Forensic Investigations / Fi Blog

Fi Blog

Diesen Monat haben zwei Institutionen unabhängig voneinander Studien zur IT-Sicherheit in der Energiewirtschaft bzw. in der Energie- und Wasserwirtschaft veröffentlicht. Deren wichtigste Ergebnisse will ich im Folgenden zusammenfassen und einordnen. Insgesamt waren die Ergebnisse aus meiner Sicht wenig überraschend.

Q1 Labs/Ponemon Institute Studie

In einer von Q1 Labs und dem Ponemon Institute durchgeführten Studie wurden international 291 zufällig ausgewählte IT-Verantwortliche aus der Energiewirtschaft befragt. Die Studie kommt u.a. zu folgenden Ergebnissen:

  • 75% der Organisationen hätten mindestens einen erfolgreichen Cyberangriff in den letzten 12 Monaten verzeichnet
  • 71% der IT-Verantwortlichen sagten, Ihr Management verstünde oder würdige IT-Sicherheit nicht
  • 72% sagten, bisherige Ansätze seien nicht effektiv, aussagekräftige Daten über tatsächliche oder mögliche Attacken (z.B. Echtzeitalarme, Bedrohungsanalysen und Priorisierung) zu erhalten
  • nur 21% glaubten, dass ihre existierenden Mechanismen ausreichend seien, um Attacken aus SmartGrids oder von SmartMeter -verbundenen Geräten zu verhindern
  • nur 39% glaubten, gegen Advanced Persistent Threats (APTs ) ausreichend abgesichert zu sein
  • 67% seien eigenen Angaben zufolge nicht auf dem aktuellen "Stand von Wissenschaft und Technik "

McAfee/CSIS Studie

In einer zweiten, von McAfee und dem Center for Strategic and International Studies (CSIS) durchgeführten Studie wurden die Antworten von 200 zufällig ausgewählte Führungspersonen privater Betreiber aus der Energie- und Wasserwirtschaft in insgesamt 14 Ländern analysiert. Um einen vollständiges Bild erfassen zu können, habe ich die Veröffentlichung der gesamten Studie in der Woche vor Ostern abgewartet, statt die auszugsweise Vorab-Berichterstattung anderer Medien aufzugreifen.

Mehr Erpressungen, mehr Angriffe, neue Risiken

  • 25% wären Opfer von Erpressungen innerhalb der letzten 24 Monate geworden, 2009 lag die Zahl noch bei 20%. Regional angeführt würde die Statistik von Mexiko und Indien, wo gar 80% bzw. 60% Opfer von Erpressungen gewesen seien.
  • die Frequenz der Angriffe steige
  • die Einführung von SmartGrids und SmartMetering würde das Risiko zusätzlich erhöhen

Stuxnet: Infektionszahlen und Konsequenzen

Der berüchtigte Stuxnet-Wurm sei

  • bei rund 40% aller befragten Unternehmen gefunden worden
  • mit 46% aller Unternehmen sei die Elektrizitätsbranche besonders betroffen gewesen
  • Spiegel Online hatte unter Berufung auf McAfee vorab berichtet , in Deutschland seien gar 59% der Energie- und Wasserversorger befallen gewesen; in der Studie selbst finden sich jedoch keine auf Länder heruntergebrochenen Zahlen.

Die größten Konsequenzen aus dem Stuxnet-Vorfall seien in den Vereinigten Arabischen Emiraten, Italien und Japen gezogen worden, die vergleichsweise geringe Infektionszahlen gehabt hätten. Diese gehören jedoch zu den Staaten, die lt. der Studie allgemein die meisten Sicherheitsmaßnahmen implementiert hätten, mehr dazu im Folgenden.

Risikoeinschätzung der Branche und Realität

  • Malware: fast 80% sähen sich "sehr gut" oder "gut" vorbereitet, dennoch wurden 40%+ alleine Opfer von Stuxnet (Gesamtzahlen inklusive anderer Malware liegen leider nicht vor). Hinzu kommt, dass Stuxnet über ein Jahr sein Unwesen treiben konnte, ohne das irgendjemand etwas bemerkt hatte. Gute Vorbereitung sieht m.E. anders aus.
  • Netzwerkeinbrüche: knapp über 60% sähen sich "sehr gut" oder "gut" gewappnet, dennoch wurden 85% Opfer eines solchen Angriffs. Die o.g. Einschätzungen aus der Ponemon-Studie scheinen ebenfalls ein deutlicher Widerspruch zu diesem Wert zu sein.
  • Denial of Service (DoS ): lediglich ca. 50% sähen sich "sehr gut" oder "gut" vorbereitet, 80% wurden in der Praxis mit dem Problem konfrontiert, über die Auswirkungen gibt es aber leider ebenfalls keine Daten.

Erstaunlich finde ich hier, dass sich 80% bzw. 60% Malware und Netzwerkeinbrüchen entspannt gegenüber sehen, während dies bei der aus meiner Sicht wesentlich geringeren und einfach zu beseitigenden Gefahr der DoS-Attacken nur bei 50% der Fall ist. M.E. zu Recht werden in der Studie DoS-Attacken als "Kinderkram" bezeichnet, verglichen mit moderner Malware.

Besonders bei den Themen Malware und Netzwerkeinbrüchen legen die Zahlen auch eine deutliche Schere zwischen "gefühlter" und "realer" Sicherheit nahe. Dies bestätigt meine schon häufig geäußerte Beobachtung eines überzogenen Glaubens an Firewalls und Virenscanner .

Regional gibt es ebenfalls interessante Beobachtungen:

  • in Brasilien, wo 2005 und 2007 große Stromausfälle beobachtet wurden, die nicht wenige Experten auf Malware-Befall zurückführen, fühlen sich 91% unvorbereitet für Malware-Attacken
  • in Australien, wo große Aufklärungskampagnen in Sachen Cybersecurity und Schutz kritischer Infrastrukturen seitens der Regierung durchgeführt wurden, fühlten sich 90% unvorbereitet auf Netzwerkeinbrüche

Umsetzung von Sicherheitsmaßnahmen zu langsam

Alle Branchen hätten die Sicherheitsmaßnahmen seit 2009 erhöht. Gemessen wurde hier jedoch nur die Zahl der eingesetzten Technologien, nicht jedoch deren Effizienz, Ausgewogenheit oder technische und organisatorische Umsetzung. Diese Zahlen können also nur als Anhaltspunkt zur Sicherheitslage gesehen werden und geben nicht unbedingt direkt Auskunft über das absolute Sicherheitsniveau.

  • die Wasserver- und Entsorgungsbranche hätten nominell die meisten zusätzlichen Maßnahmen von 38% auf 46% verzeichnet, bildeten aber dennoch weiter das Schlusslicht unter den untersuchten Branchen
  • Öl und Gas hätten nominell von 45% auf 48% zugelegt
  • die Elektrizitätsbranche hätte sich von 50% auf 51% nominell lediglich minimal gesteigert

Die Studie kommt dabei zu dem Schluss, dass die Adaption von Sicherheitstechnologien mit dem Fortschreiten der Bedrohungslage nicht Schritt halten könne.

Regional gibt es ebenfalls signifikante Unterschiede:

  • China (59%), Italien (55%) und Japan (54%) führten die Statistik an
  • Mexiko, Frankreich und Brasilien bildeten die Schlusslichter
  • die restlichen Staaten, u.a. Deutschland, lägen im Mittelfeld um 43%

Staatliche Kontrolle und Regulierung

Staatliche Audits sind in vielen Ländern in unterschiedlichem Ausmaß üblich.

  • Japan (100%), China (70%) und die Vereinigten Arabischen Emirate (ca. 65%) hätten hier die höchsten Quoten
  • Deutschland läge mit 40% abermals im Mittelfeld
  • die geringste Anzahl staatlicher Audits fänden in Italien, den Vereinigten Staaten, Spanien und im Vereinigten Königreich statt

Interessanter Weise stiege das Vertrauen in staatliche Institutionen mit der Dichte der Kontrollen. Einen Ausnahmestatus hätte das japanische Modell inne, bei dem man durchgängig auf "Public-Private Partnerships" setzte, die die Autonomie der Infrastrukturbetreiber ausdrücklich anerkennen, und eher motivieren statt regulieren möchten.

Staaten als Bedrohung

Die Unternehmen befürchteten auch Spionage oder Sabotage fremder Staaten. Dies ist nicht verwunderlich, können Cyberwaffen doch – im Gegensatz zu konventionellen – mit relativ geringem Budget auch von kleineren Staaten hergestellt werden, und ohne wesentlich erhöhten Aufwand mehrere Ziele parallel anvisieren.

  • China (30%), Russland (16%), die Vereinigten Staaten (12%) und Nordkorea (11%) würden global am häufigsten gefürchtet
  • die deutlichste Veränderung hätte sich bei den Vereinigten Staaten (12%) ergeben, die 2009 noch von 36% gefürchtet worden wären

Naturgemäß gibt es besonders hier regional signifikante Unterschiede

  • in China sähen 3/4 die Vereinigten Staaten als größte Gefahr
  • in Japan hätten 2/3 aller Befragten China oder Nordkorea als am gefährlichsten benannt
  • in den Vereinigten Arabischen Emiraten sähen 2/3 die Nachbarn im Mittleren Osten mit Argwohn
  • in Australien sähe man Russland als größte Bedrohung (40%)
  • in Indien fürchtete man erstaunlicher Weise das Vereinigte Königreich (fast 1/3) deutlich mehr als China (14%)

Fazit

Mit zunehmender Aufklärung oder praktischer Konfrontation mit einem konkreten Problem steigt auch das Risikobewusstsein der Unternehmen. Dies untermauern auch die o.g. Beispiele von Brasilien und Australien. Nicht selten sind auch Kommunikationsprobleme zwischen IT-Bereich und Management die Ursache für mangelnde oder wenig sinnvolle Investitionen in die Sicherheit, was auch die Ponemon-Studie verdeutlicht.

In unseren Security Audits und Penetrationstests setzen wir theoretische Szenarien praktisch um und veranschaulichen damit, wie ein Angriff durch Insider, Hacker oder Schadsoftware ablaufen würde und welche Konsequenzen dies hätte. Hieran lassen sich die Effizienz vorhandener Sicherheitstechnik oder geplanter Anschaffungen praktisch erfassen und eventuell vorhandene Schutzlücken aufdecken. IT-Abteilungen können so Ihr Management effektiv von der Notwendigkeit einer Maßnahme überzeugen. Umgekehrt kann das Management den Nutzen der Maßnahmen der IT-Abteilungen direkt nachvollziehen. Nehmen Sie Kontakt mit uns auf, gerne beraten wir Sie individuell, schulen Ihre Mitarbeiter, oder geben verbindliche Gutachten (z.B. herstellerneutrale Produktvergleiche, Aufwand/Nutzen, Machbarkeit, Strategieempfehlungen) zu geplanten Maßnahmen ab.


Betrachtung und Kriterien

Die hier untersuchten Daten zu Marktanteilen stammen von OPSWAT (PDF , März 2011), die Leistungswerte von VirusBtn (April 2011) und NSS Labs (PDF , Q3-2010).

Pandasoft (Marktanteil 4,76%) und TrendMicro (Marktanteil 1,77%) tauchen bei VirusBtn aktuell nicht mehr auf und bleiben deshalb hier außer Betracht.

Kernkriterien

Die Erkennungsquote (Schutzumfang) ist sicherlich das wichtigste Kriterium für eine solche Lösung. Daneben spielen die Performance-Auswirkungen und die Bedienung eine Rolle, da sie ansonsten mangelnde Akzeptanz beim Endanwender finden und der Schutz vielfach torpediert wird. Laut einer Untersuchung von Avira schalten 25% der Endanwender Virenschutzlösungen einfach aus, wenn diese zu große Auswirkungen auf die Performance Ihres Systems zeigen .

"Reaktive" und "proaktive" Erkennung

VirusBtn differenziert bei der Erkennungsquote zwischen "reaktivem" und "proaktivem" Schutz, wobei sich "reaktiv" auf muster-("Pattern"-)basierte Erkennung bekannter Schadsoftware bezieht, und "proaktiv" auf die Erkennung unbekannter Schadsoftware durch verhaltens-basierte Verfahren oder generische Muster. Proaktive Erkennung ist besonders bei neuer Schadsoftware wichtig, da für diese häufig noch keine passenden Erkennungsmuster vorliegen. Verhaltens-basierte Erkennung, automatische Klassifikation oder händische Analyse durch Sicherheitsforscher sind auch die einzigen Wege, ein Programm überhaupt als Schadsoftware einzustufen, um anschließend Erkennungsmuster davon erstellen zu können. Die reaktive Erkennung kann (theoretisch) 100% aller (bekannten) Schadprogramme erreichen, während eine proaktive Erkennung von 100% (auch unbekannter) Schadprogramme unmöglich sein dürfte.

Platzierungen: Leistung und Marktanteile divergieren deutlich

  • Leistungswerte Virenscanner Oktober 2010 bis April 2011, Copyright www.virusbtn.com

    Lavasoft (Marktanteile Platz 10 mit 0,98%) mit Lavasoft Total führt punktgleich mit Coranti als quasi bedeutungslosem Hersteller (die Homepage weist weniger als 150.000 Downloads aus), Lavasoft Pro liegt im Mittelfeld (mehr dazu im Abschnitt Multi-Engine vs. Single-Engine Scanner)
  • weitere Spitzenplätze belegen Kaspersky PURE, Checkpoint und Trustport, dahinter folgen Avira Free und Pro, G-Data, ESET, F-Secure und Avast mit ähnlich guten Werten, etwas zurück in der Spitzengruppe liegen AVG, Kaspersky Internet Security, Microsoft Security Essentials, EmsiSoft und BitDefender
  • der einstige einsame MarktführerMcAfee (historisch >50% Marktanteil) liegt weit abgeschlagen im Mittelfeld mit Quoten gerade noch um die 75%, hat aber noch deutlich mehr Marktanteil als viele besser bewertete Produkte – solange der Marktanteil noch passt und die Milliarden von Intel fließen , ist die Produktentwicklung womöglich auch eher zweitrangig
  • Comodo, Fortinet, eEye, CA Business und Norman bilden die Schlusslichter des Hauptfeldes
  • Rising International und Kingsoft liegen weit abgeschlagen vom Feld

Multi-Engine vs. Single-Engine Scanner

Bringen mehrere parallel verwendete Erkennungssysteme ("Engines") Vorteile? Theoretisch ja – außer bei der Performance vielleicht.

  • Lavasoft Total kann sich zwar von Lavasoft Pro absetzen, dies hat jedoch wohl eher hausinterne, marktstrategische Gründe
  • Coranti liegt wie oben erwähnt punktgleich mit Lavasoft Total an der Spitze – dies ist wenig verwunderlich, verwendet es doch die Engines von Lavasoft Total (Anti-Spyware und Anti-Virus), BitDefender, und Frisk F-Prot parallel – durch die zwei zusätzlichen Engines kann es sich offenbar dennoch nicht von seinem Halbbruder Lavasoft Total absetzen

Business vs. Consumer

Sind Business-Lösungen sicherer als Consumer-Lösungen? Sie sollten es sein, da Unternehmen mutmaßlich einen höheren Schutzbedarf haben als Privatanwender – in der Praxis ist jedoch meist das Gegenteil der Fall.

  • CA Business (~60%/60%) liegt weit schlechter als CA Consumer (~80%/80%)
  • F-Secure Client (Business-Version) liegt ebenfalls hinter F-Secure Internet Security (Consumer)
  • Lediglich bei Microsoft lässt sich dieser Trend nicht eindeutig bestätigen – Microsoft Forefront (kostenpflichtig, Business) ist reaktiv etwas besser, Microsoft Security Essentials (kostenfrei, Consumer) ist proaktiv etwas besser. Zu Security Essentials liegt aber nur eine Messung vor; bei der wichtigeren reaktiven Technik scheint jedoch auch hier das Consumer-Produkt technologisch weiter fortgeschritten.

