Raimund Genes ist President European Operations bei Trend Micro.

Die Bedrohungslandschaft im Bereich Malware wird immer unübersichtlicher: zu den «klassischen» Viren und Würmern hat sich heute eine Armee weiterer Malicious Codes gesellt, die sich durch ganz eigene Angriffsmethoden und -ziele auszeichnen. Mit Spyware, Phishing & Co. nehmen Malware-Programmierer verstärkt die Bankkonten und Passwörter von Anwendern ins Visier. Dazu kommen unzählige, halb-legale Grayware-Anwendungen, deren Aufgaben und Funktionsweisen teilweise nur schwer zu durchschauen sind. Vollkommen unklar ist zudem, welche Gefährdungen für neue Plattformen wie mobile Geräte zu erwarten sind.

Unternehmen und Privatanwender dürfen deshalb für die nächste Zeit nicht mit einer Entspannung der Situation rechnen, darin sind sich alle Sicherheitsexperten einig. Im Gegenteil: Es ist von einer weiteren Verschärfung der Situation auszugehen. Im Folgenden werden die Malware-Trends vorgestellt, die für Anwender in naher Zukunft besondere Bedeutung bekommen.

Noch vor wenigen Jahren ging es Malware-Programmierern vornehmlich darum, mit spektakulären Angriffswellen eine möglichst grosse Aufmerksamkeit zu erzielen. Jetzt hat sich die Situation ins Gegenteil verkehrt: So verzeichnete zum Beispiel Trend Micro seit November 2005 keine globale Angriffswelle mehr, obwohl der Hersteller in den Jahren zuvor fast monatlich vor einem neuen, weltweit aktiven Malicious Code warnen musste. Der Grund hierfür ist die zunehmende Professionalisierung der Malware-Szene. Mit Angriffen werden heute meist finanzielle Ziele verfolgt. Deshalb können immer mehr kleine, zielgerichtete Angriffe beobachtet werden. Im Fadenkreuz stehen jetzt begrenzte Anwendergruppen mit gleichen Merkmalen. Dies erlaubt eine bessere Anpassung der Täuschungsmanöver und reduziert gleichzeitig das Risiko einer Entdeckung.

Der neuste Trend sind dabei E-Mails, die individuell an bestimmte Personen in Behörden und Unternehmen versendet werden. Wird der unverdächtig scheinende Anhang installiert, sucht ein Trojaner gezielt nach vertraulichen Unterlagen. Die britische Zeitung The Guardian berichtete bereits über Angriffe auf Parlamentsabgeordnete, die nach China zurückverfolgt werden konnten.

Im Vergleich zum letzten Jahr ist die Verbreitung von Grayware um rund 100 Prozent angestiegen. Grayware hat sich damit als eine der dominierenden Malware-Gruppen etabliert. Das ist kaum verwunderlich, denn mit den Programmen, die in dieser Kategorie zusammengefasst sind, wird direkt auf das Portemonnaie der Anwender gezielt. Darüber hinaus unterscheidet sich die Entwicklung der halblegalen Grayware erheblich von derjenigen anderer Malicious Codes: Interessierte Dritte (unseriöse Anzeigenvermarkter, E-Commerce-Angebote) investieren teilweise grosse Summen in die Entwicklung von Grayware, sodass umfangreiche Ressourcen zur Verfügung stehen, bis hin zu Testlabors.

Ein Beispiel für diese Zusammenarbeit ist der Troj_Arhiveus.A. Die Ransomware (Lösegeld-Software) verfolgt eine indirekte Herangehensweise bei der Erpressung von Anwendern: wie auch andere Ransomware, verschlüsselt Troj_Arhiveus.A. private Dateien auf infizierten Computern. Für die Entschlüsselung wird kein Lösegeld verlangt, sondern der Einkauf bei einer bestimmten Online-Apotheke. Mit dieser Methode reagiert die Malware- und Spammer-Szene wahrscheinlich auf die Fortschritte bei der Spam-Abwehr. Da Spammer immer grössere Schwierigkeiten haben, ihre Nachrichten an den Empfänger zu bringen, werden sie sich in nächster Zeit auf alternative Methoden verlegen. Mit Ransomware, wie Troj_Arhiveus.A., nimmt somit eine beunruhigende Entwicklung ihren Lauf.

