Halbjahresbericht - Der Bundesrat admin.ch
Transcription
Halbjahresbericht - Der Bundesrat admin.ch
INFORMATIONSSICHERUNG LAGE IN DER SCHWEIZ UND INTERNATIONAL HALBJAHRESBERICHT 2005 / II In Zusammenarbeit mit: Ausgabe 2/2005 (Juli bis Dezember 2005) Inhaltsverzeichnis 1 Einleitung..................................................................................................................................... 5 2 Aktuelle Lage, Gefahren und Risiken......................................................................................... 6 2.1 Industriespionage.........................................................................................................................6 2.2 Phishing und Pharming................................................................................................................6 2.3 Botnetze .......................................................................................................................................7 2.4 Aktuelle Angriffsvektoren und Entwicklungen im Bereich Malware .........................................7 2.5 VoIP-Sicherheit ...........................................................................................................................7 2.6 Rootkits........................................................................................................................................8 2.7 Mac OS X: Sicherheit zunehmend gefährdet?.............................................................................8 3 Tendenzen / Allgemeine Entwicklungen .................................................................................... 9 3.1 Individualisierte Trojanische Pferde, Social Engineering, Spear-Phishing: Grösste Gefahr bezüglich Industriespionage ...............................................................................9 3.2 Botnetze: Grösste Gefahr bezüglich Cyberkriminalität...............................................................9 3.3 Professionalisierung der Angreifer: Arbeitsteilung, massive Zunahme der Malware-Produktion, neue Angriffsvektoren ...............10 3.4 Phishing: Zunehmende Gefahr auch im Jahr 2006....................................................................10 3.5 Bedrohungen für mobile Geräte (Handy, PDA) ........................................................................11 4 Aktuelle Lage ICT Infrastruktur national ................................................................................ 12 4.1 Pannen, Ausfälle ........................................................................................................................12 ADSL-Störungen ..................................................................................................................................... 12 4.2 Angriffe .....................................................................................................................................12 Defacements: Reaktionszeit auf sportliche oder politische Geschehnisse wird immer kürzer ................ 12 Lotterie Romande: Und noch ein Betrugsfall .......................................................................................... 12 4.3 Kriminalität................................................................................................................................13 Phishing Websites in der Schweiz ........................................................................................................... 13 Internet-Wirtschaftskriminalität nimmt stark zu...................................................................................... 13 KOBIK-Bericht 2005: Zahl der Meldungen hat stark zugenommen ....................................................... 14 4.4 Terrorismus................................................................................................................................14 Der Zentralrechner der Universität Genf als Zentrum für islamistische Propaganda .............................. 14 Al-Zawahiri-Video auf Forum veröffentlich ........................................................................................... 15 4.5 Diverses .....................................................................................................................................15 Spam-Hetze gegen Schengen/Dublin ...................................................................................................... 15 Bedrohung von innen auch in der Schweiz.............................................................................................. 15 E-Voting: Premiere in der Schweiz ......................................................................................................... 16 5 Aktuelle Lage ICT Infrastruktur International........................................................................ 17 5.1 Pannen, Ausfälle ........................................................................................................................17 Computerpanne an der Börse in Tokio führt zu Verlusten ...................................................................... 17 5.2 Attacken.....................................................................................................................................17 Titan Rain: Gezielte Spionage-Angriffe gegen die USA, Grossbritannien, Kanada und weitere Staaten, vermutlich aus China .................................................... 17 Wurmkrieg zwischen Zotob, Bozori und IRCbot zwecks Schaffung eines Botnetzes – Verhaftungen geben Einblick in Hackerszene ................................................................... ..................... 18 Sober-Wurm: Klassentreffen, FBI / BKA-Täuschmails und rechtsradikaler Spam................................. 19 Kritische Lücken in Windows-Systemen rasch ausgenutzt: WMF 0-day-exploit .................................. 20 Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -2- IM Gefahren: Würmer mit Rootkit-Kapazitäten und Sprachfähigkeiten................................................. 21 5.3 Kriminalität................................................................................................................................21 Phishing: Weit verbreitet ......................................................................................................................... 21 Verhaftung von Botnetzbesitzern in den Niederlanden und den USA: Ein Einblick in die Botnetz-Szene ........................................................................................................... 22 5.4 Terrorismus................................................................................................................................22 Was Terroristen mit ICT-Technologien machen: „Virtuelles Afghanistan“: Training/Propaganda für Djihadisten erfolgt nun online................................ 22 Was Terroristen mit ICT-Technologien nicht machen: Debatte um Gefahr des Cyber-Terror ............... 23 Deutschland: Neue Bundesregierung setzt rot-grüne Anti-Terror-Strategie fort ..................................... 25 6 Prävention .................................................................................................................................. 26 6.1 Software.....................................................................................................................................26 Microsoft investiert in Sicherheit ............................................................................................................ 26 Wirkungsvoller Schutz für den PC .......................................................................................................... 26 Instant Messaging sicher benutzen .......................................................................................................... 26 Entwicklung bei Sender ID / Domainkeys............................................................................................... 27 6.2 Hardware ...................................................................................................................................27 Neue Entwicklung bei Funknetzwerken .................................................................................................. 27 Network Admission Control.................................................................................................................... 28 Neue Bluetooth-Gefahren........................................................................................................................ 28 6.3 Diverses .....................................................................................................................................29 Neuerungen bei den Anti-PhishingTools................................................................................................. 29 Kampf gegen Botnetzwerke .................................................................................................................... 30 Bedrohung durch Insider ......................................................................................................................... 30 7 Aktivitäten / Informationen ....................................................................................................... 32 7.1 Staatlich .....................................................................................................................................32 Schweiz: Ausschreibung von Konzessionen für den drahtlosen Breitbandanschluss.............................. 32 EU: Parlament beschliesst Speicherung von Telekomverbindungsdaten ................................................ 32 EU: Kommission lanciert „Green Paper on Critical Infrastructure Protection“....................................... 33 Deutschland: „Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI)“ vom Innenministerium und dem BSI vorgelegt / „Bericht zur Lage der IT-Sicherheit“ publiziert ................. 33 Neue Anti-Terror-Gesetze in einigen EU-Staaten / Anti-Terror-Strategie der EU.................................. 33 USA: Straffere Organisation der Cybersecurity-Bemühungen und erneute Kritik.................................. 34 7.2 Privat..........................................................................................................................................35 IKT-Hersteller: “Anti-Spyware Coalition” definiert Spyware und Adware ............................................ 35 8 Gesetzliche Grundlagen............................................................................................................. 36 Bundesrat verhindert Revision der Online Konsumentenschutz-Gesetze................................................ 36 Gesetzliche Grundlagen für Voice over IP (VoIP) .................................................................................. 36 9 Statistik....................................................................................................................................... 37 Schweiz: Weniger Investitionen in die IT-Sicherheit .............................................................................. 37 Schweiz: Wirtschaftliche Auswirkung eines Internet Blackouts ............................................................. 37 10. Verschiedenes ............................................................................................................................ 38 Sony setzt Rootkits zur Wahrung digitaler Rechte ein und schafft Sicherheitsproblem.......................... 38 11. Glossar........................................................................................................................................ 39 Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -3- Schwerpunkte Ausgabe 2005/II • Gezielte Industriespionage mit individuellen trojanischen Pferden und Social Engineering Gezielte Industriespionageangriffe, besonders gegen Ækritische nationale Infrastrukturen, Militärsysteme und vermehrt auch gegen die Privatwirtschaft, nahmen im zweiten Halbjahr 2005 zu. Mit gezielt und ausschliesslich für den jeweiligen Angriff entwickelten Ætrojanischen Pferden, die daher Antiviren-Software-Herstellern unbekannt sind, und unter Einsatz ausgeklügelter ÆSocial Engineering-Methoden werden systematisch ökonomisch oder strategisch wertvolle Informationen gestohlen. Die Bedrohung ist für Unternehmen als ernst einzustufen. ► aktuelle Lage: Kapitel 2.1 ► Tendenzen für das nächste Halbjahr: Kapitel 3.1 ► Beispiele / Vorfälle: Kapitel 5.2 • Botnetze: Grösste Gefahr bezüglich Cyberkriminalität Mit teilweise mehr als 1'000'000 Zombie-Rechnern unter ihrer Kontrolle verdienen Betreiber von ÆBotnetzen viel Geld mit cyberkriminellen Aktivitäten: Spam-Versand, illegale Installation von ÆAdWare, Diebstahl von Login-, Kreditkarten- oder E-Banking-Daten (unter Einsatz von ÆSpyware), Erpressung mit der Verschlüsselung von Dateien oder mit ÆDDoS-Attacken (vermehrt auch gegen KMUs) sind nur die wichtigsten davon. Betroffen sind PCs von Heimanwendern, aber auch Firmen-, Universitäts- und Regierungssysteme. Botnetze werden immer grösser, ihre Besitzer verdienen immer mehr Geld und die Bekämpfung wird immer schwieriger. Botnetze stellen die grösste Cybercrime-Bedrohung dar. ► Aktuelle Lage: Kapitel 2.3 ► Tendenzen für das nächste Halbjahr: Kapitel 3.2 ► Beispiele / Vorfälle: Kapitel 5.2 und 5.3 • Qualitätsverbesserung der Malware: Professionalisierung der Hackerszene Die finanzielle Motive verfolgende Hackerszene wird immer professioneller und nimmt immer mehr die Form organisierter Kriminalität an oder arbeitet mit dieser zusammen. Damit einher geht eine massive Zunahme der Professionalisierung, schnellere Entwicklungszeiten für ÆMalware, qualitativ bessere Malware (polymorphe Malware, getarnt mit ÆRootkit-Funktionen) und die Ausnutzung neuer Angriffsvektoren (immer weniger gegen Betriebssysteme, immer mehr gegen Applikationen wie z.B. Web-Applikationen, Virenschutz-Programme, ÆInstant-Messaging, Backup-Applikationen etc.). Im nächsten Halbjahr sind noch raschere Entwicklungszeiten und noch mehr qualitativ hochstehende Malware zu erwarten. ► Aktuelle Lage: Kapitel 2.4 und 2.6 ► Tendenzen für das nächste Halbjahr: Kapitel 3.3 ► Beispiele / Vorfälle: Kapitel 5.2 und 5.3 • Phishing und Pharming ÆPhishing und ÆPharming waren auch im zweiten Halbjahr 2005 aktuelle und weitverbreitete Bedrohungen, vermehrt auch in nicht-englischsprachigen Ländern. Obwohl die Bekämpfung verbessert werden konnte, wird diese Gefahr wohl auch im Jahr 2006 zunehmen, sowohl in klassischer Form mit Phishing-Webseite als auch mit Spionagesoftware. ► Aktuelle Lage: Kapitel 2.2 ► Tendenzen für das nächste Halbjahr: Kapitel 3.4 ► Beispiele / Vorfälle: Kapitel 4.3 und 5.3 ► Prävention: Kapitel 6.3 Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -4- 1 Einleitung Der zweite Halbjahresbericht (Juli – Dezember 2005) der Melde- und Analysestelle Informationssicherung (MELANI) erläutert die wichtigsten Tendenzen rund um die Risiken, die mit den Informations- und Kommunikationstechnologien (IKT) einhergehen, gibt eine Übersicht über Ereignisse im In- und Ausland, beleuchtet die wichtigsten Entwicklungen im Bereich der Prävention und resümiert Aktivitäten staatlicher und privater Akteure. Erläuterungen zu Begriffen technischer oder fachspezifischer Art (gekennzeichnet mit einem Æ) sind in einem Glossar am Ende dieses Berichts zu finden. Kapitel zwei beschreibt die aktuelle Lage, Gefahren und Risiken des letzten Halbjahres. Ein Ausblick auf zu erwartenden Entwicklungen wird in Kapitel drei gegeben. Kapitel vier und fünf befassen sich mit Pannen und Ausfällen, Angriffen, Kriminalität und Terrorismus, die einen Zusammenhang mit IKT-Infrastrukturen aufweisen. An Hand ausgewählter Beispiele werden die wichtigsten Ereignisse der letzten sechs Monate des Jahres 2005 aufgezeigt. Der Leser findet hier illustrative Beispiele und ergänzende Informationen für die generellen Beobachtungen in den strategisch-analytischen Kapiteln zwei und drei. Kapitel sechs befasst sich mit technologischen Entwicklungen zur Prävention bzw. Erhöhung der Sicherheit der Informations- und Kommunikationstechnologien. Kapitel sieben legt den Fokus auf staatliche und privatwirtschaftliche Aktivitäten zum Thema Informationssicherung im In- und Ausland. Kapitel acht fasst Änderungen in den gesetzlichen Grundlagen zusammen. Kapitel neun gibt eine Zusammenfassung wichtiger Studien und Statistiken zu IKT-Themen. In Kapitel zehn wird Sonys Einsatz von Rootkits zur Wahrung digitaler Rechte beschrieben, welcher zu erheblichen Sicherheitsproblemen geführt hat. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -5- 2 Aktuelle Lage, Gefahren und Risiken 2.1 Industriespionage Gezielte Spionage ist ein Schwerpunktthema dieser Ausgabe. Waren bisher ÆViren und ÆWürmer möglichst breit gestreut worden, wurde in letzter Zeit eine Zunahme von gezielten Angriffen mit Trojanischen Pferden auf einen kleineren Personenkreis beobachtet. Ziel ist hier die gezielte Spionage. Entsprechend wurden 74 Prozent der aktuell entdeckten Malware zur Sammlung vertraulicher Daten entwickelt. 1 Zur Platzierung der Spionageprogramme werden raffinierte ÆSocial-Engineering-Methoden angewandt. ÆMalware, infizierte CDs oder e-Mails werden personalisiert und direkt an potenzielle Opfer versendet. Da die eingeschleusten Trojanischen Pferde aufgrund ihrer geringen Verbreitung den Antiviren-Software-Herstellern unbekannt sind, werden sie durch deren Software auch nicht automatisch erkannt. Solche gezielten Angriffe nennt man auch ÆSpear Phishing. Die im zweiten Halbjahr 2005 entdeckten Angriffe zielten in erster Linie auf Regierungsstellen und Betreiber kritischer Infrastrukturen ab. So gab das britische National Infrastructure Security Coordination Center (NISCC) im Juni dieses Jahres bekannt, dass schon seit 2003 kritische nationale Infrastrukturen und Regierungsstellen im Visier der Angreifer gewesen seien. Alle grösseren Industriestaaten wurden letztes Jahr Opfer solcher Angriffe (siehe Kapitel 5.2, Titan Rain). Kanada erlebte im Sommer gezielte Angriffe mit individualisierten Trojanischen Pferden und gegen Australien und Neuseeland wurden Angriffe gemeldet. Im August wurde bekannt, dass seit zwei Jahren systematische und professionelle Computerspionage gegen militärische Systeme der US-Regierung stattgefunden haben. Der Versuch, die WMF-Lücke (siehe Kapitel 5.2) für Spionagezwecke bei britischen Parlamentariern zu missbrauchen, scheiterte vorerst. Eine Einschätzung der künftigen Bedrohungslage befindet sich in Kapitel 3.1. 2.2 Phishing und Pharming Relevante Cybercrime-Themen sind und bleiben ÆPhishing und ÆPharming. Neben eBay- und PaypalLogin-Daten und Kreditkartennummern werden dabei vor allem Login-Daten für E-Banking Portale der Finanzinstitute ausspioniert. Was zunächst 2003 in den USA begonnen hatte und dann Australien und Grossbritannien erreichte, ist nun in ganz Europa ein grosses Thema. Über das Wochenende vom 17. und 18. September wurden zum Beispiel Phishing-Angriffe auf Kunden von über 24 europäische Banken vorwiegend in Italien und Spanien beobachtet. Seit 2005 treten vermehrt auch Phishingfälle im deutschsprachigen Raum auf (siehe Kapitel 5.3). Die Schweiz wurde ebenfalls nicht verschont, ist aber bei Weitem nicht so stark betroffen wie Deutschland. Dies liegt zum einen am hohen Sicherheitsstandard der Schweizer Finanzinstitute, zum andern in der geringeren Grösse und der Vielsprachigkeit der Schweiz. So wurde in der Schweiz noch kein deutschsprachiges Phishing E-Mail gegen ein Schweizer Finanzinstitut beobachtet (siehe Kapitel 4.3). In Deutschland bespielsweise beschränkt sich Phishing nicht mehr nur auf ein Finanzinstitut, sondern wird grossflächig und in verschiedenen Variationen eingesetzt. Es gibt allerdings immer noch grosse Unterschiede in der Qualität der Angriffe. So werden zum Beispiel URLs durch ÆRedirects via Google oder MSN oder durch das Einfügen von speziellen Zeichen kaschiert. Bei einer anderen Methode wird die Originalseite im Hintergrund geladen und die gefälschte Seite in einem Popup-Fenster darüber gelegt. Adresse und Herkunft des Popup-Fensters sind dabei nicht ersichtlich. Eine Bezifferung der erzielten Schadenssumme ist nur sehr schwierig vorzunehmen, da viele Verluste den Behörden gar nicht bekannt sind. Auch wenn gemäss den Statistiken der Anti-Phishing Working Group 2 Phishing nicht zurückgeht, sind doch gewisse Fahndungserfolge zu verzeichnen, wie die Verhaftung einer Phishing-Bande in Estland zeigt. Zudem konnte die durchschnittliche Onlinezeit von Phishing-Seiten von 5,9 Tagen im August auf 5,3 Tage im Dezember 2005 gesenkt werden. Nur eine gute Zusammenarbeit zwischen den betroffenen Ländern und die stetige Verbesserung von Sicherheitsmerkmalen bei Finanzdienstleistungen kann diesem Problem Einhalt gebieten. Kapitel 3.4 gibt eine Vorschau auf die zu erwartende Entwicklung der Phishing-Attacken, während Kapitel 6.3 präventive Massnahmen gegen Phishing-Attacken zusammenfasst. 1 Laut Symantec verfügen 74 Prozent der 50 wichtigsten gemeldeten Viren über Spionagefähigkeiten. 2 Die wichtigste Ressource zur Bekämpfung von Phishing: http://www.antiphishing.org (Stand: 15.2.06). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -6- 2.3 Botnetze ÆBotnetze stellen ein wichtiges Instrument der Cyberkriminalität dar, mit deren Hilfe erpresst (mit DDoSAngriffen oder Verschlüsselung der Firmendaten), vertrauliche Information gesammelt, Bankkonten geplündert, Geld für terroristische Aktivitäten gesammelt, Spam-Mails versendet und verschiedene andere illegale Aktivitäten durchgeführt werden. Die Bekämpfung der Botnetze stellt ein grosses Problem dar, da einerseits Computer ahnungsloser Heimanwender und/oder Firmenrechner infiziert sind und sich diese ohne grossen Aufwand nicht so einfach identifizieren und benachrichtigen lassen. Andererseits finden Botnetzbetreiber stets neue Mittel, um ihre Botnetze zu tarnen. 3 Die Verhaftungen von Botnetzbesitzern in den Niederlanden und den USA (siehe Kapitel 5.3) zeigten das Ausmass von Botnetzwerken und bestätigten die Einschätzungen aus dem letzten Halbjahresbericht. Die Botnetzbesitzer aus den Niederlanden betrieben gemäss offiziellen Quellen ein Netzwerk von über 1.5 Millionen Computern. In Kalifornien wurde ein 20 jähriger Botnetzbesitzer verhaftet, der ein Netz mit etwa 400'000 Computer kontrollierte. Um solchen Botnetzwerken Einhalt zu gebieten, setzte das deutsche Wettbüro jaxx.de Ende August ein Kopfgeld von 40'000 EUR zur Ergreifung von ÆDistributed-Denial-of-Service-Attacken-Erpressern (DDoS) aus, nachdem das Unternehmen angegriffen und zur Zahlung aufgefordert worden war. DDoS-Attacken können für ein angegriffenes Unternehmen kostspielig sein. Die Kosten für den Online-Transaktionsabwickler Protx (Grossbritannien) beispielsweise, der mit mehreren DDoS-Attacken zu kämpfen hatte, beliefen sich auf etwa 500'000 US$. Zum Teil werden DDoS-Angriffe auch aus rein politischen Gründen ohne finanzielle Motive gefahren: Im Verlauf der zweiten Jahreshälfte 2005 wurden beispielsweise mehrere Angriffe gegen deutsche Verbraucherschutzseiten im Internet durchgeführt. Kapitel 3.2 gibt eine Vorschau auf die zu erwartende Entwicklung der Bedrohung durch Botnetze, während in Kapitel 6.3 ein Versuch der australischen Regierung gegen Botnetzwerke vorzugehen beschrieben wird. 2.4 Aktuelle Angriffsvektoren und Entwicklungen im Bereich Malware Im Jahr 2005 konnte eine weitere Professionalisierung der Malware-Entwickler beobachtet werden. Während der im Januar 2003 aufgetauchte Slammer-Wurm erst in der Lage war, eine Sicherheitslücke auszunutzen, die Microsoft bereits Monate zuvor behoben hatte, haben die Autoren von Zotob, Bozori und IRCBot im August 2005 nur wenige Tage für die Entwicklung ihrer Malware benötigt. Im Dezember wurde die WMFLücke bereits aktiv ausgenutzt, bevor sie Microsoft überhaupt bekannt war. Antivirenhersteller meldeten im September, Oktober und November 2005 monatlich Rekorde in der Anzahl neu entdeckter Malware – wobei insbesondere neue Varianten bereits bekannter Malwarefamilien (wie MyTob, AgoBot, Sober etc.) auftauchten. Übereinstimmend wird zwar von einem Rückgang der ÆMassenmail-Viren im letzten Jahr berichtet, dafür eine massive Zunahme von bis zu 68 Prozent an Spionagesoftware konstatiert. Der Anteil von Spyware an den entdeckten Schädlingen wird von den Antiviren-Firmen auf etwa 70 Prozent geschätzt. Dabei geht man davon aus, dass über 70 Prozent der Computersysteme weltweit mit Spionagesoftware verseucht sind. Heutige Malware-Arten sind inzwischen erstaunlich ausgereift und setzen zur Tarnung vor Antivirus-Software ÆRootkit-Techniken ein oder nutzen polymorphen Code, um den Schädling laufend via Internet aktualisieren und nachträglich mit zusätzlichen Funktionen oder besserer Tarnung vor AntivirenProgrammen nachrüsten zu können. Vermehrt werden zudem Verwundbarkeiten von Applikationen (insbesondere Web-Applikationen, Antivirus-Software, Backup-Programme, ÆInstant-Messaging-Software [IM] etc.) genutzt. Der Fokus verlagert sich weg vom Ausnutzen von Verwundbarkeiten des Betriebssystems, das aufgrund automatisierter Updates, integrierter persönlicher Firewall und anderen Weiterentwicklungen immer schwerer auszunutzen wird, hin zum Ausnutzen von Sicherheitslücken bei client-seitigen Applikationen wie auch Webapplikationen. Kapitel 3.3 analysiert die zu erwartende Entwicklung von Malware und untersucht die diesem Trend zu Grunde liegenden Ursachen. 2.5 VoIP-Sicherheit Durch die zunehmende Beliebtheit und Verbreitung von ÆVoice over IP (VoIP) tritt die Frage nach dessen Sicherheit und der Vertraulichkeit in den Vordergrund. Da VoIP das ÆIP-Protokoll nutzt, sind die Gefahren 3 Eine gute Übersicht über Botnetz-Gefahren bietet ein NISCC-Security-Advirosy: http://www.uniras.gov.uk/niscc/docs/botnet_11a.pdf (Stand: 14.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -7- und Risiken ähnlich wie jene, die wir vom Internet her kennen, namentlich ÆDoS-Angriffe, ÆMan-in-theMiddle-Attacken oder Malware. Auch Spam kann für VoIP zu einem Problem werden. Verwenden Firmen anstelle des konventionellen Telefons VoIP, ist bei einem Ausfall des IP-Netzes nicht nur das Daten-, sondern auch das Sprachnetzwerk gestört. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer Studie vor der unüberlegten Einführung von VoIP in Firmen, da dieses erhebliche Bedrohungspotenziale mit sich bringt. 4 Spektakuläre Angriffe sind bisher zwar nicht aufgetreten, müssen aber befürchtet werden. Vertraulichkeit und Verfügbarkeit sind die beiden größten Herausforderungen für die VoIP-Sicherheit. Seit langem ist bekannt, dass sich Gespräche über das Internet mitschneiden lassen. Verschlüsselungsalgorithmen gibt es zwar, ein effektives Schlüsselmanagement fehlt aber. 5 Die neue Technik bringt auch eine Neuauslegung der gesetzlichen Grundlagen mit sich, die in Kapitel 8 beleuchtet wird. 2.6 Rootkits Seit Sonys Einsatz eines ÆRootkits zur Wahrung digitaler Rechte auf Musik-CDs dürfte dieser Begriff den Leuten bekannt sein. Ein Rootkit gemäss ursprünglicher Definition ist eine Sammlung von Computerwerkzeugen, die nach dem Einbruch in ein Computersystem auf diesem installiert werden, um zukünftige Logins des Eindringlings und Prozesse (beispielsweise ein Spionageprogramm) vor dem Benutzer zu verbergen. Wurden Rootkits früher ausschliesslich auf Unix/Linux-Systemen angetroffen, werden immer häufiger auch Rootkits für Windows-Systeme entwickelt. Dieser Trend dürfte sich fortsetzen, zumal im Sommer 2005 ein Buch zu diesem Thema veröffentlicht wurde. Rootkits sind zwar nicht neu, der Einsatz derselben durch grosse Firmen allerdings schon. Erschwerend kommt hinzu, dass das installierte Rootkit von Sony scheinbar nicht nur ohne Wissen des Nutzers Daten übermittelt, sondern auch das Verstecken von Malware ermöglicht hat (siehe Kapitel 10). Allgemein trat im zweiten Halbjahr 2005 vermehrt Malware mit integrierten Rootkit-Techniken zur Tarnung auf, was deren Entdeckung und Entfernung massiv erschwert (siehe dazu auch Kapitel 2.4 und 3.3). 2.7 Mac OS X: Sicherheit zunehmend gefährdet? Das SANS-Institut 6 hat dieses Jahr zum ersten Mal Schwachstellen in Mac OS X in ihre Jahresliste der Top 20 der Schwachstellen aufgeführt. Dabei fasste SANS alle entdeckten Schwachstellen in OS X zu einem Vorfall zusammen. Wie jedes Betriebssystem ist auch OS X vor Schwachstellen nicht gefeit, wie die Analyse der Sicherheits-Updates zeigt: Apple hat im letzten Jahr laut der Open Source Vulnerability Database 81 Patches zur Verfügung gestellt, Microsoft deren 89. 7 Ein Hauptgrund für die kleinere Anzahl von Malware für Mac OS X liegt vermutlich in der geringeren Verbreitung, auch wenn Mac OS X die Vorteile von Unix nutzt und auf sicherheitsproblematische Aspekte wie Active X und ungesicherte Dienste verzichtet. Die grössten Sicherheitsprobleme entstehen durch Applikationen wie zum Beispiel das Musikprogramm iTunes oder den Webbrowser Safari. Probleme könnten aber in der Wahrnehmung dieser Sicherheitsprobleme entstehen. Apple hält sich immer noch mit öffentlichen Stellungnahmen über die Betriebssystemsicherheit sehr zurück. Zudem ist auch bei den Benutzern das Gefühl der Unverwundbarkeit weit verbreitet, weshalb auch die Motivation, den Computer zu schützen, geringer ist als bei Nutzern anderer Betriebssysteme. So werden oft keine Updates eingespielt, keine Firewall benutzt und zudem sind die Systeme oft schlecht konfiguriert. Wenn sich Virenschreiber jedoch erst einmal einem System angenommen haben, ist es nur eine Frage der Zeit, bis die ersten Attacken folgen werden. 4 http://www.bsi.bund.de/literat/studien/VoIP/index.htm (Stand: 21.2.2006). 5 Tim Mather von Symantec an der RSA Conference (http://2005.rsaconference.com) (Stand: 21.2.2006). 6 http://www.sans.org (Stand: 21.2.2006). 7 http://www.osvdb.org (Stand: 21.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -8- 3 Tendenzen / Allgemeine Entwicklungen 3.1 Individualisierte Trojanische Pferde, Social Engineering, Spear-Phishing: Grösste Gefahr bezüglich Industriespionage Bereits im letzten Halbjahresbericht wurde gezielte Industriespionage thematisiert und stellt in der vorliegenden Ausgabe den Schwerpunkt dar: Kapitel 2.1 analysiert die Vorgehensweise der Angreifer, während Kapitel 5.2 (Titan Rain) den grössten bisher aufgedeckten Spionagefall beschreibt. Dank der in Kapitel 2.4 und 3.3 thematisierten arbeitsteiligen, professionellen Vorgehensweise der Angreifer und aufgrund der Tatsache, dass immer mehr qualifizierte Hacker Dienste an die organisierte Kriminalität vermieten oder verkaufen, ist davon auszugehen, dass künftig mächtigere Spionageprogramme zum Einsatz kommen dürften, wobei immer mehr davon Antiviren-Herstellern unbekannt sein werden. An den bekannten Vorgehensweisen (siehe Kapitel 2.1) hingegen wird sich wohl wenig ändern. Angreifer, die gezielt Spionage betreiben, verfügen zudem meist über Mittel, die ihnen eine systematische Vorgehensweise und hohe Professionalität erlauben. Vermutlich stehen hinter vielen Angriffen Regierungskreise, insbesondere aus dem fernen Osten (China; siehe Kapitel 5.2, Titan Rain). Doch auch von Seiten der privatwirtschaftlichen Konkurrenz, wie der Spionagefall in Israel in der ersten Jahreshälfte 2005 illustriert hatte, sind solche Aktionen durchaus zu erwarten. Dies zeigt auf, wie wichtig ein umfassender Schutz eines Firmennetzwerks ist. Dazu gehört nicht nur der technische Schutz der Systeme bis auf Stufe der einzelnen ÆHosts (Host Monitoring), sondern auch die Ausarbeitung einer Sicherheits-Politik, welche den Umgang mit Mails unbekannter Herkunft sowie mit mobilen Geräten, über die ebenfalls Spionagesoftware in ein Firmennetzwerk gelangen kann (siehe auch Kapitel 3.5), regelt. Regelmässige Schulung, insbesondere von Mitarbeitern mit Zugang zu vertraulichen Daten, sowie die Schaffung einer gegenüber IT-Sicherheits-Gefahren sensiblen Unternehmenskultur sind unverzichtbar für einen effizienten Schutz vor dieser Art von Angriffen. Denn gegen unbekannte, gezielt entwickelte Schädlinge kann auch eine effizient umgesetzte Antiviren-Strategie alleine nichts ausrichten. 8 Insbesondere Betreiber Ækritischer nationaler Infrastrukturen, Regierungs- und Militärkreise sowie Militärzulieferer sind gefährdet – es ist zu erwarten, dass sich diese Angriffsart weiter verbreiten und bald auch kleinere Unternehmen betreffen wird. Besonders exponiert dürften Unternehmen sein, die Beziehungen in den fernen Osten unterhalten, die neue, für die Konkurrenz interessante Technologien entwickeln oder die bereits über solche Technologien verfügen. Auch wenn (noch) keine Informationen über ähnliche Vorkommnisse in der Schweiz vorliegen, gibt es nach Einschätzung von MELANI keinen Grund anzunehmen, die Schweiz sei als mögliches Spionageziel auszuschliessen. Die Bedrohung ist nach wie vor als ernst einzustufen. 3.2 Botnetze: Grösste Gefahr bezüglich Cyberkriminalität Bereits im letzten Halbjahresbericht und im Kapitel 2.3 nehmen ÆBotnetze eine zentrale Rolle ein – und das wird sich auch 2006 kaum ändern. Die beiden Verhaftungen der Botnetzbesitzer sowie der sich um Botnetze drehende Wurmkrieg (siehe Kapitel 5.2 und 5.3) zeigen deutlich auf, in welcher Form Cyberkriminelle Geld verdienen und wie ernst diese Gefahr zu nehmen ist. Auch wenn die Verhaftungen grosse Erfolge darstellen, waren sie nur kleine Tropfen auf einen heissen Stein. Solange sich der Betrieb von Botnetzen auszahlt und nur wenige Täter ermittelt werden können, dürfte die Gefahr kaum abnehmen. Der auf die Abwehr von DDoS-Attacken spezialisierte IT-Security-Dienstleister Prolexic beispielsweise beziffert den Verdienst der effizientesten der bisher beobachteten Botnetzbesitzer-Gruppen mit DDoS-Erpressungen auf mehr als 8 Mio. US$. Experten gehen davon aus, dass über ÆVoIP oder ÆP2P-Netzwerke gesteuerte Botnetze, möglicherweise gar mit verschlüsselten Steuerungsbefehlen, zu erwarten sind. Fällt beispielsweise der zentrale (bisher meistens ÆIRC-)Server weg und wird durch eine hierarchielose Kontrollstruktur ersetzt, wird es künftig äusserst schwierig sein, ein Botnetz zu erkennen und zu deaktivieren. 8 Mehr Informationen über Art der Angriffe und deren Abwehr bietet ein Security-Advisory des NISCC: http://www.uniras.gov.uk/niscc/docs/ttea.pdf (Stand: 14.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) -9- Ein umfassender Grundschutz des PCs, wie auf der MELANI-Homepage beschrieben, bietet weitgehenden Schutz vor einer Infektion mit Malware, die den PC zum Bestandteil eines Botnetzes machen kann. Zusätzliche Massnahmen sind im Kapitel 6 zu finden. Die von Botnetzen ausgehenden Gefahren (Spam, Spionage, Identitätsdiebstahl, DDoS-Attacken sowie Verschlüsselungs-Angriffe und die damit verbundene Erpressung, Verteilung von Malware etc., siehe Kapitel 2.3) dürften im Jahr 2006 weiter zunehmen, zumal die Zahl der Botnetze stetig wächst. Insbesondere KMUs (vor allem mit Internet-Präsenz) dürften in Zukunft vermehrt Erpressungen von Botnetz-Betreibern ausgesetzt sein. Aufgrund ihrer vielseitigen Einsatzmöglichkeiten, der einfachen Einrichtung und der mit ihnen erreichten kriminellen Erfolge sind Botnetze als grösste Cybercrime-Bedrohung einzustufen. 3.3 Professionalisierung der Angreifer: Arbeitsteilung, massive Zunahme der Malware-Produktion, neue Angriffsvektoren Im letzten Halbjahresbericht wurde bereits festgestellt, dass Programmierer von Malware finanzielle Motive verfolgen und auch die organisierte Kriminalität die Cyberkriminalität als Betätigungsfeld entdeckt hat. Die zweite Jahreshälfte 2005 illustrierte deutlich, was die Folgen davon sind: Rasch zunehmende Professionalität und Arbeitsteilung sowie eine daraus resultierende immer schnellere Entwicklung von Malware (siehe für Beispiele Kapitel 5.2: Wurmkrieg / Kritische Lücken rasch ausgenützt und Kapitel 5.3: Verhaftungen geben Einblick in Botnetz-Szene; für eine Analyse Kapitel 2.4). Die Ursache für diese Entwicklung liegt im „erfolgreichen“ Geschäft der auf Geld abzielenden Cyberkriminellen: Malwarecode wird online publiziert und kann leicht auch von Nicht-Experten angepasst werden; für gestohlene Daten (wie z.B. E-Banking-Kundendaten, Kreditkartendaten, ökonomisch wertvolle Informationen etc.) gibt es einen lukrativen Markt, genauso wie für ÆExploit-Codes, Spam-Botnetzwerke oder ÆDDoS-Erpressungen. Die Arbeitsteilung der organisierten Hackergruppen wird auch im Jahr 2006 weiter zunehmen, so dass stetig verbesserte Schädlinge immer schneller eingesetzt werden können. Die grosse Verfügbarkeit solch schädlichen Codes im Internet zusammen mit der zunehmenden Verbreitung von EBanking und Online-Shopping führen ausserdem dazu, dass immer mehr Kriminelle ihr Glück im Internet versuchen werden. Insofern erstaunen erste Schätzungen, die die Verdienste durch Cybercrime vor denen des Drogenhandels sehen, nicht weiter. MELANI erwartet für 2006 eine weitere qualitative Verbesserung der ÆMalware (bessere Tarnung durch ÆRootkit-ähnliche Funktionen, flexiblere Einsatzmöglichkeiten, mächtigere Funktionalität) sowie ein noch rascheres Erscheinen verschiedener Versionen einer Malware-Familie, weiter abnehmende Fristen zwischen Bekanntwerden einer Sicherheitslücke und der Verbreitung eines zugehörigen Exploit-Codes, eine vermehrte Nutzung der neuen Angriffsvektoren (siehe Kapitel 2.4) sowie neue Æ0-day-Exploits. 3.4 Phishing: Zunehmende Gefahr auch im Jahr 2006 ÆPhishing war im letzten Halbjahresbericht bereits ein wichtiges Thema, das nicht an Aktualität eingebüsst hat und auch aktuell bleiben wird (siehe Kapitel 2.2 für eine Analyse; 4.3 und 5.3 für Vorfälle; sowie 6.3 für Schutzmassnahmen). Mit der Verbesserung der Phishing-Bekämpfung (siehe Kapitel 2.2) geht auch eine Aufrüstung der Angreifer einher: Mit immer ausgefeilteren ÆSocial Engineering-Methoden, wie beispielsweise Phishing-Mails in der jeweiligen Landessprache und stilsicherer als bisher, und mit neuen technologischen Tricks versuchen sie, neue Phishing-Opfer zu finden. Im Jahr 2006 ist mit weiteren Phishing-Vorfällen zu rechnen, die auch die Schweiz betreffen könnten. Zu erwarten sind insbesondere noch besser als bisher nachgemachte Phishing-Webseiten (teilweise mit offiziellem Ædigitalem Zertifikat), eine Zunahme der ÆKeylogging-Software, die kaum aufspürbar ist und auf dem Rechner des Opfers vertrauliche Daten aushorcht, vermehrte DNS-Angriffe zur systematischen Umleitung von Opfern auf Phishingseiten (sowohl auf lokale ÆHosts-Files als auch auf ÆDNS-Server) sowie ein vermehrtes Auftauchen von mit böswilligem Code zwecks Passwortdiebstahl versetzten Webseiten (über die Keylogger verteilt werden). Zudem ist mit einer Verbesserung der Social-Engineering-Techniken (hauptsächliche bessere Sprache; Ausnutzung der Hilfsbereitschaft der Opfer wie nach dem Wirbelsturm Katrina oder dem Tsunami) sowie der technischen Mittel der Angreifer (ÆMan-in-the-middle-Attacken in Echtzeit; Einsatz redundanter Phishing-Seiten; ständig wechselnde ÆRedirect-Mechanismen) zu rechnen. Ausserdem Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 10 - müssen vermehrt Angriffe gegen kleinere Finanzdienstleister, die (noch) wenig Erfahrung in der PhishingBekämpfung haben, sowie gezielte ÆSpear-Phishing Spionage-Attacken (Vorgehensweise in Kapitel 2.1 beschrieben, siehe auch 3.1) bei Firmen erwartet werden. 3.5 Bedrohungen für mobile Geräte (Handy, PDA) Die im letzten Jahresbericht prognostizierte Zunahme von ÆMalware für mobile Geräte, die insbesondere mit der Verbreitung von Geräten der dritten Generation (3G) mit dauerhafter Internet-Verbindung zu erwarten ist, muss an dieser Stelle erneut unterstrichen werden. In der zweiten Jahreshälfte 2005 wurden so viele 3GMobilgeräte verkauft wie nie zuvor. Gleichzeitig meldeten Antivirus-Hersteller (insbesondere F-Secure und McAfee) eine Zunahme von Malware für mobile Geräte – schon über 100 solcher Schädlinge sind inzwischen bekannt (Anfang 2004: 10; Angaben von F-Secure). Zudem erfolgte im August 2005 an den Leichtathletik-Weltmeisterschaften in Helsinki eine Infektion von einigen Mobilegeräten mit dem CabirWurm für das Symbian-Betriebssystem, der sich inzwischen auf über 30 Länder verbreitet hat. Gefördert wird die Bedrohungslage durch den Umstand, dass nur wenige Nutzer mobiler Geräte auf die Gefahren sensibilisiert sind, daher keinen Virenschutz einsetzen und ihr Gerät unsicher konfigurieren. Bisher beschränkten sich die Hauptfunktionen der Schädlinge auf rasches Entleeren der Batterie-Reserven oder auf das Unbrauchbarmachen des mobilen Geräts; die Angriffsvektoren beschränkten sich auf Bluetooth und MMS-Nachrichten, die vom Empfänger zudem explizit akzeptiert werden mussten. MELANI erwartet für das Jahr 2006 eine Zunahme von Bedrohungen gegen Nutzer von mobilen Endgeräten. Es sind ähnliche Funktionen zu erwarten, wie sie von Malware für den PC bekannt sind: Verschlüsselung der Handy-Daten und anschliessende Geldforderung für die Wiederherstellung oder Auslesen persönlicher Daten wie Terminkalender und Kontakte. Bereits aufgetaucht sind erste Schädlinge, die sich nach einer Synchronisation des mobilen Gerätes mit dem PC auf diesen übertragen. Besonders Firmen, die mobile Geräte einsetzen, droht daher auch eine beträchtliche Spionagegefahr. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 11 - 4 Aktuelle Lage ICT Infrastruktur national 4.1 Pannen, Ausfälle ADSL-Störungen Im zweiten Halbjahr 2005 war es gleich zu zwei schweizweiten Störungen bei ADSL-Dienstleistungen gekommen. Im Laufe des 6. Dezembers 2005 war ein Teil der Geschäftskunden von Sunrise Business-ADSL von einer Störung betroffen, bei der die ADSL-Dienste lahm gelegt waren. Am 7. Dezember 2005 war die Störung behoben. Wie Sunrise mitteilte, handelte es sich um einen Software-Fehler. Vom zweiten ADSLStörfall waren alle Kunden von Tele2 betroffen. Während des gesamten Wochenendes des 11. Dezembers waren die Dienstleistungen nur begrenzt verfügbar. Nach Angaben des Anbieters war eine Fehlfunktion in der Hardware die Ursache für die Störung. Nicht bekannt sind indessen die Auswirkungen, die diese Störungen auf die betroffenen Kunden hatten. Diese beiden Vorfälle verdeutlichen, wie wichtig es ist, eine solide Infrastruktur zur Datenübermittlung zu haben und vor allem auch in der Lage zu sein, Störungen möglichst schnell zu beheben. Laut einer von der ETH Zürich schweizweit durchgeführten Studie könnte ein landesweiter Ausfall des gesamten Internets während einer Woche der Wirtschaft Verluste in der Höhe von 5,83 Milliarden Franken verursachen (siehe Kapitel 9). 4.2 Angriffe Defacements: Reaktionszeit auf sportliche oder politische Geschehnisse wird immer kürzer Auch die Schweiz blieb 2005 von Attacken, die über das Internet lanciert werden, nicht verschont. Der erste MELANI-Halbjahresbericht beschäftigte sich mit Script Kiddies, Gruppen von Jugendlichen, die eher wahllos in Server eindringen und Unfug treiben. Aus den unterschiedlichsten Gründen verändern die Kiddies Internet-Seiten und missbrauchen sie für ihre politischen und sozialen Aufrufe. Nachdem im November 2005 die Schweiz das Ausscheidungsspiel für die Fussballweltmeisterschaft gegen die Türkei gewonnen hatte, kam es ausserhalb des Stadions zu heftigen Ausschreitungen zwischen den Anhängern der beiden Mannschaften. Bereits ein Tag nach dem Spiel und während der folgenden Tage, also ab dem 18. bis zum 22. November, kam es im Internet zu heftigen Reaktionen: Zahlreiche, auf Schweizer Servern befindliche Foren wurden angegriffen und Websites entstellt (Defacement). Die für das Defacement verantwortliche Gruppe nannte sich “IMHOT3b”. Es wurden Slogans aufgeschaltet wie “Welcome to hell” oder “Made in Turkey”. Auf einer der Websites fanden sich die türkische Nationalhymne und Zitate von Atatürk. Laut Zone-H 9 ist “IMHOT3b” seit Juli 2005 aktiv. Seither gingen 165 Fälle, bei denen Internetsites entstellt worden waren, auf das Konto dieser Gruppe. Alle betroffenen Sites waren auf veralteten Versionen des Supportforums “phpBB” gestützt. Den verwendeten Versionen gemein war, dass sie bekanntermassen mehrere Sicherheitslücken aufwiesen. MELANI machte zahlreiche Hosting-Provider darauf aufmerksam, dass einige der von ihnen gehosteten Sites Ziel solcher Angriffe geworden seien. Üblicherweise wird mit diesen Angriffen bezweckt, den Inhalt einer oder mehrerer Internetsites zu verändern, ohne aber Zugriff auf weitere Informationen zu ermöglichen. Bemerkenswert ist, wie schnell die Angriffe lanciert wurden: Zwischen dem Zeitpunkt, an dem das Ereignis – das Fussballspiel – stattfand, und dem Zeitpunkt, an dem Internetsites das Ziel von Defacements wurden, verstrichen nur wenige Stunden. Lotterie Romande: Und noch ein Betrugsfall Spam ist wohl die Internetplage schlechthin. Auch Schweizer Unternehmen blieben 2005 davon nicht verschont. Zahlreiche Finanzinstitute wurden das Ziel von Spamattacken. Die Lotterie Romande – ein Unternehmen, das auch noch für andere Lotterien zuständig ist – wurde zum Opfer einer Flut von Spams. In E-Mails, die von zwei angeblichen Promotion-Managern der Lotterie Romande unterzeichnet waren, wurde 9 http://www.zone-h.com (Stand: 23.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 12 - den Adressaten ein Lotterie-Gewinn von einer Million Euro in Aussicht gestellt. Die E-Mails waren begleitet von einem Formular, das es auszufüllen galt. Unter anderem sollten auch persönliche Angaben zur Bankverbindung gemacht werden. Laut J. Besssar, dem Kommunikationsdirektor der Lotterie Romande, ist seines Wissens durch diesen Betrugsversuch niemand zu Schaden gekommen. Die Lotterie Romande hat vorsorglich eine Pressemitteilung versandt, um auf die Gefahren durch solche Betrugsversuche aufmerksam zu machen. 4.3 Kriminalität Phishing Websites in der Schweiz Ende Juli wurde der Schweizer Koordinationsstelle zur Bekämpfung der Internet-Kriminalität (KOBIK) von einem Schweizer Internetprovider gemeldet, ein Kunde habe die Dienstleistungen des Webhosting für illegale Zwecke missbraucht. Eine Person hat wiederholt rumänische IP-Nummern benützt, um sich eine URL-Adresse zuzulegen und hat unter Angabe falscher Daten ein Webabonnement unterschrieben. In der Regel erbringen die Hostingprovider die verlangte Dienstleistung und stellen sie dem Kunden anschliessend in Rechnung. Während dieser Zeitspanne von rund 48-72 Stunden gelang es besagter Person, die unter dem Decknamen Willy Hertz auftrat ([email protected], eine in der Schweiz nicht vorhandene Adresse), auf dem Webserver eine (PayPal-)Phishing-Site aufzuschalten und etliche Phishing-Mails zu versenden. Der Betrug wurde erst nach einigen Tagen aufgedeckt. Auch andere Schweizer Hosting Provider wurden, ohne es zu wissen, für diese Tätigkeiten missbraucht. Internet-Wirtschaftskriminalität nimmt stark zu In einem Bericht der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) wird darauf hingewiesen, dass die Zahl der mit Hilfe des Internets begangenen Wirtschaftdelikte stark zunimmt. Der Bericht widmet sich der Entwicklung in den Jahren 2003 bis 2005. Während dieser Zeit hat sich die Zahl dieser Wirtschaftsdelikte von Jahr zu Jahr verdoppelt: Verzeichnete KOBIK im Jahr 2003 noch 145 Fälle, waren es 2004 deren 289. Im ersten Halbjahr 2005 waren bereits 275 Fälle bekannt geworden. „Wirtschaftskriminalität und Internet“ ist ein weit gefasster Begriff, der zahlreiche Deliktsformen beinhaltet: E-Mail-Phishing, Geldwäscherei, betrügerische Escrow-Dienste (Internet-Treuhanddienste), Missbrauch von Kreditkarten-Daten, illegaler Datenerwerb, Verstösse gegen das Urheberrecht und zahllose andere Betrugsformen. Laut dem KOBIK-Bericht war Phishing im Jahr 2003 noch eher eine Randerscheinung. Bereits 2004 nahm diese Deliktsform hingegen stark zu und stellte 2005 für die Schweizer Finanzinstitute ein überaus ernst zu nehmendes Problem dar. Auch häuften sich die Meldungen über gefälschte Phishing-Websites. Oft wurde und wird mit dem Präfix „swiss“ – sei es in einer Adresse oder Überschrift – versucht, den Eindruck von Seriosität und Vertrauenswürdigkeit zu erwecken. Den bei weitem grössten Anteil an Internetdelikten machen aber noch immer Betrügereien aus. Hier gilt es, die Internet-Anwender auf die verschiedenen Betrugsformen hin zu sensibilisieren. In vielen Fällen hätten sich Betrügereien vermeiden lassen, hätten die späteren Opfer ein wenig mehr Umsicht walten lassen. Doch ungeachtet der Warnungen und der in den Medien verbreiteten Informationen über Betrug im Internet lassen sich Leute immer wieder von der vermeintlichen Möglichkeit blenden, ohne viel Aufwand zu grossem Gewinn zu kommen. KOBIK sind die betrügerischen Mittel, mit denen Leichtgläubige in die Falle gelockt werden, nur allzu gut bekannt. So hat beispielsweise eine Privatperson einem asiatischen Käufer mehrere Mobiltelefone verkauft. Die Bezahlung sollte gegen Überweisung per Kreditkarte erfolgen, die Kreditkarte war jedoch gestohlen. In einem anderen Fall kaufte ein Internetuser eine Digitalkamera, die er auf einer chinesischen Website gesehen hatte; das Geld überwies er auf das Konto einer Bank in Peking, die Kamera hat er nie erhalten. Nicht anders ergangen ist es der Person, die bei einer Online-Auktion eine Reihe von Artikeln ersteigert hatte und gebeten worden war, das Geld im Voraus via Western Union zu senden. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 13 - KOBIK-Bericht 2005: Zahl der Meldungen hat stark zugenommen Die Koordinationsstelle zur Bekämpfung der Internetkriminalität ist seit nunmehr drei Jahren tätig. Der jüngste KOBIK-Bericht weist eine starke Zunahme der Meldungen über Internetdelikte aus. Waren es 2004 noch 6’540 Meldungen, belief sich die Zahl im Jahre 2005 bereits auf 7’345. Das ist ein Zuwachs von rund 800 Meldungen oder 12 Prozent. Mehrere Gründe sind denkbar: Mit zunehmender Zahl von Internetnutzern nimmt auch die Zahl potenzieller Opfer zu, die auf betrügerische Machenschaften im Internet hereinfallen. Mittlerweile hat KOBIK sowohl in der Schweiz als auch im Ausland an Bekanntheit gewonnen und wird in Zweifelsfällen vermehrt zu Rate gezogen oder informiert. Dass die Zahl der Meldungen zugenommen hat, kann auch damit zusammenhängen, dass Vorfälle anonym gemeldet werden können. Die Privatsphäre bleibt unangetastet. Im Berichtsjahr 2005 leitete KOBIK 206 Verdachtsfälle an die kantonalen Polizeikorps weiter. 79 Prozent dieser Fälle wurden dank dem KOBIK-Monitoring entdeckt; 21 Prozent der Meldungen stammten von Internetusern. Die meisten Fälle betrafen die Kantone mit den höchsten Einwohnerzahlen: An erster Stelle stehen die Kantone Zürich, Bern und Aargau. Bemerkenswert ist, dass bei 89 Prozent der weitergeleiteten Verdachtsmeldungen eine Untersuchung eingeleitet wurde. In 78 Prozent der Fälle wurde strafrechtlich verwertbares und belastendes Material sichergestellt. Erschwert wird die Arbeit der Polizei, wenn eine einschlägige Website beispielsweise von einem Internetkaffee aus angewählt und die Identität des Users nicht festgehalten worden ist. Schwierig, belastendes Material sicherzustellen, ist es auch, wenn spezielle Software die relevanten Daten löscht oder aber zwischen dem Zeitpunkt, wenn ein Fall gemeldet wird, und der Hausdurchsuchung zu viel Zeit vergeht. Hinzu kommt die immer leichter verwendbare Software, mit Hilfe derer sich personenbezogene Daten verschlüsseln oder unterdrücken lassen. KOBIK empfahl deshalb den kantonalen Ermittlern, die Computer von verdächtigen Personen auf entsprechende Software hin zu untersuchen: Es stellte sich heraus, dass in 9 Prozent der Fälle solche Software tatsächliche verwendet worden war. Der KOBIK-Bericht widmet sich mehreren Tendenzen und Themenbereichen: So hat die Zahl der Meldungen über Wirtschaftsdelikte deutlich zugenommen. Eine Tatsache, die als Beleg dafür gewertet werden kann, dass die Internet-Kriminalität zunehmend professioneller und kommerzieller wird. Ein weiteres Thema sind die Chatrooms: Spätestens seit 2005 haben die Frage nach der Strafbarkeit von den in Chatrooms geführten Gesprächen und der Aspekt der strafrechtlichen Verfolgung an Bedeutung gewonnen. Es sind dies Punkte, die auch weiterhin thematisiert werden müssen, zumal das Chatten zu einer der beliebtesten und am weitesten verbreiteten Kommunikationsformen unter Jugendlichen zählt. Erfreulicherweise scheinen sich die in diesem Bereich getroffenen präventiven Massnahmen zu bewähren. Im Jahr 2005 machte der Missbrauch von Weblogs vermehrt von sich Reden, nachdem beispielsweise illegales Material veröffentlich worden oder es zu Ehrverletzungen gekommen war. Solche Missbräuche wurden vornehmlich aus der Westschweiz gemeldet. Es ist zu vermuten, dass künftig auch in der Deutschschweiz Weblogs vermehrt missbraucht werden. 4.4 Terrorismus Der Zentralrechner der Universität Genf als Zentrum für islamistische Propaganda In ihrer Ausgabe vom 29. Oktober 2005 berichtete die „Weltwoche” darüber, dass jemand über das Informatiknetz der Universität Genf islamistisches Propagandamaterial auf das Internet lädt und verbreitet. Offenbar handelte es sich um Propaganda der Al-Qaida. Unter anderem seien Filme zu sehen gewesen, die den jordanischen Terroristen Abu Musab al-Zarqawi bei der Begehung von Gewaltakten zeigten (siehe dazu Kapitel 5.4). Die Verantwortlichen: ein 27-jähriger Marokkaner; er lebte seit Jahren ohne Aufenthaltsgenehmigung in Genf, und ein 41-jähriger, illegal eingereister Asylbewerber aus Algerien. Offenbar transferierten die beiden über jeweils vier Internetzugänge von an der Universität regulär immatrikulierten Studierenden unter anderem Propaganda-Videos auf an mehreren Orten der Welt befindliche Webserver. Die beiden waren in der ersten Hälfte des Oktobers nahezu täglich von zehn Uhr morgens bis vier Uhr nachmittags tätig. So sollen beispielsweise zwei Videoaufnahmen von Selbstmordattentaten im Irak heruntergeladen und anschliessend auf einschlägigen Webseiten veröffentlicht worden sein. Entdeckt hat den Fall Evan Kohlmann. Seit Jahren patrouilliert der amerikanische Experte für Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 14 - Cyberterrorismus durch islamistische Websites. Kohlmann leitet das unabhängige Büro Globalterroralert in New York. Er unterhält auch eine eigene Website: Global Terror Alert. 10 Er war es auch, der die „Weltwoche“ informierte. Die Zugangsdaten (Benutzername und Passwort) zu den von den Beschuldigten genutzten Accounts haben sich die beiden durch einfaches „über die Schultern schauen“ bei den rechtmässigen Benutzern während deren Einloggvorgangs beschafft. Al-Zawahiri-Video auf Forum veröffentlich Am 23. Dezember 2005 wurde in einem Internetforum eine Videobotschaft des stellvertretenden Leiters der Al-Qaida, Aiman al-Zawahiri, veröffentlicht. In diesem Video droht der Terrorist den westlichen Staaten. Das Video war auf einem Internetforum zu sehen, das von einer in Düdingen (FR) lebenden Holländerin marokkanischer Herkunft betrieben worden war. Ihr Mann war bei einem von ihm in Afghanistan verübten Selbstmordanschlag ums Leben gekommen. Diese Frau war den Behörden keine Unbekannte: Im September 2004 lud sie auf ihre Website die Bilder von der Enthauptung von im Irak festgehaltenen Geiseln. Im Februar 2005 durchsuchte die Bundeskriminalpolizei mehrere Wohnungen von Personen, die militanten islamischen Kreisen zugerechnet wurden. Fünf Verdächtige wurden verhaftet; unter ihnen befand sich auch die besagte Frau. Nachdem sie auf freien Fuss gesetzt worden war, äusserte sie unverhohlene Drohungen gegen die Strafverfolgungsbehörden. Dem Vernehmen nach schreibt sie derzeit an einem Buch, in dem sie schildert, wie sie strafrechtlich verfolgt worden ist. 4.5 Diverses Spam-Hetze gegen Schengen/Dublin Im Vorfeld der Abstimmung über die Annahme der Schengen/Dublin-Abkommen sahen sich die Schweizer Internetuser Mitte 2005 mit einer Welle von Spams konfrontiert. Mit diesem gross angelegten MassenmailVersand sollte gegen Schengen/Dublin Stimmung gemacht werden. Mit der Spam-Aktion wurde versucht, den noch unschlüssigen Teil der Wählerschaft dazu zu bewegen, gegen die Annahme der Abkommen zu stimmen. Der Geschäftsführer des Zürcher Informatik-Sicherheitsunternehmens Apexis Cleanmail, Andreas Reinhard, bestätigte, dass eine solche Spam-Aktion bisher einmalig war. 11 Die Professionalität, die der Massenversand solcher Mails voraussetzt, die Methode und der Umstand, dass die gesamte Aktion vollständig anonym vonstatten ging, weisen laut Reinhard auf einen Profi-Spammer oder eine hervorragend organisierte Gruppe hin. Reinhard mutmasst, dass der oder die Spammer wahrscheinlich im Auftrag von Dritten tätig gewesen sind. Bedrohung von innen auch in der Schweiz Wenn von Informatik- oder auch von Internet-Kriminalität die Rede ist, denkt man in der Regel an aussenstehende Hacker, die – ausgestattet mit den neusten technischen Geräten – von einem sicheren Versteck aus Informatiksysteme von aussen angreifen. Allzu gern vergisst man, dass die weit grössere Bedrohung für ein System oft von den eigenen Mitarbeitern kommt. Der gemeinsam vom CSI und FBI veröffentlichte Bericht „Computer crime and security survey 2005” hält fest, dass sicherheitsrelevante Zwischenfälle in den US-amerikanischen Unternehmen mehrheitlich selbstverschuldet sind. Oft sind die Konsequenzen solch interner Pannen ungleich schwerwiegender als der Schaden, den Hacker-Angriffe verursachen. So gaben beispielsweise die Verantwortlichen der Tokioter Filiale der UBS zu, dass eine Harddisk abhanden gekommen war, auf der höchst vertrauliche Kundendaten abgespeichert waren. Zum Verlust kam es wegen unklarer Kompetenzregelung und Nichtbeachtung interner Richtlinien. 10 http://www.globalterroralert.com (Stand: 23.2.2006). 11 http://www.cleanmail.ch (Stand: 23.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 15 - Im zweiten Halbjahr 2005 erhielt die Wirtschafts- und Finanzzeitschrift „Cash“ einen anonym zugestellten 169 MB-grossen Datenträger. Er enthielt Daten von Kunden der Privatbank Julius Bär. Die Daten umfassten die Geschäftsjahre 1997 bis 2003. Laut „Cash“ betreffen die Daten bekannte Personen aus der Wirtschaft, der Politik und der Kultur, unter anderem auch Schweizer Staatsangehörige. Allein der Umstand, dass diese Daten an die Öffentlichkeit gelangen konnten, war ein harter Schlag für das Image der Schweizer Banken. Siehe zu diesem Thema auch Kapitel 6.3. E-Voting: Premiere in der Schweiz Zum ersten Mal konnte bei einer Abstimmung in der Schweiz die Stimme über das Internet oder per SMS abgegeben werden. Die Probe aufs Exempel machte die Zürcher Gemeinde Bülach bei einer kantonalen Abstimmung. Nach offiziellen Angaben wurden 37,3 Prozent der Stimmen elektronisch abgegeben, die meisten davon, rund 25 Prozent, über das Internet. Bemerkenswert ist, dass ebenso viele Wählerinnen und Wähler via SMS abgestimmt haben wie an der Urne. Grössere Probleme gab es nur, weil offenbar der PINCode, der auf dem Stimmrechtsausweis enthalten war, aus Gründen der Sicherheit schwach aufgedruckt und deshalb schwer entzifferbar war. Gewisse Schwierigkeiten stellten sich auch hinsichtlich der Kontrolle, ob Zweitstimmen abgegeben worden waren. Die politisch Verantwortlichen und die Abstimmungsverantwortlichen zeigten sich aber gleichermassen zufrieden mit dem Probelauf des E-Voting, umso mehr, als das übliche Schlange-Stehen vor der Urne ausblieb. Anlässlich einer kommunalen Abstimmung wurde der Versuch einen Monat später in den Gemeinden Bülach, Bertschikon und Schlieren wiederholt. 24 Prozent der Stimmen wurden elektronisch über das Internet oder per SMS abgegeben; 11 Prozent der Wählenden gaben ihren Stimmzettel an der Urne ab, und die grosse Mehrheit entschied sich für die Briefwahl. Bei diesen Pilotabstimmungen waren keine offensichtlichen Sicherheitsprobleme oder Missbräuche festgestellt worden. Versuche mit E-Voting werden fortgeführt: Im Jahr 2006 wird man auch in den Kantonen Genf und Neuenburg per E-Voting abstimmen können. Danach sind bis zum Vorliegen eines Evaluationsberichtes keine weiteren elektronischen Abstimmungen geplant. Schliesslich werden Bund und Kantone darüber zu befinden haben, ob den Wählenden neben der herkömmlichen Möglichkeiten der Stimmabgabe E-Voting als Alternative angeboten werden soll. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 16 - 5 Aktuelle Lage ICT Infrastruktur International 5.1 Pannen, Ausfälle Computerpanne an der Börse in Tokio führt zu Verlusten Zwei Computerpannen im November und Anfang Dezember sorgten an der Tokio Stock Exchange (TSE) für erhebliche finanzielle Verluste. Am 1. November mussten grosse Teile des Aktienhandels während rund 90 Minuten aufgrund einer Computerpanne unterbrochen werden. Nach Angaben der TSE verteilte der Hersteller des Handelssystems, Fujitsu, falsche Anweisungen zur Einspielung eines Updates. Nicht nur Fujitsu-Manager, sondern auch der CEO der TSE mussten wegen des Vorfalls Gehaltskürzungen hinnehmen. Anfang Dezember platzierte ein Mitarbeiter des Händlers Mizuho Securities eine Verkaufsorder für JCom Aktien falsch. Statt eine Aktie für 610'000 Yen (4'200 EUR) auszuschreiben, bot der Händler 610'000 Aktien zu einem Yen an. Obwohl der Mitarbeiter den Fehler sofort bemerkte, verweigerte ihm das Handelssystem während 10 Minuten korrigierende Eingaben. Diese Zeit reichte für die Platzierung von Hunderttausenden der Aktien auf den Einkaufslisten mehrerer Investoren, obwohl sich lediglich 14'000 Aktien im freien Handel befanden. Der anschliessende Wertzerfall der Aktie sowie Vergütungsverpflichtungen bescherten Mizuho Securities einen Schaden von ca. 283 Mio. EUR. Mizuho Securities klärt ab, ob Schadenersatzforderungen gegen die TSE möglich sind. An der TSE wird abgeklärt, ob das gesamte Computersystem überprüft werden muss. Der TSE-CEO hat inzwischen seinen Rücktritt angeboten, während der japanische Finanzminister massive Investitionen in das TSE-Computersystem empfiehlt, statt weiterhin in einen eigenen Börsengang der TSE zu investieren. An der Börse in Zürich, der SWX Swiss Exchange, sind Pannen dieser Art gemäss Angaben der SWX nicht zu erwarten. Updates der SWX-Computersysteme werden standardmässig auf einer Testumgebung geprüft und erst nach erfolgreichen Tests mittels nach einer Checkliste definierter Schritte appliziert. Im Falle von Fehleingaben ins Handelssystem stehen zwei Schutzmechanismen zur Verfügung – sowohl vor, als auch nach der Durchführung der Transaktion. Einerseits schreitet das System bei auffälligen Eingaben automatisch ein, worauf der Handel zwecks Möglichkeit von Neueingaben oder Korrekturen seitens der Händler kurzfristig unterbrochen wird. Andererseits kann eine bereits ausgeführte Transaktion für ungültig erklärt werden, falls der Preis des durch die Transaktion entstandenen Geschäfts erheblich vom Marktpreis abweicht oder falls geordnete Marktverhältnisse nicht gewährleistet sind. Diese Schutzsysteme haben sich in der Praxis seit Jahren bewährt, so dass nach den Ereignissen an der TSE kein Handlungsbedarf an der SWX bestand. 5.2 Attacken Titan Rain: Gezielte Spionage-Angriffe gegen die USA, Grossbritannien, Kanada und weitere Staaten, vermutlich aus China Im Juni 2005 warnte das britische National Infrastructure Security Coordination Centre (NISCC) vor gezielten Angriffen mit ausgeklügelten ÆSocial-Engineering-Methoden unter Einsatz von massgeschneiderten ÆTrojanischen Pferden. NISCC meldete, dass bereits seit 2003 Ækritische nationale Infrastrukturen und Regierungsstellen im Visier seien. 12 Anfang 2006 versuchten Chinesische Angreifer vergeblich britische Parlamentarier mit Social-Engineering-Mails auszuspionieren. Das E-Mail Attachment enthielt präparierte Bilder, welche die WMF-Schwachstelle ausnutzten (siehe weiter unten). Wie im Juli bekannt wurde, erlebte auch Kanada gezielte Angriffe mit individualisierten Trojanischen Pferden. Im Visier stand besonders die National Cryptologic Agency, bei der die Angreifer offenbar gezielt nach vertraulicher Information suchten. Zudem sollen auch gezielte Angriffe gegen Australien und Neuseeland stattgefunden haben. 12 http://www.uniras.gov.uk/niscc/docs/ttea.pdf (Stand: 25.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 17 - Ende August wurde bekannt, dass bereits seit zwei Jahren systematische, professionelle Computerspionage aus China gegen militärisch genutzte Systeme der US-Regierung und gegen private Subunternehmer stattgefunden hatte und noch immer im Gang ist. Angeblich wurden lediglich als nicht-vertrauliche klassifizierte Netzwerke der Departments of Defense, of State, of Homeland Security und of Energy, der NASA und der Weltbank erfolgreich gehackt. Innert maximal 30 Minuten seien ohne verräterische Spuren zu hinterlassen und mit einer hohen Professionalität sämtliche interessanten Informationen heruntergeladen worden. Unter anderem haben die Angreifer eine militärische Flugplanungs-Software gestohlen. Ein Mitarbeiter der ebenfalls ausspionierten Sandia National Laboratories, einer der wichtigsten Entwickler des USamerikanischen Nukleararsenals, verfolgte die Angreifer über Süd-Korea, Hongkong und Taiwan zum vermuteten Ursprungsort zurück: die südlichste Provinz Chinas, Guangdong, von der aus auch die Angriffe unter Verwendung des WMF-Exploits gegen das britische Parlament ausgingen. Die Angriffe konnten offenbar immer zu denselben drei Routern zurückverfolgt werden. Dank einer auf einem der Router installierten Meldesoftware erfuhr der Sicherheitsexperte von Sandia von weiteren Aktionen der Angreifer. Seine Einschätzung: Hinter jedem der Router stehen etwa sechs bis zehn Workstations, rund um die Uhr bemannt. Das FBI ermittelt offenbar bereits seit längerer Zeit unter dem Codenamen „Titan Rain“ in diesem Fall und arbeitete eng mit dem Sandia-Experten zusammen. 13 Unklar bleibt bisher, ob hinter den Angriffen eine Aktion der Volksrepublik China steht oder nicht. Auch wenn viele aus anderen Ländern agierende Angreifer oft in mehreren Hops über China ihre Spuren zu verwischen versuchen, sprechen einige Tatsachen für eine Involvierung der chinesischen Regierung. Die Professionalität der Angriffe, die dauernde Besetzung des Ursprungsnetzwerks und die Auswahl der Ziele legen einen Akteur mit sehr grossen finanziellen Mitteln nahe – einen Staat oder mafiöse Strukturen. Ein Auszug aus dem Bericht des US-amerikanischen Department of Defense über die militärischen Mittel der Volksrepublik China hält zudem folgendes fest: „China’s computer network operation (CNO) include computer network attack, computer network defense, and computer network exploitation. […] The PLA [People’s Liberation Army] has likely established information warfare units to develop viruses to attack enemy computer systems and networks […]. [R]ecent exercises have incorporated offensive operations, primarily first strikes against enemy networks.” 14 Wie der Direktor des britischen NISCC Ende November zudem ausführte, droht die grösste Gefahr für kritische Infrastrukturen von Staaten im fernen Osten, da diese stark wachsenden Volkswirtschaften einen schier unstillbaren Bedarf an Informationen hätten. China nannte er jedoch nicht explizit. 15 Obwohl keine eindeutigen Beweise vorliegen, ist davon auszugehen, dass die Angriffe staatsgesponsert sind und systematisch gegen kritische Infrastrukturen, Regierungssysteme und die Privatwirtschaft westlicher Staaten betrieben werden. Die am häufigsten beschriebene Vorgehensweise der Angreifer (Social Engineering und Einsatz von gezielt programmierten Trojanischen Pferden), Empfehlungen von MELANI zur Bekämpfung der Angriffe sowie eine Einschätzung der künftigen Bedrohungslage sind in Kapitel 2 und 3 zu finden. Auch wenn noch keine Informationen über ähnliche Vorkommnisse in der Schweiz vorliegen, gibt es nach Einschätzung von MELANI keinen Grund anzunehmen, die Schweiz sei als mögliches Spionageziel anderer Staaten oder Organisationen auszuschliessen. Die Bedrohung ist als ernst einzustufen. Wurmkrieg zwischen Zotob, Bozori und IRCbot zwecks Schaffung eines Botnetzes – Verhaftungen geben Einblick in Hackerszene Kurz nachdem Microsoft am 9. August neue Updates veröffentlicht und dadurch eine bestehende Sicherheitslücke im Plug and Play Service für Windows 2000 bekannt gemacht hatte, wurde diese Schwachstelle ausgenutzt. Verschiedene, insbesondere US-amerikanische Unternehmen, wie beispielsweise CNN, ABC, New York Times, Disney, Kraft Foods, United Parcel oder der Baumaschinenunternehmer Caterpillar, waren 13 Die ausführlichsten Presseinformationen lieferte “Time”: http://www.time.com/time/archive/preview/0,10987,1098961,00.html (Stand: 25.1.2006). 14 U.S. Department of Defense, Office of the Secretary of Defense, ANNUAL REPORT TO CONGRESS: The Military Power of the People’s Republic of China 2005, S. 36, erhältlich unter: http://www.dod.mil/news/Jul2005/d20050719china.pdf (Stand: 25.1.2006). 15 http://news.zdnet.co.uk/0,39020330,39237451,00.htm (Stand: 25.1.2006). Siehe dazu auch Kapitel 5.4. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 18 - innert kürzester Zeit von der nachfolgenden ÆWurmwelle betroffen. Nach der Infektion lud der über ÆIRC kontrollierte ÆBot weitere ÆMalware nach. Innert weniger Tage konnte ein eigentlicher „Krieg“ zwischen verschiedenen Varianten des Schädlings beobachtet werden: Zotob, IRCBot, Bozori usw. versuchten sich gegenseitig auszustechen. Die Würmer versuchten nicht nur, möglichst viele Computersysteme zu ÆBotnetz-Zombies zu machen, sondern auch, sich gegenseitig zu deinstallieren. Besonders bemerkenswert ist die Geschwindigkeit, mit der Schädlinge die Sicherheitslücke ausnutzten. Einen Tag nach Bekanntwerden der Sicherheitslücke tauchte bereits der ÆExploitCode aus derselben russischen Quelle auf wie bereits derjenige für Sasser im Jahr 2004. Vier Tage später wurde die erste Zotob-Variante entdeckt. Am 25. August konnten von lokalen Behörden in enger Zusammenarbeit mit dem FBI und Microsoft der türkische Staatsbürger Atilla Ekici („Coder“, 21) und der in Russland geborene Marokkaner Farid Essebar („Diabl0“, 18) als Urheber der Wurmwelle identifiziert und verhaftet werden. Offenbar wurde Essebar von Ekici für die Entwicklung von Zotob, dem weit verbreiteten Mydoom und auch Mytob, einem per Mail propagierenden Schädling, der bereits seit Februar 2005 mit über 100 Varianten in Umlauf war, bezahlt. Weniger bekannte Schädlinge waren ebenfalls von Essebar entwickelt worden. Die beiden gehörten einem grösseren Ring von Kreditkartenbetrügern, dem „0x90-Team“ an. Wenige Tage später verhafteten türkische Behörden sechzehn weitere verdächtige 0x90-Team-Mitglieder, die offenbar ebenfalls Varianten von Essebars Würmern verbreitet hatten. Motiv für die Angriffe war kommerzielles Interesse: Die infizierten Maschinen bildeten ein Botnetz, mit dem anschliessend verschiedene gewinnbringende Aktivitäten durchgeführt werden konnten – im Fall der verhafteten Kreditkartenbetrüger war das Hauptinteresse das Sammeln von Kreditkarteninformationen privater PC-Nutzer zwecks Fälschung von Kreditkarten. Viele Unternehmen setzen noch immer Windows 2000 ein. In der Regel werden bei Firmen Sicherheitsupdates erst nach umfangreichen Kompatibilitätstests eingespielt, so dass die hier ausgenutzte Lücke noch bestand, als die Wurmwelle begann. Die Abwägung zwischen Sicherheitsüberlegungen (möglichst rasches Einspielen des Updates) und der Kontinuität von Geschäftsabläufen (Verhindern eines Zusammenbruchs der Verfügbarkeit nach Einspielen eines ungetesteten Updates) ist oft sehr schwierig. Zudem illustriert dieser Zwischenfall die Wichtigkeit einer umfassenden IT-Sicherheits-Planung für Unternehmen. Selbst Firewallgeschützte Systeme, die von aussen her auch ungepatcht nicht angreifbar waren, konnten dennoch kompromittiert werden. Das Anschliessen eines mitgebrachten, verseuchten Notebooks an das Netzwerk reichte bereits aus, um alle verwundbaren Computer im Firewall-geschützten Netzwerk zu infizieren (siehe dazu auch Kapitel 6.2, Network Admission Control). Dieser Vorfall illustriert die in Kapitel 3.3 ausgeführten Absichten, Motive und Vorgehensweisen der immer professioneller agierenden Cyberkriminellen. Dank geteilter Arbeit und stetig zunehmender Professionalität werden die Angreifer immer effizienter und erzielen immer grössere finanzielle Gewinne (siehe dazu auch Kapitel 5.3: Verhaftungen von Botnetzbesitzern in den Niederlanden und den USA). Sober-Wurm: Klassentreffen, FBI / BKA-Täuschmails und rechtsradikaler Spam Auch wenn 2005 ÆMassenmail-Viren und ÆWurm-Infektionen abnahmen (siehe Kapitel 2.4 und 3.3), ereigneten sich einige grosse Virenausbrüche, von denen die Sober-Welle von Oktober bis Dezember die am weitesten verbreitete aller Zeiten darstellte. Am 6. Oktober war eine neue Variante des bereits seit Oktober 2003 bekannten Massenmail-Virus Sober aufgetaucht, die im Verlauf der folgenden Wochen mehrmals aktualisiert wurde. Die erste Mailwelle mit Sober.S im Anhang beinhaltete die angebliche Nachricht einer Klassenkameradin, sie suche Adressen für eine Zusammenkunft. Wer das Attachment ausführte, infizierte sein System mit Sober. Lautete die Länderdomain der E-Mail-Adresse auf ein englischsprachiges Land, teilte Sober auf Englisch einen angeblichen Passwortwechsel mit. Mitte November tauchten neue Versionen auf, die vorgaben, eine versehentlich empfangene Mail weiterzuvermitteln, die eigentlich für das Opfer bestimmt gewesen wäre. Grosse Verbreitung erreichten jedoch erst gegen Ende November aufgetauchte Versionen (Sober.Y / Sober.Z), die im Mailtext vorgaben, vom deutschen Bundeskriminalamt zu stammen. Dem Opfer wurde vorgegaukelt, es habe wegen illegalen Downloads von Musik, Filmen oder Software mit einer Strafverfolgung zu rechnen. Im englischen Raum gelangte dieselbe Variante in einer angeblich vom FBI stammenden Mail in Umlauf. Auch Gewinnversprechungen von RTL oder Zugang zu Videoclips von Paris Hilton wurden im Virenmail angepriesen. Wie weit verbreitet der Virus war, zeigt die Tatsache, dass auf den Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 19 - FBI-Mailservern 200'000 Mails pro Stunde eingingen, die an den vermeintlichen Absender zurückgesandt wurden, nachdem sie nicht hatten zugestellt werden können. Sober verschickt sich selbständig an alle Kontakte im Adressbuch des Opfers. Zudem ist Sober in der Lage, zusätzlichen Schadcode nachzuladen und kann damit jederzeit mit zusätzlichen Funktionen (z.B. Spionagesoftware zum Diebstahl persönlicher Daten, Spam-Versand, Teilnahme an ÆDDoS-Attacken etc.) ausgestattet werden. Die Sicherheitsdienstleister iDefense und F-Secure, die den Code von Sober analysiert hatten, warnten Anfang Dezember zudem, dass die ab dem 22. November verteilte Sober-Version am 5. Januar 2006 weiteren Schadcode nachladen und für den Versand rechtsradikaler Nazi-Propaganda-Mails missbrauchen würde. Am 5. Januar 1919 war die Deutsche Arbeiter Partei (DAP) gegründet worden, die ihren Namen bald in NSDAP umbenannte. Zudem war der Sober-Virus schon zuvor einige Male als Urheber für den Versand von rechtsradikalen Spam-Mails aufgefallen (siehe Kapitel 5.2 des MELANI Halbjahresberichts 2005/I). Aufgrund weit verbreiteter Warnungen und Blockierungsmassnahmen verzichtete der vermutlich deutsche Sober-Autor offenbar am 5. Januar auf den Download zusätzlicher Schadsoftware. Die grosse Verbreitung dieses Massenmail-Virus ist nicht etwa auf einen besonders raffinierten Code zurückzuführen, sondern auf sehr geschickt eingesetzte ÆSocial-Engineering-Techniken. Dabei versucht der Angreifer, das Opfer unter Ausnutzung seiner Neugierde oder seiner Hilfsbereitschaft zu einer Aktion zu bewegen. Im Fall des Sober-Virus war diese Aktion das Anklicken des Attachments. Diese Methode wird beispielsweise auch für gezielte Spionage eingesetzt und verspricht, wie Sober demonstriert, bei geschickter Durchführung grossen Erfolg. Eine Übersicht über die bisherigen Sober-Varianten ist zu finden unter: http://www.computerworld.com/securitytopics/security/story/0,10801,107483,00.html. Kritische Lücken in Windows-Systemen rasch ausgenutzt: WMF 0-day-exploit Ende Dezember 2005 wurde ein ÆExploit-Code entdeckt, der offenbar bereits seit Anfang Dezember 2005 kursiert war. Durch eine Sicherheitslücke bei der Verarbeitung von WMF-Bilddateien in Windows-Systemen konnte über den Æ0-day-Exploit Schadcode eingeschleust, ausgeführt und so die Kontrolle über das System übernommen werden. Wer mit dem Internet Explorer Webseiten besuchte, die ein präpariertes WMF-Bild enthielten, dessen System wurde aufgrund der automatischen Darstellung des WMF-Bildes in der Windows Bild- und Faxanzeige infiziert. Nutzer anderer Browser mussten zunächst noch eine Bestätigung anklicken, damit die Infektion erfolgen konnte. Allein die Indexierung eines infizierten Bildes mit einer DesktopSearch-Software oder dessen Vorschau-Ansicht im Windows Explorer reichten ebenfalls für eine Infektion aus. Nach der Infektion konnte der Angreifer beliebig weiteren Schadcode nachladen. Innert weniger Tage tauchten Dutzende neuer Exploit-Versionen für die WMF-Lücke in Form von Grusskarten, E-Mails, ÆInstant Messaging Nachrichten oder präparierten Webseiten auf. Der WMF-Exploit wurde gar für einen erfolglosen, vermutlich chinesischen Spionageangriff gegen britische Parlamentarier eingesetzt, indem ihnen gezielt Mails zugeschickt wurden, die präparierte Bilder als Attachment enthielten (siehe weiter oben: Titan-RainArtikel). Aufgrund der zahlreichen Versionen waren Antiviren-Programme nicht in der Lage, zuverlässigen Schutz zu bieten. Bis zum (frühzeitigen) Update-Release von Microsoft am 5. Januar 2006 gab es keine befriedigende Lösung zur Behebung des Infektionsrisikos. Die Einspielung eines in der Zwischenzeit von einem IT-Security-Experten entwickelten Patches stellte ebenfalls ein potenzielles Risiko dar, da dieser nicht die sonst typischen Tests hinter sich hatte und daher selbst zu Problemen führen könnte. Auch wenn die Sicherheitslücke nicht automatisiert ausgenutzt werden konnte (wie beispielsweise bei Würmern), sondern Aktionen von Benutzerseite verlangte (Besuch einer Webseite, Anklicken eines E-MailAttachments etc.), stellte sie eine kritische Bedrohung dar. Die Geschwindigkeit, mit der von Cyberkriminellen auf die Sicherheitslücken reagiert wurde und mit der Varianten des Exploit-Codes auftauchten, ist zudem ein gutes Beispiel für die stark gestiegene Professionalität der Angreifer (siehe Kapitel 3). Angeblich wurde der WMF-Exploit gar für 4000 US$ im Internet zum Verkauf angeboten. Bemerkenswert ist zudem der Fakt, dass der WMF-Exploit bis zum Auftauchen der ersten aktiven Schädlinge gänzlich unbekannt war, was der Tatsache entspricht, dass weitere, unbekannte Lücken im Internet bereits aktiv ausgenützt werden. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 20 - IM Gefahren: Würmer mit Rootkit-Kapazitäten und Sprachfähigkeiten ÆInstant Messaging (IM) stellt eine aufkommende Gefahr für Firmen und Heimanwender dar (siehe auch Kapitel 2.4), wie Schwachstellen in und Angriffe über IM zeigten. Betroffen waren im zweiten Halbjahr 2005 fast alle populären IM-Dienste, wie diejenigen von Microsoft, Yahoo oder America Online (AOL). Nicht nur der WMF-Exploit (siehe oben) wurde unter anderem über IM verteilt, sondern auch andere ÆMalware-Arten. Ende August tauchte in Microsofts MSN-IM-Netzwerk ein neuer „smarter“ ÆWurm auf, der erstmals in der Lage war, seine Sprache an diejenige des Nutzers anzupassen. Kelvir.HI kommunizierte auf Holländisch, Englisch, Französisch, Deutsch, Griechisch, Portugiesisch, Schwedisch, Spanisch oder Türkisch. Klickte das Opfer den in der IM-Nachricht angegeben Link an, wurde ein Programm auf dem System installiert, der das System der Kontrolle des Angreifers übergab. Ende Oktober war AOLs AIM-Netzwerk betroffen: Von einem infizierten Bekannten, der bereits auf der Buddylist steht, erhielt das Opfer eine Nachricht mit einem Link zu einer URL. Wer den Link anklickte, dessen System wurde mit Malware infiziert, die erstmals für IM mit ÆRootkit-ähnlichen Techniken versehen war. Ein weiterer IM-Schädling wurde Anfang Dezember entdeckt: Über AOLs AIM-Netz wurde ein ÆBot verteilt, der aktiv mit dem Opfer kommunizieren konnte. Über einen bereits in der Buddylist eingetragenen (infizierten) Bekannten erhielten die Opfer einen Link, über den die Infektion mit dem Schadcode dann erfolgte. Das Ungewöhnliche an diesem Schädling war der Umstand, dass er mit Sätzen wie „lol no its not a virus“ oder „lol thats cool“ antwortete und so dem Opfer vorgaukelte, tatsächlich mit dem Bekannten der Buddylist zu kommunizieren. Auch dieser Schadcode erlaubte dem Angreifer die Kontrolle über den infizierten PC. Wie sich Computernutzer vor IM-Gefahren schützen können, wird in Kapitel 6.1 erläutert. 5.3 Kriminalität Phishing: Weit verbreitet ÆPhishing war auch in der zweiten Jahreshälfte 2005 eine der grössten Cyberkriminalitäts-Bedrohungen. In Deutschland beispielsweise gerieten nicht nur Postbankkunden ins Visier der Phisher, sondern auch Kunden der Sparkassen und der Deutschen Bank. Auch ein ÆTrojanisches Pferd, das zunächst AntivirenSoftware deaktivierte und danach Tastatureingaben loggte, wurde mit gefälschten Telecom-Mails als angebliche „Rechnung“ verschickt. Über das Wochenende vom 17. und 18. September verzeichnete der Sicherheitsdienstleister Websense Angriffe auf Kunden von über 24 europäische Banken, vorwiegend in Italien und Spanien. Die grösste schwedische Bank, die Nordea-Bank, sah sich Anfang Oktober wegen einer Phishingwelle gar dazu gezwungen, ihr Online-Banking-Portal einen Tag lang offline zu nehmen. Die Bezifferung der entstandenen Schäden ist schwierig vorzunehmen, da viele Verluste den Behörden gar nicht bekannt sind. Wie das deutsche Nachrichtenmagazin Focus im Oktober berichtete, bearbeiteten deutsche Landeskriminalämter über 1000 Fälle, in denen Kunden geschädigt worden sind. Der geschätzte Schaden in Deutschland beläuft sich gemäss Focus auf etwa 4,5 Mio. EUR, wobei dies eine zurückhaltende Schätzung sein dürfte. In der Schweiz liegen die Schäden jedoch massiv tiefer. Auch wenn gewisse Fahndungserfolge zu verzeichnen sind, wie beispielsweise Berichte über Verhaftungen in Estland oder die abnehmende Online-Zeit einer Phishing-Webseite von über einer Woche vor einem Jahr auf inzwischen 5,3 Tage, ist Phishing ein lohnendes Geschäft für Cyberkriminelle. 16 Jedenfalls bemühen sie sich immer mehr, ihre Betrugsmails in andere Sprachen zu übersetzen – einer der Hauptgründe dafür, dass sich Phishing auch in nicht englischsprachigen Regionen immer mehr ausbreitet, so auch in der Schweiz. 16 Zu den Verhaftungen in Estland, siehe: http://www.bka.de/pressemitteilungen/2005/pm141105.html; aktuelle Phishing-Statistiken bietet die Anti-Phishing Working Group: http://antiphishing.org/reports/apwg_report_Nov2005_FINAL.pdf (Stand für beide: 26.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 21 - Für eine Einschätzung der Bedrohungslage durch Phishing und erwartete Tendenzen, siehe Kapitel 2.2 und 3.4. Kapitel 4.3 beschäftigt sich mit Phishing-Vorfällen in der Schweiz, während in Kapitel 6.3 präventive Informationen zur Phishing-Bekämpfung zu finden sind. Verhaftung von Botnetzbesitzern in den Niederlanden und den USA: Ein Einblick in die Botnetz-Szene Verhaftungen von ÆBotnetzbesitzern in den Niederlanden und in Kalifornien zeigen auf, in welcher Form Cyberkriminelle Botnetze einsetzen und dass die im letzten Halbjahresbericht gemachten Einschätzungen einer Zunahme von Erpressungen mit Botnetzen sich bewahrheiten. Anfang Oktober verhafteten niederländische Behörden einen 19-jährigen Botnetzbesitzer und zwei seiner Komplizen (22- und 27-jährig). Die drei stellten sich eine Armee von über 1,5 Millionen Botnetz-Zombies zusammen, indem sie W32.Toxbot (eine Eigenvariante des öffentlich erhältlichen SDBot) einsetzten. Das Botnetz wurde gleich für mehrere Zwecke genutzt: Toxbot ist in der Lage, Tastatureingaben aufzuzeichnen und an den Angreifer weiterzugeben, so dass Login-Daten ausspioniert werden konnten. Diese Informationen nutzten die Beschuldigten für den Einkauf bei eBay und PayPal unter fremdem Namen. Schliesslich erpressten sie den US-amerikanischen AdWare-Hersteller 180solutions unter Androhung einer ÆDDoS-Attacke. 180solutions baut sein Geschäft auf Dritten auf, die ÆAdWare von 180solutions mit eigener Software verbinden und dann für jede installierte Version eine Gebühr erhalten. Durch die (illegale) Installation von 180solutions-AdWare auf den kompromittierten Rechnern erhielten die Botnetzbesitzer regelmässig Geld, bis 180solutions im August 2005 verschiedene Klagen gegen illegal vorgehende Vertragsnehmer einreichte und auch die niederländischen Botnetzbesitzer von künftigen Zahlungen ausschloss. Als Reaktion auf diese Entwicklung verlangten die Botnetzbesitzer nach einer DDoS-Attacke von 180solutions Geld. Auf Anraten des FBI bezahlte das Unternehmen und das FBI konnte die so ermittelten Kontodaten an niederländische Strafverfolgungsbehörden weiterleiten. Diesen war das Botnetz dank der bereits erfolgten Entdeckung durch den Provider XS4All bekannt, so dass die Betreiber in Zusammenarbeit des holländischen ÆCERT und des National High Tech Crime Unit verhaftet werden konnten. Auch der Anfang November verhaftete 20-jährige Kalifornier Jeanson James Ancheta stellte sich ein etwa 400'000 Zombies umfassendes Botnetz zusammen und versuchte, dieses via ÆIRC-Chat für Spam-Versand oder DDoS-Attacken zu vermieten. Ancheta hat durch illegale AdWare-Installation etwa 60'000 US$ verdient, mit der Vermietung an Spammer 3'000 US$. Eine Einschätzung der Gefährdungslage durch Botnetze ist in den Kapiteln 2.3 und 3.2 zu finden. 5.4 Terrorismus Was Terroristen mit ICT-Technologien machen: „Virtuelles Afghanistan“: Training/Propaganda für Djihadisten erfolgt nun online Vermehrt wird in letzter Zeit über die dubiose Gefahr des „Cyberterrorismus“ diskutiert, weshalb MELANI an dieser Stelle eine Einschätzung der Bedrohungslage vornimmt. Dieser erste Teil befasst sich mit der Frage, inwiefern das Internet von Terroristen genutzt wird. Der zweite Teil weiter unten beurteilt die Gefahr eines cyberterroristischen Anschlages und zieht ein Fazit. Die Zahl djihad-bezogener Webseiten hatte sich bereits nach dem 11. September 2001 massiv erhöht – doch seit der Veröffentlichung des Videos mit der Enthauptung des US-Amerikaners Nicholas Berg durch die irakische Terrorgruppe Abu Musab al-Zarqawis am 11. Mai 2004 entwickelte sich online eine professionelle Rekrutierungs-, Propaganda- und Schulungs-Maschinerie der Djihadisten. Während vor acht Jahren einige wenige Webseiten bekannt waren, werden heute über 4'700 gezählt, die ständig umgezogen werden, Inhalte untereinander neu austauschen, aufeinander verlinken und so nur schwer überwachbar, geschweige denn unterbrechbar, sind. 17 17 Einer der bedeutendsten Forscher in diesem Gebiet ist Prof. Gabriel Heimann von der Universität Haifa in Israel: http://soc.haifa.ac.il/~rsso343/ (Stand: 27.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 22 - Al-Zarqawis Terrorgruppe verteilt seit Mai 2004 systematisch Filme und Propaganda-Material mit detaillierten Informationen zu ihren Aktionen im Irak. Am 29. Juni 2005 wurde beispielsweise ein 46-minütiges, professionell produziertes Video auf mehreren Djihadisten-Foren verlinkt, das den Kampf der Gruppe zeigt. Mehrere mündliche und schriftliche Botschaften tauchen täglich auf, einmal monatlich wird ein Magazin produziert. Auf einem anderen Forum erläutert ein halbstündiger Film detailliert den Bau von Sprengstoffgürteln. Das Filmen von Attentaten im Irak ist zum integralen Bestandteil der militanten Aktionen geworden. Meist nur wenige Stunden nach einem Attentat ist der zugehörige Film im Internet verfügbar. Im dritten erschienenen Online-Magazin al-Zarqawis wird erläutert, worum es geht: Informationskrieg gegen die Ungläubigen. Ein Attentat ohne anschliessende Veröffentlichung, wird erklärt, sei kaum etwas wert. Seit dem Oktober 2005 unterhalten Al Qaida-Kreise gar eine Art Terror-TV. Die „Stimme des Kalifats“, jeweils eine gute Viertelstunde lang, ist bereits zweimal erschienen und berichtet aus der Sicht Al Qaidas über Weltgeschehnisse, wie zum Beispiel den Wirbelsturm Katrina, der als Soldat Gottes bezeichnet wurde. Dank dem Einsatz von Logos, filmischen Beiträgen und Musik-Jingles wirkt die Sendung äusserst professionell. Dass der Webmaster al-Zarqawis, Abu Dijana, Ende Oktober von den Amerikanern verhaftet wurde, dürfte am professionellen Webauftritt der Terroristengruppe wenig ändern. Über ein Forum wurde Anfang August auch zu einem intensivierten elektronischen Djihad aufgerufen und ÆKeylogging Software, Tools zur Verschleierung der eigenen ÆIP-Adresse, Listen von ÆProxyservern für die anonyme Internet-Nutzung sowie Tools zum Angriff auf Webseiten oder zur Datenzerstörung in gehackten Systemen angeboten. In der zweiten Jahreshälfte 2005 wurden Online-Foren dieser Art auch in Europa entdeckt (siehe für entdeckte Foren in der Schweiz Kapitel 4.4). Im deutschen Erfurt wurde beispielsweise eine Internetsite entdeckt, über die Anleitungen für den Bau von Bomben, Raketen oder den Aufbau einer Terrorzelle verbreitet wurden. Sowohl Suizid-Attentäter im Irak, als auch Djihadisten in Europa, Ägypten und anderen Ländern nutzen das Internet intensiv für Ausbildungszwecke, um taktische Informationen zu beziehen und zu verbreiten, für die Rekrutierung neuer Attentäter, zur Beschaffung von Geldmitteln sowie zu allgemeinen Kommunikationszwecken. Das Ziel, so scheint es, ist bereits erreicht: Ersatz für die nach dem 11. September ausgefallene logistische Terrordrehscheibe Afghanistan wurde in der virtuellen Welt des Internets gefunden. Eine massive, dynamische Online-Bibliothek liefert beispielsweise detaillierte Informationen, wie Rizin einzusetzen sei, wie aus in der Drogerie erhältlichen Chemikalien Bomben herzustellen sind oder auf welchem Weg man via Syrien am besten unerkannt in den Irak einreisen kann, um am Djihad teilnehmen zu können. Auch ausführliche Bauanleitungen für biologische Bomben (z.B. wie man in Ratten Viren züchten kann) oder Hintergrundinformationen zu nuklearen Sprengsätzen und Trägersystemen, im Oktober 2005 entdeckt, werden über islamistische Foren verteilt. Experten bezeichnen Al Qaida daher inzwischen als webausgerichtetes Phänomen. So gehen sie beispielsweise davon aus, dass die Verhandlungen zwischen al-Zarqawi und Bin Ladin zur „Beförderung“ der Terrororganisation al-Zarqawis zum „Al Qaida Committee for Jihad in the Land of the Two Rivers“ fast ausschliesslich online erfolgten. Ähnlich wie in anderen Internet-Communities, wie beispielsweise für OnlineRollenspieler, Personen auf Partnersuche oder Modelleisenbahnsammler, verbreiten die Online-Djihadisten Ideen, Konzepte, Anleitungen und Tipps für den Djihad und wachsen zu einer Gemeinschaft zusammen, die ohne das Internet niemals in dieser Form zusammengefunden hätte. 18 Was Terroristen mit ICT-Technologien nicht machen: Debatte um Gefahr des Cyber-Terror Im letzten Abschnitt wurde die Nutzungsweise des Internets durch Terroristen analysiert, an dieser Stelle wird eine Einschätzung der Cyberterrorismusgefahr vorgenommen. Insbesondere in den USA wird seit längerem eine Debatte um diese Frage geführt (siehe auch den Halbjahresbericht 2005/I), die auch in der zweiten Hälfte 2005 nicht an Impetus verloren hat. So meinte beispielsweise ein Akademiker der Monash University anlässlich einer Informationskriegsführungs- und Sicherheits-Konferenz Ende November, es sei eine reine Frage der Zeit bis zu einem Internetgestützten Terrorangriff gegen die USA oder einen anderen westlichen Staat. Daher schlug er Kriterien zur 18 Eine Übersicht über Djihadisten-Foren im Internet ist zu finden unter: http://www.haganah.org.il/haganah/index.html (Stand: 27.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 23 - Identifizierung von Cyberterror-Angriffen vor: Politische Motivation, terroristische Führer mit fortgeschrittenen Kenntnissen in den Informations- und Kommunikations-Technologien (IKT), Zugang zu neuster IKT, fortgeschrittene Kenntnisse über ÆSCADA-Systeme, terroristische Insider innerhalb der zum Ziel gewählten Organisation und finanzielle Unterstützung machten seine Kriterienliste aus. In einer Rede Ende November in London äusserte sich Roger Cummings, Direktor des britischen National Infrastructure Security Co-ordination Centre (NISCC), jedoch zurückhaltender. Er meinte, Terroristen hätten geringe Kapazitäten in diesem Bereich und stellten daher für die Ækritischen nationalen Infrastrukturen die geringste Bedrohung dar. Als deutlich riskanter schätzte er die Bedrohung durch Cyberkriminelle ein, welche die kritischen nationalen Infrastrukturen ausspionieren, um anschliessend die Informationen zu verkaufen. Die grösste Bedrohung hingegen ortete er in gezielten Social Engineering Angriffen mit dezidierten Trojanischen Pferden, ausgehend von Staaten im fernen Osten, womit er zweifellos auf China anspielte: „Foreign states are probing the CNI [Critical National Infrastructure] for information.“ 19 Die Gefahr des Cyberterrorismus hielt Cummings daher für „over-hyped“, genauso wie der bekannte Kryptologie- und Sicherheitsexperte Bruce Schneier, der den Cyberterror-Hype im staatlichen Interesse am Krieg gegen den Terror begründet sieht. Auch Schneier ist davon überzeugt, das die cyberkriminelle Bedrohung viel grösser sei. 20 Anfang Dezember schliesslich äusserte sich auch Louis Riegel, FBI Assistant Director und Leiter der Cyber Division des FBI, ähnlich und meinte, weder Al Qaida noch eine andere militante Terrororganisation sei in der Lage, Kraftwerke, Flughäfen oder andere kritische Infrastrukturen über das Internet anzugreifen. Gleichzeitig seien ihm auch keinerlei derartige Pläne von Terroristen bekannt. Auch er machte in fremden Regierungen eine viel grössere Bedrohung für die kritischen Infrastrukturen aus. 21 Die Einschätzung von MELANI schliesst sich den Ansichten des NISCC und des FBI an: Cyberterror ist eher ein Medienschlagwort und keine aktuelle Bedrohung für kritische nationale Infrastrukturen, weder in der Schweiz noch im Ausland. Die meisten für den Betrieb kritischer Infrastrukturen eingesetzten Steuerungssysteme (ÆSCADA-Systeme) sind proprietär, weshalb für einen Angriff Insiderkenntnisse nötig wären, über die terroristische Organisationen wohl (noch) nicht verfügen. Zudem könnten die meisten dieser Systeme im Notfall auch manuell gesteuert werden. Und selbst falls Terroristen solche Systeme manipulieren könnten, würde dies schnell entdeckt und eine hohe Anzahl Opfer wäre höchst unwahrscheinlich. Da terroristische Organisationen ihre Aktionen bewusst so auswählen, dass möglichst viel Angst und Schrecken verbreitet wird, nimmt die cyberterroristische Bedrohung zusätzlich ab. Im letzten Abschnitt wurde analysiert, wie Terroristen das Internet für Propaganda, Rekrutierung, Ausbildung und Kommunikation nützen – diese Funktionen des Internets sind für Terrororganisationen viel zu wichtig, als dass sie das Internet durch eigene Aktionen gefährden würden. Falls terroristische Akte im Zusammenhang mit dem Internet auftreten sollten, wäre dies eher in Kombination mit einem physischen Angriff zu erwarten. So wäre denkbar, dass nach einem Bombenattentat die Kommunikation der Rettungskräfte mit einem Cyberangriff eingeschränkt werden könnte. Oder Terroristen, wie ein Vertreter der chemischen Industrie der USA befürchtete, könnten sich durch Internetangriffe Informationen über Lagerorte oder Lieferungen von Chemikalien beschaffen, die sie dann für die illegale Beschaffungen dieser Chemikalien nützen könnten. 22 Zusammenfassend kann also festgehalten werden, dass Terroristen das Internet intensiv nützen, es als Terror-Instrument jedoch (noch) nicht einsetzen können. Viel die grössere Bedrohung für das Internet und von ihm abhängige Infrastrukturen stellen Cyberkriminelle und Industriespione dar. Dennoch sollte man aber die Gefahr des Cyberterrorismus im Auge behalten: Kritische Informationsinfrastrukturen sind inhärent unsicher (siehe dazu Kapitel 7.1, US-Cybersecurity-Bemühungen) und es ist durchaus denkbar, dass Terrororganisationen eines Tages in der Lage sein werden, dies für Anschläge auszunützen. Schliesslich machte sich in den vergangenen Jahren auch das organisierte Verbrechen immer mehr professionelle Hacker zu Nutzen – und deren Know-how könnte künftig auch von Terroristen vermehrt erworben werden. Im Bereich des Waf19 Zitiert nach einem ZDnet-Artikel: http://news.zdnet.co.uk/0,39020330,39237451,00.htm (Stand: 30.1.2006). Siehe dazu auch Kapitel 5.2 (Titan Rain). 20 Siehe: http://news.zdnet.co.uk/internet/security/0,39020375,39237490,00.htm (Stand: 30.1.2006). 21 Siehe: http://www.computerworld.com/industrytopics/energy/story/0,10801,106923,00.html (Stand: 30.1.2006). 22 Siehe: http://www.heise.de/newsticker/meldung/64031 (Stand: 30.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 24 - fenschmuggels, des Drogenhandels und der allgemeinen Finanzmittelbeschaffung ist der Link zwischen der organisierten Kriminalität und dem Terrorismus bereits Wirklichkeit. Deutschland: Neue Bundesregierung setzt rot-grüne Anti-Terror-Strategie fort Anfang November legten sich die Union und die SPD auf die Leitlinien zur Innenpolitik fest, die unter anderem auch der Bekämpfung des Terrorismus höchste Priorität einräumten. Der wichtigste Punkt in der Strategie der neuen Regierung ist die rasche Realisierung einer gemeinsamen Antiterrordatei für den Informationsaustausch zwischen Polizei und Nachrichtendiensten. Zudem soll das Bundeskriminalamt (BKA) Präventivbefugnisse zur Abwehr des internationalen Terrorismus erhalten und dadurch verdeckter vorgehen können als bisher. Auch die von der alten Regierung vorgesehene Einführung biometrischer Ausweisdokumente wird beibehalten. Zum Schutz der Ækritischen Infrastrukturen in Deutschland beabsichtigt die grosse Koalition, den im Sommer publizierten rot-grünen „Nationalen Plan zum Schutz der Infrastrukturen“ umzusetzen (siehe dazu Kapitel 7.1). Ausserdem soll eine enge Kooperation zwischen Staat und Privatwirtschaft realisiert werden, um die Bekämpfung krimineller Aktivitäten im Internet effizienter werden zu lassen. Ebenfalls als zentral für die nationale Antiterror-Strategie wurde die Umsetzung der von der EU vorgegebenen Richtlinien zur Telekommunikationsdaten-Speicherung bezeichnet (siehe Kapitel 7.1). Die grosse Koalition plant, Telekommunikationsdaten während sechs Monaten aufzubewahren und setzt damit die gleichen Standards wie in der Schweiz. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 25 - 6 Prävention 6.1 Software Microsoft investiert in Sicherheit Im letzten Halbjahr präsentierte Microsoft neue oder überarbeitete Sicherheitsprogramme. Unter anderem stellte das Unternehmen die Version 2.0 des Microsoft Baseline Security Analyzers (MBSA) zur Verfügung. Dieses Tool soll sicherheitsrelevante Fehlkonfigurationen in Windows und weiteren Microsoft-Produkten aufspüren. Es überprüft zum Beispiel, ob alle aktuellen Sicherheits-Updates eingespielt sind. Der MBSA läuft auf den Betriebssystemen Windows 2000, XP und Windows 2003. Er analysiert auch den Webserver IIS in Version 5.0 und 6.0, den SQL Server 7.0 und 2000, den Internet Explorer ab Version 5.01 sowie Office 2000, 2002 and 2003. Der Scanner überprüft insbesondere auch die Sicherheits-Updates für Office XP und gibt Bewertungen ab, wie schwerwiegend ermittelte Sicherheitsprobleme sind. Nachdem Microsoft vor zwei Jahren die rumänische Antiviren-Software GeCad gekauft hat, veröffentlicht Microsoft nun „Windows One Care Live“. Die Beta Version ist kostenlos. Die endgültige Version wird aber wahrscheinlich für eine monatliche Gebühr angeboten werden. Diese kombiniert Anti-ÆSpyware- mit Antiviren-Software und enthält eine ÆFirewall. Die Software ist Teil des neuen Internet Auftritts „Live“, 23 mit dem der Computer via Internet Explorer online auf mögliche Schädlinge oder Schwachstellen überprüft werden kann. Nach dem Einstieg in das Antiviren-Business interessiert sich auch die EU-Kartellkommission für Microsofts Pläne. Auch reagiert Microsoft auf das zunehmende ÆPhishing-Problem und hat eine Anti-Phishing Toolbar, die kostenlos heruntergeladen werden kann, zur Verfügung gestellt. Leider läuft diese momentan nur, wenn auch die MSN Search Toolbar installiert ist. Der Internet Explorer 7, welcher im Verlaufe dieses Jahres veröffentlicht werden soll, soll aber diesen Phishingschutz standardmässig implementiert haben. Weitere Informationen zu Anti-Phishing-Tools anderer Anbieter finden sich in Kapitel 6.3. Wirkungsvoller Schutz für den PC Angreifer wie auch böswillige Software nutzen häufig Sicherheitslücken im Betriebssystem oder in Applikationen aus, die nach deren Ausnutzen das Ausführen von beliebigem Code ermöglichen. Dabei behelfen sich Angreifer der Tatsache, dass sich bestimmte Funktionen des Betriebssystems oder der Applikation stets an denselben Adressen im Speicher befinden (viele ÆWürmer der jüngeren Vergangenheit nutzten diese Tatsache aus). Eine Art von möglichen Gegenmassnahmen adressiert dieses Problem, indem die Applikation wie auch die von ihr benötigten Funktionen (Libraries) bei jedem Systemstart an zufällig gewählte Speicheradressen geladen werden. Somit wird es für Angreifer oder Würmer viel schwieriger, beliebigen Code auszuführen. Linux wie auch BSD-Systeme weisen solche Schutzmassnahmen bereits seit längerer Zeit auf, für Windows-Systeme sind diese standardmässig jedoch noch nicht vorhanden. WehnTrust ist ein host-basiertes Intrusion Prevention System für Windows, dass auf dem eben beschriebenen Prinzip basiert und für Privatanwender kostenlos erhältlich ist. 24 Instant Messaging sicher benutzen Die von verschiedenen Firmen wie Microsoft oder AOL hergestellte ÆInstant Messaging (IM)-Software findet starke Verbreitung. Der Nutzen dieser Programme liegt in der Einfachheit und Geschwindigkeit, mit der die BenutzerInnen in Echtzeit miteinander kommunizieren und Daten austauschen können. Die Verbreitung eines bösartigen Codes mittels IM birgt dieselben Gefahren wie die bisherigen Verbreitungsmethoden per E-Mail. Bei einem auf IM basierten Angriff greift der Code direkt auf die Adressliste zu und verschickt sich dann automatisch an alle Gesprächspartner, die online sind. Sobald sich der ÆWurm verbreitet hat, wird der Kontakt, an den er sich verschickt hat, von der Liste gestrichen. Noch 23 http://www.live.com (Stand: 8.2.2006). 24 http://www.wehntrust.com (Stand: 8.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 26 - leistungsstärkere Codes besitzen eine Verteilerliste infizierter BenutzerInnen, so dass sie im Voraus wissen, an wen sie sich nicht verschicken müssen, weil die betreffende Adresse bereits infiziert ist. Der Aspekt des ÆSocial Engineering spielt bei IM-basierten Angriffen eine wichtige Rolle. Obwohl in vielen Fällen der Empfänger eine Handlung (Link anklicken, Bild herunterladen usw.) vornehmen muss, damit sein Computer infiziert wird, kann dieses Hindernis via IM leicht überwunden werden, da die meisten IM-Dienste den Zugang zum Benutzerprofil ermöglichen. Potenziell könnte Malware diese Information (z.B. über Geschlecht, Alter, Berufsgattung oder sogar eine Fotografie) also ausnützen, um dem Opfer vorzugaukeln, seine Kontaktperson habe die Nachricht absichtlich verschickt. Beispiele von IM-Attacken sind in Kapitel 5.2 beschrieben. Tipps im Umgang mit Chat und Instant Messaging: http://www.melani.admin.ch/gefahren-schutz/schutz/00027/index.html?lang=de. Entwicklung bei Sender ID / Domainkeys Es kommt wieder Bewegung in die Diskussion um ein Standard-Authentifizierungsverfahren für E-Mails. Nachdem die Verfahren der beiden konkurrierenden Techniken Sender Policy Framework (SPF) von Meng Wong und Sender ID von Microsoft wegen zu grossen politischen und patentrechtlichen Auseinandersetzungen von der Internet Engineering Task Force (IETF) im Jahr 2004 vorerst auf Eis gelegt worden waren, hat nun Microsoft eine neue Initiative bei der IETF eingereicht, was diese dazu gebracht hat, den Status des Verfahrens auf „versuchsweise genehmigt“ zu wechseln. Die IETF nimmt aber in ihrem Bericht keinerlei Stellung dazu, welcher Ansatz gegen Spam zu bevorzugen sei und warnt sogar vor wichtigen offenen Fragen, wie zum Beispiel die der Weiterleitungsfunktion. Aber auch andere Verfahren werden von der IETF berücksichtig und diskutiert. So wurde im August 2005 das neue Verfahren Domain Keys Identified Mail (DKIM) vorgestellt. Dieses beruht auf einer Kombination des von Yahoo entwickelten Domain Keys Systems und den von Cisco entwickelten Internet Identified Messages. Mit im Boot sind auch PGP und Sendmail. Das Projekt wird mittlerweile von verschiedenen Firmen mitgetragen und unterstützt, wie zum Beispiel EearthLink, IBM, Microsoft oder AOL, wobei sich die beiden letzteren auch für das Sender ID Verfahren einsetzen. Bei der DKIM Methode muss die Mail nicht vom E-Mail-Client signiert werden, sondern vom E-Mail Provider. Innerhalb einer Domäne wird so das Spammen nicht unterbunden und der Provider ist für eine Überprüfung selbst verantwortlich. Dies dürfte aber gerade bei grossen Providern wie Hotmail oder GMX zu erheblichen Problemen führen. Ausserdem unterbindet dieses Verfahren nicht Spam allgemein, sondern nur Spam, der unter einer falschen Domain verschickt wird. Dies kann durchaus helfen, um zum Beispiel Phishing-Mails, die angeblich von einer Bank stammen, automatisch zu erkennen. Es hilft aber nicht, wenn der Spammer sich immer neue Domänen mit den dazugehörigen DNS-Einträgen beschafft. Es wird daher schnell klar, dass es keine alleinige Lösung geben wird, sondern dass verschiedene Methoden die verschiedenen Teilprobleme ergänzend lösen müssen. Welche technischen Lösungen sich dabei durchsetzen werden, ist deshalb noch offen. 6.2 Hardware Neue Entwicklung bei Funknetzwerken Durch die Erweiterung des ÆWLAN-Protokolls um die so genannten exakten Timestamps wird es möglich, die Distanz des Laptops zum Access Point auf wenige Zentimeter genau zu bestimmen. Neben der Möglichkeit zur Nutzung von Hotspots für eine sehr präzise Ortsbestimmung, kann die „Precision Location“ auch für Sicherheitsaspekte genutzt werden. Zusätzlich zu einer Verschlüsselung des Funkverkehrs durch ÆWEP respektive ÆWPA, können so Angreifer, die ausserhalb der Wohnung auf den Accesspoint zugreifen, erkannt und geblockt werden. Um nicht nur die Entfernung zum Hotspot zu errechnen, sondern die exakte Position zu bestimmen, sind mehrere Access Points nötig. Der Prozessorhersteller Intel experimentiert bereits an Technologien, mit denen sich über Drahtlosnetzwerke die genaue Position eines Empfängers bestimmen lassen. Intel will mit der neuen Technologie eine Alternative zum Positionierungssystem GPS (Global Positioning System) entwickeln. Letzteres ist in InnenInformationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 27 - städten nur schlecht brauchbar, da hohe Häuser die direkte Sichtverbindung zu Satelliten versperren. Die Standortbestimmung per WLAN ist aber bereits heute möglich. Laut de.internet.com bietet das Start-UpUnternehmen Skyhook Wireless einen entsprechenden Dienst an. Dieser ermittelt die Position durch Messung der Signalstärke verschiedener Funknetze. So sei eine Identifikation auf mehrere Meter genau möglich, und zwar auch in Gebäuden. Der Empfänger benötigt dabei nur ein herkömmliches WLAN-Modul und eine spezielle Software. Eine solche Standortbestimmung über die Drahtlostechnologie WLAN könnte auch eine Möglichkeit bieten, bei einem Notruf die Position des Anrufenden zu ermitteln (siehe Notrufproblematik bei VoIP in Kapitel 8). Network Admission Control Das Point-to-Point Protokoll (PPP) dürfte vielen noch aus der Zeit der Internet-Modemverbindungen bekannt sein. Es wird vor allem für den Zugang zum Internet per Modemverbindung verwendet. Im Rahmen von PPP werden verschiedene Authentifizierungsmethoden eingesetzt, darunter das Challenge Handshake Authentification Protocol (CHAP) und das Password Authentification Protocol (PAP). Bevor überhaupt eine Verbindung zum Netzwerk gewährt wird, wird dabei zuerst Benutzername und Passwort überprüft. Diese Authentifizierungsmethode kann beliebig erweitert werden und es kann durchaus auch mehr als nur der Benutzername und das Passwort in das Authentifizierungsschema aufgenommen werden. Das Extensible Authentication Protocol (EAP) stellt viele verschiedene Authentifizierungs-Methoden, wie MD5-Challenge oder One Time Passwörter, zur Verfügung. Auch andere Variablen können unter die Authentifizierungskriterien fallen. Diese beinhalten beispielsweise die Überprüfung, ob der Rechner auf dem neuesten Stand ist und alle Updates eingespielt sind oder ob eine aktuelle Virensoftware eingesetzt wird. Die Überprüfung der Zugangskriterien wird dann durch das Versenden eines Success/Failure Pakets abgeschlossen. Allgemein wird diese Art der Authentifizierung durch den Standard IEEE 802.1x definiert. Cisco hat vor kurzem eine neue Version einer NAC (Network Admission Control) AuthentifizierungsLösung auf den Markt gebracht. NAC-Computer, die an das Netwerk angeschlossen werden, testen automatisch, ob eine aktuelle Antivirus-Software, die neuesten Antispyware-Tools und alle Sicherheitsupdates installiert sind. Sollte ein angehängtes System diese Tests nicht bestehen, wird eine Verbindung mit dem Netzwerk nicht hergestellt und dem Benutzer wird mitgeteilt, wie er seinen Computer besser schützen kann. Während bei anderen Authentifizierungsmethoden nur nach Usernamen und Passwort gefragt wird, gilt hier zusätzlich ein einwandfreies System als Zutrittsbedingung. Insbesondere für Firmen, die mobile Geräte einsetzen, dürfte diese Technologie eine wichtige Verbesserung des Sicherheitskonzeptes darstellen. Neue Bluetooth-Gefahren Die sichere Verbindung zwischen zwei ÆBluetooth-Geräten basiert auf dem Pairing-Prozess. Die Geräte, die Daten austauschen wollen, machen sich dabei zuvor bekannt. Es wird ein Verbindungsschlüssel ausgetauscht, wobei derselbe PIN-Code auf beiden Geräten eingegeben werden muss. Der Schlüssel wird dann benutzt, um das Gerät zukünftig zu identifizieren. Dieser Sicherheitsmechanismus wurde nun von israelischen Wissenschaftlern umgangen. Der Trick besteht darin, in die Kommunikation einzudringen und einen Abbruch der Verbindung zu erzwingen, damit ein neuer Pairing-Prozess ausgelöst wird. Dabei wird die Kennnummer eines der beiden Geräte genutzt, welche innerhalb des Funkradius offen an andere Bluetooth-Geräte übermittelt wird. Der Angreifer gibt nun unter Vorgabe dieser Kennnummer vor, den Verschlüsselungscode verloren zu haben, was einen neuen Pairing Prozess auslöst. Dass ein anschliessender neuer Pairing-Versuch knackbar ist, ist schon seit längerem bekannt. Dabei wird die Kommunikation abgehört und mit einer speziellen Software innerhalb weniger Sekunden alle PINs durchprobiert. Bei einem vierstelligen PIN Code sind dies gerade Mal 10'000 Möglichkeiten. Tipps im Umgang mit Bluetooth finden sich auf der folgenden Seite: http://www.melani.admin.ch/gefahren-schutz/schutz/00028/index.html?lang=de. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 28 - 6.3 Diverses Neuerungen bei den Anti-PhishingTools Das Online-Banking hat in der Gunst der Schweizer weiter zugelegt. Davon wollen auch Kriminelle profitieren. Mit ausgefeilten Methoden versuchen diese, an Kundendaten zu kommen. Im Vergleich zum Kreditkartenbetrug scheint der finanzielle Schaden Branchenkreisen zufolge aber gering zu sein. In England, Irland, aber auch Frankreich, Italien und Spanien gibt es immer noch Finanzdienstleister, welche die elektronischen Bankkonten alleine durch Benutzernamen und PIN-Nummer schützen. In der Schweiz ist ein zusätzlicher Identifizierungscode für jede E-Banking Session erforderlich. Diese Nummer wird entweder auf Streichlistenkarten abgelesen oder mit speziellen Rechnern generiert. Russland und Weißrussland gelten als mögliche Herkunftsländer dieser Angriffe. Um zu verschleiern, wohin das gestohlene Geld fliesst, setzen die Kriminellen auf Mittelsmänner und heuern dafür Menschen mit geringem Einkommen an. Sie sollen Gelder, die zuvor auf ihr Konto transferiert wurden, gegen eine Beteiligung per Money Transfer ins Ausland weiterleiten, womit sie sich ebenfalls strafbar machen. Neben der Zugangskontrolle sollte das Augenmerk zur Verhinderung von ÆPhishing Attacken auch auf das Online-Verhalten der Nutzer gerichtet werden. Wenn eine Person sich immer aus der Schweiz einloggt und dann plötzlich ein Einlog-Versuch aus einem Land mit hoher Phishing-Aktivität stattfindet, lohnt es sich, die getätigten Transaktionen zu überprüfen und gegebenenfalls beim Kunden nachzufragen. Softwarehersteller reagieren ebenfalls auf das zunehmende Phishing-Problem und stellen Anti-Phishing Tools zur Verfügung. Microsoft bietet eine Anti-Phishing Toolbar an, welche momentan nur installiert werden kann, wenn auch die MSN Search Toolbar installiert ist. Der Internet Explorer 7, welcher im Verlaufe dieses Jahres veröffentlicht wird, soll aber diesen Phishingschutz implementiert haben. Das Mailprogramm Thunderbird verfügt schon heute über einen Phishingschutz und untersucht ab Version 1.5 Mailnachrichten auf Betrugsversuche. Ein weiteres effizientes Programm kommt von Netcraft. 25 Diese Toolbar, die sowohl unter dem Internet-Explorer als auch unter Mozillas Firefox läuft, warnt automatisch, wenn eine aufgerufene Seite in der zentralen Netcraft-Datenbank als Phishingseite geführt wird. Umgekehrt können mit einem simplen Mausklick Phishingseiten gemeldet werden, die dann nach einer Überprüfung in die Datenbank aufgenommen werden. Zusätzlich zeigt das Tool zu jeder Seite eine Risiko-Rate an. Diese bezieht sich vor allem auf die Aufschaltzeit der Seite: Phishingseiten werden meistens kurze Zeit vor dem Angriff ins Netz gestellt, während offizielle Seiten der Banken mehrheitlich schon mehrere Jahre online sind. Bei Postfinance wird momentan ein neues Authentifizierungsverfahren für die Online-Dienste getestet. Die Funktion der Postcard soll entsprechend erweitert werden und den aktuellen Bedrohungen aus dem Internet Einhalt gebieten. CAP (Chip Authentication Program) heisst der Zusatz, der den weltweit gültigen EMVStandard erweitern soll. Bis Ende Februar 2006 wird dieses neue Login-Verfahren für das Webportal Yellownet von 250 Mitarbeitern der Post erprobt. Die „normale“ Postcard, die auch für den Bargeldbezug am Postomaten verwendet wird, kann dabei zusätzlich auch als Login-Karte für das E-Banking benutzt werden. Phishing-Attacken wie sie im Juni und Oktober des letzten Jahres vorgekommen sind, können so verhindert werden (siehe auch Kapitel 4.3). Es gibt auch andere Bestrebungen, dem Phishing Einhalt zu gebieten. Darunter fallen die Authentifizierungsprozesse iTAN (indizierte Transaction Numbers) und mTAN (mobile TAN). Im Gegensatz zu den normalen Streichlisten, die die Nummern der Reihe nach abfragen, pickt das iTAN-Verfahren eine zufällige Nummer heraus. Das Phishing wird so erschwert, da dem Täter nicht bekannt ist, welche Streichlistennummer als nächstes gefragt wird. Bei einer konventionellen Vorgehensweise müsste ein Täter alle Streichlistennummern phishen, was wohl jeden Nutzer stutzig machen würde. Doch es gibt schon neue Methoden um dieses Verfahren zu kompromittieren. Mit einem so genannten ÆMan-in-the-Middle Angriff konnte bei der deutschen Postbank ein Konto geknackt werden. Beim mTAN Verfahren wird die Streichlistennummer via SMS an ein Mobiltelefon gesendet. Das Verfahren nützt aber erst, wenn jede Transaktion mit einer TAN geschützt wird und zusätzlich der zu überweisende Betrag im SMS eingeblendet wird. Das Verfahren ist jedoch recht kompliziert und auch kostenintensiv. 25 http://netcraft.com (Stand: 8.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 29 - Kampf gegen Botnetzwerke Die Zahl der zu ÆBotnetzwerken verbundenen Zombie-Rechner geht zurzeit in die Millionen, wie auch die in Kapitel 5.3 thematisierten Verhaftungen aufzeigen. In verschiedenen Ländern gibt es Bestrebungen gegen Botnetzwerke vorzugehen. Die australische Telekommunikations-Aufsichtsbehörde Australian Communications and Media Authority (ACMA) versucht im Auftrag der Regierung während drei Monaten herauszufinden, ob sich diesem Cyber-Hijacking mit sanfter Gewalt ein Riegel vorschieben lässt. Offiziell heisst die angelaufene Aktion "Australian Internet Security Initiative", die ACMA selbst nennt sie das "Australische Zombie-Jagd-Programm". Die Aktion ist zunächst als Experiment geplant, an dem die fünf grössten Internet Serviceprovider (ISP) teilnehmen. Die ACMA will Datenverkehr, der im Verdacht steht zu einem Botnetzwerk zu gehören, überwachen und so Zombierechner aufspüren. Das australische NIC, das Adressen der australischen Endung ".au" vergibt, überprüft die so gefundenen IP-Daten dann darauf, ob die betroffenen Rechner in Australien stehen, um deren Besitzer anschliessend zu informieren. Dieser Ansatz wird bereits seit einigen Jahren erfolgreich von Schweizer ISPs verfolgt. Auch auf privater Ebene gibt es Initiativen, die es auf Zombierechner abgesehen haben. Sophos bietet einen neuen Dienst an, der Unternehmen vor einem unbemerkten Missbrauch ihrer PCs warnt. Der Dienst kann Zombie-Rechner in einem Netzwerk eines Unternehmens aufspüren und die Verantwortlichen rechtzeitig warnen. Sophos hat zu diesem Zweck Fallen aufgestellt (Honeypots). Sollte zum Beispiel eine Spam-E-Mail von einer zu überwachenden IP-Adresse stammen, wird die Firma informiert. Zur Analyse werden zusätzlich öffentliche Blackhole-Listen (DNSBL) hinzugezogen. Bedrohung durch Insider Im letzten Halbjahr hat die Sicherheitsfirma Trend Micro eine Studie veröffentlicht, die besagt, dass sich eine Mehrheit der Computernutzer an den Informatikmitteln am Arbeitsplatz sicherer fühlt als bei sich zu Hause. Als Konsequenz gaben 63 Prozent der Befragten an, dass sie riskante Webseiten lieber am Arbeitsplatz statt zu Hause am Heimcomputer öffnen. Die Gefahr, dass durch solche Unbedachtheit Schädlinge eingeschleppt werden, ist offenkundig. Auch Sophos nimmt sich diesem Thema an und gibt an, dass 80 Prozent der ITVerantwortlichen unzufrieden mit dem Verhalten ihrer Mitarbeiter im Umgang mit Informatikmitteln sind. Die meisten „Vergehen“ sind laut dieser Studie das Herunterladen von Musik und Filmen, das Öffnen von EMails, Dateianhängen und Links unbekannter Herkunft, Surfen auf zweifelhaften oder pornographischen Webseiten, das Empfangen und Ausführen von "Spassprogrammen", die sie von Freunden oder Kollegen erhalten, die Installation nicht genehmigter Software und ÆBrowser-Plug-Ins, das Weiterleiten von Informationen an unbekannte Empfänger über E-Mail und Telefon sowie die Benutzung des selben Passworts für verschiedene Webseiten oder die gemeinsame Nutzung eines Passworts. Die Gefahr geht aber nicht nur von Unachtsamkeit und Gleichgültigkeit aus – es gibt auch gezielte Angriffe, bei denen Mitarbeiter (respektive Ex-Mitarbeiter) bewusst in das Firmennetzwerk einbrechen, um Daten zu stehlen oder zu löschen. Aufgrund des Insider-Wissens kommen solche Angriffe sogar oft häufiger vor als ein klassischer Hacker-Angriff von aussen. Ein Beispiel, das im Sommer 2005 für Schlagzeilen sorgte, ist der Diebstahl von Kundendaten der Bank Julius Bär durch einen ehemaligen Mitarbeiter. Laut einer Studie des US-Secret Service und des CERT/CC geht den meisten Insider-Angriffen ein „negatives“ Erlebnis des Mitarbeiters in der Firma voraus. 26 Dies kann die Verweigerung einer Gehaltserhöhung, eines Postens oder im Extremfall die Kündigung des Arbeitsplatzes sein. Das Motiv für solche Taten ist deshalb mehrheitlich Rache. Die Attacken werden zumeist gründlich geplant und es werden dabei Hintertüren und Kontofreigaben eingesetzt, der Angriff erfolgt dann von Aussen über das Netzwerk. Ein grosses Problem solcher Insider-Angriffe ist deren Erkennung. Meist werden solche Angriffe erst registriert, wenn Systemungereimtheiten bekannt werden oder das System ausfällt. Insbesondere Ækritische Infrastrukturen sind von Insidern bedroht (siehe Kapitel 5.4 und 7.1). Gerade wenn Firmen in Zusammenhang mit Datendiebstahl Schlagzeilen machen, ergibt sich daraus eine Beeinträchtigung des Firmen-Images, was sich negativ auf die Kundenbeziehungen auswirken kann. Eine 26 http://www.secretservice.gov/ntac.shtml#programs (Stand: 23.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 30 - Studie des Ponemon Instituts 27 besagt, dass 20 Prozent der Kunden negativ auf so einen Vorfall reagieren würden. Dies zeigt, dass die Dunkelziffer bezüglich Datendiebstahls nicht zu vernachlässigen ist. 27 http://www.ponemon.org (Stand: 8.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 31 - 7 Aktivitäten / Informationen 7.1 Staatlich Schweiz: Ausschreibung von Konzessionen für den drahtlosen Breitbandanschluss Die Eidgenössische Kommunikationskommission (ComCom) hat Konzessionen für den drahtlosen Breitbandanschluss (BWA) zur Vergabe ausgeschrieben. Unter BWA (Broadband Wireless Access) versteht man den drahtlosen Breitbandanschluss an ein Fernmeldenetz, beispielsweise für den Zugang zum Internet. BWA ist eine allgemeine Bezeichnung für mehrere drahtlose Zugangstechnologien wie WLL (Wireless Local Loop), FBWA (Fixed Broadband Wireless Access) oder MBWA (Mobile Broadband Wireless Access). WiMAX und HiperMAN lauten die entsprechenden Markennamen. Das WiMAX-Forum (www.wimaxforum.org) ist eine nicht gewinnorientierte Vereinigung von Geräte- und KomponentenHerstellern. Das Ziel der Vereinigung ist es, die Verwendung der dem Standard IEEE 802.16 entsprechenden Geräte mit Hilfe der Betreiber von drahtlosen Breitbandsystemen zu fördern. Ausserdem soll die Kompatibilität der Geräte gewährleistet werden. Nachdem die Ergebnisse des vom Bundesamt für Kommunikation durchgeführten Vernehmlassungsverfahrens vorlagen, entschied die ComCom in Anbetracht der derzeit verfügbaren Frequenzen, drei neue BWA-Konzessionen für den Frequenzbereich 3,41 bis 3,6 MHz zu vergeben. In erster Linie geht es der Kommission darum, den Wettbewerb im Bereich der Breitbandanschlüsse zu beleben. Um die Konzessionen bewarben sich 24 Interessenten. Die Konzessionen werden versteigert. Der Mindestpreis für die beiden grossen Konzessionen beträgt je 6,1 Millionen Franken, jene für die kleinere 5,1 Millionen Franken. EU: Parlament beschliesst Speicherung von Telekomverbindungsdaten Anfang 2004 wurden von EU-Seite neue Bemühungen angestossen, die Speicherung der Verbindungsdaten aller Arten von Telekommunikation EU-weit gesetzlich zu regeln (z.B. Dienste wie Telefon, SMS, E-Mail, Internet), die 2005 ihren Abschluss fanden. Am 21. September 2005 legte die EU-Kommission einen Entwurf für eine Richtlinie zur Speicherung von Telefon- und Internetdaten vor, nachdem in den vergangenen Monaten eine längere Auseinandersetzung zwischen EU-Rat und -Kommission sowie zwischen EU-Behörden und Ratspräsidentschaften stattgefunden hatte. Zweck der Vorratsdatenspeicherung soll eine effizientere Strafverfolgung schwerer Straftaten, insbesondere im Bereich des Terrorismus und der organisierten Kriminalität, sein. Am 14. Dezember 2005 stimmte das EU-Parlament dem Entwurf zu und einigte sich auf eine Vorgabe der Datenspeicherungsdauer zwischen sechs und 24 Monaten. Im Februar 2006 soll dann schliesslich der EU-Rat einen formalen Beschluss zur Richtlinie fassen, wonach die nationale Umsetzung der Richtlinie in den Mitgliedstaaten der EU ansteht. Den Mitgliedstaaten steht es dabei frei, zwischen sechs und 24 Monaten eine eigene Datenspeicherungsbegrenzung festzulegen. In Deutschland beispielsweise plant die Regierung die Einführung einer sechsmonatigen Aufbewahrungsfrist, Frankreich 12 Monate. Nicht explizit geregelt wurde die Frage, wer für die entstehenden Kosten aufzukommen hat. Der EU-Parlamentsbeschluss ist insbesondere unter Datenschützern und Menschenrechts-Experten umstritten, zumal die Verbindungsdaten aller 450 Millionen EU-Bürger anlassunabhängig gespeichert würden und somit jeder Bürger als potenzieller Krimineller behandelt werden würde. In Deutschland plant die Regierung beispielsweise die Nutzung der Daten für die Strafverfolgung nur bei erheblichen oder mittels Telekommunikation begangenen Straftaten zuzulassen, während die EU-Richtlinie selbst einen Rückgriff der Strafverfolger auf die Daten erst bei schweren Verbrechen erlauben will. Wo genau allerdings die Grenze zu „schweren“ oder „erheblichen“ Verbrechen gezogen werden soll, bleibt unausgeführt. 28 In der Schweiz besteht kein Neuregelungsbedarf der gesetzlichen Bestimmungen, zumal diese bereits der in Deutschland geplanten Umsetzung von sechs Monaten Speicherungsdauer entsprechen. Art. 15, Abs. 3 des Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF, SR 780.1) verpflichtet die 28 Eine Übersicht zum Thema bietet: http://www.heise.de/ct/aktuell/meldung/66857 (Stand: 30.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 32 - Anbieterinnen von Fernmelde- und Internet-Dienstleistungen dazu, „die für die Teilnehmeridentifikation notwendigen Daten sowie die Verkehrs- und Rechnungsdaten während sechs Monaten aufzubewahren.“ EU: Kommission lanciert „Green Paper on Critical Infrastructure Protection“ Die EU Kommission verabschiedete Ende November ein Green Paper zum Thema Æ„Critical Infrastructure Protection“, mit dem mögliche Aktionen der Kommission auf die Aufforderung des EU-Rats, ein „European Program for Critical Infrastructure Protection (EPCIP)“ und ein „Critical Infrastructure Warning Information Network (CIWIN)“ zu schaffen, zur Debatte gestellt werden. Nach der Durchführung von Seminaren und der Berücksichtigung von Kommentaren der Mitgliedstaaten bildet dieses Dokument nun die Basis für weiteres Feedback der verschiedenen betroffenen Interessensvertreter. Mittelfristiges Ziel soll die Etablierung von Rahmenbedingungen innerhalb der EU zum Schutz der Ækritischen Infrastrukturen sein, die einen angemessenen und gleichmässigen Schutz der nationalen Infrastrukturen garantieren und gleichzeitig die nationalen Wettbewerbsbedingungen innerhalb der EU nicht verzerren. Das Dokument ist erhältlich unter: http://europa.eu.int/eur-lex/lex/LexUriServ/site/en/com/2005/com2005_0576en01.pdf. 29 Deutschland: „Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI)“ vom Innenministerium und dem BSI vorgelegt / „Bericht zur Lage der IT-Sicherheit“ publiziert Im August 2005 präsentierte der damalige Innenminister Deutschlands, Otto Schily, den „Nationalen Plan zum Schutz der Informationsinfrastrukturen“ (NPSI) und legte damit die IT-Sicherheitsstrategie der Bundesregierung dar, die auch die neue grosse Koalition weiterführen will. 30 Einen Tag später veröffentliche das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen ersten „Bericht zur Lage der ITSicherheit“. 31 Wie die Schweiz beurteilt auch Deutschland die Sicherung der Informationsinfrastrukturen (ÆCIIP) als sicherheitspolitische Aufgabe des Staates. Fokus wird auch in Deutschland auf eine möglichst ganzheitliche Adressierung des Problems gelegt, so dass Computersysteme von Heimanwendern genauso bedeutsam beurteilt werden wie Firmennetzwerke oder Regierungssysteme. Der Plan sieht unter anderem die Ausarbeitung von IT-Sicherheitsstandards für die Bundesverwaltung, die Einrichtung eines MELANIähnlichen Krisenzentrums IT des Bundes sowie eine allgemeine Erhöhung der IT-Sicherheitskompetenz der Bevölkerung vor. Als strategische Ziele werden Prävention, Reaktion und Nachhaltigkeit verfolgt. 32 Der Bericht zur Lage der Informationssicherheit, vergleichbar mit den MELANI-Halbjahresberichten, beschäftigt sich mit dem Sicherheitsbewusstsein und der Sicherheitskompetenz der Bürger, der Wirtschaft und der öffentlichen Verwaltungen. Zudem werden aktuelle Gefahren bewertet und deren mögliche Entwicklung beurteilt. Neue Anti-Terror-Gesetze in einigen EU-Staaten / Anti-Terror-Strategie der EU Mehrere EU-Staaten verabschiedeten neue Anti-Terror-Gesetze und auch in der gesamten EU wird die Koordinierung der diesbezüglichen Massnahmen weiter vorangetrieben. 29 Weitere Hintergrundinformationen sind erhältlich unter: http://europa.eu.int/rapid/pressReleasesAction.do?reference=MEMO/05/441&format=HTML&aged=0&langua ge=en&guiLanguage=en (Stand: 30.1.2006). 30 Erhältlich unter: http://www.bmi.bund.de/cln_012/nn_122688/Internet/Content/Common/Anlagen/Nachrichten/Pressemitteilungen/2005/08/Nationaler__Plan__Schutz__Informationsinfrastrukturen,templateId=raw,property=publi cationFile.pdf/Nationaler_Plan_Schutz_Informationsinfrastrukturen.pdf (Stand: 31.1.2006). 31 Erhältlich unter: http://www.bsi.de/literat/lagebericht/lagebericht2005.pdf (Stand: 31.1.2006). 32 Das Schweizer Informationssicherungskonzept basiert auf einem 4-Säulen-Modell: Prävention, Früherkennung, Krisenmanagement und technische Problembehebung. Mehr Informationen unter: http://www.efd.admin.ch/d/dok/faktenblaetter/efd-schwerpunkte/5_infosicherheit.htm (Stand: 31.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 33 - In Italien wurde bereits Ende August ein neues Anti-Terror-Gesetz verabschiedet. Kritik wurde inzwischen insbesondere über die Regelungen bezüglich der Internetkaffees laut: Deren Betreiber müssen neuerdings Betriebslizenzen beantragen, Kunden registrieren, das Surfverhalten archivieren und E-Mails speichern. Die Folgen: Internetkaffees in Italien mussten Einbussen von über 50 Prozent in Kauf nehmen, und die Behörden liegen mit der Bearbeitung der Betriebslizenzen massiv im Rückstand. Auch in England wurde ein neues, weitgehendes Anti-Terror-Gesetz verabschiedet. Neuerdings sollen Polizeibeamte, einer Zensurbehörde gleich, Mittlern einer terrorfördernden Publikation (z.B. Internetprovider, Buchhändler, Verlage) eine Einstellung der Publikation verfügen können. Dazu zählt auch die Veröffentlichung von Informationen, die nützlich für die Vorbereitung oder Durchführung von Terrorakten sein könnten, oder die glorifizierende Darstellung von Terrorismus. Unter anderen werden neu Straftatbestände für das Betreten von Nuklearanlagen oder terroristischen Ausbildungsgebieten geschaffen, Verdächtige sollen ohne richterliche Verfügung bis zu vier Wochen festgehalten werden dürfen und Abhörungen können neu sechs Monate ohne neue Bewilligung durchgeführt werden. Kurz vor Weihnachten wurde auch in Frankreich ein neues Anti-Terror-Gesetz verabschiedet, das zu einem der restriktivsten in Europa gehört und einen massiven Ausbau der Videoüberwachung sowie eine Verbindungsdatenspeicherung von 12 Monaten (auch für Internetkaffees) vorsieht. Neu dürfen der öffentliche Personenverkehr, Bahnhöfe, öffentliche Gebäude und Plätze, Atomkraftwerke und Industrieanlagen videoüberwacht werden; an Mautstellen wird auch der Autoverkehr registriert. Bei Terrorverdacht dürfen Verhöre (und somit Inhaftierungen) neuerdings sechs Tage dauern, ohne dass ein Haftbefehl ausgestellt sein muss. Anfang Dezember einigten sich auch die Innenminister der EU-Mitgliedstaaten auf eine gemeinsame Strategie gegen die Anwerbung und Aufhetzung zum Terrorismus. Insbesondere der Missbrauch des Internets zu diesem Zweck soll bekämpft werden. Auch soll die Anwerbung in Gefängnissen und Moscheen strafbar gemacht werden. Ebenfalls betont wurde die Absicht eines gemeinsamen Schutzes Ækritischer Infrastrukturen (siehe oben). Ziel der Bemühungen ist eine Angleichung der nationalen Gesetze der Mitgliedstaaten. 33 USA: Straffere Organisation der Cybersecurity-Bemühungen und erneute Kritik Nach Kritik an den Cybersecurity-Bemühungen des US-amerikanischen Department of Homeland Security (DHS) (siehe letzten Halbjahresbericht) und im Juli 2005 zu diesem Thema durchgeführten Anhörungen im Senat, kündigte der DHS-Minister Michael Chertoff im Sommer eine Reorganisation seines Departments an. Der Cybersicherheits-Beauftragte soll die Position eines „Assistant Secretary“ erhalten und Verantwortung für die Cyber- und die Telekommunikations-Sicherheit in den USA erhalten. Die Reaktionen auf die Ankündigung waren sowohl aus dem Senat als auch aus der Privatwirtschaft durchwegs positiv. Man erhofft sich mehr Autorität für die Durchsetzung von Vorschriften sowie für die Integration der Privatwirtschaft in die Sicherheitsbemühungen. Der US-Kongress bewilligte zwar im Oktober die für die Umsetzung benötigten Mittel, bis Ende Jahr war jedoch der Posten noch immer unbesetzt. Dennoch verstummten die Kritiker der US-Cybersicherheits-Bemühungen nicht. Ein Artikel in der Augustausgabe des „IEEE-USA Today’s Engineer“ warnte, dass die IT-Infrastrukturen in den USA, wie Flugkontrollsysteme, Kraftwerke sowie Finanz-, Militär- und Nachrichtendienst-Systeme, in höchstem Grade für terroristische und kriminelle Attacke verwundbar seien; die Situation sei beinahe ausser Kontrolle. In einer Anhörung vor dem Wissenschaftsausschuss des US-Kongresses im September äusserten Vertreter grosser US-Unternehmen ihre Befürchtungen vor Cyberattacken. Insbesondere physische Attentate kombiniert mit Cyberangriffen verursachten die grössten Sorgen. Der Untersuchungsausschuss des Kongresses (Government Accountability Office GAO) gab Ende September bekannt, dass die Netzwerke des Flugkontrollsystems gegenüber Angreifern mit Insiderkenntnissen verwundbar seien. Im Oktober bemängelte ein ehemaliges Mitglied des „President’s Information Technology Advisory Committee“ fehlende Führung im Bereich der elektronischen Sicherheit, die noch immer nicht erfolgte Ernennung eines Cybersicherheits-Verantwortlichen 33 Die neue britische „Terrorism Bill“ ist hier erhältlich: http://www.publications.parliament.uk/pa/ld200506/ldbills/069/2006069.htm (Stand: 31.1.2006). Das französische Antiterrorgesetz ist erhältlich unter: http://www.assemblee-nationale.fr/12/ta/ta0506.asp (Stand: 31.1.2006). Eine Übersicht über die Anti-Terror-Bemühungen der EU ist zu finden unter: http://www.eurunion.org/partner/EUUSTerror/EURespUSTerror.htm (Stand: 31.1.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 34 - im DHS sowie fehlende Investitionen in die Forschung. Kurz darauf gab der Generalinspektor des Department of Transportation (DOT) bekannt, er habe im Rahmen von Tests Kontrolle über verwundbare Server und Zugriff auf sensitive Informationen erhalten sowie über 3'000 Schwächen im DOT-Netzwerk identifiziert, von denen einige bereits lange bekannt gewesen, aber nie behoben worden seien. Zudem fehle generell ein ÆIntrusion-Detection-System im DOT, zu dem auch Eisenbahn- und Flug-Administrations-Behörden gehören. Ein fehlendes Patch-Management habe ausserdem zu Zotob-Infektionen geführt (siehe Kapitel 5.2). Ende Oktober bemängelte der Generalinspekteur des DHS die Sicherheit der Systeme des Secret Service, und Anfang Dezember warnten die Mitglieder des „9/11 Public Disclosure Project“ (der ehemaligen 9/11-Kommission), die Regierung mache zu kleine Fortschritte im Schutz ihrer kritischen Infrastrukturen, insbesondere der Kommunikationsnetzwerke und des Internets: Weder seien Risiko- und Verwundbarkeits-Untersuchungen durchgeführt, noch Prioritäten erarbeitet worden. Die Mängel wurden als skandalös und schockierend bezeichnet. Zuletzt bemängelten Mitte Dezember Vertreter der „Cyber Security Industry Alliance“ (bestehend aus grossen IT-Sicherheits-Dienstleistern und Soft- und Hardware-Herstellern) ebenfalls die noch nicht erfolgte Benennung eines Verantwortlichen im DHS sowie fehlende Forschungsinvestitionen, obwohl im November bekannt wurde, dass künftig Firmen ihre Forschungsbudgets vermehrt von den Steuern absetzen können. Ausserdem befürchteten einige Forscher Anfang Oktober, dass das amerikanische Mobiltelefonnetz anfällig für SMS-DoS-Angriffe sein könnte. Auch wenn Terroristen noch über keine Mittel für einen cyberterroristischen Angriff verfügen (siehe Kapitel 5.4), muss festgehalten werden, dass die Ækritischen Informationsinfrastrukturen verwundbar sind. Für erfolgreiche Angriffe ist zwar Insiderwissen notwendig, über das Terroristen wohl noch nicht verfügen – dieses könnte in Zukunft jedoch beschafft werden, ähnlich wie sich die organisierte Kriminalität in den vergangenen Jahren Zugang zu Hackerkreisen verschafft hatte. Die Tatsache, dass gerade in den USA – der führenden High-Tech-Nation im Bereich der Informationstechnologie – grosse Verwundbarkeiten dieser Infrastrukturen identifiziert werden, legt nahe, dass diese auch in den Infrastrukturen aller anderen westlichen Industriestaaten vorhanden sind. 7.2 Privat IKT-Hersteller: “Anti-Spyware Coalition” definiert Spyware und Adware Die im April 2005 gegründete „Anti-Spyware Coalition“ (ASC) nahm in der zweiten Jahreshälfte ihre Arbeit auf und erreichte bereits nach wenigen Monaten eine gemeinsame Definition für die bisher schwammigen Begriffe ÆSpyware und ÆAdware. Die vom „Center for Democracy and Technology“ gegründete ASC zählt einige der grössten Soft- und Hardware-Produzenten und Interessensverbände zu ihren Mitgliedern: America Online (AOL), Computer Associates, Hewlett-Packard, Microsoft, Yahoo, McAfee, Symantec, Trend Micro sowie die „Canadian Internet Policy and Public Interest Clinic“, die „Cyber Security Industry Alliance“ oder das „National Center for Victims of Crime“. Anfang Juli publizierte die ASC einen Entwurf für eine Spyware-Definition und für Lösungsansätze zur Bekämpfung des Problems und lud die Öffentlichkeit zu Kommentar und Kritik ein. Bereits Ende Oktober legte die ASC ein finales Dokument vor, das eine Spyware-Definition vornimmt, sowie ein weiter auszuarbeitendes „Risiko Modell“-Dokument, das sich im Detail mit den technischen Unterschieden zwischen Spy- und anderer Software befasst. Ziel der Bemühungen soll ein gemeinsames Set von „Best Practices“ sein, mit denen die Entdeckung und Entfernung von Spyware effizienter vorgenommen werden kann. So sollen auch bessere Antispyware-Produkte sowie bessere Rahmenbedingungen für die Sensibilisierung der Endnutzer geschaffen werden. Symantec jedenfalls hat bereits damit begonnen, die Definition der ASC in ihre Produkte einfliessen zu lassen. 34 34 Die ASC-Dokumente sind erhältlich unter: http://www.antispywarecoalition.org/documents/index.htm (Stand: 1.2.2006). Siehe dazu auch Kapitel 10. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 35 - 8 Gesetzliche Grundlagen Bundesrat verhindert Revision der Online Konsumentenschutz-Gesetze Der Umsatz bei Internetbestellungen um die Weihnachtszeit hat in Deutschland im Vergleich zum Vorjahr zweistellig zugenommen. In der Schweiz dürfte die Zunahme etwa ähnlich gross sein. Da immer mehr Bestellungen über das Internet abgewickelt werden, wird auch der Ruf nach neuen Regelungen und Gesetzen grösser. Der Bundesrat verzichtete auf ein siebentägiges Widerrufsrecht bei Online-Einkäufen oder bei Aktiengeschäften mit Banken und gleicht somit die Rechtslage nicht an den Konsumentenschutz der EU an. Die Gesetzesrevision sah zudem vor, dass ein Käufer die Nachbesserung einer mangelhaften Lieferung fordern kann. Die Klagefrist sollte dabei auf zwei Jahre verdoppelt werden. Die Ablehnung der Gesetzesrevision wurde dahingehend begründet, dass es nicht Sache des Staates sei, die Wirtschaft zu Regelungen zu zwingen, die auch freiwillig abgemacht werden können. Auch ohne gesetzliches Widerrufsrecht bei Fernabsatzgeschäften habe sich der elektronische Geschäftsverkehr in der Schweiz positiv entwickelt. Im Gegensatz dazu zeigte sich die Stiftung für Konsumentenschutz enttäuscht, dass der Bundesrat auf eine Regelung verzichtet. Die Online-Kunden seien den Risiken im Web weiterhin schutzlos ausgeliefert. Gesetzliche Grundlagen für Voice over IP (VoIP) Die Internettelefonie (ÆVoIP) erlebt weiterhin einen grossen Aufschwung, wobei der gesetzliche Rahmen der Notrufmöglichkeit und der Erreichbarkeit noch nicht geklärt ist. Bei VoIP handelt es sich um eine Dienstleistung, die es Teilnehmern unter anderem ermöglicht, ein Festnetztelefon nicht nur an einem im Voraus festgelegten Telefonanschluss zu betreiben, sondern an jedem beliebigen Internetzugang. Dabei kann mit der eigenen Telefonnummer an einem anderen Standort als im Abonnement festgelegt telefoniert werden. Während bei der Mobiltelefonie der Standort übermittelt wird, fehlt ein solcher Standard bei VoIP. Zwar könnte bei kabellosen Verbindungen anhand der ÆIP-Adresse des Hotspots einfach auf den Einwahlpunkt geschlossen werden und mit den neuen Technologien, wie sie in Kapitel 6.2 beschrieben werden, kann sogar der genaue Standort eruiert werden. Gerade bei VoIP-Diensten über das Kabel ist es jedoch nur schwer möglich, auf den Standort zu schliessen. Es können beispielsweise jeweils unterschiedliche IP-Adressen einem Modem zur Verfügung gestellt werden (Dynamische IP-Adressen). Der Standort kann somit nur schwer, respektive gar nicht, ermittelt werden. Technisch scheint es so, dass die Garantie von Art. 28 FDV (Verordnung über Fernmeldedienste: Zugang zum nächstgelegenen Notrufdienst und gleichzeitige Feststellung des Standortes des Anrufers) bei der Dienstleistung VoIP nicht gewährleistet werden kann. Diesem Umstand will man mit dem neuen Gesetzesvorschlag EArt.87b FDV Rechnung tragen. Die Garantie des Art. 28 FDV erstreckt sich bei VoIP nur auf den Fall, dass die VoIP-Anrufe von demjenigen Standort ausgehen, der im Abonnementsvertrag als Hauptstandort angegeben wurde. Für alle anderen Fälle kann aus technischen Gründen die korrekte Leitweglenkung sowie die Standortidentifikation des Anrufenden nicht sichergestellt werden. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 36 - 9 Statistik Schweiz: Weniger Investitionen in die IT-Sicherheit Laut einer Studie von Swiss Infosec 35 investierten 2005 29 Prozent der Firmen weniger in die Sicherheit, 52 Prozent der Firmen gaben in etwa gleichviel für die Sicherung ihrer Daten aus und 19 Prozent gaben an, mehr investieren zu wollen. Aus diesen Zahlen ist ersichtlich, dass IT-Verantwortliche gezwungen werden, bei Sicherheitsfragen Prioritäten zu setzen. Ein anderes Problem ist die Tatsache, dass die Verteilung dieser Investitionen abhängig von der Firmengrösse ist. Während grössere Firmen gut vorbereitet gegen IT-Angriffe zu sein scheinen, wird bei kleinen Unternehmen bei der IT-Sicherheit meist unter dem Vorwand gespart, dass hier die Wahrscheinlichkeit eines Angriffs kleiner sei. Besonders in Jahren mit starkem Kostendruck wird dort gespart, wo die Folgen nicht direkt ersichtlich sind. Schweiz: Wirtschaftliche Auswirkung eines Internet Blackouts Eine Studie des Computer Engineering and Networks Laboratory (TIK) der ETH 36 zeigt, dass der ökonomische Schaden eines Internet-Blackouts nicht ignoriert werden kann. Der finanzielle Schaden eines einwöchigen Total-Ausfalls des Internets in der Schweiz mit einem BIP von 482 Milliarden würde sich gemäss dieser Studie auf 5.83 Milliarden Franken belaufen. Probleme sieht die ETH-Studie vor allem bei grossangelegten Attacken mit Schädlingen oder ÆDenial-of-Service-Attacken. Diese Studie zeigt, wie abhängig eine moderne Gesellschaft wie die Schweiz von der Informatik-Infrastruktur und dem Internet ist. 48 Prozent der 3.6 Millionen Arbeitsplätze in der Schweiz sind stark von der IT abhängig. In einem Geschäftsbeispiel wird vorgerechnet, dass ein eintägiger Ausfall eines Internet Service Providers (ISP) mit einem Jahresgewinn von 2.81 Milliarden Franken einen Verlust von 1.2 Prozent dieses Gewinnes zu verschmerzen hätte. Die Kosten setzen sich aus Verlusten aufgrund der Nichtverfügbarkeit der IT-Infrastruktur, den Wiederherstellungskosten, den Haftungskosten und den Kundenkosten zusammen. Würden die IT-Strukturen in der Schweiz während einer Woche ausfallen, so wären laut der ETH-Studie sämtliche der auf IT-Strukuren angewiesenen Einrichtungen und User betroffen. Von einem eintägigen Blackout wären laut der Studie lediglich 60 Prozent der Personen, die in ihrer Arbeit auf IT-Infrastrukturen angewiesen sind, betroffen; die Kosten – auf einen Tag hochgerechnet – die innerhalb der ersten vierundzwanzig Stunden nach einem Angriff entstehen, fallen demnach geringer aus, als wenn der Ausfall sieben Tage andauert. Die ETH-Wissenschaftler halten es für durchaus denkbar, dass Unternehmen, die mit dem Internet arbeiten, das Ziel massiver Angriffe in der Form von Schadenprogrammen – Malware – und DDoSAngriffen werden könnten. Viele dieser Unternehmen seien sich nicht bewusst, in welchem Ausmass sie von IT-Netzwerken abhängen und welchen finanziellen Schaden der Ausfall dieser Netze verursachen könnte. Viele Risiko-Management-Studien berücksichtigen den Ausfall der Internet Infrastruktur gar nicht. 35 http://www.infosec.ch (Stand: 8.2.2006). 36 http://www.ethz.ch (Stand: 8.