Nach Ansicht der Symantec-Experten werden Schwachstellen immer schneller ausgenutzt. In fast 60 Prozent der Fälle passiert das innerhalb eines Jahres. Und die Zahl der Schwachstellen nimmt weiter zu.
Die unmittelbare Ausnutzung einer Schwachstelle direkt nach ihrer Bekanntgabe ohne wesentliche zeitliche Verzögerung sei ohne weiteres denkbar. Und zwar dann, wenn jemand eine Schwachstelle entdeckt und unmittelbar danach einen "passenden Exploit" entwickelt (also nicht mit dem Anbieter zusammenarbeitet, um die Schwachstelle auszumerzen). Ist die bösartige Bedrohung erst einmal freigesetzt, können User sich nicht dagegen schützen, denn entsprechende Patches sind dann noch nicht vorhanden. Beispiel: Auf eine kürzlich bekannt gegebene Cisco-Schwachstelle folgte innerhalb von zwei Tagen ein Exploit.
Die Schwachstellen wandeln sich auch vermehrt. Über 80 Prozent können von außen ausgenutzt werden. Sie finden sich einerseits in öffentlichen Internetdiensten, andererseits in allgemeinen Datenprotokollen, die üblicherweise im Intranet verwendet werden. Diese Schwachstellen stellen ein deutlich erhöhtes Risiko für Unternehmen dar. Nach außen orientierte Systeme wie das Internet werden oft besser gewartet; Intranetsysteme sind schwieriger zu managen, viele von ihnen werden wahrscheinlich gar nicht verwaltet.
Viele Unternehmensnetzwerke bestehen aus einer Kombination aus verwalteten und nicht verwalteten, aber dennoch bekannten Rechnersystemen sowie aus "unbekannten" Rechnern. Letztere stellen das höchste Risiko für Unternehmen dar, zum Beispiel als Quelle für interne Infektionen, da sie sich der Kontrolle entziehen. Nicht kontrollierte Rechnersysteme können sich beispielsweise an entlegenen Standorten befinden oder sind ohne Wissen der IT-Administration im Unternehmensnetzwerk.
Selbst hoch entwickelte Sicherheitstechnologien laufen ins Leere, wenn sie nicht korrekt eingesetzt werden. Größere Organisationen können sich durch Outsourcing helfen lassen. Wichtig ist auch die konsequente Umsetzung von Sicherheitsrichtlinien.
Komplexe Bedrohungen stellen weiterhin die größte Gefahr dar. Sie werden nicht nur immer ausgeklügelter, sie werden auch immer häufiger in Umlauf gebracht. Je dichter die Vernetzung, umso größer ist die Verletzlichkeit. Das Prinzip Plug and Play sowie leicht verfügbare Hackertools (Click & Hack) ermöglichen es auch Laien ohne große Hintergrundkenntnisse, ausgeklügelte Bedrohungen zu schaffen. Während die technische Raffinesse komplexer Bedrohungen zunimmt, nimmt das eigentliche Hintergrundwissen der Urheber ab.
Ausblick auf das Jahr 2004
Aus Slammer und Blaster ist nach Expertenmeinung folgende Lehre zu ziehen: Unternehmen sollten Patch-Management ernst nehmen und Sicherheitsrichtlinien befolgen. Privatnutzer sollten sich von der Annahme, man sei nicht gefährdet, weil man sich nur bei Bedarf ins Internet einwählt, nicht irreleiten lassen.
Sobig stellte im vergangenen Jahr für große Unternehmen keine große Bedrohung dar, da er bereits am Gateway abgefangen wurde. Es war jedoch die größte Bedrohung des Jahres für Privatanwender und Anwender in kleinen Unternehmen.
Im nächsten Jahr ist aller Wahrscheinlichkeit nach mit zwei bis vier komplexen Bedrohungen vom Kaliber eines Blaster oder Slammer zu rechnen. Außerdem wird voraussichtlich eine Bedrohung der Kategorie 3 (ähnlich Sobig) etwa einmal pro Monat zu verzeichnen sein. Dennoch ist es unwahrscheinlich, dass eine weitere Variante von Sobig auftauchen wird, da die öffentliche Aufmerksamkeit in diesem Fall sehr hoch war.
In einem Zeitrahmen von etwa zwei bis fünf Jahren ist mit neuen Bedrohungen für mobile Endgeräten zu rechnen. Die gute Nachricht: Es gibt immer mehr umfassende Sicherheitsmaßnahmen. Die Sicherheitsaufklärung greift allmählich.
Die Schadensroutinen verändern sich. Der Trend geht weg vom bloßen Hinterlassen einer Botschaft hin zum Export von Daten (Passwörter, Kreditkartennummern usw.). Symantec Security Response hat eine Zunahme von Trojanischen Pferden um 50 Prozent festgestellt, die bösartigen Code oder Backdoors vornehmlich für den Export von Daten transportieren (Quelle: ISTR Januar - Juni 2003 im Vergleich).
Spammer setzen immer häufiger Techniken ein, die auch Virenschreiber verwenden. Jedoch gibt es keinen Beleg dafür, dass Spammer Virenschreiber sind und umgekehrt.
Spammer nutzen alle Technologien, die sie zur Verfügung haben. Sie setzen mittlerweile auch Proxy-Server ein, die es ihnen erlauben, anonym zu bleiben, um Spam-Mails zu versenden. Dabei spielt es für Spammer keine Rolle, dass eines von zwei infizierten Systemen entdeckt wird. Ihr Ziel ist es vielmehr, Hunderte oder gar Tausende solcher Systeme einzusetzen und zu so genannten BotNets zusammenzuschließen.
Meinung der Redakteurin
Sicherheit wird auch im Jahr 2004 ein wichtiges IT-Thema bleiben. Die Hacker-Tools werden immer ausgefeilter und können - vor allem über das Inter- und Intranet - massiven Schaden anrichten. Deshalb sollte der Fachhandel seine Kunden - Unternehmen wie auch Privatanwendern - noch intensiver beraten und umfassenden Schutz anbieten.