Kein Licht am Ende des Tunnels

Feature | 20. März 2006 von admin 0

Der weltweite Sicherheitsmarkt verändert sich ständig. Die Probleme des Jahres 2004 traten 2005 in den Hintergrund, Fragen, die im vergangenen Jahr noch für Kopfschmerzen sorgten, werden in diesem Jahr durch ganz neue Herausforderungen verdrängt. Positiv ist jedoch anzumerken, dass das Problembewusstsein zunimmt. Das hat zur Folge, dass die Firmen den überlasteten Sicherheitsexperten jetzt mehr Geld zur Verfügung stellen, um mit zusätzlichem Personal besser gegen künftige Bedrohungen gewappnet zu sein.

Die größten Gefahren

Zahlreiche Organisationen haben sich mit dem Thema Sicherheit beschäftigt – mit ähnlichen Ergebnissen. Die schlechte Nachricht lautet: Die „guten alten“ Computerviren haben im Jahr 2005 nur ein Prozent der Malware-Bedrohung ausgemacht. Eine Hiobsbotschaft? Unbedingt, so Luis Corrons, Geschäftsführer von PandaLabs, einem Netzwerk von Virenlabors: „Die Entwickler von Viren wollten Ruhm und Aufmerksamkeit, jetzt aber sind alle nur noch auf den finanziellen Gewinn aus. Virenattacken haben in diesem Jahr ihren Tiefpunkt erreicht.“
Die neuen Bedrohungen, die PandaLabs im vergangenen Jahr ausmachte, rührten zu 42 Prozent von Trojanern, zu 26 Prozent von Bots, zu elf Prozent von Backdoor-Trojanern, zu acht Prozent von Dialern und zu sechs Prozent von Würmern. Ad- und Spyware war mit drei Prozent beteiligt. Der Security Threat Management Report 2005 von Sophos, einem Anbieter von IT-Sicherheitssystemen, zeigt einen Anstieg der Gefährdung durch neue Malware um 48 Prozent. Im Durchschnitt war im Jahr 2005 eine von 44 E-Mails mit einem Virus infiziert, fast 16.000 neue Malware-Versionen wurden identifiziert. Das Sicherheitsunternehmen F-Secure berichtet, dass es zwischen Juli und Dezember 2005 lediglich zwei bedeutende Angriffe von Computerwürmern gab – durch den Zotob-Wurm im September und Ende November durch Sober-Y. Auch Sophos weist darauf hin, dass 2005 etwa doppelt so viele Trojaner entwickelt wurden wie Würmer. Doch da Trojaner erstmals Mitte 2004 aufgetreten sind, liegen noch keine Vergleichszahlen vor. Ganz oben auf der Sophos-Liste der häufigsten Internetviren stand der Zafi-D-Virus. Netsky-P, der 2004 am weitesten verbreitete Virus, fiel 2005 auf den zweiten Platz zurück.

Überraschung über die zunehmende Verbreitung von Spam äußerte Brian Burke, Marktforscher bei IDC, gegenüber dem SC Magazine. Nach dem relativ ruhigen Jahr 2004 hätte eine Zeit lang die Hoffnung bestanden, die in den USA und vielen anderen Ländern erlassenen Gesetze würden die Begeisterung für den E-Mail-Massenversand dämpfen. Dennoch ist Spam in der Rangliste der Sicherheitsprobleme für Unternehmen auf Platz zwei vorgerückt. Nach Meinung von Carole Theriault, der leitenden Sicherheitsberaterin bei Sophos, dagegen lautet die schlechteste Nachricht für Anwender, dass die Erfinder von Trojanern immer findiger würden. „Heutzutage muss eine Bedrohung richtig raffiniert sein. Für die Schöpfer von Trojanern, die sich ja nicht selbst verbreiten können, stellt es eine echte Herausforderung dar, Computer mit unzureichendem Schutz zu überlisten – und dabei alle Spuren sorgfältig zu verwischen.“

Ein neues Phänomen: Phishing

Nach einer von der Gartner Group im Jahr 2005 unter 133 nordamerikanischen Unternehmen durchgeführten Umfrage ist das Phishing – der Versuch, Anwender zur Preisgabe von vertraulichen Informationen zu bewegen – gerade erst auf den Radarschirmen der Geschäftswelt aufgetaucht. Hingegen berichtet F-Secure, das Jahr 2005 sei durch kriminelles Phishing gekennzeichnet gewesen. Jedoch machten sich die Unternehmen mehr Kopfzerbrechen um Viren und Würmer. An zweiter Stelle der Computersorgen stünden externe Hacker, gefolgt von Identitätsdiebstahl und erst dann dem Phishing.
Dabei hat diese Art der Computerkriminalität im Lauf des Jahres kräftig zugenommen. Eine Untersuchung, die Financial Insights, eine Tochter von IDC, im November veröffentlichte, schätzt, dass gerade Finanzinstitute weltweit in diesem Jahr 400 Millionen US-Dollar aufgrund von Phishing verloren haben: In dem Glauben, auf völlig legale E-Mails ihrer Bank oder eines ihnen bekannten Händlers zu antworten, hatten Anwender vertrauliche Informationen preisgegeben. Auch nach einem Bericht von Symnatec nahm die Bedrohung durch das Phishing – gelegentlich auch als „Passwort fischen“ bezeichnet – in der zweiten Hälfte des Jahres 2005 zu. Dabei wurden hauptsächlich kleine, regionale Ziele angegriffen. Während der letzten sechs Monate des Jahres wurden täglich 7,92 Millionen Phishing-Versuche aufgedeckt – eine deutliche Zunahme verglichen mit den 5,7 Millionen pro Tag in der vorhergehenden Berichtsperiode.
Die Sicherheitsfirmen hoffen nun, dass die Anwender wachsamer werden. Die Experten rechnen allerdings mit einer weiteren Zunahme beim Phishing und warnen schon jetzt vor Abwandlungen dieser Praktik, die als „Pharming“ und „Smart Redirection Attacks“ bezeichnet werden.

Die Verluste

Es ist schwierig, den weltweiten Gesamtverlust zu beziffern, der durch Computerkriminalität entsteht, da die Unternehmen sich scheuen, Details preiszugeben, um nicht das Vertrauen ihrer Kunden zu verlieren. Für die Vereinigten Staaten schätzt das FBI, dass der Schutz vor und die Reaktion auf Viren, Spyware, PC-Diebstahl und die übrige Computerkriminalität pro Jahr gut und gerne 67,2 Milliarden US-Dollar kosten. Diese Summe errechnet sich aus den Ergebnissen einer Umfrage unter 2.066 Unternehmen. Die Untersuchung hatte festgestellt, dass 1.324 Teilnehmern, also 64 Prozent der befragten Firmen, innerhalb der letzten zwölf Monate ein finanzieller Schaden entstanden war, der auf Lücken in der Computersicherheit zurückzuführen war. Im Durchschnitt betrugen die Kosten pro Unternehmen dabei über 24.000 US-Dollar, insgesamt also 32 Millionen US-Dollar. Für seine Hochrechnung zur Ermittlung der landesweiten Kosten reduzierte das FBI den geschätzten Prozentsatz betroffener Unternehmen jedoch von 64 auf 20 Prozent, dies entspricht 2,8 Millionen US-Unternehmen. Geht man davon aus, dass jede dieser 2,8 Millionen Firmen im Durchschnitt einen Verlust von 24.000 US-Dollar erlitten hat, ergibt das 67,2 Milliarden US-Dollar im Jahr.
Die Vereinigten Staaten und viele andere Länder haben daher Gesetze erlassen, die beträchtliche Strafen für Verbrechen im Cyberspace vorsehen. Da das Internet keine Grenzen kennt, wäre aber eine grenzüberschreitende Zusammenarbeit der Behörden erforderlich, um der Täter habhaft zu werden. Wie FBI-Chef Robert Mueller den Teilnehmern der RSA Conference im Februar 2006 erläuterte, ist es unerlässlich, dass die internationalen Vollzugsbehörden zusammenarbeiten, um besser gegen Online-Kriminalität vorgehen zu können. Aber auch die Unternehmen müssten eingebunden werden und dürften Meldungen über Sicherheitsverstöße nicht mehr unter Verschluss halten.

Ausgaben für Sicherheitsmaßnahmen

Die Schätzungen der Marktforschungsinstitute IDC und Business Communications Co (BCC) hinsichtlich der weltweiten Ausgaben für den Schutz gegen Hacker, Cracker und sonstige Kriminelle liegen nicht allzu weit auseinander – und es handelt sich um Milliardensummen. Doch die endgültigen Daten für das Jahr 2005 liegen noch nicht vor. IDC beziffert die Gesamtausgaben für Sicherheits-Hardware, -Software und -Dienstleistungen auf 32,6 Milliarden US-Dollar. BCC kommt auf eine Größenordnung von 27,7 Milliarden US-Dollar für 2005, deren Löwenanteil in den Vereinigten Staaten und Europa ausgegeben würde. Allerdings ist damit zu rechnen, dass die Aufwendungen für Internet-Sicherheit in Asien deutlich zunehmen werden, insbesondere in den Wachstumsmärkten China und Indien. Für das Jahr 2006 erwartet IDC Beträge in Höhe von 38,3 Milliarden US-Dollar; die Vorhersage von BCC reicht bis ins Jahr 2010, für das das Institut Kosten in Höhe von 58 Milliarden US-Dollar prognostiziert.

Wachsendes Problembewusstsein

Ohne Zweifel besteht ein enger Zusammenhang zwischen den Summen, die für die Computersicherheit ausgegeben werden, und dem wachsenden Bewusstsein für das Problem. Laut einer Umfrage unter 410 Entscheidungsträgern im IT-Bereich in den Vereinigten Staaten, Kanada, Großbritannien, Deutschland und Frankreich glauben 81 Prozent der Befragten, dass die Gefahr, aufgrund eines Computerausfalls Umsatz zu verlieren, ein hohes Risiko darstellt – ein deutlicher Anstieg gegenüber 67 Prozent im Jahr 2004. Die Studie, die Forrester im Auftrag der Business Software Alliance durchführte, ergab darüber hinaus, dass über 70 Prozent der IT-Verantwortlichen außerdem Einnahme-Einbußen befürchten, die auf Negativ-Werbung und den Verlust von geistigem Eigentum zurückzuführen sind. In der Vorgängerstudie lag dieser Prozentsatz bei nur 40 Prozent. 73 Prozent der Teilnehmer gaben an, die Informationssicherheit sei zu einem wichtigen Teil der strategischen Unternehmensplanung geworden. Außerdem erklärten 63 Prozent, ihre Kunden stellten regelmäßig Fragen zur Informationssicherheit. All diese Aspekte tragen wesentlich dazu bei, dass die Unternehmen sich die Sicherheit ihrer Computer etwas kosten lassen; 70 Prozent erklärten, Verbesserungen in ihrem Unternehmen seien aufgrund von Bedenken der Kunden vorgenommen worden.

Ein Ende des Kampfes ist nicht in Sicht

Die dritte wenig erfreuliche Nachricht lautet, dass die Ganoven eine ganze Reihe neuer, gemeiner Tricks auf Lager haben. Der New York Times zufolge ist Phishing inzwischen out, man müsse das Augenmerk jetzt vor allem auf Keylogging richten, eine einfache und lukrative Methode, um sich auf kriminelle Weise zu bereichern. Im letzten Mai stahl ein brasilianischer Betrügerring rund 4,7 Millionen US-Dollar von 200 verschiedenen Konten, während in Frankreich kürzlich eine andere Gruppe ertappt wurde, die über 1,1 Millionen US-Dollar aus privaten Bankkonten für sich abgezweigt hatte.
Forrester Research rechnet außerdem mit dem Auftauchen von Viren, die Instant-Messaging-Anwendungen und mobile Geräte angreifen, und mit „plattformübergreifenden“ Viren, die einer ganzen Reihe von Systemen schädlich werden könnten. Auch Angriffe auf die immer öfter anzutreffenden serviceorientierten Architekturen sollen sich laut Forrester häufen. Der Analyst Paul Stamp erwartet, dass sich die Computerkriminalität in Zukunft einer komplexen Mischung aus Steuerung des Sozialverhaltens, Zusammenbrechen von Prozessen, technischer Verletzlichkeit sowie Missbrauch durch Insider bedienen wird.
Hüten sollten sich die Nutzer vor Videoclips, die per E-Mail von Firmencomputer zu Firmencomputer verbreitet werden. In den kommenden Monaten könnten Instant Messaging und Blogs mehr Schaden anrichten als Freude bereiten, denn die Hacker im Untergrund loten bereits das Potenzial dieser Methode aus. Nach einem Bericht von SearchSecurity.com ist damit zu rechnen, dass der Inhalt von digitalen Videos den Computerhackern, Identitätsdieben und Spyware-Händlern die nächste große Chance bieten wird. Organisierte Angriffe von ganzen Hackerteams, zu denen auch Leute mit Kenntnissen von Geschäftsfunktionen und Unternehmensprozessen zählen – sowie natürlich auch mit rudimentärer Erfahrung in Zugriffen und Codierungen, über die schon heute viele Eindringlinge verfügen – könnten schlimme Folgen haben, berichtet NetworkWorld. „Es ist durchaus denkbar, dass sich Gruppen von Terroristen mit kriminellen Vereinigungen zusammentun, um ihre gebündelten Fähigkeiten gemeinsam zu nutzen“, erklärte Scott Borg, Direktor der US Cyber Consequences Unit, kürzlich auf einer Konferenz.
So wie es aussieht, wird 2006 ein anstrengendes Jahr für die Unternehmen, die Cyber-Einbrecher von ihrem und dem Geld ihrer Kunden fernhalten wollen. Das FBI fordert daher ein Ende der „Verschwiegenheit”, die die Unternehmen veranlasst, Verbrechen nicht zu melden, weil sie Vergeltungsmaßnahmen oder Negativschlagzeilen fürchten – und spricht in dieser Hinsicht möglicherweise stellvertretend für alle Vollzugsbehörden weltweit. Die offene Anzeige eines Verbrechens könne für ein Unternehmen zwar kurzfristig schmerzhaft sein, langfristig gesehen sei jedoch der Schutz der Infrastruktur als Ganzes wichtiger. Es wird sich zeigen, ob sich die Unternehmen diese Worte zu Herzen nehmen.

John Sterlicchi

Leave a Reply