Start

Aktuell

Viren

Background

Schutz

Hilfe

Links

Berichte

Report

Risken

Management

WLANs

Love 1

Love 2

Das neue Gesicht der Cyber-Angriffe
Beiträge

Von Stephen Trilling

300 Jahre Wiener Zeitung!Im Jahr 1999 traf uns der Melissa-Virus völlig unvorbereitet und versendete weltweit Millionen infizierter E-Mails. Nur ein Jahr später, im Mai 2000, sorgte der Love Letter-Wurm laut Berichten weltweit für Schäden in Höhe von 8,7 Mrd. US-$. Nimda und Code Red läuteten 2001 eine neue Ära komplexer Bedrohungen ein.

Komplexe Bedrohungen können sich ohne Benutzereingriff über das Internet ausbreiten und dann automatisch weitere Angriffe, wie beispielsweise Denial-of-Service- (DoS) oder Hackerangriffe, initiieren. Im Januar 2002 verbreitete sich der Slammer-Wurm über das Internet und sorgte für weit verbreitetes, jedoch nur kurzfristiges, Internet-Chaos.

Zweifellos werden wir in Zukunft sogar sich noch schneller verbreitende und erheblich bösartigere Bedrohungen erleben. Die so genannten "Warhol"- und "Flash"-Bedrohungen könnten theoretisch große Netzwerke bzw. große Teile des Internets innerhalb von Minuten oder gar Sekunden lahm legen, ohne dass IT-Mitarbeiter auch nur eine Chance zu Gegenmaßnahmen hätten.

Anstieg bei Vorfällen

Die Bedrohung durch Cyber-Angriffe nimmt jeden Tag zu, vor allem aufgrund der wachsenden Abhängigkeit von Unternehmen im Hinblick auf E-Mail-Dienste und das Internet. Laut Statistiken des Carnegie Mellons CERT Coordination Center ist die Zahl der gemeldeten IT-Sicherheitsverstöße von 52.658 im Jahr 2001 auf 82.094 im Jahr 2002 stetig angestiegen. Allein im ersten Quartal dieses Jahres gab es 42.586 gemeldete Vorfälle, die hochgerechnet auf das gesamte Jahr zu einer Verdoppelung gegenüber dem Vorjahr führen könnten.
Die Ergebnisse der aktuellen CSI/FBI-Studie zu Computerkriminalität und Sicherheitsaspekten für 2003 zeigt, dass E-Mail-Bedrohungen weiterhin die häufigste Art von Angriffen darstellen. Die Studie bestätigt darüber hinaus, dass der Diebstahl unternehmenseigener Informationen noch immer ein weit verbreitetes Problem ist und dass die Mehrzahl der mit Cyber-Kriminalität im Zusammenhang stehenden finanziellen Verluste darauf zurückzuführen ist. An zweiter Stelle der Liste der häufigsten Cyber-Angriffe stehen die Denial-of-Service-Angriffe. Diese stetige Zunahme bei sicherheitsrelevanten Vorfällen deutet auf ein weiteres Jahr voller Herausforderungen für IT-Mitarbeiter im Bereich Sicherheit hin.

Das Angreiferprofil im Wandel

Mit zunehmender Zahl und Komplexität der Angriffe zeichnet sich eine Entwicklung im Hinblick auf das Angreiferprofil ab. Viele der in jüngster Zeit ausgeführten Angriffe wurden von Amateuren ohne bestimmtes Ziel oder Motiv initiiert. Da jedoch mittlerweile immer mehr geschäftskritische Unternehmens- und Regierungsfunktionen online ausgeführt werden, ist eine Entwicklung hin zu professionelleren Angreifern mit konkreten Zielen und spezifischen Beweggründen zu erwarten. Diese Angreifer verfügen über bessere Ressourcen, gehen zielgerichteter vor und können Schwachstellen schneller entdecken und ausnutzen, als es den Amateuren bisher möglich war.

Weniger Zeit zur Reaktion

Komplexe Bedrohungen, Würmer und Hacker nutzen oft bekannte Software-Schwachstellen aus. Üblicherweise treten diese Sicherheitsverstöße einige Zeit nach Entdeckung der Schwachstellen auf. Wir bezeichnen die Zeit zwischen dem Entdecken einer Schwachstelle und der nicht autorisierten Ausnutzung der Schwachstelle durch eine bestimmte Bedrohung als Angriffsfenster. Beispielsweise hatten die Würmer Nimda und Slammer Angriffsfenster von bis zu mehreren Monaten, so dass die Hersteller von Software, in der Schwachstellen entdeckt wurden, über genügend Zeit verfügten, um einen Patch zu entwickeln und die Benutzer zu warnen, wodurch potentielle Schäden begrenzt werden konnten. Im Durchschnitt werden Angriffe sechs Monate nach öffentlicher Bekanntgabe der Schwachstelle ausgeführt. Aufgrund der im vorherigen Abschnitt beschriebenen Verschiebung hin zu professionellen Angreifern sind in Zukunft sehr viel kürzere Angriffsfenster zu erwarten. Je stärker der finanzielle Hintergrund des Angreifers, desto mehr Ressourcen hat er höchstwahrscheinlich zur Verfügung, um neue Schwachstellen aufzudecken und umgehend darauf zugeschnittene Bedrohungen zu erstellen. Dies könnte schließlich zu einem Angriff am Tag Null führen. Ein Angriff am Tag Null liegt vor, wenn ein Angriff unmittelbar nach Entdecken der entsprechenden Schwachstelle erstellt und ausgeführt wird, so dass Software-Herstellern, Computer-Administratoren und Benutzern keine Zeit zur Reaktion bleibt.
Gegenwärtige und zukünftige Bedrohungen Die gegenwärtigen Bedrohungen lassen sich von den neu entstehenden Bedrohungen durch Einstufung in allgemeine Klassen unterscheiden, je nach Geschwindigkeit, mit der sich die Bedrohung ausbreitet. Mit aufsteigender Klasse von I bis III verringert sich die Chance der IT-Mitarbeiter, Administratoren oder Benutzer auf eine Reaktion zur Eindämmung der Bedrohung.
- Gegenwärtig: Bedrohungen der Klasse I: Bedrohungen der Klasse I verbreiten sich innerhalb von Tagen oder Stunden. Bisher fiel die Mehrzahl der Angriffe in diese Kategorie. Zu den Bedrohungen der Klasse I gehören E-Mail-Würmer und eine Vielzahl von komplexen Bedrohungen. Diese können durch Virenaktualisierungen, Router-Filter und Firewall-Regeln kontrolliert werden. -
- Gegenwärtig und zukünftig: Bedrohungen der Klasse II: Bedrohungen der Klasse II können sich innerhalb von Stunden oder Minuten über das Internet ausbreiten. Der Angriff des Slammer SQL-Wurms zu Beginn des Jahres gibt uns einen Vorgeschmack darauf, was eine Bedrohung der Klasse II anrichten kann. Die Infizierungsrate des Slammer-Wurms verdoppelte sich in der Anfangsphase alle 8,5 Sekunden und verursachte im Laufe der ersten fünf Tage Produktivitätsverluste in Höhe von schätzungsweise einer Milliarde US-Dollar. Die schnellsten Bedrohungen der Klasse II sind nur sehr schwer oder gar nicht durch Reaktionsmechanismen von Seiten des Benutzers zu kontrollieren. Sie erfordern weitgehend automatisierte Reaktionsmechanismen. -
- Zukünftig: Bedrohungen der Klasse III: Zukünftige Bedrohungen der Klasse III werden in der Lage sein, Systeme innerhalb von Sekunden über das Internet anzugreifen. Die umfassende Vernetztheit trägt zur Wahrscheinlichkeit solcher Bedrohungen maßgeblich bei. Ein Eingriff seitens des Benutzers wird unmöglich sein, und selbst die schnellsten automatisierten Reaktionsmechanismen werden nicht viel ausrichten können. Zur Abwehr von Bedrohungen der Klasse III werden grundlegend neue aktive Technologien erforderlich sein. Solche Technologien werden in der Lage sein müssen, neue Bedrohungen auf Host- und Netzwerk-Computern zu blockieren, bevor sie sich ausbreiten können.

Die gute und die schlechte Nachricht

Die gute Nachricht ist, dass Unternehmen im Hinblick auf die Durchsetzung von Sicherheitsrichtlinien klüger geworden sind und Mitarbeiter um die potentiellen Bedrohungen wissen, die sich beim Klicken auf .EXE-Dateianhänge oder Öffnen nicht erwünschter E-Mails ergeben. Zusätzliche Ergebnisse der CSI/FBI-Studie für 2003 zeigen, dass 99 Prozent der Unternehmen Virenschutz-Software einsetzen, 98 Prozent über Firewalls und 73 Prozent über Intrusion-Detection-Systeme verfügen (gegenüber 60 Prozent im Jahr 2002). Sicherheitslösungen haben sich weiterentwickelt und decken mittlerweile mehrere Ebenen ab. Darüber hinaus wird die Verwaltung durch zentrale Konsolen, Korrelation und automatisierte Reaktionsmechanismen erleichtert. Funktionen zur Frühwarnung, heuristische Erkennung und die Richtlinienverwaltung tragen ebenfalls zum Schutz der Unternehmensnetzwerke vor der wachsenden Zahl an Sicherheitsbedrohungen bei.
Auf der anderen Seite nimmt jedoch die Raffinesse sowohl der Angreifer als auch der Bedrohungen stetig zu. Jetzt ist keinesfalls der Zeitpunkt, sich zurückzulehnen, sondern vielmehr verschärft auf der Hut zu sein. Zukünftig werden wir mit schnelleren zielgerichteten Angriffen rechnen müssen, die nur wenig oder gar keine Zeit zur Reaktion lassen. Warten Sie nicht den nächsten großen Cyber-Angriff ab. Der Luxus, auf einen Cyber-Angriff reagieren zu können, wird bald der Vergangenheit angehören.

Zum Autor

Stephen TrillingStephen Trilling ist Senior Director von Symantec Research Labs, der Forschungsabteilung des weltweit führenden Unternehmens für Internet-Sicherheit. Diese Abteilung ist für die Erforschung neuer Cyber-Sicherheitsbedrohungen und die Entwicklung innovativer Technologien zum Schutz von Computersystemen zuständig. Als führender Sicherheitsexperte war Stephen Trilling bereits Gast bei verschiedenen US-amerikanischen TV- und Radio-Shows wie Nightline (ABC), The Today Show (NBC), The Early Show (CBS), Nightly News (NBC) und Evening News (CBS). Er hält regelmäßig Vorträge auf Konferenzen und Seminaren in der ganzen Welt und hat als Sachverständiger in Sicherheitsfragen vor dem US-Kongress ausgesagt. Der Autor hat einen Abschluss in Computerwissenschaften und Mathematik der Yale University und einen Abschluss in Computerwissenschaften des Massachusetts Institute of Technology.

Erschienen am: 20.08.2003

Quelle: Symantec