Trend Micros Chief Technologist Dave Rand zeichnet ein düsteres Bild der Sicherheit im Internet: Es gibt 100 Millionen verseuchte IP-Adressen und keinen wirksamen Schutz gegen Attacken. Herkömmliche Schutzmethoden sind überfordert.
Dave Rand, Chief Technologist bei Trend Micro[1], wartet mit alarmierenden Zahlen auf: Mit 100 Millionen infizierten IP-Adressen steht ihm zufolge ein paar Hundert Kriminellen insgesamt mehr Rechenleistung zur Verfügung, als alle Supercomputer zusammen liefern. Zudem sind 25 Prozent der kompromittierten Systeme in Unternehmen im Einsatz. Zwei Drittel davon befinden sich in lediglich zwölf Ländern, unter anderem China (13 Prozent) und USA (9 Prozent). Brasilien und Deutschland stehen mit jeweils 7 Prozent an verseuchten Unternehmenscomputern an dritter Stelle.
Daher ist es auch nicht verwunderlich, dass aus diesen Ländern auch ein hoher Anteil des weltweiten Spam-Aufkommens stammt. Doch nicht nur die schiere Masse ist beunruhigend, Rand hat festgestellt, dass die kompromittierten Maschinen durchschnittlich 300 Tage lang infiziert bleiben - manche sogar bis zu drei Jahre. China führt mit einer Infektionsdauer von bis zu zehn Jahren, aber auch in Deutschland hat es Computer gegeben, die bis zu zwei Jahren infiziert waren.
"Attacken auf Social-Networking-Sites können noch erfolgreicher als auf Mail-Systeme sein", sagt Dave Rand, Chief Technologist bei Trend Micro (Bild: Trend Micro).
Im Allgemeinen handelt es sich um Malware, die sich selbst mit Updates versorgt, damit Spam-Filter, Pattern-Dateien und signaturbasierende Erkennungsmethoden sie nicht aufspüren können. Die von Loveletter[2] oder MyDoom[3]bekannten weltweiten Malware-Ausbrüche gab es in letzter Zeit nicht mehr, so Rand. Die Infektionen seien nun zielgerichteter.
Die Kriminellen nehmen mit ihren Angriffen bestimmte Computertypen und spezifische Schwachstellen ins Visier. Auch versenden sie mittlerweile nur wenige, teilweise nur bis zu zehn Nachrichten von jedem verseuchten Computer aus. Verlieren sie zeitweilig einige Botnetze, so erhöhen sie den durchschnittlichen Spam-Durchsatz von den verbliebenen aus oder verschieben ihren Netzwerkverkehr auf andere Bots.
Die Ausmaße der Problematik lassen sich am Fall des US-amerikanischen ISPs McColo[4] festmachen. Er wurde Ende 2008 vom Netz genommen wurde, weil er aufgrund zu lascher Sicherheitsmaßnahmen als Kommandozentrale für verseuchte Maschinen und Botnetze missbraucht wurde. Daraufhin ging das Spamaufkommen kurzzeitig drastisch zurück[5]. Doch binnen sechs Monaten hatten die Kriminellen die infizierten Maschinen alle wieder unter Kontrolle.
"Dies zeigt nicht nur, dass sie sehr gut organisiert sind und sich des Werts der von ihnen kontrollierten Computer bewusst sind. Es führt auch vor Augen, dass es sinnlos ist, Gegenmaßnahmen bei weltweit verseuchten Computern auf einzelne ISPs oder bestimmte Methoden zu konzentrieren", so der Spam-Experte.
Bildergalerie
Malware in sozialen Netzen[6]
» zur Bildergalerie ...[6]
Erschwerend kommt hinzu, dass die Komplexität der Angriffe zunimmt. Denn es sind nicht mehr allein Computersysteme, die angegriffen werden. Während der letzten Monate stellten die Bedrohungsanalysten immer häufiger auch Attacken auf Modems und Router fest. Laut Rand weiß man derzeit von 100.000 verseuchten Routern.
"Diese Geräte führen komplexe Aufgaben durch, wie Deep Packet Inspection[7], dynamische Umleitung des Netzverkehrs oder DNS Cache Poisoning[8]", so Rand. "Damit sind nicht die Geräte der Endanwender betroffen, sondern das gesamte Netzwerk hinter diesen Routern." Es gebe derzeit keine Endpoint-Lösung, die einen solchen Angriff entdecken, geschweige denn verhindern könnte.
Die Lösung kann nach seiner Ansicht nach nur in der Zusammenarbeit zwischen ISPs, Antimalware-Industrie und Anwendern liegen. Neue Sicherheits-Initiativen müssten die globalen Probleme über mehrschichtige Sicherheit in den Griff bekommen. Ungelöst ist auch die Frage, wie Kunden eines ISPs nach einer Infektion benachrichtigt werden sollen, handelt es sich bei 100 Millionen verseuchten Computern doch um eine Riesenmenge an Informationen.
Informiert ein ISP einen Kunden über einen Angriff auf dessen Systeme, so muss er Beweise dafür haben. Diese zu erbringen, ist aufgrund von Fragen der Vertraulichkeit schwierig. Hinzu kommt, dass mögliche Benachrichtigungsmechanismen auch wieder zum Angriffsziel von Kriminellen werden können.
Gefahren in Sozialen Netzwerken
Soziale Netzwerke, als immer beliebteres Einfallstor für Attacken, stellen Rand zufolge in puncto Sicherheit eigene Herausforderungen. Das liege zum einen daran, dass der Sinn von Anwendungen wie Facebook, Xing oder MySpace ist, dass möglichst viele Menschen darauf zugreifen, und nicht, den Zugang einzuschränken. Damit jedoch blieben viele Schlupflöcher offen, sodass Attacken auf die Kontakt-Sites noch erfolgreicher sein können als auf Mail-Systeme. Zum anderen entwickelt sich das Internet stetig weiter, sodass Sicherheitslösungen, die heute noch schützen, morgen schon wieder angepasst werden müssen.
Eine Umfrage der Economist Intelligence Unit[9] ergab, dass 24 Prozent der europäischen Führungskräfte den Zugriff auf Facebook in ihren Unternehmen untersagen wollen. 22 Prozent planen, Blog-Sites und -Services zu verbieten. Doch Rand ist überzeugt, dass dies keine höhere Sicherheit bringe, denn Mitarbeiter hielten es wie mit dem Rauchverbot - sie täten es heimlich.
Und auch Richtlinien für die Nutzung von Social-Networking-Sites haben nicht die gewünschte Wirkung. "Auch beim Schutz von sozialen Netzwerken muss es in einer weltweiten Zusammenarbeit um die Entwicklung eines mehrschichtigen Schutzes für die Netzwerke gehen", so Rand. Hoffnung kommt von der Arbeit verschiedener internationaler Gremien, die ihre Erkenntnisse über das Internet in Mechanismen und Sicherheitsstandards wie Secure DNS[10] gießen.
Die Grafik zeigt die Zahl der nach einem bestimmten Zeitraum immer noch mit Viren infizierten Rechner. Horizontal ist der Zeitverlauf, vertikal die absolute Anzahl aufgeführt. Langzeitproblemfälle sind vor allem in China (dunkelblau) anzutreffen. Aber auch in Brasilien (gelb), Deutschland (grasgrün). Italien (hellblau) und der Türkei (lila) stehen viele PCs mit "alter" Malware (Grafik: Trend Micro).
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/