Europol setzt Botnetz außer Kraft: Anwender müssen in Zukunft Vorkehrungen treffen

130422_Christine Schoenig

Kommentar von Christine Schönig, Technical Managerin bei Check Point Software Technologies

Europol und weitere beteiligte Unternehmen wie Microsoft und Symantec sorgen für positive Schlagzeilen: Durch internationale Kooperation ist es ihnen erfolgreich gelungen, gegen ein Botnetz vorzugehen und den Steuerungsserver abzuschalten. Insgesamt waren laut BKA 3,2 Millionen Computer betroffen; das Netzwerk wurde seit 2012 aufgebaut.

Der Fall macht klar, welche Kräfte in der Bedrohungslandschaft der IT-Sicherheit am Wirken sind. Behörden rufen zu mehr Kooperation auf und möchten stärker – über Landesgrenzen hinaus – mit der Wirtschaft zusammenarbeiten. Trotzdem wäre es utopisch zu glauben, dass der Schutz vor Gefahren für Anwender und Unternehmen durch höhere Belohnungen für Hinweise auf Hacker in naher Zukunft ausreichen wird.

Die Infizierung von Computern durch Schadsoftware, wie durch den in diesem Fall eingesetzte “Ramnit”-Trojaner, kann durch Behörden nicht verhindert werden. Anwendern wird daher dringend geraten, selbst die Initiative zu ergreifen und ihre Endgeräte gegen Malware abzusichern. Dieses Beispiel macht deutlich, dass es einer entsprechenden Sicherheitsstrategie bedarf, um nicht Opfer eines Malware-Angriffs zu werden. Nutzer müssen verdächtiges Verhalten auf ihren Geräten erkennen und Attacken abwehren können. Möglichkeiten bieten hier die Installation von entsprechender Antivirensoftware sowie Firewalls. Behörden wünschen eine engere Zusammenarbeit von Strafverfolgungsbehörden und Wirtschaftsunternehmen, um bei erfolgten Angriffen im Nachhinein effektiver gegen Cyberkriminelle vorgehen zu können. Eine Möglichkeit ist das im Dezember bekanntgewordenen IT-Sicherheitsgesetz in dem von Unternehmen, die als kritische Infrastrukturen angesehen werden, gefordert wird, Sicherheitsvorfälle künftig zu melden. Generell sollten Unternehmen entsprechende Vorkehrungen treffen, damit Cyberangriffe gar nicht erst erfolgreich werden, um das Melden von Sicherheitsvorfällen grundsätzlich zu vermeiden.

Multi-Layer-Security-Ansätze bieten hier ein Höchstmaß an Sicherheit, da verschiedene Abwehrmechanismen kombiniert eingesetzt werden. Alle im Unternehmensnetzwerk ablaufenden Aktivitäten werden hierbei in einem unabhängigen Out-of-Band-Verfahren protokolliert. Es ist notwendig, multilaterale Sicherheitsmechanismen wie Anwendungskontrollen einzusetzen, um sicherzustellen, dass ausschließlich befugten Nutzern der Zugriff gewährt wird. Über Basismaßnahmen bestehend aus Firewalls, Intrusion Prevention sowie AntiViren-Technologie hinaus, sollte ein virtuelles Sandboxing-Verfahren in Betracht gezogen werden. Zum Schutz gegen Drive-by-Downloads können neben dem erwähnten virtuellen Sandbox-Verfahren weitere Bedrohungspräventionen wie URL-Filtering im Unternehmen installiert werden. Zusätzlich kann dies durch eine Kontrolle der eingesetzten Applikationen sowie durch den Einsatz von DLP (Data Loss Prevention) zum Schutz vor Verlust von sensiblen Daten ergänzt werden. Dies bietet einen weiteren Schutz vor bereits bekannten und entsprechend als gefährdend eingestuften URLs bzw. Anwendungen. Wichtig ist hierbei, dass die Sicherheitsrichtlinien den Business-Prozess optimal und sicher ergänzen.

Bevor Unternehmen sich darauf verlassen, dass Behörden den Steuerungsserver entdecken und abschalten, sollte eine Kommunikation eines Bot zu seinem Command & Control Server generell unterbunden werden – eine Funktion, die auf Basis unterschiedlicher miteinander kombinierter dynamischer Technologien auf Basis von beispielsweise Namen, IP Adressen, Signaturen und Reputation möglich ist. Nutzer sollten sich ebenfalls ihrer Situation bewusst werden: Jeder kann Opfer eines Botnetzes und jedes Gerät zu einem Zombie werden.