IT-Sicherheit, Teil 2

Späher kommen in jedes Netz

Von Uli Ries

Teil 1 dieser Serie hat mit einem gängigen Irrglauben aufgeräumt: dass Firmenrechner sicher sind. Heute geht es vielmehr darum, zu verhindern, dass professionelle Datendiebe mit der Beute davonkommen. Besonders schlimm: In vielen Fällen kommen Angriffe mit Bastelbögen aus dem Internet durch die Firewall.

Van der Wel von Verizon Business glaubt, dass mangelndes Verständnis der IT-Verantwortlichen für die Relevanz der IT-Sicherheit einer der Hauptgründe für die hohe Zahl an erfolgreichen Script-Kiddy-Attacken ist: „Die meisten Administratoren glauben, dass Kauf und Installation einer Firewall und eines Intrusion Detection Systems genügen, um ein Netzwerk zu schützen. Zu viele befassen sich dann aber nie wieder mit den Log-Dateien ihrer Sicherheitskomponenten. Dabei konnten wir 82 % aller Datendiebstähle allein durch Blick in diese Logs erklären.“

Obwohl die Zeit spektakulärer Massenviren vorüber ist, haben E-Mails als Transportmittel für Malware sind noch längst nicht ausgedient. Mikko Hypponen, der oberste Virenjäger der finnischen Antiviren-Firma F-Secure, präsentierte in seinem Vortrag auf der RSA Conference 2008 zahlreiche Beispiele von Trojanischen Pferden, die in scheinbar harmlosen Office-Dokumenten versteckt waren – Virenscanner hatten sie nicht entdeckt.

Die Angriffe basieren in der Regel auf längst geschlossenen Lücken in Microsoft Office und wären daher vergleichsweise leicht zu unterbinden. Hypponen hatte trotzdem eine sehr lange Liste an Exempeln parat, bei denen der Trojaner erfolgreich installiert wurde – denn die entscheidenden, oft schon seit vielen Monaten verfügbaren Updates waren nicht installiert und das manipulierte Office-Dokument brachte die Anwendung gezielt zum Absturz (Buffer Overflow), um gleichzeitig die Malware abzuladen. Eingeschleust wurden die Office-Dokumente sämtlich per E-Mail.

Klicken überflüssig, surfen genügt

Was sich offenbar noch längst nicht herumgesprochen hat: Internet-Surfer müssen gar nicht mehr auf Anhänge klicken oder sich auf dubiosen Webseiten mit Raubkopien oder Pornofilmchen herumtreiben, um mit Malware in Kontakt zu kommen. Moderne Schadsoftware kann man sich jederzeit einfangen, auch auf an sich vertrauenswürdigen, aber gehackten Websites von Fernsehsendern, Kaufhausketten oder staatlichen Organisationen – und zwar ohne einen einzigen Mausklick. Der simple Aufruf der Seite genügt, um per bösartigem JavaScript und Angriffstechniken wie XSS (Cross-Site Scripting) zum Opfer der Malware-Attacke zu werden.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

Verstärkt werden auch Instant Messenger (IM) wie Windows Live Messenger oder Skype missbraucht: Malware infiziert den PC eines IM-Nutzers und öffnet dann automatisch Chatfenster mit sämtlichen Bekannten. Die Fenster enthalten meist nur einen Link, der verlässlich zu einer mit Malware infizierten Website führt. Da der Link von einer vermeintlich vertrauten Person kommt, klicken entsprechend viele Anwender darauf – das alte I-love-you-Prinzip.

Klassische Schutzmechanismen wie Virenscanner sind machtlos angesichts dieser Browser– oder IM-basierten Attacken, da der Schadcode mit den üblichen, auf bekannten Mustern basierenden, Erkennungsmethoden nicht auszumachen ist. Zu vielfältig und zu gut getarnt ist die übertragene Malware. Auch Firewalls sind machtlos, da die Angriffe über den stets offenen Port 80 passieren und alle Aktionen zudem vom Client – also aus dem Intranet heraus – initiiert werden. Hilfe versprechen nur Browser-Erweiterungen wie NoScript für Firefox oder Schutzkomponenten wie sie z.B. im Softwarepaket Norton Internet Security 2009 integriert sind.

Trojaner-Download: Fortsetzung folgt

Wie der Security Intelligence Report von Microsoft belegt, kommen die meisten Trojaner nicht in einem Rutsch auf den Rechner. Der Report wertet unter anderem die Entfernung von Schädlingen aus und kommt zu dem Ergebnis, dass 47 % der allein in Deutschland festgestellten 2,9 Mio. Malware-Infektionen auf das Konto so genannter Trojan Downloader gehen.

Nachlader für Trojaner
Der Security Intelligence Report von Micro­soft ver­zeichnet deutsch­land­weit für das Jahr 2007 nur in einem Viertel aller Fälle Angriffs­versuche durch her­kömmliche Tro­janer. Ordi­näre Viren machen ge­rade einmal knapp 5 % aller Infek­tionen aus. Im Kom­men sind da­gegen Trojan Down­loader. Diese tücki­schen Nach­lader ge­langen über die be­schrie­benen Wege auf den PC und holen dann weitere Mal­ware aus dem Inter­net nach. Online steht der Security Intelli­gence Re­port unter www.micro­soft.com/sir zum Down­load bereit.

Weltweit verhält es sich ganz ähnlich. Auch hier liegen die Downloader bei zirka 50 % und somit weit vor Rootkits, Würmern und anderen Schädlingen. Der Report verzeichnet einen immensen Anstieg der Downloader-Verbreitung um 300 % vom ersten zum zweiten Halbjahr 2007. Hierzulande war die Verbreitung erheblich langsamer: Gingen in den ersten sechs Monaten des Jahres knapp 38 % aller Infektionen auf das Konto dieser Malware-Spezies, waren es in der zweiten Hälfte über 51 %. Gleichzeitig sank die Verbreitung herkömmlicher Trojaner prozentual von 27 auf zirka 25 % – obwohl die absolute Zahl der Trojanerinfektionen im gleichen Zeitraum anstieg.

Der Report belegt auch, dass Deutschland im weltweiten Infektionsvergleich ganz ordentlich abschneidet. Denn hierzulande wurde nur auf einem von 226 Computern Malware gefunden; weltweit war es einer von 123 PCs. Es ist nach wie vor so, dass vor allem in Schwellenländern wie China oder Indien außerordentlich viele PCs infiziert sind, wohingegen Rechner in Industrienationen weniger oft befallen sind. Das ist sicher darauf zurückzuführen, dass Schutzprogramme in Industrienationen weiter verbreitet und die Anwender besser informiert sind.

Welche Strategien es Unternehmen ermöglichen sollen, der Plage Herr zu werden, stellt Teil 3 dieser Serie dar.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links