Die IT-Welt scheint sich damit abgefunden zu haben, dass Sicherheitslücken, Viren, Trojaner und Hacker zum digitalen Zeitalter dazu gehören. Was auf der einen Seite ein großer Vorteil ist, anwenderfreundliche, flexible und technologisch offene Systeme, ist gleichzeitig ihr größter Nachteil: Es ist Alltag geworden im Cyberspace, dass kriminelle Banden um die Vorherrschaft kämpfen und versuchen in ungesicherte Rechner einzubrechen. So werden gekaperte Computer beispielsweise genutzt, um massenweise Spam-Mails über sie zu verschicken.
Cyberkriminelle zu überführen ist keine triviale Aufgabe. Mikko Hyppönen, Chief Research Officer von F-Secure, fordert daher jetzt eine eigenständige Internetpolizei. Aktuelle Beispiele aus dem jüngst veröffentlichten Datensicherheitsreport für das dritte Quartal 2008 untermauern die derzeitigen Hürden im Umgang mit Internetkriminellen: So hat der US-amerikanische Spammer Jeremy Jaynes erst jüngst gegen die Entscheidung des Obersten Gerichtshofes in Virginia Berufung eingelegt. Er begründete dies mit der Aussage, dass das neue staatliche Anti-Spam-Gesetz dem Recht auf eine freie und anonyme Meinungsäußerung widerspreche. In Neuseeland wurde ein minderjähriger Versender von Bank-Trojanern freigesprochen, obwohl er eindeutig als schuldig angesehen wurde. Er hatte einer kriminellen Vereinigung geholfen, mehrere Millionen Dollar zu ergaunern. Die Staatsanwaltschaft Washington und das Unternehmen Microsoft haben zudem bekannt gegeben, dass sie Klage gegen Scareware-Verursacher einreichen werden. Hierbei handelt es sich um fingierte Meldungen, die Internetnutzer auffordern, nutzlose Sicherheitsprodukte zu kaufen.
Online-Kriminalität kennt keine Grenzen
Gerichte auf der ganzen Welt scheitern immer wieder, die wachsende Welle der Internetkriminalität einzudämmen. Mikko Hyppönen kommentiert: "Derzeit verfügen lokale Polizeibehörden aber oft nur über begrenzte Ressourcen zur Untersuchung dieser Fälle. Es macht daher Sinn, über die Gründung einer Online-Version der Interpol nachzudenken. Diese 'Internetpol' würde sich dann mit dem Entdecken und Untersuchen der Spitze dieser 'kriminellen Online-Nahrungskette' beschäftigen".
Die Studie zeigt auf, dass die aktuelle Finanzkrise viele Internet-Kriminelle auf den Plan ruft. Durch die internationale Finanzkrise sind Bankkunden verunsichert, bei welcher Bank ihr Sparkonto oder die Hypothek sicher sind. Phisher nutzen diese Verunsicherung, um persönliche Informationen wie Online-Banking- oder Kreditkarten-Daten zu erlangen. Die US-Handelskommission hat in diesem Zusammenhang eine akute Warnung an Internetnutzer herausgegeben: Sie sollen insbesondere bei den E-Mails vorsichtig sein, die aussehen als seien sie von Finanzinstituten abgeschickt worden, die kürzlich eine Konsumenten- oder Hypotheken-Bank sowie Bausparkasse übernommen haben. Die Handelskommission nennt diese Mails "Phisherman’s Spezial". Sean Sullivan, Security Advisor bei F-Secure erläutert: "Wir haben beispielsweise E-Mails entdeckt, die sich auf den Verkauf der Wachovia Corporation an Citibank beziehen. Diese E-Mail fordert den Empfänger auf, ein neues Zertifikat von einer Wachovia Phishing Website herunterzuladen. Im Gegenzug wird auf dem PC des Opfers ein Trojaner installiert."
Spam zur US-Präsidentenwahl
Während die Präsidentenwahl in den USA immer näher rückt, denken sich Kriminelle außerdem zunehmend sensationelle E-Mail-Nachrichten über die Kandidaten aus. Diese sollen die Leser dazu bewegen, Spam-Links in der E-Mail anzuklicken oder infizierte Anhänge zu öffnen. Einer der neuesten Spam-Angriffe bezog sich auf einen angeblichen Sex-Skandal, in den der Kandidat der Demokraten Barack Obama verwickelt sei. Die E-Mail mit der fingierten Nachricht enthält einen Anhang, der auf ein pornografisches Video verlinkt.
