Erkennung von Schaddateien.

Die von diesen Patenten abgedeckte Technologie löst eine andere Aufgabe im Zusammenhang mit einer Sandbox: das Filtern analysierter Dateien mit Hilfe von maschinellem Lernen, was die Belastung der Infrastruktur durch das Herausfiltern polymorpher Dateien verringern kann.

US11385987System und Verfahren zur Bewertung der Auswirkungen von Software auf industrielle Automatisierungs- und Steuerungssysteme – eine spezielle Lösung für die Analyse von Malware-Aktivitäten und deren Auswirkungen auf ICS-Systeme (Details finden Sie hier).

US11356468System und Verfahren zum Einsatz von Regeln für die Inventarisierung zur Identifizierung von Geräten eines Computernetzwerks – passive Analyse des Netzwerkverkehrs zur Identifizierung von ICS-Objekten zusammen mit der Kontextdekodierung von Netzwerkpaketen.

Vielen Dank für Ihre Aufmerksamkeit! Patentüberblick 2022 – over & out!

 

Cyber-Aufklärung: Wie man Wölfe im Schafspelz effektiv fängt; und warum es zum Lernen nie zu spät ist.

Hallo zusammen!

Wir alle wissen, dass sich im Internet jegliche Arten von Malware tummeln – von der primitiven Amateur- bis zur ausgeklügelten Profi-Klasse. In den letzten drei Monaten hat sich die Situation jedoch deutlich zugespitzt. Cyberkriminelle werden immer wagemutiger und ihre Methoden immer fortschrittlicher und raffinierter. Und obwohl der Kampf gegen Cyberkriminelle absolut notwendig ist, ist Vorsorge immer besser als Nachsorge.

Schädliche Vorhaben rechtzeitig zu identifizieren ist daher eine Aufgabe von entscheidender strategischer Bedeutung; umso mehr, wenn es nicht nur um den Schutz von Unternehmen geht, sondern um den Schutz kritischer Infrastrukturen, die uns sichere, komfortable und stabile Lebensbedingungen bieten.

Dementsprechend wichtig ist es, Mitarbeiter eines Unternehmens darin zu schulen, Cyberangriffe auf Unternehmensnetzwerke zu erkennen. Und ja, wir sind weltweit die größten Fans einer solchen Cyber-Aufklärung und führen deshalb regelmäßige Schulungen verschiedenster Art und Formate durch: sowohl online (in Echtzeit) als auch offline, und das alles unter den fürsorglichen und aufmerksamen Augen unserer Experten.

Vor nicht allzu langer Zeit habe ich hier auf meinem Blog über unsere Schulungsprogramme zur Identifizierung von Cyberangriffen auf der Grundlage von Malware-Merkmalen berichtet (mehr über YARA-Regeln erfahren Sie hier). Aber wie Sie bereits wissen, dreht sich das Rad bei K immer weiter. Deshalb möchte ich Ihnen heute von unserem neuen Online-Kurs für Experten erzählen.

Hier ist er also: unser Kurs zur Reaktion auf (Windows-Betriebssystem-) Vorfälle (einschließlich Ransomware) – unser Kurs Kaspersky Windows Incident Response. Übrigens gab es diesen Kurs früher nur im Offline-Format und war bei unseren Kunden am beliebtesten. Er richtet sich sowohl an interne Teams als auch an unabhängige Cybersicherheitsspezialisten, die ihr Wissen weiter vertiefen und ihre Qualifikation steigern möchten.

Jüngsten Untersuchungen zufolge scheinen Top-Manager von (Nicht-IT-)Unternehmen und auch Eigentümer von Unternehmen ihre Fähigkeiten im Umgang mit Ransomware zu überschätzen – insbesondere, wenn sie noch nie mit dem Problem konfrontiert wurden. Und ~73% der Unternehmen sind selbst mit Hilfe ihrer IT-Dienstleister nicht in der Lage, einen Ransomware-Angriff zu bewältigen. Ja – das ist eine ganze Menge!

Was macht diesen Kurs so besonders?

Das Schulungsprogramm wurde von unserem GERT-Team (Global Emergency Response Team), das übrigens nicht mit unserem GReAT-Team zu verwechseln ist, entworfen;

Der Schwerpunkt des Kurses liegt auf praktischen Aufgaben, und sein Hauptmerkmal ist die Entwicklung von Fähigkeiten anhand eines realen Vorfalls – des REvil-Ransomware-Angriffs.

Was kann man von unserem Kurs erwarten? Cybersicherheitsspezialisten wissen, wie man Cybervorfälle identifiziert und darauf reagiert, können APTs von anderen Bedrohungen unterscheiden und verschiedene Methoden und Anatomien zielgerichteter Angriffe über eine Cyber Kill Chain analysieren. Die Teilnehmer sind in der Lage Sicherheitsvorfälle zu untersuchen, lernen, wie man Beweise sammelt, Protokolle von (i) Betriebssystemen, (ii) Netzwerkverkehr und (iii) Speicherinhalte analysiert; Kompromissindikatoren ermittelt und vieles mehr…

Darüber hinaus erhalten sie Zugang zu einer modellierten virtuellen Arbeitsumgebung mit allen notwendigen Tools zur Entwicklung ihrer Fähigkeiten.

Das Programm ist voller wirklich nützlichem, praktischem Know-how und sehr interessant für sein Zielpublikum. Weitere Details, auch zur Anmeldung, finden Sie hier.

Wenn auch Sie interessiert sind an einem seriösen, verbesserten Training für die ernsthafte Aufgabe, fortgeschrittene Bedrohungen zu bekämpfen, springen Sie auf unseren Cyber-Zug (in eine sicherere Welt mithilfe erstklassiger Cybersicherheit) auf.

1,4 Milliarden US-Dollar Schadensersatz: Ein Wendepunkt für Cyberversicherer

Hallo!

Seit meiner letzten iNews-Veröffentlichung, aka Cyber-News von der dunklen Seite, ist bereits einige Zeit vergangen. Mit dem heutigen Beitrag möchte ich dieser Artikelreihe neues Leben schenken, um Sie, meine Leser, mit den besten Highlights atemberaubender Cyber-Infos zu versorgen, von denen Sie vermutlich nichts in Ihren üblichen Nachrichtenquellen erfahren würden…

In diesem Artikel soll es ausnahmsweise nur um ein einziges Highlight gehen – das es dafür aber in sich hat!

Hier eine kurze Zusammenfassung zur Orientierungshilfe: Nach einem langwierigen Gerichtsverfahren in den USA gewinnt der Pharmariese Merck eine Schadensersatzklage in Höhe von 1,4 Milliarden US-Dollar gegen seine Versicherungsfirma und wird so für die im Jahr 2017 durch NotPetya (alias ExPetr oder Petya) entstandenen Verluste entschädigt.

Wir springen zurück ins Jahr 2017…

Im Juni 2017 erscheint wie aus dem Nichts ein technologisch fortschrittlicher Erpressungstrojaner – NotPetya – der sich wie ein Lauffeuer verbreitet. Zunächst zielt dieser nur auf die Ukraine ab, wo er Opfer über eine beliebte Buchhaltungssoftware angreift – zu den Opfern zählen damals Banken, Regierungsstellen, der Flughafen Charkow, die Überwachungssysteme des Kernkraftwerks Tschernobyl (!!!) uvm. Danach breitet sich die Epidemie erst in Russland, danach auf der ganzen Welt weiter aus. Viele Quellen gehen mittlerweile davon aus, dass NotPetya bis dato der folgenschwerste Cyberangriff aller Zeiten ist. Ja, das scheint sehr plausibel, wenn man die Zahl der angegriffenen Unternehmen zählt (von denen Dutzende jeweils Hunderte Millionen US-Dollar verloren haben, während der Gesamtschaden für die Weltwirtschaft auf mindestens 10 Milliarden US-Dollar geschätzt wurde)!

Eines der nennenswertesten Opfer des globalen Cyberangriffs ist zu dieser Zeit der US-Pharmariese Merck. Lektüren zufolge, werden innerhalb von 90 Sekunden (!) nach Beginn der Infektion rund 15.000 seiner Computer bereinigt, während das Rechenzentrum-Backup des Unternehmens (verbunden mit dem Hauptnetzwerk) fast im selben Atemzug verloren geht. Bis zum Ende des Angriffs verliert Merck rund 30.000 Workstations und 7.500 Server. Nach dem Angriff wird monatelang versucht zu retten, was zu retten ist – die Kosten belaufen sich dabei auf ~1,4 Milliarden US-Dollar. Und nicht nur das: Merck sieht sich aufgrund der Unterbrechungen seiner Produktionsabläufe dazu gezwungen, Impfstoffe im Wert von 250 Millionen US-Dollar von externen Quellen zu leihen.

So viel zu den Hintergrundinformationen; jetzt aber zum Wesentlichen:

Der Policen-Vertrag zwischen Merck und der Versicherungsgesellschaft Ace American deckte alle möglichen Risiken ab; auch den Datenverlust im Falle eines Cybervorfalls. Die Versicherungssumme für derartige Schäden belief sich auf sagenhafte 1,75 Milliarden US-Dollar. Ace American weigerte sich jedoch, den NotPetya-Angriff als gedeckten Verlust anzuerkennen, und wollte den geforderten Betrag daher nicht zahlen; sie stuften den Angriff als Ereignis höherer Gewalt ein. Um dies zu untermauern, sagten sie, dass Russland NotPetya entwickelt hatte, um den Trojaner als Cyberwaffe im Krieg gegen die Ukraine einzusetzen, und der Versicherer nicht dazu verpflichtet sei, Folgeschäden einer militärischen Aktion zu ersetzen. Um diese Aussage zu bestärken, zitierte Ace American die öffentlichen Ankündigungen der Regierungen des Vereinigten Königreichs und der USA, die Russland offiziell für diesen Cyberangriff verantwortlich gemacht hatten.

Im Jahr 2019 verklagte Merck seinen Versicherer mit der Begründung, der Angriff sei keine offizielle Aktion eines Nationalstaats gewesen und könne daher nicht als Militäraktion oder bewaffneter Konflikt gewertet werden. Darüber hinaus betonten die Anwälte des Pharmaindustrieunternehmens, dass Cyberangriffe nicht in den Ausnahmen vom Versicherungsschutz der Police aufgeführt waren. Letztendlich entschied das Gericht zugunsten von Merck, mit der Begründung, dass Ace American wusste, dass Cyberangriffe als militärische Aktionen anerkannt werden können, sich jedoch bewusst dazu entschieden hatte, dies nicht in der Versicherungspolice aufzuführen.

Ich bin mir sicher, dass viele Versicherungsunternehmen diesen Fall aufmerksam verfolgt haben und ihre Einheitspolicen von jetzt an auf Herz und Nieren prüfen werden. Dies gilt übrigens genauso für die vielen Opfer unzähliger Cybervorfälle, die höchstwahrscheinlich auch einen genaueren Blick auf die Bedingungen ihrer Versicherungsverträge geworfen haben, um festzustellen, ob ihnen aufgrund dieses Präzedenzfalls von Merck möglicherweise eine Schadensersatzzahlung zusteht. Versicherten und Versicherern sollte jedoch klar sein, dass sie die Langzeitwirkung im Auge behalten müssen: Werden die „Spielregeln“ verändert, sind deutliche Erhöhungen der Versicherungsprämien vermutlich unausweichlich.

Ich lehne mich sogar noch weiter aus dem Fenster und behaupte, dass sich Cyberrisiko-Versicherungen eines Tages in ein sehr großes Geschäft verwandeln werden – und zwar in Form einer Übertragung der traditionellen Versicherungspraxis auf den Bereich der Cybersicherheit, wodurch Anbieter diesen gesamten Versicherungssektor erheblich – wenn nicht sogar irreparabel – schädigen könnten. Die meisten Cybersicherheitsunternehmen garantieren heute immerhin einen 50%igen Schutz gegen Ransomware wie NotPetya.

Doch ein 50%iger Schutz ist ungefähr so als würde man Kameras, Wachleute, Alarmanlagen und Co. einfach durch ein Schild über der Haustür mit der Aufschrift: „Einbrecher nicht erlaubt“ ersetzen! Deshalb gilt: entweder Sie erhalten einen 100%igen Schutz oder gar keinen. Übrigens bietet nur ein Unternehmen 100%igen Schutz vor Ransomware. Raten Sie mal, von welchem ich spreche!

Die Situation sieht also ungefähr folgendermaßen aus: die Risiken eines Cyberangriffs können massiv sein, was bedeutet, dass Unternehmen diese Risiken selbstverständlich versichern wollen. Gleichzeitig wird jeder klardenkende Versicherer, der Zeuge des Vorfalls Merck geworden ist, sein Bestes geben, um sicherzustellen, dass Cyberrisiken nicht in den Versicherungspolicen aufgeführt werden. Was uns zu einer absolut revolutionären Situation führt: Versicherungen wollen Cyberrisiken nicht versichern, obwohl ihre Kunden unbedingt eine Cyberrisiko-Versicherung abschließen möchten.

Was kann man in einem solchen Fall tun? Selbstverständlich die Risiken eines Angriffs auf digitale Infrastrukturen weitgehend minimieren. Mit anderen Worten: die Infrastruktur muss so aufgebaut werden, dass anfällige und kritische Segmente quasi immun gegen externe (und auch interne) Angriffe sind, während der andere Teil der Infrastruktur durch eine mehrschichtige Sicherheitslösung geschützt wird!

Rückblick auf die Produkteinführungen vom Vorjahr – 2022 kommen mehr!

Das neue Arbeitsjahr hat begonnen und bahnt seinen Weg unermüdlich und unaufhaltsam, wie … ein Langstreckenflugzeug, das Richtung Osten fliegt. Schaut man aus dem Fenster, stellt man fest, dass es draußen heller wird: In Moskau gibt es eine Stunde mehr Tageslicht als vor einem Monat, in New York 40 Minuten und in Reykjavik, der Hauptstadt von Island, ganze zwei Stunden! Sogar in Singapur genießen die Bewohner … eine Minute mehr Tageslicht als vor 31 Tagen.

Trotzdem gibt es immer noch viel über 2021 zu berichten! Zuerst habe ich meinen Jahresrückblick veröffentlicht (alles positiv), dann gab es noch den Bericht über die 2021 K-Patente (alles positiv). In Kürze wird auch unser jährlicher Finanzbericht fertig sein (alles positiv :-)). Und jetzt, hier und heute – habe ich noch einen Bericht für Sie!

Mehrere Berichte zu einem einzigen Jahr? Wenn jemand genug von 2021 hatte, es hinter sich lassen und einfach vergessen möchte, um mit diesem Jahr fortzufahren, wird Ihnen dieser Blogbeitrag gefallen! ->

Den Kalender oben können Sie gerne herunterladen, denn das Bild stammt von dieser Seite (und auf dieser Seite finden Sie heraus, um was es genau geht, nur für den Fall, dass es Sie interessiert …).

So, und jetzt geht’s zurück zum vierten 2021-Bericht …

In diesem Fachbericht geht es um die Durchbrüche, die wir mit der Entwicklung neuer Produkte und Technologien im arbeitsreichen Jahr 2021 erreicht haben – alle mit dem globalen Ziel, Sie vor den Gefahren der Cyberwelt zu schützen. Aber zuerst möchte ich Ihnen noch einiges über die Vorgeschichte der Produkte und Technologie erzählen …
Read on: Rückblick auf die Produkteinführungen vom Vorjahr – 2022 kommen mehr!

Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

In manchen Artikeln zum Thema „was tun bei Ransomware-Angriffen“, las ich teilweise Folgendes: „Ziehen Sie eine Lösegeldzahlung in Erwägung.“ Diese Worte lösen bei mir immer einen tiefen Seufzer aus … ich lasse die Luft langsam aus meinen aufgeblasenen Backen entweichen, während ich den Browser-Tab schließe. Warum ich so reagiere? Weil man Erpressern unter keinen Umständen Lösegeld zahlen sollte! Die Tatsache, dass man damit kriminelle Aktivitäten unterstützt, ist auch nicht der einzige Grund dafür. Es gibt da noch einige weitere Gründe. Folgend werde ich sie einzeln erklären:

Erstens: Weil mit dem Lösegeld Malware gesponsert wird

Read on: Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

MLAD – Fabriken mit Machine Learning for Anomaly Detection am Laufen halten

Uff, Gott sei Dank ist es vorbei! Das grässlichste Jahr für die meisten von uns ist endlich zu Ende gegangen, over, finito, passé. Wir hoffen einfach mal, dass die Menschen recht haben, die ständig wiederholen, dass 2021 nur besser werden kann, denn schlimmer ist unmöglich, nicht wahr?

Letztes Jahr stand die ganze Welt quasi zehn Monate lang unter Schock. Und damit meine ich nicht nur die Weltbevölkerung – auch private Unternehmen und die verschiedenen Wirtschaftsräume wurden sehr hart getroffen. Leider gibt es einen Sektor, der gar nicht unter der Pandemie gelitten hat und tatsächliche sogar im letzten Jahr aufgeblüht ist – richtig, es handelt sich um Cyberverbrechen. Durch den Lockdown wechselten viele Menschen vom Büro zum Homeoffice und verbrachten viel mehr Zeit online, dementsprechend befanden sich deutlich mehr potenzielle Opfer von Cyberkriminalität im Internet. Das betraf nicht nur individuelle Benutzer, sondern auch Unternehmen – die Mitarbeiter mussten plötzlich zu Hause arbeiten und viele Unternehmensnetzwerke wurden angegriffen, weil sie nicht ausreichend geschützt waren. Im Frühling 2020 war es vorrangig den abrupten Wechsel zu Remote Work schnell über die Bühne zu bringen und demzufolge war Sicherheit nicht immer die oberste Priorität. Kurz gefasst, der digitale Status quo der Welt wurde auch tüchtig von Covid-19 gebeutelt, ein Virus der direkt aus der Hölle zu kommen scheint.

Aufgrund der stark zunehmenden Anzahl von Cyberverbrechen – besonders Angriffe, die es auf die Sicherheitslücken der Unternehmensnetzwerke abgesehen haben – haben Cybersicherheitsunternehmen mehr denn je zu tun. Ja, das betrifft auch uns! 2020 stellte sich für unser Unternehmen als eines der produktivsten Jahre heraus. Beispielsweise haben wir eine beeindruckende Anzahl an neuen Versionen unserer Sicherheitstechnologien herausgebracht, besonders für Unternehmen.

