Der Spion, der aus der CD-Hülle kam: Aladdin zeigt Maßnahmen zum Schutz vor Datenspionage auf

Der aktuelle Datenspionage-Skandal in Israel macht die Grenzen herkömmlicher Anti-Viren Lösungen deutlich und zwingt Unternehmer zum Umdenken

(PresseBox) ( München, )
Seit letzter Woche erschüttert einer der größten Fälle von Industriespionage die Welt. Fünf israelische Unternehmen haben offenbar die Computer mehrerer Konkurrenten mittels eines Trojaner-Programms ausspioniert. Mit Hilfe von Privatdetekteien wurden den Ermittlungen zufolge infizierte CDs an verschiedene Firmen versendet. Die als vermeintliche Geschäftsofferten und Projektvorschläge an die Führungskräfte adressierten CDs installierten den Trojaner Win32.Hotword-Lip auf deren Computern, der dann sein illegales Werk unbemerkt verrichten konnte. Von herkömmlichen, Signatur-basierten Virenscannern waren die eingesetzten Trojaner nicht zu erfassen. Aladdin Knowledge Systems (NASDAQ: ALDN) zeigt auf, mit welchen Vorsichtsmaßnahmen sich Unternehmen in Deutschland vor ähnlichen Fällen schützen können.

Das beim israelischen Datenspionageskandal als elektronischer Übeltäter identifizierte Trojanische Pferd mit der Bezeichnung Win32.Hotword-Lip besteht aus einem Paket mit "Envelope"- und "Payload"-Komponente. Versendet wurde der Trojaner in diesem Fall nicht über das Internet, sondern er landete in Form eines Kuverts - mit unverdächtigen Absendern - im "analogen" Posteingang. Enthalten war eine CD, auf der das Spionageprogramm versteckt war. Sobald die CD eingelegt wurde, hatte sich der Trojaner im Hintergrund auf dem PC installiert. Das Envelope-Programm war als Dateisicherungs-Utility getarnt und fragte ein Passwort ab, um bestimmte Inhalte zu öffnen. Daraufhin startete die Spionagesoftware mit der Aufzeichnung von MS-Office-Dateien, Passwörtern und sonstigen Informationen, die dann automatisch dem Hacker über das Internet übermittelt wurden.

Gefahr durch Trojaner wird unterschätzt
Aufgrund dieser Taktik des Angriffs "von innen" hätten auch die meisten Gateway-Sicherheitslösungen die Installationsdatei des Trojaners nicht erkennen und die Installation damit auch nicht verhindern können. Wäre das Trojaner-Programm per E-Mail eingegangen, hätten die Chancen bereits wesentlich besser ausgesehen. Zumindest intelligente, proaktive Content-Security-Systeme können einen Großteil bislang unidentifizierter Trojaner aufhalten, sogar ohne spezifische Signatur. Signatur-basierte Tools wären hingegen auch bei E-Mail-Trojanern mit ziemlicher Sicherheit überfordert und wirkungslos gewesen.
Die Gefahr durch Trojaner ist deshalb erheblich. Sie sind in der Lage, alle Arten von Passwörtern (z.B. für Betriebssystem, Netzwerk, Websites, Applikationen) sowie persönliche Informationen (z.B. Kreditkartennummern, Bankverbindungen) zu stehlen. Ebenfalls im Portfolio der Attacken findet sich das Ausspionieren von Einwahlverbindungen für Netzwerke sowie das Kapern von E-Mail-Accounts. Tastenabfolgen, komplette Screenshots, aber auch Bilder und Videosequenzen können von Trojanern erfasst und an Hacker übermittelt werden. Mit Voice Recordering ausgestattete Rechner lassen sich für Spionagezwecke missbrauchen. Trojaner sind zudem in der Lage, von gekaperten Computern aus andere Computer zu manipulieren. Zu den "klassischen" Trojaner-Attacken zählt auch das Speichern, Entfernen oder Verändern von Dateien auf dem infizierten PC oder Netzwerk. Offensichtliche Manipulationen wie das Öffnen von Dialogfenstern, das Öffnen und Schließen des CD-Einschubs oder ein unkontrollierbarer Mauszeiger treten dagegen immer seltener auf, je mehr kriminelle und finanzielle Ambitionen dahinter stecken - die Eindringlinge sollen schließlich nicht gleich bemerkt werden.

Wie lässt sich Trojaner-Befall verhindern?
Aladdin gibt folgende Empfehlungen ab, um eine Trojaner-Infizierung des Netzwerks oder einzelner Client-Rechner zu verhindern:
· Einsatz eines mehrstufigen Sicherheitskonzeptes für Gateway, Mail Server und Client-Desktops
· PCs sollten einer wirksamen Sicherheitsrichtlinie unterliegen und ebenso stark geschützt werden wie das Firmen-Gateway.
· Die Installation und Ausführung von ungeprüften Applikationen sollte unterbunden werden.
· Die Installation von Personal Firewalls schützt vor Programmen, die über das Internet heruntergeladen werden.
· Schulungen für alle Mitarbeiter in Sicherheitsbelangen sind essenziell - selbst weniger umfangreiche Trainings können helfen, Schaden zu verhindern.
· Eine Content-Security-Untersuchung auf einzelnen PCs durch geschulte Sicherheitsexperten kann Sicherheitsmängel aufdecken.
· Vertrauliche Informationen sollten verschlüsselt werden.

Schutzmaßnahmen, auch wenn der PC bereits infiziert ist Was passiert aber, wenn wie im aktuellen Datenspionagefall der Computer bereits infiziert ist? Das Trojanerprogramm auf dem PC sendet üblicherweise die gestohlenen Informationen per E-Mail an den Hacker oder lädt die Daten auf einen vom Hacker festgelegten FTP-Server. Einige Lösungen, wie zum Beispiel eSafe von Aladdin, können verhindern, dass Desktop-Rechner E-Mails direkt an das Internet verschicken. Normale E-Mails, die über den E-Mail-Server der Firma laufen, sind davon nicht betroffen, aber E-Mails, die direkt an einen externen E-Mail-Server gehen, werden aufgehalten. Dateien, die jedoch auf einen FTP-Server hochgeladen werden, lassen sich nicht so einfach von legitimen Dateien unterscheiden, speziell wenn es sich um einen unbekannten Trojaner handelt. In diesem Fall empfiehlt es sich, die Firewall-Logs zu überwachen, um verdächtigen FTP Upload Traffic zu erkennen.

Optimaler Schutz: Proaktive Systeme am Gateway und am Desktop Der aktuelle Trojaner in Israel ist längst identifiziert, doch abgewandelte Versionen könnten folgen. Content-Security-Produkte, die fortschrittliche Technologien nutzen, stellen derzeit die beste Möglichkeit dar, derartige Gefahren abzuwehren. Proaktive Content-Security-Systeme filtern täglich Millionen von bereits bekannten und noch nicht bekannten Trojanern am Netzwerk-Gateway heraus. Aladdin hat in den letzten Jahren die proaktiven Mechanismen bei eSafe, das als Pionierlösung in diesem Bereich gilt, konsequent weiterentwickelt. Mittlerweile werden bereits beachtliche 70 Prozent aller registrierten Schädlinge mithilfe proaktiver Methoden geblockt, im Laufe dieses Jahres soll diese Rate sogar auf 85 Prozent und mehr gesteigert werden. Die wichtigsten Methoden um Trojaner proaktiv zu blocken sind dabei:
· Identifzierung gespoofter Absender (oftmals getarnt als bekannte Kollegen).
· Blocking gefährlicher File-Typen, inclusive Erkennung gespoofter File-Typen.
· Identifizierung von Code-Verschleierung.
· Identifizierung von Code und Objects, die durch das Ausnutzen von Security Exploits versuchen, angehängte Dateien automatisch auszuführen.
· Filtern von schädlichen E-Mail Scripts etc.
Wird ein Trojaner, wie im aktuellen Fall aber mit einer CD lokal auf dem PC installiert, ohne dass dabei Dateien über das Gateway oder den Mail-Server laufen, müssen zudem Sicherheitssysteme am Desktop und am Gateway aktiv sein, die den eingehenden und den ausgehenden Datenverkehr überwachen.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.