Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 19.4.2018 zu Ende. Neben den klassischen Angeboten für IT-Lösunge...

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 19.4.2018 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, konnte SecuLution seinen Kunden und Interessenten auf der conhIT erstmals einen Ausblick auf die kommende Version 2.0 geben.


SecuLution 2.0 war auf der conhIT erstmals als Beta einer breiten Öffentlichkeit zugänglich und erntete, dank vieler neuer Funktionen und einer komplett neu gestalteten Benutzeroberfläche, viele bewundernde Blicke. Unser bereits 2017 runderneuerter Messestand war auch 2018 zusammen mit unserem Team wieder an gewohnter Stelle in Halle 3.2 vertreten und sorgte für einen hohen Wiedererkennungswert.

Neben Interessenten, Kunden und Vertriebspartner, informierten sich auch Studenten und Aussteller über neuen Version von SecuLution Application Whitelisting.

Auf Grund der hohen Besucherfrequenz vom Vorjahr haben wir 2018 mit drei statt mit zwei Demo-Points und einem großen Bildschirm die Neuerungen und Vorzüge präsentiert. Einige Besucher hatten das Thema  IT-Sicherheit gar nicht auf ihrerAgenda für die conhIT und wurde durch unsere Lösung positiv überrascht.

Die erneut sehr gut besuchte Messeführung, machte kurz vor Messeschluss bei uns Station und war erneut ein voller Erfolg. Danke an dieser Stelle an das Organisationsteam, es hat wieder wunderbar geklappt, und wir konnten nach der kurzen Produktvorstellung durch CEO Torsten Valentin, viele Interessenten detaillierter beraten.


Alles in allem hatten wir eine großartige Woche und haben viele neue Kontakte knüpfen können. Freuen uns andererseits natürlich immer, bereits bekannte Gesichter und treue Kunden auf der Messe wieder einmal persönlich zu treffen und uns auszutauschen.

Langsam macht sich ein Umdenken in den IT-Abteilungen in Bezug auf Endpoint Security bemerkbar. Waren 2017 noch weniger Besucher von Application Whitelisting als primärer Lösung zur Absicherung ihrer Netzwerke überzeugt, konnten wir 2018 einen deutlichen Trend hin zu Alternativen wie SecuLution Application Whitelisting erkennen.

Die immer noch bestehende Unbekanntheit und die vielen Vorurteile die dem Konzept Application Whitelisting vorauseilen, lassen dieses Umdenken jedoch nur schleppend vorankommen..
Für uns war die conhIT daher auch ein weiterer Schritt auf dem Weg, mit immer wieder angeführten Vorurteilen gegenüber Application Whiltelisting, aufzuräumen. Vor allem unsere neu vorgestellte Version 2.0 trug erfolgreich dazu bei klassische Vorurteile zu entkräftigen:
  • Application Whitelisting kann nicht nur in statischen Netzwerken eingesetzt werden, tägliche Updates und Patches stellen keine Hindernisse für die Nutzung dar.
  • Große Teile von SecuLution erledigen automatisiert ihre Aufgaben, der Administrationsaufwand reduziert sich dadurch erheblich.
  • Administratoren haben wieder die volle Übersicht über die im Netzwerk genutzte Software.
  • Ausfallzeiten und Schäden durch unerwünschte Software gehören mit Whitelisting der Vergangenheit an. 
uvm.

Wir bedanken uns bei den Organisatoren der Messe Berlin, die wieder einmal eine großartige Plattform aufgestellt haben. Wir freuen uns auf die neue conhIT 2019, egal wie sie dann heißen wird.

Gefahrenabwehr in Unternehmen: Whitelist statt Virenscanner Locky und WannaCry sind als Trojaner auch in Deutschland zu trauriger Berüh...

Gefahrenabwehr in Unternehmen: Whitelist statt Virenscanner

Locky und WannaCry sind als Trojaner auch in Deutschland zu trauriger Berühmtheit gelangt, weil sie medienwirksam großen Schaden angerichtet haben. Alltäglicher ist die Bedrohung für Computer und Netzwerke allerdings durch Sicherheitslücken in den Systemen selber. Die letzten Designfehler in Prozessorchips waren Meltdown und Spectre. Sie gewähren den Hackern Zugriff auf Teile der infizierten Rechner und damit auf sensible Informationen wie Passwörter und Login-Keys oder auf Daten. Auch Cloud-Computing, virtuelle Umgebungen, Mehrbenutzer-Server – selbst in Rechenzentren und Unternehmensumgebungen – können betroffen sein.

Egal welche Gefahren im Cyberspace lauern, die IT-Sicherheitsfirma SecuLution verspricht Schutz. Das Zauberwort heißt „Application Whitelisting“. Der Ansatz ist einfach, erläutert Geschäftsführer Torsten Valentin: „Während Virenscanner immer kompliziertere Mechanismen etablieren müssen, um die neuesten Bedrohungen auch erkennen zu können, reicht es beim Application Whitelisting nur das ausführen zu lassen, was auf der Whitelist der erlaubten Anwendungen steht. Alles andere wird blockiert.

Ein gebranntes Kind ist das Lukaskrankenhaus Neuss, das vor  zwei Jahren schwer mit dem Verschlüsselungstrojaner Locky zu kämpfen hatte. Der Sinn von Application Whitelisting steht für IT-Leiter Bernd Zimmer außer Frage: „Überall wo wir SecuLution installiert haben, kann uns so etwas wie Locky nie wieder passieren.“ Neben der Überprüfung von ausführbarem Code lässt sich sogar die Verwendung von Geräten, die per USB an einen Computer angeschlossen werden, kontrollieren. Damit gehört die umständliche Verwaltung von USB-Ports und deren Freigabe der Vergangenheit an.

Das bietet den Anwendern und der IT-Abteilung ein hohes Maß an Sicherheit, wie Zimmer ausführt: „Heute ist es so, dass nur die Programme ausgeführt werden, die wir vorher als sicher eingestuft haben. Alle anderen, etwa unbekannte oder schadhafte Dateien, werden blockiert und wir bekommen einen entsprechenden Warnhinweis.“ So stoppt das Application Whitelisting von SecuLution nicht nur Viren, Trojaner oder Ransomware, sondern schützt auch vor Eindringlingen durch Sicherheitslücken.

Der Clou an der Lösung ist, dass SecuLution im Gegensatz zu anderen Whitelisting Lösungen ausschließlich mit den Hashes – den elektronischen Fingerabdrücken – der erlaubten Software arbeitet. Beim Start, egal ob von DLLs, JavaCode oder USB-Geräten, wird der Hash gebildet und gegen die Whitelist geprüft. Ist der Hash dort nicht als erwünscht und vertrauenswürdig erfasst, kann die Software nicht ausgeführt werden. Egal welche Berechtigungen der Nutzer hat. Ein hoher Grad an Automatisierung sorgt zudem dafür, dass Updates und neue Software nicht zu einem erhöhten Aufwand bei der täglichen Pflege der Whitelist führen.

Die Pressemitteilung kann unter anderem hier abgerufen werden.

Windows 10 gibt es inzwischen seit dem 29. Juli 2015, Zeit genug um dem rundum neuen OS aus dem Hause Microsoft inzwischen auch den Statu...

Windows 10 gibt es inzwischen seit dem 29. Juli 2015, Zeit genug um dem rundum neuen OS aus dem Hause Microsoft inzwischen auch den Status Standard System in Unternehmen zuzuordnen. Windows 7 ist mit dem Ablauf des erweiterten Supports für SP1 am 14. Januar 2020 langsam aber sicher ein Auslaufmodell und Netzwerkadministratoren müssen sich zunehmend mit den Eigenheiten des aktuellen Windows im professionellen Umfeld befassen.

Seit dem Release 2015 hat Microsoft 4 größere Updates für Nutzer weltweit zur Verfügung gestellt. Größte Veränderung jedoch in Windows 10 waren die Unterscheidung zwischen Updates und Feature Upgrades.

Probleme mit Windows 10 und SecuLution?

Diese Neuerung ist an sich nicht problematisch, lediglich die Informationspolitik zur Verwaltung der Feature von Microsoft. Zugegeben: Ohne Whitelisting würde es überhaupt nicht auffallen, wenn unbemerkt Upgrades ohne Kenntnis des Administrators installiert würden. Verwendet man nämlich nicht die aktuellste Version des Windows Server Update Service (WSUS) so werden diese Feature Upgrades munter direkt von Microsoft geladen. Nur mit einer aktuellen Server Version und entsprechenden Gruppenrichtlinien kann der Administrator wieder die Kontrolle über alle Updates erlangen. Bis man das allerdings herausgefunden hat blockiert eine Application Whitelisting Lösung alles was sie nicht kennt. Das verursacht Unmut.

Windows 7 auch 2017 noch weit verbreitet

War Anfang 2017 die Verbreitung von Window 7 zwar unter die 50% Marke gefallen, so hält sich diese ausgereifte Version in Unternehmen jedoch hartnäckig. Mit ein Grund hierfür ist die einfache Verwaltbarkeit der Updates über den WSUS. Immer neue Überraschungen lassen Administratoren davor zurückschrecken, die neueste Windows 10 Version in ihren produktiv Netzwerken auszurollen.
Was hat das alles mit SecuLution Application Whitelisting zu tun?
Auf Grund der Funktionsweise von Whitelisting im Allgemeinen und SecuLution im Speziellen ist das grundsätzliche Verhalten von Windows 10 Feature Upgrades problematisch. Alles was nicht in der Whitelist für erlaubte Anwendungen erfasst ist funktioniert nicht. Der WSUS Server als zentrales Sammelbecken für Updates und Upgrades ermöglicht das Importieren der Hashes vor dem Rollout und somit ein reibungsloses Arbeiten. SecuLution automatisiert diese Schritte, um das manuelle Nachpflegen dieser Informationen zu vermeiden.

