Europol setzt Botnetz außer Kraft: Anwender müssen in Zukunft Vorkehrungen treffen

Kommentar von Christine Schönig, Technical Managerin bei Check Point Software Technologies

Europol und weitere beteiligte Unternehmen sorgen für positive Schlagzeilen: Durch internationale Kooperation ist es ihnen erfolgreich gelungen, gegen ein Botnetz vorzugehen und den Steuerungsserver abzuschalten. Insgesamt waren laut BKA 3,2 Millionen Computer betroffen, darunter auch Rechner aus Deutschland wie das BSI informiert. Das Netzwerk wurde bereits seit 2012 aufgebaut.

Der Fall macht klar, welche Kräfte in der Bedrohungslandschaft der IT-Sicherheit am Wirken sind. Behörden rufen zu mehr Kooperation auf und möchten stärker – über Landesgrenzen hinaus – mit der Wirtschaft zusammenarbeiten. Trotzdem wäre es utopisch zu glauben, dass der Schutz vor Gefahren für Anwender und Unternehmen durch höhere Belohnungen für Hinweise auf Hacker in naher Zukunft auch nur ansatzweise ausreichen wird.

Die Infizierung von Computern durch Schadsoftware, wie durch den in diesem Fall eingesetzte “Ramnit”-Trojaner, kann durch Behörden nicht verhindert werden. Anwender müssen ihr Verhalten im Umgang mit E-Mails und Webseitenempfehlungen überdenken und sensibilisieren. Dieses Beispiel macht zusätzlich deutlich, dass es gerade in Unternehmen einer mehrschichtigen Sicherheitsstrategie bedarf, um nicht Opfer eines Malware-Angriffs zu werden. Die Installation von entsprechender Antivirensoftware sowie Firewalls sind heutzutage nicht mehrausreichend und nur ein Mosaiksteinchen im Gesamtkonzept. Behörden wünschen eine engere Zusammenarbeit von Strafverfolgungsbehörden und Wirtschaftsunternehmen, um bei erfolgten Angriffen im Nachhinein effektiver gegen Cyberkriminelle vorgehen zu können. Eine Möglichkeit ist das im Dezember bekanntgewordenen IT-Sicherheitsgesetz in dem von Unternehmen, die als kritische Infrastrukturen angesehen werden, gefordert wird, Sicherheitsvorfälle künftig zu melden. Generell sollten Unternehmen entsprechende Vorkehrungen treffen, damit Cyberangriffe gar nicht erst erfolgreich werden, um das Melden von Sicherheitsvorfällen grundsätzlich zu vermeiden.

Multi-Layer-Security-Ansätze bieten hier ein Höchstmaß an Sicherheit, da verschiedene Abwehrmechanismen kombiniert eingesetzt werden und sich gegenseitig ergänzen können. Es ist notwendig, multilaterale Sicherheitsmechanismen wie Anwendungskontrollen einzusetzen, um sicherzustellen, dass ausschließlich befugten Nutzern der Zugriff auf unternehmensrelevante Applikationen gewährt wird. Über Basismaßnahmen bestehend aus Firewalls, Intrusion Prevention sowie AntiViren-Technologie hinaus, sollte ein virtuelles Sandboxing-Verfahren in Betracht gezogen werden. Zum Schutz vor unbekannten Schwachstellen – sogenannten Zero-Day-Angriffen – sowie vor Drive-by-Downloads sollten, neben dem erwähnten virtuellen Sandbox-Verfahren, weitere Bedrohungspräventionen wie URL-Filtering im Unternehmen installiert werden. Zusätzlich kann dies durch den Einsatz von DLP (Data Loss Prevention) zum Schutz vor Verlust von sensiblen Daten ergänzt werden. Wichtig ist hierbei, dass die Sicherheitsrichtlinien den Business-Prozess optimal ergänzen.

Bevor Unternehmen sich darauf verlassen, dass Behörden den Steuerungsserver entdecken und abschalten, sollte eine Kommunikation eines Bot zu seinem Command & Control Server generell unterbunden werden – eine Funktion, die auf Basis miteinander kombinierter dynamischer Technologien von beispielsweise Namen, IP Adressen, Signaturen und Reputation möglich ist. Nutzer sollten sich ebenfalls ihrer Situation bewusst werden: Jeder kann Opfer eines Botnetzes und jedes Gerät zu einem Zombie werden.