Samstag, Dezember 21, 2024

Der böse Software-Wurm Conficker brachte es in die Schlagzeilen. Aber Hightech-Bedrohungen sind nur die halbe Miete. Selbst Organisationen oder Unternehmen sind manchmal offen wie ein Scheunentor, weil einfache Grundregeln der Security oder Vertraulichkeit nicht beachtet werden.

Wochenlang rätselten Publikums- und Fachmedien, was der technisch besonders teuflische IT-Wurm Conficker wohl anrichten würde, wenn er sein erstes Wirken ausgerechnet am »Scherztag« 1. April entfaltet. Aber April, April: Der befürchtete weltweite Zusammenbruch des Internets blieb aus, eine Entwarnung kann freilich auch nicht gegeben werden. Sicherheitsdienstleister und die Fachpresse identifizierten bislang A-, B- und C-Varianten, die zwar immer trickreich, aber unterschiedlich bösartig vorgehen. Der Hintergrund: Conficker verhält sich nicht anders als andere altbekannte IT-Würmer. Über Netzwerke und hier vor allem natürlich über das Internet versucht er, Kontrolle über möglichst viele einzelne PCs zu erlangen.

Eine Schwachstelle im Betriebssystem oder Anwenderprogrammen – im Fachjargon Vulnerability genannt – genügt, damit sich die Malware erfolgreich festsetzen kann und die Kontrolle über den PC, oder noch schlimmer, einen Server übernimmt. Ein harmloses Spiel von fröhlichen Crackern ist das schon lange nicht mehr. Das »Geschäft« wird seit Jahren von mafiösen Organisationen gesteuert, die die so »gekaperten« PCs in bare Münze umwandeln. Dann wird erpresst, Firmengeheimnisse und Kontodaten verkauft oder die ferngesteuerte IT wird als dezentraler Mail-Server für Junk-Mails missbraucht.

»Zielgruppe« Business

Besonders bitter ist, dass die IT-Mafia nicht nur bei oft schlecht gesicherten Privat-PCs ein leichtes Spiel hat. Bezeichnend ist, dass sich der Conficker-Wurm bevorzugt bei Organisationen und Unternehmen aller Schattierungen eingenistet hat. Kein Wunder, dort findet man auch wesentlich interessantere Daten als die Fotos von Omas letzter Geburtstagsfeier. »Es ist traurig, aber vielen Anwendern fehlt immer noch das Bewusstsein für Sicherheit«, umreißt Gerhard Göschl, Security-Chef bei Microsoft Österreich, die Situation. Manchmal dürften freilich auch die Lizenzen fehlen, um ohne schlechtes Gewissen in den Genuss automatischer Software-Updates zu kommen (siehe Kasten). Ein beliebtes Einfallstor für böse Buben sind die Office-Formate von Microsoft. Sie sind fast überall im Einsatz und sie haben – wie jede Software – Sicherheitslücken. Security-Patches, und auch das ist fast unvermeidlich, sind nicht immer zeitnah verfügbar.

Und selbst wenn solche Patches verfügbar sind, werden sie lange nicht von allen Anwendern eingespielt. Seit fast einem Jahr prüft der Report, was so an doc-, ppt- oder xls-Attachments via Mail verschickt wird – und erlebte blaue Wunder. Manchmal sind es mehr, manchmal weniger: Aber rund ein Drittel der Attachments fällt etwa durch einen Schwachstellentest mit dem Vulnerability-Scanner »OfficeCat«. Ein paar Highlights: Auch Security-Unternehmen verschicken fragwürdige Dokumente, die uralte und längst behobene Schwachstellen aufweisen. Banken, Industrie, PR-Agenturen, Interessensvertreter, Flugsicherung, IBM und Co: Die Liste lässt sich fast beliebig fortsetzen. Sehr selten, aber doch patzt sogar Microsoft.

Bauanleitung oder Darmrezept gefällig?

Aber nicht nur die gebräuchlichen MS-Office-Formate verdienen mittlerweile Beachtung. Auch das Adobe-Format PDF ist nicht mehr unkritisch. »Wir beobachten, dass seit Sommer letzten Jahres die Zahl der PDF-Angriffe extrem zugenommen hat und sich von Monat zu Monat verdoppelt«, konstatiert Göschl. Ganz falsch dürfte Göschl damit nicht liegen. Selbst Linux- und Mac-User sahen sich erst kürzlich mit einer schwerwiegenden Lücke einer PDF-Open-Source-Komponente konfrontiert. Zeitnahe Updates sind also auch für diese vorgeblich sicheren Systeme ein Muss. Wo ebenfalls häufig gepatzt wird, ist die saubere Trennung von internem Netzwerk und dem öffentlichen Internet. Der Report konnte problemlos ein Rezept gegen Darmverstopfung aufspüren, das der IT-Administrator einer Tierkörperverwertung im nichtöffentlichen Bereich seiner Webseite abgespeichert hatte. Hackerkünste sind dazu nicht notwendig. Mit ein paar Unix-Tools in Kombination mit Suchmaschinen lassen sich solche Einblicke – völlig legal natürlich – sogar automatisieren.

Interessanter als Darmrezepte sind freilich andere Infos, die sich so finden lassen. Sie brauchen die Daten aller wichtigen rumänischen Bank-Consulter? Kein Problem. Eine österreichische Bank liefert das frei Haus. Ebenso Wohnadresse, Handynummer und der private E-Mail-Anschluss eines Vorstands. Aber es geht noch pikanter: Wollten Sie immer schon den Mafia-Beauftragten eines zentralen Nato-Staates anrufen? Auch kein Problem. Für Börsianer interessant: Auch Vertragsdetails über dicke und unveröffentlichte Waffendeals lassen sich so finden. Auch die Techniker werden fündig. Wer ein technisches Subsystem eines der modernsten »Flüster-U-Boote« der Welt ein bisschen genauer nachbauen will als im Modellbausatz um 29 Euro, findet ebenfalls wertvolle Informationen. Fast schon skurril: Via Powerpoint warnt etwa der Information-Security-Officer einer Nato-Einheit seine Kollegen vor vielfältigen IT-Gefahren. Der kleine Schönheitsfehler: Auch diese ppt-Datei ist leider »vulnerable«.

Tipps: Die wichtigsten Minimalmaßnahmen
Selbst kleine Unternehmen ohne IT-Abteilung können die Sicherheit oder Vertraulichkeit ihrer Daten mit einfachen Mitteln erhöhen. So banal das klingt, aber selbst in großen Organisationen wird das nicht immer beachtet: Updates, Updates! Das gilt sowohl für das Betriebssystem wie die beliebten Office-Anwendungen. Wer hier schlampt, ist zumeist selber schuld. Marktführer Microsoft bietet automatische Update-Funktionen. Gültige Software-Lizenzen sollte man dafür freilich schon besitzen. Auch alternative Betriebssysteme wie Linux oder MacOS bieten seit Urzeiten automatische Updates.

Lästig, aber notwendig: Speziell für Microsoft-Betriebssysteme sind auch regelmäßige Updates für Firewall- oder Anti-Virensoftware ein Muss.
Eine saubere Trennung von Intranet und Internet: Selbst große Organisationen, bei denen man das nie vermuten würde, gelingt dieses »Pflichtprogramm« nicht immer. Oft genug gelangen so vertrauliche Dokumente und Daten an die Öffentlichkeit.

Die beliebten MS-Word-Dokumente sind geschwätziger, als viele Anwender immer noch vermuten würden. Sind die Funktionen nicht deaktiviert, verraten sie etwa Versionsgeschichte, Textrevisionen oder Sachbearbeiter. Klingt harmlos, kann aber enorme Konsequenzen haben: Im Jänner 2003 stolperte Ex-Britenpremier Tony Blair beinahe über einen harmlosen PR-Text, der den Irakkrieg begründen sollte. Das ging nur so lange gut, bis sich ein findiger Journalist das doc einmal näher ansah – und so den Inhalt als geschönte Lügengeschichte enttarnen konnte.

Meistgelesene BLOGS

Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...
Redaktion
27. August 2024
Die Zertifizierung- und Trainingsinstanz CIS – Certification & Information Security Services GmbH im Bereich Informationssicherheit, Datenschutz, Cloud Computing und mehr, beleuchtet erstmalig die...
Redaktion
04. September 2024
Ökologische Baumaterialien: Der Weg zu umweltfreundlichen Gebäuden Die Bauindustrie befindet sich in einem tiefgreifenden Wandel, bei dem ökologische Baumaterialien eine zentrale Rolle spielen. Tradit...
Alfons A. Flatscher
06. November 2024
Mit Donald Trumps Rückkehr ins Weiße Haus zeichnet sich ein neues Kapitel der Handelspolitik der USA ab – und für europäische Unternehmen könnten die nächsten Jahre herausfordernd werden. Trump, bekan...
LANCOM Systems
14. Oktober 2024
Die österreichische Bundesbeschaffung GmbH (BBG) hat die Lösungen des deutschen Netzwerkinfrastruktur- und Security-Herstellers LANCOM Systems in ihr Portfolio aufgenommen. Konkret bezieht sich die Ra...
Firmen | News
30. September 2024
Die Wahl der richtigen Matratze kann einen großen Unterschied in Ihrem Leben machen. Es gibt viele Faktoren zu berücksichtigen, bevor Sie eine Entscheidung treffen. Erfahren Sie, wann der beste Zeitpu...

Log in or Sign up