So lange ich lebe, werde ich niemals das Oktoberfest 2010 vergessen. Ja, ich mag Bier, besonders den deutschen Stoff, und besonders auf dem Oktoberfest. Aber ich erinnere mich nicht einmal an das Bier, und das ist nicht, weil ich zu viel davon getrunken habe :). Wir bekamen damals die ersten Neuigkeiten über eine wirklich unangenehme Entwicklung, die ich schon seit Jahren befürchtet hatte. Ganz genau, es war das erste Mal, dass sich Stuxnet bemerkbar machte – die erste Malware, die mit staatlicher Unterstützung geschrieben und entworfen wurde, um eine spezifische, militärische Mission zu erfüllen. Das ist genau das, worüber wir auf unserer Oktoberfest-Pressekonferenz gesprochen haben: „Willkommen im Zeitalter der Cyber-Kriegsführung!“ Es war selbst damals bereits offensichtlich, dass Stuxnet nur der Anfang war.

In der Tat hat sich seit dem September 2010 wenig verändert. Alle wussten genau, wo Stuxnet herkam und wer dahinter steckte, obwohl kein Staat dafür die Verantwortung übernahm; sie distanzierten sich sogar davon so weit es ging. Der „Durchbruch“ kam Ende Mai, als wir neue Malware entdeckten, bei der ebenfalls keinen Zweifel über ihren militärischen Ursprung und Zweck bestand.

Ja, ich spreche von Flame…

Meine Erwähnung von Apple in einer Rede bei der CeBIT in Australien sorgte für das übliche aufgeregte Geschwätz und Veröffentlichungen über die Einstellung des Unternehmens zur Sicherheit (hier ein Beispiel).

Da Apples Sicherheit zur Zeit ein heißes Thema zu sein scheint (zumindest seit Flashfake), halte ich es für einen guten Moment, ein paar vernünftige Sachen über das Thema zu sagen. Wie Sie wissen, bemerken wir heute eine wachsende Kluft zwischen Apples Langzeitkampagne „Macs sind für Malware unbesiegbar“ auf der einen Seite, und der Realität auf der anderen Seite. Denn diese Kampagne verliert immer mehr Glaubwürdigkeit, um es milde zu formulieren.

Doch werden die Nutzer den Grips haben, die tatsächliche Sachlage zu verstehen, trotz dessen, was Apple ihnen weiterhin sagt? Was stimmt nicht an Apples Einstellung zur Sicherheit? Gibt es irgendetwas, was Apple von Microsoft und anderen Anbietern über Sicherheit lernen kann?

Vor einem Jahrzehnt trieben Würmer wie Blaster und Sasser ihre Umtriebe auf Microsofts Windows- Plattform und zwangen die Firma, einige schwere – und teure – Entscheidungen zu treffen. Das wichtigste waren die Erschaffung der Trustworthy-Computing-Initiative, die Einführung einer Firmenrichtlinie, die eine weitreichende Neuprogrammierung von Windows XP SP2 einschloss, eine verbesserte Reaktion auf Sicherheitslücken (Patch Tuesday, Sicherheitshinweise) und das obligatorische SDL-Programm (Security Development Lifecycle), mit dem das Betriebssystem bei Hackangriffen widerstandsfähiger wurde.

Das MacOS-X-Flashback-Botnet war Apples Version der Netzwerk-Wurm-Ära. Es war ein Alarmsignal für eine Firma, die Sicherheit bisher traditionell ignoriert hat.

Um Apples Fahrlässigkeit bei der Sicherheit auf den Grund zu gehen, müssen wir zurück ins Jahr 2006 zu dem berühmten Werbespot „Mac gegen PC“ gehen, in dem ein PC wegen einer Vireninfektion nießt und der Mac dem PC ein Taschentuch reicht, aber jeden Schutz ablehnt, da Viren für Mac OS keine Bedrohung sind.

Der Spot war klever und witzig, aber irreführend…

Ich muss Ihnen nicht erst sagen, dass das Internet ein sehr interessantes Phänomen, und für alle, die es verwenden, äußerst nützlich ist. Gleichzeitig bedeutet seine Offenheit und Unkontrollierbarkeit aber, dass auch ein Haufen Unangenehmes den Nutzer dort erwartet – nicht nur auf diesen dubiosen Porno/Warez-Seiten, sondern auch auf den legitimen, netten, könnte-keiner-Fliege-was-zu-Leide-tun-Seiten. Und schon seit mehreren Jahren hat das Internet einen festen Platz auf der Liste der Quellen für Cyber-Infektionen: Unseren Daten zufolge wurden 33 Prozent aller Nutzer im Jahr 2012 mindestens einmal über das Web angegriffen.

Wenn man tiefer gräbt und bis zur Wurzel des Problems vordringt, trifft man immer auf die drei gleichen Kategorien der Bedrohungen: Trojaner, Exploits und schädliche Anwendungen. Unserem Cloud-basierten Kaspersky Security Network (KSN-Video, Details) zufolge, sieht die Situation so aus:

Die zehn Prozent in der Grafik gehören zu den so genannten Exploits (ihre Zahl ist eigentlich noch höher, da viele Trojaner eine Schwäche dafür haben, ebenfalls Schwachstellen – also Exploits – auszunutzen). Exploits sind für nicht-Profis meist exotische Besonderheiten, für Sicherheitsspezialisten dagegen ein richtiger Albtraum. Diejenigen von Ihnen, die eher der zweiten Kategorie angehören, können jetzt nach unten scrollen. Für die anderen, hier eine kleine Lektion über Exploits…

Software wird von Menschen geschrieben, und Menschen vergessen Dinge und machen Fehler. Zudem wurde bis jetzt noch keine „perfekte“ Programmiermethode erfunden. Daher hat praktisch jedes Stück Software Schwachpunkte – das sind Fehler im Code, durch die Angreifer die Kontrolle eines Systems übernehmen oder es durcheinander bringen können. Und der Code, der solche Schwachpunkte im Programm ausnutzt heißt… welch Wunder: Exploit.

Und welche Programme werden am häufigsten von Exploits angegriffen? Hier unsere Liste für 2011:

(So viel Stress mit Adobe Reader, ne? Der eigentlich nichts macht, außer PDFs anzuzeigen, wie viele andere Programme auch… ach, es ist so unmenschlich.)

Schwachpunkte können von Exploits benutzt werden oder auch nicht…

Was ist der Unterschied zwischen einer Atomrakete und Malware?

Das ist keine Fangfrage – Malware kann bei Raketen die Kontrolle übernehmen, aber Raketen können nicht eingesetzt werden, um Malware zu zerstören. Mit dem richtigen Werkzeug kann eine Rakete von Malware umgelenkt werden, aber keine noch so große Menge an Feuerkraft kann schädliche Software umlenken, wenn sie einmal aktiv geworden ist.

Im Gegensatz zu Waffen kann Malware sich unendlich vervielfältigen. Und während eine Rakete oft auf irgendeine Weise kontrolliert wird, hat Malware die Tendenz dazu, wahllos anzugreifen: Keiner weiß, wem sie schaden wird und in welche Ecken sie sich schlängeln wird. Auf den unergründlichen Wegen des Webs ist alles möglich, sobald ein Black-Hat ein Stück bösartiger Software im Netz freisetzt, um schnell ein paar Scheinchen zu verdienen.

Es ist unmöglich zu errechnen, was zufällig in ihren Weg gerät und ob sie nicht wie ein Bumerang zu ihren Schöpfern zurückkehrt.

Menschen tendieren dazu, bei allem was sie tun, Fehler zu begehen – und Code programmieren, egal oib bösartig oder gutartig, ist keine Ausnahme. Es gibt viele Beispiele solcher Arten von „Kollateralschäden“ – lesen Sie meinen vorherigen Beitrag über das Ende des Webs, wie wir es kennen.

Wenigstens gibt es mittlerweile einige Bemühungen im Kampf gegen Cyberkriminelle.

Die Sicherheitsindustrie setzt sie unter Druck…