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 37 - 10. Verschiedenes Sony setzt Rootkits zur Wahrung digitaler Rechte ein und schafft Sicherheitsproblem Ein IT-Sicherheitsexperte warnte Ende Oktober, Sony BMG setze auf gewissen seiner mittels Digital Rights Management (DRM) geschützten Musik-CDs eine von First 4 Internet entwickelte Software namens „XCP“ ein, die sich mit ÆRootkit-ähnlichen Techniken tarne und Sicherheitslöcher auf dem PC, auf dem die CD abgespielt wird, schaffe. Weder liess sich die Software deinstallieren, noch wurde sie in den Lizenzbestimmungen, die beim Einlegen der betroffenen CD erschienen, erwähnt. XCP versteckt nicht nur eigene Dateien und Prozesse, sondern alles, was mit $sys$ im Namen anfängt – und somit auch von Hackern eingeschleuste, so genannte ÆMalware. Ab Mitte Dezember erkannten denn auch die meisten Antiviren- und Antispyware-Programme des XCP-Rootkit und boten dessen Entfernung an. Mitte November wurde zudem bekannt, das die zusammen mit dem Rootkit XCP installierte Abspielsoftware „nach Hause“ telefoniert und ohne Wissen des Nutzers Daten an Sony übermittelt. Zudem tauchten erste Hinweise dafür auf, dass bereits die ersten Schädlinge in Umlauf waren, die sich unter Zuhilfenahme der Techniken von XCP auf dem infizierten Rechner versteckten. Ein weiteres DRM-Programm von Sony namens MediaMax (entwickelt von SunnComm) wurde Mitte November ebenfalls als Spyware entlarvt, die unkontrolliert Daten nachlädt, nicht deinstalliert werden kann und Informationen an Sony übermittelt. Ausserdem ermöglichte es MediaMax einem Angreifer, trotz geringer Rechte die Kontrolle über den PC zu erlangen. Sony rief Mitte November die noch nicht verkauften CDs mit XCP-DRM-Schutz zurück und entschuldigte sich bei seinen Kunden. Zudem gab Sony bekannt, es seien etwa 50 Musikalben mit dem Rootkit versehen worden, insgesamt ca. 50 Millionen CDs. Inzwischen waren bereits Sammelklagen der Electronic Frontier Foundation EFF (in den USA und in Italien) sowie der Justizbehörden des US-Bundesstaates Texas eröffnet worden, während in New York, Illinois und Massachusetts die Staatsanwaltschaft Untersuchungen gegen Sony einleitete, weil die betroffenen CDs noch immer im Verkauf erhältlich waren. Sonys Ausrutscher drohte nun auch massive Schadenersatz-Kosten zur Folge zu haben. Wie im Verlauf des Dezembers bekannt wurde, war Sony BMG bereits im September von F-Secure über die Schadensfunktionen von XCP informiert worden, entschied sich aber für eine Schadensbegrenzungsstrategie: Stillschweigen und die Sicherheitsrisiken in einem Update im Jahr 2006 klammheimlich beheben, lautete die Devise. Dennoch entschied sich das Unternehmen Mitte Dezember zu einer Überarbeitung seiner DRM-Strategie und entschuldigte sich Anfang 2006 bei seinen Kunden. Mit der amerikanischen EFF konnte sich Sony Anfang 2006 bereits einigen. Noch sind aber in Kalifornien und Italien weitere Sammelklagen hängig, auch das Strafverfahren von Texas ist noch nicht abgewickelt. Die Generalstaatsanwaltschaften von New York, Florida und Illinois ermitteln weiterhin. Das XCP-Rootkit wurde offenbar grossflächig verbreitet, wie ein Sicherheitsberater Anfang Januar mitteilte. Er untersuchte das ÆDomain Name System (DNS) nach Einträgen zu den URLs, zu denen XCP „nach Hause“ telefonierte, und stellte fest, dass über 500'000 Netzwerke mit einer unbekannten Anzahl Workstations, darunter auch Netze des US-Militärs und anderer Regierungsbehörden, betroffen seien. Die in letzter Zeit wegen ihrer aggressiven Vorgehensweise gegen Filesharer unter Kritik stehende Musikindustrie wendet, wie dieser Vorfall zeigt, auch unlautere Methoden an. Das Vorgehen von Sony wirft eine grundsätzliche Frage zum Thema Spyware / Adware auf: Was genau ist Spyware, wann ist ihr Einsatz illegal? Reicht die Installation ohne das Wissen des Anwenders bereits aus zur Qualifizierung als Spyware oder sind dazu Schadfunktionen notwendig? Muss eine Software immer deinstallierbar sein oder gibt es zwingende Sicherheits-Überlegungen, die eine Tarnung der Software legitimieren? Die Bemühungen der „Antispyware-Coalition“ (siehe 7.2) sind daher nötig, um klare Spielregeln für den Umgang mit dieser neuen Art von Software zu definieren. Ihrer Meinung nach ist Software dann Spyware, wenn ohne User-Zustimmung Installationen stattfinden, wenn die Installation der Software die Privatsphäre oder Systemsicherheit gefährdet oder ohne Zustimmung des Nutzers Daten gesammelt werden. Offen bleibt die Frage, ob diese Definition von seriösen Anbietern als bindend betrachtet werden wird oder nicht. Für Sony dürfte die Episode jedenfalls gravierende Folgen gehabt haben, wie Spiegel Online kommentierte: „Begossener stand noch kein Vertreter der ‚Raubkopierer sind Verbrecher’-Branche da“. 37 37 Zitat: http://www.spiegel.de/netzwelt/technologie/0,1518,387480,00.html (Stand: 6.2.2006). Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 38 - 11. Glossar Dieses Glossar enthält sämtliche mit einem „Æ“ markierten Begriffe. Ein ausführlicheres Glossar mit mehr Begriffen ist zu finden unter: http://www.melani.admin.ch/glossar/index.html?lang=de. Active Scripting (ActiveX) Adware Bluetooth Bot / Malicious Bot Botnetz Browser-Plug-In CERT Critical Infrastructure Protection / Critical Information Infrastructure Protection (CIP / CIIP) Eine von Microsoft entwickelte Technologie, mit welcher es möglich ist, kleine Programme – so genannte ActiveX Controls – beim Anzeigen von Webseiten auf den Rechner des Besuchers zu laden, von wo sie ausgeführt werden. Sie ermöglichen es, unterschiedliche Effekte oder Funktionen umzusetzen. Leider wird diese Technologie häufig missbraucht und stellt ein Sicherheitsrisiko dar. Beispielsweise werden viele Dialer über ActiveX auf den Rechner geladen und ausgeführt. Die ActiveX-Problematik betrifft nur den Internet Explorer, da die anderen Browser diese Technologie nicht unterstützen. Der Begriff "Adware" setzt sich aus den englischen Wörtern "Advertising" (Werbung) und "Software" zusammen. Eine klare Definitionsgrenze zwischen ÆSpyware und Adware ist schwer zu erkennen. Adware wird vielfach für Werbezwecke verwendet, indem die Surfgewohnheiten des Benutzers aufgenommen und dazu benutzt werden, entsprechende Produkte (z.B. durch Links) zu offerieren. Spy- bzw. Adware gelangt meist über heruntergeladene Programme auf den Rechner. Eine Technologie, die eine drahtlose Kommunikation zwischen zwei Endgeräten ermöglicht und vor allem bei Mobiltelefonen, Laptops, PDAs und Eingabegeräten (z.B. Computermaus) zur Anwendung gelangt. Ursprung im slawischen Wort für Arbeit (Robota). Bezeichnet ein Programm, das bestimmte Aktionen nach dem Empfang eines Befehls selbstständig ausführt. Vor allem im Bereich des ÆIRC werden Bots zur Administration (z.B. Benutzerverwaltung, automatische Sperrung von Benutzern usw.) eingesetzt. Dieses Prinzip wurde in der jüngeren Vergangenheit aber auch von Angreifern missbraucht. So genannte Malicious Bots können kompromittierte Systeme fernzusteuern und zur Durchführung beliebiger Aktionen veranlassen (Versenden von Spam, ÆDoS-Angriffe, Installation zusätzlicher Programme wie beispielsweise ÆKeylogger usw.). Eine Ansammlung von Computern, die mit Malicious ÆBots infiziert sind. Diese lassen sich durch einen Angreifer (dem Botnetzbesitzer) komplett fernsteuern. Je nach Grösse kann ein Botnetz aus einigen Hundert bis Millionen kompromittierter Rechner bestehen. Software, welche Webbrowsern zusätzliche Funktionalität gibt, beispielsweise um Multimedia Inhalte anzuzeigen. Computer Emergency Response Team Als CERT (auch CSIRT für Computer Security Incident Response Team) bezeichnet man ein Team, das sich mit der Koordination und Ergreifung von Massnahmen im Zusammenhang mit sicherheitsrelevanten Vorfällen in der IT befasst. Wichtiger Bestandteil der nationalen Sicherheitspolitik und Verteidigungsplanung. Überbegriff für Konzepte und Strategien zum Schutz Ækritischer Infrastrukturen / kritischer Informationsinfrastrukturen. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 39 - Digitales Zertifikat DoS Attacke DDoS Attacke DNS Exploit-Code Firewall Host Hosts-File IDS Instant-Messaging (IM) Beglaubigt die Zugehörigkeit eines öffentlichen Schlüssels zu einem Subjekt (Person, Rechner). Denial-of-Service Attacke Hat zum Ziel, einen bestimmten Dienst für deren Benutzer unerreichbar zu machen oder zumindest die Erreichbarkeit des Dienstes erheblich einzuschränken. Eine populäre Variante von DoS Attacken im ITBereich das Senden sehr vieler Anfragen an einen Rechner/Dienst. Durch die vielen Anfragen wird der Rechner/Dienst so überlastet, dass er für die Antworten sehr viel Zeit benötigt oder gar ganz ausfällt. Distributed-Denial-of-Service Attacke Eine ÆDoS Attacke, bei der das Opfer von vielen verscheiden Systemen aus gleichzeitig angegriffen wird. Domain Name System Am Internet angeschlossene Rechner kommunizieren über das Internetprotokoll (IP) und haben dafür eine Adresse (z.B. 162.23.39.56). Mit Hilfe von DNS lässt sich das Internet und deren Dienste benutzerfreundlich nutzen, da die Benutzer anstelle von ÆIP-Adressen Namen verwenden können (z.B. www.melani.admin.ch). (kurz: Exploit) Ein Programm, ein Script oder eine Codezeile, mit der sich Schwachstellen in Computersystemen ausnutzen lassen. Eine Firewall (engl. für Brandmauer) schützt Computersysteme, indem sie ein- und ausgehende Verbindungen überwacht und gegebenenfalls zurückweist. So gesehen ist eine Firewall mit einem Wachposten an einem Schlosstor zu vergleichen. Die Entscheidung, welche Verbindungen zugelassen oder zurückgewiesen werden, erfolgt anhand von einfachen Regeln, die bei jedem neuen Verbindungsaufbau abgefragt werden. Durch Firewalls kann das Risiko von unrechtmässigen Zugriffen durch Hacker (Computereindringlinge) gesenkt sowie die Gefahren von ÆTrojanischen Pferden, ÆSpyware oder ÆWürmern minimiert werden. Die meisten Unternehmen schützen ihr Netzwerk mit einer leistungsstarken Firewall, die auf einem speziell dafür vorgesehenen Rechner installiert und zwischen Internet und dem eigenen Netzwerk platziert wird. Im Gegensatz dazu ist eine Personal Firewall (auch Desktop-Firewall) für den Schutz eines einzelnen Rechners ausgelegt und wird direkt auf dem zu schützenden System – das heisst auf Ihrem Rechner – installiert. Wurde und wird in der IT vor allem für Rechner mit sehr grosser Rechenleistung verwendet (Bankenumfeld). Heute bezeichnet man damit aber auch kleinere Computersysteme (Computer von Privatanwendern, Webserver usw.). Datei, in der ÆIP-Adressen Rechnernamen zugeordnet werden. Diese Datei ist auf jedem Computer vorhanden und wird bei der Auflösung von Rechnernamen/IP-Adressen in der Regel als erste konsultiert (noch vor dem ÆDNS). Intrusion Detection System Systeme, mit denen man unautorisierte Zugriffe auf Daten oder Rechner erkennen kann. Als Chat bezeichnet man eine Kommunikationsmöglichkeit im Internet, bei der man sich in Echtzeit mit anderen Leuten unterhalten kann. Im Gegensatz zum Telefon werden jedoch die Diskussionen nicht durch Sprechen, sondern durch Tippen der Nachrichten geführt. Je nach Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 40 - Internet Protocol (IP) / IPAdresse IRC Keylogging-Software (Keylogger) Kritische (nationale) Infrastrukturen Malware MITM Massenmail-Virus P2P Pharming Phishing Themengebiet stehen dafür verschiedene, sogenannte Chat-Räume (auch Kanäle genannt) zur Verfügung. Ein Benutzer kann entweder gleichzeitig mit allen Teilnehmern des Chat-Raums diskutieren oder sich mit einem anderen Benutzer in einen privaten und von den Anderen nicht einsehbaren Raum "zurückziehen". Im Internet sind verschiedene Chat-Plattformen kostenfrei zugänglich. Eine ähnliche Kommunikationsmöglichkeit bieten die Instant Messaging-Dienste (z.B. AOL, MSN, ICQ und Yahoo), bei denen Millionen Benutzer auf der ganzen Welt registriert sind. Adresse, welche einen Computer im Internet (oder einem TCP/IPNetzwerk) identifiziert (Beispiel: 130.92.3.15). Internet Relay Chat Eine Form des ÆInstant Messaging (IM)-Protokolls. Geräte oder Programme, die zwischen den Rechner und die Tastatur geschaltet werden, um Tastatureingaben aufzuzeichnen. Diese Aufzeichnungen werden meist in einer Datei auf dem Rechner abgelegt oder direkt über das Internet an einen Server übermittelt. SoftwareKeylogger sind häufig Bestandteil von ÆTrojanischen Pferden. Infrastruktur oder Teil der Wirtschaft, deren Ausfall oder Beschädigung massive Auswirkungen auf die nationale Sicherheit oder die ökonomische und/oder soziale Wohlfahrt einer Nation hat. In der Schweiz sind folgende Infrastrukturen als kritisch definiert worden: Energie- und Wasserversorgung, Notfall- und Rettungswesen, Telekommunikation, Transport und Verkehr, Banken und Versicherungen, Regierung und öffentliche Verwaltungen. Im Informationszeitalter hängt ihr Funktionieren zunehmend von Informations- und Kommunikationssystemen ab. Solche Systeme nennt man kritische Informationsinfrastrukturen. Setzt sich aus den englischen Begriffen "Malicious" und "Software" zusammen. Oberbegriff für Software, die schädliche Funktionen auf einem Rechner ausführt. Zu dieser Gruppe gehören u.a. ÆViren, ÆWürmer, ÆTrojanische Pferde. Man-in-the-Middle Attacke Attacke, bei der sich der Angreifer unbemerkt in den Kommunikationskanal zweier Partner hängt und dadurch deren Datenaustausch mitlesen oder verändern kann. ÆMalware, die sich durch Versenden von Mails weiterverbreitet. Häufig wird dafür auch der Begriff „E-Mailwurm“ verwendet. Peer to Peer Eine Netzwerkarchitektur, bei der die beteiligten Systeme gleiche Funktionen übernehmen können (im Gegensatz zu Client-Server Architekturen). P2P wird häufig zum Austausch von Daten genutzt. Manipulation der Namensauflösung via ÆDNS oder via lokale Konfiguration (z.B. ÆHosts-File) mit dem Ziel Benutzer auf gefälschte Server umzuleiten und so an vertrauliche Daten (Login Daten) zu gelangen. Das Wort Phishing setzt sich aus den englischen Wörtern "Password", "Harvesting" und "Fishing" zusammen. Mittels Phishing versuchen Betrüger, an vertrauliche Daten von ahnungslosen Internet-Benutzern zu gelangen. Dabei kann es sich beispielsweise um Kontoinformationen von Online-Auktionsanbietern (z.B. eBay) oder Zugangsdaten für das Internet Banking handeln. Die Betrüger nutzen die Gutgläubigkeit und Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 41 - PKI PoC Proxyserver Redirect Rootkit SCADA-Systeme SIP Social Engineering Spear Phishing Spyware Hilfsbereitschaft ihrer Opfer aus, indem sie ihnen E-Mails mit gefälschten Absenderadressen zustellen. Public Key Infrastructure Infrastruktur zur Verwaltung und zum Einsatz von Ædigitalen Zertifikaten. Ein kurzer, nicht zwangsläufig kompletter Beweis, dass eine Idee oder Methode funktioniert. Beispielsweise werden häufig ÆExploit-Codes als PoC veröffentlicht, um die Auswirkungen einer Schwachstelle zu unterstreichen. Wird oft als Synonym für HTTP Proxy verwendet. Ein System, welches Browser-Anfragen entgegennimmt und weiterleitet. Wird u.a zur Beschleunigung von gleichen Anfragen, Überprüfung von Inhalten und zur Anonymisierung benutzt. dt. Weiterleitung. Meist benutzt im Zusammenhang mit Webseiten, welche den Leser automatisch auf eine andere Seite weiterleiten. Eine Ansammlung von Programmen und Techniken, welche es erlauben, unbemerkten Zugriff auf und Kontrolle über einen Rechner zu haben. Supervisory Control And Data Acquisition Systeme. Werden zur Überwachung und Steuerung von technischen Prozessen eingesetzt (z.B. Energie- und Wasserversorgung). Session Initiation Protocol Von der IETF standardisierte Protokollsuite für ÆVoIP und weitere Kommunikationstechnologien Social Engineering Angriffe nutzen die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen aus, um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen. Neben allen Angriffsmöglichkeiten ist dies nach wie vor eine der erfolgreichsten. Ein Angreifer kann mittels Social Engineering beispielsweise versuchen, an Benutzernamen und Passwörter von Mitarbeitern eines Unternehmens gelangen, indem er sich am Telefon als Systemadministrator oder Sicherheitsverantwortlicher ausgibt. Durch Vorgeben akuter Computerprobleme und Vortäuschen von Betriebskenntnissen (z.B. Namen von Vorgesetzten, Arbeitsabläufe, usw.) wird das Opfer so lange verunsichert, bis es die gewünschten Informationen preis gibt. Zur Ausbreitung von ÆViren oder ÆTrojanischen Pferden werden oft Methoden des Social Engineering angewandt, etwa wenn der Name des E-Mail-Anhangs mit einem Virus einen besonders interessanten Inhalt verspricht (z.B. "I love you", "Anna Kournikowa", usw.). ÆPhishing ist ebenfalls eine spezielle Form eines Social EngineeringAngriffs. Gezielte ÆPhishing Attacke. Dem Opfer wird zum Beispiel vorgegaukelt, mit einer ihr vertrauten Person via E-Mail zu kommunizieren. Dadurch wird das Opfer verleitet, Daten an den Angreifer zu senden oder Programme zu installieren. Das persönliche Umfeld des Opfers wird dabei zuerst in Erfahrung gebracht. Der Begriff "Spyware" setzt sich aus den englischen Wörtern "Spy" (Spion) und "Software" zusammen. Spyware soll ohne Wissen des Benutzers Informationen über dessen Surfgewohnheiten oder Systemeinstellungen sammeln und diese an eine vordefinierte Adresse übermitteln. Welche Informationen ausgelesen werden, hängt dabei von der jeweiligen Spyware ab und kann von Surfgewohnheiten bis hin zu Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 42 - Passwörtern gehen. Eine klare Definitionsgrenze zwischen Spyware und ÆAdware ist schwer zu erkennen. Spy- bzw. Adware gelangt meist über heruntergeladene Programme auf den Rechner. Trojanisches Pferd Trojanische Pferde (häufig als Trojaner bezeichnet) sind Programme, die im Verborgenen schädliche Aktionen ausführen und sich dabei für den Benutzer als nützliche Anwendung oder Datei tarnen. Häufig sind Trojanische Pferde Programme, die im Internet heruntergeladen werden. Jedoch auch bei Musikstücken oder Filmen (z.B. im heute üblichen MP3 oder MPEG-Format) kann es sich um Trojanische Pferde handeln. Diese nutzen Sicherheitslücken in den jeweiligen Abspielprogrammen (z.B. Media Player), um sich unbemerkt auf dem System zu installieren. Häufig werden Trojanische Pferde ebenfalls über Anhänge in E-Mails verbreitet. Virus Ein Virus besteht aus Programmanweisungen, die dem Rechner die auszuführenden Aktionen vorgeben. Um sich weiterzuverbreiten, nistet sich der Virus in einem "Wirtprogramm" ein. Das "Wirtprogramm" kann eine Anwendung (z.B. heruntergeladene Software) oder ein Dokument (z.B. eine Word-Datei, Excel-Datei) sein. Beim Ausführen der Anwendung oder beim Öffnen des Dokuments wird der Virus aktiviert, so dass der Rechner dazu gebracht wird, schädliche Aktionen auszuführen. Viren gelangen häufig über Anhänge in E-Mails oder über infizierte Dateien, die vom Internet heruntergeladen werden, auf den Rechner. Einmal aktiviert, können sie sich auch per E-Mail an Kontakte im Adressbuch weiterversenden. Weitere Verbreitungswege sind externe Datenträger (z.B. CD-ROM, USB Memory Stick, usw.). VoIP Voice over IP Telefonie über das Internet Protokoll (IP). Häufig verwendete Protokolle: H.323 und ÆSIP. Wired Equivalent Privacy (WEP) Ein Verschlüsselungsverfahren, das bei ÆWLAN-Verbindungen eingesetzt wird. Verschlüsseln Sie Ihr WLAN wenn möglich mit ÆWPA2, andernfalls WPA oder – wenn nichts anderes verfügbar – WEP. WiFi Protected Access (WPA) Verbesserte Verschlüsselungsmethode, die bei ÆWireless-LANVerbindungen (WLAN) eingesetzt wird, nachdem sich ÆWEP als unsicher erwiesen hat. Sowohl der WLAN-Access-Point als auch die Netzwerkkarte im PC müssen WPA-kompatibel sein. WPA2: Neuer Sicherheitsstandard für Funknetzwerke nach der Spezifikation IEEE 802.11i. Nachfolgeversion der Verschlüsselungsmethode WPA und des als unsicher geltenden ÆWEP. Setzen Sie wenn immer möglich WPA2 ein, andernfalls WPA oder – wenn nichts anderes verfügbar – WEP. Wireless Local Area Network WLAN (oder Wireless Local Area Network) steht für drahtloses lokales (WLAN) Netzwerk. In einem WLAN kommuniziert das Endgerät (z.B. ein Laptop, PDA, usw.) über eine drahtlose Verbindung mit einem so genannten WLAN Access Point, welcher seinerseits (wie ein normaler Rechner) über ein Kabel an das Internet oder das lokale Netzwerk angeschlossen wird. Durch die wegfallende Verkabelung der Endgeräte sind die Benutzer mobiler, was der Vorteil eines WLAN ausmacht. Die Reichweite in Gebäuden ist abhängig von den baulichen Gegebenheiten und fällt wesentlich geringer aus als im Freien, wo WLANVerbindungen über eine Distanz von mehr als 200 Metern möglich sind. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 43 - Wurm 0-day-exploit Würmer bestehen, wie ÆViren, aus Programmanweisungen, die dem Rechner die auszuführenden Aktionen vorgeben. Im Gegensatz zu Viren benötigen Würmer zur Verbreitung jedoch kein Wirtprogramm. Vielmehr nutzen sie Sicherheitslücken oder Konfigurationsfehler in Betriebssystemen bzw. Anwendungen, um sich selbständig von Rechner zu Rechner auszubreiten. Mögliches Ziel für einen Wurm sind Rechner, die Sicherheitslücken oder Konfigurationsfehler aufweisen und in irgendeiner Form mit anderen Rechnern (z.B. über das Internet, das lokale Netzwerk, usw.) verbunden sind. ÆExploit, der am selben Tag erscheint, an dem die Sicherheitslücke öffentlich bekannt wird. Informationssicherung: Lage in der Schweiz und international Halbjahresbericht 2005 / II (Juli bis Dezember) - 44 -