Corona hin oder her – die (globale Partner-Konferenz) Show muss weitergehen!

Bei K haben wir die Tradition, jedes Jahr mit Freunden in die Banja zu gehen und eine Konferenz zu organisieren, zu der wir unsere Lieblings- und wertvollsten Partner und Branchenkollegen einladen. Hierbei handelt es sich um eine globale Veranstaltung, zu der Leute buchstäblich aus der ganzen Welt eingeflogen werden – von Amerika bis Australien (im Gegensatz zu unseren kleineren regionalen und funktionalen Konferenzen).

Mit dieser Tradition haben wir bereits 1999 begonnen (ein Jahr, das ich vor nicht allzu langer Zeit noch einmal Revue passieren ließ), und sie hatte eine Laufzeit von 10 Jahren erreicht, als wir uns entschlossen, sie 2009 in kleinere, privatere Regionalkonferenzen aufzuteilen, da das globale Treffen einfach zu groß wurde. So entstanden getrennte Konferenzen für: Amerika, Europa, den Nahen Osten und Afrika, Asien-Australien sowie Russland und die Nachbarstaaten.

Aber zurück zur Weltkonferenz – die erste fand in Moskau statt. Im folgenden Jahr – in St. Petersburg, im nächsten – in Zypern, dann in Barcelona, Malta und immer weiter entlang der Küstenlinie des Mittelmeers. Dann wuchs der Appetit und führte uns in die Karibik, nach Rio de Janeiro und zu anderen exotischen Orten. Mehr über diese und andere globale Zusammenkünfte erfahren Sie hier.

Einige Jahre, nachdem die Weltkonferenz in regionale Konferenzen aufgeteilt worden war, haben wir sie dann doch irgendwie vermisst. Also machten wir den nächsten, offensichtlichen Schritt: Wir brachten sie zurück! Da uns aber auch die regional ausgerichteten Konferenzen zwischenzeitlich ans Herz gewachsen waren, haben wir diese auch beibehalten. Für die wiederbelebten „Großen“ haben wir uns für das größte Land der Welt als Thema und Kulisse entschieden (na ja, warum nicht?!). Im Jahr 2017 fiel unsere Wahl auf Moskau (wo, wie erwähnt, 1999 die allererste globale Partnerkonferenz stattfand – wie man in den Wald hineinruft, so schallt es heraus:), im Jahr 2018 auf St. Petersburg und im Jahr 2019 auf Sotschi. Kurioserweise wären diese Städte vor 20 Jahren einfach nicht in der Lage gewesen, solch große Veranstaltungen auszurichten. Heute schaffen sie es spielerisch, und ich würde sie jedem empfehlen.

Was uns auch schon in dieses Jahr katapultiert …

Auf unseren traditionellen globalen Partnerkonferenzen kommen in der Regel etwa 100-150 Händler und globale Partner persönlich zusammen. In diesem Jahr wollten wir (wie es auch eine Tradition ist!) unsere Fühler ein wenig weiter ausstrecken: auf der Motorsport-Rennstrecke in Valencia. Leider – das Jahr 2020 ist… 2020! Damit ist eigentlich alles gesagt. Die lästige, nervige, allgegenwärtige Quarantäne ist jedoch kein Grund, unsere globale Party nichtsdestotrotz zu feiern. Wir haben sie einfach ein bisschen angepasst: offline > online – eine Mischung aus beidem (ja, wir gehen mit der Zeit:). Der ursprüngliche Plan hatte ~100 Gäste aus 35 Ländern vorgesehen. Und am Ende? 1.800 aus rund 150 Ländern! Oder um es mit der Mutter alles Sci-Fi-Filme auszudrücken: // „Don’t underestimate the power of the global online event, Luke“ 😊 (Unterschätze nicht die Macht des globalen Online-Events, Luke)

Read on: Corona hin oder her – die (globale Partner-Konferenz) Show muss weitergehen!

Kaspersky Antidrone – Wir setzen unerwünschten Flughafenskandalen ein schnelles Ende!

Seit einigen Wochen ist dieses mysteriöse, eindeutig hochtechnologische und futuristische Gerät bereits Teil meiner sonst doch sehr minimalistischen Büroeinrichtung in unserer Hauptgeschäftsstelle. Es ist so schick und postmodern, dass es meinen Besuchern sofort ins Auge fällt, sobald Sie das Büro betreten (was übrigens aufgrund unserer allgemeinen Homeoffice-Politik momentan nicht besonders häufig vorkommt). Die erste Frage, die ich dann meistens gestellt bekomme, lautet: „Was ist das?!“ ->

Read on: Kaspersky Antidrone – Wir setzen unerwünschten Flughafenskandalen ein schnelles Ende!

OpenTIP, Staffel 2: Machen Sie mit!

Vor gut einem Jahr habe ich mich an Cybersicherheitsspezialisten gewandt, um ihnen ein neues Tool vorzustellen, das wir entwickelt haben. Unser Open Threat Intelligence Portal (OpenTIP) bietet die gleichen Tools zur Analyse komplexer Bedrohungen (oder lediglich verdächtiger Dateien), die auch unsere GReAT-Cyberninjas verwenden. Und viele andere Leute benutzen sie jetzt auch und testen jeden Monat Milliarden von Dateien.

Aber es hat seit dem vergangenen Jahr viel geändert, da praktisch die ganze Welt wegen des Coronavirus ins Homeoffice gehen musste, was wiederum das Leben der Cybersicherheitsexperten bis heute erschwert. Die Aufrechterhaltung der Sicherheit von Unternehmensnetzwerken ist hundertmal schwieriger geworden. Der Zeitfaktor war dabei schon vor COVID-19 wichtig, heute ist sie umso kostbarer geworden. Deshalb erhielten wir von unseren versierten Benutzern eine einfache und direkte Bitte: API-Zugang und eine höhere Durchsatzratenbegrenzung.

Sie fragten, wir lieferten.

Die neue Startseite des Open Threat Intelligence PortalsDie neue Startseite des Open Threat Intelligence Portals

 

Mit der neuen Version von OpenTIP können sich Benutzer jetzt auf dem Portal registrieren und ich empfehle regelmäßigen Besuchern dringend, sich anzumelden, da bei der Nutzung eines Benutzerkontos ein großer Teil der Tools des bezahlten Open Threat Intelligence Portals verfügbar wird.

