Cyberkrieg ist plötzlich real

header news timecardextension

 


Alles zur aktuellen Lage von Kaspersky zur Russland-Krise

Gleich vorweg - dieser Artikel spiegelt die persönliche Meinung und Einschätzung der PNC Spezialisten wider. Wir haben uns intern abgestimmt und anhand der vorliegenden Informationen, die wir auch von Kaspersky direkt bekommen haben, Bedrohungslagen analysiert und sprechen daher für alle unsere Kunden mit dem Kaspersky Virenschutz folgende Empfehlungen aus. Die Kaspersky Automated Security Awareness Platform (ASAP) ist von den aktuellen Bedrohungen nicht betroffen, da es sich um ein reines "Webservice" handelt, das keinerlei lokale Installationen auf einem Computer erfordert.

 

Ausgangslage

Der Gründer und Eigentümer von Kaspersky Labs ist Eugene Kaspersky (auf russisch Jewgeni Kasperski). Von ihm gab es bereits am 28. Februar ein ausführliches Statement, in dem er seinen Fokus auf den Schutz und die Sicherheit der Kaspersky Kunden hervor hebt. Weiters wird von seiner Seite bestätigt, dass die Sicherheit und Integrität der Datendienste und technischen Verfahren in unabhängigen und externen Prüfungen bestätigt wurden.
 
Dafür verantworlich zeichnet das SOC-2-Audit, eine ISO27001 Zertfizierung und eine kürzlich erneuerte IEC 62443 Zertifizierung des TÜV Austria zum Thema "Industrial communications networks - network and system security".
 

Struktur

Für den europäischen Bereich betreibt Kaspersky die Datacenter in der Schweiz. Bei den Rechenzentren in Zürich, in denen die Bedrohungsdaten verarbeitet werden, handelt es sich um hochwertige Einrichtungen, die den Industriestandards vollumfänglich entsprechen und entsprechende Zertifizierungen vorweisen können. Die verwendete Infrastruktur, einschließlich der Server des Kaspersky Security Network, ist auf verschiedene Länder weltweit verteilt. So werden höhere Betriebsgeschwindigkeiten und Ausfallssicherheit gewährleistet.
 
Neben diesen zentralen Servern, die Bedrohungsdaten verarbeiten, allerdings aber auch Signaturdatenbanken zum Download zur Verfügung stellen, gibt es noch die lokalen Installationen in den jeweiligen Kundennetzwerken.
 
Einerseits gibt es die Komponente Kaspersky Security Center (KSC genannt), welches für die Verwaltung der Endgeräte verantwortlich zeichnet. Dieses System wird von uns selbst für unsere Kunden betrieben und betreut. Das heißt, diesen Service haben wir voll umfänglich in eigener Betriebshoheit. 
 
Die nächst tieferliegende Instanz sind die sogenannten Adminstrationsserver. Diese sind pro Kundennetzwerk vorhanden und dienen als weitere Verteilsysteme, damit nicht jeder Job, jede Datenbank und sonstige Downloads mehrfach über dieselbe Internet-Leitung gehen müssen. 
 
Als letzte Instanz läuft dann noch die sogenannte Endpoint Protection (das ist die Virenschutz-Software, die am Client selbst installiert ist). Diese bezieht vorrangig alle Informationen vom zugewiesenen Administrationsserver. Sollte dieser nicht erreichbar sein, so können aktuelle Virensignaturen auch direkt von den Kaspersky Servern heruntergeladen werden.
 

Sicherheit

Jeder Download ist mehrfach abgesichert und das Einschleusen von Fremdinformationen ist mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen. Die Virensignatur-Datenbanken sind auch bewusst so programmiert, dass kein ausführbarer Code übertragen wird, sondern lediglich Informationen über die Erkennung und Behandlung von Viren. Ausführbare Codes wie z. B. das Update der Client-Software selbst wird durch die Administratoren des KSC manuell angestoßen.
 
Natürlich können wir nicht zu 100% ausschließen, dass Hintertürchen existieren, über die man theoretisch Schadcode verteilen könnte oder die über gewisse Behandlungsalgorythmen beispielsweise Systemdateien als "böse" klassifizieren und somit einen Prozess starten, der zu einer globalen Cyber-Attacke führen kann.
 
 

Hintergrund-Überlegungen

Man weiß heute, dass der Ukraine Einmarsch schon von langer Hand geplant wurde und die Annektierung der Krim ein erstes Vorspiel dessen war. Das heißt, hätte man damals bereits einen Cyber-Schlag geplant und diesen über ein Produkt wie Kaspersky abwickeln wollen, dann hätten wohl alle User von Kaspersky den Schadcode bereits jetzt schlummernd auf Ihren Computern liegen - neue Updates nicht notwendig.
 
Mit meinen Technikern haben wir diese Überlegungen weitergesponnen - wären wir böse Hacker, hätten wir uns natürlich schon lange einen eigenen Virus programmiert, den weder Kaspersky, noch all die anderen Virenschutzhersteller erkennen würden und der über die Signaturverteilung bereits auf alle Computer mit Kasperksy weltweit verteilt geworden wäre. Würde man nun Kaspersky Endpoint Protection deinstallieren, so wäre das völlig egal - das andere eingeschleuste Programm würde dann einfach die Funktion übernehmen.
 
Anhand dieses einfachen Beispiels wird leicht erkennbar, wie mit bösen Energien und Gedanken im Hintergrund ein Cyberangriff einer weltweiten Dimension möglich gemacht werden könnte.
 

Bedrohungsszenarien

Eine weitere Überlegung ist, was man eigentlich genau als russische Regierung mit einem weltweiten Cyberangriff über die Endpoint Protection erreichen wollte oder will bzw. welche Schaden-Szenarien angepeilt werden könnten. Hier gibt es natürlich eine nahezu unbegrenzte Zahl an möglichen Szenarien - darum auch hier ein paar beispielhafte Überlegungen:
 

DDoS

Distributed Denial of Service wird eine Angriffsform genannt, bei der eine große Menge an Computern diverse Systeme dermaßen mit Datenpaketen überschwemmt, dass diese Systeme die Anfragen nicht mehr bearbeiten können und somit die Dienste einstellen. Das heißt, damit könnte man Systeme im Internet lahmlegen. Derartige Attacken können aber von Providern abgefangen und vermieden werden - also Effekt nur kurzfristig und handhabbar.
 

Spionage

Sollte die russische Regierung es geschafft haben, Kaspersky zu einer Spionage-Funktion zu zwingen, so dass Daten von Endkunden-Systemen abgesaugt werden und an die Regierung übermittelt (um z. B. in weiterer Folge massive wirtschaftliche Schäden anzurichten), so würde selbst diese Maßnahme in kürzester Zeit durch alle möglichen Monitoring-Systeme in den Firmen auffallen. Schaden kann hier natürlich nicht ausgeschlossen werden - jedoch gehen wir davon aus, dass ein derartiges Verhalten relativ schnell erkannt werden würde und somit auch hier eine Gegenmaßnahme möglich ist.
 

Daten-Zerstörung

Den größten wirtschaftlichen Schaden im Rest der Welt könnte man mit den Kaspersky Endpoint Protection Clients wahrscheinlich anrichten, wenn man zu einem Zeitpunkt X eine großangelegte Datenvernichtung starten würde. Also auf jedem erreichbaren Speicherort sämtliche Daten verschlüsseln, löschen, verändern oder was auch immer würde.
  

Finanzen

Der russischen Regierung wurde vom Großteil der restlichen Welt der Geldhahn zugedreht. Natürlich könnte man über bekannte Verfahren, wie z. B. Cryptolocker-Viren oder ähnliches eine Masse der Menschheit relativ leicht dazu zwingen, beispielsweise über Cryptowährungen Geld nach Russland zu transferieren. Frei nach dem Motto: Geld gegen Daten
Auch hier hilft allerdings eine gut organisierte Datensicherung - und die russische Regierung wird ausreichend intelligent sein, um zu wissen, dass damit das Finanzthema nicht voll umfänglich und dauerhaft gelöst werden kann.
 

Hintertüren

Mit den entsprechenden Programmiermaßnahmen im Endpoint Security Programm und über Updates könnten Hintertüren geschaffen werden, damit Fernzugriffe auf die Computer möglich wären. Hier würden sicherlich viele Millionen Computer von Privatanwendern einem hohen Risiko ausgesetzt sein - jedoch in Firmennetzwerken mit den entsprechenden weiteren Sicherheitsvorkehrungen, wie Firewalls, Monitoring-Systemen und ähnlichem, ist aber auch diese Bedrohungslage entsprechend abzufangen.
 
 

Empfehlungen

Als PNC empfehlen wir anhand der angestellten Überlegungen folgende Maßnahmen:
 
  1. Eigene Überlegungen anstellen

    - Welche Bedrohungsszenarien bringt ein  "zerstörerisches Eigenleben" der Antivirensoftware mit sich?
    - Habe ich Interaktionen oder eine enge Verbindung mit Behörden/öffentlichen Institutionen?
    - Habe ich eine ethische / moralische Verantwortung in Bezug auf den Russland-/Ukraine-Konflikt zu erfüllen?
    - ...

  2. Bewerten der Bedrohungslage

    - Habe ich eine gute/ausreichende Datensicherungsstrategie?
    - Was könnte bei einem Angriff auf die eigenen IT-Systeme passieren (Datenverlust, Stillstand, Erpressung, ...)?
    - Welche weiteren Systeme zum Abwenden von Schadenseintritten sind installiert und in Verwendung?
    - ...

  3. Auslagern einer möglichst alten Datensicherung

    Sorgen Sie dafür, dass Sie eine möglichst alte Datensicherung aus dem Sicherungszyklus herausnehmen und lagern Sie diese extern und zugriffsgeschützt (auf keinen Fall online im Netzwerk angeschlossen lassen). Machen Sie dies, um sicherzustellen, dass eine Datenversion noch idealerweise von vor Kriegsbeginn vorhanden ist)


  4. Überlegung, ob Wechsel des Kaspersky-Virenschutzes in Frage kommt

    Es gibt Virenschutz-Produkte, die durchaus eine Alternative zu Kaspersky darstellen. Aus eigener Erfahrung müssen wir allerdings sagen, dass die Kaspersky Produkte sicherlich zu den besten am Markt gehören. Ein Produktwechsel ist defintiv mit viel Aufwand, finanzieller Belastung und Beeinträchtigungen im Betrieb verbunden.


  5. Bewertung des Aufwandes für Deinstallation, Neuinstallation, Konfiguration

    Sollten Sie den Entschluss gefasst haben, auf ein anderes Produkt umsteigen zu wollen, so besprechen Sie bitte diese Entscheidung mit Ihrem IT-Betreuer/mit uns - nicht jedes Produkt ist für Ihre speziellen Anforderungen ausgelegt. Auch eine Deinstallation der Kaspersky-Produkte benötigt einen konkreten Ablauf, damit ein neues Produkt überhaupt installiert werden kann.


  6. Finanzielle Betrachung von bereits bezahlten Laufzeiten

    Aktuell bietet Kaspersky keinerlei Rückzahlungen für bereits gekaufte Laufzeiten an. Überlegen Sie auch, ob der finanzielle Aufwand/Schaden (neues Produkt muss für bereits bei Kaspersky bezahlte Laufzeit neu gekauft werden) für Sie akzeptabel ist. Auch die Kosten für den Umstieg (Arbeitszeit, Management-Maschinen, Lizenz-Verteilung) sind möglicherweise nicht ganz gering und die Ermittlung alles andere als trivial.

  7. Bewertung andere Virenschutzprodukte und Abhängigkeiten von anderen "Großmächten"

    Überlegen Sie sich, ob Sie in andere Produkte / andere Hersteller mehr Vertrauen haben. Beispielsweise taucht häufig als Alternativ-Produkt von Kaspersky der deutsche Hersteller G-DATA auf. Hier wird einerseits der Virenschutz angeboten, andererseits auch eine Security Awareness Plattform. Wenn man allerdings weiß, dass die Ex-Frau von Eugene Kaspersky über die Firma InfoWatch einen nicht unbeträchtlichen Teil dieses Unternehmens besitzt und im Aufsichtsrat sitzt, dann kann man die obigen Überlegungen gleich nochmals anstellen. 

    Beschäftigt man sich etwas mehr mit der Cyber-Security Szene, wird man relativ schnell draufkommen, dass in den vergangenen Jahren auch andere namhafte Hersteller von Security-Software Opfer russischer Hacker-Attacken geworden sind. Bestätigt wurde dies beispielsweise von TrendMicro. Die russische Hackergruppe Fxmsp behauptet, auch Symantec gehackt zu haben, Symantec weist diese Vorwürfe jedoch zurück. Wem Sie Glauben schenken wollen, überlasse ich Ihnen selbst.

    Hier fließt auch die Überlegung ein, wenn man neben dem amerikanischen Hardware-Hersteller und dem amerikanischen Betriebssystem-Hersteller samt Microsoft Cloud vielleicht auch noch McAfee (als amerikanischen Virenschutz) installiert - in welche Abhängigkeit begibt man sich dann damit!?
 

Begründungen & Konklusion

Falls Sie sich jetzt fragen, warum wir nicht der Meinung des BSI (Bundesamt für Sicherheit in der Informationstechnik) sind - wir verstehen die Haltung des BSI, wissen aber auch, dass das BSI naturgemäß politisch motiviert agiert. Das BSI ist ein deutsches Bundesamt und muss auch als solches handeln und nach außen auftreten. Liest man in den FAQs des BSI nach, so wird wortwörtlich auch folgender Text erwähnt: "Derzeit geht das BSI davon aus, dass Privatanwenderinnen und Privatanwender ohne wichtige Funktion in Staat, Wirtschaft und Gesellschaft nicht im Fokus stehen, sie können aber in einem erfolgreichen Angriffsfall auch Opfer von Kollateralauswirkungen werden."
 
Den gesamten Inhalt und auch die Reaktion von Kaspersky darauf finden Sie in folgenden beiden Links:
 
BSI-Warnung:
 
Kaspersky-Statement zur BSI-Warnung:
 
 
 
Bei Unsicherheiten, wie Sie sich selbst positionieren sollen oder ob Ihr Netzwerk bzw. Ihre IT-Umgebung einem hohen Risiko ausgesetzt sind, setzen Sie sich bitte mit uns in Verbindung.
 
Ganz offen gesagt, ist diese Situation für die gesamte IT-Szene - und auch für den Rest der Welt - eine völlig neue Thematik. Durch die vernetzte Verteilung der Kaspersky-Verantwortung, System-Lokationen und auch der Mitarbeiter in selbständigen Tochterunternehmen in einigen Ländern der Welt betrachten wir das Risiko eines generellen Missbrauchs als überschaubar und raten dazu, Daten zu sichern und abzuwarten.
 
Wir wünschen Ihnen und uns wieder eine normale Welt ohne Pandemien und ohne Kriege! 
 
Herzlichst,
Alexander Beck
Geschäftsführer der PNC
 
 
 

Kontakt

PNC Professionelle Netzwerke & Computersysteme GmbH
Schlossallee 52
A-3704 Glaubendorf
Tel.: +43 2956 7001
info@pnc.at

Wien: Hagedornweg 74/2, 1220 Wien
Tel.: +43 (1) 3320905

Produkte

IT Services

Rechtliche Informationen

Connect
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Weitere Informationen | Impressum