Zielgerichtete Attacken auf Unternehmen und Industrieobjekte
Die unter dem Namen „Aurora“ bekannte Attacke vom Anfang des Jahres 2010 betraf nicht nur das Unternehmen Google. Zwar war Google das Hauptziel der Angreifer, dennoch traf es auch eine Reihe anderer Konzerne überall auf der Welt. Der Vorfall deckte ernsthafte Sicherheitslücken in den Sicherheitssystemen auf und zeigte, wo die potentiellen Ziele für Cyberspionage und den Diebstahl sensibler kommerzieller Informationen sind. Auch in Zukunft werden Großunternehmen im Visier zielgerichteter Attacken stehen.
Der Wurm Stuxnet ist nicht nur wegen seiner außergewöhnlichen Komplexität interessant, sondern in erster Linie aufgrund seines Ziels. Er hat speicherprogrammierbare Steuerungen (SPS) im Visier, die in der industriellen Produktion verwendet werden. Stuxnet markiert das erste allgemein bekannt gewordene Beispiel für industrielle Cyber-Spionage und -Sabotage, durch die ernsthafte Schäden verursacht werden können. Die frühere Grenze zwischen der virtuellen und der realen Welt ist praktisch verschwunden, was uns alle vor völlig neue Aufgaben stellt, die es in nächster Zeit zu lösen gilt.
Digitale Zertifikate
Digitale Zertifikate und Signaturen gehören zu den Säulen, auf denen das Vertrauen zu verschiedenen Objekten in der Computerwelt fußt. Selbstverständlich spielt das Vorhandensein einer Signatur in einer Datei auch bei der Entwicklung von Antiviren-Lösungen eine wichtige Rolle. So werden von vertrauenswürdigen Herstellern signierte Dateien als sauber bewertet. Diese Technologie ermöglicht es den Entwicklern von Antiviren-Programmen, die Zahl von False-Positives zu reduzieren und gleichzeitig Ressourcen beim Scan des Anwendercomputers auf Infizierungen einzusparen.
Die Ereignisse des Jahres 2010 haben gezeigt, dass Cyberkriminelle, wie jeder andere Softwareentwickler, auf völlig legalem Weg an digitale Zertifikate kommen können. Zum Beispiel, indem sie offiziell eine „Software zur Remote-Steuerung ohne GUI“ entwickeln, bei der es sich in Wahrheit um eine Backdoor handelt. Vor allem Entwickler von AdWare, RiskWare und gefälschten Antiviren-Programmen bevorzugen diese Methode, um die eigene Malware vor Entdeckung durch eine Antiviren-Lösung zu schützen. Haben die Kriminellen erst einmal den notwendigen Schlüssel vom Zertifizierungsdienstanbieter erhalten, können Sie damit ohne großen Aufwand ihre Schadprogramme signieren.
Man kann nun mit Fug und Recht behaupten, dass die Idee der Signatur von Programmen ernsthaft in Misskredit geraten ist. Nicht nur, dass unbescholtene Zertifizierungsdienstanbieter in Misskredit geraten – es sind die Cyberkriminellen selbst, die derartige Dienste anbieten.
Außerdem ist ein Zertifikat oder genauer ausgedrückt sein geheimer Schlüssel nichts anderes als eine Datei, die, wie jedes andere virtuelle Eigentum auch, gestohlen werden kann. Die entdeckten Komponenten des Wurms Stuxnet waren mit Hilfe von Zertifikaten der Firmen Realtec Semiconductors und JMicron signiert. Wie genau der geheime Schlüssel in die Hände der Cyberkriminellen gelangte, ist nicht bekannt. Doch offensichtlich gibt es hier verschiedene Möglichkeiten, um an echte Zertifikate zu kommen. Womöglich haben die Hintermänner von Stuxnet diese wichtigen Dateien Insidern abgekauft oder sie mit Hilfe einer Backdoors oder eines ähnlichen Schadprogramms gestohlen. Der Diebstahl von Zertifikaten ist zum Beispiel eine der Funktionen des weit verbreiteten Trojaners Zbot (ZeuS).
Daten, Daten, Daten: Cyberattacken 2011 - Der ultimative Datenklau
Bei früheren Prognosen haben wir uns ausschließlich аuf die Methoden der Cyberangriffe konzentriert, wie zum Beispiel „Attacken auf mobile Plattformen“, „Sicherheitslücken“ und ähnliches. Das hängt damit zusammen, dass das einzige Ziel der Cyberkriminellen immer nur Geld war.
Die Entwicklung des letzten Jahres hat allerdings gezeigt, dass die Welt der Cyberkriminalität sich im Wandel befindet und wir im Jahr 2011 zusätzlich zu den Methoden nun auch die Bereiche Organisatoren von Cyberattacken und deren Ziele eingehender betrachten müssen. Man kann diese Entwicklung mit dem Verschwinden von Schadprogrammen vergleichen, die „just for fun“ geschrieben wurden und mit dem darauffolgenden Aufkommen der modernen Cyberkriminalität.
Methoden
Zum Einstieg in diesen Abschnitt sei erwähnt, dass die Methoden der Cyberattacken nicht von ihren Organisatoren und Zielen abhängen. Sie spiegeln vielmehr die technischen Möglichkeiten wider, die moderne Betriebssysteme, das Internet und seine Services Cyberkriminellen heute bieten.
Rückblickend kann gesagt werden, dass 2010 das Jahr der Sicherheitslücken war. Wir gehen davon aus, dass sich im neuen Jahr dieses Problem weiter verschärfen wird. Programmfehler werden wohl noch häufiger als schon geschehen ausgenutzt werden. Diese Entwicklung wird begünstigt durch die Entdeckung neuer Sicherheitslücken in gängigen Produkten (Windows, Office, Produkte von Adobe und Apple). Stichwort „Zero-Day-Schwachstelle“: Vor wenigen Jahren war die Ausnutzung von Zero-Day-Schwachstellen ein einzigartiges Phänomen – im ausgehenden Jahr jedoch keine Seltenheit mehr. Und wir gehen davon aus, dass diese Tendenz sich fortsetzen und die Zero-Day-Bedrohungen weiter zunehmen werden. Zudem werden künftig nicht nur die unter Cyberkriminellen so beliebten Sicherheitslücken der Klasse “remote code execution” ausgenutzt werden, sondern auch die bisher kaum beachteten Schwachstellen zur Erhöhung der Systemprivilegien, der Datenmanipulation, der Umgehung der Schutzmechanismen des Systems. Aber auch auf der menschlichen Seite hat sich einiges getan und so werden die immer professioneller agierenden Cyberkriminellen schneller denn je auf ihre Aufdeckung und Entdeckung reagieren können.
Nach wie vor werden die wichtigsten illegalen Einnahmequellen im Diebstahl von Online-Banking-Accounts, Spamversand, der Organisation von DDoS-Attacken, Erpressung und Betrug liegen. Um diese Ziele zu erreichen, werden mehr oder weniger häufig dieselben Methoden wie heute auch angewendet werden.
Ohne Zweifel wird die Zahl der Bedrohungen für 64-Bit-Plattformen zunehmen. Da das Leben sich zunehmend in sozialen Netzwerken abspielt, wird auch im neuen Jahr die Zahl der Angriffe auf Nutzer sozialer Netzwerke zunehmen. Dabei werden die meisten Attacken Sicherheitslücken ausnutzen und über den Browser realisiert werden. DDoS-Attacken bleiben eines der wichtigsten Probleme des Internets. Zudem müssen wir uns auf neuartige Angriffe auf mobile Geräte und Betriebssysteme einstellen. In erster Linie wird das neue Jahr für Android recht gefährlich werden.
Doch all das wird nur der Hintergrund sein vor einer sich grundlegend gewandelten Landschaft, die geprägt sein wird von dem Auftreten neuer Organisatoren und neuer Ziele der Cyberattacken