Wussten Sie, dass man die API dazu verwenden kann, um Objekte hochzuladen, die man testen möchte? Analyseprozesse können jetzt in OpenTIP schnell und bequem integriert werden.  Neben unbegrenzten Mengen von Dateien können auch andere verdächtige Objekte wie URLs, IPs und Hashes getestet werden.

Jetzt liefert OpenTIP bei ausführbaren Dateien zusätzlich zur Bewertung mehr Rohmaterial für die Analyse, d.h. nicht nur Daten über die Struktur von PE-Dateien, sondern auch aus ihnen extrahierte Textstrings. Unsere supercoole Sandbox, die eigentlich ein eigenständiges, kostenpflichtiges Produkt ist, ist ebenfalls verfügbar. Außerdem haben wir den anonymen Upload von Objekten in den Einstellungen freigeschaltet, der eine Überprüfung der Objekte ermöglicht. Von Anfang an haben wir niemandem erlaubt, die Dateien anderer einzusehen, jetzt ist es aber möglich, getestete Objekte im öffentlichen Verlauf auszublenden.

 

Kaspersky OpenTIP: Öffentlicher VerlaufKaspersky OpenTIP: Öffentlicher Verlauf

 

Auch ohne Registrierung sind die Verbesserungen von OpenTIP spürbar.

Das Interface ist bequemer, zeitsparender und augenfreundlicher, während die Analyseergebnisse viel aussagekräftiger sind.

Wir haben auch zusätzliche Technologien zur Verhaltensanalyse in der zweiten Version von OpenTIP integriert. OpenTIP fällt kein einfaches „infiziert/sauber“-Urteil wie beim traditionellen Endpunktschutz, sondern erstellt vielmehr eine detaillierte Analyse verdächtiger Eigenschaften, auf deren Grundlage ein Analyst entscheiden kann, ob man die Datei näher untersuchen muss. Für verdächtige URLs wird auch eine Kategorisierung der gefährlichen Eigenschaften verfügbar sein.

 

Kaspersky OpenTIP: Zusammenfassung der dynamischen AnalyseKaspersky OpenTIP: Zusammenfassung der dynamischen Analyse

 

 

Für diejenigen, die weitere Funktionen benötigen, lohnt sich die kostenpflichtige Version des Threat Intelligence Portals, die unter anderem Zugang zu detaillierten Berichten unserer Top-Analysten über entdeckte Cyberbedrohungen gewährt.

Genug mit den abstrakten Beschreibungen: Überzeugen Sie sich selbst! Analysieren Sie eine verdächtige Datei auf OpenTIP.

An diejenigen, die unsere Threat Intelligence-Dienste noch nicht abonniert haben: Ich bin mir sicher, dass Sie das Portal als unverzichtbar erachten werden (ja, ich erinnere mich an VirusTotal, aber darüber habe ich das letzte Mal gesprochen). Vor allem aber wird OpenTIP essentiell für diejenigen sein, die es an ihre täglichen Analyseprozesse aller Arten von Cyber-Angriffen anpassen werden.

Zen und die Kunst der Kontaktpflege mit Vertriebspartnern

Gerade als die Dinge anfingen, besser zu werden, scheint es so, als ob eine zweite Welle des ****** (zensiert) Virus die Welt überrollt. In Moskau drängt der Bürgermeister (fürs Erste) langsam Unternehmen dazu, Mitarbeiter ins Homeoffice zu schicken, während Schulen sich für den Zoombie Zoom-Unterricht vorbereiten. Unser Firmensitz ist praktisch immer noch wie leergefegt (insbesondere unsere Forschungs- und Entwicklungsabteilung). Es sieht also so aus, als ob wir wohl kaum rausgehen werden. Und wenn doch, dann tragen wir zumindest für den Herbst und den Winter auch weiterhin Masken und Handschuhe, geben uns einen Faustcheck ein Nicken als Begrüßung und halten dabei den Sicherheitsabstand. Hmm… was ist besser? Corona im Sommer oder im Winter? Eine knifflige Frage, aber ich sollte mir darüber nicht den Kopf zerbrechen, denn es hilft nicht wirklich.

„Eines Tages werden wir auf das Jahr 2020 zurückblicken und kaum glauben, dass es wirklich passiert ist!“ Wahrscheinlich. Hoffentlich… oder?

Wir werden darüber verblüfft sein, wie die Welt auf den Kopf gestellt wurde und welche schrecklichen Auswirkungen es auf die Menschheit hatte. Da ich aber eigentlich jemand bin, der das Glas eher halb voll statt halb leer sieht, möchte ich heute in diesem Eintrag auf die positiven Aspekte eingehen, die die Corona-Pandemie (zumindest aus der Perspektive eines Unternehmens wie unseres) mit sich bringt.

Da sind zum Beispiel die neuen Fähigkeiten und Fertigkeiten, welche wir uns als globales Unternehmen im Homeoffice aneignen mussten, während die Grenzen geschlossen waren. Seit sieben Monaten ist niemand irgendwo hingeflogen. Unsere Büros sind meist leer. Wir konnten weder unsere Konferenzen und Abendessen abhalten noch konnten wir mit unseren Partnern und Kunden Spaß haben. Aber das Geschäft läuft weiter, und zwar so gut, dass wir unsere gesetzten Ziele übertreffen! Wie wir das geschafft haben? Nun…

1. Forschung & Entwicklung. Jeder arbeitet praktisch im Homeoffice! Und jeder arbeitet besser als davor, wenn man zumindest von a) der schnelleren Implementierung neuer Funktionen in unseren Produkte, b) der schnelleren Überarbeitung von Codes und c) der Effizienz unserer Entwicklungen, welche um 15% gestiegen sind, ausgeht.  Bleiben Sie auf dem Laufenden, wenn es um unsere Produkte und insbesondere um unsere Sicherheitslösungen für Unternehmen und industrielle Steuerungssysteme geht. Viele Dokumente und Formulare sind noch aus Papier und benötigen handschriftliche Unterschriften. Sonst wären die K-Kollegen schon bestimmt auch im Homeoffice!

2. Alle Experten unseres GReAT-Teams arbeiten dank unserer KI HuMaschinellen Intelligenz im Homeoffice. Diese fängt automatisch 99.999% unserer täglichen Malware-Beute, also ein großer Haufen verdächtiger Dateien, die wir von allen möglichen Arten von Quellen und insbesondere von unserem Cloud-basierten KSN erhalten. Deshalb ein großes Dankeschön an alle unsere Nutzer, die mit unserer Cloud verbunden sind! Wir stehen Seite an Seite mit unseren Benutzern und können dank ihrer Hilfe den sichersten Schutz gegen alle möglichen Typen moderner Cyberwaffen entwickeln, und zwar kontinuierlich, automatisch und online.

Übrigens: Unsere tägliche Ausbeute beläuft sich auf buchstäblich Millionen von verschiedenen Dateien aller Arten (darunter auch viel Müll), aus denen wir täglich etwa 400.000 (vierhunderttausend!) neue Schädlinge herauspicken. Und das jeden Tag! Ja, sogar heute! Angesichts der weltweiten Quarantänebedingungen für diesen biologischen Virus, ist das Fangen von virtuellen Viren auch ein guter Job, denn viele von uns verbringen viel mehr Zeit online als im letzten Jahr.

3. Interaktion mit Partnern und Kunden. Das ist der interessanteste Aspekt. Ich bin stolz auf unser Unternehmen und unser K-Team. Deshalb verkünde ich auch stolz, dass wir die Schwierigkeiten der aktuellen Coronavirus-Pandemie zu unserem Vorteil nutzen konnten! Wir haben nicht nur gelernt, wie wir mit unseren Partnern und Kunden online effektiv zusammenarbeiten können, sondern wir haben es geschafft, diese Arbeit noch besser zu machen als zuvor! Wir retten also nicht nur die Welt vor Cyber-Pandemien, sondern verwandeln auch Böses in Gutes.

Heutzutage erledigen wir praktisch alles online: Besprechungen, Gespräche, Schulungen, Präsentationen und sogar die Ferninstallation und -wartung unserer Produkte, einschließlich unserer Industrielösungen. Ich würde sagen, dass wir hier wirklich geglänzt haben, oder wie Tina Turner einst sang, wir sind „simply the best“, aber das werde ich nicht: Ich will unsere laufenden Online-Mega-Erfolge nicht mit einem Fluch belegen! Und als praktisches Beispiel für unsere Megakonnektivität möchte ich Ihnen von unserer jährlichen Konferenz für Wiederverkäufer aus Russland und den ehemalige Sowjetstaaten berichten.

//Kleine Anekdote am Rande: Unsere erste Konferenz für russische Vertriebspartner fand 2007 in der Nähe von Moskau statt. Seitdem haben unsere Konferenzen sich ein wenig ausgebreitet. Sie werden jetzt auch in anderen Ländern wie Montenegro, Jordanien, Georgien, die Türkei, die Vereinigten Arabischen Emirate, Oman usw. abgehalten. Es war immer großartig und sie fanden immer an tollen und warmen Orten statt. Jetzt können wir diese sonnigen Orte im Ausland natürlich nicht mehr besuchen. Also beschlossen wir, die Veranstaltung in Moskau abzuhalten und sie in eine „hybride“ Online-Offline-Konferenz umzuwandeln (ähnlich wie die Konferenz, die wir im September in Sotschi hatten).

Hier ist das Rezept zur Vorbereitung einer Geschäftskonferenz (in diesem Fall für unsere Vertriebspartner, aber das Rezept kann auch für andere Konferenzen und Events verwendet werden) in der Zeit des COVID-19.

Zutaten:

  • Ein Minimum an physisch anwesenden Teilnehmern
  • Maximale Information
  • Teamwork
  • Ein professionelles Technik-Team (Dreharbeiten usw.) für die Online-Übertragung
  • Midori Kuma!

Ziele:

  • So viele professionelle Zuhörer und Teilnehmer wie möglich zur Veranstaltung bringen, einschließlich des Online-Publikums.
  • Die Botschaft vermitteln, dass das Coronavirus-bedingte Homeoffice keine negativen Auswirkungen auf das Geschäft hatte. Stattdessen zeigen, dass wir gelernt haben, unter den neuen Bedingungen zu arbeiten und dadurch viel effizienter geworden sind.
  • Unsere Vertriebspartner mit neuen Innovationen einbinden, sodass es ihnen dabei hilft, a) ihr eigenes Geschäft zu entwickeln und b) ihren Kunden qualitativ bessere Dienstleistungen anzubieten. Im Grunde ist es eine „Talkshow“ für ein Massenpublikum.

Da haben Sie es: das Erfolgsrezept. Moment, ich habe da etwas vergessen… Bilder!

Die Anwesenden versammeln sich…

Und los geht’s!

 

Professionelle TV-Kameratricks und ein erfahrenes Ton- und Drehteam, dass auf digitale Formate spezialisiert ist.

Währenddessen draußen:

 

Und nun, wie man aus ein paar Gemüsesorten und anderen Zutaten aus dem Kühlschrank einen Kuchen macht, der allen schmeckt!

Tag 1: Information, Information, Information!

✅ Als erstes wurden die „Jahresergebnisse“ unserer Technologien, Produkte, Patente, Auszeichnungen usw. vorgestellt.

✅ Danach hielt Veniamin Levtsov seine Rede „Möglichkeiten und Ausblick“, in der er unsere Entwicklungsstrategie für unser B2B-Geschäft erklärte und auf unsere in diesem Jahr veröffentlichten Lösungen wie EDR, Sandbox, MDR einging.

✅ Ein kurzes Gespräch über die Zukunft: KUMA (neuer Begriff im Bereich SOC & SIEM, zu dem noch nichts im Netz erschienen ist) und die Marktbedürfnisse in diesem Segment.

✅ Nachfolgend eine Präsentation über die Fähigkeit, mit der wir Partnerdienste, welche auf unseren Lösungen basieren, schaffen und entwickeln können

✅ Daraufhin die Talkshow „Perspektiven jenseits der Cloud“, in der über die Bedürfnisse des KMU-Marktes und über die KES-Cloud gesprochen wurde.           .

✅ Der Tag schloss mit dem akademischen Programm „Unglaublich, aber wahr“ ab, bei dem wir etwas über die Sonderprojekte erzählt haben, die wir mit unseren Partnern durchgeführt haben (und viele waren einfach nur unglaublich!).

 

Tag 2: Vorführung.

Vier Vorführungsbereiche für die Vorstellung von vier verschiedenen Lösungen:

KATA/KEDR/TI.

✅ Sandbox/MDR.

KICS.

Anti-Drohnen-System.

Übrigens war die Anti-Drohne keine Attrappe, sie war echt! Während der Testdurchlauf für die Dreharbeiten stellte sich heraus, dass das Kamerateam die gleichen Funkfrequenzen benutzte. Zum Glück haben wir es während der Proben bemerkt!

Eine sehr ernsthafte Bühnenarbeit

14 Redner, vier Vorträge, vier Demonstrationen, zwei Moderatoren, 19 Kameras, mit vier Regisseuren!

Ich habe noch einige weitere kuriose Daten zu unserem Event:

  • 65 spezialisierte Techniker
  • 750 Meter Glasfaserkabel,
  • 991 Gigabyte Videomaterial
  • 12 Stunden technische Produktion.
  • Fast 16 Stunden Bühnenproben
  • Eine Arbeitsgruppe von mehr als 100 Personen (jeder hat um die 20.000-25.000 Schritte gemacht)
  • 1610 qm großes Studio
  • Und wir haben nur ein Ladekabel verloren!

Und so läuft es bei uns während dieser schwierigen Zeit. Wir passen uns einfach an und scheuen keine Mühen, um die Qualität der Produktion zu erhalten, auch wenn es sich um ein ganz anderes Format handelt. Unsere Offline-Produktionen für Konferenzen waren schon immer von außergewöhnlich hoher Qualität, und jetzt tun wir dasselbe für die Online-Produktionen. Bei uns läuft es also nicht „wie gewöhnlich“ sondern „so intensiv und professionell wie eh und je“!

Gut gemacht, K-Mitarbeiter! Macht weiter mit der guten Arbeit!

Und jetzt – zurück an die Arbeit (und bleibt sicher!)

 

 

Ransomware: Hier hört der Spaß auf!

Zunächst einige Informationen zur Vorgeschichte:

Am 10. September wurde das Universitätsklinikum Düsseldorf Opfer eines Cyberangriffs bei dem insgesamt 30 interne Server durch die Ransomware-Malware DoppelPaymer verschlüsselt werden konnten; der Patientendurchsatz sah sich durch diesen Vorfall enorm beeinträchtigt. Nur wenige Tage später war das Klinikum infolge des IT-Ausfalls seiner Installationen dazu gezwungen, einer lebensbedrohlich erkrankten Patientin die Krankenhausaufnahme und eine damit verbundene Notoperation zu verwehren. Die Frau wurde umgehend in ein Wuppertaler Krankenhaus umgeleitet, verstarb allerdings noch auf dem Weg ins benachbarte Klinikum. Es handelt sich hierbei um den ersten bekannten Ransomware-Angriff mit Todesfolge.

Der tödliche Unfall (vorausgesetzt, die Angreifer waren sich einem solch schwerwiegenden Ausgang nicht bewusst) ist und bleibt tragisch – vor allem die Tatsache, dass in diesem Fall grundlegende Regeln der Cybersicherheitshygiene ganz klar vernachlässigt wurden, lässt einiges zu wünschen übrig. Dazu gesellt sich die offensichtliche Unfähigkeit der Strafverfolgungsbehörden, den beteiligten organisierten Kriminellen erfolgreich entgegenzutreten.

Die Hacker konnten das Krankenhausnetzwerk über eine Schwachstelle auf den Citrix Netscaler-Servern, die als Shitrix bekannt ist und bereits im Januar dieses Jahres gepatcht wurde, angreifen. Es scheint, als hätten die Systemadministratoren also viel zu lange mit der Installation des Patches gewartet. Diese Nachlässigkeit ermöglichte es den Kriminellen, in das Netzwerk einzudringen und eine Backdoor zu installieren.

Bis zu diesem Punkt handelt es sich um harte Fakten. Im Anschluss folgen einige Vermutungen, die bis dato so nicht bestätigt werden konnten, die aber dennoch mehr als wahrscheinlich sind …

Es ist nicht auszuschließen, dass die Backdoor in Untergrundforen als „Universitäts-Backdoor“ an andere Hacker verkauft wurde. Tatsächlich zielte der Angriff ursprünglich auf die nahe gelegene Heinrich-Heine-Universität ab. Das geht immerhin aus der von den Erpressern verfassten E-Mail hervor, in der diese ein Lösegeld für die Freigabe der von ihnen verschlüsselten Daten fordern. Nachdem die Hacker auf ihr tatsächliches Angriffsziel aufmerksam wurden, händigten sie dem Krankenhaus umgehend alle Schlüssel zur Entsperrung der Systeme aus (und tauchten ab). All das erweckt den Eindruck, dass Cyberkriminelle kein besonderes Interesse an Krankenhäusern zu haben scheinen. Sie gelten als zu „toxisch“ (wie dieser Vorfall auf die schlimmste – tödlichste – Art und Weise gezeigt hat).

Hinter der Malware DoppelPaymer wird die russischsprachige Hackergruppe Evil Corp, der weitere hochkarätige Cyber- und Ransomwareangriffe (darunter auch der Angriff auf das Garmin-Netzwerk) zugeschrieben werden können, vermutet. Im Jahr 2019 erhob die US-Regierung deshalb bereits Anklage gegen Einzelpersonen der Gruppe Evil Corp und setzte eine Belohnung in Höhe von fünf Millionen US-Dollar für Unterstützung bei der Festnahme dieser Personen aus. Merkwürdig ist, dass die Kriminellen keine Unbekannten sind, sondern bis vor kurzem sogar noch mit ihrem glamourösen Gangster-Lifestyle prahlten – auch in den sozialen Medien.

Quelle

In unserer Welt scheint momentan einiges gewaltig schief zu laufen. Zum einen wäre da die Tatsache, dass Krankenhäuser überhaupt unter den kriminellen Machenschaften skrupelloser Ransomware-Hacker zu leiden haben – auch, wenn das Klinikum den Kriminellen in diesem Fall ganz offensichtlich nur durch eine Verwechselung zum Opfer gefallen ist. Dennoch ist auch das zweite Szenario, das sich aus eben dieser Verwechslung ergibt, nicht besonders vielversprechender: denn es bedeutet nur, dass nun auch Universitäten ins Blickfeld von Cyberkriminellen geraten sind (oft, um Forschungsdaten zu stehlen – einschließlich COVID-19-bezogene Daten). Doch auch aus Cybersicherheitsperspektive gibt es einiges zu bemängeln …

… denn, wie kann ein Krankenhaus überhaupt so nachlässig sein? Eine Schwachstelle nicht rechtzeitig zu patchen, sodass Cyberkriminellen Tür und Tor weit offenstehen und Backdoors ohne Probleme installiert werden können? Wie oft haben wir in der Vergangenheit schon betont, dass FreeBSD (damit arbeitet Netscaler) in keinster Weise sicher, sondern genau das Gegenteil der Fall ist: Hierbei handelt es sich um den „falschen Freund“ eines jeden Cybersicherheitsexperten. Dieses Betriebssystem ist keineswegs immun und weist Schwachstellen auf, die sich für ausgeklügelte Cyberattacken ausnutzen lassen. Und dann wäre da natürlich noch die Tatsache, dass eine so kritische Einrichtung wie ein Krankenhaus (also infrastrukturelle Organisationen) einen mehrstufigen Schutz benötigen, bei dem jede Ebene die andere unterstützt: Hätte das Krankenhaus einen zuverlässigen Schutz für das interne Netzwerk installiert, hätten es die Hacker vermutlich nie so weit geschafft.

Die deutsche Polizei untersucht nun die Vorgänge, die zum Tod der Patientin geführt haben. Und ich hoffe wirklich, dass sich die deutschen Behörden mit einem formellen Ersuchen für Zusammenarbeit bei der Festnahme der beteiligten Kriminellen an die russischen Behörden wenden werden.

Damit die Polizei ein Strafverfahren einleiten kann, muss zumindest eine formelle Erklärung / ein formeller Antrag oder der Gegenstand eines begangenen Verbrechens vorgelegt werden. Presseartikel oder jegliche Art informeller Kommentare oder Ankündigungen werden vom Rechtssystem nicht anerkannt. Mit anderen Worten: Kein formeller Antrag – kein Fall. Wenn es jedoch glaubwürdige Beweise für ein begangenes Verbrechen gäbe, dann würde ein zwischenstaatliches Interaktionsverfahren greifen, das befolgt werden muss. Alles sehr formal, aber so ist es nun mal. Die Regierungen müssen ihre politischen Vorurteile überwinden und gemeinsam handeln. Denn, wie dieser Fall gezeigt hat, stehen bereits Menschenleben auf dem Spiel. Während die internationale Zusammenarbeit durch die Geopolitik weitgehend eingefroren ist, werden Cyberkriminelle immer wieder neue verdorbene Handlungen gegen die Menschheit einleiten.

UPDATE: Der erste Schritt zur Wiederaufnahme der Zusammenarbeit im Bereich Cybersicherheit ist bereits getan. Ich drücke weiterhin die Daumen …

Übrigens: Ist Ihnen aufgefallen, dass es kaum Nachrichten über erfolgreiche Angriffe von Ransomware-Hackern auf russische Organisationen gibt? Haben Sie sich jemals gefragt, warum das so ist? Ich persönlich werde diese sinnlosen Verschwörungstheorien über Hacker, die angeblich für russische Geheimdienste arbeiten (Humbug, es gibt weltweit viele Ransomware-Gruppen, nicht nur in Russland) nicht einen Augenblick lang in Erwägung ziehen. Meiner Meinung nach liegt das daran, dass die meisten russischen Unternehmen durch hochwertigen Cyber-Schutz geschützt sind. Und schon bald werden sie durch ein cyber-immunes Betriebssystem geschützt sein. Ja, genau dieser Schutz, der für den Einsatz in staatlichen US-Institutionen verboten wurde. Stellen Sie sich das mal vor.

UPDATE 2: Erst gestern wurde ein Ransomware-Angriff auf eine der größten amerikanischen Krankenhausketten, die UHS, gemeldet: Ihre Computer, die etwa 250 Einrichtungen im ganzen Land versorgen, wurden lahmgelegt, was dazu führte, dass Operationen abgesagt, Krankenwagen umgeleitet und Patientenregistrierungen auf Papier ausgefüllt werden mussten. Es gibt noch keine weiteren Einzelheiten zu diesem Vorfall …

 

Die Top-5 der K-Technologien, die uns ins Global Top-100-Innovators-Ranking katapultiert haben

Wir haben es schon wieder geschafft! Zum zweiten Mal gehören wir zu den Derwent Top 100 Global Innovators und damit zu einer renommierten Auswahl an globaler Unternehmen, die auf der Grundlage ihres Patentportfolios erstellt wurde. Renommiert, da auf der Liste Unternehmen wie Amazon, Facebook, Google, Microsoft, Oracle, Symantec und Tencent stehen. Die Liste ist nicht nur eine Auswahl scheinbar patenttechnisch starker Unternehmen: Sie wurde auf der Grundlage der hervorragenden analytischen Arbeit von Clarivate Analytics erstellt, die mehr als 14.000 (!) Firmenkandidaten nach allen möglichen Kriterien bewertet haben. Das wichtigste Kriterium die Zitierhäufigkeit, auch „Einfluss“ genannt, ist. Und als ob das noch nicht streng genug wäre, ist in fünf Jahren die Mindestanforderung für die Aufnahme in die Top-100 bei diesem Kriterium um etwa 55% gestiegen:

Die Zitierrate ist, um etwas genauer zu sein, der Grad des Einflusses von Erfindungen auf die Innovationen anderer Unternehmen. Für uns geht es darum, wie oft wir von anderen Erfindern in ihren Patenten erwähnt werden. Und formell in einem Patent eines anderen Unternehmens erwähnt zu werden, bedeutet, dass Sie sich etwas Neues, wirklich Innovatives und Hilfreiches ausgedacht haben, was wiederum von der von anderen Firmen für deren „etwas Neues, wirklich Innovatives und Hilfreiches“ genutzt wird. Natürlich handelt es sich hierbei um ein solch etabliertes System der Anerkennung von Innovationen, d. h. hier ist kein Platz für diejenigen, die mit bloßen Mist-Patenten daherkommen. Und das ist der Grund, warum keiner von ihnen auch nur annähernd in die Top-100 kommt. Inzwischen sind wir direkt drin – unter den Top 100 der weltweit innovativsten Unternehmen, die den technologischen Fortschritt wirklich vorantreiben.

Wow, das fühlt sich gut an. Es ist wie ein Schulterklopfen für all unsere harte Arbeit: eine echte Anerkennung für die Beiträge, die wir geleistet haben. Hurra!

Sie wissen ja wie ich bin, immer innovativ und neugierig. Deshalb fragte ich mich, welche unsere fünf meist-zitierten, patentierten Technologien (und deshalb auch die einflussreichsten Patente) sind. Also habe ich einen Blick darauf geworfen. Und hier die Ergebnisse:

Fünfter Platz – 160-mal zitiert: US8042184B1 – „Schnelle Analyse des Datenstroms auf Malware“

Dieses Patent umfasst unsere Technologie, die Datenströme, die über Netzwerk-Gateways laufen, schnell scannt. Sie führt eine Echtzeit-Analyse von Datenstrom-Inhalten getrennt, Segment für Segment, pro Format durch (z.B. Webseiten, Dateien, E-Mails mit Anhängen usw.) und überträgt dann jedes einzelne Element für die entsprechende spezialisierte Verarbeitung. Das bedeutet, dass das gesamte übertragene Datenobjekt nicht zusammengesetzt werden muss. Dies schont die Hardwareressourcen und die Scan-Geschwindigkeit wird stark erhöht, was die Wahrscheinlichkeit erhöht, Cyber-Bedrohungen zu finden. Diese K-Technologie ist lizenziert an Allied Telesis, D-Link, Nokia, ZyXEL und viele andere Entwickler und Anbieter. Außerdem wird sie in den Patenten von IBM, Webroot, FireEye, Trend Micro, HP, Juniper und anderen zitiert.

Nicht übel, oder? Und das kommt alles aus dem Nordwesten Moskaus und nicht aus Palo Alto.

 

Vierter Platz – 170-mal zitiert: US8214905B1 – „System und Verfahren zur dynamischen Zuteilung von Rechenressourcen zur Verarbeitung von Sicherheitsinformationen“

Cybersicherheit – das geht jeden etwas an, in jeder Hinsicht. Ohne anonymisierte Signale von Benutzern über verdächtige Aktivitäten können Entwickler keinen angemessenen Schutz bieten. Und je mehr Benutzer desto besser: Bei großen Datenmengen sind Anomalien viel leichter auszumachen, was dazu beiträgt, bisher unbekannte Cyberangriffe aufzudecken.

Aber nicht alle Daten sind gleich, und auch nicht alle Nutzer sind gleich. Es gibt verschiedene Niveaus von Fachkenntnissen in der Computernutzung auf Seiten der Benutzer (einschließlich der Gewandtheit in Sachen Computersicherheit). Und je anspruchsvoller ein Benutzer ist, desto wahrscheinlicher werden die Signale, die er (natürlich anonym) sendet, zu einem möglichen Hinweis auf Cyberattacken führen.

Diese K-Technologie bewertet den Grad der Versiertheit der Benutzer anhand der Art und Weise, wie sie ihre Computer benutzen. Zum Beispiel: die Art der Installation des Antivirusprogramms (regulär oder fortgeschritten), ob der interaktive Modus gewählt wird, und andere Software und Ausrüstung, die verwendet wird. Auf der nächsten Ebene wird dann die Benutzeraktivität analysiert, einschließlich der Quantität und Qualität der erkannten Bedrohungen, des Anteils der Fehlermeldungen, der Reaktionsgeschwindigkeit usw. Und je höher die Bewertung der Quelle, desto mehr Gewicht wird ihrer Bewertung beigemessen, und entsprechend wird der Verarbeitung ihrer Daten eine höhere Priorität eingeräumt. Details dazu finden Sie hier.

Dieses Patent wird von NEC, Dell, IBM, FireEye, Symantec, HP, und anderen Unternehmen zitiert. 

 

Dritter Platz – 170-mal zitiert: US8365297B1 – „System und Verfahren zur Erkennung von Malware, die auf den Boot-Prozess eines Computers unter Verwendung der Boot-Prozess-Emulation abzielt“ (Spiegelpatente in Russland: RU2472215C1, in Europa: EP2610774B1, und in China: CN103065094B).

Dabei handelt es sich um eine der besten Technologien der Welt zur Erkennung von Bootkits, gefährlichen bösartigen Programmen, die verdeckt aktiviert werden, noch bevor das Betriebssystem hochfährt, d.h. idR. noch bevor die Sicherheitslösung aktiviert wird. Um Bootkits zu fangen, haben wir eine künstliche Umgebung (einen Emulator) geschaffen, der den Ladevorgang eines Computers nachahmt und darin verdächtige Objekte startet. Die Malware denkt, es sei an der Zeit, sich an die Arbeit zu machen, und startet ihr Standardverfahren… und zack! Gefangen.  Mehr dazu finden Sie hier.

Zitiert von Huawei, Intel, Tencent, Trend Micro, FireEye, Symantec, Palo Alto Networks, und anderen Unternehmen.

 

Zweiter Platz – 179-mal zitiert: US8370939B2 – „Schutz vor Malware auf Web-Ressourcen“ (Spiegelpatente in Russland: RU2446459C1, Europa: EP2410452B1, und China: CN102147842B).

Hier ist die Quintessenz dieser Technologie: Viele Websites (und FTP-Sites) können ohne Zugriffsrechte nicht auf Cyber-Bedrohungen gescannt werden. Die Lösung ist einfach und effektiv: Die AV verwendet Informationen aus dem Admin-Panel der Website, die vom Benutzer zur Verfügung gestellt werden, um die Webressourcen (einschließlich Dateien) zu erreichen. Auf diese Weise kann der AV dann seinem üblichen Tätigkeiten nachgehen und sie auf Malware scannen.

Zitiert von: Dell, IBM, FireEye, Microsoft, Rockwell Collins, F-Secure, PayPal, Trend Micro, Gemalto, Symantec, und anderen Unternehmen.

 

Und zu guter Letzt…

 

Erster Platz – 181-mal zitiert (*): US8713631B1 – „System und Verfahren zur Erkennung von bösartigen Codes, die von einer virtuellen Maschine ausgeführt werden“ (Spiegelpatente in Russland: RU2522019C1 und China: CN103593608B).

Es gibt bestimmte programmierte Anwendungen, die zur Ausführung des Codes eine virtuelle Maschine benötigen. Klassisches Beispiel: Java. Dies wird getan, damit ein Entwickler den Code leicht auf andere Plattformen (Windows, Linux…) portieren kann: der Code ist derselbe, Sie brauchen nur eine virtuelle Maschine, um ihn aufzusetzen.

Cyberbösewichte nutzen Schwachstellen in virtuellen Maschinen aus, um in Computer einzudringen. Darüber hinaus handelt es sich für andere Anwendungen (einschließlich dem Virenschutz) auf der virtuellen Maschine um eine Black Box und einen vertrauenswürdigen Prozess. Die patentierte Technologie ist ein wirksames Mittel, um die Ausführung von Codes auf virtuellen Maschinen mit Hilfe ihrer Änderungen und des Empfangs von Ereignissen zu kontrollieren.

Zitiert von: Intel, FireEye, IBM, ESET, Check Point, Bitdefender, Symantec, und anderen Unternehmen.

 

Abschließend noch ein paar Statistiken, um die oben genannten Innovationen abzurunden:

Die Top-100: beschäftigen 10 Millionen Menschen; erfanden 145.000 Innovationen; gaben 316 Milliarden Dollar für die Forschung aus; und erzielten insgesamt 4,5 Billionen Dollar an Einnahmen!

Sie werden mir sicher zustimmen, einen Platz in den Top-100 zu verdienen, ist nicht nur eine Ehre, auf die man stolz sein kann, sondern auch nur mit Fleiß und Mühe erreicht werden kann. Deshalb ist es umso angenehmer, wenn man es tatsächlich schafft. Es bestätigt, dass wir Innovationen auf globalem Niveau entwickeln, dass wir uns die Rechte sichern und dass wir entsprechende neue Produkte auf den Markt bringen. Und wir verdienen dafür die verdiente Anerkennung. Toll! Wir arbeiten, wir gewinnen. Weiter so mit der guten Arbeit (und dem Gewinnen!).

 

 

(*) Gemäß der Patentdatenbank von Derwent Innovation vom 9. Mai 2020. Die Zitierhäufigkeit nimmt ständig zu; Beispiel: seit dem Verfassen dieses Beitrags wurde erste Platz von FireEye zitiert, so dass die Gesamtzahl der Zitate von 181 auf 182 gestiegen ist.

 

 

Ein Frühwarnsystem für Cyber-Förster (Adaptive Kontrolle von Anomalien)

Wenn Sie normalerweise in einem Büro arbeiten, ist es höchstwahrscheinlich immer noch ziemlich leer oder völlig leer, wie unseres. In unserem Hauptgeschäftssitz sind die einzigen Leute, die Sie gelegentlich sehen werden, die Sicherheitskräfte, und das einzige Geräusch, das Sie hören werden, ist das Summen der Kühlsysteme unserer Server, die mit voller Geschwindigkeit arbeiten, da  alle Mitarbeiter von zu Hause aus angeschlossen sind.

Read on: Ein Frühwarnsystem für Cyber-Förster (Adaptive Kontrolle von Anomalien)

Sie mögen ressourcenintensive Spiele? Dann wird Sie unser Gaming-Modus interessieren!

Vor fast 30 Jahren, im Jahr 1993, erschien die erste Inkarnation des Kult-Computerspiels Doom. Und es war eben diesem Spiel zu verdanken, dass die wenigen (stellen Sie sich vor!) damaligen Heimcomputerbesitzer herausfanden, dass man sich am besten mit Schrotflinten und Kettensägen vor Monstern schützen kann.

Read on: Sie mögen ressourcenintensive Spiele? Dann wird Sie unser Gaming-Modus interessieren!

Cybersicherheit: Wie alles begann – Teil 8: 1998-2000 (Umstrukturierung, Auslandsbüro, Partnerkonferenz).

Die ersten Jahre nach der Firmengründung waren die härtesten überhaupt; wir mussten wirklich alle Stunden darauf verwenden, uns wortwörtlich den Arsch aufzureißen. Es fühlte sich so an, als würden wir konstant eine Springfeder zusammenhalten, nur um diese erst einige Zeit später wieder freizugeben, um das Unternehmen hoch und weit über den Horizont hinaus in die richtige Richtung unserer Wunschvorstellungen schnellen zu lassen (überlegen Sie sich daher gut, welche Luftschlösser Sie bauen 😉). Nach der formellen Registrierung von KL im Jahr 1997 konnten wir mit sehr geringen Ressourcen sehr viel bewegen. Wir hatten kaum Geld (geschweige denn die Mittel), aber das Cybersicherheitsförderband lief (und läuft immer noch) unentwegt weiter: Neue Technologien wurden benötigt, und der Markt forderte neue Produkte. Also arbeiteten wir ununterbrochen, auch an Wochenenden, und hatten kaum einen freien Tag. Aber, woran haben wir eigentlich so hart gearbeitet? Hier ein Beispiel …

Juni 1998: die globale Chernobyl (CIH) Virus-Epidemie. Alle anderen AV-Unternehmen hatten diese Gruppe der Computerviren entweder nicht bemerkt oder sich schlichtweg nicht darum gekümmert – oder waren im Urlaub. Wir hingegen waren eines der einzigen Unternehmen mit einem Produkt auf dem Markt, das den Virus nicht nur fangen, sondern infizierte Systeme darüber hinaus auch heilen konnte. Das gesamte WWW (nein, nicht nur Runet) war mit Links zu unserer Website übersät. Auf diese Weise wurden wir für unsere extrem schnelle Bedrohungsreaktion belohnt – dafür und für unsere Fähigkeit, schnelle Updates mit Verfahren zur Behandlung spezifischer Bedrohungen in die Wege zu leiten. All das, während sich diese spezifische Virengruppe unglaublich geschickt auf Windows-Speichern installierte und ausführbare Dateien infizierte. Diese Tatsache erforderte einen maßgeschneiderten Dissektionsprozess, der ohne die flexible Funktionalität von Updates nicht möglich gewesen wäre.

Also, ja: es war hart. Aber wir konnten tolle Ergebnisse und sind an uns selbst und als Unternehmen gewachsen. Und dann, zwei Monate später, wurde uns eine helfende Hand (des Schicksals?!) der unerwartetsten Art und Weise gereicht …

August 1998: die Russlandkrise, die die Abwertung des Rubels und die Zahlungsunfähigkeit Russlands zur Folge hatte. Für die meisten Russen war das eine besonders schlimme Zeit, aber wir hatten wirklich vieeeel Glück: All unsere ausländischen Partner zahlten uns im Voraus in Fremdwährung. Wir waren Exporteure. Während sich unsere Betriebs- bzw. Arbeitswährung auf einen stark abgewerteten Rubel belief, erreichte uns unser Einkommen in Dollar, Pfund Sterling, Yen usw. Wir waren also nicht nur im Geschäft, sondern auch gut bei Kasse!

Dennoch ruhten wir uns nicht auf unseren „glücklichen“ Lorbeeren aus. Wir nutzten die Zeit, um neue, professionelle – und vor allem teure! – Manager einzustellen. Und schon bald glänzten wir mit kaufmännischen, technischen und finanziellen Direktoren. Wenig später stellten wir dann auch Manager auf mittlerer Ebene ein. Das war unsere erste geschäftliche „Umstrukturierung“ – als das „Team“ zum „Unternehmen“ wurde und freundschaftliche, organische Beziehungen durch eine formellere Organisationsstruktur, Unterordnung und Rechenschaftspflicht ersetzt wurden. Die Umstrukturierung hätte schmerzhaft sein können; war sie aber nicht.

Für weitere Informationen über diese ganze Umstrukturierungssache empfehle ich das Buch Reengineering the Corporation von Michael Hammer und James Champy. Es ist wirklich gut. Andere nützliche Bücher – hier.

1999 eröffneten wir unser erstes Büro im Ausland – um genau zu sein, in Cambridge in Großbritannien. Aber, galt der britische Markt nicht damals schon als einer der schwierigsten Märkte? Also, warum ausgerechnet dort? Eigentlich war es reiner Zufall (mehr dazu weiter unten). Trotzdem mussten wir irgendwo anfangen, und unsere ersten Erfahrungen –einschließlich vieler Fehler und gewonnener Erkenntnisse – in Großbritannien haben dazu beigetragen, dass die Geschäftsentwicklung in anderen Ländern im Anschluss deutlich reibungsloser verlief.

Unsere erste Pressetour fand in London statt, da wir ohnehin für eine IT-Sicherheitskonferenz (InfoSecurity Europe) in der britischen Hauptstadt waren. Und auf eben dieser Pressetour verkündeten wir stolz unsere Absicht, unser erstes Auslandsbüro in Großbritannien zu eröffnen. Aber anstatt uns mit endloser Begeisterung und offenen Armen zu empfangen, fragten die Journalisten uns lediglich: Warum? Schließlich waren Unternehmen wie Sophos, Symantec, McAfee usw. bereits bequem im Land etabliert. Uns blieb in diesem Moment also nichts anderes übrig, als in den totalen Geek-Modus zu wechseln: Wir erzählten den Anwesenden alles über unser wirklich innovatives Unternehmen; über unsere einzigartigen Technologien und Produkte und warum wir genau deshalb um einiges besser waren (und es noch immer sind) als die zuvor genannte Konkurrenz. All dies wurde mit viel überraschtem Interesse zur Kenntnis genommen (ein weiterer Vorteil war übrigens, dass uns seither nie wieder eine wirklich dumme Frage gestellt wurde). Währenddessen hielt ich bei InfoSecurity Europe meine erste Rede vor einem englischsprachigen Publikum, das sich aus zwei Journalisten zusammensetzte, die sich als Freunde unserer Freunde im Virus Bulletin herausstellten und bereits so einiges über uns wussten! Das war übrigens das erste und letzte Mal, dass eine unserer Präsentationen nicht vollständig ausgebucht war (mehr Details hier).

So kam übrigens unsere erste Partnerkonferenz zustande:

Irgendwann im Winter 1998-1999 wurden wir zur Partnerkonferenz unseres OEM-Partners F-Secure (Data Fellows) eingeladen. Auf diese Weise wurde uns das gesamte Partnerkonferenz-Format nähergebracht; eine großartige Idee: alle zusammenzubringen, die neuesten Informationen über Technologien und Produkte auszutauschen, die Anliegen und Probleme der Partner zu erfahren und neue Ideen zu diskutieren. Kein ganzes Jahr später (1999) veranstalteten wir unsere erste eigene Partnerkonferenz; mit rund 15 Partnern aus Europa, den USA und Mexiko, die wir nach Moskau einluden. Auf dem Foto unten können Sie uns alle sehen; neben dem Roten Platz und dem Kreml:

Einige Bilder von unserem Event:

Eines unserer Mottos lautet: Work hard, play hard. Hier erstmals auf einer Partnerkonferenz umgesetzt.

Und das, liebe Leser, glaube ich, vervollständigt meine Chroniken bis zum Jahr 2000. Was nach 2000 geschah? … Ich glaube, ich muss meinem Gedächtnis erst einmal eine Pause gönnen. Lassen wir zunächst anderen Teilnehmern unserer faszinierenden Reise dorthin, wo wir heute sind, mit einigen ihrer persönlichen Erinnerungen, Emotionen und Anekdoten, den Vortritt. Von mir war es das vorerst. Vielen Dank für Ihr Interesse, ich hoffe, es hat Ihnen gefallen!

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 1: 1989-1991

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 2: 1991-1992

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 3: 1991-199x

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 4: CeBIT

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 5: 1996 (der Wendepunkt)

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 6: Die Medien

CYBERSICHERHEIT: WIE ALLES BEGANN – TEIL 6: 1997

Cybersicherheit: Wie alles begann – Teil 7: 1997 (Wir gründen Kaspersky Lab)

Ich bin zurück – und zwar mit noch mehr K-Cyber-Nostalgie. In diesem Beitrag versetzen wir uns zurück in ein ganz besonderes Jahr für das Unternehmen – das Jahr seiner Gründung! Und wie Sie dem Datum unserer Firmenregistrierung entnehmen können, fand diese Gründung am 26. Juni 1997 statt:

Read on: Cybersicherheit: Wie alles begann – Teil 7: 1997 (Wir gründen Kaspersky Lab)