Die Qualität von Schadcode und Angriffen hat sich gegenüber den Zeiten der Script-Kiddies und Einzelpersonen die Viren schreiben deutlich gewandelt. Dies zeigen nicht nur die jüngsten Angriffe und Analysen von entdecktem Schadcode. Hinter dem Code und den Angriffen stecken immense Ressourcen, die weit davon entfernt sind, wie diese von einzelnen Personen oder auch von kleinen Organisationen erbracht werden können.
Heutige Angriffe zeichnen sich im negativen Sinne dadurch aus, dass diese Zielgerichtet gegen sensible Infrastrukturen gerichtet sind. Hinter dem dafür entwickeltem Schadcode steckt viel Entwicklungsarbeit gegliederter und strukturierter Teams. Alleine die organisatorische Aufteilung in verschiedene Teams zeigt aber auch die dahinter stehenden Ressourcen, wie sie nur von sehr großen Organisationen oder sogar Staaten aufgebracht werden können.
Hinter den Angriffen stecken sehr häufig wirtschaftliche oder politische Interessen und diese Angriffe sind immer zielgerichtet ausgelegt. Da solch ein zielgerichteter Angriff speziell auf das jeweilige Ziel ausgerichtet werden muss, sind sie relativ selten. Trotzdem ist die kein Grund sich zurück zu lehnen und darauf zu hoffen, dass man selbst nicht Opfer eines Angriffs wird. Viel wichtiger ist es jetzt die richtigen Lehren aus den bekannt gewordenen Angriffen zu ziehen und die eigenen Schutzmaßnahmen entsprechend zu überprüfen.
Es hat sich auch gezeigt, dass die klassischen Wege der Infizierung von Systemen nach wie vor aktuell sind. Sei es der Weg über CD/DVD, USB-Stick oder Speicherkarten. Ein sorgloser oder leichtsinniger Umgang sind hier absolut fehl am Platze. Hier können technische Maßnahmen zwar helfen aber ohne die organisatorischen Vorgaben und noch wichtiger die Sensibilisierung von Mitarbeitern ist die Gefahr nach wie vor vorhanden. Wie schon öfters angemerkt, ist Sicherheit ein Prozess und keine statische Sache, die einmal eingerichtet und dann einfach so funktioniert.
Es wird in Zukunft immer wichtiger die Kommunikation noch intensiver auf Anomalien hin zu untersuchen. Alles genau zu untersuchen, was vom üblichen Verhalten eines Hosts abweicht. Selbst so triviale Dinge wie die das Monitoring von Bandbreitennutzung und das Erkennen von ungewöhnlichen Nutzungsverhalten wird immer wichtiger.
Die meisten Systeme einer modernen Infrastruktur liefern eine Menge an Informationen. Das Problem ist nur, dass es so viele Informationen sind und man daher den Wald vor lauter Bäumen nicht mehr sieht und man im wahrsten Sinne des Wortes an den Informationen geradezu erstickt. Eine automatisierte Auswertung von diesen Log’s wird ebenfalls in Zukunft immer stärker genutzt werden müssen. Die Informationen müssen für die Administratoren entsprechend aufbereitet werden und sich nur auf das Wesentliche zu beschränken. Zu viele Informationen führen dazu, dass diese nicht mehr wahrgenommen werden. So entgehen den Administratoren unter Umständen wichtige Hinweise auf mögliche Infektionen oder Angriffe.
Es bleibt aber trotzdem ein Problem. Eine solche Analyse und Auswertung von Ereignissen, selbst wenn diese vorher gefiltert wurden, ist nicht gerade trivial und es bedarf zudem einiges Erfahrung diese durchzuführen. Bei den aktuellen Bedrohungen und der Vielzahl an Optionen die einem Angreifer zur Verfügung stehen, ist die Überprüfung von Anomalien des normalen Benutzerverhaltens ein wichtiges Werkzeug für den Administrator überhaupt zu bemerken, dass Schadcode im Netz vorhanden ist. Die Überprüfung hat aber rein gar nichts mit der Kontrolle der Anwender zu tun, sondern dient rein zur Absicherung und dem Schutz der eigenen Infrastruktur.
Bei Fragen zu diesen Themen stehen wir wie gewohnt zur Verfügung.