Wir haben auch neue Versionen der Sicherheitslösungen für industrielle Cybersicherheit entwickelt und in meinem heutigen Blogbeitrag geht es um eine dieser Lösungen, und zwar um MLAD. Bitte nicht mit witzigen Online-Videos verwechseln. Auch nicht mit der Abkürzung MLAD, die für Minimum Local Analgesic Dose (Mindestdosis für Schmerzmittel) steht, noch mit MLAD als Abkürzung für Mid Left Anterior Descending Artery (absteigender Ast der linken Koronararterie). MLAD in diesem Kontext bedeutet Machine Learning for Anomaly Detection, eine Technologie die mehr Sicherheit durch maschinelles Lernen bietet.

Wenn Sie unsere Blogbeiträge regelmäßig lesen, erinnern Sie sich eventuell an die eine oder andere Information zu dieser Technologie, die wir bei Kaspersky anwenden. Vielleicht auch nicht. Aber kein Grund zur Sorge, vorsichtshalber folgt eine kurze Auffrischung zu diesem Thema.

Unser MLAD ist ein System, das maschinelles Lernen zur Analyse von Telemetriedaten der Industrieanlagen verwendet, um Anomalien, Angriffe oder Störungen festzustellen.

Stellen Sie sich vor, Sie besitzen eine Fabrik in der tausende von Sensoren installiert sind – einige messen den Druck, andere die Temperatur usw. Jeder Sensor generiert einen konstanten Informationsfluss. Für einen Mitarbeiter wäre es unmöglich all diese Information im Auge zu behalten, aber für maschinelles Lernen ist diese Aufgabe ein Kinderspiel. Wenn vorweg ein neuronales Netzwerk trainiert wurde, kann MLAD, basierend auf direkten oder indirekten Wechselbeziehungen feststellen, dass etwas in einem bestimmten Bereich der Fabrik nicht richtig funktioniert. Es können Schäden in Millionenhöhe und sogar Verluste von mehreren Millionen vermieden werden, wenn mögliche Vorfälle frühzeitig im Keim erstickt werden.

So, das war die Kurzbeschreibung von MLAD. Jetzt werde ich versuchen die MLAD- Analysen anhand einer medizinischen Metapher detaillierter zu erklären.

Einige von Ihnen besitzen eventuell ein Fitness-Armband. Darauf können Sie Ihren Puls, die Anzahl der getätigten Schritte und ein paar mehr Dinge ablesen. Das Gerät ist mit einigen Sensoren ausgestattet und das war’s auch schon. Nehmen wir an, dass Ärzte über fortschrittlichere Geräte verfügen, die außerdem auch den Blutdruck, die Anzahl von weißen Blutkörperchen usw. messen. Jetzt lassen Sie uns einen Schritt weitergehen und von dem hypothetischen Fall ausgehen, dass Ärzte über ein Gerät verfügen, das mit Zigtausend Sensoren verbunden ist, die am ganzen Körper angebracht sind und jedes Blutgefäß, jede Nervenzelle und alles andere überwachen und kontinuierlich diese Telemetriedaten übertragen. Diese enorme, detaillierte Datenmenge hilft dem Arzt garantiert bei der Untersuchung des Patienten und er kann mithilfe dieser Daten das eine oder andere diagnostizieren und eine Behandlung verordnen. Allerdings würde der Arzt bei der Analyse der großen und komplexen Datenmenge bestimmt Kopfschmerzen bekommen (die auch von einem Sensor festgestellt werden) – Und schwuppdiwupp mit einem im Wind flatternden Umhang und enger Unterhose über den Leggings kommt etwas angeflogen, um dem überlasteten Arzt aufzuhelfen. Sie haben richtig geraten, es ist nicht Supermann, es sind unsere TeKhnologien!

Read on: MLAD – Fabriken mit Machine Learning for Anomaly Detection am Laufen halten

Ransomware: Hier hört der Spaß auf!

Zunächst einige Informationen zur Vorgeschichte:

Am 10. September wurde das Universitätsklinikum Düsseldorf Opfer eines Cyberangriffs bei dem insgesamt 30 interne Server durch die Ransomware-Malware DoppelPaymer verschlüsselt werden konnten; der Patientendurchsatz sah sich durch diesen Vorfall enorm beeinträchtigt. Nur wenige Tage später war das Klinikum infolge des IT-Ausfalls seiner Installationen dazu gezwungen, einer lebensbedrohlich erkrankten Patientin die Krankenhausaufnahme und eine damit verbundene Notoperation zu verwehren. Die Frau wurde umgehend in ein Wuppertaler Krankenhaus umgeleitet, verstarb allerdings noch auf dem Weg ins benachbarte Klinikum. Es handelt sich hierbei um den ersten bekannten Ransomware-Angriff mit Todesfolge.

Der tödliche Unfall (vorausgesetzt, die Angreifer waren sich einem solch schwerwiegenden Ausgang nicht bewusst) ist und bleibt tragisch – vor allem die Tatsache, dass in diesem Fall grundlegende Regeln der Cybersicherheitshygiene ganz klar vernachlässigt wurden, lässt einiges zu wünschen übrig. Dazu gesellt sich die offensichtliche Unfähigkeit der Strafverfolgungsbehörden, den beteiligten organisierten Kriminellen erfolgreich entgegenzutreten.

Die Hacker konnten das Krankenhausnetzwerk über eine Schwachstelle auf den Citrix Netscaler-Servern, die als Shitrix bekannt ist und bereits im Januar dieses Jahres gepatcht wurde, angreifen. Es scheint, als hätten die Systemadministratoren also viel zu lange mit der Installation des Patches gewartet. Diese Nachlässigkeit ermöglichte es den Kriminellen, in das Netzwerk einzudringen und eine Backdoor zu installieren.

Bis zu diesem Punkt handelt es sich um harte Fakten. Im Anschluss folgen einige Vermutungen, die bis dato so nicht bestätigt werden konnten, die aber dennoch mehr als wahrscheinlich sind …

Es ist nicht auszuschließen, dass die Backdoor in Untergrundforen als „Universitäts-Backdoor“ an andere Hacker verkauft wurde. Tatsächlich zielte der Angriff ursprünglich auf die nahe gelegene Heinrich-Heine-Universität ab. Das geht immerhin aus der von den Erpressern verfassten E-Mail hervor, in der diese ein Lösegeld für die Freigabe der von ihnen verschlüsselten Daten fordern. Nachdem die Hacker auf ihr tatsächliches Angriffsziel aufmerksam wurden, händigten sie dem Krankenhaus umgehend alle Schlüssel zur Entsperrung der Systeme aus (und tauchten ab). All das erweckt den Eindruck, dass Cyberkriminelle kein besonderes Interesse an Krankenhäusern zu haben scheinen. Sie gelten als zu „toxisch“ (wie dieser Vorfall auf die schlimmste – tödlichste – Art und Weise gezeigt hat).

Hinter der Malware DoppelPaymer wird die russischsprachige Hackergruppe Evil Corp, der weitere hochkarätige Cyber- und Ransomwareangriffe (darunter auch der Angriff auf das Garmin-Netzwerk) zugeschrieben werden können, vermutet. Im Jahr 2019 erhob die US-Regierung deshalb bereits Anklage gegen Einzelpersonen der Gruppe Evil Corp und setzte eine Belohnung in Höhe von fünf Millionen US-Dollar für Unterstützung bei der Festnahme dieser Personen aus. Merkwürdig ist, dass die Kriminellen keine Unbekannten sind, sondern bis vor kurzem sogar noch mit ihrem glamourösen Gangster-Lifestyle prahlten – auch in den sozialen Medien.

Quelle

In unserer Welt scheint momentan einiges gewaltig schief zu laufen. Zum einen wäre da die Tatsache, dass Krankenhäuser überhaupt unter den kriminellen Machenschaften skrupelloser Ransomware-Hacker zu leiden haben – auch, wenn das Klinikum den Kriminellen in diesem Fall ganz offensichtlich nur durch eine Verwechselung zum Opfer gefallen ist. Dennoch ist auch das zweite Szenario, das sich aus eben dieser Verwechslung ergibt, nicht besonders vielversprechender: denn es bedeutet nur, dass nun auch Universitäten ins Blickfeld von Cyberkriminellen geraten sind (oft, um Forschungsdaten zu stehlen – einschließlich COVID-19-bezogene Daten). Doch auch aus Cybersicherheitsperspektive gibt es einiges zu bemängeln …

… denn, wie kann ein Krankenhaus überhaupt so nachlässig sein? Eine Schwachstelle nicht rechtzeitig zu patchen, sodass Cyberkriminellen Tür und Tor weit offenstehen und Backdoors ohne Probleme installiert werden können? Wie oft haben wir in der Vergangenheit schon betont, dass FreeBSD (damit arbeitet Netscaler) in keinster Weise sicher, sondern genau das Gegenteil der Fall ist: Hierbei handelt es sich um den „falschen Freund“ eines jeden Cybersicherheitsexperten. Dieses Betriebssystem ist keineswegs immun und weist Schwachstellen auf, die sich für ausgeklügelte Cyberattacken ausnutzen lassen. Und dann wäre da natürlich noch die Tatsache, dass eine so kritische Einrichtung wie ein Krankenhaus (also infrastrukturelle Organisationen) einen mehrstufigen Schutz benötigen, bei dem jede Ebene die andere unterstützt: Hätte das Krankenhaus einen zuverlässigen Schutz für das interne Netzwerk installiert, hätten es die Hacker vermutlich nie so weit geschafft.

Die deutsche Polizei untersucht nun die Vorgänge, die zum Tod der Patientin geführt haben. Und ich hoffe wirklich, dass sich die deutschen Behörden mit einem formellen Ersuchen für Zusammenarbeit bei der Festnahme der beteiligten Kriminellen an die russischen Behörden wenden werden.

Damit die Polizei ein Strafverfahren einleiten kann, muss zumindest eine formelle Erklärung / ein formeller Antrag oder der Gegenstand eines begangenen Verbrechens vorgelegt werden. Presseartikel oder jegliche Art informeller Kommentare oder Ankündigungen werden vom Rechtssystem nicht anerkannt. Mit anderen Worten: Kein formeller Antrag – kein Fall. Wenn es jedoch glaubwürdige Beweise für ein begangenes Verbrechen gäbe, dann würde ein zwischenstaatliches Interaktionsverfahren greifen, das befolgt werden muss. Alles sehr formal, aber so ist es nun mal. Die Regierungen müssen ihre politischen Vorurteile überwinden und gemeinsam handeln. Denn, wie dieser Fall gezeigt hat, stehen bereits Menschenleben auf dem Spiel. Während die internationale Zusammenarbeit durch die Geopolitik weitgehend eingefroren ist, werden Cyberkriminelle immer wieder neue verdorbene Handlungen gegen die Menschheit einleiten.

UPDATE: Der erste Schritt zur Wiederaufnahme der Zusammenarbeit im Bereich Cybersicherheit ist bereits getan. Ich drücke weiterhin die Daumen …

Übrigens: Ist Ihnen aufgefallen, dass es kaum Nachrichten über erfolgreiche Angriffe von Ransomware-Hackern auf russische Organisationen gibt? Haben Sie sich jemals gefragt, warum das so ist? Ich persönlich werde diese sinnlosen Verschwörungstheorien über Hacker, die angeblich für russische Geheimdienste arbeiten (Humbug, es gibt weltweit viele Ransomware-Gruppen, nicht nur in Russland) nicht einen Augenblick lang in Erwägung ziehen. Meiner Meinung nach liegt das daran, dass die meisten russischen Unternehmen durch hochwertigen Cyber-Schutz geschützt sind. Und schon bald werden sie durch ein cyber-immunes Betriebssystem geschützt sein. Ja, genau dieser Schutz, der für den Einsatz in staatlichen US-Institutionen verboten wurde. Stellen Sie sich das mal vor.

UPDATE 2: Erst gestern wurde ein Ransomware-Angriff auf eine der größten amerikanischen Krankenhausketten, die UHS, gemeldet: Ihre Computer, die etwa 250 Einrichtungen im ganzen Land versorgen, wurden lahmgelegt, was dazu führte, dass Operationen abgesagt, Krankenwagen umgeleitet und Patientenregistrierungen auf Papier ausgefüllt werden mussten. Es gibt noch keine weiteren Einzelheiten zu diesem Vorfall …

 

Cyber-News von der dunklen Seite: Wer hat Ihnen erlaubt, meine Daten zu verkaufen?

Am 28. Januar hat meine Tante Olga Geburtstag. Zufällig ist es auch der Datenschutztag. Und meine Tante Olga weiß es immer noch nicht! Aber sie sollte es wissen! Digitale Daten sind die Währung des neuen Jahrtausends. Kumuliertes Wissen über Billionen von Klicks und Transaktionen – eine Goldmine für jedes Unternehmen. Und viele Multimillionen-Dollar-Unternehmen basieren auf dem Verkauf dieser Cyberressourcen.

Globale IT-Unternehmen haben mehr Zugriff auf personenbezogene Daten als Länder. Aus diesem Grund ist dieses Thema äußerst wichtig. Es ist auch aber gefährlich.

Und wo Geld fließt, sind auch immer Bösewichte im Spiel. Cyber-Bösewichte, die mit den Daten der Nutzer Böses im Schilde führen, vermehren sich exponentiell. Aber auch seriöse Unternehmen könnten mit den Daten der Benutzer Schlimmes tun und scheinen sogar ungeschoren damit davonzukommen (meistens zumindest.) Dazu aber später mehr.

Nun möchte ich Ihnen aber eine einfache Frage stellen, auf die es zumindest in der globalen IT noch keine Antwort gibt: „Was ist Gut und was ist Böse?“ Ich meine… Wo liegt die Grenze zwischen universeller menschlicher Moral und Geschäftsethik?

Leider ist die Frage der Cyber-Ethik und der Cyber-Moral sehr zweideutig. In der Zwischenzeit kann ich Ihnen versichern, dass mit der Einführung von 5G und einem weiteren starken Anstieg der Anzahl von IoT-Geräten unsere Daten nur noch mehr gesammelt werden. Und mehr und mehr …

Nun zu einigen Details, reduziert auf die wichtigsten, dringendsten und interessantesten Punkte:

Anwälte, Gesetzgeber, Journalisten, Politiker, Experten, Sozialkommentatoren, Philosophen … – keiner von ihnen kann diese Frage beantworten: „Wem gehören die Daten?“ Den Benutzern? Den Regierungen? Den Unternehmen? Es wäre schön zu glauben, dass die persönlichen Daten der Benutzer auch diesen Benutzern selbst gehören würden. Zumindest bis zu dem Zeitpunkt, an dem sie sich dazu entschließen, sie freiwillig weiterzugeben: Bis sie ein Formular auf einer Website ausfüllen, ihren Namen, ihre Telefonnummer und ihre E-Mail-Adresse eingeben, um sich für einen Newsletter zu registrieren, oder gedankenlos die Vereinbarungen in einer App akzeptieren, ohne das Kleingedruckte einer langen rechtlichen Vereinbarung zu lesen. Formell geben wir ab diesem Zeitpunkt bestimmten Dritten die rechtliche Möglichkeit, unsere Daten zu erheben, sie zu analysieren, zu verkaufen und was auch immer in der jeweiligen Vereinbarung vermerkt ist, (die leider so selten gelesen wird). Bedeutet das also, dass die Daten von diesem Moment an auch diesen Dritten gehören?

Ein Großteil des Problems liegt in der Tatsache, dass der Begriff „personenbezogene Daten“ sehr vage und kurzlebig ist – nicht nur vom Standpunkt des Benutzers, sondern auch vom rechtlichen Standpunkt. Gesetze können mit dem technologischen Fortschritt oft nicht mithalten. Insgesamt hat sich in den letzten Jahren jedoch eine klare Tendenz abgezeichnet: Es werden neue Gesetze zum Schutz personenbezogener Daten und zur Aktualisierung bestehender Rechtsvorschriften verabschiedet. Gleichzeitig ist die Einstellung der Menschen gegenüber personenbezogener Daten und Datenschutz sehr viel ernster geworden – was mich natürlich sehr freut.

Genug vom „Intro“; Gehen wir weiter zum Hauptteil…

In der vergangenen Woche wurde in der Presse ein ziemlicher Skandal um Avast veröffentlicht, einer der Großen auf dem AV-Markt.

Vice veröffentlichte ein Exposé, in dem dargelegt wurde, wie Avast seit Jahren Daten seiner Benutzer an eine seiner Tochtergesellschaften – Jumpshot – weitergibt, die sie dann an Drittfirmen verkauft. Diese Drittunternehmen erhielten so Zugang zu Informationen über das Online-Verhalten der Nutzer: welche Websites besucht wurden, Bewegungen von Websites zu Websites, GPS-Koordinaten der Nutzer von Google Maps, YouTube-Verläufe und vieles mehr. Obwohl die Daten nicht bestimmten Personen, IP-Adressen oder E-Mails zugeordnet waren – mit anderen Worten, sie waren anonym -, enthielten die Daten Kennungen, die so lange funktionieren können, bis ein Benutzer sein Avast-Virenschutzprogramm von seinem Computer löscht.

Natürlich ist dies aus ethischer Sicht geradezu skandalös. Wir hier bei K haben so etwas niemals zugelassen und würden es niemals zulassen. Wir sind nämlich der festen Überzeugung, dass jegliche monetären Einnahmen durch die Daten unserer Benutzer völlig indiskutabel sind.

Der Epilog dieser traurigen Geschichte war eine formelle Entschuldigung seitens Avasts CEO in einer Ankündigung über die Vertragsbeendigung mit Jumpshot. Meiner Meinung nach die einzig richtige Entscheidung. Ich verstehe, dass es nicht einfach gewesen sein muss und aus dieser Entscheidung vermutlich erhebliche finanzielle Einbußen resultieren. Dennoch: diese Entscheidung war die einzig richtige.

Das Thema rund um die Speicherung und Nutzung von Daten war schon immer eine unserer Prioritäten. Bereits 2017 haben wir unsere globale Transparenzinitiative gestartet, unsere Datenverarbeitung für europäische Nutzer (und andere Länder) nach Zürich verlagert und seitdem zwei weitere Transparenzzentren eröffnet. Bald eröffen wir zwei weitere. Solche Projekte sind nicht billig; Wir sind jedoch der Ansicht, dass wir einfach neue Maßstäbe für Offenheit und eine ernsthafte Einstellung zu personenbezogenen Daten setzen müssen.

Weitere Informationen zu unseren Datenverarbeitungsprinzipien, der Funktionsweise unseres Cloud-basierten KSN, zur Anonymisierung von Daten und zu anderen wichtigen Dingen finden Sie hier. Zum Schluss möchte ich mich an alle unsere Nutzer wenden: Eines können Sie uns glauben. Wir gehen niemals Kompromisse auf Kosten unseres Gewissen ein – niemals.

Die Erhebung und der Verkauf von Daten werden häufig von kostenloser Antivirensoftware durchgeführt, die unter anderem die Überwachung von Nutzern zu Werbezwecken und den Handel mit deren Vertraulichkeit umfasst, um Geld zu verdienen. Wie Sie wissen, haben wir auch eine kostenlose Version unseres AV, die auf der gleichen Schutztechnologie wie unsere anderen kostenpflichtigen Produkte basiert und deren Wirksamkeit in unabhängigen Tests ständig bestätigt wird. Obwohl die Funktionalität der kostenlosen Version eher eingeschränkt ist, sind wir dennoch sehr stolz darauf, dass sie den Nutzern einen soliden und zuverlässigen Schutz bietet und keine personenbezogenen Daten für Werbetreibende preisgibt. Benutzer verdienen den besten Schutz – ohne lästige Werbung und Datenschutzhandel. Aber ich sage das schon seit Jahren.

Etwas anderes, worüber ich seit Jahren spreche, ist meine paranoide sehr ernsthafte Einstellung zu meinen persönlichen Daten. Noch einmal: Ich gebe sie immer nur dann preis, wenn es absolut notwendig ist, was ich Ihnen auch empfehle. Ich verstehe, dass es schwierig ist, die Bedeutung dieser Tatsache vollständig zu erkennen, wenn sie im Grunde genommen so immateriell und der „Preis“ unserer Daten kaum abzuschätzen ist. Denken Sie daran, dass jeder Klick, jede Site, die Sie besuchen, jemanden (eher etwas) aufzeichnet und dieses Informationen auch niemals gelöscht werden. Also, Leute, nehmen wir unseren digitalen Fußabdruck ernst. Und noch ernster, wie wir die Unternehmen und Produkte sehen, denen Sie Ihre persönlichen – privaten – Daten anvertrauen.

PS: Wir haben kürzlich eine nützliche Website mit detaillierten Empfehlungen zum Schutz Ihres persönlichen digitalen Lebens gestartet. Hier finden Sie die wichtigsten Datenschutzeinstellungen für gängige soziale Netzwerke, Onlinedienste und Betriebssysteme.  Schauen Sie mal!

Eine Falle für Malware

Ich habe den sechsten Film von Mission Impossible nicht gesehen und denke auch nicht, dass ich dies in naher Zukunft tun werde. Ich musste mich bereits – nach einer harten Arbeitswoche und vollkommen übermüdet – auf einem Langstreckenflug nach Hause tapfer durch den fünften Teil kämpfen; und das nur, weil eine Szene darin in unserem nagelneuen modernen Büro in London gedreht wurde. Und für mich war dieser Film bereits eine Nummer Mission Impossible zu viel. Nein, das ist nichts für mich. Hau, schlag, klatsch, matsch, piff, puff. Uff. Nein, ich bevorzuge tatsächlich etwas anspruchsvollere Filme, die einen zum Nachdenken anregen und einfach interessant sind. Zeit ist schließlich ein sehr kostbares Gut.

Ich lasse hier gerade kein gutes Haar an Tom Cruise & Co., nicht wahr? Aber nicht so schnell! Ich muss ihnen wenigstens zu einer Szene gratulieren, die ich wirklich nicht schlecht fand (d. h., die den Zuschauer zum Nachdenken anregt und gleichzeitig auch wirklich sehr interessant ist!). Und zwar die Szene, in der die Guten den Bösewicht schnappen müssen, damit er seine fiesen Kollegen verpfeift (oder so ähnlich). Dazu erschaffen sie eine künstliche Umgebung in einem „Krankenhaus“; im Fernsehen laufen hier gerade Nachrichten von „CNN“, die von einem atomaren Armageddon berichten. Nachdem der Bösewicht zufrieden ist, dass sein apokalyptisches Vorhaben sein Weg in die große weite Welt geschafft hat, verrät er im Deal mit den Vernehmern seine Kollegen (oder war es sein Login-Code?). Ups. Hier ist der Clip.

Warum gefällt mir diese Szene so? Da sie tatsächlich sehr gut eine der Methoden zum Erfassen von … zuvor unerkannten Cyberbedrohungen zeigt! Natürlich gibt es zahlreiche solcher Methoden, die sich abhängig vom Bereich der Anwendung, Effektivität, Ressourcenverwendung und anderen Parametern unterscheiden (ich schreibe hier regelmäßig über sie). Aber eins sticht immer heraus: Emulation (worüber ich auch hier bereits ausreichend berichtet habe).

Wie im Film MI startet ein Emulator das untersuchte Objekt in einer isolierten, künstlichen Umgebung, in der es seine Bösartigkeit zeigen kann.

Aber dieser Ansatz hat einen bedeutenden Nachteil: die Umgebung ist künstlich. Der Emulator tut sein Bestes, damit die künstliche Umgebung einer realen Betriebssystemumgebung so ähnlich wie möglich sieht, aber immer intelligentere Malware schafft es dennoch, sie von einer realen Umgebung zu unterscheiden. Dann bemerkt der Emulator, dass die Malware ihn erkennt und gruppiert seine Emulation neu und verbessert diese usw. in einem nicht endenden Kreislauf, der regelmäßig Schwachstellen eines geschützten Computers zeigt. Das grundlegende Problem ist, dass kein Emulator es bisher geschafft hat, das Ebenbild eines realen Betriebssystems zu sein.

Auf der anderen Seite gibt es noch eine andere Option, um die Verhaltensanalyse von verdächtigen Objekten anzugehen: auf einem realen Betriebssystem – auf einer virtuellen Maschine. Nun, warum nicht? Wenn es dem Emulator nicht gelingt, dann soll es doch eine reale, allerdings virtuelle Maschine probieren! Es wäre ein ideales „Verhör“: ausgeführt in einer realen Umgebung und keiner künstlichen, aber ohne reale negative Konsequenzen.

