Papier: 02.03.01.06 Angriffsmittel
Originalversion
1 | Im Folgenden soll ein Überblick über die wesentlichen |
2 | technischen Angriffsmittel gegeben werden, die IT-Systeme |
3 | gefährden können: |
4 | |
5 | |
6 | I.3.1.6.1 Schadsoftware |
7 | Schadsoftware (engl. Malware) umfasst jede Art von Code, der |
8 | auf einem fremden Computer das Ausführen schädlicher |
9 | Funktionen durch einen Angreifer ermöglicht.[FN: Malware = |
10 | Malicious Software = Bösartige Software; s. zu der Thematik |
11 | auch Walter, Internetkriminalität, 2008, S. 19.] Innerhalb |
12 | dieser sehr weiten Definition gibt es eine Reihe von |
13 | Unterscheidungen: |
14 | |
15 | |
16 | I.3.1.6.1.1 Viren |
17 | Unter Viren werden sich selbst vermehrende Computerprogramme |
18 | verstanden, deren Ziel in erster Linie die Verbreitung des |
19 | eigenen Codes, also die Vermehrung und die Ausführung von |
20 | Schadcode ist.[FN: Eckert, IT-Sicherheit: Konzepte – |
21 | Verfahren – Protokolle, 2009, S. 45 f.] Das namensgebende |
22 | Charakteristikum eines Virus ist, dass er sich stets eines |
23 | Wirtes in Form eines anderen Programmes bedient, in dessen |
24 | Programmcode er sich hineinkopiert und dann mit ausgeführt |
25 | wird, sobald das Wirtsprogramm gestartet wird.[FN: Slade, |
26 | in: Bidgoli, Encyclopedia of Informationsystems Volume 1, |
27 | 2002, S. 256.] Als Wirt können alle ausführbaren Teile eines |
28 | IT-Systems dienen. Hierzu gehören Programmdateien, Skripte, |
29 | Makros in Dokumenten, aber auch weniger offensichtlich |
30 | einsehbare Bereiche, wie Programmbibliotheken oder |
31 | Bootsektoren, die für den Anwender nur schwer als |
32 | ausführbarer Teil eines Programms erkennbar sind.[FN: S. zu |
33 | den verschiedenen Typen von Viren: Slade, in: Bidgoli, |
34 | Encyclopedia of Informationsystems Volume 1, 2002, S. 258 |
35 | f.] |
36 | |
37 | Wird das Wirtsprogramm gestartet, laufen in aller Regel zwei |
38 | Routinen ab: Zum einen die Schadroutine, die den Schadcode |
39 | ausführt, und zum anderen die Verbreitungsroutine, bei der |
40 | der Virus sich selbst in weitere, noch nicht infizierte |
41 | Programme hineinkopiert.[FN: Tipton/Krause, Information |
42 | Security Management Handbook, 2007, S. 100.] |
43 | |
44 | Die Verbreitungsmethoden von Viren hängen von der |
45 | Verbreitung der Wirtsprogramme ab. Insofern ist der Weg, auf |
46 | dem Viren verbreitet werden können, beliebig und korreliert |
47 | regelmäßig mit der typischen Art, wie Programmcode |
48 | weitergegeben wird.[FN: So lässt sich sagen, dass die |
49 | Weitergabe eines Virus noch immer der Interaktion eines |
50 | Menschen bedarf. Vacca, Computer and Information Security |
51 | Handbook, 2009, S. 56.] So hat sich die Art der Verbreitung |
52 | von Viren ebenso gewandelt wie die Art der Verbreitung von |
53 | Programmcode. Während in der Vergangenheit noch die |
54 | Weitergabe mittels Diskette oder CD-ROM üblich war, steht |
55 | heute, im Internetzeitalter, die Verbreitung über E-Mails, |
56 | FTP-Server, Web-Server und Filesharing-Netzwerke im |
57 | Vordergrund. Viren spielen nach wie vor insbesondere in |
58 | speziellen Bereichen – wie etwa bei eingebetteten Systemen |
59 | oder Betriebssystemen mobiler Endgeräte – eine erhebliche |
60 | Rolle.[FN: Auch das Überspringen eines Virus vom PC auf ein |
61 | mobiles Endgerät stellt technisch kein Problem dar, auch |
62 | wenn derartige Fälle in der Praxis, soweit ersichtlich, noch |
63 | nicht beobachtet wurden, s. BSI, Lagebericht IT-Sicherheit |
64 | in Deutschland 2011, S. 25, abrufbar unter: |
65 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
66 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
67 | nFile; zumindest für den Bereich der Privatanwender gilt, |
68 | dass Virenscanner einen durchaus effektiven Schutz bieten, |
69 | sofern sie den Vorgaben entsprechend eingesetzt werden. S. |
70 | hierzu Pfleeger/Pfleeger, Analyzing Computer Security: A |
71 | Threat / Vulnerability / Countermeasure Approach, 2011, S. |
72 | 159 f.] |
73 | |
74 | |
75 | I.3.1.6.1.2 Würmer |
76 | Während Viren auf eine Verbreitung der von ihnen infizierten |
77 | Dateien angewiesen sind, haben Computerwürmer die |
78 | Möglichkeit, die , bereitgestellte Netzinfrastruktur des |
79 | Systems, auf dem sie sich befinden, zu nutzen, um sich |
80 | eigenständig über ein Netzwerk zu verbreiten.[FN: Slade, in: |
81 | Bidgoli, Encyclopedia of Informationsystems Volume 1, 2002, |
82 | S. 256, S. 255.] So erklärt sich auch die gänzlich andere |
83 | Angriffsstrategie eines Computerwurms gegenüber der eines |
84 | Virus. Während der Virus zum Ziel hat, möglichst viele |
85 | andere Dateien zu infizieren, da so die Wahrscheinlichkeit |
86 | steigt, auf ein anderes, noch nicht infiziertes System |
87 | übertragen zu werden, nisten sich Würmer in den meisten |
88 | Fällen unauffällig im System ein. Je länger der Wurm |
89 | unbemerkt bleibt, umso größer ist der Erfolg, der in der |
90 | Ausführung des Schadcodes und in der Weiterverbreitung des |
91 | Wurms liegt.[FN: Pfleeger/Pfleeger, Analyzing Computer |
92 | Security: A Threat / Vulnerability / Countermeasure |
93 | Approach, 2011, S. 136 f.] Das Gefahrenpotenzial von Würmern |
94 | steigt noch immer. Dies ist zum einen auf die immer |
95 | ausgefeiltere Technik, mit der diese zur Umgehung von |
96 | Sicherheitsmechansimen programmiert werden, zurückzuführen; |
97 | zum anderen auf die immer weitere Verbreitung von |
98 | Internetanschlüssen und damit auch von Würmern. |
99 | |
100 | |
101 | I.3.1.6.1.3 Trojaner |
102 | Ein Trojaner, auch Trojanisches Pferd genannt, ist eine |
103 | Software, welche vom Benutzer im Glauben ausgeführt wird |
104 | dass es sich um ein nützliches Programm handele,.[FN: Der |
105 | Begriff Trojaner wird nicht einheitlich gebraucht. Oftmals |
106 | werden auch Schadprogramme mit der Funktion einer Backdoor |
107 | auch dann als Trojaner bezeichnet, wenn sie sich gerade |
108 | nicht den Anschein von sinnvoller Software geben. Dies ist |
109 | jedoch angesichts der mythologischen Herleitung ungenau. |
110 | Indes enthalten Trojaner regelmäßig Backdoorfunktionalität, |
111 | und Backdoorsoftware kommt als Trojaner auf den Computer. So |
112 | wie hier etwa auch Newman, Computer Security, 2010, S. 40.] |
113 | Auf diese Weise implementiert sich ungewollt ein |
114 | Schadprogramm. Heutige Varianten sind häufig sehr flexibel. |
115 | Teilweise bieten sie die Möglichkeit, Schadcode nachzuladen |
116 | und damit durch zusätzliche Funktionen mehr Schaden |
117 | anzurichten; sie können sich nicht selbst verbreiten.[FN: |
118 | Vgl. |
119 | https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g0 |
120 | 5/g05021.html] Die Grenzziehung zwischen Viren und Trojanern |
121 | ist nicht trennscharf, aber auch nicht erforderlich. Zu den |
122 | häufigsten Funktionen gehören das Ausspionieren von Daten |
123 | sowie das Überwachen von Benutzereingaben wie Passwörtern. |
124 | Oftmals enthalten Trojaner auch |
125 | Backdoor-Funktionalitäten.[FN: Tanenbaum, Moderne |
126 | Betriebssysteme, 2009, S. 772 ff.; s. weiter im Anschluss.] |
127 | |
128 | |
129 | I.3.1.6.1.4 Backdoors |
130 | Eine Backdoor ermöglicht den alternativen, unüblichen Zugang |
131 | zu einem IT-System,[FN: Whitman/Mattord, Principles of |
132 | Information Security, 2009, S. 58 f.] den ein Hersteller |
133 | setzen oder ein feindlicher Angreifer hinzufügen kann. |
134 | Mittels einer solchen Hintertür erhält ein Angreifer Zugriff |
135 | auf das fremde System und kann mit ihm umgehen, als sei er |
136 | ein berechtigter Benutzer.[FN: Vacca, Computer and |
137 | Information Security Handbook, 2009, S. 295.] Zu den |
138 | typischen Schadroutinen gehört hier das Nachladen weiterer |
139 | schädlicher Software sowie das Löschen oder Verändern |
140 | bestehender Dateien.Darüber hinaus dienen Backdoors auch dem |
141 | Ausspähen von Benutzereingaben wie Passwörtern, dem |
142 | Versenden von Spam oder auch dem Ausführen eines |
143 | DDoS-Angriffs. Backdoors sind im Zusammenspiel mit anderen |
144 | Techniken von erheblichem Gefährdungspotenzial. So können |
145 | mittels eines auf dem Computer installierten |
146 | Backdoorprogramms in Verbindung mit einem gezielten |
147 | Phishing-Angriff Schutzmechanismen des Onlinebanking, wie |
148 | etwa das indizierte Transaktionsnummern(iTAN)-Verfahren, |
149 | außer Kraft gesetzt werden.[FN: BKA, Cybercrime |
150 | Bundeslagebild 2010, S. 10, abrufbar unter: |
151 | http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat |
152 | ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010, |
153 | templateId=raw,property=publicationFile.pdf/cybercrime2010.p |
154 | df] |
155 | Im Bereich Backdoors ist ebenfalls relevant, dass ein |
156 | Großteil der IT-Produkte inzwischen in Ländern hergestellt |
157 | und/oder entwickelt wird, in denen die politische Lage nicht |
158 | ausschließen lässt, dass Hintertüren bereits bei der |
159 | Entwicklung und Produktion in die Hard- oder Software |
160 | implementiert werden. Das betrifft nicht nur Produkte für |
161 | einzelne IT-Systeme, sondern auch Netzwerkkomponenten wie |
162 | beispielsweise die in Unternehmensnetzwerken oder in den |
163 | Backbone-Netzen des Internets eingesetzten Router. |
164 | |
165 | Zur Verdeutlichung kann darauf verwiesen werden, dass in den |
166 | vergangenen Jahren eine Reihe von Fällen „verborgener |
167 | Hintertüren“ sowohl im Hardware- als auch im |
168 | Software-Bereich öffentlich geworden ist. |
169 | |
170 | Dass typischerweise in größeren Stückzahlen bestellte |
171 | Technologie wie Computerchips nicht mehr einzeln getestet |
172 | werden können, begünstigt den Einbau von Hintertüren. 2011 |
173 | wurde etwa bekannt, dass 59 000 Mikrochips aus China, die |
174 | von der US-Armee gekauft worden waren, eine Hintertür |
175 | enthielten. Diese hätte das Abschalten der Chips aus der |
176 | Ferne ermöglicht.[FN: S. Johnson, „The Navy Bought Fake |
177 | Chinese Microchips That Could Have Disarmed U.S. Missiles“, |
178 | abrufbar unter: |
179 | http://www.businessinsider.com/navy-chinese-microchips-weapo |
180 | ns-could-have-been-shut-off-2011-6] Wie man solche |
181 | Hintertüren auffindet, ist daher seit Jahren Teil |
182 | wissenschaftlicher Forschung.[FN: S. Adee, „The Hunt for the |
183 | Kill Switch”, abrufbar unter: |
184 | http://spectrum.ieee.org/semiconductors/design/the-hunt-for- |
185 | the-kill-switch/0] |
186 | Im Januar 2012 wurde bekannt, dass die Hersteller RIM, Nokia |
187 | und Apple den indischen Behörden über eine Hintertür Zugang |
188 | zu Inhalten von Mobilkommunikation verschafft haben. Die |
189 | Hersteller räumten die Zusammenarbeit mit den staatlichen |
190 | Behörden und Militärs ein.[FN: S. „Nokia and Apple have |
191 | provided the Indian Military with backdoor access to |
192 | cellular surveillance”, abrufbar unter: |
193 | http://www.terminalx.org/2012/01/blackberry-nokia-and-apple- |
194 | have.html] |
195 | Zudem werden heute neben den „Backdoors“ auch sogenannte |
196 | „Bugdoors“ verwendet, da die Ausnutzung einer absichtlich |
197 | nicht geschlossenen Sicherheitslücke weniger riskant ist als |
198 | das direkte Hinterlassen einer Hintertür. Bugdoors werden |
199 | ebenfalls von den Herstellern implementiert und können wie |
200 | „verborgene Hintertüren“ benutzt werden. Vergleichbares gilt |
201 | für von Herstellern vergebene Passwörter, die eine ähnliche |
202 | Wirkung wie eine Hintertür entfalten können. |
203 | |
204 | |
205 | I.3.1.6.1.5 Rootkits |
206 | Mit den Backdoors verbunden ist die Funktion der Rootkits, |
207 | die in erster Linie dazu dienen, nach dem Kompromittieren |
208 | des Systems die Entdeckung des Angriffs zu verhindern.[FN: |
209 | Sehr ausführlich: Tanenbaum, Moderne Betriebssysteme, 2009, |
210 | S. 795 ff.] Hierzu können unberechtigte Anmeldevorgänge |
211 | verborgen sowie Prozesse und Dateien vor dem Benutzer, aber |
212 | auch vor Virenscannern versteckt werden. Merkmal von |
213 | Rootkits ist, dass sie im Vergleich zu anderer Schadsoftware |
214 | wesentlich tiefer in das System eingreifen, was ein |
215 | Entdecken und Löschen schwierig bis fast unmöglich |
216 | macht.[FN: Sehr ausführlich: Tanenbaum, Moderne |
217 | Betriebssysteme, 2009, S. 795 ff.] |
218 | |
219 | |
220 | I.3.1.6.1.6 Spyware |
221 | Der Begriff Spyware umfasst Schadsoftware, die darauf |
222 | ausgelegt ist das Nutzerverhalten aufzuzeichnen und diese |
223 | Daten an den Angreifer oder Dritte zu senden, regelmäßig um |
224 | personalisierte Werbung zu ermöglichen oder Marktforschung |
