Gesetzliche Richtlinien und das wachsende Bewusstsein der Verbraucher bezüglich Datenschutz und Datensicherheit bringen es mit sich, dass beim Thema Security künftig die Schwerpunkte anders gesetzt werden. Denn bei den IT-Managern rangiert die Sicherheitskontrolle auf Datenebene ganz oben auf der Prioritätenliste für 2007. Das jedenfalls war die Meinung auf der jetzt in Florida abgehaltenen Fachkonferenz des Computer Security Institute (CSI).

Nachdem man sich jahrelang darauf konzentriert hat, ein Arsenal an Abwehrmassnahmen auf Netzwerkebene zu implementieren - etwa mittels Firewalls, Intrusion Detection und Intrusion Prevention -, müssen die Unternehmen nun vergleichbare, mehrschichtige Kontroll- und Schutzmechanismen auf Datenebene installieren. Informationen, die nicht an die Öffentlichkeit gelangen sollen, müssen abgeschirmt werden, egal, ob es sich um «ruhende» Datenpools handelt oder um Datentransaktionen. Die Konsequenz: IT-Abteilungen müssen Massnahmen wie Datenklassifizierung und Verschlüsselung viel öfter umsetzen als bisher. Desgleichen müssen Zugriffsmechanismen und die Authentifizierung von Usern viel strenger gehandhabt werden.

Verschiedene Kongressteilnehmer berichten, dass sie momentan solche Projekte umsetzen: «Wir bauen Kontrollschichten ein mit dem Ziel, jederzeit nachvollziehen zu können, wie die Informationen durch unser Netzwerk wandern», sagt Mark Burnett, zuständig für IT-Security und Compliance bei dem Anwenderunternehmen Gaylord Networks, einer US-amerikanischen Catering-, Hotel- und Event-Organisatorin. «Die Motivation dahinter ist der feste Wille, den guten Ruf, den wir uns für unseren Markennamen mühevoll aufgebaut haben, unbedingt zu erhalten. Ein einziger sicherheitsrelevanter Vorfall kann den Ruf nämlich ruinieren», meint Burnett. Ein weiterer Katalysator für die Anstrengungen sind die Vorschriften, die der Gesetzgeber Unternehmen auferlegt. Dazu zählen etwa der Datensicherheitsstandard PCI (Payment Card Industry) der grossen Kreditkartenanbieterinnen oder Sarbanes Oxley.

Ann Garrett, Chief Information Security Officer der IT-Abteilung des US-Bundesstaats North Carolina, berichtet von einem kürzlich in Kraft getretenen Gesetz, das sich mit individuellen Daten befasst, aus denen Rückschlüsse auf Personen gezogen werden können. Das Gesetz mache es unverzichtbar, Sicherheitskontrollen auf Datenebene einzuführen, so Garrett. Das Gesetz gilt seit 1. Oktober für Privatunternehmen, ab Oktober 2007 auch für die öffentliche Hand.

«Was wir bereits haben: eine starke Firewall vor dem Netzwerk, Intrusion-Detection- sowie Intrusion-Prevention-System», berichtet die Sicherheitschefin. «Momentan fehlt uns jedoch noch ein Mechanismus, mit dem sich Fehler der Enduser abfangen lassen.» Daher will sie erstens die Verschlüsselung auf Datenebene forcieren, zweitens die von den Usern ausgelösten Transaktionen in Log-Files festschreiben sowie Audits durchführen. «Persönliche Daten, die sich individuellen Personen zuordnen lassen und Informationen über sie preisgeben, stehen im Mittelpunkt unserer Bemühungen», so Garrett. Dies nicht nur aus freien Stücken.

Alarmierend sind die immer wieder in den Medien aufgegriffenen Fälle von Festplatten voller Personendaten, die auf mirakulöse Weise verloren gehen. Sie enthalten höchst private Daten - wobei Studentenlisten von Universitäten noch die harmlosesten sind. Ganz heikel wird es bei verlorenen unverschlüsselten Sozialversicherungsnummern und medizinischen Daten. Gerade kürzlich verschlampte das US-Ministerium für Housing and Urban Development eine Liste mit den Namen hunderter jetziger und früherer Mitarbeiter. Das Amt reagiert mit der Einführung von Verschlüsselungsmechanismen für Daten, zweistufiger Authentifizierung für User-Logins und Überwachung der User-Aktivitäten. «Es ist noch viel zu tun», so die offizielle Zwischenbilanz aus dem Ministerium. «Es gibt unzählige Security-Lecks in der IT - viel mehr als Hacker, die diese ausnutzen können», kommentiert ein Mitarbeiter des Ministeriums lakonisch. Wichtig jedenfalls sei es, eine ganzheitliche Sicherheitsstrategie zu erarbeiten, die «die User, die Prozesse und die Technik» berücksichtige.

