| 1 | Im Folgenden soll ein Überblick über die wesentlichen |
| 2 | technischen Angriffsmittel gegeben werden, die IT-Systeme |
| 3 | gefährden können: |
| 4 | |
| 5 | |
| 6 | I.3.1.6.1 Schadsoftware |
| 7 | Schadsoftware (engl. Malware) umfasst jede Art von Code, der |
| 8 | auf einem fremden Computer das Ausführen schädlicher |
| 9 | Funktionen durch einen Angreifer ermöglicht.[FN: Malware = |
| 10 | Malicious Software = Bösartige Software; s. zu der Thematik |
| 11 | auch Walter, Internetkriminalität, 2008, S. 19.] Innerhalb |
| 12 | dieser sehr weiten Definition gibt es eine Reihe von |
| 13 | Unterscheidungen: |
| 14 | |
| 15 | |
| 16 | I.3.1.6.1.1 Viren |
| 17 | Unter Viren werden sich selbst vermehrende Computerprogramme |
| 18 | verstanden, deren Ziel in erster Linie die Verbreitung des |
| 19 | eigenen Codes, also die Vermehrung und die Ausführung von |
| 20 | Schadcode ist.[FN: Eckert, IT-Sicherheit: Konzepte – |
| 21 | Verfahren – Protokolle, 2009, S. 45 f.] Das namensgebende |
| 22 | Charakteristikum eines Virus ist, dass er sich stets eines |
| 23 | Wirtes in Form eines anderen Programmes bedient, in dessen |
| 24 | Programmcode er sich hineinkopiert und dann mit ausgeführt |
| 25 | wird, sobald das Wirtsprogramm gestartet wird.[FN: Slade, |
| 26 | in: Bidgoli, Encyclopedia of Informationsystems Volume 1, |
| 27 | 2002, S. 256.] Als Wirt können alle ausführbaren Teile eines |
| 28 | IT-Systems dienen. Hierzu gehören Programmdateien, Skripte, |
| 29 | Makros in Dokumenten, aber auch weniger offensichtlich |
| 30 | einsehbare Bereiche, wie Programmbibliotheken oder |
| 31 | Bootsektoren, die für den Anwender nur schwer als |
| 32 | ausführbarer Teil eines Programms erkennbar sind.[FN: S. zu |
| 33 | den verschiedenen Typen von Viren: Slade, in: Bidgoli, |
| 34 | Encyclopedia of Informationsystems Volume 1, 2002, S. 258 |
| 35 | f.] |
| 36 | |
| 37 | Wird das Wirtsprogramm gestartet, laufen in aller Regel zwei |
| 38 | Routinen ab: Zum einen die Schadroutine, die den Schadcode |
| 39 | ausführt, und zum anderen die Verbreitungsroutine, bei der |
| 40 | der Virus sich selbst in weitere, noch nicht infizierte |
| 41 | Programme hineinkopiert.[FN: Tipton/Krause, Information |
| 42 | Security Management Handbook, 2007, S. 100.] |
| 43 | |
| 44 | Die Verbreitungsmethoden von Viren hängen von der |
| 45 | Verbreitung der Wirtsprogramme ab. Insofern ist der Weg, auf |
| 46 | dem Viren verbreitet werden können, beliebig und korreliert |
| 47 | regelmäßig mit der typischen Art, wie Programmcode |
| 48 | weitergegeben wird.[FN: So lässt sich sagen, dass die |
| 49 | Weitergabe eines Virus noch immer der Interaktion eines |
| 50 | Menschen bedarf. Vacca, Computer and Information Security |
| 51 | Handbook, 2009, S. 56.] So hat sich die Art der Verbreitung |
| 52 | von Viren ebenso gewandelt wie die Art der Verbreitung von |
| 53 | Programmcode. Während in der Vergangenheit noch die |
| 54 | Weitergabe mittels Diskette oder CD-ROM üblich war, steht |
| 55 | heute, im Internetzeitalter, die Verbreitung über E-Mails, |
| 56 | FTP-Server, Web-Server und Filesharing-Netzwerke im |
| 57 | Vordergrund. Viren spielen nach wie vor insbesondere in |
| 58 | speziellen Bereichen – wie etwa bei eingebetteten Systemen |
| 59 | oder Betriebssystemen mobiler Endgeräte – eine erhebliche |
| 60 | Rolle.[FN: Auch das Überspringen eines Virus vom PC auf ein |
| 61 | mobiles Endgerät stellt technisch kein Problem dar, auch |
| 62 | wenn derartige Fälle in der Praxis, soweit ersichtlich, noch |
| 63 | nicht beobachtet wurden, s. BSI, Lagebericht IT-Sicherheit |
| 64 | in Deutschland 2011, S. 25, abrufbar unter: |
| 65 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 66 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
| 67 | nFile; zumindest für den Bereich der Privatanwender gilt, |
| 68 | dass Virenscanner einen durchaus effektiven Schutz bieten, |
| 69 | sofern sie den Vorgaben entsprechend eingesetzt werden. S. |
| 70 | hierzu Pfleeger/Pfleeger, Analyzing Computer Security: A |
| 71 | Threat / Vulnerability / Countermeasure Approach, 2011, S. |
| 72 | 159 f.] |
| 73 | |
| 74 | |
| 75 | I.3.1.6.1.2 Würmer |
| 76 | Während Viren auf eine Verbreitung der von ihnen infizierten |
| 77 | Dateien angewiesen sind, haben Computerwürmer die |
| 78 | Möglichkeit, die , bereitgestellte Netzinfrastruktur des |
| 79 | Systems, auf dem sie sich befinden, zu nutzen, um sich |
| 80 | eigenständig über ein Netzwerk zu verbreiten.[FN: Slade, in: |
| 81 | Bidgoli, Encyclopedia of Informationsystems Volume 1, 2002, |
| 82 | S. 256, S. 255.] So erklärt sich auch die gänzlich andere |
| 83 | Angriffsstrategie eines Computerwurms gegenüber der eines |
| 84 | Virus. Während der Virus zum Ziel hat, möglichst viele |
| 85 | andere Dateien zu infizieren, da so die Wahrscheinlichkeit |
| 86 | steigt, auf ein anderes, noch nicht infiziertes System |
| 87 | übertragen zu werden, nisten sich Würmer in den meisten |
| 88 | Fällen unauffällig im System ein. Je länger der Wurm |
| 89 | unbemerkt bleibt, umso größer ist der Erfolg, der in der |
| 90 | Ausführung des Schadcodes und in der Weiterverbreitung des |
| 91 | Wurms liegt.[FN: Pfleeger/Pfleeger, Analyzing Computer |
| 92 | Security: A Threat / Vulnerability / Countermeasure |
| 93 | Approach, 2011, S. 136 f.] Das Gefahrenpotenzial von Würmern |
| 94 | steigt noch immer. Dies ist zum einen auf die immer |
| 95 | ausgefeiltere Technik, mit der diese zur Umgehung von |
| 96 | Sicherheitsmechansimen programmiert werden, zurückzuführen; |
| 97 | zum anderen auf die immer weitere Verbreitung von |
| 98 | Internetanschlüssen und damit auch von Würmern. |
| 99 | |
| 100 | |
| 101 | I.3.1.6.1.3 Trojaner |
| 102 | Ein Trojaner, auch Trojanisches Pferd genannt, ist eine |
| 103 | Software, welche vom Benutzer im Glauben ausgeführt wird |
| 104 | dass es sich um ein nützliches Programm handele,.[FN: Der |
| 105 | Begriff Trojaner wird nicht einheitlich gebraucht. Oftmals |
| 106 | werden auch Schadprogramme mit der Funktion einer Backdoor |
| 107 | auch dann als Trojaner bezeichnet, wenn sie sich gerade |
| 108 | nicht den Anschein von sinnvoller Software geben. Dies ist |
| 109 | jedoch angesichts der mythologischen Herleitung ungenau. |
| 110 | Indes enthalten Trojaner regelmäßig Backdoorfunktionalität, |
| 111 | und Backdoorsoftware kommt als Trojaner auf den Computer. So |
| 112 | wie hier etwa auch Newman, Computer Security, 2010, S. 40.] |
| 113 | Auf diese Weise implementiert sich ungewollt ein |
| 114 | Schadprogramm. Heutige Varianten sind häufig sehr flexibel. |
| 115 | Teilweise bieten sie die Möglichkeit, Schadcode nachzuladen |
| 116 | und damit durch zusätzliche Funktionen mehr Schaden |
| 117 | anzurichten; sie können sich nicht selbst verbreiten.[FN: |
| 118 | Vgl. |
| 119 | https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g0 |
| 120 | 5/g05021.html] Die Grenzziehung zwischen Viren und Trojanern |
| 121 | ist nicht trennscharf, aber auch nicht erforderlich. Zu den |
| 122 | häufigsten Funktionen gehören das Ausspionieren von Daten |
| 123 | sowie das Überwachen von Benutzereingaben wie Passwörtern. |
| 124 | Oftmals enthalten Trojaner auch |
| 125 | Backdoor-Funktionalitäten.[FN: Tanenbaum, Moderne |
| 126 | Betriebssysteme, 2009, S. 772 ff.; s. weiter im Anschluss.] |
| 127 | |
| 128 | |
| 129 | I.3.1.6.1.4 Backdoors |
| 130 | Eine Backdoor ermöglicht den alternativen, unüblichen Zugang |
| 131 | zu einem IT-System,[FN: Whitman/Mattord, Principles of |
| 132 | Information Security, 2009, S. 58 f.] den ein Hersteller |
| 133 | setzen oder ein feindlicher Angreifer hinzufügen kann. |
| 134 | Mittels einer solchen Hintertür erhält ein Angreifer Zugriff |
| 135 | auf das fremde System und kann mit ihm umgehen, als sei er |
| 136 | ein berechtigter Benutzer.[FN: Vacca, Computer and |
| 137 | Information Security Handbook, 2009, S. 295.] Zu den |
| 138 | typischen Schadroutinen gehört hier das Nachladen weiterer |
| 139 | schädlicher Software sowie das Löschen oder Verändern |
| 140 | bestehender Dateien.Darüber hinaus dienen Backdoors auch dem |
| 141 | Ausspähen von Benutzereingaben wie Passwörtern, dem |
| 142 | Versenden von Spam oder auch dem Ausführen eines |
| 143 | DDoS-Angriffs. Backdoors sind im Zusammenspiel mit anderen |
| 144 | Techniken von erheblichem Gefährdungspotenzial. So können |
| 145 | mittels eines auf dem Computer installierten |
| 146 | Backdoorprogramms in Verbindung mit einem gezielten |
| 147 | Phishing-Angriff Schutzmechanismen des Onlinebanking, wie |
| 148 | etwa das indizierte Transaktionsnummern(iTAN)-Verfahren, |
| 149 | außer Kraft gesetzt werden.[FN: BKA, Cybercrime |
| 150 | Bundeslagebild 2010, S. 10, abrufbar unter: |
| 151 | http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikat |
| 152 | ionen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010, |
| 153 | templateId=raw,property=publicationFile.pdf/cybercrime2010.p |
| 154 | df] |
| 155 | Im Bereich Backdoors ist ebenfalls relevant, dass ein |
| 156 | Großteil der IT-Produkte inzwischen in Ländern hergestellt |
| 157 | und/oder entwickelt wird, in denen die politische Lage nicht |
| 158 | ausschließen lässt, dass Hintertüren bereits bei der |
| 159 | Entwicklung und Produktion in die Hard- oder Software |
| 160 | implementiert werden. Das betrifft nicht nur Produkte für |
| 161 | einzelne IT-Systeme, sondern auch Netzwerkkomponenten wie |
| 162 | beispielsweise die in Unternehmensnetzwerken oder in den |
| 163 | Backbone-Netzen des Internets eingesetzten Router. |
| 164 | |
| 165 | Zur Verdeutlichung kann darauf verwiesen werden, dass in den |
| 166 | vergangenen Jahren eine Reihe von Fällen „verborgener |
| 167 | Hintertüren“ sowohl im Hardware- als auch im |
| 168 | Software-Bereich öffentlich geworden ist. |
| 169 | |
| 170 | Dass typischerweise in größeren Stückzahlen bestellte |
| 171 | Technologie wie Computerchips nicht mehr einzeln getestet |
| 172 | werden können, begünstigt den Einbau von Hintertüren. 2011 |
| 173 | wurde etwa bekannt, dass 59 000 Mikrochips aus China, die |
| 174 | von der US-Armee gekauft worden waren, eine Hintertür |
| 175 | enthielten. Diese hätte das Abschalten der Chips aus der |
| 176 | Ferne ermöglicht.[FN: S. Johnson, „The Navy Bought Fake |
| 177 | Chinese Microchips That Could Have Disarmed U.S. Missiles“, |
| 178 | abrufbar unter: |
| 179 | http://www.businessinsider.com/navy-chinese-microchips-weapo |
| 180 | ns-could-have-been-shut-off-2011-6] Wie man solche |
| 181 | Hintertüren auffindet, ist daher seit Jahren Teil |
| 182 | wissenschaftlicher Forschung.[FN: S. Adee, „The Hunt for the |
| 183 | Kill Switch”, abrufbar unter: |
| 184 | http://spectrum.ieee.org/semiconductors/design/the-hunt-for- |
| 185 | the-kill-switch/0] |
| 186 | Im Januar 2012 wurde bekannt, dass die Hersteller RIM, Nokia |
| 187 | und Apple den indischen Behörden über eine Hintertür Zugang |
| 188 | zu Inhalten von Mobilkommunikation verschafft haben. Die |
| 189 | Hersteller räumten die Zusammenarbeit mit den staatlichen |
| 190 | Behörden und Militärs ein.[FN: S. „Nokia and Apple have |
| 191 | provided the Indian Military with backdoor access to |
| 192 | cellular surveillance”, abrufbar unter: |
| 193 | http://www.terminalx.org/2012/01/blackberry-nokia-and-apple- |
| 194 | have.html] |
| 195 | Zudem werden heute neben den „Backdoors“ auch sogenannte |
| 196 | „Bugdoors“ verwendet, da die Ausnutzung einer absichtlich |
| 197 | nicht geschlossenen Sicherheitslücke weniger riskant ist als |
| 198 | das direkte Hinterlassen einer Hintertür. Bugdoors werden |
| 199 | ebenfalls von den Herstellern implementiert und können wie |
| 200 | „verborgene Hintertüren“ benutzt werden. Vergleichbares gilt |
| 201 | für von Herstellern vergebene Passwörter, die eine ähnliche |
| 202 | Wirkung wie eine Hintertür entfalten können. |
| 203 | |
| 204 | |
| 205 | I.3.1.6.1.5 Rootkits |
| 206 | Mit den Backdoors verbunden ist die Funktion der Rootkits, |
| 207 | die in erster Linie dazu dienen, nach dem Kompromittieren |
| 208 | des Systems die Entdeckung des Angriffs zu verhindern.[FN: |
| 209 | Sehr ausführlich: Tanenbaum, Moderne Betriebssysteme, 2009, |
| 210 | S. 795 ff.] Hierzu können unberechtigte Anmeldevorgänge |
| 211 | verborgen sowie Prozesse und Dateien vor dem Benutzer, aber |
| 212 | auch vor Virenscannern versteckt werden. Merkmal von |
| 213 | Rootkits ist, dass sie im Vergleich zu anderer Schadsoftware |
| 214 | wesentlich tiefer in das System eingreifen, was ein |
| 215 | Entdecken und Löschen schwierig bis fast unmöglich |
| 216 | macht.[FN: Sehr ausführlich: Tanenbaum, Moderne |
| 217 | Betriebssysteme, 2009, S. 795 ff.] |
| 218 | |
| 219 | |
| 220 | I.3.1.6.1.6 Spyware |
| 221 | Der Begriff Spyware umfasst Schadsoftware, die darauf |
| 222 | ausgelegt ist das Nutzerverhalten aufzuzeichnen und diese |
| 223 | Daten an den Angreifer oder Dritte zu senden, regelmäßig um |
| 224 | personalisierte Werbung zu ermöglichen oder Marktforschung |
| 225 | zu betreiben.[FN: Tipton/Krause, Information Security |
| 226 | Management Handbook, 2007, S. 663.] Oft werden diese |
| 227 | Informationen in Datenbanken gesammelt und genutzt, um |
| 228 | gezielt Benutzerprofile zu erstellen.[FN: Erbschloe, |
| 229 | Trojans, Worms, and Spyware; A Computer Security |
| 230 | Professionals Guide to Malicious Code, 2005, S. 26 f.] |
| 231 | |
| 232 | Spyware wird in den meisten Fällen als Trojanisches Pferd |
| 233 | zusammen mit einer (vermeintlich) nützlichen Software |
| 234 | installiert. Außerdem wird Spyware auch mittels |
| 235 | Drive-by-Download unter Ausnutzung einer Sicherheitslücke im |
| 236 | Browser oder eines Plug-Ins installiert.[FN: Zu dieser |
| 237 | Problematik näher unten Abschnitt II.3.1.7.1.] |
| 238 | |
| 239 | |
| 240 | I.3.1.6.2 Andere Angriffsmethoden |
| 241 | |
| 242 | Es gibt noch eine Reihe weiterer Angriffsmethoden. Einen |
| 243 | Schwerpunkt bilden Vorgänge zur Erlangung von Passwörtern |
| 244 | oder ähnlichen Daten, um so die spätere Kompromittierung des |
| 245 | Systems erst zu ermöglichen. |
| 246 | |
| 247 | So kann etwa mittels Packet Sniffing der gesamte Verkehr |
| 248 | eines Netzwerks „mitgehört“ werden. Dies ist für Angreifer |
| 249 | besonders dann von Interesse, wenn Übertragungsprotokolle im |
| 250 | Einsatz sind, bei denen der Datenverkehr – und insbesondere |
| 251 | auch die Passwörter – unverschlüsselt übertragen werden.[FN: |
| 252 | Erickson, Hacking: The Art of Exploitation, 2008, S. 226 |
| 253 | ff.] Ein offenes oder nicht mit einem ausreichend starken |
| 254 | Passwort verschlüsseltes WLAN stellt so ein erhebliches |
| 255 | Sicherheitsrisiko dar. Während offene WLANs im Unternehmens- |
| 256 | und Privatbereich[FN: Dies ist wohl auch darauf |
| 257 | zurückzuführen, dass praktisch alle Router heute mit einer |
| 258 | Anwendersoftware ausgeliefert werden, die bei der ersten |
| 259 | Einrichtung des Routers automatisch ein sicheres Passwort |
| 260 | wählt.] inzwischen eher die Ausnahme sein dürften, finden |
| 261 | sich öffentliche HotSpots etwa in Cafés oder Hotels. Der |
| 262 | Angriff auf die Datenströme von Computern eines solchen |
| 263 | öffentlichen HotSpots ist, sofern bei der Nutzung des |
| 264 | HotSpots keine Verschlüsselungstechniken genutzt werden, |
| 265 | auch für technisch weniger versierte Angreifer mittels im |
| 266 | Internet angebotener Tools leicht möglich. Hier steht zu |
| 267 | erwarten, dass die Angriffe noch vielfältiger werden. Immer |
| 268 | öfter werden auch wichtige Geschäftsdaten unterwegs |
| 269 | bearbeitet und versendet und werden so zum möglichen Ziel |
| 270 | von Sniffing.[FN: S. auch BSI, Lagebericht IT-Sicherheit in |
| 271 | Deutschland 2011, S. 34, abrufbar unter: |
| 272 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 273 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 274 | e Hiernach wissen lediglich rund 60 % der vom BSI befragten |
| 275 | Nutzer, dass ihre mobilen Endgeräte die gleichen |
| 276 | Sicherheitsanforderungen haben wie ein PC. Einer Studie im |
| 277 | Auftrag der Wirtschaftsberatungsfirma KPMG zufolge (The |
| 278 | e-Crime Report 2011), werden geschäftliche Mobiltelefone |
| 279 | wesentlich häufiger verloren als private |
| 280 | (http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublica |
| 281 | tions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2 |
| 282 | .pdf, S. 15). Dies alles mag als Hinweis darauf verstanden |
| 283 | werden, wie sorglos Nutzer immer noch dem Trend zu mehr |
| 284 | Mobilität gegenüberstehen.] |
| 285 | Ebenfalls zu den nutzbaren Mitteln technisch wenig |
| 286 | versierter Angreifer gehören sogenannte Vulnerability |
| 287 | Scanner. Diese Programme dienen dem Zweck, ein Zielsystem |
| 288 | auf das Vorhandensein von bekannten Sicherheitslücken zu |
| 289 | untersuchen. Gedacht sind sie in erster Linie zur |
| 290 | Absicherung des eigenen Systems. In dieser Funktion haben |
| 291 | sie in der IT-Sicherheit auch erhebliche Bedeutung.[FN: So |
| 292 | bietet auch das BSI eine Live CD mit der Sicherheitssoftware |
| 293 | OpenVAS, zu deren Bestandteilen auch ein Vulnerability |
| 294 | Scanner gehört.] Ein Missbrauch lässt sich jedoch nicht |
| 295 | ausschließen. |
1-1 von 1
-
02.03.01.06 Angriffsmittel (Originalversion)
von EnqueteSekretariat, angelegt