Cyber-Kriminelle haben sich ein weltweites Business aufgebaut mit einer Zulieferkette, die es in puncto Organisation inzwischen mit jedem legitimen Geschäft aufnehmen kann, berichteten Sicherheits- und Spam-Experten auf der diesjährigen RSA Conference, die kürzlich rund 17 000 Besucher nach San Francisco lockte. Angetrieben wird das moderne kriminelle Ökosystem den Referenten zufolge vor allem durch Bot-Netze, also einer Vielzahl von Hackern beispielsweise zu Spam-Zwecken gekaperter PCs. Für Cyber-Kriminelle sei es ein Leichtes, online einen Bot-"Herder" (Kontrolleur der Zombie-PC-Herde) zu "kaufen". Laut Joe Sauver, Manager Security Programs bei dem Networking-Konsortium Internet2 sowie Mitarbeiter der Universität von Oregon, sind mittlerweile zwischen fünf und 5,5 Millionen Bot-Netze aktiv. Dabei brauchen die Übeltäter nur ein paar hundert Spam-Bots, um Millionen von Spam-Nachrichten auszusenden. Auch können Cyber-Kriminelle inzwischen auf Programmierer zurückgreifen, die die raffiniertesten Arten von E-Müll - darunter Bilder- oder PDF-Spam - kreieren. Ferner verschickten E-Schrott-Versender Testläufe über Internet-Service-Provider (ISPs), um diejenigen Spam-Gattungen zu identifizieren, die am leichtesten passieren, verriet ein Experte von der Anti-Spam-Organisation Spamhaus Project namens "Larry", der seinen Nachnamen nicht preisgeben wollte. Ihm zufolge ist es nicht schwer, sich online eine Liste mit E-Mail-Adressen sowie ein Template zu verschaffen, das das Verfassen einer Spam-Nachricht erleichtert. Ein Programm namens "Darkmailer" wiederum ermögliche es, Mail-Adressenliste, Spam-Nachricht und eine Liste gekaperter PCs zu kombinieren. Der Übeltäter müsse dann nur noch "einen Knopf drücken", das Programm erledige den Rest.

Phisher liefern bestellte Ware aus

Online-Datendiebe haben ihre Praktiken mittlerweile so weit verfeinert, dass sie Verbraucher etwa zum Besuch gefälschter Pharma-Sites bewegen und die dort bestellten Medikamente tatsächlich ausliefern, um Wiederholungsgeschäfte zu generieren. Patrick Peterson von der Cisco-Tochter Ironport erachtet dies als Indiz dafür, dass Cyber-Kriminelle bereits über ein Backend-Ökosystem verfügen, das Aufträge entgegennimmt, Ware verpackt und das Georderte an den Kunden verschickt.

Täglich werden geschätzte 250 000 Computer von Bot-Hirten gekapert, berichtete Robert Holleyman, President und CEO bei der Business Software Alliance (BSA), auf der Sicherheitskonferenz. Ihm zufolge ist die Zahl der Exploits im Vergleich zum vergangenen Jahr um das Siebenfache gestiegen. Angesichts dieser Zahlen und der zunehmend organisierten Cyber-Kriminalität betonten viele der insgesamt 550 Referenten auf der RSA Conference den gesteigerten Kooperationsbedarf der Security-Branche, damit sie der Bedrohung aus dem Internet standhalten könne.

Durchgängige Integrität

Microsoft etwa setzte sich im Rahmen seines Konferenzauftritts für eine neue Generation sicherer Systeme ein - eine als "End to End Trust" bezeichnete Vision, die die "Trustworthy-Computing"-Initiative des Softwarekonzerns auf das Internet ausdehnen soll. Craig Mundie, Microsofts Chief Research and Strategy Officer, appellierte an die Hersteller, sich gemeinsam an den Aufbau einer sicheren und vertrauenswürdigen Online-Umgebung zu machen: "Das erfordert eine Menge Arbeit, die nicht jeder für sich allein erledigen kann." Die drei dafür erforderlichen Kernzutaten sind laut Mundie:

• Die Entwicklung eines sicheren Stacks, dessen sämtliche Elemente - von Hardware über das Betriebssystem und Applikationen bis hin zu Nutzern und Daten - authentifiziebar und vertrauenswürdig sind;

• ein System, das es Nutzern ermöglicht, ihren Identitätsnachweis unter Berücksichtung von Authentifizierungs-, Autorisierungs- sowie Zugriffsbelangen zu erbringen;

• die stärkere Harmonisierung technischer, sozialer, politischer und wirtschaftlicher Kräfte, um Fortschritte zu ermöglichen.

Art Coviello, Executive Vice President von EMCs Sicherheitssparte RSA, kritisierte indes die gängigen Security-Systeme wegen ihrer mangelnden Intuition. "Bestehende Sicherheitstechnik strotzt vor Fehlern", monierte der RSA-Chef. Noch verhielten sich Tools nicht annähernd so, wie Menschen dächten. Gefordert sei daher ein "denkendes Security-Ökosystem, das über alle Infrastrukturkomponenten hinweg wirkt". In diesem Kontext unterstrich EMC die intensivierte Zusammenarbeit mit Cisco. So sollen Ciscos Netztechniken künftig enger mit den Datensicherheits-Tools von EMC/RSA gekoppelt werden. Im Fokus stehen dabei zunächst die Themen Data Loss Prevention (DLP), Data Center Security sowie Datenverschlüsselung und Key-Management.

Test mit Kreditkartendaten

Um das Zusammenspiel zwischen RSAs Datenklassifizierungstechnik und Ciscos Security Agent (CSA) zu demonstrieren, simulierten die Unternehmen den Versuch, ein Dokument mit Kreditkartendetails auf ein externes Speichermedium zu kopieren. Der CSA produzierte daraufhin eine Warnung, die den Mitarbeiter zur Rechtfertigung der Aktion aufforderte. Ein anderes Tool ließ den Nutzer vor dem Kopiervorgang die sensiblen Daten aus dem Dokument entfernen. Das aus derartigen Vorfällen Gelernte könne Hinweise auf erforderliche Änderungen im jeweiligen Geschäftsprozess liefern, so die beiden Firmen.

Ein derartiges Zusammenrücken ermögliche es Anwenderunternehmen, vom Server bis hin zum individuellen Arbeitsplatz-PC und dem sie verbindenden Netz alles abzusichern, so Richard Palmer, Senior Vice President und General Manager bei Ciscos Security Technology Group.

Zu den größten Bedrohungen im Unternehmensumfeld zählen Experten vor allem Browser-basierende Exploits, die sich mittlerweile auch auf exotische Bereiche wie etwa die Spieleszene ausbreiten. Neue Attacken von Spiele- und Virtual-World-Seiten ermöglichen es Angreifern, Bot-ähnliche Kontrolle über den Browser zu erlangen, warnte etwa Ed Skoudis, Security-Berater bei Intelguardians, sein Publikum. Dem Consultant zufolge können kompromittierte Browser auch als Plattform für weiterführende Hacker-Attacken fungieren und Angriffe ermöglichen, bei denen Tastatur oder Mauskontrolle außer Gefecht gesetzt werden, was ein Abbrechen der Aktion erschwere. Auch ließen sich mit einem kompromittierten Browser die Rechte des Computers im Netz erhöhen oder sogar Zeitstempel in Registries verändern, um den Angriff vor forensischen Untersuchungen zu verbergen, erläuterte Skoudis weitere Manipulationsmöglichkeiten.

Vernetzte Verteidigung

Michael Cherhoff, US-Minister für innere Sicherheit, warnte in seiner Ansprache vor den in ihrem Schadenspotenzial mit den Terrorangriffen vom 11. September 2001 vergleichbaren Gefahren aus dem Cyberspace und rief in diesem Kontext erneut zur engeren Zusammenarbeit zwischen der Privatwirtschaft und dem öffentlichen Sektor auf. Vernetzten Angreifern sei nur mit vernetzten Schutzmaßnahmen beizukommen. (kf)