Daten für Profit
Datenspionage
Ein immer größerer Teil des Bedrohungsszenariums im Netz geht auf das Konto krimineller Täter. Diese Entwicklung zeichnete sich bereits in der zweiten Jahreshälfte 2004 ab. Erst im letzten Jahr kam sie vollständig zum Tragen. Der Wurmprogrammierer mit wie auch immer gearteten „idealistischen“ Motiven stirbt aus. Das schließt nicht aus, dass es auch künftig Wurmepidemien geben wird, deren Verursacher wie einst der Programmierer der NetSky- und Sasser-Würmer von „hehren“ Zielen geleitet werden. Der Trend geht allerdings längst in eine andere, cyberkriminelle Richtung. Die meisten Schadprogramme werden heutzutage aus finanziellen Motiven programmiert und im Netz ausgesetzt. Sie sollen die Rechner ihrer Opfer ausspionieren und ihnen vertrauliche Daten entlocken, die anschließend für kriminelle Finanztransaktionen genutzt werden können. Die Zahlen, die Symantec präsentiert, belegen diese Entwicklung eindeutig.
Profis am Werk
80 Prozent der Schadprogramme, die die Virenzähler im zweiten Halbjahr 2005 auffingen, hatten die Aufgabe, im PC ihrer Opfer vertrauliche Informationen auszuspähen: Kreditkartennummern, Passwörter, PIN und TAN fürs Online-Banking oder Zugangsdaten zu den Accounts kommerzieller Webseiten. Dabei gehen die „neuen“ Schädlinge in aller Regel lautlos zu Werke. Die Schadprogrammschreiber achten darauf, ihre Schädlinge so zu programmieren, dass der Durchschnittsuser sie nicht bemerkt, wenn sie sich in seinem Rechner breit machen. Sie arbeiten „lautlos“ und hinterlassen keine offen sichtbaren Spuren. Unbemerkt können nur solche Programme bleiben, die weitgehend fehlerfrei, d. h. von Programmierprofis entwickelt wurden. Der Trend zur „lautlosen“ Arbeit impliziert deshalb auch einen Trend zum professionell entwickelten Schadprogramm. Die neuen Schadprogramme werden nur noch selten von so genannten Skript Kiddies, sondern von Fachleuten geschrieben. Die Szene der Schadprogrammschreiber hat sich professionalisiert.
Modularer Code
Damit einher geht eine Entwicklung, die Symantec mit dem Schlagwort „modularer Code“ bezeichnet: Immer mehr Schadprogramme, die sich direkt von PC zu PC oder via Email verbreiten, besitzen zunächst nur die notwendigen Basisfunktionen, um die Rechner ihrer Opfer zu infizieren und Kontakt mit dem Internet aufzunehmen. Je nach Intention der Schadprogrammschreiber oder ihrer Auftraggeber können diese Schädlinge anschließend beliebige Codemodule nachladen. „Während der letzten sechs Monate des Jahres 2005 machte modularer Code bereits 88 Prozent der Top-50-Schädlinge aus“, heißt es im Symantec-Report. Im ersten Halbjahr 2005 galt diese Feststellung nur für 77 Prozent. „Statische Cyberschädlinge sind auf dem Rückzug“, kommentiert Candid Wüest, Virenexperte bei Symantec, diese Entwicklung. „Wir werden verstärkt konfrontiert mit dynamischen Bedrohungen, die sich flexibel ihrer Umgebung anpassen.“
Botnetze bleiben brandgefährlich
Botnetze sind und bleiben gefährlich, weiß Symantec zu berichten. Zwar habe es im Hinblick auf die Zahl der täglich neu „entführten“ Rechner eine leichte Entspannung gegeben. Mit 9.163 infizierten Rechnern pro Tag sei die Zahl bot-infizierter Rechner im Vergleich zum ersten Halbjahr 2005 um elf Prozent zurückgegangen. Doch würden Botnetze verstärkt für kriminelle Aktivitäten wie Schutzgelderpressung durch Distributed-Denial-of-Service-Angriffe genutzt. Im Schnitt beobachtete Symantec pro Tag 1.402 solche Angriffe, was einer Steigerung von 51 Prozent entspreche. Für die Zukunft rechnen die Antivirenexperten mit einer weiteren Zunahme dieser Zahlen, „da Angreifer verstärkt Schwachstellen in Webanwendungen und Browsern ausnutzen“ würden.
42 Tage ohne Schutz
Auch über die Zahl der neu entdeckten Schwachstellen in Programmen und Betriebssystemen hat Symantec penibel Buch geführt. 1.895 neue Schwachstellen wurden im zweiten Halbjahr 2005 entdeckt, laut Symantec die höchste Gesamtzahl seit 1998. 79 Prozent dieser Sicherheitslecks ließen sich mühelos ausnutzen. Im Schnitt dauerte es 6,8 Tage, bis nach Bekanntgabe einer Schwachstelle ein Exploit im Netz zur Verfügung stand, der exakt diese Lücke nutzte. Demgegenüber ließen sich die betroffenen Softwarefirmen erschreckend viel Zeit, bis sie in der Lage waren, Lecks in ihrer Software zu stopfen. „Bis der Patch des Herstellers zur Verfügung stand, vergingen durchschnittlich 49 Tage“, hat Symantec ausgerechnet. „Unternehmen und Privatleute sind einer möglichen Attacke somit 42 Tage ausgesetzt.“ Wie lange Symantec selbst benötigt, um Sicherheitslecks in den eigenen Produkten zu beheben, gibt die Antivirenfirma allerdings ebenso wenig bekannt wie die Zahl der Schwachstellen, die allgemein in Sicherheitssoftware – nicht nur von Symantec – gefunden wurden.
Was Symantec „vergisst“
Experten weisen bereits seit geraumer Zeit auf eine Entwicklung hin, die arg am Image der Sicherheitsbranche kratzt. Denn immer mehr Schwachstellen werden gerade in den Anwendungen der großen Sicherheitsfirmen entdeckt, die eigentlich vor Schadprogrammen schützen soll – eine fatale Entwicklung, denn Sicherheitslücken in Sicherheitssoftware sind als besonders gefährlich einzustufen. So wies beispielsweise das US-amerikanische SANS-Institut in seinem zweiten Quartalsbericht 2005 auf diese gefährliche Entwicklung hin. In zunehmendem Maße seien auch Sicherheitsprogramme etwa der Firmen Symantec und Computer Associates betroffen, heißt es im SANS-Bericht. Symantecs Sicherheitsreport schweigt sich dazu aus.
Zurück zur News-Übersicht