Ralf Benzmüller, Leiter der G Data Security Labs

Im Gespräch mit Ralf Benzmüller, Leiter der G Data Security Labs

ITD: Herr Benzmüller, das Bundesamt für Verfassungsschutz (BfV) berichtet, dass die gängigste Angriffsmethode, der sich Unternehmen und Behörden gegenübersehen, die Versendung von E-Mails mit angehängten Schadprogrammen ist. Wie können Unternehmen dieser Gefahr am effektivsten begegnen?
Ralf Benzmüller: Nach wie vor sind E-Mails ein wichtiges Einfallstor für Computerschädlinge. Anstelle angehängter Schaddateien werden unseren Erkenntnissen zufolge immer häufiger Links auf schädliche Dateien oder Webseiten im Internet versendet. Die Spanne reicht dabei von direkten Downloads über Buttons zur Installation von angeblichen Playern oder Codecs bis hin zu heimlichen Angriffen auf Schwachstellen des Browsers und seiner Komponenten, dem sogenannten Drive-By-Download. Dagegen bieten ausgereifte Spamfilter einen effektiven Schutz, die mit automatisierten Verfahren die Zustellung von schädlichen E-Mails in kurzer Zeit blockieren. Gegen gefährliche Webseiten helfen Virenschutzlösungen, die auf Server- ebenso wie auf Client-Ebene den gesamten http-Traffic vor Erreichen des Browsers auf Malware überprüfen. Generell sollten Unternehmen zur Abwehr von Spam auf Sicherheitslösungen setzten, die inhaltsunabhängig arbeiten. Derartige Technologien setzen wir bereits seit Jahren erfolgreich in Netzwerk- und Desktop-Lösungen ein.

ITD: Die Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.V. (ASW) warnt davor, dass immer neue Varianten von Schadsoftware, die in immer kürzerer Zeit erschienen, deren Erkennung anhand von Signaturen erschweren könnte.
Sind diese Bedenken gerechtfertigt und welche praktikablen Alternativen gibt es, um schädliche Software zu erkennen?
Ralf Benzmüller: Seit Jahren steigt die Zahl neuer Schädlinge stetig an. Ein Grund dafür ist, dass Malware-Autoren ihre Kreationen auf vielfältige Weise so verändern können, dass klassische Signaturen ins Leere laufen. In den Untergrundmärkten werden Garantien ausgesprochen, dass eine bestimmte Malware zum Zeitpunkt der Lieferung von gängigen Antivirus-Produkten nicht erkannt wird. Diese Entwicklung trifft die Hersteller von Sicherheitssoftware nicht unerwartet. Auch die Erstellung und Auslieferung neuer Signaturen ist mittlerweile weitgehend automatisiert.

Zusätzlich werden verstärkt Signaturen eingesetzt, die auf typische Eigenschaften von Schadcode reagieren. Mit solchen Heuristiken kann selbst Malware erkannt werden, die den Virenanalysten noch unbekannt ist. Manche Anti-Viren-Produkte enthalten auch Verfahren, die Malware anhand ihres Verhaltens erkennen und blockieren, das sogenannte Behavior Blocking. Die neuesten Schutzmaßnahmen im Rahmen der sogenannten Cloud Security gehen darauf zurück, dass Informationen über aktuelle Infektionen zentral ausgewertet werden und anhand der Analyseresultate neue Schädlinge umgehend identifiziert sowie blockiert werden können. Hier findet also ein gegenseitiges Wettrüsten statt, für das die Anti-Viren-Firmen weiterhin gewappnet sind.

ITD: Um E-Mail-Angriffe an den Empfänger anzupassen, geht ihnen oftmals das sogenannte „Social Engineering“ voraus. Wie können sich Unternehmen bzw. deren Mitarbeiter davor schützen, dass persönliche Informationen für solche Zwecke missbraucht werden? Sollten soziale Netzwerke vollständig gemieden werden?
Ralf Benzmüller: Der Community-Gedanke ist längst bei der E-Crime-Society angekommen. Wir beobachten eine bedrohliche Zunahme von kriminellen Aktivitäten auf Plattformen wie Xing, Facebook, Linkedin oder Twitter. Das Vorgehen der Täter ist ausgeklügelt und umfasst das gesamte E-Crime-Repertoire. Neben der direkten Einspeisung von Schadcode oder deren Verbreitung durch Massenmails nutzen die Täter soziale Netzwerke, um Nutzer auf präparierte Webseiten zu locken oder ihnen gezielt manipulierte PDFs, DOC- oder XLS-Dateien zukommen zu lassen. 

Die in Xing, Facebook und dergleichen oft allzu freizügig publizierten Informationen nutzen die Täter hierbei häufig für zielgerichtete Angriffe auf Mitarbeiter und deren Unternehmen. Aus diesem Grund sollten Firmen für die Nutzung und Freigabe von Informationen frühzeitig entsprechende Richtlinien erstellen.