Manfred Kloiber: Diese Angriffsmethode ist aus den Computerlabors der Militärs geschlüpft. Seit einigen Monaten verzeichnen die Sicherheitsbehörden zunehmend Angriffe auf Unternehmensnetzwerke, die sich diese Evasion-Methoden zunutze machen. Welche Unternehmen sind denn besonders betroffen, Peter Welchering?
Peter Welchering: Während der vergangenen sechs Monate waren das den Sicherheitsbehörden zufolge vor allen Dingen Zulieferer fürs Militär, aber auch Hightech-Unternehmen waren betroffen – in Sachen Wirtschaftsspionage. Und Unternehmen mit besonders vielen Zahlungsdaten und Kreditkarteninformationen. Und bisher ging's dabei tatsächlich häufig um die Datenspionage und um das Ausspähen von solchen geldwerten Kreditkartendaten. Doch auch in aktuellen Konflikten wurden auch in den vergangenen Wochen nachweislich Evasion-Techniken eingesetzt. Also Beispielsweise im Konflikt um den Gazastreifen. Von beiden beteiligten Seiten genauso wie in Syrien. Und auch der Iran hat inzwischen erklärt, man könne mit Evasion kritische Infrastrukturen der Gegner ausschalten.
Kloiber: Wie ist das zu bewerten? Ist das eine leere Drohung oder gibt es Anhaltspunkte, dass Evasion-Techniken kritischen Infrastrukturen wirklich gefährlich werden können?
Welchering: Genau dafür sind sie ja entwickelt worden, um kritische Infrastrukturen auszuschalten. Und es gibt zwei Beispiele, die ja auch von den Militärs immer wieder durchgespielt werden. Das eine ist ein Stromausfall, ein Blackout, der in einem Land erzeugt wird, vor allen Dingen, um dann eben in Kernkraftwerken einen Station blackout hinzubekommen. Das nennen die Militärs vireninduzierter Atomschlag. Und das zweite große Szenario, für das es sogar einen eigenen Baukasten gibt, ist ein Angriff mit Evasion-Techniken auf die Verkehrsleitrechner, so dass dann Ampeln ausfallen, Züge nicht mehr fahren können. Und man muss insgesamt feststellen: Seit Ende der 90er sind diese Evasion-Techniken eben auch von der organisierten Kriminalität zunehmend eingesetzt. Und gerade das hat sich während der vergangenen zwölf Monate ganz extrem und sehr massiv modern weiterentwickelt.
Kloiber: Was ist das Besondere an dieser Weiterentwicklung? Wie sehen diese weiterentwickelten Evasion-Techniken aus?
Welchering: Diese weiterentwickelten Techniken arbeiten beispielsweise dann mit einer Veränderung der Größe der Datenpäckchen. So kann man dann schlechter diese Datenpäckchen zusammensetzen um sie eben zu überprüfen mit diesem Verfahren der Normalisierung. Oder sie ändern Datensegmente einfach ab. Auch das erschwert die Überprüfung. Oder etwa sie verschlüsseln den Schadcode, so dass dann auch Signaturen beim Zusammensetzen der Datenpäckchen nicht mehr erkannt werden können. Und, was sie auch noch gerne machen: sie ändern Schadsoftware-Verhalten dann so ab, dass die normale Anomaliedetektion zu spät greift, weil sie gar nicht erkennt, dass hier tatsächlich eine Anomalie vorliegt. Den es weicht nur ganz, ganz wenig, ein bisschen vom normalen Verhalten eines Programms ab. Und von den Militärs gibt es ja inzwischen Baukästen für diese verschiedenen Evasion-Methoden. Und diese Baukästen stellen dann Evasion-Methoden bereit, die kombinierbar sind. Und manchmal werden dann 12, 15, 20 dieser Methoden kombiniert und dann wird es schwierig, abzuwehren.
Kloiber: Auf der einen Seite werden die Evasion-Technologien entwickelt, natürlich werden auf der anderen Seite auch Schutzmaßnahmen dagegen entwickelt. Wie sehen die aus?
Welchering: Eine ganz wesentliche Schutzmaßnahme besteht darin, vom Firewall-Rechner wegzugehen und ihn zu ersetzen durch einen Sicherheitsrechner. Und auf diesem Sicherheitsrechner werden alle Datenpäckchen zusammengesetzt – und eben nicht nur auf dem Zielsystem. Das heißt: Wenn man tatsächlich dann eine Schadsoftware hat in diesem Datenpäckchen, die da versteckt wurde mit Evasion, dann kann man sie auf dem Sicherheitsrechner erkennen und eben auch unschädlich machen – und sie kommt nicht mehr zum Zielsystem. Und zum zweiten gibt es dann eben verbesserte Anomaliedetektion, verbesserte Programme mit Verhaltensüberwachung, die auch schon bei ganz geringem Abweichungsverhalten eben feststellen: Aha, hier könnte tatsächlich eine Schadsoftware vorliegen und die dann insbesondere auch die entsprechenden Ports beobachten, über die normalerweise eben solche Evasion-Techniken arbeiten. Und auf dem Sicherheitsrechner selbst – das ist dann die dritte Maßnahme – gibt es eine Sicherheitsüberprüfung wirklich aller Protokollschichten und aller Ports, so dass man auch erkennen kann, wenn man solchen veränderbaren Datenpäckchen gearbeitet wird. Das stellt ein Mindestmaß an Sicherheit her. Aber im Augenblick haben die Evasion-Techniken die Nase ziemlich vorn.
Zum Themenportal "Risiko Internet"
Peter Welchering: Während der vergangenen sechs Monate waren das den Sicherheitsbehörden zufolge vor allen Dingen Zulieferer fürs Militär, aber auch Hightech-Unternehmen waren betroffen – in Sachen Wirtschaftsspionage. Und Unternehmen mit besonders vielen Zahlungsdaten und Kreditkarteninformationen. Und bisher ging's dabei tatsächlich häufig um die Datenspionage und um das Ausspähen von solchen geldwerten Kreditkartendaten. Doch auch in aktuellen Konflikten wurden auch in den vergangenen Wochen nachweislich Evasion-Techniken eingesetzt. Also Beispielsweise im Konflikt um den Gazastreifen. Von beiden beteiligten Seiten genauso wie in Syrien. Und auch der Iran hat inzwischen erklärt, man könne mit Evasion kritische Infrastrukturen der Gegner ausschalten.
Kloiber: Wie ist das zu bewerten? Ist das eine leere Drohung oder gibt es Anhaltspunkte, dass Evasion-Techniken kritischen Infrastrukturen wirklich gefährlich werden können?
Welchering: Genau dafür sind sie ja entwickelt worden, um kritische Infrastrukturen auszuschalten. Und es gibt zwei Beispiele, die ja auch von den Militärs immer wieder durchgespielt werden. Das eine ist ein Stromausfall, ein Blackout, der in einem Land erzeugt wird, vor allen Dingen, um dann eben in Kernkraftwerken einen Station blackout hinzubekommen. Das nennen die Militärs vireninduzierter Atomschlag. Und das zweite große Szenario, für das es sogar einen eigenen Baukasten gibt, ist ein Angriff mit Evasion-Techniken auf die Verkehrsleitrechner, so dass dann Ampeln ausfallen, Züge nicht mehr fahren können. Und man muss insgesamt feststellen: Seit Ende der 90er sind diese Evasion-Techniken eben auch von der organisierten Kriminalität zunehmend eingesetzt. Und gerade das hat sich während der vergangenen zwölf Monate ganz extrem und sehr massiv modern weiterentwickelt.
Kloiber: Was ist das Besondere an dieser Weiterentwicklung? Wie sehen diese weiterentwickelten Evasion-Techniken aus?
Welchering: Diese weiterentwickelten Techniken arbeiten beispielsweise dann mit einer Veränderung der Größe der Datenpäckchen. So kann man dann schlechter diese Datenpäckchen zusammensetzen um sie eben zu überprüfen mit diesem Verfahren der Normalisierung. Oder sie ändern Datensegmente einfach ab. Auch das erschwert die Überprüfung. Oder etwa sie verschlüsseln den Schadcode, so dass dann auch Signaturen beim Zusammensetzen der Datenpäckchen nicht mehr erkannt werden können. Und, was sie auch noch gerne machen: sie ändern Schadsoftware-Verhalten dann so ab, dass die normale Anomaliedetektion zu spät greift, weil sie gar nicht erkennt, dass hier tatsächlich eine Anomalie vorliegt. Den es weicht nur ganz, ganz wenig, ein bisschen vom normalen Verhalten eines Programms ab. Und von den Militärs gibt es ja inzwischen Baukästen für diese verschiedenen Evasion-Methoden. Und diese Baukästen stellen dann Evasion-Methoden bereit, die kombinierbar sind. Und manchmal werden dann 12, 15, 20 dieser Methoden kombiniert und dann wird es schwierig, abzuwehren.
Kloiber: Auf der einen Seite werden die Evasion-Technologien entwickelt, natürlich werden auf der anderen Seite auch Schutzmaßnahmen dagegen entwickelt. Wie sehen die aus?
Welchering: Eine ganz wesentliche Schutzmaßnahme besteht darin, vom Firewall-Rechner wegzugehen und ihn zu ersetzen durch einen Sicherheitsrechner. Und auf diesem Sicherheitsrechner werden alle Datenpäckchen zusammengesetzt – und eben nicht nur auf dem Zielsystem. Das heißt: Wenn man tatsächlich dann eine Schadsoftware hat in diesem Datenpäckchen, die da versteckt wurde mit Evasion, dann kann man sie auf dem Sicherheitsrechner erkennen und eben auch unschädlich machen – und sie kommt nicht mehr zum Zielsystem. Und zum zweiten gibt es dann eben verbesserte Anomaliedetektion, verbesserte Programme mit Verhaltensüberwachung, die auch schon bei ganz geringem Abweichungsverhalten eben feststellen: Aha, hier könnte tatsächlich eine Schadsoftware vorliegen und die dann insbesondere auch die entsprechenden Ports beobachten, über die normalerweise eben solche Evasion-Techniken arbeiten. Und auf dem Sicherheitsrechner selbst – das ist dann die dritte Maßnahme – gibt es eine Sicherheitsüberprüfung wirklich aller Protokollschichten und aller Ports, so dass man auch erkennen kann, wenn man solchen veränderbaren Datenpäckchen gearbeitet wird. Das stellt ein Mindestmaß an Sicherheit her. Aber im Augenblick haben die Evasion-Techniken die Nase ziemlich vorn.
Zum Themenportal "Risiko Internet"