In nur ungefähr zwölf Jahren haben sich die Aktivitäten des Computer- Untergrundes von einer Jugendlaune und rowdyhaften Spieltriebes (Spaß für die Täter, nicht für die Opfer) in weltweit organisierte Cybergangs und staatlich geförderte advanced persistent threat-Anschläge auf Infrastrukturen von kritischer Wichtigkeit umgewandelt. Das ist eine ganz schöne Verwandlung.
Damals zum Zeitalter der Rowdies versuchten die Cyberkriminellen aus verschiedenen Gründen so viele Computer wie möglich zu infizieren und traditionelle Antivirus Software wurde eben als Schutz vor solchen Massenangriffen konzipiert (und hat diese Aufgabe auch recht gut ausgeführt). Heutzutage sind die neuen Bedrohungen ganz anderer Natur. Der Cyber-Abschaum kennt die Anti-Malware in- und auswendig und versucht daher, so unauffällig wie möglich zu verfahren und genau geplante Ziele anzugreifen. Dies erscheint recht logisch, wenn man darüber nachdenkt, welche wirtschaftlichen Interessen sie verfolgen.
Wir können also feststellen, dass die Strukturen des Untergrundes sich verändert haben; die Sicherheitssysteme sind leider die Selben geblieben: die meißten Unternehmen benutzen immer noch Technologien, die für Massenepidemien konzipiert wurden – d.h einen längst überholten Schutz – um gegen die modernen Bedrohungen anzugehen. Insofern nehmen die Unternehmen gegenüber der Malware eine bloße Abwehrhaltung ein, durch welche die Angreifer immer einen Schritt voraus sind. Heutzutage werden wir immer häufiger mit unbekannten Bedrohungen konfrontiert, für die noch keine Dateien oder Erkennungsmerkmale erfunden wurden und die dadurch oft von der Antivirus Sofware einfach nicht erkannt werden. Gleichzeitig testet der zeitgenössische Cyper-Schleim (ich erwähne nicht einmal den militärischen Cyper-Dreck) akribisch, wie gut ihre bösartigen Programme darin sind, sich vor dem Antivirus-Programm zu verstecken. Nich gut. Ganz übel.
Eine solche Situation wird erst dann richtig paradox, wenn du herausfindest, dass in der heutige Stand der Sicherheitsindustrie bereits genug alternative Ideen in Produkten eingebaut sind- Ideen die es mit solche Bedrohungen aufnehmen können.
Heute möchte ich über eine solche Idee sprechen…
In der Computer-Sicherheitstechnik gibt es heute zwei mögliche standardmäßige Einstellungen, welche eine Firma für die eigene Sicherheit annehmen kann: Erstens die Möglichkeit den „Zugriff zu zulassen“ – bei der alles (jegliche Art von Sofware), die nicht ausdrücklich verboten ist für die Installierung auf dem Computer zugelassen wird; oder aber die Möglichkeit den „Zugriff zu verweigern“, bei der alles, was nicht ausdrücklich erlaub ist, verboten wird ( was ich in diesem Post kurz anspreche).
Wie Sie vielleicht erraten können, sieht man anhand dieser zwei Sicherheitseinstellung die gegenseitige Positionen von Benutzerfreundlichkeit undSicherheit. Wird der Zugriff zugelassen, erhalten alle Anwendungen einen Freibrief um an dem Computer und/oder Netzwerk zu tun, worauf sie Lust haben und die Antiviren Programme gleichen dem holländischen Jungen, welcher der Legende nach den Deich überwachen sollte und falls dieser bricht, hysterisch seine Finger in die Löcher (Löcher in allen Größen (ernsthaft), die regelmäßig auftreten) steckt, um diese zu stopfen.
Mit der Standardeinstellung, „den Zugriff verweigern“, passiert genau das Gegenteil-Anwendungen werden standardmäßig abgelehnt, wenn sie nicht in der Liste der vertrauenswürdigen Software des jeweiligen Unternehmens stehen. Keine Löcher im Deich – aber eben von Vorne herein auch nicht genug Wasser, das durch den Deich fließen könnte.
Neben der unbekannter Malware, die auftauchten kann , haben Unternehmen (insbesondere deren IT Abteilungen) viele andere Probleme mit der Standardeinstellung des „Zugriffes zulassen„. Ersen: Installierung von unnützlicher Software und Dienstleistungsprogrammen (Spiele, Kommunikationsprogramme, P2P-Kunden … – deren Zahl von der jeweiligen Fimenpolitik abhängt); zweitens: Installierung von nicht überprüfter und daher potenziell gefährlicher (anfälliger) Software, über welche die Cyber-Schurken sich einen Weg in das Firmennetzwerk bahnen können, und drittens: installierung von Programmen für eine ferngesteuerten Verwaltung, welche ohne die Erlaubnis des Nutzers denZugriff auf einen Computer zulassen.
Die Antwort auf die ersten beiden Fragen ist recht deutlich. Die Antwort auf die dritte Frage werde ich Ihnen anhand einer meiner EK Tech-Erklärungen erläutern.
Vor nicht allzulanger Zeit haben wir eine Befragung von Unternehmen durchgeführt, bei der es darum ging, „wie Mitarbeiter die IT-Sicherheitsregeln durch die Installierung von nicht autorisierten Anwendungen verletzen.“ Die Ergebnisse haben wir in dem folgenden Tortendiagramm angegeben. Wie Sie sehen können, entsteht die Hälfte der Verletzungen durch Fern-Verwaltung. Damit sind Mitarbeiter oder Systemverwalter gemeint, die Fernbedienungsprogramme für den Zugriff auf interne Ressourcen oder für den Zugriff auf Computer für Diagnosezwecke und/oder „Reparaturen“ installieren.
Die Zahlen sprechen für sich: die ist ein großes Problem…
