Mit gestohlenen Kreditkarten- und Personendaten verdienen Kriminelle weltweit Milliarden. Längst geht es nicht mehr um Ruhm, sondern um knallharten Profit. Immer mehr Viren und Trojaner erscheinen jeden Tag.
Viren und Trojaner werden immer stärker dazu eingesetzt, um Geld zu verdienen. Wurden die Schädlinge nur dazu eingesetzt, um sich möglichst schnell auf möglichst vielen Rechnern zu verbreiten, setzen kriminelle Hacker derzeit lieber auf kleine, unauffällige Werkzeuge. Der Grund: sie wollen "unter dem Radar bleiben", wie es Symantec-Experte Stefan Wesche bei einem Gespräch mit Journalisten ausdrückte. Auf die Weise haben sie es geschafft, sich ein Untergrundgeschäft aufzubauen. Der Umsatz soll weltweit in Höhe von mehreren Milliarden US-Dollar liegen.
300 Prozent Anstieg bei Schädlingen
Die Chance, heutzutage Opfer von Cybercrime zu werden beträgt etwa eins zu fünf, ergänzt Candid Wüest, Sicherheitsforscher für das Unternehmen. Im Vergleich dazu: Vom Blitz getroffen zu werden weist eine Chance von eins zu 2,6 Millionen auf. Täglich würde allein Symantec sechs Millionen schädliche Programme entdecken. Dazu kommen noch die Entdeckungen der anderen Sicherheitsfirmen. Allein 2008 konnten die Firmen einen Anstieg von 300 Prozent bei den Schädlingen verzeichnen. Auch für das heurige Jahr 2009 erwarten die Experten starke Zuwächse.
Gefahr geht von Websites aus
Waren es früher Anhänge, die per E-Mail verschickt wurden, geht heute besondere Gefahr von kompromittierten Websites aus. Oft sind es legitime Angebote, die von den Kriminellen manipuliert wurden. Ein auf der Seite versteckter Code späht aus, mit welchem Browser der Benutzer gerade unterwegs ist und welche Erweiterungen ("Plugins") er installiert hat. Erkennt der Code eine Schwachstelle, nutzt er sie aus, um einen oder mehrere Trojaner auf den Benutzer-PC zu schleusen. Besonders die Plugins sind gefährdet. Nach Symantecs Angaben wurden in den letzten Monaten allein dort 415 Sicherheitslücken entdeckt.
Trojaner schleusen sich unbemerkt ein
Anhand eines Beispiels demonstrierte Wüest, wie so ein Angriff abläuft. Er surfte die scheinbar harmlose Seite eines polnischen Möbelhändlers an. Ein Zusatzprogramm neben dem Browserfenster zeigte, wie auf einmal sich drei Anwendungen ungefragt hintereinander starteten. Ein durchschnittlicher Benutzer würde den Angriff nicht merken. Im Endeffekt zeigte das System einen blauen Absturzbildschirm an und danach einen Neustart. Beides waren aber nur Videos, die dem Benutzer einen Neustart vortäuschen sollen. Danach warnt ein riesiges Logo auf der Arbeitsfläche vor einer Infektion des Rechners.
Schadprogramme versuchen Geld zu erpressen
Hier zeigt sich das perfide Vorgehen der Kriminellen. Die Warnung wurde nämlich nicht von einer legitimen Software dort platziert, sondern von den angreifenden Trojanern. Damit sollen Benutzer dazu verleitet werden, sich einen falschen Virenscanner herunterzuladen, der die Schädlinge angeblich wieder entfernt. Tatsächlich versuchen die Kriminellen damit nur, Geld von ihren Opfern zu erpressen. Denn die Programme wollen die Schädlinge nur gegen Bezahlung entfernen.
Twitter als Gefahrenquelle
Solche "Scareware" nimmt immer mehr überhand. Erst kürzlich litt der Internetauftritt der New York Times unter einem derartigen Angriff. Symantec erkennt nach Wüests Angaben pro Tag 13.000 manipulierte Websites. Oft grasen sie den Rechner auch nach Kreditkarten- oder anderen persönlichen Daten ab, die dann profitabel weiterverkauft werden. Problematisch sind auch Weblinks, die auf Plattformen wie Twitter platziert werden. Hier werden oft verkürzte Adressen verwendet, hinter denen sich gefährliche Websites verstecken können. Oft kopieren Kriminelle auch legitime Nachrichten von registrierten Benutzern und tauschen den darin enthaltenen Link gegen einen auf ihre Seiten aus.
Marktwirtschaft im Untergrund
Auf diversen Untergrund-Servern gibt es inzwischen fast schon alles zu kaufen. Trojaner im Eigenbau, geklaute Kreditkartendaten für unter fünf Cent oder auch Angriffe auf diverse Server können dort erworben werden. Bei letzteren bieten die Kriminellen sogar einen Rabatt an: Die ersten zehn Minuten des Angriffs sind gratis. Auch für Kreditkartendaten im "Zehnerpack" muss man weniger zahlen als für einzelne Daten. Die Marktwirtschaft regiert auch im Untergrund.
Reputation für Schädlingserkennung
Bei Symantec will man der steigenden Bedrohung mit einem neuen Konzept begegnen. Die Software Norton 2010 verfügt über ein "Reputations-System". Dabei wird das Verhalten und die Art der Verbreitung von Dateien mittels Symantecs Servern überprüft. Anhand der dadurch errechneten Reputation werden heruntergeladene Dateien überprüft. Das System soll die bereits vorhandenen Methoden zur Schädlingsbekämpfung nicht ersetzen, sondern ergänzen.
Ist der Ruf erst ruiniert...
Was passiert also mit Websites, die manipuliert werden, und deren Ruf damit für Besitzer des Programms ruiniert ist? Nach Angaben von Stefan Wesche suchen die Server des Unternehmens das Internet konstant ab. Erkennen sie, dass der Betreiber einer legitimen Website diese von eingeschleusten Schädlingen wieder entfernt hat, wird die negative Bewertung wieder entfernt. Ob und wie gut dieses System in der Praxis funktioniert, wird sich erst zeigen müssen.
Keine User-Bevormundung
Im Gegensatz zu den in Deutschland beschlossenen Internetsperren blockiert Symantec die Inhalte der als gefährlich eingestuften Seiten aber nicht. Man wolle den User nicht bevormunden, erklärt Wüest auf Anfrage. Die Warnung soll lediglich ein Hinweis sein. Generell sitze man als Sicherheitsunternehmen ein wenig zwischen den Stühlen beim Thema Netzsperren. Das Hauptziel ist für Wüest aber, den Benutzern ein sicheres Surfen durch das Internet zu gewährleisten und nicht, irgendwelche Websites zu blockieren.
Probleme mit der Rechtslage
Man arbeite ohnehin mit den Behörden zusammen, wenn es um die Abschaltung von Servern gehe, die gefährliche Inhalte verbreiten. Aus der Diskussion um illegal getauschte Musik- und Videodateien will sich das Unternehmen heraushalten. Oft gibt es beim Stilllegen von Trojaner-Servern aber Probleme. In manchen Ländern ist die Rechtslage nicht ausgereift, andere wiederum sind zu sehr von Korruption geplagt, als dass die Kriminellen angreifbar wären.
Kriminelle verteilen Inhalte im Netz
Ein neuer Trend macht den Sicherheitsforschern das Leben noch schwerer: Die Kriminellen lagern ihre schädlichen Programme nicht mehr auf fixen Servern, sondern verteilen sie auf unzählige geknackte Rechner, die ihnen zur Verfügung stehen. Diese sogenannten Botnetze, zu denen auch der Parade-Wurm "Conficker" beiträgt, sind über die gesamte Welt verteilt und machen die Kriminellen fast unangreifbar. Natürlich nur, solange die Benutzer weiterhin mit unsicheren Computern im Internet surfen und sich solche Schädlinge einfangen.
Faule Benutzer
Eines der größten Probleme, das auch kein Virenscanner beheben kann, ist die Faulheit: Anstatt sich aktualisierte Software zu installieren, bleibt man lieber bei der veralteten Variante. Dass diese oft unzählige Sicherheitslücken aufweisen, die bereits seit Monaten ausgenutzt werden, wird leider ignoriert. Dank der subtilen neuen Methoden der Kriminellen fällt dieser fatale Fehler auch nicht so schnell auf. Wer nicht aufpasst, darf sich später nicht über absurd hohe Kreditkartenrechnungen wundern.