computerwoche.de

Security

Einbruch durch die Hintertür

Software-Lücken gefährden Computernutzer

17.12.2008
Man stelle sich vor, ein Haus ist von einem hohen Zaun umgeben, hat ein dickes Schloss an der Tür und überdies eine Überwachungskamera - und trotzdem können Einbrecher unbemerkt eindringen und das Tafelsilber stehlen.

Was nach einer Räuberpistole klingt, ist bei Computern mit Internet-Anschluss Alltag: Viele populäre Programme haben Sicherheitslücken, die der Hersteller noch nicht kennt - dafür aber Cyber-Kriminelle. Ein aktueller Fall bringt dieses Problem in die Schlagzeilen: Der Internet Explorer von Microsoft wies tagelang eine Lücke auf, durch die Angreifer die Kontrolle über fremde Rechner erobern konnten.

Auch wenn derzeit Microsoft in der Kritik steht, betrifft das Problem die gesamte Software-Industrie. Denn kein Programm kommt perfekt auf den Markt. Ein Programmierfehler kann schnell zum Hintertürchen für Hacker werden: Wenn der Hersteller nicht über eine Sicherheitslücke Bescheid weiß, können sie ohne Gegenwehr das System angreifen. Derartige schädliche Software nennen Experten "Zero Day Exploits". "Die Angreifer zielen auf die gängigsten Produkte, also Betriebssysteme und Browser", berichtet Rainer Link, Sicherheits-Experte beim Softwarehersteller Trend Micro.

Findige Hacker arbeiteten früher zumeist für Ruhm und Ehre - heute können sie richtig Kasse machen: Die Suche nach bislang unbekannten Sicherheitslücken ist zu einem einträglichen Geschäft geworden. So loben Hersteller von Sicherheits-Software wie zum Beispiel die US-Unternehmen iDefense und Tipping Point Belohnungen aus. Das Schweizer Unternehmen WabiSabiLabi versteigert auf einer Plattform im Internet Sicherheitslücken und Angriffsprogramme. Die Gebote erreichen derzeit bis zu 5000 Dollar.

In geheimen Foren im Internet dürften die Preise deutlich höher liegen: "Da werden Summen von mehr als 100.000 Dollar kolportiert", sagt Hartmut Pohl, Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg. Zu den Käufern zählt er Cyber-Kriminelle, die Betriebsgeheimnisse oder Kontodaten ausspionieren, aber auch Geheimdienste, die in die Computer vermeintlicher Terrorverdächtiger eindringen wollen. Angesichts dieser Verlockungen hat sich eine Szene entwickelt, die intensiv nach Schwachstellen sucht - keine gute Nachricht für die Sicherheit der Internet-Nutzer.