Abseits der professionalisierten und finanziell motivierten Szene gibt es immer noch Malware-Programmierer, die von Geltungssucht oder sportlichem Ehrgeiz angetrieben sind. Diese Gruppe scheint sich jetzt wieder einer der ursprünglichsten Angriffsmethoden zuzuwenden: dem File-Infektor. Für moderne Massenangriffe ist dieser Virustyp kaum geeignet, da er sich relativ langsam ausbreitet, weniger Systeme befällt und vom Programmierer ein hohes Mass an -technischem Know-how erfordert. Mit
PE_Polip.A und PE_Detnat.A sind wieder zwei Vertreter dieser Spezies entdeckt worden. Beide verbreiten sich vornehmlich über Peer-to-Peer-Netzwerke und stellen die Speerspitze einer in den letzten Monaten kontinuierlich wachsenden Zahl von File-Infektoren dar. Diese Entwicklung gibt für die Zukunft Anlass zur Sorge: sie sind oftmals sehr zerstörerisch, schwer zu entdecken und noch schwerer zu entfernen. Die Programmierer kennen die Schwachstellen von Betriebssystemen genau, sodass File-Infektoren zu den technisch raffiniertesten Angriffen zählen. Aufgrund der bisherigen Erkenntnisse rechnen Experten gegen Ende dieses Sommers mit einer neuen Welle von File-Infektoren.

Bereits seit Einführung der ersten Generation von mobilen Geräten mit Datenfunktionen ist über die Gefährdung durch Malicious Codes spekuliert worden. Das Schadenspotenzial ist unzweifelhaft gross, da vor allem Business-Anwender auf ihren Smartphones und PDA durchaus kritische Daten speichern. Mit Bluetooth und MMS stehen zudem Schnittstellen bereit, die sich als Verbreitungswege für Malware nutzen lassen. Bislang ist die grosse Welle mobiler Malicious Codes aber ausgeblieben - bedeutet das Entwarnung? Leider nicht: Zwischen Januar 2005 und März 2006 ist die Anzahl der mobilen Malicious Codes um 1000 Prozent angestiegen. Mit Worm_CXover.A ist zudem ein Schädling aufgetaucht, der sowohl Microsoft Windows als auch Windows CE infiziert und zwischen beiden Plattformen springen kann. Obwohl die meisten mobilen Malicious Codes noch als Proof-of-Concept zu betrachten sind, geben sie bereits einen Vorgeschmack auf die Zukunft. Die technisch versierte Malware-Szene bringt sich in Stellung, denn mobile Plattformen sind als Ziel von grösster Attraktivität.

Unternehmen und Privatanwender müssen sich in der nahen Zukunft auf ein zwei-geteiltes Bedrohungsszenario einrichten: Einerseits wird die professionelle Malware-Szene ihr Arsenal von Spyware, Ransomware und Phishing-Methoden noch weiter verfeinern, um den maximalen finanziellen Vorteil aus jedem einzelnen infizierten PC beziehungsweise arglosen Nutzer zu ziehen. Damit einher geht der Trend zu kleineren, auf bestimmte Anwendergruppen zugeschnittene Angriffswellen, vor denen nur äusserste Wachsamkeit und ein gesundes Misstrauen schützen können. Andererseits ist die Ära des technisch versierten Malware-Programmierers, dem es um Medienaufmerksamkeit und die Anerkennung der Szene geht, noch nicht vorbei. Aus dieser Richtung sind die technologischen Neuerungen zu erwarten, darunter auch die nächste Generation von aggressiven File-Infektoren. Aber auch mobile Geräte stehen im Fadenkreuz dieser Gruppe, da eine erfolgreiche Angriffswelle von Mobile Malicious Codes erheblich zum Prestige des Programmierers beitragen würde.

Geeignete Abwehrstrategien sollten daher ebenfalls zwei wesentliche Aspekte abdecken: den menschlichen und den technischen Faktor. Anwender in Unternehmen setzen grosses Vertrauen in die Sicherheitsmassnahmen der IT-Abteilung und gehen deshalb bereitwillig Risiken ein, die sie im Privatbereich vermeiden würden. Eine intensive Sensibilisierung für die Tücken des Social Engineering sowie die potenziellen Schäden eines Angriffs ist daher von entscheidender Bedeutung. Auf der technischen Ebene sind darüber hinaus durchgehende Lösungen erforderlich, die alle Komponenten vom Desktop bis zum Server erfassen.