Man merkt jedoch erst, dass das alles so nicht mehr funktioniert, wenn man die Kombination aus nicht aktuellem WSUS, Windows 10 und SecuLution als Administrator in einem Netzwerk ausgerollt hat. Denn was Microsoft als Service versteht – neue Features wenn nötig auch mal schnell aus dem Internet direkt auf dem PC zu laden und zu installieren und auch anderen PCs mit Windows 10 im Netzwerk bereitwillig diese Updates zur Verfügung zu stellen – das gerät mit einer Application Whitelist zu einem kurzen Aussetzer. Was nicht über den WSUS kommt wird nicht automatisch erfasst. Was nicht erfasst ist, wird von der Whitelist rigeros blockiert. Die Computer stehen still.

Verständlicherweise wird hier sofort auf die IT und ihre Sicherheitsprodukte – ins diesem Fall SecuLution – geschimpft. Schließlich blockiert die Software alles was sie nicht kennt. Erst wenn sich die Wogen etwas geglättet haben merkt man, dass die ganzen blockierten Upgrades an der Misere Schuld sind.


Updates, Upgrades und WSUS

Die Verwaltbarkeit von Aktualisierungen wurde in Windows 10 zunehmend automatisiert und Microsoft geriet schnell in die Kritik, da sich sowohl Windows 10 als auch die neuen Features einfach installierten, ohne dass der Nutzer Einfluss darauf nehmen konnte. Für Firmennetzwerke bedeutete das erst mal „Finger weg!“. Die Verwaltbarkeit von Updates ist für Administratoren grundsätzlich mit dem sogenannten Windows Software Update Server, kurz WSUS, gegeben. Dort kann für alle verwalteten Computer eines Netzwerkes zentral festgelegt werden, welche Updates des Betriebssystems und seiner Komponenten ausgerollt werden. Alles was der Administrator nicht für relevant hält bleibt auch von den Systemen fern. Zudem muss er dafür sorgen, dass alle Anwendungen im Unternehmen jederzeit einwandfrei arbeiten, das kann mit einem größeren Update in Ausnahmefällen auch schief gehen. Man muss dann also warten bis entweder die Anwendung selbst mit der neueren Windows Version kompatibel ist oder das entsprechende Update zurückstellen.

Windows 10 ist ab jetzt der Administrator

Mit Windows 10 änderte sich das allerdings. Upgrades beinhalten nach dem Willen von Microsoft neue oder geänderte Betriebssystemfunktionen und unterstreichen das Vorhaben von Microsoft, Windows 10 immer wieder mit neuen oder geänderten Features zu versorgen, ohne ein neues Windows auf dem Markt zu bringen. Diese Upgrades werden daher oft auch als Feature-Upgrades bezeichnet. Optionale Updates wie noch unter Windows 7 oder Windows 8.x gibt es mit Windows 10 nicht mehr. Nur für Upgrades bietet Microsoft ab Windows 10 Professional (alle außer der Home-Edition) die Möglichkeit, sie zurückzustellen, was über Windows Update unter Einstellungen aktiviert werden kann.
Als Auswirkung bleiben die Upgrades damit 4 Monate vom System fern, bevor diese dann doch installiert werden. Wird in einem Firmennetzwerk ein WSUS oder SCCM verwendet, kann die Verteilung um weitere 8 Monate verzögert werden. Aber eben nur verzögert. Für Nutzer der Professional-Edition von Windows 10 ab Version 1709 findet sich übrigens in den Einstellungen bei „Windows Update“ - „erweiterte Optionen“ die Funktion „Updates aussetzen“. Damit können Sie Updates auf dem Gerät für bis zu 35 Tagen aussetzen.

Doch damit nicht genug. Damit z.B. das Zurückstellen der Feature Upgrades mit dem WSUS auch funktioniert, sind bestimmte Voraussetzungen zu erfüllen:
  • mindestens Windows Server 2012 oder 2012 r2 in der aktuellsten Version
  • WSUS in der Version 3.0
Server 2016 inkl. aktueller WSUS Version 3.0 war bereits nach Erscheinen dazu in der Lage mit neuen Gruppenrichtlinien auch Windows 10 Updates und Upgrades zu verwalten.

Eine Zusammenfassung findet sich direkt im Microsoft Support Center.
Die Informationen hierzu musste man sich gefälligst selbst suchen. Das führte naturgemäß zu einigen unangenehmen Überraschungen.

Fazit

Windows 10 bietet sowohl Nutzern als auch Administratoren zwar ein modernes und sicheres Betriebssystem, jedoch sind selbst nach über 2 Jahren immer noch Überraschungen für Anwender nach Updates möglich, die Windows 10 teilweise noch zur Wundertüte für Administratoren macht.

Andreas Pinkward (Minister für Wirtschaft, Innovation, Digitalisierung und Energie NRW) eröffnet die Health 4.0 | Bild: MCC 2018 Am 16. J...

Andreas Pinkward (Minister für Wirtschaft, Innovation, Digitalisierung und Energie NRW) eröffnet die Health 4.0 | Bild: MCC 2018
Andreas Pinkward (Minister für Wirtschaft, Innovation, Digitalisierung und Energie NRW) eröffnet die Health 4.0 | Bild: MCC 2018

Am 16. Januar 2018 diskutierten mehr als 250 Experten aus dem Gesundheitssystem im Rahmen der Health 4.0 sechs Zentralthemen: Health and Politics, Brennpunkt Krankenhaus, Health in Dänemark und Polen, Global Health Care Futurists, Digitalisierung, IT und Cybersicherheit im Gesundheitswesen und Arzneimittelversorgung in der Zukunft.


Einer unserer Kollegen war als Experte zum Themenbereich IT Sicherheit zur diesjährigen Ausgabe des Health 4.0 Innovationskongress eingeladen, um in einem extra Forum sowohl aktuelle Postionen zum Thema darzustellen als auch Fragen der Kongressteilnehmer zu beantworten.

Fachforum IT-Sicherheit

Zusammen mit Moderatorin Ulla Dahmen (Pressesprecherin des Lukas KH Neuss), Peter Kaetsch  (Vorstandsvorsitzender der BIG Versicherung) und Dirk Kunze (LKA NRW, Kriminalrat Cyber Investigation) wurden vor allem die momentanen Maßnahmen innerhalb von großen Netzwerken (BIG und Lukas KH) beschrieben. Kritische Berichte vor allem zu Punkten der Informationssicherheit und angezeigten Angriffen lieferte dann Dirk Kunze, der auch bei den Ermittlungen des Vorfalls im Lukas Krankenhaus Anfang 2016 beteiligt war.

Der Fall Locky im Lukaskrankenhaus Neuss

Nur weil man vermeintlich valide Maßnahmen zur Absicherung von Daten und PCs vornimmt, heißt das noch lange nicht, dass ein Angriff mit egal welcher Art von Schadsoftware nicht zu einem kompletten Stillstand des geschädigten Unternehmens kommt. So führte Ulla Dahmen nach einer kurzen Vorstellungsrunde aus, dass bis zur Attacke der Ransomware Locky 2016, jeder im Krankenhaus davon ausging eine solide Sicherungs- und Backup-Strategie für das bis dahin bereits sehr weit digitale Krankenhaus installiert zu haben. Die Folgen, so Dahmen, konnte man anschließend ca. ein halbes Jahr immer wieder in der Presse nachlesen. Trotz enomer terminlicher Probleme und anhaltenden Behinderungen im Klinikalltag, konnten vor allem durch das besonnene Vorgehen des LKA und die offensive Kommunikationsstrategie der Pressestelle, ein Imageschaden für das Krankenhaus abgewehrt werden. Der angerichtete Schaden beläuft sich trotzdem bis heute auf eine knappe Million Euro.

Sicherheit auf dem kurzen Dienstweg

Auch Peter Kaetsch schilderte seine Erinnerungen an die Zeit der ersten Verschlüsselungstrojaner aus Sicht der – nach eigener Aussage – digitalsten Krankenkasse Deutschlands. So wurde die Problematik der bis dahin noch neuen und weitestgehend unbekannten Ransomware durch seine Mitarbeiter der IT herangetragen. Die Reaktion der Geschäftsführung war, dem Problem direkt entgegen zu treten. So beschreibt Kaetsch, dass eigentlich erst ein umfassender Ausschreibungsprozess zur Findung von geeigneten Dienstleistern und Produkten gegen die neue Bedrohung hätte lanciert werden müssen. Auf Grund der Lage aber darauf verzichtet wurde und in einem schlankeren Verfahren auf die Expertise von IT-Verantwortlichen und Experten zurückgegriffen wurde. Aus der Sicht der BIG eine rundum gelungene Maßnahme, konnte sich doch bis heute keinerlei Schadsoftware auf den Computern oder Servern unerlaubt Zugriff verschaffen.

Simpel und Effektiv – Befremdlich für viele

Die Publikumsreaktionen auf die Kurzvorstellung von SecuLutions Application Whitelisting Lösung jedoch sorgte im Anschluss für einen regen Austausch zwischen Unternehmensvertretern und Publikum. Wie so oft, war der Ansatz den Whitelisting verfolgt nicht wirklich bekannt und wenn doch schnell mit üblichen Vorurteilen besetzt. Die Einfachheit des Prinzips weckt immer noch sehr starke Zweifel. "Das ist doch viel zu simpel, woher bezieht die Lösung denn ihre Erkenntnisse über die Schädlinge und deren Verhalten?" sind häufig Fragen, die auf eine kurze Erklärung des Prinzips folgen.

