Die Anforderungen an Industrie 4.0 sind von Branche zu Branche unterschiedlich. Allen gemein ist die Herausforderung die immer dichter vernetzten Dienste effektiv gegen Angriffe zu schützen. Das Whitelisting von Applikationen bietet dieses Potenzial.

Pressemitteilung 16.08.2017

In einem unserer letzten Beitrag haben wir uns auf eine Reaktion der jüngsten Ereignisse im Mai, ausgelöst durch WannaCry, beschränkt. Fast zwei Monate später haben sich lediglich die Namen der Schädlinge geändert. Prominente Opfer wie Milka oder Metabo, deren Produktionen tagelang still standen und deren übrige Infrastruktur bis hin zur Telekommunikation ebenfalls über Tage gestört war, sind nur die Spitze des Eisberges.

Wenn Unternehmen dieser Größe sich nicht sinnvoll gegen solche Angriffe schützen können, was kann dann unsere eigene Regierung mit ihrem Staatstrojaner auf allen möglichen Geräten anstellen?

Grundsätzlich gilt hier wieder, wer auf eine moderne Endpoint Sicherheitslösung wie z.B. Application Whitelisting setzt, ist per se schon besser geschützt. Wiederholt hat sich gezeigt, dass die immer noch zu nahezu 100% eingesetzten Virenscanner in keinster Weise verhindern, dass Schadsoftware egal welcher Art, Systeme komplett infiltriert und Betriebe über Tage und Wochen handlungsunfähig macht.

Ein Artikel zum Thema Staatstrojaner vom IT-Security Experten Adrian Janotta des gleichnamigen Unternehmens Janotta & Partner führt das Whitelisten von Software ebenfalls als einzig wirkungsvollen Schutz nicht nur vor dem Staatstrojaner an. Der komplette Beitrag ist hier zu finden: https://janotta-partner.at/blog.Staatstrojanern.html

Aber nicht nur Sicherheitsexperten sind sich hier einig, zunehmend etabliert sich Whitelisting auch in kleinen und mittelständische Unternehmen (KMU) die eine solche Attacke nur schwer oder mit erheblichen Auswirkungen auf die folgenden Jahre überleben würden.

Wer mehr zum Thema Whitelisting erfahrne möchte kann sich zudem in der aktuellen Ausgabe der über verschiedene Ansätze dieser Technik informieren. Im Themenspecial "Malware: Trends und Abwehr" widmet die Redaktion mehrere Beiträge diesem Thema, unter anderem in einem Beitrag über Application Whitelisting. Hier gehts zum Heft: https://www.kes.info/aktuelles/kes/

WannaCry, Petya, Staatstrojaner – was kann Application-Whitelisting dagegen tun?


Was für eine Messe, was für ein super Publikum, was für eine beeindruckende Location.

Doch wie unbekannt Application Whitelisting auch im internationalen Business noch ist, bestärkt uns weiter unermüdlich auf Fachmessen und Vorträgen Aufmerksamkeit für SecuLution und unsere gleichnamige Application Whitelisting Software zu wecken.

Die Londoner Olympia Hall aus dem späten 19. Jahrhundert liegt im Westen von Londons Zentrum, genauer gesagt zwischen Hammersmith und Kensington. Bereits am ersten Tag war der Besucheransturm überwältigend, trotz typischem Londoner Regenwetter.

SecuLution war dieses Jahr das erste mal als New Exhibitor auf der Galerie der beeindruckenden Halle mit dabei. Unser Eckplatz, in der Nähe der Treppen hat natürlich geholfen interessierte Besucher mit unserer Application Whitelisting Lösung vertraut zu machen. Dennoch waren wir überwältigt vom Besucheransturm und den sehr gut vorbereiteten Besuchern an diesem ersten Tag, ebenso wie an den Folgetagen.

Unsere Tech Showcases auf einer der vielen Bühnen, waren ebenfalls oft Stein des Anstoßes für Interessenten, sich unsere Lösungen genauer anzuschauen. Ein Video hierzu folgt in den nächsten tagen ebenfalls.

Wir konnten viele neue Kontakte knüpfen und hatten eine großartige Woche in London. Die Info Security Europe wird auch 2018 eines unserer Ziele sein. Bis dahin haben wir eine Menge zu tun, freuen uns aber trotzdem das Thema Applicaion Whitelisting auch an unsere internationalen Interessenten und Kunden heran tragen zu können.

Info Security Europe 2017 – Ein Fazit


Eigentlich sind wir gerade dabei unseren nächsten Messeauftritt in London vom 6. bis 8. Juni vorzubereiten. Gestern Abend am 12. Mai erreichten uns jedoch erste Berichte aus England, es seien einige Krankenhäuser wegen eines Ransomware-Befalls nicht mehr in der Lage den Betrieb aufrecht zu erhalten. Soweit heutzutage nichts ungewöhnliches. Leider.

Am Morgen des 13.Mai jedoch sahen die Meldungen schon ganz anders aus. Nicht nur England und Krankenhäuser dort sind betroffen. Ganze Großkonzerne wie die Deutsche Bahn sind befallen und zwar von ein und derselben Ransomware mit dem passenden Namen #WannaCry (Abwandlungen wie  #WanaCrypt0r und #wannacryptor bezeichnen ebenfalls diese Malware).

Warum ist das so fragen sich Reisende, Patienten und Arbeitnehmer? Hat nicht die Ransomwarewelle 2016 die Unternehmen und Betreiber öffentlicher und kritischer IT Infrastrukturen zu einem Umdenken bewogen und es werden Maßnahmen ergriffen die ein erneutes Szenario dieser Größenordnung verhindern?

Die Antwort ist schlicht und ergreifend: Nein.

Warum ist das so? Vor allem liegt es daran, dass immer noch der Satz gilt: Geld regiert die Welt. Sicherheit kostet Geld und verdient, auf den ersten Blick, kein Geld. Also wird nicht, oder nur halbherzig "etwas getan" damit alle sich wieder dem zuwenden können was wirklich zählt. Geld verdienen. Es wird uns schon nicht treffen.

Das ist sehr verallgemeinert, zugegeben. Allerdings ist das unserer Meinung nach der Kern des Problems. Nicht Antiviren-Software Hersteller sind Schuld weil sie es nicht schaffen, einem Prinzip das so alt ist wie der Computer selbst, die Erkennung von unzähligen Schadsoftware Varianten beizubringen. Auch nicht das Marketing dieser Hersteller, das genau das tut was alle tun. Richtig Geld verdienen, indem Neues mit tollen Versprechen gezeigt und pompös verkauft wird.

Punchline "Ihr Computer ist geschützt"

Diese Hersteller tun das, weil alle, die gerade massenhaft Geld und Vertrauen verlieren, nur eines wollen: Sparen wo es geht.
Neue Sicherheitskonzepte oder gar etwas effektiveres als einen Virenscanner einführen? Zu teuer, zu aufwändig, brauchen wir nicht. Getreu dem Motto, "Das haben wir schon immer so gemacht." Uns wird es schon nicht treffen und wenn doch, dann wird es schon nicht so schlimm sein, ist eben ein kalkuliertes Risiko heutzutage.

Gelernt haben weder Finanzmärkte nach einer Krise, noch lernen Unternehmen heute wenn es um ihre Netzwerke und deren Sicherheit geht. Doch ist das wirklich überall so?

Wir als Hersteller einer effektiven Lösung gegen Ransomware und Co. sehen auch das Gegenteil. Das Umdenken in Unternehmen und bei Betreibern kritischer Infrastrukturen. 2016 war ein tolles Jahr für uns und unsere Kunden. Und ja, natürlich haben wir Geld verdient. Wir investieren dieses Geld und unseren neuen Erfahrungen aus immer mehr Netzwerken in eine Sicherheitslösung die sich ständig weiterentwickelt und am Puls der Zeit bleibt. Wir haben Unternehmen wirklich geholfen zu sparen, und das nicht auf Kosten Ihrer Mitarbeiter und Kunden. Es wird neben Geld was nicht für Betriebsausfälle, Datenwiederherstellung und für überarbeitete Administratoren ausgegeben wird auch Stress eingespart. Durch die real geschaffene Sicherheit und auch die damit verbundene gesteigerte Produktivität, wird sogar das getan was alle am liebsten machen. Geld verdienen!

Zugegeben, wir retten die Welt nicht. Aber wir haben 2016 bewiesen, dass Ransomware gegen SecuLution keine Chance hatte und es 2017 auch nicht haben wird. Dafür tun wir alles.


Ihr Computer ist geschützt! – Oder: Told you so!

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.

Pressemitteilung 05.05.2017

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.


Nicht nur für Mediziner und Verwalter bot die conhIT also interessante Lösungen, auch die zahlreichen Mitarbeiter der IT-Abteilungen kamen voll auf ihre Kosten. Unter anderem an unserem Stand in Halle 3.2, wo sich Interessenten, Vertriebspartner, aber auch Studenten und Mitbewerber über Application Whitelisting zur Absicherung gegen unerwünschte Schadsoftware informierten.

Doch der Reihe nach. Bereits 2016 war SecuLution als Mitaussteller auf der conhIT. Nach den durchweg positiven Reaktionen und vielen Neukunden im vergangenen Jahr, haben wir unser Engagement auf der conhIT erweitert. 2017 ist SecuLution mit einem komplett neu gestalteten, eigenen Messestand vertreten.


Interessierte Besucher konnten an zwei Demo-Points die SecuLution Application Whitelisting Suite in Aktion erleben und bekamen ihre Fragen von unserem Messeteam rund um Geschäftsführer Torsten Valentin beantwortet. Hier haben sich vor allem die zahlreichen Studenten der Studienrichtungen eHealth IT, medizinische Informatik und Bioinformatik intensiv mit dem Ansatz des Application Whitelisting auseinandergesetzt. Kritische Fragen zu Schwachstellen und immer wieder bereits bekannte Gesichter mit neuen Fragen kamen zu uns.

"Sind Hash-Kollisionen wie die jüngst gefundenen bei SHA1 und natürlich auch MD5 nicht ein sicherheitsrelevantes Risiko wenn ihre Software nur anhand von Hashwerten ein Programm prüft?"
"Was passiert denn wenn ich als Angreifer den Server mit der Whitelist ausschalte oder in irgendeiner Form vom Netzwerk isoliere? Dann wären die Clients doch schutzlos weil nichts mit der Whitelist geprüft werden kann, oder?"
"Ich habe da nochmal drüber nachgedacht, wie sieht das eigentlich aus wenn ich Schadsoftware mit USB Sticks direkt ins Netzwerk bringe?"

Diese und andere Fragen zeigen, dass die zukünftigen Mitarbeiter sich intensiv mit der Materie auseinandersetzen. Die Branche kann stolz sein auf die kommende Generation von IT Spezialisten.

Doch nicht nur Studenten zeigten besonderes Interesse. Auch die gut besuchte Messeführung, die am ersten Tag bei uns Station machte und Geschäftsführer Torsten Valentin gebannt zuhörte, brachte zahlreiche Interessenten zu uns. Einer der Teilnehmer berichtete sogar, er habe IT-Sicherheit gar nicht auf seiner Agenda für die conhIT und wurde durch unsere Lösung positiv überrascht.


Alles in allem hatten wir eine großartige Woche und haben viele neue Kontakte knüpfen können. Freuen uns andererseits natürlich immer, bereits bekannte Gesichter und treue Kunden auf der Messe wieder einmal persönlich zu treffen und uns auszutauschen.

Application Whitelisting hat trotz aller positiven Resonanz noch einen weiten Weg vor sich, um als echte Alternative zu bekannten Sicherungsmethoden wahrgenommen zu werden. Das zeigt vor allem die immer noch bestehende Unbekanntheit und die vielen Vorurteile die diesem Prinzip vorauseilen.
Die conhIT 2017 war für SecuLution daher auch ein weiterer Schritt auf dem Weg, mit immer wieder angeführten Vorurteilen gegenüber Application Whiltelisting, aufzuräumen.
  • Whitelisting kann nicht nur in statischen Netzwerken eingesetzt werden, tägliche Updates und Patches stellen keine Hindernisse für die Funktionsweise dar.
  • Große Teile der Software erledigen automatisiert ihre Aufgaben, der Administrationsaufwand reduziert sich dadurch erheblich.
  • Administratoren haben wieder Kontrolle über die im Netzwerk genutzte Software.
  • Ausfallzeiten und Schäden durch unerwünschte Software gehören mit Whitelisting der Vergangenheit an. 
uvm.
Diese und andere Punkte werden wir auch zukünftig unermüdlich für den Einsatz von Whitelisting anführen. Wir bedanken uns bei den Organisatoren der Messe Berlin, uns für diese Mission wieder einmal eine großartige Plattform aufgestellt zu haben. Die conhIT 2017 war bestimmt nicht unsere letzte.

Hier noch einige Eindrücke von der conhIT 2017: 


Berlin, conhIT 2017 – Ein Fazit

Hash Collision is not relevant for Software Whitelisting
Ende Februar 2017 verkündete eine Gruppe Forschern von Google und dem CWI Institut Amsterdam, den 1995 von der NSA freigegebenen SHA-1 Algorithmus in Bezug auf Kollisionsresistenz gebrochen zu haben.

Bisher galt SHA1 als sicher.

Ist das jetzt nicht mehr so?
Und was hat das alles mit dem älteren Bruder MD5 zu tun?

Unser Application Whitelisting beispielsweise nutzt das MD5 Verfahren, um z.B. eine ausführbare Datei anhand des resultierenden MD5 Hashes eindeutig zu identifizieren. Man kann das Verfahren mit einem elektronischen Fingerabdruck vergleichen. In letzter Zeit häufen sich Bedenken, dass jeder mit frei erhältlichen Programmen eine Hash Kollision zweier unterschiedlicher Datensätze erzeugen und somit das Prinzip, auf dem unsere Sicherheitslösung aufbaut, überlisten könne.
Wir möchten in diesem Beitrag erklären, warum MD5 und auch SHA-1 zwar in Bezug auf ihre Kollisionsresistenz kryptografisch gebrochen sind, aber dennoch vollkommen sicher im Bezug auf unsere Verwendung für die eindeutige Identifizierung von Computer Software sind. Der Beitrag ist keine wissenschaftliche Abhandlung über Kryptografie.

Kryptographie und Identifizierung

Eines der bekanntesten Beispiele für die kryptografische Verschlüsselung von Nachrichten aus dem letzten Jahrhundert ist sicherlich die Enigma. Es handelt sich hierbei um eine eine Rotor-Schlüsselmaschine, die im Zweiten Weltkrieg zur Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs verwendet wurde. Das zugrunde liegende Verfahren wies jedoch eine Schwachstelle auf (fixpunktfreie Permutation). In der Konsequenz konnten die Alliierten alle Nachrichten über Positionen und Verlegungen der Flotten der deutschen Marine entschlüsseln, was schlussendlich zu einem der Hauptfaktoren für den Ausgang des Krieges wurde.
Prinzipiell ist jeder in der Praxis verwendete kryptographische Algorithmus “knackbar”, die Frage ist nur, ob es realistisch möglich ist, dies mit der aktuell zur Verfügung stehenden Technik tatsächlich zu bewerkstelligen. Heute gilt jedes Verschlüsselungsverfahren als gebrochen, wenn es tatsächlich durchführbar ist, den verschlüsselten Nachrichteninhalt in den Klartext zurück zu wandeln, ohne den Schlüssel zu kennen. Ein Hash Verfahren wie MD5 oder SHA-1 wird als gebrochen bezeichnet, wenn es praktisch möglich ist, Kollisionen zu erzeugen.
Genau dies ist den Forschern nun für SHA-1 gelungen. Durch Nutzung einer mathematischen Abkürzung und immer noch enormer Rechenpower, die von Google bereitgestellt wurde.
Der Angriff erforderte über 9.223.372.036.854.775.808 SHA-1 Berechnungen, die äquivalente Rechenleistung wie 6.500 Jahre Single-CPU-Berechnungen oder 110 Jahre Single-GPU-Berechnungen. Man könnte vermuten, nach Einsatz derartiger Rechenpower sei nun ein Ergebnis gefunden, das künftige Kollisionen leichter macht. Doch genau das ist nicht der Fall, durch diese Berechnungen wurde genau eine Kollision erzeugt. Jede neue Kollision von SHA-1 Hashes würde wieder den selben Aufwand nach sich ziehen.
Um eine derartige Rechenleistung zur Verfügung zu haben, benötigt man Zugriff auf Rechenzentren, wie Google, Amazon oder die NSA sie mutmaßlich betreiben. Das für diesen Angriff notwendige Brutforcing lässt sich leicht parallelisieren. So kann die theoretische Rechenzeit von 6.500 Single-CPU Jahren auf nur 110 Jahre mit Single-GPUs verteilt werden, oder einem Jahr mit 110 GPUs oder ein Monat mit 1.320 GPUs. Somit ist die Frage, ob ein Verfahren sicher ist, oder als gebrochen gelten muss, abhängig davon, ob und für wen es machbar ist, eine derartige Rechenleistung bereit zu stellen, um im Ergebnis genau einen Schlüssel zu knacken. Es mag auf den ersten Blick nach viel klingen, wenn man sagt, man müsse tausend Jahre rechnen, um einen Schlüssel zu knacken. Dennoch gibt es Organisationen, für die es nicht außer Reichweite ist, 1.300 Prozessoren einen Monat auf das Knacken eines Schlüssels zu investieren. Teuer, aber eben nicht unmachbar. 

Kollisionsresistenz und Pre-image Angriffe

Für den Anwendungszweck des Application Whitelisting wie SecuLution es bietet, trifft dies alles aber nicht zu. Wir nutzen die Eigenschaft eines Hashes, eine bestimmte Version einer Software eindeutig in einer recht kurzen Kette von Buchstaben und Zahlen eindeutig und fälschungssicher zu identifizieren. Es wird also lediglich die Masse aller verfügbaren Hashes genutzt, um eine eindeutige Identifikation zu ermöglichen. Es soll nichts verschlüsselt und entschlüsselt werden.
Um einen Angriff auf diese Technik durchzuführen, hilft dem Angreifer eine Kollision nicht. Wir erinnern uns, dass eine Kollision lediglich zwei identische Hashes erzeugt die wir darüber hinaus nicht beeinflussen können. Der Angreifer müsste aber zwingend eine Datei erzeugen, die im Ergebnis einen Hash hat, der in der Application Whitelist bereits als vertrauenswürdig eingestuft ist. Es ist also der Hash vorgegeben (Pre-Image) und der Angreifer muss eine Datei erstellen, die genau diesen Hash erzeugt. Man nennt das einen Pre-Image Angriff.
 SHA-1 und auch MD5 sind im Bezug auf ihre Kollisionsresistenz gebrochen, im Bezug auf Pre-Image Angriffe aber stehen diese Algorithmen auch heute wie ein Fels in der Brandung. Es ist nach wie vor nicht möglich Eingabedaten (z.B. Schadsoftware) zu erzeugen, die einen vorgegebenen Hash (z.B. MD5 von calc.exe) haben wird.
Pre-Image und Kollision sind zwei unterschiedliche Angriffe auf Hashes: Eine Kollision ermöglicht es, aus zwei Anwendungen unterschiedlicher Funktion einen identischen Hashwert zu generieren, aber auf den im Ergebnis erzeugten Hash kann dabei kein Einfluss genommen werden. 

Die Magie der großen Zahlen

Um diese Unmöglichkeit der Durchführung eines Pre-Image Angriffs auf MD5 besser veranschaulichen zu können, kann man folgendes tun:
Die Aufgabenstellung des Angreifers ist, eine Schadsoftware zu erzeugen, die im selben MD5 Hash resultieren soll, wie das Programm calc.exe. Es ist also der Hash von calc.exe vorgegeben. Im Falle von MD5 mit einer Länge von 128 Bit, wäre man mit Brute-Force nach 2 hoch 128 Versuchen garantiert erfolgreich.
Wählen Sie in Gedanken eine Zahl zwischen 1 und 10, und Ihr Gegenüber ist nach garantiert maximal 10 Versuchen erfolgreich, Ihre Zahl erraten zu haben. Im Durchschnitt würde er aber nur 5 Versuche benötigen.
 Analog dazu ist die durchschnittliche Anzahl von Bruteforce Versuchen auf einen MD5 Pre-Image Angriff 2 hoch 64 Versuche. 2 hoch 64 ist eine unvorstellbar große Zahl. Was uns zu dem Problem führt, dass Zahlen wie 2 hoch 64 für viele Menschen zu abstrakt sind, es fehlt uns eine Bezugsgröße, um sie besser in uns geläufige Zeiträume einordnen zu können. Als Vergleich wird daher oft die Rechenzeit angegeben, die eine aktuelle GPU zum „Durchprobieren“ dieser Zahlenmenge benötigen würde.
Die beste GPU in 2017 kann rund 2.000.000 = 2 × 10 hoch 6 MD5 Varianten einer Schadsoftware pro Sekunde erzeugen und deren Hash berechnen.* 
Um 2 hoch 64  (=1,84 × 10 hoch 19 ) Berechnungen durchzuführen benötigt die aktuell modernste GPU damit 9.223372 × 10 hoch 12 Sekunden oder, als Referenzwert für uns besser geeignet, 292.471 Jahre Rechenzeit. 
Das bedeutet, 292.471 GPUs rechnen ein Jahr oder 3.509.654 GPUs rechnen einen Monat. Diese Größenordnung wird gemeinhin als nicht durchführbar betrachtet, deshalb gilt dieses Verfahren im Bezug auf Pre-Image Angriffe weiterhin als ungebrochen.


* Diese GPU kann 25.000.000 Rechenoperationen/Sekunde durchführen, allerdings verringert sich diese Zahl für den beschrieben Fall immens, da immer auch die Schadsoftware mit in die Hash Berechnung einbezogen werden muss.

MD5 Hashes sind unsicher. Stimmt das?

Lange Zeit war es ruhig um unsere Software in aktuellen Tests. Anfang 2017 haben wir jedoch auf die Anfrage des Magazins "IT-Administrator" unsere Software mit allen Modulen für einen Test zur Verfügung gestellt. Der verantwortliche Redakteur wurde von uns - wie alle unsere Kunden - einmalig geschult und nahm unsere Application Whitelist dann in einer eigenen Testumgebung in Betrieb.

Dieser Test wurde nicht von uns in Auftrag gegeben, sondern das Magazin hat eigenständig bei uns eine Test Version angefordert. Wir hatten keinerlei Einfluss auf den Artikel, es ist keine Vergütung, wie bei vielen "Tests" üblich, geflossen.

Wir möchten uns an dieser Stelle herzlich bei allen Beteiligten bedanken. Hier der Link zur Kurzversion des Tests auf der Webseite des "IT-Administrator".

SecuLution im Test | Magazin IT-Administrator

18,9 Prozent der Unternehmen in Deutschland waren bereits Opfer eines Spionagefalls oder waren von Informationsabfluss betroffen. Das Risiko von Industriespionage wird deutlich unterschätzt. Obwohl über 80 Prozent der Befragten glauben, dass das Risiko für Industriespionage weltweit ansteigen wird, glauben nur 33,7 Prozent, dass die Gefahr auch für ihr eigenes Unternehmen steigen wird. Für die deutsche Wirtschaft entstehen durch Spionage jährlich Schäden in Milliardenhöhe. Insgesamt 64,4 Prozent aller geschädigten Unternehmen hatten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichten von 10.000 Euro bis über eine Million Euro je Schadensfall. Rechnet man dies hoch auf alle Unternehmen in Deutschland, ergibt sich eine Schadenssumme von mindestens 2,8 Milliarden Euro.
Das Ziel der Spionage waren meistens technische Innovationen bzw. das Know-how bei den Produktionsabläufen.
Bei den geschädigten Unternehmen sind die Branchen Automobil/Luftfahrzeug/Maschinenbau mit 26,9 Prozent sowie Eisen/Stahl/Metallverarbeitung mit 21,8 Prozent am häufigsten betroffen. Der Informationsabfluss durch eigene Mitarbeiter scheint eine der größten Gefahren zu sein. Von den geschädigten Unternehmen hatten 20,3 Prozent im eigenen Betrieb einen Verrat von Interna an Unberechtigte zu beklagen.
Der Hackerangriff ist die zweithäufigste Form der illegalen Attacken auf Unternehmen. Hier meldeten 14,9 Prozent der geschädigten Unternehmen, dass ihre IT–Systeme bereits von einem eingeschleusten Spionageprogramm bzw. einem Hackerangriff betroffen waren.
Die wenigsten Unternehmen achten darauf, ihre vertraulichen Gespräche an einem geschützten Ort durchzuführen. So war das Abhören von Besprechungen mit 10,7 Prozent eine weitere sehr häufige Form der Spionage. Die geschädigten Unternehmen hatten damit einen Informationsabfluss durch einen sogenannten Lauschangriff zu verzeichnen.
In vielen Fällen ist es relativ einfach, an Details von Neuentwicklungen zu gelangen: durch Aushorchen argloser Mitarbeiter. Der richtige Ansprechpartner sowie ein paar geschickt formulierte Fragen genügen und schon gelangen die streng geheimen Informationen ungefiltert an die Konkurrenz. Durch die immer noch höchst gebräuchliche Form des „Social Engineering“ kamen 8 Prozent der betroffenen Unternehmen zu Schaden.
Diese Zahlen sind nicht aktuell, sondern aus einem Bericht aus dem Jahr 2007. Wer jetzt noch glaubt es sei besser geworden der irrt sich gewaltig. Nicht nur Ransomware Wellen wie im Jahr 2016 oder Ransomware as a Service Angebote, die es quasi jedem ermöglichen seine eigene, einzigartige Schadsoftware ohne Programmierkenntnisse über das Internet zu verbreiten, sondern auch die immer noch zum Teil völlige Arglosigkeit wie Mitarbeiter in Unternehmen und die Unternehmen selber Ihre Infrastrukturen vor Angriffen schützen, bieten nach wie vor beste Chancen um einem erfolgreichen Angriff zum Opfer zu fallen.

Industriespionage kostet die deutsche Wirtschaft Milliarden


This one is just in. Ein neuer Schadcode mit dem klangvollen Namen #Goldeneye treibt sein Unwesen in Bewerbungs E-Mails. Wir möchten dieses Ereignis nutzen um ein wenig über die Funktionsweise einer Application Whitelist und dem Vorgehen einer Schadsoftware wie #Goldeneye zu informieren.

Denn #Goldeneye erfindet das Rad nicht neu. Es greift nur gezielt die Personalabteilungen mit einer getürkten Bewerbung an, in der eine XLS Datei und teilweise auch ein PDF mit Bewerberdaten enthalten sind. Öffnet man die XLS Datei wird man dazu aufgefordert die Makros zu aktivieren. Jetzt kann über ein Script die eigentliche Schadsoftware nachgeladen und angestartet werden.

Dieser Mechanismus ist nichts neues, nur das Ziel ist jetzt die Personalabteilung von Unternehmen. Denn Bewerbungen werden dort immer empfangen. Social Engineering eben.

SecuLution schützt hier mit der Positivliste. Das bedeutet zwar, dass über die aktivierten Makros die Schadsoftware geladen werden kann, allerdings hindert der Abgleich des generierten Hashwertes mit der Positivliste die Schadsoftware an der Ausführung. Der Nutzer erhält lediglich die Nachricht, dass das Programm welches gerade ausgeführt werden sollte nicht auf der Whitelist steht und somit auch keinen Schaden anrichten kann.

Virenscanner haben gerade mit neuen Schadcodes ihre Probleme, da sie die brandneuen Schädlinge nicht kennen, sondern sich gerade noch komplett auf #Locky und Co. konzentrieren. Signaturen die vor #Goldeneye schützen haben sie nicht, so kann der Virus in den ersten Stunden nach seinem Auftauchen bereits massenhaft Systeme infizieren und ungestört arbeiten. Der Schaden ist entstanden.

Mit SecuLution bleibt alles beim alten. Ohne Signaturupdates oder aufwändige Netzwerkscans.

Für mehr Informationen zu #Goldeneye geht es hier zum Artikel von heise.de.

#Goldeneye reloaded

Anlässlich der it-sa 2016 gab SecuLution CEO Torsten Valentin ein Experteninterview für die Zeitschrift CRN, Themenschwerpunkt IT Security.

Der komplette Artikel ist hier zu finden.

Presseartikel CRN, Ausgabe 42, Oktober 2016


Sie sichern Ihr Netzwerk mit höchster Wahrscheinlichkeit gegen Angriffe von außen ab, das ist gut so. Tun Sie das auch mit aktueller Technik und höchstmöglicher Effektivität gegen die aktuelle Welle von Schadsoftware? Über 30 Jahre alte Mechanismen werden mit immer neuen Namen versehen und tun immer noch das gleich wie in Zeiten der ersten Computerviren die keinen großen Schaden anrichten konnten.
Die Bedrohung ist heutzutage jedoch eine völlig andere als vor 30 Jahren. Immer neue Varianten von Ransomware, allen voran Locky, werden in ungeahnter Geschwindigkeit verändert und verbreiten sich ungehindert in Netzwerken um Unternehmen mit Hilfe gekidnapter Daten zu erpressen. Virenscanner können hier immer nur gegen die Versionen die bereits bekannt sind effektiv schützen.
Doch wie schützt man sich effektiver als mit den heute gängigen und leider auch komplizierten Verfahren wie Verhaltensanalyse, ständigen Paket-Scans und ressourcenfressender Netzwerküberwachung?
Gehen Sie einen Schritt zurück und fragen sich, wie es einfacher statt immer komplexer funktionieren kann.
Wie verhalten Sie sich an Ihrer Haustür? Sie lassen nur Personen in Ihr Haus die Sie kennen und denen Sie vetrauen. Würden Sie hier agieren wie ein Virenscanner würden Sie ständig auf eine Liste von bekannten Straftätern schauen wenn es klingelt. Für den Fall, dass ein Unbekannter vor Ihnen steht der nicht auf der Liste ist, lassen Sie ihn ein und beobachten wie er sich verhält.
So sichern Unternehmen heute ihr Netzwerk.
Wir müssen anfangen unsere Verbieten-Mechanismen durch Erlauben-Mechanismen auszutauschen! Kein Virenscanner wird ein neues Virus blocken wenn er es noch nicht kennt! Keine Verhaltensanalyse wird ein auffälliges Verhalten feststellen wenn es nichts auffälliges zu erkennen gibt.
Mehr unter echte-sicherheit.de

Scannen Sie noch oder erlauben Sie schon?


Alles dreht sich dieses Jahr um Ransomware und wie man sich effektiv schützen kann. Im Rahmen der diesjährigen it-sa in Nürnberg wird dieses Thema eine der oberen Positionen für die Messebesucher einnehmen. Vor allem Krankenhäuser haben mit Ransomware zu kämpfen, hier lohnt sich der Angriff für Cyber-Kriminelle vor allem da sehr sensible Patientendaten verschlüsselt werden können. Somit sind die IT Verantwortlichen jetzt mehr dennje in der Pflicht nach Möglichkeiten zu suchen sich gegen diese neue Bedrohung zu schützen.

Das Fachjournal "Krankenhaus IT" widmet dem Thema IT Sicherheit im Krankenhaus ein komplettes Sonderheft. Auch das Whitelisting von Applikationen findet natürlich seinen Platz hier. Denn nach wie vor gilt, Application Whitelisting ist der einzig effektive Schutz vor unbekannter Software. Vorurteile gegenüber dieser Technik halten sich dennoch hartnäckig. So ist die Erstellung und Pflege einer Whitelist heute alles andere als zeitintensiv und aufwändig. Im Gegenteil, vieles kann problemlos automatisiert werden, so dass Administratoren sich nicht einen Großteil ihrer Zeit um ihre Sicherheitslösung kümmern müssen.

Der Artikel aus dem aktuellen Heft 10/2016 ist für Sie hier erreichbar: Manche Administratoren machen es sich einfach. Mit Whitelisting.

Das komplette Heft sehen Sie hier: Praxisleitfaden IT Sicherheit im Krankenhaus

Application Whitelisting – Artikel im Krankenhaus IT Journal

Die Security Softwareschmiede SecuLution GmbH aus Werl war dieses Jahr mit ihrem gleichnamigen Application Whitelisting Produkt nicht nur mit einem Messestand auf der it-sa 2016 vertreten. Schon in der Pressekonferenz zur Eröffnung war Geschäftsführer Torsten Valentin als Vertreter der deutschen IT-Security Unternehmen unter den Referenten und rückte die momentane Situation in der deutschen IT Sicherheitslandschaft in den Fokus. Die Aussage "Was die IT-Branche angeht, so sind wir noch in den Kinderschuhen" sorgte für mächtig Wirbel, jedoch auch Zustimmung unter den Anwesenden. So twitterte Fraunhofer AISEC "Torsten Valentin, GF @EchteSicherheit spricht gerade sehr erfrischend auf der PK der #itsa16"

Zur Pressemitteilung.

Pressemitteilung 26.10.2016

Am zweiten Messetag der it-sa 2016 durften wir vor interessierten Teilnehmern unseren Lösungsansatz im blauen Forum präsentieren. Trotz einer kleinen Verspätung hat unser Konzept anscheinend überzeugt. Wir haben bis zum letzten Messetag Resonanz zu diesem gelungenen Vortrag erhalten.
Warum auch nicht, Whitelisting besticht durch seine Einfachheit, aber sehen Sie selbst.

SecuLution CEO Torsten Valentin erklärt Application Whitelisting auf der it-sa 2016

Eigentlich schreibt man so etwas wenn alles vorbei ist und nicht gleich am Ende des ersten Tages. Die diesjährige it-sa war allerdings von Anfang an so überaus ereignisreich erfolgreich für uns, dass wir hier gerne ein paar Eindrücke schildern möchten.
Auch ohne einen großen Eckstand mit individueller Messebaulösung konnten wir unsere Kunden und Interessenten am ersten Messetag empfangen und hatten informative Gespräche. Wir haben fast die Hälfte unseres Infomaterials direkt an diesem Tag an die gut gelaunten Besucher der Messe ausgegeben.
Um 11:00 vormittags stand zudem die Pressekonferenz mit den Vertretern der deutschen IT-Security Lands
Mit den zahlreichen positiven Reaktionen auf den Auftritt von Herrn Valentin während und nach der Konferenz haben wir allerdings in diesem Umfang nicht gerechnet. Wir sind immer noch ganz gerührt.
chaft und unserem Geschäftsführer auf dem Programm.
So twitterte Fraunhofer AISEC "Torsten Valentin, GF @EchteSicherheit spricht gerade sehr erfrischend auf der PK der #itsa16"
Valentins Aussage "Was die IT-Branche angeht, so sind wir noch in den Kinderschuhen" sorgte für mächtig Wirbel, jedoch auch Zustimmung unter den Anwesenden.
Zurück auf dem Stand ging der Tag turbulent aber sehr zufriedenstellend weiter, so dass wir uns schon auf die Abendveranstaltungen mit vielen neuen und alten Bekannten Gesichtern freuen um den ersten Messetag nochmals Revue passieren zu lassen.
Wir freuen uns auf die kommenden zwei Tage in Nürnberg und sind auf die Resonanz zu den bevorstehenden Vorträgen gespannt.
Fotocredit: Swenja Hintzen, Secusmart

Der erste Tag auf der it-sa 2016. Ein Fazit.

Whitelisting-Anbieter SecuLution erstmals auf der it-sa

Zur Eröffnung der diesjährigen it-sa wird SecuLution-Geschäftsführer Torsten Valentin neben Vertretern des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundesministeriums des Innern (BMI) und des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) als Experte auf der einleitenden Pressekonferenz im NCC West am 18. Oktober ab 10:00 Uhr, Fragen rund um die derzeitige Situation in der IT Security informieren.

Pressemitteilung 11.10.2016

Softwarewhitelisting ist das "New Kid on the Block" in der IT Sicherheit. Obwohl keine neue Erfindung, fristet das Prinzip der Positivliste von erwünschter Software ein Schattendasein neben den bekannten Antiviruslösungen die seit 30 Jahren den Markt der Netzwerksicherheit dominieren. Fakt ist allerdings, dass durch eine funktionierende Whitelist-Lösung selbst aktuellste Angriffe durch Ransomware, verhindert worden wären.

Zum Event auf der ECSM Website

European Cyber Security Month (ECSM) – Unser Beitrag auf der it-sa 2016:

Besuchen Sie uns auf der it-sa 2016 in Nürnberg! Vom 18.bis 20. Oktober 2016 informieren wir Sie über Trends & Innovationen der IT-Securitybranche.


Geben Sie einfach folgendem Code auf it-sa.de/gutschein ein: A351702

Ihre persönliche Eintrittskarte wird erstellt und Sie können diese direkt ausdrucken oder auf Ihr Smartphone laden. Es fallen keinerlei Kosten für Sie an. Wir freuen uns auf Sie. Sie finden uns in Halle 12.0 am Stand 647.

Der Countdown läuft!