Seit Juli hat McAfee gleich drei neue deutschsprachige White Papers veröffentlicht (1), ohne dass sie in den Nachrichtendiensten eine merkbare Resonanz erfahren. Völlig unverdient.

Das gilt zunächst für für den Threat-Report für das zweite Quartal 2009 (2). Der aktuelle Bericht über die Bedrohungen im Internet zeigt ein Wieder-Aufblühen des Spammings (Grafik links oben). In den beiden voraus gegangenen Quartalen war sein Aufkommen deutlich zurück gegangen, nachdem die US-Verwaltung eine der schlimmsten Spam-Schleudern, McColo, vom Netz getrennt hatte. Der Markt hat sich hingegen konsolidiert und quantitativ fast wieder den alten Stand erreicht. Besonders informativ ist die obere Kurve in dem Schaubild. Danach sind inzwischen 93 % aller versandten E-Mails Werbemüll. Höchststand.

Die Kurve links unten zeigt die Zahl der monatlich neu infizierten Zombies in Botnetzen. 5 Millionen sind im Juni hinzugekommen, davon allein 2,1 Millionen in den USA. Sie werden besonders zum Versand von Spam-Mails eingesetzt. Ihren größten Anteil machen Werbung für Medikamente aus.

Der Bedrohungs-Report warnt auch vor zunehmenden Crime-Diensten (Hosting), wie wir sie vom Russian Business Network kennen, und einer Arbeitsteilung, bei der Software von Spezialisten eingekauft und zum Beispiel in Botnetze integriert wird.

Der zweite Bericht konzentriert sich auf die Entwicklungen beim Finanzbetrug im Internet, vor allem beim Phishing (3). Paget plaudert aus dem Nähkästchen und berichtet über Finanzagenten, Betrugsmethoden und Zahlungswege. Seinen Bericht könnt man hier vollständig zitieren.

Lesen Sie ihn!
 

Nach den hervorragenden Länderberichten und der Studie zum Social Engineering hat McAfee seine Security Journal-Serie um das Thema Compliance erweitert (4). Dabei geht es um die Sicherheitsstrukturen in der IT-Organisation. McAfee fordert ein unternehmerisches Risikomanagement ein, das neben den IT- auch die fachlichen Sicherheitsstandards umfasst.

Der Anspruch ist groß und McAfee bietet eine vergleichsweise einfache Lösung an: Eine Software zur permanenten und flächendeckenden Konfiguration von IT-Systemen (Fernwartung). Sie soll den IT-Verantwortlichen die ständige Handarbeit zur Anpassung an fachliche Security-Anforderungen ersparen und die Systemverwaltung insgesamt verschlanken.

Auch das klingt gut und ist nicht ganz neu.

Ich widerspreche dem nicht. McAfee scheint mir hier jedoch einen Marketing-Vorstoß zu unternehmen, ohne die ganze Dimension zu erfassen. Die IT-Sicherheit ist ein Bestandteil der Organisationssicherheit und darf keine Sonderbehandlung verlangen. McAfee fordert Mitarbeiterschulungen und Sicherheitskonzepte, die sich an der Organisation und ihren Fachprozessen orientieren. Das ist richtig.

Aber zu kurz gedacht. Wenn eine Organisation ihre Risiken und Schwachpunkte analysiert, dann sollte sie sich nicht auf die IT beschränken, sondern alle Prozesse ganzheitlich betrachten. Ich bin davon überzeugt, dass sich die meisten Gefahren auf eine überschaubare Anzahl von Merksätzen zusammen fassen lassen, die alle wesentlichen Geschäftsprozesse umfassen und nicht nur die IT.
 

29.08.2009: In diese Richtung geht auch die von vorgestellte Data Leakage Prevention - DLP (5). Sie baut auf der Erfahrung auf, dass die meisten Fälle, in denen geheime und unternehmenswichtige Daten nach außen gelangen, darauf beruhen, dass Mitarbeiter sie entweder bewusst stehlen oder sorglos mit ihnen umgehen, indem sie unbedarft Dokumente an Partner und Kunden oder Arbeitsunterlagen über das Netz versenden, um sie zuhause weiter zu bearbeiten.

