Cisco Midyear Security Report 2014 · 3. Cisco Midyear Security Report 2014. Der . Cisco Midyear Security Report 2014. ermittelt Bedrohungsinformationen und Cyber Security-Trends

Security Report 2014Cisco Midyear

Cisco Midyear Security Report 20142

ZusammenfassungJeder Cyberangriff ist – unabhängig vom Umfang – auf eine Schwachstelle in der Sicherheitskette zurückzuführen. Schwachstellen können unterschiedlicher Natur sein: eine veraltete Software, ein schlecht programmierter Source Code, eine nicht mehr gepflegte Website, ein Entwicklerfehler oder ein Benutzer, der anderen blind vertraut. Angreifer setzen alles daran, diese Schwachstellen zu finden und sie zu ihrem Vorteil zu nutzen.

Zum Leidwesen der betroffenen Unternehmen und Benutzer müssen Cyberkriminelle bei ihren Opfern gar nicht lange nach Schwachstellen suchen. Im Internet of Everything, das auf der Vernetzung des Internet of Things aufbaut, haben Übeltäter ein leichtes Spiel, da alles, das mit einem Netzwerk verbunden ist – von Fahrzeugen bis hin zu Systemen für die Gebäudeautomation – eine potenzielle Angriffsfläche bietet.

Die Auswirkungen von Cyberangriffen sind erschreckend – sowohl im Hinblick auf die finanziellen Schäden als auch auf den Einfluss auf Produktivität und Reputation. Dem Ponemon Institute zufolge betrugen die durchschnittlichen finanziellen Schäden für eine Datensicherheitsverletzung bei einem Unternehmen im Jahr 2014 5,4 Millionen US-Dollar. 2013 waren es noch 4,5 Millionen US-Dollar. Das Center for Strategic and International Studies schätzt in seinem Bericht Estimating the Cost of Cyber Crime and Cyber Espionage, dass sich der Verlust für die US-Wirtschaft jährlich auf 100 Milliarden US-Dollar beläuft und dass in den USA bis zu 508.000 Arbeitsplätze aufgrund von böswilligen Onlineaktivitäten verloren gehen.1

CISCO MIDYEAR SECURITY REPORT 2014 WEITERLEITEN

http://www.cisco.com/web/DE/offers/lp/midyear-security-report/index.html?POSITION=social%2bmedia%2bshare&COUNTRY_SITE=de&CAMPAIGN=2014%2bmid%2byear%2bsecurity%2breport&CREATIVE=Figure%2b1&REFERRING_SITE=Facebook

http://cs.co/9001oVdd

http://www.cisco.com/web/DE/offers/lp/midyear-security-report/index.html?POSITION=social%2bmedia%2bshare&COUNTRY_SITE=de&CAMPAIGN=2014%2bmid%2byear%2bsecurity%2breport&CREATIVE=Figure%2b1&REFERRING_SITE=LinkedIn

http://www.cisco.com/web/DE/offers/lp/midyear-security-report/index.html?POSITION=social%2bmedia%2bshare&COUNTRY_SITE=de&CAMPAIGN=2014%2bmid%2byear%2bsecurity%2breport&CREATIVE=Figure%2b1&REFERRING_SITE=Email


Der Cisco Midyear Security Report 2014 ermittelt Bedrohungsinformationen und Cyber Security-Trends für die erste Hälfte des Jahres 2014. Die Untersuchungen von Cisco zeigen, wie viele verschiedene Arten von Schwachstellen es in unseren Systemen gibt, zu denen auch das Internet selbst gehört. Außerdem werden mögliche Gegenmaßnahmen aufgezeigt. Die wichtigsten Erkenntnisse:

Im Rahmen des laufenden Cisco Projekts „Inside Out“ werden DNS-Abfragen (Domain Name System) untersucht – oder die Suche nach der IP-Adresse (Internet Protocol) in Verbindung mit einem Domänennamen –, die aus den Unternehmensnetzwerken ausgewählter Cisco Kunden stammen. Hierzu untersuchten Sicherheitsexperten die Netzwerke von 16 großen, internationalen Organisationen. Das Ergebnis:

Knapp 70 Prozent der ausgewählten Kundennetzwerke, die von Cisco untersucht wurden, führten DNS-Abfragen für Dynamic DNS (DDNS) durch.

Mehr als 90 Prozent der ausgewählten Kundennetzwerke gaben DNS-Anfragen für Hostnamen aus, die in Verbindung mit der Verbreitung von Malware standen.

Es wurde festgestellt, dass mehr als 40 Prozent der ausgewählten Kundennetzwerke DNS-Anfragen für Websites und Domänen ausgaben, die mit Geräten verbunden sind, die Services wie IPsec VPN, Secure Sockets Layer (SSL) VPN, Secure Shell (SSH) Protocol, Simple File Transfer Protocol (SFTP), FTP und FTP Secure (FTPS) anbieten.

Bedrohungsinformationen

Zu den Bedrohungsinformationen

Von den 2.528 Warnmeldungen zu Schwachstellen, die von Januar bis Juni 2014 veröffentlicht wurden, fanden bei 28 aktive Exploits statt. Dies sind Schwachstellen mit hoher Priorität oder Dringlichkeit, die schnell behoben werden müssen.

Nach einem Rückgang im Jahr 2013 ist das Spam-Volumen seit vergangenem Oktober wieder angestiegen – jedoch nicht in allen Ländern.


In der ersten Jahreshälfte 2014 ist die Pharma- und Chemieindustrie – eine ertragreiche Branche – erneut unter den Top 3 der risikoreichsten Branchen im Hinblick auf Malware-Angriffe gelandet.

Die Anzahl der Malware-Angriffe im Medien- und Verlagswesen liegt deutlich über dem zuvor beobachteten Normalwert.

2014 scheint ein aktives Jahr für über NTP (Network Time Protocol) verbreitete DDoS-Angriffe (Distributed Denial-of-Service) zu sein. Einer der schwersten NTP Amplification-Angriffe, die im ersten Halbjahr 2014 beobachtet wurden, zielte auf einen Kunden des globalen DNS-Anbieters CloudFare ab. Zu seiner Spitzenzeit erreichte der Angriff im Februar knapp 400 Gbit/s an UDP-Verkehr (User Datagram Protocol).

Sicherheitsexperten von Cisco zufolge sank die Anzahl der Exploit-Kits um 87 Prozent, nachdem ein Programmierer mit dem Namen „Paunch“, der vermeintliche Schöpfer des weitverbreiteten Blackhole-Exploit-Kits, im vergangenen Jahr festgenommen wurde.

Einige Exploit-Kits, die in der ersten Hälfte des Jahres 2014 untersucht wurden, konzentrierten sich zunächst auf den Bereich, der zuvor durch das Blackhole-Exploit-Kit dominiert wurde. Allerdings konnte sich hier bisher noch kein Kit derartig durchsetzen.

Branchentrends

Zu den Branchentrends

PoS-Exploits (Point-of-Sale) werden 2014 bei Cyberkriminellen immer beliebter. Hierfür gibt es mehrere Gründe:

Die Wahrscheinlichkeit steigt, dass PoS-Systeme mit dem Internet verbunden sind. Für Cyberkriminelle bietet dieser Ansatzpunkt eine Möglichkeit, in das Unternehmensnetzwerk einzudringen.

Kreditkarteninformationen werden oftmals nicht als wichtig oder kritisch erachtet. Das bedeutet, dass sie weniger geschützt sind.

Unternehmen setzen bei ihren PoS-Lösungen vermehrt auf Drittanbieter und schaffen auf diese Weise noch mehr Zugriffspunkte für Angreifer.


Sicherheitsrisiken, die das Internet of Everything wahrscheinlich mit sich bringen wird, und Gründe, warum Unternehmen einen proaktiven Ansatz verfolgen sollten.

Der Mehrwert von prädiktiven Analysen und maschinellem Lernen bei der Identifizierung von schwer erkennbaren Bedrohungen im Netzwerk.

Der Trend, dass Unternehmen Cyber Security zunehmend sowohl als strategisches Risiko als auch als Geschäftsprozess erachten.

Der Bedarf an transparenten, auf die Abwehr von Bedrohungen zugeschnittenen und plattformbasierten Lösungen, die das gesamte Angriffskontinuum vor, während und nach einem Angriff abdecken, um so Sicherheitslücken zu schließen und die Komplexität, die sich aus unterschiedlichen Produkten ergibt, zu reduzieren.

Ein Blick in die Zukunft

Zum Blick in die Zukunft


InhaltEinführung

Das Internet of Things: Neue Chancen, neue Risiken

Intelligente Cyber Security in der Praxis

Sicherheit als Geschäftsprozess

Cyberrisiken aus geschäftlicher Perspektive

Prädiktive Analysen für mehr Sicherheit

Informationen zu Cisco

Ein Blick in die Zukunft

Endnoten

Die Inhalte dieses Dokuments können durchsucht und in einigen Fällen weitergeleitet werden.

Komprimittierung sicherer, verschlüsselter Verbindungen

Amplification-Angriffe: NTP als Einfallstor für Angreifer

Exploit-Kits: Jetzt kommt die Konkurrenz

Malvertising: Eine Bedrohung für das Internet

Schlechte Werbung: Die Rolle des Malvertising bei Ransomware

Sicherheitslücken bei WordPress: Und wer kümmert sich jetzt um die Website?

PoS-Angriffe: So stehlen Kriminelle Kreditkartendaten

Strengere Überwachung von Kreditkartendaten

Social Engineering: Die Schwachstellen in Person

Branchentrends

Paradigmenwechsel bei Kompromittierungen: Ein Blick von innen nach außen

Geopolitische Trends

Web-Exploits: Java-Exploits auch in Zukunft beliebt

Aktuelles zu Sicherheitslücken: Die häufigsten Exploits

Heartbleed: Nicht der einzige Grund zur Sorge

Bericht zu branchenspezifischen Risiken: Ungewöhnliche Entwicklungen in einigen Sektoren

Malware-Angriffe nach Region

Top 5 der am stärksten gefährdeten Branchen nach Region

Aktuelles zu Spam: „Live Event“-Spam auf dem Vormarsch

Spammer passen sich an und finden immer neue Sicherheitslücken

Weltweites Spam-Volumen verdoppelt sich zwar allgemein, sinkt in einigen Ländern jedoch stark

Bedrohungsinformationen

77

4243

45

47

49

50

51

2829

31

33

35

36

37

38

39

40

910

14

15

17

20

21

23

25

26

26

27

Empfohlene Software:

Zum Öffnen der Suchfunktion in Adobe Acrobat hier klicken

Inhalte per E-Mail und Social Media weiterleiten

Adobe Acrobat 7.0 oder höher

Cisco Midyear Security Report 2014 Einführung7

„Das Internet of Things wird von Analysten im Technologiebereich und von Visionären als Netzwerk physischer Objekte definiert, auf die über das Internet zugegriffen werden kann. In diese Objekte können Technologien integriert sein, über die sie intern oder mit ihrer externen Umgebung interagieren können. Mit anderen Worten: Wenn Objekte interagieren und kommunizieren können, wirkt sich dies darauf aus, wie, wo und von wem Entscheidungen getroffen werden.“2

Laut Prognosen von Cisco wird das Internet of Things bis 2020 auf rund 50 Milliarden „Dinge“ anwachsen.3 Dies beeinflusst die Sicherheit schon jetzt, da die Angriffsfläche exponentiell wächst. Durch das Internet of Things wird die Bedeutung fortlaufender und umfassender Erkennungs- und Schutzmechanismen noch größer, da Personen, Prozesse und Daten immer stärker vernetzt werden.

In dieser sich schnell entwickelnden Umgebung des allgegenwärtigen Computings und der extremen Vernetzung stellt jedes mit einem Netzwerk verbundene Gerät ein Risiko dar, das von Kriminellen ausgenutzt werden kann. Noch sind viele mögliche Aktionen von Angreifern hypothetisch; ihre Pläne und Ideen führen sie jedoch zunehmend zum Erfolg.

Autos, medizinische Geräte und sogar Babyfone waren bereits Ziel der „Forschung und Entwicklung“ von Hackern im Internet of Things.4–6

Ziel des Internet of Things ist es, die betriebliche Effizienz zu steigern, neue Geschäftsmodelle umzusetzen und die allgemeine Lebensqualität zu verbessern. Durch das Verknüpfen und Vernetzen von Objekten im täglichen Gebrauch profitieren wir von deren Fähigkeit, einfache Daten zu kombinieren und daraus verwertbare Informationen abzuleiten. Das bedeutet aber auch, dass potenziell mehr persönliche Daten und Geschäftsdaten in der Cloud vorhanden sind und übertragen werden können. Daher sind umfassende Sicherheitsmaßnahmen besonders wichtig, um diese Daten zu schützen und Datenschutzrichtlinien zu deren Nutzung einzuführen.

Datenschutz ist im Internet of Things ein zentrales Thema. Selbst wenn Benutzer ihre Daten angemessen sichern und kein blindes Vertrauen an den Tag legen, sind sie dennoch aufgrund von Schwachstellen in der Sicherheitskette gefährdet, die außerhalb ihrer Kontrolle liegen (siehe Kompromittierung sicherer, verschlüsselter Verbindungen, Seite 29). Wenn Angreifer einen Punkt erreichen, an dem sie Daten aus verschiedenen Quellen (z. B. Auto, Smartphone, Gebäudeautomatisierungssystem) korrelieren können, erhalten sie ein sehr viel umfassenderes Bild von einem Benutzer als durch die Daten von nur einem Gerät, einem System oder einer Anwendung. Mit diesen detaillierten Informationen zu Benutzern, von ihrem Einkaufsverhalten bis zum physischen Aufenthaltsort, können Angreifer komplexe, hochgradig gezielte Angriffe in bisher nicht für möglich gehaltenem Ausmaß starten.

Das Internet of Things:Neue Chancen, neue Risiken



http://cs.co/9006oVdi



Cisco Midyear Security Report 2014 Einführung8

Es mag zwar abwegig klingen, dass etwas ganz Alltägliches wie ein tragbarer Fitness-Tracker oder ein digitaler Videorecorder (DVR) ein erhebliches Sicherheitsrisiko darstellen oder für Hacker von Interesse sein könnte. Da aber z. B. Autos und andere innovative Computing-Geräte herkömmlichen Computing-Plattformen immer ähnlicher werden, sind sie potenziell auch denselben Bedrohungen7 ausgesetzt.

Führende Anbieter haben diese Sicherheitsprobleme bei IoT-Geräten erkannt und verfügen über die notwendigen Hintergründe und Erfahrungen, um ihre Produkte entsprechend zu schützen. Junge Unternehmen können sich die Erkenntnisse aus 20 Jahren Cyber-Security-Entwicklung zunutze machen, um Fehler zu vermeiden. Viele Best Practices, die für herkömmliche Computer gelten, sind genauso auf Geräte des Internet of Things übertragbar, wie z. B. das Installieren der jeweils aktuellsten Software. Im Zeitalter des Internet of Everything, zu dem uns das Internet of Things unweigerlich führt, wird die Sicherheit jedoch größtenteils von Systemen und nicht von Benutzern selbst gehandhabt. Dieser Aspekt muss bei der Entwicklung der Sicherheitstechnologien für diese neue Umgebung berücksichtigt werden. So muss etwa die Transparenz für Benutzer gewährleistet sein, um diese darüber zu informieren, ob der Sicherheitsstatus von Geräten des Internet of Things automatisch aufrechterhalten wird oder ein manueller Eingriff erforderlich ist.

Das Internet wird immer wieder um neue Dinge erweitert werden. Gleichzeitig wird die Anzahl der nicht mehr genutzten und nicht mehr verwalteten, mit dem Internet verbundenen Geräte zunehmen. Ebenso wie die unzähligen vergessenen oder nicht mehr gepflegten Websites im Internet (siehe Sicherheitslücken bei WordPress: Und wer kümmert sich jetzt um die Website?, Seite 37) stellen diese Geräte – Küchengeräte, Überwachungskameras, Drucker – Schwachstellen in der Sicherheitskette dar und bieten Hackern eine nahezu unbegrenzte Angriffsfläche, die sie theoretisch nutzen können, um sich Zugriff auf das Rechenzentrum zu verschaffen.

Die Fähigkeiten und Motivation von Cyberkriminellen sind bekannt, und ihr wachsendes Interesse für das Internet of Things ist eine daraus resultierende Entwicklung. Im Gegensatz zum ersten Vorstoß der globalen Community in die vernetzte Welt haben wir heute den Vorteil, vorausschauender handeln zu können. Die Erfahrung zeigt, dass das Internet of Things Risiken birgt, die Unternehmen und Benutzer gleichermaßen treffen werden. Ein noch größeres Risiko besteht jedoch darin, den Fleiß der Angreifer und die Geschwindigkeit zu unterschätzen, in der das Internet of Things und das Internet of Everything Gestalt annehmen.

BedrohungsinformationenCisco hat Sicherheitsinformationen für das erste Halbjahr 2014 zusammengestellt und analysiert, die auf der größten verfügbaren Sammlung von Telemetriedaten basieren. Cisco Sicherheitsexperten untersuchen und analysieren kontinuierlich den Malware-Datenverkehr und andere entdeckte Bedrohungen, die einen Einblick in mögliche künftige kriminelle Handlungen gewähren und bei der zukünftigen Erkennung von Bedrohungen helfen können.

Cisco Midyear Security Report 2014 Bedrohungsinformationen10

Paradigmenwechsel bei Kompromittierungen: Ein Blick von innen nach außen

Im Cisco Annual Security Report 2014 wurde u. a. das zentrale Ergebnis des aktuellen Projekts „Inside Out“ vorgestellt, bei dem das Sicherheitsteam von Cisco DNS-Abfragen mit Quelle innerhalb von Unternehmensnetzwerken untersucht hat.8

Anhand der beobachteten Aktivitäten kommt Cisco zu dem Schluss, dass die untersuchten Unternehmensnetzwerke mit hoher Wahrscheinlichkeit zeitweise unterwandert worden waren und der eigentliche Angriff nicht erkannt wurde.

In diesem Bericht stellt Cisco einige weitere Ergebnisse des fortlaufenden Projekts „Inside Out“ vor. Die Informationen basieren auf der Untersuchung der Analysedaten, die Cisco seit Anfang 2014 zu ausgewählten Kundennetzwerken erfasst hat. Dabei untersuchten die Experten 16 multinationale Großunternehmen mit einem Gesamtwert von mehr als 4 Billionen US-Dollar und einem Gesamtumsatz 2013 von über 300 Milliarden US-Dollar. Diese Analyse führte zu drei wichtigen Erkenntnissen, die diese Unternehmen mit schädlichem Datenverkehr in Verbindung bringen.

Dem Sicherheitsteam von Cisco zufolge war in 100 Prozent der untersuchten Netzwerke schädlicher Datenverkehr nachweisbar.9

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9008oVdY




DDNS-Anfragen

Beschreibung der Bedrohung

DDNS wird in der Regel für legitime Zwecke eingesetzt, nämlich von Privatbenutzern, um einen statischen Fully Qualified Domain Name (FQDN) – z. B. homeserver.isp.com – einer bestimmten Anzahl oder einem Pool von IP-Adressen zuzuordnen, die von ihrem Internet Service Provider (ISP) dynamisch zugewiesen werden.

Ergebnisse

In fast 70 Prozent (66,67 Prozent) der 2014 im Rahmen des Projekts „Inside Out“ untersuchten Kundennetzwerke wurden DNS-Abfragen von DDNS versendet. (Hinweis: Die Sicherheitsexperten von Cisco gehen von einem Anstieg dieses Anteils im Laufe der Zeit aus, da auch die Anzahl der analysierten Kundennetzwerke

Wie zahlreiche andere für legitime Zwecke entwickelte Technologien und Funktionen ist jedoch auch DDNS bei Angreifern populär geworden, da es den Schutz von Botnets und anderer Infrastruktur für Angriffe vor einer Erkennung und anschließenden Behebung ermöglicht. Ungewöhnlich umfangreiche Anfragen nach

weiter zunimmt. Cisco hat mit der Verfolgung dieser neuen Kategorie als potenzielle Indication of Compromise [IOC] begonnen. IoCs sind in einem System beobachtete, häufig unscheinbare Ereignisse oder Störungen, die bei Korrelation mit anderen Anzeichen auf eine wahrscheinliche Kompromittierung

Domänen mit DDNS Service Providern wie name-services.com können auf eine Kompromittierung eines Unternehmensnetzwerks hinweisen. Auch wenn viele oder sogar alle Anfragen nach DDNS Providern in einem Unternehmen legitim sind, sollte dies in jedem Fall durch eine gründliche Sicherheitsprüfung verifiziert werden.

hinweisen.) Wie bereits erwähnt, bedeutet dies nicht zwangsläufig, dass diese Kunden alle mit Malware über DDNS-Provider kompromittiert sind. Dennoch hat Cisco diesen Kunden zu einer gründlicheren Prüfung dieser DDNS-Anfragen geraten, um deren Legitimität zu verifizieren.


Anfragen nach Sites, die mit Malware in


Bei Palevo, SpyEye und Zeus handelt es sich um Malware-Typen, die MitB-Funktionen (Man-in-the-Browser) nutzen. DNS-Abfragen von mit Palevo, Zeus und SpyEye kompromittierten Hosts werden als sehr ernste Bedrohung eingestuft. Diese Botnets verbreiten sich

Ergebnisse

In mehr als 90 Prozent (93,75 Prozent) der 2014 untersuchten Kundennetzwerke wurde Datenverkehr mit Websites nachgewiesen, die Malware hosten. In diesen Netzwerken wurden insbesondere DNS-Anfragen

über Instant Messaging, P2P- Netzwerke (Peer-to-Peer) und Wechseldatenträger. Über sie werden DDoS-Angriffe durchgeführt und in Textfelder eingegebene Daten gestohlen, die bestehenden Formularen in Echtzeit hinzugefügt wurden.

nach Hostnamen versendet, deren IP-Adressen Meldungen zufolge mit der Verbreitung von Palevo, Zeus oder SpyEye in Zusammenhang stehen oder mit dieser Malware infiziert sind.

Palevo, Zeus und SpyEye werden besonders herausgestellt, da mit diesem Malware-Typ gezielt Finanz- und weitere Daten gestohlen werden, die in Browsern unter Windows-Betriebssystemen in Onlineformulare eingegeben werden.

Verbindung stehen und MitB-Funktionen nutzen



http://cs.co/9009oVdl




DNS-Anfragen nach FQDNs, Websites und Hosts, die mit administrativen Protokollen in Verbindung stehen


Angreifer können sichere, verschlüsselte Kommunikationskanäle oder Datenübertragungsprotokolle einsetzen, um beim Datendiebstahl ihre Spuren zu verwischen. Beispiele: IP Security (IPsec) VPN, Secure Sockets Layer (SSL) VPN, Secure Shell (SSH) Protocol, Simple File Transfer

Ergebnisse

In mehr als 40 Prozent (43,75 Prozent) der 2014 untersuchten Kundennetzwerke wurden DNS-Anfragen nach Websites und Domänen in Zusammenhang mit Geräten versendet, die Services wie IPsec VPN, SSL VPN, SSH, SFTP, FTP und FTPS bereitstellen.

Protocol (SFTP), FTP und FTP Secure (FTPS). Unternehmen sollten diese Kommunikationskanäle daher regelmäßig überwachen und validieren. Mit dieser Art von Websites können über verschlüsselte Kanäle unerkannt Daten exfiltriert werden.

Cisco Experten nutzten die von Unternehmensnetzwerken ausgehenden DNS-Abragen, um Snapshots möglicher Sicherheitslücken zu erstellen. Die Sicherheitsexperten analysierten diese Informationen anhand von Sperrlisten und Trends bei Cyberkompromittierungen, Sicherheitslücken in bestimmten Branchen und geopolitischen Faktoren, die möglicherweise Angreifer und Angriffsziele beeinflussen. Cisco Kunden, die am Projekt „Inside Out“ teilnehmen, erhalten einen von Cisco erstellten Bericht zu externen Cyberbedrohungen.


Geopolitische Trends

Im Zuge der aktuellen geopolitischen Ereignisse in Osteuropa und im Nahen Osten entstehen laut den Cyber Security-Experten von Cisco neue Risiken für Unternehmen, Regierungen und andere Organisationen ebenso wie für individuelle Benutzer weltweit:

In einer Region, in der staatliche wie nichtstaatliche Instanzen schon heute bei cybertaktischen Aktionen führend sind, verschärfen sich lang anhaltende ethnische und religiöse Konflikte noch weiter. Im zweiten Halbjahr 2014 wird sich neben den umstrittenen Präsidentschaftswahlen in der Türkei und den Zwischenwahlen in den USA auch der Rückzug der westlichen militärischen Kräfte aus Afghanistan nach und nach auf die Cyberlandschaft auswirken.

Die politische Instabilität in der Ukraine führte zu einer Serie von DDoS-Angriffen und Website-Defacements, die offenbar als Unterstützung der Kampfhandlungen beabsichtigt waren. Infolge der Unruhen auf der Krim und in Kiew wurde in ukrainischen Netzwerken komplexe Spionage-Malware („Ouroboros“ oder „Snake“) entdeckt, die zuvor mehrere Monate oder sogar Jahre unerkannt geblieben war.

Im Nahen Osten wird die Machtübernahme ganzer Regionen im Nord- und Westirak durch die Terrorgruppe „Islamischer Staat im Irak und in der Levante“ (ISIL, auch ISIS) von einer Social Media-Kampagne mit Aufrufen zur Sabotage und psychologischen Kriegsführung begleitet.



http://cs.co/9002oVdo




Web-Exploits: Java-Exploits auch in Zukunft beliebtExploits in der Programmiersprache Java führen weiterhin die von der Malware-Erkennungsplattform Cisco® FireAMP überwachten IoCs an. Der Anteil dieser führenden Exploits stieg im ersten Halbjahr 2014 sogar noch weiter an.

ABBILDUNG 1

Anteile kompromittierter Anwendungen, Halbjahr 2014QUELLE: Cisco® FireAMP10

Laut dem Cisco Annual Security Report 2014 handelte es sich im November 2013 bei 91 Prozent der IoCs um Java-Exploits; diese Zahl stieg bis Mai 2014 geringfügig auf 93 Prozent an. Aufgrund der großen Angriffsfläche und der hohen Erfolgswahrscheinlichkeit ist Java bei Angreifern besonders populär. (Weitere Informationen zum Java-Sicherheitsproblem und Tipps zur Eindämmung finden Sie im Cisco Annual Security Report 201411).



http://cs.co/9003oVdU




ABBILDUNG 2

Java Web-Malware (Januar bis Mai 2014)QUELLE: Cisco Cloud Web Security

Die Anzahl der Java-Angriffe erreichte im März 2014 mit fast 10 Prozent aller Web-Malware-Angriffe einen Höhepunkt.

ABBILDUNG 3

Java-, PDF- und Flash-Angriffe (Januar bis Mai 2014)QUELLE: Cisco Cloud Web Security

Java, Flash und Adobe PDF sind beliebte Vektoren für kriminelle Handlungen.

ABBILDUNG 4

Java-Angriffe nach Version (Januar bis Mai 2014)QUELLE: Cisco Cloud Web Security

Angreifer konzentrieren sich weiterhin auf den Missbrauch älterer Java-Versionen, insbesondere Java 6 und 7. Die Anzahl der Malware-Angriffe über Java 8 erreichte im März einen Höhepunkt, als die neue Version veröffentlicht wurde. Die Anzahl der Angriffe über Java 8 ging jedoch im April deutlich zurück und verblieb auch im Mai auf einem sehr niedrigen Niveau. Da immer mehr Exploit-Kits in erster Linie andere Vektoren als Java zum Ziel haben, etwa Microsoft Silverlight, dürfte sich der Fokus von Java 8 (mit besseren Sicherheitsmechanismen) hin zu anderer, für Angreifer erfolgversprechenderer Software bewegen.

Jan. Feb. März

2013

April Mai

2014

Flash PDFJava

Java 1.6 Java 1.7 Java 1.8 Andere50 %

40 %

30 %

20 %

10 %

0 %

10 %

8 %

6 %

4 %

2 %

0 %

MaiJan. Feb. März April


7 %

6 %

7 %

9 %

8 %

9 %

14 %

5 % 4 %

6 %

Jan. Feb. März

2013

April Mai

2014

Flash PDFJava


40 %

30 %

20 %

10 %

0 %

10 %

8 %

6 %

4 %

2 %

0 %



7 %

6 %

7 %

9 %

8 %

9 %

14 %

5 % 4 %

6 %

Jan. Feb. März

2013

April Mai

2014

Flash PDFJava


40 %

30 %

20 %

10 %

0 %

10 %

8 %

6 %

4 %

2 %

0 %



7 %

6 %

7 %

9 %

8 %

9 %

14 %

5 % 4 %

6 %


Aktuelles zu Sicherheitslücken: Die häufigsten Exploits

Angreifer konzentrieren sich vor allem auf bekannte Schwachstellen, die sich gemäß ihrer „Forschung und Entwicklung“ leicht ausnutzen lassen. Erfolgreiche Exploits werden in Exploit-Kits eingearbeitet und schließlich im Untergrund weiterverkauft. Die Programmiersprachen Java und Silverlight sind Beispiele für Schwachstellen, die sich in vielen Exploit-Kits wiederfinden. (Siehe Web-Exploits: Java-Exploits auch in Zukunft beliebt auf Seite 15 und Exploit-Kits: Jetzt kommt die Konkurrenz auf Seite 33.)

ABBILDUNG 5

Warnkennzahlen (Januar bis Juni 2014)QUELLE: Cisco IntelliShield®

Vom 1. Januar bis zum 30. Juni 2014 veröffentlichte Cisco Tausende Warnungen zu bekannten Sicherheitslücken bei verschiedenen Anbietern. Diese Zahl erscheint zwar zunächst sehr hoch; auf extrem kritische Sicherheitslücken entfällt davon jedoch nur etwa 1 Prozent. Informationen von Cisco zufolge wurden von den 2528 neuen Sicherheitslücken, zu denen in diesem Zeitraum Warnungen ausgegeben wurden, nur 28 unmittelbar nach Bekanntwerden ausgenutzt.

Nach der Veröffentlichung von Sicherheitslücken konzentrieren sich Sicherheitsexperten und Medien tendenziell auf besonders präsente Zero-Day-Bedrohungen, da diese scheinbar eine schnelle Reaktion erfordern. Unternehmen sollten jedoch vermehrt Zeit und Geld in die Beseitigung der wenigen Sicherheitslücken investieren, welche die Kriminellen am häufigsten nutzen. Andere Sicherheitslücken können im Rahmen von Routineprozessen beseitigt werden.

2.528Warnmeldungen insgesamt

28 Exploits

1

.633 Neu 895 Aktualisiert


Januar Juni


http://cs.co/9006oVds




In jedem Unternehmen empfiehlt sich die Einführung eines Patching-Prozesses mit hoher Priorität, der parallel zu den standardmäßigen Patching-Prozessen läuft. Durch die schnelle Beseitigung kritischer Sicherheitslücken können andere, weniger kritische Sicherheitslücken im Rahmen der regulär geplanten Wartungs- und Patching-Prozesse beseitigt werden. Dadurch entsteht ein präziseres Risikomanagement: Statt zu versuchen, alle Patches auf einmal zu installieren, erfolgt die Installation in regelmäßig geplanten Wartungsabständen. Zur effektiven Unterhaltung eines Patching-Prozesses mit hoher Priorität sind umfangreiche Sicherheitsinformationen erforderlich, um kritische Sicherheitslücken zu identifizieren.

Abbildung 6 zeigt die Produkte, die im ersten Halbjahr 2014 am häufigsten von Angreifern ausgenutzt wurden. In Abbildung 7 sind einige der gemäß Common Vulnerability Scoring System (CVSS) am häufigsten ausgenutzten Sicherheitslücken dargestellt.

Der „Dringlichkeitswert“ im CVSS-Diagramm zeigt an, dass diese Sicherheitslücken aktiv ausgenutzt werden. Der entsprechende „Zeitwert“ kennzeichnet aktive Exploits. Anhand der Liste der ausgenutzten Produkte können Unternehmen zudem erkennen, welche dieser Produkte missbraucht werden und daher überwacht und gepatcht werden müssen.

Zu betonen ist, dass bei den Sicherheitslücken in Abbildung 7 während des Untersuchungszeitraums erste Anzeichen für einen Missbrauch beobachtet wurden. Die Mehrzahl dieser Sicherheitslücken gehörte noch nicht zum „Mainstream“, d. h. sie wurden noch nicht als Exploit-Kits verkauft.

ABBILDUNG 6

Am häufigsten ausgenutzte ProdukteQUELLE: Cisco IntelliShield®

31 % Anwendungen

18 % Infrastruktur

13 % CMS

9 % Endbenutzer

6 % ICS-SCADA

6 % Malware

6 % Webserver

6 % Netzwerk

4 % TLS


ABBILDUNG 7

Am häufigsten ausgenutzte SicherheitslückenQUELLE: Cisco IntelliShield®

9.3 7.7

CVSSBase

CVSSTemporal

InternetExplorer

9.3 7.7

CVSSBase

CVSSTemporal

JAVASE

9.3 6.9

CVSSBase

CVSSTemporal

AdobeFlash

6.8 5.6

CVSSBase

CVSSTemporal

WordPress

9.3 7.7

CVSSBase

CVSSTemporal

Word.rtf

4.3 3.6

CVSSBase

CVSSTemporal

Struts

Schwachstellen Erste Exploit-Aktivität Ramping-Aktivität Geladene Exploit-Kits

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9007oVdt




Einige Unternehmen waren vom „Heartbleed-Bug“ – einer Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL – nicht betroffen, da sie eine ältere OpenSSL-Version ohne diese Sicherheitslücke nutzten.12 Bei der Sicherheitslücke handelt es sich um eine Implementierung der Heartbeat-Erweiterung (RFC6520) von Transport Layer Security (TLS), die eine Offenlegung geheimer Schlüssel oder privater Daten bei mit TLS verschlüsselter Kommunikation ermöglicht.13

Diese Unternehmen sollten jedoch zur Kenntnis nehmen, dass zwischen Januar und April 2014 16 Sicherheitslücken bei TLS und der Validierung von Zertifikaten entdeckt wurden, die nicht in Zusammenhang mit Heartbleed stehen.

Diese Sicherheitslücken können daher ein Risiko darstellen. Sicherheitsexperten von Cisco empfehlen Benutzern außerdem, sich das hohe Risiko durch Heartbleed vor Augen zu führen und entsprechende Maßnahmen wie das Ändern von Kennwörtern oder das Schließen von Internetkonten zu ergreifen.14

Seit der Entdeckung von Heartbleed wurden vom OpenSSL-Projekt (OpenSSL.org) mehrere andere Fehler in der OpenSSL-Software gemeldet. Mithilfe einiger dieser Fehler könnten Angreifer eine Denial-of-Service-Situation schaffen oder in bestimmten Fällen per Remote-Zugriff Code ausführen.15 Einige dieser Fehler waren lange übersehen worden: Die CCS Injection-Schwachstelle etwa wurde schon vor 16 Jahren von einem Sicherheitsexperten in Japan entdeckt und ermöglicht Angreifern das Abfangen und Entschlüsseln von im Internet übertragener Daten.16

Heartbleed: Nicht der einzige Grund zur Sorge

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9002oVdI




Bericht zu branchenspezifischen Risiken: Ungewöhnliche Entwicklungen in einigen SektorenIm ersten Halbjahr 2014 gehörte die äußerst rentable Pharma- und Chemieindustrie erneut zu den drei am stärksten für Malware-Angriffe gefährdeten Branchen, nachdem sie die Liste 2013 bereits angeführt hatte.17 Die Luftfahrtbranche behauptet mit Rang 3 einen Platz in den Top 5.18 Angesichts des äußerst wertvollen geistigen Eigentums von Luftfahrtunternehmen ist dieses Ergebnis keineswegs überraschend.

Im Medien- und Verlagswesen, derzeit auf Rang 1 der Liste, beobachteten Sicherheitsexperten von Cisco eine deutlich höhere Anzahl von Malware-Angriffen aus dem Internet als zuvor seit Beginn der Datenerfassung 2008.

Eine wahrscheinliche Erklärung für diesen Anstieg sind Exploits und andere Betrugsversuche, die mit Ereignissen von öffentlichem Interesse wie den Olympischen Winterspielen 2014 oder der Oscar-Verleihung und aktuellen Nachrichtenereignissen wie dem Absturz des Malaysia Airlines-Flugs 370 oder dem Fährunglück in Südkorea im Zusammenhang stehen. Diese Betrugsversuche zielen auf den Menschen als Schwachstelle ab, indem Benutzer durch aufsehenerregende Schlagzeilen zum Aufrufen von Sites mit Malware bewegt werden.

Medien- und Verlagswebsites jeder Größe können Datenverkehr von Einzelverbrauchern und Unternehmen weltweit anziehen. Zudem sind sie finanziell stark auf Werbung angewiesen. Insbesondere aus diesem Grund ist das zunehmende „Malvertising“ sehr wahrscheinlich teilweise für den Anstieg der Web-Malware-Angriffe im Medien- und Verlagswesen im ersten Halbjahr 2014 verantwortlich. (Siehe Malvertising als Bedrohung für das Internet, Seite 35.)


ABBILDUNG 8

Risiko für Web-Malware-Angriffe nach Branche, 1. Halbjahr 2014QUELLE: Cisco Cloud Web Security

Um branchenspezifische Malware-Anteile festzustellen, vergleicht Cisco die durchschnittliche Angriffsrate aller Unternehmen mit Proxy-Zugriff über die Cisco Cloud Web Security mit der durchschnittlichen Angriffsrate all derer Unternehmen, die den Cisco Service nutzen und der entsprechenden Branche angehören. Eine branchenspezifische Angriffsrate von über 100 Prozent verweist auf ein höheres Risiko von Web-Malware-Angriffen, während eine Angriffsrate unter 100 Prozent für ein niedrigeres Risiko steht. Für eine Firma, die beispielsweise eine Angriffsrate von 170 Prozent hat, liegt das Risiko 70 Prozent über dem Mittelwert. In einem Unternehmen mit einer Angriffsrate von 70 Prozent liegt das Risiko dagegen 30 Prozent unter dem Mittelwert.

Automobilbranche

400 %300 %200 %100 %0 %

Reise und FreizeitVereine und Verbände

Heizungs-, Sanitär- und Klimatechnik

Bildungswesen

Immobilien und Landmanagement

Buchhaltung

Unterhaltung

Banken und Finanzinstitute

Versorgungsunternehmen

GesundheitswesenIndustrie

Wohlfahrtsorganisationen und NGOs

Regierung

Maschinenbau und Bauwesen

Professional Services

Rechtswesen

Einzel- und Großhandel

Versicherungswesen

Energie-, Öl- und Gasversorger

Landwirtschaft und Bergbau

Luftfahrt

Elektronik

IT und Telekommunikation

Transport und VersandFertigung

Speisen und Getränke

Pharma- und ChemieindustrieMedien und Verlagswesen

Hohes RisikoGeringes Risiko


Ein „Angriff“ bezeichnet einen Fall, in dem Malware blockiert wird. Im Gegensatz zu einer „Kompromittierung“ wird der Benutzer bei einem reinen Angriff jedoch nicht infiziert, da keine Binärdatei heruntergeladen wird.

Malware-Angriffe nach Region

Das Sicherheitsteam von Cisco veröffentlicht nun erstmals Daten zum Risiko für Web-Malware-Angriffe nach Branchen und Region. Die drei Regionen werden unterteilt in AMER (Nordamerika, Zentralamerika und Lateinamerika), APJC (Asien-Pazifik, China, Japan und Indien) und EMEAR (Afrika, Europa und Naher Osten).

Angriff und KompromittierungIn der AMER-Region ist laut Abbildung 9 die Anzahl der Web-Malware-Angriffe in der Luftfahrt erheblich höher als in allen anderen Branchen.

Das branchenspezifische Risiko einer bestimmten Region unterliegt dem Einfluss des jeweiligen Bruttoinlandsprodukts. In der Regel steigt mit dem Wert der Waren und Dienstleistungen oder des geistigen Eigentums einer bestimmten Branche auch das Risiko für Malware-Angriffe in dieser Branche.

Eine bestimmte Branche kann in einer Region unterrepräsentiert sein, wenn in dieser Branche wenig produziert wird. Hier liegen auch die Risiken in der Produktionskette, die in Unternehmen in der Landwirtschaft, Nahrungsmittel- und Getränkeindustrie und im Transportwesen häufig bestehen. Auch für die hohe Anzahl der Malware-Angriffe im Einzelhandel sowie in der Nahrungsmittel- und Getränkeindustrie in der EMEAR-Region gibt es eine wahrscheinliche Erklärung. Dürre- und Flutkatastrophen sowie Unruhen haben sich für die Menschen in dieser Region auf die Verfügbarkeit von Grundnahrungsmitteln sowie auf die Infrastruktur ausgewirkt.

In der APJC-Region bestand das höchste Risiko im Versicherungswesen, gefolgt von der Pharma- und Chemieindustrie sowie der Elektronikbranche. Katastrophen in der APJC-Region wie das verheerende Erdbeben, der Tsunami und die Atomkatastrophe in Japan 2011 und die nachfolgenden Spannungen auf dem Versicherungsmarkt sind die wahrscheinlichsten Gründe dafür, dass diese Branche einen Schwerpunkt für Angreifer bildet. Da die Versicherungsbranche zudem als Dienstleister für große Unternehmen und andere Instanzen auftritt, versuchen Angreifer möglicherweise, über Versicherungsunternehmen vertrauliche Informationen von deren Kunden auszuspähen oder sich Zugriff auf deren Netzwerke und Rechenzentren zu verschaffen.



http://cs.co/9003oVdL




ABBILDUNG 9

Risiko für Web-Malware-Angriffe innerhalb einer Branche nach RegionQUELLE: Cisco Cloud Web Security

Buchhaltung


Automobilbranche

Luftfahrt

Banken und Finanzinstitute

Wohlfahrtsorganisationen und NGOs

Vereine und Verbände

Bildungswesen

Elektronik

Energie-, Öl- und Gasversorger

Maschinenbau und Bauwesen

Unterhaltung

Speisen und Getränke

Regierung

Gesundheitswesen

Heizungs-, Sanitär- und Klimatechnik

Industrie

Versicherungswesen

IT und Telekommunikation

Rechtswesen

Fertigung

Medien und Verlagswesen

Pharma- und Chemieindustrie

Professional Services

Immobilien und Landmanagement

Einzel- und Großhandel

Transport und Versand

Reise und Freizeit

Versorgungsunternehmen

600 % 700 % 800 %500 %400 %300 %200 %100 %0 %

EMEARAPJCAMER EMEARAPJCAMER


ABBILDUNG 10

Risiko für Web-Malware-Angriffe innerhalb einer BrancheQuelle: Cisco Cloud Web Security

Top 5 der am stärksten

Bac

kdoo

r/D

aten

dieb

stah

l

Dow

nloa

der/

Dro

pper

EMEAR

APJC

AMER

Expl

oits

ifram

e, M

al-S

crip

t

Mob

il (a

lle A

rten

von

Mal

war

e)

Rans

omew

are/

Sca

rew

are

Sca

mm

ing,

Phi

shin

g, K

lickb

etru

g

Troj

aner

, mult

ifunk

tiona

l

Son

stig

e

Viru

s/W

urm

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

Transportwesen/Versand

Pharma- und Chemieindustrie

Versicherungs-wesen

Elektronik Automobilbranche

Transportwesen/Versand

Medien/Verlagswesen

Regierung Nahrungsmittel/Getränke


Medien/Verlagswesen

Versicherungs-wesen

Elektronik Bildungswesen Luftfahrt


In Abbildung 10 sind die fünf am stärksten gefährdeten Branchen nach Region (AMER, APJC und EMEAR) dargestellt. In allen dargestellten Branchen dominieren iFrames und schädliche Skripte, auch wenn in allen drei Regionen bei Angriffen auf bestimmte Branchen vor allem Exploits eingesetzt werden. In der APJC-Region werden häufig Scamming, Phishing und Klickbetrug eingesetzt, um das Vertrauen der Benutzer in die Transport- und Speditionsbranche zu erschüttern.

Seltener werden die fünf am stärksten gefährdeten Segmente in allen drei Regionen offenbar auch mit Verfahren wie Ransomware und Scareware oder Viren und Würmern angegriffen. Auch die Anzahl mobiler Web-Malware-Angriffe ist in allen Regionen relativ niedrig.

Die Ergebnisse in diesen Diagrammen basieren in erster Linie auf blockierten Web-Malware-Angriffen gemäß Daten von Cisco Cloud Web Security gegenüber Bedrohungstypen im Internet.

gefährdeten Branchen nach Region


http://cs.co/9008oVd4




Aktuelles zu Spam: „Life Event“-Spam auf dem VormarschDie Urheber von Spam setzen traditionell auf Social Engineering, um die Empfänger zum Öffnen ihrer Nachrichten und zum Klicken auf Links zu bewegen, die in der Regel zu Malware oder kompromittierten Websites führen. Fingierte Paketzustellungen oder gefälschte dringende Mitteilungen von Steuerbehörden sind bekannte Tricks. Sicherheitsexperten haben nun aber einen neuen Spam-Trend ausgemacht, bei dem sog. „Life Events“ (Lebensereignisse) oder „Misfortunes“ (Unglücksfälle) vorgegeben werden.

Bei Life Event-Spam kann beispielsweise die Behandlung oder Genesung von einer lebensbedrohlichen Erkrankung, bei Misfortune-Spam eine Ausweisung oder Insolvenz das Thema sein. In beiden Fällen kann der Empfänger durch Emotionen deutlich eher zum Öffnen der Nachricht bewegt werden als bei einer Benachrichtigung über eine Express-Paketzustellung.

Spammer passen sich anund finden immer neue Sicherheitslücken

Spammer reagieren in der Regel schnell auf technologische Entwicklungen zur Blockierung ihrer Nachrichten. Durch Verändern von Text, Bildern und Domänennamen können sie Spam-Filter schnell wieder umgehen. Wenn sie feststellen, dass die Wirkung ihrer Nachricht nachlässt, überarbeiten sie diese vollständig.

Sowohl Life Event- als auch Misfortune-Spam hat eine ganz bestimmte Schwachstelle zum Ziel: den Benutzer, der auch nach einer Social Engineering-Schulung noch dazu neigt, auf Nachrichten zu persönlichen Schicksalen zu reagieren.

Wie bei jeder Spam-Kampagne liegt auch der Schlüssel zur Bekämpfung von Life Event-Spam im Einsatz dynamisch aktualisierbarer Technologien zur Blockierung von Spam.

Das Sicherheitsteam von Cisco überwacht Spam-Typen und Veränderungen an Spam-Nachrichten und informiert Kunden über neue Taktiken von Spammern beim Versuch, in Netzwerke einzudringen oder Daten zu stehlen. In manchen Fällen können Hinweise zu bestimmten Spam-Typen, etwa einer gefälschten Benachrichtigung über eine elektronische Zahlung, von Cisco sehr oft geändert werden, wenn die Spammer ihre Taktik mehrfach ändern.

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9009oVdf




Weltweites Spam-Volumen verdoppelt sich zwar allgemein,sinkt in einigen Ländern jedoch stark

Nach einer allgemeinen Abnahme 2013 nimmt das Spam-Volumen seit letztem Oktober weltweit wieder zu. Untersuchungen von Cisco zufolge ist das Spam-Volumen inzwischen auf das höchste Niveau seit Ende 2010 angestiegen. Von Juni 2013 bis Januar 2014 bewegte sich das Spam-Volumen durchschnittlich zwischen 50 und 100 Milliarden Nachrichten pro Monat. Im März 2014 hat das Volumen jedoch 200 Milliarden Nachrichten pro Monat überschritten, was einer Verdopplung gegenüber dem Durchschnitt entspricht.19

ABBILDUNG 11

Weltweites Spam-Volumen (Januar bis Mai 2014)QUELLE: Cisco Threat Intelligence Platform

Auch wenn das Spam-Volumen weltweit angestiegen ist, betrifft dieser Anstieg nicht alle Länder. So hat sowohl in Russland als auch in den USA das Spam-Volumen seit November 2013 abgenommen. Gleichzeitig ist in Südkorea ein deutlicher Anstieg des Spam-Volumens im Vergleich zu den anderen von Cisco überwachten Top 10-Ländern zu verzeichnen.

ABBILDUNG 12

Volumen-Trends nach Land (November 2013 bis April 2014)QUELLE: Cisco Threat Intelligence Platform

27 %

12 %

5 %

4 %

5 %

14 %

USA Russland Südkorea

AprilNovember

82 % 210 %

Januar Mai

2 % 7 %

2 % 7 %

2 % 4 %

11 % 5 %

2 % 6 %

3 % 7 %

1 % 4 %

Argentinien

China

Japan

Deutschland

Iran

Spanien

Großbritannien

Security Report 2014Cisco Midyear

BranchentrendsSicherheitsexperten von Cisco haben jetzt Informationen und Analysen zu Bedrohungen und Sicherheitstrends im ersten Halbjahr 2014 sowie Prognosen für die kommenden Monate veröffentlicht.

Cisco Midyear Security Report 2014 Branchentrends29

Kompromittierung sicherer, verschlüsselter Verbindungen

Kürzlich erfolgte Angriffe auf Sicherheitslücken in Verschlüsselungs- und Sicherheitszertifikaten wie Heartbleed und „goto fail“ bei Apple20 haben gezeigt, dass viele verbreitete Implementierungen von TLS für alle Benutzer die größte Schwachstelle darstellen. Die Tatsache, dass Sicherheitsmechanismen wie Verschlüsselung und Kryptografie inzwischen selbst Schwachstellen sind, ist eine besondere Ironie. Schon seit Langem wurden Verbraucher eindringlich aufgefordert, im Internet auf das Schlosssymbol im Browser zu achten, um die „Sicherheit“ der Transaktion zu gewährleisten. Viele Benutzer haben sich auch immer darauf verlassen, dass ihre Informationen offline am Point of Sale (PoS) gut geschützt bleiben und eine End-to-End-Verschlüsselung stattfindet – sofern sie sich überhaupt Gedanken zu diesem Thema gemacht haben.

Mit dem von kompromittierten sicheren, verschlüsselten Verbindungen ausgehenden Risiko müssen sich alle Unternehmen, die Zahlungen entgegennehmen, zwangsläufig beschäftigen. Besonderes Augenmerk liegt dabei auf der näheren Untersuchung der Branchenprozesse, mit denen Verschlüsselungstechniken und andere Sicherheitsprodukte auf den Markt gebracht werden.

Die vergangenen sechs Monate haben jedoch gezeigt, dass selbst erhöhte Wachsamkeit und Vorsicht und die strengsten Sicherheitsmaßnahmen unter Umständen nur wenig Schutz für Benutzer bieten, wenn die eigentlichen Schwachstellen außerhalb ihrer Kontrolle liegen.

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9002oVdC




Verschlüsselungsprotokolle, die auf Standards und gängigem Open-Source-Code beruhen, bieten zuverlässige Sicherheit.

Heartbleed und ähnliche Ereignisse unterstreichen, dass viele Unternehmen, die sichere verschlüsselte Verbindungen und ähnliche Technologie nutzen, von Folgendem ausgehen:

Keine der beiden Annahmen ist richtig, beide spielen jedoch eine Rolle für den Erfolg von Angriffen wie Heartbleed, die Sicherheitslücken und das Vertrauen der Benutzer ausnutzen.

Der gesamte eingebettete Quellcode in Sicherheitsprodukten und Services sowie auch von Drittanbietern bereitgestellter Code wurde von Sicherheitsexperten umfassend geprüft.

Die Optimierung branchenüblicher Prozesse ist keine leichte Aufgabe. In der aktuellen Version ist OpenSSL laut den Sicherheitsexperten von Cisco komplex, nur schwer richtig zu implementieren und nicht einfach auf Schwachstellen zu testen. Die Sicherheitsprüfungen für Open-Source- und proprietären Code müssen zuverlässiger werden, wobei sich jedoch die Frage stellt, wer für die Entwicklung und Pflege alternativer Methoden zuständig sein sollte. Derzeit diskutiert die Security Community noch, ob das beschädigte System der Zertifizierungsstellen überhaupt „repariert“ werden kann.

Im Zusammenhang mit Sicherheitsmaßnahmen ist Einfachheit unabdingbar. Aus diesem Grund wäre die Minimierung des Codes, auf den sich Benutzer verlassen müssen, ein wichtiger Schritt in Richtung sicherer Implementierungen. Den Sicherheitsexperten von Cisco zufolge sind zur Verbesserung der Open-Source-SSL-/TLS-Sicherheitsbibliotheken mindestens folgende Änderungen erforderlich:

Zwischenfälle wie Heartbleed haben auch etwas Positives bewirkt: Viele Mitglieder der Entwickler-Community untersuchen ihren Code nun proaktiv, um mögliche Schwachstellen aufzudecken und zu beheben. Zudem hat die Linux Foundation kürzlich den Start der Core Infrastructure Initiative angekündigt, in deren Rahmen Technologieanbieter gemeinsam förderungswürdige Open-Source-Projekte benennen und finanzieren sollen. Gleichzeitig sollen die Entwickler weiterhin gemäß den Community-Normen arbeiten können, die Open Source zum Erfolg verholfen haben.21 OpenSSL war als eines der ersten Projekte für eine Finanzierung durch die Core Infrastructure Initiative im Gespräch. Cisco ist eines der Gründungsmitglieder der Initiative.

Vereinfachen der Protokolle und ihrer Implementierungen

Überprüfen, dass der Code richtig implementiert wurde und keine Sicherheitslücken oder versteckte Mängel aufweist

Sicherstellen, dass nur qualifizierte Personen den Code testen und prüfen



http://cs.co/9003oVdh




Amplification-Angriffe: NTP als Einfallstor für Angreifer Im Cisco Annual Security Report 2014 weisen die Cisco Sicherheitsexperten darauf hin, dass DDoS-Angriffe und speziell DNS-Amplification-Angriffe auch 2014 ein wichtiges Sicherheitsthema für Unternehmen bleiben werden.22 Bereits zuvor hatte Cisco das NTP (Network Time Protocol), das zur Synchronisierung von Computeruhren über ein Netzwerk dient, als Schwachstelle identifiziert, die durch DDoS-Amplification-Angriffe ausgenutzt werden könnte. Diese Annahme beruhte auf der Beobachtung, dass in der Hacker-Community immer mehr Tools für Angriffe auf die zunehmende Anzahl von NTP-Servern mit Sicherheitslücken verbreitet wurden.23

Ziel eines der schwersten NTP Amplification-Angriffe im ersten Halbjahr 2014 war ein Kunde des globalen DNS-Anbieters CloudFlare (siehe Abbildung 13). In der Spitze des Angriffs im Februar wurde ein UDP-Datenverkehrsvolumen von fast 400 Gbit/s beobachtet. Der Wert lag damit höher als beim Spamhaus-DDoS-Angriff vom März 2013, der 300 Gbit/s erreicht und 30.000 offene DNS-Resolver betroffen hatte.24

ABBILDUNG 13

CloudFlare NTP-DDoS-Angriff, 2014QUELLE: Cisco Threat Intelligence Platform

70 %

60 %

50 %

40 %

30 %

20 %

10 %

0 %3. Jan. 13. Jan. 23. Jan. 2. Feb. 12. Feb. 22. Feb. 4. März 14. März 24. März 3. April 13. April 23. April 3. Mai 13. Mai 23. Mai 2. Juni 12. Juni 22. Juni 2. JuliPr

ozen

tual

er A

ntei

l am

Ges

amtv

olum

en


Dass einige Angreifer mit NTP als Tool für DDoS-Angriffe experimentieren, verwundert nicht: Im Rahmen von OpenNTPProject.org, einem NTP-Überprüfungsprojekt, das den Bekanntheitsgrad des NTP-Problems steigern soll, wurden mehr als eine Million NTP-Server mit Sicherheitslücken entdeckt.25 Zusammengenommen ist die Bandbreite dieser Server wahrscheinlich größer als alle bisherigen DDoS-Angriffe.

ABBILDUNG 14

Ausführung eines NTP-Angriffs

Angreifer

Kompromittierte Systeme

Zielinfrastruktur

Gefälschtes UDP

Anfrage

Verstärkte Antwort

Bei einem NTP Amplification-Angriff sendet der Angreifer kleine Anfragen an NTP-Computer mit Sicherheitslücken. Dabei fälscht er die Adresse des UDP-Pakets so, dass die Anfragen scheinbar von dem Ziel ausgehen, das der Angreifer außer Gefecht zu setzen versucht. Das UDP ist Stateless. Die Möglichkeit zum Fälschen der UDP-Adresse ist für DNS- und NTP Amplification-Angriffe notwendig. Die angegriffenen NTP-Server geben auf die kleinen Anfragen eine sehr umfangreiche Antwort zurück und senden alle Informationen zurück an das Ziel, das davon „überschwemmt“ wird und offline geht. (In der Branche gibt es Bemühungen, UDP-Fälschungen zu verhindern. Diese Bemühungen sollten unbedingt fortgesetzt werden.)

Um einen potenziellen NTP Amplification-Angriff zu verhindern, müssen öffentlich zugängliche NTP-Server auf die aktuelle NTP-Version aktualisiert werden. Zum Zeitpunkt der Drucklegung ist dies die Version 4.2.7. Mit diesem Update fällt die Unterstützung des Remote-Befehls MON_GETLIST bzw. „monlist“ weg, der die Adressen der letzten 600 Computer zurückgibt, mit denen ein NTP-Server interagiert hat. Falls kein Upgrade möglich ist, können monlist-Abfragen auch mithilfe der noquery-Option in der NTP-Konfiguration verhindert werden.

NTP Amplification-Angriffe sind zwar eine neue Art von DDoS-Angriffen, doch auch DNS Amplification wird für viele Angreifer interessant bleiben. Laut Open Resolver Project stellten im Oktober 2013 immerhin 28 Millionen offene Resolver eine nicht zu unterschätzende Bedrohung dar.26



http://cs.co/9004oVe6




Exploit-Kits: Jetzt kommt die KonkurrenzNachdem „Paunch“, der mutmaßliche Urheber des Exploit-Kits „Blackhole“, im Oktober 2013 in Russland festgenommen wurde,27 dauerte es nicht lange, bis andere Exploit-Kit-Entwickler Anspruch auf die zuvor von seinem Kit dominierten Bereiche erhoben.

Blackhole war unbestritten das meistgenutzte und am besten gepflegte Exploit-Kit. Als „Paunch“ und Blackhole aus dem Verkehr gezogen wurden, richtete sich das Augenmerk von Hackern auf neue Exploit-Kits. In der ersten Jahreshälfte 2014 konkurrierten laut dem Sicherheitsteam von Cisco viele von ihnen um die Spitzenposition; ein klarer Anführer ist aus diesem Wettbewerb jedoch noch nicht hervorgegangen.

(Anzahl der Angri�e) Exploit-Kit-Name

(1) Bleeding Life

(20) Sweet Orange

(1) Zuponcic

(160) Cool

(1) DotCache

(31) GongDa

(1) Glazunov

(81) Angler

(9) RedKit

(61) Nuclear

(24) Fiesta

(132) Goon

(14) Blackhole

(9) Styx

(34) CritX

(2) Neutrino

(2) Unbekannt

(10) G 1

ABBILDUNG 15

Seit Januar 2014 beobachtete Exploit-KitsQUELLE: Cisco Threat Intelligence Platform


Trotz des verstärkten Wettbewerbs ist laut dem Sicherheitsteam von Cisco die Anzahl der Exploit-Kits seit der Festnahme von „Paunch“ im letzten Jahr um 87 Prozent gesunken.

Angreifer nutzen Exploit-Kits inzwischen auch für gezieltere und ausgefeiltere Kampagnen: Sie nehmen bestimmte Benutzer ins Visier, um Schwachstellen in Anwendungen, Programmen und Systemen aufzudecken, über die sie direkt zur Infrastruktur gelangen können. Die Exploit-Kits „LightsOut“ und „Hello“ zielen beispielsweise auf die Energiebranche ab.

ABBILDUNG 16

Rückgang der Anzahl an Exploit-Kits (Januar bis April 2014)QUELLE: Cisco Threat Intelligence Platform

Januar Februar März April0 %

5 %

10 %

15 %

20 %

25 %

30 %

35 %

40 %


Malvertising als Bedrohung für das InternetDie Ausgaben für Werbung im Internet sind inzwischen höher als bei jeder anderen Form von Werbung.28 Angesichts der bescheidenen Anfänge von Internetwerbung – ein einfaches Werbebanner von Hotwired im Jahr 1994 – ist ihre Entwicklung der letzten 20 Jahre durchaus beeindruckend. Auch wenn sich viele Benutzer von Internetwerbung gestört fühlen, bleibt sie der Garant für den kostenlosen Zugang zu weiten Teilen des Internets. Sollte sich dieses Modell ändern oder das Vertrauen in Internetwerbung gänzlich verloren gehen, hätte dies enorme Auswirkungen auf das Internet.

„Malvertising“, Onlinewerbung, mit der Malware verbreitet wird, bedroht dieses Modell und das Vertrauen der Benutzer. Betroffen sind alle Internetbenutzer und die gesamte Internet Economy. Cisco zufolge unterstreicht Malvertising den hohen Entwicklungsstand der modernen Cybercrime Economy im Hinblick auf Arbeitsteilung, Zusammenarbeit und Spezialisierung in der Angriffskette.

Malvertising wird immer gängiger, und Angreifer können Angriffe inzwischen sehr zielgerichtet starten. Ein Malvertiser, der eine bestimmte Zielgruppe zu einer bestimmten Zeit erreichen will – beispielsweise deutsche Fußballfans, die sich gerade ein WM-Spiel ansehen –, kann legitime Werbung für seine Zwecke nutzen. Wie reguläre Werbefachleute wendet er sich an Unternehmen, die über den Werbemarkt wachen. Er bezahlt die Werbung im Voraus (etwa 2.000 US-Dollar oder mehr pro Durchlauf) und weist die Unternehmen an, den Werbemarkt um eine möglichst schnelle Verbreitung der Werbung zu bitten, sodass keine oder kaum Zeit zur Prüfung bleibt.

Malvertising infiziert Computer beim normalen Surfen im Internet, sodass sich die betroffenen Benutzer in der Regel nicht erklären können, woher die Infektion stammt und wie sie auf den Computer gelangt ist. Eine Zurückverfolgung bis zur Quelle ist nahezu unmöglich, weil die jeweilige Werbung schnell wieder von der Bildfläche verschwindet.



http://cs.co/9005oVeB




Schlechte Werbung: Die Rolle des Malvertising bei Ransomware

Wie aus dem Cisco Annual Security Report 2014 hervorgeht, hat Malvertising einen entscheidenden Beitrag zur Verbreitung der Ransomware „CryptoLocker“ geleistet. Ransomware ist eine Form von Malware, mit der Dateien auf dem Computer des Opfers verschlüsselt und somit unzugänglich werden, bis das Opfer ein „Lösegeld“ zahlt.29

CryptoLocker wurde kürzlich neutralisiert: Im Juni berichtete das Justizministerium der Vereinigten Staaten von einer Zusammenarbeit mit ausländischen Strafverfolgungsbehörden und Technologieunternehmen, deren Ziel die Bekämpfung eines weit verbreiteten zwei Jahre alten Botnets mit der Bezeichnung „Gameover Zeus“ war. Dieses Botnet hatte als eines der wichtigsten Verbreitungsmedien für CryptoLocker gedient.30 Es dauerte allerdings nicht lange, bis die neue Ransomware „CryptoWall“ an die Stelle von CryptoLocker trat.

In der ersten Jahreshälfte 2014 hat Cisco Angriffskampagnen analysiert, die sich das Web zunutze machen. Der Schwerpunkt lag dabei auf Kampagnen, bei denen Benutzer mithilfe von Malware auf Websites umgeleitet werden, über die (vom Angreifer gemietete oder gekaufte) Exploit-Kits einen „Dropper“ auf dem Computer der Benutzer platzieren und so Systeme mit Sicherheitslücken infizieren. Im Rahmen dieser Untersuchungen fiel den Cisco Sicherheitsexperten ein hohes Maß an Datenverkehr im Zusammenhang mit einem neuen Exploit-Kits namens „RIG“ auf, das im April 2014 erstmals in kriminellen Foren aufgetaucht war.31 RIG führt unter Verwendung von Malvertising einen Drive-by-Angriff auf Benutzer viel besuchter legitimer Websites durch. Über das Angriffs-Toolkit verbreiten Hacker die Ransomware „CryptoWall“.

Anfang Juni blockierte Cisco Anfragen an zahlreiche kompromittierte WordPress-Websites, auf die durch Malvertising verwiesen wurde.

(Siehe Sicherheitslücken bei WordPress: Und wer kümmert sich jetzt um die Website? auf Seite 37)

Die Landing Pages der Websites hosten Exploits für Java, Flash und das Multimediaprotokoll Microsoft Silverlight. Laut Cisco Sicherheitsexperten scheint der Einsatz des letztgenannten Plug-ins zum Starten von Exploits unter Cyber-Kriminellen immer beliebter zu werden. Das Exploit-Kit „Fiesta“ beinhaltete als erstes bekanntes Exploit-Kit bereits 2013 ein Silverlight-Exploit. Angesichts des starken Wettbewerbs am Markt für Exploit-Kits folgten kurz darauf RIG und Angler. (Siehe Exploit-Kits: Jetzt kommt die Konkurrenz auf Seite 33)

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9007oVeD




Sicherheitslücken bei WordPress: Und wer kümmert sich jetzt um die Website?Viele Unternehmen mit den verschiedensten Hintergründen nutzen WordPress – Web-Software, die im Prinzip aus einer Sammlung von Skripts und zusätzlichen Funktionen besteht, mit denen Benutzer ihre Websites individuell anpassen können: als Blog, zum Hosten von Foren, für E-Commerce etc.

Bei der Entwicklung von WordPress stand vor allem die Funktionalität im Vordergrund, nicht jedoch die Sicherheit.

Die meisten WordPress-Benutzer verfügen nicht über das erforderliche Know-how für eine entsprechende Absicherung der Software. Nicht selten richten Benutzer eine Website mit dem WordPress-Content-Management-System (CMS) oder einem ähnlichen System ein und kümmern sich schon wenig später nicht mehr darum.

Das Internet ist voll von solchen verlassenen Websites, die ein ausgesprochen schwaches Glied in der Sicherheitskette darstellen. Angreifer können sich Zugriff auf diese längst vergessenen Websites verschaffen, schädliche Binärdateien darauf hochladen und sie zum Verbreiten von Exploits nutzen. Benutzer gelangen über andere aktive, legitime, aber ebenfalls kompromittierte Websites auf diese Seiten: Ein iFrame bezieht Inhalte von der nicht mehr gepflegten Website und präsentiert sie Benutzern auf der legitimen Website.

WordPress ist nicht das einzige CMS, bei dem dieses Problem besteht, unterscheidet sich jedoch aufgrund seiner Beliebtheit von anderen Systemen wie Joomla und e107. Verlassene Websites sind ein hohes Risiko für die Sicherheit im Internet insgesamt. Da sich niemand um sie kümmert, ist es schwierig, diese Websites zu bereinigen oder offline zu stellen. Selbst wenn die Inhaber der Website eingreifen, patchen sie meist nur den Eintrittspunkt und prüfen nicht, ob die Website bereits kompromittiert ist. Die „Hintertür“ bleibt jedoch unentdeckt und wird nicht beseitigt.

Viele führende Hosting-Unternehmen bieten inzwischen als Bestandteil ihres Hosting-Pakets für kommerzielle Websites kostengünstige Managed Services für die WordPress-Installation an. Sie sorgen dafür, dass alle Patches angewendet und die richtigen Sicherheitseinstellungen vorgenommen werden. Wenn diese Services in Zukunft häufiger genutzt werden, sollte sich die Anzahl der Websites mit WordPress-Schwachstellen verringern.


PoS-Angriffe: So stehlen Kriminelle KreditkartendatenVerschiedene zusammenhängende Trends machen POS-Systeme für Cyber-Kriminelle attraktiv, die in großem Umfang Kreditkartendaten stehlen wollen. Jüngste Angriffe auf Sicherheitslücken bei großen Einzelhandelsunternehmen zeigen, dass Kampagnen dieser Art schnell und durchaus erfolgreich ausgeführt werden können. Es ist daher wichtig, die Funktionen zur Erkennung von Angriffen schon vor einem tatsächlichen Zwischenfall gründlich zu prüfen und im Ernstfall schnell zu reagieren.

Bei diesen Angriffen werden Daten gestohlen, die auf den Magnetstreifen von Kreditkarten gespeichert sind. Damit können gefälschte Kreditkarten hergestellt und für Einkäufe vor Ort genutzt werden. PoS-Malware ermöglicht das Auslesen der Daten aus dem Speicher, wodurch die Verschlüsselung auf Datenträgern oder im Netzwerk umgangen wird. Folgende Trends tragen zur weiten Verbreitung dieser Art von Exploits bei:

Kreditkartendaten haben unter Cyber-Kriminellen einen hohen Wert und stellen einen beachtlichen „Return on Investment“ in Aussicht. Kriminelle sind überzeugt, dass das Stehlen von Daten aus PoS-Systemen effektiver ist, als diese Daten direkt von E-Commerce-Händlern zu entwenden. Banken erkennen und stoppen diese Art von Diebstahl inzwischen häufiger.

Darüber hinaus sind die gestohlenen Daten leicht zu Geld zu machen, da die USA als eine der wenigen Industrienationen Kreditkarten mit Magnetstreifen statt des sichereren Systems mit Chip und PIN nutzen. (Ohne End-to-End-Verschlüsselung der Kartendaten können die Kartennummern und Ablaufdaten allerdings auch bei Systemen mit Chip und PIN gestohlen und für Online-Transaktionen genutzt werden.)

Immer mehr PoS-Systeme sind mit dem Internet verbunden. Cyber-Kriminellen bietet dieser Ansatzpunkt eine Möglichkeit, in das Unternehmensnetzwerk einzudringen.

Kreditkarteninformationen wer-den von vielen Unternehmen nach wie vor nicht als wichtige Daten erachtet. Das bedeutet, dass sie weniger geschützt sind.

Unternehmen setzen bei ihren PoS-Lösungen vermehrt auf Drittanbieter und schaffen auf diese Weise noch mehr Zugriffspunkte für Angreifer.

PoS-Internet- verbindung

Unzureichendes Verständnis Drittanbieter


Abschließend sollten Netzwerke so segmentiert werden, dass der Zugriff auf wichtige Daten erschwert wird: PoS-Systeme sollten in einem vom Unternehmensnetzwerk getrennten Netzwerksegment implementiert sein, um den Zugriff darauf zu begrenzen und Pivoting-Angriffe auf die PoS-Systeme zu verhindern.

Angesichts der weiten Verbreitung von Mobilgeräten und ihrer inzwischen gängigen Nutzung im Unternehmensnetzwerk sollten neben der Segmentierung auch strenge Identifizierungsfunktionen eingesetzt werden, die ermitteln, wer der Benutzer ist, mit welcher Art von Gerät er auf das Netzwerk zugreift und welche Methode er dafür nutzt. So kann beispielsweise der Zugriff auf das Wireless LAN am Unternehmensstandort über einen unternehmenseigenen Laptop erlaubt werden, während der Zugriff mit einem Tablet über ein Remote Access-VPN aufgrund der sensiblen PoS-Daten verweigert wird.

Cisco geht davon aus, dass sich Hacker mit Interesse an Kreditkartendaten auch weiterhin auf PoS-Systeme konzentrieren werden. Effektive Erkennungs- und Frühwarnsysteme sowie der Einsatz von Hardwareverschlüsselung können jedoch dazu beitragen, Angriffe dieser Art zu vereiteln.

Strengere Überwachung von Kreditkartendaten

Um den Diebstahl von Kreditkartendaten und anderen vertraulichen Informationen am PoS zu verhindern, müssen Unternehmen verstärkt in technische Barrieren gegen das Eindringen von Cyber-Kriminellen investieren. Außerdem müssen sie einsehen, dass ihre Sicherheitsexperten Kreditkartendaten mehr Aufmerksamkeit widmen sollten.

Manche Unternehmen setzen jetzt Hardware-Verschlüsselungsgeräte am PoS ein, die das Abfangen von Kreditkartendaten bei der Übertragung zwischen Netzwerken verhindern können. Wenn diese Geräte zu kostspielig sind, sollten Unternehmen die entsprechenden Daten zumindest als sensibel kennzeichnen und sie gezielt überwachen, um nicht autorisierte Zugriffe und ungewöhnliche Datenbewegungen frühzeitig zu erkennen. Es gibt so viele Möglichkeiten zum Kompromittieren eines Netzwerks, dass Unternehmen stets von einem bereits erfolgten Zugriff ausgehen sollten.

Auffällige IoCs, die auf einen möglichen Diebstahl von Kreditkartendaten hinweisen, sind die Implementierung eines Toolsets, auf einem PoS-Terminal ausgeführte neue Prozesse sowie die regelmäßige Entnahme kompromittierter Dateien von gleicher Dateigröße. Systeme, die diese Anzeichen im erweiterten Netzwerk analysieren können, sollten in Betracht gezogen werden.

Außerdem ist es empfehlenswert, in allen kreditkartenverarbeitenden Systemen für die Erkennung von Anwendungs- und Prozessänderungen zu sorgen. Jegliche Änderungen an einem Endgerät sollten sofort untersucht werden. Komprimierungstools sollten ebenfalls auf der „Anwendungs-Whitelist“ von Unternehmen stehen, auch wenn die meisten Protokolle ohnehin aus Effizienz- und Geschwindigkeitsgründen eine Komprimierung nutzen.

01 01 00 0 10 01 010 00 0 010 010 010 0 1 101 01 00 0 10 01 010

00 0 010 010 010 0 1 111 0 010 011 01 110 01

00 0 010 011 01 110 01

011

111

00 01 00 0 10 01 010 1 10 010 010 010 0 1 101 01 00 0 10 01 010

00 0 010 010 010 0 1 0

1101 00 0 10 01 010 0 1 0 010 010 010 0 1 1

001 1

01 0 010 011 01 110 0100 0 011 11

01 01 CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9008oVeE




Social Engineering: Die Schwachstellen in PersonEin Unternehmen kann Hunderttausende Dollar in die neueste Sicherheitssoftware investieren und sich so vor zielgerichteten Angriffen über das Netzwerk in Sicherheit wähnen. Doch was nützt die beste Software am Netzwerk-Edge, wenn die Bedrohung von einer Person ausgeht, die ein Büro oder einen Serverraum einfach durch den Haupteingang betritt?

Kriminelle sehen heute mehr Potenzial darin, ein Netzwerk direkt vor Ort anzuzapfen, anstatt Phishing-E-Mails mit Links zu kompromittierten Websites zu versenden. (Das bedeutet allerdings nicht, dass Spam und andere Social Engineering-Kampagnen keine Gefahr mehr darstellen – mehr dazu auf Seite 26.) Wenn sich also ein Krimineller Zugang zu einer

Ethernet-Verbindung verschaffen oder ein IP-Telefon vom Netzwerk trennen und das entsprechende Kabel zum Zugriff auf Informationen im Netzwerk nutzen kann, hat dies unter Umständen schwerwiegende Folgen für ein Unternehmen. Beim Social Engineering werden sozusagen Menschen gehackt. Somit werden Menschen – in diesem Fall möglicherweise auch die Mitarbeiter Ihres Unternehmens – zum schwächsten Glied in der digitalen und physischen Sicherheitskette.

Beim Social Engineering vor Ort wenden Kriminelle ähnliche Taktiken an wie bei E-Mails und kompromittierten Websites: Sie erschleichen sich das Vertrauen einer Person, die ihnen Zugang zu den Unternehmensgebäuden verschaffen kann.


So können Kriminelle beispielsweise einen bestimmten Mitarbeiter bei LinkedIn suchen. In dessen Profil finden sich bereits viele interessante Informationen – von den beruflichen Aufgaben des Mitarbeiters über seine schulische Laufbahn bis hin zu seiner favorisierten Fußballmannschaft – mithilfe dieser Daten können sich Übeltäter dann als vermeintlicher Bekannter oder vertrauenswürdiger Kontakt präsentieren.

Da soziale Netzwerke gerade auf beruflicher Ebene sehr beliebt sind, steht jedem, der danach sucht, eine Fülle von nützlichen Informationen und Fotos zur Verfügung.

Auf der Grundlage dieser Hintergrundinformationen aus dem Internet kann sich ein Krimineller als Journalist ausgeben und um ein persönliches Gespräch bitten. Er kann auch vorgeben, er sei ein potenzieller Partner oder Kunde, der an einem persönlichen Termin interessiert ist. Möglicherweise trägt er auch einen gefälschten Presseausweis oder Ähnliches bei sich, um seine vermeintliche Autorität zu unterstreichen.

Hacker haben auch erkannt, dass sie derartige Betrugsversuche nicht unbedingt direkt unter den Augen des betreffenden Unternehmens in Angriff nehmen müssen. Stattdessen greifen sie ein schwächeres Glied in der Kette an, beispielsweise einen Geschäftspartner, für den das Thema Sicherheit nebensächlicher ist. Auch Lieferanten, die Zugang oder eine Verbindung zum eigentlichen Ziel, dem Unternehmensnetzwerk, haben, können zur Zielscheibe werden. Diese Technik ist besonders effektiv, wenn das Zielunternehmen selbst strenge Sicherheitsvorkehrungen getroffen hat, ein Geschäftspartner dieses Unternehmens jedoch nicht. Hacker suchen immer nach dem einfachsten Weg, sich Zugang zu verschaffen.

Um Social Engineering-Angriffe zu verhindern, die auf physischen Netzwerkzugriff abzielen, sollten Access Ports im Netzwerk erst nach Authentifizierung und Autorisierung Zugriff gewähren. Zusätzlich dazu können Unternehmen „dynamische Sicherheitsdomänen“ für einzelne Benutzer, Geräte, Kombinationen aus Benutzer und Gerät oder jegliche andere benötigte Konfiguration erstellen. In diesen dynamischen Sicherheitsdomänen können Technologien wie 802.1x, Zugriffskontrolllisten (ACLs) für Ports, VPN und Host-Statusüberprüfungen eingesetzt werden.

Lösung

Unabhängig von der Zugangsmethode, die ein Angreifer nutzt (kabelgebunden, Wireless oder VPN), können IT-Profis dynamisch eine Sicherheitsdomäne oder „Blase“ speziell für diese Methode erstellen. Wenn ein Krimineller einen Laptop mit einem Port vor Ort verbindet, stoppt das Netzwerk ihn, authentifiziert ihn, erstellt ein Profil, führt eine Statusüberprüfung durch, beobachtet sein Verhalten und gewährt dem Benutzer dann spezielle dynamische Berechtigungen, die seinen Netzwerkzugriff je nach Kontext beschränken.

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9000oVeG



Ein Blick in die ZukunftDie Sicherheitsexperten von Cisco betrachten die Verbesserung der Sicherheit als einen Geschäftsprozess. Sie empfehlen den Unternehmen, einen regen Dialog zwischen technischen Entscheidungsträgern und Business-Entscheidungsträgern zu fördern und Technologien zum Einsatz zu bringen, die für mehr Transparenz bei immer schwerer zu erkennenden Bedrohungen sorgen.

Cisco Midyear Security Report 2014 Ein Blick in die Zukunft43

Intelligente Cyber Security in der PraxisUm Schwachstellen in der Sicherheitskette zu schließen, müssen alle Unternehmen und Branchenakteure ihr Bewusstsein für Cyberrisiken auch auf Führungsebene schärfen und der Cyber Security höchste Priorität einräumen. Wichtig ist eine Abstimmung zwischen Geschäftsstrategie, Sicherheitsverfahren und den Kontrollelementen für die Abwehr von Cyberangriffen, ebenso wie der Einsatz neuer, intelligenter Lösungen wie prädiktiven Analysen, die in komplexen Netzwerken für mehr Transparenz sorgen.

Um in allen Phasen eines Angriffs richtig reagieren zu können, müssen Unternehmen heute einer ganzen Reihe von Angriffsvektoren mit Sicherheitslösungen begegnen, die an allen möglichen Ansatzpunkten einsetzbar sind. Zu den Angriffspunkten zählen das Netzwerk, Mobilgeräte, virtuelle Umgebungen, die Cloud und das Rechenzentrum.

Das Schließen von Sicherheitslücken ist die wichtigste Methode zum Optimieren der Sicherheit für alle Benutzer. Dabei spielt es keine Rolle, ob es sich bei den Schwachstellen um bekannte und aktiv ausgenutzte Sicherheitslücken in Java, Flash oder Adobe PDF, um nicht mehr gepflegte mit WordPress erstellte Websites, um lange übersehene Sicherheitsschwachstellen in OpenSSL-Software, um Möglichkeiten zum ungehinderten physischen Netzwerkzugriff oder um NTP-Server mit Sicherheitslücken handelt. Auch die Bewertung des Lebenszyklusstatus erkannter Netzwerkgeräte und potenzieller Sicherheitslücken sowie das gezielte Management von Betriebssystemversionen sind wichtig für die Widerstandsfähigkeit des Netzwerks.32


Je mehr Informationen zur Verfügung stehen, umso mehr Korrelation kann zwischen ihnen hergestellt werden, um intelligent den Kontext zu ermitteln, bessere Entscheidungen zu treffen und im Ernstfall manuell oder automatisch einzugreifen.

Im Mittelpunkt sollten das Erkennen, Verstehen und Stoppen von Bedrohungen stehen. Entscheidend dazu beitragen können kontinuierliche Analysen und Sicherheitsinformationen, die in Echtzeit über die Cloud an alle angeschlossenen Sicherheitslösungen verteilt werden.

Sicherheit ist heute nicht mehr nur eine Angelegenheit des Netzwerks. Sie bedarf eines integrierten Systems aus flexiblen und offenen Plattformen, das die Netzwerkgeräte und die Cloud abdeckt.

In der Praxis kann intelligente Cyber Security die Grundlage für eine sichere Internet-of-Everything-Umgebung schaffen, in der Sicherheit genauso wie das Computing leistungsstark, allumfassend und für die Endbenutzer nahtlos ist.

Transparent

Bedrohungsorientiert

Plattformbasiert

Die Strategie, mit der Cisco Unternehmen bei diesen bekannten und neuen Herausforderungen im Bereich Sicherheit unterstützt, basiert auf drei grundlegenden Prinzipien:


Sicherheit als Geschäftsprozess

Sicherheitsbewertungen zeigen oft, dass die eigentliche Ursache eines Sicherheitsproblems bei einem Fehler in den Geschäftsprozessen und einem technischen Fehler liegt. Unausgereifte Geschäftsprozesse und/oder Funktionen bedeuten schwache oder nicht vorhandene Sicherheitsmaßnahmen.

Da die Cyber Security für Unternehmen strategisch immer wichtiger wird, sind zunehmend ausgereifte Sicherheitsverfahren gefragt, die dem Unternehmen einen ganzheitlichen Überblick über Risiken für die Cyber Security verschaffen und in deren Rahmen das Unternehmen seine Sicherheitsmaßnahmen kontinuierlich verbessert.

Viele Unternehmen arbeiten mit Unterstützung von Service Providern daran, die Sicherheit zu einem standardisierten, messbaren Geschäftsprozess oder einer Reihe von Prozessen zu machen, die im Hinblick auf strategische Ziele regelmäßig überprüft werden. Die Entscheidung, Sicherheit als Geschäftsprozess zu betrachten, gründet oft auf allgemeineren Initiativen zur Verbesserung von Governance, Risiken und Compliance (GRC) im gesamten Unternehmen. Viele Unternehmen müssen – häufig zu spät – erkennen, dass reine Compliance in Bezug auf die IT-Sicherheit nicht ausreicht.

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9001oVeH




1. Was muss geschützt werden?

2. Wie gut funktionieren die aktuellen Sicherheitsmaßnahmen?

3. Was muss bezüglich der Cyber Security noch erreicht werden?

Wird die Sicherheit ein Bestandteil der betrieblichen Prozesse, erhält man einen besseren Einblick in die folgenden Aspekte:

Ein wichtiger Bestandteil bei der Integration der Sicherheit in die Unternehmensprozesse ist ein produktiver Dialog zwischen Sicherheitsexperten wie dem CIO (Chief Information Officer) und dem CISO (Chief Information Security Officer) auf der einen Seite und geschäftlichen Entscheidungsträgern auf der anderen Seite. Um die Cyber Security zu einem offiziellen Geschäftsprozess zu machen, müssen diese beiden Führungsgruppen enger und häufiger zusammenarbeiten. Ihre Aufgabe ist es, gemeinsam das akzeptable Risikoniveau auszuloten und strategische Ziele im Hinblick auf die Sicherheit für das Unternehmen festzulegen. Für diesen Dialog sollten die CISOs Informationen zur Cyber Security so präsentieren können, dass die Geschäftsführung sie problemlos versteht. Kennzahlen zeigen beispielsweise, welchen geschäftlichen Wert Schritte zur Vermeidung eines bestimmten Sicherheitsrisikos haben.

Auch ein konkretes „Reifemodell“ ist von großer Bedeutung. Ein Beispiel hierfür ist das CMMI-Modell (Capability Maturity Model Integration) der Carnegie Mellon University in Pittsburgh. Dieses weit verbreitete Modell entstand in den 1980er Jahren zunächst als Projekt des Fachbereichs Softwaretechnik der Universität. Wie Abbildung 17 zeigt, beginnt das Modell mit der „Ad hoc“-Phase, in der prinzipiell nur bereits aufgetretene Vorfälle behandelt werden. Wenn ein Unternehmen die letzte Phase des Modells erreicht, nutzt es konkret messbare, standardisierte und reproduzierbare Prozesse.

Wird die Sicherheit Teil der betrieblichen Prozesse, ermöglicht sie umfassende Einblicke in das gesamte Unternehmen: Wer ist verantwortlich? Sind sie die richtigen Personen für diese Aufgabe? Falls ja, erledigen sie diese Aufgabe gut? Außerdem können Unternehmen dadurch ermitteln, ob IT-Ressourcen effektiv bereitgestellt und genutzt werden.

ABBILDUNG 17

CMMI-Modell

Level 1 Level 2 Level 3 Level 4 Level 5

Anfänglich (ad hoc) Verwaltet Deniert

Quantitativ verwaltet Optimierung


Cyberrisiken aus geschäftlicher Perspektive

Viele Unternehmen setzen für die Zukunft ihrer Geschäftsmodelle auf die umfassende Vernetzung, die das Internet of Things verspricht. Um sich erfolgreich auf diese neue Umgebung vorzubereiten, muss die Geschäftsführung die Cyberrisiken, die eine größere Abhängigkeit vom Netzwerk mit sich bringt, aus geschäftlicher Sicht kennen und verstehen.

Bisher war es unüblich für Unternehmen, Probleme mit der Cyber Security öffentlich zu diskutieren. In dieser Hinsicht findet derzeit ein Wandel statt. Immer mehr Führungskräfte erkennen, dass diese Art der Sicherheitsrisiken typische Herausforderungen für alle Unternehmen sind, insbesondere angesichts der zunehmenden Digitalisierung und der wachsenden strategischen Bedeutung von Informationen.

Außerdem wird immer deutlicher erkennbar, dass in einer IoT-Umgebung sowohl innerhalb des Unternehmens als auch zwischen Unternehmen sowie zwischen dem öffentlichen und privaten Sektor eine Diskussion zum Thema Bedrohungen und Best Practices zur Risikominderung geführt werden muss. Gefördert wird diese Sichtweise von den Unternehmensvorständen, die an den potenziellen geschäftlichen Auswirkungen von Cybersicherheitsrisiken interessiert sind und dies entsprechend nachdrücklich fördern.

Auch die US-Börsenaufsichtsbehörde (Securities and Exchange Commission, SEC) hat in letzter Zeit durch verschiedene Maßnahmen die Bedeutung der Cyber Security unterstrichen. Im Jahr 2011 gab die SEC Reporting-Anforderungen zur Cyber Security für börsennotierte Unternehmen aus,33 denen zufolge Unternehmen ihre Aktionäre über erfolgte Cyberdiebstähle und Cyberangriffe informieren und sie benachrichtigen müssen, wenn das konkrete Risiko eines solchen Ereignisses besteht.34 Zudem hat die SEC im Frühjahr dieses Jahres eine Roundtable-Diskussion zum Thema Cyber Security abgehalten, bei der die damit verbundenen Probleme und Herausforderungen für Marktteilnehmer und börsennotierte Unternehmen sowie passende Gegenmaßnahmen besprochen wurden.35

Auf weltweiter Ebene hat das Weltwirtschaftsforum (World Economic Forum, WEF) – eine internationale Einrichtung, die sich der Verbesserung der weltweiten Lage durch Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor verschrieben hat – 2011 ein Konzept zur Abwehr von Cyberangriffen („Cyber Resilience“) eingeführt. Es verfolgt das Ziel, Unternehmensvorständen das Thema Cyber Security und andere Themen im Zusammenhang mit dem Internet näherzubringen. Das WEF betrachtet die Abwehr von Cyberangriffen als Ökosystem mit Abhängigkeiten zwischen den einzelnen Elementen, in dem jedes Unternehmen nur so stark ist wie das schwächste Glied der Sicherheitskette. Dies wird in einem der vier Leitprinzipien der WEF-Initiative „Partnering for Cyber Resilience“36 erläutert:

Wir alle sind nur so stark wie das jeweils schwächste Glied der Ketten, von denen wir alle abhängig sind. Jeder von uns trägt zur Sicherheit unserer umfassend vernetzten Welt bei. Eine offene, sichere und geschützte Online-Umgebung ist ein öffentliches Gut. Alle Mitwirkenden sind gemeinsam für die Bereitstellung und Unterstützung dieser Ressource verantwortlich.

CIS

CO

MID

YEA

R S

ECU

RIT

Y

REP

ORT

201

4 W

EITE

RLE

ITEN


http://cs.co/9004oXRm




Die Initiative des WEF zur Abwehr von Cyberangriffen soll CEOs und anderen Führungskräften wie CIOs und CISOs helfen, Cyber Security in ihren Unternehmen zu thematisieren und die Risiken und Chancen im Zusammenhang mit diesem Thema aus geschäftlicher Sicht darzulegen. Ein Beispiel: „Welche Kosten entstehen dem Unternehmen, wenn wir uns wegen Bedenken hinsichtlich Cyberrisiken gegen die Investition in eine wertschöpfende Technologie entscheiden?“

Durch diese Initiative verdeutlicht das WEF, dass Cyber Security nicht allein durch die IT-Abteilung erreicht werden kann, weil es dabei nicht nur um technische Aspekte geht, sondern auch um institutionelle Faktoren. Darüber hinaus sieht das WEF die Verantwortung der Förderung eines Cyber-Security-Bewusstseins hauptsächlich beim CEO, der letztlich auch für die Abwehr von Cyberangriffen im Unternehmen zuständig ist.

ABBILDUNG 18

Reifemodell für die Abwehr von Cyberangriffen in Unternehmen

Zur Verbesserung der Cyber Security empfiehlt das WEF allen Unternehmen die Verfolgung eines risikobasierten Ansatzes. Das hier dargestellte Reifemodell des WEF zeigt einen möglichen Weg für die Abwehr von Cyberangriffen auf.

Stufe 1

Keine Kenntnis Fragmentiert Top-down Umfassend Vernetzt

Stufe 2 Stufe 3 Stufe 4 Stufe 5



http://cs.co/9000oXRs




Prädiktive Analysen für mehr SicherheitEs ist ein Teufelskreis: Kaum hat die Sicherheitsbranche eine Reaktion auf eine konkrete Bedrohung erarbeitet, schon finden die Angreifer einen neuen Weg, unentdeckt zu bleiben. Hacker untersuchen proaktiv die im Unternehmen eingesetzten Sicherheitstechnologien, um dann auf weniger transparente, schlechter erkennbare Verhaltensweisen auszuweichen. Die Bedrohungen von heute sind eine immense Herausforderung für Sicherheitslösungen und -experten. Angreifer nutzen vermehrt verschlüsselten Datenverkehr, Scrambling und Randomisierung, sodass Command-and-Control-Aktionen kaum noch vom echten Datenverkehr zu unterscheiden sind.

Auch die mangelnde Transparenz in den heutigen komplexen Unternehmensnetzwerken schafft viele Verstecke für ernsthafte Bedrohungen. Um trotz dieser Komplexität zu erkennen, dass in einem Netzwerk etwas Unnormales passiert, muss klar sein, was „normal“ überhaupt bedeutet. Prädiktive Analysen sind eine neue Erkennungsfunktion, die genau diese Art von Einblicken liefert und Unternehmen hilft, die Zuverlässigkeit ihrer Sicherheitslösungen zu erhöhen. Mit diesem Tool kann ungewöhnliches Verhalten in einem Netzwerk – Anzeichen für eine Infektion – durch Verhaltensanalysen und Anomalieerkennung identifiziert werden.

Durch prädiktive Analysen erhalten Unternehmen die Möglichkeit, das Verhalten von Elementen im Netzwerk (Host-Server und Benutzer) zu bewerten. Aus vielen kleinen Modellen entsteht ein größeres Modell, das das vergangene Verhalten darstellt und als Ausgangspunkt für Prognosen zum künftigen Verhalten der Elemente dient. Im Idealfall werden die Daten in der Cloud korreliert, um Bedrohungen noch schneller, flexibler und umfassender erkennen zu können. Wird ein deutlicher oder über längere Zeit anhaltender Unterschied zum erwarteten Verhalten festgestellt, wird dieser zur näheren Untersuchung gekennzeichnet.

Prädiktive Analysen erhöhen die Genauigkeit vorhandener Sicherheitstechniken und deren Fähigkeit, unbekanntes oder ungewöhnliches Verhalten im Netzwerk zu erkennen. Hierzu werden erweiterte Algorithmen zur Entscheidungsfindung herangezogen, die mehrere Parameter analysieren und Informationen zum Datenverkehr in Echtzeit berücksichtigen. Dank zahlreicher Funktionen für maschinelles Lernen kann das System anhand der Analysen „dazulernen“ und sich anpassen.

Systeme für maschinelles Lernen sind wie eine Art Detektiv: Sie suchen nach möglichen Gefahrenquellen und nach Anzeichen für vergangene, gerade stattfindende oder bevorstehende Vorfälle. Sie setzen zwar nicht notwendigerweise Sicherheitsmaßnahmen oder Richtlinien durch, ermöglichen es anderen Systemen jedoch, unerwartete Bedrohungen zu finden und entsprechend zu reagieren. Damit prädiktive Analysen echten Mehrwert bieten und die Wirksamkeit der Sicherheitsmaßnahmen von Unternehmen erhöhen, müssen zusätzlich Lösungen für inhaltsbasierte Sicherheit, Perimetermanagement und Richtlinienverwaltung implementiert werden.

Angreifer Sicherheit

Neue Bedrohung

Lernen und Strategie

Spezi sche Reaktion


Informationen zu CiscoCisco bietet intelligente Cyber Security-Lösungen. Grundlage der Vision von Cisco ist ein bedrohungsorientierter Sicherheitsansatz, der die Komplexität verringert und gleichzeitig in allen Angriffsphasen für umfassende Transparenz, kontinuierliche Kontrolle und erweiterten Schutz vor Bedrohungen sorgt. Mit diesem bedrohungsorientierten Sicherheitsmodell können Unternehmen vor, während und nach einem Angriff schnell reagieren.

Sicherheitsexperten aus dem Cisco Collective Security Intelligence-Netzwerk tragen mit umfangreichem Wissen und ausgereiften Big Data-Systemen zur Erkennung und Analyse und zum Schutz vor bekannten und neuen Bedrohungen bei. Die erfahrenen Cisco Sicherheitsexperten stützen sich auf Infrastrukturen und Systeme, die auf der Grundlage von Datensammlungen und -analysen der Cisco Telemetrie aus Milliarden von Web-Anfragen und E-Mails, Millionen von Malware-Proben und Open-Source-Datensätzen sowie Tausenden von Netzwerksicherheitsverletzungen umfassende Transparenz bieten.

Das Ergebnis ist eine „Big Intelligence“-Lösung: ein Informations-Pool, der die Effektivität von Sicherheitsmaßnahmen deutlich erhöht und so Netzwerke weltweit sofort und umfassend schützt.

Weitere Informationen zum bedrohungsorientierten Sicherheitsansatz von Cisco finden Sie unter www.cisco.com/web/DE/products/security/index.html.

http://www.cisco.com/web/DE/products/security/index.html

http://www.cisco.com/web/DE/products/security/index.html


Endnoten1 Estimating the Cost of Cyber Crime and Cyber Espionage. Center for Strategic and International Studies (CSIS), Juli 2013

(https://csis.org/event/estimating-cost-cyber-crime-and-cyber-espionage)

2 „Internet of Things“. Cisco.com (http://www.cisco.com/web/solutions/trends/iot/overview.html)

3 Infografik „Internet of Things“. Cisco Internet Business Solutions Group (http://share.cisco.com/internet-of-things.html)

4 „Hackers Reveal Nasty New Car Attacks—With Me Behind The Wheel“. Andy Greenberg, Forbes, 12. August 2013 (http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/)

5 „Hackers Reportedly Targeted Three Large Medical Device Makers“. iHealthBeat.com, 11. Februar 2014 (www.ihealthbeat.org/articles/2014/2/11/hackers-reportedly-targeted-three-large-medical-device-makers)

6 „How secure is your baby monitor? What can happen when the ‘Internet of Things’ gets hacked“. Matt Hartley, Financial Post, 3. Mai 2014 (http://business.financialpost.com/2014/05/03/how-secure-is-your-baby-monitor-what-can-happen-when-the-internet-of-things-gets-hacked/?__lsa=bc1b-f93e)

7 „The Internet of Everything, Including Malware“. Craig Williams, Cisco Security Blog, 4. Dezember 2014 (http://blogs.cisco.com/security/the-internet-of-everything-including-malware/)

8 Im Mittelpunkt dieses Berichts steht die Anzahl potenziell schädlicher FQDNs, Domänen, Websites etc., die vom Kunden ausgehen.

9 Cisco Annual Security Report 2014 (http://www.cisco.com/assets/global/DE/pdfs/executive_security/sc-01casr2014_cte_lig_de_35330.pdf)

10 Kunden, die an einem direkten Informationsaustausch mit dem AEGIS-Programm innerhalb des Vulnerability Research Teams interessiert sind, können sich per E-Mail an [email protected] wenden.

11 Ebd.

12 Weitere Informationen zu Heartbleed finden Sie unter www.cisco.com/web/about/security/intelligence/ERP-Heartbleed.html.

13 „OpenSSL Heartbleed vulnerability CVE-2014-0160 – Cisco products and mitigations“. Pano Kampanakis, Cisco Security Blog, 9. April 2014 (http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations)

14 Weitere Informationen zu Gegenmaßnahmen für OpenSSL-Heartbleed-Schwachstellen siehe „Cisco Event Response: OpenSSL Heartbleed Vulnerability CVE-2014-0160“. Cisco.com, 22. April 2014 (www.cisco.com/web/about/security/intelligence/ERP-Heartbleed.html)

15 „New OpenSSL Defects – Another Heartbleed? Tor Stripped?“. James Lyne, Forbes, 5. Juni 2013 (www.forbes.com/sites/jameslyne/2014/06/05/new-openssl-defects-another-heartbleed)

16 „Severe OpenSSL Security Bug Uncovered by Japanese Researcher Months After Heartbleed“. Luke Villapaz, International Business Times, 5. Juni 2014 (www.ibtimes.com/severe-openssl-security-bug-uncovered-japanese-researcher-months-after-heartbleed-1594989)

17 Cisco Annual Security Report 2014: http://www.cisco.com/assets/global/DE/pdfs/executive_security/sc-01casr2014_cte_lig_de_35330.pdf.

18 Ebd.

19 „Spam Hits Three Year High-Water Mark“. Cisco Security Blog, 2. Mai 2014 (http://blogs.cisco.com/security/spam-hits-three-year-high-water-mark)

20 „Major Apple security flaw: Patch issued, users open to MITM attacks“. Violet Blue, Blog „Zero Day“ ZDNet, 22. Februar 2014 (http://www.zdnet.com/major-apple-security-flaw-patch-issued-users-open-to-mitm-attacks-7000026624/)

https://csis.org/event/estimating-cost-cyber-crime-and-cyber-espionage

http://www.cisco.com/web/solutions/trends/iot/overview.html

http://share.cisco.com/internet-of-things.html

http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/

http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/

http://www.ihealthbeat.org/articles/2014/2/11/hackers-reportedly-targeted-three-large-medical-device-makers

http://www.ihealthbeat.org/articles/2014/2/11/hackers-reportedly-targeted-three-large-medical-device-makers

http://business.financialpost.com/2014/05/03/how-secure-is-your-baby-monitor-what-can-happen-when-the-internet-of-things-gets-hacked/?__lsa=bc1b-f93e

http://business.financialpost.com/2014/05/03/how-secure-is-your-baby-monitor-what-can-happen-when-the-internet-of-things-gets-hacked/?__lsa=bc1b-f93e

http://blogs.cisco.com/security/the-internet-of-everything-including-malware/

http://blogs.cisco.com/security/the-internet-of-everything-including-malware/

http://www.cisco.com/assets/global/DE/pdfs/executive_security/sc-01casr2014_cte_lig_de_35330.pdf


http://www.cisco.com/web/about/security/intelligence/ERP-Heartbleed.html

http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations



http://www.forbes.com/sites/jameslyne/2014/06/05/new-openssl-defects-another-heartbleed

http://www.forbes.com/sites/jameslyne/2014/06/05/new-openssl-defects-another-heartbleed

http://www.ibtimes.com/severe-openssl-security-bug-uncovered-japanese-researcher-months-after-heartbleed-1594989

http://www.ibtimes.com/severe-openssl-security-bug-uncovered-japanese-researcher-months-after-heartbleed-1594989



http://blogs.cisco.com/security/spam-hits-three-year-high-water-mark

http://blogs.cisco.com/security/spam-hits-three-year-high-water-mark

http://www.zdnet.com/major-apple-security-flaw-patch-issued-users-open-to-mitm-attacks-7000026624/


21 „Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects“. Medienveröffentlichung, Linux Foundation, 24. April 2014. Weitere Informationen zur Initiative: http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel


23 „When Network Clocks Attack“. Jaeson Schultz, Cisco Security Blog, 10. Januar 2014 (http://blogs.cisco.com/security/when-network-clocks-attack/)

24 „Chronology of a DDoS: Spamhaus“. Seth Hanford, Cisco Security Blog, 28. März 2013 (http://blogs.cisco.com/security/chronology-of-a-ddos-spamhaus/)

25 Auf openntpproject.org können Benutzer überprüfen, ob ihr NTP-Server Sicherheitslücken aufweist. Weitere Informationen zu DNS Best Practices siehe „DNS Best Practices, Network Protections, and Attack Identification“ (http://www.cisco.com/web/about/security/intelligence/)

26 Open Resolver Project (www.openresolverproject.org)

27 „Meet Paunch: The Accused Author of the Blackhole Exploit Kit“. Brian Krebs, Blog „KrebsOnSecurity“, 6. Dezember 2013 (http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/)

28 „Global Internet Ad Spend Sees Double-Digit Growth, Outpaces Other Media“. Nielsen, 10. Juli 2012 (http://www.nielsen.com/us/en/newswire/2012/global-internet-ad-spend-sees-double-digit-growth-outpaces-other-media.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+NielsenWire+(Nielsen+Wire))


30 „Malicious Advertisements on Major Websites Lead to Ransomware“. Jeremy Kirk, IDG News Service, 6. Juni 2014 (http://www.pcworld.com/article/2360820/malicious-advertisements-on-major-websites-lead-to-ransomware.html)

31 „RIG Exploit Kit Strikes Oil“. Andrew Tsonchev, Cisco Security Blog, 5. Juni 2014 (http://blogs.cisco.com/security/rig-exploit-kit-strikes-oil/)

32 Network Barometer Report: A gauge of global networks’ readiness to support business. Dimension Data, 2013 (http://www.dimensiondata.com/Global/Documents/Network%20Barometer%20Report%202013.pdf)

33 „CF Disclosure Guidance: Topic No. 2: Cybersecurity“. Division of Corporation Finance, SEC, 13. Oktober 2011 (http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm)

34 „Cybersecurity: SEC outlines requirement that companies report data breaches“. Ellen Nakashima und David S. Hilzenrath, The Washington Post, 14. Oktober 2011 (http://www.washingtonpost.com/world/national-security/cybersecurity-sec-outlines-requirement-that-companies-report-data-breaches/2011/10/14/gIQArGjskL_story.html)

35 „Cybersecurity Roundtable“. SEC (http://www.sec.gov/spotlight/cybersecurity-roundtable.shtml)

36 Weitere Informationen zur WEF-Initiative „Partnering for Cyber Resilience“ finden Sie unter http://www.weforum.org/reports/risk-and-responsibility-hyperconnected-world-pathways-global-cyber-resilience.

http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel

http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel



http://blogs.cisco.com/security/when-network-clocks-attack/

http://blogs.cisco.com/security/when-network-clocks-attack/

http://blogs.cisco.com/security/chronology-of-a-ddos-spamhaus/

http://blogs.cisco.com/security/chronology-of-a-ddos-spamhaus/

http://openntpproject.org

http://www.cisco.com/web/about/security/intelligence/

http://www.cisco.com/web/about/security/intelligence/

http://www.openresolverproject.org

http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/

http://www.nielsen.com/us/en/newswire/2012/global-internet-ad-spend-sees-double-digit-growth-outpaces-other-media.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+NielsenWire+(Nielsen+Wire)





http://www.pcworld.com/article/2360820/malicious-advertisements-on-major-websites-lead-to-ransomware.html

http://blogs.cisco.com/security/rig-exploit-kit-strikes-oil/

http://www.dimensiondata.com/Global/Documents/Network%20Barometer%20Report%202013.pdf

http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

http://www.washingtonpost.com/world/national-security/cybersecurity-sec-outlines-requirement-that-companies-report-data-breaches/2011/10/14/gIQArGjskL_story.html

http://www.washingtonpost.com/world/national-security/cybersecurity-sec-outlines-requirement-that-companies-report-data-breaches/2011/10/14/gIQArGjskL_story.html

http://www.sec.gov/spotlight/cybersecurity-roundtable.shtml

http://www.weforum.org/reports/risk-and-responsibility-hyperconnected-world-pathways-global-cyber-resilience

http://www.weforum.org/reports/risk-and-responsibility-hyperconnected-world-pathways-global-cyber-resilience