Scheinbar sind komplizierte Mechanismen die keiner so wirklich versteht – und die nachweislich seit mehr als zwei Jahren nicht gegen immer neue Schädlinge helfen – vertrauenserweckender als die Tatsache, dass es um ein vielfaches sicherer ist unbekannte Software einfach technisch nicht ausführbar zu machen. Vom resultierenden Schutz sogar gegen Lücken wie Meltdown, Spectre und Eternalblue ganz zu schweigen. Artikel hierzu ebenfalls auf diesem Blog.

So konnten wir uns auch nach dem Ende des Forums nach ca. einer Stunde nicht über zu wenig Zulauf und Rückfragen beklagen. Kongressteilnehmer und auch Referenten kündigten an, unsere Lösung in ihrer IT zur Diskussion stellen zu wollen. Was will man mehr?

Fazit

Die Health 4.0 war für uns ein Interessanter Ausflug in die Branche und ihre aktuellen Herausforderungen und Themen der Digitalisierung. Wir haben wieder einmal ein Stück mehr Bewusstsein für die Alternative Whitelisting geschaffen und hoffen in Zukunft mehr IT Verantwortliche von der Notwendigkeit eines Paradigmenwechsels überzeugen zu können.


Wie bereits in unserem Artikel zu Meltdown und Spectre vom 17. Januar beschrieben, gibt es eine Fülle an Informationen zum Thema.Die Es...


Wie bereits in unserem Artikel zu Meltdown und Spectre vom 17. Januar beschrieben, gibt es eine Fülle an Informationen zum Thema.Die Essenz ist, Meltdown und Spectre werden uns noch lange erhalten bleiben und Application Whitelisting schützt auch ohne Patches!

Tatsache ist, beide Sicherheitslücken können, da Sie Chip-Architekturbasiert sind, nur gelindert werden (mitigiert), zudem sind die betroffenen Funktionen (vorausahnende Berechnungen) Hauptbaustein der Geschwindigkeit moderner Prozessoren. Die Patches können also die Lücken nicht beheben, sondern lediglich die Ausnutzung erschweren und sie verlangsamen die gepatchten Systeme um bis zu 30%. Hochausgelastete Server die bereits ohne die Patches ausgelastet sind bereiten demnach Probleme in der Dienstbereitstellung und auch Virenscanner haben so ihre Probleme im Zusammenspiel mit den Updates.

Zurück marsch, marsch.

So stoppte Microsoft am 9, Januar vorerst insgesamt neun Maßnahmen für AMD Systeme, bis alle Antivirus Hersteller einen bestimmten Registry Key wieder so angepasst hatten, dass die Updates auch ordentlich funktionierten. Quelle: heise.de
Virenscanner machen Systeme eben nicht immer sicherer...

Inzwischen raten Microsoft und sogar Intel davon ab die Patches einzuspielen.
"Microsoft rät dazu, bei hoch belasteten Windows-Servern abzuwägen, ob der Patch nötig ist, etwa weil außer der Server-Anwendung keine fremde Software läuft und andere Sicherheitssysteme wie Firewalls greifen." - c't 3/2018

"Der Chiphersteller hat nun in einem Statement erklärt, dass man Nutzern, Herstellern und Anbietern von Cloud-Diensten vorerst nicht empfiehlt, die Patches auf bestimmten Plattformen bereitzustellen. Diese könnten nämlich zu häufigeren Reboots führen, teilte der Executive Vice President des Unternehmens mit." - windowsarea.de
Obwohl die Hersteller allesamt mehr als ein halbes Jahr Zeit hatten, sind alle Patches fehlerhaft und nach einem großen Ausrollen von Maßnahmen rudern alle nun stückweise zurück.

Kann SecuLution Application Whitelisting vor der Ausnutzung dieser Sicherheitslücken schützen?

Die durch SecuLution geleistete Sicherheit, ist nach wie vor dieselbe. Denn die Ausnutzung der Sicherheitslücken Meltdown und Spectre benötigt zusätzliche Software, welche auf dem angegriffenen Rechner ausgeführt werden muss. Diese Schadsoftware ist SecuLution nicht bekannt und wird dadurch von SecuLution an der Ausführung gehindert.

Wir haben die Details hierzu auf einer extra Webseite für Sie zusammen getragen. Application Whitelisting beweist hier wieder einmal, dass selbst ohne irgendwelche Maßnahmen zu treffen, die gebotene Sicherheit im Standard Betrieb gewährleistet bleibt.

Update zu diesem Artikel Microsoft, Linux, Google und Apple begannen mit dem Ausrollen von Patches, die Designfehler in Prozessorchips ...

Update zu diesem Artikel

Microsoft, Linux, Google und Apple begannen mit dem Ausrollen von Patches, die Designfehler in Prozessorchips adressieren, die von Sicherheitsforschern als "Meltdown" und "Spectre" benannt wurden. Dieser Beitragt fasst zusammen was Sie über diese Fehler wissen müssen:

Was sind Meltdown und Spectre?

Meltdown, als CVE-2017-5754 bezeichnet, kann es Hackern ermöglichen, privilegierten Zugriff auf Teile des Arbeitsspeichers eines Computers zu erhalten, die von einer Anwendung/einem Programm und dem Betriebssystem verwendet werden. Die Meltdown Lücke betrifft Intel-Prozessoren.

Spectre, bezeichnet als CVE-2017-5753 und CVE-2017-5715, kann es Angreifern ermöglichen, Informationen zu stehlen, die in den Kernel/Cache Dateien oder Daten, die im Speicher laufender Programme gespeichert sind (Passwörter, Login-Keys, etc.). Spectre wirkt sich mutmaßlich auf Prozessoren von Intel, AMD und ARM aus.

Moderne Prozessoren sind so konzipiert, dass sie zukünftige Rechenoperation durch "spekulative Ausführung" vorbereiten. Die Prozessoren werden so leistungsfähiger, da sie die erwarteten Funktionen "spekulieren" können, und indem diese Spekulationen im Voraus in eine Warteschlange gestellt werden, können sie Daten effizienter verarbeiten und Anwendungen/Software schneller ausführen. Diese Technik erlaubt jedoch den Zugriff auf normalerweise isolierte Daten, so dass ein Angreifer möglicherweise einen Exploit senden kann, der auf die Daten zugreifen kann.

Was sind die Auswirkungen?

Intel-Prozessoren, die seit 1995 gebaut wurden, sind Berichten zufolge von Meltdown betroffen, während Spectre Geräte betrifft, die auf Intel, AMD und ARM-Prozessoren laufen. Meltdown hängt mit der Art und Weise zusammen, wie Privilegien verwendet werden. Spectre hingegen ermöglicht Zugriff auf sensible Daten die im Speicher der laufenden Anwendung abgelegt sind.

Die potenziellen Auswirkungen sind weitreichend: Desktops, Laptops und Smartphones, die auf anfälligen Prozessoren laufen, können unbefugtem Zugriff und Datendiebstahl ausgesetzt sein. Cloud-Computing, virtuelle Umgebungen, Mehrbenutzer-Server - auch in Rechenzentren und Unternehmensumgebungen - die diese Prozessoren ausführen, sind betroffen.

Zusätzlich zu erwähnen ist, dass die Patches, die für Windows- und Linux-Betriebssysteme veröffentlicht wurden, die Systemleistung je nach Auslastung um 5 bis 30 Prozent reduzieren können.

Googles Project Zero verfügt über Proof-of-Concept Exploits, die gegen bestimmte Software arbeiten. Glücklicherweise berichteten Intel und Google, dass sie bisher noch keine Angriffe gesehen haben, die diese Schwachstellen aktiv ausnutzen.

Beheben die Patches Meltdown und Spectre?

Microsoft hat vor dem monatlichen Patch-Zyklus ein Sicherheits-Bulletin herausgegeben, um die Schwachstellen in Windows 10 zu beheben. Updates/Fixes für Windows 7 und 8 wurden am Patchday im Januar. Microsoft hat auch Empfehlungen und Best Practices für Clients und Server herausgegeben.

Google hat Abhilfemaßnahmen für die betroffene Infrastruktur und Produkte (YouTube, Google Ads, Chrome, etc.) veröffentlicht. Außerdem wurde ein Security Patch Level (SPL) für Android veröffentlicht, der Updates abdeckt, die Angriffe, die Meltdown und Spectre ausnutzen könnten, weiter einschränken können. Ein separates Sicherheitsupdate für Android wurde ebenfalls am 5. Januar veröffentlicht. Man muss allerdings beachten, dass das Patchen auf Android aufgesplittet ist, so dass Benutzer ihre OEMs über die Verfügbarkeit informieren müssen. Nexus- und Pixel-Geräte können das Update automatisch herunterladen.

Berichten zufolge wurde Apples MacOS in der Version 10.13.2 gepatcht, Sicherheitsupdates für 10.12.6 sind gefolgt.64-Bit-ARM-Kernel sind ebenfalls aktualisiert worden. VMWare hat eine eigene Stellungnahme herausgegeben. Mozilla, dessen Team bestätigt hat, dass Browser basierte Angriffe möglich sein könnten, hat die Schwachstellen mit Firefox 57 behoben. Google kündigte an mit der Version 64 von Chrome einen Fix bereit zu stellen.

Was bedeutet das alles für die Sicherheit von SecuLution?

Die Sicherheit welche SecuLution bietet, ist nach wie vor die selbe. Denn egal ob ein Patch vor der Ausnutzung einer Sicherheitslücke schützt oder nicht – diesen beweis sind alle Maßnahmen nämlich noch schuldig – die Ausnutzung der Sicherheitslücken Meltdown und Spectre benötigt eine Software, welche SecuLution nicht bekannt ist. Alleine diese Tatsache schützt.

Bild: allcore.ca Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nich...




Bild: allcore.ca


Unternehmen in Deutschland verlieren zunehmend die Übersicht in einem Bereich in dem sie traditionell schon nicht gut aufgestellt sind. Die Rede ist von IT-Sicherheit. Aber was ist überhaupt IT-Sicherheit im Jahr 2017?


Es gibt nicht die eine IT-Sicherheit. Bereits seit Jahren ist IT-Sicherheit in Unternehmen ein Bereich der Expertenwissen erfordert. Kleinere Unternehmen leisten sich jedoch aus wirtschaftlichen Gründen "Allrounder", so schwer kann das doch nicht sein. Dieses Denken ist allerdings so überholt wie das Funktionsprinzip des Virenscanners. Viele IT-Verantwortliche wissen um diesen Mangel und kämpfen täglich für mehr und besser spezialisiertes Personal in ihrer Abteilung, jedoch kapitulieren viele in diesem aussichtslosen Kampf da sie kein Gehör finden.

Unternehmen suchen immer noch Full-Service


Full-Service hört sich nach einem genialen Modell an, gerade was die Kosten-Nutzen Seite angeht. Von der Werbeagentur bis hin zum Angestellten. Wer viele Kompetenzen in Personalunion vereint, der kann dem Unternehmen nur nutzen. Rein rechnerisch mag das bis zu einem gewissen Punkt auch gelten.

Schaut man sich die durchschnittliche EDV eines deutschen Mittelständlers an, stellt man oft genug fest, dass absolut solide und sinnvolle Arbeit geleistet wird. Die Abteilungen sind durch die oft traditionell bescheidenen Personalschlüssel und knappen Budgets so hocheffektiv, dass niemandem auffällt das es ein Problem gibt. Es funktioniert schließlich alles.

Alles heißt zum Beispiel die Administration und Anlage von Benutzerkonten, Verteilung, Wartung und Support von Fachanwendungen, Konfiguration von Routern damit das geliebte Internet auch sicher funktioniert, bis hin zur Betreuung der Hardware, denn die muss einwandfrei laufen. Das alles funktioniert tadellos.

IT-Mitarbeiter sind oft mit Aufgaben überfrachtet
andertoons.com

Full-Service gleich IT-Sicherheit?


Das alles ist aber nicht IT-Sicherheit, das ist wie Luft zum atmen oder Füße zum laufen. Auch wenn ich mich wiederhole, das eben Beschriebene lastet EDV-Abteilungen – die oft aus maximal 4 Mitarbeitern bestehen (und das ist viel) – bis an ihre Grenzen aus.

Und was ist jetzt mit der IT-Sicherheit? Die meisten IT-Kräfte kennen Grundlagen wie die Verschlüsselung von Kommunikation, Rechteverwaltung und wissen, dass IT-Sicherheit mehr ist als Passwörter zu vergeben. Tiefgreifendes Wissen ist aber etwas anderes.

Der geneigte Leser versteht: das ist das Problem.

Viele Mitarbeiter der EDV-Abteilung, sind keine Experten in IT-Sicherheit. Das war in der Zeit der Ausbildung der meisten Mitarbeiter auch überhaupt nicht notwendig. Digitalisierung hieß eben eine funktionierende IT-Infrastruktur zum Laufen zu bringen und diese am Laufen zu halten. Die Sicherung der Systeme kam immer Stück für Stück hinzu und auf einmal sind Experten gefragt, die funktionierende Konzepte entwickeln und umsetzen sollten. Diese Aufgabe wird nach wie vor erfüllt, jedoch benötigt es ein wenig mehr um ein Netzwerk abzusichern. Eine gute Infrastruktur ist da nur die Grundlage. Das Konzept sollte immer davon ausgehen, dass etwas schief gehen könnte was nicht durch Fehler in der Administration verursacht wurde, sondern durch die Aktionen von Dritten. Netzwerke sollten also von Anfang an mit dem Fokus auf Sicherheit entworfen und aufgebaut werden. Die Realität zeigt aber, dass in gewachsenen Strukturen umgebaut und optimiert werden muss. Denn es muss ja immer möglich sein für alle Mitarbeiter und Prozesse produktiv zu arbeiten. Die berühmte Tabula Rasa auf der ein komplett neues Netz entworfen und konzipiert werden kann ist daher die Ausnahme.

Wer macht denn nun was?


Was macht die IT-Abteilung den nun? “Die machen eben die IT.” Wofür genau die Mitarbeiter dieser Abteilung zuständig sind weiß aber niemand genau. Bestenfalls wäre die Antwort dann so etwas wie „Die sind eben dafür zuständig, dass unsere PCs, Server und alles was da dran hängt funktioniert und dass alle vernünftig arbeiten können“.

Den Betrieb aufrecht erhalten und auch mal etwas hinzuzufügen oder altes zu ersetzen, das macht die IT-Abteilung. Genau das war auch zu Beginn der Digitalisierung die Aufgabe. Wöchentlich neue Schadsoftware, von der keiner weiß was sie als nächstes tut gab es damals nicht. Inzwischen ist das aber die Realität und es ist auch mehr als klar, dass es diese Schadsoftware die EDV betrifft. Und wer ist dafür zuständig? Die IT-Abteilung.

Wenn diese IT-Abteilung jedoch in der Vergangenheit darum kämpfte dem Bereich der IT-Sicherheit mehr Raum zu geben war das Ergebnis oft ernüchternd. Lehrgänge, Schulungen und die ein oder andere Neuanschaffung im Bereich Firewall oder Antivirus Software. Als als eigenständige Disziplin kann man das wohl kaum angesichts der aktuellen Bedrohungslage bezeichnen. Bestenfalls sind die Mitarbeiter der IT nur noch mehr ausgelastet bzw. belastet. Da es lediglich mehr Arbeit für immer noch die selben Personen gibt. Nur allzu oft folgten daraus spektakuläre Sicherheitsvorfälle die so niemand antizipieren konnte, schlicht und ergreifend weil die Personalkompetenz fehlte.

Jeder sollte heute verstehen, dass es Verluste bedeutet, wenn durch Schadsoftware oder ausgefallene Hardware keine Rechnungen verschickt oder Produkte hergestellt werden können. Betriebswissen oder Geschäftsgeheimnisse sind aber bereits eine Indirektionsstufe höher angesiedelt. Wer will denn unser Firmenwissen schon haben. Die “Das haben wir aber schon immer so gemacht” Mentalität ist immer noch allgegenwärtig – auch in der IT.
Zusammen sind wir stärker

Das Problem: Sicherheit braucht Zeit und eine Mitarbeiterschaft, die auch unbequeme Maßnahmen mitträgt. Wenn die IT-Abteilung an der Belastungsgrenze ist, wird zuerst das nach hinten gestellt was am meisten Zeit beansprucht und gleichzeitig am wenigsten kritisch für die Aufrechterhaltung des Betriebes ist. Sicherheitsmaßnahmen also. Administratoren können oft schon dann kein Gehör mehr finden, wenn entweder Angestellte oder gar der Geschäftsführer sich durch beschriebene Maßnahmen zur Steigerung der Unternehmenssicherheit behindert oder eingeschränkt fühlen.

Neben den beschriebenen Aufgaben wachsen die Anforderungen an die Sicherheit aber beständig. Sicherheit ist aber spätestens seit Locky kein Nebenschauplatz in der IT. Man kann das Thema Sicherheit nicht nebenbei im Full-Service betreuen. Experten wie der Netzwerkadministrator es für alle Komponenten und Fragen der Betriebskontinuität ist müssen her. Die werden aber nicht eingestellt, weil aus Sicht der Geschäftsführung IT-Sicherheit eben auch einfach von der IT-Abteilung mitgemacht werden kann.

Geschäftsführer haben also die Möglichkeit Experten einzustellen, eigene Mitarbeiter durch entsprechende Ausbildung zu Experten zu machen und gleichzeitig von ihren bisherigen Aufgaben zu befreien oder den Sicherheitsexperten als Dienstleistung von Extern einzukaufen. Gerade die letzte Option kann für kleine Betriebe sinnvoll sein, die schlicht und ergreifend keine Mittel für eine eigene Stelle des Sicherheits-Experten haben.

Wenn die Geschäftsführung bei diesen Maßnahmen mit an Bord ist, wird es auch der IT-Abteilung leichter fallen entsprechende Maßnahmen zu ergreifen und auch gegen Widerstand aus der Mitarbeiterschaft durchzusetzen.

Was folgt daraus?


IT-Sicherheit soll unter keinen Umständen vernachlässigt werden. Die meisten Unternehmen haben jedoch auf Grund Ihrer eigentlichen Geschäftsfelder ihre Kernkompetenz naturgemäß nicht im Bereich IT-Sicherheit. Einfach zu bedienende und effektivere Lösungen können das bereits vorhandene Personal erheblich entlasten, aber auch externe Dienstleister die speziell mit der Betreuung der IT-Sicherheit beauftragt werden, können hier bereits helfen die Sicherheit zu steigern. Denn in Zukunft werden die Anforderungen an die IT und damit auch an die IT-Sicherheit nicht weniger werden, eher im Gegenteil.

