Security. Das Cybercrime-Netzwerk

Die Virenjäger der Sicherheitsspezialisten kämpfen gegen eine global organisierte Schattenwirtschaft.

Wer sich Virenjäger als hektische, adrenalindurchflutete Typen mit hauchdünnen Magenwänden vorstellt, wird enttäuscht. Ein FORMAT-Lokalaugenschein im Security Response Center von Symantec in Dublin offenbarte, dass da großteils junge Leute mit computerwissenschaftlichem Background am Werk sind, die mit Besonnenheit und höchster Effizienz ihrer hochspezialisierten Arbeit nachgehen – dem Aufspüren und Unschädlichmachen von Viren, Würmern, Trojanern und anderer Schadsoftware. Effizienz ist auch notwendig, denn täglich werden 200.000 potenziell schädliche Codes an das Security Response Center übermittelt, die großteils automatisiert abgearbeitet werden. „Nur ein kleiner Teil davon wird genauer analysiert, der Rest ist Altbekanntes oder Müll“, erklärt Kevin Hogan, Direktor des Dubliner Centers.

Unbekannte Schadsoftware wird natürlich penibel unter die Lupe genommen. Für neue Bedrohungen werden dann Virusdefinitionen erstellt, die per Live-Update an die Antivirus- und Firewall-Systeme der Kunden übermittelt werden – über 40.000 pro Monat. Signaturen für einfache Schadcodes werden innerhalb von Minuten geschrieben. „Bei komplexer, polymorpher Malware (Anm.: Schadprogramm) kann es aber auch schon mal eine Stunde bis mehrere Tage dauern“, erzählt Hogen. „Früher hatten wir es ausschließlich mit konsistenter Malware zu tun, heute sind das immer öfter verteilte Codes, die gemeinsam und arbeitsteilig ihre schädliche Wirkung entfalten. Das macht es uns schwerer, das gesamte Bedrohungsbild zu erkennen“, so der Experte. Die potenziell bösartigen Codes werden von 120 Millionen Security-Produkten der Symantec-Kunden, aber auch von sogenannten „Honeypot-Systemen“ übermittelt – das sind als Köder fungierende ungeschützte Computer.

Wettrüsten mit den Kriminellen. Mittlerweile gibt es 1,1 Millionen Schadcodes. Zwei Drittel davon stammen aus dem Jahr 2007. Der Grund für diese regelrechte Virenexplosion ist eine signifikante Professionalisierung der Internetkriminalität. Im Virenbusiness sind keine Scherzbolde oder Einzeltäter mehr am Werk, das Ganze ist eine globalisierte Untergrundwirtschaft, die arbeitsteilig zusammenarbeitet. Es geht nur mehr um eines: Cash. Die Verbreitung der Schadcodes erfolgt zunehmend über „Botnets“, das sind Zombie-Netzwerke aus unzähligen gekaperten Rechnern. Deren Besitzer merken meist gar nichts davon. „Am Schwarzmarkt werden allen Interessierten Komplettlösungen inklusive outgesourcter Dienstleistungen für Cyber-Betrügereien angeboten – Malware als Service könnte man das Geschäftmodell nennen“, erklärt Elia Floria, Supervisor bei Symantec Security Response. Die erfolgreichsten „Exploits“ (Software zum Ausnützen von Sicherheitslücken) und Schadprogramme werden zu Toolkits zusammengefasst und als All-in-One-Lösungen inklusive Benutzerhandbuch, Support und zukünftiger Updates zum Preis von mehreren Tausend Dollar feilgeboten. Das berüchtigtste Potpourri dieser Art heißt M-Pack. Dessen russische Entwickler nennen sich „Dream Coders Team“. Der Chef der Bande hat dem US-Journalisten Robert Lemos ein freimütiges Interview über den AOL-Chat gegeben – nachzulesen auf http://www.robertlemos.com. Und er hat auch gleich ein Foto gepostet, das klarmacht, worum es ihm geht.

Populäre Internetportale und Social-Networking-Seiten sind zu bevorzugten Zielen für Angreifer geworden – nicht zuletzt, weil die User dort besonders unbedarft mit persönlichen Daten umgehen. Dadurch sind sie prädestiniert für Phishing-Attacken. Die Benutzer werden, ohne es zu merken, auf gefälschte Internetseiten umgeleitet, die sie zum Eingeben sensibler Informationen wie Kreditkarten- oder Kontonummern auffordern. Die Daten werden dann im Untergrund-Business zum jeweiligen Marktpreis verhökert Im Dubliner Sicherheitszentrum lässt sich Ka Chun Leung, ein Schadcode-Analyst, bei seiner Arbeit über die Schulter schauen. Eine unbekannte Software entpuppt sich unter Zuhilfenahme mehrerer Entschlüsselungswerkzeuge als Phishing-Seite, die den Online-Banking-Dienst eines brasilianischen Geldinstituts nachahmt. Eine Sisyphos-Arbeit, aber notwendig, damit das Internet nicht gänzlich in die Hände der Cyber-Kriminellen fällt.

Lösung:
Frühwarnsystem für Zombie-Netze
Botnets sind Netzwerke von mittels Schadcode-Infektion gekaperten Rechnern, die von Kriminellen nach Belieben ferngesteuert und missbraucht werden können, um Spam- und Virusattacken zu starten oder Phishing-Seiten zu hosten. Der Informatiker und Forscher Alexander Seewald entwickelt gemeinsam mit dem CTA-Research Lab der Uni Wien unter Prof. Wilfried Gansterer eine Lösung, die Botnet-Aktivitäten erkennt. Damit könnten in Zukunft Internetprovider und große Firmen solchen Zombie-Netzen rechtzeitig den Garaus machen. Das Projekt wird auch von der Initiative "NetIdee" der Internet Privatstiftung Austria (IPA) gefördert. "Für die betroffenen Benutzer ist es oft nicht zu erkennen, dass sie infiziert sind, weil die Schadsoftware auch Security-Updates unterdrückt", erklärt Seewald. Privatanwendern, die ihren PC testen wollen, stellt Seewald ab sofort ein Gratis-Tool zur Verfügung. Download: http://botnetz-tracker.seewald.at

Von Alexander Hackl

Peter Pelinka

Nationalratswahl 2017

SPÖ: Vorwärts zu den nächsten Fehlern?

Volkswagen-Konzernchef Matthias Müller: "Diesel-Skandal, ein Weckruf"

Wirtschaft

VW-Konzernchef Müller: "Der Diesel-Skandal war ein Weckruf"

Stil

Sterben war gestern: Ist Altern besiegbar wie die Pest?