it-sa 2014 Trends: Kapselung, SIEM 2.0 & DDoS-Abwehr

Eine Einschätzung teilen alle Aussteller der it-sa: Virenschutz, klassische Firewall und reines Monitoring sind Werkzeuge von gestern und gegenüber den heutigen Bedrohungen irrelevant. Die wichtige Verteidigungslinie ist heute nicht mehr der Zugang zum Internet (Perimeterverteidigung und Systemverteidigung), sondern die einzelnen Programme, Datenpakete und Computerfunktionen. Die it.sa läuft noch bis Donnerstag (9.10.2014).

Offiziell gehen „nur“ 20 bis 21 Prozent aller Attacken gegen die Finanzwirtschaft. Spitzenreiter sind nach wie vor Telekommunikations-, IT- und Softwareanbieter und die Energiewirtschaft. Grund zur Entwarnung ist das nicht. Denn die Art der Angriffe auf die Finanzindustrie habe sich verändert: Statt großflächiger Angriffe, Brute-Force-Attacken, DDoS-Angriffen & co hätten sich die Cyberkriminellen auf extrem gezielte Einzelangriffe unter dem Radar spezialisiert.

Es besteht Einig­keit, dass wir eine Mel­de­pflicht für Cyberattacken brau­chen — unklar ist, wer was melden muss.“

Mit geringsten Bandbreiten, viel Zeit und umfangreichem Social-Engineering. Die Stichwörter sind: Spear Phis­hing und APT (Advanced Persistent Threat / Fortgeschrittene und andauernde Bedrohungen). Allerdings definiert jeder Hersteller den diffusen Oberbegriff APT etwas unterschiedlich.

Hinter der Firewall beginnt die tatsächliche Verteidigung

Die Lösungsansätze gehen von hochsicheren, abgestuften Firewalls mit BSI-Zertifizierung (Lancom) über Kapselung der Software (Barracuda), Data-Lifecycle-Management und Kapselung der Daten (NTT Com Security), fortlaufendem Monitoring mit Alarmfunktionen (Qualys) bis hin zur SIEM 2.0-Appliance mit automatischen Gegenmaßnahmen (IBM).

Eines haben alle Lösungen gemein: Die Verteidigung beginnt am Perimeter und wird schrittweise bis runter zum Programm, zu den Daten und zum OS-Kernel verlagert. Und: Sie kostet in jedem Fall erheblich Bandbreite, Speicher und Rechenleistung. Die einzelnen Lösungen werden wir in den nächsten Tagen genauer vorstellen.

Apropos Bandbreite: Die verschiedenen Arten von DDoS-Attacken möchte Kaspersky Herr werden und verlässt erstmals die reine Software-Schiene. Vier Jahre lang hätten die russischen Entwickler an einer Lösung gearbeitet. Die dabei entwickelte Appliance wurde auf der it-sa erstmals vorgestellt – zunächst nur in der Theorie. Der Trick der Kaspersky-Lösung: Eine eingehende DDoS wird per DNS und über die AS (Autonomes System) vom Angriffsziel weggeleitet, sobald die beim Ziel installierte Senor- Appliance anschlägt. Die Daten werden dann über einen besonders leistungsfähigen Provider umgeleitet, der eine erste Vorfilterung aufgrund der Appliance-Messungen vornimmt. Die “vorgereinigeten Daten” werden dann an Kaspersky Clearing weitergegeben, mehrfach gefiltert und der „gereinigte“ Datenstrom wird schließlich dem Kunden über seine üblichen Eingangskanäle ohne die DDoS-Elemente zurück übergeben bis die DDoS abgeflaut ist.

IOT: Angriff aus der Toilette

Am Horizont sieht Trend Micro bereits die Security-Fallen der nächsten Generation: Per Internet der Dinge oder wie wir nur in Deutschland sagen “Industrie 4.0”. Fitness-Armbänder, Kaffeeautomaten, Kühlschränke und Luxus-Toiletten mit integrierten Minicomputern bzw. Embeded Systems sind die nächsten Ziele. Derzeit seien 95 Prozent der Systeme mit Internetanschluss noch nicht mit dem Internet und Netzwerken verbunden. Das werde sich aber in den nächsten Jahren ändern – und damit zu einer ernsten Bedrohung werden, denn: Die Internet-Endgeräte seien ein einfaches Angriffsziel und häufig nur durch Default-Passworte “geschützt”. Doch sie seien in der Regel gar nicht das primäre Angriffsziel, sondern nur das Sprungbrett. Internet-Geräte ließen sich hervorragend dazu verwenden, Sicherheitssysteme zu umgehen und Angriffe auf die Infrastruktur, Netz und seine Daten durchzuführen. Ähnliches sehen wir heute bereits bei komplexen Druckern.

Und so greift Trend Micro zu seiner Form der Verteidigung: einer Netzwerk-Whitelist. Nur Netzewerk-Anwendungen, die zuvor bei „SafeLock“ registriert wurden, dürfen über das Netzwerk auf die Systeme der unterschiedlichen Geräte zugreifen.

Zusammengefasst: die diesjährige it-sa hat nicht nur 7 Prozent mehr Aussteller (385) und ist etwas größer (+14 Prozent) – sie hat inhaltlich noch einmal einen großen Sprung gemacht. Die Messe läuft noch bis morgen, Don­ners­tag (9.10.).