silicon.de: Wie gefährlich sind Botnets für Unternehmen?
Paul Wood: Botnets gehören zu den größten Gefahren des letzten Jahrzehnts für Unternehmen. Die Schattenwirtschaft stützt sich auf Botnetze, um ihre Attacken durchzuführen, illegale Inhalte unterzubringen oder um daraus Spam und Malware zu verbreiten. Computer in Firmennetzwerken, die kompromittiert und in ein Botnetz eingespannt wurden, erhöhen das Risiko für Datenverlust oder Durchsickern vertraulicher Daten enorm. Ein Distributed Denial-of-Service-(DDos)-Angriff kann sogar problemlos die Webseite eines großen Unternehmens lahmlegen. Deshalb gab es in den letzten Jahren vermehrt Überlegungen, solche Ereignisse in die Budgetplanung einzubeziehen und Maßnahmen zur Schadensbegrenzung einzuführen.
silicon.de: Was kann ein Unternehmen tun, um den Internetauftritt vor Cyberkriminellen zu schützen?
Paul Wood: Zum einen sollten Unternehmen die Service Level Agreements (SLAs) des Providers, bei dem die Webseite liegt, bis ins Detail verstehen. Außerdem sollten sie die Dienste eines Spezialisten in Anspruch nehmen. Solche Firmen können Unternehmen über die Gefahren aufklären und ihnen raten, wie sie sich dagegen schützen können. Dies sollte Teil einer fortlaufenden Strategie zur Risikoanalyse sein. Unternehmen müssen erkennen, welche Risiken bestehen, wie die möglichen Folgen aussehen und wie wahrscheinlich solch ein Ereignis ist. Außerdem sollten sie Sicherheitsmaßnahmen für interne Mitarbeiter beachten, die im Internet surfen. Es müssen akzeptable Benutzungsrichtlinien vorhanden sein sowie Werkzeuge, mit denen man sie durchsetzen und ihre Einhaltung überwachen kann. Vorsicht ist immer besser als Nachsicht.
silicon.de: Cyberkriminelle agieren verstärkt wie ein Unternehmer – dabei ahmen sie auch Geschäftsmodelle nach, die im normalen IT-Business Erfolg haben, etwa das Anbieten von Malware in Form von Service-Modellen. Wie sehen Sie diesen Trend?
Paul Wood: Mit Malware-as-a-Service können Cyberkriminelle Verträge anbieten, die wie Abo-Modelle funktionieren. Sie sind dadurch in der Lage, ihren Kunden immer neue, auf den letzten Stand gebrachte Versionen maßgeschneiderter Malware zu liefern. Sie können sogar Garantien dafür bieten, dass die meisten bekannten Antiviren-Programme umgangen werden. Wird die Malware auffindbar, liefern die Kriminellen ein Update. Außerdem ist eine zunehmende Spezialisierung unter den Schurken festzustellen. Beispielsweise gibt es Experten für den Betrieb und möglichst einfachen Zugang zu Botnetzen oder spezialisierte Malware-Entwickler. Es gibt Banden, die persönliche Daten und Kreditkarteninformationen sammeln und damit handeln, und natürlich die Spammer. Zwischen all diesen Experten gibt es auch Treuhänder oder vertrauenswürdige Drittparteien, die den Handel zwischen zwei Kriminellen ermöglichen – und die dabei für ihre Mühen einen bestimmten Prozentbetrag der Transaktion einbehalten.
silicon.de: Welche Methoden zur Beeinträchtigung von seriösen Webseiten werden sich in Zukunft bei den Cyberkriminellen durchsetzen?
Paul Wood: Durch das Umgehen von CAPTCAHs können Cyberkriminelle weiterhin gefälschte Nutzerkonten auf großen Webseiten erstellen. Dazu gehören kostenlose Webmail-Dienste, Multimedia- und Filesharing-Seiten sowie Blogs und soziale Netzwerke. Indem man CAPTCHA Codes für Computer schwerer knackbar macht, werden sie auch für Menschen schwerer erkennbar. Dadurch verlieren sie ihren ursprünglichen Sinn. Neue Formen von CAPTCHAs sind auf dem Weg, und schon bieten Firmen in Staaten wie Indien die Dienste echter Menschen an, die Nutzerkonten in großer Zahl anlegen. Solche Firmen zahlen beispielsweise zwischen drei und vier Dollar für 1000 Konten. Diese werden dann für rund 30 bis 40 Dollar an Spammer verkauft.
Page: 1 2
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
View Comments
Lasst ihn uns abschaffen: den User und Nutzer des Internets
Man fragt sich als normaler Nutzer und Betreiber einer kleinen Webseite, wie solche Leute wie Paul Wood denken. Er hat hoffentlich nicht noch Geld für das Interview erhalten.
Kein Wort der Verantwortung seitens der Provider, kein Wort der Verantwortung seitens der Entwickler, die uns die so tolle Software aufs Auge drücken. Alles ist der böse Nutzer schuld, weil er es versäumt hat, sich mit Sicherheitsfragen, Betriebssystemen und Produktsicherheit auseinanderzusetzen.
Und morgen gibts dann das neueste IP-Telefon mit Anbindung an TV und Kühlschrank, wohlwissentlich, das damit die bösen Buben schon fast im Haus sind, ohne das der nette Opa oder der Geschäftsführer von nebenan dies merkt.
Paul Wood, Dir und anderen aus der Branche sollte man einfach das Gehalt streichen.
Aus NRW grüsst
Dieter G.
Trügerische Sicherheit? -- Sicherer Betrug? -- Philosophisch betrachtet
Ersteinmal finde ich den Artikel wichtig.
Ohne solche Artikel würden Oma und Opa gar nicht wissen, welche Gefahren es gibt.
Nun ein kleiner Vergleich:
Streichhölzer sind wichtig.
Mit ihnen kann man Feuer machen und somit die Wohnung wärmen und Essen machen....
Man kann damit aber auch ein Haus anzünden.
Die Natur der Dinge ist zweiseitig.
Ich kann nur durch gute Erziehung dafür sorgen, dass mein Sohn wirklich nur die erste Option nutzt.
Ein anderer Vergleich:
Autos sind sinnvoll. Sie beschleunigen den Transport von A nach B.
Autos sind aber auch gefährlich.
Egal wie vorsichtig ICH fahre, ich habe keinen Einfluss darauf, wie andere Menschen das Auto nutzen.
Und wenn ich nicht mit einem Auto umgehen kann, es aber dennoch benutze, stelle ich ein Risiko für alle anderen Teilnehmer dar.
(Die Führerscheinprüfung abgelegt zu haben ist kein Nachweis für fähigen Umgang mit dem PKW/Bike.... whatever)
Oder ich nutze das Auto, um illegale Waren von A nach B zu transportieren.....
...
Quit pro Quo
Wer sich nicht in die Risikozone begeben will, darf solche Technologien nicht nutzen oder sich nicht in den Bereich begeben, in dem diese Technologien genutzt werden.
Auf unser Auto-Beispiel bezogen müsste ich mich absolut vom Strassenverkehr fernhalten, wenn ich nicht in Gefahr laufen möchte, überfahren zu werden.
ALLES kann im positiven oder negativen Sinn benutzt werden. Das ist Fakt.
Jeder sollte sich z.B. bewusst sein, dass er bei einem ISDN-Anschluss von Aussen abgehört werden kann, auch wenn das Telefon "ausgeschaltet" ist oder aufliegt.
Sollen wir ISDN-, IP-Telefone, Autos, Motorräder verbieten, nur weil dort die Möglichkeit einer "bösen" Nutzung vorliegt?
Diese Argumentation kann sich nur jemand erlauben, für den Scheuklappen-Denken kein Problem ist.
Natürlich ist JEDER Internetnutzer dazu verpflichtet, sich ersteinmal über die Risiken dieser Technologie zu Informieren. Und wem das Risiko zu gross ist, für den gibt es nur eine Konsequenz:
Finger weg.
Und alle anderen sind verpflichtet, dafür Sorge zu tragen, dass Sie maximal abgesichert sind.
Beispiel:
JEDER sollte wissen, dass Microsoft seine Quellcodes, also die Klartextprogrammierung, geheim hält.
Folge ist, dass erst die Kriminellen über Sicherheitslücken informiert sind.
(In diesen Kreisen ist der Informationsfluss so intensiv und zeitnah, wie er eigentlich vom Hersteller zum Kunden sein SOLLTE)
VIEL SPÄTER erst werden neue Sicherheitsupdates von Redmond aus freigegeben.
Also viel später erst werden die Lücken geschlossen.
Was passiert in der Zwischenzeit?
Die bekannten Lücken werden von Kriminellen ausgenutzt.
Wer trägt die Verantwortung?
Ich als Nutzer dieses Systems könnte mich nicht freisprechen, da ich dieses System als steten potentiellen Risikofaktor nutze, weil es BEQUEM ist.
Nutzerfreundlich, sozusagen.
Also würde ich Bequemlichkeit gegen maximale Sicherheit tauschen.
Jeder, der eine Webseite betreibt, ist verpflichtet, dies mit Sorgfalt zu tun.
Jeder, der im Netz rumwandert, ist ebenfalls verpflichtet, dies mit Sorgfalt zu tun.
Quintessenz:
Bewusster Umgang mit unseren Mitteln anstatt blindes Vertrauen nach dem Motto "Es wird ja schon nichts verkauft, was unsicher ist"
Hier in Deutschland wie in anderen Ländern auch wird sich mehr auf die Regeln verlassen als auf den Menschenverstand und eigenes Gefühl.
"Erlaubt ist, was nicht verboten ist", diese Regelung führt zu wachsender Unverantwortlichkeit und sinkender Eigeninitiative. Zund zum steten Anwachsen des Paragraphenwaldes.