Die Zahl der Malware nimmt rapide zu. Dennoch sehen Security-Experten keinen Anlass zur Panik: Geeignete Abwehrmaßnahmen stünden zur Verfügung - sie müssten nur richtig eingesetzt werden.
Auch wenn sie sich sonst oft streiten, in einem sind sich die Anbieter von Sicherheitssoftware einig: Die Zahl der Schadprogramme ist in den vergangenen Monaten geradezu explodiert. Lediglich über die absoluten Zahlen herrscht keine Einigkeit. Sie reichen von 2,2 Millionen bis gut 133.000 - je nachdem, wie gezählt und wann ein Schadcode noch als Abwandlung bekannter Malware oder bereits als neues Programm betrachtet wird.
So berichtet etwa Kaspersky[1], dass alleine 2007 im Internet über 2,2 Millionen neue Viren, Würmer und Trojaner registriert wurden. Das sind viermal mehr als 2006. Und es ist kein Ende in Sicht: Für 2008 erwarten die Analysten von Kaspersky Lab eine Verzehnfachung der Zahl neuer schädlicher Programme[2]. "Die Gesamtzahl der Malware könnte also in diesem Jahr die 20-Millionen-Grenze knacken" sagt Virenanalyst Magnus Kalkuhl.
Symantec[3] vermeldet in seinem 13. Internet Security Threat Report ebenfalls Rekordzahlen[4]: Auf das Jahr 2007 entfallen zwei Drittel der insgesamt 1,1 Millionen unterschiedlichen Schadcodes, die Symantec bisher überhaupt erfasst hat. Damit wurde 2007 von dem Hersteller rund fünfmal soviel Malware aufgespürt als im Vorjahr. Ebenfalls alarmierend: Von den insgesamt 54.609 Anwendungen, die zwischen Juli und Dezember 2007 für Windows-Systeme veröffentlicht wurden, waren 65 Prozent Malware.
F-Secure[5] verzeichnete 2007 ebenfalls einen rasanten Anstieg der Anzahl neu entdeckter Malware: Nach dieser Zählung hat sich die Zahl der Schadprogramme im Laufe des Jahres verdoppelt und die Summe von einer halben Million erreicht. Wirklich neue Malware-Technologien seien dabei jedoch nicht festgestellt worden, vielmehr würden von den Kriminellen überwiegend bereits bekannte Schadprogramme verfeinert und modifiziert, um so eine größere Wirkung zu erzielen. Außerdem stellte F-Secure fest, dass beim Programmieren von Schadsoftware zunehmend auf leistungsfähige Entwicklungswerkzeuge und Baukastensysteme gesetzt wird.
Etwas weniger dramatisch sieht der deutsche Anbieter G-Data[6] die Lage: Seinen Statistiken zufolge[7] gab es 2007 133.253 neue Schädlinge. Jedoch ist auch das immerhin eine Verdreifachung, denn 2006 zählte das IT-Sicherheitsunternehmen nur 39.670 neue Schadprogramme. Letztendlich spielt es aber kaum eine Rolle, ob jährlich 2,2 Millionen oder 133.000 neue Viren, Würmer und Trojaner auf den heimischen PC oder das Firmennotebook einstürmen – zwei oder drei, die Erfolg haben, reichen aus, um das Vergnügen an den Segnungen des Internets zu verlieren. Für die Sicherheitsanbieter ist die hohe Zahl ebenfalls eine Herausforderung: Herkömmliche, signaturbasierende Erkennungsverfahren werden einfach zu aufwändig und erfordern zu viel Rechenleistung. Außerdem ändern auch schnell verteilte Signaturupdates nichts an der Tatsache, dass ein gewisser Zeitraum für die Ausbreitung des Schadprogrammes zur Verfügung steht.
Da aber immer mehr Schadprogramme absichtlich nur sehr begrenzt verteilt werden, genügt dieser Zeitraum oftmals völlig aus. "Der traditionelle Ansatz mit Signaturen kann daher nicht mehr die Lösung sein. Symantec und andere Anbieter treiben bereits seit längerem verhaltensbasierte Verfahren zur Malware-Erkennung voran", sagt Candid Wüest, Sicherheitsexperte bei Symantec. In Unternehmen sieht Wüest sogar eine Tendenz zum Whitelisting – also dass nur noch bekannte und vertrauenswürdige Webseiten besucht und E-Mails nur von bekannten Absendern angenommen werden. Bei privat genutzten PCs sei das dagegen kaum durchführbar.
Günther Ennen, Experte beim Bundesamt für Sicherheit in der Informationstechnik[8] (BSI), sieht als Problem nicht nur in der steigenden Zahl von Schadsoftware, sondern auch in den wachsenden Möglichkeiten, diesen Bedrohungen zu begegnen. "Der eine oder andere, der sich dem Thema Security nähert, ist angesichts der Fülle der Vorschläge schlicht überfordert." Das gelte sowohl für Privatanwender als auch für Firmen.
Diese Erfahrung hat auch Andreas Knäbchen, Leiter Security Practice beim Beratungsunternehmen Accenture[9], gemacht. Eine aktuelle Umfrage seines Unternehmens bei Kunden hat ergeben, dass Komplexität im Security-Management 2008 die wichtigste Herausforderung sei. Als Lösung empfiehlt Knäbchen die Umsetzung von und Zertifizierung nach anerkannten Standards wie der ISO-27000[10]-Familie, die Auslagerung von Sicherheitsproblemen im Rahmen von Managed-Security-Services sowie die kontinuierliche Sensibilisierung der Mitarbeiter.
ISO-27000 selbst ist aber schon wieder so komplex, dass es Budget und Anforderungen der meisten mittelständischen Firmen übersteigt. Es gibt aber auch leicht verständliche und nachvollziehbare Strategien. Für Heimanwender bietet das BSI unter www.bsi-fuer-buerger.de[11] konkrete und praktisch umsetzbare Handlungsempfehlungen, für Unternehmen mit dem IT-Grundschutzhandbuch[12] sowie dem digitalen Pendant, dem IT-Grundschutztool[13]. "Und das alles kostenlos", betont Ennen, "denn alles, was das BSI erstellt, wird aus Steuermitteln finanziert und steht daher allen zur Verfügung." Das aber nicht allein die Kosten das Problem sind, musste das BSI mit dem Ende 2003 gestarteten[14] Projekt Mcert erfahren: Damit sollte dem deutschen Mittelstand vorbeugender Schutz gegen Bedrohungen von IT-Systemen angeboten werden, indem verlässliche Warnmeldungen sowie leicht verständliche Handlungsempfehlungen per E-Mail-Abo angeliefert wurden.
Die Jahresgebühr dafür lag zwischen 50 und 300 Euro. "Der Mittelstand war aber nicht bereit, das Angebot in einem Umfang anzunehmen, dass Mcert überleben konnte", bedauert Ennen. Die Mcert Deutsche Gesellschaft für IT-Sicherheit mbH hat ihren Geschäftsbetrieb daher im Juni 2007 eingestellt. Informationen zu IT-Sicherheitsthemen werden nun auf den Webseiten des Vereins "Deutschland sicher im Netz[15]" und des Bürger-CERT[16], die beide durch Mcert mitinitiiert wurden, verbreitet.
Die mangelnde Akzeptanz lässt sich nicht durch die vernachlässigbar niedrigen Kosten begründen. Ennen sieht rückblickend vielmehr das Problem, dass jemand benötigt werde, der die Informationen auch liest, auswertet und notwendige Schritte einleitet. Daran fehle es jedoch im Mittelstand. Das ernüchternde Fazit des BSI-Experten: "Der Mittelstand will eigentlich gar nichts in Bezug auf IT-Sicherheit machen, da er den Aufwand scheut. Die Angebote sind da – sie müssten nur genutzt werden."
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = https:/
[16] = https:/