Neue Trends bei Cyberattacken
Tarnen und Täucshen
Die größte Bedrohung für die IT-Struktur eines Unternehmens sieht siehr der Security-Anbieter ISS - neuerdings IBM-ISS - auch weiterhin imInternet. "Die Angriffe aus dem Netz steigen exponentiell an und darüber hinaus werden sie immer raffinierter", sagt Tom Noonan, Chef von IBM-ISS. Die Zahl der veröffentlichten Schwachstellen steigt alljährlich an und wird in diesem Jahr mit rund 6000 einen neuen Rekord setzen.
Dass sich die Cyberattacken immer schneller ausbreiten liegt nach Ansicht von IBM-ISS unter anderem daran, dass die Literatur über das Erstellen von Malware, das Umgehen von Sicherheitseinrichtungen sowie die Veröffentlichungen über bekannte Schwachstellen in den Betriebssystemen oder Browsern rasant zunehme. "Es ist alles im Netz verfügbar. Schon für 20 Dollar gibt es das praktische Do-it-Yourself-Handbuch mit Programmierbeispielen für alle Arten von Cyberattacken", sagt Günter Ollmann, Chef der Forschungsabteilung X-Force.
Seiner Meinung nach geht es bei den heutigen Angriffen hauptsächlich darum, das attackierte System unbemerkt unter Kontrolle zu bekommen. Über die Hälfte aller Cyberattacken wollen in irgend einer Form das System für sich ausnutzen, beispielsweise um remote Daten auszuspionieren oder den PC in ein Bot-Netz einzubinden. "Was besonders auffällig ist, sind die immer raffinierter werdenden Methoden beim Phishing, die sich inzwischen zu einer kompletten User-Täuschung entwickelt haben", sagt Chris Rouland, Cheftechnologe bei IBM-ISS, und verweist dabei auf einen Fall in Brasilien.
Dort wurden unlängst Online-Banking-Kunden aufgefordert, nicht nur die Logindaten, sondern auch den aktuellen TAN-Block in ein vorgefertigtes Formular einzugeben. Mit diesen Daten erfolgten dann Abbuchungen in Höhe des jeweiligen Guthabens. Das besonders Gemeine war, dass die installierte Spyware alle illegalen Transaktionen speicherte und den HTML-Code der Bankingseite bei jedem Besuch so manipulierte, dass die kriminellen Aktionen nicht angezeigt wurden. Der User sah weder die Abbuchungen noch den daraus resultierenden Kontostand. Erst beim Erhalt der gedruckten Auszügen oder beim Abruf des Kontostandes an einem anderen PC oder Bankautomaten wurde die Kontoplünderung offensichtlich.
"Diesen Täuschungen gehört die Zukunft beim Phishing", glaubt auch Ollmann, der noch einen weiteren Trend ausgemacht hat: "Polymorphe Viren-Varianten, die bei jedem Zugriff einen anderen Malware-Code erzeugen und damit schwer zu identifizieren und zu patchen sind, vermehren sich gegenwärtig mit einer unvorstellbaren Geschwindigkeit."
Zu diesen besonders ausgetüftelten Attackmethoden gesellt sich obendrein noch ein immer leichtsinnigeres User-Verhalten: "90 Prozent aller PCs in den Business-Centers der Hotels haben Keylogger, man kann davon ausgehen, dass es kaum virenfreie öffentliche PCs mehr gibt. Wer daran arbeitet darf sich nicht wundern, wenn alle seine Daten hinterher missbraucht werden", lautet Roulands Einschätzung über die gegenwärtige Verbreitung von infizierten Systemen.
Zwei weitere Trends sieht er derzeit am Horizont aufziehen: Zum Einen entwickelt sich der Malware-Verkauf zu einem selbstständigen Business. Es gibt Webseiten auf denen man sich Plugins der verschiedenen Malware für alle gängigen Browser auf die eigene Webseite herunterladen kann. Beim Besuch der eigenen Webseite wird dann die Malware beim Besucher installiert. Der Plugin-Lieferant wird dabei entweder einmalig oder pro installiertes Plugin bezahlt.
Zum Anderen konzentrieren sich die neuen Angriffe immer weniger gegen die Betriebssysteme. "Microsoft, Apple und die Linux-Gemeinde haben immense Anstrengungen unternommen die Schwachstellen in den Systemen auszumerzen, dieses ist nicht ohne Folgen geblieben, alle Systeme sind heute wesentlich sicherer als noch vor wenigen Jahren", sagt Rouland über die Situation bei den Betriebssystemen.
Folglich würden sich jetzt die Angriffe auf webbasierte Anwendungen, wie beispielsweise CRM, ERP oder SCM ausrichten. Und noch gefährlicher sind seiner Ansicht nach die neuen Attacken auf netzwerkfähige Peripherie, die mit embedded Systems operieren. Eine besondere Schwachstelle dieser Art seien die neuen Ethernet-fähigen All-in-One Geräte (Fax, Kopierer, Scanner, Drucker). "Erstens dauert es sehr lange bis jemand merkt, dass ein solches Gerät infiziert ist und zweitens kann der Anwender das System nur in den seltensten Fällen patchen", so Roulands Warnung an die System- und Netzadministratoren.
LANline/CZ/Harald Weiss
Lesen Sie mehr zum Thema