Statt Full-Service sollten also auch zunehmend Spezialisten und moderne Sicherungslösungen in den Blick der Betriebe und Dienstleister rücken wenn es um Personalentscheidungen geht. Die Belastung des Budgets kann heute also kein Grund mehr dafür sein, kein tragfähiges IT-Sicherheitskonzept mit den entsprechenden Mitarbeitern vorweisen zu können. Vielmehr sollten mögliche Folgekosten von Sicherheitsrelevanten Vorfällen die treibende Kraft für die Entscheidung sein, Expertenwissen und moderne Schutzmechanismen im Unternehmen zu integrieren.

Klassische Antivirus Lösungen sind zunehmend in der Kritik und neue Meldungen über erfolgreiche Angriffe auch auf namhafte Unternehmen wie...

Klassische Antivirus Lösungen sind zunehmend in der Kritik und neue Meldungen über erfolgreiche Angriffe auch auf namhafte Unternehmen wie Daimler und Reckitt Benckiser reißen nicht ab. Trotzdem werden 100% der IT Verantwortlichen die Frage "Wie sichern Sie ihre Endpoints?" antworten, dass sie eine aktuelle Virenscanner Lösung verwenden.
100% der Hersteller dieser Lösungen haben bereits nach den ersten Angriffswellen durch die Ransomware Locky versprochen ihre Lösungen so weiter zu entwickeln, dass diese vor erneuten Angriffen schützen werden. Das die Hersteller diese Versprechen nicht einhalten konnten, ist seitdem regelmäßig in den Nachrichten zu verfolgen.


AKTION #BYOM – Bring Your Own Malware
SecuLution startet nun auf der Cloud Security Expo ab dem 28.11.2017 in Frankfurt den Gegenbeweis, nämlich dass man sich sehr wohl effektiv schützen kann. Erfahren Sie mehr in der Pressemitteilung:

Zur Pressemitteilung

Application Whitelisting hat immer noch einen schweren Stand in der IT Welt. Trotz überlegenem Schutzt und inzwischen einfachster Verwal...


Application Whitelisting hat immer noch einen schweren Stand in der IT Welt. Trotz überlegenem Schutzt und inzwischen einfachster Verwaltung der Whitelist, sind viele Administratoren fest davon überzeugt, dass Ihre aktuellen Sicherheitsmaßnahmen sie schützen. 

Die Meldungen über neue, erfolgreiche Angriffe mit Schadsoftware, die es teilweise auch schon einmal gegeben hat und die nur modifiziert wurde, reißen auch nach 2 Jahren nicht ab. Warum das so ist wird sich jeder selbst erklären können.

Die Wahrheit hier aber noch einmal für alle: Virenscanner können nicht vor diesen Gefahren schützen. Offensichtlich.

Oder glauben Sie die jüngsten Opfer wie Daimler, Reckitt Benckiser, Metabo oder Milka haben keinerlei Schutzmaßnahmen für Ihre Netzwerke parat? Trotz aktuellsten Antivirenprogrammen und modernster Hard- und Software standen hier die Produktionen teilweise tagelang still oder es mussten sogar wie im Fall von Reckitt Benckiser Umsatzprognosen in Millionenhöhe korrigiert werden (Quelle: heise).

SecuLution zeigt, dass es auch anders geht
Unter dem Hashtag #BYOM (Bring Your Own Malware) starten wir auf Veranstaltungen in Europa eine einmalige Aktion.
Attackieren Sie unser Demo System mit Ihrer eigenen Schadsoftware oder bringen Sie Schadsoftware mit, die Ihr Virenscanner beim letzten Angriff auf Ihr Netz nicht erkannt hat!

SecuLution blockiert alles, was nicht bekannt ist. Daher wird SecuLution alte Ransomware wie Locky ebenso blockieren wie nagelneue Zero-Day Attacken.

Keine leeren Versprechungen! Keine Tricks!
Die Demo Systeme sind mit SecuLution geschützte Standard Windows 10 Desktops. Erleben Sie, wie SecuLution allen Angriffen Stand hält!

Wären die Ransomware Opfer der vergangenen zwei Jahre mit der SecuLution Lösung geschützt gewesen, hätte es keine dieser Meldungen gegeben. Alle Kunden die SecuLution in Ihrem Netzwerk einsetzen, haben seither nie wieder Probleme mit Schadsoftware gehabt. So einfach kann Sicherheit sein.

Überzeugen Sie sich selbst auf der conhIT in Berlin. Vom 17. bis 19.04.2018.
Gratis Tickets inkl. eines kleinen Snacks könne Sie hier erhalten.





In letzter Zeit werden wir immer wieder von besorgten Kunden, aber auch Interessenten und vor allem von Messebesuchern auf das Thema Fi...


In letzter Zeit werden wir immer wieder von besorgten Kunden, aber auch Interessenten und vor allem von Messebesuchern auf das Thema Fileless Malware angesprochen. Zuletzt erst auf der it-sa 2017. Daher hier ein kleiner Beitrag dazu.


Vorab:
Keine Sorge, SecuLution schützt Sie!

Damit dies aber nicht wie ein reines Marketing-Versprechen wirkt, müssen wir technisch etwas ausholen:

Prinzipiell kann keine Sicherheitslösung grundsätzlich die Ausführung von Schadcode verhindern, wenn dieser Schadcode durch Ausnutzung einer Sicherheitslücke in einer erlaubten Software nur im Speicher dieser Software ausgeführt wird, ohne eine Datei auf Platte zu speichern. Eine derartige "dateilose Infektion" war also schon immer möglich und wird auch zukünftig immer möglich sein, da die x86 und die x64 Architektur (und damit Windows) nun mal so designt sind. Aber diese Angriffe benötigen (bis heute) immer Tools wie z.B. Powershell, deren Ausführung durch SecuLution beschränkt wird, sodass im Endeffekt SecuLution auch Schutz vor allen bisher bekannten dateilosen Infektionen bietet.

SecuLution schützt Sie nach wie vor bestens.

Aber wie groß ist die Bedrohung denn überhaupt, sagen wir mal für Ihren PC Zuhause?
Gerade weil eine solche "dateilose Infektion" keine Datei auf dem Rechner ablegt, ist ein erfolgreicher Angriff immer nur bis zum nächsten Reboot aktiv, somit also temporär. Genau das kann ein Angreifer aber nicht gebrauchen, denn wenn der Rechner neu gestartet wird, ist der Angriff zunichte gemacht. Daher ist die dateilose Infektion bisher eher ein akademisches Forschungsfeld als eine realistische Bedrohung. Denn der Angreifer muss darauf trauen, dass der Anwender seinen Rechner oder die ausgenutzte Anwendung (z.B. Browser) nie neu startet. Es gibt (so gut wie) keine dokumentierten Vorfälle von erfolgreichen Angriffen mittels einer dateilosen Infektion. Einzig ein gezielter Angriff auf einige Banken, die ihre Rechner nie neu gestartet hatten, ist bekannt.
Und dieser Angriff wäre von SecuLution verhindert worden, wenn die Banken SecuLution eingesetzt hätten.

Was können Sie heute tun, um gegen eventuellen Angriffen gewappnet zu sein?
Mit SecuLution sind Sie bereits optimal geschützt, denn SecuLution bietet Ihnen als Whitelisting Lösung nicht nur den Schutz, dass sämtliche unbekannte Programme nicht gestartet werden können, sondern sorgt auch dafür, dass Angriffe, die die PowerShell verwenden, scheitern.

Zitat:
"Diese Payload startete die Powershell, die dann über WinAPI-Aufrufe Speicher reservierte und diesen mit Tools wie Meterpreter und Mimikatz bestückte."


Das alles kann unter SecuLution nicht passieren, wenn Sie unserer Empfehlung folgen und die Ausführung der Powershell per Application Control auf Administratoren beschränken: PowerShell mit Application Control einschränken

Auch wenn jetzt immer noch Zweifel bestehen, rufen wir Sie hiermit auf unsere Aussagen bezüglich der Sicherheit von SecuLution selbst nach zu prüfen. Testen Sie unsere Lösung in Ihrem Netzwerk 8 Wochen lang kostenlos und probieren Sie eigene Angriffe aus.

Wir gehen noch einen Schritt weiter. Besuchen Sie uns am 28. und 29. November auf der Cloud Security Expo in Frankfurt und bringen uns Ihre Malware auf einem USB Stick mit. Sie dürfen diese selber an einem durch SecuLution geschützten PC starten. 

Für kostenlose Eintrittskarten inkl. eines Snacks und weiterer Vorteile registrieren Sie sich bitte hier: www.cloudexpoeurope.de/seculution

SecuLution auf der Coud Security Expo 2017 in Frankfurt

Foto: Nuernberg Messe / Thomas Geiger Die it-sa 2017 war auch für SecuLution ein fester Termin im Kalender, ebenso wie von zahlreichen ...

Foto: Nuernberg Messe / Thomas Geiger

Die it-sa 2017 war auch für SecuLution ein fester Termin im Kalender, ebenso wie von zahlreichen IT-Sicherheitsbeauftragten. Als Trendbarometer für den gesamten IT-Sicherheitsmarkt hat sie mit 28% mehr Ausstellern in nunmehr 3 Hallen einen echten Wachstumssprung gemacht.

Auch 2017 begrüßte das SecuLution Team aus Technikern, Beratern und Geschäftsführer Torsten Valentin, auf einer ebenfalls gewachsenen Standfläche Kunden, Interessenten aber auch Besucher die das Thema Application-Whitelisting bisher noch gar nicht kannten. Vielen Dank für den Besuch und eine gelungene Messe.

