Security-Trends 2009

Unverdächtige Infektionsherde

Von Uli Ries

Kein Zweifel: IT-Sicherheit ist inzwischen ein Thema für die Massenmedien. Der Spiegel, Süddeutsche & Co. berichten über spektakuläre Hacks, verschwundene Daten, grassierende Würmer und Trojaner wie Conficker. Das Dumme ist, dass viele IT-Fachleute, die es eigentlich besser wissen sollten, die ständigen Berichte über immer neue Varianten von Trojanern, über Angriffe auf Web-2.0-Angeboten wie Facebook, YouTube oder Google Docs oder über Sicherheitslücken in weit verbreiteten Anwendungen als Panikmache abtun.

Selbstverständlich bringt nicht gleich jede in China grassierende Wurmattacke hiesige Netzwerke in Gefahr. Die mangelnde Bereitschaft in bessere Sicherungsmechanismen zu investieren, gepaart mit einer zu lockeren Grundeinstellung gegenüber dem notwendigen Übel der IT-Sicherheit bleiben aber auch im Jahr 2009 Garanten für ernste Schwierigkeiten. Denn ein vollautomatisch nach Schwachstellen suchendes, von kriminellen Russen, Brasilianern oder Chinesen gesteuertes Botnet schert sich nicht darum, ob es eine deutsche, amerikanische oder russische Website per SQL-Injection mit Malware verseucht. Über den (wirtschaftlichen) Wert der geklauten Informationen, die die per Malware verteilten Keylogger zu den Herren des Botnetzes schicken, entscheiden die Gangster nach dem Klau in aller Ruhe.

Patchen wird wichtiger denn je

Frustrierend, aber wahr: Egal, wie viel Geld in IT-Sicherheitsprodukte investiert wird, vollkommene Sicherheit gibt es nie. Schon gar nicht durch einzelne Schutzmechanismen wie Firewalls oder Virenscanner. Denn selbst die beste Firewall wird nie gegen alle erdenklichen Attacken gefeit sein. Zu erfinderisch sind die Angreifer, die mit ständig neuen Varianten den Takt angeben. Anbieter von Sicherheitsprodukten reagieren zumeist nur auf das, was sich bereits im Internet abspielt.

Daher werden die erwähnten Botnet-Attacken immer wieder ihre Ziel erreichen: die hinter der Firewall verborgenen Clients und Server. Um diese Maschinen zumindest gegen die überwiegende Masse der technisch meist nicht besonders versierten automatischen Angriffe zu schützen, müssen die auf den PCs und Servern installierten Anwendungen unbedingt auf dem aktuellen Stand sein. Patches dienen schon längst nicht mehr nur der funktionalen Erweiterung der Programme. Der große Teil der Updates stopft entdeckte Sicherheitslücken.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Eine vom IT-Sicherheitsdienstleister Secunia veröffentlichte Statistik belegt, dass weniger als 2 % von 20.000 untersuchten PCs mit vollständig aktueller Software arbeiten. Auf über 45 % der Maschinen entdeckte Secunias PSI-Tool elf oder mehr Anwendungen, in denen z.T. bereits seit Jahren bekannte Bugs schlummern. Diese Bugs sind es, die von den automatisierten Angriffen gesucht und ausgenutzt werden. Ein großer Teil der erfolgreichen Angriffe stürzt sich auf Lücken in beliebten Anwendungen wie Acrobat Reader, Adobe Flash, Microsoft Word, Excel, PowerPoint, Apples QuickTime oder den Internet Explorer, für die es oft schon seit vielen Monaten Updates gibt.

Irbi.jpg
Realitätsnah: Microsofts IRBI führt Internet-Nutzer durch potenziell gefährliche Online-Szenarien, um mehr Bewusstsein für die Gefahren zu schaffen. (Bild: Microsoft)

Da diese automatischen Angriffe im Jahr 2009 weiter zunehmen können, hilft nur ständiges Patchen. Damit das Flicken aber funktioniert, müssen alle im Unternehmen verwendeten Anwendungen bekannt sein. Nur so können sämtliche notwendigen Updates verteilt werden. Selbst in tipptopp strukturierten IT-Organisationen stößt die IT-Abteilung auf unbekannte Anwendungen, die von den Anwendern installiert wurden.

Dazu gehören Freeware-Programme genauso wie Browser-Plug-ins. Daher bringt es nichts, nur die einstmals von der IT-Abteilung verteilten Applikationen mit Updates zu versorgen. Auch die nicht unterstützten Programme müssen erfasst und mit einbezogen werden.

Und immer wieder Web 2.0

Experten wie Symantec oder Websense sind sich einig, dass 2009 erheblich mehr Trojaner-Infektionen von Web-2.0-Seiten ausgehen werden als im Vorjahr. Nachdem Sites wie Google Docs oder Facebook regelmäßig vom Arbeitsplatz aus genutzt werden – schließlich sind diese Angebote durchaus relevant für den Job –, wandert das von solchen Seiten ausgehende Sicherheitsproblem ins Unternehmen. Herkömmliche Firewalls sortieren ein- und ausgehende Datenströme anhand des TCP/IP-Ports und des Protokolls. Damit ist die Gefahr einer von Web-2.0-Angeboten ausgehenden Malware-Infektion aber keinesfalls zu bekämpfen. Denn der Trojaner schwappt genau wie der legitime, das http-Protokoll nutzende Traffic über Port 80 ins Intranet.

Mit den bislang verbreiteten Firewalls konnte der Administrator nur den kompletten Zugriff auf die betreffende Website blockieren – ein übles Dilemma, das sich nur durch komplizierte Behelfskonstruktionen lösen lässt, falls die Site auch geschäftlich notwendig ist. Dank neuartiger Firewalls wie den Geräten von PaloAlto Networks lässt sich dieses Problem erheblich komfortabler lösen: Zugriff erlaubt, bösartige Software trotzdem geblockt. Denn die neuen Firewall-Modelle können einzelne Web-Anwendungen wie Facebook oder Google Docs anhand bestimmter Charakteristika in der Flut des http-Traffics erkennen und daher treffsicher entscheiden, ob von der Web-Anwendung eine Gefahr ausgeht oder ob sie sich ungefährlich verhält.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

Wer ist gut, wer ist böse?

Stolze 80 % der Malware-Angriffe sollen im Jahr 2009 von an sich gutartigen Webseiten ausgehen. Damit zumindest rechnet Websense in seinem Jahresausblick. Sollte dem so sein, könnte einer der hartnäckigsten Mythen aus der Welt geschafft werden: „Mit Datendieben in Kontakt kommt nur der Websurfer, der sich auf zwielichtigen Schmuddelseiten von Raubkopierern und Pornoanbietern herumtreibt.“ Diese Annahme war schon 2008 grundfalsch.

Denn viele Attacken gingen auch bisher schon von Sites mit guter Reputation aus. Prominente Beispiele waren cnn.com, usatoday.com oder walmart.com. Es gelang den Angreifern, diese Seiten – zumeist die dort gehosteten Foren – zu hacken und Download-Links auf Trojaner einzupflanzen. Nichts ahnende Websurfer mussten die kompromittierte Seite nur öffnen (Drive-by-Download), um ihren PC zu infizieren. Behält Websense recht, dann werden im kommenden Jahr erheblich mehr legitime Web-Angebote zur Malware-Schleudern als in der Vergangenheit.

Personalisiertes Phishing

Zunehmen sollen auch die so genannten Spear-Phishing-Attacken (von spear, engl. „Speer“). Das erwartet zumindest Netzwerkausrüster Cisco. Das eine besonders perfide Phishing-Variante: Die Kriminellen schicken gezielt einzelne Nachrichten an ausgewählte Empfänger, anstatt Milliarden von Werbe-E-Mails an x-beliebige E-Mail-Adressen zu senden. Die Nachrichten sind gespickt mit zum Empfänger passenden Informationen, so dass er nicht misstrauisch wird und das anhängte – mit Malware infizierte – Attachment öffnet oder auf den Phishing-Link in der Nachricht klickt.

So wurden z.B. kürzlich fehlerfrei formulierte E-Mails ausschließlich an die Führungskräfte eines schwedischen 6000-Mitarbeiter-Konzerns geschickt. An die scheinbar von einem Mitglied der Führungsmannschaft stammenden Nachrichten war ein vermeintliches Excel-Dokument angehängt, das in Wahrheit aber ein Trojaner war (exe-Datei).

Spam.png
Über 180 Mrd. Spam-Nachrichten werden einer Cisco-Studie zufolge täglich versandt. Bis zu 1 % des Spam-Volumens soll dabei auf Spear-Phishing-Nachrichten entfallen. (Bild: Cisco Systems)

In seinem jährlichen Sicherheitsreport schreibt Cisco, dass in Zukunft knapp 1 % des weltweiten Spams Spear-Phishing-Nachrichten sein wird – angesichts der 180 Mrd. täglich verschickten Spam-Nachrichten eine gigantische Zahl hochgefährlicher Nachrichten.

Technisch ist solchermaßen ausgefeilten Angriffen nicht bei zu kommen. Einzig Schulungen der Mitarbeiter, in denen das Bewusstsein der Kollegen geschärft wird, versprechen Besserung. Hilfreich bei der Visualisierung potenziell gefährlicher Online-Situationen ist auch Microsofts Online-Anwendung IRBI (Internet Risk Behaviour Index, auf www.irbi.de). Damit können Webnutzer verschiedene Szenarien durchspielen, die ihnen bei der täglichen Arbeit mit dem PC unterkommen können. Durchschnittlich bewanderte Mitarbeiter lernen durch IRBI sicherlich Neues. Abgebrühte Internet-Profis kommen hoffentlich ohne aus.

Nützliche Links