Titelinterview

Mehr Sicherheit für Netz und Endpunkt

Im Interview beschreibt Andreas Lüning, Mitgründer und Vorstandsmitglied der G Data CyberDefense AG in Bochum, aktuelle Cybergefahren. Er zeigt auf, wie sich Unternehmen davor nachhaltig schützen können und erläutert den Stellenwert von Künstlicher Intelligenz (KI) in der IT-Sicherheit.

  • Andreas Lüning, Mitgründer und Vorstandsmitglied der G Data CyberDefense AG

    „Von Ransomware betroffene Unternehmen sehen in der Begleichung des Lösegelds eine Chance, die eigenen Daten zurückzubekommen. Leider ist dies oft ein ­Trugschluss“, sagt Andreas Lüning, Mitgründer und Vorstandsmitglied der G Data CyberDefense AG.

  • Andreas Lüning, Mitgründer und Vorstandsmitglied der G Data CyberDefense AG

    Andreas Lüning warnt: „Die ersten Einfallstore in Unternehmen sind meist weder Software-Sicherheitslücken noch offene Ports. Vielmehr sorgt menschliches Versagen für den Erfolg ­vieler Cyberattacken.“

  • Andreas Lüning, Mitgründer und Vorstandsmitglied der G Data CyberDefense AG

    „Mitunter lohnt es sich für Cyberkriminelle sehr, E-Mails und Messenger-Daten auszulesen, um an personenbezogene Daten zu gelangen und diese weiterzuverkaufen“, konstatiert Andreas Lüning von G Data.

  • Andreas Lüning, Mitgründer und Vorstandsmitglied der G Data CyberDefense AG

    G-Data-Vorstandsmitglied Andreas Lüning: „Im Rahmen unserer Sicherheitsschulungen sensibilisieren wir die Nutzer dahingehend, eingehende E-Mails argwöhnisch zu prüfen.“

IT-DIRECTOR: Herr Lüning, welche Cyberattacken müssen deutsche ­Unternehmen derzeit am meisten fürchten?
A. Lüning:
Es existieren unterschiedlichste Facetten von Cyberkriminalität, angefangen bei Phishing über Ransomware bis hin zu Social Engineering. Momentan bemerken wir allerdings eine eklatante Zunahme von Erpressungsversuchen mittels Ransomware. Dabei verschlüsseln Cyberkriminelle per Malware wichtige Firmendaten und geben diese im besten Fall erst nach der Zahlung eines gewissen Betrags wieder frei.

IT-DIRECTOR: Warum sind Ransomware-Attacken bei Kriminellen so beliebt?
A. Lüning:
Weil ihnen diese Methode schnell viel Geld in die Kassen spült. Dabei gehen sie äußerst intelligent vor und stimmen ihre ­Angriffsmuster auf die Eigenheiten der ins Visier geratenen Unter­nehmen ab. Denn es nützt ihnen nichts, von einem mittelständischen Betrieb mit einem jährlichen Umsatz von 500.000 Euro ebenso viel erpressen zu wollen. Dies würden die Verantwortlichen niemals zahlen können. Von daher richten Cyberkriminelle ihre Attacken immer auch an der Zahlkraft der attackierten Firmen aus.

IT-DIRECTOR: Warum sind die Erpressungsversuche häufig erfolgreich?
A. Lüning:
Die betroffenen Unternehmen sehen in der Begleichung des Lösegelds eine Chance, die eigenen Daten zurückzubekommen. Leider ist dies viel zu oft ein Trugschluss.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2019. Bestellen Sie ein kostenfreies Probe-Abo.

IT-DIRECTOR: Wie sollten die Betroffenen auf die Erpressungen reagieren?
A. Lüning:
Sie sollten keine Lösegelder bezahlen, denn in der Regel erhalten sie ihre Daten nicht zurück. Vielmehr werden sie durch die Bezahlung zu einem guten „Kunden“ für Cyberkriminelle, den man immer wieder angreifen und schröpfen kann. Meist bleibt den Betroffenen allein die Möglichkeit übrig, die letzte Backup-Version wiederherzustellen. Dabei müssen sie darauf achten, dass die Backup-Daten selbst nicht auch mit der Ransomware infiziert sind. Denn nicht immer hat man mit der Wiederherstellung von Datenbanken oder File-Servern den Verschlüsselungs-Trojaner ausgemerzt. In diesem Zusammenhang helfen wir den Verantwortlichen dabei, die ursprüngliche Quelle der Malware aufzuspüren und zu vernichten.

IT-DIRECTOR: Was gibt es weiter zu tun?
A. Lüning:
Erpressungsversuche mittels Ransomware sollten von den ­Kunden angezeigt werden, sodass Sicherheitsanbieter wie wir gemeinsam mit den Bundes- oder Landeskriminalämtern auf Basis forensischer Methoden den Trojaner identifizieren und nachverfolgen können. Die Erstattung einer Anzeige ist dabei für viele Kunden nicht nur für die Aufklärung des Sachverhalts wichtig, sondern oftmals auch eine Compliance-Frage. Denn die Geschäftsführung muss Cybervorfälle zur Anzeige bringen, da sie sich sonst der Verschleierung strafbar machen würde.

IT-DIRECTOR: Nach welchen Grundsätzen sollten die Verantwortlichen daher ihre Cybersicherheit aufsetzen?
A. Lüning:
Die Messlatte, die Kriminelle überspringen müssten, um in Firmennetze einzudringen, sollte so hoch wie möglich hängen. Das bedeutet: Je mehr Aufwand und Geld die Verantwortlichen in technische Maßnahmen oder die Sensibilisierung ihrer Mitarbeiter investieren, desto weniger lohnt sich ein Angriff.

IT-DIRECTOR: Können Sie dies genauer ausführen?
A. Lüning:
Mit ihren Digitalattacken wollen Cyberkriminelle einen bestmöglichen Return of Invest erwirtschaften. Aus diesem Grund bemühen sie sich darum, dass einmal in Umlauf gebrachter Schadcode so lange wie möglich unerkannt bleibt. Als Sicherheitsanbieter arbeitet G Data dem natürlich ent­gegen und sorgt mittels schneller Update-Folgen dafür, dass Schadcode sehr schnell nach seiner Freisetzung erkannt wird. Die Ransomware Emotet ist ein gelungenes Beispiel für eine Variante, die sich innerhalb kürzester Zeit verändern kann. Unseren Recherchen zufolge konnte dieser Trojaner im ersten Halbjahr 2019 allein 200 neue Versionen pro Tag hervorbringen. Alles in allem kamen wir in sechs Monaten über 30.000 Varianten auf die Schliche.

IT-DIRECTOR: Demnach verändern sich Schädlinge im Sekundentakt. Mit welchen Lösungen können die Kunden hier Herr der Lage werden?
A. Lüning:
Generell bemerken wir, dass immer mehr Datenübertragungen verschlüsselt ablaufen. So lassen die neuesten TLS-Updates keine Einsicht mehr in die ausgetauschten Dateien zu. Dies ist für Sicherheitshersteller problematisch, da sich deswegen nicht feststellen lässt, ob die Datei eine Malware in sich trägt oder nicht. Vor diesem Hintergrund rücken zunehmend die Endpunkte wie PCs, Laptops oder Smartphones in den Mittelpunkt, an denen die Verschlüsselung aufgehoben wird. Unsere verhaltensbasierte Antiviren-Software erkennt in diesem Zusammenhang genau, was an den Endpunkten passiert.

Für eine gelungene Abwehr sind Firewalls und Antivirenlösungen gesetzt. Hinzu kommen weitere Maßnahmen wie die Segmentierung des Netzwerks oder die Priorisierung unterschiedlicher Dienste. An dieser Stelle greift auch die Absicherung einzelner Schnittstellen zwischen den Systemen. Bei ­einem höheren Sicherheitsniveau geht es zudem darum, Log-Daten zu sammeln, zu filtern und zu beurteilen. Diese zeigen, mit welchen IP-Adressen die Nutzer kommunizieren oder wie viele Port-Freigaben sie einnehmen. Im nächsten Schritt können Security-Informa­tion- und Event-Management-Lösungen (SIEM) helfen. Damit lassen sich die am Endpunkt anfallenden immensen Datenmengen nicht nur filtern, sondern auch Regeln einrichten, die bei auffälligem Verhalten Alarm schlagen. Alle ermittelten Informationen fließen in einem „Managed Security Opera­tion Center“ zusammen, wo sie im Detail analysiert werden können.

IT-DIRECTOR: Inwieweit machen Ma­chine Learning (ML) und Künst­liche Intelligenz (KI) die erwähnten SIEM-Lösungen immer schlauer?
A. Lüning:
Zunächst muss klar sein, was Begrifflichkeiten wie ML und KI eigentlich meinen. Wir selbst haben Machine-Learning-Technologien in unsere Antivirenlösung DeepRay integriert.

IT-DIRECTOR: Welche Vorteile bringt das mit sich?
A. Lüning:
Cyberkriminelle verändern ihre Ransomware-Angriffe kontinuierlich, um dauerhaft Schaden anzurichten. Werden sie von aktualisierter Antiviren-Software unter Zugzwang gesetzt, verändern sie entweder die Distributionswege oder die Oberfläche der Malware. Allerdings bleibt der eigentliche Kern der Malware, der die Daten der Kunden letztlich verschlüsselt, oft unangetastet. DeepRay kann solche veränderten Varianten nun deutlich schneller erkennen. Denn die Software konzentriert sich auf das Verhalten am Endpunkt bzw. die Abläufe in den Rechnern. Mit sogenannten „In-Memory-Scans“ lässt sich insbesondere der Arbeitsspeicher beobachten und nachvollziehen, was dort genau passiert.

IT-DIRECTOR: Mit welchen Algorithmen arbeiten Sie hierbei?
A. Lüning:
Zunächst haben wir Vektoren entworfen, die rund 150 Eigenschaften umfassen. Treten bestimmte Eigenschaften ein, legen Machine-Learning-Algorithmen fest, wie hoch die Wahrscheinlichkeit ist, dass mit dem ausführenden Prozess etwas nicht in Ordnung ist. Bei den vorgegebenen Eigenschaften kann es sich um die Dateigröße oder das Alter der Dateien handeln. Dabei laufen kontinuierlich Analysen ab, um sowohl aktualisierte Vektoren als auch neu aufkommende Malware zu ergänzen. Auf diese Weise konnte DeepRay auch die verschiedenen Emotet-Varianten erkennen.

IT-DIRECTOR: Neben DeepRay arbeiten Sie aktuell mit „Beast“ an einer weiteren intelligenten Sicherheitslösung. Was verbirgt sich dahinter?
A. Lüning:
Das Tool beobachtet die Prozesse auf Maschinen oder Endgeräten, um die verschiedenen Stadien einer zur Ausführung kommenden Malware zu erkennen. Die Verhaltensmuster der Prozesse werden auf dem Endpoint in einer grafischen Datenbank festgehalten. Schadprogramme können dann durch grafische Signaturen an ihrem Verhalten erkannt und gestoppt werden.

IT-DIRECTOR: Was macht das Ganze so komplex?
A. Lüning:
Die Graph-Datenbank muss auf jedem Rechner vorgehalten werden. Gleichzeitig müssen die hinterlegten Vektoren ständig überprüft bzw. aktualisiert werden. Die eigentliche Komplexität entsteht dadurch, dies performat auf einem Endpoint durchführen zu können.

IT-DIRECTOR: Welche Vorteile können sich die Kunden von „Beast“ versprechen?
A. Lüning:
Extrem kurze Zeitspannen zwischen einem Cyberangriff und dem Einleiten von Gegenmaßnahmen. Generell arbeiten alle unsere Technologien daran, Cyberattacken so früh wie möglich zu entdecken und zu stoppen.

IT-DIRECTOR: Ihren Ausführungen zufolge scheinen Cyberkriminelle gut organisiert zu sein. Welche Rolle spielen dabei staatliche Institutionen?
A. Lüning:
Staatliche Angreifer zielen auf Sabotage oder Spionage ab und agieren im Verborgenen bzw. gehen sehr vorsichtig und zielgerichtet vor. Angriffe dieser Art sind von ihrer Methodik anders als Angriffe durch Cyberkriminelle.

IT-DIRECTOR: Stichwort Hintertür: Inwieweit sollten staatliche Behörden denn Zugriff auf Software-Systeme erhalten oder Verschlüsselungen umgehen können?
A. Lüning:
Hier vertreten wir eine klare Position: Integrieren Software-Hersteller auf Geheiß besondere Hintertüren, dann kann man sichergehen, dass diese nicht nur von staatlichen Stellen, sondern auch von Cyberkriminellen ausgenutzt werden. Von daher sehen wir Hintertüren sehr kritisch.

IT-DIRECTOR: Wie tauschen sich Cyberkriminelle gemeinhin aus?
A. Lüning:
Im Darknet hat sich eine Art Dienstleistungsgesellschaft entwickelt. Dort können „Kunden“, die Ransomware in Umlauf bringen wollen, aus einem Baukasten alles Benötigte erwerben. Hierzu zählt zunächst der eigentliche Ransomware-Trojaner, der die Daten verschlüsselt. Auch wird ein Distributionssystem benötigt, das die Schad-Software in den Firmen verteilt. Die Ransomware lässt sich z.B. in Spam-Mails versenden, auf Webseiten verstecken oder in Word-Dokumenten verpacken, die per Mail als offizielle Bewerbungen verschickt werden.

IT-DIRECTOR: Wie viel sind persönliche Daten in Hackerkreisen wert?
A. Lüning:
Mitunter lohnt es sich für Cyberkriminelle sehr, E-Mails und Messenger-Daten auszulesen, um an personenbezogene Daten zu gelangen und diese weiterzuverkaufen. Gültige Kreditkartennummern werden aktuell für etwa einen US-Dollar im Darknet gehandelt. Für eine gültige E-Mail-Adresse erhält man hingegen nur 0,01 US-Dollar.

Verknüpft man die ausspionierten persönlichen Daten oder Informationen aus sozialen Netzen mit den Bewegungsprofilen der Nutzer, dann eröffnen sich gänzlich neue Angriffsszenarien. So lassen sich für einzelne User immer mehr Daten aggregieren, die sich für vielfältige Zwecke nutzen lassen – die Beeinflussung durch Fake News im politischen Bereich ist hier nur ein Beispiel. Im Groben lassen sich bestimmte Gruppen identifizieren, mit vorgefertigten Meinungsbildern ansprechen und man kann deren Verhalten manipulieren.

IT-DIRECTOR: Von der politischen Bühne zurück zur Unternehmens-IT: Worin liegt in Sachen Sicherheit für die Verantwortlichen derzeit die größte Herausforderung?
A. Lüning:
Cybersicherheit ist nichts, was sich per Knopfdruck realisieren lässt. Vielmehr muss sie im Unternehmen laufend auf dem Prüfstand stehen und kontinuierlich aktualisiert werden. Allerdings passiert es in Zeiten des rasanten digitalen Wandels häufig, dass von der IT oder von Fachabteilungen neue Cloud-Services oder Web-Server freigeschaltet werden. Mit den damit einhergehenden komplexen Sicherheitsfragen sind viele IT-Mitarbeiter überfordert. Denn sie wissen nicht, welche Plug-ins zwischen einzelnen Software-Systemen existieren – insbesondere, wenn es um die Anbindung von Warenwirtschaft, Webshops oder externen Cloud-Plattformen geht.

IT-DIRECTOR: Im Rahmen Ihres Serviceangebots bieten Sie besondere
Sicherheitsschulungen an. Was steckt dahinter?
A. Lüning:
Anders als vermutet sind die ersten Einfallstore in die Unternehmen weder Software-Sicherheitslücken noch offene Ports. Vielmehr sorgt menschliches Versagen für den Erfolg vieler Cyberattacken. So werden die Mitarbeiter bei erfolgreichem Phishing auf infizierte Webseiten gelockt oder dazu bewegt, angehängte Dateien zu öffnen. Dabei kann es sich beispielsweise um täuschend echte Rechnungen oder Bewerbungsformulare handeln.

IT-DIRECTOR: Wie kommen die Nutzer gefälschten Mails auf die Schliche?
A. Lüning:
Man muss das Hintergrundwissen der Mitarbeiter hinsichtlich der Cybersicherheit deutlich verbessern. Im Rahmen unserer Schulungen sensibilisieren wir die Nutzer dahin gehend, eingehende E-Mails argwöhnisch zu prüfen. Denn Mails, die auf den ersten Blick vertrauensvoll aussehen, sind auf den zweiten Blick alles andere als das.

IT-DIRECTOR: Wie lassen sich die User aktiv in Sicherheitsmaßnahmen einbinden?
A. Lüning:
Bestenfalls übernehmen mehrere Mitarbeiter eine Vorreiterrolle. Analog zu den Daten- oder Brandschutzbeauftragten sollte es in Unternehmen auch konkrete Ansprechpartner für die Cybersicherheit geben.

(Bildquelle: G Data CyberDefense AG)

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok