Halbjahresbericht - Der Bundesrat admin.ch

Transcription

INFORMATIONSSICHERUNG
LAGE IN DER SCHWEIZ UND INTERNATIONAL
HALBJAHRESBERICHT 2005 / II
In Zusammenarbeit mit:
Ausgabe 2/2005 (Juli bis Dezember 2005)
Inhaltsverzeichnis
1
Einleitung..................................................................................................................................... 5
2
Aktuelle Lage, Gefahren und Risiken......................................................................................... 6
2.1
Industriespionage.........................................................................................................................6
2.2
Phishing und Pharming................................................................................................................6
2.3
Botnetze .......................................................................................................................................7
2.4
Aktuelle Angriffsvektoren und Entwicklungen im Bereich Malware .........................................7
2.5
VoIP-Sicherheit ...........................................................................................................................7
2.6
Rootkits........................................................................................................................................8
2.7
Mac OS X: Sicherheit zunehmend gefährdet?.............................................................................8
3
Tendenzen / Allgemeine Entwicklungen .................................................................................... 9
3.1
Individualisierte Trojanische Pferde, Social Engineering, Spear-Phishing:
Grösste Gefahr bezüglich Industriespionage ...............................................................................9
3.2
Botnetze: Grösste Gefahr bezüglich Cyberkriminalität...............................................................9
3.3
Professionalisierung der Angreifer:
Arbeitsteilung, massive Zunahme der Malware-Produktion, neue Angriffsvektoren ...............10
3.4
Phishing: Zunehmende Gefahr auch im Jahr 2006....................................................................10
3.5
Bedrohungen für mobile Geräte (Handy, PDA) ........................................................................11
4
Aktuelle Lage ICT Infrastruktur national ................................................................................ 12
4.1
Pannen, Ausfälle ........................................................................................................................12
ADSL-Störungen ..................................................................................................................................... 12
4.2
Angriffe .....................................................................................................................................12
Defacements: Reaktionszeit auf sportliche oder politische Geschehnisse wird immer kürzer ................ 12
Lotterie Romande: Und noch ein Betrugsfall .......................................................................................... 12
4.3
Kriminalität................................................................................................................................13
Phishing Websites in der Schweiz ........................................................................................................... 13
Internet-Wirtschaftskriminalität nimmt stark zu...................................................................................... 13
KOBIK-Bericht 2005: Zahl der Meldungen hat stark zugenommen ....................................................... 14
4.4
Terrorismus................................................................................................................................14
Der Zentralrechner der Universität Genf als Zentrum für islamistische Propaganda .............................. 14
Al-Zawahiri-Video auf Forum veröffentlich ........................................................................................... 15
4.5
Diverses .....................................................................................................................................15
Spam-Hetze gegen Schengen/Dublin ...................................................................................................... 15
Bedrohung von innen auch in der Schweiz.............................................................................................. 15
E-Voting: Premiere in der Schweiz ......................................................................................................... 16
5
Aktuelle Lage ICT Infrastruktur International........................................................................ 17
5.1
Pannen, Ausfälle ........................................................................................................................17
Computerpanne an der Börse in Tokio führt zu Verlusten ...................................................................... 17
5.2
Attacken.....................................................................................................................................17
Titan Rain: Gezielte Spionage-Angriffe gegen die USA,
Grossbritannien, Kanada und weitere Staaten, vermutlich aus China .................................................... 17
Wurmkrieg zwischen Zotob, Bozori und IRCbot zwecks Schaffung eines Botnetzes –
Verhaftungen geben Einblick in Hackerszene ................................................................... ..................... 18
Sober-Wurm: Klassentreffen, FBI / BKA-Täuschmails und rechtsradikaler Spam................................. 19
Kritische Lücken in Windows-Systemen rasch ausgenutzt: WMF 0-day-exploit .................................. 20
Informationssicherung: Lage in der Schweiz und international
Halbjahresbericht 2005 / II (Juli bis Dezember)
-2-
IM Gefahren: Würmer mit Rootkit-Kapazitäten und Sprachfähigkeiten................................................. 21
5.3
Kriminalität................................................................................................................................21
Phishing: Weit verbreitet ......................................................................................................................... 21
Verhaftung von Botnetzbesitzern in den Niederlanden und den USA:
Ein Einblick in die Botnetz-Szene ........................................................................................................... 22
5.4
Terrorismus................................................................................................................................22
Was Terroristen mit ICT-Technologien machen:
„Virtuelles Afghanistan“: Training/Propaganda für Djihadisten erfolgt nun online................................ 22
Was Terroristen mit ICT-Technologien nicht machen: Debatte um Gefahr des Cyber-Terror ............... 23
Deutschland: Neue Bundesregierung setzt rot-grüne Anti-Terror-Strategie fort ..................................... 25
6
Prävention .................................................................................................................................. 26
6.1
Software.....................................................................................................................................26
Microsoft investiert in Sicherheit ............................................................................................................ 26
Wirkungsvoller Schutz für den PC .......................................................................................................... 26
Instant Messaging sicher benutzen .......................................................................................................... 26
Entwicklung bei Sender ID / Domainkeys............................................................................................... 27
6.2
Hardware ...................................................................................................................................27
Neue Entwicklung bei Funknetzwerken .................................................................................................. 27
Network Admission Control.................................................................................................................... 28
Neue Bluetooth-Gefahren........................................................................................................................ 28
6.3
Diverses .....................................................................................................................................29
Neuerungen bei den Anti-PhishingTools................................................................................................. 29
Kampf gegen Botnetzwerke .................................................................................................................... 30
Bedrohung durch Insider ......................................................................................................................... 30
7
Aktivitäten / Informationen ....................................................................................................... 32
7.1
Staatlich .....................................................................................................................................32
Schweiz: Ausschreibung von Konzessionen für den drahtlosen Breitbandanschluss.............................. 32
EU: Parlament beschliesst Speicherung von Telekomverbindungsdaten ................................................ 32
EU: Kommission lanciert „Green Paper on Critical Infrastructure Protection“....................................... 33
Deutschland: „Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI)“ vom
Innenministerium und dem BSI vorgelegt / „Bericht zur Lage der IT-Sicherheit“ publiziert ................. 33
Neue Anti-Terror-Gesetze in einigen EU-Staaten / Anti-Terror-Strategie der EU.................................. 33
USA: Straffere Organisation der Cybersecurity-Bemühungen und erneute Kritik.................................. 34
7.2
Privat..........................................................................................................................................35
IKT-Hersteller: “Anti-Spyware Coalition” definiert Spyware und Adware ............................................ 35
8
Gesetzliche Grundlagen............................................................................................................. 36
Bundesrat verhindert Revision der Online Konsumentenschutz-Gesetze................................................ 36
Gesetzliche Grundlagen für Voice over IP (VoIP) .................................................................................. 36
9
Statistik....................................................................................................................................... 37
Schweiz: Weniger Investitionen in die IT-Sicherheit .............................................................................. 37
Schweiz: Wirtschaftliche Auswirkung eines Internet Blackouts ............................................................. 37
10.
Verschiedenes ............................................................................................................................ 38
Sony setzt Rootkits zur Wahrung digitaler Rechte ein und schafft Sicherheitsproblem.......................... 38
11.
Glossar........................................................................................................................................ 39
-3-
Schwerpunkte Ausgabe 2005/II
•
Gezielte Industriespionage mit individuellen trojanischen Pferden und Social Engineering
Gezielte Industriespionageangriffe, besonders gegen Ækritische nationale Infrastrukturen,
Militärsysteme und vermehrt auch gegen die Privatwirtschaft, nahmen im zweiten Halbjahr 2005 zu.
Mit gezielt und ausschliesslich für den jeweiligen Angriff entwickelten Ætrojanischen Pferden, die
daher Antiviren-Software-Herstellern unbekannt sind, und unter Einsatz ausgeklügelter ÆSocial
Engineering-Methoden werden systematisch ökonomisch oder strategisch wertvolle Informationen
gestohlen.
Die Bedrohung ist für Unternehmen als ernst einzustufen.
► aktuelle Lage: Kapitel 2.1
► Tendenzen für das nächste Halbjahr: Kapitel 3.1
► Beispiele / Vorfälle: Kapitel 5.2
•
Botnetze: Grösste Gefahr bezüglich Cyberkriminalität
Mit teilweise mehr als 1'000'000 Zombie-Rechnern unter ihrer Kontrolle verdienen Betreiber von
ÆBotnetzen viel Geld mit cyberkriminellen Aktivitäten: Spam-Versand, illegale Installation von
ÆAdWare, Diebstahl von Login-, Kreditkarten- oder E-Banking-Daten (unter Einsatz von ÆSpyware),
Erpressung mit der Verschlüsselung von Dateien oder mit ÆDDoS-Attacken (vermehrt auch gegen
KMUs) sind nur die wichtigsten davon. Betroffen sind PCs von Heimanwendern, aber auch Firmen-,
Universitäts- und Regierungssysteme. Botnetze werden immer grösser, ihre Besitzer verdienen immer
mehr Geld und die Bekämpfung wird immer schwieriger.
Botnetze stellen die grösste Cybercrime-Bedrohung dar.
► Aktuelle Lage: Kapitel 2.3
► Beispiele / Vorfälle: Kapitel 5.2 und 5.3
•
Qualitätsverbesserung der Malware: Professionalisierung der Hackerszene
Die finanzielle Motive verfolgende Hackerszene wird immer professioneller und nimmt immer mehr
die Form organisierter Kriminalität an oder arbeitet mit dieser zusammen. Damit einher geht eine
massive Zunahme der Professionalisierung, schnellere Entwicklungszeiten für ÆMalware, qualitativ
bessere Malware (polymorphe Malware, getarnt mit ÆRootkit-Funktionen) und die Ausnutzung neuer
Angriffsvektoren (immer weniger gegen Betriebssysteme, immer mehr gegen Applikationen wie z.B.
Web-Applikationen, Virenschutz-Programme, ÆInstant-Messaging, Backup-Applikationen etc.).
Im nächsten Halbjahr sind noch raschere Entwicklungszeiten und noch mehr qualitativ hochstehende
Malware zu erwarten.
► Aktuelle Lage: Kapitel 2.4 und 2.6
•
Phishing und Pharming
ÆPhishing und ÆPharming waren auch im zweiten Halbjahr 2005 aktuelle und weitverbreitete
Bedrohungen, vermehrt auch in nicht-englischsprachigen Ländern. Obwohl die Bekämpfung verbessert
werden konnte, wird diese Gefahr wohl auch im Jahr 2006 zunehmen, sowohl in klassischer Form mit
Phishing-Webseite als auch mit Spionagesoftware.
► Aktuelle Lage: Kapitel 2.2
► Prävention: Kapitel 6.3
-4-
1
Einleitung
Der zweite Halbjahresbericht (Juli – Dezember 2005) der Melde- und Analysestelle Informationssicherung
(MELANI) erläutert die wichtigsten Tendenzen rund um die Risiken, die mit den Informations- und
Kommunikationstechnologien (IKT) einhergehen, gibt eine Übersicht über Ereignisse im In- und Ausland,
beleuchtet die wichtigsten Entwicklungen im Bereich der Prävention und resümiert Aktivitäten staatlicher
und privater Akteure. Erläuterungen zu Begriffen technischer oder fachspezifischer Art (gekennzeichnet mit
einem Æ) sind in einem Glossar am Ende dieses Berichts zu finden.
Kapitel zwei beschreibt die aktuelle Lage, Gefahren und Risiken des letzten Halbjahres. Ein Ausblick auf
zu erwartenden Entwicklungen wird in Kapitel drei gegeben.
Kapitel vier und fünf befassen sich mit Pannen und Ausfällen, Angriffen, Kriminalität und Terrorismus,
die einen Zusammenhang mit IKT-Infrastrukturen aufweisen. An Hand ausgewählter Beispiele werden die
wichtigsten Ereignisse der letzten sechs Monate des Jahres 2005 aufgezeigt. Der Leser findet hier illustrative
Beispiele und ergänzende Informationen für die generellen Beobachtungen in den strategisch-analytischen
Kapiteln zwei und drei.
Kapitel sechs befasst sich mit technologischen Entwicklungen zur Prävention bzw. Erhöhung der
Sicherheit der Informations- und Kommunikationstechnologien.
Kapitel sieben legt den Fokus auf staatliche und privatwirtschaftliche Aktivitäten zum Thema
Informationssicherung im In- und Ausland.
Kapitel acht fasst Änderungen in den gesetzlichen Grundlagen zusammen.
Kapitel neun gibt eine Zusammenfassung wichtiger Studien und Statistiken zu IKT-Themen.
In Kapitel zehn wird Sonys Einsatz von Rootkits zur Wahrung digitaler Rechte beschrieben, welcher zu
erheblichen Sicherheitsproblemen geführt hat.
-5-
2
Aktuelle Lage, Gefahren und Risiken
2.1
Industriespionage
Gezielte Spionage ist ein Schwerpunktthema dieser Ausgabe. Waren bisher ÆViren und ÆWürmer möglichst
breit gestreut worden, wurde in letzter Zeit eine Zunahme von gezielten Angriffen mit Trojanischen Pferden
auf einen kleineren Personenkreis beobachtet. Ziel ist hier die gezielte Spionage. Entsprechend wurden 74
Prozent der aktuell entdeckten Malware zur Sammlung vertraulicher Daten entwickelt. 1 Zur Platzierung der
Spionageprogramme werden raffinierte ÆSocial-Engineering-Methoden angewandt. ÆMalware, infizierte
CDs oder e-Mails werden personalisiert und direkt an potenzielle Opfer versendet. Da die eingeschleusten
Trojanischen Pferde aufgrund ihrer geringen Verbreitung den Antiviren-Software-Herstellern unbekannt
sind, werden sie durch deren Software auch nicht automatisch erkannt. Solche gezielten Angriffe nennt man
auch ÆSpear Phishing. Die im zweiten Halbjahr 2005 entdeckten Angriffe zielten in erster Linie auf
Regierungsstellen und Betreiber kritischer Infrastrukturen ab. So gab das britische National Infrastructure
Security Coordination Center (NISCC) im Juni dieses Jahres bekannt, dass schon seit 2003 kritische
nationale Infrastrukturen und Regierungsstellen im Visier der Angreifer gewesen seien. Alle grösseren
Industriestaaten wurden letztes Jahr Opfer solcher Angriffe (siehe Kapitel 5.2, Titan Rain). Kanada erlebte
im Sommer gezielte Angriffe mit individualisierten Trojanischen Pferden und gegen Australien und
Neuseeland wurden Angriffe gemeldet. Im August wurde bekannt, dass seit zwei Jahren systematische und
professionelle Computerspionage gegen militärische Systeme der US-Regierung stattgefunden haben. Der
Versuch, die WMF-Lücke (siehe Kapitel 5.2) für Spionagezwecke bei britischen Parlamentariern zu
missbrauchen, scheiterte vorerst. Eine Einschätzung der künftigen Bedrohungslage befindet sich in Kapitel
3.1.
2.2
Phishing und Pharming
Relevante Cybercrime-Themen sind und bleiben ÆPhishing und ÆPharming. Neben eBay- und PaypalLogin-Daten und Kreditkartennummern werden dabei vor allem Login-Daten für E-Banking Portale der Finanzinstitute ausspioniert. Was zunächst 2003 in den USA begonnen hatte und dann Australien und
Grossbritannien erreichte, ist nun in ganz Europa ein grosses Thema. Über das Wochenende vom 17. und 18.
September wurden zum Beispiel Phishing-Angriffe auf Kunden von über 24 europäische Banken vorwiegend
in Italien und Spanien beobachtet. Seit 2005 treten vermehrt auch Phishingfälle im deutschsprachigen Raum
auf (siehe Kapitel 5.3). Die Schweiz wurde ebenfalls nicht verschont, ist aber bei Weitem nicht so stark
betroffen wie Deutschland. Dies liegt zum einen am hohen Sicherheitsstandard der Schweizer Finanzinstitute, zum andern in der geringeren Grösse und der Vielsprachigkeit der Schweiz. So wurde in der Schweiz
noch kein deutschsprachiges Phishing E-Mail gegen ein Schweizer Finanzinstitut beobachtet (siehe Kapitel
4.3). In Deutschland bespielsweise beschränkt sich Phishing nicht mehr nur auf ein Finanzinstitut, sondern
wird grossflächig und in verschiedenen Variationen eingesetzt. Es gibt allerdings immer noch grosse Unterschiede in der Qualität der Angriffe. So werden zum Beispiel URLs durch ÆRedirects via Google oder MSN
oder durch das Einfügen von speziellen Zeichen kaschiert. Bei einer anderen Methode wird die Originalseite
im Hintergrund geladen und die gefälschte Seite in einem Popup-Fenster darüber gelegt. Adresse und
Herkunft des Popup-Fensters sind dabei nicht ersichtlich. Eine Bezifferung der erzielten Schadenssumme ist
nur sehr schwierig vorzunehmen, da viele Verluste den Behörden gar nicht bekannt sind. Auch wenn gemäss
den Statistiken der Anti-Phishing Working Group 2 Phishing nicht zurückgeht, sind doch gewisse
Fahndungserfolge zu verzeichnen, wie die Verhaftung einer Phishing-Bande in Estland zeigt. Zudem konnte
die durchschnittliche Onlinezeit von Phishing-Seiten von 5,9 Tagen im August auf 5,3 Tage im Dezember
2005 gesenkt werden. Nur eine gute Zusammenarbeit zwischen den betroffenen Ländern und die stetige
Verbesserung von Sicherheitsmerkmalen bei Finanzdienstleistungen kann diesem Problem Einhalt gebieten.
Kapitel 3.4 gibt eine Vorschau auf die zu erwartende Entwicklung der Phishing-Attacken, während Kapitel
6.3 präventive Massnahmen gegen Phishing-Attacken zusammenfasst.
1
Laut Symantec verfügen 74 Prozent der 50 wichtigsten gemeldeten Viren über Spionagefähigkeiten.
2
Die wichtigste Ressource zur Bekämpfung von Phishing: http://www.antiphishing.org (Stand: 15.2.06).
-6-
2.3
Botnetze
ÆBotnetze
stellen ein wichtiges Instrument der Cyberkriminalität dar, mit deren Hilfe erpresst (mit DDoSAngriffen oder Verschlüsselung der Firmendaten), vertrauliche Information gesammelt, Bankkonten
geplündert, Geld für terroristische Aktivitäten gesammelt, Spam-Mails versendet und verschiedene andere
illegale Aktivitäten durchgeführt werden. Die Bekämpfung der Botnetze stellt ein grosses Problem dar, da
einerseits Computer ahnungsloser Heimanwender und/oder Firmenrechner infiziert sind und sich diese ohne
grossen Aufwand nicht so einfach identifizieren und benachrichtigen lassen. Andererseits finden
Botnetzbetreiber stets neue Mittel, um ihre Botnetze zu tarnen. 3 Die Verhaftungen von Botnetzbesitzern in
den Niederlanden und den USA (siehe Kapitel 5.3) zeigten das Ausmass von Botnetzwerken und bestätigten
die Einschätzungen aus dem letzten Halbjahresbericht. Die Botnetzbesitzer aus den Niederlanden betrieben
gemäss offiziellen Quellen ein Netzwerk von über 1.5 Millionen Computern. In Kalifornien wurde ein 20
jähriger Botnetzbesitzer verhaftet, der ein Netz mit etwa 400'000 Computer kontrollierte. Um solchen
Botnetzwerken Einhalt zu gebieten, setzte das deutsche Wettbüro jaxx.de Ende August ein Kopfgeld von
40'000 EUR zur Ergreifung von ÆDistributed-Denial-of-Service-Attacken-Erpressern (DDoS) aus, nachdem
das Unternehmen angegriffen und zur Zahlung aufgefordert worden war. DDoS-Attacken können für ein
angegriffenes Unternehmen kostspielig sein. Die Kosten für den Online-Transaktionsabwickler Protx
(Grossbritannien) beispielsweise, der mit mehreren DDoS-Attacken zu kämpfen hatte, beliefen sich auf etwa
500'000 US$. Zum Teil werden DDoS-Angriffe auch aus rein politischen Gründen ohne finanzielle Motive
gefahren: Im Verlauf der zweiten Jahreshälfte 2005 wurden beispielsweise mehrere Angriffe gegen deutsche
Verbraucherschutzseiten im Internet durchgeführt. Kapitel 3.2 gibt eine Vorschau auf die zu erwartende
Entwicklung der Bedrohung durch Botnetze, während in Kapitel 6.3 ein Versuch der australischen Regierung
gegen Botnetzwerke vorzugehen beschrieben wird.
2.4
Aktuelle Angriffsvektoren und Entwicklungen im Bereich Malware
Im Jahr 2005 konnte eine weitere Professionalisierung der Malware-Entwickler beobachtet werden. Während
der im Januar 2003 aufgetauchte Slammer-Wurm erst in der Lage war, eine Sicherheitslücke auszunutzen,
die Microsoft bereits Monate zuvor behoben hatte, haben die Autoren von Zotob, Bozori und IRCBot im
August 2005 nur wenige Tage für die Entwicklung ihrer Malware benötigt. Im Dezember wurde die WMFLücke bereits aktiv ausgenutzt, bevor sie Microsoft überhaupt bekannt war. Antivirenhersteller meldeten im
September, Oktober und November 2005 monatlich Rekorde in der Anzahl neu entdeckter Malware – wobei
insbesondere neue Varianten bereits bekannter Malwarefamilien (wie MyTob, AgoBot, Sober etc.)
auftauchten. Übereinstimmend wird zwar von einem Rückgang der ÆMassenmail-Viren im letzten Jahr
berichtet, dafür eine massive Zunahme von bis zu 68 Prozent an Spionagesoftware konstatiert. Der Anteil
von Spyware an den entdeckten Schädlingen wird von den Antiviren-Firmen auf etwa 70 Prozent geschätzt.
Dabei geht man davon aus, dass über 70 Prozent der Computersysteme weltweit mit Spionagesoftware
verseucht sind. Heutige Malware-Arten sind inzwischen erstaunlich ausgereift und setzen zur Tarnung vor
Antivirus-Software ÆRootkit-Techniken ein oder nutzen polymorphen Code, um den Schädling laufend via
Internet aktualisieren und nachträglich mit zusätzlichen Funktionen oder besserer Tarnung vor AntivirenProgrammen nachrüsten zu können. Vermehrt werden zudem Verwundbarkeiten von Applikationen
(insbesondere Web-Applikationen, Antivirus-Software, Backup-Programme, ÆInstant-Messaging-Software
[IM] etc.) genutzt. Der Fokus verlagert sich weg vom Ausnutzen von Verwundbarkeiten des Betriebssystems,
das aufgrund automatisierter Updates, integrierter persönlicher Firewall und anderen Weiterentwicklungen
immer schwerer auszunutzen wird, hin zum Ausnutzen von Sicherheitslücken bei client-seitigen
Applikationen wie auch Webapplikationen. Kapitel 3.3 analysiert die zu erwartende Entwicklung von
Malware und untersucht die diesem Trend zu Grunde liegenden Ursachen.
2.5
VoIP-Sicherheit
Durch die zunehmende Beliebtheit und Verbreitung von ÆVoice over IP (VoIP) tritt die Frage nach dessen
Sicherheit und der Vertraulichkeit in den Vordergrund. Da VoIP das ÆIP-Protokoll nutzt, sind die Gefahren
3
Eine gute Übersicht über Botnetz-Gefahren bietet ein NISCC-Security-Advirosy:
http://www.uniras.gov.uk/niscc/docs/botnet_11a.pdf (Stand: 14.2.2006).
-7-
und Risiken ähnlich wie jene, die wir vom Internet her kennen, namentlich ÆDoS-Angriffe, ÆMan-in-theMiddle-Attacken oder Malware. Auch Spam kann für VoIP zu einem Problem werden. Verwenden Firmen
anstelle des konventionellen Telefons VoIP, ist bei einem Ausfall des IP-Netzes nicht nur das Daten-,
sondern auch das Sprachnetzwerk gestört. Das deutsche Bundesamt für Sicherheit in der Informationstechnik
(BSI) warnt in einer Studie vor der unüberlegten Einführung von VoIP in Firmen, da dieses erhebliche
Bedrohungspotenziale mit sich bringt. 4 Spektakuläre Angriffe sind bisher zwar nicht aufgetreten, müssen
aber befürchtet werden. Vertraulichkeit und Verfügbarkeit sind die beiden größten Herausforderungen für die
VoIP-Sicherheit. Seit langem ist bekannt, dass sich Gespräche über das Internet mitschneiden lassen.
Verschlüsselungsalgorithmen gibt es zwar, ein effektives Schlüsselmanagement fehlt aber. 5 Die neue
Technik bringt auch eine Neuauslegung der gesetzlichen Grundlagen mit sich, die in Kapitel 8 beleuchtet
wird.
2.6
Rootkits
Seit Sonys Einsatz eines ÆRootkits zur Wahrung digitaler Rechte auf Musik-CDs dürfte dieser Begriff den
Leuten bekannt sein. Ein Rootkit gemäss ursprünglicher Definition ist eine Sammlung von
Computerwerkzeugen, die nach dem Einbruch in ein Computersystem auf diesem installiert werden, um
zukünftige Logins des Eindringlings und Prozesse (beispielsweise ein Spionageprogramm) vor dem Benutzer
zu verbergen. Wurden Rootkits früher ausschliesslich auf Unix/Linux-Systemen angetroffen, werden immer
häufiger auch Rootkits für Windows-Systeme entwickelt. Dieser Trend dürfte sich fortsetzen, zumal im
Sommer 2005 ein Buch zu diesem Thema veröffentlicht wurde. Rootkits sind zwar nicht neu, der Einsatz
derselben durch grosse Firmen allerdings schon. Erschwerend kommt hinzu, dass das installierte Rootkit von
Sony scheinbar nicht nur ohne Wissen des Nutzers Daten übermittelt, sondern auch das Verstecken von
Malware ermöglicht hat (siehe Kapitel 10). Allgemein trat im zweiten Halbjahr 2005 vermehrt Malware mit
integrierten Rootkit-Techniken zur Tarnung auf, was deren Entdeckung und Entfernung massiv erschwert
(siehe dazu auch Kapitel 2.4 und 3.3).
2.7
Mac OS X: Sicherheit zunehmend gefährdet?
Das SANS-Institut 6 hat dieses Jahr zum ersten Mal Schwachstellen in Mac OS X in ihre Jahresliste der Top
20 der Schwachstellen aufgeführt. Dabei fasste SANS alle entdeckten Schwachstellen in OS X zu einem
Vorfall zusammen. Wie jedes Betriebssystem ist auch OS X vor Schwachstellen nicht gefeit, wie die Analyse
der Sicherheits-Updates zeigt: Apple hat im letzten Jahr laut der Open Source Vulnerability Database 81
Patches zur Verfügung gestellt, Microsoft deren 89. 7
Ein Hauptgrund für die kleinere Anzahl von Malware für Mac OS X liegt vermutlich in der geringeren
Verbreitung, auch wenn Mac OS X die Vorteile von Unix nutzt und auf sicherheitsproblematische Aspekte
wie Active X und ungesicherte Dienste verzichtet. Die grössten Sicherheitsprobleme entstehen durch
Applikationen wie zum Beispiel das Musikprogramm iTunes oder den Webbrowser Safari. Probleme
könnten aber in der Wahrnehmung dieser Sicherheitsprobleme entstehen. Apple hält sich immer noch mit
öffentlichen Stellungnahmen über die Betriebssystemsicherheit sehr zurück. Zudem ist auch bei den
Benutzern das Gefühl der Unverwundbarkeit weit verbreitet, weshalb auch die Motivation, den Computer zu
schützen, geringer ist als bei Nutzern anderer Betriebssysteme. So werden oft keine Updates eingespielt,
keine Firewall benutzt und zudem sind die Systeme oft schlecht konfiguriert. Wenn sich Virenschreiber
jedoch erst einmal einem System angenommen haben, ist es nur eine Frage der Zeit, bis die ersten Attacken
folgen werden.
4
http://www.bsi.bund.de/literat/studien/VoIP/index.htm (Stand: 21.2.2006).
5
Tim Mather von Symantec an der RSA Conference (http://2005.rsaconference.com) (Stand: 21.2.2006).
6
http://www.sans.org (Stand: 21.2.2006).
7
http://www.osvdb.org (Stand: 21.2.2006).
-8-
3
Tendenzen / Allgemeine Entwicklungen
3.1
Individualisierte Trojanische Pferde, Social Engineering, Spear-Phishing:
Grösste Gefahr bezüglich Industriespionage
Bereits im letzten Halbjahresbericht wurde gezielte Industriespionage thematisiert und stellt in der vorliegenden Ausgabe den Schwerpunkt dar: Kapitel 2.1 analysiert die Vorgehensweise der Angreifer, während
Kapitel 5.2 (Titan Rain) den grössten bisher aufgedeckten Spionagefall beschreibt.
Dank der in Kapitel 2.4 und 3.3 thematisierten arbeitsteiligen, professionellen Vorgehensweise der Angreifer und aufgrund der Tatsache, dass immer mehr qualifizierte Hacker Dienste an die organisierte Kriminalität vermieten oder verkaufen, ist davon auszugehen, dass künftig mächtigere Spionageprogramme zum
Einsatz kommen dürften, wobei immer mehr davon Antiviren-Herstellern unbekannt sein werden. An den
bekannten Vorgehensweisen (siehe Kapitel 2.1) hingegen wird sich wohl wenig ändern.
Angreifer, die gezielt Spionage betreiben, verfügen zudem meist über Mittel, die ihnen eine systematische Vorgehensweise und hohe Professionalität erlauben. Vermutlich stehen hinter vielen Angriffen Regierungskreise, insbesondere aus dem fernen Osten (China; siehe Kapitel 5.2, Titan Rain). Doch auch von Seiten
der privatwirtschaftlichen Konkurrenz, wie der Spionagefall in Israel in der ersten Jahreshälfte 2005
illustriert hatte, sind solche Aktionen durchaus zu erwarten.
Dies zeigt auf, wie wichtig ein umfassender Schutz eines Firmennetzwerks ist. Dazu gehört nicht nur der
technische Schutz der Systeme bis auf Stufe der einzelnen ÆHosts (Host Monitoring), sondern auch die
Ausarbeitung einer Sicherheits-Politik, welche den Umgang mit Mails unbekannter Herkunft sowie mit
mobilen Geräten, über die ebenfalls Spionagesoftware in ein Firmennetzwerk gelangen kann (siehe auch
Kapitel 3.5), regelt. Regelmässige Schulung, insbesondere von Mitarbeitern mit Zugang zu vertraulichen
Daten, sowie die Schaffung einer gegenüber IT-Sicherheits-Gefahren sensiblen Unternehmenskultur sind
unverzichtbar für einen effizienten Schutz vor dieser Art von Angriffen. Denn gegen unbekannte, gezielt
entwickelte Schädlinge kann auch eine effizient umgesetzte Antiviren-Strategie alleine nichts ausrichten. 8
Insbesondere Betreiber Ækritischer nationaler Infrastrukturen, Regierungs- und Militärkreise sowie Militärzulieferer sind gefährdet – es ist zu erwarten, dass sich diese Angriffsart weiter verbreiten und bald auch
kleinere Unternehmen betreffen wird. Besonders exponiert dürften Unternehmen sein, die Beziehungen in
den fernen Osten unterhalten, die neue, für die Konkurrenz interessante Technologien entwickeln oder die
bereits über solche Technologien verfügen. Auch wenn (noch) keine Informationen über ähnliche
Vorkommnisse in der Schweiz vorliegen, gibt es nach Einschätzung von MELANI keinen Grund anzunehmen,
die Schweiz sei als mögliches Spionageziel auszuschliessen. Die Bedrohung ist nach wie vor als ernst
einzustufen.
3.2
Botnetze: Grösste Gefahr bezüglich Cyberkriminalität
Bereits im letzten Halbjahresbericht und im Kapitel 2.3 nehmen ÆBotnetze eine zentrale Rolle ein – und das
wird sich auch 2006 kaum ändern. Die beiden Verhaftungen der Botnetzbesitzer sowie der sich um Botnetze
drehende Wurmkrieg (siehe Kapitel 5.2 und 5.3) zeigen deutlich auf, in welcher Form Cyberkriminelle Geld
verdienen und wie ernst diese Gefahr zu nehmen ist. Auch wenn die Verhaftungen grosse Erfolge darstellen,
waren sie nur kleine Tropfen auf einen heissen Stein. Solange sich der Betrieb von Botnetzen auszahlt und
nur wenige Täter ermittelt werden können, dürfte die Gefahr kaum abnehmen. Der auf die Abwehr von
DDoS-Attacken spezialisierte IT-Security-Dienstleister Prolexic beispielsweise beziffert den Verdienst der
effizientesten der bisher beobachteten Botnetzbesitzer-Gruppen mit DDoS-Erpressungen auf mehr als 8 Mio.
US$.
Experten gehen davon aus, dass über ÆVoIP oder ÆP2P-Netzwerke gesteuerte Botnetze, möglicherweise
gar mit verschlüsselten Steuerungsbefehlen, zu erwarten sind. Fällt beispielsweise der zentrale (bisher
meistens ÆIRC-)Server weg und wird durch eine hierarchielose Kontrollstruktur ersetzt, wird es künftig
äusserst schwierig sein, ein Botnetz zu erkennen und zu deaktivieren.
8
Mehr Informationen über Art der Angriffe und deren Abwehr bietet ein Security-Advisory des NISCC:
http://www.uniras.gov.uk/niscc/docs/ttea.pdf (Stand: 14.2.2006).
-9-
Ein umfassender Grundschutz des PCs, wie auf der MELANI-Homepage beschrieben, bietet
weitgehenden Schutz vor einer Infektion mit Malware, die den PC zum Bestandteil eines Botnetzes machen
kann. Zusätzliche Massnahmen sind im Kapitel 6 zu finden.
Die von Botnetzen ausgehenden Gefahren (Spam, Spionage, Identitätsdiebstahl, DDoS-Attacken sowie
Verschlüsselungs-Angriffe und die damit verbundene Erpressung, Verteilung von Malware etc., siehe Kapitel
2.3) dürften im Jahr 2006 weiter zunehmen, zumal die Zahl der Botnetze stetig wächst. Insbesondere KMUs
(vor allem mit Internet-Präsenz) dürften in Zukunft vermehrt Erpressungen von Botnetz-Betreibern ausgesetzt sein. Aufgrund ihrer vielseitigen Einsatzmöglichkeiten, der einfachen Einrichtung und der mit ihnen
erreichten kriminellen Erfolge sind Botnetze als grösste Cybercrime-Bedrohung einzustufen.
3.3
Professionalisierung der Angreifer: Arbeitsteilung, massive Zunahme
der Malware-Produktion, neue Angriffsvektoren
Im letzten Halbjahresbericht wurde bereits festgestellt, dass Programmierer von Malware finanzielle Motive
verfolgen und auch die organisierte Kriminalität die Cyberkriminalität als Betätigungsfeld entdeckt hat. Die
zweite Jahreshälfte 2005 illustrierte deutlich, was die Folgen davon sind: Rasch zunehmende Professionalität
und Arbeitsteilung sowie eine daraus resultierende immer schnellere Entwicklung von Malware (siehe für
Beispiele Kapitel 5.2: Wurmkrieg / Kritische Lücken rasch ausgenützt und Kapitel 5.3: Verhaftungen geben
Einblick in Botnetz-Szene; für eine Analyse Kapitel 2.4).
Die Ursache für diese Entwicklung liegt im „erfolgreichen“ Geschäft der auf Geld abzielenden Cyberkriminellen: Malwarecode wird online publiziert und kann leicht auch von Nicht-Experten angepasst werden;
für gestohlene Daten (wie z.B. E-Banking-Kundendaten, Kreditkartendaten, ökonomisch wertvolle Informationen etc.) gibt es einen lukrativen Markt, genauso wie für ÆExploit-Codes, Spam-Botnetzwerke oder
ÆDDoS-Erpressungen. Die Arbeitsteilung der organisierten Hackergruppen wird auch im Jahr 2006 weiter
zunehmen, so dass stetig verbesserte Schädlinge immer schneller eingesetzt werden können. Die grosse
Verfügbarkeit solch schädlichen Codes im Internet zusammen mit der zunehmenden Verbreitung von EBanking und Online-Shopping führen ausserdem dazu, dass immer mehr Kriminelle ihr Glück im Internet
versuchen werden. Insofern erstaunen erste Schätzungen, die die Verdienste durch Cybercrime vor denen des
Drogenhandels sehen, nicht weiter.
MELANI erwartet für 2006 eine weitere qualitative Verbesserung der ÆMalware (bessere Tarnung durch
ÆRootkit-ähnliche Funktionen, flexiblere Einsatzmöglichkeiten, mächtigere Funktionalität) sowie ein noch
rascheres Erscheinen verschiedener Versionen einer Malware-Familie, weiter abnehmende Fristen zwischen
Bekanntwerden einer Sicherheitslücke und der Verbreitung eines zugehörigen Exploit-Codes, eine vermehrte
Nutzung der neuen Angriffsvektoren (siehe Kapitel 2.4) sowie neue Æ0-day-Exploits.
3.4
Phishing: Zunehmende Gefahr auch im Jahr 2006
ÆPhishing
war im letzten Halbjahresbericht bereits ein wichtiges Thema, das nicht an Aktualität eingebüsst
hat und auch aktuell bleiben wird (siehe Kapitel 2.2 für eine Analyse; 4.3 und 5.3 für Vorfälle; sowie 6.3 für
Schutzmassnahmen).
Mit der Verbesserung der Phishing-Bekämpfung (siehe Kapitel 2.2) geht auch eine Aufrüstung der Angreifer einher: Mit immer ausgefeilteren ÆSocial Engineering-Methoden, wie beispielsweise Phishing-Mails
in der jeweiligen Landessprache und stilsicherer als bisher, und mit neuen technologischen Tricks versuchen
sie, neue Phishing-Opfer zu finden.
Im Jahr 2006 ist mit weiteren Phishing-Vorfällen zu rechnen, die auch die Schweiz betreffen könnten. Zu
erwarten sind insbesondere noch besser als bisher nachgemachte Phishing-Webseiten (teilweise mit offiziellem Ædigitalem Zertifikat), eine Zunahme der ÆKeylogging-Software, die kaum aufspürbar ist und auf
dem Rechner des Opfers vertrauliche Daten aushorcht, vermehrte DNS-Angriffe zur systematischen
Umleitung von Opfern auf Phishingseiten (sowohl auf lokale ÆHosts-Files als auch auf ÆDNS-Server) sowie
ein vermehrtes Auftauchen von mit böswilligem Code zwecks Passwortdiebstahl versetzten Webseiten (über
die Keylogger verteilt werden). Zudem ist mit einer Verbesserung der Social-Engineering-Techniken (hauptsächliche bessere Sprache; Ausnutzung der Hilfsbereitschaft der Opfer wie nach dem Wirbelsturm Katrina
oder dem Tsunami) sowie der technischen Mittel der Angreifer (ÆMan-in-the-middle-Attacken in Echtzeit;
Einsatz redundanter Phishing-Seiten; ständig wechselnde ÆRedirect-Mechanismen) zu rechnen. Ausserdem
- 10 -
müssen vermehrt Angriffe gegen kleinere Finanzdienstleister, die (noch) wenig Erfahrung in der PhishingBekämpfung haben, sowie gezielte ÆSpear-Phishing Spionage-Attacken (Vorgehensweise in Kapitel 2.1
beschrieben, siehe auch 3.1) bei Firmen erwartet werden.
3.5
Bedrohungen für mobile Geräte (Handy, PDA)
Die im letzten Jahresbericht prognostizierte Zunahme von ÆMalware für mobile Geräte, die insbesondere mit
der Verbreitung von Geräten der dritten Generation (3G) mit dauerhafter Internet-Verbindung zu erwarten
ist, muss an dieser Stelle erneut unterstrichen werden. In der zweiten Jahreshälfte 2005 wurden so viele 3GMobilgeräte verkauft wie nie zuvor. Gleichzeitig meldeten Antivirus-Hersteller (insbesondere F-Secure und
McAfee) eine Zunahme von Malware für mobile Geräte – schon über 100 solcher Schädlinge sind
inzwischen bekannt (Anfang 2004: 10; Angaben von F-Secure). Zudem erfolgte im August 2005 an den
Leichtathletik-Weltmeisterschaften in Helsinki eine Infektion von einigen Mobilegeräten mit dem CabirWurm für das Symbian-Betriebssystem, der sich inzwischen auf über 30 Länder verbreitet hat. Gefördert
wird die Bedrohungslage durch den Umstand, dass nur wenige Nutzer mobiler Geräte auf die Gefahren
sensibilisiert sind, daher keinen Virenschutz einsetzen und ihr Gerät unsicher konfigurieren.
Bisher beschränkten sich die Hauptfunktionen der Schädlinge auf rasches Entleeren der Batterie-Reserven oder auf das Unbrauchbarmachen des mobilen Geräts; die Angriffsvektoren beschränkten sich auf Bluetooth und MMS-Nachrichten, die vom Empfänger zudem explizit akzeptiert werden mussten.
MELANI erwartet für das Jahr 2006 eine Zunahme von Bedrohungen gegen Nutzer von mobilen
Endgeräten. Es sind ähnliche Funktionen zu erwarten, wie sie von Malware für den PC bekannt sind: Verschlüsselung der Handy-Daten und anschliessende Geldforderung für die Wiederherstellung oder Auslesen
persönlicher Daten wie Terminkalender und Kontakte. Bereits aufgetaucht sind erste Schädlinge, die sich
nach einer Synchronisation des mobilen Gerätes mit dem PC auf diesen übertragen. Besonders Firmen, die
mobile Geräte einsetzen, droht daher auch eine beträchtliche Spionagegefahr.
- 11 -
4
Aktuelle Lage ICT Infrastruktur national
4.1
Pannen, Ausfälle
ADSL-Störungen
Im zweiten Halbjahr 2005 war es gleich zu zwei schweizweiten Störungen bei ADSL-Dienstleistungen
gekommen. Im Laufe des 6. Dezembers 2005 war ein Teil der Geschäftskunden von Sunrise Business-ADSL
von einer Störung betroffen, bei der die ADSL-Dienste lahm gelegt waren. Am 7. Dezember 2005 war die
Störung behoben. Wie Sunrise mitteilte, handelte es sich um einen Software-Fehler. Vom zweiten ADSLStörfall waren alle Kunden von Tele2 betroffen. Während des gesamten Wochenendes des 11. Dezembers
waren die Dienstleistungen nur begrenzt verfügbar. Nach Angaben des Anbieters war eine Fehlfunktion in
der Hardware die Ursache für die Störung. Nicht bekannt sind indessen die Auswirkungen, die diese
Störungen auf die betroffenen Kunden hatten.
Diese beiden Vorfälle verdeutlichen, wie wichtig es ist, eine solide Infrastruktur zur Datenübermittlung
zu haben und vor allem auch in der Lage zu sein, Störungen möglichst schnell zu beheben. Laut einer von der
ETH Zürich schweizweit durchgeführten Studie könnte ein landesweiter Ausfall des gesamten Internets
während einer Woche der Wirtschaft Verluste in der Höhe von 5,83 Milliarden Franken verursachen (siehe
Kapitel 9).
4.2
Angriffe
Defacements: Reaktionszeit auf sportliche oder politische Geschehnisse wird immer kürzer
Auch die Schweiz blieb 2005 von Attacken, die über das Internet lanciert werden, nicht verschont. Der erste
MELANI-Halbjahresbericht beschäftigte sich mit Script Kiddies, Gruppen von Jugendlichen, die eher
wahllos in Server eindringen und Unfug treiben. Aus den unterschiedlichsten Gründen verändern die Kiddies
Internet-Seiten und missbrauchen sie für ihre politischen und sozialen Aufrufe. Nachdem im November 2005
die Schweiz das Ausscheidungsspiel für die Fussballweltmeisterschaft gegen die Türkei gewonnen hatte,
kam es ausserhalb des Stadions zu heftigen Ausschreitungen zwischen den Anhängern der beiden
Mannschaften. Bereits ein Tag nach dem Spiel und während der folgenden Tage, also ab dem 18. bis zum 22.
November, kam es im Internet zu heftigen Reaktionen: Zahlreiche, auf Schweizer Servern befindliche Foren
wurden angegriffen und Websites entstellt (Defacement). Die für das Defacement verantwortliche Gruppe
nannte sich “IMHOT3b”. Es wurden Slogans aufgeschaltet wie “Welcome to hell” oder “Made in Turkey”.
Auf einer der Websites fanden sich die türkische Nationalhymne und Zitate von Atatürk. Laut Zone-H 9 ist
“IMHOT3b” seit Juli 2005 aktiv. Seither gingen 165 Fälle, bei denen Internetsites entstellt worden waren, auf
das Konto dieser Gruppe. Alle betroffenen Sites waren auf veralteten Versionen des Supportforums “phpBB”
gestützt. Den verwendeten Versionen gemein war, dass sie bekanntermassen mehrere Sicherheitslücken
aufwiesen. MELANI machte zahlreiche Hosting-Provider darauf aufmerksam, dass einige der von ihnen
gehosteten Sites Ziel solcher Angriffe geworden seien. Üblicherweise wird mit diesen Angriffen bezweckt,
den Inhalt einer oder mehrerer Internetsites zu verändern, ohne aber Zugriff auf weitere Informationen zu
ermöglichen. Bemerkenswert ist, wie schnell die Angriffe lanciert wurden: Zwischen dem Zeitpunkt, an dem
das Ereignis – das Fussballspiel – stattfand, und dem Zeitpunkt, an dem Internetsites das Ziel von
Defacements wurden, verstrichen nur wenige Stunden.
Lotterie Romande: Und noch ein Betrugsfall
Spam ist wohl die Internetplage schlechthin. Auch Schweizer Unternehmen blieben 2005 davon nicht
verschont. Zahlreiche Finanzinstitute wurden das Ziel von Spamattacken. Die Lotterie Romande – ein
Unternehmen, das auch noch für andere Lotterien zuständig ist – wurde zum Opfer einer Flut von Spams. In
E-Mails, die von zwei angeblichen Promotion-Managern der Lotterie Romande unterzeichnet waren, wurde
9
http://www.zone-h.com (Stand: 23.2.2006).
- 12 -
den Adressaten ein Lotterie-Gewinn von einer Million Euro in Aussicht gestellt. Die E-Mails waren begleitet
von einem Formular, das es auszufüllen galt. Unter anderem sollten auch persönliche Angaben zur
Bankverbindung gemacht werden. Laut J. Besssar, dem Kommunikationsdirektor der Lotterie Romande, ist
seines Wissens durch diesen Betrugsversuch niemand zu Schaden gekommen. Die Lotterie Romande hat
vorsorglich eine Pressemitteilung versandt, um auf die Gefahren durch solche Betrugsversuche aufmerksam
zu machen.
4.3
Kriminalität
Phishing Websites in der Schweiz
Ende Juli wurde der Schweizer Koordinationsstelle zur Bekämpfung der Internet-Kriminalität (KOBIK) von
einem Schweizer Internetprovider gemeldet, ein Kunde habe die Dienstleistungen des Webhosting für
illegale Zwecke missbraucht. Eine Person hat wiederholt rumänische IP-Nummern benützt, um sich eine
URL-Adresse zuzulegen und hat unter Angabe falscher Daten ein Webabonnement unterschrieben. In der
Regel erbringen die Hostingprovider die verlangte Dienstleistung und stellen sie dem Kunden anschliessend
in Rechnung. Während dieser Zeitspanne von rund 48-72 Stunden gelang es besagter Person, die unter dem
Decknamen Willy Hertz auftrat ([email protected], eine in der Schweiz nicht vorhandene Adresse), auf
dem Webserver eine (PayPal-)Phishing-Site aufzuschalten und etliche Phishing-Mails zu versenden. Der
Betrug wurde erst nach einigen Tagen aufgedeckt. Auch andere Schweizer Hosting Provider wurden, ohne es
zu wissen, für diese Tätigkeiten missbraucht.
Internet-Wirtschaftskriminalität nimmt stark zu
In einem Bericht der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) wird darauf
hingewiesen, dass die Zahl der mit Hilfe des Internets begangenen Wirtschaftdelikte stark zunimmt. Der
Bericht widmet sich der Entwicklung in den Jahren 2003 bis 2005. Während dieser Zeit hat sich die Zahl
dieser Wirtschaftsdelikte von Jahr zu Jahr verdoppelt: Verzeichnete KOBIK im Jahr 2003 noch 145 Fälle,
waren es 2004 deren 289. Im ersten Halbjahr 2005 waren bereits 275 Fälle bekannt geworden.
„Wirtschaftskriminalität und Internet“ ist ein weit gefasster Begriff, der zahlreiche Deliktsformen
beinhaltet: E-Mail-Phishing, Geldwäscherei, betrügerische Escrow-Dienste (Internet-Treuhanddienste),
Missbrauch von Kreditkarten-Daten, illegaler Datenerwerb, Verstösse gegen das Urheberrecht und zahllose
andere Betrugsformen. Laut dem KOBIK-Bericht war Phishing im Jahr 2003 noch eher eine
Randerscheinung. Bereits 2004 nahm diese Deliktsform hingegen stark zu und stellte 2005 für die Schweizer
Finanzinstitute ein überaus ernst zu nehmendes Problem dar. Auch häuften sich die Meldungen über
gefälschte Phishing-Websites. Oft wurde und wird mit dem Präfix „swiss“ – sei es in einer Adresse oder
Überschrift – versucht, den Eindruck von Seriosität und Vertrauenswürdigkeit zu erwecken.
Den bei weitem grössten Anteil an Internetdelikten machen aber noch immer Betrügereien aus. Hier gilt
es, die Internet-Anwender auf die verschiedenen Betrugsformen hin zu sensibilisieren. In vielen Fällen hätten
sich Betrügereien vermeiden lassen, hätten die späteren Opfer ein wenig mehr Umsicht walten lassen. Doch
ungeachtet der Warnungen und der in den Medien verbreiteten Informationen über Betrug im Internet lassen
sich Leute immer wieder von der vermeintlichen Möglichkeit blenden, ohne viel Aufwand zu grossem
Gewinn zu kommen. KOBIK sind die betrügerischen Mittel, mit denen Leichtgläubige in die Falle gelockt
werden, nur allzu gut bekannt. So hat beispielsweise eine Privatperson einem asiatischen Käufer mehrere
Mobiltelefone verkauft. Die Bezahlung sollte gegen Überweisung per Kreditkarte erfolgen, die Kreditkarte
war jedoch gestohlen. In einem anderen Fall kaufte ein Internetuser eine Digitalkamera, die er auf einer
chinesischen Website gesehen hatte; das Geld überwies er auf das Konto einer Bank in Peking, die Kamera
hat er nie erhalten. Nicht anders ergangen ist es der Person, die bei einer Online-Auktion eine Reihe von
Artikeln ersteigert hatte und gebeten worden war, das Geld im Voraus via Western Union zu senden.
- 13 -
KOBIK-Bericht 2005: Zahl der Meldungen hat stark zugenommen
Die Koordinationsstelle zur Bekämpfung der Internetkriminalität ist seit nunmehr drei Jahren tätig. Der
jüngste KOBIK-Bericht weist eine starke Zunahme der Meldungen über Internetdelikte aus. Waren es 2004
noch 6’540 Meldungen, belief sich die Zahl im Jahre 2005 bereits auf 7’345. Das ist ein Zuwachs von rund
800 Meldungen oder 12 Prozent. Mehrere Gründe sind denkbar: Mit zunehmender Zahl von Internetnutzern
nimmt auch die Zahl potenzieller Opfer zu, die auf betrügerische Machenschaften im Internet hereinfallen.
Mittlerweile hat KOBIK sowohl in der Schweiz als auch im Ausland an Bekanntheit gewonnen und wird in
Zweifelsfällen vermehrt zu Rate gezogen oder informiert. Dass die Zahl der Meldungen zugenommen hat,
kann auch damit zusammenhängen, dass Vorfälle anonym gemeldet werden können. Die Privatsphäre bleibt
unangetastet.
Im Berichtsjahr 2005 leitete KOBIK 206 Verdachtsfälle an die kantonalen Polizeikorps weiter. 79
Prozent dieser Fälle wurden dank dem KOBIK-Monitoring entdeckt; 21 Prozent der Meldungen stammten
von Internetusern. Die meisten Fälle betrafen die Kantone mit den höchsten Einwohnerzahlen: An erster
Stelle stehen die Kantone Zürich, Bern und Aargau. Bemerkenswert ist, dass bei 89 Prozent der
weitergeleiteten Verdachtsmeldungen eine Untersuchung eingeleitet wurde. In 78 Prozent der Fälle wurde
strafrechtlich verwertbares und belastendes Material sichergestellt.
Erschwert wird die Arbeit der Polizei, wenn eine einschlägige Website beispielsweise von einem
Internetkaffee aus angewählt und die Identität des Users nicht festgehalten worden ist. Schwierig, belastendes
Material sicherzustellen, ist es auch, wenn spezielle Software die relevanten Daten löscht oder aber zwischen
dem Zeitpunkt, wenn ein Fall gemeldet wird, und der Hausdurchsuchung zu viel Zeit vergeht. Hinzu kommt
die immer leichter verwendbare Software, mit Hilfe derer sich personenbezogene Daten verschlüsseln oder
unterdrücken lassen. KOBIK empfahl deshalb den kantonalen Ermittlern, die Computer von verdächtigen
Personen auf entsprechende Software hin zu untersuchen: Es stellte sich heraus, dass in 9 Prozent der Fälle
solche Software tatsächliche verwendet worden war.
Der KOBIK-Bericht widmet sich mehreren Tendenzen und Themenbereichen: So hat die Zahl der
Meldungen über Wirtschaftsdelikte deutlich zugenommen. Eine Tatsache, die als Beleg dafür gewertet
werden kann, dass die Internet-Kriminalität zunehmend professioneller und kommerzieller wird. Ein weiteres
Thema sind die Chatrooms: Spätestens seit 2005 haben die Frage nach der Strafbarkeit von den in Chatrooms
geführten Gesprächen und der Aspekt der strafrechtlichen Verfolgung an Bedeutung gewonnen. Es sind dies
Punkte, die auch weiterhin thematisiert werden müssen, zumal das Chatten zu einer der beliebtesten und am
weitesten verbreiteten Kommunikationsformen unter Jugendlichen zählt. Erfreulicherweise scheinen sich die
in diesem Bereich getroffenen präventiven Massnahmen zu bewähren.
Im Jahr 2005 machte der Missbrauch von Weblogs vermehrt von sich Reden, nachdem beispielsweise
illegales Material veröffentlich worden oder es zu Ehrverletzungen gekommen war. Solche Missbräuche
wurden vornehmlich aus der Westschweiz gemeldet. Es ist zu vermuten, dass künftig auch in der
Deutschschweiz Weblogs vermehrt missbraucht werden.
4.4
Terrorismus
Der Zentralrechner der Universität Genf als Zentrum für islamistische Propaganda
In ihrer Ausgabe vom 29. Oktober 2005 berichtete die „Weltwoche” darüber, dass jemand über das
Informatiknetz der Universität Genf islamistisches Propagandamaterial auf das Internet lädt und verbreitet.
Offenbar handelte es sich um Propaganda der Al-Qaida. Unter anderem seien Filme zu sehen gewesen, die
den jordanischen Terroristen Abu Musab al-Zarqawi bei der Begehung von Gewaltakten zeigten (siehe dazu
Kapitel 5.4). Die Verantwortlichen: ein 27-jähriger Marokkaner; er lebte seit Jahren ohne
Aufenthaltsgenehmigung in Genf, und ein 41-jähriger, illegal eingereister Asylbewerber aus Algerien.
Offenbar transferierten die beiden über jeweils vier Internetzugänge von an der Universität regulär
immatrikulierten Studierenden unter anderem Propaganda-Videos auf an mehreren Orten der Welt
befindliche Webserver. Die beiden waren in der ersten Hälfte des Oktobers nahezu täglich von zehn Uhr
morgens bis vier Uhr nachmittags tätig. So sollen beispielsweise zwei Videoaufnahmen von
Selbstmordattentaten im Irak heruntergeladen und anschliessend auf einschlägigen Webseiten veröffentlicht
worden sein. Entdeckt hat den Fall Evan Kohlmann. Seit Jahren patrouilliert der amerikanische Experte für
- 14 -
Cyberterrorismus durch islamistische Websites. Kohlmann leitet das unabhängige Büro Globalterroralert in
New York. Er unterhält auch eine eigene Website: Global Terror Alert. 10 Er war es auch, der die
„Weltwoche“ informierte.
Die Zugangsdaten (Benutzername und Passwort) zu den von den Beschuldigten genutzten Accounts
haben sich die beiden durch einfaches „über die Schultern schauen“ bei den rechtmässigen Benutzern
während deren Einloggvorgangs beschafft.
Al-Zawahiri-Video auf Forum veröffentlich
Am 23. Dezember 2005 wurde in einem Internetforum eine Videobotschaft des stellvertretenden Leiters der
Al-Qaida, Aiman al-Zawahiri, veröffentlicht. In diesem Video droht der Terrorist den westlichen Staaten.
Das Video war auf einem Internetforum zu sehen, das von einer in Düdingen (FR) lebenden Holländerin
marokkanischer Herkunft betrieben worden war. Ihr Mann war bei einem von ihm in Afghanistan verübten
Selbstmordanschlag ums Leben gekommen. Diese Frau war den Behörden keine Unbekannte: Im September
2004 lud sie auf ihre Website die Bilder von der Enthauptung von im Irak festgehaltenen Geiseln. Im Februar
2005 durchsuchte die Bundeskriminalpolizei mehrere Wohnungen von Personen, die militanten islamischen
Kreisen zugerechnet wurden. Fünf Verdächtige wurden verhaftet; unter ihnen befand sich auch die besagte
Frau. Nachdem sie auf freien Fuss gesetzt worden war, äusserte sie unverhohlene Drohungen gegen die
Strafverfolgungsbehörden. Dem Vernehmen nach schreibt sie derzeit an einem Buch, in dem sie schildert,
wie sie strafrechtlich verfolgt worden ist.
4.5
Diverses
Spam-Hetze gegen Schengen/Dublin
Im Vorfeld der Abstimmung über die Annahme der Schengen/Dublin-Abkommen sahen sich die Schweizer
Internetuser Mitte 2005 mit einer Welle von Spams konfrontiert. Mit diesem gross angelegten MassenmailVersand sollte gegen Schengen/Dublin Stimmung gemacht werden. Mit der Spam-Aktion wurde versucht,
den noch unschlüssigen Teil der Wählerschaft dazu zu bewegen, gegen die Annahme der Abkommen zu
stimmen. Der Geschäftsführer des Zürcher Informatik-Sicherheitsunternehmens Apexis Cleanmail, Andreas
Reinhard, bestätigte, dass eine solche Spam-Aktion bisher einmalig war. 11 Die Professionalität, die der
Massenversand solcher Mails voraussetzt, die Methode und der Umstand, dass die gesamte Aktion
vollständig anonym vonstatten ging, weisen laut Reinhard auf einen Profi-Spammer oder eine hervorragend
organisierte Gruppe hin. Reinhard mutmasst, dass der oder die Spammer wahrscheinlich im Auftrag von
Dritten tätig gewesen sind.
Bedrohung von innen auch in der Schweiz
Wenn von Informatik- oder auch von Internet-Kriminalität die Rede ist, denkt man in der Regel an
aussenstehende Hacker, die – ausgestattet mit den neusten technischen Geräten – von einem sicheren
Versteck aus Informatiksysteme von aussen angreifen. Allzu gern vergisst man, dass die weit grössere
Bedrohung für ein System oft von den eigenen Mitarbeitern kommt. Der gemeinsam vom CSI und FBI
veröffentlichte Bericht „Computer crime and security survey 2005” hält fest, dass sicherheitsrelevante
Zwischenfälle in den US-amerikanischen Unternehmen mehrheitlich selbstverschuldet sind. Oft sind die
Konsequenzen solch interner Pannen ungleich schwerwiegender als der Schaden, den Hacker-Angriffe
verursachen. So gaben beispielsweise die Verantwortlichen der Tokioter Filiale der UBS zu, dass eine
Harddisk abhanden gekommen war, auf der höchst vertrauliche Kundendaten abgespeichert waren. Zum
Verlust kam es wegen unklarer Kompetenzregelung und Nichtbeachtung interner Richtlinien.
10
http://www.globalterroralert.com (Stand: 23.2.2006).
11
http://www.cleanmail.ch (Stand: 23.2.2006).
- 15 -
Im zweiten Halbjahr 2005 erhielt die Wirtschafts- und Finanzzeitschrift „Cash“ einen anonym
zugestellten 169 MB-grossen Datenträger. Er enthielt Daten von Kunden der Privatbank Julius Bär. Die
Daten umfassten die Geschäftsjahre 1997 bis 2003. Laut „Cash“ betreffen die Daten bekannte Personen aus
der Wirtschaft, der Politik und der Kultur, unter anderem auch Schweizer Staatsangehörige. Allein der
Umstand, dass diese Daten an die Öffentlichkeit gelangen konnten, war ein harter Schlag für das Image der
Schweizer Banken.
Siehe zu diesem Thema auch Kapitel 6.3.
E-Voting: Premiere in der Schweiz
Zum ersten Mal konnte bei einer Abstimmung in der Schweiz die Stimme über das Internet oder per SMS
abgegeben werden. Die Probe aufs Exempel machte die Zürcher Gemeinde Bülach bei einer kantonalen
Abstimmung. Nach offiziellen Angaben wurden 37,3 Prozent der Stimmen elektronisch abgegeben, die
meisten davon, rund 25 Prozent, über das Internet. Bemerkenswert ist, dass ebenso viele Wählerinnen und
Wähler via SMS abgestimmt haben wie an der Urne. Grössere Probleme gab es nur, weil offenbar der PINCode, der auf dem Stimmrechtsausweis enthalten war, aus Gründen der Sicherheit schwach aufgedruckt und
deshalb schwer entzifferbar war. Gewisse Schwierigkeiten stellten sich auch hinsichtlich der Kontrolle, ob
Zweitstimmen
abgegeben
worden
waren.
Die
politisch
Verantwortlichen
und
die
Abstimmungsverantwortlichen zeigten sich aber gleichermassen zufrieden mit dem Probelauf des E-Voting,
umso mehr, als das übliche Schlange-Stehen vor der Urne ausblieb. Anlässlich einer kommunalen
Abstimmung wurde der Versuch einen Monat später in den Gemeinden Bülach, Bertschikon und Schlieren
wiederholt. 24 Prozent der Stimmen wurden elektronisch über das Internet oder per SMS abgegeben; 11
Prozent der Wählenden gaben ihren Stimmzettel an der Urne ab, und die grosse Mehrheit entschied sich für
die Briefwahl.
Bei diesen Pilotabstimmungen waren keine offensichtlichen Sicherheitsprobleme oder Missbräuche
festgestellt worden. Versuche mit E-Voting werden fortgeführt: Im Jahr 2006 wird man auch in den
Kantonen Genf und Neuenburg per E-Voting abstimmen können. Danach sind bis zum Vorliegen eines
Evaluationsberichtes keine weiteren elektronischen Abstimmungen geplant. Schliesslich werden Bund und
Kantone darüber zu befinden haben, ob den Wählenden neben der herkömmlichen Möglichkeiten der
Stimmabgabe E-Voting als Alternative angeboten werden soll.
- 16 -
5
Aktuelle Lage ICT Infrastruktur International
5.1
Pannen, Ausfälle
Computerpanne an der Börse in Tokio führt zu Verlusten
Zwei Computerpannen im November und Anfang Dezember sorgten an der Tokio Stock Exchange (TSE) für
erhebliche finanzielle Verluste.
Am 1. November mussten grosse Teile des Aktienhandels während rund 90 Minuten aufgrund einer
Computerpanne unterbrochen werden. Nach Angaben der TSE verteilte der Hersteller des Handelssystems,
Fujitsu, falsche Anweisungen zur Einspielung eines Updates. Nicht nur Fujitsu-Manager, sondern auch der
CEO der TSE mussten wegen des Vorfalls Gehaltskürzungen hinnehmen.
Anfang Dezember platzierte ein Mitarbeiter des Händlers Mizuho Securities eine Verkaufsorder für JCom Aktien falsch. Statt eine Aktie für 610'000 Yen (4'200 EUR) auszuschreiben, bot der Händler 610'000
Aktien zu einem Yen an. Obwohl der Mitarbeiter den Fehler sofort bemerkte, verweigerte ihm das Handelssystem während 10 Minuten korrigierende Eingaben. Diese Zeit reichte für die Platzierung von Hunderttausenden der Aktien auf den Einkaufslisten mehrerer Investoren, obwohl sich lediglich 14'000 Aktien im freien
Handel befanden. Der anschliessende Wertzerfall der Aktie sowie Vergütungsverpflichtungen bescherten
Mizuho Securities einen Schaden von ca. 283 Mio. EUR. Mizuho Securities klärt ab, ob Schadenersatzforderungen gegen die TSE möglich sind.
An der TSE wird abgeklärt, ob das gesamte Computersystem überprüft werden muss. Der TSE-CEO hat
inzwischen seinen Rücktritt angeboten, während der japanische Finanzminister massive Investitionen in das
TSE-Computersystem empfiehlt, statt weiterhin in einen eigenen Börsengang der TSE zu investieren.
An der Börse in Zürich, der SWX Swiss Exchange, sind Pannen dieser Art gemäss Angaben der SWX
nicht zu erwarten. Updates der SWX-Computersysteme werden standardmässig auf einer Testumgebung
geprüft und erst nach erfolgreichen Tests mittels nach einer Checkliste definierter Schritte appliziert. Im Falle
von Fehleingaben ins Handelssystem stehen zwei Schutzmechanismen zur Verfügung – sowohl vor, als auch
nach der Durchführung der Transaktion. Einerseits schreitet das System bei auffälligen Eingaben automatisch
ein, worauf der Handel zwecks Möglichkeit von Neueingaben oder Korrekturen seitens der Händler
kurzfristig unterbrochen wird. Andererseits kann eine bereits ausgeführte Transaktion für ungültig erklärt
werden, falls der Preis des durch die Transaktion entstandenen Geschäfts erheblich vom Marktpreis abweicht
oder falls geordnete Marktverhältnisse nicht gewährleistet sind. Diese Schutzsysteme haben sich in der Praxis
seit Jahren bewährt, so dass nach den Ereignissen an der TSE kein Handlungsbedarf an der SWX bestand.
5.2
Attacken
Titan Rain: Gezielte Spionage-Angriffe gegen die USA,
Grossbritannien, Kanada und weitere Staaten, vermutlich aus China
Im Juni 2005 warnte das britische National Infrastructure Security Coordination Centre (NISCC) vor gezielten Angriffen mit ausgeklügelten ÆSocial-Engineering-Methoden unter Einsatz von massgeschneiderten
ÆTrojanischen Pferden. NISCC meldete, dass bereits seit 2003 Ækritische nationale Infrastrukturen und
Regierungsstellen im Visier seien. 12 Anfang 2006 versuchten Chinesische Angreifer vergeblich britische
Parlamentarier mit Social-Engineering-Mails auszuspionieren. Das E-Mail Attachment enthielt präparierte
Bilder, welche die WMF-Schwachstelle ausnutzten (siehe weiter unten).
Wie im Juli bekannt wurde, erlebte auch Kanada gezielte Angriffe mit individualisierten Trojanischen
Pferden. Im Visier stand besonders die National Cryptologic Agency, bei der die Angreifer offenbar gezielt
nach vertraulicher Information suchten. Zudem sollen auch gezielte Angriffe gegen Australien und Neuseeland stattgefunden haben.
12
http://www.uniras.gov.uk/niscc/docs/ttea.pdf (Stand: 25.1.2006).
- 17 -
Ende August wurde bekannt, dass bereits seit zwei Jahren systematische, professionelle Computerspionage aus China gegen militärisch genutzte Systeme der US-Regierung und gegen private Subunternehmer stattgefunden hatte und noch immer im Gang ist. Angeblich wurden lediglich als nicht-vertrauliche
klassifizierte Netzwerke der Departments of Defense, of State, of Homeland Security und of Energy, der
NASA und der Weltbank erfolgreich gehackt. Innert maximal 30 Minuten seien ohne verräterische Spuren zu
hinterlassen und mit einer hohen Professionalität sämtliche interessanten Informationen heruntergeladen
worden. Unter anderem haben die Angreifer eine militärische Flugplanungs-Software gestohlen. Ein Mitarbeiter der ebenfalls ausspionierten Sandia National Laboratories, einer der wichtigsten Entwickler des USamerikanischen Nukleararsenals, verfolgte die Angreifer über Süd-Korea, Hongkong und Taiwan zum vermuteten Ursprungsort zurück: die südlichste Provinz Chinas, Guangdong, von der aus auch die Angriffe
unter Verwendung des WMF-Exploits gegen das britische Parlament ausgingen. Die Angriffe konnten
offenbar immer zu denselben drei Routern zurückverfolgt werden. Dank einer auf einem der Router
installierten Meldesoftware erfuhr der Sicherheitsexperte von Sandia von weiteren Aktionen der Angreifer.
Seine Einschätzung: Hinter jedem der Router stehen etwa sechs bis zehn Workstations, rund um die Uhr
bemannt. Das FBI ermittelt offenbar bereits seit längerer Zeit unter dem Codenamen „Titan Rain“ in diesem
Fall und arbeitete eng mit dem Sandia-Experten zusammen. 13
Unklar bleibt bisher, ob hinter den Angriffen eine Aktion der Volksrepublik China steht oder nicht. Auch
wenn viele aus anderen Ländern agierende Angreifer oft in mehreren Hops über China ihre Spuren zu verwischen versuchen, sprechen einige Tatsachen für eine Involvierung der chinesischen Regierung. Die Professionalität der Angriffe, die dauernde Besetzung des Ursprungsnetzwerks und die Auswahl der Ziele legen
einen Akteur mit sehr grossen finanziellen Mitteln nahe – einen Staat oder mafiöse Strukturen. Ein Auszug
aus dem Bericht des US-amerikanischen Department of Defense über die militärischen Mittel der Volksrepublik China hält zudem folgendes fest: „China’s computer network operation (CNO) include computer network attack, computer network defense, and computer network exploitation. […] The PLA [People’s Liberation Army] has likely established information warfare units to develop viruses to attack enemy computer
systems and networks […]. [R]ecent exercises have incorporated offensive operations, primarily first strikes
against enemy networks.” 14 Wie der Direktor des britischen NISCC Ende November zudem ausführte, droht
die grösste Gefahr für kritische Infrastrukturen von Staaten im fernen Osten, da diese stark wachsenden
Volkswirtschaften einen schier unstillbaren Bedarf an Informationen hätten. China nannte er jedoch nicht
explizit. 15 Obwohl keine eindeutigen Beweise vorliegen, ist davon auszugehen, dass die Angriffe
staatsgesponsert sind und systematisch gegen kritische Infrastrukturen, Regierungssysteme und die Privatwirtschaft westlicher Staaten betrieben werden.
Die am häufigsten beschriebene Vorgehensweise der Angreifer (Social Engineering und Einsatz von gezielt programmierten Trojanischen Pferden), Empfehlungen von MELANI zur Bekämpfung der Angriffe
sowie eine Einschätzung der künftigen Bedrohungslage sind in Kapitel 2 und 3 zu finden. Auch wenn noch
keine Informationen über ähnliche Vorkommnisse in der Schweiz vorliegen, gibt es nach Einschätzung von
MELANI keinen Grund anzunehmen, die Schweiz sei als mögliches Spionageziel anderer Staaten oder Organisationen auszuschliessen. Die Bedrohung ist als ernst einzustufen.
Wurmkrieg zwischen Zotob, Bozori und IRCbot zwecks Schaffung eines Botnetzes –
Verhaftungen geben Einblick in Hackerszene
Kurz nachdem Microsoft am 9. August neue Updates veröffentlicht und dadurch eine bestehende Sicherheitslücke im Plug and Play Service für Windows 2000 bekannt gemacht hatte, wurde diese Schwachstelle
ausgenutzt. Verschiedene, insbesondere US-amerikanische Unternehmen, wie beispielsweise CNN, ABC,
New York Times, Disney, Kraft Foods, United Parcel oder der Baumaschinenunternehmer Caterpillar, waren
13
Die ausführlichsten Presseinformationen lieferte “Time”:
http://www.time.com/time/archive/preview/0,10987,1098961,00.html (Stand: 25.1.2006).
14
U.S. Department of Defense, Office of the Secretary of Defense, ANNUAL REPORT TO CONGRESS: The
Military Power of the People’s Republic of China 2005, S. 36, erhältlich unter:
http://www.dod.mil/news/Jul2005/d20050719china.pdf (Stand: 25.1.2006).
15
http://news.zdnet.co.uk/0,39020330,39237451,00.htm (Stand: 25.1.2006). Siehe dazu auch Kapitel 5.4.
- 18 -
innert kürzester Zeit von der nachfolgenden ÆWurmwelle betroffen. Nach der Infektion lud der über ÆIRC
kontrollierte ÆBot weitere ÆMalware nach.
Innert weniger Tage konnte ein eigentlicher „Krieg“ zwischen verschiedenen Varianten des Schädlings
beobachtet werden: Zotob, IRCBot, Bozori usw. versuchten sich gegenseitig auszustechen. Die Würmer
versuchten nicht nur, möglichst viele Computersysteme zu ÆBotnetz-Zombies zu machen, sondern auch, sich
gegenseitig zu deinstallieren. Besonders bemerkenswert ist die Geschwindigkeit, mit der Schädlinge die Sicherheitslücke ausnutzten. Einen Tag nach Bekanntwerden der Sicherheitslücke tauchte bereits der ÆExploitCode aus derselben russischen Quelle auf wie bereits derjenige für Sasser im Jahr 2004. Vier Tage später
wurde die erste Zotob-Variante entdeckt.
Am 25. August konnten von lokalen Behörden in enger Zusammenarbeit mit dem FBI und Microsoft der
türkische Staatsbürger Atilla Ekici („Coder“, 21) und der in Russland geborene Marokkaner Farid Essebar
(„Diabl0“, 18) als Urheber der Wurmwelle identifiziert und verhaftet werden. Offenbar wurde Essebar von
Ekici für die Entwicklung von Zotob, dem weit verbreiteten Mydoom und auch Mytob, einem per Mail propagierenden Schädling, der bereits seit Februar 2005 mit über 100 Varianten in Umlauf war, bezahlt. Weniger bekannte Schädlinge waren ebenfalls von Essebar entwickelt worden. Die beiden gehörten einem
grösseren Ring von Kreditkartenbetrügern, dem „0x90-Team“ an. Wenige Tage später verhafteten türkische
Behörden sechzehn weitere verdächtige 0x90-Team-Mitglieder, die offenbar ebenfalls Varianten von
Essebars Würmern verbreitet hatten. Motiv für die Angriffe war kommerzielles Interesse: Die infizierten
Maschinen bildeten ein Botnetz, mit dem anschliessend verschiedene gewinnbringende Aktivitäten durchgeführt werden konnten – im Fall der verhafteten Kreditkartenbetrüger war das Hauptinteresse das Sammeln
von Kreditkarteninformationen privater PC-Nutzer zwecks Fälschung von Kreditkarten.
Viele Unternehmen setzen noch immer Windows 2000 ein. In der Regel werden bei Firmen Sicherheitsupdates erst nach umfangreichen Kompatibilitätstests eingespielt, so dass die hier ausgenutzte Lücke noch
bestand, als die Wurmwelle begann. Die Abwägung zwischen Sicherheitsüberlegungen (möglichst rasches
Einspielen des Updates) und der Kontinuität von Geschäftsabläufen (Verhindern eines Zusammenbruchs der
Verfügbarkeit nach Einspielen eines ungetesteten Updates) ist oft sehr schwierig. Zudem illustriert dieser
Zwischenfall die Wichtigkeit einer umfassenden IT-Sicherheits-Planung für Unternehmen. Selbst Firewallgeschützte Systeme, die von aussen her auch ungepatcht nicht angreifbar waren, konnten dennoch kompromittiert werden. Das Anschliessen eines mitgebrachten, verseuchten Notebooks an das Netzwerk reichte bereits aus, um alle verwundbaren Computer im Firewall-geschützten Netzwerk zu infizieren (siehe dazu auch
Kapitel 6.2, Network Admission Control).
Dieser Vorfall illustriert die in Kapitel 3.3 ausgeführten Absichten, Motive und Vorgehensweisen der
immer professioneller agierenden Cyberkriminellen. Dank geteilter Arbeit und stetig zunehmender Professionalität werden die Angreifer immer effizienter und erzielen immer grössere finanzielle Gewinne (siehe dazu
auch Kapitel 5.3: Verhaftungen von Botnetzbesitzern in den Niederlanden und den USA).
Sober-Wurm: Klassentreffen, FBI / BKA-Täuschmails und rechtsradikaler Spam
Auch wenn 2005 ÆMassenmail-Viren und ÆWurm-Infektionen abnahmen (siehe Kapitel 2.4 und 3.3),
ereigneten sich einige grosse Virenausbrüche, von denen die Sober-Welle von Oktober bis Dezember die am
weitesten verbreitete aller Zeiten darstellte.
Am 6. Oktober war eine neue Variante des bereits seit Oktober 2003 bekannten Massenmail-Virus Sober
aufgetaucht, die im Verlauf der folgenden Wochen mehrmals aktualisiert wurde. Die erste Mailwelle mit
Sober.S im Anhang beinhaltete die angebliche Nachricht einer Klassenkameradin, sie suche Adressen für
eine Zusammenkunft. Wer das Attachment ausführte, infizierte sein System mit Sober. Lautete die
Länderdomain der E-Mail-Adresse auf ein englischsprachiges Land, teilte Sober auf Englisch einen
angeblichen Passwortwechsel mit. Mitte November tauchten neue Versionen auf, die vorgaben, eine
versehentlich empfangene Mail weiterzuvermitteln, die eigentlich für das Opfer bestimmt gewesen wäre.
Grosse Verbreitung erreichten jedoch erst gegen Ende November aufgetauchte Versionen (Sober.Y /
Sober.Z), die im Mailtext vorgaben, vom deutschen Bundeskriminalamt zu stammen. Dem Opfer wurde
vorgegaukelt, es habe wegen illegalen Downloads von Musik, Filmen oder Software mit einer
Strafverfolgung zu rechnen. Im englischen Raum gelangte dieselbe Variante in einer angeblich vom FBI
stammenden Mail in Umlauf. Auch Gewinnversprechungen von RTL oder Zugang zu Videoclips von Paris
Hilton wurden im Virenmail angepriesen. Wie weit verbreitet der Virus war, zeigt die Tatsache, dass auf den
- 19 -
FBI-Mailservern 200'000 Mails pro Stunde eingingen, die an den vermeintlichen Absender zurückgesandt
wurden, nachdem sie nicht hatten zugestellt werden können.
Sober verschickt sich selbständig an alle Kontakte im Adressbuch des Opfers. Zudem ist Sober in der
Lage, zusätzlichen Schadcode nachzuladen und kann damit jederzeit mit zusätzlichen Funktionen (z.B. Spionagesoftware zum Diebstahl persönlicher Daten, Spam-Versand, Teilnahme an ÆDDoS-Attacken etc.)
ausgestattet werden.
Die Sicherheitsdienstleister iDefense und F-Secure, die den Code von Sober analysiert hatten, warnten
Anfang Dezember zudem, dass die ab dem 22. November verteilte Sober-Version am 5. Januar 2006 weiteren Schadcode nachladen und für den Versand rechtsradikaler Nazi-Propaganda-Mails missbrauchen würde.
Am 5. Januar 1919 war die Deutsche Arbeiter Partei (DAP) gegründet worden, die ihren Namen bald in
NSDAP umbenannte. Zudem war der Sober-Virus schon zuvor einige Male als Urheber für den Versand von
rechtsradikalen Spam-Mails aufgefallen (siehe Kapitel 5.2 des MELANI Halbjahresberichts 2005/I). Aufgrund weit verbreiteter Warnungen und Blockierungsmassnahmen verzichtete der vermutlich deutsche
Sober-Autor offenbar am 5. Januar auf den Download zusätzlicher Schadsoftware.
Die grosse Verbreitung dieses Massenmail-Virus ist nicht etwa auf einen besonders raffinierten Code zurückzuführen, sondern auf sehr geschickt eingesetzte ÆSocial-Engineering-Techniken. Dabei versucht der
Angreifer, das Opfer unter Ausnutzung seiner Neugierde oder seiner Hilfsbereitschaft zu einer Aktion zu
bewegen. Im Fall des Sober-Virus war diese Aktion das Anklicken des Attachments. Diese Methode wird
beispielsweise auch für gezielte Spionage eingesetzt und verspricht, wie Sober demonstriert, bei geschickter
Durchführung grossen Erfolg. Eine Übersicht über die bisherigen Sober-Varianten ist zu finden unter:
http://www.computerworld.com/securitytopics/security/story/0,10801,107483,00.html.
Kritische Lücken in Windows-Systemen rasch ausgenutzt: WMF 0-day-exploit
Ende Dezember 2005 wurde ein ÆExploit-Code entdeckt, der offenbar bereits seit Anfang Dezember 2005
kursiert war. Durch eine Sicherheitslücke bei der Verarbeitung von WMF-Bilddateien in Windows-Systemen
konnte über den Æ0-day-Exploit Schadcode eingeschleust, ausgeführt und so die Kontrolle über das System
übernommen werden. Wer mit dem Internet Explorer Webseiten besuchte, die ein präpariertes WMF-Bild
enthielten, dessen System wurde aufgrund der automatischen Darstellung des WMF-Bildes in der Windows
Bild- und Faxanzeige infiziert. Nutzer anderer Browser mussten zunächst noch eine Bestätigung anklicken,
damit die Infektion erfolgen konnte. Allein die Indexierung eines infizierten Bildes mit einer DesktopSearch-Software oder dessen Vorschau-Ansicht im Windows Explorer reichten ebenfalls für eine Infektion
aus. Nach der Infektion konnte der Angreifer beliebig weiteren Schadcode nachladen. Innert weniger Tage
tauchten Dutzende neuer Exploit-Versionen für die WMF-Lücke in Form von Grusskarten, E-Mails, ÆInstant
Messaging Nachrichten oder präparierten Webseiten auf. Der WMF-Exploit wurde gar für einen erfolglosen,
vermutlich chinesischen Spionageangriff gegen britische Parlamentarier eingesetzt, indem ihnen gezielt
Mails zugeschickt wurden, die präparierte Bilder als Attachment enthielten (siehe weiter oben: Titan-RainArtikel). Aufgrund der zahlreichen Versionen waren Antiviren-Programme nicht in der Lage, zuverlässigen
Schutz zu bieten. Bis zum (frühzeitigen) Update-Release von Microsoft am 5. Januar 2006 gab es keine
befriedigende Lösung zur Behebung des Infektionsrisikos. Die Einspielung eines in der Zwischenzeit von
einem IT-Security-Experten entwickelten Patches stellte ebenfalls ein potenzielles Risiko dar, da dieser nicht
die sonst typischen Tests hinter sich hatte und daher selbst zu Problemen führen könnte.
Auch wenn die Sicherheitslücke nicht automatisiert ausgenutzt werden konnte (wie beispielsweise bei
Würmern), sondern Aktionen von Benutzerseite verlangte (Besuch einer Webseite, Anklicken eines E-MailAttachments etc.), stellte sie eine kritische Bedrohung dar. Die Geschwindigkeit, mit der von Cyberkriminellen auf die Sicherheitslücken reagiert wurde und mit der Varianten des Exploit-Codes auftauchten, ist
zudem ein gutes Beispiel für die stark gestiegene Professionalität der Angreifer (siehe Kapitel 3). Angeblich
wurde der WMF-Exploit gar für 4000 US$ im Internet zum Verkauf angeboten. Bemerkenswert ist zudem
der Fakt, dass der WMF-Exploit bis zum Auftauchen der ersten aktiven Schädlinge gänzlich unbekannt war,
was der Tatsache entspricht, dass weitere, unbekannte Lücken im Internet bereits aktiv ausgenützt werden.
- 20 -
IM Gefahren: Würmer mit Rootkit-Kapazitäten und Sprachfähigkeiten
ÆInstant Messaging (IM) stellt eine aufkommende Gefahr für Firmen und Heimanwender dar (siehe auch
Kapitel 2.4), wie Schwachstellen in und Angriffe über IM zeigten. Betroffen waren im zweiten Halbjahr
2005 fast alle populären IM-Dienste, wie diejenigen von Microsoft, Yahoo oder America Online (AOL).
Nicht nur der WMF-Exploit (siehe oben) wurde unter anderem über IM verteilt, sondern auch andere ÆMalware-Arten.
Ende August tauchte in Microsofts MSN-IM-Netzwerk ein neuer „smarter“ ÆWurm auf, der erstmals in
der Lage war, seine Sprache an diejenige des Nutzers anzupassen. Kelvir.HI kommunizierte auf Holländisch,
Englisch, Französisch, Deutsch, Griechisch, Portugiesisch, Schwedisch, Spanisch oder Türkisch. Klickte das
Opfer den in der IM-Nachricht angegeben Link an, wurde ein Programm auf dem System installiert, der das
System der Kontrolle des Angreifers übergab.
Ende Oktober war AOLs AIM-Netzwerk betroffen: Von einem infizierten Bekannten, der bereits auf der
Buddylist steht, erhielt das Opfer eine Nachricht mit einem Link zu einer URL. Wer den Link anklickte,
dessen System wurde mit Malware infiziert, die erstmals für IM mit ÆRootkit-ähnlichen Techniken versehen
war.
Ein weiterer IM-Schädling wurde Anfang Dezember entdeckt: Über AOLs AIM-Netz wurde ein ÆBot
verteilt, der aktiv mit dem Opfer kommunizieren konnte. Über einen bereits in der Buddylist eingetragenen
(infizierten) Bekannten erhielten die Opfer einen Link, über den die Infektion mit dem Schadcode dann
erfolgte. Das Ungewöhnliche an diesem Schädling war der Umstand, dass er mit Sätzen wie „lol no its not a
virus“ oder „lol thats cool“ antwortete und so dem Opfer vorgaukelte, tatsächlich mit dem Bekannten der
Buddylist zu kommunizieren. Auch dieser Schadcode erlaubte dem Angreifer die Kontrolle über den
infizierten PC.
Wie sich Computernutzer vor IM-Gefahren schützen können, wird in Kapitel 6.1 erläutert.
5.3
Kriminalität
Phishing: Weit verbreitet
ÆPhishing war auch in der zweiten Jahreshälfte 2005 eine der grössten Cyberkriminalitäts-Bedrohungen.
In Deutschland beispielsweise gerieten nicht nur Postbankkunden ins Visier der Phisher, sondern auch
Kunden der Sparkassen und der Deutschen Bank. Auch ein ÆTrojanisches Pferd, das zunächst AntivirenSoftware deaktivierte und danach Tastatureingaben loggte, wurde mit gefälschten Telecom-Mails als
angebliche „Rechnung“ verschickt. Über das Wochenende vom 17. und 18. September verzeichnete der
Sicherheitsdienstleister Websense Angriffe auf Kunden von über 24 europäische Banken, vorwiegend in
Italien und Spanien. Die grösste schwedische Bank, die Nordea-Bank, sah sich Anfang Oktober wegen einer
Phishingwelle gar dazu gezwungen, ihr Online-Banking-Portal einen Tag lang offline zu nehmen.
Die Bezifferung der entstandenen Schäden ist schwierig vorzunehmen, da viele Verluste den Behörden
gar nicht bekannt sind. Wie das deutsche Nachrichtenmagazin Focus im Oktober berichtete, bearbeiteten
deutsche Landeskriminalämter über 1000 Fälle, in denen Kunden geschädigt worden sind. Der geschätzte
Schaden in Deutschland beläuft sich gemäss Focus auf etwa 4,5 Mio. EUR, wobei dies eine zurückhaltende
Schätzung sein dürfte. In der Schweiz liegen die Schäden jedoch massiv tiefer.
Auch wenn gewisse Fahndungserfolge zu verzeichnen sind, wie beispielsweise Berichte über Verhaftungen in Estland oder die abnehmende Online-Zeit einer Phishing-Webseite von über einer Woche vor einem
Jahr auf inzwischen 5,3 Tage, ist Phishing ein lohnendes Geschäft für Cyberkriminelle. 16 Jedenfalls bemühen
sie sich immer mehr, ihre Betrugsmails in andere Sprachen zu übersetzen – einer der Hauptgründe dafür, dass
sich Phishing auch in nicht englischsprachigen Regionen immer mehr ausbreitet, so auch in der Schweiz.
16
Zu den Verhaftungen in Estland, siehe: http://www.bka.de/pressemitteilungen/2005/pm141105.html;
aktuelle Phishing-Statistiken bietet die Anti-Phishing Working Group:
http://antiphishing.org/reports/apwg_report_Nov2005_FINAL.pdf (Stand für beide: 26.1.2006).
- 21 -
Für eine Einschätzung der Bedrohungslage durch Phishing und erwartete Tendenzen, siehe Kapitel 2.2
und 3.4. Kapitel 4.3 beschäftigt sich mit Phishing-Vorfällen in der Schweiz, während in Kapitel 6.3 präventive Informationen zur Phishing-Bekämpfung zu finden sind.
Verhaftung von Botnetzbesitzern in den Niederlanden und den USA: Ein Einblick in die Botnetz-Szene
Verhaftungen von ÆBotnetzbesitzern in den Niederlanden und in Kalifornien zeigen auf, in welcher Form
Cyberkriminelle Botnetze einsetzen und dass die im letzten Halbjahresbericht gemachten Einschätzungen
einer Zunahme von Erpressungen mit Botnetzen sich bewahrheiten.
Anfang Oktober verhafteten niederländische Behörden einen 19-jährigen Botnetzbesitzer und zwei seiner
Komplizen (22- und 27-jährig). Die drei stellten sich eine Armee von über 1,5 Millionen Botnetz-Zombies
zusammen, indem sie W32.Toxbot (eine Eigenvariante des öffentlich erhältlichen SDBot) einsetzten. Das
Botnetz wurde gleich für mehrere Zwecke genutzt: Toxbot ist in der Lage, Tastatureingaben aufzuzeichnen
und an den Angreifer weiterzugeben, so dass Login-Daten ausspioniert werden konnten. Diese Informationen
nutzten die Beschuldigten für den Einkauf bei eBay und PayPal unter fremdem Namen. Schliesslich erpressten sie den US-amerikanischen AdWare-Hersteller 180solutions unter Androhung einer ÆDDoS-Attacke.
180solutions baut sein Geschäft auf Dritten auf, die ÆAdWare von 180solutions mit eigener Software
verbinden und dann für jede installierte Version eine Gebühr erhalten. Durch die (illegale) Installation von
180solutions-AdWare auf den kompromittierten Rechnern erhielten die Botnetzbesitzer regelmässig Geld,
bis 180solutions im August 2005 verschiedene Klagen gegen illegal vorgehende Vertragsnehmer einreichte
und auch die niederländischen Botnetzbesitzer von künftigen Zahlungen ausschloss. Als Reaktion auf diese
Entwicklung verlangten die Botnetzbesitzer nach einer DDoS-Attacke von 180solutions Geld. Auf Anraten
des FBI bezahlte das Unternehmen und das FBI konnte die so ermittelten Kontodaten an niederländische
Strafverfolgungsbehörden weiterleiten. Diesen war das Botnetz dank der bereits erfolgten Entdeckung durch
den Provider XS4All bekannt, so dass die Betreiber in Zusammenarbeit des holländischen ÆCERT und des
National High Tech Crime Unit verhaftet werden konnten.
Auch der Anfang November verhaftete 20-jährige Kalifornier Jeanson James Ancheta stellte sich ein
etwa 400'000 Zombies umfassendes Botnetz zusammen und versuchte, dieses via ÆIRC-Chat für Spam-Versand oder DDoS-Attacken zu vermieten. Ancheta hat durch illegale AdWare-Installation etwa 60'000 US$
verdient, mit der Vermietung an Spammer 3'000 US$.
Eine Einschätzung der Gefährdungslage durch Botnetze ist in den Kapiteln 2.3 und 3.2 zu finden.
5.4
Terrorismus
Was Terroristen mit ICT-Technologien machen:
„Virtuelles Afghanistan“: Training/Propaganda für Djihadisten erfolgt nun online
Vermehrt wird in letzter Zeit über die dubiose Gefahr des „Cyberterrorismus“ diskutiert, weshalb MELANI
an dieser Stelle eine Einschätzung der Bedrohungslage vornimmt. Dieser erste Teil befasst sich mit der
Frage, inwiefern das Internet von Terroristen genutzt wird. Der zweite Teil weiter unten beurteilt die Gefahr
eines cyberterroristischen Anschlages und zieht ein Fazit.
Die Zahl djihad-bezogener Webseiten hatte sich bereits nach dem 11. September 2001 massiv erhöht –
doch seit der Veröffentlichung des Videos mit der Enthauptung des US-Amerikaners Nicholas Berg durch
die irakische Terrorgruppe Abu Musab al-Zarqawis am 11. Mai 2004 entwickelte sich online eine
professionelle Rekrutierungs-, Propaganda- und Schulungs-Maschinerie der Djihadisten. Während vor acht
Jahren einige wenige Webseiten bekannt waren, werden heute über 4'700 gezählt, die ständig umgezogen
werden, Inhalte untereinander neu austauschen, aufeinander verlinken und so nur schwer überwachbar, geschweige denn unterbrechbar, sind. 17
17
Einer der bedeutendsten Forscher in diesem Gebiet ist Prof. Gabriel Heimann von der Universität Haifa in
Israel: http://soc.haifa.ac.il/~rsso343/ (Stand: 27.1.2006).
- 22 -
Al-Zarqawis Terrorgruppe verteilt seit Mai 2004 systematisch Filme und Propaganda-Material mit detaillierten Informationen zu ihren Aktionen im Irak. Am 29. Juni 2005 wurde beispielsweise ein 46-minütiges,
professionell produziertes Video auf mehreren Djihadisten-Foren verlinkt, das den Kampf der Gruppe zeigt.
Mehrere mündliche und schriftliche Botschaften tauchen täglich auf, einmal monatlich wird ein Magazin
produziert. Auf einem anderen Forum erläutert ein halbstündiger Film detailliert den Bau von
Sprengstoffgürteln. Das Filmen von Attentaten im Irak ist zum integralen Bestandteil der militanten Aktionen
geworden. Meist nur wenige Stunden nach einem Attentat ist der zugehörige Film im Internet verfügbar. Im
dritten erschienenen Online-Magazin al-Zarqawis wird erläutert, worum es geht: Informationskrieg gegen die
Ungläubigen. Ein Attentat ohne anschliessende Veröffentlichung, wird erklärt, sei kaum etwas wert. Seit dem
Oktober 2005 unterhalten Al Qaida-Kreise gar eine Art Terror-TV. Die „Stimme des Kalifats“, jeweils eine
gute Viertelstunde lang, ist bereits zweimal erschienen und berichtet aus der Sicht Al Qaidas über Weltgeschehnisse, wie zum Beispiel den Wirbelsturm Katrina, der als Soldat Gottes bezeichnet wurde. Dank dem
Einsatz von Logos, filmischen Beiträgen und Musik-Jingles wirkt die Sendung äusserst professionell. Dass
der Webmaster al-Zarqawis, Abu Dijana, Ende Oktober von den Amerikanern verhaftet wurde, dürfte am
professionellen Webauftritt der Terroristengruppe wenig ändern.
Über ein Forum wurde Anfang August auch zu einem intensivierten elektronischen Djihad aufgerufen
und ÆKeylogging Software, Tools zur Verschleierung der eigenen ÆIP-Adresse, Listen von ÆProxyservern
für die anonyme Internet-Nutzung sowie Tools zum Angriff auf Webseiten oder zur Datenzerstörung in
gehackten Systemen angeboten. In der zweiten Jahreshälfte 2005 wurden Online-Foren dieser Art auch in
Europa entdeckt (siehe für entdeckte Foren in der Schweiz Kapitel 4.4). Im deutschen Erfurt wurde beispielsweise eine Internetsite entdeckt, über die Anleitungen für den Bau von Bomben, Raketen oder den
Aufbau einer Terrorzelle verbreitet wurden.
Sowohl Suizid-Attentäter im Irak, als auch Djihadisten in Europa, Ägypten und anderen Ländern nutzen
das Internet intensiv für Ausbildungszwecke, um taktische Informationen zu beziehen und zu verbreiten, für
die Rekrutierung neuer Attentäter, zur Beschaffung von Geldmitteln sowie zu allgemeinen Kommunikationszwecken. Das Ziel, so scheint es, ist bereits erreicht: Ersatz für die nach dem 11. September ausgefallene
logistische Terrordrehscheibe Afghanistan wurde in der virtuellen Welt des Internets gefunden. Eine massive,
dynamische Online-Bibliothek liefert beispielsweise detaillierte Informationen, wie Rizin einzusetzen sei,
wie aus in der Drogerie erhältlichen Chemikalien Bomben herzustellen sind oder auf welchem Weg man via
Syrien am besten unerkannt in den Irak einreisen kann, um am Djihad teilnehmen zu können. Auch ausführliche Bauanleitungen für biologische Bomben (z.B. wie man in Ratten Viren züchten kann) oder Hintergrundinformationen zu nuklearen Sprengsätzen und Trägersystemen, im Oktober 2005 entdeckt, werden über
islamistische Foren verteilt.
Experten bezeichnen Al Qaida daher inzwischen als webausgerichtetes Phänomen. So gehen sie beispielsweise davon aus, dass die Verhandlungen zwischen al-Zarqawi und Bin Ladin zur „Beförderung“ der
Terrororganisation al-Zarqawis zum „Al Qaida Committee for Jihad in the Land of the Two Rivers“ fast ausschliesslich online erfolgten. Ähnlich wie in anderen Internet-Communities, wie beispielsweise für OnlineRollenspieler, Personen auf Partnersuche oder Modelleisenbahnsammler, verbreiten die Online-Djihadisten
Ideen, Konzepte, Anleitungen und Tipps für den Djihad und wachsen zu einer Gemeinschaft zusammen, die
ohne das Internet niemals in dieser Form zusammengefunden hätte. 18
Was Terroristen mit ICT-Technologien nicht machen:
Debatte um Gefahr des Cyber-Terror
Im letzten Abschnitt wurde die Nutzungsweise des Internets durch Terroristen analysiert, an dieser Stelle
wird eine Einschätzung der Cyberterrorismusgefahr vorgenommen. Insbesondere in den USA wird seit längerem eine Debatte um diese Frage geführt (siehe auch den Halbjahresbericht 2005/I), die auch in der zweiten Hälfte 2005 nicht an Impetus verloren hat.
So meinte beispielsweise ein Akademiker der Monash University anlässlich einer Informationskriegsführungs- und Sicherheits-Konferenz Ende November, es sei eine reine Frage der Zeit bis zu einem Internetgestützten Terrorangriff gegen die USA oder einen anderen westlichen Staat. Daher schlug er Kriterien zur
18
Eine Übersicht über Djihadisten-Foren im Internet ist zu finden unter:
http://www.haganah.org.il/haganah/index.html (Stand: 27.1.2006).
- 23 -
Identifizierung von Cyberterror-Angriffen vor: Politische Motivation, terroristische Führer mit fortgeschrittenen Kenntnissen in den Informations- und Kommunikations-Technologien (IKT), Zugang zu neuster IKT,
fortgeschrittene Kenntnisse über ÆSCADA-Systeme, terroristische Insider innerhalb der zum Ziel gewählten
Organisation und finanzielle Unterstützung machten seine Kriterienliste aus.
In einer Rede Ende November in London äusserte sich Roger Cummings, Direktor des britischen National Infrastructure Security Co-ordination Centre (NISCC), jedoch zurückhaltender. Er meinte, Terroristen
hätten geringe Kapazitäten in diesem Bereich und stellten daher für die Ækritischen nationalen
Infrastrukturen die geringste Bedrohung dar. Als deutlich riskanter schätzte er die Bedrohung durch
Cyberkriminelle ein, welche die kritischen nationalen Infrastrukturen ausspionieren, um anschliessend die
Informationen zu verkaufen. Die grösste Bedrohung hingegen ortete er in gezielten Social Engineering
Angriffen mit dezidierten Trojanischen Pferden, ausgehend von Staaten im fernen Osten, womit er zweifellos
auf China anspielte: „Foreign states are probing the CNI [Critical National Infrastructure] for information.“ 19
Die Gefahr des Cyberterrorismus hielt Cummings daher für „over-hyped“, genauso wie der bekannte Kryptologie- und Sicherheitsexperte Bruce Schneier, der den Cyberterror-Hype im staatlichen Interesse am Krieg
gegen den Terror begründet sieht. Auch Schneier ist davon überzeugt, das die cyberkriminelle Bedrohung
viel grösser sei. 20 Anfang Dezember schliesslich äusserte sich auch Louis Riegel, FBI Assistant Director und
Leiter der Cyber Division des FBI, ähnlich und meinte, weder Al Qaida noch eine andere militante
Terrororganisation sei in der Lage, Kraftwerke, Flughäfen oder andere kritische Infrastrukturen über das
Internet anzugreifen. Gleichzeitig seien ihm auch keinerlei derartige Pläne von Terroristen bekannt. Auch er
machte in fremden Regierungen eine viel grössere Bedrohung für die kritischen Infrastrukturen aus. 21
Die Einschätzung von MELANI schliesst sich den Ansichten des NISCC und des FBI an: Cyberterror ist
eher ein Medienschlagwort und keine aktuelle Bedrohung für kritische nationale Infrastrukturen, weder in der
Schweiz noch im Ausland. Die meisten für den Betrieb kritischer Infrastrukturen eingesetzten Steuerungssysteme (ÆSCADA-Systeme) sind proprietär, weshalb für einen Angriff Insiderkenntnisse nötig wären, über
die terroristische Organisationen wohl (noch) nicht verfügen. Zudem könnten die meisten dieser Systeme im
Notfall auch manuell gesteuert werden. Und selbst falls Terroristen solche Systeme manipulieren könnten,
würde dies schnell entdeckt und eine hohe Anzahl Opfer wäre höchst unwahrscheinlich. Da terroristische
Organisationen ihre Aktionen bewusst so auswählen, dass möglichst viel Angst und Schrecken verbreitet
wird, nimmt die cyberterroristische Bedrohung zusätzlich ab.
Im letzten Abschnitt wurde analysiert, wie Terroristen das Internet für Propaganda, Rekrutierung, Ausbildung und Kommunikation nützen – diese Funktionen des Internets sind für Terrororganisationen viel zu
wichtig, als dass sie das Internet durch eigene Aktionen gefährden würden. Falls terroristische Akte im Zusammenhang mit dem Internet auftreten sollten, wäre dies eher in Kombination mit einem physischen
Angriff zu erwarten. So wäre denkbar, dass nach einem Bombenattentat die Kommunikation der
Rettungskräfte mit einem Cyberangriff eingeschränkt werden könnte. Oder Terroristen, wie ein Vertreter der
chemischen Industrie der USA befürchtete, könnten sich durch Internetangriffe Informationen über Lagerorte
oder Lieferungen von Chemikalien beschaffen, die sie dann für die illegale Beschaffungen dieser
Chemikalien nützen könnten. 22
Zusammenfassend kann also festgehalten werden, dass Terroristen das Internet intensiv nützen, es als
Terror-Instrument jedoch (noch) nicht einsetzen können. Viel die grössere Bedrohung für das Internet und
von ihm abhängige Infrastrukturen stellen Cyberkriminelle und Industriespione dar. Dennoch sollte man aber
die Gefahr des Cyberterrorismus im Auge behalten: Kritische Informationsinfrastrukturen sind inhärent unsicher (siehe dazu Kapitel 7.1, US-Cybersecurity-Bemühungen) und es ist durchaus denkbar, dass Terrororganisationen eines Tages in der Lage sein werden, dies für Anschläge auszunützen. Schliesslich machte sich in
den vergangenen Jahren auch das organisierte Verbrechen immer mehr professionelle Hacker zu Nutzen –
und deren Know-how könnte künftig auch von Terroristen vermehrt erworben werden. Im Bereich des Waf19
Zitiert nach einem ZDnet-Artikel: http://news.zdnet.co.uk/0,39020330,39237451,00.htm (Stand: 30.1.2006).
Siehe dazu auch Kapitel 5.2 (Titan Rain).
20
Siehe: http://news.zdnet.co.uk/internet/security/0,39020375,39237490,00.htm (Stand: 30.1.2006).
21
Siehe: http://www.computerworld.com/industrytopics/energy/story/0,10801,106923,00.html
(Stand: 30.1.2006).
22
Siehe: http://www.heise.de/newsticker/meldung/64031 (Stand: 30.1.2006).
- 24 -
fenschmuggels, des Drogenhandels und der allgemeinen Finanzmittelbeschaffung ist der Link zwischen der
organisierten Kriminalität und dem Terrorismus bereits Wirklichkeit.
Deutschland: Neue Bundesregierung setzt rot-grüne Anti-Terror-Strategie fort
Anfang November legten sich die Union und die SPD auf die Leitlinien zur Innenpolitik fest, die unter anderem auch der Bekämpfung des Terrorismus höchste Priorität einräumten.
Der wichtigste Punkt in der Strategie der neuen Regierung ist die rasche Realisierung einer gemeinsamen
Antiterrordatei für den Informationsaustausch zwischen Polizei und Nachrichtendiensten. Zudem soll das
Bundeskriminalamt (BKA) Präventivbefugnisse zur Abwehr des internationalen Terrorismus erhalten und
dadurch verdeckter vorgehen können als bisher. Auch die von der alten Regierung vorgesehene Einführung
biometrischer Ausweisdokumente wird beibehalten. Zum Schutz der Ækritischen Infrastrukturen in Deutschland beabsichtigt die grosse Koalition, den im Sommer publizierten rot-grünen „Nationalen Plan zum Schutz
der Infrastrukturen“ umzusetzen (siehe dazu Kapitel 7.1). Ausserdem soll eine enge Kooperation zwischen
Staat und Privatwirtschaft realisiert werden, um die Bekämpfung krimineller Aktivitäten im Internet effizienter werden zu lassen. Ebenfalls als zentral für die nationale Antiterror-Strategie wurde die Umsetzung der
von der EU vorgegebenen Richtlinien zur Telekommunikationsdaten-Speicherung bezeichnet (siehe Kapitel
7.1). Die grosse Koalition plant, Telekommunikationsdaten während sechs Monaten aufzubewahren und setzt
damit die gleichen Standards wie in der Schweiz.
- 25 -
6
Prävention
6.1
Software
Microsoft investiert in Sicherheit
Im letzten Halbjahr präsentierte Microsoft neue oder überarbeitete Sicherheitsprogramme. Unter anderem
stellte das Unternehmen die Version 2.0 des Microsoft Baseline Security Analyzers (MBSA) zur Verfügung.
Dieses Tool soll sicherheitsrelevante Fehlkonfigurationen in Windows und weiteren Microsoft-Produkten
aufspüren. Es überprüft zum Beispiel, ob alle aktuellen Sicherheits-Updates eingespielt sind. Der MBSA
läuft auf den Betriebssystemen Windows 2000, XP und Windows 2003. Er analysiert auch den Webserver
IIS in Version 5.0 und 6.0, den SQL Server 7.0 und 2000, den Internet Explorer ab Version 5.01 sowie Office
2000, 2002 and 2003. Der Scanner überprüft insbesondere auch die Sicherheits-Updates für Office XP und
gibt Bewertungen ab, wie schwerwiegend ermittelte Sicherheitsprobleme sind.
Nachdem Microsoft vor zwei Jahren die rumänische Antiviren-Software GeCad gekauft hat, veröffentlicht Microsoft nun „Windows One Care Live“. Die Beta Version ist kostenlos. Die endgültige Version wird
aber wahrscheinlich für eine monatliche Gebühr angeboten werden. Diese kombiniert Anti-ÆSpyware- mit
Antiviren-Software und enthält eine ÆFirewall. Die Software ist Teil des neuen Internet Auftritts „Live“, 23
mit dem der Computer via Internet Explorer online auf mögliche Schädlinge oder Schwachstellen überprüft
werden kann. Nach dem Einstieg in das Antiviren-Business interessiert sich auch die EU-Kartellkommission
für Microsofts Pläne.
Auch reagiert Microsoft auf das zunehmende ÆPhishing-Problem und hat eine Anti-Phishing Toolbar,
die kostenlos heruntergeladen werden kann, zur Verfügung gestellt. Leider läuft diese momentan nur, wenn
auch die MSN Search Toolbar installiert ist. Der Internet Explorer 7, welcher im Verlaufe dieses Jahres
veröffentlicht werden soll, soll aber diesen Phishingschutz standardmässig implementiert haben. Weitere
Informationen zu Anti-Phishing-Tools anderer Anbieter finden sich in Kapitel 6.3.
Wirkungsvoller Schutz für den PC
Angreifer wie auch böswillige Software nutzen häufig Sicherheitslücken im Betriebssystem oder in Applikationen aus, die nach deren Ausnutzen das Ausführen von beliebigem Code ermöglichen. Dabei behelfen sich
Angreifer der Tatsache, dass sich bestimmte Funktionen des Betriebssystems oder der Applikation stets an
denselben Adressen im Speicher befinden (viele ÆWürmer der jüngeren Vergangenheit nutzten diese
Tatsache aus). Eine Art von möglichen Gegenmassnahmen adressiert dieses Problem, indem die Applikation
wie auch die von ihr benötigten Funktionen (Libraries) bei jedem Systemstart an zufällig gewählte
Speicheradressen geladen werden. Somit wird es für Angreifer oder Würmer viel schwieriger, beliebigen
Code auszuführen. Linux wie auch BSD-Systeme weisen solche Schutzmassnahmen bereits seit längerer Zeit
auf, für Windows-Systeme sind diese standardmässig jedoch noch nicht vorhanden.
WehnTrust ist ein host-basiertes Intrusion Prevention System für Windows, dass auf dem eben beschriebenen Prinzip basiert und für Privatanwender kostenlos erhältlich ist. 24
Instant Messaging sicher benutzen
Die von verschiedenen Firmen wie Microsoft oder AOL hergestellte ÆInstant Messaging (IM)-Software
findet starke Verbreitung. Der Nutzen dieser Programme liegt in der Einfachheit und Geschwindigkeit, mit
der die BenutzerInnen in Echtzeit miteinander kommunizieren und Daten austauschen können.
Die Verbreitung eines bösartigen Codes mittels IM birgt dieselben Gefahren wie die bisherigen
Verbreitungsmethoden per E-Mail. Bei einem auf IM basierten Angriff greift der Code direkt auf die
Adressliste zu und verschickt sich dann automatisch an alle Gesprächspartner, die online sind. Sobald sich
der ÆWurm verbreitet hat, wird der Kontakt, an den er sich verschickt hat, von der Liste gestrichen. Noch
23
http://www.live.com (Stand: 8.2.2006).
24
http://www.wehntrust.com (Stand: 8.2.2006).
- 26 -
leistungsstärkere Codes besitzen eine Verteilerliste infizierter BenutzerInnen, so dass sie im Voraus wissen,
an wen sie sich nicht verschicken müssen, weil die betreffende Adresse bereits infiziert ist.
Der Aspekt des ÆSocial Engineering spielt bei IM-basierten Angriffen eine wichtige Rolle. Obwohl in
vielen Fällen der Empfänger eine Handlung (Link anklicken, Bild herunterladen usw.) vornehmen muss,
damit sein Computer infiziert wird, kann dieses Hindernis via IM leicht überwunden werden, da die meisten
IM-Dienste den Zugang zum Benutzerprofil ermöglichen. Potenziell könnte Malware diese Information (z.B.
über Geschlecht, Alter, Berufsgattung oder sogar eine Fotografie) also ausnützen, um dem Opfer
vorzugaukeln, seine Kontaktperson habe die Nachricht absichtlich verschickt. Beispiele von IM-Attacken
sind in Kapitel 5.2 beschrieben.
Tipps im Umgang mit Chat und Instant Messaging:
http://www.melani.admin.ch/gefahren-schutz/schutz/00027/index.html?lang=de.
Entwicklung bei Sender ID / Domainkeys
Es kommt wieder Bewegung in die Diskussion um ein Standard-Authentifizierungsverfahren für E-Mails.
Nachdem die Verfahren der beiden konkurrierenden Techniken Sender Policy Framework (SPF) von Meng
Wong und Sender ID von Microsoft wegen zu grossen politischen und patentrechtlichen Auseinandersetzungen von der Internet Engineering Task Force (IETF) im Jahr 2004 vorerst auf Eis gelegt worden waren, hat
nun Microsoft eine neue Initiative bei der IETF eingereicht, was diese dazu gebracht hat, den Status des Verfahrens auf „versuchsweise genehmigt“ zu wechseln. Die IETF nimmt aber in ihrem Bericht keinerlei Stellung dazu, welcher Ansatz gegen Spam zu bevorzugen sei und warnt sogar vor wichtigen offenen Fragen,
wie zum Beispiel die der Weiterleitungsfunktion.
Aber auch andere Verfahren werden von der IETF berücksichtig und diskutiert. So wurde im August
2005 das neue Verfahren Domain Keys Identified Mail (DKIM) vorgestellt. Dieses beruht auf einer Kombination des von Yahoo entwickelten Domain Keys Systems und den von Cisco entwickelten Internet Identified Messages. Mit im Boot sind auch PGP und Sendmail. Das Projekt wird mittlerweile von verschiedenen
Firmen mitgetragen und unterstützt, wie zum Beispiel EearthLink, IBM, Microsoft oder AOL, wobei sich die
beiden letzteren auch für das Sender ID Verfahren einsetzen.
Bei der DKIM Methode muss die Mail nicht vom E-Mail-Client signiert werden, sondern vom E-Mail
Provider. Innerhalb einer Domäne wird so das Spammen nicht unterbunden und der Provider ist für eine
Überprüfung selbst verantwortlich. Dies dürfte aber gerade bei grossen Providern wie Hotmail oder GMX zu
erheblichen Problemen führen. Ausserdem unterbindet dieses Verfahren nicht Spam allgemein, sondern nur
Spam, der unter einer falschen Domain verschickt wird. Dies kann durchaus helfen, um zum Beispiel Phishing-Mails, die angeblich von einer Bank stammen, automatisch zu erkennen. Es hilft aber nicht, wenn der
Spammer sich immer neue Domänen mit den dazugehörigen DNS-Einträgen beschafft. Es wird daher schnell
klar, dass es keine alleinige Lösung geben wird, sondern dass verschiedene Methoden die verschiedenen
Teilprobleme ergänzend lösen müssen. Welche technischen Lösungen sich dabei durchsetzen werden, ist
deshalb noch offen.
6.2
Hardware
Neue Entwicklung bei Funknetzwerken
Durch die Erweiterung des ÆWLAN-Protokolls um die so genannten exakten Timestamps wird es möglich,
die Distanz des Laptops zum Access Point auf wenige Zentimeter genau zu bestimmen. Neben der
Möglichkeit zur Nutzung von Hotspots für eine sehr präzise Ortsbestimmung, kann die „Precision Location“
auch für Sicherheitsaspekte genutzt werden. Zusätzlich zu einer Verschlüsselung des Funkverkehrs durch
ÆWEP respektive ÆWPA, können so Angreifer, die ausserhalb der Wohnung auf den Accesspoint zugreifen,
erkannt und geblockt werden. Um nicht nur die Entfernung zum Hotspot zu errechnen, sondern die exakte
Position zu bestimmen, sind mehrere Access Points nötig.
Der Prozessorhersteller Intel experimentiert bereits an Technologien, mit denen sich über Drahtlosnetzwerke die genaue Position eines Empfängers bestimmen lassen. Intel will mit der neuen Technologie eine
Alternative zum Positionierungssystem GPS (Global Positioning System) entwickeln. Letzteres ist in InnenInformationssicherung: Lage in der Schweiz und international
- 27 -
städten nur schlecht brauchbar, da hohe Häuser die direkte Sichtverbindung zu Satelliten versperren. Die
Standortbestimmung per WLAN ist aber bereits heute möglich. Laut de.internet.com bietet das Start-UpUnternehmen Skyhook Wireless einen entsprechenden Dienst an. Dieser ermittelt die Position durch Messung der Signalstärke verschiedener Funknetze. So sei eine Identifikation auf mehrere Meter genau möglich,
und zwar auch in Gebäuden. Der Empfänger benötigt dabei nur ein herkömmliches WLAN-Modul und eine
spezielle Software.
Eine solche Standortbestimmung über die Drahtlostechnologie WLAN könnte auch eine Möglichkeit
bieten, bei einem Notruf die Position des Anrufenden zu ermitteln (siehe Notrufproblematik bei VoIP in
Kapitel 8).
Network Admission Control
Das Point-to-Point Protokoll (PPP) dürfte vielen noch aus der Zeit der Internet-Modemverbindungen bekannt
sein. Es wird vor allem für den Zugang zum Internet per Modemverbindung verwendet. Im Rahmen von PPP
werden verschiedene Authentifizierungsmethoden eingesetzt, darunter das Challenge Handshake
Authentification Protocol (CHAP) und das Password Authentification Protocol (PAP). Bevor überhaupt eine
Verbindung zum Netzwerk gewährt wird, wird dabei zuerst Benutzername und Passwort überprüft. Diese
Authentifizierungsmethode kann beliebig erweitert werden und es kann durchaus auch mehr als nur der
Benutzername und das Passwort in das Authentifizierungsschema aufgenommen werden. Das Extensible
Authentication Protocol (EAP) stellt viele verschiedene Authentifizierungs-Methoden, wie MD5-Challenge
oder One Time Passwörter, zur Verfügung. Auch andere Variablen können unter die
Authentifizierungskriterien fallen. Diese beinhalten beispielsweise die Überprüfung, ob der Rechner auf dem
neuesten Stand ist und alle Updates eingespielt sind oder ob eine aktuelle Virensoftware eingesetzt wird. Die
Überprüfung der Zugangskriterien wird dann durch das Versenden eines Success/Failure Pakets
abgeschlossen. Allgemein wird diese Art der Authentifizierung durch den Standard IEEE 802.1x definiert.
Cisco hat vor kurzem eine neue Version einer NAC (Network Admission Control) AuthentifizierungsLösung auf den Markt gebracht. NAC-Computer, die an das Netwerk angeschlossen werden, testen
automatisch, ob eine aktuelle Antivirus-Software, die neuesten Antispyware-Tools und alle
Sicherheitsupdates installiert sind. Sollte ein angehängtes System diese Tests nicht bestehen, wird eine
Verbindung mit dem Netzwerk nicht hergestellt und dem Benutzer wird mitgeteilt, wie er seinen Computer
besser schützen kann. Während bei anderen Authentifizierungsmethoden nur nach Usernamen und Passwort
gefragt wird, gilt hier zusätzlich ein einwandfreies System als Zutrittsbedingung. Insbesondere für Firmen,
die mobile Geräte einsetzen, dürfte diese Technologie eine wichtige Verbesserung des Sicherheitskonzeptes
darstellen.
Neue Bluetooth-Gefahren
Die sichere Verbindung zwischen zwei ÆBluetooth-Geräten basiert auf dem Pairing-Prozess. Die Geräte, die
Daten austauschen wollen, machen sich dabei zuvor bekannt. Es wird ein Verbindungsschlüssel ausgetauscht, wobei derselbe PIN-Code auf beiden Geräten eingegeben werden muss. Der Schlüssel wird dann
benutzt, um das Gerät zukünftig zu identifizieren. Dieser Sicherheitsmechanismus wurde nun von israelischen Wissenschaftlern umgangen.
Der Trick besteht darin, in die Kommunikation einzudringen und einen Abbruch der Verbindung zu erzwingen, damit ein neuer Pairing-Prozess ausgelöst wird. Dabei wird die Kennnummer eines der beiden Geräte genutzt, welche innerhalb des Funkradius offen an andere Bluetooth-Geräte übermittelt wird. Der Angreifer gibt nun unter Vorgabe dieser Kennnummer vor, den Verschlüsselungscode verloren zu haben, was
einen neuen Pairing Prozess auslöst. Dass ein anschliessender neuer Pairing-Versuch knackbar ist, ist schon
seit längerem bekannt. Dabei wird die Kommunikation abgehört und mit einer speziellen Software innerhalb
weniger Sekunden alle PINs durchprobiert. Bei einem vierstelligen PIN Code sind dies gerade Mal 10'000
Möglichkeiten.
Tipps im Umgang mit Bluetooth finden sich auf der folgenden Seite:
http://www.melani.admin.ch/gefahren-schutz/schutz/00028/index.html?lang=de.
- 28 -
6.3
Diverses
Neuerungen bei den Anti-PhishingTools
Das Online-Banking hat in der Gunst der Schweizer weiter zugelegt. Davon wollen auch Kriminelle profitieren. Mit ausgefeilten Methoden versuchen diese, an Kundendaten zu kommen. Im Vergleich zum Kreditkartenbetrug scheint der finanzielle Schaden Branchenkreisen zufolge aber gering zu sein. In England, Irland,
aber auch Frankreich, Italien und Spanien gibt es immer noch Finanzdienstleister, welche die elektronischen
Bankkonten alleine durch Benutzernamen und PIN-Nummer schützen. In der Schweiz ist ein zusätzlicher
Identifizierungscode für jede E-Banking Session erforderlich. Diese Nummer wird entweder auf
Streichlistenkarten abgelesen oder mit speziellen Rechnern generiert.
Russland und Weißrussland gelten als mögliche Herkunftsländer dieser Angriffe. Um zu verschleiern,
wohin das gestohlene Geld fliesst, setzen die Kriminellen auf Mittelsmänner und heuern dafür Menschen mit
geringem Einkommen an. Sie sollen Gelder, die zuvor auf ihr Konto transferiert wurden, gegen eine Beteiligung per Money Transfer ins Ausland weiterleiten, womit sie sich ebenfalls strafbar machen.
Neben der Zugangskontrolle sollte das Augenmerk zur Verhinderung von ÆPhishing Attacken auch auf
das Online-Verhalten der Nutzer gerichtet werden. Wenn eine Person sich immer aus der Schweiz einloggt
und dann plötzlich ein Einlog-Versuch aus einem Land mit hoher Phishing-Aktivität stattfindet, lohnt es sich,
die getätigten Transaktionen zu überprüfen und gegebenenfalls beim Kunden nachzufragen.
Softwarehersteller reagieren ebenfalls auf das zunehmende Phishing-Problem und stellen Anti-Phishing
Tools zur Verfügung. Microsoft bietet eine Anti-Phishing Toolbar an, welche momentan nur installiert werden kann, wenn auch die MSN Search Toolbar installiert ist. Der Internet Explorer 7, welcher im Verlaufe
dieses Jahres veröffentlicht wird, soll aber diesen Phishingschutz implementiert haben. Das Mailprogramm
Thunderbird verfügt schon heute über einen Phishingschutz und untersucht ab Version 1.5 Mailnachrichten
auf Betrugsversuche. Ein weiteres effizientes Programm kommt von Netcraft. 25 Diese Toolbar, die sowohl
unter dem Internet-Explorer als auch unter Mozillas Firefox läuft, warnt automatisch, wenn eine aufgerufene
Seite in der zentralen Netcraft-Datenbank als Phishingseite geführt wird. Umgekehrt können mit einem
simplen Mausklick Phishingseiten gemeldet werden, die dann nach einer Überprüfung in die Datenbank aufgenommen werden. Zusätzlich zeigt das Tool zu jeder Seite eine Risiko-Rate an. Diese bezieht sich vor allem
auf die Aufschaltzeit der Seite: Phishingseiten werden meistens kurze Zeit vor dem Angriff ins Netz gestellt,
während offizielle Seiten der Banken mehrheitlich schon mehrere Jahre online sind.
Bei Postfinance wird momentan ein neues Authentifizierungsverfahren für die Online-Dienste getestet.
Die Funktion der Postcard soll entsprechend erweitert werden und den aktuellen Bedrohungen aus dem Internet Einhalt gebieten. CAP (Chip Authentication Program) heisst der Zusatz, der den weltweit gültigen EMVStandard erweitern soll. Bis Ende Februar 2006 wird dieses neue Login-Verfahren für das Webportal
Yellownet von 250 Mitarbeitern der Post erprobt. Die „normale“ Postcard, die auch für den Bargeldbezug am
Postomaten verwendet wird, kann dabei zusätzlich auch als Login-Karte für das E-Banking benutzt werden.
Phishing-Attacken wie sie im Juni und Oktober des letzten Jahres vorgekommen sind, können so verhindert
werden (siehe auch Kapitel 4.3).
Es gibt auch andere Bestrebungen, dem Phishing Einhalt zu gebieten. Darunter fallen die Authentifizierungsprozesse iTAN (indizierte Transaction Numbers) und mTAN (mobile TAN). Im Gegensatz zu den
normalen Streichlisten, die die Nummern der Reihe nach abfragen, pickt das iTAN-Verfahren eine zufällige
Nummer heraus. Das Phishing wird so erschwert, da dem Täter nicht bekannt ist, welche
Streichlistennummer als nächstes gefragt wird. Bei einer konventionellen Vorgehensweise müsste ein Täter
alle Streichlistennummern phishen, was wohl jeden Nutzer stutzig machen würde. Doch es gibt schon neue
Methoden um dieses Verfahren zu kompromittieren. Mit einem so genannten ÆMan-in-the-Middle Angriff
konnte bei der deutschen Postbank ein Konto geknackt werden. Beim mTAN Verfahren wird die
Streichlistennummer via SMS an ein Mobiltelefon gesendet. Das Verfahren nützt aber erst, wenn jede
Transaktion mit einer TAN geschützt wird und zusätzlich der zu überweisende Betrag im SMS eingeblendet
wird. Das Verfahren ist jedoch recht kompliziert und auch kostenintensiv.
25
http://netcraft.com (Stand: 8.2.2006).
- 29 -
Kampf gegen Botnetzwerke
Die Zahl der zu ÆBotnetzwerken verbundenen Zombie-Rechner geht zurzeit in die Millionen, wie auch die in
Kapitel 5.3 thematisierten Verhaftungen aufzeigen.
In verschiedenen Ländern gibt es Bestrebungen gegen Botnetzwerke vorzugehen. Die australische Telekommunikations-Aufsichtsbehörde Australian Communications and Media Authority (ACMA) versucht im
Auftrag der Regierung während drei Monaten herauszufinden, ob sich diesem Cyber-Hijacking mit sanfter
Gewalt ein Riegel vorschieben lässt. Offiziell heisst die angelaufene Aktion "Australian Internet Security
Initiative", die ACMA selbst nennt sie das "Australische Zombie-Jagd-Programm". Die Aktion ist zunächst
als Experiment geplant, an dem die fünf grössten Internet Serviceprovider (ISP) teilnehmen. Die ACMA will
Datenverkehr, der im Verdacht steht zu einem Botnetzwerk zu gehören, überwachen und so Zombierechner
aufspüren. Das australische NIC, das Adressen der australischen Endung ".au" vergibt, überprüft die so
gefundenen IP-Daten dann darauf, ob die betroffenen Rechner in Australien stehen, um deren Besitzer
anschliessend zu informieren. Dieser Ansatz wird bereits seit einigen Jahren erfolgreich von Schweizer ISPs
verfolgt.
Auch auf privater Ebene gibt es Initiativen, die es auf Zombierechner abgesehen haben. Sophos bietet einen neuen Dienst an, der Unternehmen vor einem unbemerkten Missbrauch ihrer PCs warnt. Der Dienst kann
Zombie-Rechner in einem Netzwerk eines Unternehmens aufspüren und die Verantwortlichen rechtzeitig
warnen. Sophos hat zu diesem Zweck Fallen aufgestellt (Honeypots). Sollte zum Beispiel eine Spam-E-Mail
von einer zu überwachenden IP-Adresse stammen, wird die Firma informiert. Zur Analyse werden zusätzlich
öffentliche Blackhole-Listen (DNSBL) hinzugezogen.
Bedrohung durch Insider
Im letzten Halbjahr hat die Sicherheitsfirma Trend Micro eine Studie veröffentlicht, die besagt, dass sich eine
Mehrheit der Computernutzer an den Informatikmitteln am Arbeitsplatz sicherer fühlt als bei sich zu Hause.
Als Konsequenz gaben 63 Prozent der Befragten an, dass sie riskante Webseiten lieber am Arbeitsplatz statt
zu Hause am Heimcomputer öffnen. Die Gefahr, dass durch solche Unbedachtheit Schädlinge eingeschleppt
werden, ist offenkundig. Auch Sophos nimmt sich diesem Thema an und gibt an, dass 80 Prozent der ITVerantwortlichen unzufrieden mit dem Verhalten ihrer Mitarbeiter im Umgang mit Informatikmitteln sind.
Die meisten „Vergehen“ sind laut dieser Studie das Herunterladen von Musik und Filmen, das Öffnen von EMails, Dateianhängen und Links unbekannter Herkunft, Surfen auf zweifelhaften oder pornographischen
Webseiten, das Empfangen und Ausführen von "Spassprogrammen", die sie von Freunden oder Kollegen
erhalten, die Installation nicht genehmigter Software und ÆBrowser-Plug-Ins, das Weiterleiten von
Informationen an unbekannte Empfänger über E-Mail und Telefon sowie die Benutzung des selben
Passworts für verschiedene Webseiten oder die gemeinsame Nutzung eines Passworts. Die Gefahr geht aber
nicht nur von Unachtsamkeit und Gleichgültigkeit aus – es gibt auch gezielte Angriffe, bei denen Mitarbeiter
(respektive Ex-Mitarbeiter) bewusst in das Firmennetzwerk einbrechen, um Daten zu stehlen oder zu
löschen. Aufgrund des Insider-Wissens kommen solche Angriffe sogar oft häufiger vor als ein klassischer
Hacker-Angriff von aussen. Ein Beispiel, das im Sommer 2005 für Schlagzeilen sorgte, ist der Diebstahl von
Kundendaten der Bank Julius Bär durch einen ehemaligen Mitarbeiter.
Laut einer Studie des US-Secret Service und des CERT/CC geht den meisten Insider-Angriffen ein
„negatives“ Erlebnis des Mitarbeiters in der Firma voraus. 26 Dies kann die Verweigerung einer
Gehaltserhöhung, eines Postens oder im Extremfall die Kündigung des Arbeitsplatzes sein. Das Motiv für
solche Taten ist deshalb mehrheitlich Rache. Die Attacken werden zumeist gründlich geplant und es werden
dabei Hintertüren und Kontofreigaben eingesetzt, der Angriff erfolgt dann von Aussen über das Netzwerk.
Ein grosses Problem solcher Insider-Angriffe ist deren Erkennung. Meist werden solche Angriffe erst
registriert, wenn Systemungereimtheiten bekannt werden oder das System ausfällt. Insbesondere Ækritische
Infrastrukturen sind von Insidern bedroht (siehe Kapitel 5.4 und 7.1).
Gerade wenn Firmen in Zusammenhang mit Datendiebstahl Schlagzeilen machen, ergibt sich daraus eine
Beeinträchtigung des Firmen-Images, was sich negativ auf die Kundenbeziehungen auswirken kann. Eine
26
http://www.secretservice.gov/ntac.shtml#programs (Stand: 23.2.2006).
- 30 -
Studie des Ponemon Instituts 27 besagt, dass 20 Prozent der Kunden negativ auf so einen Vorfall reagieren
würden. Dies zeigt, dass die Dunkelziffer bezüglich Datendiebstahls nicht zu vernachlässigen ist.
27
http://www.ponemon.org (Stand: 8.2.2006).
- 31 -
7
Aktivitäten / Informationen
7.1
Staatlich
Schweiz: Ausschreibung von Konzessionen für den drahtlosen Breitbandanschluss
Die Eidgenössische Kommunikationskommission (ComCom) hat Konzessionen für den drahtlosen
Breitbandanschluss (BWA) zur Vergabe ausgeschrieben. Unter BWA (Broadband Wireless Access) versteht
man den drahtlosen Breitbandanschluss an ein Fernmeldenetz, beispielsweise für den Zugang zum Internet.
BWA ist eine allgemeine Bezeichnung für mehrere drahtlose Zugangstechnologien wie WLL (Wireless
Local Loop), FBWA (Fixed Broadband Wireless Access) oder MBWA (Mobile Broadband Wireless
Access). WiMAX und HiperMAN lauten die entsprechenden Markennamen. Das WiMAX-Forum
(www.wimaxforum.org) ist eine nicht gewinnorientierte Vereinigung von Geräte- und KomponentenHerstellern. Das Ziel der Vereinigung ist es, die Verwendung der dem Standard IEEE 802.16 entsprechenden
Geräte mit Hilfe der Betreiber von drahtlosen Breitbandsystemen zu fördern. Ausserdem soll die
Kompatibilität der Geräte gewährleistet werden.
Nachdem die Ergebnisse des vom Bundesamt für Kommunikation durchgeführten
Vernehmlassungsverfahrens vorlagen, entschied die ComCom in Anbetracht der derzeit verfügbaren
Frequenzen, drei neue BWA-Konzessionen für den Frequenzbereich 3,41 bis 3,6 MHz zu vergeben. In erster
Linie geht es der Kommission darum, den Wettbewerb im Bereich der Breitbandanschlüsse zu beleben. Um
die Konzessionen bewarben sich 24 Interessenten. Die Konzessionen werden versteigert. Der Mindestpreis
für die beiden grossen Konzessionen beträgt je 6,1 Millionen Franken, jene für die kleinere 5,1 Millionen
Franken.
EU: Parlament beschliesst Speicherung von Telekomverbindungsdaten
Anfang 2004 wurden von EU-Seite neue Bemühungen angestossen, die Speicherung der Verbindungsdaten
aller Arten von Telekommunikation EU-weit gesetzlich zu regeln (z.B. Dienste wie Telefon, SMS, E-Mail,
Internet), die 2005 ihren Abschluss fanden. Am 21. September 2005 legte die EU-Kommission einen Entwurf für eine Richtlinie zur Speicherung von Telefon- und Internetdaten vor, nachdem in den vergangenen
Monaten eine längere Auseinandersetzung zwischen EU-Rat und -Kommission sowie zwischen EU-Behörden und Ratspräsidentschaften stattgefunden hatte. Zweck der Vorratsdatenspeicherung soll eine effizientere
Strafverfolgung schwerer Straftaten, insbesondere im Bereich des Terrorismus und der organisierten Kriminalität, sein.
Am 14. Dezember 2005 stimmte das EU-Parlament dem Entwurf zu und einigte sich auf eine Vorgabe
der Datenspeicherungsdauer zwischen sechs und 24 Monaten. Im Februar 2006 soll dann schliesslich der
EU-Rat einen formalen Beschluss zur Richtlinie fassen, wonach die nationale Umsetzung der Richtlinie in
den Mitgliedstaaten der EU ansteht. Den Mitgliedstaaten steht es dabei frei, zwischen sechs und 24 Monaten
eine eigene Datenspeicherungsbegrenzung festzulegen. In Deutschland beispielsweise plant die Regierung
die Einführung einer sechsmonatigen Aufbewahrungsfrist, Frankreich 12 Monate. Nicht explizit geregelt
wurde die Frage, wer für die entstehenden Kosten aufzukommen hat. Der EU-Parlamentsbeschluss ist insbesondere unter Datenschützern und Menschenrechts-Experten umstritten, zumal die Verbindungsdaten aller
450 Millionen EU-Bürger anlassunabhängig gespeichert würden und somit jeder Bürger als potenzieller
Krimineller behandelt werden würde. In Deutschland plant die Regierung beispielsweise die Nutzung der
Daten für die Strafverfolgung nur bei erheblichen oder mittels Telekommunikation begangenen Straftaten
zuzulassen, während die EU-Richtlinie selbst einen Rückgriff der Strafverfolger auf die Daten erst bei
schweren Verbrechen erlauben will. Wo genau allerdings die Grenze zu „schweren“ oder „erheblichen“
Verbrechen gezogen werden soll, bleibt unausgeführt. 28
In der Schweiz besteht kein Neuregelungsbedarf der gesetzlichen Bestimmungen, zumal diese bereits der
in Deutschland geplanten Umsetzung von sechs Monaten Speicherungsdauer entsprechen. Art. 15, Abs. 3 des
Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF, SR 780.1) verpflichtet die
28
Eine Übersicht zum Thema bietet: http://www.heise.de/ct/aktuell/meldung/66857 (Stand: 30.1.2006).
- 32 -
Anbieterinnen von Fernmelde- und Internet-Dienstleistungen dazu, „die für die Teilnehmeridentifikation
notwendigen Daten sowie die Verkehrs- und Rechnungsdaten während sechs Monaten aufzubewahren.“
EU: Kommission lanciert „Green Paper on Critical Infrastructure Protection“
Die EU Kommission verabschiedete Ende November ein Green Paper zum Thema Æ„Critical Infrastructure
Protection“, mit dem mögliche Aktionen der Kommission auf die Aufforderung des EU-Rats, ein „European
Program for Critical Infrastructure Protection (EPCIP)“ und ein „Critical Infrastructure Warning Information
Network (CIWIN)“ zu schaffen, zur Debatte gestellt werden. Nach der Durchführung von Seminaren und der
Berücksichtigung von Kommentaren der Mitgliedstaaten bildet dieses Dokument nun die Basis für weiteres
Feedback der verschiedenen betroffenen Interessensvertreter.
Mittelfristiges Ziel soll die Etablierung von Rahmenbedingungen innerhalb der EU zum Schutz der
Ækritischen Infrastrukturen sein, die einen angemessenen und gleichmässigen Schutz der nationalen
Infrastrukturen garantieren und gleichzeitig die nationalen Wettbewerbsbedingungen innerhalb der EU nicht
verzerren. Das Dokument ist erhältlich unter:
http://europa.eu.int/eur-lex/lex/LexUriServ/site/en/com/2005/com2005_0576en01.pdf. 29
Deutschland: „Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI)“ vom Innenministerium und dem BSI vorgelegt / „Bericht zur Lage der IT-Sicherheit“ publiziert
Im August 2005 präsentierte der damalige Innenminister Deutschlands, Otto Schily, den „Nationalen Plan
zum Schutz der Informationsinfrastrukturen“ (NPSI) und legte damit die IT-Sicherheitsstrategie der Bundesregierung dar, die auch die neue grosse Koalition weiterführen will. 30 Einen Tag später veröffentliche das
deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen ersten „Bericht zur Lage der ITSicherheit“. 31
Wie die Schweiz beurteilt auch Deutschland die Sicherung der Informationsinfrastrukturen (ÆCIIP) als
sicherheitspolitische Aufgabe des Staates. Fokus wird auch in Deutschland auf eine möglichst ganzheitliche
Adressierung des Problems gelegt, so dass Computersysteme von Heimanwendern genauso bedeutsam
beurteilt werden wie Firmennetzwerke oder Regierungssysteme. Der Plan sieht unter anderem die
Ausarbeitung von IT-Sicherheitsstandards für die Bundesverwaltung, die Einrichtung eines MELANIähnlichen Krisenzentrums IT des Bundes sowie eine allgemeine Erhöhung der IT-Sicherheitskompetenz der
Bevölkerung vor. Als strategische Ziele werden Prävention, Reaktion und Nachhaltigkeit verfolgt. 32
Der Bericht zur Lage der Informationssicherheit, vergleichbar mit den MELANI-Halbjahresberichten,
beschäftigt sich mit dem Sicherheitsbewusstsein und der Sicherheitskompetenz der Bürger, der Wirtschaft
und der öffentlichen Verwaltungen. Zudem werden aktuelle Gefahren bewertet und deren mögliche Entwicklung beurteilt.
Neue Anti-Terror-Gesetze in einigen EU-Staaten / Anti-Terror-Strategie der EU
Mehrere EU-Staaten verabschiedeten neue Anti-Terror-Gesetze und auch in der gesamten EU wird die Koordinierung der diesbezüglichen Massnahmen weiter vorangetrieben.
29
Weitere Hintergrundinformationen sind erhältlich unter:
http://europa.eu.int/rapid/pressReleasesAction.do?reference=MEMO/05/441&format=HTML&aged=0&langua
ge=en&guiLanguage=en (Stand: 30.1.2006).
30
Erhältlich unter:
http://www.bmi.bund.de/cln_012/nn_122688/Internet/Content/Common/Anlagen/Nachrichten/Pressemitteilungen/2005/08/Nationaler__Plan__Schutz__Informationsinfrastrukturen,templateId=raw,property=publi
cationFile.pdf/Nationaler_Plan_Schutz_Informationsinfrastrukturen.pdf (Stand: 31.1.2006).
31
Erhältlich unter: http://www.bsi.de/literat/lagebericht/lagebericht2005.pdf (Stand: 31.1.2006).
32
Das Schweizer Informationssicherungskonzept basiert auf einem 4-Säulen-Modell: Prävention, Früherkennung, Krisenmanagement und technische Problembehebung. Mehr Informationen unter:
http://www.efd.admin.ch/d/dok/faktenblaetter/efd-schwerpunkte/5_infosicherheit.htm (Stand: 31.1.2006).
- 33 -
In Italien wurde bereits Ende August ein neues Anti-Terror-Gesetz verabschiedet. Kritik wurde inzwischen insbesondere über die Regelungen bezüglich der Internetkaffees laut: Deren Betreiber müssen
neuerdings Betriebslizenzen beantragen, Kunden registrieren, das Surfverhalten archivieren und E-Mails
speichern. Die Folgen: Internetkaffees in Italien mussten Einbussen von über 50 Prozent in Kauf nehmen,
und die Behörden liegen mit der Bearbeitung der Betriebslizenzen massiv im Rückstand.
Auch in England wurde ein neues, weitgehendes Anti-Terror-Gesetz verabschiedet. Neuerdings sollen
Polizeibeamte, einer Zensurbehörde gleich, Mittlern einer terrorfördernden Publikation (z.B. Internetprovider, Buchhändler, Verlage) eine Einstellung der Publikation verfügen können. Dazu zählt auch die Veröffentlichung von Informationen, die nützlich für die Vorbereitung oder Durchführung von Terrorakten sein
könnten, oder die glorifizierende Darstellung von Terrorismus. Unter anderen werden neu Straftatbestände
für das Betreten von Nuklearanlagen oder terroristischen Ausbildungsgebieten geschaffen, Verdächtige
sollen ohne richterliche Verfügung bis zu vier Wochen festgehalten werden dürfen und Abhörungen können
neu sechs Monate ohne neue Bewilligung durchgeführt werden.
Kurz vor Weihnachten wurde auch in Frankreich ein neues Anti-Terror-Gesetz verabschiedet, das zu einem der restriktivsten in Europa gehört und einen massiven Ausbau der Videoüberwachung sowie eine Verbindungsdatenspeicherung von 12 Monaten (auch für Internetkaffees) vorsieht. Neu dürfen der öffentliche
Personenverkehr, Bahnhöfe, öffentliche Gebäude und Plätze, Atomkraftwerke und Industrieanlagen videoüberwacht werden; an Mautstellen wird auch der Autoverkehr registriert. Bei Terrorverdacht dürfen Verhöre
(und somit Inhaftierungen) neuerdings sechs Tage dauern, ohne dass ein Haftbefehl ausgestellt sein muss.
Anfang Dezember einigten sich auch die Innenminister der EU-Mitgliedstaaten auf eine gemeinsame
Strategie gegen die Anwerbung und Aufhetzung zum Terrorismus. Insbesondere der Missbrauch des Internets zu diesem Zweck soll bekämpft werden. Auch soll die Anwerbung in Gefängnissen und Moscheen strafbar gemacht werden. Ebenfalls betont wurde die Absicht eines gemeinsamen Schutzes Ækritischer
Infrastrukturen (siehe oben). Ziel der Bemühungen ist eine Angleichung der nationalen Gesetze der
Mitgliedstaaten. 33
USA: Straffere Organisation der Cybersecurity-Bemühungen und erneute Kritik
Nach Kritik an den Cybersecurity-Bemühungen des US-amerikanischen Department of Homeland Security
(DHS) (siehe letzten Halbjahresbericht) und im Juli 2005 zu diesem Thema durchgeführten Anhörungen im
Senat, kündigte der DHS-Minister Michael Chertoff im Sommer eine Reorganisation seines Departments an.
Der Cybersicherheits-Beauftragte soll die Position eines „Assistant Secretary“ erhalten und Verantwortung
für die Cyber- und die Telekommunikations-Sicherheit in den USA erhalten. Die Reaktionen auf die Ankündigung waren sowohl aus dem Senat als auch aus der Privatwirtschaft durchwegs positiv. Man erhofft sich
mehr Autorität für die Durchsetzung von Vorschriften sowie für die Integration der Privatwirtschaft in die
Sicherheitsbemühungen. Der US-Kongress bewilligte zwar im Oktober die für die Umsetzung benötigten
Mittel, bis Ende Jahr war jedoch der Posten noch immer unbesetzt.
Dennoch verstummten die Kritiker der US-Cybersicherheits-Bemühungen nicht. Ein Artikel in der Augustausgabe des „IEEE-USA Today’s Engineer“ warnte, dass die IT-Infrastrukturen in den USA, wie Flugkontrollsysteme, Kraftwerke sowie Finanz-, Militär- und Nachrichtendienst-Systeme, in höchstem Grade für
terroristische und kriminelle Attacke verwundbar seien; die Situation sei beinahe ausser Kontrolle. In einer
Anhörung vor dem Wissenschaftsausschuss des US-Kongresses im September äusserten Vertreter grosser
US-Unternehmen ihre Befürchtungen vor Cyberattacken. Insbesondere physische Attentate kombiniert mit
Cyberangriffen verursachten die grössten Sorgen. Der Untersuchungsausschuss des Kongresses (Government
Accountability Office GAO) gab Ende September bekannt, dass die Netzwerke des Flugkontrollsystems gegenüber Angreifern mit Insiderkenntnissen verwundbar seien. Im Oktober bemängelte ein ehemaliges Mitglied des „President’s Information Technology Advisory Committee“ fehlende Führung im Bereich der
elektronischen Sicherheit, die noch immer nicht erfolgte Ernennung eines Cybersicherheits-Verantwortlichen
33
Die neue britische „Terrorism Bill“ ist hier erhältlich:
http://www.publications.parliament.uk/pa/ld200506/ldbills/069/2006069.htm (Stand: 31.1.2006).
Das französische Antiterrorgesetz ist erhältlich unter:
http://www.assemblee-nationale.fr/12/ta/ta0506.asp (Stand: 31.1.2006).
Eine Übersicht über die Anti-Terror-Bemühungen der EU ist zu finden unter:
http://www.eurunion.org/partner/EUUSTerror/EURespUSTerror.htm (Stand: 31.1.2006).
- 34 -
im DHS sowie fehlende Investitionen in die Forschung. Kurz darauf gab der Generalinspektor des Department of Transportation (DOT) bekannt, er habe im Rahmen von Tests Kontrolle über verwundbare Server
und Zugriff auf sensitive Informationen erhalten sowie über 3'000 Schwächen im DOT-Netzwerk identifiziert, von denen einige bereits lange bekannt gewesen, aber nie behoben worden seien. Zudem fehle generell
ein ÆIntrusion-Detection-System im DOT, zu dem auch Eisenbahn- und Flug-Administrations-Behörden
gehören. Ein fehlendes Patch-Management habe ausserdem zu Zotob-Infektionen geführt (siehe Kapitel 5.2).
Ende Oktober bemängelte der Generalinspekteur des DHS die Sicherheit der Systeme des Secret Service, und
Anfang Dezember warnten die Mitglieder des „9/11 Public Disclosure Project“ (der ehemaligen 9/11-Kommission), die Regierung mache zu kleine Fortschritte im Schutz ihrer kritischen Infrastrukturen, insbesondere
der Kommunikationsnetzwerke und des Internets: Weder seien Risiko- und Verwundbarkeits-Untersuchungen durchgeführt, noch Prioritäten erarbeitet worden. Die Mängel wurden als skandalös und schockierend
bezeichnet. Zuletzt bemängelten Mitte Dezember Vertreter der „Cyber Security Industry Alliance“ (bestehend aus grossen IT-Sicherheits-Dienstleistern und Soft- und Hardware-Herstellern) ebenfalls die noch nicht
erfolgte Benennung eines Verantwortlichen im DHS sowie fehlende Forschungsinvestitionen, obwohl im
November bekannt wurde, dass künftig Firmen ihre Forschungsbudgets vermehrt von den Steuern absetzen
können. Ausserdem befürchteten einige Forscher Anfang Oktober, dass das amerikanische Mobiltelefonnetz
anfällig für SMS-DoS-Angriffe sein könnte.
Auch wenn Terroristen noch über keine Mittel für einen cyberterroristischen Angriff verfügen (siehe Kapitel 5.4), muss festgehalten werden, dass die Ækritischen Informationsinfrastrukturen verwundbar sind. Für
erfolgreiche Angriffe ist zwar Insiderwissen notwendig, über das Terroristen wohl noch nicht verfügen –
dieses könnte in Zukunft jedoch beschafft werden, ähnlich wie sich die organisierte Kriminalität in den vergangenen Jahren Zugang zu Hackerkreisen verschafft hatte. Die Tatsache, dass gerade in den USA – der
führenden High-Tech-Nation im Bereich der Informationstechnologie – grosse Verwundbarkeiten dieser
Infrastrukturen identifiziert werden, legt nahe, dass diese auch in den Infrastrukturen aller anderen westlichen
Industriestaaten vorhanden sind.
7.2
Privat
IKT-Hersteller: “Anti-Spyware Coalition” definiert Spyware und Adware
Die im April 2005 gegründete „Anti-Spyware Coalition“ (ASC) nahm in der zweiten Jahreshälfte ihre Arbeit
auf und erreichte bereits nach wenigen Monaten eine gemeinsame Definition für die bisher schwammigen
Begriffe ÆSpyware und ÆAdware.
Die vom „Center for Democracy and Technology“ gegründete ASC zählt einige der grössten Soft- und
Hardware-Produzenten und Interessensverbände zu ihren Mitgliedern: America Online (AOL), Computer
Associates, Hewlett-Packard, Microsoft, Yahoo, McAfee, Symantec, Trend Micro sowie die „Canadian Internet Policy and Public Interest Clinic“, die „Cyber Security Industry Alliance“ oder das „National Center
for Victims of Crime“. Anfang Juli publizierte die ASC einen Entwurf für eine Spyware-Definition und für
Lösungsansätze zur Bekämpfung des Problems und lud die Öffentlichkeit zu Kommentar und Kritik ein. Bereits Ende Oktober legte die ASC ein finales Dokument vor, das eine Spyware-Definition vornimmt, sowie
ein weiter auszuarbeitendes „Risiko Modell“-Dokument, das sich im Detail mit den technischen Unterschieden zwischen Spy- und anderer Software befasst.
Ziel der Bemühungen soll ein gemeinsames Set von „Best Practices“ sein, mit denen die Entdeckung und
Entfernung von Spyware effizienter vorgenommen werden kann. So sollen auch bessere Antispyware-Produkte sowie bessere Rahmenbedingungen für die Sensibilisierung der Endnutzer geschaffen werden.
Symantec jedenfalls hat bereits damit begonnen, die Definition der ASC in ihre Produkte einfliessen zu lassen. 34
34
Die ASC-Dokumente sind erhältlich unter: http://www.antispywarecoalition.org/documents/index.htm
(Stand: 1.2.2006). Siehe dazu auch Kapitel 10.
- 35 -
8
Gesetzliche Grundlagen
Bundesrat verhindert Revision der Online Konsumentenschutz-Gesetze
Der Umsatz bei Internetbestellungen um die Weihnachtszeit hat in Deutschland im Vergleich zum Vorjahr
zweistellig zugenommen. In der Schweiz dürfte die Zunahme etwa ähnlich gross sein. Da immer mehr Bestellungen über das Internet abgewickelt werden, wird auch der Ruf nach neuen Regelungen und Gesetzen
grösser.
Der Bundesrat verzichtete auf ein siebentägiges Widerrufsrecht bei Online-Einkäufen oder bei Aktiengeschäften mit Banken und gleicht somit die Rechtslage nicht an den Konsumentenschutz der EU an. Die Gesetzesrevision sah zudem vor, dass ein Käufer die Nachbesserung einer mangelhaften Lieferung fordern
kann. Die Klagefrist sollte dabei auf zwei Jahre verdoppelt werden. Die Ablehnung der Gesetzesrevision
wurde dahingehend begründet, dass es nicht Sache des Staates sei, die Wirtschaft zu Regelungen zu zwingen,
die auch freiwillig abgemacht werden können. Auch ohne gesetzliches Widerrufsrecht bei Fernabsatzgeschäften habe sich der elektronische Geschäftsverkehr in der Schweiz positiv entwickelt. Im Gegensatz dazu
zeigte sich die Stiftung für Konsumentenschutz enttäuscht, dass der Bundesrat auf eine Regelung verzichtet.
Die Online-Kunden seien den Risiken im Web weiterhin schutzlos ausgeliefert.
Gesetzliche Grundlagen für Voice over IP (VoIP)
Die Internettelefonie (ÆVoIP) erlebt weiterhin einen grossen Aufschwung, wobei der gesetzliche Rahmen
der Notrufmöglichkeit und der Erreichbarkeit noch nicht geklärt ist.
Bei VoIP handelt es sich um eine Dienstleistung, die es Teilnehmern unter anderem ermöglicht, ein Festnetztelefon nicht nur an einem im Voraus festgelegten Telefonanschluss zu betreiben, sondern an jedem beliebigen Internetzugang. Dabei kann mit der eigenen Telefonnummer an einem anderen Standort als im
Abonnement festgelegt telefoniert werden.
Während bei der Mobiltelefonie der Standort übermittelt wird, fehlt ein solcher Standard bei VoIP. Zwar
könnte bei kabellosen Verbindungen anhand der ÆIP-Adresse des Hotspots einfach auf den Einwahlpunkt
geschlossen werden und mit den neuen Technologien, wie sie in Kapitel 6.2 beschrieben werden, kann sogar
der genaue Standort eruiert werden. Gerade bei VoIP-Diensten über das Kabel ist es jedoch nur schwer möglich, auf den Standort zu schliessen. Es können beispielsweise jeweils unterschiedliche IP-Adressen einem
Modem zur Verfügung gestellt werden (Dynamische IP-Adressen). Der Standort kann somit nur schwer,
respektive gar nicht, ermittelt werden.
Technisch scheint es so, dass die Garantie von Art. 28 FDV (Verordnung über Fernmeldedienste: Zugang
zum nächstgelegenen Notrufdienst und gleichzeitige Feststellung des Standortes des Anrufers) bei der
Dienstleistung VoIP nicht gewährleistet werden kann. Diesem Umstand will man mit dem neuen
Gesetzesvorschlag EArt.87b FDV Rechnung tragen. Die Garantie des Art. 28 FDV erstreckt sich bei VoIP
nur auf den Fall, dass die VoIP-Anrufe von demjenigen Standort ausgehen, der im Abonnementsvertrag als
Hauptstandort angegeben wurde. Für alle anderen Fälle kann aus technischen Gründen die korrekte
Leitweglenkung sowie die Standortidentifikation des Anrufenden nicht sichergestellt werden.
- 36 -
9
Statistik
Schweiz: Weniger Investitionen in die IT-Sicherheit
Laut einer Studie von Swiss Infosec 35 investierten 2005 29 Prozent der Firmen weniger in die Sicherheit, 52
Prozent der Firmen gaben in etwa gleichviel für die Sicherung ihrer Daten aus und 19 Prozent gaben an,
mehr investieren zu wollen. Aus diesen Zahlen ist ersichtlich, dass IT-Verantwortliche gezwungen werden,
bei Sicherheitsfragen Prioritäten zu setzen.
Ein anderes Problem ist die Tatsache, dass die Verteilung dieser Investitionen abhängig von der Firmengrösse ist. Während grössere Firmen gut vorbereitet gegen IT-Angriffe zu sein scheinen, wird bei kleinen
Unternehmen bei der IT-Sicherheit meist unter dem Vorwand gespart, dass hier die Wahrscheinlichkeit eines
Angriffs kleiner sei. Besonders in Jahren mit starkem Kostendruck wird dort gespart, wo die Folgen nicht
direkt ersichtlich sind.
Schweiz: Wirtschaftliche Auswirkung eines Internet Blackouts
Eine Studie des Computer Engineering and Networks Laboratory (TIK) der ETH 36 zeigt, dass der
ökonomische Schaden eines Internet-Blackouts nicht ignoriert werden kann. Der finanzielle Schaden eines
einwöchigen Total-Ausfalls des Internets in der Schweiz mit einem BIP von 482 Milliarden würde sich
gemäss dieser Studie auf 5.83 Milliarden Franken belaufen. Probleme sieht die ETH-Studie vor allem bei
grossangelegten Attacken mit Schädlingen oder ÆDenial-of-Service-Attacken.
Diese Studie zeigt, wie abhängig eine moderne Gesellschaft wie die Schweiz von der Informatik-Infrastruktur und dem Internet ist. 48 Prozent der 3.6 Millionen Arbeitsplätze in der Schweiz sind stark von der IT
abhängig. In einem Geschäftsbeispiel wird vorgerechnet, dass ein eintägiger Ausfall eines Internet Service
Providers (ISP) mit einem Jahresgewinn von 2.81 Milliarden Franken einen Verlust von 1.2 Prozent dieses
Gewinnes zu verschmerzen hätte. Die Kosten setzen sich aus Verlusten aufgrund der Nichtverfügbarkeit der
IT-Infrastruktur, den Wiederherstellungskosten, den Haftungskosten und den Kundenkosten zusammen.
Würden die IT-Strukturen in der Schweiz während einer Woche ausfallen, so wären laut der ETH-Studie
sämtliche der auf IT-Strukuren angewiesenen Einrichtungen und User betroffen. Von einem eintägigen
Blackout wären laut der Studie lediglich 60 Prozent der Personen, die in ihrer Arbeit auf IT-Infrastrukturen
angewiesen sind, betroffen; die Kosten – auf einen Tag hochgerechnet – die innerhalb der ersten
vierundzwanzig Stunden nach einem Angriff entstehen, fallen demnach geringer aus, als wenn der Ausfall
sieben Tage andauert.
Die ETH-Wissenschaftler halten es für durchaus denkbar, dass Unternehmen, die mit dem Internet
arbeiten, das Ziel massiver Angriffe in der Form von Schadenprogrammen – Malware – und DDoSAngriffen werden könnten. Viele dieser Unternehmen seien sich nicht bewusst, in welchem Ausmass sie von
IT-Netzwerken abhängen und welchen finanziellen Schaden der Ausfall dieser Netze verursachen könnte.
Viele Risiko-Management-Studien berücksichtigen den Ausfall der Internet Infrastruktur gar nicht.
35
http://www.infosec.ch (Stand: 8.2.2006).
36
http://www.ethz.ch (Stand: 8.2.2006).
- 37 -
10.
Verschiedenes
Sony setzt Rootkits zur Wahrung digitaler Rechte ein und schafft Sicherheitsproblem
Ein IT-Sicherheitsexperte warnte Ende Oktober, Sony BMG setze auf gewissen seiner mittels Digital Rights
Management (DRM) geschützten Musik-CDs eine von First 4 Internet entwickelte Software namens „XCP“
ein, die sich mit ÆRootkit-ähnlichen Techniken tarne und Sicherheitslöcher auf dem PC, auf dem die CD
abgespielt wird, schaffe. Weder liess sich die Software deinstallieren, noch wurde sie in den
Lizenzbestimmungen, die beim Einlegen der betroffenen CD erschienen, erwähnt. XCP versteckt nicht nur
eigene Dateien und Prozesse, sondern alles, was mit $sys$ im Namen anfängt – und somit auch von Hackern
eingeschleuste, so genannte ÆMalware. Ab Mitte Dezember erkannten denn auch die meisten Antiviren- und
Antispyware-Programme des XCP-Rootkit und boten dessen Entfernung an.
Mitte November wurde zudem bekannt, das die zusammen mit dem Rootkit XCP installierte Abspielsoftware „nach Hause“ telefoniert und ohne Wissen des Nutzers Daten an Sony übermittelt. Zudem tauchten
erste Hinweise dafür auf, dass bereits die ersten Schädlinge in Umlauf waren, die sich unter Zuhilfenahme
der Techniken von XCP auf dem infizierten Rechner versteckten. Ein weiteres DRM-Programm von Sony
namens MediaMax (entwickelt von SunnComm) wurde Mitte November ebenfalls als Spyware entlarvt, die
unkontrolliert Daten nachlädt, nicht deinstalliert werden kann und Informationen an Sony übermittelt.
Ausserdem ermöglichte es MediaMax einem Angreifer, trotz geringer Rechte die Kontrolle über den PC zu
erlangen.
Sony rief Mitte November die noch nicht verkauften CDs mit XCP-DRM-Schutz zurück und entschuldigte sich bei seinen Kunden. Zudem gab Sony bekannt, es seien etwa 50 Musikalben mit dem Rootkit versehen worden, insgesamt ca. 50 Millionen CDs. Inzwischen waren bereits Sammelklagen der Electronic
Frontier Foundation EFF (in den USA und in Italien) sowie der Justizbehörden des US-Bundesstaates Texas
eröffnet worden, während in New York, Illinois und Massachusetts die Staatsanwaltschaft Untersuchungen
gegen Sony einleitete, weil die betroffenen CDs noch immer im Verkauf erhältlich waren. Sonys Ausrutscher
drohte nun auch massive Schadenersatz-Kosten zur Folge zu haben.
Wie im Verlauf des Dezembers bekannt wurde, war Sony BMG bereits im September von F-Secure über
die Schadensfunktionen von XCP informiert worden, entschied sich aber für eine Schadensbegrenzungsstrategie: Stillschweigen und die Sicherheitsrisiken in einem Update im Jahr 2006 klammheimlich beheben, lautete die Devise. Dennoch entschied sich das Unternehmen Mitte Dezember zu einer Überarbeitung seiner
DRM-Strategie und entschuldigte sich Anfang 2006 bei seinen Kunden. Mit der amerikanischen EFF konnte
sich Sony Anfang 2006 bereits einigen. Noch sind aber in Kalifornien und Italien weitere Sammelklagen
hängig, auch das Strafverfahren von Texas ist noch nicht abgewickelt. Die Generalstaatsanwaltschaften von
New York, Florida und Illinois ermitteln weiterhin.
Das XCP-Rootkit wurde offenbar grossflächig verbreitet, wie ein Sicherheitsberater Anfang Januar mitteilte. Er untersuchte das ÆDomain Name System (DNS) nach Einträgen zu den URLs, zu denen XCP „nach
Hause“ telefonierte, und stellte fest, dass über 500'000 Netzwerke mit einer unbekannten Anzahl
Workstations, darunter auch Netze des US-Militärs und anderer Regierungsbehörden, betroffen seien.
Die in letzter Zeit wegen ihrer aggressiven Vorgehensweise gegen Filesharer unter Kritik stehende Musikindustrie wendet, wie dieser Vorfall zeigt, auch unlautere Methoden an. Das Vorgehen von Sony wirft
eine grundsätzliche Frage zum Thema Spyware / Adware auf: Was genau ist Spyware, wann ist ihr Einsatz
illegal? Reicht die Installation ohne das Wissen des Anwenders bereits aus zur Qualifizierung als Spyware
oder sind dazu Schadfunktionen notwendig? Muss eine Software immer deinstallierbar sein oder gibt es
zwingende Sicherheits-Überlegungen, die eine Tarnung der Software legitimieren? Die Bemühungen der
„Antispyware-Coalition“ (siehe 7.2) sind daher nötig, um klare Spielregeln für den Umgang mit dieser neuen
Art von Software zu definieren. Ihrer Meinung nach ist Software dann Spyware, wenn ohne User-Zustimmung Installationen stattfinden, wenn die Installation der Software die Privatsphäre oder Systemsicherheit
gefährdet oder ohne Zustimmung des Nutzers Daten gesammelt werden. Offen bleibt die Frage, ob diese
Definition von seriösen Anbietern als bindend betrachtet werden wird oder nicht. Für Sony dürfte die
Episode jedenfalls gravierende Folgen gehabt haben, wie Spiegel Online kommentierte: „Begossener stand
noch kein Vertreter der ‚Raubkopierer sind Verbrecher’-Branche da“. 37
37
Zitat: http://www.spiegel.de/netzwelt/technologie/0,1518,387480,00.html (Stand: 6.2.2006).
- 38 -
11.
Glossar
Dieses Glossar enthält sämtliche mit einem „Æ“ markierten Begriffe. Ein ausführlicheres Glossar mit mehr
Begriffen ist zu finden unter:
http://www.melani.admin.ch/glossar/index.html?lang=de.
Active Scripting (ActiveX)
Adware
Bluetooth
Bot / Malicious Bot
Botnetz
Browser-Plug-In
CERT
Critical Infrastructure Protection
/ Critical Information
Infrastructure Protection
(CIP / CIIP)
Eine von Microsoft entwickelte Technologie, mit welcher es möglich ist,
kleine Programme – so genannte ActiveX Controls – beim Anzeigen von
Webseiten auf den Rechner des Besuchers zu laden, von wo sie
ausgeführt werden. Sie ermöglichen es, unterschiedliche Effekte oder
Funktionen umzusetzen. Leider wird diese Technologie häufig
missbraucht und stellt ein Sicherheitsrisiko dar. Beispielsweise werden
viele Dialer über ActiveX auf den Rechner geladen und ausgeführt. Die
ActiveX-Problematik betrifft nur den Internet Explorer, da die anderen
Browser diese Technologie nicht unterstützen.
Der Begriff "Adware" setzt sich aus den englischen Wörtern
"Advertising" (Werbung) und "Software" zusammen. Eine klare
Definitionsgrenze zwischen ÆSpyware und Adware ist schwer zu
erkennen. Adware wird vielfach für Werbezwecke verwendet, indem die
Surfgewohnheiten des Benutzers aufgenommen und dazu benutzt
werden, entsprechende Produkte (z.B. durch Links) zu offerieren.
Spy- bzw. Adware gelangt meist über heruntergeladene Programme auf
den Rechner.
Eine Technologie, die eine drahtlose Kommunikation zwischen zwei
Endgeräten ermöglicht und vor allem bei Mobiltelefonen, Laptops,
PDAs und Eingabegeräten (z.B. Computermaus) zur Anwendung
gelangt.
Ursprung im slawischen Wort für Arbeit (Robota). Bezeichnet ein
Programm, das bestimmte Aktionen nach dem Empfang eines Befehls
selbstständig ausführt. Vor allem im Bereich des ÆIRC werden Bots zur
Administration (z.B. Benutzerverwaltung, automatische Sperrung von
Benutzern usw.) eingesetzt. Dieses Prinzip wurde in der jüngeren
Vergangenheit aber auch von Angreifern missbraucht. So genannte
Malicious Bots können kompromittierte Systeme fernzusteuern und zur
Durchführung beliebiger Aktionen veranlassen (Versenden von Spam,
ÆDoS-Angriffe, Installation zusätzlicher Programme wie beispielsweise
ÆKeylogger usw.).
Eine Ansammlung von Computern, die mit Malicious ÆBots infiziert
sind. Diese lassen sich durch einen Angreifer (dem Botnetzbesitzer)
komplett fernsteuern. Je nach Grösse kann ein Botnetz aus einigen
Hundert bis Millionen kompromittierter Rechner bestehen.
Software, welche Webbrowsern zusätzliche Funktionalität gibt,
beispielsweise um Multimedia Inhalte anzuzeigen.
Computer Emergency Response Team
Als CERT (auch CSIRT für Computer Security Incident Response
Team) bezeichnet man ein Team, das sich mit der Koordination und
Ergreifung
von
Massnahmen
im
Zusammenhang
mit
sicherheitsrelevanten Vorfällen in der IT befasst.
Wichtiger Bestandteil der nationalen Sicherheitspolitik und
Verteidigungsplanung. Überbegriff für Konzepte und Strategien zum
Schutz
Ækritischer
Infrastrukturen
/
kritischer
Informationsinfrastrukturen.
- 39 -
Digitales Zertifikat
DoS Attacke
DDoS Attacke
DNS
Exploit-Code
Firewall
Host
Hosts-File
IDS
Instant-Messaging (IM)
Beglaubigt die Zugehörigkeit eines öffentlichen Schlüssels zu einem
Subjekt (Person, Rechner).
Denial-of-Service Attacke
Hat zum Ziel, einen bestimmten Dienst für deren Benutzer unerreichbar
zu machen oder zumindest die Erreichbarkeit des Dienstes erheblich
einzuschränken. Eine populäre Variante von DoS Attacken im ITBereich das Senden sehr vieler Anfragen an einen Rechner/Dienst.
Durch die vielen Anfragen wird der Rechner/Dienst so überlastet, dass
er für die Antworten sehr viel Zeit benötigt oder gar ganz ausfällt.
Distributed-Denial-of-Service Attacke
Eine ÆDoS Attacke, bei der das Opfer von vielen verscheiden Systemen
aus gleichzeitig angegriffen wird.
Domain Name System
Am Internet angeschlossene Rechner kommunizieren über das
Internetprotokoll (IP) und haben dafür eine Adresse (z.B. 162.23.39.56).
Mit Hilfe von DNS lässt sich das Internet und deren Dienste
benutzerfreundlich nutzen, da die Benutzer anstelle von ÆIP-Adressen
Namen verwenden können (z.B. www.melani.admin.ch).
(kurz: Exploit) Ein Programm, ein Script oder eine Codezeile, mit der
sich Schwachstellen in Computersystemen ausnutzen lassen.
Eine Firewall (engl. für Brandmauer) schützt Computersysteme, indem
sie ein- und ausgehende Verbindungen überwacht und gegebenenfalls
zurückweist. So gesehen ist eine Firewall mit einem Wachposten an
einem Schlosstor zu vergleichen. Die Entscheidung, welche
Verbindungen zugelassen oder zurückgewiesen werden, erfolgt anhand
von einfachen Regeln, die bei jedem neuen Verbindungsaufbau
abgefragt werden. Durch Firewalls kann das Risiko von
unrechtmässigen Zugriffen durch Hacker (Computereindringlinge)
gesenkt sowie die Gefahren von ÆTrojanischen Pferden, ÆSpyware oder
ÆWürmern minimiert werden.
Die meisten Unternehmen schützen ihr Netzwerk mit einer
leistungsstarken Firewall, die auf einem speziell dafür vorgesehenen
Rechner installiert und zwischen Internet und dem eigenen Netzwerk
platziert wird.
Im Gegensatz dazu ist eine Personal Firewall (auch Desktop-Firewall)
für den Schutz eines einzelnen Rechners ausgelegt und wird direkt auf
dem zu schützenden System – das heisst auf Ihrem Rechner – installiert.
Wurde und wird in der IT vor allem für Rechner mit sehr grosser
Rechenleistung verwendet (Bankenumfeld). Heute bezeichnet man
damit aber auch kleinere Computersysteme (Computer von
Privatanwendern, Webserver usw.).
Datei, in der ÆIP-Adressen Rechnernamen zugeordnet werden. Diese
Datei ist auf jedem Computer vorhanden und wird bei der Auflösung
von Rechnernamen/IP-Adressen in der Regel als erste konsultiert (noch
vor dem ÆDNS).
Intrusion Detection System
Systeme, mit denen man unautorisierte Zugriffe auf Daten oder Rechner
erkennen kann.
Als Chat bezeichnet man eine Kommunikationsmöglichkeit im Internet,
bei der man sich in Echtzeit mit anderen Leuten unterhalten kann. Im
Gegensatz zum Telefon werden jedoch die Diskussionen nicht durch
Sprechen, sondern durch Tippen der Nachrichten geführt. Je nach
- 40 -
Internet Protocol (IP) / IPAdresse
IRC
Keylogging-Software
(Keylogger)
Kritische (nationale)
Infrastrukturen
Malware
MITM
Massenmail-Virus
P2P
Pharming
Phishing
Themengebiet stehen dafür verschiedene, sogenannte Chat-Räume (auch
Kanäle genannt) zur Verfügung. Ein Benutzer kann entweder
gleichzeitig mit allen Teilnehmern des Chat-Raums diskutieren oder sich
mit einem anderen Benutzer in einen privaten und von den Anderen
nicht einsehbaren Raum "zurückziehen". Im Internet sind verschiedene
Chat-Plattformen kostenfrei zugänglich.
Eine ähnliche Kommunikationsmöglichkeit bieten die Instant
Messaging-Dienste (z.B. AOL, MSN, ICQ und Yahoo), bei denen
Millionen Benutzer auf der ganzen Welt registriert sind.
Adresse, welche einen Computer im Internet (oder einem TCP/IPNetzwerk) identifiziert (Beispiel: 130.92.3.15).
Internet Relay Chat
Eine Form des ÆInstant Messaging (IM)-Protokolls.
Geräte oder Programme, die zwischen den Rechner und die Tastatur
geschaltet werden, um Tastatureingaben aufzuzeichnen. Diese
Aufzeichnungen werden meist in einer Datei auf dem Rechner abgelegt
oder direkt über das Internet an einen Server übermittelt. SoftwareKeylogger sind häufig Bestandteil von ÆTrojanischen Pferden.
Infrastruktur oder Teil der Wirtschaft, deren Ausfall oder Beschädigung
massive Auswirkungen auf die nationale Sicherheit oder die
ökonomische und/oder soziale Wohlfahrt einer Nation hat. In der
Schweiz sind folgende Infrastrukturen als kritisch definiert worden:
Energie- und Wasserversorgung, Notfall- und Rettungswesen,
Telekommunikation, Transport und Verkehr, Banken und
Versicherungen, Regierung und öffentliche Verwaltungen. Im
Informationszeitalter hängt ihr Funktionieren zunehmend von
Informations- und Kommunikationssystemen ab. Solche Systeme nennt
man kritische Informationsinfrastrukturen.
Setzt sich aus den englischen Begriffen "Malicious" und "Software"
zusammen. Oberbegriff für Software, die schädliche Funktionen auf
einem Rechner ausführt. Zu dieser Gruppe gehören u.a. ÆViren,
ÆWürmer, ÆTrojanische Pferde.
Man-in-the-Middle Attacke
Attacke, bei der sich der Angreifer unbemerkt in den
Kommunikationskanal zweier Partner hängt und dadurch deren
Datenaustausch mitlesen oder verändern kann.
ÆMalware, die sich durch Versenden von Mails weiterverbreitet. Häufig
wird dafür auch der Begriff „E-Mailwurm“ verwendet.
Peer to Peer
Eine Netzwerkarchitektur, bei der die beteiligten Systeme gleiche
Funktionen übernehmen können (im Gegensatz zu Client-Server
Architekturen). P2P wird häufig zum Austausch von Daten genutzt.
Manipulation der Namensauflösung via ÆDNS oder via lokale
Konfiguration (z.B. ÆHosts-File) mit dem Ziel Benutzer auf gefälschte
Server umzuleiten und so an vertrauliche Daten (Login Daten) zu
gelangen.
Das Wort Phishing setzt sich aus den englischen Wörtern "Password",
"Harvesting" und "Fishing" zusammen. Mittels Phishing versuchen
Betrüger, an vertrauliche Daten von ahnungslosen Internet-Benutzern zu
gelangen. Dabei kann es sich beispielsweise um Kontoinformationen
von Online-Auktionsanbietern (z.B. eBay) oder Zugangsdaten für das
Internet Banking handeln. Die Betrüger nutzen die Gutgläubigkeit und
- 41 -
PKI
PoC
Proxyserver
Redirect
Rootkit
SCADA-Systeme
SIP
Social Engineering
Spear Phishing
Spyware
Hilfsbereitschaft ihrer Opfer aus, indem sie ihnen E-Mails mit
gefälschten Absenderadressen zustellen.
Public Key Infrastructure
Infrastruktur zur Verwaltung und zum Einsatz von Ædigitalen
Zertifikaten.
Ein kurzer, nicht zwangsläufig kompletter Beweis, dass eine Idee oder
Methode funktioniert. Beispielsweise werden häufig ÆExploit-Codes als
PoC veröffentlicht, um die Auswirkungen einer Schwachstelle zu
unterstreichen.
Wird oft als Synonym für HTTP Proxy verwendet. Ein System, welches
Browser-Anfragen entgegennimmt und weiterleitet. Wird u.a zur
Beschleunigung von gleichen Anfragen, Überprüfung von Inhalten und
zur Anonymisierung benutzt.
dt. Weiterleitung. Meist benutzt im Zusammenhang mit Webseiten,
welche den Leser automatisch auf eine andere Seite weiterleiten.
Eine Ansammlung von Programmen und Techniken, welche es erlauben,
unbemerkten Zugriff auf und Kontrolle über einen Rechner zu haben.
Supervisory Control And Data Acquisition Systeme.
Werden zur Überwachung und Steuerung von technischen Prozessen
eingesetzt (z.B. Energie- und Wasserversorgung).
Session Initiation Protocol
Von der IETF standardisierte Protokollsuite für ÆVoIP und weitere
Kommunikationstechnologien
Social Engineering Angriffe nutzen die Hilfsbereitschaft, Gutgläubigkeit
oder die Unsicherheit von Personen aus, um beispielsweise an
vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen
zu bewegen. Neben allen Angriffsmöglichkeiten ist dies nach wie vor
eine der erfolgreichsten. Ein Angreifer kann mittels Social Engineering
beispielsweise versuchen, an Benutzernamen und Passwörter von
Mitarbeitern eines Unternehmens gelangen, indem er sich am Telefon
als Systemadministrator oder Sicherheitsverantwortlicher ausgibt.
Durch Vorgeben akuter Computerprobleme und Vortäuschen von
Betriebskenntnissen (z.B. Namen von Vorgesetzten, Arbeitsabläufe,
usw.) wird das Opfer so lange verunsichert, bis es die gewünschten
Informationen preis gibt. Zur Ausbreitung von ÆViren oder
ÆTrojanischen Pferden werden oft Methoden des Social Engineering
angewandt, etwa wenn der Name des E-Mail-Anhangs mit einem Virus
einen besonders interessanten Inhalt verspricht (z.B. "I love you", "Anna
Kournikowa", usw.).
ÆPhishing ist ebenfalls eine spezielle Form eines Social EngineeringAngriffs.
Gezielte ÆPhishing Attacke. Dem Opfer wird zum Beispiel
vorgegaukelt, mit einer ihr vertrauten Person via E-Mail zu
kommunizieren. Dadurch wird das Opfer verleitet, Daten an den
Angreifer zu senden oder Programme zu installieren. Das persönliche
Umfeld des Opfers wird dabei zuerst in Erfahrung gebracht.
Der Begriff "Spyware" setzt sich aus den englischen Wörtern "Spy"
(Spion) und "Software" zusammen. Spyware soll ohne Wissen des
Benutzers Informationen über dessen Surfgewohnheiten oder
Systemeinstellungen sammeln und diese an eine vordefinierte Adresse
übermitteln. Welche Informationen ausgelesen werden, hängt dabei von
der jeweiligen Spyware ab und kann von Surfgewohnheiten bis hin zu
- 42 -
Passwörtern gehen.
Eine klare Definitionsgrenze zwischen Spyware und ÆAdware ist
schwer zu erkennen.
Spy- bzw. Adware gelangt meist über heruntergeladene Programme auf
den Rechner.
Trojanisches Pferd
Trojanische Pferde (häufig als Trojaner bezeichnet) sind Programme, die
im Verborgenen schädliche Aktionen ausführen und sich dabei für den
Benutzer als nützliche Anwendung oder Datei tarnen. Häufig sind
Trojanische Pferde Programme, die im Internet heruntergeladen werden.
Jedoch auch bei Musikstücken oder Filmen (z.B. im heute üblichen MP3
oder MPEG-Format) kann es sich um Trojanische Pferde handeln. Diese
nutzen Sicherheitslücken in den jeweiligen Abspielprogrammen (z.B.
Media Player), um sich unbemerkt auf dem System zu installieren.
Häufig werden Trojanische Pferde ebenfalls über Anhänge in E-Mails
verbreitet.
Virus
Ein Virus besteht aus Programmanweisungen, die dem Rechner die
auszuführenden Aktionen vorgeben. Um sich weiterzuverbreiten, nistet
sich der Virus in einem "Wirtprogramm" ein. Das "Wirtprogramm" kann
eine Anwendung (z.B. heruntergeladene Software) oder ein Dokument
(z.B. eine Word-Datei, Excel-Datei) sein. Beim Ausführen der
Anwendung oder beim Öffnen des Dokuments wird der Virus aktiviert,
so dass der Rechner dazu gebracht wird, schädliche Aktionen
auszuführen.
Viren gelangen häufig über Anhänge in E-Mails oder über infizierte
Dateien, die vom Internet heruntergeladen werden, auf den Rechner.
Einmal aktiviert, können sie sich auch per E-Mail an Kontakte im
Adressbuch weiterversenden. Weitere Verbreitungswege sind externe
Datenträger (z.B. CD-ROM, USB Memory Stick, usw.).
VoIP
Voice over IP Telefonie über das Internet Protokoll (IP). Häufig
verwendete Protokolle: H.323 und ÆSIP.
Wired Equivalent Privacy (WEP) Ein Verschlüsselungsverfahren, das bei ÆWLAN-Verbindungen
eingesetzt wird. Verschlüsseln Sie Ihr WLAN wenn möglich mit
ÆWPA2, andernfalls WPA oder – wenn nichts anderes verfügbar –
WEP.
WiFi Protected Access (WPA)
Verbesserte Verschlüsselungsmethode, die bei ÆWireless-LANVerbindungen (WLAN) eingesetzt wird, nachdem sich ÆWEP als
unsicher erwiesen hat. Sowohl der WLAN-Access-Point als auch die
Netzwerkkarte im PC müssen WPA-kompatibel sein.
WPA2: Neuer Sicherheitsstandard für Funknetzwerke nach der
Spezifikation
IEEE
802.11i.
Nachfolgeversion
der
Verschlüsselungsmethode WPA und des als unsicher geltenden ÆWEP.
Setzen Sie wenn immer möglich WPA2 ein, andernfalls WPA oder –
wenn nichts anderes verfügbar – WEP.
Wireless Local Area Network
WLAN (oder Wireless Local Area Network) steht für drahtloses lokales
(WLAN)
Netzwerk. In einem WLAN kommuniziert das Endgerät (z.B. ein
Laptop, PDA, usw.) über eine drahtlose Verbindung mit einem so
genannten WLAN Access Point, welcher seinerseits (wie ein normaler
Rechner) über ein Kabel an das Internet oder das lokale Netzwerk
angeschlossen wird. Durch die wegfallende Verkabelung der Endgeräte
sind die Benutzer mobiler, was der Vorteil eines WLAN ausmacht. Die
Reichweite in Gebäuden ist abhängig von den baulichen Gegebenheiten
und fällt wesentlich geringer aus als im Freien, wo WLANVerbindungen über eine Distanz von mehr als 200 Metern möglich sind.
- 43 -
Wurm
0-day-exploit
Würmer bestehen, wie ÆViren, aus Programmanweisungen, die dem
Rechner die auszuführenden Aktionen vorgeben. Im Gegensatz zu Viren
benötigen Würmer zur Verbreitung jedoch kein Wirtprogramm.
Vielmehr nutzen sie Sicherheitslücken oder Konfigurationsfehler in
Betriebssystemen bzw. Anwendungen, um sich selbständig von Rechner
zu Rechner auszubreiten.
Mögliches Ziel für einen Wurm sind Rechner, die Sicherheitslücken
oder Konfigurationsfehler aufweisen und in irgendeiner Form mit
anderen Rechnern (z.B. über das Internet, das lokale Netzwerk, usw.)
verbunden sind.
ÆExploit, der am selben Tag erscheint, an dem die Sicherheitslücke
öffentlich bekannt wird.
- 44 -

Halbjahresbericht - Der Bundesrat admin.ch

Transcription

Documents pareils

Hier finden Sie die kostenlosten Online Rechner!

FernUni Hagen: Kurs 1867 - Sicherheit im Internet 2

Was leisten Virenscanner

2010.06.30 AMCFM Global Opportunity Fund_def

Mehrfachschlag

Alexa Spyware löschen - ungewollte Datenübertragung verhindern

Datenblatt abylon LOGON