Um das wahre Ziel der E-Mail zu verbergen – nämlich den Empfängercomputer mit einem Trojaner zu infizieren, der dann persönliche Informationen über Bank-Transaktionen sammelt – startet tatsächlich ein Video. Aber erst, nachdem die schadhafte Datei heruntergeladen und ausgeführt wurde. Ab diesem Zeitpunkt sammelt der Trojaner permanent persönliche Informationen – bei jeder Verbindung des Internet Explorers zu bestimmten Bankseiten, besonders den bekannten Banken im deutschsprachigen Raum. Diese sendet er im Hintergrund zur Website des fiktionalen Medved Hotels in Finnland und legt sie dort ab. Das Layout der Website überzeugt arglose Anwender, da es von der Homepage eines echten finnischen Hotels kopiert wurde.
Download des gesamten Berichts für das dritte Quartal 2008:
www.f-secure.de/2008/q3/index.html
Kommentare zu diesem Beitrag
Die Betrüger rüsten nach Beobachtung der Fahnder und der Informationsbranche technisch immer weiter auf. Es gehe nicht mehr nur um Zugangsdaten zum Online-Banking. "Die gesamte digitale Identität eines Nutzers wird heute angegriffen", sagte Ziercke. Das Zielspektrum habe sich deutlich erweitert auf Aktiendepots, den Internethandel, E-Mail-Fächer, Firmen- und Reiseportale. Was früher noch uninteressant erschien, werde heute mittels eigener in Deutschland programmierter Software abgegriffen. Würden Reisedaten abgefangen, wüssten Kriminelle, wann sie am besten einbrechen könnten. Kämen sie an die Transportdaten von hochwertiger Ware, könnten sie die Lastwagen ausrauben.
Die laut Ziercke hochintelligenten Täter – oft mit Informatikstudium – schließen sich vorübergehend über Zeitzonen hinweg in virtuellen Netzwerken zusammen. "Der Täter haben sich immer weiter spezialisiert, sie wirken arbeitsteilig zusammen, sie kennen sich persönlich aber nicht mehr." Das BKA habe 2006 und 2007 zwei erfolgreiche Ermittlungsverfahren gegen aus Deutschland operierende Gruppen geführt. Insgesamt seien 17 Verdächtige festgenommen worden. In einem der beiden Ermittlungsverfahren hätten die Täter innerhalb von eineinhalb Jahren 700 000 Euro Schaden verursacht.
Beim Ausspionieren von Zugangsdaten für das Online-Banking (Phishing) gehen die Internet-Betrüger laut Bitkom immer raffinierter vor. In mindestens drei von vier Fällen schickten Kriminelle per Mail ein Schadprogramm (Trojanisches Pferd), das auf dem Computer im Hintergrund Geheimzahlen ausspähe und auch Anti-Viren-Programme überliste. 2007 seien 4100 Fälle mit einem Schaden von 19 Millionen Euro angezeigt worden. Illegal abgebucht wurden den Angaben zufolge 2007 durchschnittlich pro Fall 3700 Euro. In diesem Jahr ging der Schaden im Durchschnitt auf 3200 Euro zurück.
BKA und Bitkom führten das auf neue Schutzmaßnahmen der Banken zurück. Sparkassen und Genossenschaftsbanken, bis dahin das Hauptziel der Betrüger, hätten mit einem verbesserten Verfahren bei den Transaktionsnummern (TAN) reagiert. In den ersten sieben Monaten 2008 seien die gemeldeten Fälle im Vergleich zum Vorjahreszeitraum um 54 Prozent zurückgegangen, sagte Ziercke. Allerdings würden die neuen Sicherheitsverfahren mit neuer Schadsoftware attackiert. Dieter Kempf vom Bitkom-Präsidium hofft, dass 2008 die Opferzahlen deutlich sinken. Aber sicher sei das nicht. "Die Szene schläft nicht, sondern ist sehr aktiv und programmiert gegen alles, was man als Präventionsmaßnahmen einführt, sofort dagegen", sagte Ziercke.
Nach Angaben von Bitkom gibt es weltweit mehr als 25.000 Phishing- Attacken pro Monat. Die Betrüger unterhielten rund 25.000 falsche Bank-Webseiten, die meisten davon in den USA (33 Prozent), China (22 Prozent) und Russland (9 Prozent). In Deutschland seien lediglich 3 Prozent der gefälschten Homepages registriert.
Bei der Strafverfolgung gibt es laut Ziercke große Problemen. Die Täter gingen konspirativ vor, nutzten Verschlüsselungs- und Anonymisierungsprogramme. Deshalb benötigten die Fahnder die IP- Adressen. "Verkehrsdaten spielen bei der Aufklärung von schweren Straftaten eine bedeutende Rolle. Oftmals stellt die IP-Adresse den wirklich einzigen Ermittlungsansatz dar." Im Rahmen der umstrittenen Vorratsdatenspeicherung müssen IP-Adressen ab 1. Januar 2009 für ein halbes Jahr gespeichert werden, so wie bereits seit diesem Jahr die Telefonverbindungsdaten.
(Quelle: heise online vom 2.9.2008)
Da dieser aber Software immer häufiger in halbrohem Zustand ausliefert um eine hohe Innovationsgeschwindigkeit nach außen zu demonstrieren, gilt es ähnlich wie bei manchem Möbelhersteller die letzten Handgriffe selbst zuhause anzulegen. Wir erinnern uns, wenn General Motors mit der Technologie so mitgehalten hätte wie die Computer-Industrie, dann würden wir heute alle 25 Dollar - Autos fahren können, die auf 1000 Meilen eine Gallone Sprit verbrauchen würden … u.vm. mehr, siehe die Argumente von Microsoft und GM weiter unten.
Inzwischen ist es zur täglichen Routine geworden „wichtige“ Sicherheitsupdates für das Betriebssystem herunter zu laden und manchmal hat man den Eindruck, es wird gar nicht als fertiges Produkt verkauft sondern wie eine Sammlung von Überraschungseiern in vielen Einzellieferungen… Die Anwender reagieren darauf mit Resignation und einer z.T. (gefährlichen) Gleichgültigkeit die es Cyberkriminellen einfacher macht neue Opfer zu finden. Hinzu kommt die Komplexität neuer Betriebssysteme und Programme, gekoppelt mit vielen unbewusst herunter geladenen Add Ins (meist verpackt in Kombipaketen mit begehrten und gewünschten Add Ins), jede Menge Softwaremüll der schon ab Werk auf neuen Rechnern die Festplatten belagert und unsichere, auf Ausspionierung des Surfverhaltens der User manipulierte Browse. Die Liste ließe sich sicherlich noch deutlich erweitern.
Vielleicht kehrt sich der Trend mal um in ein Downsizing der Programme und Funktionen und man wird feststellen, das häufig ein einfaches Textprogramm, eine gute Tabellenkalkulation und ein sicheres e-mail-Programm ausreichend sind und zudem die Rechengeschwindigkeit und die Systemressourcen nicht unnötig belasten. Immerhin einen Hoffnungsschimmer gibt es bereits: Für manche alten Computer und Betriebssysteme werden gar keine Viren mehr verbreitet …
In diesem Sinne, "keine Rückmeldung" und die Hand immer am Netzstecker :-)
Anhang: Vergleich zwischen der Entwicklung der Automobilindustrie und der Softwareentwicklung
Wenn GM eine Technologie wie Microsoft entwickelt hätte, dann würden heute alle Autos mit folgenden Eigenschaften fahren:
*Ihr Auto würde ohne erkennbaren Grund zweimal am Tag einen Unfall haben.
*Jedesmal, wenn die Linien auf der Straße neu gezeichnet werden würden, müsste man ein neues Auto kaufen.
*Gelegentlich würde ein Auto ohne erkennbaren Grund auf der Autobahn einfach ausgehen und man würde das einfach akzeptieren, neu starten und weiterfahren.
*Wenn man bestimmte Manöver durchführt, wie z. B. eine Linkskurve würde das Auto einfach ausgehen und sich weigern, neu zu starten. Man müsste dann den Motor erneut installieren.
*Man kann nur alleine in dem Auto sitzen, es sei denn, man kauft "CarXP" oder "CarNT". Aber dann müsste man jeden Sitz einzeln bezahlen.
*Macintosh würde Autos herstellen, die mit Sonnenenergie fahren, zuverlässig laufen, fünfmal so schnell und zweimal so leicht zu fahren sind, aber sie laufen nur auf 5 % der Straßen.
*Die Öl-Kontroll-Leuchte, die Warnlampen für Temperatur und Batterie würden durch eine "Genereller Auto-Fehler" - Warnlampe ersetzt.
*Neue Sitze würden erfordern, dass alle die selbe Gesäß - Größe haben.
*Das Airbag - System würde fragen "Sind sie sicher?" bevor es auslöst.
*Gelegentlich würde das Auto sie ohne jeden erkennbaren Grund aussperren. Sie können nur wieder mit einem Trick aufschließen, und zwar müsste man gleichzeitig den Türgriff ziehen, den Schlüssel drehen und mit einer Hand an die Radioantenne fassen.
*GM würden sie zwingen, mit jedem Auto einen Deluxe-Kartensatz der Firma Mc Nally (GM-Tochter) mit zu kaufen. Wenn sie diese Option nicht wahrnehmen, würde das Auto sofort 50 % langsamer werden (oder schlimmer). Darüber hinaus würde GM deswegen ein Ziel von Untersuchungen der Justiz.
*Immer dann, wenn ein neues Auto von GM vorgestellt werden würde, müssten alle Autofahrer das Autofahren neu erlernen, weil keiner der Bedien-Hebel genau so funktioniert wie in den alten Autos.
*Man müsste den Start-Knopf drücken, um den Motor auszuschalten.
*Da sieht man wieder mal, wie unterschiedlich die Ansprüche sind. Bei Computern akzeptiert man Dinge, die man bei Autos nie durchgehen lassen würde.