Thought Leadership
Ein Kommentar von Sicherheitsspezialist Udo Schneider, Pressesprecher beim IT-Sicherheitsanbieter Trend Micro.
In der Berichterstattung über gezielte Cyberangriffe gewinnt man zunehmend den Eindruck, es seien vor allem westliche Länder, allen voran die USA, und ihre Unternehmen, die Spionageattacken aus dem Internet ausgesetzt seien. Dieser Eindruck ist jedoch genauso falsch wie die Aussage, Antivirus sei tot, wie der aktuelle Bericht meiner Kollegen zu gezielten Angriffen im zweiten Halbjahr 2013 zeigt.
In der Tat stehen die USA im Visier der Cyberspione. Gemessen an der Anzahl an Verbindungen von lokal installierter Spionagesoftware mit ihren Befehls- und Kontrollservern im Internet stellt man aber fest, dass noch häufiger Japan und Taiwan von gezielten Angriffen betroffen sind als die Vereinigten Staaten. Auf Platz vier dieser Rangliste folgt übrigens China. Gezielte Angriffe, die immer der Spionage dienen, also wertvolle, weil vertrauliche Informationen abzugreifen versuchen, sind folglich ein globales Problem, bei dem Täter und Opfer weniger scharf voneinander zu trennen sind, als es vielleicht wünschenswert wäre.
Andererseits: Sollten wir jetzt „gekränkt“ sein, dass Deutschland nicht unter den ersten zehn der am meisten angegriffenen Länder rangiert? Sind wir denn kein würdiges Ziel? Oh doch, und die deutschen Unternehmen sollten besonders gewarnt sein: Sie stehen wegen ihrer wertvollen Firmengeheimnisse ganz oben auf der Liste der Cyberspione. Indes findet im Augenblick noch die überwiegende Mehrzahl der gezielten Angriffe auf Regierungen und regierungsnahe Institutionen statt. Im zweiten Halbjahr 2013 waren es weltweit betrachtet nicht weniger als 80 Prozent. Auch wenn wir über keine genauen Zahlen verfügen, so dürften vor diesem Hintergrund eher die deutschen Unternehmen als Behörden im Fadenkreuz der Cyberspione stehen.
Gängige Angriffsmittel überwiegen
Große Organisationen – Unternehmen wie Regierungen – haben das Problem, die Sicherheitslücken auf ihren Rechnern und Servern nur sehr verzögert schließen oder auf neue Betriebssystemversionen migrieren zu können. Hinzu kommt: Cyberspione versuchen in der Regel nicht, direkt auf die vertraulichen und daher besonders geschützten Informationen zuzugreifen. Sie bemühen sich vielmehr, sich über so genanntes „Social-Engineering“ auf dem Bürorechner beispielsweise eines Sachbearbeiters, der besonders viel über sich und sein Privatleben etwa auf Facebook preisgegeben hat, einzunisten und von dort zu den eigentlichen Zielen vorzudringen. Beide Phänomene zusammen erklären, warum 76 Prozent der gezielten Angriffe in der zweiten Jahreshälfte 2013 mit Hilfe einer speziell präparierten E-Mail-Nachricht eine Sicherheitslücke ausgenutzt haben, die vom Hersteller der von der Lücke betroffenen Software bereits seit April 2012 geschlossen ist.
Die Cyberspione haben also eher leichtes Spiel und sie setzen weiterhin auf bewährte und möglichst gängige Methoden und Schadsoftware wie zum Beispiel Trojaner oder Hintertürschädlinge, die zusammen 81 Prozent des bei gezielten Angriffen verwendeten Schadcodes ausmachten. Freilich sind diese Schädlinge aufgrund ihrer leichten Veränderbarkeit nicht mehr zuverlässig mit Antivirenlösungen allein aufzuspüren. Dennoch leisten solche Lösungen wertvolle Dienste, wenn die Rechner mit diesen Schadcodetypen bereits infiziert sind.
Gezielte Verteidigung
Die Analyse der gezielten Angriffe weltweit durch meine Kollegen zeigt deutlich, dass Cyberspionage, was Angriffsmethoden und -mittel betrifft, keine völlig eigenständige Kategorie darstellt. Gezielte Attacken sind zwar komplex, enthalten aber in der Regel Komponenten „gewöhnlicher“ Infektionen. Genau aus diesem Grund verlassen sich die meisten IT-Sicherheitsanbieter schon seit Jahren nicht mehr auf eine einzige Erkennungsmethode wie Antivirus. Sie haben eine Vielzahl von Erkennungs- und Schutzmechanismen entwickelt, die ineinandergreifen, weiterhin AV als eine dieser Komponenten enthalten und Infektionen möglichst verhindern sollen. Da dies jedoch nie zu 100 Prozent möglich ist, werden diese Mechanismen um solche der Spionageaufklärung und -abwehr ergänzt. Zielgerichtete Verteidigung nennt Trend Micro das als Antwort auf gezielte Angriffe.
Spionage dürfte so alt sein wie die Erfindung des Staates. Jeder kämpft hier gegen jeden. Das gilt auch und gerade für Cyberspionage. Bürgern und Unternehmen helfen hier vermeintlich eindeutige Schuldzuweisungen nicht weiter. Informationen, die wertvoll sind, werden mit Sicherheit irgendwann einem Spionageversuch ausgesetzt sein. Die Unternehmensverantwortlichen müssen deshalb Online-Spionage genauso in ihre allgemeine Risikovorsorge einbeziehen und entsprechende Maßnahmen ergreifen, wie sie es bei klassischen Spähversuchen schon lange tun. Denn eins ist sicher: Jammern und mit dem Finger zeigen hilft wenig bis gar nichts.
Weitere Informationen
Weitere Informationen zur Trend Micro-Studie über gezielte Angriffe im zweiten Halbjahr 2013 sind im deutschen Unternehmensblog erhältlich; auch die Studie selbst steht dort zum Herunterladen bereit.
