“Nullfrist-Attacken” liegen bei Viren voll im Trend

Der fünfte Sicherheitsreport der Security-Firma Symantec offenbart vor allem eins: Hacker tun nicht mehr lange rum, sie handeln schneller und gezielter als noch vor zwei Jahren. Und: Wir alle helfen bei der Verbreitung der Schädlinge.
Innerhalb von zwölf Tagen, im August 2003, wurde die Internet-Gemeinde von drei Viren genervt. Sie waren auf der Symantec Bedrohungsskala von 1 bis 5 mit 4 eingestuft worden und sollen weltweit etwa zwei Milliarden Dollar Schaden verursacht haben. Dass jeder ein bisschen bei der schnellen Ausweitung von Blaster, Welchia und Sobig.F geholfen hat, liegt an den inzwischen hohen Bandbreiten, die viele Unternehmen mit Außenstellen oder dem Provider verbindet. Damit beschreibt Symantec eine Art ‘ungewollte Mitschuld’ an dem Dilemma.

Letztlich verantwortlich sind aber die Hacker, die das Tempo deutlich erhöht haben. Lag die Angriffshäufigkeit mit messbaren Schäden in der ersten Hälfte 2003 noch bei rund einem Sechstel aller analysierten Unternehmen, meldete von Juli bis Dezember 2003 schon die Hälfte einen ernsten Vorfall. Außerdem schrumpft die Zeit, die bleibt, um nach einer erkannten Schwachstelle das Loch zu stopfen. Exploits sind schneller da als ein Patch. “Diese Trends legen die Vermutung nahe, dass ‘Nullfrist-Attacken’ unmittelbar bevorstehen”, warnt der Bericht.

Hacker legten ferner nicht unbedingt Wert darauf, selbst ein Loch entdeckt und ausgenutzt zu haben. Oftmals würden neue Würmer durch schon gerissene Schlupflöcher kriechen. Sie werden dem Bericht zufolge auch immer hinterlistiger. Häufig findet sich bösartiger Code in Pack-Programmen, beispielsweise im ZIP-Format. Die Malware kann dann schwieriger von Virenscannern erkannt werden. Allerdings haben sich die Antiviren-Hersteller schon auf diese neue Verbreitungsart eingestellt und ihre Software entsprechend aufgerüstet. Insgesamt hat Symantec 2636 Schwachstellen 2003 registriert. 2002 waren es noch 2587. 70 Prozent (2002: 60 Prozent) der Lücken wurden in die Kategorie ‘leicht ausnutzbar’ eingeordnet.

Der Sicherheitshersteller empfiehlt zum Schutz des Unternehmensnetzes alle überflüssigen Dienste abzuschalten, regelmäßig Sicherheits-Updates aufzuspielen und die Viren-Datenbank auf dem neuesten Stand zu halten. Für Mitarbeiter sollten strenge Passwort-Regelungen gelten und jeder Anwender sollte geschult werden, keine unbekannten Dateianhänge zu öffnen oder Software aus dem Internet zu laden. Falls Schädlinge einen Rechner infiziert haben, rät Symantec, diesen zu isolieren und für Beweiszwecke bei einer möglichen Strafverfolgung zu sichern.

Der Symantec-Sicherheitsreport wird halbjährlich veröffentlicht und basiert auf anonymisierten Daten von Symantec-Kunden sowie auf 20.000 Sicherheitssensoren des ‘DeepSight Threat Management Systems’ des Herstellers in rund 180 Ländern.