Wird 2007 das Jahr der zielgerichteten Attacken?

Hersteller von Virenscannern können im Prinzip nur auf bekannte Bedrohungen reagieren. Das bedeutet, dass sie die Schädlinge erst in die Finger bekommen müssen, um nach einer Analyse die passenden Gegenmittel bereitzustellen. Tendenzen in den letzten ein bis zwei Jahren lassen erahnen, dass dieses Vorgehen in Zukunft nicht mehr genug Schutz bietet.

An die neuen Schädlinge kommen Antiviren-Labors seit jeher auf verschiedene Weise: Zum einen führt jeder Antivirushersteller viele Mailadressen, die als "Honey Pots" (zu Deutsch "Honigtöpfe") fungieren. Genau wie echter Honig die Bienen und sonstiges Getier anlockt, soll ein E-Mail-Honigtopf die virtuellen Biester ködern. Virenschreiber und Spammer wissen nicht, welche Adresse ein Honey Pot ist; so landet etliches Ungeziefer direkt in den Töpfen der Virenjäger. Auch die Kunden der Antivirenfirmen übermitteln so manche verdächtige Datei ans Virenlabor. Einige Antivirenfirmen tauschen neue Schädlinge zusätzlich untereinander aus.

Doch all dies will heute nicht mehr so richtig klappen. Bislang haben die Cyberkriminellen relativ wenige verschiedene Schädlinge in Umlauf gesetzt, die sich an viele tausend Empfänger verbreiteten. Wenige Schädlinge - viele Empfänger, das war für die Antivirusindustrie kein Problem. Und nun überrollt ein anderer Trend die Virenjäger: Heute gibts eher Tausende neue Schädlinge (hauptsächlich trojanische Pferde), die von den Cyberkriminellen ganz gezielt an einzelne Personen oder Firmen verschickt werden. Das hat den Effekt, dass die schädlichen Dateien nicht mehr in den Honey Pots landen. Dies bringt mehrere Probleme mit sich: Erstens sinkt die Chance, dass einer der wenigen Empfänger die Datei als verdächtig erkennt und sie ans Antivirenlabor weiterleitet. Zweitens erhöht sich der tägliche Analyseaufwand, während der potentielle Nutzen pro entstandener Virenerkennungsdatei eher abnimmt; so ist es unwahrscheinlich, dass noch weitere Nutzer überhaupt mit den soeben analysierten Trojanern in Kontakt kommen.

Der russische Virenspezialist Eugene Kaspersky [1] äusserte sich kürzlich bei einem Interview an der CeBIT-Computermesse besorgt: "Wenn das Wachstum bei der Schadsoftware in diesem Tempo weitergeht, könnte unsere gesamte Branche dieser Flut irgendwann nicht mehr standhalten". Alleine im Jahr 2006 habe die Anzahl der Programme, die übers Internet Computer angreifen, gegenüber dem Vorjahr um das Zweieinhalbfache zugenommen. Laut Kaspersky sei 2007 mit einem ähnlichen Wachstum zu rechnen.

Nicht nur das Verhältnis zwischen Schädlings- und Empfänger-Anzahl hat sich gewandelt. Auch die zur Trojanerverbreitung verschickten Mails sehen anders aus. Vorbei sind die Zeiten der dümmlich wirkenden Nachrichten, denen jeder halbwegs wache Anwender die böse Absicht auf den ersten Blick ansah. Stattdessen üben sich die Cyberkriminellen mehr und mehr im Fachgebiet der Spionage: Sie kundschaften schon vorher die Zielgruppe aus. In den sorgfältig gestalteten Schädlingsmails werden dann Namen von bekannten Personen oder Partnerfirmen erwähnt, bis hin zu Bezeichnungen für laufende Projekte, in die der Empfänger involviert ist. Wird dann auch noch die Absenderadresse gefälscht und der Schädlingscode in eine angehängte Word- oder Excel-Datei gepflanzt, ist die Infektion vorprogrammiert. Denn - wie gesagt - falls der Trojaner extra für diesen Empfänger angepasst wurde, wird kaum ein Virenscanner etwas an der verseuchten Office-Datei bemängeln.

Mikko Hyppönen, Chef der Virenforschungsabteilung bei F-Secure, hat in Youtube ein interessantes Video [2] von ca. neuneinhalb Minuten zu genau diesem Thema veröffentlicht. In gut verständlichem Englisch geht er mit anschaulichen Grafiken auf das Problem dieser zielgerichteten Angriffe ("Targeted Attacks") ein.

Und die Lösung? Laut Eugene Kaspersky kenne die Internetkriminalität keine Landesgrenzen: "Deshalb setze ich mich für eine Art 'Internet-Interpol' ein. Auch die beste Sicherheitssoftware könnte alleine bald nicht mehr reichen".

Sein Berufskollege Hyppönen spricht indes am Ende seines Videos lieber von technischen Massnahmen, die eine generische, sprich allgemeine Schädlingserkennung erlauben. Das können Rootkit-Erkennungsmethoden sein oder Programme, die den Aufbau und das Verhalten von Programmcode untersuchen, zum Beispiel in einer so genannten Sandbox. Ein solcher virtueller "Sandkasten" ist ein geschützter Bereich, in dem ein Schädling vom Virenscanner gestartet wird, um zu verfolgen, was er vorhat.

Unterm Strich wird klar: Es gibt keine einzelne Patentlösung. Wie so oft ist der Kampf gegen einen Missstand an mehreren Fronten zu führen. Das gilt auch für Computerschädlinge und die damit einhergehende Cyberkriminalität.