Mandy Kühn ist IT-Fachjournalistin in München.

Die Gefahr geht heute zunehmend von Internetanwendungen aus. Diese These wird von einer Google-Studie bestätigt: Eine Überprüfung aller Seiten im Verzeichnis des Google-Such-Crawlers auf Malware ergab, dass bereits eine von zehn Seiten einen Schadcode enthält. Besonders erschreckend ist, dass 70 Prozent der webbasierten Infektionen auf scheinbar seriösen Webseiten gefunden wurden.

Doch nicht nur die Anzahl und der Variantenreichtum der Malware ist gestiegen. Netzwerkarchitekturen werden immer komplexer und Unternehmen setzen das Web 2.0 gezielter in ihren Geschäftsprozessen ein. Die Applikationen des Web 2.0 ermöglichen den Mitarbeitern, Inhalte nicht nur per E-Mail oder FTP durchs LAN zu senden, sondern auch als webbasierte Files, wie beispielsweise beim HTTP-basierten Instant Messaging. Ein in solchen Files enthaltener Schadcode wird von herkömmlichen Antiviren-Programmen oft nicht erfasst. Durch die Kombination aus Content und Code entsteht ein hoch komplexes Umfeld, das nur schwer abgesichert werden kann. Aus diesem Grund sehen die Experten des Georgia Tech Information Centers (GTISC) das Web 2.0 als die derzeit grösste Sicherheitsbedrohung.

Die gegenwärtige Situation macht deutlich, dass die Zeit der Cybercrime-Amateure längst vorbei ist. Die Angriffstechniken sind so komplex und professionell, dass sie nur mit ausgeklügelten Forschungsmethoden entwickelt sein können. Ein Beispiel dafür ist Social Malware. Malware bedient sich zunehmend der Charakteristiken von Social-Networking-Seiten im Umfeld des Web 2.0. Viren wie «Storm Trojan» - 2007 für einen der grössten Virenangriffe weltweit verantwortlich - sind kollaborativ, anpassungsfähig, intelligent und können Monate, sogar Jahre unentdeckt auf PCs verbleiben. Im Gegensatz zu früheren Massenattacken wie «Netsky» oder «Bagel» werden neue Varianten von Trojanern und Malware auch immer gezielter und kurzlebiger, was sie umso schwerer erkennbar macht. Allein in einer Woche entdeckte das IronPort Threat Operation Center sechs Varianten des Feebs-Virus. Jede davon verbreitete sich exponentiell, noch bevor die jeweiligen Antivirensignaturen bereit standen. Dieser Trend wird sich im Laufe dieses Jahres noch verstärken, sind sich die Sicherheitsexperten einig.

Auch die Wege, auf denen Malware in die Netzwerke kommt, werden immer verschlungener - und Spam hat dabei eine Schlüsselfunktion. Die neuen Spam-Nachrichten enthalten nur wenig Text, aber einen Link auf scheinbar seriöse Webseiten. Doch wer dort Aktien- oder Geschenktipps sucht, wird einzig Malware finden. Denn allein durch den Besuch der Seite infiziert sich der Computer und wird zum Zombie. Der User merkt in den seltensten Fällen, dass er gerade Teil eines riesigen Botnetzes geworden ist und sein PC nun fleissig Spam verschickt. Experten nennen diese Art unerwünschter Nachrichten treffend «dirty spam», da sie primär darauf abzielt, weitere PCs zu infizieren. «Die Zahl dieser URL-basierten Angriffe ist bis heute im Vergleich zum Vorjahr um 256 Prozent gestiegen», erzählt Reiner Baumann, Regionaldirektor Zentral- und Osteuropa beim Sicherheitsanbieter IronPort.

Eine weitere Spielart ist es auch, E-Mail-Nutzer über legitime Suchmaschinen-Links auf infizierte Webseiten zu führen. Diese Anfang März 2008 erstmals vermehrt aufgetretenen Spam-Attacken nutzen Weiterleitungsmechanismen wie beispielsweise «Open Redirect» oder «Auf gut Glück»-Technologien der Suchmaschine Google. Der einzelne Link in der Spam-Nachricht führt dabei zwar zu einer legitimen Google-URL, diese leitet den User aber sofort durch die in der URL enthaltene, eindeutige Suchan-frage automatisch auf eine infizierte Website weiter. Betroffen sind neben Google auch Yahoo! und AOL.

«Solche Weiterleitungsmechanismen und somit möglicherweise bedenkliche Google-Links erkennen User an enthaltenen Parametern wie gefolgt von einer unbekannten Zieladresse», erklärt Baumann. «Derzeit machen diese Open-URL-Redirect-Attacken zwar nur ein Prozent des gesamten Spam-Volumens aus, die Tendenz ist aber - Prognosen unseres Threat Operation Centers zufolge - definitiv steigend.»

Eine der gängigsten Methoden, um seriöse Seiten zu infizieren, ist die so genannte iFrame-Attacke. Dabei werden die HTML-Tags der iFrames (Inlineframes) genutzt, um einen Schadcode in eine existierende Seite zu integrieren, ohne das bekannte Erscheinungsbild der Seite zu verändern. Häufig schleusen die Bösewichte auf diesem Weg Trojaner wie beispielsweise MPack ein, der sich 2007 besonderer Beliebtheit erfreute. Das auf der Skriptsprache PHP basierende Malware-Kit wird kommerziell vertrieben, inklusive Update und Support. Zwar ist der Verkauf von Malware nichts Neues, doch das professionelle Angebot von Support und Service setzt neue Massstäbe. Das gilt auch für die Administrationsschnittstelle: Ohne Aufwand lassen sich umfangreiche Daten wie Infektionsrate, sogar aufgeschlüsselt nach geografischen Regionen oder die Zahl der Besucher der infizierten Seite, abrufen. Gleichzeitig kann der Anwender die Effektivität einer Attacke und den Return on Investment messen.

Der Entwicklungsgrad der Bedrohungen ist schon jetzt beachtlich hoch. So zeichnete sich bereis 2007 ab, dass die Angreifer inzwischen weniger Einzelattacken starten. Vielmehr bauen sie auf mehrfach einsetzbare Plattformen, die dynamische Attacken aktivieren, synchronisieren und verteilen können. Der Mix aus Spam, Viren, Phishing, Trojaner und Malware sorgt dafür, dass ein Angriff mit Hilfe der Plattform weitere Web- und E-Mail-Attacken auslöst. Ein anderes Beispiel für den hohen Entwicklungsstand sind self-defending Botnetze. Sie sind in der Lage, massive Denial-of-Service-Attacken auszulösen, sobald die Betroffenen Schadcodes durch Analysen erkennen oder entfernen wollen.

Für Unternehmen haben Virus- und Malware-Attacken kostspielige Auswirkungen: Die Bereinigung von Computern und der damit verbundene Arbeitsausfall kostet eine mittelständische Firma fast 220000 Euro jährlich, fand Sicherheitsanbieter Panda heraus. Allein in den USA gaben Firmen in den letzten 13 Monaten 20 Milliarden Dollar für die Folgen von Malware-Angriffen aus. Und auch der wirtschaftliche Schaden wächst: die US-Verbraucherorganisationen Consumer Reports errechneten anhand von Umfragen Einbussen von sieben Milliarden US-Dollar - der Grossteil davon durch Virenattacken. Da der fehlende Schutz bei Privatpersonen oft Folge fehlender Information ist, kritisiert Chenxi Wang, Analystin bei Forrester Research: «Unternehmen mit Onlineangeboten für Verbraucher sollten und können mehr unternehmen, um Verbraucher über mögliche Bedrohungen zu informieren.»

Um sich selbst umfassend zu schützen, rät Sicherheitsexperte Baumann den Unternehmen: «IT-Sicherheitsteams müssen geeignete Massnahmen ergreifen, um zum einen Malware zu blocken, aber zum anderen auch, um den Malware-Verkehr in ihrem Netzwerk zu erfassen. URL-Filtertechniken der ersten Generation, wie sie in den Unternehmen noch häufig vorzufinden sind, bieten keinen zuverlässigen Schutz vor den neuen Bedrohungen.» Wirksamer sind ganzheitliche Methoden, die sowohl den Inhalt als auch die Zusammensetzung eines Threats, dessen Herkunft und Absender analysieren - wie beispielsweise die Technologie der Webreputation. Ihr Ziel ist es, die Seriosität einer Web-Adresse mittels statistischer Messungen genau einzuschätzen. Diese Einschätzungen sind in vielen Fällen bereits verfügbar, wenn der Angriff irgendwo auf der Welt gerade erst beginnt. So bietet das reputationsbasierte Verfahren für Unternehmen sowohl auf Netzwerk-, als auch auf Applikationsebene eine sehr frühzeitige Abwehr von Spy- und Malware-Attacken.