Infektionskette im Internet unterbrechen

Was unsere IT-Systeme tatsächlich bedroht, darüber klären uns regelmäßig auf der Cebit die Hersteller von Sicherheitslösungen und deren Auguren auf. Das Ambiente hat durchaus etwas mit der Astrologie gemein. Der wachsenden Verunsicherung wirken die Anbieter mit gebetsmühlenartigen Versprechungen eines Rund-um-Schutzprogramms entgegen. Die Orientierung in den Messehallen fällt dabei keineswegs leicht.

So erläutert etwa Sicherheitsanbieter Avira, dass es Sicherheitsangriffe früher "nur" darauf abgesehen hatten, PCs durch großflächige und öffentlichkeitswirksame Attacken lahm zu legen. Heute hingegen zielten die Angreifer darauf ab, möglichst lange unbemerkt bleiben, um den Rechner für weitere Aktionen zu missbrauchen. Das ist allerdings für die Security-Verantwortlichen in den Unternehmen eine wenig tröstliche Erkenntnis.

Denn die tief in den Betriebssystemen und Anwendungen eingebetteten versteckten Schädlinge, sogenannte Rootkits, sind nämlich auch von Spezialisten kaum zu identifizieren. So blieb es auch auf der diesjährigen Cebit bei der in Expertenkreisen gleichsam beliebten wie trivialen Feststellung, dass die Angreifer immer professioneller vorgehen und eindeutig finanzielle Absichten verfolgen.

Die Akteure schauen lieber "Undercover" auf das große Geld, das sie in der Regel mit Wirtschaftsspionage oder mit professionellen Zombienetzwerken, sogenannten Botnets, verdienen. Nach Auffassung der Sicherheitsspezialisten von Postini sollten die IT-Chefs in diesem Jahr eben jene Botnets als Topthema deklarieren.

Denn nicht nur Privatanwender seien davon betroffen, auch die Unternehmensnetzwerke sind durch Erpressung oder Attacken auf die Verfügbarkeit von Services bedroht. Doch ein wirksames Frühwarnsystem für kriminell gesteuerte Computernetzwerke steckt immer noch in den Kinderschuhen, wenngleich Vertreter aus der Virenindustrie wie F-Secure oder Trend Micro bereits entsprechende Tools zum Aufspüren in ihre Schutzsuiten integriert haben.

So kontrolliert etwa F-Secure mit seiner Schutzlösung Network Control das erhöhte Datenaufkommen von bis zu zwei Gigabyte je Sekunde, um eine entsprechende "Spam-Umleitung" und die Benachrichtigung des Users zu automatisieren. Virenspezialist Trend Micro bewertet mit seinen Intercloud Security Services kontinuierlich die Reputation von IP-Adressen. Schwarze Schafe wandern in eine speziell für Provider und Netze angelegte "Hall of Shame", über die am meisten Spam verteilt wird.

Viel Marketing ersetzt Aufklärung und Methodik

Ein anderer Lösungsansatz war das von F-Secure auf der Cebit propagierte Aufspüren infizierter Rechner mit Hilfe von Google Earth. Auch über Internetseiten wie maxmind.com oder geobytes.com lässt sich die ungefähre Lage des eigenen Rechners bzw. zumindest dessen IP-Adresse im Grobraster ermitteln.

Nur bringt dieser spielerische Gimmick die Unternehmen und Endanwender kein Stück weiter. Damit lassen sich zwar bunte multimediale Landkarten erstellen, um sich ein geographisches Bild zu machen, in welchen Regionen sich die meisten kompromittierten Rechner befinden. Allerdings bleiben die Hintermänner unentdeckt, die das jeweilige Netzwerk beziehunsgweise botnet von flexiblen Servern aus steuern und rasch variieren.

Unternehmen wie Endanwender sind deshalb einem verstärkten Aktionismus seitens der Hersteller ausgesetzt, als dass diese gezielt über die Ursachen der tief in den Systemen verborgenen Probleme informierten. In der Messehalle 7 konnten die Besucher trotzdem das ganze bekannte Waffenarsenal aus der IT zum Schutz kritischer Infrastrukturen bestaunen. Der Branche geht es sichtbar gut. Sie berauscht sich an ihrem eigenen Erfolg.

Als eines der aktuell prägnanten Marketing-Vehikel in der IT-Branche dient derzeit das Feld der mangelnden Datensicherheit bei mobilen Endgeräten. Dies ist zwar zweifellos ein wichtiges Zukunftsfeld, aber angesichts der konzeptionellen Bedrohungsmuster im World Wide Web in der öffentlichen Wahrnehmung derzeit deutlich überbewertet. Man gewinnt oftmals den Eindruck, dass Nebenschauplätze von den eigentlichen Defiziten ablenken.

Denn viel schwerer wiegt die Erkenntnis, dass die IT-Branche von einem "sich selbst verteidigenden Netzwerk" einschließlich der Applikationen noch Lichtjahre entfernt ist, zumal die raffinierten Schädlinge immer wieder ganz bequem die unzähligen konzeptionellen Schwachstellen im Design der Software-Produkte ausnutzen.

Da sich die Anzahl kommerzieller Softwarelösungen im Durchschnitt etwa alle eineinhalb Jahre verdoppelt, ist eine ausreichende Qualität in der Phase der Softwareprogrammierung auch künftig kaum gewährleistet. Die sichere Softwareprogrammierung spielt zudem in der Ausbildung nur am Rande eine Rolle. Von einer Umorientierung in der Ausbildung war aber in der Security-Halle auf der Cebit nichts zu hören. Stattdessen suggerieren neue Appliances und kombinierte Schutzsuiten den perfekten Rund-um-Schutz gegen jede erdenkliche Bedrohung.

Zudem sorgt die steigende Zahl an Web 2.0-basierten Technologien, etwa auf Basis von Java oder .NET, für ständig neue Risikoherde. Auch dazu fanden grundsätzliche methodische Betrachtungen kaum Widerhall in den Messehallen. Zu hipp und trendy ist die Spielwiese rund ums Web 2.0 mit dem Zugpferd "Second Life", als dass sich mit diesem Hype nicht auch im Bereich der Geschäftskunden (Business-to-Business) nicht das große Geld verdienen ließe.

Immerhin den Versuch einer konzeptionellen Kritik an der neuen Unübersichtlichkeit bzw. Oberflächlichkeit im globalen Internet wagte Raimund Genes, CTO Anti-Malware bei Trend Micro. Er sparte nicht mit scharfer Kritik an den Herstellern, denen es kaum gelänge, bug- und malwarefreie Zonen zu schaffen. "In vielen Fällen hat die Malware-Industrie im vergangenen Jahr einen schlechten Job gemacht."

Bild-Spammer machen derzeit Kasse

Auf der anderen Seite verdiene die Malware-Industrie inzwischen mehr Geld als der organisierte Drogenhandel. Und das aus gutem Grund: Denn die Anwender können sich kaum darauf verlassen, dass die gängigen Anti-Virenschutzprogramme oder Schutzsuiten raffinierte Schädlinge überhaupt oder zumindest rechtzeitig vor dem Ausbruch einer Virenplage erkennen. Dies wird am Beispiel von Image-Spam oder Keyloggern deutlich: "Die signaturbasierte Erkennung ist eine echte Herausforderung", beklagt Genes.

Deshalb gestalte sich der Nachweis von Imagespam durch einen "Prüfsummencheck" sehr aufwändig. So gelänge es den Spammern der Bilder immer wieder, die Spam-Filter zu umgeben, da ein Bild-Spam die Nachricht im Body der E-Mail nicht als Text, sondern als Bild anzeigt. Außerdem variieren die Akteure die Eigenschaften des Bildes wie Größe, Hintergrund oder Rahmen immer wieder willkürlich, um die herkömmliche Nutzung von Spam-Signaturen zu umgehen.

Hinzu kommt, dass der Bild-Spam auch in Phishing-E-Mails auftreten kann. Die Phishing-Nachricht wird dazu in einem Bild angezeigt, das einen Link auf eine betrügerische Webseite setzt. Die Malware-Landschaft werde generell zunehmend von webbasierten Angriffen geprägt, bilanziert Raimund Genes: "Nur die Zusammenarbeit aller verfügbaren Technologien kann die neue Welle von Malware-Bedrohungen bekämpfen."

Häufige Fehlalarme führten zudem zu einer Abstumpfung des Nutzers, der kaum mehr die wirklichen Bedrohungen wahrnehme. Auch tausche die Industrie bisher nur selektiv die frischen Malware-Samples untereinander aus, weshalb die Reaktionszeiten auf eine neue Bedrohung immer noch zu lang seien. Der Experte plädiert statt blindem Aktionismus für einen neuen Strategieansatz: "Wir müssen die Infektionskette im Internet durch eine mehrstufige Lösung unterbrechen."

Web Reputation als Schlüssel für das 21. Jahrhundert?

Die Phalanx einer verlässlichen Web Reputation sollen bald schon global zugängliche IP-Adressen, Domänen, URLs, Dateinamen, Name- und Mail-Server bilden. Die Voraussetzung hierfür bilden neue heuristische Funktionen sowie die Erkennung von Bedrohungen über mehrere Protokolle und Sitzungen. Am Endpoint außerhalb des Intranets sei zudem eine aktive Zugriffssteuerung, Wiederherstellungsmechanismen sowie Verhaltensanalysen notwendig.

Zum Jahresende will Trend Micro das Konzept von umfassenden "Network Reputation Services" vorstellen. Die Basis hierfür bildet eine Datenbank, die zwei Milliarden Treffer pro Tag generiert und auf einem Server mit 1,5 Terabyte abgelegt ist, was eine Verfügbarkeit der Internetservices von 99,999 Prozent garantieren soll. "Alle Produkte kommunizieren mit dieser Datenbank und unterbrechen so die Infektionskette", hofft Genes.

Infizierte und verdächtige Clients könnten automatisch entdeckt werden und sich selbst wiederherstellen. Im Gegensatz zu üblichen URL-Filtern enthalte die Liste aber nicht nur bekannte und bereits identifizierte Beispiele. Die Gesamtprofile enthalten auch verdächtige Tätergruppen sowie potenzielle künftige Täter. "Im Vergleich dazu ist die Web Reputation, als würde man das gebündelte Informationsmaterial von FBI und Interpol nutzen", bekräftigt Genes.

Die Parameter für das Sicherheits-Rating von Websites bilden über 50 Merkmale, von statischen wie der Domainregistrierung über Wechsel bis hin zu Communities, geographischen oder inhaltsbezogenen Merkmalen. Allerdings erinnert das gemeinsam mit Partner Cisco entwickelte und auf der Cebit erstmals vorgestellte Konzept doch in leicht veränderten Gewande allzu sehr an das "sich selbst verteidigende Netzwerk", von dem wir leider immer wieder ein gutes Stück entfernt sind.

Ob das Fernziel einer End-to-End-Lösung für Internet-Bedrohungen vom Netz bis zur Client-Konsole überhaupt realistisch ist, oder eher der Abteilung Marketing in der Security-Branche zugerechnet werden kann, zeigen erst die Härtetests in der Praxis. Auf der nächsten Cebit wissen wir bereits mehr. Ausgeliefert werden soll das von Trend Micro beworbene Produkt gemeinsam mit der Version Office Scan 8.0. Andere Hersteller werden sicherlich bald mit ähnlichen Angeboten rund um die Web Reputation nachziehen.