Cyber-War im Web 2.0

1,1 Mio. bekannte Schadcodes gibt es mittlerweile bereits. Allein zwei Drittel davon stammen aus dem Jahr 2007, sagt der 13. Symantec Internet Security Threat Report, dem die Daten aus dem zweiten Halbjahr 2007 zugrunde liegen. Diese Virenexplosion ist auf eine signifikante Professionalisierung der Internetkriminalität zurückzuführen.

Die Virenjäger der Sicherheitsspezialisten kämpfen nicht mehr gegen Einzeltäter, sondern in zunehmendem Maß gegen eine globalisierte Untergrundwirtschaft, die arbeitsteilig zusammenarbeitet und ihre kriminellen "Dienstleistungen" auf einem florierenden Schwarzmarkt feilbietet. "Malware as a Service" könnte man das Geschäftsmodell nennen. Jeder, der mit genügend krimineller Energie ausgestattet ist, kann diese Services für eigene Cyber-Betrügereien nutzen.

Je nach Bedarf werden die Angriffswerkzeuge modifiziert und die Erfolg versprechenden Entwicklungen zu Toolkits zusammengefasst, die dann auf Untergrundservern jedem Interessierten angeboten werden. Beispielsweise gehen 26 % aller weltweiten Phishing-Seiten auf nur drei Toolkits zurück. Perfekt konzertierte Angriffe werden oftmals über "Botnets", Zombie-Netzwerke aus Millionen gekaperter Rechner ahnungsloser Benutzer, lanciert. Auch diese Netze kann man am Schwarzmarkt einfach für seine Zwecke anmieten.

Mit der Professionalisierung im Cybercrime Business hat sich auch die Natur der Angriffe verändert, konstatiert der IT-Berater Gartner. Statt breit angelegte Denial of Service-Attacken, lancieren die Angreifer jetzt mehrheitlich gezielte, großteils finanziell motivierte Angriffe, bei denen sie möglichst lange unentdeckt bleiben wollen, um etwa Passwörter oder persönliche Nutzerinformationen zu stehlen.

Die Preise in der Untergrundwirtschaft richten sich zunehmend nach Marktgesetzen wie Angebot und Nachfrage. So begründet sich der Preis für eine Kreditkartennummer nach der Lage der Bank und der Seltenheit der Karte. Die Kosten für eine komplette gestohlene Identität richten sich ebenfalls nach dem Standort der jeweiligen Person. Zugangsdaten zu europäischen Bankkonten werden beispielsweise relativ teuer angeboten. Kreditkartennummern und Identitäten können einzeln oder im Paket gekauft werden - Rabatte inklusive.

Globalisierung

Die Security-Branche hat alle Hände voll zu tun, um mit dem neuen, globalisierten Bedrohungsbild und der explodierenden Masse an Schadcodes fertig zu werden. Symantec zum Beispiel nutzt für das Aufspüren von Malware nicht nur die 120 Mio. Security-Produkte, die bei den Kunden im Einsatz sind, sondern auch zwei Mio. Köder-E-Mail-Accounts, die der Hersteller rund um den Globus betreibt, ebenso 40.000 Netzwerk-Sensoren sowie auch so genannte "Honeypot"-Systeme - das sind ungeschützte Computer, die Angreifer anlocken sollen. Die modernen Angriffswerkzeuge der Cyber-Kriminellen durchforsten das gesamte Internet automatisiert und systematisch nach Schwachstellen.

"Wenn man ungeschützte Rechner ins Netz hängt, sind sie binnen Sekunden infiziert", erklärt Kevin Hogan, Direktor des Symantec Security Response Centers in Dublin. Pro Monat werden bis zu 250.000 potenziell schädliche Codes an das Center übermittelt, die großteils automatisiert analysiert werden. Nur ein kleiner Teil davon sind neue Bedrohungen, die die Sicherheitsexperten genauer unter die Lupe nehmen. Die entsprechenden Virusdefinitionen - über 40.000 pro Monat - werden dann per Live-Update an die Kundensysteme übermittelt. Dazu Hogan: "Signaturen für einfache Schadcodes werden innerhalb von Minuten geschrieben, bei komplexer, polymorpher Malware kann das auch Stunden bis Tage dauern. Früher hatten wir es ausschließlich mit konsistenter Malware zu tun, heute handelt es sich immer öfter um verteilte Codes, die arbeitsteilig zusammenspielen und erst gemeinsam die beabsichtigte schädliche Wirkung entfalten. Das macht es uns ungleich schwerer, das gesamte Bedrohungsbild zu erkennen." So wie das Cybercrime-Netzwerk ist auch die Virenjagd längst ein weltumspannendes 24-Stunden-Business. Wenn die irische Sonne im Atlantik versinkt, übernimmt ein Symantec Security Response Center in Kalifornien, acht Stunden später ein drittes in Japan - ein globalisierter Schichtbetrieb.