Wenn sie von diesem Konzept hören, könnten einige vorschnell die Frage stellen, warum darauf bisher keiner gekommen ist. Denn schließlich ist Virtualisierung schon seit 1992 ein technischer Standard. Nun, es stellt sich heraus, dass das nicht so einfach ist.

Zunächst einmal ist die Analyse von verdächtigen Objekten in einer virtuellen Maschine ein ressourcenintensiver Prozess, der nur für schwere Sicherheitslösungen auf Unternehmensklasse geeignet ist, bei denen das Scannen sehr intensiv sein muss, sodass es absolut keine Bösartigkeit durch den Schutz schafft. Bedauerlicherweise ist diese Technologie für Heimcomputer (ganz zu schweigen von Smartphones) (noch) nicht geeignet.

Zweitens gibt es so etwas eigentlich schon. Tatsächlich verwenden wir bereits diese Technologie intern hier in der Kompany für interne Untersuchungen. Aber was marktfähige Produkte angeht, sind bisher noch nicht so viele erhältlich. Die Konkurrenz hat bereits ähnlich Produkte veröffentlicht, aber deren Effektivität lässt so einiges zu wünschen übrig. Grundsätzlich sind solche Produkte nur auf das Sammeln von Logs und grundlegende Analysen beschränkt.

Drittens ist das Starten einer Datei auf einer virtuellen Maschine nur der Beginn eines sehr langen und schwierigen Prozesses. Denn schließlich ist das Ziel dieser Aufgabe, dass die Bösartigkeit eines Objekts sich von alleine zeigt und dafür braucht es einen intelligenten Hypervisor, Verhaltensprotokollierung und Analyse, konstante Feinabstimmung der Vorlagen von gefährlichen Aktionen, Schutz vor Antiemulationstricks, Ausführungsoptimierung und vieles mehr.

Ich kann hier ohne falsche Bescheidenheit behaupten, dass wir da ganz weit voraus sind; und das weltweit!

Kürzlich wurde uns ein US-Patent gewährt (US10339301), das die Erzeugung einer geeigneten Umgebung für eine virtuelle Maschine zum Ausführen von tiefgreifender, schneller Analyse von verdächtigen Objekten abdeckt. Und so funktionierts:

  • Virtuelle Maschinen werden (für verschiedene Objekttypen) mit Einstellungen erstellt, die sowohl ihre optimale Ausführung als auch eine maximal hohe Erfassungsrate sicherstellen.
  • Der Hypervisor einer virtuellen Maschine funktioniert in Verbindung mit der Systemprotokollierung des Verhaltens eines Objekts und dessen Analyse, wobei er durch aktualisierbare Datenbanken von Vorlagen zu verdächtigem Verhalten, Heuristik, der Logik zu Reaktionen auf Aktionen usw. unterstützt wird.
  • Wenn verdächtige Aktionen erkannt werden, ändert das Analysesystem nach Bedarf den Ausführungsprozess des Objekts auf einer virtuellen Maschine, damit das Objekt seine böswilligen Absichten zeigen kann. So kann das System Dateien erstellen, die Registrierung ändern, sich beschleunigen usw.

Der letzte (dritte) Punkt ist das einzigartigste und beste Feature unserer Technologie. Hier ist ein Beispiel, anhand dessen Sie sehen können, wie es funktioniert.

Das System erkennt, dass eine gestartete Datei „schläft“ und keine Aktivität mehr zeigt. Das liegt daran, dass das Objekt so programmiert werden kann, dass es mehrere (dutzende) Minuten (Stunden) überhaupt nichts macht, bis es mit seiner bösartigen Aktivität beginnt. Wenn das Objekt nicht aktiv ist, beschleunigen wir bei Bedarf die Zeit der virtuellen Maschine auf eine, drei, fünf und bis zu zig Millionen Minuten pro Sekunde. Die Funktionsweise der analysierten Datei ändert sich nicht, während die Wartezeit um das Hundertfache (oder Tausendfache) verkürzt wird. Und falls die Malware nach ihrem „Nickerchen“ sich dazu entscheidet, die Systemuhr zu prüfen (hat sie getickt?), wird ihr vorgetäuscht, dass dies der Fall war. Danach beginnt die Malware mit ihrer bösartigen Mission und gibt sich dem Prozess zu erkennen.

Ein weiteres Beispiel:

Das Objekt verwendet eine Schwachstelle in einer spezifischen Bibliothek oder versucht, den Inhalt einer Datei oder einer Registrierung zu ändern. Zunächst versucht es, mit der regulären Funktion fopen() die Bibliothek (oder Datei oder Registrierung) zu öffnen, und falls es dies nicht schafft (es gibt keine Bibliothek oder Zugriffsrechte auf die Datei), dann gibt es auf. In einem solchen Szenario ändern wir (bei Bedarf) den Rückgabewert der Funktion fopen() von „Datei nicht vorhanden“ in „Datei existiert“ (oder wir erstellen gegebenenfalls die Datei selbst und füllen sie mit angemessenem Inhalt). Dann beobachten wir, wie das Objekt sich verhält.

Ein solcher Ansatz funktioniert auch sehr gut unter der Bedingung von Logikbäumen des Verhaltens eines Objekts. Beispiel: Wenn Datei A und Datei B existieren, dann wird Datei C modifiziert und der Job ist getan. Jedoch ist nicht bekannt, was das untersuchte Programm macht, wenn nur Datei A oder Datei B existiert. Daher haben wir parallel eine Iteration gestartet und sagen dem verdächtigen Programm, dass Datei A existiert, aber Datei B nicht. Dann analysieren wir die weitere Aktivität des Logikbaums.

Es ist wichtig zu wissen, dass die Reaktionsregeln zur Ausführung der Datei durch externe, einfach zu aktualisierende Datenbanken konfiguriert wird. Sie müssen nicht das ganze Modul neu entwickeln, um neue Logik hinzuzufügen. Sie müssen nur korrekt die Vielzahl von möglichen Szenarien von bösartigem Verhalten beschreiben und ein Ein-Klick-Update durchführen.

Jetzt wissen Sie grob, wie diese Technologie funktioniert. Sie wird bald KATA hinzugefügt und auch als eigenständige Lösung für Unternehmen (Kaspersky Sandbox) auf den Markt gebracht.