Papier: 02.03.01.06 Angriffsmittel

Originalversion

1 Im Folgenden soll ein Überblick über die wesentlichen
2 technischen Angriffsmittel gegeben werden, die IT-Systeme
3 gefährden können:
4
5
6 I.3.1.6.1 Schadsoftware
7 Schadsoftware (engl. Malware) umfasst jede Art von Code, der
8 auf einem fremden Computer das Ausführen schädlicher
9 Funktionen durch einen Angreifer ermöglicht.[FN: Malware =
10 Malicious Software = Bösartige Software; s. zu der Thematik
11 auch Walter, Internetkriminalität, 2008, S. 19.] Innerhalb
12 dieser sehr weiten Definition gibt es eine Reihe von
13 Unterscheidungen:
14
15
16 I.3.1.6.1.1 Viren
17 Unter Viren werden sich selbst vermehrende Computerprogramme
18 verstanden, deren Ziel in erster Linie die Verbreitung des
19 eigenen Codes, also die Vermehrung und die Ausführung von
20 Schadcode ist.[FN: Eckert, IT-Sicherheit: Konzepte –
21 Verfahren – Protokolle, 2009, S. 45 f.] Das namensgebende
22 Charakteristikum eines Virus ist, dass er sich stets eines
23 Wirtes in Form eines anderen Programmes bedient, in dessen
24 Programmcode er sich hineinkopiert und dann mit ausgeführt
25 wird, sobald das Wirtsprogramm gestartet wird.[FN: Slade,
26 in: Bidgoli, Encyclopedia of Informationsystems Volume 1,
27 2002, S. 256.] Als Wirt können alle ausführbaren Teile eines
28 IT-Systems dienen. Hierzu gehören Programmdateien, Skripte,
29 Makros in Dokumenten, aber auch weniger offensichtlich
30 einsehbare Bereiche, wie Programmbibliotheken oder
31 Bootsektoren, die für den Anwender nur schwer als
32 ausführbarer Teil eines Programms erkennbar sind.[FN: S. zu
33 den verschiedenen Typen von Viren: Slade, in: Bidgoli,
34 Encyclopedia of Informationsystems Volume 1, 2002, S. 258
35 f.]
36
37 Wird das Wirtsprogramm gestartet, laufen in aller Regel zwei
38 Routinen ab: Zum einen die Schadroutine, die den Schadcode
39 ausführt, und zum anderen die Verbreitungsroutine, bei der
40 der Virus sich selbst in weitere, noch nicht infizierte
41 Programme hineinkopiert.[FN: Tipton/Krause, Information
42 Security Management Handbook, 2007, S. 100.]
43
44 Die Verbreitungsmethoden von Viren hängen von der
45 Verbreitung der Wirtsprogramme ab. Insofern ist der Weg, auf
46 dem Viren verbreitet werden können, beliebig und korreliert
47 regelmäßig mit der typischen Art, wie Programmcode
48 weitergegeben wird.[FN: So lässt sich sagen, dass die
49 Weitergabe eines Virus noch immer der Interaktion eines
50 Menschen bedarf. Vacca, Computer and Information Security
51 Handbook, 2009, S. 56.] So hat sich die Art der Verbreitung
52 von Viren ebenso gewandelt wie die Art der Verbreitung von
53 Programmcode. Während in der Vergangenheit noch die
54 Weitergabe mittels Diskette oder CD-ROM üblich war, steht
55 heute, im Internetzeitalter, die Verbreitung über E-Mails,
56 FTP-Server, Web-Server und Filesharing-Netzwerke im
57 Vordergrund. Viren spielen nach wie vor insbesondere in
58 speziellen Bereichen – wie etwa bei eingebetteten Systemen
59 oder Betriebssystemen mobiler Endgeräte – eine erhebliche
60 Rolle.[FN: Auch das Überspringen eines Virus vom PC auf ein
61 mobiles Endgerät stellt technisch kein Problem dar, auch
62 wenn derartige Fälle in der Praxis, soweit ersichtlich, noch
63 nicht beobachtet wurden, s. BSI, Lagebericht IT-Sicherheit
64 in Deutschland 2011, S. 25, abrufbar unter:
65 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
66 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
67 nFile; zumindest für den Bereich der Privatanwender gilt,
68 dass Virenscanner einen durchaus effektiven Schutz bieten,
69 sofern sie den Vorgaben entsprechend eingesetzt werden. S.
70 hierzu Pfleeger/Pfleeger, Analyzing Computer Security: A
71 Threat / Vulnerability / Countermeasure Approach, 2011, S.
72 159 f.]
73
74
75 I.3.1.6.1.2 Würmer
76 Während Viren auf eine Verbreitung der von ihnen infizierten
77 Dateien angewiesen sind, haben Computerwürmer die
78 Möglichkeit, die , bereitgestellte Netzinfrastruktur des
79 Systems, auf dem sie sich befinden, zu nutzen, um sich
80 eigenständig über ein Netzwerk zu verbreiten.[FN: Slade, in:
81 Bidgoli, Encyclopedia of Informationsystems Volume 1, 2002,
82 S. 256, S. 255.] So erklärt sich auch die gänzlich andere
83 Angriffsstrategie eines Computerwurms gegenüber der eines
84 Virus. Während der Virus zum Ziel hat, möglichst viele
85 andere Dateien zu infizieren, da so die Wahrscheinlichkeit
86 steigt, auf ein anderes, noch nicht infiziertes System
87 übertragen zu werden, nisten sich Würmer in den meisten
88 Fällen unauffällig im System ein. Je länger der Wurm
89 unbemerkt bleibt, umso größer ist der Erfolg, der in der
90 Ausführung des Schadcodes und in der Weiterverbreitung des
91 Wurms liegt.[FN: Pfleeger/Pfleeger, Analyzing Computer
92 Security: A Threat / Vulnerability / Countermeasure
93 Approach, 2011, S. 136 f.] Das Gefahrenpotenzial von Würmern
94 steigt noch immer. Dies ist zum einen auf die immer
95 ausgefeiltere Technik, mit der diese zur Umgehung von
96 Sicherheitsmechansimen programmiert werden, zurückzuführen;
97 zum anderen auf die immer weitere Verbreitung von
98 Internetanschlüssen und damit auch von Würmern.
99
100
101 I.3.1.6.1.3 Trojaner
102 Ein Trojaner, auch Trojanisches Pferd genannt, ist eine
103 Software, welche vom Benutzer im Glauben ausgeführt wird
104 dass es sich um ein nützliches Programm handele,.[FN: Der
105 Begriff Trojaner wird nicht einheitlich gebraucht. Oftmals
106 werden auch Schadprogramme mit der Funktion einer Backdoor
107 auch dann als Trojaner bezeichnet, wenn sie sich gerade
108 nicht den Anschein von sinnvoller Software geben. Dies ist
109 jedoch angesichts der mythologischen Herleitung ungenau.
110 Indes enthalten Trojaner regelmäßig Backdoorfunktionalität,
111 und Backdoorsoftware kommt als Trojaner auf den Computer. So
112 wie hier etwa auch Newman, Computer Security, 2010, S. 40.]
113 Auf diese Weise implementiert sich ungewollt ein
114 Schadprogramm. Heutige Varianten sind häufig sehr flexibel.
115 Teilweise bieten sie die Möglichkeit, Schadcode nachzuladen
116 und damit durch zusätzliche Funktionen mehr Schaden
117 anzurichten; sie können sich nicht selbst verbreiten.[FN:
118 Vgl.
119 https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g0
120 5/g05021.html] Die Grenzziehung zwischen Viren und Trojanern
121 ist nicht trennscharf, aber auch nicht erforderlich. Zu den
122 häufigsten Funktionen gehören das Ausspionieren von Daten
123 sowie das Überwachen von Benutzereingaben wie Passwörtern.
124 Oftmals enthalten Trojaner auch
125 Backdoor-Funktionalitäten.[FN: Tanenbaum, Moderne
126 Betriebssysteme, 2009, S. 772 ff.; s. weiter im Anschluss.]
127
128
129 I.3.1.6.1.4 Backdoors
130 Eine Backdoor ermöglicht den alternativen, unüblichen Zugang
131 zu einem IT-System,[FN: Whitman/Mattord, Principles of
132 Information Security, 2009, S. 58 f.] den ein Hersteller
133 setzen oder ein feindlicher Angreifer hinzufügen kann.
134 Mittels einer solchen Hintertür erhält ein Angreifer Zugriff
135 auf das fremde System und kann mit ihm umgehen, als sei er
136 ein berechtigter Benutzer.[FN: Vacca, Computer and
137 Information Security Handbook, 2009, S. 295.] Zu den
138 typischen Schadroutinen gehört hier das Nachladen weiterer
139 schädlicher Software sowie das Löschen oder Verändern
140 bestehender Dateien.Darüber hinaus dienen Backdoors auch dem
141 Ausspähen von Benutzereingaben wie Passwörtern, dem
142 Versenden von Spam oder auch dem Ausführen eines
143 DDoS-Angriffs. Backdoors sind im Zusammenspiel mit anderen
144 Techniken von erheblichem Gefährdungspotenzial. So können
145 mittels eines auf dem Computer installierten
146 Backdoorprogramms in Verbindung mit einem gezielten
147 Phishing-Angriff Schutzmechanismen des Onlinebanking, wie
148 etwa das indizierte Transaktionsnummern(iTAN)-Verfahren,
149 außer Kraft gesetzt werden.[FN: BKA, Cybercrime
150 Bundeslagebild 2010, S. 10, abrufbar unter:
151 http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat
152 ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,
153 templateId=raw,property=publicationFile.pdf/cybercrime2010.p
154 df]
155 Im Bereich Backdoors ist ebenfalls relevant, dass ein
156 Großteil der IT-Produkte inzwischen in Ländern hergestellt
157 und/oder entwickelt wird, in denen die politische Lage nicht
158 ausschließen lässt, dass Hintertüren bereits bei der
159 Entwicklung und Produktion in die Hard- oder Software
160 implementiert werden. Das betrifft nicht nur Produkte für
161 einzelne IT-Systeme, sondern auch Netzwerkkomponenten wie
162 beispielsweise die in Unternehmensnetzwerken oder in den
163 Backbone-Netzen des Internets eingesetzten Router.
164
165 Zur Verdeutlichung kann darauf verwiesen werden, dass in den
166 vergangenen Jahren eine Reihe von Fällen „verborgener
167 Hintertüren“ sowohl im Hardware- als auch im
168 Software-Bereich öffentlich geworden ist.
169
170 Dass typischerweise in größeren Stückzahlen bestellte
171 Technologie wie Computerchips nicht mehr einzeln getestet
172 werden können, begünstigt den Einbau von Hintertüren. 2011
173 wurde etwa bekannt, dass 59 000 Mikrochips aus China, die
174 von der US-Armee gekauft worden waren, eine Hintertür
175 enthielten. Diese hätte das Abschalten der Chips aus der
176 Ferne ermöglicht.[FN: S. Johnson, „The Navy Bought Fake
177 Chinese Microchips That Could Have Disarmed U.S. Missiles“,
178 abrufbar unter:
179 http://www.businessinsider.com/navy-chinese-microchips-weapo
180 ns-could-have-been-shut-off-2011-6] Wie man solche
181 Hintertüren auffindet, ist daher seit Jahren Teil
182 wissenschaftlicher Forschung.[FN: S. Adee, „The Hunt for the
183 Kill Switch”, abrufbar unter:
184 http://spectrum.ieee.org/semiconductors/design/the-hunt-for-
185 the-kill-switch/0]
186 Im Januar 2012 wurde bekannt, dass die Hersteller RIM, Nokia
187 und Apple den indischen Behörden über eine Hintertür Zugang
188 zu Inhalten von Mobilkommunikation verschafft haben. Die
189 Hersteller räumten die Zusammenarbeit mit den staatlichen
190 Behörden und Militärs ein.[FN: S. „Nokia and Apple have
191 provided the Indian Military with backdoor access to
192 cellular surveillance”, abrufbar unter:
193 http://www.terminalx.org/2012/01/blackberry-nokia-and-apple-
194 have.html]
195 Zudem werden heute neben den „Backdoors“ auch sogenannte
196 „Bugdoors“ verwendet, da die Ausnutzung einer absichtlich
197 nicht geschlossenen Sicherheitslücke weniger riskant ist als
198 das direkte Hinterlassen einer Hintertür. Bugdoors werden
199 ebenfalls von den Herstellern implementiert und können wie
200 „verborgene Hintertüren“ benutzt werden. Vergleichbares gilt
201 für von Herstellern vergebene Passwörter, die eine ähnliche
202 Wirkung wie eine Hintertür entfalten können.
203
204
205 I.3.1.6.1.5 Rootkits
206 Mit den Backdoors verbunden ist die Funktion der Rootkits,
207 die in erster Linie dazu dienen, nach dem Kompromittieren
208 des Systems die Entdeckung des Angriffs zu verhindern.[FN:
209 Sehr ausführlich: Tanenbaum, Moderne Betriebssysteme, 2009,
210 S. 795 ff.] Hierzu können unberechtigte Anmeldevorgänge
211 verborgen sowie Prozesse und Dateien vor dem Benutzer, aber
212 auch vor Virenscannern versteckt werden. Merkmal von
213 Rootkits ist, dass sie im Vergleich zu anderer Schadsoftware
214 wesentlich tiefer in das System eingreifen, was ein
215 Entdecken und Löschen schwierig bis fast unmöglich
216 macht.[FN: Sehr ausführlich: Tanenbaum, Moderne
217 Betriebssysteme, 2009, S. 795 ff.]
218
219
220 I.3.1.6.1.6 Spyware
221 Der Begriff Spyware umfasst Schadsoftware, die darauf
222 ausgelegt ist das Nutzerverhalten aufzuzeichnen und diese
223 Daten an den Angreifer oder Dritte zu senden, regelmäßig um
224 personalisierte Werbung zu ermöglichen oder Marktforschung
225 zu betreiben.[FN: Tipton/Krause, Information Security
226 Management Handbook, 2007, S. 663.] Oft werden diese
227 Informationen in Datenbanken gesammelt und genutzt, um
228 gezielt Benutzerprofile zu erstellen.[FN: Erbschloe,
229 Trojans, Worms, and Spyware; A Computer Security
230 Professionals Guide to Malicious Code, 2005, S. 26 f.]
231
232 Spyware wird in den meisten Fällen als Trojanisches Pferd
233 zusammen mit einer (vermeintlich) nützlichen Software
234 installiert. Außerdem wird Spyware auch mittels
235 Drive-by-Download unter Ausnutzung einer Sicherheitslücke im
236 Browser oder eines Plug-Ins installiert.[FN: Zu dieser
237 Problematik näher unten Abschnitt II.3.1.7.1.]
238
239
240 I.3.1.6.2 Andere Angriffsmethoden
241
242 Es gibt noch eine Reihe weiterer Angriffsmethoden. Einen
243 Schwerpunkt bilden Vorgänge zur Erlangung von Passwörtern
244 oder ähnlichen Daten, um so die spätere Kompromittierung des
245 Systems erst zu ermöglichen.
246
247 So kann etwa mittels Packet Sniffing der gesamte Verkehr
248 eines Netzwerks „mitgehört“ werden. Dies ist für Angreifer
249 besonders dann von Interesse, wenn Übertragungsprotokolle im
250 Einsatz sind, bei denen der Datenverkehr – und insbesondere
251 auch die Passwörter – unverschlüsselt übertragen werden.[FN:
252 Erickson, Hacking: The Art of Exploitation, 2008, S. 226
253 ff.] Ein offenes oder nicht mit einem ausreichend starken
254 Passwort verschlüsseltes WLAN stellt so ein erhebliches
255 Sicherheitsrisiko dar. Während offene WLANs im Unternehmens-
256 und Privatbereich[FN: Dies ist wohl auch darauf
257 zurückzuführen, dass praktisch alle Router heute mit einer
258 Anwendersoftware ausgeliefert werden, die bei der ersten
259 Einrichtung des Routers automatisch ein sicheres Passwort
260 wählt.] inzwischen eher die Ausnahme sein dürften, finden
261 sich öffentliche HotSpots etwa in Cafés oder Hotels. Der
262 Angriff auf die Datenströme von Computern eines solchen
263 öffentlichen HotSpots ist, sofern bei der Nutzung des
264 HotSpots keine Verschlüsselungstechniken genutzt werden,
265 auch für technisch weniger versierte Angreifer mittels im
266 Internet angebotener Tools leicht möglich. Hier steht zu
267 erwarten, dass die Angriffe noch vielfältiger werden. Immer
268 öfter werden auch wichtige Geschäftsdaten unterwegs
269 bearbeitet und versendet und werden so zum möglichen Ziel
270 von Sniffing.[FN: S. auch BSI, Lagebericht IT-Sicherheit in
271 Deutschland 2011, S. 34, abrufbar unter:
272 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
273 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
274 e Hiernach wissen lediglich rund 60 % der vom BSI befragten
275 Nutzer, dass ihre mobilen Endgeräte die gleichen
276 Sicherheitsanforderungen haben wie ein PC. Einer Studie im
277 Auftrag der Wirtschaftsberatungsfirma KPMG zufolge (The
278 e-Crime Report 2011), werden geschäftliche Mobiltelefone
279 wesentlich häufiger verloren als private
280 (http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublica
281 tions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2
282 .pdf, S. 15). Dies alles mag als Hinweis darauf verstanden
283 werden, wie sorglos Nutzer immer noch dem Trend zu mehr
284 Mobilität gegenüberstehen.]
285 Ebenfalls zu den nutzbaren Mitteln technisch wenig
286 versierter Angreifer gehören sogenannte Vulnerability
287 Scanner. Diese Programme dienen dem Zweck, ein Zielsystem
288 auf das Vorhandensein von bekannten Sicherheitslücken zu
289 untersuchen. Gedacht sind sie in erster Linie zur
290 Absicherung des eigenen Systems. In dieser Funktion haben
291 sie in der IT-Sicherheit auch erhebliche Bedeutung.[FN: So
292 bietet auch das BSI eine Live CD mit der Sicherheitssoftware
293 OpenVAS, zu deren Bestandteilen auch ein Vulnerability
294 Scanner gehört.] Ein Missbrauch lässt sich jedoch nicht
295 ausschließen.

Der Text verglichen mit der Originalversion

1 Im Folgenden soll ein Überblick über die wesentlichen
2 technischen Angriffsmittel gegeben werden, die IT-Systeme
3 gefährden können:
4
5
6 I.3.1.6.1 Schadsoftware
7 Schadsoftware (engl. Malware) umfasst jede Art von Code, der
8 auf einem fremden Computer das Ausführen schädlicher
9 Funktionen durch einen Angreifer ermöglicht.[FN: Malware =
10 Malicious Software = Bösartige Software; s. zu der Thematik
11 auch Walter, Internetkriminalität, 2008, S. 19.] Innerhalb
12 dieser sehr weiten Definition gibt es eine Reihe von
13 Unterscheidungen:
14
15
16 I.3.1.6.1.1 Viren
17 Unter Viren werden sich selbst vermehrende Computerprogramme
18 verstanden, deren Ziel in erster Linie die Verbreitung des
19 eigenen Codes, also die Vermehrung und die Ausführung von
20 Schadcode ist.[FN: Eckert, IT-Sicherheit: Konzepte –
21 Verfahren – Protokolle, 2009, S. 45 f.] Das namensgebende
22 Charakteristikum eines Virus ist, dass er sich stets eines
23 Wirtes in Form eines anderen Programmes bedient, in dessen
24 Programmcode er sich hineinkopiert und dann mit ausgeführt
25 wird, sobald das Wirtsprogramm gestartet wird.[FN: Slade,
26 in: Bidgoli, Encyclopedia of Informationsystems Volume 1,
27 2002, S. 256.] Als Wirt können alle ausführbaren Teile eines
28 IT-Systems dienen. Hierzu gehören Programmdateien, Skripte,
29 Makros in Dokumenten, aber auch weniger offensichtlich
30 einsehbare Bereiche, wie Programmbibliotheken oder
31 Bootsektoren, die für den Anwender nur schwer als
32 ausführbarer Teil eines Programms erkennbar sind.[FN: S. zu
33 den verschiedenen Typen von Viren: Slade, in: Bidgoli,
34 Encyclopedia of Informationsystems Volume 1, 2002, S. 258
35 f.]
36
37 Wird das Wirtsprogramm gestartet, laufen in aller Regel zwei
38 Routinen ab: Zum einen die Schadroutine, die den Schadcode
39 ausführt, und zum anderen die Verbreitungsroutine, bei der
40 der Virus sich selbst in weitere, noch nicht infizierte
41 Programme hineinkopiert.[FN: Tipton/Krause, Information
42 Security Management Handbook, 2007, S. 100.]
43
44 Die Verbreitungsmethoden von Viren hängen von der
45 Verbreitung der Wirtsprogramme ab. Insofern ist der Weg, auf
46 dem Viren verbreitet werden können, beliebig und korreliert
47 regelmäßig mit der typischen Art, wie Programmcode
48 weitergegeben wird.[FN: So lässt sich sagen, dass die
49 Weitergabe eines Virus noch immer der Interaktion eines
50 Menschen bedarf. Vacca, Computer and Information Security
51 Handbook, 2009, S. 56.] So hat sich die Art der Verbreitung
52 von Viren ebenso gewandelt wie die Art der Verbreitung von
53 Programmcode. Während in der Vergangenheit noch die
54 Weitergabe mittels Diskette oder CD-ROM üblich war, steht
55 heute, im Internetzeitalter, die Verbreitung über E-Mails,
56 FTP-Server, Web-Server und Filesharing-Netzwerke im
57 Vordergrund. Viren spielen nach wie vor insbesondere in
58 speziellen Bereichen – wie etwa bei eingebetteten Systemen
59 oder Betriebssystemen mobiler Endgeräte – eine erhebliche
60 Rolle.[FN: Auch das Überspringen eines Virus vom PC auf ein
61 mobiles Endgerät stellt technisch kein Problem dar, auch
62 wenn derartige Fälle in der Praxis, soweit ersichtlich, noch
63 nicht beobachtet wurden, s. BSI, Lagebericht IT-Sicherheit
64 in Deutschland 2011, S. 25, abrufbar unter:
65 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
66 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
67 nFile; zumindest für den Bereich der Privatanwender gilt,
68 dass Virenscanner einen durchaus effektiven Schutz bieten,
69 sofern sie den Vorgaben entsprechend eingesetzt werden. S.
70 hierzu Pfleeger/Pfleeger, Analyzing Computer Security: A
71 Threat / Vulnerability / Countermeasure Approach, 2011, S.
72 159 f.]
73
74
75 I.3.1.6.1.2 Würmer
76 Während Viren auf eine Verbreitung der von ihnen infizierten
77 Dateien angewiesen sind, haben Computerwürmer die
78 Möglichkeit, die , bereitgestellte Netzinfrastruktur des
79 Systems, auf dem sie sich befinden, zu nutzen, um sich
80 eigenständig über ein Netzwerk zu verbreiten.[FN: Slade, in:
81 Bidgoli, Encyclopedia of Informationsystems Volume 1, 2002,
82 S. 256, S. 255.] So erklärt sich auch die gänzlich andere
83 Angriffsstrategie eines Computerwurms gegenüber der eines
84 Virus. Während der Virus zum Ziel hat, möglichst viele
85 andere Dateien zu infizieren, da so die Wahrscheinlichkeit
86 steigt, auf ein anderes, noch nicht infiziertes System
87 übertragen zu werden, nisten sich Würmer in den meisten
88 Fällen unauffällig im System ein. Je länger der Wurm
89 unbemerkt bleibt, umso größer ist der Erfolg, der in der
90 Ausführung des Schadcodes und in der Weiterverbreitung des
91 Wurms liegt.[FN: Pfleeger/Pfleeger, Analyzing Computer
92 Security: A Threat / Vulnerability / Countermeasure
93 Approach, 2011, S. 136 f.] Das Gefahrenpotenzial von Würmern
94 steigt noch immer. Dies ist zum einen auf die immer
95 ausgefeiltere Technik, mit der diese zur Umgehung von
96 Sicherheitsmechansimen programmiert werden, zurückzuführen;
97 zum anderen auf die immer weitere Verbreitung von
98 Internetanschlüssen und damit auch von Würmern.
99
100
101 I.3.1.6.1.3 Trojaner
102 Ein Trojaner, auch Trojanisches Pferd genannt, ist eine
103 Software, welche vom Benutzer im Glauben ausgeführt wird
104 dass es sich um ein nützliches Programm handele,.[FN: Der
105 Begriff Trojaner wird nicht einheitlich gebraucht. Oftmals
106 werden auch Schadprogramme mit der Funktion einer Backdoor
107 auch dann als Trojaner bezeichnet, wenn sie sich gerade
108 nicht den Anschein von sinnvoller Software geben. Dies ist
109 jedoch angesichts der mythologischen Herleitung ungenau.
110 Indes enthalten Trojaner regelmäßig Backdoorfunktionalität,
111 und Backdoorsoftware kommt als Trojaner auf den Computer. So
112 wie hier etwa auch Newman, Computer Security, 2010, S. 40.]
113 Auf diese Weise implementiert sich ungewollt ein
114 Schadprogramm. Heutige Varianten sind häufig sehr flexibel.
115 Teilweise bieten sie die Möglichkeit, Schadcode nachzuladen
116 und damit durch zusätzliche Funktionen mehr Schaden
117 anzurichten; sie können sich nicht selbst verbreiten.[FN:
118 Vgl.
119 https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g0
120 5/g05021.html] Die Grenzziehung zwischen Viren und Trojanern
121 ist nicht trennscharf, aber auch nicht erforderlich. Zu den
122 häufigsten Funktionen gehören das Ausspionieren von Daten
123 sowie das Überwachen von Benutzereingaben wie Passwörtern.
124 Oftmals enthalten Trojaner auch
125 Backdoor-Funktionalitäten.[FN: Tanenbaum, Moderne
126 Betriebssysteme, 2009, S. 772 ff.; s. weiter im Anschluss.]
127
128
129 I.3.1.6.1.4 Backdoors
130 Eine Backdoor ermöglicht den alternativen, unüblichen Zugang
131 zu einem IT-System,[FN: Whitman/Mattord, Principles of
132 Information Security, 2009, S. 58 f.] den ein Hersteller
133 setzen oder ein feindlicher Angreifer hinzufügen kann.
134 Mittels einer solchen Hintertür erhält ein Angreifer Zugriff
135 auf das fremde System und kann mit ihm umgehen, als sei er
136 ein berechtigter Benutzer.[FN: Vacca, Computer and
137 Information Security Handbook, 2009, S. 295.] Zu den
138 typischen Schadroutinen gehört hier das Nachladen weiterer
139 schädlicher Software sowie das Löschen oder Verändern
140 bestehender Dateien.Darüber hinaus dienen Backdoors auch dem
141 Ausspähen von Benutzereingaben wie Passwörtern, dem
142 Versenden von Spam oder auch dem Ausführen eines
143 DDoS-Angriffs. Backdoors sind im Zusammenspiel mit anderen
144 Techniken von erheblichem Gefährdungspotenzial. So können
145 mittels eines auf dem Computer installierten
146 Backdoorprogramms in Verbindung mit einem gezielten
147 Phishing-Angriff Schutzmechanismen des Onlinebanking, wie
148 etwa das indizierte Transaktionsnummern(iTAN)-Verfahren,
149 außer Kraft gesetzt werden.[FN: BKA, Cybercrime
150 Bundeslagebild 2010, S. 10, abrufbar unter:
151 http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat
152 ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,
153 templateId=raw,property=publicationFile.pdf/cybercrime2010.p
154 df]
155 Im Bereich Backdoors ist ebenfalls relevant, dass ein
156 Großteil der IT-Produkte inzwischen in Ländern hergestellt
157 und/oder entwickelt wird, in denen die politische Lage nicht
158 ausschließen lässt, dass Hintertüren bereits bei der
159 Entwicklung und Produktion in die Hard- oder Software
160 implementiert werden. Das betrifft nicht nur Produkte für
161 einzelne IT-Systeme, sondern auch Netzwerkkomponenten wie
162 beispielsweise die in Unternehmensnetzwerken oder in den
163 Backbone-Netzen des Internets eingesetzten Router.
164
165 Zur Verdeutlichung kann darauf verwiesen werden, dass in den
166 vergangenen Jahren eine Reihe von Fällen „verborgener
167 Hintertüren“ sowohl im Hardware- als auch im
168 Software-Bereich öffentlich geworden ist.
169
170 Dass typischerweise in größeren Stückzahlen bestellte
171 Technologie wie Computerchips nicht mehr einzeln getestet
172 werden können, begünstigt den Einbau von Hintertüren. 2011
173 wurde etwa bekannt, dass 59 000 Mikrochips aus China, die
174 von der US-Armee gekauft worden waren, eine Hintertür
175 enthielten. Diese hätte das Abschalten der Chips aus der
176 Ferne ermöglicht.[FN: S. Johnson, „The Navy Bought Fake
177 Chinese Microchips That Could Have Disarmed U.S. Missiles“,
178 abrufbar unter:
179 http://www.businessinsider.com/navy-chinese-microchips-weapo
180 ns-could-have-been-shut-off-2011-6] Wie man solche
181 Hintertüren auffindet, ist daher seit Jahren Teil
182 wissenschaftlicher Forschung.[FN: S. Adee, „The Hunt for the
183 Kill Switch”, abrufbar unter:
184 http://spectrum.ieee.org/semiconductors/design/the-hunt-for-
185 the-kill-switch/0]
186 Im Januar 2012 wurde bekannt, dass die Hersteller RIM, Nokia
187 und Apple den indischen Behörden über eine Hintertür Zugang
188 zu Inhalten von Mobilkommunikation verschafft haben. Die
189 Hersteller räumten die Zusammenarbeit mit den staatlichen
190 Behörden und Militärs ein.[FN: S. „Nokia and Apple have
191 provided the Indian Military with backdoor access to
192 cellular surveillance”, abrufbar unter:
193 http://www.terminalx.org/2012/01/blackberry-nokia-and-apple-
194 have.html]
195 Zudem werden heute neben den „Backdoors“ auch sogenannte
196 „Bugdoors“ verwendet, da die Ausnutzung einer absichtlich
197 nicht geschlossenen Sicherheitslücke weniger riskant ist als
198 das direkte Hinterlassen einer Hintertür. Bugdoors werden
199 ebenfalls von den Herstellern implementiert und können wie
200 „verborgene Hintertüren“ benutzt werden. Vergleichbares gilt
201 für von Herstellern vergebene Passwörter, die eine ähnliche
202 Wirkung wie eine Hintertür entfalten können.
203
204
205 I.3.1.6.1.5 Rootkits
206 Mit den Backdoors verbunden ist die Funktion der Rootkits,
207 die in erster Linie dazu dienen, nach dem Kompromittieren
208 des Systems die Entdeckung des Angriffs zu verhindern.[FN:
209 Sehr ausführlich: Tanenbaum, Moderne Betriebssysteme, 2009,
210 S. 795 ff.] Hierzu können unberechtigte Anmeldevorgänge
211 verborgen sowie Prozesse und Dateien vor dem Benutzer, aber
212 auch vor Virenscannern versteckt werden. Merkmal von
213 Rootkits ist, dass sie im Vergleich zu anderer Schadsoftware
214 wesentlich tiefer in das System eingreifen, was ein
215 Entdecken und Löschen schwierig bis fast unmöglich
216 macht.[FN: Sehr ausführlich: Tanenbaum, Moderne
217 Betriebssysteme, 2009, S. 795 ff.]
218
219
220 I.3.1.6.1.6 Spyware
221 Der Begriff Spyware umfasst Schadsoftware, die darauf
222 ausgelegt ist das Nutzerverhalten aufzuzeichnen und diese
223 Daten an den Angreifer oder Dritte zu senden, regelmäßig um
224 personalisierte Werbung zu ermöglichen oder Marktforschung
225 zu betreiben.[FN: Tipton/Krause, Information Security
226 Management Handbook, 2007, S. 663.] Oft werden diese
227 Informationen in Datenbanken gesammelt und genutzt, um
228 gezielt Benutzerprofile zu erstellen.[FN: Erbschloe,
229 Trojans, Worms, and Spyware; A Computer Security
230 Professionals Guide to Malicious Code, 2005, S. 26 f.]
231
232 Spyware wird in den meisten Fällen als Trojanisches Pferd
233 zusammen mit einer (vermeintlich) nützlichen Software
234 installiert. Außerdem wird Spyware auch mittels
235 Drive-by-Download unter Ausnutzung einer Sicherheitslücke im
236 Browser oder eines Plug-Ins installiert.[FN: Zu dieser
237 Problematik näher unten Abschnitt II.3.1.7.1.]
238
239
240 I.3.1.6.2 Andere Angriffsmethoden
241
242 Es gibt noch eine Reihe weiterer Angriffsmethoden. Einen
243 Schwerpunkt bilden Vorgänge zur Erlangung von Passwörtern
244 oder ähnlichen Daten, um so die spätere Kompromittierung des
245 Systems erst zu ermöglichen.
246
247 So kann etwa mittels Packet Sniffing der gesamte Verkehr
248 eines Netzwerks „mitgehört“ werden. Dies ist für Angreifer
249 besonders dann von Interesse, wenn Übertragungsprotokolle im
250 Einsatz sind, bei denen der Datenverkehr – und insbesondere
251 auch die Passwörter – unverschlüsselt übertragen werden.[FN:
252 Erickson, Hacking: The Art of Exploitation, 2008, S. 226
253 ff.] Ein offenes oder nicht mit einem ausreichend starken
254 Passwort verschlüsseltes WLAN stellt so ein erhebliches
255 Sicherheitsrisiko dar. Während offene WLANs im Unternehmens-
256 und Privatbereich[FN: Dies ist wohl auch darauf
257 zurückzuführen, dass praktisch alle Router heute mit einer
258 Anwendersoftware ausgeliefert werden, die bei der ersten
259 Einrichtung des Routers automatisch ein sicheres Passwort
260 wählt.] inzwischen eher die Ausnahme sein dürften, finden
261 sich öffentliche HotSpots etwa in Cafés oder Hotels. Der
262 Angriff auf die Datenströme von Computern eines solchen
263 öffentlichen HotSpots ist, sofern bei der Nutzung des
264 HotSpots keine Verschlüsselungstechniken genutzt werden,
265 auch für technisch weniger versierte Angreifer mittels im
266 Internet angebotener Tools leicht möglich. Hier steht zu
267 erwarten, dass die Angriffe noch vielfältiger werden. Immer
268 öfter werden auch wichtige Geschäftsdaten unterwegs
269 bearbeitet und versendet und werden so zum möglichen Ziel
270 von Sniffing.[FN: S. auch BSI, Lagebericht IT-Sicherheit in
271 Deutschland 2011, S. 34, abrufbar unter:
272 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
273 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
274 e Hiernach wissen lediglich rund 60 % der vom BSI befragten
275 Nutzer, dass ihre mobilen Endgeräte die gleichen
276 Sicherheitsanforderungen haben wie ein PC. Einer Studie im
277 Auftrag der Wirtschaftsberatungsfirma KPMG zufolge (The
278 e-Crime Report 2011), werden geschäftliche Mobiltelefone
279 wesentlich häufiger verloren als private
280 (http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublica
281 tions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2
282 .pdf, S. 15). Dies alles mag als Hinweis darauf verstanden
283 werden, wie sorglos Nutzer immer noch dem Trend zu mehr
284 Mobilität gegenüberstehen.]
285 Ebenfalls zu den nutzbaren Mitteln technisch wenig
286 versierter Angreifer gehören sogenannte Vulnerability
287 Scanner. Diese Programme dienen dem Zweck, ein Zielsystem
288 auf das Vorhandensein von bekannten Sicherheitslücken zu
289 untersuchen. Gedacht sind sie in erster Linie zur
290 Absicherung des eigenen Systems. In dieser Funktion haben
291 sie in der IT-Sicherheit auch erhebliche Bedeutung.[FN: So
292 bietet auch das BSI eine Live CD mit der Sicherheitssoftware
293 OpenVAS, zu deren Bestandteilen auch ein Vulnerability
294 Scanner gehört.] Ein Missbrauch lässt sich jedoch nicht
295 ausschließen.

Vorschlag

  1. Bewerten Sie die Original- und die eingebrachten Versionen eines Papiers, indem Sie über die Pfeile Ihre Zustimmung (hoch) oder Ablehnung (runter) ausdrücken. Sie können dabei auch mehreren Versionen zustimmen oder diese ablehnen.

  2. Wählen Sie, ob Änderungen im Vergleich zur Originalversion hervorgehoben werden sollen.

  3. Sie können hier auch eine neue Version des Papiers einbringen.