Ein erfolgreicher Messeauftritt – Unser Rückblick
Strategien für die Zukunft, IT-Sicherheit, DSGVO, moderne Endpoint Protection und natürlich aktuelle Bedrohungen, standen im Mittelpunkt. Application-Whitelisting bietet für diese Herausforderungen bereits seit Jahren eine umfassende Lösung.
Trotzdem stellen sich vor allem Interessenten immer noch die Frage: Ist Application-Whitelisting nicht sehr pflegeintensiv?

Orientierung für DSGVO
Unsere Besucher stellten diese Frage fast durchgehend. Jedoch konnten wir durch unsere Live-Demo das exakte Gegenteil vorführen. Gleichzeitig beweist SecuLution wie Application-Whitelisting der Umsetzung von DSGVO Anforderungen, wie Zugriffskontrolle, privilegierte Nutzerkontrolle, Datenverschlüsselung und vielen mehr bereits im Default entspricht.

Wir haben uns sehr über die zahlreichen Interessenten und Gespräche gefreut und begrüßen nach der it-sa wieder zahlreiche neue Kunden, die mit Application-Whitelisting ihr Netzwerk von nun an effektiver und sorgenfreier als bisher absichern können.

Abschließend, noch einige Eindrücke:







Die Anforderungen an Industrie 4.0 sind von Branche zu Branche unterschiedlich. Allen gemein ist die Herausforderung die immer dichter v...


Die Anforderungen an Industrie 4.0 sind von Branche zu Branche unterschiedlich. Allen gemein ist die Herausforderung die immer dichter vernetzten Dienste effektiv gegen Angriffe zu schützen. Das Whitelisting von Applikationen bietet dieses Potenzial.

In einem unserer letzten Beitrag haben wir uns auf eine Reaktion der jüngsten Ereignisse im Mai, ausgelöst durch WannaCry, beschränkt. Fast ...

In einem unserer letzten Beitrag haben wir uns auf eine Reaktion der jüngsten Ereignisse im Mai, ausgelöst durch WannaCry, beschränkt. Fast zwei Monate später haben sich lediglich die Namen der Schädlinge geändert. Prominente Opfer wie Milka oder Metabo, deren Produktionen tagelang still standen und deren übrige Infrastruktur bis hin zur Telekommunikation ebenfalls über Tage gestört war, sind nur die Spitze des Eisberges.

Wenn Unternehmen dieser Größe sich nicht sinnvoll gegen solche Angriffe schützen können, was kann dann unsere eigene Regierung mit ihrem Staatstrojaner auf allen möglichen Geräten anstellen?

Grundsätzlich gilt hier wieder, wer auf eine moderne Endpoint Sicherheitslösung wie z.B. Application Whitelisting setzt, ist per se schon besser geschützt. Wiederholt hat sich gezeigt, dass die immer noch zu nahezu 100% eingesetzten Virenscanner in keinster Weise verhindern, dass Schadsoftware egal welcher Art, Systeme komplett infiltriert und Betriebe über Tage und Wochen handlungsunfähig macht.

Ein Artikel zum Thema Staatstrojaner vom IT-Security Experten Adrian Janotta des gleichnamigen Unternehmens Janotta & Partner führt das Whitelisten von Software ebenfalls als einzig wirkungsvollen Schutz nicht nur vor dem Staatstrojaner an. Der komplette Beitrag ist hier zu finden: https://janotta-partner.at/blog.Staatstrojanern.html

Aber nicht nur Sicherheitsexperten sind sich hier einig, zunehmend etabliert sich Whitelisting auch in kleinen und mittelständische Unternehmen (KMU) die eine solche Attacke nur schwer oder mit erheblichen Auswirkungen auf die folgenden Jahre überleben würden.

Wer mehr zum Thema Whitelisting erfahrne möchte kann sich zudem in der aktuellen Ausgabe der über verschiedene Ansätze dieser Technik informieren. Im Themenspecial "Malware: Trends und Abwehr" widmet die Redaktion mehrere Beiträge diesem Thema, unter anderem in einem Beitrag über Application Whitelisting. Hier gehts zum Heft: https://www.kes.info/aktuelles/kes/

Was für eine Messe, was für ein super Publikum, was für eine beeindruckende Location. Doch wie unbekannt Application Whitelisting auch...



Was für eine Messe, was für ein super Publikum, was für eine beeindruckende Location.

Doch wie unbekannt Application Whitelisting auch im internationalen Business noch ist, bestärkt uns weiter unermüdlich auf Fachmessen und Vorträgen Aufmerksamkeit für SecuLution und unsere gleichnamige Application Whitelisting Software zu wecken.

Die Londoner Olympia Hall aus dem späten 19. Jahrhundert liegt im Westen von Londons Zentrum, genauer gesagt zwischen Hammersmith und Kensington. Bereits am ersten Tag war der Besucheransturm überwältigend, trotz typischem Londoner Regenwetter.

SecuLution war dieses Jahr das erste mal als New Exhibitor auf der Galerie der beeindruckenden Halle mit dabei. Unser Eckplatz, in der Nähe der Treppen hat natürlich geholfen interessierte Besucher mit unserer Application Whitelisting Lösung vertraut zu machen. Dennoch waren wir überwältigt vom Besucheransturm und den sehr gut vorbereiteten Besuchern an diesem ersten Tag, ebenso wie an den Folgetagen.

Unsere Tech Showcases auf einer der vielen Bühnen, waren ebenfalls oft Stein des Anstoßes für Interessenten, sich unsere Lösungen genauer anzuschauen. Ein Video hierzu folgt in den nächsten tagen ebenfalls.

Wir konnten viele neue Kontakte knüpfen und hatten eine großartige Woche in London. Die Info Security Europe wird auch 2018 eines unserer Ziele sein. Bis dahin haben wir eine Menge zu tun, freuen uns aber trotzdem das Thema Applicaion Whitelisting auch an unsere internationalen Interessenten und Kunden heran tragen zu können.

Eigentlich sind wir gerade dabei unseren nächsten Messeauftritt in London vom 6. bis 8. Juni vorzubereiten. Gestern Abend am 12. Mai erre...


Eigentlich sind wir gerade dabei unseren nächsten Messeauftritt in London vom 6. bis 8. Juni vorzubereiten. Gestern Abend am 12. Mai erreichten uns jedoch erste Berichte aus England, es seien einige Krankenhäuser wegen eines Ransomware-Befalls nicht mehr in der Lage den Betrieb aufrecht zu erhalten. Soweit heutzutage nichts ungewöhnliches. Leider.

Am Morgen des 13.Mai jedoch sahen die Meldungen schon ganz anders aus. Nicht nur England und Krankenhäuser dort sind betroffen. Ganze Großkonzerne wie die Deutsche Bahn sind befallen und zwar von ein und derselben Ransomware mit dem passenden Namen #WannaCry (Abwandlungen wie  #WanaCrypt0r und #wannacryptor bezeichnen ebenfalls diese Malware).

Warum ist das so fragen sich Reisende, Patienten und Arbeitnehmer? Hat nicht die Ransomwarewelle 2016 die Unternehmen und Betreiber öffentlicher und kritischer IT Infrastrukturen zu einem Umdenken bewogen und es werden Maßnahmen ergriffen die ein erneutes Szenario dieser Größenordnung verhindern?

Die Antwort ist schlicht und ergreifend: Nein.

Warum ist das so? Vor allem liegt es daran, dass immer noch der Satz gilt: Geld regiert die Welt. Sicherheit kostet Geld und verdient, auf den ersten Blick, kein Geld. Also wird nicht, oder nur halbherzig "etwas getan" damit alle sich wieder dem zuwenden können was wirklich zählt. Geld verdienen. Es wird uns schon nicht treffen.

Das ist sehr verallgemeinert, zugegeben. Allerdings ist das unserer Meinung nach der Kern des Problems. Nicht Antiviren-Software Hersteller sind Schuld weil sie es nicht schaffen, einem Prinzip das so alt ist wie der Computer selbst, die Erkennung von unzähligen Schadsoftware Varianten beizubringen. Auch nicht das Marketing dieser Hersteller, das genau das tut was alle tun. Richtig Geld verdienen, indem Neues mit tollen Versprechen gezeigt und pompös verkauft wird.

Punchline "Ihr Computer ist geschützt"

Diese Hersteller tun das, weil alle, die gerade massenhaft Geld und Vertrauen verlieren, nur eines wollen: Sparen wo es geht.
Neue Sicherheitskonzepte oder gar etwas effektiveres als einen Virenscanner einführen? Zu teuer, zu aufwändig, brauchen wir nicht. Getreu dem Motto, "Das haben wir schon immer so gemacht." Uns wird es schon nicht treffen und wenn doch, dann wird es schon nicht so schlimm sein, ist eben ein kalkuliertes Risiko heutzutage.

Gelernt haben weder Finanzmärkte nach einer Krise, noch lernen Unternehmen heute wenn es um ihre Netzwerke und deren Sicherheit geht. Doch ist das wirklich überall so?

Wir als Hersteller einer effektiven Lösung gegen Ransomware und Co. sehen auch das Gegenteil. Das Umdenken in Unternehmen und bei Betreibern kritischer Infrastrukturen. 2016 war ein tolles Jahr für uns und unsere Kunden. Und ja, natürlich haben wir Geld verdient. Wir investieren dieses Geld und unseren neuen Erfahrungen aus immer mehr Netzwerken in eine Sicherheitslösung die sich ständig weiterentwickelt und am Puls der Zeit bleibt. Wir haben Unternehmen wirklich geholfen zu sparen, und das nicht auf Kosten Ihrer Mitarbeiter und Kunden. Es wird neben Geld was nicht für Betriebsausfälle, Datenwiederherstellung und für überarbeitete Administratoren ausgegeben wird auch Stress eingespart. Durch die real geschaffene Sicherheit und auch die damit verbundene gesteigerte Produktivität, wird sogar das getan was alle am liebsten machen. Geld verdienen!

Zugegeben, wir retten die Welt nicht. Aber wir haben 2016 bewiesen, dass Ransomware gegen SecuLution keine Chance hatte und es 2017 auch nicht haben wird. Dafür tun wir alles.


Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lös...


Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lös...

Europas wichtigste Fachmesse für Gesundheits IT geht nach drei Tagen am 27.4.2017 zu Ende. Neben den klassischen Angeboten für IT-Lösungen in Krankenhäusern und Gesundheitseinrichtungen, ist nach 2016 der Bereich Netzwerksicherheit und Endpoint-Protection verstärkt in den Fokus der Unternehmen im Gesundheitssektor gerückt.


Nicht nur für Mediziner und Verwalter bot die conhIT also interessante Lösungen, auch die zahlreichen Mitarbeiter der IT-Abteilungen kamen voll auf ihre Kosten. Unter anderem an unserem Stand in Halle 3.2, wo sich Interessenten, Vertriebspartner, aber auch Studenten und Mitbewerber über Application Whitelisting zur Absicherung gegen unerwünschte Schadsoftware informierten.

Doch der Reihe nach. Bereits 2016 war SecuLution als Mitaussteller auf der conhIT. Nach den durchweg positiven Reaktionen und vielen Neukunden im vergangenen Jahr, haben wir unser Engagement auf der conhIT erweitert. 2017 ist SecuLution mit einem komplett neu gestalteten, eigenen Messestand vertreten.


Interessierte Besucher konnten an zwei Demo-Points die SecuLution Application Whitelisting Suite in Aktion erleben und bekamen ihre Fragen von unserem Messeteam rund um Geschäftsführer Torsten Valentin beantwortet. Hier haben sich vor allem die zahlreichen Studenten der Studienrichtungen eHealth IT, medizinische Informatik und Bioinformatik intensiv mit dem Ansatz des Application Whitelisting auseinandergesetzt. Kritische Fragen zu Schwachstellen und immer wieder bereits bekannte Gesichter mit neuen Fragen kamen zu uns.

"Sind Hash-Kollisionen wie die jüngst gefundenen bei SHA1 und natürlich auch MD5 nicht ein sicherheitsrelevantes Risiko wenn ihre Software nur anhand von Hashwerten ein Programm prüft?"
"Was passiert denn wenn ich als Angreifer den Server mit der Whitelist ausschalte oder in irgendeiner Form vom Netzwerk isoliere? Dann wären die Clients doch schutzlos weil nichts mit der Whitelist geprüft werden kann, oder?"
"Ich habe da nochmal drüber nachgedacht, wie sieht das eigentlich aus wenn ich Schadsoftware mit USB Sticks direkt ins Netzwerk bringe?"

Diese und andere Fragen zeigen, dass die zukünftigen Mitarbeiter sich intensiv mit der Materie auseinandersetzen. Die Branche kann stolz sein auf die kommende Generation von IT Spezialisten.

Doch nicht nur Studenten zeigten besonderes Interesse. Auch die gut besuchte Messeführung, die am ersten Tag bei uns Station machte und Geschäftsführer Torsten Valentin gebannt zuhörte, brachte zahlreiche Interessenten zu uns. Einer der Teilnehmer berichtete sogar, er habe IT-Sicherheit gar nicht auf seiner Agenda für die conhIT und wurde durch unsere Lösung positiv überrascht.


Alles in allem hatten wir eine großartige Woche und haben viele neue Kontakte knüpfen können. Freuen uns andererseits natürlich immer, bereits bekannte Gesichter und treue Kunden auf der Messe wieder einmal persönlich zu treffen und uns auszutauschen.

Application Whitelisting hat trotz aller positiven Resonanz noch einen weiten Weg vor sich, um als echte Alternative zu bekannten Sicherungsmethoden wahrgenommen zu werden. Das zeigt vor allem die immer noch bestehende Unbekanntheit und die vielen Vorurteile die diesem Prinzip vorauseilen.
Die conhIT 2017 war für SecuLution daher auch ein weiterer Schritt auf dem Weg, mit immer wieder angeführten Vorurteilen gegenüber Application Whiltelisting, aufzuräumen.
  • Whitelisting kann nicht nur in statischen Netzwerken eingesetzt werden, tägliche Updates und Patches stellen keine Hindernisse für die Funktionsweise dar.
  • Große Teile der Software erledigen automatisiert ihre Aufgaben, der Administrationsaufwand reduziert sich dadurch erheblich.
  • Administratoren haben wieder Kontrolle über die im Netzwerk genutzte Software.
  • Ausfallzeiten und Schäden durch unerwünschte Software gehören mit Whitelisting der Vergangenheit an. 
uvm.
Diese und andere Punkte werden wir auch zukünftig unermüdlich für den Einsatz von Whitelisting anführen. Wir bedanken uns bei den Organisatoren der Messe Berlin, uns für diese Mission wieder einmal eine großartige Plattform aufgestellt zu haben. Die conhIT 2017 war bestimmt nicht unsere letzte.

Hier noch einige Eindrücke von der conhIT 2017: 


Ende Februar 2017 verkündete eine Gruppe Forschern von Google und dem CWI Institut Amsterdam, den 1995 von der NSA freigegebenen SHA...

Hash Collision is not relevant for Software Whitelisting
Ende Februar 2017 verkündete eine Gruppe Forschern von Google und dem CWI Institut Amsterdam, den 1995 von der NSA freigegebenen SHA-1 Algorithmus in Bezug auf Kollisionsresistenz gebrochen zu haben.

Bisher galt SHA1 als sicher.

Ist das jetzt nicht mehr so?
Und was hat das alles mit dem älteren Bruder MD5 zu tun?

Unser Application Whitelisting beispielsweise nutzt das MD5 Verfahren, um z.B. eine ausführbare Datei anhand des resultierenden MD5 Hashes eindeutig zu identifizieren. Man kann das Verfahren mit einem elektronischen Fingerabdruck vergleichen. In letzter Zeit häufen sich Bedenken, dass jeder mit frei erhältlichen Programmen eine Hash Kollision zweier unterschiedlicher Datensätze erzeugen und somit das Prinzip, auf dem unsere Sicherheitslösung aufbaut, überlisten könne.
Wir möchten in diesem Beitrag erklären, warum MD5 und auch SHA-1 zwar in Bezug auf ihre Kollisionsresistenz kryptografisch gebrochen sind, aber dennoch vollkommen sicher im Bezug auf unsere Verwendung für die eindeutige Identifizierung von Computer Software sind. Der Beitrag ist keine wissenschaftliche Abhandlung über Kryptografie.

Kryptographie und Identifizierung

Eines der bekanntesten Beispiele für die kryptografische Verschlüsselung von Nachrichten aus dem letzten Jahrhundert ist sicherlich die Enigma. Es handelt sich hierbei um eine eine Rotor-Schlüsselmaschine, die im Zweiten Weltkrieg zur Verschlüsselung des Nachrichtenverkehrs des deutschen Militärs verwendet wurde. Das zugrunde liegende Verfahren wies jedoch eine Schwachstelle auf (fixpunktfreie Permutation). In der Konsequenz konnten die Alliierten alle Nachrichten über Positionen und Verlegungen der Flotten der deutschen Marine entschlüsseln, was schlussendlich zu einem der Hauptfaktoren für den Ausgang des Krieges wurde.
Prinzipiell ist jeder in der Praxis verwendete kryptographische Algorithmus “knackbar”, die Frage ist nur, ob es realistisch möglich ist, dies mit der aktuell zur Verfügung stehenden Technik tatsächlich zu bewerkstelligen. Heute gilt jedes Verschlüsselungsverfahren als gebrochen, wenn es tatsächlich durchführbar ist, den verschlüsselten Nachrichteninhalt in den Klartext zurück zu wandeln, ohne den Schlüssel zu kennen. Ein Hash Verfahren wie MD5 oder SHA-1 wird als gebrochen bezeichnet, wenn es praktisch möglich ist, Kollisionen zu erzeugen.
Genau dies ist den Forschern nun für SHA-1 gelungen. Durch Nutzung einer mathematischen Abkürzung und immer noch enormer Rechenpower, die von Google bereitgestellt wurde.
Der Angriff erforderte über 9.223.372.036.854.775.808 SHA-1 Berechnungen, die äquivalente Rechenleistung wie 6.500 Jahre Single-CPU-Berechnungen oder 110 Jahre Single-GPU-Berechnungen. Man könnte vermuten, nach Einsatz derartiger Rechenpower sei nun ein Ergebnis gefunden, das künftige Kollisionen leichter macht. Doch genau das ist nicht der Fall, durch diese Berechnungen wurde genau eine Kollision erzeugt. Jede neue Kollision von SHA-1 Hashes würde wieder den selben Aufwand nach sich ziehen.
Um eine derartige Rechenleistung zur Verfügung zu haben, benötigt man Zugriff auf Rechenzentren, wie Google, Amazon oder die NSA sie mutmaßlich betreiben. Das für diesen Angriff notwendige Brutforcing lässt sich leicht parallelisieren. So kann die theoretische Rechenzeit von 6.500 Single-CPU Jahren auf nur 110 Jahre mit Single-GPUs verteilt werden, oder einem Jahr mit 110 GPUs oder ein Monat mit 1.320 GPUs. Somit ist die Frage, ob ein Verfahren sicher ist, oder als gebrochen gelten muss, abhängig davon, ob und für wen es machbar ist, eine derartige Rechenleistung bereit zu stellen, um im Ergebnis genau einen Schlüssel zu knacken. Es mag auf den ersten Blick nach viel klingen, wenn man sagt, man müsse tausend Jahre rechnen, um einen Schlüssel zu knacken. Dennoch gibt es Organisationen, für die es nicht außer Reichweite ist, 1.300 Prozessoren einen Monat auf das Knacken eines Schlüssels zu investieren. Teuer, aber eben nicht unmachbar. 

Kollisionsresistenz und Pre-image Angriffe

Für den Anwendungszweck des Application Whitelisting wie SecuLution es bietet, trifft dies alles aber nicht zu. Wir nutzen die Eigenschaft eines Hashes, eine bestimmte Version einer Software eindeutig in einer recht kurzen Kette von Buchstaben und Zahlen eindeutig und fälschungssicher zu identifizieren. Es wird also lediglich die Masse aller verfügbaren Hashes genutzt, um eine eindeutige Identifikation zu ermöglichen. Es soll nichts verschlüsselt und entschlüsselt werden.
Um einen Angriff auf diese Technik durchzuführen, hilft dem Angreifer eine Kollision nicht. Wir erinnern uns, dass eine Kollision lediglich zwei identische Hashes erzeugt die wir darüber hinaus nicht beeinflussen können. Der Angreifer müsste aber zwingend eine Datei erzeugen, die im Ergebnis einen Hash hat, der in der Application Whitelist bereits als vertrauenswürdig eingestuft ist. Es ist also der Hash vorgegeben (Pre-Image) und der Angreifer muss eine Datei erstellen, die genau diesen Hash erzeugt. Man nennt das einen Pre-Image Angriff.
 SHA-1 und auch MD5 sind im Bezug auf ihre Kollisionsresistenz gebrochen, im Bezug auf Pre-Image Angriffe aber stehen diese Algorithmen auch heute wie ein Fels in der Brandung. Es ist nach wie vor nicht möglich Eingabedaten (z.B. Schadsoftware) zu erzeugen, die einen vorgegebenen Hash (z.B. MD5 von calc.exe) haben wird.
Pre-Image und Kollision sind zwei unterschiedliche Angriffe auf Hashes: Eine Kollision ermöglicht es, aus zwei Anwendungen unterschiedlicher Funktion einen identischen Hashwert zu generieren, aber auf den im Ergebnis erzeugten Hash kann dabei kein Einfluss genommen werden. 

Die Magie der großen Zahlen

Um diese Unmöglichkeit der Durchführung eines Pre-Image Angriffs auf MD5 besser veranschaulichen zu können, kann man folgendes tun:
Die Aufgabenstellung des Angreifers ist, eine Schadsoftware zu erzeugen, die im selben MD5 Hash resultieren soll, wie das Programm calc.exe. Es ist also der Hash von calc.exe vorgegeben. Im Falle von MD5 mit einer Länge von 128 Bit, wäre man mit Brute-Force nach 2 hoch 128 Versuchen garantiert erfolgreich.
Wählen Sie in Gedanken eine Zahl zwischen 1 und 10, und Ihr Gegenüber ist nach garantiert maximal 10 Versuchen erfolgreich, Ihre Zahl erraten zu haben. Im Durchschnitt würde er aber nur 5 Versuche benötigen.
 Analog dazu ist die durchschnittliche Anzahl von Bruteforce Versuchen auf einen MD5 Pre-Image Angriff 2 hoch 64 Versuche. 2 hoch 64 ist eine unvorstellbar große Zahl. Was uns zu dem Problem führt, dass Zahlen wie 2 hoch 64 für viele Menschen zu abstrakt sind, es fehlt uns eine Bezugsgröße, um sie besser in uns geläufige Zeiträume einordnen zu können. Als Vergleich wird daher oft die Rechenzeit angegeben, die eine aktuelle GPU zum „Durchprobieren“ dieser Zahlenmenge benötigen würde.
Die beste GPU in 2017 kann rund 2.000.000 = 2 × 10 hoch 6 MD5 Varianten einer Schadsoftware pro Sekunde erzeugen und deren Hash berechnen.* 
Um 2 hoch 64  (=1,84 × 10 hoch 19 ) Berechnungen durchzuführen benötigt die aktuell modernste GPU damit 9.223372 × 10 hoch 12 Sekunden oder, als Referenzwert für uns besser geeignet, 292.471 Jahre Rechenzeit. 
Das bedeutet, 292.471 GPUs rechnen ein Jahr oder 3.509.654 GPUs rechnen einen Monat. Diese Größenordnung wird gemeinhin als nicht durchführbar betrachtet, deshalb gilt dieses Verfahren im Bezug auf Pre-Image Angriffe weiterhin als ungebrochen.


* Diese GPU kann 25.000.000 Rechenoperationen/Sekunde durchführen, allerdings verringert sich diese Zahl für den beschrieben Fall immens, da immer auch die Schadsoftware mit in die Hash Berechnung einbezogen werden muss.

Lange Zeit war es ruhig um unsere Software in aktuellen Tests. Anfang 2017 haben wir jedoch auf die Anfrage des Magazins "IT-Adminis...

Lange Zeit war es ruhig um unsere Software in aktuellen Tests. Anfang 2017 haben wir jedoch auf die Anfrage des Magazins "IT-Administrator" unsere Software mit allen Modulen für einen Test zur Verfügung gestellt. Der verantwortliche Redakteur wurde von uns - wie alle unsere Kunden - einmalig geschult und nahm unsere Application Whitelist dann in einer eigenen Testumgebung in Betrieb.

Dieser Test wurde nicht von uns in Auftrag gegeben, sondern das Magazin hat eigenständig bei uns eine Test Version angefordert. Wir hatten keinerlei Einfluss auf den Artikel, es ist keine Vergütung, wie bei vielen "Tests" üblich, geflossen.

Wir möchten uns an dieser Stelle herzlich bei allen Beteiligten bedanken. Hier der Link zur Kurzversion des Tests auf der Webseite des "IT-Administrator".

18,9 Prozent der Unternehmen in Deutschland waren bereits Opfer eines Spionagefalls oder waren von Informationsabfluss betroffen. Das Ri...

18,9 Prozent der Unternehmen in Deutschland waren bereits Opfer eines Spionagefalls oder waren von Informationsabfluss betroffen. Das Risiko von Industriespionage wird deutlich unterschätzt. Obwohl über 80 Prozent der Befragten glauben, dass das Risiko für Industriespionage weltweit ansteigen wird, glauben nur 33,7 Prozent, dass die Gefahr auch für ihr eigenes Unternehmen steigen wird. Für die deutsche Wirtschaft entstehen durch Spionage jährlich Schäden in Milliardenhöhe. Insgesamt 64,4 Prozent aller geschädigten Unternehmen hatten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichten von 10.000 Euro bis über eine Million Euro je Schadensfall. Rechnet man dies hoch auf alle Unternehmen in Deutschland, ergibt sich eine Schadenssumme von mindestens 2,8 Milliarden Euro.
Das Ziel der Spionage waren meistens technische Innovationen bzw. das Know-how bei den Produktionsabläufen.
Bei den geschädigten Unternehmen sind die Branchen Automobil/Luftfahrzeug/Maschinenbau mit 26,9 Prozent sowie Eisen/Stahl/Metallverarbeitung mit 21,8 Prozent am häufigsten betroffen. Der Informationsabfluss durch eigene Mitarbeiter scheint eine der größten Gefahren zu sein. Von den geschädigten Unternehmen hatten 20,3 Prozent im eigenen Betrieb einen Verrat von Interna an Unberechtigte zu beklagen.
Der Hackerangriff ist die zweithäufigste Form der illegalen Attacken auf Unternehmen. Hier meldeten 14,9 Prozent der geschädigten Unternehmen, dass ihre IT–Systeme bereits von einem eingeschleusten Spionageprogramm bzw. einem Hackerangriff betroffen waren.
Die wenigsten Unternehmen achten darauf, ihre vertraulichen Gespräche an einem geschützten Ort durchzuführen. So war das Abhören von Besprechungen mit 10,7 Prozent eine weitere sehr häufige Form der Spionage. Die geschädigten Unternehmen hatten damit einen Informationsabfluss durch einen sogenannten Lauschangriff zu verzeichnen.
In vielen Fällen ist es relativ einfach, an Details von Neuentwicklungen zu gelangen: durch Aushorchen argloser Mitarbeiter. Der richtige Ansprechpartner sowie ein paar geschickt formulierte Fragen genügen und schon gelangen die streng geheimen Informationen ungefiltert an die Konkurrenz. Durch die immer noch höchst gebräuchliche Form des „Social Engineering“ kamen 8 Prozent der betroffenen Unternehmen zu Schaden.
Diese Zahlen sind nicht aktuell, sondern aus einem Bericht aus dem Jahr 2007. Wer jetzt noch glaubt es sei besser geworden der irrt sich gewaltig. Nicht nur Ransomware Wellen wie im Jahr 2016 oder Ransomware as a Service Angebote, die es quasi jedem ermöglichen seine eigene, einzigartige Schadsoftware ohne Programmierkenntnisse über das Internet zu verbreiten, sondern auch die immer noch zum Teil völlige Arglosigkeit wie Mitarbeiter in Unternehmen und die Unternehmen selber Ihre Infrastrukturen vor Angriffen schützen, bieten nach wie vor beste Chancen um einem erfolgreichen Angriff zum Opfer zu fallen.