Den Hackern eine Nasenlänge voraus

In dem Maße, wie die Hackeraktivitäten zunehmen, einschließlich schädlicher Programme, die üble Tricks im Gepäck haben, verschlechtern sich die Chancen für diejenigen, die erst noch abwarten wollen. Denn die Virenautoren nutzen in der Mehrzahl der Fälle bekannte Sicherheitslücken aus, statt nach neuen zu suchen.

So infizierte der SQL Slammer-Wurm 200.000 Computer mit Microsoft SQL Server, die den entsprechenden Patch nicht eingespielt hatten – ein Patch der seit mehr als sechs Monaten verfügbar war. Die meisten der verwundbaren Systeme wurden in den ersten zehn Minuten infiziert, nachdem der Wurm auf das Internet losgelassen worden war.

Es obliegt den Software-Herstellern, besser gesicherte Techniken zu entwickeln, um die Zahl der Sicherheitslücken zu verringern, die von findigen Hackern ausgenutzt werden können. Gleichzeitig liegt es in der Verantwortung der IT-Abteilungen, für die Installation von Patches und Fixes bei bekannten Problemen zu sorgen. Einige IT-Unternehmen zögern allerdings, ihren begrenzten Ressourcen noch mehr Code aufzubürden, und wollen gründliche und oft teure Testphasen vermeiden.

„Software-Updates und Änderungen sind immer ein Problem“, so Al Wasserberger, CEO von Spirian, einem Anbieter von Lösungen zur Software-Distribution. „Man übernimmt neuen Code und braucht einen festgelegten Satz von Best Practices zum Testen der Kompatibilität. Letztlich geht es darum, die Systeme dazu zu kriegen, in einer vorhersagbaren, zuverlässigen Weise zu funktionieren.“

Der SQL Slammer hat in den ersten fünf Tagen schätzungsweise Kosten in Höhe von 1 Milliarde US-Dollar in Form von Produktivitätsausfällen verursacht. Doch dürfte diese Zahl im Vergleich zu den Kosten aus Sicherheitsverletzungen durch Mitarbeiter, wie Spionage und Diebstahl von Unternehmensdaten, noch klein sein. Investitionen in Überprüfungen der Vorgeschichte von Mitarbeitern, interne Audits und richtlinienbasierte Identitäts-Management-Lösungen sollten ein Muss für jedes Unternehmen sein, dass entsprechenden Risiken ausgesetzt ist.

Die wirklich schlechte Nachricht ist jedoch, dass Attacken wie Slammer im Vergleich zu dem, was uns noch bevorsteht, geradezu harmlos sind. „Die Zeitspanne für die Eindämmung von Attacken schrumpft zusehends“, so Clyde von Symantec. „Heute brauchen Angriffe Monate, Tage oder Stunden, um sich im Internet auszubreiten. Dies sind Bedrohungen nach Class 1, auf die man in annehmbarer Zeit reagieren kann. Doch wir bewegen uns immer mehr in Richtung der Class 2-Bedrohungen, bei denen die Zeit für die Eindämmung wie beim Slammer-Virus nur noch in der Größenordnung von Stunden und Minuten zu messen ist.“

Clyde führte aus, dass wir im Moment die ersten Anzeichen von Class 2-Bedrohungen feststellten, wobei jedoch die Class 3-Bedrohungen – die Systeme im gesamten Internet innerhalb von Sekunden oder Minuten befallen – durch Breitbandverbindungen und allgegenwärtige Anschlüsse sehr viel wahrscheinlicher würden. Eine von 10 Millionen Rechnern gleichzeitig ausgeführte DoS-Attacke könnte womöglich alle Geschäftstransaktionen sämtlicher Fortune 500-Unternehmen zum Erliegen bringen, so Clyde.

„Je weiter wir uns auf dieser Bedrohungsskala nach oben bewegen, desto schwieriger wird es, auf die Angriffe zu reagieren“, sagte Clyde. „Man benötigt daher einen proaktiven Schutz. Wenn man von einer neuen Sicherheitslücke erfährt, muss man die wahrscheinlichen Techniken der Hacker voraussehen und proaktiv eine Verteidigung gegen entsprechende Angriffe aufbauen.“

Wie viele Sicherheitsexperten bereits heute voraussagen, bewegen wir uns von einem Zeitalter der nachträglichen Entdeckung von Angriffen in Richtung der Prävention von Angriffen oder, wie Clyde es ausdrückt, hin zu einem proaktiven Schutz. Das Marktforschungsunternehmen Gartner beschreibt eine solche präventive Sicherheitsstrategie als Absicherung, die das Innere eines Unternehmens „hart und schwer zu knacken“ macht und aus einer ganzen Palette von Maßnahmen besteht: Zugangskontrollen für Benutzer, Netzwerk-Segmentierung, Firewalls, Antivirus-Schutz, Datenverschlüsselung, Scans nach Sicherheitslücken sowie deren Behebung.

Ich bin nicht ganz sicher, ob ein hartes und schwer zu knackendes Datenzentrum das Allheilmittel gegen bösartigen Code ist. Dennoch klingt der Ansatz koordinierter Bemühungen innerhalb der Branche um die Entwicklung besser gesicherter Software, eine automatische Verteilung von Patches – ohne die Gefahr von Inkompatibilitäten – und den Versuch, Hackern immer eine Nasenlänge, oder zumindest eine halbe Nasenlänge, voraus zu sein, für mich schon recht vernünftig. Denn sollte es der Branche nicht gelingen, sich schneller in diese Richtung zu entwickeln, werden bösartiger Hacker dies auszunutzen wissen.