Management in der Malware-Industrie

Inhalt

1 Einleitung

2 Grundlagen von Malware
2.1 Definitionen und Begriffe
2.2 Historie von Malware
2.2.1 Theoretische Anfänge
2.2.2 Praktische Anfänge
2.2.3 Malware in der Prä-Internet-Phase
2.2.4 Malware in der Internet-Phase
2.2.5 Kriminalisierung von Malware in der Gegenwart
2.3 Arten von Malware
2.4 Auswirkungen und Schäden durch Malware
2.5 Verbreitung von Malware
2.5.1 Übertragung mittels USB-Datenträgern
2.5.2 Infektion durch E-Mail-Anhänge
2.5.3 Malware durch infizierte Downloads
2.5.4 Infektion durch maliziöse Internetseiten
2.5.5 Prozentuale Verteilung, Fazit und Ausblick über Verbreitungswege
2.6 Anfälligkeit für Malware
2.7 Malware-Autoren und deren Motivation
2.7.1 Skript-Kiddies, Studenten und Forscher
2.7.2 Kriminelle in der Malware Industrie
2.7.3 Internetkrieger im Cyber Warfare
2.8 Funktionsweise von Malware
2.8.1 Viren
2.8.2 Würmer
2.8.3 Trojanische Pferde
2.8.4 Exploits
2.8.5 Prozentuale Verteilung und Trends der Malware-Kategorien
2.9 Schutzmaßnahmen und Entfernung von Malware

3 Industriezweig Malware
3.1 Waren und Dienstleistungen
3.1.1 E-Mail-Spam
3.1.2 Betrug
3.1.3 Erpressung
3.1.4 Datendiebstahl
3.1.5 Unerwünschte Programme
3.2 Aufbau und Organisation der Malware-Industrie
3.2.1 Anbieter und Koordinatoren
3.2.2 Zwischenhändler und Operation Groups
3.2.3 Zulieferer
3.2.4 Infrastruktur
3.2.5 Cashout
3.2.6 Marketing
3.2.7 Kunden und Hintermänner
3.3 Arbeitsteilung und interne Organisation
3.4 Rentabilität von Malware
3.4.1 E-Mail-Spam
3.4.2 Betrug
3.4.3 Erpressung
3.4.4 Phishing
3.4.5 Botnetze
3.4.6 Kosten-Nutzen-Analyse in der Malware-Industrie

4 Management-Methoden in der Malware-Industrie
4.1 Strategisches Gestalten
4.1.1 Strategische Managementansätze
4.1.2 Strategische Transaktionen
4.2 Steuerung und Kommunikation
4.2.1 Kennzahlen und Konzepte der Unternehmensführung
4.2.2 Instrumente der Personal- und Teamführung
4.2.3 Kommunikationsmethoden
4.3 Analyse und Synthese
4.3.1 Strategische Unternehmensanalysekonzepte
4.3.2 Methoden zur Problemanalyse
4.3.3 Kreativitätstechniken

5 Lösungen
5.1 Lösungsansätze im Überblick
5.2 Anti-Botnet-Beratungszentrum

6 Zusammenfassender Ausblick

1 Einleitung

„Blamage für Europa!“ Weil die Verantwortlichen in 14 EU-Ländern nachlässig gehandelt haben, ist es Online-Kriminellen im Januar 2011 gelungen, den europäischen Handel mit CO2-Verschmutzungsrechten zu attackieren und elektronische Zertifikate im Wert von 28 Millionen Euro zu erbeuten¹. Die EU-Kommission hat daraufhin den Handel mit Zertifikaten um mindestens eine Woche ausgesetzt.

Die genauen Ursachen für das Leck sind derzeit noch unklar. Trotzdem steht fest, dass es den Online-Kriminellen wieder einmal gelungen ist, einen Schritt voraus zu sein und viel Geld zu stehlen.

Die Online-Kriminellen der Malware-Industrie sind derzeit häufig in den Nachrichten vertreten. Oftmals wird in den Medien ein Bild erzeugt, als handele es sich bei den Tätigkeiten der Malware-Industrie um echte Goldgruben! Auch die meisten Untersuchungen und Studien stützen dieses Bild. Einige Studien behaupten allerdings das genaue Gegenteil. Eine Studie von Microsoft kommt zu dem Ergebnis, dass Phishing ein Arbeitsmarkt für Geringqualifizierte sei und statt schnellem Reichtum nur wenig Einkommen abwerfe².

Goldgrube oder Arbeitsmarkt für Geringqualifizierte? Diese völlig unterschiedlichen Berich- te über die Branche dienen mir als Motivation für nähere Untersuchungen der Rentabilität. Wie professionell ist diese Branche wirklich und lohnt sich eine Tätigkeit in der Malware- Industrie?

Eine weiteres Kernthema dieser Ausarbeitung ist die Frage, welche Möglichkeiten es innerhalb der Malware-Industrie gibt, die Rentabilität durch Management-Methoden zu steigern und in wie weit dies bereits geschieht.

Schließlich wird versucht Aufschluss darüber zu geben, wie Staaten auf diese Professionali- sierung der Malware-Industrie reagieren können. Haben sie es versäumt rechtzeitig tätig zu werden und die Malware-Industrie übermächtig werden lassen? Oder ist es im Rahmen ihrer Möglichkeiten noch möglich die von der Malware-Industrie ausgehenden Gefahren zu senken.

Nach Auffassung des Autors wurde der Themenkomplex Malware in der Vergangenheit zu technisch gesehen. Viren wurden als Schädlinge angesehen, denen man mit Virenscannern begegnen kann. Aber hinter Computerviren stehen deren Entwickler, echte Menschen! Wer sind sie und warum entwickeln sie Malware? Ziel dieser Arbeit ist es somit auch, die technische Brille beiseite zu legen und die Beschäftigten, die Unternehmen und die Strukturen der Malware-Industrie zu betrachten.

2 Grundlagen von Malware

Abstract Dieses Kapitel soll ein Verständnis für die Grundlagen von Malware schaffen.

Zunächst wird eine Arbeitsdefinition festgelegt und die Begriffe Virus und Malware werden voneinander abgegrenzt. Im Anschluss erfolgen ein Rückblick in die Anfänge des Malware- zeitalters und ein Überblick über die Entwicklung von Malware bis zur heutigen Zeit.

Außerdem werden die verschiedenen Arten von Malware erläutert, deren Funktionsweise erklärt und die verursachten Schäden ermittelt.

Bei der Verbreitung von Malware spielen drei Aspekte eine Rolle. Zunächst ist interessant, auf welchen Kanälen Malware den Weg auf die PCs der Opfer findet. Außerdem werden Bedingungen genannt, unter denen Malware besonders leichtes Spiel hat. Schließlich stellt sich noch die Frage, wer verbreitet eigentlich Malware? Wer schreibt die Schadprogramme und weshalb?

Zum Abschluss des Kapitels wird ein Überblick über die Möglichkeiten zum Schutz vor Malware vermittelt.

2.1 Definitionen und Begriffe

Der Begriff „Malware“ existiert erst seit den 1990er Jahren³, als Sicherheitsverantwortliche realisierten, dass sie einen breiteren Terminus für die Beschreibung der Vielzahl an schadhafter Software benötigten, die im Internet grassierte.

Bevor Malware zu einem gebräuchlichen Begriff wurde, bezeichnete man jede Art von mali- ziöser Software als Virus oder Wurm. Lange Zeit wurde der Begriff Computervirus fälschli- cherweise überbeansprucht und synonym zu Malware verwandt, vor allem in populären Medien. Erst in den letzten fünf Jahren setzte sich der Malware-Begriff langsam im Sprach- gebrauch durch (s. Abb. 1).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1 - Vergleich des Gebrauchs der Begriffe “computer virus” und “malware“ von 2004 - 2010⁴

Malware ist ein Kofferwort⁵ aus den englischen Begriffen malicious und Software. Der Begriff hat sich auch in der deutschen Sprache etabliert. Alternativ werden auch Synonyme wie Schadsoftware oder Schadprogramm verwendet.

Es existieren unterschiedlichste Definitionen für den Begriff „Malware“. Meist unterscheiden sie sich nur im Grad der Konkretisierung; vereinzelt weichen Definition aber auch inhaltlich voneinander ab.

So definiert die Encyclopædia Britannica den Begriff „Malware“ wie folgt: Malware, vollständig malicious software, ist maliziöse Software, wie z.B. Viren, Trojaner, Spyware und Würmer. Malware infiziert typischerweise Personal Computer über E-Mail, Internet-Seiten oder angeschlossene Geräte⁶.

Das Oxford English Dictionary definiert Malware als „maliziöse Software, wie z.B. Viren, die eigens dafür erstellt wurde, ein Computer-System zu stören oder ihm Schaden zuzufügen⁷ “ und ist damit der Erklärung von Merriam-Webster sehr ähnlich. Danach ist Malware „Soft- ware, die dazu gestaltet wurde, die regulären Funktionen eines Computers zu stören⁸ “.

Auch Enzyklopädien machen häufig den Fehler, Malware zu eng zu definieren und zu ver- kennen, was den Terminus „Malware“ von den Begriffen Virus und Wurm abhebt. Malware zielt nicht auf einzelne Funktionen, sondern auf die Intention des Autors, Systeme ohne die Einwilligung des Nutzers zu infiltrieren. Ein unmittelbarer Schaden für das ComputerSystem ist damit aber nicht zwangsläufig verbunden.

Eine gebrauchstaugliche Arbeitsdefinition benötigt einen gewissen Spielraum, um den großen Bereich an unerwünschten Effekten abdecken zu können. In Anlehnung an Ed Skoudis soll in dieser Thesis folgende Arbeitsdefinition gelten:

Malware sind Befehle, die auf einem System ausgeführt werden u]m Dinge zu veranlassen, die ein Angreifer tun will⁹.

Die Definition soll im Folgenden kurz analysiert werden.

Ganz bewusst ist in der Definition nur das Wort „Befehle“ genannt. Die Definition vermeidet die Wörter „Software“ und „Programm“, da viele Menschen damit ausführbare Programme verbinden. Auch wenn ein Großteil von Malware über ausführbare Dateien verbreitet wird, geht das Problem an sich weit darüber hinaus. Maliziöser Code kann in nahezu allen Dateien enthalten sein, z.B. in Dokumenten oder Animationen.

Auch bei den Funktionen von Malware bleibt die Definition flexibel. Welche „Dinge“ Malware verursachen, ist lediglich durch die Kreativität des Angreifers und die Funktionen des Betriebssystems limitiert.

Welche „Dinge“ das im Einzelnen sein können wird in Kap. 2.4 im Detail erläutert. Vorab wird ein kurzer Überblick über die Historie von Malware gegeben.

2.2 Historie von Malware

Malware scheint ein relativ neues Phänomen zu sein. Durch die Epidemien der vergangenen Jahre sind den meisten Menschen Viren, Würmer und Trojaner besser bekannt geworden, oft durch die Infektionen des eigenen PCs.

Auch in den Medien wird verstärkt über Malware und ihre Folgen berichtet. So sendete die Tagesschau im Jahr 2009 einen Bericht über den Computerwurm Conficker und den dadurch verursachten Ausfall von Computersystemen der Bundeswehr (s. Abb. 2).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2 - Berichterstattung über den Computerwurm "Conficker"¹⁰

Tatsächlich aber reichen frühe theoretische Überlegungen zu Malware bis Mitte des letzten Jahrhunderts zurück.

Die Historie von Malware kann in verschiedene Zeiträume unterteilt werden:

- Theoretische Anfänge: Frühe Überlegungen zur Selbstreplikation
- Praktische Anfänge: Scherzprogramme und gefährliche Viren werden zum Ärgernis
- Prä-Internet-Phase: Geprägt durch klassische Viren für MS-DOS
- Internet-Phase: Unzählige Würmer grassieren und richten enorme Schäden an
- Gegenwart: Zunehmende Kriminalisierung von Malware

Die einzelnen Phasen werden im Folgenden anhand einiger bedeutender zeitgeschichtlicher Daten kurz erläutert.

2.2.1 Theoretische Anfänge

John von Neumann stellte in den 1940er Jahren erste Überlegungen für einen replikationsfähigen Roboter an. Im Jahr 1953 konkretisierte er diese Überlegungen in seiner Theorie über selbstreproduzierbare Automaten. Eine technische Umsetzung seiner Überlegungen war zu dieser Zeit jedoch noch nicht möglich.

In den 1970er Jahren gab es erste praktische Ansätze durch das Programmierspiel Core War. Dabei traten mehrere in Redcode geschriebene Programme im selben Speicherbe- reich gegeneinander an. Gewinner war das Programm, das alle anderen überlebte. Dabei löschten die Programme wahllos Adressen im Speicher und konnten sich teilweise selbst reproduzieren.

Die Autoren dieser Arbeiten waren bestrebt, das Leben der Menschen zu erleichtern und legten den Grundstein für viele spätere Studien zur Robotertechniker und zur künstlichen Intelligenz. Auch wenn sie der zukünftigen Entwicklung von Computerviren nie den Weg bereiten wollten, liegen in ihren Forschungen auch die Wurzeln für die Computerviren der heutigen Zeit¹¹.

2.2.2 Praktische Anfänge

Theorie und Praxis verschwimmen bei dieser Thematik leicht und so ist es umstritten, welches das erste Computervirus war, das außerhalb von Forschungsinstituten, also in „freier Wildbahn“, existierte.

Vielfach wird der „Elk Cloner“ als erstes Virus genannt¹². Im Jahr 1982 entwickelte der damals 15jährige Schüler Richard Skrenta ein verstecktes Programm, das sich unbemerkt über das Kopieren von Disketten verbreitet und seine Nutzer plötzlich erschreckt. Infiziert wurden ausschließlich die damals weit verbreiteten Apple II Rechner. Bei jedem fünfzigsten Programm-Aufruf ließ das Virus den Bildschirm dunkel werden. Dann erschien Skrentas Gedicht zum Elk Cloner (vgl. Abb. 3).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3 - Gedicht des Elk Cloner Viruses auf einem Apple II Computer¹³

Anfänglich führte das Virus auch zu Systemabstürzen und Bildschirmflackern. Entgegen vieler Darstellungen war dies jedoch nicht die Intention des Programmierers, vielmehr waren die Abstürze auf fehlerhaften Programmcode zurückzuführen. Richard Skrenta hat diesen Fehler in einer späteren Version des Virus behoben¹⁴.

Im Jahr 1983 ist Fred Cohen der erste, der auf dem Gebiet der Computerviren forscht. In seiner Doktorarbeit „Computer Viruses - Theory and Experiments“ beschreibt er ein funktionsfähiges Virus für das Betriebssystem UNIX¹⁵. Cohen wird häufig als „Erfinder“ des Computervirus genannt. Der Begriff „Computervirus“ stammt wohl allerdings von Cohens Professor Leonard M. Adlemann.

Das erste Virus mit kommerziellem Hintergrund wurde im Jahr 1986 von Basit und Amjad Farooq Alvi geschaffen. Die beiden Brüder vertrieben mit ihrer Firma „Brain Computer Ser- vices“ aus Lahore in Pakistan eine medizinische Software für MS-DOS. Um sich vor Urheber- rechtsverletzungen zu schützen, entwickelten sie einen Bootvirus (s. 2.8.1), das den Zugriff auf das Diskettenlaufwerk verlangsamte¹⁶.

Dabei handelt es sich bis heute um eines der wenigen Programme, das die Kontaktdaten der Autoren enthält:

Willkommen im Verlies (c) 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA TQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Achtung vor diesem VIRUS Kontaktieren Sie uns für Schutz...¹⁷.

Über pakistanische Studenten wurde das Virus auch über die pakistanischen Grenzen hinaus befördert und verbreitete sich schließlich auch an US-Hochschulen.

In den darauf folgenden Jahren erschienen immer mehr Viren, zumeist harmlose Scherz- programme, aber auch gefährliche Trojaner (s. 2.8.3) wie z.B. EGABTR, der angeblich Gra- fikdarstellung ermöglicht aber nach dem Start des Programms alle Daten auf der Festplatte löschte¹⁸.

Als Reaktion darauf rückte auch die Bekämpfung von Computerviren in den Blickpunkt wissenschaftlicher Forschung. Außerdem wurden ab Ende der 1980er Jahre die ersten Antiviren-Programme auf den Markt gebracht und viele Unternehmen gegründet. John McAfee, Eugene Kaspersky und Alan Solomon waren einige Pioniere auf diesem Gebiet.

Die Entwickler von Malware reagierten auf die Antiviren-Programme. In Folge dessen wurden Computerviren in den folgenden Jahren immer komplexer. Der Wettstreit zwischen Herstellern von Antivirus-Software und Virenautoren dauert bis heute an.

2.2.3 Malware in der Prä-Internet-Phase

Anfang der 1990er Jahre war die Hochphase der MS-DOS-Viren. Um sich besser vor der Entdeckung von Virenscannern schützen zu können und um sich weiter verbreiten zu können, wurden die Viren noch komplexer. Im Jahr 1991 wurde von zwei Schweizern das „Tequila-Virus“ geschrieben. Es zeigte vier Monate nach Infektion die folgende Meldung samt einer Grafik an, die eine Mandelbrot-Menge darstellt (s. Abb. 4)¹⁹.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4 - Vom Tequila-Virus angezeigte Textmeldung samt Grafik²⁰

Das „Tequila-Virus“ war eines der ersten polymorphen Viren. Diese Art von Viren mutieren, das heißt, sie verändern ihr Aussehen bzw. ihre Codierung bei jeder Infektion. Virenscanner können sie nicht mit Hilfe eines einzelnen Suchstrings erkennen. Einige Virenscanner der damaligen Zeit konnten dieses Problem nicht lösen und die Firmen stellten die Entwicklung ihrer Software ein.

Mit der Veröffentlichung von Microsoft Windows 95 im Jahr 1995 wurden vermehrt Viren für das 32-Bit-Betriebssystem entwickelt. Mit Windows 95 stieg auch die Popularität des Bürosoftware-Paketes Microsoft Office. Virenschreiber machten sich dies zu Nutze und reagierten auf den Umstand, dass nun öfter Dokumente als ausführbare Dateien getauscht wurden und entwickelten Makroviren. Ein Makrovirus bettet seinen schadhaften Code nicht wie zuvor üblich in eine ausführbare Datei, sondern in Dokumente, zu Beginn häufig in Microsoft Word Dokumente.

Dies zwang die Hersteller von Antiviren-Programmen zum Umdenken. Bis zu diesem Zeit- punkt herrschte Einigkeit darüber, dass Computer nur durch das Ausführen einer infizierten Datei, nicht aber durch das einfache Öffnen einer Textdatei infiziert werden konnten²¹.

2.2.4 Malware in der Internet-Phase

Anfang des Jahres 1997 eröffnet das Virus „ShareFun“ ein neues Kapitel in der Geschichte der Computerviren. Erstmals nutzte Malware das Medium E-Mail zur Ausbreitung. Auf den infizierten PCs nutzt „ShareFun“ Microsofts E-Mail-Programm „MSMail“ und sendete E- Mails mit schadhaften Anhängen an alle Einträge der Kontaktliste²².

Ab diesem Zeitpunkt wurde verstärkt die Möglichkeit des Internets zur Verbreitung genutzt. Noch im gleichen Jahr tauchten Viren für FTP (File Transfer Protocol) und IRC (Internet Re- lay Chat) auf²³.

Zu Beginn des Jahres 1999 wurde das Zeitalter der Internetwürmer eingeläutet. Durch „Happy99“ und „Melissa“ wurden innerhalb von kurzer Zeit Millionen PCs weltweit befal- len. Beide Würmer nutzten für die Verbreitung das E-Mail-Programm „Microsoft Outlook“. Würmer benötigen im Gegensatz zu Viren kein Wirtsprogramm, können daher selbständig agieren und sich fortpflanzen. Melissa richtete weltweit spürbare Schäden an. So wurden Unternehmen wie Microsoft, Intel und Lockheed Martin aufgrund der E-Mail-Flut gezwun- gen, ihre E-Mail-Server bis zur Desinfektion und dem Abebben des Wurmes abzuschalten²⁴.

Nach dem 4. Mai 2000 kam es zu einer neuen Wurm-Epidemie mit bis dahin ungeahnten Ausmaßes. Ein Schüler aus Manila entwickelte das „I love you“-Virus, auch „Loveletter“ genannt. Der „Loveletter“ wurde ebenfalls über E-Mail verbreitet. Aus dem Betreff der E- Mail konnte der Empfänger annehmen, dass es sich um einen Liebesbrief eines geheimen Verehrers handelte (vgl. Abb. 5). Daher öffneten viele Empfänger die Anlage, die den mali- ziösen Code enthielt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 5 - Ansicht des Loveletter-Virus²⁵

Die durch „Loveletter“ verursachten Schäden reichten weltweit in den zweistelligen Milliardenbereich²⁶.

Im Jahr 2001 haben fast 90% aller Infektionen durch Malware via E-Mail stattgefunden. Dies stellte den Höhepunkt der Verbreitung via E-Mail dar. Ab Mitte des Jahres 2001 wur- den verstärkt Sicherheitslücken in Microsofts Internet-Browser „Internet-Explorer“ zur In- fektion ausgenutzt. Ab diesem Zeitpunkt war eine Infektion eines Computers auch durch das bloße Ansehen einer Internet-Seite möglich (sog. Drive-by-Download)²⁷.

Der Slammer-Wurm, der es auf Microsofts SQL-Server abgesehen hatte, verursachte im Januar 2003 durch seine unkontrollierte Ausbreitung und die damit einhergehende erhöhte Auslastung des Internets flächendeckende Ausfälle von Internet-Teilnetzen in den USA,

Südkorea, Australien und Neuseeland²⁸. In Folge dessen musste z.B. die Bank of America kurzfristig einen Teil ihrer Bankgeschäfte einstellen. Außerdem sorgte der Wurm für einen mehrstündigen Ausfall der Kraftwerkssteuerung bei einem Atomkraftwerk in Ohio, USA²⁹.

2.2.5 Kriminalisierung von Malware in der Gegenwart

In der jüngeren Vergangenheit ist es zu einer zunehmenden Kriminalisierung von Malware gekommen, die mittlerweile weit fortgeschritten ist (s. 2.7.2). Daher nimmt die Zahl der Massenepidemien ohne monetären Ertrag für die Erschaffer rapide ab. Sie werden durch die hohe Medienwirksamkeit meist schnell ausgerottet. Viel förderlicher für die Interessen von Kriminellen ist eine stille aber kontinuierliche und kontrollierte Infizierung von wenigen PCs mit unterschiedlichen Schadprogrammen.

Im Jahr 2004 konnte erstmals eine bedeutende Zahl von Trojanern beobachtet werden, die versuchten Zugriff auf das Bankkonto der Betroffenen zu nehmen³⁰. Diese Tendenzen setz- ten sich in den Folgejahren fort. Immer mehr Schadprogramme haben es auch auf die Re- chenleistung der infizierten PCs abgesehen, um sie in ein sog. Botnet zu integrieren und über sie z.B. Spam-E-Mails zu versenden. Im Jahr 2007 grassierte über Monate der sog. „Storm Worm“, der Schätzungen zufolge zu diesem Zeitpunkt ca. 1,8 Millionen PCs zu Mit- gliedern von Botnets machte³¹.

In den letzten Jahren wurde immer öfter die Gefahr genannt, die von Cyber Warfare und Cyberterrorismus ausgeht (s. 2.7.3). Dabei kann Malware von staatlichen Organisationen zum „Krieg“ im Internet genutzt werden oder von Terroristen für Anschläge auf kritische Infrastrukturen im Internet genutzt werden.

Durch die Verbreitung des Computerwurms „Stuxnet“ im Jahr 2010 wurde die Existenz solcher Gefahren erstmals für eine breite Masse sichtbar. Es ist strittig, ob es sich dabei um einen gezielten Angriff einer westlichen Macht auf das Atomprogramm des Iran handelt. Viele Indizien sprechen jedoch dafür³².

2.3 Arten von Malware

Viren, Würmer und Trojaner sind Begriffe, die fast jeder PC-Benutzer schon einmal gehört hat. Doch neben diesen bekannten Vertretern existieren noch viele weitere Arten von Malware.

In den frühen Phasen von Malware war eine Zuordnung eines Schädlings zu einer bestimm- ten Art von Malware unproblematisch. Heutzutage wird es aber immer schwieriger maliziö- se Software einer bestimmten Art von Malware zuzuordnen. Malware weist heute meist Merkmale verschiedener Arten auf. So öffnen beispielweise Trojaner heimlich Hintertüren zu Rechnern während sie sich selbstständig wie Würmer fortpflanzen.

Viele Schädlinge sind mittlerweile zudem so programmiert, dass die Autoren sie nachträglich verändern können. Die Malware lädt dann kleine Module nach, die ihr zusätzliche Fähigkeiten verschaffen. Gleichwohl erfolgt auch heute noch eine Klassifizierung von Malware in verschiedene Ar- ten, immer nach dem wichtigsten Merkmal. Nach ihrer Verbreitungsmethode unterscheidet man:

- Viren: Reproduzieren sich auf lokale Ressourcen
- Würmer: Breiten sich über Netzwerke aus
- Trojaner: Tarnen sich als nützliche Programme

Nach der Art des angerichteten Schadens unterscheidet man zwischen:

- Adware: Blenden Werbung aufgrund des Nutzerverhaltens ein
- Spyware: Stehlen Daten vom Computer
- Dialer: Bauen kostenpflichtige Wählverbindungen auf
- Zombie-Malware: Stehlen Rechenleistung des PCs
- Backdoors: Öffnen Hintertüren für Angreifer
- Rootkits: Verschleiern die Aktivitäten des Angreifers

2.4 Auswirkungen und Schäden durch Malware

Die Auswirkungen und Schäden durch Malware sind vielfältig. Für den Einzelnen können dies sein:

- Zerstörung von Hard- und Software: Malware kann Programme und Daten manipulieren oder zerstören. Dies betrifft meist Software, in Einzelfällen sind jedoch auch Schäden an Hardware möglich³³.
- Beeinträchtigung der Benutzbarkeit: Durch die Aktivitäten von Malware kann die Be- nutzbarkeit des Systems bzw. des gesamten Netzwerkes stark eingeschränkt werden.
- Datendiebstahl und Datenmissbrauch: Malware kann auf kompromittierten Systemen sämtliche Eingaben des Benutzers protokollieren und an andere Rechner weiterleiten. Auf diese Weise können vertrauliche Informationen gestohlen und missbraucht werden (s. 3.1.4).
- Missbrauch des Systems für andere Zwe>Ein infiziertes System kann „Drohne“ in einem Botnet (s. 3.2.4.1) werden und durch den Angreifer von außen ferngesteuertwerden, z.B. zum Versand von Spam (s. 3.1.1) oder als Ausgangspunkt einer Denial-ofService-Attacke (s. 3.1.3).
- Kosten für Desinfektion des Systems: Um das System wieder in einen regulären Betriebszustand zu versetzen, ist die Desinfektion des Systems notwendig.

Malware hat sich jedoch vom Ärgernis des Einzelnen zu einem großen Problem globalen Ausmaßes gewandelt.

Die Anzahl verschiedener Malware steigt exponentiell an. Im Jahr 2009 identifizierte G Data SecurityLabs 1.588.005 neue Unique Samples, also Schädlinge mit einzigartigem „Fingerabdruck“³⁴. Das sind 78% mehr als im Jahr zuvor³⁵. Die Anzahl neuer Malware aus dem Jahr 2004 wurde 2009 wöchentlich übertroffen (s. Abb. 6).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 6 - Anzahl neuer Malware pro Jahr seit dem Jahr 2004³⁶

Damit einher geht die hohe Anzahl an PCs, die mit Malware infiziert sind. Nach Analysen von Panda Security sind weltweit im Durchschnitt 58% aller PCs mit Malware infiziert (s. Abb. 7).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 7 - Prozentsatz von PCs die mit Malware infiziert sind weltweit³⁷

Es existieren zahlreiche Studien und Schätzungen zu den durch Malware ausgelösten wirtschaftlichen Schäden. Die veröffentlichten Zahlen gehen weit auseinander. An dieser Stelle auf die genaue Entstehung und die Analyse der Berechnungsmethode einzugehen, würde den Umfang der Arbeit überschreiten.

Um dennoch ein gewisses Gespür dafür zu bekommen, warum Malware heute zu einem großen wirtschaftlichen Problem geworden ist, werden im Anschluss einige Veröffentlichungen wertungsfrei dargestellt:

- Cybercrime kostet Unternehmen im Schnitt jährlich 3,8 Millionen US-Dollar³⁸.
- 17 Millionen Euro Schaden entsteht der deutschen Finanzwirtschaft im Jahr 2010 durch Phishing³⁹.
- Malware verursachte im Jahr 2007 Schäden in Höhe von sieben Milliarden US-Dollar für die privaten Haushalte in den USA⁴⁰.
- Der finanzielle Schaden weltweit durch Malware betrug im Jahr 2005 bereits 14,2 Mrd. US-Dollar⁴¹.
- Durch Spam wurden im Jahr 2008 weltweit Schäden in Höhe von ungefähr einer Billion US-Dollar verursacht⁴².

2.5 Verbreitung von Malware

Die Verbreitungswege von Malware haben sich in den letzten Jahren stark gewandelt.

Wurden Viren früher meist über Disketten verteilt, folgten später Würmer, die sich per E- Mail selbstständig ausbreiteten. Heute spielen Internetseiten eine wichtige Rolle bei der Verbreitung von Malware. Die Möglichkeiten für eine Infektion über Internetseiten sind sehr vielfältig. Im Folgenden wird auf einige aktuell verbreitete Wege der Infektion einge- gangen.

2.5.1 Übertragung mittels USB-Datenträgern

Seit Jahren ist die USB-Schnittstelle (Universal-Serial-Bus) sehr beliebt zur schnellen Inbetriebnahme von Peripherie-Geräten. Vor allem Speichermedien mit USB-Anschluss sind weit verbreitet. Die einfache Inbetriebnahme der Geräte haben sich jedoch auch MalwareAutoren zu Nutze gemacht und verteilen über USB-Geräte Malware. Der Ablauf einer Malware-Infektion mit Malware wird in Abb. 8 erläutert.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 8 - Ablauf der Malware-Infektion über USB-Sticks

Zunächst wird ein mit Malware infizierter USB-Stick an einen PC angeschlossen. Durch die Autorun-Funktion kann bei Windows-Betriebssystemen eine beliebige Datei vom USB-Stick gestartet werden. Dadurch wird die Malware automatisch installiert und überträgt sich ab diesem Zeitpunkt auf fast alle angeschlossenen Geräte mit internem Speicher, wie z.B. externe Festplatten oder Kameras. Werden diese Geräte wieder an andere PCs angeschlossen wird die Malware weiter übertragen.

Dies ist einer der Verbreitungswege, die der bekannte Computerwurm „Conficker“ genutzt hat. Conficker hat sich schätzungsweise zwischen 9⁴³ und 15⁴⁴ Millionen mal verbreitet⁴⁵.

2.5.2 Infektion durch E-Mail-Anhänge

Elektronische Nachrichten sind heute aus der privaten und geschäftlichen Kommunikation nicht mehr wegzudenken.

Diesen Umstand machen sich die Malware-Autoren für die Verbreitung ihrer Schadsoftware zu Nutze. Sie erstellen massenhaft offiziell anmutende E-Mails mit infizierten Anhängen. Um die Wahrscheinlichkeit zu erhöhen, dass der Empfänger die infizierte Datei auch öffnet, handelt es sich bei den verschickten E-Mails oft um angebliche Rechnungen oder Mahnun- gen, die einen hohen Betrag ausweisen. Um einen detaillierten Überblick über die einzel- nen Posten zu erhalten, wird der Empfänger auf den Anhang verwiesen (s. Abb. 9). Öffnet der Empfänger den Anhang, so wird er mit der maliziösen Software infiziert.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 9 - Auszug einer offiziell anmutenden E-Mail mit infiziertem Anhang

Die gefälschten E-Mails sehen den Originals meist täuschend ähnlich. Um einen möglichst großen Kreis anzusprechen, werden als angeblicher Absender meist große Unternehmen gewählt, die deutschlandweit tätig sind und mit denen ein Großteil der Bevölkerung tat- sächlich in irgendeiner Weise verbunden ist. Beliebte Absender sind z.B. Energieversorger, Telekommunikationsunternehmen und Paketversender aber auch die GEZ (Gebührenein- zugszentrale).

2.5.3 Malware durch infizierte Downloads

Viele Malware-Infektionen sind auf den unbefangenen Umgang mit heruntergeladenen Dateien aus dem Internet zurückzuführen, sei es durch den arglosen Download aus unzuverlässiger Quelle oder den Austausch der Dateien über beliebte Tauschbörsen.

2.5.3.1 Dateidownload von Webservern

Eine weitere Möglichkeit für Autoren Malware zu verteilen ist, sie auf Internetseiten zum Herunterladen anzubieten. Aber warum sollten Internetnutzer ausgerechnet die verseuch- ten Dateien herunterladen? Auch auf diese Frage haben die Malware-Autoren eine Antwort gefunden. Sie bieten häufig gesuchte zweifelhafte Dateien an, die der Internetnutzer sonst nur schwer findet, z.B. illegal beschaffte bzw. kopierte Software (im Internetjargon als „Warez“ bezeichnet).

Nach einer Studie von IDC versuchen 25% aller Warez-Seiten ihre Besucher mit Malware zu infizieren. Bei bestimmten Dateinamen, wie z.B. „Key-Generator“ oder „Crack Tool“ stieg die Rate auf knapp 60%⁴⁶.

2.5.3.2 Filesharing

Filesharing (dt.: „Daten teilen“) ist die unmittelbare Weitergabe von Dateien zwischen verschiedenen Benutzern des Internets über P2P-Netze (Peer-to-Peer-Netzwerke). Die Dateien befinden sich dabei auf den PCs der Teilnehmer und werden von dort aus verteilt. Seit dem Jahr 2009 gibt es verstärkt Attacken über populäre P2P-Netze.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 10 skizziert die Verteilung von Malware über P2P-Netze.

Abb. 10 - Verteilung von Malware über P2P-Netze ohne zentrale Instanz

Ist ein PC infiziert, legt er unzählige Dateien an, in die er immer wieder das gleiche Virus kopiert. Die Dateien werden nach populären Suchbegriffen benannt, so dass möglichst viele Nutzer des P2P-Netzes nach diesen Begriffen suchen, z.B. nach aktuellen Musik-Hits oder Spiele-Bestsellern. Diese Dateien werden dann freigegeben und mit anderen Teilnehmern getauscht, die sich über diesen Weg auch infizieren können und danach ebenfalls Malware verteilen.

Studien haben ergeben, dass zwei Drittel aller getauschten Programme im GnutellaNetzwerk⁴⁷ Malware enthalten⁴⁸.

2.5.4 Infektion durch maliziöse Internetseiten

Für die unter 2.5.3.1 genannte Möglichkeit der Infizierung über einen Dateidownload ist ein aktives Mitwirken des Internetnutzers erforderlich. Die Malware-Autoren wollten die Ver- breitung noch erhöhen und entwickelten ein System, das die Schadsoftware unbeabsichtigt und unbewusst für den Internetnutzer auf seinen PC lädt. Hier rückt der Browser des Inter- netnutzers in den Vordergrund. Durch sog. Exploits („to exploit“ - dt.: ausnutzen), ein Schadprogramm zum Ausnutzen von Sicherheitslücken, kann Malware in das System einge- schleust werden. Das bloße Anschauen von Internetseiten kann zu Infektionen führen (sog. „Drive-By-Download“). Der Hinweis, einfach keine Dateien herunterzuladen, zählt hier so- mit nicht mehr. Es haben sich zwei Verfahren etabliert, wie der maliziöse Code auf eine Internetseite gelangt:

- Kompromittieren von legitimen Internetseiten mit hoher
- Besucherzahl Bereitstellung und Betrieb von eigenen infizierten Internetseiten

Im Folgenden werden einige derzeit genutzte Verfahren vorgestellt.

2.5.4.1 IFrame

Eine Möglichkeit ist, dass eine legitime Internetseite kompromittiert wird und der HTMLQuelltext modifiziert wird. In die Seite wird mittels des sog. IFrame-Tags unsichtbar eine externe Internetseite eingebunden. Von dieser externen Seite wird dann der maliziöse Code geladen (s. Abb. 11).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 11 - Beispiel eines unsichtbaren IFrames

Abb. 12 beschreibt eine typische Kommunikation, wie sie stattfindet, wenn ein Internetnutzer eine mit Malware infizierte Internetseite besucht.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 12 - Typischer Ablauf der Kommunikation beim Drive-by-Download

Sobald die Internetseite besucht wird, lädt der Browser das initiale Exploit-Skript, z.B. via IFrame. Das Exploit-Skript greift eine Schwachstelle im Browser oder einem Browserplugin an. Oftmals werden hier nacheinander mehrere Schwachstellen getestet. Wenn eine Schwachstelle ausgenutzt werden kann, wird das Exploit-Skript installiert und stößt den Drive-by-Download an. Dieser weist den Browser an, sich mit dem Malware-Server zu verbinden und die Malware zu laden. Im Anschluss wird die Malware automatisch installiert und fängt an, den PC des Opfers zu infizieren.

Von dieser Attacke waren in der Vergangenheit eine Reihe von bekannten Internetseiten betroffen. Zu den Opfern zählte auch Ilse Aigner, Bundesministerin für Ernährung, Land- wirtschaft und Verbraucherschutz. Im Sommer 2010 wurde ihre private Internetseite kom- promittiert. Auch hier sollte ein Programm von einer Internetseite mit russischem Domainnamen nachgeladen werden⁴⁹.

2.5.4.2 Werbebanner

Ganz ohne das Kompromittieren einer Internetseite kommt die Möglichkeit des Drive-by- Downloads über Flash⁵⁰ -Werbebanner aus. Heute wird ein Großteil aller Werbebanner nicht über die Betreiber selbst, sondern über Vermarktungsfirmen auf die werbende Internetseite eingestellt. Dieser Umstand ist besorgniserregend, da jede Internetseite nur so sicher ist wie ihr schwächstes Glied. Selbst wenn die eigentliche Internetseite keine Malware enthält, so kann ein maliziöses Werbebanner ein großes Risiko für die Besucher der Internetseite darstellen (sog. „Malvertising“).

Diesen Umstand machen sich Malware-Autoren zu Nutze, in dem sie Werbeplätze auf at- traktiven Seiten mit einer großen Anzahl an Besuchern mieten um diese zur Verteilung ihrer Malware zu nutzen. Dabei nutzen sie oft Schwachstellen im FlashPlayer der Fa. Adobe aus.

Diese Methode ist besonders gefährlich, da sich Internetnutzer auf legitimen Seiten oft in trügerischer Sicherheit wiegen, weniger Vorsicht walten lassen und Werbeeinblendungen ernst nehmen.

Zu den Opfern von Malvertising-Angriffen gehörten in der Vergangenheit u.a. die Internetseiten der New York Times⁵¹, der Zeit und des Handelsblatts⁵².

2.5.4.3 Suchmaschinen

Eine weitere Möglichkeit ist, dass der Malware-Autor auf infiltrierten Internetseiten oder aber auf eigenen Internetseiten Inhalte zu aktuellen Themen erstellt und diese durch sogenanntes „Black Hat SEO“ (böswillige Suchmaschinenoptimierung) in den Suchergebnissen populärer Suchmaschinen weit nach oben bringt. Man spricht in diesem Zusammenhang von einer „Vergiftung“ von Suchergebnissen (sog. SEO poisoning).

Die aus 2.5.4.1 bekannte Kommunikation wird noch dadurch erweitert, dass der Angreifer auf legitimen Internetseiten neue Inhalte zu populären und aktuellen Themen erstellt. Die Inhalte werden meist einfach aus verschiedenen Quellen zusammenkopiert. Mittels speziel- ler Skripte, den sog. SEO Kits wird die Internetseite noch so optimiert, dass gängige Such- maschinen die Internetseite leicht finden und in ihrem Index möglichst weit oben anzei- gen⁵³. Klickt ein Benutzer auf einen Link zu einer infizierten Seite, wird die Infektion gestar- tet (s. Abb. 13).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 13 - Typischer Ablauf der Kommunikation beim Drive-by-Download über SEO poisoning

Die Malware-Autoren zeigen sich hier immer auf der Höhe des Zeitgeschehens und reagieren blitzschnell auf aktuelle Anlässe. Während der Ausarbeitung dieser Thesis konnte Black Hat SEO u.a. zu folgenden Ereignissen und Suchbegriffen beobachtet werden:

- Sandra Bullock Marriage Trouble (s. Abb. 14)
- Alicia Keys Pregnant
- Microsoft Stuxnet Cleaner
- Haiti Earthquake Donate
- Chile Mine Rescue

Abbildung in dieser Leseprobe nicht enthalten

Abb. 14 - Verbreitung von Malware über Suchmaschinen

Die Malware-Autoren nutzen dabei häufig den Dienst Google Trends, der ständig aktualisierte Informationen über häufig gebrauchte Suchbegriffe liefert⁵⁴.

2.5.4.4 Soziale Netze

Neben dem herkömmlichen passiven „surfen“ im Internet, steht heute die aktive Teilnahme an sozialen Netzen und Plattformen im Vordergrund. Wer nicht auf „Facebook“, „Twitter“ oder „XING“ vertreten ist, existiert eigentlich gar nicht. Stellensuche, Wohnungssuche, Bewerbungen und Berichte über persönliche Aktivitäten oder das Befinden von Familienmitgliedern und Haustieren erscheinen gleichermaßen im Internet.

Aber nicht nur Menschen nutzen Soziale Netzwerke, auch Malware ist auf den Zug aufge- sprungen. Technisch sind die Attacken mit Black Hat SEO (s. 2.5.4.3) vergleichbar. Dabei werden Nachrichten durch automatisch generierte Profile auf Pinnwände von Nutzern sozi- aler Netze geschrieben oder über den Kurznachrichtendienst „Twitter“ veröffentlicht (s. Abb. 15).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 15 - Verbreitung von Malware mittels Sozialer Netze⁵⁵

Die Nachrichten enthalten dann Hyperlinks unmittelbar auf maliziöse Internetseiten oder sie verweisen in die „dunklen Ecken des Internets“ (s. 2.5.4.6).

Einen Schritt weiter geht der Wurm Koobface⁵⁶. Loggt sich ein Nutzer eines infizierten PCs bei seinem sozialen Netz⁵⁷ ein, verschickt der Wurm Links auf maliziöse Internetseiten an alle Freunde des Betroffenen⁵⁸.

Ein Link eines Freundes wird natürlich viel häufiger und argloser angeklickt als ein Link eines Unbekannten.

2.5.4.5 Instant Messanger

Instant Messaging (dt.: „sofortige Datenübermittlung“) ist eine Kommunikationsmethode, bei der sich mind. zwei Teilnehmer per Textnachrichten unterhalten. Populäre Messenger sind z.B. ICQ, Skype und Windows Live Messenger.

Auch über diesen Kommunikationsweg ist eine Malware-Infektion möglich. Meist werden dazu Links auf infizierte Internetseiten versendet. Eine Studie von MessageLabs hat heraus- gefunden, dass einer von 78 Links, der über Instant Messanger verschickt wird auf maliziöse Internetseiten verweist⁵⁹.

2.5.4.6 Infektion in den „dunkle Ecken“ des Internets

Malware-Autoren locken ihre Opfer mit Versprechungen auf zwielichtige und begehrte Internetinhalte in die Falle. Sie wissen sehr gut, was uns Menschen interessiert und ani- miert. So betreiben die Autoren oftmals eigene Internetseiten, die Themen wie Sex, Warez, Kinofilme und Serien, Geld, Klatsch und Tratsch anbieten.

Die Links auf diese Angebote werden oftmals über E-Mails, Soziale Netzwerke und Instant Messenger verbreitet.

Die Angebote nutzen oft Sicherheitslücken im Adobe Flash Player zur Verbreitung der Malware oder behaupten, zum Abspielen eines aktuellen Kino- oder Pornofilmes müsse eine aktuellere Version des Players installiert werden. In Wirklichkeit wird dem Nutzer über diese Aufforderung Malware untergeschoben (s. Abb. 16).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 16 - Verbreitung von Malware über gefälschte Adobe Flash Player Plugins⁶⁰

2.5.5 Prozentuale Verteilung, Fazit und Ausblick über Verbreitungswege

Die Verbreitungswege für Malware haben sich in der Vergangenheit stark gewandelt. Ursprünglich durch Disketten übertragen, lassen sich Viren heute über fast jedes zur Kommunikation und Datenaustausch nutzbare Medium übertragen. Die Verbreitungswege unterliegen regelrechten Trends. Mal wird USB und Internet sehr häufig genutzt, ein anderes Mal werden wieder E-Mails favorisiert. Welches der häufigste Verbreitungsweg ist, schwankt weltweit, ja sogar innerhalb von Europa, stark (s. Tab. 1).

Abbildung in dieser Leseprobe nicht enthalten

Tab. 1 - Übersicht der am häufigsten verwendeten Verbreitungswege für Malware weltweit⁶¹

Eine Übersicht über die derzeit häufigsten Verbreitungswege weltweit kann aus Abb. 17 entnommen werden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 17 - Verteilungswege von Malware im Jahr 2010 in Unternehmen⁶²

Hier ist kritisch anzumerken, dass diese Daten aus Unternehmensbefragungen stammen. P2P-Clients und Messenger sind dort jedoch häufig aus Sicherheitsgründen verboten. Somit liegt die Vermutung nahe, dass diese beiden Methoden in Privathaushalten stärker vertre- ten sind.

Die Verbreitung von Malware über einen einzigen Weg ist heute ohnehin eher die Ausnah- me. Zumeist wird Malware über diverse Kanäle verbreitet. Der bekannte Computerwurm Conficker verbreitet sich etwa über Wechselmedien, Tauschbörsen und Netzwerkfreiga- ben⁶³.

Zukünftig wird die Verbreitung über Internet wohl noch zunehmen. Immer mehr Unter- nehmen haben hervorragende E-Mail-Filter und Kontrollen für die Verwendung von Wech- selmedien. Ein Schutz des Browsers gegen Malware ist jedoch technisch schwer umsetzbar.

Auch neue Verbreitungswege werden hinzukommen. Wo immer ein neuer Weg zur digitalen Verbreitung von Informationen ist, wird kurz darauf auch ein Verbreitungsweg für Malware sein. Der stetig ansteigenden mobilen Kommunikation könnte dabei eine herausragende Rolle zukommen.

2.6 Anfälligkeit für Malware

In diesem Kapitel geht es um folgende Fragen: Warum kann es überhaupt Malware geben? Warum gibt es für manche Betriebssysteme mehr, für andere weniger Schadsoftware? Welche Faktoren beeinflussen die Anfälligkeit eines Systems für Malware?

Alle Betriebssysteme die es erlauben, zusätzliche Programme zu starten, die nicht schon

Teil des Betriebssystems an sich sind, laufen Gefahr mit Schadsoftware infiziert zu werden. Dies trifft heute auf alle gängigen Betriebssysteme zu.

Um die Anfälligkeit eines Systems für eine Infektion mit Malware zu ermöglichen bzw. zu erhöhen, haben sich die folgenden Faktoren herausgebildet:

- Verbreitung: Das System muss eine gewisse Verbreitung erreichen um für die Autoren von Malware überhaupt interessant zu sein. Aus diesem Grund gibt es für Windows viel mehr Malware, als z.B. für Linux oder MacOS-Systeme. Die Verteilung entspricht in etwa den Marktanteilen^{64 65}.
- Dokumentation: Die Betriebssysteme müssen hinreichend dokumentiert sein, damit sich die Entwickler von Malware mit den technischen Details auseinander setzen kön- nen.
- Schwachstellen im System: Dies sind meist Fehler in der Programmierung von Anwendungen oder dem Betriebssystem durch die Schadsoftware eindringen kann.

Die Anfälligkeit eines kompletten Netzwerkes steigt durch:

- Homogenität / Monokultur der Systeme, z.B. wenn alle PCs das gleiche Betriebssystem ausführen und es dafür eine Sicherheitslücke gibt, können sofort alle PCs befallen wer- den.

Außerdem kann die Anfälligkeit durch organisatorische Mängel erhöht werden:

- Überprivilegierte Nutzer: Hat ein Nutzer viele Rechte auf einem System, dann hat die Malware, die sein System infiziert ebenfalls viele Rechte und Möglichkeiten sich zu ver- breiten.
- Mangelndes Systemmanagement, z.B. durch nachlässiges Einspielen von Sicherheitsupdates oder die fehlende Installation eines geeigneten Virenscanners. Mangelnde Awareness der Nutzer, z.B. wenn Nutzer sich fahrlässig in „dunklen Ecken“ des Internets tummeln oder auf eine E-Mail mit Virus hereinfallen.
- Bedauerlicherweise können meist nur die organisatorischen Faktoren beeinflusst werden. Es ist für Unternehmen nicht möglich, mehrere jeweils nur gering verbreitete Betriebssys- teme einzusetzen. Dies steht dem Ziel des IT-Einsatzes, der Steigerung der Produktivität, diametral entgegen.

2.7 Malware-Autoren und deren Motivation

Bei den bisherigen Ausführungen zum Thema Malware stellt sich immer wieder die Frage: Wer braucht eigentlich Malware? Warum sind PCs, Mobiltelefone und das Internet nicht bloße Geräte und Medien zur Information- und Kommunikation geblieben, sondern mittlerweile ein Eldorado für Malware? Was sind die Motivationsgründe der Autoren, die Schadsoftware entwickeln und in die freie Wildbahn entlassen?

Man kann fünf Typen an Malware-Autoren unterscheiden, die im Einzelnen kurz vorgestellt werden.

2.7.1 Skript-Kiddies, Studenten und Forscher

In den Anfängen der Malware-Ära wurden viele Viren von sehr jungen Programmierern geschrieben, Kindern oder Jugendlichen, die ihre Fähigkeiten testen wollten. Oft wurden verschiedene Viren nach Anleitung erstellt oder zusammenkopiert ohne aber den Inhalt zu verstehen (sog. „Skript-Kiddies). Diese Viren haben sich zum Glück nicht sehr weit verbreitet, da sie meist sehr fehlerhaft programmiert waren.

Eine größere Gefahr geht von den weiter fortgeschrittenen Virenprogrammierern aus, meist Studenten. Sie haben bewusst die Entscheidung getroffen, ihre Fähigkeiten für Van- dalismus einzusetzen. Ihre Motivation war häufig der Ruhm einer möglichst großen Verbrei- tung. Nachdem jedoch einige Virenschreiber medienwirksam verhaftet und verurteilt wur- den, ist die Motivation der Jugendlichen, ihren Vorbildern nachzueifern, stark gesunken.

Professioneller und mit anderer Intention betreiben Virenforscher ihr Geschäft. Diese Gruppe ist ziemlich klein und ungewöhnlich. Die Forscher setzen ihre Fähigkeiten dafür ein, neue Methoden zum Eindringen in Systeme, zur Verbreitung und zur Täuschung von Antivi- rus-Software zu entwickeln. Die neuen Konzepte werden häufig als „Proof-of-Concept⁶⁶ - Viren“ veröffentlicht und in wissenschaftlichen Foren diskutiert. Dies ist an sich nicht ver- werflich, problematisch wird es aber, wenn Internetkriminelle Zugriff auf diese Forschungs- ergebnisse bekommen, da für sie das Virenschreiben eine Einnahmequelle darstellt.

2.7.2 Kriminelle in der Malware Industrie

Durch das Aufkommen kostenpflichtiger Angebote im Internet, wurde auch das Interesse von Kriminellen geweckt, sich auf fremde Kosten Zugang zu diesen Angeboten zu verschaffen. Dazu wurden meist durch Jugendliche, die sich die Angebote sonst nicht leisten konnten, Trojaner entwickelt, um Zugangsdaten auszulesen, z.B. für

- Internet-Zugänge,
- E-Mail-Accounts,
- Hosting-Angebote und
- Online-Spiele.

Mit der Verbilligung der Dienste gingen diese Trojaner wieder zurück. Aus diesen kleinen Betrügereien hat sich eine kriminelle Szene entwickelt, die bewusst Schadprogramme zu ihrer persönlichen Bereicherung entwickelt. Die mit dieser Intention entwickelten Viren und Trojaner wurden geschaffen, um Bankdaten auszulesen oder um die Ressourcen des betroffenen PCs - ebenfalls des Geldes wegen - zu nutzen, z.B. für

- den Versand von Spam,
- für verteilte Netzwerkangriffe mit anschließenden Lösegeldforderungen oder
- für den Anruf kostenpflichtiger Rufnummern.

Daneben führen diese Kriminellen noch weitere unerlaubte Handlungen durch, wie z.B.

- den Diebstahl vertraulicher Daten,
- die Manipulation von Aktienkursen durch Aktienspam und
- den Verkauf falscher Antiviren-Programme (sog. Scareware).

Für diese Geschäfte hat sich ein regelrechter Industriezweig gebildet, die sog. MalwareIndustrie, auch Cybercrime genannt. Mit der Organisation und dem Management dieser Gesellschaften beschäftigen sich die Kapitel 3 und 4.

2.7.3 Internetkrieger im Cyber Warfare

Eine immer größere Rolle spielen auch Gruppierungen, die Malware als Waffe gebrauchen um einen Krieg über das Internet zu führen (sog. „Cyber War“ oder „Cyber Warfare“). Das Internet schickt sich an, Kriegsschauplatz wie Boden, Luft und See zu werden. Die Internet- krieger handeln zumeist noch aus ideologischen Gründen (sog. „Non-State-Hackers“), z.B. im Kaukasuskrieg im Jahr 2008 (s. Abb. 18). Aber auch Staaten selbst stellen Kriegstruppen auf, um sich im Internet zu verteidigen oder Angriffe durchzuführen (sog. „State-Hackers“), z.B. im Konflikt zwischen Israel und der Hamas.

None-State Hackers überfluten oftmals die offiziellen Internetseiten des Gegners mit Anfragen, sodass diese nicht mehr erreichbar sind (sog. „DDos-Attacken“). Eine andere beliebte Attacke zeichnet sich durch Vandalismus aus. Auch hier werden die Internetseiten des Gegners attackiert und mit eigenen Inhalten versehen (sog. „website defacement). So wurde z.B. die Internetseite des georgischen Präsidenten Mikheil Saakashvili mit ähnlichen Bildern von ihm und Adolf Hitler verunstaltet (s. Abb. 18).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 18 - Website Defacement gegen Mikheil Saakashvili⁶⁷

Nicht so häufig werden die Taten von staatlichen Hackern sichtbar. Sie beschränken sich derzeit meist noch mit der Verteidigung der eigenen Systeme und kritischen Infrastruktu- ren⁶⁸. Dennoch gibt es auch Beispiele für Angriffe von State-Hackern: So ergibt sich aus einigen Quellen, dass Israel im Dezember 2008 die Operation „Cast Lead“ (dt.: „Gegossenes Blei“) gegen Einrichtungen der Hamas im Gazastreifen startete. Zeitgleich mit konventionel- len Angriffen der israelischen Luftwaffe haben Mitglieder der israelischen Defense Forces⁶⁹ einen digitalen Propagandakrieg eingeleitet. Sie attackierten und manipulierten die Server des Fernsehsenders Al-Aqsa der Hamas, sodass diese eine Animation mit dem Tod der Ha- mas Führung in Zusammenhang mit dem Untertitel „Eure Zeit läuft ab“ zeigte (s. Abb. 19)⁷⁰.

[...]

---

¹ vgl. Handelsblatt, 2011

² vgl. Herley & Florênicio, 2009

³ vgl. Merriam Webster, 2010

⁴ Auf Basis der Daten von Google Inc., 2010a

⁵ Unter einem Kofferwort versteht man ein Kunstwort aus mind. zwei Wortsegmenten, die zu einem inhaltlichen neuen Begriff verknüpft werden.

⁶ “Malware, in full malicious software, malicious computer program, or malicious software, such as viruses, trojans, spyware, and worms. Malware typically infects a personal computer (PC) through e- mail, Web sites, or attached hardware devices.” Übersetzt von Sebastian Kexel nach Encyclopædia Britannica, 2010

⁷ “Malicious software, such as a virus, which is specifically designed to disrupt or damage a computer system.” Übersetzt von Sebastian Kexel nach Oxford English Dictionary, 2010

⁸ “Software designed to interfere with a computer's normal functioning.” Übersetzt von Sebastian Kexel nach Merriam Webster, 2010

⁹ vgl. Skoudis & Zeltser, 2004, S. 3

¹⁰ vgl. Tagesschau, 2009

¹¹ vgl. Kaspersky, 2008, S. 100

¹² vgl. Lischka, 2007

¹³ vgl. Mac ForensicLab, 2008 und Mac History, 2009

¹⁴ vgl. GData, 2005

¹⁵ vgl. Cohen, 1984

¹⁶ vgl. Stang, 1989

¹⁷ “Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NI- ZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS Contact us for vaccination...” Übersetzt von Sebastian Kexel nach BrainNet, 2004

¹⁸ vgl. Emmerson, 1988, S. 69

¹⁹ Eine Mandelbrot-Menge ist eine fraktal erscheinende Menge, die eine bedeutende Rolle in der Chaosforschung spielt.

²⁰ vgl. F-Secure, o.J. a

²¹ vgl. Kaspersky, 2008, S. 118

²² vgl. Arar, 1997

²³ vgl. Kaspersky, 2008, S. 120f

²⁴ vgl. Kaspersky, 2008, S. 126f

²⁵ vgl. F-Secure, o.J. b

²⁶ vgl. Landler, 2000

²⁷ vgl. Viruslist, o.J.

²⁸ vgl. Kaspersky, 2008, S. 44

²⁹ vgl. Poulsen, 2003

³⁰ vgl. Kaspersky, 2008, S. 144

³¹ vgl. ZDNet, 2007

³² vgl. Halliday, 2010, The Economist, 2010 und Langner, 2010

³³ Dazu muss dem Autor bekannt sein, wie eine bestimmte Hardware so fehlerhaft angesteuert werden kann, dass es zu einer Zerstörung kommt. Da die heutigen Hardwarekomponenten sehr heterogen sind, lohnt der Aufwand zur speziellen Programmierung kaum.

³⁴ Virenscanner verwenden u.a. Hash-Werte zur Überprüfung ob Dateien mit Malware infiziert sind.

³⁵ vgl. Benzmüller & Berkenkopf, 2010, S. 3

³⁶ Auf Basis der Daten von Benzmüller & Berkenkopf, 2010, S. 4

³⁷ Auf Basis der Daten von Panda Security, 2009

³⁸ Nach einer Studie an 45 US-Unternehmen, vgl. Ponemon Institute© Research, 2010, S. 3

³⁹ Nach einer Schätzung des BKA, der Bitkom und Forsa, vgl. Bundeskriminalamt, 2010

⁴⁰ Summe aus: 3,3 Mrd (Viren); 1,7 Mrd (Spyware); 2,1 Mrd (Phishing), vgl. Consumer Reports, 2007

⁴¹ vgl. Computer Economics, 2007

⁴² vgl. Kexel, 2010, S. 40

⁴³ vgl. F-Secure Lab, 2009

⁴⁴ vgl. UPI.com, 2009

⁴⁵ vgl. Nahorney & Park, 2009, S. 32

⁴⁶ vgl. Gantz, Gillen, & Christiansen, 2006, S. 4f

⁴⁷ P2P-Netzwerk ohne zentralen Server

⁴⁸ vgl. Kalafut, Acharya, & Gupta, 2006, S. 1

⁴⁹ vgl. Kleinz, 2010

⁵⁰ Flash ist ein proprietäres Format der Firma Adobe Systems zur Erstellung multimedialer, interakti- ver Inhalte

⁵¹ vgl. Cluley, 2009

⁵² vgl. Bachfeld, 2010

⁵³ vgl. Fraser & Komili, 2010, S. 4

⁵⁴ vgl. Stopthehacker.com, 2010

⁵⁵ vgl. Abuse.ch - The Swiss Security Blog, 2009a

⁵⁶ Kobface ist ein Anagramm von Facebook

⁵⁷ Koobface unterstützt derzeit die Netze Facebook, MySpace, hi5, Bebo, Friendster und Twitter

⁵⁸ vgl. Baltazar, Costoya, & Flores, 2009

⁵⁹ vgl. MessageLabs, 2009, S. 3

⁶⁰ vgl. Abuse.ch - The Swiss Security Blog, 2009b

⁶¹ Auf Basis der Daten einer Unternehmensbefragung von Panda Security, 2010, S. 20

⁶² Auf Basis der Daten von Panda Security, 2010, S. 20

⁶³ vgl. Microsoft Security, o.J.

⁶⁴ Marktanteile von Clientbetriebssystemen weltweit auf Basis der Daten von Netmarketshare, 2010: Windows XP: 60% | Windows 7: 17% | Windows Vista: 13% | Mac: 5% | iOS: 1% | Linux: 1%

⁶⁵ Kaspersky, 2008, S. 40

⁶⁶ Es handelt sich hier nicht um einsatzbereite Viren, sondern um einen Machbarkeitsbeweis der häufig mit der Entwicklung eines Prototyps verbunden ist der nur eine Kernfunktionalität enthält.

⁶⁷ vgl. Danchev, 2008

⁶⁸ Kritische Infrastrukturen sind Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Kritische Infrastrukturen sind z.B. Behörden, die Energiebranche oder die Finanz- und Versicherungsbranche.

⁶⁹ Dt.: Israelische Verteidigungskräfte, die israelischen Streitkräfte

⁷⁰ vgl. Carr, 2010, S. 2