Welche Trends derzeit die Hacker-Szene dominieren, wurde an der CSI-Konferenz ebenfalls eifrig diskutiert. Rasch war man sich einig: Kriminell organisierte Hacker arbeiten mit immer raffinierteren Methoden, um zu verhindern, dass die Malware, mit der sie Rechner infizieren, entdeckt wird. Am häufigsten wird derzeit mit mutierendem Code getrickst. Denn damit können Tools, die aufgrund bekannter Signaturen Malware identifizieren und blockieren könnten, überlistet werden. Codefragmentierung ist eine weitere beliebte Methode, denn sie erschwert das Säubern des infizierten Rechners, sowie schliesslich das Verschleiern von Code mittels Rootkits.

Im Gegensatz zu Massenwürmen vom Schlag eines MS Blaster oder SQL Stammer zielen die meisten Malware-Programme darauf ab, möglichst lange unentdeckt auf einem System zu residieren, so die Erfahrung von Matthew Williamson, einem Analyst bei Sana Security. Den Hackern geht es nicht darum, einfach möglichst viele Rechner zu infizieren, sondern gezielt wertvolle Informationen zu stehlen, ergänzt er. Zu diesem Zweck wird momentan bevorzugt polymorpher Code verwendet, der sich laufend verändert. Auch nutzen Hacker gern so genannte Packer, die Malware verschlüsseln. Wenn für die Entschlüsselung dann noch verschiedene Routinen genutzt werden, entsteht eine parktisch unbegrenzte Anzahl von Mutationen.

Ein Paradebeispiel dafür ist der Trojaner Swizzor, der Anfang des Jahres durch die Cyberwelten geisterte. Er packte sich jede Minute neu, um den mit Signaturen arbeitenden Tools zu entgehen, die nur funktionieren, wenn sie genau wissen, was sie blockieren sollen. Ausserdem kompilierte sich Swizzor pro Stunde neu.

Zahlreiche Spyware-Programme nutzen allgemein verfügbare Verschlüsselungs- oder Pack-Techniken, um ihre Existenz zu verschleiern, berichtet auch Gerhard Eschelbeck, Cheftechniker von Webroot Software. Viele Spyware-Programme nutzen Treiber auf Kernel-Ebene, und sie verarbeiten Blockiertechniken, um Antispyware abzuklemmen, so Eschelbeck.

Ralph Thomas, Malware-Spezialist bei Verisign, sagt, dass Malware heute oft so ausgelegt ist, dass sie sich in mehrere verlinkte Komponenten aufteilt, sobald sie sich auf einem System eingeschlichen hat. Jedes dieser Fragmente verfolgt dann die Aktivitäten der übrigen. Wird das System von einem der Fragemente gesäubert, startet beziehungsweise installiert ein anderes Fragment dieses erneut. Damit wird es sehr schwer, ein System wirklich clean zu bekommen, gibt Thomas zu bedenken. Ein frühes Beispiel für derartige Malware ist das 2004 erstmals aufgetretene Wintools. Es installiert eine Toolbar sowie drei separate Komponenten auf dem infizierten System. Entfernt man eine davon, ersetzen die übrigen die gelöschten Dateien und starten sie erneut auf.

Noch komplizierter wird das Ganze durch die zunehmende Verwendung von Rootkits, um die Existenz des bösartigen Codes zu verschleiern. Rootkits können sowohl auf Ebene des Betriebssystems als auch des Kernels installiert werden. Auch sie verschleiern Malware und Behindern die Arbeit von Detection-Tools, sagt Matthew Williamson.

Haxdoor ist ein Vertreter dieses Typs von Hacker-Code. Eine Variante davon wurde missbraucht, um im Oktober Daten von 8500 Rechnern in 60 Ländern zu klauen. Passwörter wurden ebenso abgegriffen wie Tastaturschläge, Screenshots der Rechner wurden angefertigt und sämtliche Informationen an einen Remote-Server weiter geleitet. Ausserdem gelang es Haxdoor, Firewalls im System abzuschalten, während er sich im Rootkit der infizierten Maschine versteckte.