?Frau Felsch, wodurch sehen Sie aktuell und in absehbarer Zukunft die IT-Sicherheit am stärksten bedroht?
Angelika Felsch: Die akuteste Gefahr besteht im Bereich Web-Security, denn hier sind viele Unternehmen noch nicht ausreichend abgesichert. Die größte, weil unsichtbare Bedrohung ist derzeit die Verbreitung von Malware über legitime, eigentlich vertrauenswürdige Websites. Unser Threat Operations Center fand anhand der Echtzeitanalyse des Webverkehrs heraus, dass solche infiltrierten Websites für mehr als 87 Prozent aller heutigen webbasierten Bedrohungen verantwortlich sind.
?Mit welchen Methoden gehen die Internetkriminellen vor?
Angelika Felsch: Eine der gängigsten Methoden, um seriöse Seiten zu infizieren, ist die so genannte iFrame-Attacke. Dabei werden die HTML-Tags der iFrames genutzt, um einen Schadcode in eine existierende Seite zu integrieren, ohne das bekannte Erscheinungsbild der Seite zu verändern. Auf diese Art wurden im letzten Jahr zahlreiche legitime Webseiten mit Schadcode infiziert, der die Besucher beim Anklicken auf malwareverseuchte Seiten weiterleitete. Herkömmliche URL-Filter oder Signaturscanner sichern PCs vor diesen Gefahren, die sich oft hinter scheinbar unbedenklichen Webkategorien wie Shopping oder News – oder eben der Webseite einer Versicherung – verstecken, nur unzureichend ab.
?Auf welche Art von Angriffen müssen sich die Internetnutzer 2009 darüber hinaus einstellen?
Angelika Felsch: Die Attacken nutzen immer häufiger eine Mischung verschiedener Sicherheitslücken und Angriffsflächen – und dies zunehmend gezielter und persönlicher. Die Internetkriminellen bedienen sich beispielsweise Social-Engineering-Taktiken: Das Hauptziel dabei ist, die Opfer zu verleiten, bestimmte Dateien zu öffnen oder auf Links zu verseuchten Seiten zu klicken. Da die Internetpiraten auch Spam zunehmend personalisieren und glaubwürdiger gestalten, wird auch das so genannte „Spear-Phishing“ – also der gezielte Angriff auf ein bestimmtes Unternehmen oder eine bestimmte Person – an Relevanz gewinnen. Unternehmen etwa in der Versicherungsbranche, die sensitive Verbraucherdaten verarbeiten und häufig Direktkontakt mit Endkunden haben, sind dadurch besonders bedroht.
?Worauf sollten Unternehmen bei einer Web-Security-Lösung achten?
Angelika Felsch: Websicherheitslösungen sollten auf einen Mix aus präventiven und reaktiven Filtermechanismen achten. Ein mehrstufiges Filtersystem aus Reputationsfilter, Content-Scanning, Malware- und URL-Filtern sowie ein integrierter Virenschutz machen eine Appliance besonders wirksam. Insbesondere die Reputationstechnologie ermöglicht Unternehmen auf Netzwerk- und auch auf Applikationsebene eine sehr frühzeitige Abwehr von Spyware-Attacken und sonstigen Bedrohungen aus dem Internet.
?Wie funktioniert die Reputationstechnologie?
Angelika Felsch: Sie untersucht das Verhalten einer IP-Adresse mittels statistischer Messungen und agiert so als äußerer Schutzwall. Einschätzungen, ob die Adresse vertrauenswürdig ist oder nicht, sind dabei meist bereits verfügbar, wenn der Angriff gerade erst beginnt. Als Basis dafür hat IronPort Senderbase ins Leben gerufen, die weltweit größte Datenbank zur Beobachtung und Bewertung des E-Mail- und Webverkehrs. Sie speichert täglich Informationen zu rund 20 Millionen IP-Adressen und analysiert mehr als 50 vordefinierte Parameter in Echtzeit. Ein Reputationscore von +10 bis –10 gibt an, ob für bestimmte URLs eine besonders intensive Prüfung durch nachgelagerte Filter erforderlich ist.
?Gerade im Versicherungs- und Bankenumfeld wird häufig mit sicheren https-Verbindungen gearbeitet. Wie sicher sind diese wirklich?
Angelika Felsch: Die zunehmende Fälschung von https-Zertifikaten ist eine Lücke in zahlreichen Web-Security-Lösungen. Eine neue Website zu erstellen, die etwa einer Versicherung sehr ähnlich sieht, eine https-Verbindung aufzubauen und dann dem Anwender Malware zu senden, ist für die meisten Cyberkriminellen eine leichte Übung. Da https eine verschlüsselte Verbindung zwischen dem Client und dem adressierten Server ist, haben derzeit viele Sicherheitslösungen keinen Einblick in https-Traffic. Hier kann die Reputationstechnologie helfen, die richtige Balance zwischen Sicherheit und Datenschutz zu finden. So empfiehlt es sich etwa beim Verbindungsaufbau zu verdächtigen und unbekannten Seiten mit schlechter Reputation, den https-Verkehr zu entschlüsseln und zu scannen. Das geschieht bei den IronPort-Appliances von Cisco beispielsweise über die integrierte Verschlüsselungslösung.