Die ultimativen 10 Security-Stories des Jahres 2012
Ende letzten Jahres veröffentlichten wir die „Top 10 Security Stories 2011“, einen Artikel, der das Jahr 2011 mit einem Wort zusammenfasste – „explosiv“. Damals lag die größte Herausforderung darin, all die Vorfälle, Geschichten, Fakten, neuen Trends und die beteiligten Personen in einer Top 10-Liste zusammenzufassen.
Ausgehend von den Vorfällen und den Akteuren, die die Top Security Stories des Jahres 2011 prägten, haben wir einige Voraussagen für das Jahr 2012 getroffen:
Die kontinuierliche Zunahme von Hacktivisten-Gruppen
Den Anstieg von APT-Vorfällen (Advanced Persistent Threat)
Den Beginn der Cyberkriegsführung, wobei immer mehr mächtige Staaten um die Vorherrschaft mittels Cyberspionage kämpfen
Attacken auf Software- und Spiele-Hersteller wie Adobe, Microsoft, Oracle und Sony
Aggressiveres Vorgehen gegen traditionelle Cyberkriminelle seitens der Strafverfolgungsbehörden
Eine explosionsartige Zunahme der Android-Bedrohungen
Attacken auf das Apple-Betriebssystem Mac OS X
Wie richtig lagen wir mit unseren Vorhersagen? Werfen wir mal einen Blick auf die Top 10 der Sicherheitsvorfälle, die das Jahr 2012 prägten.
1. Flashback fällt über Mac OS X her
Obwohl der Mac OS X-Schädling Trojan Flashback/Flashfake bereits Ende 2011 auf den Plan trat, wurde er erst im April 2012 wirklich berühmt. Wenn wir richtig berühmt sagen, dann meinen wir auch richtig berühmt. Ausgehend von unserer Statistik schätzen wir, dass Flashback mehr als 700.000 Macs infizierte – die bei Weitem größte, bekannte Mac OS X-Infektion bis zum heutigen Tag. Wie konnte es dazu kommen? Zwei wichtige Faktoren spielten dabei eine Rolle: eine Java-Sicherheitslücke (CVE-2012-0507) und die generelle Apathie der Mac-Getreuen, wenn es um Sicherheitsfragen geht.
Flashback ist auch weiterhin von Bedeutung, da dieser Schädling den Mythos der Unangreifbarkeit zerstört hat, der den Mac umgab, und weil er gezeigt hat, dass Massenepidemien durchaus auch andere Plattformen betreffen können als Windows. Im Jahr 2011 prognostizierten wir, dass es künftig mehr Malware-Attacken auf Macs geben würde. Wir haben allerdings keinesfalls erwartet, dass es so dramatisch werden würde.
2. Flame und Gauss: Cyberspionage durch Staaten
Mitte April 2012 zerstörte eine Reihe von Cyberattacken die Computersysteme auf verschiedenen Öl-Plattformen im Mittleren Osten. Die Malware mit dem Namen „Wiper“, die für diese Angriffe verantwortlich war, wurde nie gefunden, obwohl verschiedene Anhaltspunkte für eine Ähnlichkeit mit Duqu und Stuxnet sprechen. Während der Ermittlungen stießen wir auf eine umfassende Cyberspionage-Kampagne, die heute unter dem Namen Flame bekannt ist.
Flame ist wohl einer der raffiniertesten Schädlinge, der jemals entwickelt wurde. Wenn er vollständig auf einem System installiert ist, so besitzt er über 20 MByte an Modulen, die ein breites Spektrum an Funktionen ausführen, wie etwa eine Audio-Abfangschaltung, Scannen von Bluetooth-Geräten, Dokumentendiebstahl und das Erstellen von Screenshots auf dem infizierten Rechner. Am eindrucksvollsten war der Einsatz eines gefälschten Microsoft-Zertifikats, um so eine Man-in-the-Middle-Attacke gegen den Windows Update-Dienst durchzuführen, die es ermöglichte, vollständig gepatchte PCs unter Windows 7 innerhalb eines Wimpernschlags zu infizieren. Die Komplexität dieser Aktion ließ keinen Zweifel daran, dass sie von einem Staat gedeckt wurde. Tatsächlich wurde von Experten bei Kaspersky Lab eine enge Verbindung zu Stuxnet festgestellt, was darauf hinweist, dass die Entwickler von Flame mit denen von Stuxnet zusammengearbeitet haben, vielleicht sogar im Zuge derselben Operation.
Flame ist deshalb so wichtig, weil der Vorfall uns gezeigt hat, dass komplexe Malware für viele Jahre unentdeckt bleiben kann. Es wird geschätzt, dass das Flame-Projekt schon mindestens fünf Jahre alt sein könnte. Die Malware hat durch ihre Verbreitungstechnik Man-in-the-Middle im „Gottesmodus“ die gesamte Idee der Zero-Day-Attacken neu definiert.
