Cybercrime heute

Es ist alles Andere als einfach, mit den Bösen im Internet Schritt zu halten. Als Systemadministrator muss man sich damit abfinden, dass die Übeltäter meist über gutes Know-How verfügen und sehr einfallsreich und hartnäckig sind.

Sich damit abzufinden heißt aber nicht: sich geschlagen zu geben. Schließlich verfügen wir über ein Arsenal von Abwehrtechniken.

Zahlreiche Gefahren kann man bereits durch gesundes Misstrauen abwenden. Viele Bedrohungen bauen doch auf Leichtsinn und Naivität der Computeranwender. Richtiges Verhalten am Computer bringt mehr als all die Wundertools aus dem letzten Heft einer bunt illustrierten Computerzeitschrift. Natürlich bin ich kein Verweigerer von Sicherheitssoftware und will niemanden anstiften, die Sicherheitsfrage den Werkseinstellungen seines Betriebssystems zu überlassen. Im Gegenteil. Ich nutze zusätzliche Firewalls, Spam-Gateways und Antiviren-Programme und halte es, ähnlich wie der Gesetzgeber, für grob fahrlässig, es nicht zu tun.

Wir haben bereits seit zwei Dekaden mit Viren, trojanischen Pferden und ähnlichen Feindbildern zu tun. Wurden die ersten Schädlinge vor allem zum zweifelhaften Vergnügen des Autors kreiert, so sehen es die heutigen Urheber dieser Spezies auf Datenbeschaffung und folglich auf Ihr Geld ab. Von Ausspionieren der Zugangsdaten über Diebstahl der Kreditkartennummern bis hin zur Erpressung und Lösegeldforderungen.

Phishing, Vishing, Mishing...

Erstaunlicherweise wird immer wieder über Opfer jener Gauner berichtet, die mittels Phishing (Password Fishing) oder verwandter Techniken des Social Engineerings versuchen, an ihr Geld zu kommen, obwohl die Methoden bereits ausführlich in den Medien erläutert wurden. Viele Internetbenutzer ignorieren korrekterweise verdächtige E-Mails und werden misstrauisch, wenn sie zu ungewöhnlichen Handlungen aufgefordert werden. Leider nicht alle. Vor allem ältere Menschen tun sich schwer, Spreu von Weizen zu trennen. Wenn sie aber von einem vermeintlichen Bankmitarbeiter angerufen werden, der auf die aktuelle Bedrohung durch Phishing hinweist, weshalb er nun telefonische Unterstützung anbietet, und während dieser Konsultation die Identität des Kunden verifizieren möchte - natürlich durch... Bekanntgabe von Zugangsdaten? Auf diese Weise kann schon so mancher gutgläubiger Mensch überrumpelt werden. Nicht jeder, aber in der Masse kommt es auf die Einzelnen an.

Ein bisschen Misstrauen wäre hier richtig am Platz, ohne gleich in Paranoia abzudriften.

Spam. Mnham, mnham!

Wer kennt das nicht? Die nervigen unerwünschten E-Mails mit eindringlicher bis abstruser Werbung. Hier ist jedenfalls Handeln nötig. Schon allein aus Gründen der Übersichtlichkeit im Posteingang empfiehlt es sich, die Spam-Mails zu filtern. Oft ist Spam jedoch nur der erste Schritt zur Kompromittierung eines Rechners. Mails selbst können schädigende Skripte enthalten, oder mit präparierten Webseiten verlinkt sein, welche bösartigen Code auf den Rechner laden und als Sprungbrett für Trojanische Pferde, Viren und Spyware fungieren. Durch gezielte Spam-Aktionen können auf diese Weise sehr viele Rechner infiziert werden, wobei nicht selten die Urheber der Attacken unerkannt die Kontrolle über den Rechner übernehmen und ihn für illegale Aktivitäten missbrauchen.

Gute Programme zur Verwaltung der elektronischen Post verfügen meistens über Spamfilter. Diese sollten jedenfalls aktiviert und gepflegt werden. Allerdings verhindern Filter nicht, dass verdächtige E-Mails in den PC gelangen, wo sie erst geprüft werden. Mehr Effizienz bieten Spam-Gateways, die vor einem Mailserver platziert werden und nur auf Spam-Abwehr spezialisiert sind. So kann der unnötige Mailverkehr am Arbeitsplatz um etwa 90% reduziert und fast gänzlich von aufwendiger Mailüberprüfung entlastet werden.

Viren, Würmer und Trojanische Pferde...

... sie alle haben etwas gemeinsam: sie werden gezielt eingepflanzt oder pflanzen sich selber fort, jedenfalls ungebeten und mit Schaden für Ihr System. Oft werden Viren in Umlauf gesetzt, die dann selbständig weitere Rechner befallen und sind für das Sammeln von E-Mail-Adressen zuständig. Da Virenscanner heute schon fast überall im Einsatz sind, ist die Häufigkeit und Bedeutung der Viren und Würmer im E-Mail-Bereich rückgängig. Dies ist klarerweise kein Signal, auf den Schutz zu verzichten! Ein Virus bleibt immer gefährlich. Es kann doch von ungeprüften Datenträgern, am nicht gepflegten Virenscanner vorbei, übertragen werden.

Trojanische Pferde, die einem Angreifer das Tor offen halten, ohne einen leicht feststellbaren Schaden am Wirtsystem einzurichten, kommen selten direkt über elektronische Post ins System. Dazu werden nur Links auf präparierte Webseiten gesendet. Wenn der Mailinhalt gekonnt glaubwürdig verfasst wurde, ist die Gefahr groß, dass der Leser sich eine solche Webseite in den Browser holt, die einen ausführbaren Code auf den Rechner lädt und startet. Die meisten Virenscanner würden dabei versagen. Der Schwarzmarkt für solche Lösungen blüht, die Anfrage ist enorm. Lustiger weise herrscht auch dort ein unerbittlicher Konkurrenzkampf. Mittlerweile gibt es nämlich Trojanische Pferde mit Garantie, dass sie nicht entdeckt werden.

Eigene Webseite? Kein Problem!

Aber Vorsicht! Die Cyber-Gauner sind nicht dumm und merken, wenn ihre Methoden an Wirksamkeit verlieren. Daher sind sie immer auf der Suche nach neuen Tricks. Seit der Otto-Normal-Internaut gelernt hat, Porno- und Warez-Seiten zu meiden, da man von dort kaum ohne irgendeine Infektion zurückkehren konnte, spezialisieren sich die Verbrecher auf Injektionen von bösem Code in ganz harmlose Webseiten von nichts ahnenden Betreibern. Oft offenbaren solche Sites Sicherheitslücken und Programmierfehler, die der Webseite selbst nichts Schlimmes anrichten, die jedoch von raffinierten Übeltätern ausgenutzt werden, um die Rechner der Besucher zu befallen. Heute befindet sich ein Großteil solcher bösartigen Programme auf legalen Webseiten. Bereits 51 % aller Virus-Quellen stellen Webseiten dar, in welche zuvor eingebrochen wurde.

Von Zombies über Botwürmer zu Botnetzen

Ein Cyber-Gauner braucht viele intakte, vernetzte Rechner für seine Untaten. Kürzlich machte ein sog. Botworm namens „Storm“ Furore. Seine Aufgabe ist, den befallenen Rechner automatisch zum Mitglied eines großen Netzwerkes von Zombies zu machen. Der Wurm verbreitet sich mit Hilfe einer einfachen aber wirksamen Methode: neutral und ansprechend gehaltene E-Mails, manchmal mit Bezug auf aktuelle mediale Ereignisse, werden gesendet (als Spam), passieren Virenscanner (da sie keinen bösen Code, sondern nur einen Weblink enthalten), der interessierte Leser klickt darauf und installiert den Botworm auf eigenem Rechner.

Fehlende Erfahrung des Anwenders gepaart mit ungezähmter Neugier bilden den idealen Nährboden für einen gelungenen Angriff.

Schnelles Geld

Heutzutage haben wir mit organisiertem Verbrechen zu tun. Es sind oft gefährliche, gut ausgebildete Profis am Werk. Manche denken sich: wozu warten und zeitaufwendige Botnetze aufzubauen? Es geht auch schneller. Völlig skrupellos zeigen sich Autoren des GPCode-Virus, das nach der Infektion sämtliche Dateien im System zu verschlüsseln vermag und eine Meldung auf dem Bildschirm zeigt, wonach die Wiederherstellung der Daten erst nach Zahlung von Lösegeld (ein paar Hundert Dollar) möglich sein wird.

Fazit

Bleibt also das Sicherheitsgefühl im Computernetzwerk nur ein frommer Wunsch? Viele unlängst noch gute Tipps und Ratschläge erscheinen heute recht mager angesichts ihrer beschränkten Wirksamkeit. Früher genügte es, sich von Porno- oder Warez-Webseiten fernzuhalten, keine Attachments von unbekannten Absendern zu öffnen und keine Programme ungeklärter Provenienz zu starten. Jetzt ist das nicht mehr so einfach: auf legalen, scheinbar sicheren Webseiten lauern gefährliche Viren, Malware wird auf vielfältige Art und Weise - nicht nur per E-Mail - verbreitet. Die alten Verhaltensregeln garantieren zwar keine Sicherheit, dürfen jedoch nicht ganz aufgelassen werden, denn es lohnt sich auch teilweise das Bedrohungspotential einzudämmen. Jedenfalls sollte man sich unbedingt Folgendes angewöhnen:

• das Betriebssystem - ob Microsoft oder aus dem Open-Source-Lager - regelmäßig aktualisieren bzw. aktualisieren lassen. Das Gleiche betrifft installierte Software, insbesondere Webbrowser, E-Mail-Clients und Virenscanner
• eigene Personendaten nicht preisgeben, außer in begründeten Fällen, z.B. bei E-Commerce (jedoch keine nicht verifizierten Services in Anspruch nehmen)
• vertrauliche Informationen, wie Nummer der Kreditkarte etc., nur über gesicherte Verbindungen senden, die man anhand der Webadresse (beginnend mit „https://“) oder durch ein Symbol in der Statusleiste erkennt
• unterschiedliche Kennwörter bei unterschiedlichen Online-Services verwenden, auch wenn es umständlich erscheint, sich alle Zugangsdaten zu merken. Die Kennwörter regelmäßig ändern, sie sollen nicht zu kurz und nicht einfach zu erraten sein, am besten eine Kombination aus Buchstaben (groß und klein), Ziffern und Sonderzeichen. Den Webbrowser nie veranlassen, sich die Zugangsdaten für die Zukunft zu merken, wenn der Rechner auch von anderen Personen benutzt werden kann, und schon gar nicht auf fremden PCs
• alle E-Mails ignorieren, die den Empfänger auffordern, auf einen angegebenen Link zu klicken, um sich mit einer Bank oder einem Zahlservice einzuloggen

Wir könnten die Liste der Bedrohungen selbstverständlich noch lange fortsetzen. Aber die genannten Beispiele sollten schon für ein mummeliges Gefühl sorgen, falls man als EDV-Verantwortlicher (in KMUs ist das oft der Inhaber bzw. Geschäftsführer selbst) nicht viel genug für die Sicherheit unternommen hat.

Mittlerweile sind wir in der Regel mit guten Antiviren, Firewalls und Anti-Spyware ausgestattet. Und das ist richtig so. Falsch jedoch ist das trügerische Gefühl der Sicherheit und die Überzeugung, dass die manchmal recht teuren Sicherheitsmaßnahmen uns einen hundertprozentigen Schutz bieten. Die gängige Sicherheitspraxis im Privatbereich, aber auch bei vielen KMUs, ist: Antiviren-Programm installieren, vielleicht auch Anti-Spyware noch oben drauf, Firewall aktivieren, zurücklehnen. Dann, je weniger oben genannte Programme von sich hören und sehen lassen, desto besser. Schließlich wurden sie ja eingerichtet, damit man Ruhe hat. Verständlich. Sogar selbstverständlich. Kleinunternehmen und Privatpersonen haben nicht immer das Wissen, Zeit oder Geld, um noch die Funktionsweise oder -tüchtigkeit dieses Instrumentariums zu überwachen.

Wo nicht auf eigenes EDV-Personal zugegriffen werden kann, dort besteht die Möglichkeit, für wenige Stunden im Monat einen externen IT-Betreuer zu bemühen, welcher IT-Audits inkl. Sicherheitschecks durchführt, die vorhandenen Systeme aktualisiert und wertvolle Empfehlungen abgibt.

Zum Autor:

Pawel Krul ist Inhaber von  P.Krul IT Services, einer Firma, die sich auf den von Großanbietern teils vernachlässigten, teils ausgenutzten KMU-Bereich spezialisiert. Von IT-Audit über Hostingservices bis hin zur kompletten EDV-Betreuung

http://www.con.at