Allein die inhaltliche Kontrolle des Mailverkehrs darauf, ob er vertrauliche Inhalte enthält, bedarf eines erheblichen Aufwandes, der zunächst tief in die Unternehmensorganisation eingreift. Alle Dokumente müssen nämlich wegen ihrer Vertraulichkeitsstufe klassifiziert und wegen ihrer Schlüsselworte sowie des Schreibstils indiziert werden. Erst dann sind die DLP-Programme in der Lage, Nachrichten und ihre Anlagen darauf zu untersuchen, ob sie vertrauliche Inhalte enthalten. Sie scheitern, wenn die Dokumente verschlüsselt sind oder wenn der unternehmensinterne Datentransport auf einer Ende-zu-Ende-Verschlüsselung beruht.

An diesen Punkten geraten die verschiedenen Sicherheitsstrategien zueinander in Widerspruch. Unter IT-Gesichtspunkten bietet die Ende-zu-Ende-Verschlüsselung die sicherste Methode, um einen unbefugten Datenabgriff während der Übermittlung zu vermeiden. Gleichzeitig entzieht sie den lokalen Netzkomponenten die Kontrolle über die transportierten Dateien. Zentrale Virenscanner und andere Programme zur Malware-Abwehr laufen leer und können erst wieder auf dem Endgerät greifen, nachdem die Entschlüsselung erfolgt ist. Das verlangt wiederum nach einer ständigen und aufwändigen Aktualisierung der Clientsoftware, die man in Grenzen halten kann, wenn die Sicherheitsprüfungen auf Netzwerk-Servern erfolgt.
 

 
Die beachtlichen Nachteile der Ende-zu-Ende-Verschlüsselung lassen sich mit gestuften Verschlüsselungen umgehen. Hierzu erfolgt die Übermittlung vom Client zu den zentralen Unternehmenskomponenten zwar auch verschlüsselt, aber nicht durchgängig bis zum Empfänger. Das ermöglicht den Virenscannern und der Firewall die Überwachung des durchlaufenden Datenstroms, die Abwehr von Malware und schließlich auch den Einsatz der DLP als Inhaltskontrolle.

Eine Sicherheitsstudie von IBM hat gerade wieder darauf hingewiesen, dass die Anzahl der klassischen Phishing-Mails auf ein Tausendstel des Mail-Verkehrs zurückgegangen ist (6). Sie versuchen mit nachgemachten Bank-Mitteilungen die Zielpersonen zur Bekanntgabe ihrer Kontozugangsdaten einschließlich TANn zu bewegen.

Das ist kein Anlass zur Entwarnung, weil sich die Angriffsmethode des Phishings gewandelt hat. Es fußt jetzt überwiegend auf infizierten Webseiten und präparierten Dateien, mit denen die Starter für Malware verteilt werden. Sie nisten sich auf den Endgeräten ein und laden über das Netz die Komponenten nach, die sie für ihren Angriff benötigen.

Was für das Ausspähen und Missbrauchen von Kontozugangsdaten gilt, betrifft auch die Sicherheit und den Schutz vertraulicher Daten im Unternehmen. Die Industriespionage erfolgt vermehrt über das Ausspähen der Arbeitsvorgänge an den Endgeräten und wird sich dahin verfeinern, die Eigenheiten des einzelnen Mitarbeiters zum Abgriff unternehmenswichtiger Informationen zu missbrauchen.

Damit schließt sich der Bogen zur DLP, weil sie vom Prinzip her die nach außen gesandten Informationen überprüfen kann. "Moderne Malware" verschlüsselt jedoch ihre Kommunikation mit dem Angreifer, um unüberwacht ihre Updates zu beziehen und umgekehrt die ausgespähten Daten zu übermitteln. Dann scheitert das Sicherheitskonzept wieder.
 

(1) McAfee, Avert® Labs Technical White Papers

(2) McAfee Avert Labs, McAfee Threat-Report: Zweites Quartal 2009, 20.07.2009

(3)  François Paget, Finanzbetrug und Internet-Banking: Bedrohungen und Gegenmaßnahmen, McAfee 10.07.2009

(4) Risiko-Management und Compliance, McAfee 10.07.2009
 

 
(5) Christian Böttger, Der Feind im Inneren, Technology Review 28.08.2009

(6) Bericht: Phishing kommt aus der Mode, Heise online 28.08.2009