Als Flame entdeckt wurde, fragten sich die Leute, wie viele andere Kampagnen dieser Art wohl initiiert worden seien. Kurz darauf kamen auch tatsächlich andere zum Vorschein. Die Entdeckung von Gauss, einem anderen hochkomplexen Trojaner, der im Mittleren Osten weit verbreitet war, verlieh den Cyberkampagnen zwischen Staaten eine neue Dimension. Gauss ist für eine Vielzahl von Dingen bemerkenswert, von denen einige bis heute ein Mysterium sind. Der Einsatz einer benutzerdefinierten Schriftart mit der Bezeichnung „Palida Narrow“ oder seine verschlüsselte Payload, die einen nicht mit dem Internet verbundenen Computer angreift, gehören zu den vielen Unbekannten. Es ist zudem der erste von einer Regierung gesponserte Banken-Trojaner mit der Fähigkeit, Online-Banking-Daten von Opfern – in erster Linie im Libanon – zu stehlen.
Mit Flame und Gauss wurde das Schlachtfeld Mittlerer Osten um eine neue Dimension erweitert: Cyberkrieg und Cyberkriegführung. Eine starke Cyberkomponente ist zu den bestehenden geopolitischen Spannungen hinzugekommen – und die ist vermutlich größer, als von irgendwem erwartet.
3. Die Explosion der Android-Bedrohungen
Im Laufe des Jahres 2011 wurden wir Zeugen eines explosionsartigen Anstiegs der Bedrohungen, die sich gegen die Android-Plattform richten. Wir sagten voraus, dass die Zahl der Bedrohungen für Android weiterhin alarmierend ansteigen würde. Die unten stehende Grafik bestätigt diese Vorhersage eindeutig:
Die Zahl der Samples, die wir erhielten, stieg weiterhin an und erreichte im Juni 2012 ihren Höhepunkt, als wir fast 7.000 schädliche Android-Programme identifizierten. Insgesamt registrierten wir im Jahr 2012 über 35.000 Android-Schädlinge, das ist in etwa sechs Mal so viel wie im Jahr 2011. Außerdem sind das ungefähr fünf Mal so viele Schadprogramme für Android wie in den Jahren seit 2005 zusammengenommen!
Der Grund für diesen drastischen Anstieg lässt sich mit zwei Faktoren erklären, und zwar ökonomischen und Plattform-bedingten. In erster Linie ist die Plattform Android selbst unglaublich populär geworden – es ist mit über 70 Prozent Marktanteil das am weitesten verbreitete Betriebssystem für neue Telefone. Zweitens werfen die offene Natur des Betriebssystems, die Leichtigkeit, mit der Apps erstellt werden können und die Vielfalt an (inoffiziellen) App-Shops in Kombination ein negatives Licht auf die Sicherheitslage der Plattform Android.
Es gibt keine Zweifel, dass sich dieser Trend fortsetzen wird, genauso wie es vor vielen Jahren in Bezug auf Windows-Schädlinge der Fall war. Wir erwarten daher für das Jahr 2013 eine Unmenge von zielgerichteten Attacken gegen Android-Nutzer sowie Zero-Day-Exploits und Datenlecks.
4. Die Passwort-Lecks bei LinkedIn, Last.fm, Dropbox und Gamigo
Am 5. Juni 2012 wurde LinkedIn, eines der weltweit größten sozialen Netzwerke für Geschäftskontakte, von unbekannten Angreifern gehackt und die Passwort-Hashes von mehr als 6,4 Millionen Nutzern wurden im Internet veröffentlicht. Mit Hilfe schneller Grafikkarten stellten Sicherheitsexperten erstaunliche 85 Prozent der Original-Passwörter wieder her. Verschiedene Faktoren machten dies möglich. Erstens hatte LinkedIn die Passwörter als SHA1-Hashes gespeichert. Wenn das auch besser ist als der überaus populäre MD5, sind moderne Grafikkarten doch in der Lage, SHA1-Hashes mit unglaublicher Geschwindigkeit zu knacken. Eine Grafikkarte vom Typ Radeon 7970 für rund 380 Euro kann beispielsweise fast 2 Milliarden SHA1-Passwörter/Hashes pro Sekunde lesen. In Kombination mit modernen kryptografischen Attacken wie etwa dem Einsatz von Markov-Ketten zur Optimierung von Brute Force oder Masken-Angriffen hat das Web-Entwickler einige neue Lektionen in Bezug auf das Speichern verschlüsselter Passwörter gelehrt.
Als DropBox einräumte, gehackt worden zu sein und Account-Daten der Anwender verloren zu haben, war das nur eine weitere Bestätigung dafür, dass Hacker es auf wertvolle Daten (insbesondere vertrauliche Anwenderdaten) bei populären Webdiensten abgesehen haben. Im Jahr 2012 gab es eine ähnliche Attacke auf Last.fm und Gamigo, wobei mehr als 8 Millionen Passwörter öffentlich zugänglich gemacht wurden.
Um eine Vorstellung davon zu bekommen, wie schwerwiegend dieses Problem wirklich ist, veröffentlichte Korelogic während der Konferenz InfoSecSouthwest 2012 ein Archiv, das um die 146 Millionen Passwort-Hashes enthält, die aus diversen Hacker-Vorfällen zusammengetragen worden waren. 122 Millionen davon waren bereits geknackt worden.
