Vertrauen zu Kollegen kann fatal sein. Die Angriffe auf Computersysteme durch den Wurm Stuxnet voriges Jahr waren wohl nur möglich, weil Unternehmen Mitarbeiter eigene USB-Sticks an Firmenrechner anstecken ließen.
Foto: Symantec
Blindes Vertrauen nutzte auch ein anderer Schädling aus, der 2010 im Wirbel um Stuxnet fast unterging: Hydraq. Programmiert in der Absicht, geistiges Eigentum von Unternehmen zu stehlen, kam er daher in Form vertrauenswürdig erscheinender E-Mails mit Links und Anhängen daher, die sich als Falle entpuppten.
Für die Experten des US-amerikanischen Sicherheitsanbieters Symantec zeigen die beiden Beispiele, dass Arglosigkeit gegenüber Arbeitskollegen und Bekannten der am leichtesten nutzbare Schlüssel für Cyber-Kriminelle ist, um die Tür zu IT-Systemen von Firmen zu öffnen. Mit gezielten Attacken, die diesen Weg nutzen, sei daher für die Zukunft wiederholt zu rechnen, schreiben sie in ihrem jetzt erschienenen Sicherheitsbericht, der die Bedrohungslage des Jahres 2010 zusammenfasst.
USB-Ports sperren
Gezielte Angriffe auf Firmen waren laut den Beobachtungen der Sicherheitsexperten einer der Schwerpunkte der kriminellen IT-Aktivitäten. Die bei solchen Attacken genutzte Schadsoftware sei zunehmend darauf ausgelegt, sich über Wechselmedien wie USB-Sticks zu verbreiten. Sie hängt sich in den meisten Fällen an ausführbare Dateien an und gelangt auf andere Computer, wenn ein Nutzer ein Programm auf einem Datenträger weitergibt.
Eine Lehre daraus müsse sein, auch auf den ersten Blick isolierte Netzwerke ähnlich zu schützen wie typische Anwenderumgebungen. Das bedeute zum Beispiel, USB-Schnittstellen zu sperren und mobile Geräte streng zu kontrollieren. Lesen Sie dazu auch unsere Praxisbeiträge Datenleck USB richtig absichern und Windows-Praxis: USB-Nutzung per Gruppenrichtlinie reglementieren.
Als zweiten Brennpunkt der Internetsicherheit identifiziert der "Symantec Internet Security Threat Report - Trends for 2010" soziale Netzwerke. Wer immer sich in ihnen bewegt, hinterlässt Spuren, mit deren Hilfe Verbrecher ihre Angriffe gezielt auf ihr Opfer zuschneiden können. Sie informieren sich über private Interessen, den Arbeitgeber und den Freundeskreis.
Vorbei seien folglich die Zeiten, als Phishing-Versuche von auf den ersten Blick verdächtigen Mail-Adressen aus verschickt wurden, in schlechtem Englisch daherkamen und den Empfänger auf offensichtlich bösartige Webseiten lenkten. Für nahezu aussichtslos halten es die Verfasser der Symantec-Studie demgegenüber, einen gut gemachten Angriff zu entlarven, der auf "Social Engineering" aufbaut - so das Fachwort für das Ausnutzen von Informationen, die Menschen in sozialen Netzwerken preisgeben.
Rootkit Tidserv befällt Windows-Rechner
Als spezielle Gefahr in sozialen Netzwerken hat Symantec verkürzte Links ermittelt. Ein Angreifer schreibt den Link an die Pinnwand im Profil eines Opfers, gleichzeitig erscheint er dadurch auch bei dessen Kontakten. Symantec wertete eine Dreimonatsperiode des Jahres 2010 aus und fand heraus, dass fast zwei Drittel der auf diese Weise verbreiteten bösartigen Links verkürzte Links waren. Obwohl diese Links verbergen, wohin sie führen, ist das Misstrauen ihnen gegenüber gering: 73 Prozent der Kurz-Links wurden mindestens elf Mal angeklickt.
Foto: Symantec
Auf einer für einzelne Anwender weniger sichtbaren Ebene liegen die Schauplätze weiterer Angriffswellen, die der Sicherheitsanbieter 2010 beobachtet hat. Zum einen seien sogenannte Zero-Day-Schwachstellen in Verbindung mit Rootkits ein Sicherheitsrisiko. Bei dieser Art von Angriffen nutzen Kriminelle Sicherheitslücken in Programmen wie zum Beispiel Internet-Browsern aus, wenn diese noch nicht öffentlich und auch dem Hersteller der Software noch nicht bekannt sind. Rootkits helfen den Angreifern, dass ihr Tun unentdeckt bleibt. Sie sind Werkzeuge, die das Treiben eines Schadprogramms vor dem PC-Nutzer verbergen und auch verhindern, dass Unregelmäßigkeiten im Betriebssystem auffallen.
Eines der derzeit am häufigsten verwendeten Rootkits ist demnach Tidserv. Es verändert die Master Boot Record auf Windows-Rechnern und bemächtigt sich ihrer, bevor das Betriebssystem geladen wird. Eine Reihe Infektionen mit diesem Schädling wurden im Februar 2010 zufällig entdeckt, als Microsoft ein Sicherheits-Patch für Windows herausgab.
Handel mit Verbrecher-Werkzeug
Als weiteren Gefahrenherd beschreibt der Symantec-Bericht den Handel mit Angreifer-Sets. Im Untergrund würden solche Sets verkauft, mit denen der gewöhnliche Cyber-Kriminelle sein Gefahrenpotenzial erhöhen könne. Vorher nur wenigen bekannte Zero-Day-Schwachstellen würden so weithin publik. Wer als Internetkrimineller aktiv sei, für den sei es kein Problem, an solche Werkzeuge zu kommen. Sie waren laut Symantec mit für die mehr als 286 Millionen neuen Schadcode-Varianten verantwortlich, die 2010 entdeckt wurden.
Der Handel mit Angriffs-Sets mache deutlich, dass Internetkriminalität ein Geschäft sei: Verbrecher investierten Geld, erwarteten dafür aber auch einen Ertrag. Diese Logik erkläre auch, warum der nächste Schwerpunkt der Online-Kriminalität 2010 noch nicht so recht in Gang gekommen sei: Angriffe auf mobile Geräte.
Eigentlich seien alle Voraussetzungen für hohe Kriminalitätsraten auf diesem Feld vorhanden. Die Zahl der weltweit genutzten Smartphones und Tablet-PCs sei groß genug. Auf den Geräten liefen ausgefeilte Betriebssysteme mit ihren unvermeidlichen Schwachstellen. Außerdem gebe es eine simple und effektive Methode, Schädlinge in Umlauf zu bringen: Trojaner in Apps unterzubringen, die sich Tausende Nutzer herunterladen.
Gefahr mobiler Angriffe wächst
Das Einzige, was nach Ansicht von Symantec 2010 noch gefehlt habe, sei die Möglichkeit gewesen, dieses Szenario gewinnbringend auszunutzen. Sicherheitsanbieter Symantec rechnet allerdings damit, dass Angriffe auf mobile Geräte bald zum lohnenden Geschäftsmodell werden - Privatpersonen und Unternehmen, die Smartphones und Tablets wie das iPad nutzen, müssten daher auf der Hut sein und zur Vorbeugung beispielsweise nur Apps aus vertrauenswürdiger Quelle herunterladen und nutzen.
Der im April veröffentlichte "Symantec Internet Security Threat Report - Trends for 2010" ist die 16. Ausgabe des jährlichen Berichts des Sicherheitsanbieters. Die Erkenntnisse beruhen auf Auswertungen von Symantec. Nach Angaben der Autoren sammeln 240.000 Sensoren in mehr als 200 Ländern über Symantec-Lösungen Daten. Informationen über Schadcode trägt Symantec von mehr als 133 Millionen Systemen zusammen, die mit seinen Antivirenprodukten ausgestattet sind. Angaben zu Spam und Phishing listet Symantec in 86 Ländern auf. Mehr als acht Milliarden E-Mails werden dafür jeden Tag ausgewertet.
Der vollständige Bericht kann hier gegen Angabe von Namen und Mail-Adresse heruntergeladen werden. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.