Nur neun Prozent aller Angriffe richten sich gegen Betriebssysteme, sagte Michael Kranawetter, Sicherheitschef des Softwareriesen Microsoft. Das gelte übrigens für alle Betriebssysteme, also auch für Linux und Co. 91 Prozent der Angriffe dagegen richteten sich gegen Applikationen und Programme:
"Deswegen die Frage an, sagen wir mal die öffentliche Hand: brauchen wir in dem Sinne vielleicht mehr Regulierung, wie Software sicher entwickelt werden muss und wie hier vielleicht auch mit Zwang, um entsprechende Sicherheitslücken zu reduzieren?"
Kriminellen würde es noch viel zu leicht gemacht, im Internet Opfer zu finden – und Schuld daran hätten oft die Opfer selbst, ob es nun private User sind, die angegriffen werden oder renommierte Unternehmen. Die ersten würden oft vergessen, regelmäßig Betriebssystem und Virenschutz auf dem neuesten Stand zu halten, die zweite Gruppe potenzieller Opfer hätte ein organisatorisches Problem, sagt Wolfgang Nickel, Leiter der Sicherheitsabteilung des IT- Beratungsunternehmens Steria Mummert Consulting:
"Das, wo man früher einmal war, vor 10 oder 15 Jahren, dass man gesagt hat: 'hast du dein Patch-Management in Ordnung, hast du einen aktuellen Virenschutz? So, Stempel drauf, deine IT- Sicherheit ist in Ordnung!' - da sind wir weit, weit davon weg. Und ich sehe das auch in der täglichen Arbeit, in Unternehmen noch stärker als in Behörden: Wenn es eine Sicherheitsrichtlinie gibt, wenn es ein Sicherheitsmanagement gibt, steht es häufig im Schrank. Dass das wirklich gelebt wird, ist in den aller seltensten Ausnahmefällen der Fall, in weniger als 20 Prozent der Behörden und Unternehmen."
Dr. Harald Niggemann vom Bundesamt für Sicherheit in der Informationstechnik beschreibt dieses Phänomens als...
"verwaltete Unsicherheit. Es ist ein IT- Sicherheitsbeauftragter benannt, es ist ein Information Security Officer benannt, es ist ein Managementprozess initiiert, der systematisch Risiken identifiziert und diese Risiken werden akzeptiert. Oder es werden Umsetzungspläne gemacht, weil eben die Risiken nicht akzeptiert werden und diese Umsetzungspläne sind auf so lange Zeithorizonte ausgelegt, dass letztendlich keine substanzielle Verbesserung des tatsächlich erreichten realen Sicherheitsniveaus erreicht wird."
Ein klassisches Beispiel aus jüngerer Zeit sei der Einbruch beim kanadischen Telekommunikationsunternehmen Nortel-Networks, wo es den in China beheimateten Tätern gelang, mittels Password tief ins System einzudringen um Spionage-Software zu installieren. Als Nortel erst nach langer Zeit den Angriff bemerkte, änderte man nur die Passwörter, warnte aber weder Kunden noch spätere Kaufinteressenten. Das Schweigen über einen erfolgten Hackerangriff, aus Angst vor Reputationsverlust, würde oft eine effektive Bekämpfung der Spionagesoftware behindern. Dr. Bernd Eßer vom Telekom-CERT, präsentierte auf dem Polizeikongress sogenannte "Operation- Ghost- Click"- Angriffe, die erst nach sechs Jahren entdeckt wurden. Opfer waren nicht Enduser, sondern Website-Betreiber, die durch kriminelle sogenannte "Ad-Broker" um den finanziellen Anteil ihrer Werbebanner betrogen wurden:
"Die haben 1600 DNS-Server in New York und Chicago betrieben und haben auf vier Millionen Rechnern einen sogenannten Bot-Net Client installiert, der die DNS-Anfragen auf die 1600 Server umgelenkt hat. Wenn solch eine Seite kam, mit Werbung drauf, dann wurde die Adresse der Seite nicht geändert. Sie haben immer noch die T-Online–Seite bekommen. Wenn die aber entdeckt haben, dass auf der T-Online-Seite Werbebanner eingeblendet wurden, dann wurde die IP-Adresse dieser Werbebanner geändert. Und das entdecken Sie mal... Als T-Online müssten Sie den ganzen Tag Ihre Homepage begucken und feststellen, ob da wirklich diese 20 oder 40 Unternehmen werben, die dafür bezahlt haben. Fast Unmöglich!"
Gerade weil oft die späte Entdeckung von Schadsoftware verschwiegen wird, fordert der Leiter des Landeskriminalamtes NRW Wolfgang Gaztke verpflichtende Software- Standards, wenigstens für Behörden und kritische Infrastrukturen, eine Meldepflicht für entdeckte Angriffe und – die Vorratsdatenspeicherung. Im Beispiel einer erfolgreichen Fahndung...
"...wurde die Software in der Ukraine produziert, von Tätern in Estland eingesetzt und genutzt, in Deutschland, 400.000 Rechner, die infiziert worden sind. Derjenige, der die ganzen Aktivitäten gesteuert hat, saß in Großbritannien. Wir haben über IP-Adressen das soweit feststellen können. Dort gab es die Mindestdatenspeicherung. Dort konnten die auf der Grundlage identifiziert und ermittelt werden und wir haben ihrer habhaft werden können, bis hin zur Auslieferung nach Deutschland und zu erheblichen Verurteilungen, die dann erfolgt sind. Also insofern: Mindestdatenspeicherung, auch in Deutschland eine Pflicht!"
Zum Themenportal "Risiko Internet"
"Deswegen die Frage an, sagen wir mal die öffentliche Hand: brauchen wir in dem Sinne vielleicht mehr Regulierung, wie Software sicher entwickelt werden muss und wie hier vielleicht auch mit Zwang, um entsprechende Sicherheitslücken zu reduzieren?"
Kriminellen würde es noch viel zu leicht gemacht, im Internet Opfer zu finden – und Schuld daran hätten oft die Opfer selbst, ob es nun private User sind, die angegriffen werden oder renommierte Unternehmen. Die ersten würden oft vergessen, regelmäßig Betriebssystem und Virenschutz auf dem neuesten Stand zu halten, die zweite Gruppe potenzieller Opfer hätte ein organisatorisches Problem, sagt Wolfgang Nickel, Leiter der Sicherheitsabteilung des IT- Beratungsunternehmens Steria Mummert Consulting:
"Das, wo man früher einmal war, vor 10 oder 15 Jahren, dass man gesagt hat: 'hast du dein Patch-Management in Ordnung, hast du einen aktuellen Virenschutz? So, Stempel drauf, deine IT- Sicherheit ist in Ordnung!' - da sind wir weit, weit davon weg. Und ich sehe das auch in der täglichen Arbeit, in Unternehmen noch stärker als in Behörden: Wenn es eine Sicherheitsrichtlinie gibt, wenn es ein Sicherheitsmanagement gibt, steht es häufig im Schrank. Dass das wirklich gelebt wird, ist in den aller seltensten Ausnahmefällen der Fall, in weniger als 20 Prozent der Behörden und Unternehmen."
Dr. Harald Niggemann vom Bundesamt für Sicherheit in der Informationstechnik beschreibt dieses Phänomens als...
"verwaltete Unsicherheit. Es ist ein IT- Sicherheitsbeauftragter benannt, es ist ein Information Security Officer benannt, es ist ein Managementprozess initiiert, der systematisch Risiken identifiziert und diese Risiken werden akzeptiert. Oder es werden Umsetzungspläne gemacht, weil eben die Risiken nicht akzeptiert werden und diese Umsetzungspläne sind auf so lange Zeithorizonte ausgelegt, dass letztendlich keine substanzielle Verbesserung des tatsächlich erreichten realen Sicherheitsniveaus erreicht wird."
Ein klassisches Beispiel aus jüngerer Zeit sei der Einbruch beim kanadischen Telekommunikationsunternehmen Nortel-Networks, wo es den in China beheimateten Tätern gelang, mittels Password tief ins System einzudringen um Spionage-Software zu installieren. Als Nortel erst nach langer Zeit den Angriff bemerkte, änderte man nur die Passwörter, warnte aber weder Kunden noch spätere Kaufinteressenten. Das Schweigen über einen erfolgten Hackerangriff, aus Angst vor Reputationsverlust, würde oft eine effektive Bekämpfung der Spionagesoftware behindern. Dr. Bernd Eßer vom Telekom-CERT, präsentierte auf dem Polizeikongress sogenannte "Operation- Ghost- Click"- Angriffe, die erst nach sechs Jahren entdeckt wurden. Opfer waren nicht Enduser, sondern Website-Betreiber, die durch kriminelle sogenannte "Ad-Broker" um den finanziellen Anteil ihrer Werbebanner betrogen wurden:
"Die haben 1600 DNS-Server in New York und Chicago betrieben und haben auf vier Millionen Rechnern einen sogenannten Bot-Net Client installiert, der die DNS-Anfragen auf die 1600 Server umgelenkt hat. Wenn solch eine Seite kam, mit Werbung drauf, dann wurde die Adresse der Seite nicht geändert. Sie haben immer noch die T-Online–Seite bekommen. Wenn die aber entdeckt haben, dass auf der T-Online-Seite Werbebanner eingeblendet wurden, dann wurde die IP-Adresse dieser Werbebanner geändert. Und das entdecken Sie mal... Als T-Online müssten Sie den ganzen Tag Ihre Homepage begucken und feststellen, ob da wirklich diese 20 oder 40 Unternehmen werben, die dafür bezahlt haben. Fast Unmöglich!"
Gerade weil oft die späte Entdeckung von Schadsoftware verschwiegen wird, fordert der Leiter des Landeskriminalamtes NRW Wolfgang Gaztke verpflichtende Software- Standards, wenigstens für Behörden und kritische Infrastrukturen, eine Meldepflicht für entdeckte Angriffe und – die Vorratsdatenspeicherung. Im Beispiel einer erfolgreichen Fahndung...
"...wurde die Software in der Ukraine produziert, von Tätern in Estland eingesetzt und genutzt, in Deutschland, 400.000 Rechner, die infiziert worden sind. Derjenige, der die ganzen Aktivitäten gesteuert hat, saß in Großbritannien. Wir haben über IP-Adressen das soweit feststellen können. Dort gab es die Mindestdatenspeicherung. Dort konnten die auf der Grundlage identifiziert und ermittelt werden und wir haben ihrer habhaft werden können, bis hin zur Auslieferung nach Deutschland und zu erheblichen Verurteilungen, die dann erfolgt sind. Also insofern: Mindestdatenspeicherung, auch in Deutschland eine Pflicht!"
Zum Themenportal "Risiko Internet"