Internetnutzer sehen sich mit einer veränderten Bedrohungslandschaft konfrontiert. "Der Versand von Viren und Würmern war gestern. Die ganze Malware liegt im Web", beschreibt Rainer Link, Senior Security Specialist Anti-Malware bei Trend Micro, die aktuelle Situation. Moderne Cybercrime-Profis setzen auf die Verteilung von Malware per Web - ob durch infizierte Webseiten, Social Hacking oder den Versand von Links in E-Mails. "Diese Ära der Web-Bedrohungen wird nicht plötzlich zu Ende gehen, da sie für die kriminelle Seite viele Vorteile hat", so Link. Die Anbieter von Sicherheitslösungen, aber auch unabhängige Tester, sind gefordert, sich auf eine explodierende Anzahl von Schädlingen, die über das Web verbreitet werden, und im Infektionsfall meist weitere Malware nachladen, einzustellen.
Die Bedrohung hat viele Gesichter. Stark verbreitet sind Manipulationen von Webseiten, um Nutzern Malware unterzuschieben. "Mit SQL-Injection können einfach sehr viele Webseiten betroffen werden", begründet Link, weshalb diese Methode sehr attraktiv für Angreifer ist. Doch auch Social-Hacking-Attacken finden zunehmend über das Web statt, beispielsweise in Form von Seiten, die vermeintliche Video-Codecs anpreisen. "Vor kurzem wurde die Webseite von Ikea Deutschland sehr gut nachgebaut", nennt Link ein anders Beispiel. Ein Link zur Seite sei bei Google platziert worden, um Malware als angebliches Plug-in zu verbreiten. Außerdem habe das Web den E-Mail-Anhang weitgehend abgelöst. "Die Malware ist nicht mehr als Attachment in E-Mails enthalten, sondern es werden URLs zu Malware-Seiten verschickt", beschreibt Link. Die inzwischen bekannte Weisheit, nicht jeden Anhang zu öffnen, müsse ergänzt werden: "Klicke nicht auf jede URL."
Für die Angreifer bietet die Malware im Web den Vorteil, dass Updates der Schadsoftware auf dem verteilenden Server ganz einfach sind. Auf infizierten Computern wiederum können Schädlinge heutzutage leicht Updates und zusätzliche Malware über das Internet nachladen. Dadurch wird es für die Sicherheitsanbieter immer schwieriger, Pattern-Dateien zur Erkennung von Schädlingen aktuell zu halten. Auch Säuberungs-Routinen für Infektionen könnten durch Änderungen an der Malware oder Unterschiede zwischen Systemen nicht immer ordentlich greifen, so Link.
Außerdem explodiert die Zahl an Schadsoftware. Signaturen alleine reichen daher als AV-Ansatz nicht mehr aus. "Ein Lösungsansatz von Trend Micro ist, die Infektionskette möglichst frühzeitig zu unterbrechen", beschreibt Link. In verschiedenen Produkten nutze das Unternehmen seine "Web Threat Protection". Das System beobachtet potenziell gefährliche URLs. Beispielsweise könnten plötzlich erhöhte Zugriffe auf eine Webseite ein Hinweis auf eine neue Bedrohung sein, dem das System nachgehen würde, so Link. Dabei werden einzelne Webpages und nicht ganze Domains als Bedrohung indiziert - das ist wichtig, da beispielsweise SQL-Injection-Angriffe oft nur Teile eines eigentlich seriösen Webangebots betreffen. Der Trend bei Trend Micro gehe laut Link allgemein zu schlankeren, intelligenteren Systemen mit Echtzeit-Komponenten.
Wie alle wichtigen Anbieter arbeitet Trend Micro unter anderem an proaktiven Behavioral-Detection-Ansätzen, die unbekannte Malware am Verhalten erkennen sollen. Diese modernen Schutzmethoden stellen nicht nur eine Herausforderung für die Anbieter, sondern auch für unabhängige Testlabore wie AV-Test oder AV-Comparatives dar, meint Link. Verschiedenartige Ansätze sollen fair verglichen werden und der Aufwand für die Tester liege deutlich höher. Er betont daher den Wert der Zusammenarbeit von AV-Anbietern und Testlaboren im Rahmen der "Anti Malware Testing Standards Organisation" (AMTSO) (pte/rw)