Diese Angriffe zeigen, dass das Konzept von Datenlecks im Zeitalter der „Cloud“, wo Informationen über Millionen von Accounts auf einem Server über schnelle Internetverknüpfungen verfügbar sind, neue Dimensionen annimmt. Wir haben dieses im letzten Jahr untersucht, als das Sony Playstation-Netzwerk gehackt wurde. Es ist keine Überraschung, dass sich solche folgenschweren Lecks und Hacks im Jahr 2012 fortsetzten.
5. Der Diebstahl von Adobe-Zertifikaten und die allgegenwärtigen APT
Im Laufe des Jahres hatten wir es mit verschiedenen Aufsehen erregenden Attacken auf Zertifikatsstellen zu tun. Im Juni wurde DigiNotar, eine niederländische Firma gehackt, die daraufhin insolvent ging, während eine Comodo-Geschäftsstelle im März dazu gebracht wurde, digitale Zertifikate auszugeben. Die Entdeckung von Duqu im September 2011 hatte ebenfalls etwas mit dem Hack einer Zertifizierungsstelle zu tun.
Am 27. September 2012 gab Adobe die Entdeckung zweier Schadprogramme bekannt, die mit einem gültigen Adobe-Zertifikat signiert waren. Adobes Zertifikate waren sicher in einem HSM gespeichert, einem speziellen Peripheriegerät für kryptografische Operationen, das Attacken stark erschwert. Trotzdem waren die Angreifer in der Lage, einen Server zu kompromittieren, der Code signierende Anfragen durchführen konnte.
Diese Entdeckung fügt sich in die Reihe extrem zielgerichteter Attacken ein, die von raffinierten Angreifern durchgeführt werden und im Allgemeinen als APT bezeichnet werden.
Die Tatsache, dass ein so bekanntes Unternehmen wie Adobe auf diese Weise Opfer von Cyberkriminellen wurde, definiert die Grenzen und Möglichkeiten neu, die diesen Angreifern auf hohem Niveau zur Verfügung stehen.
6. Die Zerschlagung von DNSChanger
Als die Schuldigen hinter der DNSChanger-Malware im November 2011 im Zuge der Operation „Ghost Click“ verhaftet wurden, wurde die Infrastruktur des Identitätsdiebstahls vom FBI übernommen.
Das FBI erklärte sich damit einverstanden, die Server bis zum 9. Juli 2012 online zu lassen, damit die Opfer Zeit hätten, ihre Systeme zu desinfizieren. Abgesehen von mehreren Weltuntergangsszenarien ging dieses Datum ohne allzu viele Scherereien vorüber. Das wäre nicht möglich gewesen, hätte das FBI nicht so viel Zeit und Ressourcen in dieses Projekt investiert, ebenso wie auch andere Strafverfolgungsbehörden, Privatunternehmen sowie Regierungen auf der ganzen Welt. Es war eine groß angelegte Aktion, die gezeigt hat, dass sich Cyberkriminalität durch offene Zusammenarbeit und Informationsaustausch erfolgreich bekämpfen lässt.
7. Der Ma(h)di-Vorfall
Ende 2011 und in der ersten Jahreshälfte 2012 wurden im Rahmen einer anhaltenden Kampagne, bei der Computersysteme über den ganzen Mittleren Osten infiltriert wurden, die Rechner einzelner Personen im Iran, in Israel, Afghanistan und in anderen Ländern rund um den Globus angegriffen.
Gemeinsam mit unserem Partner Seculert haben wir diese Operation sorgfältig untersucht und sie auf den Namen „Madi“ getauft, basierend auf bestimmten Begriffen und Decknamen, die von den Angreifern verwendet wurden.
Obwohl Madi technisch relativ unspektakulär war, gelang es dem Schädling, viele unterschiedliche Opfer rund um den Globus zu finden – mittels Social-Engineering und der Technik Right-To-Left-Override. Die Madi-Kampagne hat eine neue Dimension von Cyberspionage im Mittleren Osten eröffnet und eine ganz wichtige Sache deutlich gemacht: Low-Budget-Operationen können recht erfolgreich sein, im Gegensatz zu Malware, die von Staaten mit unbegrenzten Mitteln gesponsert wird.
8. Die Java 0-Day-Exploits
Infolge des bereits erwähnten Flashback-Vorfalls unternahm Apple einen gewagten Schritt und deaktivierte Java auf den Geräten von Millionen von Mac OS X-Anwendern. Bemerkenswert ist in diesem Zusammenhang, dass die Apple-User – obwohl bereits seit Februar ein Patch für die von Flashback ausgenutzte Sicherheitslücke verfügbar war – noch einige Monate länger der Bedrohung ausgesetzt waren, und zwar weil Apple sich Zeit damit ließ, den Mac OS X-Anwendern diesen Patch zukommen zu lassen. Bei Windows war die Situation allerdings anders, denn die Patches kamen von Oracle, wobei diejenigen für Mac OS X von Apple direkt geliefert wurden.
Als wäre das noch nicht genug, wurde im August 2012 eine Java-0-Day-Sicherheitslücke entdeckt, die massiv in freier Wildbahn ausgenutzt wurde (CVE-2012-4681). Das Exploit wurde in das allseits bekannte Exploit-Kit BlackHole integriert und wurde bald zu dem effektivsten Exploit des ganzen Paketes, verantwortlich für Millionen von Infektionen weltweit.
Im Laufe des zweiten Quartals 2012 analysierten wir die auf den Computern der Anwender installierte Software und stellten fest, dass auf über 30 Prozent der Rechner eine alte und angreifbare Java-Version lief. Es war die mit Abstand am weitesten verbreitete, verwundbare Software auf den Computern.
9. Shamoon
Mitte August 2012 wurden Details über eine überaus destruktive Schadsoftware bekannt, die im Rahmen von Attacken gegen Saudi Aramco eingesetzt wurde, die derzeit größte Erdölfördergesellschaft der Welt. Den Berichten zufolge wurden mehr als 30.000 Computer von dieser Malware vollständig zerstört.
Wir haben den Schädling Shamoon analysiert und festgestellt, dass er eine integrierte Zeiteinstellung enthielt, die den zerstörerischen Prozess am 15. August, 8:08 UTC (Weltzeit) in Gang setzte. Später wurde über weitere Angriffe derselben Malware auf eine andere Ölgesellschaft im Mittleren Osten berichtet.
Shamoon ist deshalb so wichtig, weil diese Malware das Konzept, das in dem Schädling Wiper umgesetzt wurde, erst aufgebracht hat – und zwar die Idee einer zerstörerischen Payload, die die Betriebsabläufe eines Unternehmens aufs massivste beeinträchtigt. Wie auch im Fall von Wiper sind bisher viele Fakten unbekannt: Auf welche Art und Weise konnte der Schädling das System infizieren? Und wer steckt hinter der ganzen Aktion?
10. DSL-Modems, der Huawei-Bann und Hardware-Hacks
Im Oktober 2012 veröffentlichte der Kaspersky Lab-Experte Fabio Assolini die Analyse eines Angriffs, der seit dem Jahr 2011 in Brasilien unter Ausnutzung einer Firmware-Schwachstelle und unter Verwendung von zwei schädlichen Skripten und 40 DNS-Servern durchgeführt wird. Durch die Attacke, die sechs Hardware-Hersteller betrifft, wurden Millionen von brasilianischen Internet-Nutzern Opfer eines anhaltenden und verborgenen Massenangriffs auf DSL-Modems.
Im März 2012 bestätigte das brasilianische CERT-Team, dass über 4,5 Millionen Modems im Zuge der Attacke von Cyberkriminellen angegriffen und für alle erdenklichen Arten des Betrugs ausgenutzt worden waren.
Auf der T2-Konferenz in Finnland behandelte der Sicherheitsfachmann Felix „FX“ Lindner von Recurity Labs GmbH die Sicherheitslage und Schwachstellen, die in Huawei-Routern entdeckt worden waren. Diese Diskussion wurde durch die Entscheidung der amerikanischen Regierung ausgelöst, gegen Huawei aufgrund von Spionagerisiken zu ermitteln.
Der Fall Huawei und die DSL-Router in Brasilien sind keine zufälligen Vorfälle. Sie sind vielmehr Anzeichen dafür, dass Hardware-Router dieselben – wenn nicht gar schwerwiegendere – Sicherheitsrisiken darstellen können als alte oder zweifelhafte Software, die nie aktualisiert wird. Diese Fälle weisen darauf hin, dass die Gefahrenabwehr komplexer und komplizierter denn je zuvor geworden ist – wenn nicht in einigen Fällen sogar unmöglich.
Schlussfolgerungen: von explosiv zu erstaunlich
Was erwartet uns im kommenden Jahr 2013? Den oben aufgeführten Top 10 Stories nach zu urteilen, lagen wir mit unseren Voraussagen für 2012 ziemlich richtig.
Trotz der Verhaftung des Mitglieds von LulzSec, Xavier Monsegur, und vielen bekannten „Anonymous“-Hackern waren die Hacktivisten weiterhin aktiv. Cyberkrieg und Cyberspionage haben mit der Entdeckung von Flame und Gauss eine neue Dimension erreicht. APT-Attacken sind aus den Nachrichten nicht mehr wegzudenken – unter Einsatz von Zero-Day-Exploits und ausgeklügelten Angriffsmethoden, mit dem Ziel, prominente Opfer zu hacken. Mac OS X-Usern wurde von der bisher größten Mac OS X-Epidemie Flashfake ein Schlag versetzt, während Großkonzerne mit zerstörerischer Malware zu kämpfen hatten, die zehntausende von PCs außer Gefecht setzten.
Die wichtigsten Akteure des Jahres 2012 sind dieselben geblieben wie auch im Jahr 2011: Hacktivisten-Gruppen, IT-Sicherheitsunternehmen, Staaten, die sich gegenseitig mittels Cyberspionage bekämpfen, große Software- und Spiele-Hersteller wie Adobe, Microsoft, Oracle oder Sony, Strafverfolgungsbehörden und klassische Cyberkriminelle, Google mit dem Betriebssystem Android und Apple dank seiner Plattform Mac OS X.
Wir haben das Jahr 2011 als „explosiv“ bezeichnet und sind nun der Meinung, dass die Vorfälle des Jahres 2012 das Potenzial besitzen, um den Leser in Erstaunen zu versetzen und die Phantasie anzuregen. Wir haben eine neue Dimension bestehender Bedrohungen kennen gelernt, während neue Angriffsarten langsam Kontur annehmen.
Sicherheits-Prognosen für 2013
Das Ende des Jahres ist traditionell die Zeit der Rückblicks und der Reflektion – es wird Bilanz gezogen und ein Blick in die Zukunft geworfen. So präsentieren auch wir unseren Ausblick auf das kommende Jahr, beleuchten die wichtigsten Probleme, von denen wir meinen, dass sie die Sicherheitslandschaft im Jahr 2013 dominieren werden. Da die Zukunft ihre Wurzeln immer in der Gegenwart hat, ist unser Sicherheitsrückblick, in dem die Trends des Jahres 2012 zusammengefasst wurden, ein guter Ausgangspunkt.
1. Zielgerichtete Attacken und Cyber-Spionage
Während die Sicherheitslandschaft noch immer von willkürlichen, spekulativen Angriffen dominiert wird, die initiiert werden, um persönliche Informationen von jedermann zu stehlen, der das Pech hat, ihnen zum Opfer zu fallen, haben sich auch zielgerichtete Attacken in den letzten zwei Jahren fest etabliert. Derartige Angriffe sind eigens darauf zugeschnitten, eine bestimmte Organisation anzugreifen und häufig darauf ausgerichtet, sensible Daten zu sammeln, die sich auf dem Schwarzmarkt in bare Münze umsetzen lassen. Zielgerichtete Attacken können höchst komplex sein. Doch viele Angriffe beginnen mit dem „Hacken von Menschen“, das heißt Angestellte werden durch Tricks dazu gebracht, Informationen preiszugeben, die dann genutzt werden, um Zugriff auf die Unternehmensressourcen zu erhalten. Die riesige Menge an Informationen, die online ausgetauscht werden, sowie die zunehmende Verwendung sozialer Medien im Geschäftsumfeld haben solche Attacken weiter befeuert. Angestellte, die Kundenkontakt haben oder Öffentlichkeitsarbeit leisten, sind dabei besonders angreifbar. Es ist zu erwarten, dass die Cyber-Spionage im Jahr 2013 und auch darüber hinaus auf dem Vormarsch bleibt. Man kann sich bei der Lektüre der Überschriften in der Computer-Fachpresse natürlich damit beruhigen, dass zielgerichtete Attacken nur für große Organisationen ein Problem darstellen, insbesondere für solche, die die Systeme der besonders wichtigen Infrastruktur in einem Land unterhalten. Allerdings kann jede Organisation zum Opfer werden. Alle Organisationen verfügen über Daten, die für Cyberkriminelle von Wert sind – und sie können außerdem auch als „Sprungbrett“ zu anderen Unternehmen genutzt werden.
2. Der Vormarsch des Hacktivismus
Geld, das entweder direkt durch den Zugriff auf Bankkonten oder durch den Klau sensibler Daten gestohlen wird, ist nicht das einzige Motiv hinter Cyberattacken. Manchmal besteht der Sinn eines Angriffs darin, einen politischen oder sozialen Standpunkt deutlich zu machen. Im Jahr 2012 gab es einen stetigen Strom derartiger Angriffe. Das beinhaltet auch die DDoS-Attacken von Anonymous auf Regierungswebseiten in Polen, die auf die Erklärung der Regierung folgten, dass sie das ACTA unterstützen würden (Anti-Counterfeiting Trade Agreement, Anti-Produktpiraterie-Abkommen). Weitere Beispiele für solche Angriffe sind der Hack der offiziellen Formel-1-Webseite als Protest gegen die Behandlung von Regierungsgegnern in Bahrain, der Hack verschiedener Erdölförderunternehmen als Protest gegen Bohrungen in der Arktis, die Attacke gegen Saudi Aramco sowie der Hack der französischen Webseite von EuroMillionen als Ausdruck des Protestes gegen Glücksspiel. Die zunehmende Abhängigkeit der Gesellschaft vom Internet macht Organisationen jeder Art potenziell angreifbar für Attacken dieser Art, daher wird der Hacktivismus auch im Jahr 2013 und in den darauf folgenden Jahren auf dem Vormarsch bleiben.
3. Staatlich gesponserte Cyberattacken
Stuxnet bereitete dem Einsatz raffiniertester Malware für zielgerichtete Attacken auf zentrale Produktionsanlagen den Weg. Auch wenn derartige Angriffe nicht alltäglich sind, war Stuxnet durchaus kein Einzelfall. Vielmehr erleben wir derzeit den Beginn einer Ära des kalten „Cyberkrieges“, in dem Nationen die Möglichkeit haben, sich gegenseitig zu bekämpfen und dabei völlig unabhängig von den Beschränkungen der konventionellen Kriegsführung in der realen Welt sind. Wir können davon ausgehen, dass künftig noch mehr Länder Cyberwaffen entwickeln werden, die auf den Diebstahl von Informationen oder die Sabotage von Systemen ausgerichtet sind – nicht zuletzt, weil die Ausgangsbedingungen für die Entwicklung solcher Waffen wesentlich unproblematischer sind als im Falle realer Waffen. Es ist ebenfalls möglich, dass es zu Nachahmungsangriffen kommt, die von Nicht-Staaten durchgeführt werden – mit „Kollateralschäden“, die nicht nur das eigentliche Opfer betreffen. Die Ziele solcher Cyberattacken könnten Energieversorgungsanlagen und Kontrollsysteme im Transportwesen, Finanz- und Telekommunikationssysteme sowie andere Schlüsselsysteme der „kritischen Infrastruktur“ sein.
4. Verwendung legaler Überwachungstools
In den letzten Jahren ist die Cyberkriminalität immer komplexer und raffinierter geworden. Dadurch wurden nicht nur die Antiviren-Entwickler vor neue Herausforderungen gestellt, sondern auch die Strafverfolgungsbehörden auf der ganzen Welt. Ihre Bemühungen, mit den fortschrittlichen Technologien der Cyberkriminellen Schritt zu halten, haben offensichtliche Auswirkungen auf die Strafverfolgung. Das beginnt beispielsweise schon bei der Frage, wie mit den betroffenen Computern zu verfahren ist, nachdem die Behörden das betreffende Botnetz erfolgreich zerschlagen haben – wie im Fall der FBI-Operation Ghost Click, die wir in unserem Blog diskutiert haben. Aber dazu gehört auch der Einsatz von Technologien zur Überwachung der Aktivitäten von Verdächtigen. Das ist kein neues Problem, bedenkt man die Kontroversen um die „Magic Lantern“ und den „Bundestrojaner“. Vor Kurzem gab es Diskussionen über Berichte, die besagten, dass ein britisches Unternehmen die Überwachungssoftware „Finfisher“ der ehemaligen ägyptischen Regierung zum Kauf angeboten habe sowie darüber, dass die indische Regierung verschiedene Unternehmen (darunter Apple, Nokia und RIM) um verborgenen Zugriff auf mobile Geräte gebeten habe. Ganz sicher hat der Einsatz legaler Überwachungstools größere Auswirkungen auf den Datenschutz und die Bürgerrechte. Mit dem Bemühen der Strafverfolgungsbehörden und Regierungen, den Cyberkriminellen einen Schritt voraus zu sein, werden sie vermutlich weiterhin derartige Tools einsetzen – und damit wird auch die Debatte um diese Überwachungswerkzeuge weitergehen.
5. Wolkige Aussichten, mit Malware-Wahrscheinlichkeit
Es steht fest, dass die Nutzung von Cloud-Services in den kommenden Jahren zunehmen wird. Zwei Schlüsselfaktoren treiben die Entwicklung dieser Dienste voran. Der erste sind die Kosten. Durch das Speichern von Daten oder das Hosten von Anwendungen in der Cloud können in jedem Geschäftszweig signifikante Ertragssteigerungen erreicht werden. Der zweite Faktor ist die Flexibilität. Die Daten sind zu jeder Zeit, von jedem Ort und von jedem Gerät, inklusive Laptops, Tablets und Smartphones, abrufbar. Doch je mehr die Cloud genutzt wird, desto größer wird auch die Zahl der Sicherheitsbedrohungen, die sich gegen sie richten. Erstens bilden die Datenzentren der Cloud-Provider ein attraktives Ziel für Cyberkriminelle. „Die Cloud“ mag als Konzept luftig und komfortabel erscheinen, aber man darf darüber nicht vergessen, dass wir hier über Daten sprechen, die auf einem realen Server in einer physischen Welt gespeichert sind. Aus der Sicht eines Cyberkriminellen bieten sie einen potenziellen Single-Point-of-Failure. Sie enthalten eine große Menge an persönlichen Daten an einem einzigen Ort, die auf einen Schlag gestohlen werden können, wenn der Provider Opfer eines erfolgreichen Angriffs wird. Zweitens ist es sehr wahrscheinlich, dass Cyberkriminelle die Cloud vermehrt nutzen werden, um ihre Malware unterzubringen und zu verbreiten – typischerweise über gestohlene Accounts. Drittens sollten wir nicht vergessen, dass auf in der Cloud gespeicherte Daten von einem Gerät zugegriffen wird, das sich außerhalb der Cloud befindet. Gelingt es Cyberkriminellen also, Zugang zu diesem Gerät zu bekommen, so haben sie auch Zugriff auf diese Daten, wo auch immer sie gespeichert sind. Die weit verbreitete Nutzung mobiler Geräte, so segensreich sie auch für die Geschäftswelt sein mögen, erhöht andererseits auch die Risiken, denn Cloud-Daten sind über Geräte verfügbar, die unter Umständen nicht so gut geschützt sind wie traditionelle Endgeräte. Wird ein und dasselbe Gerät sowohl privat als auch geschäftlich genutzt, so ist das Risiko umso höher.
6. Alter, wo ist meine Privatsphäre?!
Die Aushöhlung oder der Verlust der Privatsphäre ist zu einem heiß diskutierten Problem in der IT-Sicherheit geworden. Das Internet durchdringt unser Leben und viele Menschen erledigen ganz selbstverständlich ihre Bankgeschäfte online, kaufen im Internet ein und pflegen soziale Kontakte am Computer. Jedes Mal, wenn wir uns einen Online-Account einrichten, müssen wir Informationen über uns preisgeben, und Unternehmen auf der ganzen Welt sammeln Daten über ihre Kunden. Die Privatsphäre wird auf zwei Arten bedroht. Zum einen sind die Daten in Gefahr, wenn die Lieferanten der Waren oder Dienstleistungen, mit denen wir Geschäfte machen, gehackt werden. Es vergeht kaum eine Woche ohne neue Geschichten über ein Unternehmen, das Hackern zum Opfer gefallen ist und die persönlichen Daten seiner Kunden bloßgelegt werden. Die weitere Entwicklung der Cloud-basierten Services wird dieses Problem nur noch verschlimmern. Zum anderen sammeln und nutzen Unternehmen die Informationen, die sie über uns haben, zu Werbezwecken, manchmal selbst ohne dass wir davon wissen, und nicht immer ist klar, wie man sich aus diesem Prozess ausklinken kann. Der Wert persönlicher Daten wird künftig noch steigen – für Cyberkriminelle und die legitime Geschäftswelt – und damit wird auch die potenzielle Bedrohung unserer Privatsphäre steigen.
7. Wem trauen wir?
Wenn jemand an Ihre Haustür klopft und um Einlass bittet, so werden Sie vermutlich zögern ihn hereinzubitten, wenn derjenige nicht in der Lage ist, sich irgendwie auszuweisen. Aber was ist, wenn der fremde Gast sich ausweisen kann und wenn der Ausweis nicht gefälscht ist, sondern von einer legitimen Stelle ausgegeben wurde. Doch was passiert, wenn sich später herausstellt, dass das Dokument gar nicht dem Eindringling gehört? Das würde den Vertrauensprozess schwächen, auf den wir uns alle verlassen, um uns in der realen Welt vor Betrug zu schützen. Das Gleiche gilt für die Online-Welt. Wir alle sind darauf gepolt, mit einem Sicherheitszertifikat versehenen Webseiten zu vertrauen, das von einer offiziellen Zertifikatsstelle (Certificate Authority, CA) ausgegeben wurde, oder einer Anwendung mit einem gültigen digitalen Zertifikat. Leider waren Cyberkriminelle nicht nur in der Lage, Zertifikate für ihre Malware zu fälschen, wobei sie so genannte selbstsignierte Zertifikate nutzten. Sie haben es sogar geschafft, in die Systeme verschiedener CAs einzudringen und gestohlene Zertifikate zum Signieren ihres Codes zu nutzen. Auch in Zukunft werden sie gefälschte und gestohlene Zertifikate verwenden. Das Problem wird von einer anderen Entwicklung weiter verschlimmert. In den letzten Jahren haben Sicherheitsanbieter das Whitelisting in ihr Arsenal aufgenommen. Das heißt, sie gleichen nicht nur ab, ob der Code als schädlich bekannt ist, sondern sie prüfen auch, ob er als sauber bekannt ist. Doch wenn bösartige Anwendungen es auf eine Weiße Liste schaffen, sind sie in der Lage, „unter dem Radar“ der Sicherheitsprogramme hindurchzufliegen und so unentdeckt zu bleiben. Das kann auf unterschiedliche Weise passieren. Die Malware kann mit einem gestohlenen Zertifikat signiert sein: Wenn die Whitelist-Anwendung die von der Organisation signierte Software automatisch als vertrauenswürdig einstuft, so gilt das infizierte Programm ebenfalls als vertrauenswürdig. Alternativ könnten sich Cyberkriminelle (beziehungsweise irgendjemand innerhalb eines Unternehmens) Zugriff auf das Verzeichnis oder die Datenbank verschaffen, die die Weiße Liste enthalten und ihre Malware einfach hinzufügen. Ein vertrauenswürdiger Insider, ob nun in der realen oder in der digitalen Welt, ist immer in einer guten Position, um die Sicherheit zu untergraben.
8. Cyber-Erpressung
Im Jahr 2012 hat die Zahl der Randsomware-Trojaner zugenommen, solcher Schädlinge also, die Geld von ihren Opfern erpressen, indem sie entweder Daten auf der Festplatte verschlüsseln oder den Zugriff auf das System blockieren. Noch bis vor kurzer Zeit war diese Art der Cyberkriminalität weitestgehend auf Russland und andere ehemalige Sowjetländer begrenzt. Doch nun ist sie zu einem weltweiten Phänomen geworden, allerdings mit leicht variierendem Modus Operandi. In Russland zum Beispiel erklären die Trojaner, die den Zugriff auf das System blockieren, dass sie eine unlizenzierte Software auf dem Computer des Opfers entdeckt hätten und verlangen daraufhin eine Zahlung. In Europa, wo Piratensoftware weniger gängig ist, ist dieser Ansatz nicht so erfolgreich. Hier tarnen sich die Schädlinge vielmehr als Popup-Nachrichten von Strafverfolgungsbehörden, die vermeintlich Kinderpornografie oder andere illegale Inhalte auf dem Computer gefunden haben. Das wird von der Forderung nach einer Strafzahlung begleitet. Solche Angriffe lassen sich recht einfach umsetzen und wie im Fall von Phishing-Attacken scheint es an potenziellen Opfern nicht zu mangeln. Daher werden wir es vermutlich auch künftig mit einer steigenden Zahl solcher Angriffe zu tun haben.
9. Mac OS-Malware
Entgegen fest verwurzelten Vorstellungen sind Macs nicht immun gegen Malware. Verglichen mit der Flut von Schädlingen für Windows ist die Menge der Mac-basierten Malware natürlich gering. Trotzdem ist die Zahl der Mac-Schadprogramme in den letzten zwei Jahren beständig gestiegen und es wäre naiv von Mac-Usern anzunehmen, dass sie nicht zum Opfer von Cyberkriminalität werden könnten. Dabei stellen nicht nur die allgemeinen Attacken – so wie das 700.000 Computer starke Flashfake-Botnetz – eine Gefahr dar. Wir hatten es auch mit zielgerichteten Angriffen auf spezielle Gruppen oder Einzelpersonen zu tun, von denen bekannt ist, dass sie Mac-Nutzer sind. Die Bedrohung von Macs ist real und wird vermutlich größer werden.
10. Mobile Malware
Die Menge der mobilen Malware ist in den letzten 18 Monaten explodiert. Der Löwenanteil greift Android-basierte Geräte an – mehr als 90 Prozent richten sich gegen dieses Betriebssystem. Android OS erfüllt für Cyberkriminelle alle Kriterien: Es ist weit verbreitet, man kann problemlos Anwendungen für dieses Betriebssystem entwickeln, und die Nutzer des Systems können sich Programme (unter anderem auch Schadprogramme) aus jeder Ecke des Internets herunterladen. Aus diesem Grund ist es kaum anzunehmen, dass die Entwicklung für schädliche Android-Apps zurückgefahren wird. Bisher wurde der größte Teil der Android-Schädlinge entwickelt, um Zugriff auf ein Gerät zu erhalten. In Zukunft werden wir es vermutlich mit der Ausnutzung von Sicherheitslücken zu tun bekommen, die das Betriebssystem angreifen sowie mit der darauf basierenden Entwicklung von „Drive-by-Downloads“. Es ist zudem höchstwahrscheinlich, dass der erste Massenwurm für Android auf der Bildfläche erscheinen wird, der in der Lage ist, sich selbst über Textnachrichten zu verbreiten und Links auf sich selbst an Online-App-Stores versendet. Außerdem wird es vermutlich mehr mobile Botnetze geben, so wie jenes, das unter Verwendung des Backdoors RootSmart im ersten Quartal 2012 aufgebaut wurde. iOS ist das absolute Gegenteil von Android – ein geschlossenes, beschränktes Dateisystem, das den Download und die Verwendung von Apps aus nur einer einzigen Quelle gestattet, dem App Store. Das bedeutet ein geringeres Sicherheitsrisiko: Um ihren Code zu verbreiten, müssten Virenschreiber einen Weg finden, ihn in den App Store einzuschleusen. Das Auftauchen der App „Find and Call“ hat gezeigt, dass es unerwünschten Anwendungen gelingen kann, durch dieses Netz zu schlüpfen. Doch aller Wahrscheinlichkeit nach wird Android das Hauptziel der Cyberkriminellen bleiben. Die Bedeutung der „Find and Call“-App liegt darin, dass sie das Problem des Datenschutzes, der Datenlecks und der möglichen Rufschädigung aufgezeigt hat: Diese App wurde entwickelt, um die Kontaktliste der Anwender hochzuladen und um SMS-Spam zu versenden.
11. Sicherheitslücken und Exploits
Eine der wichtigsten Methoden, die Cyberkriminelle nutzen, um Schadprogramme auf Computern zu installieren, ist die Ausnutzung von nicht gepatchten Sicherheitslücken in verwundbaren Programmen. Diese Methode stützt sich auf die Existenz von Schwachstellen und das Versäumnis einzelner Anwender oder Unternehmen, ihre Software rechtzeitig zu aktualisieren. Auf Java-Sicherheitslücken entfallen derzeit mehr als 50 Prozent aller Schwachstellen, während Adobe Reader für weitere 25 Prozent verantwortlich ist. Erstaunlich ist das nicht, denn Cyberkriminelle richten ihre Aufmerksamkeit typischerweise auf populäre Anwendungen, bei denen die Wahrscheinlichkeit hoch ist, dass sie für lange Zeit ungepatcht bleiben – womit ein ausreichendes Zeitfenster verbleibt, um die illegalen Ziele zu erreichen. Java ist nicht nur auf vielen Computern installiert (laut Oracle auf 1,1 Milliarden), sondern auch die Updates werden nur auf Anforderung statt automatisch installiert. Aus diesem Grund werden Online-Verbrecher Java in den kommenden Jahren auch weiterhin ausnutzen. Vermutlich wird das auch bei Adobe Reader der Fall sein, allerdings in geringerem Maße, da die neusten Versionen einen automatischen Update-Mechanismus enthalten.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt