kes Special 4-2021

X-RAY VISION FOR MALWARE Advanced Threat Protection Warum Malware Sandboxing ein Teil Ihrer Schutz-Strategie sein sollte. vmray.com/sandbox-strategisch-einsetzen VMRay GmbH • Email: Sales@vmray.com • Phone: +49 (0)234 973 55 40 0 vmray.com

„Fileless Malware“ auf den Zahn gefühlt Da die meisten modernen Endpoint-Protection-Lösungen heute in der Lage sind, klassische Malware – die herunterge- laden und auf dem Endpunkt abgelegt wird – zu identiﬁ zie- ren, kommt immer häuﬁ ger sogenannte „Fileless Malware“ zum Einsatz, die keinerlei Spuren im Systemspeicher hinter- lässt. Grund genug, sich genauer mit diesem Thema zu befassen. Seite 22 Wieso es wichtig ist, eine Cyber- security-Kultur im Unternehmen zu etablieren Cyberangriffe sind so erfolgreich wie nie – und das obwohl Unternehmen sehr viel Geld in Abwehrmaßnahmen inves- tieren. Umso wichtiger ist es, den Faktor Mensch im Sicher- heitskonzept nicht zu vernachlässigen. Dafür braucht es aber mehr als klassische Awareness-Schulungen. Seite 24 News und Produkte Impressum Mitherausgeber Seite 28 Seite 30 Inhalt E-Mail-Continuity für den Ernstfall In der Regel sind Security-Lösungen zuverlässig und erken- nen den Großteil der Malware. Doch was tun, wenn die E-Mail-Infrastruktur tatsächlich von einem Virus lahmgelegt wurde? Moderne Cloud-Lösungen für E-Mail-Continuity schaffen Abhilfe. Seite 4 Wenn es beim Dienstleister brennt Anfang Juli haben Kriminelle eine bis dahin unbekannte Sicherheitslücke in einer Remote-Monitoring- und Manage- mentsoftware des US-Herstellers Kaseya benutzt, um Ran- somware zu verteilen. Betroffen waren weniger als 0,2 % der Kaseya-Kunden – die Auswirkungen waren trotzdem immens. Seite 8 Wie und warum Malware immer häuﬁ ger über die Cloud verteilt wird Im vierten Quartal 2020 lag der Anteil von Malware-Down- loads, die über Cloud-Apps verteilt wurden, bereits bei 61 % . Unser Beitrag beleuchtet die zunehmenden Gefahren. Seite 10 XDR: Präventiver Schutz vor Mal- ware durch KI und Automatisierung Cyberkriminelle und Hacker entwickeln ihre Malware stets weiter und versehen sie mit Funktionen, die sie noch kom- plexer und schwerer erkennbar machen. Den idealen Schutz vor derartigen Bedrohungen liefert das Sicherheitskonzept XDR mit seiner schnellen und automatischen Bedrohungser- kennung dank künstlicher Intelligenz. Seite 12 In die Jahre gekommen oder immer noch aktuell? Sandboxes haben mittlerweile einen zentralen Platz in der Sicherheitsumgebung des Unternehmens, eng integriert mit SOC-Technologien wie SIEM und SOAR sowie Endpoint- und Netzwerksicherheitslösungen. Sandbox-Lösungen erbringen Integrations- und Automatisierungsleistungen und erhöhen die Wirksamkeit des gesamten Security-Stacks. Seite 14 Gute Gründe für EDR Im aktuellen Hype um EDR-Tools ist es oft gar nicht so einfach zu verstehen, wofür genau EDR eigentlich genutzt werden sollte – und warum. Der Artikel zeigt die wichtigsten Gründe auf, warum Unternehmen eine EDR-Lösung in Be- tracht ziehen sollten. Seite 17 Kombinierte Lösungen schützen vor dunkler Seite der IT „Cybercrime-as-a-Service“ ist auf dem Vormarsch. Dahinter steckt ein enormes Schadensrisiko. Welche präventiven Maß- nahmen und Schritte bieten Behörden sowie kleinen und mittleren Unternehmen (KMU) Schutz vor Malware und Co.? Seite 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 3

Management und Wissen Business-Kommunikation E-Mail-Continuity für den Ernstfall In der Regel sind Security-Lösungen zuverlässig und erkennen den Großteil der Malware, noch bevor diese ins Netzwerk gelangt. Einen hundertprozentigen Schutz vor Angriffen gibt es al- lerdings nie. Doch was tun, wenn die E-Mail-Infrastruktur tatsächlich von einem Virus lahmge- legt wurde und wichtige Geschäftsprozesse zum Erliegen kommen? Moderne Cloud-Lösungen für E-Mail-Continuity schaffen Abhilfe. Von Sören Schulte, retarus GmbH In neun von zehn Fällen ist E-Mail nach wie vor das Einfallstor für Malware. Gezielte Malware- Angriffe können schnell die kom- plette E-Mail-Infrastruktur und somit ganze Geschäftsprozesse lahmlegen. Denn Unternehmen sind stark von der digitalen Kom- munikation mit Kollegen, Kunden und Dienstleistern abhängig, um zentrale Workﬂ ows, wie Aufträge, Das Webmail-Portal muss ohne technische Hürden von überall zugänglich sein und sich problemlos auf mobilen Endgeräten darstellen lassen. Bestellungen und Rechnungen, efﬁ zient und zeitnah abwickeln zu können. Je nach betroffenem Ge- schäftsbereich, Intensität und Dauer der Betriebsunterbrechung gehen die Kosten für Ausfälle schnell in die Millionen. Auch der Imageschaden für Betroffene ist enorm. So führte vor wenigen Monaten etwa die An- griffswelle über eine Sicherheitslücke in Microsoft Exchange dazu, dass die EU-Bankenaufsichtsbehörde EBA ihr E-Mail-System zwei Tage lang vom Netz nehmen musste. Auch das Klinikum Fürth musste aufgrund eines Trojaners, der per E-Mail in die Computersysteme des Krankenhau- ses eingedrungen war, zeitweise die Verbindung zum Internet kappen und den Betrieb stark einschränken. Vorübergehend konnten dort des- halb keine neuen Patienten mehr aufgenommen werden. Für den E-Mail-Ausfall vorsorgen Die meisten modernen Se- curity-Lösungen arbeiten bei regel- mäßigen Updates gründlich und zuverlässig und erkennen viele neue Gefahren rechtzeitig, doch selbst die besten Abwehrmechanismen bieten niemals einen hundertprozentigen Schutz vor Angriffen. Darüber hinaus führen neben Sicherheitsvorfällen auch Hardware-Crashs, der Ausfall des E-Mail-Servers oder nicht er- reichbare Cloud-Dienste zu einer lahmgelegten E-Mail-Infrastruktur. Um trotzdem weiter kommunizieren zu können und ihr Geschäft somit am Laufen zu halten, sollten sich Unternehmen im Rahmen ihrer Disaster-Recovery-Strategie mit einer Failover-Lösung ausstatten. Erreichbar und produktiv bleiben Unter dem Begriff E-Mail- Continuity laufen Notfallsysteme, die stets im Hintergrund aktiv sind und im Fall der Fälle einspringen und sicherstellen, dass die E-Mail- Kommunikation des betroffenen Unternehmens weiterläuft. Moderne Cloud-Lösungen, wie Retarus E-Mail- Continuity, leiten im Bedarfsfall die E-Mails eines Unternehmens über ein unabhängiges eigenes E-Mail- System und sorgen damit für die unterbrechungsfreie Kommunika- tion mit Geschäftspartnern, Kun- den und Kollegen. Dabei können Firmen auf spezialisierte Anbieter wie Retarus setzen, die durch eine Komplettlösung E-Mail-Continuity mit zusätzlichen Services für E-Mail- Security ergänzen. Dadurch sind nicht zuletzt die Ausweich-Postfä- cher vollumfänglich geschützt. Bei 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

eigenen Infrastruktur ohne großen Aufwand an bestehende E-Mail- Konversationen anknüpfen. 2. Mehr als nur E-Mail- Kommunikation Für die Betriebssicherheit spielt neben der Verfügbarkeit des E-Mail-Systems an sich auch der Zugang zu den im E-Mail-System hinterlegten Daten, wie etwa wichti- ge E-Mail-Konversationen der letzten Wochen oder das Firmenadressbuch, eine große Rolle. Ist der primäre Zugang gestört, so sind auch diese Daten nicht verfügbar und eine weit- reichende Einschränkung des Ar- beitsablaufs ist die Folge. Denn ohne Kontaktdaten nützt häuﬁ g auch das Telefon als alternativer Kommuni- kationsweg nicht mehr viel, zumal im Fall von eingesetzten Uniﬁ ed- Communication-Systemen diese in der Regel ebenfalls von einem Ausfall der E-Mail-Server betroffen sind. Eine gute E-Mail-Continuity-Lösung ist daher bereits im normalen Betrieb im Hintergrund aktiv und wird mit den aktuellen Adressverzeichnissen des Unternehmens (Active Directory) synchronisiert, um im Notfall sofort verfügbar zu sein. Je nach Konﬁ - guration werden dann im Postfach nicht nur aktuelle Kontaktdaten der Kollegen, sondern auch die E-Mail-Historie der letzten Tage oder Wochen angezeigt. 3. Alternative zu Exchange Damit die E-Mail-Kommuni- kation bei Ausfällen der gewohnten Infrastruktur fehlerfrei funktionieren kann, sollte die Ausweichlösung bei- spielsweise als sicherer Cloud-Service außerhalb der unternehmenseige- nen Systeme aufgesetzt werden. Die meisten Unternehmen nutzen als E-Mail-Server Microsoft Exchange, entweder selbst betrieben oder in der Microsoft 365 Cloud. Es ist daher sinnvoll, eine Failover-Lösung auf Basis alternativer Produkte zu reali- sieren. So funktioniert sie auch dann noch, wenn Exchange, ganz gleich ob On-Premises oder in der Cloud betrieben, großﬂ ächig ausfällt oder gezielt angegriffen wird. 4. Intuitive Bedienbarkeit Die einfache Bedienbarkeit der Notfall-Postfächer sollte bei der Auswahl einer Lösung für E-Mail- Continuity ebenfalls eine Rolle spielen. Das Webmail-Portal muss ohne technische Hürden von überall zugänglich sein und sich problem- los auf mobilen Endgeräten wie Smartphones oder Tablets darstellen lassen. Ideal ist es, wenn Nutzer sich, beispielsweise im Homeofﬁ ce, sofort nach dem Login in der E-Mail-Um- gebung zurechtﬁ nden. Dabei hilft es, wenn ein Dienst in der grund- legenden Bedienung an Consumer- E-Mail-Dienste angelehnt ist. Diese sind den Mitarbeitern vertraut, und es bedarf keiner Einarbeitung oder Schulung. Darüber hinaus kann Kriterien bei der Auswahl einer Lösung für E-Mail- Continuity –—— integriert: Verzahnung mit Lösungen für E-Mail-Security –—— jederzeit startklar: au- tomatische Provisionierung der Webmail-Postfächer für Nutzer inklusive Kontakte und E-Mail- Historie –—— eigenständig: „aktive“ Backup-Lösung außerhalb der eigenen E-Mail-Infrastruktur –—— unabhängig: keine tech- nische Abhängigkeit der Failover- Lösung von Microsoft-Produkten –—— intuitiv: vertraute selbst- erklärende Oberﬂ äche ohne Schu- lungsbedarf –—— sicher und compliant: Local Processing, hochverfügba- rer Betrieb aus Rechenzentren und juristischer Hauptsitz in Deutschland (Stichwort: DSGVO/ US CLOUD Act) Um im Ernstfall nahtlos an bestehende E-Mail-Konversationen anknüpfen zu können, sollte die Lösung dazu in der Lage sein, auch die E-Mail-Historie anzuzeigen. Bedarf stehen darüber hinaus auch weitere modulare Optionen wie E- Mail-Archivierung oder -Verschlüsse- lung zur Verfügung. Darüber hinaus sollte eine Failover-Lösung der Wahl folgende Kriterien erfüllen, um sich in der Praxis zu bewähren: 1. Nahtloser Übergang im Ernstfall Ist die E-Mail-Infrastruktur ausgefallen, geht es zu allererst darum, so schnell wie möglich wieder erreichbar zu sein, um wich- tige Geschäftsprozesse am Laufen zu halten und somit wirtschaftliche sowie Image-Schäden zu vermei- den. Oberste Priorität hat daher ein möglichst nahtloser Übergang zum E-Mail-Continuity-Dienst im Ernst- fall. Dafür ist es erforderlich, dass die Lösung auf Anwenderseite über be- reits vorab provisionierte Postfächer verfügt, die ohne technische Hürden von überall zugänglich ist. Nur so können Mitarbeiter bei Ausfällen der © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 5

Management und Wissen Eine gute E-Mail- Continuity-Lösung wird im normalen Betrieb im Hinter- grund laufend mit dem Active Directory des Unternehmens synchronisiert, um im Notfall auch Kontakt- daten zu Verfügung stellen zu können. durch weitere, individuell auf das jeweilige Unternehmen zugeschnit- tene Anpassungen, wie etwa das gewohnte Corporate Design oder Corporate Wording, die Nutzerer- fahrung und damit die Produktivität weiter verbessert werden. 5. Datenschutz und Datensicherheit Besonders in global agieren- den Unternehmen unterliegen Kom- munikationsprozesse spätestens seit dem Inkrafttreten der Daten- schutzgrundverordnung (DSGVO) und den jüngsten EuGH-Urteilen zu Safe Harbor und Privacy Shield immer strikteren Datenschutz-Auf- lagen. Damit die E-Mail-Continuity- Lösung immer auf dem aktuellen Stand ist, bietet es sich geradezu an, auf cloudbasierte Services zu setzen. Allerdings müssen Unternehmen dabei im Umgang mit sensiblen Daten unbedingt auf die Einhaltung lokaler Datenschutzbestimmungen achten. Die E-Mail-Kommunikation darf auch im Notfall ausschließlich über lokale Rechenzentren des Service-Providers erfolgen. Die Daten müssen dabei stets entsprechend nationaler gesetzlicher Richtlinien verarbeitet werden. Der betreibende Dienstleister sollte demnach sowohl das Hosting als auch das Routing der E-Mails über hochverfügbare Rechenzentren in Deutschland vertraglich zusichern können – ins- besondere für Unternehmen, die in Deutschland aktiv sind und perso- nenbezogene Daten verarbeiten. n e-LearninG it-sicherheit Datensicherheit Datensicherheit Geschulte Mitarbeiter Geschulte Mitarbeiter machen den Unterschied! Jetzt informieren: elearning-mit-zertifikat.de ✓ Moderation in TV-Studioqualität ✓ moderne Didaktik ✓ Dauer: 45 Minuten ✓ praxisnah und interaktiv ✓ auch in Englisch verfügbar 6 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

O S E C U R E P O I N T • • • Cert+ Ganzheitliche IT-Sicherheit beginnt mit Ihnen. • Setzen Sie auf den produktunabhängiger IT-Sicherheitsstandard • Definieren Sie praxistaugliche Maßnahmen für den Mittelstand • Optional: Zusatzausbildung zum zertifizierten Sachverständigen Mit dem IT-Sicherheitsstandard Unified Security Cert+ steigern Sie die IT-Compliance Ihrer Kunden aus dem Mittelstand. Erweitern Sie Ihren Systemhaus-Service um IT-Auditierung und Dokumentation bis hin zu umfangreichen IT-Gutachten. Machen Sie mehr aus Ihrem Wissen! Jetzt informieren: www.securepoint.de/certplus

Management und Wissen Ransomware Wenn es beim Dienstleister brennt Anfang Juli haben Kriminelle eine bis dahin unbekannte Sicherheitslücke in einer Remote- Monitoring- und Managementsoftware des US-Herstellers Kaseya benutzt, um Ransomware zu verteilen. Betroffen waren weniger als 0,2 Prozent der Kaseya-Kunden – die Auswirkungen waren trotzdem immens. Von Tim Berghoff, G DATA CyberDefense AG Das altbekannte Schweizer- Käse-Modell lehrt uns, dass mehrere unterschiedliche Faktoren in der pas- senden Konstellation zusammentref- fen müssen, damit ein Unglücksfall eintritt. Zum Beispiel: Bevor eine Ran- somware im Netzwerk zuschlägt und das virtuelle Erpresserschreiben auf den Bildschirmen im Büro erscheint, müssen mehrere Dinge schiefgegan- gen sein. Da ist möglicherweise der Mailﬁ lter, der vielleicht einen inﬁ - zierten Dateianhang nicht rechtzeitig erkannt hat. Als der Anwender oder die Anwenderin den Anhang auf den PC heruntergeladen hat, gab es keinen Alarm vom Malwareschutz. Denn das EDV-Team hat diesen vor Kurzem testweise deaktiviert und vergessen, ihn wieder einzuschalten. Einem Mitarbeitenden ist beim Öff- nen der vermeintlichen Rechnung nicht aufgefallen, dass hier anders als üblich plötzlich ein Makro aktiviert werden sollte. Und wenn das Netz- werk insgesamt eine ﬂ ache, gewach- sene Struktur hat, kann das Problem unbemerkt eskalieren. Viele Unternehmen sind vor diesem Hintergrund dazu überge- gangen, Teile ihrer Unternehmens-IT durch externe Dienstleister betreuen zu lassen. Vertrauen ist eine unver- zichtbare Komponente in der Zusam- menarbeit mit einem IT-Dienstleister. Schließlich hängt letztlich das ge- samte Unternehmen davon ab, dass die IT zuverlässig funktioniert. Diese Zusammenarbeit basiert auch auf einer essenziellen Grundannahme: Der betreuende Dienstleister kann nicht selbst zum Einfallstor werden. Auch die Werkzeuge, mit denen IT-Dienstleister die Netzwerke ihrer Kunden überwachen, sind am Ende des Tages „nur“ Programme, und als solche sind auch sie fehler- anfällig. Das wissen sowohl Krimi- nelle als auch staatlich ﬁ nanzierte Angreifergruppen. So ist es wenig überraschend, dass sich einige der prominentesten Angriffe der letzten Zeit gegen Hersteller solcher Pro- gramme richten. Ende 2020 setzte der „Sunburst“-Angriff darauf, Spio- nagetools in einer Netzwerkverwal- tungssoftware unterzubringen, die in zahlreichen Unternehmen und Behörden zum Einsatz kommt. Den 3. und 4. Juli hat eine weitere Gruppierung nun genutzt, um Ransomware zu verteilen – und zwar mithilfe einer bis dato unbe- kannten Sicherheitslücke in einer Remote-Monitoring- und Manage- mentsoftware des US-Herstellers Kaseya. Diese wird von zahlreichen IT-Providern weltweit eingesetzt. Nach Aussagen von Kaseya seien zwar „nur“ etwa 70 Kunden von weltweit circa 38 000 betroffen – die meisten davon seien allerdings Service-Provider. Diese verwalten ihrerseits große Kundennetzwerke. Die hauptverdächtige Täter- gruppe ist dafür bekannt, sich vor dem Stellen einer Lösegeldforderung genau über die wirtschaftlichen Ver- hältnisse der Firmen zu informieren, deren Netzwerke sie inﬁ ltrieren. Die Forderungen belaufen sich in man- chen Fällen auf mehrere Hunderttau- send Dollar – pro System. Weltweit stehen Lösegeldforderungen von insgesamt 50 Millionen US-Dollar im Raum. Experten sind sich einig: Der Angriff war koordiniert und die Wahl des Zeitpunktes – der ameri- kanische Unabhängigkeitstag – alles andere als ein Zufall. Sich im Vorfeld zu schützen – so gut wie unmöglich. Denn viele Unternehmen wissen nicht einmal, dass das betroffene Programm bei ihnen eingesetzt wird. Sicherheitslücken möglichst schnell zu schließen, ist im Lich- te dieser Ereignisse eine absolute Notwendigkeit. Die Rechnung ist einfach. Im Falle von Kaseya waren weniger als 0,2 Prozent der Kunden betroffen. Diese 0,2 Prozent haben jedoch genügt, um weltweit mindes- tens 800 Betriebe mit Ransomware zu inﬁ zieren – darunter eine schwedi- sche Supermarktkette mit hunderten Filialen sowie zahlreiche Tankstellen. Die Schäden, die insgesamt durch solche Angriffe entstehen, dürften selbst ohne Datenverlust in die Hun- derte Millionen gehen. Was passiert, wenn nicht 0,2, sondern 1 Prozent oder mehr der Kaseya-Kunden be- troffen gewesen wäre, wagt man kaum zu denken. IT-Sicherheit ist also heute wichtiger denn je. n 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

W a t c h G u a r d E n d p o i n t S e c u r i t y S o l u t i o n s Zuverlässiger Schutz für Ihre Geräte Die Cloud-nativen WatchGuard Endpoint Security-Lösungen schützen Unternehmen jeder Art vor aktuellen und zukünftigen Cyberangriﬀen, indem sie die Endpoint Protection Platform (EPP) und die Endpoint Detection and Response (EDR) Lösung bereitstellen. Unsere WatchGuard Endpoint Security-Plattform bietet umfassenden EPP- und EDR-Schutz sowie Threat Hunting und Zero-Trust Application Services, die über einen einzigen leichtgewichtigen Agenten bereitgestellt und über eine einzige Oberﬂäche verwaltet werden. W A T C H G U A R D E P P W A T C H G U A R D E D R W A T C H G U A R D E P D R Endpoint Protection Platform Endpoint Detection and Response Endpoint Protection Detection and Response WatchGuard EPP ist eine eﬀektive Cloud-native Sicherheitslösung, die den Virenschutz der nächsten Generation für alle Ihre Windows-, macOS- und Linux-Desktops, -Laptops und -Server zentralisiert. WatchGuard EDR ergänzt andere EPP-Lösungen, indem es einen kompletten Stack von EDR-Funktionen hinzufügt, um die Erkennung, Eindämmung und Reaktion auf jede fortschrittliche Bedrohung zu automatisieren. WatchGuard EPDR kombiniert unser breites Spektrum an EPP-Technologien mit unseren EDR-Funktionen für Computer, Laptops und Server, um Bedrohungen zu erkennen, die herkömmliche Lösungen nicht einmal sehen können. Threat Hunting Service Zero-Trust Application Service WatchGuard Technologies GmbH | watchguard.de | vertrieb@watchguard.com | +49 700 92229333 ©2021WatchGuard Technologies, Inc. Alle Rechte vorbehalten.

Management und Wissen Wie und warum Malware immer häuﬁger über die Cloud verteilt wird Im vierten Quartal 2020 lag der Anteil von Malware-Downloads, die über Cloud-Apps verteilt wurden, bereits bei 61 Prozent. Die Beliebtheit solcher Apps zur Verbreitung von Malware ist eine Folge der stärkeren Nutzung von Cloud-Apps in Unternehmen. Unser Beitrag beleuchtet die zunehmenden Gefahren. Von Frank Mild, Netskope Jeder Cyberangriff benötigt eine robuste Infrastruktur, um Mal- ware zu verbreiten und seine Ziele zu erreichen. Dabei werden ständig neue Wege, Techniken und Taktiken entwickelt, um die Verfügbarkeit und Resilienz zu verbessern. Domain-Ge- nerierungsalgorithmen, Fast-Flux- Botnets, Peer-to-Peer-Protokolle und Anonymisierer sind nur einige der Techniken, die Cyberkriminelle einsetzen, um ihre Command-and- Control-Infrastruktur und Malware- Verteilungspunkte zu verbergen. Diese Techniken sind allesamt sehr ausgeklügelt und erhöhen die Komplexität sowie den operativen Aufwand eines jeden Angriffs, was zusätzliche Kosten verursacht und den Gewinn schmälert. Außerdem steigen mit der Komplexität auch die Fehlerquellen, wodurch gerade mehrschichtige operative Prozesse sehr anfällig werden. Schließlich hin- terlassen diese Prozesse auch Spuren, die von Sicherheitsforschern genutzt werden können, um die Angreifer zu verfolgen. Cloud-Dienste ersetzen gehostete Infrastrukturen Cyberkriminalität hat sich längst zu einer eigenen Branche entwickelt. Wie in der legitimen Wirtschaft sucht auch hier jedes „Unternehmen“ nach neuen Wegen, um die Einnahmen zu steigern und Kosten und Risiken zu minimieren. Entsprechend haben auch Cyber- kriminelle die Vorteile der Cloud erkannt und nutzen sie, um schwer identiﬁzierbare Angriffe durchzufüh- ren. Das hat mehrere Gründe: Cloud- Dienste haben nicht nur Vorteile in Bezug auf vereinfachtes Hosting, Verfügbarkeit und Ausfallsicherheit, sondern werden auch von Unter- nehmen und Einzelpersonen als ver- trauenswürdig eingestuft. Dadurch gilt für zahlreiche bekannte Services nicht das gleiche Sicherheits- und Schutzniveau wie für normalen Webverkehr. In der Praxis erlauben viele Unternehmen „vertrauenswür- digen“ Cloud-Diensten, traditionelle Web-Sicherheits-Gateways komplett zu umgehen. Diese „Politik der offe- nen Tür“ ist jedoch völlig ungeeignet für Cloud-Datenverkehr, der sowohl verschlüsselt als auch mehrschichtig ist. So können beim selben Dienst mehrere Instanzen genutzt werden, zum Beispiel ein Firmen- und ein Privatkonto. Deshalb erfordert die Analyse von Cloud-Daten die Fähig- keit zur Entschlüsselung im großen Maßstab und ein Verständnis für den Kontext der Verbindung. Gerade äl- tere Sicherheitslösungen, die für rei- nen Web-Trafﬁc konzipiert wurden und nicht API-gesteuert sind, haben hier deutliche Deﬁzite. Selbstverständlich kennen Angreifer diese Lücken in traditionel- len Sicherheitsansätzen und nutzen diese aus. Heute machen Cloud- Apps 85 Prozent des Web-Trafﬁcs in Unternehmen aus, 44 Prozent der Cyberbedrohungen sind mittlerwei- le cloudbasiert und nutzen Dienste wie OneDrive, Google Drive Box, GitHub und Pastebin für kriminelle Operationen, sowohl im Bereich der Cyberkriminalität als auch im Bereich der Cyberspionage. Durch die ﬂächendeckende Einführung von Remote-Arbeits- plätzen Anfang letzten Jahres hat die Cloud-Nutzung noch einmal deutlich zugenommen. So hat der „Netskope Cloud & Threat Report“ (www.netskope.com) gezeigt, dass im Jahr 2020 die Anzahl der genutz- ten Cloud-Apps pro Unternehmen um 20 Prozent gestiegen ist. Zudem werden sensible Daten immer häu- ﬁger in persönlichen Apps gespei- chert, da mit der zunehmenden Verschmelzung von Arbeit und Privatleben im Homeofﬁce persön- liche App-Instanzen im Unterneh- 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

und via DocuSign zu unterschrei- ben. Der gefälschte DocuSign-Link verwies auf eine bei Google Docs gehostete Datei, die eine weitere Umleitung (über eine Google Open Redirect) durchführte. Es wurde also ein vertrauenswürdiger, legitimer Cloud-Dienst (Google Docs) genutzt, um den Angriff zu verschleiern. Ähnliche Kampagnen verwendeten auch Box, Sharepoint, Google Drive und Dropbox. Fazit Die zunehmende Beliebtheit von Cloud-Apps als Kanal für Cyber- kriminelle zur Verbreitung von Mal- ware ist eine Folge der zunehmenden Verbreitung und Nutzung von Cloud-Apps: Cyberkriminelle sind immer dort aktiv, wo auch ihre Opfer aktiv sind. Nahezu jede Cloud-App kann dabei als Verbreitungskanal für Malware missbraucht werden. Des- halb sollten Unternehmen Richtlini- en implementieren, um alle Inhalte, die in ihre Netzwerke gelangen, auf Malware zu überprüfen. Dabei darf es keine Rolle spielen, ob dies über das Web oder die Cloud geschieht. Nur ein Schutz, der beide wesentlichen Malware-Verbreitungswege umfasst, kann letztlich umfassende Sicherheit gewährleisten. n men zunehmen: Diese werden von 83 Prozent der Mitarbeiter auf Un- ternehmensgeräten genutzt. Dabei lädt der durchschnittliche Unterneh- mensnutzer jeden Monat 20 Dateien von diesen verwalteten Geräten auf persönliche Apps hoch. Auf diese Weise erhöht sich das Risiko von Datenschutzverletzungen deutlich. Cloud vs. Web Gleichzeitig missbrauchen Cyberkriminelle zunehmend be- liebte Cloud-Apps, um Malware an ihre Opfer zu verteilen: Im Jahr 2020 stammte mehr als die Hälfte aller identiﬁzierter und blockierter Malware-Downloads aus Cloud- Apps. Im ersten Quartal 2020 kam die Mehrheit der Malware-Down- loads noch aus dem Web. Ab dem 2. Quartal wurde die Mehrheit der Malware-Downloads (53 %) über Cloud-Apps verteilt. Dabei stieg der Anteil von Quartal zu Quartal weiter an und lag im 4. Quartal schließlich bei 61 Prozent. Ebenso stieg das Volumen bösartiger Microsoft-Office-Doku- mente um 58 Prozent. Angreifer set- zen verstärkt auf Ofﬁce-Dokumente als Trojaner, um weitere Payloads, einschließlich Ransomware und Backdoors, zu verbreiten. Durch die Bereitstellung über Cloud-Apps kön- nen dabei traditionelle E-Mail- und Web-Sicherheitslösungen umgan- gen werden. Entsprechend machten bösartige Ofﬁce-Dokumente 27 Pro- zent aller Malware-Downloads aus, die von der Netskope Security Cloud erkannt und blockiert wurden. Grundsätzlich missbrau- chen Cyberkriminelle häuﬁg weit- verbreitete Apps, um Malware zu hosten. Auf diese Weise versuchen sie, Blockierungen „traditioneller“ Malware-Infrastrukturen zu um- gehen, und nutzen das Vertrauen der Nutzer, Unternehmen und auch Sicherheitslösungen in diese Applikationen aus. Sie orientieren sich dabei am Nutzungsverhalten der Anwender und konzentrieren sich auf Dienste und Anwendungen wie Google Drive, Gmail, Microsoft OneDrive, Outlook.com, GitHub oder Box. Cloud-Anwendungen wer- den zwar am häuﬁgsten für anfängli- che Trojaner-Downloads verwendet, aber Cyberkriminelle nutzen sie vermehrt auch zum Hosten von Next-Stage-Downloads. So wurde GuLoader, ein Malware-Download- programm zur Verbreitung von Remote-Access-Trojanern, in den letzten 18 Monaten von mehreren Angreifern verwendet, um Next- Stage-Payloads von Google Drive und Microsoft OneDrive herunter- zuladen. Unterschiedliche Verbreitung Malware kann mittels unter- schiedlicher Dateitypen verbreitet werden. Dabei unterscheidet sich die Verteilung der jeweiligen Typen zwi- schen den Verbreitungswegen: Die Mehrheit der Malware-Downloads aus dem Web besteht aus Windows Portable-Executable-(PE)-Dateien (51,1 %) wie EXEs und DLLs, gefolgt von Archivdateien (20,6 %), wie Zip- Files, und andere Typen (23,8 %), wie Skripte und JARs. Ofﬁce-Dateien spielen mit 4,5 Prozent eine eher untergeordnete Rolle. Im Vergleich dazu sind Malware-Dateien, die von Cloud-Apps heruntergeladen werden, gleichmäßiger verteilt: PE- Dateien machen hier nur ein Viertel (24,5 %) aller Downloads aus, wäh- rend Ofﬁce-Dateien einen dreimal größeren Anteil (15,9 %) erreichen. Der Anstieg an bösartigen Ofﬁce- Dokumenten im letzten Jahr ist also in erster Linie auf die Verteilung durch Cloud-Apps zurückzuführen. Ein Beispiel hierfür ist eine Kampagne, die Ende 2020 und Anfang 2021 die makrobasierte Mal- ware Hancitor verbreitete. In Spam- Mails wurden die Opfer aufgefordert, ein Ofﬁce-Dokument zu überprüfen © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 11

Management und Wissen Neues Sicherheitskonzept verbessert und erweitert traditionelles EDR XDR: Präventiver Schutz vor Malware durch KI und Automatisierung Cyberkriminelle und Hacker entwickeln ihre Malware stets weiter und versehen sie mit Funktionen, die sie noch komplexer und schwerer erkennbar machen. Den idealen Schutz vor derartigen Bedrohungen liefert das Sicherheitskonzept XDR mit seiner schnellen und automatischen Bedrohungserkennung dank künstlicher Intelligenz. Von Mathias Canisius, SentinelOne Die heutige IT-Landschaft ist mehr denn je geprägt von dezen- traler, cloudbasierter Infrastruktur. Durch den Anstieg der Anzahl von Mitarbeitern, die teilweise oder vollständig im Homeofﬁce arbeiten, steigt die Komplexität der Geschäfts- und Betriebssicherheit kontinuier- lich an. Gleichzeitig entwickeln sich die Cyberbedrohungen ständig wei- ter. Sicherheitsexperten müssen den Hackern immer einen Schritt voraus sein, denn sonst wird das eigene Unternehmen schnell zum nächsten Kandidaten für Schlagzeilen infolge einer kostspieligen Ransomware- Attacke mit verheerenden Folgen für den Betrieb und das Ansehen der Organisation. Tatsächlich liegt die Zunah- me an erfolgreichen Cyberangriffen in den letzten Monaten und Jahren zu einem großen Teil an einem simplen, aber besorgniserregenden Problem: Die traditionellen und bis heute immer noch weit verbrei- teten Sicherheitstechnologien wie Antivirus-Programme und Firewalls wurden zu einer Zeit entwickelt, in der Malware noch wesentlich geradliniger und einfacher zu erken- nen war. Diese Sicherheitslösungen vergangener Tage sind allerdings nicht für die komplexe, sich schnell verändernde Bedrohungslandschaft von heute ausgelegt. Sicherheitsteams auf der ganzen Welt haben Mühe, mit den Kriminellen Schritt zu halten, denn den meisten Security-Experten fehlt die richtige Technologie zur Bekämp- fung dieser Gefahren. Da das eben beschriebene Problem in erster Linie eine Folge des Ungleichgewichts zwischen der sich stets weiterentwi- ckelnden Technologie von Hackern und der oft stagnierenden Ausstat- tung von Sicherheitsteams ist, muss hier auf Seiten der Verteidiger nach- geholfen werden. Sichtbarkeit und Schutz mithilfe von XDR Ein Ansatz, der bei der Ab- lösung von Antivirenlösungen und Firewalls teilweise erfolgreich war, ist Endpoint Detection and Response (EDR). Allerdings ist selbst der tradi- tionelle Endpunktschutz heute nicht mehr ausreichend. Während die EDR-Grundlagen wichtig sind, müs- sen sie mit netzbasierter Innovation und Ausführung in einem exponen- tiell größeren Maßstab kombiniert werden. Die Weiterentwicklung von EDR heißt XDR und steht für Exten- ded Detection and Response. Diese fortschrittliche Lösung ist zwischen Evolution und Revolution angesie- delt: Einerseits ist XDR eindeutig mehr als nur ein Flickenteppich von Fähigkeiten; der Ansatz repräsentiert eine organische Weiterentwicklung von Endpoint-Protection-Plattform (EPP) und EDR. Gleichzeitig dienen die Herausforderungen, mit denen eine XDR-Lösung konfrontiert ist als Katalysator für weitreichende technologische Fortschritte. Eine der wichtigsten Fähig- keiten von XDR ist die umfassende und über die Netzwerkgrenzen hin- ausgehende Visibilität und das Schaf- fen von Kontext, um Bedrohungen und Angriffe nachvollziehbar zu machen. Cyberattacken betreffen in der Regel eine Reihe verschiedener Bereiche innerhalb einer Orga- nisation. Die von XDR gebotene Transparenz ist die einzige Möglich- keit, einen vollständigen Überblick darüber zu erhalten, was, wann, wo und wie passiert ist. Die gleichen kontextualisierten Aktionsstränge, die ActiveEDR von SentinelOne auf der Endpunktebene bietet, können nun auf mehreren Ebenen erstellt werden: Cloud, Container, virtuelle 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

tion and Response (SOAR). Singulari- ty-Apps werden auf der skalierbaren, serverlosen Function-as-a-Service- Cloud-Plattform gehostet und mit wenigen Klicks mit API-fähigen IT- und Sicherheitskontrollen verbun- den. Der Singularity-Marketplace ist Teil der SentinelOne-Plattform, die es Kunden ermöglicht, die Hürden des Schreibens von komplexem Code zu beseitigen und die Automatisierung einfach und skalierbar zwischen An- bietern zu machen. Sicherheitsteams können die beste Vorgehensweise zur Behebung und Abwehr von Hochgeschwindigkeitsbedrohungen festlegen, indem sie eine einheitli- che, orchestrierte Reaktion zwischen Sicherheitstools in verschiedenen Domänen steuern. Fazit In der Zukunft (und schon heute) müssen spezialisierte Sicher- heitsprodukte zusammenarbeiten, um sich gegen solche Angriffe zu schützen, die drohen die digitalen Barrieren zu überwinden, die unser mittlerweile technologieabhängi- ges Leben schützen. Wie bei jeder neuen Technologie, die auf den Markt kommt, gibt es viel Hype darum – und Käufer müssen sich gut informieren, um die richtige Lösung zu ﬁnden. SentinelOne Singularity XDR vereinheitlicht und erweitert die Erkennungs- und Reaktionsfähig- keit über mehrere Sicherheitsebenen hinweg und bietet Sicherheitsteams eine zentralisierte End-to-End-Un- ternehmenstransparenz, leistungs- starke Analysen und automatisierte Reaktionen über den gesamten Tech- nologie-Stack hinweg. n Maschinen, IoT, Endpunkte, Server und mehr. Ein weiterer wesentlicher Vorteil von XDR ist der Einsatz von künstlicher Intelligenz (KI). KI-gestützte Technologien wie die „SentinelOne Singularity XDR“- Plattform sind in der Lage, Sicher- heitsverletzungen nicht nur zu verhindern, sondern auch zu be- heben. Die Prävention ist möglich, indem KI-Modelle genutzt werden, die sich auf dem Gerät und in der Cloud beﬁnden, um dateibasierte Angriffe mathematisch vorherzu- sagen. Mithilfe der patentierten verhaltensbasierten KI können sogar noch nie dagewesene Varianten und Zero-Day-Exploits erkannt werden. Außerdem ermöglicht die Automa- tisierung in Verbindung mit leis- tungsfähiger Software umfangreiche Wiederherstellungsmöglichkeiten. Die Lösung ermöglicht die Bereini- gung aller Phasen des Angriffs, sodass sich das Gerät in einem dauerhaft sicheren Zustand beﬁndet. Autonome Bedrohungs- abwehr durch KI Darüber hinaus reduziert die Lösung dank KI und Automati- sierung die Arbeitsbelastung von Si- cherheitsanalysten durch manuelle Aufgaben. Die Technologie wird zu einem Security-Operations-Center (SOC) auf jedem Endpunkt, Cloud- Workload, Container und sogar IoT-Gerät. Eine XDR-Plattform wie Singularity kann proaktiv anspruchs- volle Bedrohungen in Echtzeit iden- tiﬁzieren und so die Produktivität des Sicherheits- oder SOC-Teams stei- gern und damit die Efﬁzienz massiv verbessern. Das Automatisieren von repetitiven Tasks setzt so die nötigen Voraussetzungen, damit sich die Ex- perten auf übergeordnete Aufgaben konzentrieren können. Was die Lösung von Sentinel- One weiterhin einzigartig macht, ist die Fähigkeit, die Macht der Daten zu nutzen, um Machine-Learning- Modelle zu trainieren, Daten von jedem Gerät und jeder Cloud aufzu- nehmen und die Plattform ständig zu erweitern. Ermöglicht wird das durch die zugrunde liegenden Daten in einem Unternehmen. Die Nut- zung dieser Daten zur Bereitstellung von Cybersecurity über Endpunkte, IoT-Geräte und Cloud-Workloads hinweg macht Singularity zu einem leistungsstarken Sicherheitstool und zum ersten autonomen XDR der Branche. Die KI-gesteuerte XDR- Plattform von SentinelOne bietet alle Vorteile, die man von einer Kom- plettlösung erwartet: weitreichende Transparenz, autonome Erkennung und Reaktion und optimierte Benut- zerfreundlichkeit. Integration mit anderen Technologien Der Schlüssel zu einer ef- fektiven XDR-Lösung ist die Inte- gration. Sie muss nahtlos mit dem Sicherheits-Stack zusammenarbeiten und native Tools mit umfangreichen APIs nutzen. Die Engine muss eine sofort einsatzbereite Cross-Stack- Korrelation, -Prävention und -Be- seitigung bieten. Ebenso relevant ist die Fähigkeit, auf dieser Engine aufzubauen, indem Benutzer ihre eigenen Stack-übergreifenden benut- zerdeﬁnierten Regeln für Erkennung und Reaktion schreiben können. Da möglicherweise andere Sicher- heitstools und -technologien im ei- genen SOC eingesetzt werden, sollte die XDR-Lösung es ermöglichen, die vorhandenen Investitionen in Sicherheitstools weiterhin sinnvoll zu nutzen. Zu den wichtigsten Funktionen einer guten XDR-Lösung gehört die native Kompatibilität mit diversen Integrationen, einschließ- lich automatischer Reaktionen und integrierter Bedrohungsdaten. SentinelOne bietet über den Singularity-Marketplace ein wach- sendes Portfolio an Integrationen zu Drittsystemen wie Security Informa- tion and Event Management (SIEM) und Security Orchestration, Automa- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 13

Management und Wissen Malware-Sandboxing: In die Jahre gekommen oder immer noch aktuell? Eine Sandbox ist schon längst nicht mehr nur ein Tool für die forensische Analyse nach einem Sicherheitsvorfall. Sandboxes haben mittlerweile einen zentralen Platz in der Sicherheitsum- gebung des Unternehmens, eng integriert mit SOC-Technologien wie SIEM und SOAR sowie Endpoint- und Netzwerksicherheitslösungen. Sandboxes erbringen Integrations- und Auto- matisierungsleistungen und erhöhen die Wirksamkeit des gesamten Security-Stacks. Von Dr. Carsten Willems, VMRay GmbH Um es vorwegzunehmen: Keine Sicherheitslösung kann im Alleingang vor Advanced Mal ware schützen – auch eine Sandbox nicht. Ein hohes Schutzniveau lässt sich nach wie vor nur durch das Ineinandergreifen verschiedener, aufeinander aufbauender Securi- ty-Maßnahmen erreichen. Diese müssen ein engmaschiges System bilden, in dem eine Bedrohung, falls sie einer Security-Instanz entgeht, von einer anderen aufgehalten wird. Zu den bekanntesten Kompo- nenten eines solchen mehrschich- tigen Ansatzes gehören Firewalls, Endpoint-Security-Lösungen, In- trusion-Prevention-Systeme (IPS), Intrusion-Detection-Systeme (IDS), E-Mail- und Web-Gateways, Mal- ware-Sandboxes, Netzwerksegmen- tierung, aber auch die kontinuierliche Schulung und Sensibilisierung der Mitarbeiter durch Security-Aware- ness-Trainings sowie Konzepte für Incident-Response, sollte es doch einmal zum Schlimmsten kommen. Eine effektive Security-Strategie enthält Technologien für Präven- tions-, Erkennungs-, Reaktions- und Eindämmungsmaßnahmen. Die Integration aller beteiligten Tech- nologien in ein resilientes, auf Informationsaustausch und Prozess- automatisierung basierendes System ist ausschlaggebend für den Erfolg. Gewonnene Informationen sollen in das System zurückﬂießen und als Basis für weitere Maßnahmen die- nen. So bilden zum Beispiel die aus der Malware-Analyse hervorgegan- genen Daten die Grundlage für die Aktionen in der Incident-Response- Phase und die dort gewonnenen Erkenntnisse beeinﬂussen wiederum künftigen Maßnahmen in der Prä- ventionsphase. Richtig umgesetzt, handelt es sich um ein sich selbst verstärkendes System – und eine moderne Sandboxing-Lösung ist ein wichtiger Bestandteil dieses Systems. Die Rolle von Malware- Sandboxing im Security- Konzept Sandboxing ist nach wie vor das Mittel der Wahl, wenn es um die Erkennung und Analyse von Advan- ced Malware geht. Statische Analy- severfahren, wie sie in modernen Anti-Virus-Lösungen zum Einsatz kommen, funktionieren hier nicht. Statische Methoden erkennen Mal- ware anhand von identiﬁzierbaren Merkmalen (Signaturen) oder Auffäl- ligkeiten im Code, die auf bekanntes, schädliches Verhalten hinweisen. Für Malware, die erstmals auftritt oder ständig ihre Form ändert, gibt es jedoch keine eindeutigen Identi- ﬁkatoren. Jetzt kommt die Sandbox zum Einsatz, die Malware aufgrund ihres gezeigten Verhaltens erkennt und nicht aufgrund bekannter Merkmale. Das Funktionsprinzip einer Sandbox ist einfach: In einer kontrol- lierten, von der Produktivumgebung des Unternehmens abgeschotteten Umgebung (Sandbox) wird das Ver- halten der verdächtigen Datei über einen deﬁnierten Zeitraum hinweg beobachtet und dokumentiert. Der Schadcode wird in der Sandbox also tatsächlich ausgeführt. Diese als dynamische Analyse bezeichnete Erkennungsmethode stützt sich allein auf die beobachteten Interak- tionen zwischen dem suspekten File und der Systemumgebung. Aus den gewonnenen Erkenntnissen wird abgeleitet, ob es sich um schädliches Verhalten handelt oder nicht. Wäh- rend mit statischen Analysemetho- den nur Malware erkannt werden kann, für die Identiﬁkationsmerkma- le vorliegen, gilt diese Einschränkung für Malware-Sandboxes nicht. Was eine Sandbox können sollte Es ist selbstverständlich, bei der Wahl einer Sandboxing- Technologie auf eine ausgezeich- nete Malware-Erkennungsrate und Report-Qualität zu achten. Um einen wirklichen Mehrwert für das Securi- ty-Konzept darzustellen, müssen die 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

Eine strategisch ins Gesamtkonzept integrierte VMRay Sandboxing-Lösung, vmray.com/sandbox- strategisch-einsetzen Fähigkeiten einer Sandbox jedoch weit über die reine Malware-Analyse hinausgehen. Was eine Sandbox an zusätz- lichem Nutzen einbringen muss: Efﬁ zienzgewinn für SOC und Incident-Response Gut vernetzte Workflows sind ein Eckpfeiler eines erfolgreichen Security-Operation-Centers (SOC). Die Entlastung der Threat-Analysten durch die Automatisierung von Malware-Analyseprozessen, spielt dabei eine wichtige Rolle, insbeson- dere in Zeiten von Fachkräftemangel und dünner Personaldecke. Auto- matisierte Vorgänge sind skalierbar, sodass auch Teams mit geringer Personalstärke den stetigen Anstieg im Malwareaufkommen bewältigen können. Alarmvalidierung und Alert-Triage sind weitere wichtige Punkte: Eine Sandbox muss die Nadeln im Heuhaufen der eingehen- den Alerts entdecken können und präzise, umsetzbare Informationen zum Schadpotenzial der Malware geben. Eine gute Sandbox verfügt darüber hinaus über „Out-of-the- Box“-Konnektoren für führende EDR-, SIEM- und SOAR-Lösungen, Threat-Intelligence-Plattformen (TIP) sowie Gateway-Lösungen und Firewalls. Ob die gewählte Sandbox alle gewünschten Eigenschaften besitzt, lässt sich nach kurzer Zeit feststellen: Sie muss sich nachweis- lich positiv auf die wichtigsten SOC-Kennzahlen auswirken, wie Time-to-Detection, Time-to-Qualify, Time-to-Triage, Time-to-Investigate und Time-to-Respond. Höherer Wirkungsgrad der gesamten Security-Umgebung Es ist eine wirtschaftliche Not- wendigkeit, das Beste aus bestehen- den Investitionen herauszuholen. Das gilt auch für vorhandene In- vestitionen in Sicherheitslösungen. Wenn es also darum geht, die Schutz- vorkehrungen gegen Advanced Malware zu verstärken, sollte je- des Unternehmen zunächst nach Möglichkeiten suchen, die Wirk- samkeit der bereits vorhandenen Sicherheitslösungen zu erhöhen. Eine strategisch platzierte, zentrale Sandboxing-Lösung integriert sich in die bestehende Umgebung, emp- fängt und analysiert Alerts aus un- terschiedlichen Quellen, extrahiert hochgradig zuverlässige Indicators of Compromise (IoC) und stellt Bedro- hungsinformationen zu aktuellen, validierten Vorkommnissen an allen verbundenen Technologien bereit, die ihrerseits adäquate Maßnahmen einleiten. Eine Sandbox verdrängt keine der vorhandenen Lösungen, sie erhöht ihre Wirksamkeit. Unterstützung von Compliance-Vorgaben Es ist wichtig, dass die ge - wählte Sandboxing-Lösung unter- schiedliche Deployment-Anforde- rungen erfüllen kann. Für hochgradig sensitive Einsatz-Szenarien sollte die Sandbox als On-Premises-Lösung zur Verfügung stehen. Für cloudbasierte Einsatz-Szenarien muss sichergestellt sein, dass die Forderungen der Daten- schutz-Grundverordnung (DSGVO) eingehalten werden können, denn die in der Sandbox verarbeiteten Da- ten können direkten oder indirekten Personenbezug aufweisen. Die Nut- zung DSGVO-konformer Rechen- zentren innerhalb der EU ist deshalb ein weiterer Punkt, der bei der Wahl einer Sandboxing-Lösung beachtet werden sollte. Und natürlich sollte die Sandbox auch über einen Mana- ged Security Service Provider (MSSP) verfügbar sein. Fazit Viele Unternehmen sind in Sachen Cybersecurity zu inaktiv und vertrauen weiterhin auf Kon- zepte, die vor Advanced Malware keinen ausreichenden Schutz mehr bieten. Das gilt umso mehr, wenn unter Wettbewerbs- und Zeitdruck digitale Geschäftsprozesse eingeführt wurden und keine Zeit blieb, die neuen Cyberrisiken ausreichend zu evaluieren. Der Einsatz einer starken Mal ware-Sandboxing-Technologie (ist eine bewährte Methode, die vor- handene Sicherheits-Umgebung des Unternehmens zu stärken und den Reifegrad des Security-Konzepts auf ein dem Risiko angemessenes Niveau zu heben. n Sandbox-Lösungen von VMRay Der deutsche Cybersecurity- Anbieter aus Bochum hat sich auf innovative Sandboxing-Lösun- gen zur Erkennung und Analyse moderner Malware spezialisiert. Mit einer internationale Kunden- basis in Europa, USA, Australien und Asien beﬁ ndet sich VMRay auf globalem Expansionskurs. Zu den Kunden zählen Indus- triekonzerne, Finanzinstitute, Consulting-Unternehmen eben- so wie Forschungsinstitutionen, Behörden und Regierungseinrich- tungen aus aller Welt. Erfahren Sie mehr über Einsatz-Szenarien, Deployment-Optionen und Leit- linien für die Beschaffung von Sandboxing-Technologien unter www.vmray.com/sandbox-strate- gisch-einsetzen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 15

Gute Gründe für EDR Tools im Bereich Endpoint Detection and Response (EDR) ergänzen Endpoint-Security- Lösungen um Funktionen zur Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle. Im aktuellen Hype um EDR-Tools ist es allerdings oft gar nicht so einfach zu verstehen, wofür genau EDR eigentlich genutzt werden sollte – und warum. Der folgende Artikel zeigt die wichtigsten Gründe auf, warum Unternehmen eine EDR-Lösung im Rahmen ihrer IT-Security-Strategie in Betracht ziehen sollten. Von Jörg Schindler, Sophos Technology GmbH Cybersecurity-Spezialisten müssen in der Lage sein, subtile, eva- sive Bedrohungen aufzuspüren, die nicht automatisch von ihrem End- point-Schutz erkannt werden. Ein EDR-Tool muss daher Indikatoren für eine Kompromittierung (Indicators of Compromise – IOCs) zuverlässig aufspüren können, zum Beispiel Prozesse, die versuchen, eine Ver- bindung über Nicht-Standardports herzustellen, Prozesse, die Dateien oder Registry-Schlüssel bearbeitet haben oder Prozesse, die ihre wahre Identität verbergen. Zudem muss sich mit dem Tool ermitteln lassen, welche Mitarbeiter in einer Phishing- E-Mail auf einen Link geklickt haben. Erkennen von Angriffen, die bislang nicht bemerkt wurden Bei entsprechendem Zeit- und Ressourceneinsatz auf Seiten der Angreifer sind auch die fortschritt- lichsten Security-Tools manchmal nicht in der Lage, Cyberangriffe abzuwehren. Häuﬁ g verlassen sich Unternehmen auf Präventionsmaß- nahmen als einzigen Schutz. Das ist ein großes Problem, denn Prävention ist zwar wichtig, aber nicht ausrei- chend. Genau hier kommt EDR ins Spiel. Mit EDR können Unterneh- men nach Indikatoren für eine Kom- promittierung (IOCs) suchen und damit schnell und einfach Angriffe aufspüren, die sonst unbemerkt blieben. Die Suche nach Bedrohun- gen wird häuﬁ g gestartet, nachdem ein Unternehmen von einer exter- nen Stelle einen Hinweis erhalten hat. Beispielsweise könnte eine Re- gierungsbehörde ein Unternehmen über verdächtige Netzwerkaktivi- täten informieren. Möglicherweise erhält das Unternehmen zusätzlich eine Liste mit Kompromittierungs- Indikatoren als Ausgangspunkt für Aktuelle EDR- Programme bieten Schaltﬂ ächen mit zahlreichen Opti- onen zur Behebung von Vorfällen, u. a. die Option „Entfernen und blockieren“. Je nach Unternehmen kön- nen IT-Operations und IT-Security entweder zur selben Abteilung gehö- ren, unabhängig agieren oder sogar in den Aufgabenbereich von ein und derselben Person fallen. Unabhän- gig davon erfordern beide Bereiche unterschiedliche Anwendungsfälle von einem EDR-Tool. Ein EDR-Tool sollte also in der Lage sein, beide Aufgabenbereiche abzudecken und ohne Leistungseinbußen zugänglich bleiben. Für Administratoren im Bereich IT-Operations hat die Einhal- tung von Sicherheitsvorgaben in der IT-Umgebung ihres Unternehmens oberste Priorität. Sie müssen bei- spielsweise in der Lage sein, Systeme mit Leistungsproblemen wie gerin- gem Festplattenspeicher oder hoher Speicherauslastung ausﬁ ndig zu ma- chen. Sie müssen erkennen können, auf welchen Geräten Programme mit Schwachstellen vorhanden sind, die gepatcht werden müssen, und sie müssen Endpoints und Server ausﬁ ndig machen können, auf de- nen unnötigerweise RDP oder noch Gastkonten aktiviert sind. Moderne EDR-Lösungen bieten Administrato- ren die Tools, um all diese Aufgaben zu erledigen. Außerdem können sie damit remote auf betroffene Geräte zugreifen, um Sicherheitslücken zu beheben, indem sie Leistungspro- bleme untersuchen, Patches instal- lieren sowie RDP und Gastkonten deaktivieren. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 17

