Mitternachtshacking

Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:

“HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.”

Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.

Ich habe diese Woche am Dienstag in Düsseldorf auf der Hausmesse der Infinigate (IT-Security Distributor) die Keynote gehalten. Mit Wiederholung am 8. Juli in München.

Der Titel ist etwas provokant, im Hinblick auf die vielen Hersteller von IT-Security-Lösungen, die auf dieser Hausmesse ausstellen:

“Der Kampf gegen Hacker, Spam und Viren ist verloren! Das Spamaufkommen steigt seit Jahren kontinuierliche an, neue Spamfilter werden schneller überlistet als sie entwickelt werden können. Die Anzahl und Variabilität von Schadprogrammen wächst ebenso rapide. Gezielt für ein Opfer entwickelte Trojaner überlisten gängige Virenscanner, ganz im Gegenteil werden Scanner selbst Angriffsziel von Hackern. Insgesamt nehmen die Angriffe gegen IT-System weiter zu, die Schäden durch Angriffe und Industriespionage steigen. Die Sensibilisierung von Anwendern kostet immense Summen, der Nutzen bleibt zweifelhaft. In jeder Firma findet sich irgendwo ein Genie, das auf jedes Attachment klickt und sei es noch so verdächtig. Ein Plädoyer für einen neuen Umgang mit Sicherheitsrisiken.”

Im Kern geht es aber um zwei Aussagen, die sich in diesen zwei Schlüsselfolien der Präsentation wiederfinden:

In den meisten Firmen gibt es verschiedene Abteilungen und Gruppen, die neue IT-Systeme in das Firmennetz einbringen. Für Server ist meistens die IT-Abteilung zuständig, für mobile Rechner jedoch oft einzelne Abteilungen die dann Systeme einsetzen die von der IT nicht gewartet werden können (z.B. Mac OS X). Genauso schlimm sind Blackberry oder iPhone, wenn der Betrieb von der Geschäftsleitung verordnet wird ohne sich vorher um Sicherheitsthemen Gedanken zu machen. Warum ist eine Risikobewertung vor Einführung in der großen EU möglich, in einer kleinen/mittleren/großen Firma jedoch nicht?

Die zweite Folie stellt die Frage was zu tun ist, wenn es mal kracht. Jedes Auto hat heute einen Airbag (den ich noch nie gebracht habe). Solange nichts passiert ist der völlig unnötig. Erst nach dem Unfall wird der Airbag notwendig und verringert den Schaden. Seltsamerweise gehen fast alle Unternehmen davon aus, dass in ihren Netzen niemals ein Schaden auftritt, als wäre noch nie irgendwo ein Hacker eingebrochen. Obwohl uns z.B. Hannaford, Google und das Bundeskanzleramt das Gegenteil beweisen. Aber kein einziges Unternehmen das ich kenne hat einen brauchbaren “Airbag” für die IT, also geeignete Maßnahmen zur Schadensbegrenzung.

Ich bin ja mal gespannt, wer sich davon angesprochen fühlt.

Disclaimer: Ich berate beruflich Firmen zu Sicherheitskonzepten, Risikoanalyse und Schadensbegrenzung

ich fang dann mal an, IT-Begriffe aus Zeitungsartikeln zu übersetzen:

• Account geknackt = hat das Passwort erraten (vermutlich der Name des Hundes)
• Anti-Hacking = Hacking für Firmen, klingt nämlich legaler
• Chaos Computer Club = Celebrity Name Dropping
• Computer-Freak = wohnt noch zuhause bei den Eltern
• Conficker = hat zwar mit dem Thema nix zu tun, aber wenn “ficker” drin vorkommt …
• Cracker = keine Ahnung, klingt aber fies und ist sicher was illegales
• Empfehlung = von Heise abgeschrieben
• Ex-Hacker = zu dumm zum Hacken gewesen, darum jetzt “Berater”. Warnt gerne vor der -> Hackergefahr
• Hacker = kennt sich mit Computern besser aus als der Autor des Artikels
• Hacker-Angriff = hat was gemacht, was sich der Autor nicht trauen würde oder nicht geschafft hat. Siehe auch -> Hacker-Trick
• Hacker-Glossar = Erklärung der komischen Wörter mit “z” (warez) oder fehlenden Selbstlauten (flickr)
• Hacker-Opfer = hat sein Passwort auf einer -> Phishing-Seite eingegeben
• Hacker-Skandel = der Autor ist drauf reingefallen
• Hacker-Trick = so trivial, daß sogar der Autor das geschafft hat
• Hackergefahr = ein Pseudoexperte und Selbstdarsteller warnt vor irgendwas, das er eigentlich selbst nicht versteht aber cool kling. Siehe auch -> Ex-Hacker
• Internet-Banking = sehr gefährlich. Nur dran denken genügt schon, um ruiniert zu werden. Sagen zumindest die -> Ex-Hacker
• Phishing-Seite = die Webseite über die der Autor -> Internet-Banking betreibt
• Sicherheitsrisiko = Anwender
• Virenwarnung = Werbung für Virenscanner

Wird bei Gelegenheit ergänzt. Von hier, hier, hier, hier, hier, hier, hier, …

Update

Ok, ich habe die Ãœberschrift falsch geschrieben. Das hätte vermutlich heißen müssen: “IT-Begriffe von Journalisten … was Journalisten schreiben und was sie sich dabei denken”. Beispielsweise steht dann in einem mehr oder weniger seriösen Artikel einer Zeitung die sich mit IT-Sicherheit beschäftigt irgendwo ein völlig zusammenhangloser Satz: “Auch der Conficker kursiert immer noch im Netz”. Da denkt sich der Journalist, “ficker” zu schreiben ist immer gut. Oder wenn in so einem Artikel steht: “Auch der Chaos Computer Club hat …” dann denkt sich der Journalist, Chaos Computer Club kennt man und bekannte Namen sind gut für die Suchmaschine. Ob das in den Artikel passt oder nicht ist völlig egal. Und so in Zeitungsartikeln verwendete Begriffe suche ich.

Heutzutage wird echt jede Pfeife als “Hacker” bezeichnet.