Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begünstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• Ausgeklügelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools über Social Engineering überrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von Sicherheitslücken und Exploits wird weitergehen. Obwohl die Zahl der ausgenützten Sicherheitslücken, über die berichtet wurde, rückläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenützten Sicherheitslücken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fünf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer großen Schaden zugefügt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus für 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Quelle: flickr

Viele Medien bekundeten ihre Zustimmung für die Ankündigung von AWS‘ (Amazon Webservices) Verschlüsselungsfunktion für S3 (Simple Storage Services). Dabei werden Daten in den S3 Buckets optional verschlüsselt abgelegt. Die Daten werden mittels SSE (Server Side Encryption) auf Seiten des Servers verschlüsselt. Hierbei übernimmt Amazon die gesamte Schlüsselverwaltung automatisch. Der Nutzer braucht nur noch beim Hochladen der Daten zu entscheiden, ob sie verschlüsselt abgelegt werden sollen.

Verschlüsselung ist sicherlich sinnvoll, denn bei einem unberechtigten Zugriff auf die (physikalischen) Platten, auf denen die S3 Daten liegen, kann niemand die Daten verwenden. Doch schützt diese Funktion nicht vor dem Entwenden der Daten, sofern sie über dafür gedachte Kanäle passieren (e.g. Zugriff via https). Da die Ver-/Entschlüsselung transparent auf dem Server passiert, kann jeder, der die Rechte oder Zugangsdaten (berechtigter- oder unberechtigterweise) besitzt, diese Daten von S3 /ent/schlüsselt herunterladen.

Deshalb geht Trend Micro mit Secure Cloud einen anderen Weg und fügt weitere Security-Mechanismen für Kontrolle des Benutzers hinzu.

• Trennung von Schlüsselverwaltung und Ressourcen: Die Schlüsselverwaltung ist getrennt von den verschlüsselten Ressourcen. Ein potenzieller Angreifer kann also mit den Daten allein nichts anfangen — Er benötigt (unberechtigen) Zugriff auf zwei disjunkte Systeme.
• Schlüsselverwaltung/-generierung befindet sich unter Kontrolle des Nutzers: Gibt dieser die Keys nicht frei, so können die Daten nicht entschlüsselt werden.
•  Richtlinienbasierte Identitäts- und Integritätsüberprüfung: S3 ist ein reiner Storage Dienst. SecureCloud geht weiter und adressiert (u.a.) auch Amazon EC2/EBS (Elastic Block Store). In diesem Kontext gilt es, nicht nur Daten zu schützen, sondern auch Instanzen/VMs, die auf diese zugreifen. SecureCloud kann also auch die Identität (etwa Lokation/Rechenzentrum) und Integrität (Welche Netzwerkdienste sind konfiguriert?) mit in die Entscheidung, ob Schlüssel bereitgestellt werden, einbeziehen.

Im Gegensatz zu S3 SSE geht das Trend Micro-Produkt viel weiter und bezieht deutlich mehr Risiken ein. Dies soll aber nicht heißen, dass S3 SSE nichts taugt. Jedes Feature, dass die Sicherheit erhöht, verbessert die Gesamtsicherheit des Systems. Zumal in diesem Fall die zusätzliche Verschlüsselung „nichts kostet“ – weder preislich noch in Form von User Ressourcen.

Cyberkriminelle können sich 2011 auf ein sehr profitables Jahr freuen – angesichts des zunehmenden Einsatzes mobiler Geräte und der steigenden Zahl von Betriebssystemen im Unternehmenseinsatz. Verstärkt kommen auch Social-Engineering-Taktiken zum Einsatz: Anwender werden immer mehr personalisierten Attacken ausgesetzt sein, wobei die Angriffe subtiler und die Website-Infektionen „von der Stange“ abnehmen werden. Hauptquelle bleibt das Internet. Untersuchungen der Virenanalysten von Trend Micro ergaben, dass sich mehr als 80 Prozent der gängigsten Malware über das Web verbreiten und so auf die Systeme der Benutzer gelangen (Quelle: Untersuchungen der TrendLabs, des globalen Netzwerks aus Forschungs- und Support-Zentren von Trend Micro, zwischen April und September 2010).

Noch sind dank der Vielfalt mobiler Geräte nicht viele Angriffe darauf zu verzeichnen. Aber da die Marktanteile neuer Plattformen steigen, wird die Malware-Industrie auf der Suche nach Sicherheitslücken und Designfehlern in den neuen Systemen ihre Angriffe darauf konzentrieren. So gibt es beispielsweise bereits ein Proof-of-Concept für Android, auch sind erfolgreiche Angriffe auf Google Android zu erwarten. Generell lässt sich feststellen, dass es innerhalb der Szene eine weitere Konsolidierung geben wird, denn Gruppen werden sich zusammenschließen oder ihre Kräfte bündeln, während die öffentliche Aufmerksamkeit für Cyber-Attacken wachsen wird.

Cloud Computing und Virtualisierung bieten viele Vorteile und sorgen für erhebliche Kostensenkungen. Doch weil dadurch Server nach außerhalb der traditionellen Sicherheitsperimeter verlagert werden, steigen die Risiken. Es bieten sich mehr Angriffsflächen für Cyberkriminelle, und auch die Sicherheitsanforderungen an Cloud-Service-Provider steigen. Die Experten von Trend Micro erwarten für das kommende Jahr einen Anstieg bei Proof-Of-Concept-Angriffen auf Cloud-Infrastrukturen und virtuelle Systeme. Angesichts des Aufbrechens der Desktop-Monokultur werden Cyberkriminelle Angriffe auf die in der Cloud vorherrschende Monokultur starten, um herauszufinden, wie sie diese erfolgreich infiltrieren und für ihre Zwecke missbrauchen können.

Social Engineering und damit das Ausnützen menschlicher Gutgläubigkeit im Unternehmen, um an vertrauliche Informationen zu kommen, wird auch 2011 eine große Rolle bei der Verbreitung von Bedrohungen spielen. Nach Einschätzung der Experten von Trend Micro wird es im kommenden Jahr eine Zunahme an personalisierten Attacken mithilfe solcher Taktiken geben. Das heißt, die Angriffe werden subtiler, während die Website-Infektionen „von der Stange“ und die zum Anklicken verleitenden infizierten Webseiten weniger werden.

Angesichts der Browser-Vielfalt und der immer bewusster agierenden Anwender, die beispielsweise die NoScript-Option in Firefox nutzen, sind einige der herkömmlichen Angriffsvektoren nicht mehr so effektiv für die Malware-Industrie, beispielsweise Sicherheitslücken im Browser oder die Infiltration von Web-Servern. Aus diesem Grund nutzen Cyberkriminelle immer mehr Social-Engineering-Tricks und verleiten die Benutzer dazu, etwas „Sinnvolles“ herunterzuladen. So lassen sich sogar vollständig gepatchte und gesicherte Systeme infiltrieren, warnen die Experten von Trend Micro.

Immer mehr geraten auch mittelständische Unternehmen ins Fadenkreuz der Cyberkriminellen. Diese bedienen sich dabei illegaler Toolkits, deren Verbreitung im Jahr 2010 geradezu explosionsartig zunahm. Sie machen es leichter, bestimmte Unternehmensarten anzugreifen. So galten die Angriffe mit ZeuS aus dem gerade abgelaufenen Jahr in erster Linie kleinen Unternehmen. Derartig zielgerichtete und an die jeweiligen Bedingungen angepasste Angriffe werden aller Voraussicht nach weiter zunehmen und dabei immer raffinierter werden, wobei sowohl bekannte Markenunternehmen als auch wichtige Infrastrukturen Ziel sein könnten. Auch die Sicherheitsanbieter selbst werden 2011 sehr wahrscheinlich Ziel von Angriffen werden, um so Verwirrung und Unsicherheit unter den Nutzern zu stiften.

Europa ist in der ersten Hälfte 2010 zur weltweit größten Spam-Schleuder avanciert. Dies geht aus dem aktuellen Trend Micro Threat Report 2010 für die erste Jahreshälfte hervor. Entgegen der allgemeinen Wahrnehmung machten pornografische Inhalte lediglich vier Prozent des gesamten Spamvolumens aus. Kommerzielle, auf Betrug ausgerichtete oder medizinische Produkte bewerbende E-Mails hatten einen Anteil von 65 Prozent am weltweiten Spamaufkommen. HTML-Spam ist dabei die beliebteste Form, die unerwünschte digitale Post zu verteilen.

Aus dem Report geht hervor, dass die Zahl verseuchter URLs von 1,5 Milliarden im Januar auf über 3,5 Milliarden im Juni angewachsen ist. Die meisten bösartigen URLs sind in Nordamerika beheimatet, wohingegen im asiatisch-pazifischen Raum die meisten Opfer von Malware-Infektionen anzutreffen sind.

Zu den am häufigsten von Trend Micro geblockten Webseiten zählen Seiten mit indizierten Inhalten, aber auch Webseiten, die gefährlichen Code enthielten wie IFRAME-Code, TROJ_AGENT und JS_DLOADR.ATF.

Trojaner haben etwa einen Anteil von 60 Prozent aller neuen Signaturen oder des jeweiligen von den Trend Labs erstellten Gegenmittels. Sie nehmen allein 53 Prozent aller seit Juni aufgedeckten Bedrohungen ein. Auf dem zweiten und dritten Platz findet sich Backdoor-Software und Trojaner-Spyware, gemeinhin bekannt als Crimeware, mit dem Ziel des Datendiebstahls. Die meisten Trojaner führen zu dieser Art von Malware.

Indien und Brasilien kommen insofern zu einer unrühmlichen Ehre, als sich in diesen Ländern die meisten Computer befinden, die von Botnetzen kontrolliert werden. Botnetze gehören zu den präferierten Werkzeugen von Internetkriminellen, um Malware oder Spam zu verteilen und Angriffe zu verüben.

Bei einer Betrachtung der Infektionsraten nach Branche war der Bildungssektor in der ersten Jahreshälfte 2010 am meisten betroffen: Nahezu die Hälfte aller Malware-Infektionen wurde an Schulen und Universitäten verzeichnet, also dort, wo IT-Verantwortliche vor der schwierigen Aufgabe stehen, eine komplexe und weit verteilte Infrastruktur abzusichern, die von vielen Studenten genutzt wird, die sich kaum an Sicherheitsrichtlinien halten. An zweiter und dritter Stelle liegen Behörden und die Technologiebranche mit jeweils zehn Prozent aller Malware-Infektionen.

ZeuS und KOOBFACE waren in der ersten Jahreshälfte 2010 besonders aktiv. ZeuS wurde von einem in Osteuropa beheimateten Verbrechernetzwerk entwickelt mit dem Ziel, von Nutzern Onlinebanking-Zugangsdaten und ähnlich sensible Informationen zu stehlen. Zielscheibe dieser Angriffe sind vornehmlich kleinere Unternehmen und ihre Banken. Jeden Tag registriert Trend Micro hunderte ZeuS-Abwandlungen und es sieht nicht danach aus, als ob sich dies in Zukunft ändern würde.

Das KOOBFACE-Botnetz kann sich damit rühmen, die bis heute größte Bedrohung für soziale Netzwerke zu sein. Anfang des Jahres bemerkten die Experten bei Trend Micro, dass die Verbrecherbande hinter KOOBFACE das Botnetz regelmäßig aktualisiert: die Botnetz-Architektur wird verändert, neue ausführbare Dateien kommen hinzu, Botnetz-Funktionen verschmelzen mit anderen Binärdateien. Auch begannen die Betrüger die Kommunikation, mit der das Botnetz kontrolliert wird, zu verschlüsseln, um eine Überwachung durch Sicherheitsexperten oder die Behörden zu verhindern.

Sicherheitslücken in Anwendungen waren schon immer ein Teil der Bedrohungslandschaft. In der ersten Jahreshälfte 2010 zählten die Trend Micro-Sicherheitsforscher 2.552 veröffentlichte Sicherheitslücken und Auffälligkeiten in Anwendungen. Es sind weitaus mehr, wenn man die Fälle hinzurechnet, die die Forscher vertraulich allein an die jeweiligen Hersteller gemeldet haben und bei denen das Wissen um diese Lücken nie an die Öffentlichkeit gelangte. Endanwender sind insofern davon betroffen, als der einmalige Besuch einer Website genügt, um sich zu infizieren. Unternehmensserver stehen ebenfalls im Visier, wobei die Internetkriminellen hier ungepatchte Sicherheitslücken ausnutzen. Zwar mag der Zugang komplizierter als bei Einzelsystemen sein, doch lockt die Internetkriminellen die weit größere potenzielle Belohnung.

Das Trend Micro Smart Protection Network bietet als Sicherheitsinfrastruktur den Anwendern innovativen Schutz aus der Cloud und blockiert Sicherheitsbedrohungen in Echtzeit, noch bevor sie den Anwender erreichen. Derzeit kommen im Smart Protection Network täglich 45 Milliarden Anfragen an, täglich werden fünf Milliarden Bedrohungen geblockt und 2,5 Terabyte an Daten verarbeitet. Durchschnittlich 80 Millionen Anwender nutzen täglich das Netzwerk.

Der vollständige Report mit umfassenden Tipps, wie man sich als Unternehmen und Endanwender schützen kann, steht unter Threat Reports zur Verfügung.

Trend Micro hat seinen jährlichen Future Threat Report 2010 veröffentlicht, der die künftige Bedrohungslandschaft aufzeigt:

Virtualisierung, Cloud Computing und sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Infolge der weiteren Verbreitung von Cloud Computing und der Virtualisierungstechnologie in den Unternehmen gehen wir davon aus, dass die Cyberkriminellen neue Methoden finden werden, um ihre Profite zu vergrößern. Im November 2009 machte der US-Anbieter Danger.com Schlagzeilen, als es zu Problemen in seinem Cloud-basierten Rechenzentrum kam, in deren Folge die persönlichen Daten vieler Sidekick-Kunden unwiederbringlich verloren gingen. Der Vorfall demonstriert Schwachstellen des Cloud Computing, die  Trend Micro geht davon aus, dass Cyberkriminelle dabei entweder die Anbindung zur Cloud anvisieren oder aber das Cloud-Datenzentrum selbst Cyberkriminelle auszunutzen versuchen werden.

Sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Das Internetprotokoll der nächsten Generation, Internet Protocol v.6 (IPv6), das von der Internet Engineering Task Force vorgestellt wurde, befindet sich noch in der Experimentalphase, das seit nunmehr 20 Jahren bestehende Protokoll IPv4 abzulösen. Nicht nur Anwender fangen an, sich mit IPv6 auseinanderzusetzen, auch Cyberkriminelle sind aktiv. Man kann erwarten, dass erste Proof-of-Concept-Elemente in IPv6 im kommenden neuen Jahr sichtbar werden. Mögliche Zugänge für einen Missbrauch beinhalten Covert Channels oder Command & Control.

Domain-Namen werden zunehmen internationalisiert und die Einführung regionaler Top-Level-Domains (Russisch, Chinesisch und arabische Schriftzeichen) wird neue Möglichkeiten kreieren, altbekannte Phishing-Attacken über ähnlich aussehende Domains aufleben zu lassen – mit der Nutzung kyrillischer Schriftzeichen anstelle von lateinischen Buchstaben. Trend Micro sagt voraus, dass es zu Reputationsproblemen und zu Missbrauch kommen wird, der für Sicherheitsanbieter eine große Herausforderung bedeutet.

Social Media und soziale Netzwerke bleiben im Fadenkreuz der Cyberkriminellen, die darüber versuchen, in den „Kreis der Vertrauten“ der Nutzer einzudringen:

Soziale Netzwerke sind aus Sicht der Kriminellen mittlerweile einträgliche Schauplätze, um an persönliche Informationen heranzukommen. Die Qualität und Quantität der dort veröffentlichten Daten der Benutzerprofile und die Möglichkeit, Interaktionen nachzuverfolgen, laden Cyberkriminelle geradezu ein, die Identität des Nutzers zu stehlen und für weitere Social Engineering-Angriffe zu missbrauchen. 2010 wird sich die Situation zuspitzen, so wird erwartet, dass vor allem bekannte Persönlichkeiten das Opfer manipulierter Profilseiten und gestohlener Bankdaten werden.

Globale Attacken werden aussterben,lokalisierte, gezielte Angriffe mehr werden:

Die Bedrohungslandschaft hat sich verändert. Attacken auf globaler Ebene, wie bei Slammer und CodeRed der Fall, gehören der Vergangenheit an. Nicht einmal der von den Medien begleitete Conficker-Vorfall im Jahr 2008 und Anfang 2009 war ein globaler Angriff im eigentlichen Sinn. Vielmehr handelte es sich dabei um einen besonders sorgfältig vorbereiteten und dirigierten Angriff. Künftig wird erwartet, dass die Zahl und die Raffinesse lokalisierter und gezielter Angriffe steigen wird.

Trend Micros weitere Vorhersagen für 2010:

• So lange das Geld lockt, blüht das Cybercrime-Geschäft.
• Windows 7 wird die Bedrohungslandschaft beeinflussen, denn in der Standardkonfiguration ist das Betriebssystem weniger sicher als Vista.
• Risikomindernde Maßnahmen funktionieren immer weniger, selbst im Fall von alternativen Browsern und Betriebssystemen.
• Malware verändert ihre Form oft innerhalb weniger Stunden.
• Drive-By-Infektionen sind die Norm; der einmalige Besuch einer Website genügt um sich zu infizieren!
• Es entstehen neue Angriffsvektoren für virtualisierte und Cloud-Computing Umgebungen.
• Botnetze können nicht mehr gestoppt werden. Sie sind da, um zu bleiben.

Viele Sicherheitsverantwortliche und IT-Administratoren sind es leid, sich ständig mit System-Patches und Sicherheits-Updates herum zu schlagen. Sie stellen Überlegungen an, ob Betriebssysteme wie Google Chrome Microsofts Dominanz im Bereich der Desktop-Betriebssysteme lockern und sie vielleicht in fünf Jahren mit einer höheren Sicherheit rechnen können. Dies ist eine schwierige Frage, denn wir sollten davon ausgehen, dass es in ein paar Jahren noch mehr zerstörerische Technologien geben wird. Daher ist wohl die beste Antwort auf obige Überlegungen zu analysieren, was derzeit passiert.

Wir befinden uns eindeutig in einem fortwährenden Cyberkrieg. Die Angreifer sind Cyberkriminelle, die mit Malware, Hacking und anderen bösartigen Aktivitäten gutes Geld verdienen. Und sie können ihre Angriffe deswegen erfolgreich durchführen, weil der Desktop fest in der Hand eines Betriebssystems ist. Ein Angreifer, der sich mit seinen Attacken auf Microsoft-Plattformen konzentriert, ist in der Lage, genügend Computer zu erreichen, um damit viel Geld zu verdienen. Dies ist ganz einfach eine Frage der Wirtschaftlichkeit. Sobald andere Betriebssysteme wie Mac OS sich weiter verbreiten und Desktop-Marktanteile gewinnen, wird dafür auch mehr Malware in Umlauf kommen – nicht weiter erstaunlich.

Doch was passiert, wenn das Betriebssystem sehr klein und quelloffen ist? Oder wenn alle Daten und Anwendungen in der Cloud gespeichert werden, wie es bei Chrome OS der Fall ist? Ist das sicherer?

Theoretisch ja. Das Betriebssystem ist kleiner (weniger Codezeilen) und hat infolgedessen weniger Schwachstellen. Aufgrund der Tatsache, dass es aber auch weniger mächtig ist, könnte lokal installierte Malware der Vergangenheit angehören. Ich glaube auch nicht, dass Open Source riskanter ist, weil die Angreifer die Schwachstellen schneller entdecken – ein häufiges Argument gegen Quelloffenheit. Sicherheit durch Verheimlichung hat noch nie funktioniert.

Einige der Angriffsszenarien könnten dennoch auch weiter erfolgreich sein:

1. Manipulieren der Verbindung zur Cloud: Dabei müssen Angreifer etwas am Betriebssystem herumpfuschen, um die DNS-Records zu ändern. Als Folge wird der Nutzer erst an eine Untergrund-Site geraten und dann auf seine Webanwendungsseite weitergeleitet. Damit sind dann alle seine Daten einzusehen, wenn der Kommunikationskanal nicht gesperrt werden kann. Klar, wir könnten uns auf IPv6, Verschlüsselung und Zertifikate verlassen, doch ist und bleibt dies ein Angriffspunkt.
2. Die Cloud selbst angreifen: Wenn Cloud-basierte Anwendungen und Cloud-getriebene Betriebssysteme zur Normalität werden, wie wichtig ist eine 99,999-prozentige Verfügbarkeit? Sie stellt den Schlüssel zum Erfolg dar, denn ohne den Zugang zu den Informationen und dem Anwendungs-Host ist der Computer wertlos. Was passiert also, wenn die Angreifer Standard-Botnetze nutzen, um die Cloud-Infrastruktur des Hosts zu überlasten? Wir werden in den nächsten zehn Jahren sicherlich von Bots infizierte Computer mit Standard-Betriebssystemen erleben. Vorstellbar ist auch, dass Angreifer eine kleine „Spende“ fordern, um sicherzustellen, das der Cloud-Host, der mit Anfragen überschüttet wurde, seine Dienste wieder aufnimmt? Ein sehr lukratives Geschäft für Kriminelle und keine Science Fiction. Dies passiert bereits im kleineren Umfang, doch wenn ein Geschäft (die Infektion von Desktops mit Malware) einbricht, so wird ein neues Geschäftsmodell dies ersetzen.
3. Diebstahl von wertvollen Informationen wie Kreditkartendaten oder Logon-Konten in der Cloud: Die Cloud-Anbieter müssen sicherstellen, dass kein nicht autorisierter Zugriff möglich ist, dass ein Hacker niemals in der Lage ist, Millionen von User-Datensätze, Login-Daten, Online-Banking-Informationen, Rechnungsdaten, Transaktionsdaten und so weiter zu kopieren. Ich bezweifle, dass das möglich ist!

Ich vermeide jede Prognose zur Verbreitung von Chrome OS oder eines anderen Betriebssystems innerhalb der nächsten fünf Jahre. Doch eines ist sicher: Die Sicherheitsindustrie wird nicht verschwinden, sondern sie muss sich neu erfinden, um die künftigen Angriffsvektoren zu anzugehen. Das bedeutet keine lokalen Antivirus-Lösungen mehr mit riesigen Signaturdateien, stattdessen Cloud-basiert Reputationsdienste für Web, E-Mail und Dateien. Trend Micro bietet mit dem Smart Protection Network heute schon einen solchen intelligenten, Cloud-basierten Schutz an. Und natürlich bedarf es der Schwachstellenüberprüfung, Abwehr und Verschlüsselung – also des gesamten, für den sicheren Austausch von digitalen Informationen erforderlichen Arsenals.

Portabilität und Interoperabilität beim Cloud Computing scheinen die Sicherheit nur marginal zu berühren. Doch sind die beiden Bereiche wichtig, wenn es darum geht, die Abhängigkeit von einem einzigen Anbieter zu vermeiden, um etwa Risiken bei der Verfügbarkeit von Diensten und Daten möglichst gering zu halten. Standardisierung war schon immer ein Mittel, um Portabilität und Interoperabilität sicher zu stellen. Daher ist es nicht weiter verwunderlich, dass man auch beim Cloud Computing davon ausgeht, über Standards Herstellerabhängigkeit vermeiden zu können.

Interoperabilität und Portabilität für Infrastructure-as-a-Service (IaaS) wirft zwei wichtige Probleme auf. Das eine ist das Format der Templates (oder Images) der virtuellen Maschine für die Beschreibung der Platten und der Konfiguration der erforderlichen virtuellen Ressourcen. Im Allgemeinen werden diese Daten von der darunter eingesetzten Virtualisierungslösung bestimmt, doch haben einige Anbieter eigene Formate entwickelt, beispielsweise die Amazon Machine Image. Zwar gibt es das Open Virtualization Format (OVF) als einzigen Standard, doch werden Anbieter öffentlicher Clouds aus verschiedenen Gründen auch weiterhin ihre eigenen Formate unterstützen. Daher bietet sich als zweitbeste Lösung für die praktische Portabilität eine Formatumwandlung an. Als Zwischenlösung akzeptieren einige Service Provider mittlerweile mehrere Formate, um den Umwandlungs-Overhead zu vermeiden.

Die zweite Herausforderung besteht in der derzeitigen Inkompatibilität des Management-APIs für das Hoch- und Herunterladen, die Inspektion, Konfiguration sowie verschiedene andere Aktionen. Jeder Anbieter hat sein eigenes API, das Orchestrierungs-Software daran hindert, mit mehreren Service Providern zusammen zu arbeiten. Mehrere Ansätze für eine Problemlösung sind vorhanden. Einige Gruppen wie das Open Grid Forum versuchen, mit dem Open Cloud Computing Interface (OCCI) einen Standard zu spezifizieren. Andere wie Eucalyptus emulieren das Amazon Web Services Interface als den Defacto-Standard. VMware hat sein eigenes vCloud API entwickelt und dies der Distributed Management Task Force (DMTF) als offenen Standard übergeben. Das vCloud API soll eine Basisinteroperabilität zwischen Vmware-basierten Lösungen (und künftig vielleicht auch anderen) liefern. Dabei geht es aber bestimmt nicht um die etablierten Lösungsanbieter.

Die meisten Provider verzichten auf offizielle Standardisierung, weil sie in diesem aufstrebenden Markt schnell vorankommen wollen und müssen, und Standardisierungsgremien sind nicht gerade für ihre Schnelligkeit bekannt. Doch auch wenn es nicht ein einziges, allgemein akzeptiertes API gibt, heißt das nicht, dass diese Tatsache die Interoperabilität und Portaliblitä zunichte macht. Mehrere APIs lassen sich unter einem einzigen kombinieren, auch ohne Zutun des Providers.

Für den Bereich Virtualisierung gibt es bereits ein API für die APIs, und zwar ist das das libvirt.  Für das Cloud Computing übernimmt das Unified Cloud Interface Project die Aufgabe, ein solches API zu definieren, die Arbeiten stecken allerdings noch in den Kinderschuhen. Eine weitere Initiative cloudloop liefert ein API für die Zusammenarbeit verschiedener Storage-Dienste, sodass Framework-Anbieter, Middleware-Hersteller und Endanwender ein einziges API nutzen können, ohne sich über die Abhängigkeit von einem Service Provider Gedanken machen zu müssen.

Für Platform-as-a-Service (PaaS) wiederum stellt Portabilität und Interoperabilität eine größere Herausforderung dar, denn Plattform-Dienste können naturgemäß sehr verschiedene Datenformate umfassen. Windows Azure beispielsweise bietet Datenbank-Services und .NET-Anwendungs-Container. Die Applikationen und Daten in Azure aber sind nicht kompatibel zur Google AppEngine. Die einzige Möglichkeit, eine Abhängigkeit zu verhindern, wenn PaaS eingesetzt wird, ist folglich, ein Framework zu wählen, das mehrere Provider offerieren sowie Provider-spezifische Erweiterungen wie die von Python in AppEngine zu vermeiden. Ich gehe davon aus, dass eine ähnliche Abstraktionsstrategie wie in anderen Cloud-Bereichenentstehen wird, sodass eine Anwendung auf vielen PaaS-Produkten lauffähig sein wird.

Die größten Interoperabilitätsprobleme hat aufgrund der Datenvielfalt im Internet Software-as-a-Service (SaaS). Man kann nicht erwarten, dass Daten von Facebook in andere soziale Medien-Site exportiert und von da importiert werden können. Auch lässt sich nicht davon ausgehen, dass alle Software-Services Datenextraktion anbieten. Im Fall von Services wie Google Docs jedoch, kann man natürlich eine Form der Umwandlung oder Export-Optionen erwarten. Hier ist Umwandlung ein praktischeres Vehikel für die Portabilität als Standardisierung.

In dem sich rapide entwickelnden Markt für Cloud Computing werden viele Standards entstehen. Doch wie schon der Storage-Experte Stephen Foskett bemerkt: “Es werden nur die nützlichen Standards überleben.” Dies ist ein gesunder Prozess für eine neue Umgebung wie die des Cloud Computings. Bis sich jedoch diese Standards etabliert haben, lässt sich Portabilität und Interoperabilität auch unabhängig davon erreichen – nämlich über Umwandlung und Abstraktion.

Angebote zu webbasierter Sicherheit als ein Service werden aufgrund der Vorteile des Verteilungsmodells immer beliebter. Sicherheit als ein Service ermöglicht durch Echtzeit-Updates und Feedback von Benutzern eine sehr schnelle Bereitstellung, Kostensenkungen und verbesserte Sicherheit.

Mit der explosionsartigen Zunahme des öffentlichen Cloud-Computings ist es an der Zeit, die Techniken, die wir für die Sicherheit AUS der Cloud einsetzen, nun auch zum Schutz FÜR die Cloud verwenden.

In Umgebungen der public Clouds, wie z. B. Amazon Web Services (AWS), bieten Instanzen von Elastic Compute Cloud (EC2) nur eine Firewall als Service. Es liegt am Kunden, alle Schwachstellen des Betriebssystems und der auf der virtuellen Maschine ausgeführten Anwendungen zu schließen. Das regelmäßige Patching kann die Angriffsflächen reduzieren, reicht aber nicht als einzige Maßnahme aus, um eine sichere Umgebung zu gewährleisten. Die einzige zurzeit brauchbare Option zur Stärkung des Sicherheitsprofils ist, dass der Kunde Host-basierte Steuerelemente verteilt und verwaltet. Host-basierte Agenten können Anti-Malware, IDS/IPS, WAF, DLP, Integritätsüberwachung und andere Funktionen bereitstellen, doch liegt es am Endbenutzer, diese Gegenmaßnahmen zu erwerben, zu verteilen, zu konfigurieren und zu überwachen.

Dies ist eine Chance für Service Provider: Sie können Sicherheit als einen Service zum Schutz der Instanzen anbieten, die ihre Kunden erzeugen. Mit der Einführung hochwertiger Pay-per-Use-Sicherheitsservices könnten Kunden die Gegenmaßnahmen auswählen, die sie je nach Funktion benötigen. Es bedarf dann einfach nur der Aktivierung in einer Check Box, um ihre virtuellen Maschinen nach Malware durchsuchen zu lassen.

Während dies eine natürliche Weiterentwicklung zu sein scheint, setzt sich Sicherheit als ein Service im Bereich Infrastructure-as-a-Service (IaaS) nur langsam durch. Dies liegt teilweise an der erforderlichen Architektur. Um die Unabhängigkeit der Plattform sowie die Flexibilität der Umgebung zu bewahren und virtualisierungsspezifische Themen wie Rollback zu lösen, sollten die Sicherheitsservices transparent außerhalb der virtuellen Maschine bereitgestellt werden (Platform-as-a-Service- und SaaS-Angebote unterliegen nicht dieser Einschränkung, da der Service Provider das Betriebssystem verwaltet).

Externe Sicherheit hat sich bereits in Sicherheit als ein Service zum Schutz AUS der Cloud bewährt, beispielsweise E-Mail-Gateways zum Filtern von Spam und Malware. Es ist nicht gängige Praxis, externe Sicherheit FÜR virtuelle Maschinen bei Cloud Providern bereitzustellen, aber es ist heute möglich – und zwar mit virtuellen Gateways oder virtuellen Appliances, die Hypervisor-Sicherheits-APIs einsetzen, um den Prozessor, den Arbeitsspeicher, das Netzwerk und den Speicher der virtuellen Maschinen zu überprüfen. Was Virtualisierungsplattformen angeht, so ist VMware hier mit VMsafe führend bei der Bereitstellung von Sicherheits-APIs. Service Providern, die andere Virtualisierungstechnologien einsetzen, stehen mittlerweile jedoch auch andere Optionen zur Verfügung.

Damit Sicherheit als ein Service auch brauchbar ist, muss Benutzerfreundlichkeit oberste Priorität haben. Bei AWS allein werden JEDEN TAG schätzungsweise 50.000 neue Instanzen hinzugefügt. Um den Anforderungen, den Preisvorstellungen, dem Ausmaß an Selbstbedienungsfunktionen und der Fachkenntnis der Benutzerbasis gerecht zu werden, müssen die Sicherheitslösungen einfach zu verwalten sein. Die aktuelle Konfiguration von Firewall-ACLs in heutigen IaaS-Angeboten der public Cloud ist ein perfektes Beispiel für die erforderliche Einfachheit. Während einige Sicherheitsservices nur sehr wenig Konfiguration erfordern (wie z. B. Anti-Malware), ist bei anderen seit jeher mehr Konfigurationsaufwand nötig. Um Erfolg zu haben, müssen die Sicherheitsservices so weit wie möglich rationalisiert und automatisiert werden. Das kann bedeuten, dass Hypervisor-Sicherheits-APIs verwendet werden, um den Inhalt der virtuellen Maschinen zu überprüfen und sie gemäß der auf ihr ausgeführten Arbeitslast zu konfigurieren.

Diese Anforderungen sind eine ganz besondere Herausforderung für Anbieter von Sicherheitssoftware, die schnell bedarfsgerechte, Mehrmandanten-fähige Lösungen bereitstellen müssen. Die Anbieter müssen sich auch mit dem Mangel an Standards für die Integration mit den Service Providern auseinandersetzen, eine Herausforderung, die erst im Lauf der Zeit durch das Erstellen gemeinsamer Sicherheits-APIs bewältigt werden kann. Für Service Provider bedeutet Sicherheit als ein Service eine zusätzliche Einnahmequelle und Wertsteigerung ihrer Services. Höchstwahrscheinlich werden die Lösungen zunächst von kleineren Service Providern angeboten, um sich von der Konkurrenz abzuheben. Es gibt jedoch genug Marktchancen, so dass auch die dominierenden Provider zwangsläufig nachziehen werden.

Unter Verwendung des dynamisch bereitgestellten, externen Pay-per-Use-Sicherheitsmodells, das bei webbasierten Services zum Schutz AUS der Cloud sehr gängig ist, macht Cloud-Computing zum Schutz FÜR die Cloud absolut Sinn. Endbenutzer haben Zugriff auf die von ihnen benötigten Sicherheitsservices, ohne selbst Zeit und Aufwand zu investieren, und erhalten Sicherheit, die genau so dynamisch ist wie die von ihnen verwendeten webbasierten Services.

Wenn Ihre Server sich im Internet befinden, bietet Ihnen Ihr eigener Netzwerkrand keinen Schutz. Die Sicherheitslösung erfüllt maximal Minimalstandards; dies untergräbt Vertrauen und Regeleinhaltung. Ein gemeinsamer Stand- und Speicherort virtueller Instanzen und Daten mit denen von Fremden, Mitbewerbern und möglicherweise sogar bösartigen Akteuren (wir haben ja bereits gesehen, dass im EC2-Cloud von Amazon kriminelle Aktivitäten gehostet werden) bergen eine Reihe neuer Herausforderungen. Wie bewahrt man das Vertrauen, dass eine inaktive virtuelle Maschine nicht infiziert ist? Wie wird der Verkehr zwischen virtuellen Maschinen sicherheitstechnisch verwaltet? Wie wird mit sich entwickelnden Bedrohungen umgegangen, z. B. mit Malware, die aus einer virtuellen Maschine ausbrechen kann, um das Betriebssystem des Hosts zu infizieren? Wie können interne Angriffe abgewehrt werden? Wie wird das Übernehmen von Patches in einer Umgebung ohne jegliche Ausfallzeiten garantiert?

Damit Sicherheit im Internet wirksam ist, muss sie auf Ebene der virtuellen Maschinen durchsetzbar, konfigurierbar und nachprüfbar sein. Deep-Packet-Inspection-Firewalls und die Abwehr von Eindringlingen in die Anwendungsschicht sind hier Schlüsseltechnologien. Laut des vor Kurzem veröffentlichten „IBM X-Force Trend“-Berichts waren Ende 2008 noch für 74 % aller in diesem Jahr entdeckten Web-Anwendungsschwachstellen keine Patches vom Anbieter bereitgestellt worden. Gleichzeitig ist SQL-Injection zum gängigsten Übertragungsweg für Angriffe geworden. SQL-Injection-Angriffe auf webbasierte Services eröffnen die Möglichkeit großangelegter Dateninfektionen und begünstigen im Extremfall sogar den Upload bösartigen Codes. Firewalls für Webanwendungen sollten anormalen Verkehr ausfiltern, bevor er Daten und Server schädigen kann.

Bei den Schwachstellen, für die ein Patch verfügbar ist, ist es oft schwierig, diese Patches zeitnah auf webbasierte Services zu verteilen, bei denen Ausfallzeiten unerwünscht sind. In vielen Fällen werden virtuelle Maschinen in Umgebungen eingesetzt, wo das Zeitfenster für Patches entweder minimiert wurde oder ganz ausfällt, so dass virtuelle Maschinen anfällig für Angriffe und Infektionen sowohl innerhalb als auch außerhalb der Host-Umgebung sind. Es ist unumgänglich, dass das System in einem Zustand betrieben wird, in dem es nicht anfällig für Angriffe ist, auch wenn noch keine Patches verteilt wurden. Mit Host-basierter Abwehr von Eindringlingen sollten Sie hierzu in der Lage sein.

Herkömmliche Anti-Malware-Lösungen für virtuelle Maschinen haben sich in etlichen Bereichen als unzureichend erwiesen. Am offensichtlichsten ist die hohe Belastung für das Host-Betriebssystem, insbesondere, wenn eine zeitgesteuerte Suche ausgeführt werden muss. In der Regel sind sie nicht VI-fähig, so dass gleichzeitige Komplettsuchen enorme Leistungseinbußen zur Folge haben können. Auch können viele VM-Sicherheitslösungen keine inaktiven Maschinen durchsuchen oder aktualisieren. Geht ein solcher Computer dann online, ist seine Viren-Pattern-Datei möglicherweise veraltet, und es besteht ein Infektionsrisiko. In diesem Jahr wurde eine VMware-Schwachstelle offengelegt, durch die Malware auf einer infizierten virtuellen Maschine Code auf dem Host ausführen konnte. Es steht also immer mehr auf dem Spiel (zumal auch Malware-Forscher manchmal eine Denkpause einlegen müssen)!

Letztlich ist Web-Sicherheit einfach deshalb unerlässlich, weil die Sicherheit Ihrer Kunden, Ihrer Mitarbeiter und Ihres Unternehmens nicht im Namen von Wirtschaftlichkeit geopfert werden sollte.