Management und Wissen komplexer und mühsamer Prozess. Vorausgesetzt, sie wird überhaupt durchgeführt. Wenn auf einen Vorfall reagiert werden muss, kommt es vor allem auf hochqualiﬁziertes Fachpersonal an. Der Erfolg der meisten EDR-Tools hängt in erster Linie davon ab, ob IT-Mitarbeiter die richtigen Fragen stellen und Antworten auswerten können. Mit aktuellen EDR- Lösungen können auch Mitarbeiter weniger spezialisierter IT-Abteilungen schnell auf Sicherheitsvorfälle reagieren, denn geführte Analysen enthalten Empfehlungen für nächste Schritte, eine verständliche visuelle Darstellung des Angriffs sowie integriertes Know-how. Einsatz von Expertenwissen – ohne zusätzliches Personal Die meisten Unternehmen geben unzureichende Fachkenntnisse ihrer Mitarbeiter als Hauptgrund dafür an, keine EDR-Lösung einzuführen. Das ist wenig verwunder- lich, da der Fachkräftemangel im Bereich Cybersecurity schon seit Jahren intensiv diskutiert wird. Hiervon sind kleinere Unternehmen in besonderem Maße betroffen. Um diesem Problem zu begegnen, übernimmt EDR zum Teil die Aufgaben der Analysten. Mithilfe von Machine- Learning werden detaillierte Einblicke in die IT-Sicherheit des Unternehmens gegeben. So erhalten Entscheider fundiertes Expertenwissen, ohne zusätzliche Mitarbeiter einstellen zu müssen. Intelligente EDR-Funktionen er- gänzen die fehlenden Fachkenntnisse der Mitarbeiter und übernehmen die Aufgaben Sicherheitsanalyse, Malware- Analyse und Bedrohungsdatenanalyse. Vergangene Angriffe verstehen Wurde ein Unternehmen Opfer eines Angriffs, werden Sicherheitsanalysten meist mit der Frage konfron- tiert: „Wie konnte das passieren?“ Oft können sie diese Frage nicht beantworten. Durch das Erkennen und Entfer- nen der schädlichen Dateien wird zwar das unmittelbare Problem beseitigt, doch es wird nicht geklärt, wie die Malware in das System gelangt ist oder was die Angreifer getan haben, bevor der Angriff gestoppt wurde. Endpoint-Lösungen mit EDR bieten eine Über- sicht über Bedrohungsfälle und zeigen alle Ereignisse, die zur Erkennung geführt haben. So lässt sich leicht sehen, welche Dateien, Prozesse und Registry-Schlüssel mit der Malware in Kontakt gekommen und welche Bereiche betroffen sind. Eine visuelle Darstellung der gesamten An- griffskette macht es möglich, zuverlässig Auskunft darüber zu geben, wie der Angriff begann und welchen Lauf er ge- nommen hat. Ein weiterer wichtiger Vorteil dabei: Wurde die Ursache eines Angriffs gefunden, ist es sehr viel wahr- scheinlicher, dass die Mitarbeiter der IT-Abteilung einen solchen Angriff künftig abwehren können. n Die Machine-Learning-Analyse zeigt Attribute, Code-Ähnlichkeit und eine Dateipfad- Analyse für eine detaillierte und gleichzeitig einfache Analyse. die weitere Suche. Die Funktion „Bedrohungsindikato- ren“ in vielen Lösungen informiert beispielsweise über verdächtige Ereignisse. So wissen Analysten genau, was sie prüfen müssen. Mithilfe leistungsstarker Machine- Learning-Funktionen wird eine Liste mit den verdächtigen Ereignissen generiert, die nach ihrem Bedrohungswert absteigend sortiert angezeigt werden. So können Ana- lysten wichtige Aufgaben mit Vorrang bearbeiten und sich auf das Wesentliche konzentrieren. Wenn die Ana- lysten wissen, wo sie ansetzen müssen, können sie alle Instanzen eines verdächtigen Elements in der gesamten IT-Umgebung aufspüren und schnell Maßnahmen zur Bereinigung ergreifen. Darüber hinaus können sie über leistungsstarke SQL-Abfragen weitere Indikatoren für eine Kompromittierung (IOCs) aufspüren, zum Beispiel Prozesse, die Registry-Schlüssel bearbeiten. Schnellere Reaktion auf potenzielle Vorfälle Sobald ein Vorfall entdeckt wird, setzen IT-Abtei- lungen alle Hebel in Bewegung, um diesen schnellstmög- lich zu beheben, denn das Ausbreitungsrisiko und der potenzielle Schaden sollen begrenzt werden. Die entschei- dende Frage lautet: Wie kann jede mit dem Vorfall ver- bundene Bedrohung beseitigt werden? Im Durchschnitt ist eine IT-Abteilung über drei Stunden damit beschäftigt, einen Vorfall zu beheben. Mit EDR kann diese Zeit deutlich verringert werden. In einem ersten Schritt würde ein Analyst zu- nächst die Ausbreitung des Angriffs verhindern. Moder- ne Endpoint-Lösungen mit EDR-Technologie isolieren Endpoints und Server bei Bedarf – ein wichtiger Schritt, um die Ausbreitung des Angriffs im Netzwerk zu verhin- dern. Analysten greifen oft direkt zu dieser Maßnahme, bevor sie eine weitere Überprüfung vornehmen, um Zeit zu gewinnen, während sie die optimale Vorgehensweise abstimmen. Die genaue Überprüfung ist dann oft ein 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

Management und Wissen Kombinierte Lösungen schützen vor dunkler Seite der IT In einem aktuellen Bericht ordnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Bedrohungslage für Unternehmen, Behörden und Institutionen als hoch ein. Grund dafür ist die schiere Anzahl von Schadsoftware und Malware. „Cybercrime-as-a-Service“ ist auf dem Vormarsch. Dahinter steckt ein enormes Schadensrisiko, zum Beispiel durch den kom- pletten Ausfall eines Rechnernetzes oder die Verschlüsselung von Daten. Welche präventiven Maßnahmen und Schritte bieten Behörden sowie kleinen und mittleren Unternehmen (KMU) Schutz vor Malware und Co.? Von Lajos A. Sperling, Securepoint Erfolgreiche Cyberangriffe folgen oft einem ähnlichen Schema: Es wird versucht, Verschlüsselungs- programme oder andere Malware auf Rechnern oder Servern zu installie- ren. Das funktioniert beispielsweise über kompromittierte Remote-Zu- gänge auf einzelnen Systemen oder zu ganzen Netzwerken und sehr oft über die Schwachstelle Mensch. Das Ziel der Kriminellen ist der ﬁnanzi- elle Gewinn. Entweder erreichen sie das durch den Verkauf der gestoh- lenen Daten oder sie erpressen das Unternehmen selbst. So erhalten die Opfer beispielsweise eine Lösegeld- forderung, um die verschlüsselten Daten wieder freischalten zu las- sen. Die Angreifer machen keinen Unterschied zwischen Unterneh- mensgröße, Unternehmenszweck, Behörden, Schulen, Arztpraxen oder Krankenhäusern. Sie alle be- sitzen einen großen Datenschatz, auf den der Einsatz der Malware abzielt. Vielfältige Angriffs- vektoren Die Verbreitungsarten von Malware sind vielseitig. Es gibt zum Die Firmenzentrale von Securepoint in Lüneburg. Als deutscher Hersteller von IT-Sicherheits- lösungen setzt Securepoint auf das mehrschichtige Konzept der Uniﬁed Security, also der umfassenden und ganzheitlichen IT- Sicherheit. Beispiel mehrere Wege, wie Ran- somware auf ein System oder in ein Netzwerk gelangen kann. Über die klassische E-Mail wird diese Schad- software seit Jahren erfolgreich ver- teilt. Hierbei greifen Kriminelle auf den digitalen Enkeltrick, das heißt Social Engineering, zurück und kon- taktieren die Opfer mit täuschend echt aussehenden Nachrichten. Die E-Mails sind meist einwandfrei formuliert und beinhalten echte personenbezogene Daten, zum Bei- spiel in Bezug auf ausgeschriebene Stellenangebote, nicht beglichene Rechnungen oder Mahnungen. Anwender werden gut getarnt dazu verleitet, ein angehängtes Dokument zu öffnen und weitere Schritte aktiv vorzunehmen. Auch das unbeabsichtigte Herunterladen von Software auf ein System stellt eine große Gefahr für Unternehmen und Behörden dar. Solche Drive-By-Downloads infi- zieren Rechner „im Vorbeigehen“, ohne dass Anwender zu einer Inter- aktion auf der besuchten Webseite verleitet werden. Eine weitere Form der Verbreitung von Malware stellt beispielsweise auch das sogenannte Malvertising dar. Es bezeichnet das Verbreiten von schädlichen Compu- 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

terprogrammen über Werbeanzeigen oder ganze Werbenetzwerke. Diese Art der Verbreitung betrifft sämtliche Webseiten, die Werbung einblenden. Bei einer Variante des Malvertising reicht allein der Besuch einer ein- zelnen Webseite aus, die mit einem schadhaften Werbebanner versehen ist, um das System oder ein Netzwerk zu inﬁzieren. Die Trends der Angreifer im Blick behalten Diese und andere Angriffs- vektoren verändern sich jederzeit. Im Fall Ransomware lässt sich das anhand des Beispiels Emotet kon- kret erklären. Die Meldung über die Zerschlagung der Infrastruktur des Verschlüsselungstrojaners Emotet ging zu Jahresbeginn um die Welt. Ei- ner der gefährlichsten Schadsoftware aller Zeiten wurde mit Abschaltung der Server der Boden entzogen. Für die IT-Sicherheit war das auf den ersten Blick ein Erfolg, doch die Lücke wurde längst geschlossen: Cyberangreifer haben mit neuen Geschäftsmodellen für Attacken auf Behörden, Unternehmen und Institutionen reagiert. Das digitale Verbrechen ist heute eine Dienstleis- tung: Cybercrime-as-a-Service. Die Kombination möglicher Cyberat- tacken aus Spionage, Sabotage und Erpressung ist eine große Heraus- forderung für die IT-Sicherheit. Un- ternehmen und Behörden können sich jedoch durch konkrete Schutz- maßnahmen vor einem Angriff schützen. Um den positiven Effekt auf die Netzwerksicherheit zu maxi- mieren, sollte bei der Umsetzung die Kooperation bestimmter Lösungen im Vordergrund stehen. Bausteine guter Netzwerksicherheit kombinieren Eine UTM-Firewall ist für solch einen Schutz von Geräten und Netzwerken unerlässlich. Die- se „Brandschutzmauer“ zwischen den Rechnern eines Netzwerks und Fazit Die richtige Umsetzung von IT-Sicherheitsmaßnahmen stellt mit Blick auf gesetzlichen Vorgaben und aus wirtschaftlicher Perspektive prä- ventives Krisenmanagement im Sin- ne der „Business Resilience“ dar. Das sichert neben dem wirtschaftlichen Erfolg auch das Vertrauen von Kun- den. Dabei sollten Unternehmen folgende Punkte immer bedenken: gut geplante IT-Sicherheit –—— Unplanbare Schäden sind teurer als planbare Investitionen, –—— ist Krisenmanagement und –—— on der richtigen Bausteine wirkt. nur die richtige Kombinati- Nur mit diesem Mindset können Unternehmen und Behör- den die eigene Digitalisierung sicher und erfolgreich gestalten. Als Partner steht Securepoint (www.securepoint. de) als deutscher Hersteller von IT- Sicherheitslösungen dafür zur Ver- fügung. Die Produkte gewährleisten Integrität, Vertraulichkeit und Ver- fügbarkeit von Hard- und Software sowie von Daten. Über ein großes Partnernetzwerk aus Dienstleistern im D-A-CH-Raum bietet Securepoint Unternehmen und Behörden Lösun- gen für Netzwerksicherheit, die sich im Alltag einfach, kostengünstig und efﬁzient integrieren und betreiben lassen. Dahinter steht die ganz- heitliche Strategie der „Securepoint Uniﬁed Security“. n potenziellen Angriffen aus dem Internet funktioniert über mehrere Sicherheits- und Filtermechanismen. Schwarmintelligenz, Data-Mining und Machine-Learning machen bei- spielsweise die Securepoint NextGen UTM-Firewalls zu effektiven und efﬁzienten Lösungen. Securepoints Cyber Defence Cloud versorgt die UTM-Firewall kontinuierlich mit Echtzeitdaten zu aktuellen Bedro- hungen und Angriffen. Alle Bestand- teile gemeinsamen funktionieren wie die Sicherheitsvorkehrungen eines Autos und haben nur ein Ziel: größtmöglicher Schutz. Für ein gutes Sicherheitsni- veau des Netzwerks ist außerdem ein Virenscanner unverzichtbar. Solch eine Lösung ist im besten Fall, wie bei Securepoint Antivirus Pro, gleich- bedeutend mit E-Mail-Sicherheit und Anti-Spam. Gefährliche E-Mails werden so bereits gefiltert oder müssen in Quarantäne, bevor sie den Anwender überhaupt erreichen. Die Lösung arbeitet schnell, ressour- censchonend und konzentriert sich dadurch auf das, was sie soll: Unter- nehmen und Behörden zuverlässig vor Cyberangriffen schützen. Eine 100-prozentige Sicherheit gibt es jedoch nicht. Das gilt auch für ein Netzwerk. In technischen Lösungen kommen Fehlfunktionen vor und Menschen machen Fehler. Deswegen sind Backups und die Möglichkeit der Wiederherstellung von Daten ein zentraler Bestandteil guter Netzwerk- sicherheit. Der Einsatz einer Lösung wie Securepoint Unified Backup schützt vor kritischen Datenverlus- ten – und gesicherte Daten bleiben außerdem in deutschen Rechen- zentren. Wichtig ist zudem: Ohne eine bestimmte Handlung des An- wenders ist eine Infektion mit Mal- ware fast unmöglich. Eine Schulung von Mitarbeitenden zur Steigerung der Cybersecurity-Awareness ist un- umgänglich. Mit Securepoint ist dies ein fester Bestandteil jedes nachhalti- gen IT-Sicherheitskonzepts. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 21

Management und Wissen „Fileless Malware“ auf den Zahn gefühlt Im Zuge des konsequent anhaltenden Wettrüstens beim Thema Cybersecurity setzen An- greifer auf immer ausgefeiltere Verschleierungsmethoden, um in den Netzwerken ihrer Opfer Fuß zu fassen. Da die meisten modernen Lösungen für Endpoint Protection heute in der Lage sind, klassische Malware – die heruntergeladen und auf dem Endpunkt abgelegt wird – zu identifizieren, kommt immer häufiger sogenannte „Fileless Malware“ zum Ein- satz, die keinerlei Spuren im Systemspeicher hinterlässt. Grund genug, sich genauer mit diesem Thema zu befassen. Von Marc Laliberte, WatchGuard Technologies Zugegeben, der Begriff „datei- lose Malware“ ist ein wenig irrefüh- rend, da am Anfang durchaus Dateien involviert sein können – und meistens auch sind. Während herkömmliche Malware jedoch den schädlichen Code in einer ausführbaren Datei führt, die ihren Niederschlag auf dem Systemspeicher ﬁndet, agiert dateilose Malware ausschließlich über den Ar- beitsspeicher. Bei klassischer Malware kann davon ausgegangen werden, dass mit dem Löschen der ausführbaren Datei auch der Infektion selbst der Riegel vorgeschoben wird. Somit stellt eine Identiﬁzierung und Entschärfung im Rahmen von Endpoint Protection meist keinerlei Problem dar. Dateilose Malware verwendet hingegen nur eine initiale „Dropper“-Datei (etwa ein Ofﬁce-Dokument), um ein integriertes Framework wie PowerShell zu öffnen und darüber ein Skript auszuführen. Für viele Security-Tools ist dieses Vor- gehen kaum erkennbar, da der Code in andere Prozesse eingeschleust wird, ohne jemals mit einem Speicherlauf- werk in Kontakt zu kommen. Ein Grund für die steigende Beliebtheit da- teiloser Malware ist also die Tatsache, dass sie sich so schwer identiﬁzieren lässt. Es gestaltet sich schwierig, solche Angriffe in ihren Anfangsstadien zu erkennen und zu blockieren, da auch immer die Gefahr besteht, dass es sich um einen Fehlalarm handelt und le- gitime Aktivitäten behindert werden. Verschlungene Pfade führen zum Ziel Selbst wenn ein Großteil der dateilosen Malware mit irgendeiner Form von Dropper beginnt, gibt es auch Varianten, die tatsächlich gar keine Datei benötigen. Angreifern bie- ten sich in dem Zusammenhang zwei Möglichkeiten: Entweder sie führen Abbildung 1: Die Abbildung zeigt den vom WatchGuard-Team entdeckten verschlüsselten Code in der PowerShell (hier zur Sicherheit unkenntlich gemacht). den fremden Code über eine bestehen- de Schwachstelle in einem Programm aus oder (was häuﬁger vorkommt) sie verwenden gestohlene Anmelde- informationen und missbrauchen so eine mit dem Netzwerk verbundene Anwendung für Systembefehle in ihrem Sinne. Das WatchGuard Threat Lab konnte kürzlich einen laufenden Angriff aufdecken, bei dem die zweitgenannte Methode zum Einsatz kam. Nachdem die Web-Konsole von Panda Adaptive Defense 360 (seit Juni 2021 unter dem Namen „Watch- Guard EPDR“ (Endpoint Protection, Detection and Response) geführt) eine Warnmeldung anzeigte, unter- suchten die Spezialisten von Watch- Guard deren Ursprung. Durch die Auswertung diverser Indikatoren und Telemetriedaten, die von einem zur Umgebung des potenziellen Opfers gehörenden Server-Endpunkt gesam- melt wurden, ergab sich ein klareres Bild. Die akute Bedrohung ließ sich rechtzeitig und effektiv beseitigen – bevor sie ihr Ziel erreichen konnte. Speziell an dieser Attacke war ihr ungewöhnlicher Einstiegspunkt: der Microsoft SQL-Server des Opfers. Obwohl die Hauptaufgabe der Daten- bankanwendung das Speichern von Datensätzen ist, besteht darüber hi- naus die Möglichkeit, Systembefehle 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

auf dem zugrunde liegenden Server auszuführen. Zwar wird es empfoh- len, die Rechte zur Verwendung von Windows-Dienstkonten gezielt zu beschränken. Trotzdem setzen viele Administratoren immer noch auf Ac- counts mit umfassenden Befugnissen. Damit steht auch dem Missbrauch Tür und Tor offen. Die Zugangsdaten zum SQL- Server hatte sich der Angreifer im Vorfeld beschafft – wie genau ihm dies gelungen ist, konnte nicht abschlie- ßend geklärt werden. Wahrscheinlich genügte eine Spear-Phishing-E-Mail oder eine Brute-Force-Attacke, bei der ein zu einfaches Passwort geknackt wurde. Nachdem der Hacker Zugriff auf das System hatte und hierüber SQL-Befehle ausführen konnte, boten sich ihm gleich mehrere vielver- sprechende Optionen, um Schaden anzurichten. Besonders beliebt ist an die- sem Punkt die Aktivierung und anschließende Verwendung der xp_cmdshell-Prozedur. Der Angreifer im vorliegenden Beispiel setzte ver- mutlich ebenfalls auf diese Methode. Unter Umständen lud er jedoch auch eigenen Shellcode in die SQL-Server- Engine, um die Windows PowerShell- Anwendung (PowerShell.exe) unter dem neuen Namen sysdo.exe in das „Temp“-Verzeichnis des Servers zu kopieren. Mithilfe einer solchen Um- benennung von PowerShell vor der Verwendung versuchte der Angreifer sicherheitsrelevante Suchﬁlter auszu- tricksen, die sich bei der Erkennung von PowerShell-Befehlen nur vom Namen der Anwendung leiten lassen. Nachdem die „getarnte“ Ver- sion von PowerShell bereitstand, wur- de im ersten Schritt der verschlüsselte Befehl in Abbildung 1 ausgeführt (hier zur Sicherheit unkenntlich gemacht). Mehr Klarheit brachte die Entschlüs- selung durch das WatchGuard-Team (siehe Abbildung 2). Das verwendete PowerShell- Skript stellte sich als sehr simpel Abbildung 2: Nach der Entschlüsselung des Befehls aus Abbildung 1 stellte sich heraus, dass es sich um ein sehr einfaches PowerShell-Skript handelte, das weiteren schädlichen Code nachlud. heraus. Es sendete zunächst eine Web-Anfrage an eine bösartige Do- main und lud dann von dieser die im zweiten Schritt benötigten Nutzdaten herunter, in dem Fall eine Textdatei namens nc.txt. In dieser Textdatei befanden sich wiederum weitere Po- werShell-Nutzdaten in einer Base64- Kodierung. Das Skript dekodierte diese nun und führte sie dann mithilfe des Invoke-Expression-Moduls aus. Da dieses nicht direkt, sondern über ein Alias aufgerufen wurde, konnte der Angreifer eine zusätzliche Tarnung sicherstellen. Bei den Nutzdaten der zwei- ten Stufe handelte es sich um eine leicht modiﬁzierte Version des be- liebten PowerSploit-Moduls Invoke- ReﬂectivePEInjection. Nach dessen Ausführung wurde nochmals dieselbe bösartige Domain aufgerufen und ein drittes Paket Nutzdaten herunterge- laden, konkret eine DLL-Binärdatei namens duser.dll. Per PowerSploit-Modul war das PowerShell-Skript in der Lage, die DLL-Datei in den Arbeitsspeicher zu laden, um sie von dort auszuführen. In diesem Fall entpuppte sich das Paket als Kryptominer, der die umfangrei- chen Verarbeitungsressourcen des SQL-Servers zum Schürfen von Kryp- towährungen genutzt hätte – wäre er nicht vorher aufgehalten worden. Nachrüsten bei der Abwehr Das vorliegende Beispiel zeigt auf, dass es keinesfalls trivial ist, einem solchen Angriffsversuch auf die Schliche zu kommen. Nur durch eine genaue Prozessanalyse konnte das WatchGuard-Team den Übergriff erkennen und das damit beabsichtigte Ziel des Kryptominings aufschlüs- seln. Da es während des gesamten Angriffs nie Berührungspunkte mit dem Server-Speicherlaufwerk auf Seiten des potenziellen Opfers gab, wäre die Bedrohung von klassischen Endpoint-Security-Werkzeugen, die nur Dateien überwachen, völlig über- sehen worden. Es ist davon auszugehen, dass dateilose Malware künftig im- mer häuﬁger zum Einsatz kommt. Schließlich machen es Tools wie PowerSploit selbst unerfahrenen Cy- berkriminellen leicht, entsprechende Angriffe zu starten. Unternehmen sollten sich also adäquat rüsten und Endpoint-Protection-Plattform- (EPP)-Lösungen beziehungsweise Endpoint-Detection-and-Response- (EDR)-Lösungen einsetzen, die auch rein arbeitsspeicherbasierte Angriffe identiﬁzieren können. Gleichzeitig kommt es auf einen verantwortungs- vollen Umgang mit Passwörtern und die Implementierung einer Multifak- tor-Authentiﬁzierung an. Nur so lässt sich verhindern, dass der Diebstahl von Anmeldeinformationen einen erfolgreichen Angriff nach sich zieht. In Kombination können all diese Bausteine im Rahmen eines ganz- heitlichen Sicherheitskonzepts dazu beitragen, die von „Fileless Malware“ ausgehende Gefahr erheblich zu redu- zieren. n Marc Laliberte ist leitender Sicherheits- analyst bei WatchGuard Technologies. Er hat sich auf Netzwerksicherheitsproto- kolle und Internet of Things-Technologien spezialisiert. Zu seinen täglichen Aufga- ben gehört die Recherche und Berichter- stattung über die neuesten Bedrohungen und Trends im Bereich der Informations- sicherheit. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 23

Management und Wissen Malwareschutz durch Sicherheitskultur Wieso es wichtig ist, eine Cybersecurity-Kultur im Unter- nehmen zu etablieren Cyberangriffe sind so erfolgreich wie nie – und das obwohl Unternehmen sehr viel Geld in Abwehrmaßnahmen investieren. Umso wichtiger ist es, den Faktor Mensch im Sicherheits- konzept nicht zu vernachlässigen. Dafür braucht es aber mehr als klassische Awareness- Schulungen. Von Andreas Wuchner, cybovate AG In den letzten Jahren hat die Industrie sehr viel Geld in die IT-Sicherheit investiert. Dabei stand fast immer die Technologie im Vor- dergrund. Trotz all dieser Investitio- nen ist die Anzahl der erfolgreichen Cyberangriffe gestiegen. In der Folge werden zum Beispiel Cyberversi- cherungen immer teurer da sich die Schadensfälle und vor allem auch die Schadenshöhen häufen. Eine Ursache für die erfolgreichen Angrif- fe trotz der ganzen Technologie ist, dass die meisten Firmen den Faktor Mensch vernachlässigen: Techno- logie wird von Menschen benutzt und betrieben. Nur wenn der Nutzer auch entsprechend ausgebildet und sensibilisiert ist, Verantwortung übernimmt und eine Mitmachkul- tur etabliert ist, kann die Rechnung aufgehen. Der Cybercrime Threat Re- sponse Report der Interpol zeigt gerade einen signiﬁkanten Anstieg von Ransomware-Attacken gegen Be- nutzer, Firmen und Organisationen aller Art. Solche Angriffe sind immer wieder erfolgreich, weil die Benutzer einfach klicken und die bestehen- den technischen Lösungen nicht greifen, da sie sonst die Mitarbeiter von der Arbeit abhalten würden. Nur ein einfaches Awarenesstraining mit computerbasierten Tests plus etwas Phishing-Simulation reichen ebenfalls nicht aus, um solche An- griffe abzuwehren. So etwas hilft Unternehmen nur dabei, auf dem Papier compliant zu sein – es bringt aber keinen wirklichen Sicherheits- gewinn und verankert auch keine Sicherheitskultur im Unternehmen und bei den Mitarbeitern. Cybersecurity-Kultur: Betrachtung aller Faktoren Hinter dem Konzept Cyber- security-Kultur steht eine Ende-zu- Ende Betrachtung aller Faktoren, die für uns die Basis bilden warum wir tun was wir tun und wieso wir uns für etwas entscheiden. Wissen, Ein- stellungen, Annahmen, Werte und Druck sind alles Bestandteile davon. Menschen machen eine Organisation sicher und nicht die eingesetzte Technologie – obwohl zusätzlich die technischen Abwehr- maßnahmen benötigt werden. Es sind jedoch meistens die Benutzer, die auf gezielte Cyberangriffe rein- fallen. Damit ist jeder Mitarbeiter oftmals das schwächste Glied in der Kette – aber gleichzeitig auch die stärkste Abwehrmöglichkeit. Aus diesem Grund ist es fun- damental wichtig eine Umgebung zu schaffen, in der Mitarbeiter und Be- nutzer gut ausgebildet sind und sich im Umgang mit digitalen Medien – in der Firma wie auch im privaten Umfeld – sicher fühlen. Bestehende Stärken ausbauen Cybovate zusammen mit sei- nem Partner CybSafe bietet eine Platt- form, die es Unternehmen erlaubt, das Thema ganzheitlich anzugehen. Sobald die bestehende Unterneh- menskultur analysiert und verstanden wurde, baut CybSafe mit gezielten Maßnahmen die bestehenden Stär- ken aus, beeinﬂusst die Routinen und schafft eine Verbindung zwischen dem privaten und geschäftlichen Umgang mit elektronischen Medien. Da die CybSafe-Plattform cloudbasiert ist, ist sie von überall her erreichbar. Zugang gibt es auch von unterwegs auf jedem mobilen Endgerät und in der CybSafe App. Lernen findet schon lange nicht mehr nur im Büro statt. Moderne Lösungen müssen es dem Benutzer erlauben, überall und zu jeder Zeit Antworten auf aktuellen Fragen ﬁn- den zu können. 24 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

Geschulte Mitarbeiter, Kun- den und Partner, die sich sicher fühlen aber auch die notwendigen Fähigkeiten und Unterstützungen zur Hand haben, bringen eine Or- ganisation voran. Vertrauen und Selbstsicherheit in die eigenen Fä- higkeiten machen den Unterschied, und das ist ja auch im privaten Leben nicht anders. Man liest in diesem Zusammenhang immer mal wieder den Begriff „Cyberhygiene“, der sehr gut beschreibt, um was es hier geht. Sobald der sichere Umgang mit digi- talen Medien und Endgeräten zum Standard geworden ist, kann sich eine Organisation auf die wesentli- chen Dinge ihres Geschäftes konzen- trieren. Das unterstützt die Fähigkeit zur digitalen Transformation eines jeden Unternehmens. Mitarbeiter sind Teil der Lösung Damit diese Transformation gelingen kann, braucht es eine Ver- haltensänderung. Um diese zu erzie- len, muss man das Zusammenspiel von Fähigkeit/Wissen, Motivation und die Umgebungsvariablen wie Werte und Druck genauer betrach- ten und verstehen. Nur so kann man jeden Mitarbeiter aktiv unter- stützen. Die CybSafe-Plattform ba- siert daher auf diesen drei Grund- pfeilern: –—— Erkenntnisse und bewährte Verfahren aus der Psychologie zur Verhaltensänderung –—— wissenschaftlich evaluiert, um zu wissen, was bei der Verhaltens- änderung funktioniert und warum –—— menschenzentriert, sodass die Mitarbeiter sowohl produktiv als auch sicher bei der Arbeit sind Verhaltensänderungen sind für uns alle eine Herausforderung. Wir Menschen sind Gewohnheits- tiere, und unser Verhalten zu be- einflussen, geschweige denn zu verändern, ist schwierig und kom- plex. Jeder der schon mal einmal eine ernsthafte Diät gemacht hat, kennt diese Problematik ganz ge- nau. Die Gründer und Mitarbeiter von cybovate sind jedoch der festen Überzeugung, dass es absolut wert ist, diese Herausforderung anzuge- hen. Das Unternehmen unterstützt Menschen dabei, sich online, ofﬂine, zu Hause, unterwegs oder am Arbeits- platz zu schützen. Die meisten am Markt be - ﬁnd lichen „Training und Awareness“- Tools fokussieren nur auf das Vermit- teln von Wissen. Aber nur weil man weiß, dass man abnehmen will oder muss und auch trotz des Wissens, wie man das angehen kann, hat man noch lange nicht abgenommen. Aus diesem Grund scheitern diese Tools immer wieder: Sie erreichen vielleicht Com- pliance, und durch das Erfassen von Klickraten wird ein Gefühl der Mess- barkeit generiert – aber Verständnis und eine Veränderung der Kultur wird so nicht geschaffen. Man kann noch nicht einmal mit gutem Gewissen sagen, ob die in solchen Kampagnen investierten Ressourcen überhaupt jeglichen Wert generiert haben. Die CybSafe-Plattform be- steht aus drei Modulen, die es dem Anwender erlauben, zu jeder Zeit und an jedem Ort Antworten auf aktuelle Fragen rund um die Cy- bersecurity zu ﬁnden. So sind die Antworten da, wenn die Mitarbeiter sie brauchen und nicht, wenn ein Training es vorschreibt. PROTECT: Cyberschutz Die Benutzer erhalten Zu- gang zu Wissen und Tipps im täglichen Leben mit dem Fokus, die täglichen Verhaltensmuster zu schärfen und durch das Setzen von Abbildung 1: COM- B-Modell der Verhal- tensänderung Abbildung 2: Inter- aktion und Lernen, wann immer es zeitlich passt – auch von unterwegs. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 25

Management und Wissen LEARN: Bewusstseins schaffen Einzelne rollenbezogene Module schaffen Aufmerksamkeit und Interesse für das Thema. Kein schnödes Lernen, sondern Situati- onen des täglichen Lebens daheim und im Büro schaffen es immer wieder „Aha-Momente“ zu kreieren. Fazit CybSafe nutzt einen wis- senschaftlichen Ansatz basierend auf dem COM-B-Modell der Ver- haltensänderung. Langweiliges Lernen, getrieben von Compliance- Anforderungen war gestern. Das Unternehmen cybovate ist für alle der Ansprechpartner, die den Faktor Mensch und die damit einhergehen- den Risiken besser verstehen und adressieren wollen. n Abbildung 3: Hilfe und Tipps wenn sie benötigt werden. persönlichen Zielen das eigene Ver- halten zu sensibilisieren. ASSIST: Hilfe, wenn sie nötig ist Diese Funktion bietet je- derzeit Antworten und hilft weiter, wenn man Hilfe benötigt. Neben praktischen Tipps und technischen Hilfen werden auch weiterführende Hintergrundinformationen angebo- ten oder zum Beispiel erklärt, was zu tun ist, wenn man mal etwas falsch gemacht hat. W Anwendungstipps: Wie werden Websites datenschutzkonform gestaltet und betrieben? W Praktische Folgen der BGH-Entscheidung vom 28. Mai 2020 – für Nicht-Juristen erklärt W Beispiele zur Gestaltung von „Cookie-Bannern“ inklusive rechtlicher Bewertung Bestellen Sie direkt unter: datakontext.com/ePrivacy 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

News und Produkte Cyberkriminelle nehmen Klinik-IT ins Visier Gerade Krankenhäuser ge- hören aufgrund ihrer sensiblen Da- ten und Prozesse zu den bevorzugten Zielen von Ransomware. Das belegen laut der Deskcenter AG die Angriffe auf zwei französische Krankenhäuser Anfang 2021 sowie drei Fälle aus Deutschland innerhalb der letzten Monate. Dabei traf es die Uniklinik Düsseldorf, die Evangelische Klinik in Lippstadt und eine Fachklinik in Planegg bei München. Es gelte nun zu sichern, was später einer Erpressung zum Opfer fallen könnte. Christoph Harvey, Vorstand der Deskcenter AG, empﬁehlt deshalb: „Der Schutz der IT gegen Cyberangriffe gehört für jeden Klinikleiter ganz oben auf die Agenda. Essenziell für die Security der Infrastruktur ist vor allem ein ganzheitliches Asset- und Lizenzmanagement. Dieses muss wirklich jedes Device – mobil wie stationär – inventarisieren und vom Patchmanagement über das OS-Deployment die heutigen, kom- plexen IT-Strukturen zuverlässig managen. Wer jetzt schnell ist, kann sich über den Fördertatbestand 10 des Krankenhauszukunftsgesetzes seine Maßnahmen eventuell noch bezuschussen lassen.“ Denn auch Bund und Län- der haben den Bedarf erkannt und Anfang 2021 das Förderprogramm „Krankenhauszukunftsgesetz (KHZG)“ zur Digitalisierung im Gesundheits- wesen aufgelegt. Ein wichtiger Baustein des 4,3 Milliarden Euro schweren Pakets ist die IT-Sicherheit. Die Mittel lassen sich für digitales Patienten- und Klinikmanagement sowie dessen Absicherung nutzen. Noch sei der Topf nicht leer, in einigen Bundesländer stehen nach wie vor Gelder zum Abruf bereit. Doch Unternehmen sollten schnell sein: Die nächsten Fristen laufen Ende Juli 2021 ab, weitere im Sep- tember. Für Interessierte stellt die Deskcenter AG unter www.deskcen- ter.com/safety-first-and-fast/ eine Übersicht bereit, welche Bundeslän- der noch Gelder verteilen und wann die Antragsfristen ablaufen. (www.deskcenter.com) Cyberrisiken für kritische und industrielle Infra- strukturen erreichen ein Allzeithoch Eine Untersuchung von Nozomi Networks Labs zeigt, dass die Cyberbedrohungen in der ersten Hälfte des Jahres 2021 mit alarmie- render Geschwindigkeit zugenom- men haben. Die Angriffe werden demnach meistens durch die neuen Ransomware-as-a-Service-(RaaS)- Gruppierungen vorangetrieben, die mit Attacken auf Betreiber kritischer Infrastrukturen ihr Geld machen. Eine Analyse der zunehmenden ICS- Schwachstellen habe ergeben, dass die kritischen Fertigungsbereiche am anfälligsten sind – während ein vertiefter Blick auf IoT-Sicherheitska- meras vor Augen führe, wie schnell die Angriffsﬂäche wachse. Weitere Ergebnisse des „OT/ IoT Security Report“ von Nozomi Networks sind: –—— Analysen von DarkSide, REvil und Ryuk zeigen die wachsende Dominanz von RaaS-Modellen. –—— Die Zahl der ICS-CERT- Schwachstellen stieg in der ersten Hälfte des Jahres 2021 um 44 Prozent. Schwachstellen in kriti- –—— schen Fertigungsbereichen nahmen um 148 Prozent zu. –—— Zur Top 3 der betroffenen Sektoren zählten die kritischen Fer- tigungsbereiche sowie das Energie- wesen. –—— Laufend werden neue Schwachstellen in der Software- Lieferkette aufgedeckt – ebenso wie Sicherheitslücken in medizinischen Geräten. –—— Mehr als eine Milliarde CCTV-Kameras sollen dieses Jahr weltweit in Produktion gehen – vor diesem Hintergrund geben unsichere IoT-Sicherheitskameras Anlass zu wachsender Besorgnis. Der „July 2021 OT/IoT Security Re- port“ kann kostenfrei gegen Registrie- rung heruntergeladen werden: www. nozominetworks.com/ot-iot-secu- rity-report/?utm_source=PR&utm_ m e d i u m = s y n d i c a t i o n & u t m _ campaign=OT-IoT-Security-Report- July-2021 (www.nozominetworks.com) Microsoft bleibt Köder Nummer eins Cyberkriminelle nutzen oftmals den Deckmantel großer Mar- ken- oder Unternehmensnamen, um die eigenen Machenschaften zu ver- schleiern und ihre Opfer in die Falle zu locken. Auch im zweiten Quartal 2021 bleibt dabei Tech-Gigant Mi- crosoft die Marke, die mit 45 Prozent von den Kriminellen am häuﬁgsten imitiert wird. Das ist das Ergebnis des „Brand Phishing“-Reports, den die Sicherheitsforscher von Check Point Research (CPR) veröffentlichten. Die beliebtesten Köder seien demnach: –—— Microsoft (45 % aller Mar- ken-Phishing-Versuche weltweit) –—— DHL (26 %) Amazon (11 %) –—— –—— Bestbuy (4 %) –—— Google (3 %) –—— LinkedIn (3 %) –—— Dropbox (1 %) –—— Chase (1 %) Apple (1 %) –—— –—— Paypal (0.5 %) Bei einem Marken-Phishing- Angriff versuchen die Akteure, die ofﬁzielle Website einer bekannten Marke zu imitieren, indem sie einen ähnlichen Domain-Namen oder eine ähnliche URL und ein ähnliches Webseitendesign verwenden. Der Link zur gefälschten Website kann per E-Mail oder Textnachricht an die Zielpersonen gesendet werden, ein Benutzer kann während des Surfens im Internet umgeleitet werden, oder 28 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

Business-E-Mail für geschäfts- kritische Anwendungen und digitale Arbeitsplätze? 100 % DSGVO-konform? 100 % DSGVO-konform? Intelligent und ausfallsicher ? DIE SECURE EMAIL PLATFORM! retarus.de/sep VIELE WICHTIGE FRAGEN. EINE GUTE ANTWORT. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021 29

News und Produkte er kann von einer betrügerischen mobilen Anwendung ausgelöst wer- den. Die gefälschte Website enthält oft ein Formular, das dazu dient, die Anmeldedaten, Zahlungsdaten oder andere persönliche Informationen der Benutzer zu stehlen. preiszugeben. Im 2. Quartal konn- ten wir außerdem einen weltweiten Anstieg von Ransomware-Angriffen beobachten, die häufig zunächst über Phishing-E-Mails mit bösartigen Anhängen verbreitet werden. (www.checkpoint.com) Omer Dembinsky, Data Re- search Group Manager bei Check Point Software, erläutert: „Cyberkri- minelle versuchen immer häuﬁ ger, die persönlichen Daten von Men- schen zu stehlen, indem sie sich als führende Marken ausgeben. Sie konzentrieren sich dabei stark auf die Bereiche Technologie, Versand und Einzelhandel. Microsoft führte die Liste an, in einem Quartal, in dem der Konzern vor einer neuen russischen Nobelium-Phishing- Kampagne warnte. Im ersten Quartal 2021 wurde der Einzelhandel inter- essanterweise vom Bankenwesen auf der Liste überholt, aber jetzt hat er seine Position in den Top drei zurück- erobert, was möglicherweise auf die „Amazon Prime Day“-Verkäufe zu- rückzuführen ist. Tatsächlich wurden im Vorfeld des Amazon Prime Day in Q2 mehr als 2300 neue Domains mit „Amazon“ im Namen registriert. Leider ist der Mensch oft nicht in der Lage, falsch geschriebene Domains oder verdächtige Texte und E-Mails zu erkennen, und so geben sich Cy- berkriminelle und ihre Machenschaf- ten weiterhin als vertrauenswürdige Marken aus, um Menschen dazu zu bringen, ihre persönlichen Daten Impressum BYOD-Sicherheitslücken weiterhin allgegenwärtig In Zusammenarbeit mit Cy- bersecurity Insiders hat Bitglass im April dieses Jahres 271 Security-Fach- leute aus verschiedenen Branchen be- fragt, wie sich der pandemiebedingte Anstieg der Homeofﬁ ce-Arbeit auf Sicherheits- und Datenschutzrisiken ausgewirkt hat. Demnach meldeten 47 Prozent der Organisationen einen Anstieg der Nutzung von privaten Geräten für Arbeitszwecke durch die pandemiebedingte Verlagerung ins Homeoffice. Infolgedessen gaben insgesamt 82 Prozent der Organisa- tionen an, dass sie Bring your own device (BYOD) nun in gewissem Um- fang aktiv ermöglichen. Während die Nutzung persönlicher Geräte den Unternehmen geholfen hat, die Produktivität und Zufriedenheit der Mitarbeiter zu verbessern und gleichzeitig die Kosten zu senken, bleiben die Herausforderungen im Zusammenhang mit der Verwaltung des Gerätezugriffs und der mobilen Sicherheit bestehen. Die größte Sorge der Befrag- ten im Bereich Sicherheit war der Verlust oder der Diebstahl von Daten (62 Prozent). Weitere Befürchtungen betrafen das Herunterladen unsiche- rer Apps oder Inhalte (54 Prozent), verlorene oder gestohlene Geräte (53 Prozent) sowie den unbefugten Zugriff auf Unternehmensdaten und -systeme (51 Prozent). 22 Prozent der Unterneh- men können bestätigen, dass nicht- verwaltete Geräte in den letzten 12 Monaten Malware heruntergela- den haben. Allerdings gab fast die Hälfte (49 Prozent) an, dass sie sich nicht sicher sind oder nicht sagen können, ob diese Tatsache auch auf sie zutrifft. Insgesamt 41 Prozent der Unternehmen gaben an, sich bei BYOD auf einen Endpoint-Malware- schutz zu verlassen – ein Ansatz, der für persönliche Geräte, deren Verwal- tung und Kontrolle anspruchsvoll ist, nicht ideal ist, so Bitglass. Mehr als ein Viertel (30 Prozent) der Un- ternehmen gab an, dass sie sich bei BYOD überhaupt nicht vor Malware schützen. Cloudbasierte Malware- Schutz-Tools nutzen derzeit nur 11 Prozent der befragten Unterneh- men. Der „BYOD Security Report 2021“ lässt sich unter folgendem Link gegen Registrierung herunter- laden: https://pages.bitglass.com/ CD-FY21Q2-BYOD2021_LP.html (www.bitglass.com) GmbH Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Media-Daten: Unsere Media-Daten ﬁ nden Sie online auf www.kes.info/media/. Augustinusstraße 9d, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Hans-Günter Böse, Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Alle Rechte vorbehalten, auch die des aus- zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikroﬁ lm und andere Ver- fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. Zurzeit gültige Anzeigenpreisliste: Nr. 39 vom 01. Januar 2021 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Titelbild: arrow / stock.adobe.com 30 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Malware-Abwehr, August 2021

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ ✓ ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ ✓ Printausgabe liegt <kes> bei ✓ ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ ✓ hohes technisches Niveau und redaktionell unabhängig ✓ ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ kes.info/service/probeheft/ Leseproben <kes> unter: kes.info/archiv/leseproben/

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

Management und Wissen Identity- und Access-Management Hybrid-Cloud-Ansätze Unter demselben Himmel Hybrid IAM: On-Premises-, Cloud- und SaaS-Umgebungen vereinen Der Weg in die Cloud ist für viele Funktionen in Unternehmen längst vollzogen oder auf der Agenda – das Identitätsmanagement muss diesen Weg mitgehen. Unsere Autoren empfehlen dazu einen hybriden Ansatz – und zwar nicht nur als Übergangserleichterung, sondern auch auf lange Sicht. duplizierten Identitäten; das erschwert die Identiﬁzierung und Überwachung von Benutzerzugriffen in der gesamten Organisation. Risikobehaftete Zugriffe sowie potenzielle Datenschutzverletzungen, mit möglicherweise einherge- henden Bußgeldern und Reputationsschäden für die be- troffene Organisation, lassen sich in einer fragmentierten Architektur nur schwer erkennen. Die Beseitigung von Identitätssilos und Duplikaten in hybriden IT- und Cloud- Umgebungen ist sowohl für die Sicherheit als auch für eine positive Benutzererfahrung entscheidend. Abbildung 1: Der Trend in die Cloud ist ungebro- chen – Antworten zu Plänen und Umsetzungen aus der Forrester-Studie „IAM For The Hybrid Enter- prise“ [2] Von Gerhard Zehethofer und Heiko Klarl, München Identity- und Access-Management (IAM) in der Cloud ist ein rasant wachsender Trend, dem viele IT- Experten eine rosige Zukunft vorhersagen. Bis 2027 soll der Cloud-IAM-Markt Schätzungen zufolge schon mehr als 14 Milliarden US-Dollar wert sein [1]. Mehr als 80 % der glo- balen IT-Entscheidungsträger planen außerdem laut einer Forrester Studie [2], in den nächsten zwei Jahren cloud- basierte IAM-Initiativen einzuführen oder bestehende Projekte zu erweitern. Erkenntnisse aus der Studie deuten darauf hin, dass die Cloud-Akzeptanz in Organisationen generell zunimmt (vgl. Abb. 1). Investitionen und das Interesse an hybrider Cloud – also die Kombination aus On-Premises-, Public-Cloud- und Software-as-a-Service- (SaaS)-Umgebungen – sind aktuell besonders hoch. Weltweit haben IT-Entscheider demnach erkannt, dass eine hybride Cloudstruktur der schnellste Weg zur Optimierung der IT sein kann, ohne geschäftskritische Anwendungen unterbrechen zu müssen. Mit der Aus- weitung digitaler Ökosysteme und der Cloud-Einführung rücken allerdings zunehmend Themen wie siloartige Datenumgebungen und Security-Blind-Spots innerhalb der Cloud- und IAM-Strategien ins Bewusstsein der Si- cherheitsexperten. Herausforderungen Aus der IAM-Perspektive ergeben sich die größten Herausforderungen in hybriden IT- und Cloud-Archi- tekturen daraus, dass diese per Deﬁnition aus mehreren getrennten Umgebungen bestehen (siehe auch Abb. 2). In vielen Fällen bestehen IAM-Lösungen aus einer Kom- bination von selbstentwickelten sowie gleichermaßen veralteten und modernen eingekauften IAM-Systemen. Diese nicht-zusammenhängenden lokalen und cloudbasierten Systeme führen häuﬁg zu isolierten und © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2021#4 67

Management und Wissen Identity- und Access-Management Hybrid-Cloud-Ansätze Silos entstehen oft, weil verschiedene Abteilungen innerhalb einer Organisation unabhängig voneinander neue digitale Dienste bereitstellen und so separate Daten- sätze für ein und denselben Nutzer anlegen. Was auf den ersten Blick nach einer guten und vor allem schnellen Lösung aussieht, entpuppt sich als Sackgasse: Der Nutzer leidet unter einem schlechten Erlebnis, da er sich mit unterschiedlichen Login-Vorgängen und Datensätzen konfrontiert sieht und Daten mehrfach aktualisiert wer- den müssen, weil sie sich in unterschiedlichen Systemen beﬁnden. Identitätssilos in einer fragmentierten Informationslandschaft Führungskräfte versuchen zentralisierte IT- Lösungen regelmäßig zu umgehen, weil sie im Ramp-up kosten- und zeitintensiv sind. Im Laufe der Zeit entsteht durch das Aufstapeln verschiedener Systeme aber eine Vielzahl sogenannter Schatten-Identitäten – in alterna- tiven Identitätssystemen, die außerhalb der Zuständig- keitsbereiche des IT-Teams eingesetzt werden. Ohne eine einheitliche Sicht auf die Kundendaten ist eine Organi- sation aber letztlich kaum wettbewerbsfähig und sogar verwundbar: Sie ist beispielweise nicht in der Lage, den Wünschen von Nutzern nach Opt-outs oder einem Antrag auf Auskunftserteilung gemäß der EU Datenschutzgrund- verordnung (DSGVO) zeitnah nachzukommen. Das Recht auf Auskunft, Korrektur oder Löschung personenbezo- gener Daten eines Betroffenen lässt sich in solch einem Szenario nur schwerlich und mit viel Aufwand umsetzen. Abbildung 2: Drängendste Herausforde- rungen beim IAM in der Cloud laut Forrester-Studie „IAM For The Hybrid Enter- prise“ [2] Identitätssilos und eine fragmentierte Informa- tionslandschaft gefährden aus Sicherheits- und Ressour- censicht generell Initiativen der digitalen Transformation: Organisationen mit vielen Identitätssilos haben Probleme dabei, mit neuer Technologie, regulatorischen Vorgaben und Sicherheitstrends sowie den damit zusammenhän- genden Standards und Protokollen mitzuhalten – dazu gehören unter anderem OpenID Connect, OAuth 2.0 oder aktuelle Open-Banking-Standards wie PSD2 und auch die Umsetzung der DSGVO. Mehrere nicht zusammenhängende IAM-Systeme haben aber nicht nur einen negativen Einﬂuss auf die Sicherheit, sondern bremsen auch die Innovationsge- schwindigkeit der Organisation aus. Unternehmen verwenden heute meist eine hybride IT aus lokalen Anwendungen im eigenen Re- chenzentrum gemischt mit Diensten aus der Cloud. Durch den Einsatz einer speziell für diese Anforderun- gen entwickelten umfassenden IAM-Plattform können Unternehmen einen nahtlosen Nutzerzugriff über alle Kanäle hinweg ermöglichen – unabhängig davon, ob sie Anwendungen On-Premises, in einer Private Cloud oder in einer oder mehreren Public Clouds betreiben. Eine hy- bride IAM-Plattform ersetzt dann verschiedene historisch gewachsene Punktlösungen und ist in der Lage, alle digi- talen Identitäten in einer einzigen hybriden IT-Umgebung zu verwalten und abzusichern. Transformations-Probleme Obwohl die Transformation hin zu Cloud-An- wendungen Vorteile bietet, schafft sie gleichzeitig auch Probleme: Laut der erwähnten Forrester-Studie [2] berich- ten fast alle IT-Experten aus Unternehmen (98 %), dass sie mit IAM-Technologie aus der Cloud in der Vergangenheit Schwierigkeiten hatten. Darüber hinaus hat die Hälfte der befragten Organisationen wichtige Sicherheitsmaß- nahmen, wie Multi-Factor-Authentication (MFA) oder passwortlose Logins nicht implementiert – obwohl diese das Risiko, Opfer eines Phishing-Angriffs zu werden, er- heblich reduzieren. Cloud-Computing als anhaltender Trend hat auch zu einer Vielfalt an IAM-Cloud-Angeboten auf dem Markt geführt – so ist für Organisationen oft schwer zu verstehen, wie der richtige Ansatz aussieht. Ein klar strukturiertes Vor- gehen im Zuge einer IAM-Modernisierung ist essenziell! Hierzu gehört das Erstellen eines Anforderungsproﬁls für die gesamte Organisation an die neue IAM-Plattform. Die Umsetzung erfolgt in einzelnen Teilprojekten und nach Unternehmenspriorität. Erfahrungen aus der Praxis zeigen, dass nur die- jenigen IAM-Programme erfolgreich sind, die mit einem 68 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2021#4

teten Zugriffe zu unterscheiden. Organisationen haben die Möglichkeit, zusätzliche Hürden in den Login-Prozess einzubauen: Diese werden nur situationsabhängig ange- wandt, sodass sich ein Benutzer beispielsweise beim erst- maligen Zugriff im Ausland noch mit einem zweiten Fak- tor ausweisen muss – oder bestimmte Zugriffe innerhalb der angebundenen Applikation eingeschränkt werden. Darüber hinaus lassen sich Identitäten zentralisieren, um Audits und Compliance durch ein vollständiges User- Lifecycle-Management zu verbessern. Fazit Organisationen haben in vielen Fällen eine hybri- de IT, weil es wirtschaftlich sinnvoll oder rechtlich nicht möglich ist, alles in die Cloud zu verlagern. Außerdem ist es attraktiv, neue Lösungen als Service einzukaufen, anstatt sie selbst im Rechenzentrum zu betreiben. Hybrid-IT ist dabei in vielen Fällen ein langfristiger Zustand und keine kurzfristige Übergangsphase. Die Rolle von hybridem IAM zur Unterstützung dieser hybriden Umgebung wird so zu einem zunehmend wichtigen Wettbewerbsvorteil: „Cloud only“-IAM-Lö- sungen verlagern die IAM-Kontrollebene komplett in die (Public) Cloud – ein Support von (oft unternehmenskri- tischen) Legacy-Anwendungen im Datacenter ist dann häuﬁg nicht möglich; Gleiches gilt für Geschäftsprozesse und Anpassungen, die auf ihnen basieren. Abbildung 3: Vorteile von Hybrid-IAM laut Forrester-Studie „IAM For The Hybrid Enter- prise“ [2] IAM-Assessment und einer strategischen Planungsphase beginnen, die beispielsweise ein Readiness-Assessment, eine Bewertung der bestehenden Cloud-Infrastruktur und eine High-Level-Migrationsplanung über verschiedene Regionen umfassen. Zu den Herausforderungen, denen IT-Experten in der Transformation immer wieder begegnen, zählen auch Prozessprobleme: Die fehlende Flexibilität und Agilität bestehender IAM-Systeme, hybride Cloud-Umgebungen zu unterstützen, behindern, verteuern und verzögern die Einführung neuer Angebote. Andererseits wird die Transformation auch durch Probleme wie eine begrenzte IAM-Funktionalität, fehlende Produktskalierbarkeit und die Unfähigkeit, Identität und Zugriff über Anwendungen hinweg zu verwalten, behindert. Die Einführung eines hybriden IAM-Ansatzes unterstützt hingegen die digitale Transformation. Vorteile von Hybrid-IAM Einer der drei großen Vorteile einer Hybrid-IAM- Architektur sind die Kosteneinsparungen: Mit einer einzigen Plattform erhalten Organisationen die Flexibilität, zu jedem Zeitpunkt zu bestimmen, wie viel der IAM-Infra- struktur „on Premises“ und wie viel in der Cloud gehostet wird. Das hat den Vorteil, dass Organisationen im eigenen Tempo bestimmen können, wie schnell sie in die Cloud wechseln. Die Kosten für Wartung und Migration sind planbar und transparent – unerwartete zusätzliche Kosten treten in den Hintergrund. Auch die Nutzer proﬁtieren von Hybrid IAM: Durch eine zentrale Verwaltung aller Identitäten in einer leistungsfähigen IAM-Lösung ergibt sich eine konsistente Benutzererfahrung, unabhängig davon, wo sich die Iden- tität eines Benutzers (d. h. Kunde, Partner oder Mitarbei- ter), eines Services oder einer Anwendung innerhalb der hybriden IT-Architektur beﬁndet. Allem voran erhöht eine hybride IAM-Plattform aber die Sicherheit: Die Authentiﬁzierung wird durch das Hinzufügen von Benutzer- und Gerätekontext zusätzlich abgesichert. Die Möglichkeit, Transaktionen durch zusätz- liche Faktoren (d. h. durch das Abfragen eines zusätzlichen Faktors) zu autorisieren, unterstützt ein hybrides IAM- Unternehmen bei der Einführung von Zero-Trust- und CARTA-Strategien (Continuous Adaptive Risk and Trust Assessment). Die adaptive Bewertung des Risikos eines Zugriffs oder des Vertrauens-Grads, das/der einer digitalen Identität gegenüber erbracht wird, ist dabei ein Schlüssel zum Erfolg. Moderne Algorithmen und die Einbindung von zusätzlichen Signalen helfen, risikolose von risikobehaf- © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2021#4 69

Management und Wissen Identity- und Access-Management Hybrid-Cloud-Ansätze Auch getrennte Cloud- und On-Premises- Lösungen tauchen in der Hybrid-Kategorie vermehrt auf: Die beiden Umgebungen basieren dabei aber auf vollkommen unterschiedlichen Anwendungen, die separat betrieben und gewartet werden müssen. Grei- fen Nutzer auf beides zu, entstehen Redundanzen, die zu zusätzlichem Aufwand in der Organisation führen. Eine umfassende, unternehmensweite IAM-Plattform, die für hybride IT-Umgebungen entwickelt wurde, vermeidet solche Nachteile und kommt sowohl der Sicherheit als auch der Nutzererfahrung zugute. ■ Gerhard Zehethofer ist Vice President IoT & Technology Partnerships bei ForgeRock. Dr. Heiko Klarl ist CMO der iC Consult Group. Literatur [1] Veriﬁed Market Reseach, Global Cloud IAM Market Size By Component, By Deployment Model, By Vertical, By Organization Size, By Geographic Scope And Forecast, Re- port ID 1670, Januar 2021, www.veriﬁedmarketresearch. com/product/global-cloud-iam-market-size-and-forecast- to-2025 (kostenpﬂichtig) [2] Forrester Consulting, IAM For The Hybrid Enterprise, Current Challenges And Strategies For Global Security Professionals, Custom Study Commissioned by Forgerock and Google Cloud, März 2021, kostenlos erhältlich via www.forgerock.com/thank-you/forrester-study-hybrid- cloud-iam (Registrierung erforderlich) Wir bedanken uns für die nachhaltige Unterstützung unserer Verlagsprojekte VIP-Partner PLATIN-Partner GOLD-Partner SILBER-Partner Sie interessieren sich für die Vorteile einer VIP-Partnerschaft? Wir informieren Sie gerne! Birgit Eckert, DATAKONTEXT GmbH, Telefon 06728 / 289 003, b.eckert@kes.de