Digitale Bedrohungen, die im Zusammenhang mit kriminellen Handlungen stehen, haben an Bedeutung zugenommen. Wie sich bereits im vorangegangenen Sicherheitsreport andeutete, wenden sich Angreifer von großen, vielschichtigen Angriffen auf herkömmliche Sicherheitseinrichtungen wie Firewalls und Router ab. Gegenwärtig konzentrieren sie ihre Anstrengungen auf regionale Ziele, PCs und Webanwendungen, die ihnen Zugriff auf vertrauliche Informationen ermöglichen. Diese Informationen lassen sich für den eigenen finanziellen Gewinn missbrauchen.

Lautlose Angriffe spionieren vertrauliche Daten aus

In der Vergangenheit waren Angriffe häufig darauf ausgerichtet, Daten zu zerstören. Heutige Angriffe zielen vielmehr darauf ab, im Stillen Daten für Profit zu stehlen, ohne nennenswerten Schaden auf dem Rechner anzurichten, der den Anwender auf den Angriff aufmerksam machen würde. Symantec verzeichnete einen Anstieg von 74 Prozent auf 80 Prozent unter den Top 50 der Schadcodes bei bösartigem Code, der vertrauliche Informationen ausspäht.

„Internetkriminalität stellt einen Lebens- und Arbeitsstil, der ganz auf die Verwendung digitaler Informationen setzt, auf eine harte Bewährungsprobe“, so die Einschätzung von Candid Wüest, Virenexperte bei Symantec. „Das Internet als Umschlagplatz von Waren und Dienstleistungen zieht auch unehrliche Zeitgenossen an – ganz so, wie wir es aus der herkömmlichen Geschäftswelt schon seit langem kennen. Auf die erweiterten technologischen Möglichkeiten von Cyberkriminellen müssen Unternehmen und Privatleute mit angemessenen Sicherheitsmaßnahmen antworten.“

Zu den erwähnten technologischen Möglichkeiten gehören auch Bot-Nets, die eindeutiger als je zuvor dem Bereich der Internetkriminalität zuzuordnen sind. Bot-Nets bestehen aus infizierten Rechnern, die sich zentral fernsteuern lassen. Mit ihrer Hilfe lassen sich zeitgleich und mit geringem Aufwand Tausende von Angriffen lancieren. Mit 9.163 infizierten Systemen pro Tag ist die Zahl bot-infizierter Rechner zwar um 11 Prozent gegenüber dem Vorjahreshalbjahr zurückgegangen, doch werden die Bot-Netzwerke in verstärktem Maß für kriminelle Aktivitäten wie beispielsweise Denial-of-Service (DoS)-basierte Erpressungsversuche eingesetzt. Im Schnitt beobachtete Symantec 1.402 DoS-Angriffe pro Tag. Das ist ein Anstieg von 51 Prozent. „Einen Grund zur Entwarnung bei Bot-Nets gibt es somit nicht“, so Candid Wüest, Virenforscher bei Symantec. „Unsere Experten rechnen mit einer weiteren Zunahme DoS-Angriffen über Bot-Netze, da Angreifer verstärkt Schwachstellen in Webanwendungen und Browsern ausnutzen werden.“

Modularer Code: Bedrohung nach dem Baukastenprinzip

Symantec verzeichnete eine Zunahme an Schädlingen, die zunächst nur über limitierte Funktionen verfügen, sich jedoch selbsttätig mit zusätzlichen Schadroutinen per Download hochrüsten, nachdem sie ein System befallen haben. Modularer Schadcode zielt häufig auf vertrauliche Informationen ab, die für Kreditkartenbetrug oder andere kriminelle Aktivitäten eingesetzt werden. Während der letzten sechs Monate des Jahres 2005 machte modularer Code bereits 88 Prozent der Top 50-Schädlinge aus (77 Prozent im vorherigen Halbjahr). „Statische Cyberschädlinge sind auf dem Rückzug“, stellt Candid Wüest fest. „Wir werden verstärkt konfrontiert mit dynamischen Bedrohungen, die sich flexibel ihrer Umgebung anpassen.“

Weitere wichtige Ergebnisse des Berichts

::: Die Bedrohung durch Phishing nimmt weiter zu und visiert jetzt kleinere, regionale Ziele an. Im Untersuchungszeitraum wurden 7,92 Millionen Phishingversuche täglich registriert (gegenüber 5,7 Millionen im Halbjahr zuvor). Symantec erwartet künftig vermehrt Phishing-Versuche und Schadcode, die Instant Messaging zu ihrer Verbreitung nutzen.

::: Symantec dokumentierte 1.895 neue Schwachstellen – die höchste Gesamtzahl seit 1998. 97 Prozent dieser Schwachstellen stellten eine mittlere bis ernsthafte Bedrohung dar. 79 Prozent von ihnen ließen sich mühelos ausnutzen.

::: Jede Schwachstelle ist ein potenzielles Einfallstor in ein System oder Netzwerk: Symantec hat gemessen, dass im Durchschnitt 6,8 Tage zwischen der Bekanntgabe einer Schwachstelle und der Veröffentlichung von passendem Exploit Code – der eine Ausnutzung dieser Schwachstelle ermöglicht – verstrichen (im Untersuchungshalbjahr davor waren es 6 Tage). Bis der Patch des Herstellers zur Verfügung stand, vergingen durchschnittlich 49 Tage. Unternehmen und Privatanwender sind einer möglichen Attacke somit 42 Tage lang ausgesetzt.

::: Symantec rechnet mit einer Kommerzialisierung der Schwachstellenrecherche mit einem wachsenden virtuellen Schwarzmarkt, auf dem Wissen und Technologien rund um Schwachstellen in krimineller Absicht gehandelt werden.

::: Symantec hat gemessen, wie viel Zeit Angreifer brauchen, um neu installierte Betriebssysteme zu beeinträchtigen. Von den Servern wurde der ungepatchte Windows 2000 Server in der kürzesten Zeit kompromittiert, wohingegen der gepatchte Windows 2003 Web Edition sowie die gepatchte und ungepatchte Version von RedHat Enterprise Linux 3 Angriffen standhielten. Bei den Betriebssystemen für Desktops wurde Microsoft Windows XP Professional ohne Patches in der kürzesten Zeit gefährdet, während dasselbe Betriebssystem mit sämtlichen Patches sowie SuSE Linux 9 Desktop sich nicht beeinflussen ließen.

::: Die Zunahme an neuen Win32-Viren und -Würmern war moderat: Symantec registrierte 10.992 neue Win32-Schädlinge (gegenüber 10.866 im Halbjahr zuvor). Auch gab es weniger Bedrohungen der Kategorien 3 und 4 (mäßig bis sehr ernst), dafür eine entsprechende Zunahme in den Kategorien 1 und 2 (geringe und sehr geringe Bedrohung). Auch die Zahl neuer Win32-Virus und -Wurm-Familien ist gesunken und zwar um 39 Prozent (von 170 auf 104). Das sind Indizien dafür, dass Virenschreiber lieber bereits in Umlauf befindlichen Code modifizieren, als bei der Entwicklung von Schädlingen bei Null anzufangen.

::: China hat mit einem Anstieg von 37 Prozent die größte Zunahme an Bot-infizierten Rechnern zu verzeichnen – damit liegt China nach den USA auf Platz Zwei. Wahrscheinlich ist dies auf einen großen Anstieg der Breitband Internetanschlüsse in China zurückzuführen. Die Anzahl an Schadcode aus China hat ebenfalls stark zugenommen – um 153 Prozent. Bot-Netze können dafür die Ursache sein.

Zielsetzung des Internet Security Threat Reports

Der Internet Security Threat Report von Symantec analysiert netzwerkbasierte Angriffe, Schwachstellen und bösartigen Code sowie weitere Sicherheitsrisiken wie Phishing, Spam oder Spyware. Mit Hilfe eines globalen Verbunds aus verschiedenen Informationssystemen identifiziert Symantec Trends in der Internetsicherheit. Das Symantec Global Intelligence Network greift auf folgende Quellen zurück:

::: Symantec DeepSight Threat Management System und Symantec Managed Security Services: mehr als 40.000 Sicherheitssensoren in über 180 Ländern beobachten umfassend Aktivitäten im Internet.

::: Symantec Virenschutzlösungen: Einsendungen von bösartigem Code sowie Spyware von über 120 Millionen installierten Virenschutzlösungen auf Clients, Servern und Gateways

::: Schwachstellendatenbank von Symantec: eine der umfassendsten Schwachstellendatenbanken weltweit, mit Informationen zu mehr als 13.000 Schwachstellen in über 30.000 Technologien von über 4.000 Herstellern

::: BugTraq: eines der meist genutzten Foren für die Veröffentlichung und Diskussion von Schwachstellen im Internet mit mehr als 50.000 Abonnenten

::: Symantec Probe Network: bestehend aus mehr als zwei Millionen eigens eingerichteten E-Mail-Konten als Köder, für umfassende Analysen globaler Spam- und Phishing-Aktivitäten

Umfassendes Hintergrundmaterial zum Symantec Global Intelligence Network sind unter folgendem Link erhältlich. weitere Infos