Einbrüche in Datenbanken, gestohlene persönliche Daten, manipulierte Transaktionen im E-Banking, Eingriffe von staatlichen Akteuren in die Kommunikation im Internet und Angriffe auf die Verfügbarkeit von Diensten: Fast täglich wird mittlerweile über diese Sicherheitsvorfälle in den Medien berichtet.
Computer Security Incident Response Teams (CSIRTs) sind mit die Ersten, die auf solche Vorfälle reagieren und versuchen, Gegenmassnahmen zu treffen. Im Forum of Incident Response and Security Teams (FIRST) sind weltweit rund 240 dieser Teams aus der Industrie, von Regierungen und Akademischen Institutionen zusammengeschlossen, das SWITCH-CERT ist eines davon.
Einmal im Jahr treffen sich die CSIRTs zur Annual FIRST Konferenz an wechselnden Orten. Dieses Jahr zum 25ten mal Bangkok. Im Mittelpunkt stand dieses Jahr die Kollaboration zwischen den verschiedenen Akteuren die auf Sicherheitsvorfälle reagieren: Staatliche Stellen, CSIRTs und Hersteller. Neben den Keynote Speeches, die aktuelle Themen wie Big Data aufgriffen, gab es jede Menge Vorträge zu technischen Themen. Viele Präsentationen behandelten das bekannte Thema Malware von verschiedenen Seiten: Malware Analyse, Möglichkeiten zur Malware-Detektion mittels DNS, bis hin zur Beschreibung wie Web-Malware Sicherheitsprodukte austrickst.
Ein aktuelles Thema, das in mehreren Präsentationen behandelt wurde, waren Advanced Persistant Threats (APT). Bei dieser “fortgeschrittenen, andauernden Bedrohungen” geht es um aufwendige und gezielte Angriffe auf vertrauliche Daten von Industrie und Behörden. Ein Merkmal dieser Angriffe ist es, dass gezielt einzelne Personen einer Organisation mit Hilfe von Social Engineering und spezieller, für den Einzelfall entwickelter Malware, angegriffen werden. Die Detektion solcher Angriffe ist schwierig und meistens werden sie erst nach dem Verlust vertraulicher Daten entdeckt.
Ganz allgemein lässt sich feststellen, dass Angriffe immer aufwendiger, raffinierter und komplexer werden – und es damit schaffen, vorhandene Sicherheitsmechanismen wie Firewalls und Intrusion Detection Systeme (IDS) zu umgehen. Computer Security Incident Response Teams (CSIRTs) wird es so auch trotz aller Abwehrmassnahmen weiterhin benötigen.
SWITCH Security-Blog 