| 1 | Die Täter von Internetkriminalität machen sich |
| 2 | sicherheitstechnische Schwachstellen zunutze. In diesem |
| 3 | Zusammenhang sind vor allem folgende Punkte zu nennen: |
| 4 | |
| 5 | |
| 6 | I.3.1.7.1 Sicherheitslücken von Software |
| 7 | Das wohl am ehesten mit Internetkriminalität assoziierte und |
| 8 | auch bislang das häufigste Verfahren des Einbruchs in ein |
| 9 | System ist das Ausnutzen einer Sicherheitslücke („Exploit“), |
| 10 | die aufgrund von Programmierfehlern in einem Programm |
| 11 | enthalten ist.[FN: Gaycken, Cyberwar, 2011, S. 54.] Trotz |
| 12 | der wohl recht hohen Dunkelziffer weisen Statistiken des BSI |
| 13 | darauf hin, dass die Zahl der veröffentlichten |
| 14 | Sicherheitslücken in Software nach wie vor als hoch |
| 15 | einzustufen ist und die Zahl der vom Bürger-CERT[FN: Das |
| 16 | Bürger-CERT (Computer Emergency Response Team) ist eine vom |
| 17 | Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| 18 | betriebene Plattform und dient der Warnung von Bürgerinnen |
| 19 | und Bürgern sowie kleinen Unternehmen vor Viren, Würmern und |
| 20 | Sicherheitslücken in Software. Das Bürger-CERT ist online |
| 21 | erreichbar unter: https://www.buerger-cert.de/ ] gemeldeten |
| 22 | Sicherheitslücken zumindest zwischen 2008 und 2010 eine |
| 23 | ansteigende Tendenz aufweist.[FN: BSI, Lagebericht |
| 24 | IT-Sicherheit in Deutschland 2011, S. 6, abrufbar unter: |
| 25 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 26 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 27 | e] Besonders relevant im Bereich dieser Sicherheitslücken, |
| 28 | wenn auch mit abnehmender Tendenz, sind |
| 29 | Drittanbieter-Web-Anwendungen.[FN: BSI, Lagebericht |
| 30 | IT-Sicherheit in Deutschland 2011, S. 6, abrufbar unter: |
| 31 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 32 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 33 | e] Mit dem zunehmenden Bedürfnis eines interaktiven |
| 34 | Internets müssen Techniken jenseits der reinen |
| 35 | Auszeichnungssprache HTML verwendet werden. Bereits |
| 36 | frühzeitig wurden verschiedene Techniken für aktive Inhalte |
| 37 | entwickelt, die Erweiterungen des Browsers darstellen und es |
| 38 | erlauben, dynamisch auf Benutzeraktionen zu reagieren. |
| 39 | Dieser eingebettete Code wird lokal auf dem Rechner des |
| 40 | Nutzers ausgeführt. Browser-Plug-Ins[FN: Ein Browser-Plug-In |
| 41 | ist eine Software eines Drittanbieters, die dazu dient, die |
| 42 | ursprüngliche vom Hersteller eines Browser vorgegebene |
| 43 | Funktionalität zu erweitern.], sind daher bei Virenautoren |
| 44 | beliebte Ziele und werden besonders oft angegriffen. |
| 45 | Insbesondere ist ein Anstieg an neu bekannt werdenden |
| 46 | Sicherheitslücken bei Rich Media-Anwendungen[FN: Unter Rich |
| 47 | Media werden multimediale und interaktive Inhalte wie |
| 48 | beispielweise Videos und Animationen verstanden.] zu |
| 49 | beobachten. So gehört derzeit etwa der Adobe Flash Player zu |
| 50 | den Programmen, in denen besonders viele Sicherheitslücken |
| 51 | bekannt wurden.[FN: BSI, Lagebericht IT-Sicherheit in |
| 52 | Deutschland 2011, S. 6, abrufbar unter: |
| 53 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 54 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 55 | e; IBM X-Force 2011 Mid-Year Trend and Risk Report, S. 67, |
| 56 | abrufbar unter: |
| 57 | http://www-935.ibm.com/services/us/iss/xforce/trendreports] |
| 58 | Zusammen mit den ohnehin bereits in den Browsern und |
| 59 | Betriebssystemen vorhandenen Sicherheitslücken[FN: |
| 60 | Beispielsweise wurden für Mozilla Firefox 2011 60 |
| 61 | Schwachstellen entdeckt, welche die Ausführung von Schadcode |
| 62 | ermöglichen, s. dazu BSI, Lagebericht IT-Sicherheit in |
| 63 | Deutschland 2011, S. 6, abrufbar unter: |
| 64 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 65 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 66 | e] kumulieren sich damit die Schwachstellen beim Einsatz der |
| 67 | Software. |
| 68 | |
| 69 | Eine weitere Form des Ausnutzens von Sicherheitslücken ist |
| 70 | der Drive-by-Exploit. Hierbei werden insbesondere auch |
| 71 | Sicherheitslücken in Software wie etwa Browsern, in Adobe |
| 72 | Flash sowie in der Java-Laufzeitumgebung ausgenutzt. Die |
| 73 | besondere Gefahr von Drive-by-Exploits liegt darin, dass die |
| 74 | Infektion des Computers herbeigeführt werden kann, ohne dass |
| 75 | eine willentliche Interaktion des Benutzers mit der Quelle |
| 76 | der Schadsoftware vorliegt. Eine Infektionsquelle kann |
| 77 | beispielsweise eine manipulierte Website sein, auf die der |
| 78 | Benutzer mittels Spam gelockt wird. Aber auch über eine dem |
| 79 | Anwender bereits bekannte Website kann eine Infektion |
| 80 | erfolgen, falls diese als Folge eines Angriffs auf den |
| 81 | hostenden Webserver manipulierte wurde. |
| 82 | |
| 83 | |
| 84 | I.3.1.7.2 Social Engineering und Phishing |
| 85 | Social Engineering unterscheidet sich fundamental von den |
| 86 | anderen beschriebenen Techniken und ist gleichzeitig |
| 87 | integraler Bestandteil zahlreicher Angriffe. Social |
| 88 | Engineering bezeichnet einen Angriff auf ein IT-System, |
| 89 | welcher nicht vorrangig auf technischen Mitteln, sondern |
| 90 | vielmehr auf der Beeinflussung eines Anwenders beruht.[FN: |
| 91 | Vacca, Computer and Information Security Handbook, 2009, S. |
| 92 | 55; s. dazu auch Kshetri, The Global Cybercrime Industry, |
| 93 | 2010, S. 10.] Dabei stehen neben zunehmend raffinierteren |
| 94 | technischen Kenntnissen vor allem auch psychologische und |
| 95 | sprachliche Fähigkeiten der Angreifer im Mittelpunkt, um |
| 96 | etwa bei einem Opfer falsches Vertrauen zu erzeugen und so |
| 97 | die gewünschten Informationen zu erhalten.[FN: Kshetri, The |
| 98 | Global Cybercrime Industry, 2010, S. 10.] Analysten gehen |
| 99 | davon aus, dass Social Engineering mit der weiterhin |
| 100 | zunehmenden Popularität von sozialen Netzwerken noch weiter |
| 101 | an Bedeutung gewinnen wird.[FN: The e-Crime Report 2011, S. |
| 102 | 13, abrufbar unter: |
| 103 | http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublicat |
| 104 | ions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2. |
| 105 | pdf] Die Gefahr, die von Social Engineering ausgeht, ist |
| 106 | insbesondere deshalb als relevant anzusehen, weil es kaum |
| 107 | technische Schutzmittel gegen diese Form des Angriffs gibt. |
| 108 | Bei sowohl technisch als auch psychologisch hinreichend |
| 109 | ausgeklügelten Social-Engineering-Angriffen stellt sich die |
| 110 | Erkennung eines Angriffs selbst für versierte und |
| 111 | computeraffine Nutzer als Herausforderung dar. |
| 112 | |
| 113 | Im Bereich des Social Engineering ist auch das Phishing |
| 114 | anzusiedeln. Ein Phishing-Angriff funktioniert üblicherweise |
| 115 | so, dass der Angreifer eine bekannte Website möglichst |
| 116 | detailgetreu nachbaut. Hierbei versucht er, die Website |
| 117 | unter einer Domain abzulegen, die der Domain der |
| 118 | Originalwebsite ähnelt, beispielsweise durch das Vertauschen |
| 119 | eines Buchstabens. Nun sendet er eine große Anzahl an |
| 120 | E-Mails an beliebige Empfänger. Hierfür werden regelmäßig |
| 121 | Botnetze oder ähnliche Spamstrukturen benutzt. In diesen |
| 122 | E-Mails, die durch ihr Design und ihre Absenderkennung den |
| 123 | Anschein erwecken sollen, sie kämen von dem Betreiber der |
| 124 | eigentliche, echten Website,[FN: Der Absender einer E-Mail |
| 125 | ist einfach zu fälschen. Für den Laien sind solche |
| 126 | Fälschungen kaum auszumachen. Hierzu und zum Ganzen: |
| 127 | Jahankhani/Watson/Me, Handbook of Electronic Security and |
| 128 | Digital Forensics, S. 401.] wird der Benutzer aufgefordert, |
| 129 | aus einem wichtigen Grund einem Link in der E-Mail zu folgen |
| 130 | und auf der so besuchten Seite seine Daten einzugeben. Folgt |
| 131 | der Benutzer dieser Aufforderung, werden seine Daten vom |
| 132 | Täter abgefangen. Dies kann vom vergleichsweise harmlosen |
| 133 | Identitätsdiebstahl in sozialen Netzwerken bis hin zu |
| 134 | erheblichen Vermögensschäden reichen, wenn etwa das |
| 135 | Onlinebanking eines Benutzers betroffen ist. Hierbei hat |
| 136 | allerdings nach Informationen des BSI diese einfache Form |
| 137 | des Phishing zumindest im Bereich des Onlinebanking fast |
| 138 | vollständig an Bedeutung verloren.[FN: BSI, Lagebericht |
| 139 | IT-Sicherheit in Deutschland 2011, S. 23, abrufbar unter: |
| 140 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 141 | ionen/Lageberichte/Lagebericht2011_nbf.pdf?__blob=publicatio |
| 142 | nFile] Einige Studien legen nahe, dass sich das Phishing von |
| 143 | der E-Mail-Kommunikation auf soziale Netzwerke und |
| 144 | Instant-Messaging ausgebreitet hat.[FN: IBM X-Force 2011 |
| 145 | Mid-Year Trend and Risk Report, S. 18, abrufbar unter: |
| 146 | http://www-935.ibm.com/services/us/iss/xforce/trendreports/] |
| 147 | |
| 148 | Phishing in seiner klassischen Form eines sehr breit |
| 149 | angelegten Angriffs, bei dem aufgrund der schieren Anzahl an |
| 150 | versuchten Angriffen irgendwann ein Erfolg erzielt wird, |
| 151 | ähnelt praktisch nur dem Namen nach dem neueren Spear |
| 152 | Phishing. So werden die nach Einschätzung von |
| 153 | Sicherheitsexperten zunehmend auftretenden, sehr gezielten |
| 154 | und oftmals sehr gut vorbereiteten Angriffe genannt, welche |
| 155 | auf ein bestimmtes Opfer zugeschnitten sind.[FN: IBM X-Force |
| 156 | 2011 Mid-Year Trend and Risk Report, S. 22, abrufbar unter: |
| 157 | http://www-935.ibm.com/services/us/iss/xforce/trendreports/; |
| 158 | The e-Crime Report 2011, S. 13, abrufbar unter: |
| 159 | http://www.kpmg.com/UK/en/IssuesAndInsights/ArticlesPublicat |
| 160 | ions/Documents/PDF/Advisory/ecrime-report-2011-accessible-2. |
| 161 | pdf] |
| 162 | |
| 163 | Ein weiteres Beispiel für Social Engineering ist die so |
| 164 | genannte Scareware. Dabei handelt es sich um Software, die |
| 165 | dem Benutzer eine Bedrohung seines Computers vorgaukelt, wie |
| 166 | beispielsweise einen Virenbefall. Auf diese Weise will man |
| 167 | den Benutzer zu einer bestimmten Aktion bewegen, wie dem |
| 168 | kostenpflichten Download eines Antivirenprogramms zur |
| 169 | Bereinigung des Computers. Bei diesen Programmen handelt es |
| 170 | sich oftmals um Trojaner mit Backdoor-Funktionalität[FN: |
| 171 | Vgl. zum Beispiel Heise News: BKA hilft bei Zerschlagung von |
| 172 | Scareware-Bande. 23. Juni 2011. Online abrufbar unter: |
| 173 | http://www.heise.de/newsticker/meldung/BKA-hilft-bei-Zerschl |
| 174 | agung-von-Scareware-Bande-1266523.html]. Grundsätzlich |
| 175 | gehören auch solche Trojaner in den Bereich des Social |
| 176 | Engineering. |
| 177 | |
| 178 | |
| 179 | I.3.1.7.3 Ausnutzen des Anwenderverhaltens/Fehlendes |
| 180 | Sicherheitsbewusstsein |
| 181 | Große Sicherheitsrisiken bei IT-Systemen basieren darüber |
| 182 | hinaus regelmäßig auf dem Verhalten der Anwender. Diese |
| 183 | sorgen in vielen Fällen unbewusst dafür, dass auch die am |
| 184 | besten ausgearbeitete Sicherheitsstrategie scheitert.[FN: |
| 185 | Gaycken, Cyberwar, 2011, S. 52.] |
| 186 | Dabei spielt häufig auch unachtsames und von fehlendem |
| 187 | Risikobewusstsein geprägtes Verhalten eine Rolle (siehe dazu |
| 188 | das Fallbeispiel zu manipulierter Hardware). Dazu zählt auch |
| 189 | das Nichtdurchführen von Systemupdates trotz bereits |
| 190 | erfolgter Bereitstellung von Seiten der |
| 191 | Hersteller/Produzenten,[FN: Für mobile Endgeräte s. BSI, |
| 192 | Lagebericht 2011, S. 18, abrufbar unter: |
| 193 | https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikat |
| 194 | ionen/Lageberichte/Lagebericht2011.pdf?__blob=publicationFil |
| 195 | e] sowie das unachtsame Installieren von |
| 196 | Drittanbietersoftware, beziehungsweise die unachtsame |
| 197 | Rechtezuweisung an diese und die Ignorierung von |
| 198 | Warnhinweisen.[FN: Ebenf. Für mobile Endgeräte s. Eckert, |
| 199 | IT-Sicherheit, 7. Aufl. 2012, S. 87 f.] |
| 200 | |
| 201 | __________________________ |
| 202 | |
| 203 | Fallbeispiel – manipulierte Hardware: |
| 204 | Mittels manipulierter Computermäuse, die im Rahmen eines |
| 205 | Tests als vermeintliches Geschenk an die Mitarbeiter einer |
| 206 | Firma geschickt wurden, konnte ein Angriff auf |
| 207 | Firmennetzwerke erfolgreich vorgetragen werden. Die Mäuse |
| 208 | enthielten einen Mikrocontroller, der bei Anschluss an die |
| 209 | USB-Schnittstelle des Computers einen Trojaner auf den |
| 210 | Rechner schleuste. Erfolgreich war der Angriff auch deshalb, |
| 211 | weil die von dem angegriffenen beziehungsweise getesteten |
| 212 | Unternehmen mit der Überprüfung des Sicherheitskonzepts |
| 213 | beauftragte Firma den Trojaner speziell auf die verwendete |
| 214 | Virenscanner-Software zuschneiden konnte, da Mitarbeiter |
| 215 | sich vorher öffentlich auf Facebook über das Programm |
| 216 | beschwert hatten.[FN: |
| 217 | http://www.spiegel.de/netzwelt/web/0,1518,772462,00.html ] |
| 218 | Ähnliche Fälle sind schon des Öfteren bekannt geworden. Auch |
| 219 | andere der oben genannten Methoden setzen die Interaktion |
| 220 | des Anwenders voraus. |
| 221 | __________________________ |
| 222 | |
| 223 | |
| 224 | |
| 225 | I.3.1.7.4 Sonderproblem: Anbieter-/Produzentenverhalten |
| 226 | Gerade – aber nicht ausschließlich – im Bereich der |
| 227 | Betriebssysteme für mobile Endgeräte zeigt sich ein Problem, |
| 228 | dass selbst grundsätzlich sorgfältig mit der Sicherheit |
| 229 | ihrer Systeme umgehenden Nutzern keine Möglichkeit an die |
| 230 | Hand gegeben wird, ihrer Sorgfalt überhaupt erst |
| 231 | nachzukommen, da die Anbieter/Produzenten der Produkte gar |
| 232 | keine oder nur stark verzögert Updates zur Verfügung |
| 233 | stellen.[FN: Zur Updateproblematik bei mobile Endgeräten s. |
| 234 | Eckert, IT-Sicherheit, 7. Aufl. 2012, S. 88; s. weiter |
| 235 | Wirtgen, Warum Android-Smartphones so selten Updates |
| 236 | bekommen, 2011, abrufbar unter: |
| 237 | http://www.heise.de/mobil/artikel/Warum-Android-Smartphones- |
| 238 | so-selten-Updates-bekommen-1337858.html] Damit bleiben die |
| 239 | bereits bekannten Sicherheitslücken entweder dauerhaft oder |
| 240 | zumindest für eine lange Zeit im System. Für die Anwender |
| 241 | verbleibt dann lediglich die Möglichkeit, auf die Nutzung |
| 242 | der Geräte mit dem veralteten System zu verzichten, sofern |
| 243 | nicht zumindest zwischenzeitig vom Hersteller ein Workaround |
| 244 | als provisorische Lösung zur Wiederherstellung der |
| 245 | Sicherheit angeboten wird. |
1-1 von 1
-
02.03.01.07 Infektions- und Angriffspunkte (Originalversion)
von EnqueteSekretariat, angelegt