31. Juli 2008 - Datensicherheit

Zero-Day-Attacken: So schützen Sie Ihre Daten vor neuen und unbekannten Gefahren

Kurz nach Veröffentlichung einer neuen Schwachstelle drohen die sogenannten Zero-Day-Attacken. Rein signaturbasierte Anti-Malware-Lösungen und Updateservices der Hersteller können dagegen zu Beginn keinen Schutz bieten, da die Entwickler eine gewisse Zeit zur Erzeugung und Verteilung der Patches und Signaturen benötigen. Trotz Sicherheitssoftware sind dann Ihre Daten in Gefahr. Nutzen Sie deshalb ergänzend zu Ihrer Anti-Malware-Software und dem Patchmanagement eine Lösung, die möglichst viele der neuen und unbekannten Bedrohungen auch ohne Signatur erkennen kann.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Es vergeht kaum ein Tag, an dem nicht mindestens eine Schwachstelle bei Software oder Hardware entdeckt und über entsprechende Internetmedien bekannt gegeben wird.

Für die Sicherheit der Daten in Ihrem Netzwerk und auf den mobilen Endgeräten ist es wichtig, dass die Systemadministratoren einen entsprechenden News-Dienst abonnieren, um auf neue Gefahren reagieren zu können.

Als Datenschutzbeauftragter werden Sie zudem darauf drängen, dass Betriebssysteme und Softwareapplikationen über ein Patchmanagement immer aktuell gehalten werden.

Wettlauf zwischen Hackern und Sicherheitsanbietern

Leider nutzen auch die Hacker und Internetkriminellen die Informationen über neue Schwachstellen. Und dann beginnt ein Wettlauf zwischen den Programmieren der Software- und Sicherheitsanbieter auf der einen Seite und den möglichen Angreifern auf der anderen Seite.

Zero-Day-Schwachstellen direkt veröffentlichen oder nicht?

Es stellt sich die Frage, ob denn neu entdeckte Schwachstellen einfach an die Öffentlichkeit gegeben werden sollten. Schließlich könnte ein Hacker den News-Dienst eines Sicherheitsanbieters missbrauchen, um möglichst schnell über neue Sicherheitslücken informiert zu werden.

Damit könnten sogenannte Zero-Day-Attacken, also Angriffe an dem Tag der Veröffentlichung einer noch nicht behobenen Schwachstelle, erleichtert werden.

Die sogenannte Zero Day Initiative (ZDI), gegründet von TippingPoint, richtet sich deshalb an Sicherheitsforscher und bietet diesen eine Belohnung an, wenn sie neue Schwachstellen nicht direkt veröffentlichen, sondern erst einmal nur an diese Initiative melden.

Die Angaben der ZDI über neue, noch nicht geschlossene Sicherheitslücken beschränken sich auf den Herstellernamen, das Datum der Benachrichtigung des Herstellers sowie die Risikostufe.

Technische Details oder genaue Produktnamen werden nicht veröffentlicht, um die Anwender des betroffenen Produktes nicht zusätzlich zu gefährden. Sobald der Hersteller eine Lösung zur Behebung der neuen Schwachstelle gefunden hat, werden weitere Details bekannt gegeben.

Allerdings wird durch andere Sicherheitsanbieter die These vertreten, dass Sicherheit und die direkte Bekanntgabe von Schwachstellen sich nicht ausschließen, sondern eher einander bedingen. Erst durch die schnelle Veröffentlichung könnten weite Kreise der Sicherheitsdienstleister aktiv werden, die Anwender seien frühzeitig in ausführlicher Form gewarnt.

So lassen sich neue Schadprogramme ohne Signatur erkennen

Unabhängig davon, wie sich die laufende Diskussion über die Veröffentlichung von Schwachstellen entwickelt, sollten Sie sich vor neuartigen Angriffen und noch unbekannter Malware schützen.

Selbst regelmäßig aktualisierte Schutzprogramme, die auf Basis einer Signatur (eine Art Fingerabdruck der Schadsoftware) arbeiten, können nicht direkt auf Zero-Day-Attacken reagieren. Deshalb sind zusätzliche Sicherheitslösungen sinnvoll, die Erkennungsverfahren nutzen, die ohne Kenntnis der neuen Signatur arbeiten.

Dazu gehören Erkennungsmethoden wie die

  • Analyse des Programmcodes unbekannter Dateien noch vor deren Ausführung
  • Verhaltensanalyse für unbekannte Dateien und Programme während der Ausführung, mit Möglichkeit zur Blockierung der weiteren Ausführung
  • Analyse eines möglichen Pufferüberlaufs, bei dem Speicherbereiche ungewollt überschrieben werden, um unter Umständen Malware einzuschleusen

Nicht auf rein verhaltensbasierte Erkennung setzen

Nun könnten Sie versucht sein, dem Systemadministrator zu empfehlen, besser direkt auf eine signaturunabhängige Lösung zur Abwehr von Malware zu setzen, da eine Verhaltensanalyse ohne jedes Update auch neue und unbekannte Gefahren erkennen kann. Hier ist allerdings Vorsicht geboten.

Verhaltensanalysen und andere Erkennungsmethoden ohne Signatur können durchaus eine Vielzahl von Gefahren abwehren. Es gibt jedoch auch die Möglichkeit, dass harmlose Dateien, Prozesse und Programme geblockt und gefährliche Schadprogramme nicht erkannt werden.

Eine Verhaltensanalyse ist kein vollständiger Schutz. Generell sind die Erkennungschancen besser, wenn eine Signatur genutzt wird, sobald diese verfügbar ist. Setzen Sie deshalb auf eine Kombination von signatur- und verhaltensbasierten Lösungen.

Prüfen Sie die komplette Sicherheit gegen Zero-Day-Attacken

Damit vertrauliche, personenbezogene Daten so gut wie möglich vor Zero-Day-Angriffen geschützt werden, sollten Sie auch die restliche Sicherheitsausstattung in Ihrem Netzwerk und auf den mobilen Endgeräten hinterfragen.

Prüfen Sie deshalb insbesondere, ob
  • ein Intrusion-Detection- und -Prevention-System im Einsatz ist
  • Patches für Betriebssysteme, Applikationen und Sicherheitssoftware automatisch und regelmäßig eingespielt werden
  • Personal Firewalls auf den Arbeitsplatzrechnern und Endgeräten eingesetzt werden, die eine Freigabe unbekannter Prozesse verlangen
  • die Berechtigungen im Netzwerk sich nach den Aufgaben der Anwender richten
  • die Anwender nicht als lokale Administratoren eingeloggt sind, wenn dies nicht zwingend erforderlich ist (auch dann sollte dies nur temporär erfolgen)

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln