Cybersicherheit: Die Gefahren verändern sich (Gesponsert)

Sprecher: Diese Folge wurde vom Arbeitgeber des Interviewpartners gesponsert. „heise meets … – Der Entscheider-Talk". Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. heise business services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen. Herzlich willkommen bei einer neuen Folge von „heise meets …". Guten Morgen aus Europa nach Singapur, Gerald Beuchelt.

Gerald Beuchelt: Richtig, ganz genau, zurzeit in Singapur.

Sprecher: Gerald, bei mir schneit es und du sitzt da im T-Shirt, sehe ich. Das heißt, du hast die angenehmen 25 Grad und mein Neid begleitet dich.

Gerald Beuchelt: Ach, das ist schon okay. Das geht auch bald wieder nach Hause und dann sind die Temperaturen deutlich niedriger als bei euch. Dann sind wir nämlich in etwa bei minus 10 Grad am Tag. Von daher ist das auch wieder alles in Ordnung.

Sprecher: Gerald, ich darf dir noch ganz herzlich zum neuen Job gratulieren. Was macht denn ein Chief Information Security Officer den ganzen Tag?

Gerald Beuchelt: Ich sorge mich darum, dass die Sicherheit in unserer Firma so weitgehend in der Position ist, dass wir und unsere Kunden uns gut fühlen können. Also letztendlich geht es darum, die Leitung für die gesamten Sicherheitsfragen im Unternehmen zu steuern, sowohl von der Corporate- als auch von der Produktseite. Das Ganze unter einem risikobewertenden Aspekt zu sehen.

Wir können nicht alles absolut sicher machen, entweder wir schalten alles aus, aber man kann hingehen und eine Risikoeinschätzung für die verschiedenen Sicherheitsrisiken und Threats machen, denen wir täglich begegnen. Dementsprechend ein Programm und Framework aufsetzen, was es uns erlaubt, diese Sache vernünftig zu managen. Das heißt, man muss messen, Programme aufsetzen, Kontrollsysteme einführen und überprüfen, wie die funktionieren. Und das Ganze für ein relativ großes Unternehmen.

Wir sind zum jetzigen Zeitpunkt 1.800 Mitarbeiter, haben viele Zehntausende von Nutzern und Endusern, Millionen von Workloads unter unserer Kontrolle. Also von daher ist das schon eine recht ordentliche Aufgabe. Und das dann in einer Art und Weise zu machen, die es gestattet, das effizient auf der einen Seite, aber auch hinreichend sicher zu gestalten, das ist das, womit ich mich mehr oder weniger tag ein, tag aus beschäftige.

Sprecher: Und jetzt beschäftigst du dich damit in Singapur, mal Butter bei die Fische. Was darfst du darüber reden? Was machst du da genau?

Gerald Beuchelt: Wir haben hier ein relativ großes Engineering-Zentrum in Singapur, das heißt eine ganze Reihe von unseren Ingenieuren sitzen hier, unter anderem auch unsere Threat Research Unit. Also die Abteilung, die ganz gezielt neue Gefahren im Internet sich anguckt, zum Teil Zero Days ausforscht oder halt auch dann sich anguckt, wie sich bestimmte Bedrohungssituationen, Gruppen oder Tools dann im Laufe der Zeit verändern. Das sitzt also hier in Singapur.

Wir hatten gleichzeitig auch jetzt in den letzten paar Tagen hier unser Sales Kickoff. Das heißt unsere Verkäufer haben sich hier getroffen aus der Region Asien und Pazifik. Und da geht es natürlich dann auch so ein bisschen darum, die richtige Stimmung dafür zu machen, sodass das nächste Jahr ein gutes Jahr wird.

Sprecher: Du siehst ganz entspannt aus. Also die Bedrohungslage scheint momentan auch ein bisschen entspannt zu sein. Oder ist da irgendwo einer? Wir zeichnen diesen Podcast kurz vor dem Wochenende auf. Und ich habe gelernt, dass das Hacker gerne mal die Zeit nutzen, wo irgendwie der Admin schon ans Grillen denkt. Bei dir in Singapur, bei mir eher ans Skifahren. Ist das so?

Gerald Beuchelt: Ja, aber bei uns ist ja schon Freitagnachmittag. Das heißt, ich warte jede Sekunde jetzt darauf, dass wieder irgendwas schief geht, weil das sind immer Freitagnachmittage. Das ist eine eiserne Regel.

Nein, es ist so, sagen wir mal so, wenn man diese Art von Job eine Zeit lang gemacht hat, dann entwickelt man doch auch auf die Dauer ein gewisses dickes Fell. Wenn was schief geht, dann geht da was schief, dann ist das Wochenende Ende halt im Eimer und dann muss man halt sehen, wie man da durchkommt. Wenn auf der anderen Seite dann aber die Situation normal gemanagt wird, dann ist das eigentlich alles ganz in Ordnung.

Sprecher: Muss ich jetzt mal schnell meine Fragen loswerden. Nicht, dass du irgendwie ganz schnell in ein Datacenter musst. Unsere entspannte Plauderei zum Einstieg.

Acronis will mit seiner Cyber Security Community durch aktuelle Forschung, Berichte und Bedrohungsdaten der Acronis Research Unit, wie du gesagt hast, erweitern. Wie macht man das? Was heißt das konkret? Wie erweitert ihr das?

Gerald Beuchelt: Ja, wir haben ein Team zusammengestellt und das arbeitet jetzt auch schon seit einigen Jahren daran wirklich zu schauen, was sich im Moment im digitalen Untergrund, im Malware-Bereich und so weiter tut. Das ist eine Gruppe von Leuten, die sich im Laufe der Zeit hier bei uns zusammengefunden hat, über aller Herren Länder verstreut. Wir haben Forscher in Nordamerika, Südamerika, in Europa, in Asien. Und es geht ganz gezielt darum, zu erkennen, wie die Trends in Bezug auf Malware, in Bezug auf kriminelle Aktivitäten im Internet sich entwickeln. Sei es jetzt Ransomware, sei es allgemeine Malware, Information Stealers, solche Geschichten.

Dazu benutzen wir auf der einen Seite natürlich Standard-Tools, wie man sie im Internet findet, aber auf der anderen Seite natürlich auch die Informationen, die wir von unseren Endpoint-Protection-Solutions, um CyberProtect halt dementsprechend einsammeln können. Das heißt, wir haben ja eine komplette Security-Suite für Endpoints, für Laptops, für macOS, Windows, Linux und so weiter und sehen aufgrund der Telemetrie, die da reinkommt, anonymisiert natürlich, wir schreiben Privacy extrem groß, das ist ganz wichtig, vor allen Dingen auch in Deutschland, aber aufgrund dieser Telemetrie, die wir da einsammeln können, kann man tatsächlich dann auch sehen, was an Malware umgeht, wo die hingeht und was für Software-Stränge da letztendlich im Moment aktuell sind oder auch nicht.

Sprecher: Was ist momentan aktuell? Was sind so die Dinger, wo du als Forscher sagst: „Wow, da haben die Hacker sich aber was einfallen lassen"?

Gerald Beuchelt: Ja, wir sehen eine ganze Reihe Standard-Geschichten, vor allem im Ransomware-Bereich. Wir haben 1712 Ransomware-Cases im letzten Quartal gesehen, Ransom Hub, Akira, Play, KillSec. Wir haben Club gesehen, die raufgekommen sind, und haben gesehen, dass insgesamt die Ransomware-Angriffe, die ja eine ganze Zeit lang mehr oder weniger stabil gewesen sind, jetzt wieder ansteigen. Jetzt allein im letzten Quartal waren das fünf Prozent.

Es ist zum Beispiel im E-Mail-Bereich, da haben wir deutliche Anstiege gesehen, über 200 Prozent in Sachen E-Mail-Attacken. Und was wir inzwischen auch sehen, ist, dass gerade in solchen Bereichen, wo persönliche Interaktionen, wo es tatsächlich auf den Menschen ankommt, generative KI-Systeme immer eine größere Rolle spielen, um die Angriffe glaubhafter zu machen. Das heißt, das, was wir vor ein paar Jahren gesagt haben, was früher oder später mit generativen KI-Systemen kommen wird, das sehen wir jetzt tatsächlich dann auch in der Realität mehr und mehr hochkommen.

Sprecher: Ihr habt diese Zahlen. Habt ihr auch die Hintergründe dazu? Könnt ihr euch dann ein Bild, Acronis hat ja viel Erfahrung, könnt ihr euch ein Bild daraus zeigen, warum jetzt beispielsweise das eine oder andere ansteigt, wenn du sagst 200% auf einmal mehr. Warum passiert das?

Gerald Beuchelt: Gut, da gibt es natürlich immer wieder für die verschiedensten Gründe, die da mit reinspielen können. Das sind zum einen, dass teilweise neue Technologien dann zur Verfügung stehen. Gerade im digitalen Untergrund sieht es ja so aus, dass die Hacker Gruppen, wie wir sie nennen würden, sehr effizient und in wirklich industriellem Maßstab arbeiten. Das heißt, wenn dann neue Angebote im Untergrund raufkommen, sei es jetzt eine neue Ransomware-as-a-Service oder Malware-as-a-Service oder sonst irgendetwas, dann werden die natürlich adaptiert und dann dementsprechend auch von den kriminellen Kunden eingesetzt, sodass es da halt immer wieder zu Wellen kommt, die ganz logisch sind.

Man darf nicht vergessen, dass die allermeisten Ransomware-Angriffe oder auch sonstige Angriffe nicht einzelne Gruppen sind, die ganz verschwiegen da in einer Stille, in einer Ecke sitzen und dann plötzlich die großartige Idee haben, ein neues Botnet oder sonst irgendwas aufzubauen, sondern es sind wirklich industrielle Strukturen. Da gibt es dann eine sehr gute Arbeitsteilung. Es gibt Leute, die Systeme kompromittieren. Es gibt andere Leute, die dann kompromittierte Systeme kaufen und dementsprechend dann in verschiedene Botnets oder sonst irgendwas einbauen. Dann werden diese Botnets zum Teil verkauft oder weitervermietet und dann dementsprechend für die verschiedensten Sachen genutzt.

Teilweise ist es dann so, dass die Monetarisierung der entsprechenden gestohlenen Daten oder so auch noch wieder von anderen Gruppen gemacht wird. Also wir sehen da ganz klar eine extreme Arbeitsteilung und abhängig davon, was halt gerade jetzt verfügbar ist in diesen verschiedenen Bereichen, sieht es dann natürlich auch so aus, dass bestimmte Wellenbewegungen da zustande kommen.

Sprecher: Momentan sorgt der sogenannte Dark Crystal, habe ich mir sagen lassen, Dark Crystal sorgt für, ja doch eine Arbeit bei euch, ein modularer Fernzugriffstrojaner, sag mal ein bisschen was dazu.

Gerald Beuchelt: Dark Crystal ist schon eine ganze Zeit lang unterwegs. Das wurde zuerst das erste Mal in der ursprünglichen Form 2018 gesehen. Damals war das vor allem im osteuropäischen Bereich eingesetzt worden. Dark Crystal ist in der Lage, verschiedene Dinge durchzuführen. Man kann Kommandos ausführen auf den betroffenen Systemen. Man kann beobachten, was für Tastatureingaben der reguläre Benutzer tut, und damit kann man natürlich prima Passwörter rausfischen. Man kann auch Daten direkt von dem Rechner runterstehlen.

Das ist ein klassisches Remote-Access-Toolkit, Remote-Access-Trojan. Der erlaubt es dann, Systeme komplett zu übernehmen, komplett auszuhorchen und dann gegebenenfalls auch in ein Botnet einzubinden. Was also durchaus dann eine Vollkompromittierung des Systems letztendlich bewirkt.

Was wir jetzt in letzter Zeit gesehen haben, ist eine Neuauflage davon. Die sind also so eine klassische Malware-Familie, die sich im Laufe der Zeit dann auch weiterentwickelt. Da wird dann teilweise der, wenn die Systeme verkauft, da wird dann teilweise auch der Source-Code dafür verkauft, die Backend-Systeme und so weiter.

Wir haben jetzt eine neue Kampagne gesehen, die sich vor allem jetzt im spanischen Bereich abgespielt hat.

Sprecher: Sag mal, wie läuft das dann ab?

Gerald Beuchelt: Ja, da werden dann E-Mail-Attachments verschickt. In dem Falle jetzt hier, dass versteckte Malware eingebaut wird, die Leuten Angst machen soll. Da geht es dann um verschiedene vermeintliche Gerichtsanordnungen, die Accounts einfrieren sollen etc. Und wer so was sieht und das nicht unbedingt einschätzen kann, der kann natürlich ganz schnell Panik bekommen. Von daher ist es so, dass ein klassisches Social Engineering stattfindet, mit Angst der Leute ganz klar gemacht wird.

Und was dann passiert, ist, dass die Leute klicken auf den Anhang, die klicken auf die URL, die da integriert ist oder was auch immer. Dadurch kommen dann die ersten, die First-Stage-Loaders dann auf die Systeme drauf, die sich dann einnisten in die Computer, dann den eigentlichen Malware hinterherziehen, installieren und dann dementsprechend in die Botnets einbinden. Also das ist so eine klassische Infektionskette, wie wir sie in ganz vielen Fällen sehen.

Da ist jetzt nichts super Spannendes gewesen. Was interessant war in dem Zusammenhang, war, dass wir hier jetzt eine spezielle spanische Kampagne gesehen haben und unser Team im Rahmen dessen, wo sie jetzt die ganze Infrastruktur auseinandergenommen haben, die ganze Software dekompiliert haben und sich dann reingeguckt haben, haben sie interessanterweise verschiedene Kommentare von Friedrich Nietzsche im Source Code gefunden.

Sprecher: Wie das? Was hat Friedrich Nietzsche mit spanischen Urteilen zu tun?

Gerald Beuchelt: Ja. Das fragt man sich dann manchmal. Ein gewisser Nihilismus ist bei Cyberkriminalität ja schon dann tatsächlich auch dabei. Ich denke, wir sollten jetzt nicht weiter in die Typphilosophie von Nietzsche reingehen, da könnte man einiges drüber reden. Aber ich denke, was halt in dem Zusammenhang spannend ist, ist, dass man halt da tatsächlich auch sieht, wie sich solche relativ alte Malware, die ja 2018, ich meine, wir reden jetzt über fast sieben Jahre, dann doch im Laufe der Zeit entwickelt, weiterentwickelt, teilweise neue Capabilities halt kriegt, also neue Fähigkeiten bekommt, angepasst wird an das Verhalten der Opfer und letztendlich dann halt auch immer wieder angepasst wird auf das, was halt jetzt gerade gebraucht wird im digitalen Untergrund.

Sprecher: Wenn ihr dieses Wissen habt als Acronis, wie geht es dann weiter? Ihr zerlegt das und was passiert dann? Welche Schritte leitet ihr ein?

Gerald Beuchelt: Es gibt eine ganze Reihe Sachen, die man halt da draus macht. Also zum einen produzieren wir ja unseren halbjährlichen Report in Bezug auf, was wir halt da an Trends sehen. Der ist also zurzeit auch verfügbar. Den kann man direkt von unserer Webseite runterladen. Und da fassen wir halt zusammen, wie sich halt die Trends im Laufe der Zeit entwickeln. Wir haben auch wöchentliche und monatliche Updates oder auch unregelmäßige Updates über neue Sachen, die wir halt gefunden haben. Projekte, an denen wir arbeiten, um halt letztendlich der ganzen Community halt die Entdeckung zu ermöglichen, Informationen dann halt auch weiterleiten zu können und sicherzustellen zu können, dass das, was wir halt erfahren haben, nicht nur uns zugutekommt, sondern halt auch wirklich der breiteren Öffentlichkeit.

Wir haben auch teilweise ganz gezielte Reports, die wir erstellt haben. Wir hatten zum Beispiel im letzten September war es, glaube ich, einen komplett neuen APT, also Advanced Persistent Threat, also einen sehr fortgeschrittenen Hacker gefunden, der also ganz gezielt in Taiwan über Word-Dokumente den Hersteller einer militärischen Drohnenfirma angegriffen hat. Das war was, das über unsere Endpoints gekommen ist. Wir hatten das gefunden, haben das dann dementsprechend analysiert und dann davon halt lernen können, wie man halt sowas dann halt auch proaktiv noch besser verhindern kann.

Sprecher: Lass uns mal bitte gemeinsam lernen. Das heißt, der Fehler sitzt ganz häufig noch vor der Tastatur. Es ist der User, der dann ein Dokument klickt. Egal, ob er in Taiwan sitzt und militärische Drohnen herstellt oder ob es ein vermeintlich spanisches Gerichtsurteil ist.

Gerald Beuchelt: Richtig, ganz genau. Es ist sehr, sehr häufig, dass das Social Engineering der Haupteingriffseinstiegspunkt für die entsprechenden Infektionen halt ist. Das muss man ganz klar so sagen. Die Systeme an sich sind inzwischen weitgehend so durch gehärtet, dass von alleine im Endeffekt nicht viel passieren kann. Wobei man das auch ein bisschen relativ sehen muss, weil es gibt durchaus noch nach wie vor auch Schwachstellen zum Beispiel in Android oder in iOS, die es erlauben einem Angreifer eine SMS zu schicken an das entsprechende Endgerät, die der Benutzer nicht sehen kann, weil die entsprechenden Features im SMS-Protokoll aussehen. Und diese SMS, die man nicht sehen kann, bewirkt dann, dass das Endgerät halt komplett kompromittiert wird, ohne dass man irgendwas davon sieht. Also das hat es durchaus schon gegeben.

Ich denke, das wird es auch immer wieder geben, das sind Zero Days, also Schwachstellen im System, die noch nicht gepatcht sind, die durchaus auch ohne einen einzigen Klick vom Benutzer ausgenutzt werden können. Das gibt es. Das ist aber relativ selten. Solche Schwachstellen sind auch sehr, sehr teuer, wenn man die als Hacker kaufen will, weil die halt dementsprechend nicht... Man kann sich letztendlich nicht wirklich dagegen verteidigen. Was halt viel häufiger kommt, wie du schon gesagt hast, ist die Tatsache, dass es Standard-Social-Engineering-Sachen gibt, Scammer, wie man sie auch immer nennen will, die halt wirklich dann auf die verschiedensten Tricks benutzen, um Endbenutzer dazu zu überzeugen, dass sie halt auf bestimmte Sachen klicken oder bestimmte Sachen ausführen.

Das können dann Webseiten sein, die dann aktiviert werden und dann Schwachstellen in Browsern ausnutzen. Das können Programme sein, die auf dem lokalen Labtop dann installiert werden, ohne dass der Benutzer wirklich was davon mitkriegt, nachdem er das erste Mal geklickt hat. Also gibt es verschiedene Techniken, die man da halt einsetzen kann, um diesen ersten Schritt halt dann zu machen.

Sprecher: Wenn ihr diesen digitalen Schlingel dann irgendwo habt, egal was das jetzt für einer ist, ein teurer oder ein einfacher, der auf die Masse setzt, wie geht es dann weiter? Wie schützt ihr mich als Anwender?

Gerald Beuchelt: Ja, was also dann ganz wichtig ist, zu erkennen, was tatsächlich dann auch an Assets benutzt wird in diesen Angriffen. Es ist ja so, dass es normalerweise bestimmte Arten von Software sind, die man dann halt auch erkennen kann. Da kann man dann Signaturen für erstellen. Man kann erkennen, mit was für anderen Systemen auf dem Netzwerk solche Software dann kommuniziert, zum Beispiel Command- und Control-Server, die dann halt letztendlich dazu da sind, um die Befehle halt vom Hacker an die entsprechenden Laptops dann weiterzuleiten.

Und was wir halt dann tun, wir nehmen diese Software und dekompilieren sie. Wir nehmen diese Software auseinander, so wie sie sich auf dem Laptop darstellt oder wie sie man runterlädt und extrahieren daraus dann das, was wir Indicators of Compromise nennen. Das sind also File-Hashes, Signaturen für bestimmte Dateien. Das sind, wie gesagt, IP-Adressen, das können Web-Adressen sein, das können E-Mail-Adressen sein, die da drin versteckt sind und so weiter und so weiter.

Und diese Indicators of Compromise benutzen wir dann in unserer Cyber-Protect-Plattform, um proaktiv zu erkennen, wenn solche Software auf die entsprechenden Endgeräte dann draufkommt. Und wenn das der Fall ist, und wir sehen das dann halt dementsprechend, dann können wir sofort die Prozesse, die damit assoziiert sind, stoppen und auf die Art und Weise verhindern, dass diese Software überhaupt erstmal ausgeführt wird.

Das ist dann so, dass wenn zum Beispiel eine Ransomware dann reinkommt, dann würde die ja normalerweise anfangen, direkt den Laptop zu verschlüsseln. Wir sehen dann, dass das halt eine bestimmte Art von File ist, das halt jetzt versucht ausgeführt zu werden, können das stoppen.

Wir können allerdings auch darüber hinaus nicht nur jetzt diese Signaturen uns angucken, diese Indicators of Compromise, weil wir gucken auch darauf, was für grundsätzliche Prozesse da ablaufen oder welche Prozeduren da letztendlich implementiert sind. Zum Beispiel kann man heuristisch dann sehr gut erkennen, wenn ein Prozess anfängt, ganz viele Sachen zu verschlüsseln, das sind bestimmte Operationen, die ausgeführt werden. Und die deuten dann häufig auch darauf hin, dass es sich halt um eine Ransomware handelt und die wird dann halt dementsprechend auch gestoppt.

Sprecher: Merke ich das als Nutzer, als Admin, was auch immer oder macht ihr das im Hintergrund und ich kriege davon gar nichts mit und tippe ganz unbesorgt in meiner Tastatur?

Gerald Beuchelt: Ja, zunächst mal kannst du unbesorgt weiter tippen, das ist überhaupt kein Problem.

Sprecher: Sehr beruhigend, danke.

Gerald Beuchelt: Was du halt sehen wirst, ist, dass wenn du dann die entsprechenden Konsolen dir anguckst, auf denen unsere Software verwaltet wird, da wird dir dann schon sehr klar angezeigt, was für Bedrohungen halt wir gefunden haben und gegebenenfalls halt dann auch unterbunden haben. Also wir informieren unsere Anwender, unsere Benutzer sehr genau darüber, inwieweit die Software jetzt halt Bedrohungen halt abgewendet hat. Einfach, um auch sicherzugehen, dass halt dann auch mittel- und langfristig halt andere Kontrollen noch eingeführt werden können.

Natürlich ist eine Endpoint Protection, Antivirus, wie man das früher halt nannte, ist das ein extrem gutes und effizientes Mittel, um viele Gefahren abzulehnen, aber nicht notwendigerweise alle. Wir glauben also zum Beispiel auch, dass es immer ganz wichtig ist, eine sogenannte Defense-in-Def zu haben, also verschiedene Schichten an Schutz, um ein Computersystem aufzubauen, sodass wir zum Beispiel auch eine E-Mail-Sicherheitslösung anbieten, bei der es dann darum geht, dass die E-Mails, die möglicherweise Schadsoftware beinhalten, gar nicht erst reinkommen in die Inboxen von den Benutzern, um da sicherzugehen, dass er nicht draufklickt. Wenn er draufklickt, dann haben wir dann eine Protection da, die halt das Ausführen bewirkt. Je mehr Schritte man dazwischensetzt, umso größer ist natürlich dann auch die Chance, dass das letztendlich geschützt wird.

Sprecher: Ich muss mal eine Glaubensfrage loswerden. Ich weiß, dass du auf einer Mac arbeitest, ich auch. Sind wir per se geschützter?

Gerald Beuchelt: Nee, nee, das waren wir. Also die guten alten Zeiten, wo wir die Mac versus PC Werbung gehabt haben, die dann immer recht amüsant gewesen ist, wo es auch wunderbar war, die sind leider vorbei. Natürlich sind die verschiedenen Betriebssysteme jeweils anders. Natürlich ist es auch so, dass sich ein Hacker, der letztendlich ja auch kommerziell arbeitet, immer versucht, seinen Ressourceneinsatz zu optimieren.

Es ist nach wie vor so, dass es einfach mehr Windows-Machinen gibt als Mac-Machinen, das ist eine Tatsache. Das heißt also, wenn er jetzt halt wirklich in die Breite gehen will, dann ist es tatsächlich so, dass es kommerziell sinnvoller ist, für den Hacker, sich erst mal auf Windows zu konzentrieren und dann auf Mac und dann vielleicht auf Linux. Das kommt halt auch ein bisschen darauf an, was gemacht werden soll.

Zum Beispiel im Server-Bereich ist Linux deutlich weiter verbreitet, wie wir ja wissen. Da ist also ganz klar mehr. Mac existiert praktisch gar nicht und Windows ist da und ist auch recht relevant. Aber es ist ganz klar so, dass man im Linux-Server-Bereich durchaus eine ganze Menge auch machen kann, sodass sich da also tatsächlich dann auch eine ganze Menge Malware mehr dann dementsprechend findet.

Da sind natürlich dann die Einfallstore ein bisschen anders. Da gibt es nochmal auf dem Server hoffentlich Admins, die genauer hingucken und wo wirklich dann streng zugegriffen wird und mehr ordentlich verwaltet wird. Es gibt keinen Benutzer, der mit seinem E-Mail-Client lustig durch die Weltgeschichte klickt. Aber es gibt halt auch andere Möglichkeiten, wie man da halt reinkommt, sodass man halt immer schauen muss, wie es halt dann dementsprechend aussieht.

Sprecher: Glaubensfrage Nummer zwei. Die Hersteller, egal ob Apple oder Windows, Microsoft, machen ja von sich aus schon eine ganze Menge, um ihr Betriebssystem zu schützen. Du sagst natürlich, das reicht nicht. Aber erklär mir mal, wo ist der zusätzliche Benefit durch das, was ihr macht?

Gerald Beuchelt: Es ist also tatsächlich so, dass ein komplett durchgepatchtes System, also was wirklich immer aktualisiert wird und wirklich tagesaktuell aktualisiert wird, schon recht ordentlich geschützt ist. Das muss man mal ganz klar so sagen. Das ist sicherlich der Fall. Jetzt habe ich gesagt komplett tagesaktualisiert durchgepatcht. Ich möchte mal ganz kess behaupten, dass das nicht immer überall der Fall ist.

Wir haben alle unsere, auf dem Mac, unsere...

Sprecher: Das ist gar nicht so kess.

Gerald Beuchelt: Ja, wir haben alle unsere kleinen roten Bubbles an den Systemeinstellungen und da warten wir dann doch ganz gerne noch mal einen Tag oder zwei oder vielleicht auch mal eine Woche, bis wir dann das System wieder aktualisieren. Im Windows-Bereich sieht das ähnlich aus. Da haben wir dann auch Updates, die anlaufen. Ich habe jetzt wirklich keine Lust, die Kiste heute Abend noch mal durchzustarten. Ich mache das morgen oder morgens Wochenende, dann mache ich es dann halt nicht, dann mache ich es halt nächste Woche oder sonst irgendwas.

Und so ist es dann so, dass man halt schon eine ganze Reihe wichtiger Patches dann letztendlich auch häufig sehr viel später in das System einpflegt und dementsprechend der Zeitraum, in dem es halt wirklich möglich ist für einen Hacker, dass die Schwachstellen, die damit zugemacht werden sind, dass die halt dementsprechend ausgenutzt werden können.

Wenn man jetzt eine Endpoint-Lösung auf seinem Laptop drauf hat, dann sieht es so aus, dass die ganze Aktualisierung von den Schutzinformationen, von den Signaturen, von den Heuristiken und so weiter automatisch im Hintergrund abläuft. Also da muss man nicht aufs Knöpfchen drücken, sodass dann irgendwas aktualisiert wird, sondern das geschieht bei nahezu allen Lösungen, bei unseren halt auch, im Hintergrund. Dementsprechend ist der Schutz dann deutlich besser da, so dass man da zumindest mal eine zusätzliche Schutzfunktion hat.

Jetzt ist es auch so, wie ich schon gesagt habe, wir haben nicht nur Signaturen, wo wir uns gegen bekannte Sachen schützen können, sondern auch heuristische Systeme. Wenn wir etwas sehen, was hochgradig suspekt ist in dem Verhalten des Betriebssystems, egal ob das Windows, Linux oder macOS bzw. Mac ist, dann unterbinden wir das. Wir sagen einfach, das sieht nicht gut aus.

Wenn plötzlich Gigabyte um Gigabyte verschlüsselt werden, das kann irgendwie nicht so ganz normal sein im Betrieb. Dann machen wir jetzt erstmal einen Stopp und gucken uns das an. Der Benutzer kann dann entscheiden, ob er das weiterführen will oder nicht. Häufig genug sieht es dann so aus, dass durch solche heuristischen Geschichten dementsprechend dann auch größere Gefahren abgewendet werden können, selbst wenn es noch gar keine Patches für bestimmte Sicherheitslücken gibt.

Sprecher: Wie arbeitet ihr untereinander zusammen? Acronis mit anderen Sicherheitsanbietern oder beispielsweise mit den Betriebssystemherstellern? Wie läuft der Dialog untereinander, um letztendlich die Unternehmen oder mich als Privatnutzer zu schützen?

Gerald Beuchelt: Ja, man spricht schon miteinander, das ist ganz klar. Aber eine der entscheidenden Sachen, die wir in dem Zusammenhang auch machen, sind die ganzen Reports, die unsere Threat Research Units, unsere Acronis-TRU veröffentlicht. Da sehen wir schon den großen Mehrnutzen. Wir gucken uns natürlich auch an, was auf anderer Seite reinkommt, sei es durch VirusTotal oder durch verschiedene andere Kanäle und pflegen das selbstverständlich bei uns dann auch ein.

Es ist also nicht so, dass man hier ein geheimes Hinterzimmer hat, wo man sich dann mit den verschiedenen Unternehmen zusammensetzt.

Sprecher: Das wollte ich wissen! Den Viren-Stammtisch in Singapur ;-)

Gerald Beuchelt: Der Viren-Stammtisch, wenn es die gibt, dann sind das keine groß angelegten Programme. Aber es gibt schon diverse formelle Organisationen, die da entsprechend hingehen. Wie gesagt, VirusTotal ist eine dieser Geschichten, wo man reingehen kann und die verschiedenen Scan-Engines dagegen laufen lassen kann.

Es gibt auch im Bereich von dem Markieren von Domänen oder IP-Adressen, die möglicherweise schlecht sind, Organisationen, die das formell machen. Spamhaus ist zum Beispiel eine der ganz Bekannten, die gezielt bestimmte Bereiche des Internets als gefährlich einstufen. Das kann man dann auch in solche Endschutzsysteme einpflegen, wie wir sie haben.

Sprecher: Abschließende Frage. Gibt es etwas, worauf du besonders stolz bist, in der zurückliegenden Zeit, wo du sagst, hey, da haben wir wirklich geschafft, jemanden ganz besonders zu schützen oder sind jemandem zuvor gekommen, bevor was Dramatisches passiert ist?

Gerald Beuchelt: Ja, ich würde sagen, wenn Leute Interesse haben, sollten sie wirklich mal den Word Drone Report lesen, den wir letzten Herbst veröffentlicht haben. Ich denke, das ist wirklich ein ganz hervorragendes Produkt, was sehr gut erläutert, wie so eine Arbeit stattfindet. Also wie man von ersten Anfangsvermutungen reingeht und dann so eine komplette Killchain sich anguckt, die ein Hacker zusammengebaut hat, um ein bestimmtes Ziel zu erreichen.

Das würde ich sagen, ist wirklich eine ganz herausragende, originale Arbeit, die wir da geleistet haben, die durchaus ziemlich relevant gewesen ist und auch noch relevant ist.

Sprecher: Standardlektüre fürs Wochenende für alle IT-Mitarbeiter.

Gerald Beuchelt: Kann ich dringend empfehlen, wer daran Interesse hat. Wer nicht daran Interesse hat, da kann das manchmal ein bisschen trocken sein. Aber gut, jeder Jeck ist anders, wie man im Rheinland sagt.

Sprecher: Herzlichen Dank, Gerald, dass du die Zeit gefunden hast für „heise meets … – Der Entscheider-Talk". Jetzt geht es wirklich ins Wochenende bei dir oder noch ein paar Meilen aufs Vielfliegerkonto. Wie wird es?

Gerald Beuchelt: Ja, Wochenende ist definitiv angesagt. Falls nichts anderes passiert. Aber bevor ich jetzt dann nach Hause fliege, werde ich erstmal noch ein paar Meilen auf meine Turnschuhe tun und eine Runde Laufen gehen, weil die Woche war lang.

Sprecher: Das klingt gut. Ganz viel Spaß und ganz herzlichen Dank Gerald Beuchelt, Chief Security Information Officer von Acronis.

Das war „heise meets … – Der Entscheider-Talk". Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie.