02.03.01.07 Infektions- und Angriffspunkte

1-1 von 1
  • 02.03.01.07 Infektions- und Angriffspunkte (Originalversion)

    von EnqueteSekretariat, angelegt
    1 Die Täter von Internetkriminalität machen sich
    2 sicherheitstechnische Schwachstellen zunutze. In diesem
    3 Zusammenhang sind vor allem folgende Punkte zu nennen:
    4
    5
    6 I.3.1.7.1 Sicherheitslücken von Software
    7 Das wohl am ehesten mit Internetkriminalität assoziierte und
    8 auch bislang das häufigste Verfahren des Einbruchs in ein
    9 System ist das Ausnutzen einer Sicherheitslücke („Exploit“),
    10 die aufgrund von Programmierfehlern in einem Programm
    11 enthalten ist.[FN: Gaycken, Cyberwar, 2011, S. 54.] Trotz
    12 der wohl recht hohen Dunkelziffer weisen Statistiken des BSI
    13 darauf hin, dass die Zahl der veröffentlichten
    14 Sicherheitslücken in Software nach wie vor als hoch
    15 einzustufen ist und die Zahl der vom Bürger-CERT[FN: Das
    16 Bürger-CERT (Computer Emergency Response Team) ist eine vom
    17 Bundesamt für Sicherheit in der Informationstechnik (BSI)
    18 betriebene Plattform und dient der Warnung von Bürgerinnen
    19 und Bürgern sowie kleinen Unternehmen vor Viren, Würmern und
    20 Sicherheitslücken in Software. Das Bürger-CERT ist online
    21 erreichbar unter: https://www.buerger-cert.de/ ] gemeldeten
    22 Sicherheitslücken zumindest zwischen 2008 und 2010 eine
    23 ansteigende Tendenz aufweist.[FN: BSI, Lagebericht
    24 IT-Sicherheit in Deutschland 2011, S. 6, abrufbar unter:
    25 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    26 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
    27 e] Besonders relevant im Bereich dieser Sicherheitslücken,
    28 wenn auch mit abnehmender Tendenz, sind
    29 Drittanbieter-Web-Anwendungen.[FN: BSI, Lagebericht
    30 IT-Sicherheit in Deutschland 2011, S. 6, abrufbar unter:
    31 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    32 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
    33 e] Mit dem zunehmenden Bedürfnis eines interaktiven
    34 Internets müssen Techniken jenseits der reinen
    35 Auszeichnungssprache HTML verwendet werden. Bereits
    36 frühzeitig wurden verschiedene Techniken für aktive Inhalte
    37 entwickelt, die Erweiterungen des Browsers darstellen und es
    38 erlauben, dynamisch auf Benutzeraktionen zu reagieren.
    39 Dieser eingebettete Code wird lokal auf dem Rechner des
    40 Nutzers ausgeführt. Browser-Plug-Ins[FN: Ein Browser-Plug-In
    41 ist eine Software eines Drittanbieters, die dazu dient, die
    42 ursprüngliche vom Hersteller eines Browser vorgegebene
    43 Funktionalität zu erweitern.], sind daher bei Virenautoren
    44 beliebte Ziele und werden besonders oft angegriffen.
    45 Insbesondere ist ein Anstieg an neu bekannt werdenden
    46 Sicherheitslücken bei Rich Media-Anwendungen[FN: Unter Rich
    47 Media werden multimediale und interaktive Inhalte wie
    48 beispielweise Videos und Animationen verstanden.] zu
    49 beobachten. So gehört derzeit etwa der Adobe Flash Player zu
    50 den Programmen, in denen besonders viele Sicherheitslücken
    51 bekannt wurden.[FN: BSI, Lagebericht IT-Sicherheit in
    52 Deutschland 2011, S. 6, abrufbar unter:
    53 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    54 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
    55 e; IBM X-Force 2011 Mid-Year Trend and Risk Report, S. 67,
    56 abrufbar unter:
    57 http://www-935.ibm.com/services/us/iss/xforce/trendreports]
    58 Zusammen mit den ohnehin bereits in den Browsern und
    59 Betriebssystemen vorhandenen Sicherheitslücken[FN:
    60 Beispielsweise wurden für Mozilla Firefox 2011 60
    61 Schwachstellen entdeckt, welche die Ausführung von Schadcode
    62 ermöglichen, s. dazu BSI, Lagebericht IT-Sicherheit in
    63 Deutschland 2011, S. 6, abrufbar unter:
    64 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    65 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
    66 e] kumulieren sich damit die Schwachstellen beim Einsatz der
    67 Software.
    68
    69 Eine weitere Form des Ausnutzens von Sicherheitslücken ist
    70 der Drive-by-Exploit. Hierbei werden insbesondere auch
    71 Sicherheitslücken in Software wie etwa Browsern, in Adobe
    72 Flash sowie in der Java-Laufzeitumgebung ausgenutzt. Die
    73 besondere Gefahr von Drive-by-Exploits liegt darin, dass die
    74 Infektion des Computers herbeigeführt werden kann, ohne dass
    75 eine willentliche Interaktion des Benutzers mit der Quelle
    76 der Schadsoftware vorliegt. Eine Infektionsquelle kann
    77 beispielsweise eine manipulierte Website sein, auf die der
    78 Benutzer mittels Spam gelockt wird. Aber auch über eine dem
    79 Anwender bereits bekannte Website kann eine Infektion
    80 erfolgen, falls diese als Folge eines Angriffs auf den
    81 hostenden Webserver manipulierte wurde.
    82
    83
    84 I.3.1.7.2 Social Engineering und Phishing
    85 Social Engineering unterscheidet sich fundamental von den
    86 anderen beschriebenen Techniken und ist gleichzeitig
    87 integraler Bestandteil zahlreicher Angriffe. Social
    88 Engineering bezeichnet einen Angriff auf ein IT-System,
    89 welcher nicht vorrangig auf technischen Mitteln, sondern
    90 vielmehr auf der Beeinflussung eines Anwenders beruht.[FN:
    91 Vacca, Computer and Information Security Handbook, 2009, S.
    92 55; s. dazu auch Kshetri, The Global Cybercrime Industry,
    93 2010, S. 10.] Dabei stehen neben zunehmend raffinierteren
    94 technischen Kenntnissen vor allem auch psychologische und
    95 sprachliche Fähigkeiten der Angreifer im Mittelpunkt, um
    96 etwa bei einem Opfer falsches Vertrauen zu erzeugen und so
    97 die gewünschten Informationen zu erhalten.[FN: Kshetri, The
    98 Global Cybercrime Industry, 2010, S. 10.] Analysten gehen
    99 davon aus, dass Social Engineering mit der weiterhin
    100 zunehmenden Popularität von sozialen Netzwerken noch weiter
    101 an Bedeutung gewinnen wird.[FN: The e-Crime Report 2011, S.
    102 13, abrufbar unter:
    103 http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublicat
    104 ions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2.
    105 pdf] Die Gefahr, die von Social Engineering ausgeht, ist
    106 insbesondere deshalb als relevant anzusehen, weil es kaum
    107 technische Schutzmittel gegen diese Form des Angriffs gibt.
    108 Bei sowohl technisch als auch psychologisch hinreichend
    109 ausgeklügelten Social-Engineering-Angriffen stellt sich die
    110 Erkennung eines Angriffs selbst für versierte und
    111 computeraffine Nutzer als Herausforderung dar.
    112
    113 Im Bereich des Social Engineering ist auch das Phishing
    114 anzusiedeln. Ein Phishing-Angriff funktioniert üblicherweise
    115 so, dass der Angreifer eine bekannte Website möglichst
    116 detailgetreu nachbaut. Hierbei versucht er, die Website
    117 unter einer Domain abzulegen, die der Domain der
    118 Originalwebsite ähnelt, beispielsweise durch das Vertauschen
    119 eines Buchstabens. Nun sendet er eine große Anzahl an
    120 E-Mails an beliebige Empfänger. Hierfür werden regelmäßig
    121 Botnetze oder ähnliche Spamstrukturen benutzt. In diesen
    122 E-Mails, die durch ihr Design und ihre Absenderkennung den
    123 Anschein erwecken sollen, sie kämen von dem Betreiber der
    124 eigentliche, echten Website,[FN: Der Absender einer E-Mail
    125 ist einfach zu fälschen. Für den Laien sind solche
    126 Fälschungen kaum auszumachen. Hierzu und zum Ganzen:
    127 Jahankhani/Watson/Me, Handbook of Electronic Security and
    128 Digital Forensics, S. 401.] wird der Benutzer aufgefordert,
    129 aus einem wichtigen Grund einem Link in der E-Mail zu folgen
    130 und auf der so besuchten Seite seine Daten einzugeben. Folgt
    131 der Benutzer dieser Aufforderung, werden seine Daten vom
    132 Täter abgefangen. Dies kann vom vergleichsweise harmlosen
    133 Identitätsdiebstahl in sozialen Netzwerken bis hin zu
    134 erheblichen Vermögensschäden reichen, wenn etwa das
    135 Onlinebanking eines Benutzers betroffen ist. Hierbei hat
    136 allerdings nach Informationen des BSI diese einfache Form
    137 des Phishing zumindest im Bereich des Onlinebanking fast
    138 vollständig an Bedeutung verloren.[FN: BSI, Lagebericht
    139 IT-Sicherheit in Deutschland 2011, S. 23, abrufbar unter:
    140 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    141 ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio
    142 nFile] Einige Studien legen nahe, dass sich das Phishing von
    143 der E-Mail-Kommunikation auf soziale Netzwerke und
    144 Instant-Messaging ausgebreitet hat.[FN: IBM X-Force 2011
    145 Mid-Year Trend and Risk Report, S. 18, abrufbar unter:
    146 http://www-935.ibm.com/services/us/iss/xforce/trendreports/]
    147
    148 Phishing in seiner klassischen Form eines sehr breit
    149 angelegten Angriffs, bei dem aufgrund der schieren Anzahl an
    150 versuchten Angriffen irgendwann ein Erfolg erzielt wird,
    151 ähnelt praktisch nur dem Namen nach dem neueren Spear
    152 Phishing. So werden die nach Einschätzung von
    153 Sicherheitsexperten zunehmend auftretenden, sehr gezielten
    154 und oftmals sehr gut vorbereiteten Angriffe genannt, welche
    155 auf ein bestimmtes Opfer zugeschnitten sind.[FN: IBM X-Force
    156 2011 Mid-Year Trend and Risk Report, S. 22, abrufbar unter:
    157 http://www-935.ibm.com/services/us/iss/xforce/trendreports/;
    158 The e-Crime Report 2011, S. 13, abrufbar unter:
    159 http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublicat
    160 ions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2.
    161 pdf]
    162
    163 Ein weiteres Beispiel für Social Engineering ist die so
    164 genannte Scareware. Dabei handelt es sich um Software, die
    165 dem Benutzer eine Bedrohung seines Computers vorgaukelt, wie
    166 beispielsweise einen Virenbefall. Auf diese Weise will man
    167 den Benutzer zu einer bestimmten Aktion bewegen, wie dem
    168 kostenpflichten Download eines Antivirenprogramms zur
    169 Bereinigung des Computers. Bei diesen Programmen handelt es
    170 sich oftmals um Trojaner mit Backdoor-Funktionalität[FN:
    171 Vgl. zum Beispiel Heise News: BKA hilft bei Zerschlagung von
    172 Scareware-Bande. 23. Juni 2011. Online abrufbar unter:
    173 http://www.heise.de/newsticker/meldung/BKA-hilft-bei-Zerschl
    174 agung-von-Scareware-Bande-1266523.html]. Grundsätzlich
    175 gehören auch solche Trojaner in den Bereich des Social
    176 Engineering.
    177
    178
    179 I.3.1.7.3 Ausnutzen des Anwenderverhaltens/Fehlendes
    180 Sicherheitsbewusstsein
    181 Große Sicherheitsrisiken bei IT-Systemen basieren darüber
    182 hinaus regelmäßig auf dem Verhalten der Anwender. Diese
    183 sorgen in vielen Fällen unbewusst dafür, dass auch die am
    184 besten ausgearbeitete Sicherheitsstrategie scheitert.[FN:
    185 Gaycken, Cyberwar, 2011, S. 52.]
    186 Dabei spielt häufig auch unachtsames und von fehlendem
    187 Risikobewusstsein geprägtes Verhalten eine Rolle (siehe dazu
    188 das Fallbeispiel zu manipulierter Hardware). Dazu zählt auch
    189 das Nichtdurchführen von Systemupdates trotz bereits
    190 erfolgter Bereitstellung von Seiten der
    191 Hersteller/Produzenten,[FN: Für mobile Endgeräte s. BSI,
    192 Lagebericht 2011, S. 18, abrufbar unter:
    193 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat
    194 ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil
    195 e] sowie das unachtsame Installieren von
    196 Drittanbietersoftware, beziehungsweise die unachtsame
    197 Rechtezuweisung an diese und die Ignorierung von
    198 Warnhinweisen.[FN: Ebenf. Für mobile Endgeräte s. Eckert,
    199 IT-Sicherheit, 7. Aufl. 2012, S. 87 f.]
    200
    201 __________________________
    202
    203 Fallbeispiel – manipulierte Hardware:
    204 Mittels manipulierter Computermäuse, die im Rahmen eines
    205 Tests als vermeintliches Geschenk an die Mitarbeiter einer
    206 Firma geschickt wurden, konnte ein Angriff auf
    207 Firmennetzwerke erfolgreich vorgetragen werden. Die Mäuse
    208 enthielten einen Mikrocontroller, der bei Anschluss an die
    209 USB-Schnittstelle des Computers einen Trojaner auf den
    210 Rechner schleuste. Erfolgreich war der Angriff auch deshalb,
    211 weil die von dem angegriffenen beziehungsweise getesteten
    212 Unternehmen mit der Überprüfung des Sicherheitskonzepts
    213 beauftragte Firma den Trojaner speziell auf die verwendete
    214 Virenscanner-Software zuschneiden konnte, da Mitarbeiter
    215 sich vorher öffentlich auf Facebook über das Programm
    216 beschwert hatten.[FN:
    217 http://www.spiegel.de/netzwelt/web/0,1518,772462,00.html ]
    218 Ähnliche Fälle sind schon des Öfteren bekannt geworden. Auch
    219 andere der oben genannten Methoden setzen die Interaktion
    220 des Anwenders voraus.
    221 __________________________
    222
    223
    224
    225 I.3.1.7.4 Sonderproblem: Anbieter-/Produzentenverhalten
    226 Gerade – aber nicht ausschließlich – im Bereich der
    227 Betriebssysteme für mobile Endgeräte zeigt sich ein Problem,
    228 dass selbst grundsätzlich sorgfältig mit der Sicherheit
    229 ihrer Systeme umgehenden Nutzern keine Möglichkeit an die
    230 Hand gegeben wird, ihrer Sorgfalt überhaupt erst
    231 nachzukommen, da die Anbieter/Produzenten der Produkte gar
    232 keine oder nur stark verzögert Updates zur Verfügung
    233 stellen.[FN: Zur Updateproblematik bei mobile Endgeräten s.
    234 Eckert, IT-Sicherheit, 7. Aufl. 2012, S. 88; s. weiter
    235 Wirtgen, Warum Android-Smartphones so selten Updates
    236 bekommen, 2011, abrufbar unter:
    237 http://www.heise.de/mobil/artikel/Warum-Android-Smartphones-
    238 so-selten-Updates-bekommen-1337858.html] Damit bleiben die
    239 bereits bekannten Sicherheitslücken entweder dauerhaft oder
    240 zumindest für eine lange Zeit im System. Für die Anwender
    241 verbleibt dann lediglich die Möglichkeit, auf die Nutzung
    242 der Geräte mit dem veralteten System zu verzichten, sofern
    243 nicht zumindest zwischenzeitig vom Hersteller ein Workaround
    244 als provisorische Lösung zur Wiederherstellung der
    245 Sicherheit angeboten wird.