Was sind die Gründe für diese Schieflage? Bei der Anschaffung von Business-Lösungen wird primär auf die leichte Administration geachtet. Consumer-Lösungen sind zudem die größere Geldmaschine, weshalb die Hersteller diese vermeintlich primär fokussieren. Ein Vertriebler von Symantec beispielsweise hatte dies auch unverholen eingeräumt . Geld drucken scheint klar wichtiger zu sein als Orientierung an Kundenbedürfnissen. Meiner Meinung nach ist die Einteilung in Business- und Consumer-Produktlinien ohnehin ein großer Unsinn.

Kostenlose kontra kostenpflichtige Versionen

Erstaunlicherweise liefert das kostenlose Avira Free sowohl im reaktiven und proaktiven Bereich etwas bessere Ergebnisse als das kostenpflichtige Avira Pro. Avira Pro bietet jedoch erweiterte Funktionalität. Da dies unlogisch erscheint, haben wir Avira angeschrieben, worin dies begründet sein könnte, eine Antwort steht noch aus.

Bewertung, Kritik – und was die Zahlen nicht hergeben

  • man muss sich bewusst sein, dass sich je nach verwendeten Testmethodiken andere Zahlen ergeben ("Glaube keiner Statistik, die Du nicht selbst gefälscht hast")
  • zudem besteht durch solche Testverfahren die Gefahr, das sich AV-Hersteller um "gut auszusehen" einem solchen "künstlichen" Szenario anpassen, statt auf die real existenten Bedrohungen abzustellen – prominentes Beispiel in der Vergangenheit waren die Grafikkarten-Hersteller, die Ihre Produkte mehr für Benchmark-Programme optimiert haben, als für reale Anwendungsszenarien
  • alle Testmethodiken können lediglich bekannte Schadsoftware berücksichtigen; da viele Schadprogramme lange Zeit oder gar für immer "unter dem Radar" der AV-Hersteller bleiben werden, liegen die absoluten Werte in der Realität weiter unten auf der Skala
  • nahe am Ausbruch eines neuen Virus verschiebt sich zumindest die reaktive Erkennungsquote ebenfalls nach unten; da Cyberkriminelle ihre Schadsoftware i.d.R. auf Erkennung testen, wandert auch die proaktive Erkennungsquote auf oder Richtung null
  • der Durchschnitt der Erkennungsquote konzentriert sich bei ca. 80%; allein für den Testzeitraum von sechs Monaten bedeutet dies 1,98 Mio. neue, nicht erkannte Schadprogramme (bei ca. 55.000 neuen Viren täglich )
  • beim Exploit-Schutz sieht es lt. den Zahlen von NSS Labs noch schlechter aus: die Erkennungsquoten liegen hier bei gerade 75% beim besten Produkt, mehr als ein Drittel der getesteten Programme liegt gar unter 20%
  • NSS Labs kritisiert weiter, dass je nach Eintrittspunkt der Infektion (z.B. Web-Download oder Laden vom Fileserver) Schadsoftware erkannt würde oder eben auch nicht. Sie kritisieren ferner, dass je nach Produkt 10% bis 60% der Umgehungstricks ("evasion techniques"), die Cyberkriminelle typischerweise verwenden, gänzlich unbemerkt blieben. Zudem würden rein speicherresidente Schadprogramme von weniger als einem Drittel der Produkte erkannt, was gerade für besonders bedrohte Infrastrukturen, die sich eventuell sogar persistenten Angriffen ("Advanced Persistent Threats") gegenübersehen, ein zusätzliches Risiko darstellen dürfte.

Fazit

Virenscanner sind im Gegensatz zu verbreitetem Glauben nicht die "Ultima Ratio" in puncto Sicherheit. Sie stellen vielmehr lediglich einen Grundschutz dar und sollten je nach Schutzbedarf durch weitere Maßnahmen ergänzt werden. Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30