Profihacker finden neue Wege

Die Ruhe an der Malwarefront ist trügerisch. Kein Melissa-, Loveletter- oder Sasser-Wurm, der die halbe Welt in Panik versetzen würde. Untätig sind die Virenschreiber und Hacker aber beileibe nicht - und werden es auch 2008 nicht sein. Nur werden deren Methoden zunehmend unscheinbarer und damit ihre Angriffe immer perfider. Dieser Trend, der sich bereits dieses Jahr abzeichnete, setzt sich nach Einschätzung der Virenjäger und Sicherheitsexperten nicht nur fort. Er wird noch stärker.Grund für diese Entwicklung ist - wer hätte es geahnt - der schnöde Mammon. Angriffe auf finanziell lohnende Ziele nehmen zu, Attacken, die lediglich der Befriedigung des eigenen Egos dienen, flauen ab. Dabei haben die Hacker einen hohen Professionalisierungsgrad erreicht. Candid Wüest, Internetsicherheitsexperte bei Symantec, berichtet von regelrechter Arbeitsteilung unter den Malware-Produzenten und von Arbeitsverträgen zwischen den Webkriminellen und deren Auftraggebern.

Die zunehmende Professionalisierung der «Branche» hat zur Folge, dass die Firmen-IT mehr und mehr ins Zentrum der Kriminellen rückt. Neben der Jagd auf Passwörter, Kreditkartennummern und Online-Banking-Daten von Privatanwendern nehmen Wirtschafts- und Industriespionage, gerade auch bei mittelständischen Unternehmen, stetig weiter zu. Die Melde- und Analysestelle Informationssicherung des Bundes (Melani) beschreibt in ihren periodischen Lageberichten die Vorgehensweise der Hacker. Diese versenden heute vermehrt ganz gezielt Mails an einzelne Mitarbeiter. Dabei beschaffen sich die Angreifer im Vorfeld Informationen über ihr Opfer, etwa über Social-Networking-Seiten wie Xing oder durch Social Engineering. Entsprechend kenntnisreich sind die Mails abgefasst. Resultat: Das ausgespähte Opfer klickt ohne Bedenken auf das am E-Mail angehängte Attachment oder den eingefügten Link - und handelt sich Malware ein, die heimlich Informationen über das Unternehmen sammelt.

Ebenso, wie die Hacker 2008 noch gezielter vorgehen und massgeschneiderte Viren und Würmer schreiben werden, findet auch an der Spamfront eine Spezialisierung statt. Denn auch die Spammer lernen die Vorzüge des «Zielgruppenmarketing» kennen. Sie recherchieren etwa Hobbys, Interessen und Vereinszugehörigkeit ihrer Adressaten und unterbreiten ihnen dann Werbemails, die bei diesen eher auf Interesse stossen als die bisher üblichen, «ins Blaue» verschickten Spambotschaften.

Eine der grössten Gefahren 2008 werden «Drive-by-Downloads» auf Webseiten darstellen. Dabei werden ganz normale Seiten gehackt und mit unsichtbaren Links versehen. Gemäss Candid Wüest reicht allein der Besuch einer solchen Seite aus, um den PC zu infizieren. So geschehen mit der Website des diesjährigen US-Football-Finals «Superbowl». Sie wurde von Hackern so präpariert, dass sich jeder, der sie ansurfte, einen Virus einhandelte.

Auch die Security Labs der IT-Sicherheitsspezialistin Websense sehen 2008 eine Welle «gekaperter» Webseiten auf die Internauten zukommen. Die Websense-Analysten rechnen sogar damit, dass es mehr Websites geben wird, die von Hackern präpariert und mit Malware versehen werden, als solche, die von den Kriminellen selbst ins Netz gestellt werden.

Gerade Grossereignisse - das zeigt das Beispiel Superbowl - werden von Hackern vermehrt für dunkle Machenschaften missbraucht. Die Forscher von Websense sehen entsprechend in den grossen Sportveranstaltungen 2008, also der Olympiade in Peking und der Fussball-Europameisterschaft Euro08 in der Schweiz und Österreich besonderes Gefahrenpotenzial. So könnten Hacker etwa präparierte E-Mails mit Resultaten verschicken. Statt des neusten Spielstands erhalten die Empfänger aber den jüngsten Virus geliefert.

Ein weiterer von der IT-Security-Gilde prognostizierter Trend ist, dass zunehmend unter Windows Vista laufende PC angegriffen werden. Deren Benutzer blieben bislang von grösseren Virenplagen verschont. Was laut den Analysten der Antiviren-Softwareherstellerin Mc-Afee nicht daran liegt, dass Vista besonders sicher sei. Vielmehr sei der Verbreitungsgrad des Betriebssystems bisher noch zu klein. 2008 rechnet McAfee aber mit einem Vista-Marktanteil von mehr als zehn Prozent, was nicht zuletzt auf das für Anfang Jahr erwartete Service Pack 1 zurückzuführen sei. Mit der steigenden Verbreitung von Vista nimmt auch die Attraktivität des Betriebssystems als Angriffsziel zu.

Was für Vista gilt, trifft auch auf andere Verbreitungswege zu. Vor allem Chat-Programme könnten 2008 zur Viren-, Würmer- und Spamschleuder werden, glauben die Analysten bei McAfee. Denn mit der zunehmenden Komplexität der Instant Messenger mehre sich auch die Anzahl hochriskanter Löcher, die von Hackern ausgenutzt werden können.

Und noch ein weiterer Übertragungsweg zeichnet sich ab: IP-Telefone. Laut McAfee hat sich 2007 die Zahl der Sicherheitslücken in VoIP-Geräten (Voice over IP) mehr als verdoppelt. McAfee rechnet für 2008 daher mit 50 Prozent mehr Angriffen auf die Internet-Fernsprecher. Besonders «Vishing-Attacken», also automatisierte Massenanrufe mit dem Ziel, sensible Daten in Erfahrung zu bringen, würden zunehmen.

Mehr Übertragungswege und die gezielte Verseuchung kleiner Gruppen würden schlussendlich dazu führen, dass eine Unzahl spezialisierter Viren und Würmer in Umlauf gebracht werden, die sich meist nur durch wenige Codezeilen von bestehenden Übeltätern unterscheiden. Magnus Kalkuhl, Virenanalyst bei Kaspersky Lab, geht davon aus, dass sich der tägliche Output der Malware-Schreiber kommendes Jahr von derzeit 400 auf 700 erhöhen wird.

Recht

Im 1. Januar 2008 tritt in der Schweiz das revidierte Datenschutzgesetz in Kraft. Wichtigste Neuerung: Werden besonders schützenswerte Daten einer Person erhoben, etwa über deren Gesundheit oder Religion, muss die Person vom Sammler aktiv über diese Datenerhebung informiert werden. Gleiches gilt für Firmen, die mit Hilfe der gesammelten Informationen Persönlichkeitsprofile anlegen.

Eine weitere Neuerung betrifft den grenzüberschreitenden Austausch personenbezogener Daten. Der ist nun möglich, falls der Empfänger zum gleichen Konzern gehört oder anderweitig als vertrauenswürdig gilt.

Schliesslich plädiert das Gesetz für mehr Selbstregulierung. Unternehmen werden dazu angehalten, einen unabhängigen betrieblichen Datenschutzbeauftragten zu ernennen. Zudem wird eine Zertifizierung eingeführt, mit der Firmen datenschutzkonformes Verhalten beweisen können.

Zumindest auf dem Papier bringt das revidierte Datenschutzgesetz somit mehr Protektion für die Privatsphäre natürlicher Personen. Experten befürchten allerdings, dass auch das überarbeitete Gesetz nicht all zu viel bewirken wird. Grund: Es drohen nach wie vor kaum Sanktionen bei Nichtbeachtung der Paragraphen. Allgemein fehle ein echter Präzedenzfall in Sachen Datenschutz, moniert etwa Ursula Uttinger, Präsidentin des Datenschutz-Forums Schweiz. Die wenigen Fälle, die es bisher vor ein Gericht schafften, endeten mit einem Freispruch. Daher bräuchten sich Firmen vor dem revidierten Datenschutz kaum zu fürchten, kritisiert sie.

Einzig Adresshändler und Direct-Marketing-Firmen könnten in die Bedrouille geraten. Sie tun nämlich objektiv genau das, wofür das Datenschutzgesetz künftig eine aktive Information der Betroffenen vorsieht: Sie legen Persönlichkeitsprofile an. Doch auch hier besteht Spielraum für die Auslegung des Gesetzes. Wer definiert, was ein Persönlichkeitsprofil ist? Die Adresshändler werden ab ersten Januar 2008 genug Gründe finden, die belegen, dass ihre Datensammlungen keine Bildung von Profilen erlaubt.