225 | zu betreiben.[FN: Tipton/Krause, Information Security |
226 | Management Handbook, 2007, S. 663.] Oft werden diese |
227 | Informationen in Datenbanken gesammelt und genutzt, um |
228 | gezielt Benutzerprofile zu erstellen.[FN: Erbschloe, |
229 | Trojans, Worms, and Spyware; A Computer Security |
230 | Professionals Guide to Malicious Code, 2005, S. 26 f.] |
231 | |
232 | Spyware wird in den meisten Fällen als Trojanisches Pferd |
233 | zusammen mit einer (vermeintlich) nützlichen Software |
234 | installiert. Außerdem wird Spyware auch mittels |
235 | Drive-by-Download unter Ausnutzung einer Sicherheitslücke im |
236 | Browser oder eines Plug-Ins installiert.[FN: Zu dieser |
237 | Problematik näher unten Abschnitt II.3.1.7.1.] |
238 | |
239 | |
240 | I.3.1.6.2 Andere Angriffsmethoden |
241 | |
242 | Es gibt noch eine Reihe weiterer Angriffsmethoden. Einen |
243 | Schwerpunkt bilden Vorgänge zur Erlangung von Passwörtern |
244 | oder ähnlichen Daten, um so die spätere Kompromittierung des |
245 | Systems erst zu ermöglichen. |
246 | |
247 | So kann etwa mittels Packet Sniffing der gesamte Verkehr |
248 | eines Netzwerks „mitgehört“ werden. Dies ist für Angreifer |
249 | besonders dann von Interesse, wenn Übertragungsprotokolle im |
250 | Einsatz sind, bei denen der Datenverkehr – und insbesondere |
251 | auch die Passwörter – unverschlüsselt übertragen werden.[FN: |
252 | Erickson, Hacking: The Art of Exploitation, 2008, S. 226 |
253 | ff.] Ein offenes oder nicht mit einem ausreichend starken |
254 | Passwort verschlüsseltes WLAN stellt so ein erhebliches |
255 | Sicherheitsrisiko dar. Während offene WLANs im Unternehmens- |
256 | und Privatbereich[FN: Dies ist wohl auch darauf |
257 | zurückzuführen, dass praktisch alle Router heute mit einer |
258 | Anwendersoftware ausgeliefert werden, die bei der ersten |
259 | Einrichtung des Routers automatisch ein sicheres Passwort |
260 | wählt.] inzwischen eher die Ausnahme sein dürften, finden |
261 | sich öffentliche HotSpots etwa in Cafés oder Hotels. Der |
262 | Angriff auf die Datenströme von Computern eines solchen |
263 | öffentlichen HotSpots ist, sofern bei der Nutzung des |
264 | HotSpots keine Verschlüsselungstechniken genutzt werden, |
265 | auch für technisch weniger versierte Angreifer mittels im |
266 | Internet angebotener Tools leicht möglich. Hier steht zu |
267 | erwarten, dass die Angriffe noch vielfältiger werden. Immer |
268 | öfter werden auch wichtige Geschäftsdaten unterwegs |
269 | bearbeitet und versendet und werden so zum möglichen Ziel |
270 | von Sniffing.[FN: S. auch BSI, Lagebericht IT-Sicherheit in |
271 | Deutschland 2011, S. 34, abrufbar unter: |
272 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
273 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
274 | e Hiernach wissen lediglich rund 60 % der vom BSI befragten |
275 | Nutzer, dass ihre mobilen Endgeräte die gleichen |
276 | Sicherheitsanforderungen haben wie ein PC. Einer Studie im |
277 | Auftrag der Wirtschaftsberatungsfirma KPMG zufolge (The |
278 | e-Crime Report 2011), werden geschäftliche Mobiltelefone |
279 | wesentlich häufiger verloren als private |
280 | (http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublica |
281 | tions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2 |
282 | .pdf, S. 15). Dies alles mag als Hinweis darauf verstanden |
283 | werden, wie sorglos Nutzer immer noch dem Trend zu mehr |
284 | Mobilität gegenüberstehen.] |
285 | Ebenfalls zu den nutzbaren Mitteln technisch wenig |
286 | versierter Angreifer gehören sogenannte Vulnerability |
287 | Scanner. Diese Programme dienen dem Zweck, ein Zielsystem |
288 | auf das Vorhandensein von bekannten Sicherheitslücken zu |
289 | untersuchen. Gedacht sind sie in erster Linie zur |
290 | Absicherung des eigenen Systems. In dieser Funktion haben |
291 | sie in der IT-Sicherheit auch erhebliche Bedeutung.[FN: So |
292 | bietet auch das BSI eine Live CD mit der Sicherheitssoftware |
293 | OpenVAS, zu deren Bestandteilen auch ein Vulnerability |
294 | Scanner gehört.] Ein Missbrauch lässt sich jedoch nicht |
295 | ausschließen. |
Der Text verglichen mit der Originalversion
1 | Im Folgenden soll ein Überblick über die wesentlichen |
2 | technischen Angriffsmittel gegeben werden, die IT-Systeme |
3 | gefährden können: |
4 | |
5 | |
6 | I.3.1.6.1 Schadsoftware |
7 | Schadsoftware (engl. Malware) umfasst jede Art von Code, der |
8 | auf einem fremden Computer das Ausführen schädlicher |
9 | Funktionen durch einen Angreifer ermöglicht.[FN: Malware = |
10 | Malicious Software = Bösartige Software; s. zu der Thematik |
11 | auch Walter, Internetkriminalität, 2008, S. 19.] Innerhalb |
12 | dieser sehr weiten Definition gibt es eine Reihe von |
13 | Unterscheidungen: |
14 | |
15 | |
16 | I.3.1.6.1.1 Viren |
17 | Unter Viren werden sich selbst vermehrende Computerprogramme |
18 | verstanden, deren Ziel in erster Linie die Verbreitung des |
19 | eigenen Codes, also die Vermehrung und die Ausführung von |
20 | Schadcode ist.[FN: Eckert, IT-Sicherheit: Konzepte – |
21 | Verfahren – Protokolle, 2009, S. 45 f.] Das namensgebende |
22 | Charakteristikum eines Virus ist, dass er sich stets eines |
23 | Wirtes in Form eines anderen Programmes bedient, in dessen |
24 | Programmcode er sich hineinkopiert und dann mit ausgeführt |
25 | wird, sobald das Wirtsprogramm gestartet wird.[FN: Slade, |
26 | in: Bidgoli, Encyclopedia of Informationsystems Volume 1, |
27 | 2002, S. 256.] Als Wirt können alle ausführbaren Teile eines |
28 | IT-Systems dienen. Hierzu gehören Programmdateien, Skripte, |
29 | Makros in Dokumenten, aber auch weniger offensichtlich |
30 | einsehbare Bereiche, wie Programmbibliotheken oder |
31 | Bootsektoren, die für den Anwender nur schwer als |
32 | ausführbarer Teil eines Programms erkennbar sind.[FN: S. zu |
33 | den verschiedenen Typen von Viren: Slade, in: Bidgoli, |
34 | Encyclopedia of Informationsystems Volume 1, 2002, S. 258 |
35 | f.] |
36 | |
37 | Wird das Wirtsprogramm gestartet, laufen in aller Regel zwei |
38 | Routinen ab: Zum einen die Schadroutine, die den Schadcode |
39 | ausführt, und zum anderen die Verbreitungsroutine, bei der |
40 | der Virus sich selbst in weitere, noch nicht infizierte |
41 | Programme hineinkopiert.[FN: Tipton/Krause, Information |
42 | Security Management Handbook, 2007, S. 100.] |
43 | |
44 | Die Verbreitungsmethoden von Viren hängen von der |
45 | Verbreitung der Wirtsprogramme ab. Insofern ist der Weg, auf |
46 | dem Viren verbreitet werden können, beliebig und korreliert |
47 | regelmäßig mit der typischen Art, wie Programmcode |
48 | weitergegeben wird.[FN: So lässt sich sagen, dass die |
49 | Weitergabe eines Virus noch immer der Interaktion eines |
50 | Menschen bedarf. Vacca, Computer and Information Security |
51 | Handbook, 2009, S. 56.] So hat sich die Art der Verbreitung |
52 | von Viren ebenso gewandelt wie die Art der Verbreitung von |
53 | Programmcode. Während in der Vergangenheit noch die |
54 | Weitergabe mittels Diskette oder CD-ROM üblich war, steht |
55 | heute, im Internetzeitalter, die Verbreitung über E-Mails, |
56 | FTP-Server, Web-Server und Filesharing-Netzwerke im |
57 | Vordergrund. Viren spielen nach wie vor insbesondere in |
58 | speziellen Bereichen – wie etwa bei eingebetteten Systemen |
59 | oder Betriebssystemen mobiler Endgeräte – eine erhebliche |
60 | Rolle.[FN: Auch das Überspringen eines Virus vom PC auf ein |
61 | mobiles Endgerät stellt technisch kein Problem dar, auch |
62 | wenn derartige Fälle in der Praxis, soweit ersichtlich, noch |
63 | nicht beobachtet wurden, s. BSI, Lagebericht IT-Sicherheit |
64 | in Deutschland 2011, S. 25, abrufbar unter: |
65 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
66 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
67 | nFile; zumindest für den Bereich der Privatanwender gilt, |
68 | dass Virenscanner einen durchaus effektiven Schutz bieten, |
69 | sofern sie den Vorgaben entsprechend eingesetzt werden. S. |
70 | hierzu Pfleeger/Pfleeger, Analyzing Computer Security: A |
71 | Threat / Vulnerability / Countermeasure Approach, 2011, S. |
72 | 159 f.] |
73 | |
74 | |
75 | I.3.1.6.1.2 Würmer |
76 | Während Viren auf eine Verbreitung der von ihnen infizierten |
77 | Dateien angewiesen sind, haben Computerwürmer die |
78 | Möglichkeit, die , bereitgestellte Netzinfrastruktur des |
79 | Systems, auf dem sie sich befinden, zu nutzen, um sich |
80 | eigenständig über ein Netzwerk zu verbreiten.[FN: Slade, in: |
81 | Bidgoli, Encyclopedia of Informationsystems Volume 1, 2002, |
82 | S. 256, S. 255.] So erklärt sich auch die gänzlich andere |
83 | Angriffsstrategie eines Computerwurms gegenüber der eines |
84 | Virus. Während der Virus zum Ziel hat, möglichst viele |
85 | andere Dateien zu infizieren, da so die Wahrscheinlichkeit |
86 | steigt, auf ein anderes, noch nicht infiziertes System |
87 | übertragen zu werden, nisten sich Würmer in den meisten |
88 | Fällen unauffällig im System ein. Je länger der Wurm |
89 | unbemerkt bleibt, umso größer ist der Erfolg, der in der |
90 | Ausführung des Schadcodes und in der Weiterverbreitung des |
91 | Wurms liegt.[FN: Pfleeger/Pfleeger, Analyzing Computer |
92 | Security: A Threat / Vulnerability / Countermeasure |
93 | Approach, 2011, S. 136 f.] Das Gefahrenpotenzial von Würmern |
94 | steigt noch immer. Dies ist zum einen auf die immer |
95 | ausgefeiltere Technik, mit der diese zur Umgehung von |
96 | Sicherheitsmechansimen programmiert werden, zurückzuführen; |
97 | zum anderen auf die immer weitere Verbreitung von |
98 | Internetanschlüssen und damit auch von Würmern. |
99 | |
100 | |
101 | I.3.1.6.1.3 Trojaner |
102 | Ein Trojaner, auch Trojanisches Pferd genannt, ist eine |
103 | Software, welche vom Benutzer im Glauben ausgeführt wird |
104 | dass es sich um ein nützliches Programm handele,.[FN: Der |
105 | Begriff Trojaner wird nicht einheitlich gebraucht. Oftmals |
106 | werden auch Schadprogramme mit der Funktion einer Backdoor |
107 | auch dann als Trojaner bezeichnet, wenn sie sich gerade |
108 | nicht den Anschein von sinnvoller Software geben. Dies ist |
109 | jedoch angesichts der mythologischen Herleitung ungenau. |
110 | Indes enthalten Trojaner regelmäßig Backdoorfunktionalität, |
111 | und Backdoorsoftware kommt als Trojaner auf den Computer. So |
112 | wie hier etwa auch Newman, Computer Security, 2010, S. 40.] |
113 | Auf diese Weise implementiert sich ungewollt ein |
114 | Schadprogramm. Heutige Varianten sind häufig sehr flexibel. |
115 | Teilweise bieten sie die Möglichkeit, Schadcode nachzuladen |
116 | und damit durch zusätzliche Funktionen mehr Schaden |
117 | anzurichten; sie können sich nicht selbst verbreiten.[FN: |
118 | Vgl. |
119 | https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g0 |
120 | 5/g05021.html] Die Grenzziehung zwischen Viren und Trojanern |
121 | ist nicht trennscharf, aber auch nicht erforderlich. Zu den |
122 | häufigsten Funktionen gehören das Ausspionieren von Daten |
123 | sowie das Überwachen von Benutzereingaben wie Passwörtern. |
124 | Oftmals enthalten Trojaner auch |
125 | Backdoor-Funktionalitäten.[FN: Tanenbaum, Moderne |
126 | Betriebssysteme, 2009, S. 772 ff.; s. weiter im Anschluss.] |
127 | |
128 | |
129 | I.3.1.6.1.4 Backdoors |
130 | Eine Backdoor ermöglicht den alternativen, unüblichen Zugang |
131 | zu einem IT-System,[FN: Whitman/Mattord, Principles of |
132 | Information Security, 2009, S. 58 f.] den ein Hersteller |
133 | setzen oder ein feindlicher Angreifer hinzufügen kann. |
134 | Mittels einer solchen Hintertür erhält ein Angreifer Zugriff |
135 | auf das fremde System und kann mit ihm umgehen, als sei er |
136 | ein berechtigter Benutzer.[FN: Vacca, Computer and |
137 | Information Security Handbook, 2009, S. 295.] Zu den |
138 | typischen Schadroutinen gehört hier das Nachladen weiterer |
139 | schädlicher Software sowie das Löschen oder Verändern |
140 | bestehender Dateien.Darüber hinaus dienen Backdoors auch dem |
141 | Ausspähen von Benutzereingaben wie Passwörtern, dem |
142 | Versenden von Spam oder auch dem Ausführen eines |
143 | DDoS-Angriffs. Backdoors sind im Zusammenspiel mit anderen |
144 | Techniken von erheblichem Gefährdungspotenzial. So können |
145 | mittels eines auf dem Computer installierten |
146 | Backdoorprogramms in Verbindung mit einem gezielten |
147 | Phishing-Angriff Schutzmechanismen des Onlinebanking, wie |
148 | etwa das indizierte Transaktionsnummern(iTAN)-Verfahren, |
149 | außer Kraft gesetzt werden.[FN: BKA, Cybercrime |
150 | Bundeslagebild 2010, S. 10, abrufbar unter: |
151 | http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat |
152 | ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010, |
153 | templateId=raw,property=publicationFile.pdf/cybercrime2010.p |
154 | df] |
155 | Im Bereich Backdoors ist ebenfalls relevant, dass ein |
156 | Großteil der IT-Produkte inzwischen in Ländern hergestellt |
157 | und/oder entwickelt wird, in denen die politische Lage nicht |
158 | ausschließen lässt, dass Hintertüren bereits bei der |
159 | Entwicklung und Produktion in die Hard- oder Software |
160 | implementiert werden. Das betrifft nicht nur Produkte für |
161 | einzelne IT-Systeme, sondern auch Netzwerkkomponenten wie |
162 | beispielsweise die in Unternehmensnetzwerken oder in den |
163 | Backbone-Netzen des Internets eingesetzten Router. |
164 | |
165 | Zur Verdeutlichung kann darauf verwiesen werden, dass in den |
166 | vergangenen Jahren eine Reihe von Fällen „verborgener |
167 | Hintertüren“ sowohl im Hardware- als auch im |
168 | Software-Bereich öffentlich geworden ist. |
169 | |
170 | Dass typischerweise in größeren Stückzahlen bestellte |
171 | Technologie wie Computerchips nicht mehr einzeln getestet |
172 | werden können, begünstigt den Einbau von Hintertüren. 2011 |
173 | wurde etwa bekannt, dass 59 000 Mikrochips aus China, die |
174 | von der US-Armee gekauft worden waren, eine Hintertür |
175 | enthielten. Diese hätte das Abschalten der Chips aus der |
176 | Ferne ermöglicht.[FN: S. Johnson, „The Navy Bought Fake |
177 | Chinese Microchips That Could Have Disarmed U.S. Missiles“, |
178 | abrufbar unter: |
179 | http://www.businessinsider.com/navy-chinese-microchips-weapo |
180 | ns-could-have-been-shut-off-2011-6] Wie man solche |
181 | Hintertüren auffindet, ist daher seit Jahren Teil |
182 | wissenschaftlicher Forschung.[FN: S. Adee, „The Hunt for the |
183 | Kill Switch”, abrufbar unter: |
184 | http://spectrum.ieee.org/semiconductors/design/the-hunt-for- |
185 | the-kill-switch/0] |
186 | Im Januar 2012 wurde bekannt, dass die Hersteller RIM, Nokia |
187 | und Apple den indischen Behörden über eine Hintertür Zugang |
188 | zu Inhalten von Mobilkommunikation verschafft haben. Die |
189 | Hersteller räumten die Zusammenarbeit mit den staatlichen |
190 | Behörden und Militärs ein.[FN: S. „Nokia and Apple have |
191 | provided the Indian Military with backdoor access to |
192 | cellular surveillance”, abrufbar unter: |
193 | http://www.terminalx.org/2012/01/blackberry-nokia-and-apple- |
194 | have.html] |
195 | Zudem werden heute neben den „Backdoors“ auch sogenannte |
196 | „Bugdoors“ verwendet, da die Ausnutzung einer absichtlich |
197 | nicht geschlossenen Sicherheitslücke weniger riskant ist als |
198 | das direkte Hinterlassen einer Hintertür. Bugdoors werden |
199 | ebenfalls von den Herstellern implementiert und können wie |
200 | „verborgene Hintertüren“ benutzt werden. Vergleichbares gilt |
201 | für von Herstellern vergebene Passwörter, die eine ähnliche |
202 | Wirkung wie eine Hintertür entfalten können. |
203 | |
204 | |
205 | I.3.1.6.1.5 Rootkits |
206 | Mit den Backdoors verbunden ist die Funktion der Rootkits, |
207 | die in erster Linie dazu dienen, nach dem Kompromittieren |
208 | des Systems die Entdeckung des Angriffs zu verhindern.[FN: |
209 | Sehr ausführlich: Tanenbaum, Moderne Betriebssysteme, 2009, |
210 | S. 795 ff.] Hierzu können unberechtigte Anmeldevorgänge |
211 | verborgen sowie Prozesse und Dateien vor dem Benutzer, aber |
212 | auch vor Virenscannern versteckt werden. Merkmal von |
213 | Rootkits ist, dass sie im Vergleich zu anderer Schadsoftware |
214 | wesentlich tiefer in das System eingreifen, was ein |
215 | Entdecken und Löschen schwierig bis fast unmöglich |
216 | macht.[FN: Sehr ausführlich: Tanenbaum, Moderne |
217 | Betriebssysteme, 2009, S. 795 ff.] |
218 | |
219 | |
220 | I.3.1.6.1.6 Spyware |
221 | Der Begriff Spyware umfasst Schadsoftware, die darauf |
222 | ausgelegt ist das Nutzerverhalten aufzuzeichnen und diese |
223 | Daten an den Angreifer oder Dritte zu senden, regelmäßig um |
224 | personalisierte Werbung zu ermöglichen oder Marktforschung |
225 | zu betreiben.[FN: Tipton/Krause, Information Security |
226 | Management Handbook, 2007, S. 663.] Oft werden diese |
227 | Informationen in Datenbanken gesammelt und genutzt, um |
228 | gezielt Benutzerprofile zu erstellen.[FN: Erbschloe, |
229 | Trojans, Worms, and Spyware; A Computer Security |
230 | Professionals Guide to Malicious Code, 2005, S. 26 f.] |
231 | |
232 | Spyware wird in den meisten Fällen als Trojanisches Pferd |
233 | zusammen mit einer (vermeintlich) nützlichen Software |
234 | installiert. Außerdem wird Spyware auch mittels |
235 | Drive-by-Download unter Ausnutzung einer Sicherheitslücke im |
236 | Browser oder eines Plug-Ins installiert.[FN: Zu dieser |
237 | Problematik näher unten Abschnitt II.3.1.7.1.] |
238 | |
239 | |
240 | I.3.1.6.2 Andere Angriffsmethoden |
241 | |
242 | Es gibt noch eine Reihe weiterer Angriffsmethoden. Einen |
243 | Schwerpunkt bilden Vorgänge zur Erlangung von Passwörtern |
244 | oder ähnlichen Daten, um so die spätere Kompromittierung des |
245 | Systems erst zu ermöglichen. |
246 | |
247 | So kann etwa mittels Packet Sniffing der gesamte Verkehr |
248 | eines Netzwerks „mitgehört“ werden. Dies ist für Angreifer |
249 | besonders dann von Interesse, wenn Übertragungsprotokolle im |
250 | Einsatz sind, bei denen der Datenverkehr – und insbesondere |
251 | auch die Passwörter – unverschlüsselt übertragen werden.[FN: |
252 | Erickson, Hacking: The Art of Exploitation, 2008, S. 226 |
253 | ff.] Ein offenes oder nicht mit einem ausreichend starken |
254 | Passwort verschlüsseltes WLAN stellt so ein erhebliches |
255 | Sicherheitsrisiko dar. Während offene WLANs im Unternehmens- |
256 | und Privatbereich[FN: Dies ist wohl auch darauf |
257 | zurückzuführen, dass praktisch alle Router heute mit einer |
258 | Anwendersoftware ausgeliefert werden, die bei der ersten |
259 | Einrichtung des Routers automatisch ein sicheres Passwort |
260 | wählt.] inzwischen eher die Ausnahme sein dürften, finden |
261 | sich öffentliche HotSpots etwa in Cafés oder Hotels. Der |
262 | Angriff auf die Datenströme von Computern eines solchen |
263 | öffentlichen HotSpots ist, sofern bei der Nutzung des |
264 | HotSpots keine Verschlüsselungstechniken genutzt werden, |
265 | auch für technisch weniger versierte Angreifer mittels im |
266 | Internet angebotener Tools leicht möglich. Hier steht zu |
267 | erwarten, dass die Angriffe noch vielfältiger werden. Immer |
268 | öfter werden auch wichtige Geschäftsdaten unterwegs |
269 | bearbeitet und versendet und werden so zum möglichen Ziel |
270 | von Sniffing.[FN: S. auch BSI, Lagebericht IT-Sicherheit in |
271 | Deutschland 2011, S. 34, abrufbar unter: |
272 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
273 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
274 | e Hiernach wissen lediglich rund 60 % der vom BSI befragten |
275 | Nutzer, dass ihre mobilen Endgeräte die gleichen |
276 | Sicherheitsanforderungen haben wie ein PC. Einer Studie im |
277 | Auftrag der Wirtschaftsberatungsfirma KPMG zufolge (The |
278 | e-Crime Report 2011), werden geschäftliche Mobiltelefone |
279 | wesentlich häufiger verloren als private |
280 | (http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublica |
281 | tions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2 |
282 | .pdf, S. 15). Dies alles mag als Hinweis darauf verstanden |
283 | werden, wie sorglos Nutzer immer noch dem Trend zu mehr |
284 | Mobilität gegenüberstehen.] |
285 | Ebenfalls zu den nutzbaren Mitteln technisch wenig |
286 | versierter Angreifer gehören sogenannte Vulnerability |
287 | Scanner. Diese Programme dienen dem Zweck, ein Zielsystem |
288 | auf das Vorhandensein von bekannten Sicherheitslücken zu |
289 | untersuchen. Gedacht sind sie in erster Linie zur |
290 | Absicherung des eigenen Systems. In dieser Funktion haben |
291 | sie in der IT-Sicherheit auch erhebliche Bedeutung.[FN: So |
292 | bietet auch das BSI eine Live CD mit der Sicherheitssoftware |
293 | OpenVAS, zu deren Bestandteilen auch ein Vulnerability |
294 | Scanner gehört.] Ein Missbrauch lässt sich jedoch nicht |
295 | ausschließen. |
-
Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.
-
Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.
-
Sie können hier auch eine neue Version des Papiers einbringen.
Vorschlag