Cyberkriminalität
Hinsichtlich der Sicherheit bietet sich der Vergleich des Internets mit einer Baustelle an. Jeder weiß, dass das Betreten von Baustellen verboten ist oder auf eigene Gefahr geschieht. Das Internet zu nutzen ist nicht harmloser, weil virtuell. Zahlreiche Handlungen, z. B. Geschäftstransaktionen aber auch die tägliche Kommunikation haben sich von der realen in die virtuelle Welt verschoben. Jeder Schritt im Internet hinterlässt digitale Spuren. Damit betreiben Cyberkriminelle Datenmissbrauch. Das Geschäft mit Daten ist lukrativ, Daten haben heutzutage einen hohen Wert.
Die Internetnutzung geschieht quasi auf eigene Verantwortung. Auch sind sich viele der drohenden Gefahr bewusst: Viren, Würmer, Trojaner, Bots, Dialer, Scareware, Grayware… mit einem Wort – Schadprogramme oder Malware. Trotzdem schätzen zu viele die Gefahren zu gering ein und öffnen unerwünschte Werbemails, klicken auf Links im Spam oder leiten ihn sogar weiter. Ein solches Handeln, falls nicht durch Unwissenheit verursacht, ist unverantwortlich und entweder von der „Mal sehen was passiert“-Einstellung oder vom „Mir passiert schon nichts“-Syndrom geprägt.
Verantwortungsverteilung
Auch überwiegt die Ansicht, dass im Kampf gegen Malware die Verantwortlichkeit zum einen bei den Internetprovidern und zum anderen bei den Herstellern von Sicherheitssoftware liegt. Das ist nicht prinzipiell falsch, nur ist die Rolle der Nutzer nicht minder wichtig – denn es droht Identitätsdiebstahl. Jeder Nutzer, der seine persönlichen Daten Preis gibt, sollte das nicht auf die leichte Schulter nehmen. So kann man den Versand von schädlichen Inhalten stoppen, indem man z. B. für unerwünschte E-Mails einen Spam-Filter einsetzt. Europäischen Internet-Anbietern zufolge, sind 95 Prozent aller E-Mails Spam. Ein Anbieter mit unzureichendem Spamschutz braucht sich einen weiten Kundenstamm nicht erhoffen.
Spam
Spam oder Junk-Mail, also Müllpost, verlängert die Downloadzeit und belegt Speicherplatz, den reguläre Post benötigt. Das Versenden von Spam ist in der Regel automatisiert und erfolgt über spezielle Programme. Zu Spam zählen unerwünschte Werbung in Form von E-Mails und Werbebeiträgen und Kettenbriefe. Über Spam werden z. B. gefälschte Medikamente vertrieben. Ein Spammer benötigt nicht nur Tausende und Millionen von Adressen, sondern auch Rechner, von denen er sie versendet. Beides kann er auf dem Schwarzmarkt besorgen: Beim Adressenhändler die Mail-Adressen, beim Botnetz-Betreiber die Rechner. Auch Kontoauszüge oder Kreditkartennummern lassen sich illegal beschaffen und nicht selten werden dabei Möchtegern-Kriminelle von professionell organisierten Gangs reingelegt.
Beispiel: Mariposa
Meist merken Nutzer gar nicht, dass ihr Computer von Cyberkriminellen gekapert wurde. Das Botnetz Mariposa, Spanisch für Schmetterling, erstreckte sich über rund 190 Länder und umfasste ca. 13 Millionen Rechner – infizierte Computer von Privatpersonen als auch von Unternehmen. Es genügt eine Person, um ein sich weit erstreckendes Botnetz zu kontrollieren. Als Verbreitungswege dienten Mariposa-Malware Instant-Messenger-Programme, Tauschbörsen und USB-Speicher. Botnetze sind variabel und eignen sich als infrastrukturelle Grundlage für Cybercrime. Der modulare Aufbau des Mariposa-Bots ermöglichte es die Fähigkeiten des Bots über zusätzliche Komponenten zu erweitern und so bis zu 200 unterschiedliche Varianten des Bots zu erzeugen. Die infizierten Rechner werden von einem Command-and-Control-Server angesteuert und nehmen von ihm Befehle an, weswegen sie auch als Zombies bezeichnet werden.
Bots und ihr Aufgabenbereich
Die Bezeichnung Bot kommt vom englischen Wort Robot. Wie ein Roboter arbeitet ein Bot automatisch. Nachdem er in einen Computer eingedrungen ist, z. B. per Mailanhang oder über eine präparierte Webseite, installiert er sich selbst. Bots können unterschiedliche Aufgaben ausführen: Spam versenden oder Phishing- oder DDos-Attacken durchführen. Botnetze werden häufig zum Versenden von Spam genutzt, weil die Spam-E-Mails nicht von einem Rechner, sondern von einer Vielzahl von Computern gesendet werden, wodurch es schwieriger wird den eigentlichen Verursacher aufzuspüren. DDoS-Attacken basieren auch auf dem Prinzip der Verstreuung. DDoS ist das Kurzwort für Distributed Denial-of-Service, sprich verteilte DoS-Attacke. Mittels DoS- oder DDoS-Attacken werden Webserver bis zum Kollaps mit Anfragen bombardiert. Folglich werden Websites unzugänglich. Man kann auf die Seite nicht mehr zugreifen und z. B. im Webshop einkaufen. Konkurrierende E-Commerce-Geschäfte können sich auf diese Weise bekriegen.
SYN-Flooding, Ping-Flooding und Mail-Bombing sind Formen von DoS-Attacken.
Mail-Bombing – viele kleine E-Mails oder eine riesige E-Mail verstopfen die Zieladresse. SYN-Flooding – SYN-Pakete werden für den Verbindungsaufbau in TCP/IP-basierten Netzen genutzt. Bei SYN-Flooding ist der Absender gefälscht und der Empfänger-Computer versucht vergebens Kontakt herzustellen.
Ping-Flooding – Ping-Anfragen ermitteln, ob ein Computer im Netz überhaupt erreichbar ist. Bei einer Unmenge von Pings weiß der Empfänger-Computer nicht “wo ihm der Kopf steht“, er kann keine Antwort, den Pong, senden und bleibt unauffindbar. Phishing ist eine Zusammensetzung aus den englischen Wörtern Password und Fishing, was “Nach Passwörtern fischen oder angeln“ bedeutet. Phisher fälschen E-Mails oder Webseiten und gelangen auf diesem Wege zu Zugangsdaten und Kreditkartennummern. Phishing mittels gefälschter Webseiten nennt sich Spoofing (Verschleierung). Pharming geht einen Schritt weiter. Phisher legen den Köder aus und warten, bis jemand anbeißt. Pharmer sind aktiver: Beim Pharming wird der User ohne es zu merken auf eine Umleitung navigiert. Dies erfolgt, indem ein manipulierter DNS-Server einer URL die falsche IP-Adresse zuweist. Obwohl also der User die richtige URL (Name der Website, stellvertretend für IP-Adresse) eintippt, wird er anhand manipulierter Zuweisung der IP-Adresse (Zahlenreihe) auf eine gefälschte Website navigiert. Eine zweite Möglichkeit zur Umleitung ist mit der Manipulation der Host-Dateien am Rechner gegeben. Wird eine Website aufgerufen, merkt sich der Browser die IP-Adresse und speichert sie in eine Host-Datei. Eine zuvor auf den Computer eingeschleuste Schadsoftware fügt eine gefälschte IP-Adresse ein. so lautet zumindest der Ansatz der Anbieter und auch diesen Aspekt sollte der interessierte Kunde nicht aus den Augen lassen.
Das Eingangstor: Der Webbrowser
Die Verbreitung von Malware erfolgt zunehmend über den Webbrowser statt über E-Mail-Anhang, etwa weil der Online-Zahlungsverkehr zunimmt. Spam-E-Mails können Links zu präparierten Webseiten enthalten. Für aggressives Internet-Marketing wird Grayware eingesetzt. Zur Grayware zählen Adware, Trackware, Browser Helper Objects (BHO) und Browser Hijacker (BHJ). BHOs und BHJs manipulieren die Einstellungen des Browsers. Browser Hijacker leiten auf Webseiten um, die nicht der Suchanfrage entsprechen. Browser Helper Objects verfolgen die Schritte des Webnutzers und zeichnen sie auf – auch so gelangt man zu Passwörtern. Trackware späht ebenfalls das Nutzerverhalten aus – und hilft so nutzerbezogene Werbung ins Netz zu stellen. Auch Adware wird für unerwünschte Werbeanzeigen missbraucht und weist z. B. während des Weihnachtsgeschäfts eine erhöhte Präsenz auf.
Als Spionageprogramm überwacht Spyware unauffällig die Aktivitäten auf einem Computer und sammelt persönliche Daten, z. B. kann sie dem Nutzer beim surfen oder chatten “zusehen“. Spyware versteckt sich oft hinter gewünschten Inhalten, z. B. fängt man sich Spyware in Tauschbörsen ein. Oder ein Trojaner leitet den Download von Spyware ein. Anders als Viren oder Würmer vervielfältigen sich Trojaner nicht. Trojaner, kurz für Trojanische Pferde, verbreiten sich getarnt, mittels E-Mail, z. B. als Bild oder über Webseiten. Trojaner, die das Modem belagern, heißen Dialer. Diese stellen Fernverbindungen her und belasten den Eigentümer mit hohen Kosten, natürlich ohne dessen Wissen.
Rootkit
Besonders bösartig sind Rootkits. Sie werden über das Internet heruntergeladen oder sind in schädlicher Software enthalten. Rootkits verschaffen sich administrativen Zugang zum Computer. Sie laufen nicht auf Programmebene, sondern dringen tief ins System ein. Dort simulieren sie ein intaktes System und andere Malware kann ungehindert Schaden anrichten. Rootkits verändern den Treiber und sämtliche Prozesse des PCs.
Ein Rootkit-Schutz sollte zusätzlich zur Antivirus-Software installiert werden. Beim Virusbefall können Dateien von der Festplatte verschwinden.
Infektion
Woran erkennt man den Befall des Computers mit Malware?
– plötzlicher Leistungsverlust des Computers
– kein Zugriff auf Laufwerke oder Datenträger
– keine Editiermöglichkeit für Dateien
– Auftauchen einer unbekannten, nicht selbst installierten Software
– sonderbare E-Mails in der Mail-Box.
