Michael Goedeker

ist als langjähriger Sicherheitsexperte Director Sales Engineering bei Sophos.

Malware ist komplexer als je zuvor – aber es sind noch immer drei simple Basis-Hacks

Manche Dinge ändern sich nie. Das ist auch in der IT-Sicherheitsbranche nicht anders. Auch wenn sich hier in den vergangenen Jahre eine Menge getan hat und im Sekundentakt neue Malware erfunden wird, so der neue silicon.de-Blogger Michael Goedeker, gibt es noch immer drei Charakter-Bilder von Malware, die sich auch in den zurückliegenden Jahrzehnten nicht verändert haben.

Ich bin nun seit über 15 Jahren in der IT-Sicherheitsbranche aktiv und es ist absolut faszinierend, wie sich dieses Technologiefeld in dieser Zeit verändert hat. In einem meiner ersten Jobs nach dem Studium ging es darum, Unternehmensmitarbeitern zu zeigen, wie sie Netscape Communicator auf ihrem Pentium-II-Rechner verwenden müssen. Ich war damals die einzige Person in meiner Familie, die ein Handy hatte. Ein klobiger Knochen mit riesiger Antenne. Und IBM hatte zur dieser Zeit gerade eine Festplattensensation für Notebooks angekündigt, die 6,4 GB Speicher zur Verfügung stellte. Dreimal so viel wie der damalige Durchschnitt.

Auch bei Malware hat sich seit 1998 eine Menge getan. Per Floppy-Disk konnte man gerade mal Emails als Infektionsweg anvisieren, das war’s. Geld spielte als Motivation für Hacker damals so gut wie keine Rolle. Der Stereotyp vom jungen Nerd, der im Keller seiner Eltern ein bisschen Anarchie übt, war in vielen Fällen wahrscheinlich gar nicht mal so weit hergeholt. Paradiesische Zeiten auch für Sicherheitsexperten, die aufgrund der geringen Anzahl an Viren jedes Sample einzeln analysieren konnten.

Heutzutage sehen die Dinge naturgemäß etwas anders aus. Unsere dauervernetzten Multicore-Geräte bieten zahlreiche Einfallstore via Netzwerk, Email. SMS, USB oder Internet. Social Engineering ist lange über den Status heraus, als Anwender mit angeblichen Nacktbildern von Angelina Jolie gelockt werden konnten – auch wenn dieser Trick in verschiedensten Variationen trauriger Weise auch heute noch funktioniert. Hinter den Kulissen hat sich die Malware-Industrie von Mamas Kellerklitsche zum Multimillionendollarkonzern entwickelt. Die Analyse einzelner Schadcodes ist unmöglich geworden, seitdem mehrere neue Samples pro Sekunde ohne Unterlass auf die Virenjäger einprasseln. Die faszinierenden Möglichkeiten neuer Technologien und das rasante Wachstum des Massenmarkts “Cybercrime” lassen allerdings eine verblüffende Konstante in dieser schnelllebigen Zeit oft untergehen: Malware basiert nach wie vor auf der simplen Tatsache, einen Weg zu finden, Malware ohne die Zustimmung des Besitzern auf einem System zu installieren oder auszuführen. Und, in über 15 Jahren in der IT-Security-Industrie, habe ich immer nur drei grundsätzliche Methoden gesehen, dieses Ziel zu erreichen.

1) Ausnutzen eine Sicherheitslücke

2) Kompromittierung von Nutzerdaten

3) Austricksen des Nutzers

Das ist es. Eine ganze Malwaregeneration – Milliarden von Varianten – reduziert sich letztendlich auf diese drei Hacks. Glücklicherweise wissen Sicherheitsexperten mittlerweile mehr als genau, wie man sich zur Wehr setzt, selbst wenn wir diesen Basics und vor allem auch dem Nutzer selbst manchmal nicht mehr die Aufmerksamkeit widmen, die sie verdient haben.

Wir stoppen Exploits durch die Entwicklung oder den Zukauf von noch mehr und noch neuerer Sicherheitssoftware, wie patchen Sicherheitslücken im schnellstmöglichen Tempo und implementieren Konfigurationen, die eine Balance zwischen Nutzerbarkeit und Sicherheit ermöglichen. Wir schützen unsere Zugangsdaten durch die Implementierung von Multifaktor-Authentifizierung und verschlüsseln, was das Zeug hält. Aber am Ende der Kette steht immer der User, ein Mensch, der vor Fehlern nicht gefeit ist. Und genau hier müssen wir ansetzen. Weiterbildung und Aufmerksamkeit in Sachen IT-Sicherheit, also auch die Aufklärung über das “Warum” und nicht nur das “Wie”, können uns alle einen großen Schritt weiterbringen und viele Hacks bereits im Keim ersticken.

Betrachten wir weiter den Faktor Mensch: Es ist einfach, die nötigen Verteidigungsschritte für ein sicheres System aufzulisten, aber die vernünftige Implementierung und konsistente Umsetzung ist um ein vielfaches schwerer und aufwändiger. Doch Unterstützung ist im Anmarsch: Moderne Sicherheitslösungen helfen dabei, die Übersicht zu behalten und gewisse Prozesse zu automatisieren. Sie decken zudem die unausweichlichen Lücken in Sicherheitssystem ab, indem sie Viren erkennen, die den Schutzwall durchbrochen haben. Um diese Leistung zu erbringen, mussten sich natürlich auch die Tools im Lauf der Jahre ständig verbessern. Firewalls haben multifunktionalen UTMs Platz gemacht, Antivirus-Software wird heutzutage durch vielschichtigen Endpoint-Schutz ersetzt und Web- oder Email-Filter erleichtern uns die Entscheidung, was wir denn nun gefahrenlos öffnen oder herunterladen können. Diese  Systeme sind allesamt nicht perfekt, aber sie sind um Längen besser als ihre Vorgänger und allemal besser als gar kein Schutz.

Ja, es hat sich in den letzten Jahren viel getan. Aber insgesamt gesehen will ich doch nicht zurück zu meinem Pentium II und unpraktischen Mobiltelefonknochen – selbst wenn Sicherheit damals noch so viel einfacher war. Aber was sich lohnen könnte, wäre eine Rückbesinnung auf die Basics des Malwareschutzes, gewürzt mit Hilfe neuer Technologien. Kurz gesagt “Security made simple”. – Das erscheint mir eine durchaus überlegenswerte Idee zu sein.