Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig für eine Analyse zur Verfügung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. Für jeden, der APT-Angriffe erforschen will, eine Pflichtlektüre.
• „1.php“ – ist ein Bericht von Zscaler über eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage für Verteidigungsmaßnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen über einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst überfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit für Gmail genutzt wurden, über den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufügen konnten

Quelle: flickr

Ein neuer Report des Ponemon Institutes zeigt den Graben, der sich zwischen den IT-Sicherheits- und Compliance-Verantwortlichen auftut, wenn es um das Management von Clouds geht. Für ihre Studie hatten die Analysten in den USA 1000 Verantwortliche dieser beiden Gruppen zu den möglichen Herausforderungen bezüglich der Wolkensicherheit befragt, wobei weniger als die Hälfte der Ansicht ist, in ihren Unternehmen sei adäquate Sicherheitstechnologie für ihre Cloud-Infrastrukturen vorhanden.

Doch bei den Fragen, ob die Cloud genauso sicher ist wie das Onpremise-Datacenter, wer für die Cloud-Sicherheit die Verantwortung tragen sollte sowie welche Sicherheitsmaßnahmen erforderlich sind, gehen die Meinungen der beiden Gruppen von Verantwortlichen deutlich auseinander. Lediglich ein Drittel der IT-Sicherheitsfachleute glaubt, Cloud-Infrastrukturumgebungen seien genauso sicher wie das traditionelle Datacenter. Die Hälfte der Compliance Officer dagegen glaubt an die Sicherheit der IaaS (Infrastructure as a Service)-Umgebungen.

Auch bezüglich der Sicherheitsverantwortlichkeiten gibt es unterschiedliche Ansichten: 21 Prozent der Compliance-Manager sehen sich selbst in der Rolle derer, die die Security-Anforderungen definieren. Demgegenüber stehen 22 Prozent der IT-Fachleute, die diese Aufgabe bei sich sehen.

Für die wichtigste Sicherheitsmaßnahme bezüglich der Cloud halten die IT-Verantwortlichen den Einsatz von Verschlüsselung, sodass die Daten für Service Provider nicht lesbar sind. Compliance-Fachleute wiederum sehen die Verwendung von Verschlüsselung eher bei der Trennung der unterschiedlichen Aufgaben, um etwa IT-Administratoren den Zugang zu Daten, die sie nicht für ihre Jobs benötigen, zu verwehren. Insgesamt ist es jedoch nur einem Drittel der Unternehmen wichtig, ihre Daten, die in der Cloud gespeichert sind und auf die dort zugegriffen wird, über Verschlüsselung zu schützen.

„Uns hat die unterschiedliche Haltung zur Cloud-Sicherheit bei den IT-Sicherheits- und Compliance-Verantwortlichen überrascht“, stellte Ponemon Institute Vorsitzender und Gründer Larry Ponemon fest. „Doch zeigt die Befragung, dass die Security-Belange beide Gruppen betrifft, auch wenn es Besorgnis erregend ist, dass die Verantwortlichkeiten für die Cloud-Sicherheit über das gesamte Unternehmen verteilt sind.“

Ganz gleich, welche Abteilung schließlich die Verantwortung für den Schutz der Cloud übernimmt, wichtig ist, dass Unternehmen schnell handeln und eine Sicherheitsstrategie entwickeln.

Trend Micro hat eine Reihe aktueller, zielgerichteter Angriffe aufgedeckt. Mit dieser als Lurid bekannten Methode wurden vor allem Behörden in 61 Ländern infiziert. Die Sicherheitsforscher konnten 1465 Computer ausmachen, die erfolgreich infiziert und Opfer eines Datendiebstahls wurden. Man sprach von einer einmaligen persistenten Bedrohung. Doch sie war nicht einmalig. Die Schwachstellen im Adobe Acrobat Reader, die für die Ausführung der Schadsoftware genutzt wurden, war sehr wohl bekannt, und die Kriminellen konnten Nutzer auch dazu verleiten, Bildschirmschoner herunterzuladen.

Wie kann so etwas trotz der eingesetzten Sicherheitsmaßnahmen und IDS/IPS-Systeme passieren? Das Problem heutzutage besteht wahrscheinlich darin, dass es zu viel Rauschen gibt, sodass die Zahl der Log-Einträge in einem IDS/IPS-System zu hoch ist, um die Nadel im Heuhaufen zu finden. Deshalb brauchen wir ein Echtzeit-Bedrohungsmanagement. Dafür bedarf es eines Systems, das dem Administrator dabei hilft zu erkennen, was tatsächlich vor sich geht, was in das Unternehmen hereinkommt und noch viel wichtiger, was aus der Organisation nach außen geht. Es ist viel schwieriger, infizierte Computer zu erkennen, wenn keine Kommunikation stattfindet. Doch sobald ein infiziertes System Verbindung mit der Kommandozentrale aufnimmt, um Informationen dahin zu versenden, ist das ein guter Indikator dafür, dass etwas Böses in der Unternehmensumgebung vor sich geht.

Mit entsprechender Konfiguration, einer Kombination aus Sicherheitsprodukten und einem Echtzeit-Bedrohungsmanagement ist es möglich, die Visibilität zu erhöhen. Hundertprozentige Sicherheit gibt es nicht. Darum müssen Unternehmen über Risikomanagement nachdenken, um mithilfe eines Realtime Threat Management System die Gefahren zu minimieren und die Sichtbarkeit zu erhöhen. Hier sollten Unternehmen ihre Investitionen tätigen.

Quelle: ky_olsen’s Flickr stream

Software as a Service (SaaS) erfreut sich wachsender Beliebtheit. Laut Gartner erreichte der weltweite Umsatz mit diesem Cloud-Modell im letzten Jahr 10 Milliarden Dollar, und die Analysten erwarten für 2011 eine Steigerung von mehr als 20 Prozent.

Im Zusammenhang mit SaaS wird meistens Salesforce.com als Beispiel genannt, doch gibt es eine ganze Reihe verschiedener Anwendungen, die als Dienst genutzt werden können: Dazu gehören Customer Relationship Management, Human Resource Management, Cloud-Backup, Collaboration-Plattformen, Buchhaltungssysteme, Helpdesk Management und Web- oder E-Mail-Filtering.

Die wirtschaftlichen und auch technischen Vorteile des Abo-Modells sind hinlänglich bekannt, doch können sie sich auch leicht in ihr Gegenteil verkehren. Anwender entscheiden lediglich, welche Daten sie in die Cloud laden, alles andere nimmt ihnen der Anbieter aus der Hand – abgesehen natürlich von der rechtlichen Verantwortung für die Sicherheit ihrer Daten. Der Provider hat, wenn er will, Zugriff auf alle Kundendaten. Zudem besteht aufgrund der Mehrmandanten-Umgebung die Gefahr, dass eine Schwachstelle bei einem Kunden auch Auswirkungen auf die anderen hat. Das hat sich auch beim jüngsten Beispiel eines Einbruchs beim E-Mail-Provider Epsilon gezeigt, denn betroffen waren viele Fortune 500-Kunden des Anbieters.

Unternehmen, die erwägen, Anwendungen aus der Cloud zu beziehen, sollten den zur Wahl stehenden Providern die richtigen Fragen zur Sicherheit stellen:

1. Gibt es Penetrationstests für die Umgebung? Wie oft werden diese durchgeführt und gibt es eine Möglichkeit, Pen-Tests für den eigenen Teil der Umgebung zu fahren? Einsicht in seine aktuelle Sicherheitslage erhält ein Anwender nur mithilfe von regelmäßigen, tief gehenden Tests.
2. Wie sorgt der Provider für die Datensicherheit? Werden Daten im Speichermedium verschlüsselt abgelegt und auch verschlüsselt über die gemeinsam genutzten Ressourcen des Datencenters des Providers übertragen? Wer hat Zugriff auf die Schlüssel? Wird die Trennung der Aufgaben, Schlüssel und Daten beachtet? Und kann der Provider einen Report nach Auditing-Standard SAS 70 vorweisen?
3. Gibt es die Option eines Einzelmandanten-Hostings? Und wenn ja, umfasst diese lediglich die Anwendung oder auch die Datenspeicherung?
4. Welche Backup- und Recovery-Prozeduren wendet der Provider im Fall eines katastrophalen Ausfalls oder eines Datenverlusts nach einem Einbruch an? Und auch die Frage nach dem Speicherort der gesicherten Daten (und erneuter Verschlüsselung) ist wichtig.
5. Wie funktioniert die Benutzerauthentifizierung für die SaaS-Anwendung? Gibt es eine Mehrfaktoren-Authentifizierung, und lässt sich die Anmeldung mit den beim Anwender vorhandenen Authentifizierungsstrukturen integrieren?

Quelle: flickr

Gartners kürzlich veröffentlichter Hype Cycle for Cloud Computing 2011 (eine Zusammenfassung gibt es hier) enthält eine ganze Reihe guter Analysen zum Thema. Doch die Position, welche die Analysten Cloud-Sicherheit zuschreiben, darf angezweifelt werden. In der Hype Cycle-Darstellung steht Cloud-Sicherheit kurz davor, in das berühmte „Tal der Desillusionierung“ (Trough of Disillusionment) abzufallen. Nahezu jedes andere Element im Cycle hängt von Cloud Security ab, und zwar so sehr, dass sich das Wort „Cloud“ auch streichen lassen und das Ganze lediglich „Security“ heißen könnte. Und Security ist bestimmt nicht dabei, in das„Tal der Desillusionierung“ abzurutschen!

Die Gartner-Analysten haben sicherlich Recht mit der Behauptung, dass die meisten Unternehmen Cloud-Strategien haben, während nur wenige Cloud-zentrische Strategien verfolgen. Trend Micro hat eine echte Cloud-zentrische Strategie: Das Smart Protection Network ist eine Cloud, die Milliarden Transaktionen täglich verwaltet, und die sehr zielgerichteten Virtualisierungs- und Cloud-Verschlüsselungsprodukte setzen zu 100 Prozent auf die Cloud.

Wie alle anderen hört auch Gartner widersprüchliche Ansichten zu hybriden Wolken, denn im Grunde genommen sind eine Vielzahl privater Wolken verbunden mit der öffentlichen – und umgekehrt. Der Begriff wird von den Marketingleuten ständig missbraucht. Bei Trend Micro gibt es jedoch eine Reihe von Beispielen hybrider Clouds, etwa Web Gateways On-premise mit Anbindung an den Trend Micro Cloud Service oder der SaaS Verschlüsselungsdienst, der Schlüssel für eine private Wolke liefert.

Hingegen positioniert Gartner Big Data völlig zu recht an einen Punkt kurz vor dem Abfallen in den Trough of Disillusionment, obwohl die Analysten dann wieder Öl ins Hype-Feuer gießen, indem sie behaupten, die Anwender von Big Data und extremem Informationsmanagement werden ihre Konkurrenten um 20 Prozent in jeder Finanzmetrik überflügeln. Auch stimmt die Ansicht der Marktforscher, dass Verwirrung bezüglich PaaS (Platform as a Service) herrsche, weil der Begriff missverstanden wird.

Schließlich ist es erfrischend zu lesen, dass SaaS in den ersten zwei Jahren kostengünstiger sei als Anwendungen im eigenen Haus vorzuhalten, um dann mit der Zeit teurer zu werden als On-premise. Deshalb ist SaaS eine großartige Möglichkeit für Startups, doch sollten größere Firmen besser die On-premise-Variante wählen.

Doch Achtung: Alle hier diskutierten Bereiche und Möglichkeiten erfordern eine funktionierende Sicherheit, um erfolgreich zu sein. Deshalb passt Cloud Security nicht auf dieselbe Weise in die Darstellung wie die anderen Technologien für die Cloud. Cloud-basierte Sicherheit passt sehr wohl, doch nicht Sicherheit für die Cloud – eine kritische Unterscheidung, die bedacht sein will!

Die Rechnung ist einfach: Für die kriminelle Schattenwirtschaft im Internet zählt nur das Verhältnis zwischen Aufwand und Ertrag. Je länger der Erfolg insbesondere der mobilen Geräte von Apple anhält, desto größer wird die Zahl der möglichen Opfer. Weil damit die Aussicht auf schnelle Profite steigt, lohnt sich die Entwicklung von Schadsoftware, die auf Apple-Anwender abzielt, immer mehr. Lange Zeit konnten Mac-Nutzer sich sicher und ihren Windows-Verwandten überlegen fühlen – doch diese Zeiten sind wohl endgültig vorbei. Denn im Online-Untergrund ist alles nur eine Frage des Preises. Und Apple reagiert auf die neue Bedrohungslage mit veralteten Methoden.

Jüngstes Beispiel, das die Aufmerksamkeit der Medien erlangt hat, ist „Mac Defender“. Dabei handelt es sich um ein so genanntes Trojanisches Pferd, das eine gefälschte und folglich völlig nutzlose Antivirenlösung installiert, die eingeschüchterte Anwender abzockt und persönliche Daten wie Konto- und Kreditkartennummern stiehlt. Zwar hat Apple auf diese Bedrohung mit einem Sicherheitsupdate reagiert. Das wurde jedoch innerhalb weniger Stunden mit einer neuen Variante der Schadsoftware umgangen. Damit hat das in der PC-Welt schon lange bekannte Katz-und-Maus-Spiel auch im Apple-Kosmos Einzug gehalten.

Leider sind Apple-Anwender und Apple selbst auf diese Situation nicht optimal vorbereitet. Während die Nutzer ihre Haltung zum Thema Sicherheit grundsätzlich überdenken sollten, reagiert der Hersteller mit Sicherheitsmechanismen, die gemessen an den Standards in der Windows-Welt als überholt einzustufen sind. Der von Apple favorisierte klassische Pattern-Ansatz, der die bekannten Signaturmuster von Schadsoftware in eine Datei packt, reicht schon längst nicht mehr aus. Einerseits ist der zeitliche Abstand zwischen dem Erkennen neuer Schadsoftware und ihrer Varianten sowie der Veröffentlichung der Pattern-Datei viel zu groß, als dass er mit der Ausstoßrate an neuer Schadsoftware mithalten könnte. Andererseits sind viele Anwender zu nachlässig und aktualisieren ihre Pattern-Dateien entweder zu selten oder viel zu spät.

Effektiver Schutz vor Schadsoftware – alle zweieinhalb Sekunden gibt es eine neue Variante – kommt heute ohne Echtzeitabfragen in den Datenbanken der Sicherheitshersteller im Internet nicht mehr aus. Das haben die Experten in der Windows-Welt in den letzten Jahren gelernt. Nur im Apple-Kosmos ist diese Erkenntnis bislang noch nicht ausreichend angekommen. Geeignete Lösungen wie zum Beispiel die miteinander korrelierten Reputationsdienste zu Webadressen, Dateien und E-Mails des Trend Micro Smart Protection Network sind seit längerem verfügbar – auch für Mac-Anwender. Diese sollten nicht mehr warten und sich mit geeigneten Sicherheitslösungen schützen. Denn die Schonzeit ist vorbei, die Mac-Bastion nicht mehr uneinnehmbar.

Über Udo Schneider
Als Solution Architect EMEA beim IT-Sicherheitsanbieter Trend Micro ist Udo Schneider mit den Gefahren vertraut, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bei der Entwicklung geeigneter Gegenmaßnahmen konzentriert er sich auf die Themen Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit. Schneider greift dabei auf eine langjährige Erfahrung zurück, die er als Berater, Trainer und Professional-Services-Analyst bei führenden Anbietern des IT-Sicherheitsmarktes erworben hat.

Cyberkriminelle können sich 2011 auf ein sehr profitables Jahr freuen – angesichts des zunehmenden Einsatzes mobiler Geräte und der steigenden Zahl von Betriebssystemen im Unternehmenseinsatz. Verstärkt kommen auch Social-Engineering-Taktiken zum Einsatz: Anwender werden immer mehr personalisierten Attacken ausgesetzt sein, wobei die Angriffe subtiler und die Website-Infektionen „von der Stange“ abnehmen werden. Hauptquelle bleibt das Internet. Untersuchungen der Virenanalysten von Trend Micro ergaben, dass sich mehr als 80 Prozent der gängigsten Malware über das Web verbreiten und so auf die Systeme der Benutzer gelangen (Quelle: Untersuchungen der TrendLabs, des globalen Netzwerks aus Forschungs- und Support-Zentren von Trend Micro, zwischen April und September 2010).

Noch sind dank der Vielfalt mobiler Geräte nicht viele Angriffe darauf zu verzeichnen. Aber da die Marktanteile neuer Plattformen steigen, wird die Malware-Industrie auf der Suche nach Sicherheitslücken und Designfehlern in den neuen Systemen ihre Angriffe darauf konzentrieren. So gibt es beispielsweise bereits ein Proof-of-Concept für Android, auch sind erfolgreiche Angriffe auf Google Android zu erwarten. Generell lässt sich feststellen, dass es innerhalb der Szene eine weitere Konsolidierung geben wird, denn Gruppen werden sich zusammenschließen oder ihre Kräfte bündeln, während die öffentliche Aufmerksamkeit für Cyber-Attacken wachsen wird.

Cloud Computing und Virtualisierung bieten viele Vorteile und sorgen für erhebliche Kostensenkungen. Doch weil dadurch Server nach außerhalb der traditionellen Sicherheitsperimeter verlagert werden, steigen die Risiken. Es bieten sich mehr Angriffsflächen für Cyberkriminelle, und auch die Sicherheitsanforderungen an Cloud-Service-Provider steigen. Die Experten von Trend Micro erwarten für das kommende Jahr einen Anstieg bei Proof-Of-Concept-Angriffen auf Cloud-Infrastrukturen und virtuelle Systeme. Angesichts des Aufbrechens der Desktop-Monokultur werden Cyberkriminelle Angriffe auf die in der Cloud vorherrschende Monokultur starten, um herauszufinden, wie sie diese erfolgreich infiltrieren und für ihre Zwecke missbrauchen können.

Social Engineering und damit das Ausnützen menschlicher Gutgläubigkeit im Unternehmen, um an vertrauliche Informationen zu kommen, wird auch 2011 eine große Rolle bei der Verbreitung von Bedrohungen spielen. Nach Einschätzung der Experten von Trend Micro wird es im kommenden Jahr eine Zunahme an personalisierten Attacken mithilfe solcher Taktiken geben. Das heißt, die Angriffe werden subtiler, während die Website-Infektionen „von der Stange“ und die zum Anklicken verleitenden infizierten Webseiten weniger werden.

Angesichts der Browser-Vielfalt und der immer bewusster agierenden Anwender, die beispielsweise die NoScript-Option in Firefox nutzen, sind einige der herkömmlichen Angriffsvektoren nicht mehr so effektiv für die Malware-Industrie, beispielsweise Sicherheitslücken im Browser oder die Infiltration von Web-Servern. Aus diesem Grund nutzen Cyberkriminelle immer mehr Social-Engineering-Tricks und verleiten die Benutzer dazu, etwas „Sinnvolles“ herunterzuladen. So lassen sich sogar vollständig gepatchte und gesicherte Systeme infiltrieren, warnen die Experten von Trend Micro.

Immer mehr geraten auch mittelständische Unternehmen ins Fadenkreuz der Cyberkriminellen. Diese bedienen sich dabei illegaler Toolkits, deren Verbreitung im Jahr 2010 geradezu explosionsartig zunahm. Sie machen es leichter, bestimmte Unternehmensarten anzugreifen. So galten die Angriffe mit ZeuS aus dem gerade abgelaufenen Jahr in erster Linie kleinen Unternehmen. Derartig zielgerichtete und an die jeweiligen Bedingungen angepasste Angriffe werden aller Voraussicht nach weiter zunehmen und dabei immer raffinierter werden, wobei sowohl bekannte Markenunternehmen als auch wichtige Infrastrukturen Ziel sein könnten. Auch die Sicherheitsanbieter selbst werden 2011 sehr wahrscheinlich Ziel von Angriffen werden, um so Verwirrung und Unsicherheit unter den Nutzern zu stiften.

Trend Micro hat seinen jährlichen Future Threat Report 2010 veröffentlicht, der die künftige Bedrohungslandschaft aufzeigt:

Virtualisierung, Cloud Computing und sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Infolge der weiteren Verbreitung von Cloud Computing und der Virtualisierungstechnologie in den Unternehmen gehen wir davon aus, dass die Cyberkriminellen neue Methoden finden werden, um ihre Profite zu vergrößern. Im November 2009 machte der US-Anbieter Danger.com Schlagzeilen, als es zu Problemen in seinem Cloud-basierten Rechenzentrum kam, in deren Folge die persönlichen Daten vieler Sidekick-Kunden unwiederbringlich verloren gingen. Der Vorfall demonstriert Schwachstellen des Cloud Computing, die  Trend Micro geht davon aus, dass Cyberkriminelle dabei entweder die Anbindung zur Cloud anvisieren oder aber das Cloud-Datenzentrum selbst Cyberkriminelle auszunutzen versuchen werden.

Sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Das Internetprotokoll der nächsten Generation, Internet Protocol v.6 (IPv6), das von der Internet Engineering Task Force vorgestellt wurde, befindet sich noch in der Experimentalphase, das seit nunmehr 20 Jahren bestehende Protokoll IPv4 abzulösen. Nicht nur Anwender fangen an, sich mit IPv6 auseinanderzusetzen, auch Cyberkriminelle sind aktiv. Man kann erwarten, dass erste Proof-of-Concept-Elemente in IPv6 im kommenden neuen Jahr sichtbar werden. Mögliche Zugänge für einen Missbrauch beinhalten Covert Channels oder Command & Control.

Domain-Namen werden zunehmen internationalisiert und die Einführung regionaler Top-Level-Domains (Russisch, Chinesisch und arabische Schriftzeichen) wird neue Möglichkeiten kreieren, altbekannte Phishing-Attacken über ähnlich aussehende Domains aufleben zu lassen – mit der Nutzung kyrillischer Schriftzeichen anstelle von lateinischen Buchstaben. Trend Micro sagt voraus, dass es zu Reputationsproblemen und zu Missbrauch kommen wird, der für Sicherheitsanbieter eine große Herausforderung bedeutet.

Social Media und soziale Netzwerke bleiben im Fadenkreuz der Cyberkriminellen, die darüber versuchen, in den „Kreis der Vertrauten“ der Nutzer einzudringen:

Soziale Netzwerke sind aus Sicht der Kriminellen mittlerweile einträgliche Schauplätze, um an persönliche Informationen heranzukommen. Die Qualität und Quantität der dort veröffentlichten Daten der Benutzerprofile und die Möglichkeit, Interaktionen nachzuverfolgen, laden Cyberkriminelle geradezu ein, die Identität des Nutzers zu stehlen und für weitere Social Engineering-Angriffe zu missbrauchen. 2010 wird sich die Situation zuspitzen, so wird erwartet, dass vor allem bekannte Persönlichkeiten das Opfer manipulierter Profilseiten und gestohlener Bankdaten werden.

Globale Attacken werden aussterben,lokalisierte, gezielte Angriffe mehr werden:

Die Bedrohungslandschaft hat sich verändert. Attacken auf globaler Ebene, wie bei Slammer und CodeRed der Fall, gehören der Vergangenheit an. Nicht einmal der von den Medien begleitete Conficker-Vorfall im Jahr 2008 und Anfang 2009 war ein globaler Angriff im eigentlichen Sinn. Vielmehr handelte es sich dabei um einen besonders sorgfältig vorbereiteten und dirigierten Angriff. Künftig wird erwartet, dass die Zahl und die Raffinesse lokalisierter und gezielter Angriffe steigen wird.

Trend Micros weitere Vorhersagen für 2010:

• So lange das Geld lockt, blüht das Cybercrime-Geschäft.
• Windows 7 wird die Bedrohungslandschaft beeinflussen, denn in der Standardkonfiguration ist das Betriebssystem weniger sicher als Vista.
• Risikomindernde Maßnahmen funktionieren immer weniger, selbst im Fall von alternativen Browsern und Betriebssystemen.
• Malware verändert ihre Form oft innerhalb weniger Stunden.
• Drive-By-Infektionen sind die Norm; der einmalige Besuch einer Website genügt um sich zu infizieren!
• Es entstehen neue Angriffsvektoren für virtualisierte und Cloud-Computing Umgebungen.
• Botnetze können nicht mehr gestoppt werden. Sie sind da, um zu bleiben.

Viele Sicherheitsverantwortliche und IT-Administratoren sind es leid, sich ständig mit System-Patches und Sicherheits-Updates herum zu schlagen. Sie stellen Überlegungen an, ob Betriebssysteme wie Google Chrome Microsofts Dominanz im Bereich der Desktop-Betriebssysteme lockern und sie vielleicht in fünf Jahren mit einer höheren Sicherheit rechnen können. Dies ist eine schwierige Frage, denn wir sollten davon ausgehen, dass es in ein paar Jahren noch mehr zerstörerische Technologien geben wird. Daher ist wohl die beste Antwort auf obige Überlegungen zu analysieren, was derzeit passiert.

Wir befinden uns eindeutig in einem fortwährenden Cyberkrieg. Die Angreifer sind Cyberkriminelle, die mit Malware, Hacking und anderen bösartigen Aktivitäten gutes Geld verdienen. Und sie können ihre Angriffe deswegen erfolgreich durchführen, weil der Desktop fest in der Hand eines Betriebssystems ist. Ein Angreifer, der sich mit seinen Attacken auf Microsoft-Plattformen konzentriert, ist in der Lage, genügend Computer zu erreichen, um damit viel Geld zu verdienen. Dies ist ganz einfach eine Frage der Wirtschaftlichkeit. Sobald andere Betriebssysteme wie Mac OS sich weiter verbreiten und Desktop-Marktanteile gewinnen, wird dafür auch mehr Malware in Umlauf kommen – nicht weiter erstaunlich.

Doch was passiert, wenn das Betriebssystem sehr klein und quelloffen ist? Oder wenn alle Daten und Anwendungen in der Cloud gespeichert werden, wie es bei Chrome OS der Fall ist? Ist das sicherer?

Theoretisch ja. Das Betriebssystem ist kleiner (weniger Codezeilen) und hat infolgedessen weniger Schwachstellen. Aufgrund der Tatsache, dass es aber auch weniger mächtig ist, könnte lokal installierte Malware der Vergangenheit angehören. Ich glaube auch nicht, dass Open Source riskanter ist, weil die Angreifer die Schwachstellen schneller entdecken – ein häufiges Argument gegen Quelloffenheit. Sicherheit durch Verheimlichung hat noch nie funktioniert.

Einige der Angriffsszenarien könnten dennoch auch weiter erfolgreich sein:

1. Manipulieren der Verbindung zur Cloud: Dabei müssen Angreifer etwas am Betriebssystem herumpfuschen, um die DNS-Records zu ändern. Als Folge wird der Nutzer erst an eine Untergrund-Site geraten und dann auf seine Webanwendungsseite weitergeleitet. Damit sind dann alle seine Daten einzusehen, wenn der Kommunikationskanal nicht gesperrt werden kann. Klar, wir könnten uns auf IPv6, Verschlüsselung und Zertifikate verlassen, doch ist und bleibt dies ein Angriffspunkt.
2. Die Cloud selbst angreifen: Wenn Cloud-basierte Anwendungen und Cloud-getriebene Betriebssysteme zur Normalität werden, wie wichtig ist eine 99,999-prozentige Verfügbarkeit? Sie stellt den Schlüssel zum Erfolg dar, denn ohne den Zugang zu den Informationen und dem Anwendungs-Host ist der Computer wertlos. Was passiert also, wenn die Angreifer Standard-Botnetze nutzen, um die Cloud-Infrastruktur des Hosts zu überlasten? Wir werden in den nächsten zehn Jahren sicherlich von Bots infizierte Computer mit Standard-Betriebssystemen erleben. Vorstellbar ist auch, dass Angreifer eine kleine „Spende“ fordern, um sicherzustellen, das der Cloud-Host, der mit Anfragen überschüttet wurde, seine Dienste wieder aufnimmt? Ein sehr lukratives Geschäft für Kriminelle und keine Science Fiction. Dies passiert bereits im kleineren Umfang, doch wenn ein Geschäft (die Infektion von Desktops mit Malware) einbricht, so wird ein neues Geschäftsmodell dies ersetzen.
3. Diebstahl von wertvollen Informationen wie Kreditkartendaten oder Logon-Konten in der Cloud: Die Cloud-Anbieter müssen sicherstellen, dass kein nicht autorisierter Zugriff möglich ist, dass ein Hacker niemals in der Lage ist, Millionen von User-Datensätze, Login-Daten, Online-Banking-Informationen, Rechnungsdaten, Transaktionsdaten und so weiter zu kopieren. Ich bezweifle, dass das möglich ist!

Ich vermeide jede Prognose zur Verbreitung von Chrome OS oder eines anderen Betriebssystems innerhalb der nächsten fünf Jahre. Doch eines ist sicher: Die Sicherheitsindustrie wird nicht verschwinden, sondern sie muss sich neu erfinden, um die künftigen Angriffsvektoren zu anzugehen. Das bedeutet keine lokalen Antivirus-Lösungen mehr mit riesigen Signaturdateien, stattdessen Cloud-basiert Reputationsdienste für Web, E-Mail und Dateien. Trend Micro bietet mit dem Smart Protection Network heute schon einen solchen intelligenten, Cloud-basierten Schutz an. Und natürlich bedarf es der Schwachstellenüberprüfung, Abwehr und Verschlüsselung – also des gesamten, für den sicheren Austausch von digitalen Informationen erforderlichen Arsenals.

Portabilität und Interoperabilität beim Cloud Computing scheinen die Sicherheit nur marginal zu berühren. Doch sind die beiden Bereiche wichtig, wenn es darum geht, die Abhängigkeit von einem einzigen Anbieter zu vermeiden, um etwa Risiken bei der Verfügbarkeit von Diensten und Daten möglichst gering zu halten. Standardisierung war schon immer ein Mittel, um Portabilität und Interoperabilität sicher zu stellen. Daher ist es nicht weiter verwunderlich, dass man auch beim Cloud Computing davon ausgeht, über Standards Herstellerabhängigkeit vermeiden zu können.

Interoperabilität und Portabilität für Infrastructure-as-a-Service (IaaS) wirft zwei wichtige Probleme auf. Das eine ist das Format der Templates (oder Images) der virtuellen Maschine für die Beschreibung der Platten und der Konfiguration der erforderlichen virtuellen Ressourcen. Im Allgemeinen werden diese Daten von der darunter eingesetzten Virtualisierungslösung bestimmt, doch haben einige Anbieter eigene Formate entwickelt, beispielsweise die Amazon Machine Image. Zwar gibt es das Open Virtualization Format (OVF) als einzigen Standard, doch werden Anbieter öffentlicher Clouds aus verschiedenen Gründen auch weiterhin ihre eigenen Formate unterstützen. Daher bietet sich als zweitbeste Lösung für die praktische Portabilität eine Formatumwandlung an. Als Zwischenlösung akzeptieren einige Service Provider mittlerweile mehrere Formate, um den Umwandlungs-Overhead zu vermeiden.

Die zweite Herausforderung besteht in der derzeitigen Inkompatibilität des Management-APIs für das Hoch- und Herunterladen, die Inspektion, Konfiguration sowie verschiedene andere Aktionen. Jeder Anbieter hat sein eigenes API, das Orchestrierungs-Software daran hindert, mit mehreren Service Providern zusammen zu arbeiten. Mehrere Ansätze für eine Problemlösung sind vorhanden. Einige Gruppen wie das Open Grid Forum versuchen, mit dem Open Cloud Computing Interface (OCCI) einen Standard zu spezifizieren. Andere wie Eucalyptus emulieren das Amazon Web Services Interface als den Defacto-Standard. VMware hat sein eigenes vCloud API entwickelt und dies der Distributed Management Task Force (DMTF) als offenen Standard übergeben. Das vCloud API soll eine Basisinteroperabilität zwischen Vmware-basierten Lösungen (und künftig vielleicht auch anderen) liefern. Dabei geht es aber bestimmt nicht um die etablierten Lösungsanbieter.

Die meisten Provider verzichten auf offizielle Standardisierung, weil sie in diesem aufstrebenden Markt schnell vorankommen wollen und müssen, und Standardisierungsgremien sind nicht gerade für ihre Schnelligkeit bekannt. Doch auch wenn es nicht ein einziges, allgemein akzeptiertes API gibt, heißt das nicht, dass diese Tatsache die Interoperabilität und Portaliblitä zunichte macht. Mehrere APIs lassen sich unter einem einzigen kombinieren, auch ohne Zutun des Providers.

Für den Bereich Virtualisierung gibt es bereits ein API für die APIs, und zwar ist das das libvirt.  Für das Cloud Computing übernimmt das Unified Cloud Interface Project die Aufgabe, ein solches API zu definieren, die Arbeiten stecken allerdings noch in den Kinderschuhen. Eine weitere Initiative cloudloop liefert ein API für die Zusammenarbeit verschiedener Storage-Dienste, sodass Framework-Anbieter, Middleware-Hersteller und Endanwender ein einziges API nutzen können, ohne sich über die Abhängigkeit von einem Service Provider Gedanken machen zu müssen.

Für Platform-as-a-Service (PaaS) wiederum stellt Portabilität und Interoperabilität eine größere Herausforderung dar, denn Plattform-Dienste können naturgemäß sehr verschiedene Datenformate umfassen. Windows Azure beispielsweise bietet Datenbank-Services und .NET-Anwendungs-Container. Die Applikationen und Daten in Azure aber sind nicht kompatibel zur Google AppEngine. Die einzige Möglichkeit, eine Abhängigkeit zu verhindern, wenn PaaS eingesetzt wird, ist folglich, ein Framework zu wählen, das mehrere Provider offerieren sowie Provider-spezifische Erweiterungen wie die von Python in AppEngine zu vermeiden. Ich gehe davon aus, dass eine ähnliche Abstraktionsstrategie wie in anderen Cloud-Bereichenentstehen wird, sodass eine Anwendung auf vielen PaaS-Produkten lauffähig sein wird.

Die größten Interoperabilitätsprobleme hat aufgrund der Datenvielfalt im Internet Software-as-a-Service (SaaS). Man kann nicht erwarten, dass Daten von Facebook in andere soziale Medien-Site exportiert und von da importiert werden können. Auch lässt sich nicht davon ausgehen, dass alle Software-Services Datenextraktion anbieten. Im Fall von Services wie Google Docs jedoch, kann man natürlich eine Form der Umwandlung oder Export-Optionen erwarten. Hier ist Umwandlung ein praktischeres Vehikel für die Portabilität als Standardisierung.

In dem sich rapide entwickelnden Markt für Cloud Computing werden viele Standards entstehen. Doch wie schon der Storage-Experte Stephen Foskett bemerkt: “Es werden nur die nützlichen Standards überleben.” Dies ist ein gesunder Prozess für eine neue Umgebung wie die des Cloud Computings. Bis sich jedoch diese Standards etabliert haben, lässt sich Portabilität und Interoperabilität auch unabhängig davon erreichen – nämlich über Umwandlung und Abstraktion.