CIOs vergessen innere Risiken

Seit über 15 Jahren ist er als passionierter Virenjäger den Autoren von Malware auf der Spur - seit einigen Jahren im offiziellen Auftrag der Sicherheitsspezialistin Norman Data Defense. Im Interview mit Computerworld schildert Zwienenberg das Vorgehen der Hacker, analysiert die aktuell grössten Bedrohungen und gibt einen Ausblick auf jene Risiken, die den IT-Sicherheitsverantwortlichen in den kommenden Jahren schlaflose Nächte bereiten könnten.

Computerworld: Righard Zwienenberg, was haben Computerviren an sich, dass Sie so viel Zeit in deren Bekämpfung investieren?

Zwienenberg: Es ist wohl das Verhalten des Menschen, das mich am meisten fesselt. Ich möchte einerseits herausfinden, wie Malware- Autoren vorgehen und was sie antreibt. Andererseits interessieren mich die Reaktionen der Endbenutzer. Die Welt der Computerviren ist ein Teufelskreis. Jedes Mal, wenn sich der Kreis wieder geschlossen hat, kennen die Anwender die Probleme eines Virus, sie scannen ihre Systeme entsprechend und wissen, was dagegen zu tun ist. Doch dann taucht eine neue Variante auf, die sich über einen vorher unbekannten Weg ausbreitet, und alles, was die Anwender bis dahin gelernt haben, wird sofort vergessen: Öffnen von nicht angeforderten Dateien, akzeptieren fremder Bluetooth- Verbindungen und so weiter.

Computerworld: Und diese Jagd nach den Malware-Autoren hat sie in all den Jahren noch nicht ermüdet?

Zwienenberg: Die unterschiedlichen Aufgaben und Herausforderungen innerhalb meiner Tätigkeit machen die Arbeit immer noch spannend. Sobald sie mir keinen Spass mehr macht, höre ich garantiert auf und suche mir etwas Neues. Vielleicht baue ich irgendwann Gurken an.

Computerworld: Virenautoren schreiben Malware inzwischen nicht mehr nur, um sich das Adrenalin in die Adern zu treiben, oder?

Zwienenberg: Es gibt mit Sicherheit noch Virenautoren, die sich damit einen Adrenalinkick verschaffen möchten, zehn Sekunden in den Nachrichten vorkommen wollen oder das Ziel haben, als Erster einen Virus für eine neue Plattform zu entwickeln. Aber inzwischen spielt auch die Kriminalität eine immer grössere Rolle. Es gibt Ernst zu nehmende Anzeichen dafür, dass Virenprogrammierer mit Spammern zusammenarbeiten, wobei die Schädlinge entweder sämtliche E-Mail-Adressen von den Systemen der Betroffenen lesen und auf die Website eines Spammers hochladen oder eine Backdoor installieren, wodurch das System der Betroffenen in eine Art Proxy-Server verwandelt wird. Ein solcher Proxy wird dann von den Spammern missbraucht, um ihre «Post» in der Welt zu verbreiten. Der Ursprung des Spams bleibt dabei unentdeckt. Oder ein System wird für dubiose kriminelle Handlungen genutzt, bei denen die Spur nur auf die Betroffenen als Ursprung zurückführt. Stellen Sie sich vor, dass es eines Morgens an ihrer Tür klingelt, und Sie werden verhaftet, weil Sie Kinderpornografie über das Internet verbreitet haben. Nicht gerade erfreulich, vor allem, wenn Sie davon überhaupt keine Ahnung hatten. Wenn sich das auch noch in der Nachbarschaft herumspricht, wird man Ihnen wohl nicht mehr so freundlich begegnen wie früher.

Computerworld: Was sind Ihrer Meinung nach derzeit die grössten Bedrohungen im Bereich der Informationssicherheit?

Zwienenberg: Phishing und Pharming sind zurzeit wohl die grössten Gefahrenquellen. Unter Phishing versteht man eine Art von Trickbetrug, bei dem Personen mit Methoden des Social Engineerings verleitet werden, vertrauliche Informationen wie Passwörter oder Kreditkartennummern preiszugeben.
E-Mails, die scheinbar von seriösen Absendern wie etwa einer Bank stammen, sind beliebte Hilfsmittel der Phisher. Diese Cyberkriminellen sind schwer aufzuspüren und operieren häufig von Ländern aus, die sich nicht durch eine strikte und umfassende Cybergesetzgebung auszeichnen. Diese Phishing-Falle kann aber relativ leicht mit besseren E-Mail-Clients wie zum Beispiel Qualcomm Eudora umgangen werden. Dieses Programm warnt den Benutzer, wenn er auf einen Link klickt, dessen sichtbare Beschriftung anders lautet als der tatsächliche Link, der sich dahinter verbirgt.

Computerworld: Und was muss man sich unter Pharming genau vorstellen?

Zwienenberg: Beim Pharming wird ein Domain- Name missbraucht. Der Benutzer glaubt, auf einer offiziellen Seite zu sein. In Wirklichkeit verbirgt sich dahinter eine falsche Seite, auf der persönliche Angaben verlangt werden. Pharming missbraucht das Domain Name System, mit dem Namen in IP-Adressen aufgelöst werden. Pharmer versuchen, den Hostnamen in eine andere IP-Adresse umzuwandeln und die ursprüngliche zu umgehen. Anschliessend kann der Pharmer eine Website erstellen, die der echten Website, etwa die einer Bank, zum Verwechseln ähnlich sieht und auf diese Weise viele persönliche Daten erschleichen. Eine ältere Bezeichnung für Pharming ist DNS-Vergiftung.

Das Domain Name System kann beispielsweise durch Ändern der Dateien des Hosts geschädigt werden. Durch Hinzufügen von Einträgen wird www.meinebank.com umgeleitet auf www.nichtmeinebank.com. Die
gefälschte Zielseite sieht wie die Originalseite aus, und die eingetragenen Informationen werden gestohlen.

Computerworld: Was sind die schlimmsten Fehler, die Sicherheitsverantwortliche bei ihrer Arbeit begehen können?

Zwienenberg: Am riskantesten ist es, davon auszugehen, dass Gefahren ausschliesslich von Aussen kommen. Es gibt aber unzählige Möglichkeiten, wie Probleme innerhalb einer Firma entstehen können. So stellen etwa Benutzer, die im Unternehmensnetzwerk arbeiten und die über einen VPN-Client die
Verbindung herstellen, oft ein grosses Risiko dar. Weitere Gefahrenquellen sind mobile Geräte wie Laptops oder Handhelds sowie externe Speicher wie Memorystick oder USB-Laufwerke, die sorglos ans Netz gedockt werden. Im Weiteren sind drahtlose Netze zu nennen, die zwar bis zu einem gewissen
Grad geschützt werden können, oftmals aber vollkommen offen sind für die Aussenwelt.

Gefährliche Fehler passieren auch immer wieder bei der Vergabe von Passwörtern in Kombination mit Zugriffsrechten. Pass wörter sind normalerweise leicht zu knacken. Innerhalb einer Firma gelangt man ohne weiteres mit einer Reihe von Standardpasswörtern in das Firmennetzwerk. Mit etwas Aufwand lassen sich auch spezifischere Buchstabenkombinationen herausfinden.

Computerworld: Die Zeitspanne zwischen einer neu entdeckten Sicherheitslücke bis hin zu einem ausgereiften Wurm wird immer kleiner. Wird es zukünftig mehr Zero-Day-Angriffe geben?

Zwienenberg: Mit Sicherheit! Auf diese Weise können sich die Virenprogrammierer Zugriff auf eine möglichst grosse Anzahl von Systemen verschaffen. Denn es braucht Zeit, Patches zu verteilen, und vermutlich noch mehr Zeit, bis diese in einer Firma breit angewendet werden, da die Patches erst
getestet werden müssen.

Allerdings sind die Virenautoren nicht so in Eile, da sich die Leute anscheinend mit der Aktualisierung ihrer Betriebssysteme Zeit lassen. Ein Beispiel: Der Virus W32/ Swen.A@mm, der am 18. September 2003 auftauchte, nutzte eine Sicherheitslücke aus, die 2001 gefunden und behoben wurde. Selbst jetzt erhalte ich jeden Monat automatische Nachrichten, die von dem Virus verschickt wurden. Mit anderen Worten: Noch immer gibt es Leute, die für ihr System keine entsprechenden Patches haben, um eine Sicherheitslücke zu schliessen, die vier Jahre alt ist.

Computerworld: Inwiefern können neue Antivirus-Programme schneller auf Angriffe reagieren?

Zwienenberg: Firmen, die Antivirus-Programme herstellen, forschen stets nach neuen Techniken und Verbesserungen zum Schutz der Benutzer. Einmal ist die Virenschutzlösung A der beste Schutz, ein anderes Mal ist es die Virenschutzlösung B.

Eine vielversprechende Technik ist das so genannte Sandboxing. Dabei wird ein vollständiges virtuelles Internet in das Virusprüfprogramm eingebaut. Die zu prüfende Probe wird anschliessend auf der virtuellen Festplatte in ein virtuelles System kopiert. Von hier aus wird das Programm ausgeführt. Beachtlich ist in diesem Fall, dass die Ausführung nicht wirklich stattfindet, sondern alles - einschliesslich des Betriebssystems - emuliert wird. Mit anderen Worten: Die Angriffe richten sich auf diese emulierte Umgebung, und das echte System wird verschont.

Wenn die Proben ausgeführt werden, erhalten wir einen sehr guten Überblick darüber, was der Code wirklich macht. Wir müssen das also nicht erraten oder erahnen. So können wir an den Aktionen erkennen, ob etwas gefährlich ist oder nicht. Das bedeutet, dass wir neue Viren entdecken können, ohne den Code dieser Viren vorher gesehen zu haben. Hinzu kommt, dass wir dem Endbenutzer oder Systemadministrator einen detaillierten Überblick über die Aktionen der Probe liefern können.

Computerworld: Dieses Verfahren ist aber nicht ganz neu, oder?

Zwienenberg: Theoretisch ist diese Technik bereits seit längerem machbar. Sie wäre allerdings von den Endwandern wegen der damit verbundenen hohen Kosten nicht akzeptiert worden. Doch heute - mit ausreichendem Speicherplatz, optimierten Programmiertechniken und deutlich schnelleren Prozessoren - ist das überhaupt kein Thema mehr.

Computerworld: Welche neuen Virusarten stehen uns bevor?

Zwienenberg: Die neuen Virusarten, die derzeit in ihrer Gefährlichkeit zwar stark überschätzt werden, sich in Zukunft aber dennoch zum Sorgenkind entwickeln werden, sind jene, die auf mobile Geräte losgehen. Meiner Meinung nach geht es momentan um folgende Frage: Virusattacken auf mobile Geräte - Fakt oder Fiktion. Dass sie existieren, ist klar. Wir kennen bereits Palm- OS-Viren und -Trojaner und Windows-CE-Schädlinge. Das grösste potenzielle Risiko geht aber von der Symbian-Plattform aus. Es könnte durchaus zu grösseren Sicherheitsproblemen kommen.

Computerworld: Wie können sich diese Handyviren verbreiten?

Zwienenberg: Nehmen wir als Beispiel den ersten Virus «Cabir», der sich an Mobiltelefone sendet, die Bluetooth aktiviert haben. Der Adressat muss zunächst den Empfang der Datei akzeptieren und anschliessend die Installation bestätigen. Wird der Empfang oder die Installation abgelehnt, kann sich der Virus auch nicht verbreiten. Das sollte also eigentlich kein Problem sein. Aber wenn es keines gibt, warum tauchte dieser Virus bisher in mindestens 16 Ländern auf?

Computerworld: Warum?

Zwienenberg: Die Antwort darauf ist ganz eindeutig: die mangelnde Vorsicht und Naivität der Endbenutzer. Bluetooth ist standardmässig deaktiviert und läuft aktiviert im verborgenen Modus, wenn das Gerät die Fertigung verlässt. Warum aktivieren Endbenutzer Bluetooth und lassen es im sichtbaren Modus laufen, selbst wenn sie es nicht verwenden? Vielleicht ist es Faulheit. Möglicherweise ändert sich das in naher Zukunft, wenn es noch mehr Virenangriffe auf mobile Geräte gibt.

Wir werden zukünftig auch über mehr Bluetooth- Gateways verfügen. Nicht nur innerhalb von Firmengebäuden, wo Bluetooth durch Übertragungseinrichtungen verfügbar ist, sondern auch auf der Strasse, wenn Sie an einer Litfasssäule vorbeigehen, die mit Bluetooth ausgerüstet ist und Ihnen automatisch Werbung sendet, wenn sie sich in der Nähe befinden. Der normale Endbenutzer bringt bei dieser Art von Problemen den Stein selbst ins Rollen und hat am Ende damit zu kämpfen.

Computerworld: Einerseits gibt es immer mehr Risiken für Netzwerke. Andererseits werden immer mehr Programme auf den Markt gespült. Können IT-Leiter nachts überhaupt noch ruhig schlafen?

Zwienenberg: Das wird möglich sein - wie bisher auch. Die IT-Spezialisten müssen nur erkennen, dass sich Sicherheitsansprüche sehr schnell verändern. Vor einigen Jahren waren die Ansprüche nicht so hoch, da es weniger Vektoren für Angriffe gab. Kurz: Es war einfacher, sich selbst zu schützen. Inzwischen gibt es mehr Vektoren für Virenangriffe, und in einer digitalen Welt kommen immer wieder neue hinzu.

Schutzmassnahmen für neue Vektoren sind ebenso notwendig wie die Aufrechterhaltung alter Sicherheitsstandards. Wenn sie auf dem neuesten Stand bleiben und ihren Job ordentlich erledigen, können sie nachts auch ruhig schlafen. Wenn nicht, empfehle ich ein Klappbett gleich neben der
Administrator-Konsole. Am einfachsten ist es, die Anweisungen im Handbuch ihres Antivirenprogramms zu befolgen und die Artikel zu lesen, die sie zu Sicherheitsthemen erhalten.

Eines dürfen wir allerdings nicht vergessen: Nämlich dass die meisten Unternehmen die digitale Revolution mitgemacht haben. Früher wurden vertrauliche Informationen im Safe aufbewahrt, es gab nichts anderes. Heutzutage werden solche Informationen auf dem Computer gespeichert. Der Safe wurde früher immer abgeschlossen, richtig?

Righard Zwienenbergs, Senior Virus Analyst bei Norman, erste Begegnung mit einem Computervirus
führt ins Jahr 1988 an die Technical University von Delft zurück. Sein Interesse war erwacht und fortan studierte er das Verhalten der Viren und entwickelte Erkennungsschemen. Als Mitbegründer der Computer Security Engineers zeichnete er ab 1991 als Manager für Forschungs- und Entwicklungsprojekte verantwortlich. Ende 1995 wechselte er zu Thunderbyte, die inzwischen unter den Fittichen von Norman ist. Zwienenberg, der den W32-Nimda-Virus entdeckt hat, ist seit anfangs 1992 Mitglied der Computer Antivirus Research Organization und ist Mitbegründer des Anti Virus Emergency Distribution Network und Member des WildList Technical Advisory Board.