Im Laufe des Jahres 2011 wurde ĂŒber viele Angriffe berichtet, so etwa ĂŒber den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und fĂŒr weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch ĂŒber Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken fĂŒhrten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, ĂŒber die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. WĂ€hrend bösartige Binaries hĂ€ufig fĂŒr eine Analyse zur VerfĂŒgung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklĂ€ren hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache VorfĂ€lle in eine Kampagne einzuordnen sind. FĂŒr jeden, der APT-Angriffe erforschen will, eine PflichtlektĂŒre.
• „1.php“ – ist ein Bericht von Zscaler ĂŒber eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und prĂ€sentieren die Ergebnisse als Grundlage fĂŒr Verteidigungsmaßnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die SchĂ€dlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen ĂŒber einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys PrĂ€sentation auf der SecTor 2011 lieferte einen lĂ€ngst ĂŒberfĂ€lligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des SchĂ€dlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit fĂŒr Gmail genutzt wurden, ĂŒber den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufĂŒgen konnten

Der Angriff erfolgt ĂŒber eine fingierte E-Mail, die vermeintlich vom Facebook-Sicherheitsteam abgeschickt wurde. Dieser Angriff ist auch deshalb so gefĂ€hrlich, weil bereits die Voransicht der gefĂ€lschten Nachricht genĂŒgt, um die Infektion auszulösen.

Microsoft hat bereits ein Sicherheitsupdate veröffentlicht, mit der sich die SicherheitslĂŒcke schließen lĂ€sst. Auch wenn damit die akute Bedrohung fĂŒr Hotmail-Nutzer gebannt ist, dĂŒrfte ein ganz anderes Thema neue Nahrung erhalten: die rechtliche Diskussion um die private Nutzung von E-Mails am Arbeitsplatz oder von Rechnern aus, die ganz oder teilweise fĂŒr berufliche Zwecke genutzt werden. Ein Thema also, bei dem damit zu rechnen ist, dass die Cyberkriminellen Webmail-Dienste und ihre Nutzung im Unternehmen auch weiterhin gezielt ausnutzen werden.

Denn wĂ€hrend sich die private E-Mail-Nutzung im Unternehmenskontext in den USA einfach verbieten lĂ€sst, sieht die Rechtslage in den meisten europĂ€ischen LĂ€ndern komplizierter aus – Deutschland inklusive. Und schon droht VorstĂ€nden und GeschĂ€ftsfĂŒhrern ein Dilemma: Einerseits mĂŒssen sie die PrivatsphĂ€re ihrer Mitarbeiter achten, andererseits unter UmstĂ€nden fĂŒr die aus der privaten E-Mail-Nutzung entstehenden SchĂ€den persönlich haften.

Trend Micro rĂ€t daher den Unternehmen dringend zu prĂŒfen, ob auch Firmendaten ĂŒber den privaten Account empfangen oder versandt wurden. Unter UmstĂ€nden ist sogar darĂŒber nachzudenken, ob die geschĂ€ftliche Arbeitsumgebung von der „privaten“ komplett zu trennen ist – sei es ĂŒber verschiedene physikalische Maschinen (öffentliche „Surfterminals“) oder ĂŒber Virtualisierung.

Trend Micro schĂŒtzt seine Kunden vor der beschriebenen Attacke bereits seit dem 13. Mai. Seither sorgen Trend Micros Reputationsdienste zur Bewertung von Webadressen und Dateien dafĂŒr, dass das Herunterladen und AusfĂŒhren des Spionageprogramms verhindert werden.

Trend Micro hat Microsoft ĂŒbrigens sofort nach Entdeckung des Angriffs auf die SicherheitslĂŒcke aufmerksam gemacht. Dies geschah im Rahmen einer Kooperation der beiden Unternehmen, um Kunden durch den koordinierten Austausch von Informationen bestmöglich zu schĂŒtzen.

WeiterfĂŒhrende Informationen finden sich im englischsprachigen Blog-Eintrag

Weniger als zwei Monate vor dem Beginn der Fußballweltmeisterschaft 2010 nutzen Cyberkriminelle – wie zu erwarten war – dieses prestigetrĂ€chtige internationale Fußballereignis, um die Anwender zu ĂŒberlisten. TrendLabs(sm) hat die neueste Bedrohung in diesem Zusammenhang ausgemacht, und zwar in Form einer E-Mail-Nachricht, die zurzeit ĂŒberall als Spam verbreitet wird.

Die Spam-Nachricht hatte als Anhang eine PDF-Datei, die offensichtlich Details zu einem Preisausschreiben enthielt, das der EmpfĂ€nger angeblich gewonnen hat. Ferner enthielt die Datei Anweisungen an den EmpfĂ€nger, persönliche Informationen preiszugeben und diese an die Kontaktperson oder den Absender der E-Mail zu schicken, bevor der Preis ĂŒberreicht werden kann.

Interessanterweise handelt es sich bei der fiktiven Absenderin der E-Mail – eine gewisse Mrs. Michelle Matins, Executive Vice President – um die Unterzeichnerin der 419 Scam, der so genannten Nigeria Scam .

Andere gefundene Varianten der Spam-Attacke enthielten bemerkenswerterweise keine Anlagen und wurden angeblich von einem gewissen FIFA-VizeprĂ€sident mit Namen Geoff Thompson versendet. Weitere Nachforschungen ergaben, dass auch „er“ mit einer alten Scam  in Verbindung zu bringen ist.

TrendLabs(sm) dokumentierte die allererste Spam-Attacke, die das Thema der Fußballweltmeisterschaft 2010 nutzte, bereits Anfang 2009 – gut 18 Monate, bevor das eigentliche Event stattfindet. Die damaligen Spam-Nachrichten drehten sich um den Online-Lotterie-Gewinn des jeweiligen EmpfĂ€ngers.

Das Trend Microℱ Smart Protection Networkℱ bietet Anwendern Schutz vor der beschriebenen Attacke, indem es die Spam-Nachrichten mit Hilfe seines E-Mail-Reputationsdienstes blockiert, bevor sie in den Posteingang der EmpfĂ€nger gelangen. Je nĂ€her das Sportereignis rĂŒckt, desto mehr sollten die Nutzer auf weitere Angriffe dieser Art oder Varianten davon gefasst sein. CNN bezeichnet die Fußballweltmeisterschaft 2010 als die erste des „Social Media-Zeitalters“ und so sind rund um das Ereignis Rekordsniveaus globaler InteraktivitĂ€t  zu erwarten.

WĂ€hrend die Browser-Hersteller auf der einen Seite um Marktanteile kĂ€mpfen, haben sie auf der anderen Seite Probleme, ihre Nutzer vor den zunehmenden Gefahren zu schĂŒtzen. In einigen der populĂ€rsten Browser wurden kĂŒrzlich ernste SicherheitslĂŒcken entdeckt. An erster Stelle stand hierbei der Internet Explorer (IE), in dem Microsoft allein im MĂ€rz zwei Schwachstellen schließen musste.

Auch der Firefox geriet in die Schlagzeilen mit einer eigenen SicherheitslĂŒcke, die ernst genug war, um das BSI mit einer Warnung vor der Nutzung des Firefox auf den Plan zu rufen (Die LĂŒcke wurde mittlerweile ĂŒber ein vorgezogenes Update auf Firefox 3.6.2 von Mozilla geschlossen).

Andere Browser wie Opera und Safari hatten ebenfalls mit eigenen Fehlern zu kĂ€mpfen. Beide haben jedoch die Schwachstellen bereits gestopft. Der bekannte Sicherheitsexperte Charlie Miller warnte jedoch, er habe noch mehr Safari Zero-Day-Fehler zu veröffentlichen – schlechte Neuigkeiten, nicht nur fĂŒr Apple sondern auch fĂŒr Google Chrome, denn der Browser nutzt dieselbe WebKit Rendering Engine wie Safari.

Der Trend Micro Sicherheitsanalyst Rafiv Motwani erklĂ€rte: „UnabhĂ€ngig von den erwĂ€hnten LĂŒcken können wir nicht im entferntesten abschĂ€tzen, wie viele Schwachstellen derzeit ausgenĂŒtzt werden. Man darf auch nicht vergessen, dass eine Vielzahl von Nutzern ihre Systeme nicht patcht.“ Er fĂŒgt hinzu, es gebe verschiedene GrĂŒnde dafĂŒr, warum Nutzer ihre Systeme nicht aktualisieren. Dazu gehöre das fehlende zentrale und automatische Update-System, ein herstellerunabhĂ€ngiger Patch-Release-Zyklus und die Auffassung, dass eine traditionelle Antivirus-Software gegen alle Arten von Gefahren schĂŒtzt. Schließlich mache die Verbreitung von Malware, die sich als Software-Patch ausgibt, die Dinge noch komplizierten, indem sie Zweifel und Verunsicherung bei den Nutzern aufkommen lĂ€sst.

Maßnahmen, wie die von der EU verordnete Browser-Abstimmung , die zu einer breiteren Browser-Auswahl fĂŒhren soll, mag Nutzer dabei unterstĂŒtzen, die Schwachpunkte in bestimmten Programmen zu erkennen. Doch Motwani betont, dass es praxisfern sei anzunehmen, dass Nutzer bei jeder neu entdeckten Schwachstellen den Browser wechseln. Unternehmensanwender mĂŒssten zusĂ€tzlich die Performance-Auswirkungen, StabilitĂ€t und KompatibilitĂ€t testen, bevor sei Patches ausrollen. Deshalb empfiehlt Motwani, statt Browser-Wechsel stets aktuelle Sicherheitsprodukte (siehe auch „Den ‚sichersten‘ Browser gibt es nicht“) einzusetzen und zu gewĂ€hrleisten, dass die Definition immer auf dem neuesten Stand sind. DarĂŒber hinaus sei es auch von entscheidender Bedeutung, Links, Dateien und herunter ladbare Daten von Social-Networking-Sites oder aus unbekannten Quellen mit Vorsicht zu behandeln. Weitere nĂŒtzliche Maßnahmen sind die Deaktivierung von Scripting oder zumindest die Benutzung von Scripts zu regeln und auf vertrauenswĂŒrdige Sites zu beschrĂ€nken.

Berichten des Identity Theft Resource Centers (ITRC) zufolge nimmt der Diebstahl von IdentitĂ€tsinformationen von Kindern zu. Man spricht von einem solchen Delikt, wenn die persönlichen Daten eines Kindes von einem BetrĂŒger zu seinem Vorteil verwendet werden – etwa finanzieller Art. Eigentlich kaum zu glauben, wer sollte auf die Idee kommen, von einem FĂŒnfjĂ€hrigen Geld zu stehlen?

Das ITRC bestĂ€tigte seit Juli vergangenen Jahres nahezu 4000 FĂ€lle von IdentitĂ€tsdiebstahl, wobei fast zehn Prozent davon die Daten von Kindern beinhalten. Zugegeben, in einer Welt, in der millionenfach persönliche Daten gestohlen werden, scheinen zehn Prozent nicht viel zu sein, doch fĂŒr Eltern stellt dies mehr dar, als sie sich je hĂ€tten vorstellen können. In den meisten FĂ€llen wird der Diebstahl von IdentitĂ€tsinformationen von Kindern durch einen Erwachsenen begangen, der in irgendeiner Beziehung zum Opfer steht: Eltern, Onkel, Tante oder Familienfreund. Doch immer hĂ€ufiger beobachtet das ITRC FĂ€lle, in denen die TĂ€ter den Kindern oder dessen Eltern unbekannt sind.

Es gibt eine Reihe von Regeln, die Erwachsene beachten sollten, damit die persönlichen Daten von Kindern besser geschĂŒtzt sind:

1. Nachdenken, bevor Daten im Internet publiziert werden: Kinder mĂŒssen dazu angehalten werden, nur die Informationen ins Internet zu stellen, die sie auch Fremden zukommen lassen wĂŒrden. Auch sollten sie ĂŒber die Möglichkeit eines IdentitĂ€tsdiebstahl aufgeklĂ€rt werden, um zu wissen, welche Daten fĂŒr Diebe interessant sein könnten. Außerdem, wie viele von uns Erwachsenen veröffentlichen Informationen ĂŒber die eigenen Kinder, Neffen, Nichten usw.? Also, zuerst nachdenken, bevor Geburtsdaten oder sonstiges ĂŒber Kinder per Mail, Facebook etc. publiziert werden.
2. Die Namen der eigenen Kinder nicht verwenden: Wo immer es möglich ist, sollten Erwachsene online Pseudonyme oder Spitznamen fĂŒr die Kinder verwenden, etwa beim Aufsetzen einer Mail-Adresse, beim Registrieren fĂŒr eine kinderfreundliche Website oder fĂŒr das Profil eines sozialen Netzwerks.
3. Nutzen von Privacy-Einstellungen: Stellen Sie sicher, dass in sozialen Netzwerken nur Bekannte die EintrÀge sehen können.
4. Verwenden von reputationsbasierter, aktueller Sicherheitssoftware: Eine gute, aktualisierte Schutzsoftware kann den Diebstahl von persönlichen Daten verhindern, denn sie lÀsst die Installation entsprechender bösartiger Programme nicht zu. Die Sicherheitssoftware sollte auf jedem GerÀt laufen, das persönliche Daten enthÀlt.
5. Schreddern und sperren: Das ITRC empfiehlt, alle Dokumente, die persönliche Daten (auch zu den eigenen Kindern) enthalten, zu schreddern und die Mailbox wenn möglich zu sperren.

Mehr Informationen zum Thema gibt es hier.

AnlĂ€sslich des Safer Internet Day 2010 startet Trend Micro den Wettbewerb „Kunst gegen Cybercrime“.

Beim Durchsehen verschiedener Blogs stieß ich auf einen Eintrag von Kaspersky Labs. In dem Blog gab der Autor des Eintrags offen zu, dass sein Arbeitgeber – unter der Vorgabe, die TestqualitĂ€t verbessern zu wollen – die Konkurrenz ausgetrickst habe, um die eigene Position in den Medien zu verbessern.

DafĂŒr hatte Kaspersky saubere Dateien erzeugt und Erkennung von Malware vorgetĂ€uscht, um „vorzufĂŒhren“, dass andere Anbieter diese kopieren. Dies war eine riskante Entscheidung, denn die Forschungsorganisationen der Branche vertrauen einander und nutzen gemeinsam die vorhandenen Samples, um die Kunden zu schĂŒtzen – fĂŒr Trend Micro jedenfalls hat dies oberste PrioritĂ€t. An dieser Stelle möchte ich auch hinzu fĂŒgen, dass Trend Micro nicht zu denjenigen Herstellern gehört hat, die von dem Trick betroffen waren, denn wir checken unsere Erkennungen selbst und verlassen uns nie auf die Kontrolle durch einen anderen Anbieter.

Abgesehen davon, dass es ein billiger Schabernack war, den Kaspersky veranstaltet hat, war ich sehr erfreut, die weitere Botschaft des Blog-Eintrags zu vernehmen: Der Anbieter hat endlich die Message verstanden, die Trend Micro seit langem verbreitet – nĂ€mlich die Testmethodologie muss sich Ă€ndern, und wirklichkeitsnahe Tests wie die von NSS Labs mĂŒssen durchgefĂŒhrt werden!

Der Bedarf an geĂ€nderten Testmethoden stand auch hinter der GrĂŒndung der  Anti-Malware Testing Standards Organization (AMTSO), die sich fĂŒr realistischere und nĂŒtzlichere Benchmarks einsetzt.

Diese Geschichte zeigt, welchen Einfluss die Medien auf die Antivirus-Branche hat, sodass sogar ein geachteter Anbieter die Erkennungsraten manipuliert, allein um in der Presse positiv da zu stehen, anstatt sich auf die eigenen Kunden zu konzentrieren. Der Vorfall lehrt aber auch, dass die AMTSO die richtige Richtung einschlĂ€gt. Reine Erkennungsraten beruhen allein auf den Zahlen oder dem direkten Eins-zu-Eins-Vergleich und sind daher ĂŒberholt, wenn es um den Wert und die Performance einer Sicherheitslösung geht. Kunden benötigen ganzheitliche Betrachtungsweisen, die ihnen ein realitĂ€tsnahes, auf Szenarien beruhendes Feedback zu der Wirkungsweise von verschiedenen Lösungen geben. Ich bin froh, dass Testorganisationen wie NSS Labs, AV-Comparatives und AV-Test dies mittlerweile verstanden haben und anfangen, diese Prinzipien anzuwenden.

Nach dem Erdbeben in Haiti am 12. Januar wurde das Internet ĂŒberflutet mit Spendenaufrufen von allen möglichen Unternehmen und Organisationen. Doch nicht alle diese Aufrufe verfolgten ehrliche Absichten. Martin Roesler, Director of Threat Research bei Trend Micro, ruft Internetnutzer zur Vorsicht beim Anklicken von entsprechenden Websites auf: „Wir haben bereits gefĂ€lschte Spenden-Sites, Spam und FAKEAV-bezogene SEO-Angriffe (Search Engine Optimization) entdeckt, welche diese Katastrophe als Social Engineering Taktik nutzen. Und es werden immer mehr. Deshalb mĂŒssen hilfswillige Anwender sicherstellen, dass sie ihr Geld auf vertrauenswĂŒrdigen Sites spenden, dass alle Sicherheitsfunktionen ihres Webbrowsers aktiv sind und dass sie per Hand die URLs, mit denen sie verbunden sind, gegenprĂŒfen.“ Er empfiehlt, E-Mails, die „One-Click“-Spenden oder Ă€hnliche Dienste anbieten, nicht zu vertrauen.

Obige Spam-Nachricht gibt vor, vom UNICEF International Response Fund zu kommen, und enthĂ€lt einen Aufruf zum Spenden von HilfsgĂŒtern und Geld. Sie beschreibt sogar die angeblichen BemĂŒhungen der Organisation bei der Hilfe fĂŒr die Erdbebenopfer in Haiti. Doch unglĂŒcklicherweise fĂŒhrt der angegebene Spenden-Link auf eine Phishing-Site.

Auch Nutzer, die sich ĂŒber die Ereignisse informieren wollen, landen infolge von SEO-Poisoning hĂ€ufig auf bösartigen Sites. Beim Anklicken solcher Links wird eine FAKEAV-Variante TROJ_FAKEAV.ZX installiert.

Kriminelle nutzen schon lĂ€nger Tragödien als Social Engineering Taktik. Naturkatastrophen, der Tod von BerĂŒhmtheiten, virale Videos und andere zweifelhafte Geschichten – praktisch alles, was Aufsehen im Web erregen kann – verwenden sie als Trigger.

Anwender des Smart Protection Networks von Trend Micro sind vor Gefahren dieser Art geschĂŒtzt, denn die Sicherheitsinfrastruktur blockiert Spam-Nachrichten, bevor sie die Inbox erreichen, und verhindert auch den Zugriff auf bösartige Sites und DomĂ€nen sowie das Herunterladen von verseuchten Dateien.

Im Zusammenhang mit den „sehr raffinierten und gezielten“ Angriffen auf Google haben mindestens drei Regierungen ihren BĂŒrgern empfohlen, auf einen anderen Browser als den Internet Explorer von Microsoft auszuweichen. Ein wohlbekanntes Sicherheitsunternehmen hat in die eigene Website eine Grafik „Operation Aurora“ eingefĂŒgt, die Links zu Trial-Downloads fĂŒr vorhandene Software enthĂ€lt. Die Angriffe wurden vom CTO dieses Anbieters als „weltverĂ€ndernd“ beschrieben und von Google als „etwas ganz Anderes“. Wie viel von der ganzen Aufregung ist tatsĂ€chlich berechtigt und angemessen?

Was wissen wir bislang? Google schreibt folgendes: „Mitte Dezember entdeckten wir einen sehr raffinierten und gezielten Angriff auf unsere Unternehmensinfrastruktur, der von China ausging und bei dem geistiges Eigentum von Google gestohlen wurde.“ Und weiter: „Im Rahmen unserer Nachforschungen entdeckten wir, dass mindestens zwanzig weitere große Unternehmen auf verschiedenen Branchen, einschließlich Internet, Finanzen, Technologie, Medien und der Chemie, Opfer Ă€hnlicher Attacken geworden waren. Derzeit sind wir dabei, diese Unternehmen davon in Kenntnis zu setzen.“ iDefense hat Kunden, die von der Zero-Day-Schwachstelle in Acrobat Reader betroffen sind, und nennt 33 Unternehmen als Opfer.

Die nachfolgenden Vermutungen, Kommentare und Analysen wiesen die Schuld einer nicht gepatchten Schwachstelle im Internet Explorer und im Acrobat Reader zu. Die damit zusammenhÀngende Malware wurde sowohl als Varianten der Hydraq Trojans und einer neuen Malware, die McAfee Roarur.dr und TROJ_PIDIEF.SHK bezeichnete. Die Angriffsvektoren sind eine Mail mit bösartigen PDF-AnhÀngen und Drive-by-Downloads.

Als Motivation fĂŒr die Angriffe wird sowohl der Versuch geistiges Eigentum zu stehlen als auch die Sicherheit von E-Mail-Konten chinesischer Menschenrechtler zu durchbrechen, genannt. Die Attacken sollen laut James Mulvenon, Director des Center for Intelligence Research and Analysis bei der Defense Group, von mindestens sechs Internet-Adressen in Taiwan ausgegangen sein.

Sind sie weltverĂ€ndernd? Ich glaube nicht. Es sind nicht die ersten Angriffe ĂŒber Zero-Day-Schwachstellen, und tatsĂ€chlich werden in den meisten FĂ€llen Zero-Day-Exploit zuerst fĂŒr gezielte Attacken genutzt, bevor sie sich weiter verbreiten. Auch sind es nicht die ersten Angriffe, die Drive-by-Downloads oder bösartige PDF-AnhĂ€nge einsetzen, um zum Ziel zu kommen. Weder ist es das erste Mail, dass Empfehlungen fĂŒr einen anderen Browser ausgesprochen wurden, bis die Patches verfĂŒgbar sind, noch dass die Welt mit dem Finger auf China zeigt, bei einem breitangelegten Spionageangriff. Schließlich sind die Attacken nicht die komplexesten, viele Komponenten umfassende Systeme, die die Welt je gesehen hat – man denke nur an Koobface.

Es besteht kein Zweifel daran, dass diese Attacken eine ausgeklĂŒgelte Methodik enthalten. Die „Bad Guys“ waren auch sichtbar erfolgreich in der Auslieferung ihrer bösartigen Fracht an die richtigen Leute in den richtigen Unternehmen, um an Dinge wie Source Code oder E-Mail-Konten heranzukommen. Dennoch sehe ich dabei nichts, was die Welt verĂ€ndern könnte. Social Engineering, fehlendes Sicherheitsbewusstsein, die Bereitschaft zu viel Information mit anderen zu teilen sowie die hoch entwickelte Schattenwirtschaft haben zum Erfolg der bösartigen AktivitĂ€ten beigetragen.

Was können Unternehmen und Einzelpersonen tun, um zu vermeiden, dieser Art von Angriff zum Opfer zu fallen?

• Erziehung zu einem sicherem Verhalten: Das Anklicken eines Links oder das Öffnen eines PDFs reicht aus, um sich zu infizieren, auch in einem vollstĂ€ndig gepatchten System.
• Sicherstellen, dass alle Anwendungen und Systeme auf aktuellem Stand sind: Falls dies nicht möglich ist, empfiehlt sich die Nutzung von Host-basierter Intrusion Prevention, um „virtuelles Patchen“ von Systemen durchzufĂŒhren und einen Schutz gegen Zero-Day-Exploits zu haben.
• Wird eine nicht gepatchte Schwachstelle entdeckt, so sollten Anwender den Empfehlungen der Anbieter folgen, um so schnell wie möglich die Risiken zu minimieren.
• VerschlĂŒsselung von wichtigen persönlichen Daten und geistigem Eigentum auf Dateiebene hilft, denn auch wenn diese Informationen gestohlen werden, so ist ihr Wert fĂŒr den Dieb doch minimal.
• Es empfiehlt sich die EinfĂŒhrung von Data Leakage Prevention Technologie, denn sie erkennt und stoppt das AusfĂŒhren von kritischen Inhalten aus dem Netzwerk.
• Überdenken des Sicherheitsmodells von einem Von-außen-nach-innen-Ansatz zu einem der von innen nach außen geht – sichere Daten, sichere Zugriffsrechte, sichere Anwendungen. Der Perimeter existiert lediglich auf einem Netzwerkdiagramm.

Deutschland kann mit einem traurigen Rekord aufwarten: Die Sicherheitsanalysten von Trend Micro haben festgestellt, dass Deutschland mit heute 226.430 infizierten URLs die drittgrĂ¶ĂŸte Quelle (nach den Niederlanden mit 371.606 und Russland mit 257.395) fĂŒr diese Bedrohung ist. Weltweit rangiert Deutschland damit auf Platz fĂŒnf hinter den USA (2.038.513), China (1.104.691), den Niederlanden und Russland.

Erstaunlicherweise stellt Deutschland auch die zweitgrĂ¶ĂŸte Quelle von Spam in Europa dar mit 1765.695 E-Mails pro Tag nach Russland mit tĂ€glich 2.427.844 Mails. Weltweit sind die deutschen Rechner damit fĂŒr drei Prozent des gesamten Spamaufkommens zustĂ€ndig. Gleichzeitig aber ist es  auch das Land, das nach Frankreich die meisten Angriffe bezĂŒglich der Anzahl der infizierten Links in Europa zu verzeichnen hat – sei es ĂŒber E-Mail oder ĂŒber tagtĂ€gliche InternetaktivitĂ€ten. Nicht nur die schiere Masse ist beunruhigend, Dave Rand, Chief Technologist bei Trend Micro, stellte fĂŒr das erste Halbjahr 2009 fest, dass die kompromittierten Maschinen durchschnittlich 300 Tage lang infiziert bleiben – manche sogar bis zu drei Jahren. Rand zufolge fĂŒhrt China mit einer Infektionsdauer von bis zu zehn Jahren, aber auch in Deutschland gibt es Computer, die bis zu zwei Jahren infiziert waren.

Diese „SpitzenplĂ€tze“ könnten die Deutschen 2010 jedoch wieder abgeben, so die Prognose von Trend Micro, denn mit steigendem Zugang der Menschen aus den verschiedenen LĂ€ndern wird mehr und mehr Content in Sprachen wie Hindi Chinesisch, Russisch und Portugiesisch ins Internet gestellt.

Trend Micro schĂŒtzt die Anwender ĂŒber das Smart Protection Network. Diese intelligente Content-Sicherheitsinfrastruktur erkennt und blockiert verdĂ€chtige URLs, Dateien und E-Mails bevor sie die Systeme der Nutzer erreichen.

Die Trend Micro Sicherheitsforscher haben Spam-Nachrichten erhalten, die vorgeben, von verschiedenen Unternehmen wie eBay, J.P. Morgan Chase oder Colgate-Palmolive zu kommen. Die Mails haben „Payment request from“ im Betreff und informieren die EmpfĂ€nger ĂŒber noch ausstehende Zahlungen an die entsprechenden Firmen.

Die Nachrichten bieten den EmpfĂ€ngern sogar zwei Möglichkeiten – entweder die Mail zu ignorieren, falls die Zahlung bereits erfolgt sei oder eine angehĂ€ngte ZIP-Datei herunter zu laden und ein so genanntes Inspector-Modul zu installieren, um die entsprechenden Geldforderungen zurĂŒckzuweisen. Auch wenn ein EmpfĂ€nger keine Transaktionen vornimmt, muss er dennoch den Anhang herunter laden, um die Zahlungsaufforderung zu löschen. Die ZIP-Datei enthĂ€lt natĂŒrlich kein Inspector-Modul sondern eine EXE-Datei (module.exe), die Trend Micro als TROJ_AGENTT.WTRA identifiziert hat.

Nutzer sind gut beraten, sehr misstrauisch angehĂ€ngten Dateien gegenĂŒber zu sein, auch wenn sie aus bekannten Quellen kommen. Auch sollten sie die Mails prĂŒfen, die von einem Unternehmen kommen, um deren LegitimitĂ€t sicher zu stellen. Trend Micro schĂŒtzt Anwender mit dem Smart Protection Network vor diesen Angriffen, denn das Netzwerk erkennt die Attacken, blockt die Spam-Nachrichten und verhindert auch das Herunterladen der bösartigen Dateien.