Der gläserne User

15. Juli 2008, 10:18
39 Postings

Sie werden erpresst, Ihre Identität miss- braucht, Ihre Konten abgezockt - Viren- Experte Candid Wüest im Interview über die Bedrohung aus dem Netz und FBI-Analysen

Daten werden digitalisiert, immer mehr Applikationen und Anwendungen werden ins Internet verlagert, die Bürgerkarte fasst unsere wesentlichen Daten auf einem Chip zusammen. Und Kriminelle haben diese Entwicklungen längst ins Auge gefasst. Phishing ist nur die Vorhut dessen, was noch kommen wird. "Identity-Theft ist in reale Größen getreten. Leute versuchen Kreditkarten auf Ihren Namen zu bestellen oder versuchen eine Hypothek in Ihrem Namen aufzunehmen", sagt Candid Wüest, Sicherheitsanalyst bei Symantec, im Gespräch mit Zsolt Wilhelm.

WebStandard: Wo besteht die größte Gefahr, dass persönliche Daten bei Transaktionen abhanden kommen – auf Seiten des Heim-Anwenders oder auf Seiten der Unternehmen?

Candid Wüest: Die größere Gefahr liegt bei den Heim-Anwendern. Das Problem besteht darin, dass sich vielen Anwendern nicht bewusst ist, was alles passieren kann. Häufig wägt man sich aufgrund des „gelben Schlösschens“ im Browser (SSL-Verschlüsselung) in Sicherheit und denkt sich keine Gedanken machen zu müssen. Das stimmt so aber meistens nicht. Die Verschlüsselung sichert nur, dass die Daten beim Transport nicht abgefangen werden. Dass bedeutet aber nicht, dass die Daten nicht schon im Vorhinein, über den Keylogger eines Trojaners etwa, registriert werden. So können zum Beispiel Daten beim Online-Banking weitergeleitet oder einfache Email-Informationen für Spammer missbraucht werden.

WebStandard: Wie sieht das Verhältnis aus? Wie oft sind zu gering geschützte Heimrechner an solchen kriminellen Vorfällen schuld?

Candid Wüest: Das Verhältnis dürfte so etwa 5:1 sein. Eine aktuelle Zahl aus dem Stress-Report besagt, dass sich rund 80 Prozent aller Angriffe an Heimanwender richten. Eine weitere Studie von Integral zeigt, dass nur 71 Prozent aller User einen Virenscanner einsetzen und gar nur 29 Prozent ihr Betriebssystem auf dem neuesten Stand halten. Die Wahrnehmung für die Notwendigkeit von Sicherheit scheint im Moment nicht sehr hoch zu sein.

WebStandard: Welche Grundlagen sollte man beachten, möchte man ein sicheres System haben?

Candid Wüest: Der wichtigste Punkt ist, sein System aktuell zu halten, das gilt auch für eingesetzte Software. Browser brauchen immer die letzten Hot-Fixes. Wir raten natürlich an, Sicherheitssoftware einzusetzen – Antiviren-Lösungen, Desktop-Firewalls und je nach dem, wie viel Sie online erledigen, raten wir zu Software, die auch online Transaktionen überwachen kann.

WebStandard: Was bringt in dem Fall eine Festplattenverschlüsselung?

Candid Wüest: Die Festplattenverschlüsselung bringt Ihnen nur dann etwas, wenn der Computer, der Laptop geklaut wird. Wenn jemand die Festplatte aus dem Rechner entwendet, kann er mit den Daten nichts anfangen. Solange Sie aber online sind und sich im Internet bewegen, sind die Daten unverschlüsselt und (für Angreifer) abrufbar. Eine Möglichkeit wäre es, nur bestimmte Bereiche des Speichers zu verschlüsseln und sensible Daten darin zu lagern, die dann nur offline bearbeitet werden.

WebStandard: Wie sicher sind diese unterschiedlichen Sicherheitssysteme in Summe tatsächlich?

Candid Wüest: Hundertprozentige Sicherheit kann leider keine dieser Komponenten alleine garantieren. Das Zusammenspiel der Einzelteile plus die nötige Skepsis des Anwenders gewähren die höchst mögliche Sicherheit. Es kann allerdings durchaus vorkommen, vor allem, wenn die neuesten Sicherheitspatches nicht eingespielt sind, dass ein neuartiger Schädling das (eigentlich geschützte) System befällt.

WebStandard: Welche Schädlinge sind zurzeit die bedrohlichsten?

Candid Wüest: Im Moment ist der Trojaner sicherlich der bösartigste Angreifer, in dem Sinne, dass er am meisten Schaden anrichten kann. Trojaner haben in 80 Prozent der Fälle eine Komponente, die ihre Tastatur mitprotokollieren kann, vielleicht sogar von Ihrem Rechner aus Spam verschickt und zum Teil auch Adware oder Spyware nachlädt.

WebStandard: Heutzutage steht eine breite Palette an Web-Anwendungen wie die von Google bereit, bei denen Sie ihre Daten, seien es Emails oder Office-Dokumente, online speichern können. Zahlreiche User haben Bedenken ihre Daten extern, auf fremden Servern abzulegen. Ist diese Skepsis begründet?

Candid Wüest: Diese Frage ist nicht eindeutig zu beantworten. Es ist klar, wenn Sie Ihre Daten bei sich abgespeichert haben, dass Sie darüber Kontrolle haben, wie sicher diese Daten gelagert sind. Und bei Bedarf entscheiden Sie selbst über die Notwendigkeit einer Festplattenverschlüsselung. Bei den Online-Speicherplattformen sehen wir ein Problem. Sie sind sehr beliebt und ihre Nutzung nimmt rasch zu und die Userzahl wächst sehr rasch. Sollte die „kritische Masse“ irgendwann erreicht sein, wird sich auch der Fokus der Angreifer darauf verlegen. Sollte jemand eine Schwachstelle so einer Plattform ausmachen, hat er zudem noch – mit einem Mal – Zugriff auf zehntausende solcher Daten und muss sich nicht mühsam von Heim-PC zu Heim-PC weiterkämpfen. Wir merken bereits den Fokus auf diese Plattformen.

WebStandard: Hat es bereits Vorfälle gegeben?

Candid Wüest: Ich kenne einen Fall, der publik wurde in den USA, bei dem in einen Online-Shop eingebrochen wurde und sämtliche Daten, wie Shopping-History und Kunden-Angaben, samt Kreditkarten-Informationen gestohlen wurden. Zusätzlich wurde gleichzeitig eine Spare-Phishing-Attacke angelegt, bei der die Kunden mit stark personalisierten Emails angeschrieben wurden, mit dem Vermerk: „Lieber Kunde, Sie haben Produkt XY bestellt, wir haben ein Problem mit Ihrer Kreditkarte. Wir brauchen noch folgende Informationen von Ihnen…“. Da diese Emails so persönlich waren – Name, Adresse, Produkte stimmten überein, war die Erfolgsquote der Angreifer enorm hoch. Offiziell ist sie nicht bekannt, aber sie dürfte bei etwa 50 Prozent gelegen haben.

WebStandard: Wie hoch ist denn die Erfolgsquote bei den üblichen Phishing-Attacken, die Emails von Banken vortäuschen?

Candid Wüest: Das variiert ein wenig, je nach dem wie gut sie gemacht sind und ob zusätzlich noch Viren oder Trojaner eingesetzt werden, um TANs abzugreifen oder ob nur eine Email zum Einsatz kommt. Bei reinen Email-Angriffen liegt die Quote bei ungefähr 10 Prozent.

WebStandard: Weiß man, wie groß das Geschäft mit diesen illegal erworbenen Daten ist?

Candid Wüest: Genaue Zahlen weiß man nicht, die werden ungern bekanntgegeben. Laut diversen internationalen Studien sind das Schäden in der Höhe von zwei bis dreistelligen Millionenbeträgen. Leider ist die Dunkelziffer sehr hoch. Sogar das deutsche BKA möchte sich hier nicht auf konkrete Zahlen festlegen. Um nur ein Beispiel zu nennen, die BA-CA sagt zwar nichts über die Schadenssumme, gibt aber an, wie viele Konten aufgrund solcher Attacken gesperrt werden mussten. 2006 wurden allein im August 250 Konten gesperrt. Interessant ist auch, dass die Phishing-Mails zwar insgesamt leicht zurückgegangen sind, aber die unterschiedlichen Varianten zugenommen haben. Die Attacken werden demnach immer gezielter.

WebStandard: Wie sichern sich denn so große Unternehmen wie die BA-CA ab. Greift man hier auf die Methoden aus dem Heimanwenderbereich zurück?

Candid Wüest: Bankanstalten sind zumeist in zwei Bereichen aktiv. Zum einen versuchen sie die Kunden zu motivieren ihre Systeme zu schützen und achtsam zu sein und zum anderen kommt intern spezielle Software zum Einsatz. Spezielle Filterprotokolle werden eingelegt, um den Zugriff nur von bestimmten Systemen zuzulassen. Heute wird weiters noch jede Transaktion überwacht und analysiert, ob sie aus dem Rahmen fällt.

WebStandard: In Deutschland und Österreich gibt es seit einiger Zeit die Gesundheitskarte (Ö.: e-card). Nun zeichnet sich der Trend zu einer Erweiterung auf eine Bürgerkarte ab, bzw. sind einige Funktionen schon realisierbar. Was sagen Sie zu den Bedenken mancher Bürger, die Digitalisierung der Daten sei ein großer Schritt in Richtung „Gläserner Bürger“?

Candid Wüest: Als Gefahr oder schlechte Idee möchte ich die Karte per se nicht abstempeln. Aber es ist ganz klar, umso mehr Daten auf einer Karte gespeichert werden, desto größer ist die Gefahr, dass diese auch zum Angriffsziel wird und die Daten missbraucht werden. Wenn die Karte von mehreren Instanzen, seien es die Krankenkasse oder Ämter, benutzt wird, kann es natürlich sein, dass der Zugriff nicht zu 100 Prozent gesichert ist und Menschen die Daten einlesen, für die sie nicht bestimmt sind. Aber ich denke, Datenschutzunternehmen sind da dran, um Standards zu setzen, damit der Zugriff zumindest äußerst erschwert wird.

WebStandard: Die Stadt Wien hat im Rahmen des Wienux-Projekts die Etablierung von Linux in allen Behörden und Ämtern vorangetrieben. Gibt es aus sicherheits-technischer Sicht Unterschiede, bzw. Vor- und Nachteile zwischen den einzelnen Systemen?

Candid Wüest: Es gibt sicher Unterschiede. Die zwei wesentlichen Aspekte sind zum einen der Administrator, der das System absichert. Egal, ob Windows oder Linux, wenn der Admin nicht mit dem System umzugehen weiß, sind beide Systeme angreifbar. Zum anderen spielt die Verbreitung des Betriebssystems auch eine große Rolle. Demnach ist Windows auch das Ziel Nummer Eins für Angreifer, da die hier aufgewendete Zeit zur Suche einer Schwachstelle potentiell am meisten lohnt. Der Umstieg auf ein weniger weit verbreitetes System ist aus Sicherheitsaspekten also überlegenswert.

WebStandard: Welche Vor- bzw. Nachteile bieten die jeweiligen Systeme in Sachen Sicherheit?

Candid Wüest: Es gibt auf allen Seiten Pro und Contra. Aber es ist klar, dass zum Beispiel die Rechteverwaltung auf Dateien zuzugreifen bei Linux feiner granuliert ist, als bei Windows. Auf der Seite von Windows sind dafür manche Dienste einfacher zu konfigurieren. Wenn man weiß damit umzugehen, kann man jedes System gut absichern.

WebStandard: Nicht zuletzt mit dem Aufkommen der Social-Networks, haben die Menschen begonnen sehr viele persönliche Daten im Internet anzugeben. Denken Sie, man geht in dieser Hinsicht zu leichtfertig mit diesem Medium um?

Candid Wüest: Für manche Leute trifft das bestimmt zu. Ich denke da an Plattformen wie MySpace, wo sehr viele persönliche Informationen preisgegeben werden. Wenn Sie noch einen eigenen Blog haben, können dann doch sehr viele Details über Sie gesammelt werden, die für kriminelle Zwecke missbraucht werden könnten. Identity-Theft ist hier ein Thema – dass heißt, Ihre Daten werden verwendet, um als Sie selbst aufzutreten. Aber auch Erpressungen wären in diesem Fall denkbar.

WebStandard: Passiert das schon?

Candid Wüest: Erpressungen geschehen noch eher in kleinem Rahmen, Identity-Theft ist durchaus schon in reale Größen getreten. Leute versuchen hier zum Beispiel Kreditkarten auf Ihren Namen zu bestellen oder versuchen eine Hypothek in Ihrem Namen aufzunehmen. Und je mehr Daten Sie selbst preisgeben (Mädchenname der Mutter, etc.), desto leichter ist es Ihre Identität vorzutäuschen. Das ist tatsächlich ein Trend, der wenigen Leuten klar ist. Es ist auch sehr schwer diese Daten wieder aus dem Netz zu nehmen, wurden sie einmal veröffentlicht. Das ist fast unmöglich.

WebStandard: Müssten hier nicht auch die Betreiber solcher Social-Networks angehalten werden die Daten auf Anfrage von ihren Servern zu löschen?

Candid Wüest: Das werden sie bereits. Nur oft sind die Daten dann schon kopiert oder werden noch im Google-Cache aufbewahrt. Andere laden die Daten wieder hoch, etc. Dazu kommen noch Systeme wie Tauschbörsen, die eine komplette Löschung der Daten quasi unmöglich machen.

WebStandard: Vor welchen Gefahren wird man sich künftig noch hüten müssen?

Candid Wüest: Genau dieser Informationsdiebstahl wird stark zunehmen, da wir gesehen haben, dass der Trend zunimmt mit diesen Daten Geld zu machen. Diese zunehmende Kriminalisierung ist natürlich ein sehr schlechtes Zeichen für die einfachen Anwender, denn sobald das alles professionell gemacht wird, werden die Methoden immer besser. Zudem wird noch versucht, alles zu verkaufen und zu vermarkten, was irgendwie geht. Seien es Email-Adressen für Spam oder TANs für Bankkonten. Es gibt sehr viele Methoden diese „Frauds“ zu begehen, leider werden immer mehr davon Realität.

WebStandard: Wie hoch ist das Risiko, dass durch portable Speichermedien wie den USB-Stick, Unternehmen-interne Daten abhanden kommen?

Candid Wüest: Sehr hoch. Mit dem USB-Stick kann man praktisch an jeder Sicherheitslösung vorbeikommen. Ihre Firewall, Ihr Gateway hilft hier nichts. Diese „Insider-Bedrohung“ ist sehr hoch, aber auch die Gefahr nicht willentlich Daten nach außen zu tragen besteht. Heimlich installierte Programme auf den Sticks können sich selbst starten und so unbemerkt Daten kopieren.

WebStandard: Wie kommen diese Programme auf die Sticks?

Candid Wüest: Willentlich. In den USA ist beispielsweise vorgekommen, dass manipulierte Sticks in Garagen ausgestreut wurden, um so neugierigen Mitarbeitern in die Hände zu fallen. Das Problem ist nicht nur die Gefährdung der eigenen Daten, sondern auch, dass man mit dem gefundenen USB-Stick zu Kollegen geht, um ihnen die darauf enthaltenen Daten zu zeigen. Während dessen werden dann im Hintergrund die Dateien durchforstet und kopiert.

WebStandard: Ist die Bedrohung durch interne Gefahren größer oder durch externe Angriffe?

Candid Wüest: Studien des FBI besagen, dass 70 Prozent der Diebstähle intern erfolgen.

WebStandard: Betriebsspionage ist hier ein Thema?

Candid Wüest: Das ist durchaus ein Wort, das hier hereinpasst. Ich kann mir gut vorstellen, dass geheime Rezepturen oder Baupläne auf diesem Weg in die falschen Hände gelangt sind. Genaues weiß man hier aber nicht.

WebStandard: Besteht die Gefahr, dass große Unternehmen wie Google diese unzähligen User-Daten missbräuchlich verwenden? Bei AOL gab es ja so einen Vorfall…

Candid Wüest: Ist durchaus denkbar. Missbräuchlich oder man macht sich, wie im Falle von AOL einfach zu wenig Gedanken und lässt persönliche Daten ungeschützt auf einem Testserver. Diese Gefahren bestehen und die Vorfälle bestätigen das auch.

WebStandard: Ist der Bürger heutzutage gläsern?

Candid Wüest: Ich denke, dass der Bürger heute in einem gewissen Umfang gläsern ist. Der beste Rat ist es eine gewisse Skepsis an den Tag zu legen und sich mit den User-Bestimmungen der Internetseiten auseinanderzusetzen. Oft kann man bestimmen, welche Daten überhaupt an die Öffentlichkeit gelangen.

WebStandard: Sind anonyme Email-Adressen immer noch ein probates Mittel?

Candid Wüest: Das ist eine durchaus gute Praktik. Für einmalige Registrierungen ist es sehr sinnvoll anonyme Gratis-Adressen einzusetzen.

WebStandard: Dass IP-Adressen eingesehen werden können, ist nicht die Gefahr?

Candid Wüest: Eigentlich nicht. Es sei denn, dass Sie etwas Illegales machen… (lacht)

(Interview: Zsolt Wilhelm)

Zur Person

Candid Wüest ist Sicherheitsanalyst im Threat-Analyst-Team bei Sysmantec (Virenexperte) und arbeitet zurzeit im Bereich Anti-Phishing.

Links

Symantec

  • Bild nicht mehr verfügbar
Share if you care.