26. Januar 2009 - IT-Sicherheit von innen, Teil 2

Keine Sicherheit ohne Zusammenarbeit!

Die Schattenwirtschaft im Internet wird zu einem Spiegelbild der Organisierten Kriminalität in der physischen Welt. Auch die Sicherheitsanbieter haben sich organisiert und arbeiten trotz Wettbewerb am Markt vielfach zusammen. Doch wie steht es um die Zusammenarbeit der Virenforscher und der Polizei? Welche Hindernisse gibt es für die Ermittlungen im Internet? Datenschutz PRAXIS sprach mit Magnus Kalkuhl, Virus Analyst bei Kaspersky Lab.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Waren es früher vermehrt einzelne Angreifer, die einen Virus schrieben und versuchten, diesen in Umlauf zu bringen, hat sich das Internetverbrechen heute der Organisierten Kriminalität der physischen Welt angeglichen.

Kaum noch einsame Angreifer

Die Zusammenarbeit auf Seiten der Hacker und Virenautoren ist eingespielt. Im Internet lassen sich Baukästen für die Malware-Entwicklung bestellen, Support ist im Preis bereits enthalten.

„Es gibt inzwischen spezialisierte Schwachstellen-Sucher, die gegen Bezahlung lohnende Angriffsliste benennen können“, weiß Magnus Kalkuhl, Virenspezialist bei Kaspersky Lab in Ingolstadt.

„Ist eine noch nicht behobene Schwachstelle erst einmal bekannt, lassen sich schon mit einfachen Internetsuchmaschinen die betroffenen Webserver ausmachen. Entsprechende Listen liefern die Schwachstellen-Sucher an die Malware-Autoren als Vorbereitung eines Angriffs“, beschreibt Kalkuhl die Zusammenarbeit im CyberCrime.

Die Verursacher sind schwer zu ermitteln

Wer hinter einem Angriff steckt, lässt sich nicht ohne weiteres feststellen. Dazu sind meist umfangreiche Recherchen und Analysen notwendig, wie im Fall der Ransomware Gpcode.

Dem Absender des Erpresservirus kommt man langsam auf die Schliche. Dazu wurden zum Schein Erpresser-Mails beantwortet und die Antwortzeiten überprüft.

Das Aktivitätsmuster lasse auf einen Verursacher in Russland schließen, erklärt Magnus Kalkuhl. Auch die Schreibweise des Codes lege diese Vermutung nahe.

Man sei dem Virenschreiber dicht auf den Fersen, mehr könne zum derzeitigen Stand aber nicht gesagt werden, da die polizeilichen Ermittlungen noch laufen.

Internationale Kooperation mit Polizei wichtig

Nicht nur mit russischen Behörden findet eine Zusammenarbeit statt, ein erfolgreiches Beispiel stammt aus den Niederlanden.

Dort hatte die Polizei die Opfer eines Botnets ermittelt, deren Computer als Zombie-PCs für kriminelle Aktivitäten missbraucht wurden. Kaspersky Lab unterstützte dabei die Polizeiaktion durch Beseitigung der Virusinfektionen.

Doch die Frage bleibt, ob nationale Polizeikräfte im grenzüberschreitenden Internet wirklich bei der Aufklärung und Strafverfolgung erfolgreich sein können.

Beispiel Handel mit Kreditkartendaten

Magnus Kalkuhl erinnert sich noch gut an einen Fall vor zwei Jahren, bei dem er an einem Freitag eine russische Website entdeckte, die mit gestohlenen Kreditkartendaten handelte.

Er meldete seinen Fund umgehend bei der Polizei und bei der betroffenen Kreditkartengesellschaft. Doch weder die diensthabenden Beamten noch die Kreditkarten-Hotline schienen mit solchen Meldungen richtig umgehen zu können.

Kalkuhl nutzte deshalb die Internationalität seines Arbeitgebers. Die US-amerikanische Kreditkartengesellschaft und die russische Polizei wurden so direkt kontaktiert. Inzwischen seien jedoch bessere Abläufe in Deutschland spürbar.

Opfer – auch Unternehmen!! – sollten Ermittler informieren

Kalkuhl weist noch auf ein ganz anderes Problem hin: Oftmals werde die Polizei von den Internetopfern erst gar nicht eingeschaltet.

Anders als in den USA zum Beispiel, wo Datendiebstahl gemeldet werden muss, versuchen deutsche Unternehmen mitunter eine Internetattacke und einen Datenverlust geheim zu halten. Anstatt die polizeilichen Internetermittler zu informieren, möchte so manches Unternehmen das Problem lieber intern regeln.

Anti-Virus-(AV)-Hersteller könnten die Unternehmen bei den Abwehrstrategien beraten, die Ermittlungen blieben aber natürlich der Polizei vorbehalten. Diese hätte auch ganz andere Mittel wie Hausdurchsuchungen und die Auswertung von Verbindungsdaten.

Bundestrojaner wird kritisch gesehen
Für einen AV-Anbieter wie Kaspersky erscheinen jedoch nicht alle geplanten Ermittlungsmethoden der Polizei als unkritisch.

Ein Schlupfloch für den Bundestrojaner zum Beispiel werde es bei Kaspersky nicht geben. Zum einen könne ein internationaler AV-Anbieter nicht für einzelne Staaten Sonderregelungen umsetzen. „Sonst müssten wir ja für jedes Land eine Lücke bei der Erkennung vorsehen“, fasst es Kalkuhl zusammen.

Zudem wäre es zum Beispiel den Kunden in Russland nicht zu vermitteln, warum deutsche Behörden einen solchen Trojaner an der AV-Software vorbei einschleusen dürften.

Gleichzeitig bestehe das Risiko, dass gerade eine solche Lücke für Ermittler von Angreifern einmal ausgenutzt werden könnte.

AV-Hersteller tauschen sich aus

Eine andere Form der Zusammenarbeit im Dienste der Sicherheit ist weniger kritisch.

„Wir Viren-Analysten kennen uns untereinander, Konferenzen sind fast wie ein Familientreffen“, so der Eindruck von Kalkuhl.

So tauschen die verschiedenen Anti-Virus-Anbieter Samples von neuen Malware-Varianten aus. Zudem werden zur Zeit im Rahmen der Anti-Malware Testing Standards Organization (AMTSO) gemeinsame Testkriterien für AV-Software entwickelt, um die Erkennungsraten besser vergleichen zu können.

„In einigen Monaten haben wir dann eine gemeinsame Grundlage für den Test von AV-Software“, schätzt der Virusexperte in Ingolstadt. Trotzdem werde es Unterschiede in den Erkennungsraten und insbesondere in der Reaktionsgeschwindigkeit bei den einzelnen AV-Anbietern geben.

Netzwerk für mehr Sicherheit

Neben dem kollegialen Austausch neuer Malware-Samples zwischen den Virusanalysten gibt es ein ganzes Partnernetzwerk, um möglichst schnell über neue Bedrohungen aus dem Internet informiert zu sein.

„Neben den Verdachtsfällen, die wir über E-Mail gemeldet bekommen, arbeiten wir mit zahlreichen Partnern wie zum Beispiel Banken zusammen, die uns über verschiedene Ereignisse informieren“, so Kalkuhl.

Infoquelle Honeypots und Botnets

Wichtige Informationsquellen seien zudem Honeypots, die als Fallen im Internet aufgestellt würden, und die Botnets selbst, in die sich die Virenanalysten einschleichen.

„Manchmal wundern sich Kunden, wie wir so schnell von neuen Viren erfahren können. In der Öffentlichkeit wird ja den AV-Herstellern manchmal sogar vorgeworfen, ob sie nicht die Viren selbst schreiben. Das ist natürlich nicht so“, erläutert Kalkuhl, der auch sofort die Erklärung dafür nennen kann, warum sie so frühzeitig neue Viren kennen.

„Unsere Agenten in den Botnets haben sich meist in der Botnet-Hierarchie weit nach oben gearbeitet. Dadurch können wir neue Viren sehr früh abfangen.“

Der nächste Teil der Serie „IT-Sicherheit von innen“ wird die Zukunft der Internetsicherheit beleuchten und zeigt eine Vorausschau auf das Internet von morgen.

Das Interview führte Oliver Schonschek.
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln