9. Juli 2012 - Flame-Attacke

So verbreitet sich Spionagesoftware

Die heiß diskutierte Spionagesoftware Flame zeigt eindrucksvoll, wie sich Schadprogramme ihren Weg suchen. Nutzen Sie die aktuellen Sicherheitsvorfälle, um die Mitarbeiterinnen und Mitarbeiter auf die vielfältigen Infektionswege hinzuweisen.

so-verbreitet-sich-spionagesoftware.jpeg
Die Infektionswege von Viren sind vielfältig (Bild: Thinkstock)

Räumen Sie mit Mythen auf

Viele Halbwahrheiten und Mythen im Bereich IT-Sicherheit halten sich hartnäckig. Dazu gehört die an sich richtige, aber unvollständige Information, dass Computer-Viren per E-Mail auf dem Computer der Opfer landen.

Die Wirklichkeit ist deutlich vielfältiger und deshalb auch gefährlicher. Malware kennt viele Wege an ihr Ziel, die Daten der Opfer zu missbrauchen, zu manipulieren und zu zerstören.

Überzeugen Sie mit aktuellen Beispielen: Flame

Wenn Sie an fest verwurzelten Meinungen rütteln wollen, müssen Sie Überzeugungsarbeit leisten. Hilfreich ist es, aktuelle Beispiele von Sicherheitsvorfällen zu nutzen, die intensiv von den Medien behandelt wurden. Ein solches Beispiel ist die Spionagesoftware Flame. Diese ist nicht nur in aller Munde, sondern zeigt auch, wie sich Malware den Weg bahnen kann.

Infektion auf krummen Wegen

Sicherheitsanalysen zur Spionagesoftware Flame haben gezeigt, wie raffiniert Datendiebe inzwischen Malware einsetzen und verbreiten. Ohne zu tief in die technischen Details zu gehen, lassen sich die verschiedenen Verbreitungswege laut einer Analyse von Symantec so darstellen:

  • Ausbreitung und Infektion über freigegebene Netzwerkbereiche, die über gestohlene Zugangsdaten erreicht werden
  • Ausbreitung über Schwachstellen in der Warteschlange für Druckeraufträge
  • Infektion über die manipulierte Startdatei eines Wechselmediums (z.B. USB-Stick)
  • Verbreitung über ein verstecktes Verzeichnis auf Wechselmedien (wie USB-Speicherstifte), das automatisch bei Öffnen des Speichermediums gestartet wird

Dabei erfolgt die Verbreitung bei Flame nicht rein automatisch, sondern auf Befehl der Angreifer hin. Die Spionagesoftware kann also auf ihren Einsatz warten. Diese kontrollierte Verbreitung deutet darauf hin, dass sich die Spionagesoftware nicht massenhaft, sondern ganz gezielt verbreiten sollte.

Viren haben viele Tarnkappen

Noch eine weitere Eigenschaft zeichnet diese Schadsoftware aus: Flame wurde von einem digitalen Zertifikat signiert, das den Anschein erweckt, das Programm stamme von Microsoft. Eine Prüfung der Herkunft würde also erst einmal auf den bekannten Betriebssystemhersteller deuten.

Natürlich stammt die Spionagesoftware nicht von Microsoft. Vielmehr versuchte das Spionageprogramm, sich bei einem Update von Windows-Software zu verbreiten. Das ist ein besonders heimtückischer Trick!

Typischer Fehler: Viren lieben fehlende Updates

So vielfältig die Infektionswege auch sind, die Fehler der Opfer sind ziemlich typisch. So zeigt eine aktuelle Studie von CSIS Security Group A/S, dass die meisten Infektionen bei Windows-Rechnern möglich werden durch fehlende Updates bei Java JRE, Adobe Reader und Adobe Flash.

Wie die Flame-Attacke zeigt, kann man sich aber bei den Aktualisierungen nicht auf diese Programme beschränken, auch ganz andere Schwachstellen werden gezielt ausgenutzt.


Download:


Aufklärung tut not

Sie sehen: Computer-Viren und andere Schadprogramme kommen bei weitem nicht nur über E-Mail oder einen Download aus dem Internet. Da diese Verbreitungswege gut bekannt und deshalb besser überwacht sind, wählen die Angreifer und Datendiebe zusätzlich andere Infektions- und Verbreitungsmethoden, wie USB-Sticks, Netzwerkfreigaben, Druckerverbindungen oder Bluetooth.

Klären Sie deshalb die Beschäftigten in Ihrer nächsten Datenschutz-Unterweisung auf. Unterstützung bietet Ihnen dabei die Mitarbeiterinformation „Viren kommen nicht nur per E-Mail“.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln