Sicherheitslecks haben System

07.07.2005
Von Gerhard Eschelbeck

Die neuesten Würmer und automatisierten Angriffe nutzten genau dieses Gefahrenfenster aus und richteten sich gegen interne Netze. Über lange Zeiträume hinweg bestehende Angriffsmöglichkeiten in lokalen Netzen stellen somit eine gravierende Schwäche dar. Gezielte Abwehrmaßnahmen sind erforderlich, um diese Risiken zu bewerten und zu vermindern.

Am Grad der Verbreitung lässt sich das Gefahrenpotenzial einer spezifischen Schwachstelle ablesen, dieser Wert ist einer der Indikatoren für das Auftreten von ausgedehnten - im Gegensatz zu begrenzten - Angriffen. Aufgrund spezieller Bedrohungsprofile unterscheiden sich die meistverbreiteten und kritischsten Schwachstellen in internen Netzwerken von denjenigen, die externe Netze bedrohen. Jedes Jahr treten an die Stelle der kritischsten und am meisten verbreiteten Sicherheitslücken neue Gefahren. Aus diesem Grund sollten die Sicherheitsteams in Unternehmen ihre Abhilfemaßnahmen nach dem Wert der vorhandenen IT-Güter und der Verbreitung der Verwundbarkeiten priorisieren.

Die Daten zeigen, dass kritische Schwachstellen und ihre Varianten in einer vorhersehbaren Weise wiederkehren und somit eine anhaltende Bedrohung für interne und externe Netze darstellen. Die Schuld daran tragen Anwender großenteils selbst: Neuinfektionen werden häufig durch die Installation neuer Systeme und Server verursacht, auf die Images von fehlerhafter, ungepatchter System- und/oder Anwendungssoftware aufgespielt werden.

Ein entscheidender Faktor für die Stoßkraft einer automatisierten IT-Attacke ist die Zeit: Je schneller Exploit-Code für eine bestimmte Sicherheitslücke geschrieben und in Umlauf gebracht werden kann, desto gefährlicher ist er. Die jüngsten automatisierten Angriffe ließen die "Time-to-Exploit" von Monaten auf Tage schrumpfen und erfolgten damit schneller als jede menschenmögliche Gegenreaktion. Der Analyse zufolge zielen 80 Prozent aller Würmer und automatisierten Angriffe auf die ersten beiden Halbwertszeiten kritischer Schwachstellen. Durch die schnelle Entwicklung von Exploits entstehen in Unternehmen lange Anfälligkeitszeiträume bis zur Sicherung der kritischen Systeme. "SQL Slammer" trat sechs Monate nach der Entdeckung einer Schwachstelle auf, "Nimda" vier Monate und "Slapper" sechs Wochen danach; "Blaster" erschien nur drei Wochen, nachdem ein Sicherheitsleck bekannt geworden war, und der Wurm "Witty" schlug bereits am Tag nach der

Veröffentlichung der entsprechenden Sicherheitslücke zu.

Am 19. März 2004 befiel dieser Schädling rund 12000 Rechner, auf denen Firewalls der Firma Internet Security Systems liefen. Witty erreichte seinen Gipfelpunkt nach zirka 45 Minuten: Zu diesem Zeitpunkt hatte er bereits die meisten anfälligen Hosts infiziert. Laut einer Analyse der Cooperative Association for Internet Data Analysis (CAIDA) und der University of California, San Diego (UCSD), war Witty gleich in mehrerer Hinsicht ein Novum: Er war der erste weit verbreitete Internet-Wurm, der eine zerstörerische Nutzlast trug; er verbreitete sich auf organisierte Weise mit mehr "Ground-Zero-Hosts" als je zuvor; er steht für das bislang kürzeste Intervall zwischen der Bekanntgabe einer Sicherheitslücke und der Freisetzung eines Wurms (ein Tag); er griff nur Hosts an, auf denen eine Sicherheitssoftware lief; und er bewies, dass Anwendungen in einem Nischenmarkt genauso anfällig sind wie die Produkte eines Softwaremonopolisten.