Handelsblatt

MenüZurück
Wird geladen.

12.05.2011

10:08 Uhr

Microsoft-Studie

Internetnutzer sind die neue Sicherheitslücke

Laut einer aktuellen IT-Sicherheitsstudie von Microsoft wird Software immer sicherer. Angreifer zielen daher immer häufiger auf das neue schwächste Glied in der Kette: den Nutzer selbst.

Beim sogenannten Pishing wird dem Nutzer eine Website vorgegaukelt, die sich beispielsweise als Seite der Bank ausgibt, damit Angreifer an PIN und TAN des Nutzers kommen. Quelle: ZB

Beim sogenannten Pishing wird dem Nutzer eine Website vorgegaukelt, die sich beispielsweise als Seite der Bank ausgibt, damit Angreifer an PIN und TAN des Nutzers kommen.

Redmond/MünchenModerne Software ist immer besser gegen Internet-Attacken geschützt. Deshalb versuchen Kriminelle immer häufiger, eine neue Art von Sicherheitslücke für ihre Angriffe auszunutzen: Den Internet-Nutzer selbst. Inzwischen würden dafür vor allem Methoden gewählt, die wie Phishing, Adware und bösartige „Sicherheitssoftware“ auf die Neugier oder Ahnungslosigkeit der Nutzer setzen, berichtete Microsoft zur Veröffentlichung seines aktuellen Sicherheits-Reports.

Allein die Zahl der Phishing-Attacken über soziale Netzwerke oder Spiele-Seiten sei weltweit um mehr als 1200 Prozent gestiegen, ergab die Studie. Die Attacken, die sich über Soziale Netzwerke Zugang zu Passwörtern oder anderen wertvollen Daten zu verschaffen suchen, machen mittlerweile 84,5 Prozent aller Phishing-Angriffe aus - ein Jahr zuvor waren es noch 8,3 Prozent. Untersucht wurden über 600 Millionen Computer im Zeitraum zwischen Juni und Dezember 2010.

Die Techniken der Datendiebe

Trojanische Pferde

Eine der gebräuchlichsten Methoden, Daten abzufangen, ist die Einschleusung sogenannter Trojanischer Pferde, meist schlicht Trojaner genannt. Dabei wird eine schädliche Software meist per E-Mail oder über infizierte Webseiten auf dem Computer installiert, die dort Daten – etwa die Kontonummer – meist ohne Wissen des Benutzers abruft und weiterschickt. Trojaner können sich auch in Fotos, Dokumenten oder auf Speichermedien verbergen.

Phishing

Beim sogenannten Phishing versuchen Datendiebe, sich über gefälschte Webseiten Konten- oder Kreditkartennummern, TANs, PINs oder Passwörter der Opfer zu angeln. Häufig bauen sie dafür bis ins Detail den Internetauftritt von Banken, Versicherungen oder anderen Institutionen nach. Danach verschicken sie E-Mails, um Kunden per Klick auf einen enthaltenen Link auf die getürkte Seite zu führen. Dabei wird das Opfer aufgefordert, sensible Daten einzugeben, die dann zusammen mit der Identität der Opfer missbraucht werden.

Keylogger

Diese Art von Schadsoftware wandert über ähnliche Wege wie Trojaner in den Computer ein und zeichnet die Tastenanschläge des Benutzers auf, um sie an Datendiebe weiterzuleiten. Diese Tasten-Speichersysteme machen für die Täter Passwörter ersichtlich, selbst wenn die Übermittlung an die passwortgeschützte Webseite verschlüsselt erfolgt.  An öffentlich zugänglichen Computern können Datengangster auch kleine Geräte zwischen Tastatur und Rechner schalten, die dann die Eingaben des Benutzers zeigen und so Daten und Zugänge erschließen lassen.

Klassisches Hacking

Dabei versuchen die Hacker über Programmierattacken in Zentralrechner oder Netzwerke einzudringen. In offenen Netzwerken wie unverschlüsselten WLANs ist dies sehr einfach, in geschützten Bereichen gestaltet sich das schwieriger. Immer wieder hatten solche Angriffe auf Behörden wie die NASA oder das US-Verteidigungsministerium für Schlagzeilen gesorgt. Selbst Industrieanlagen können damit theoretisch lahmgelegt werden, wie die Attacke des Stuxnet-Wurms auf Urananreicherungsanlagen im Iran zeigt.

Zufall und Schlamperei

Zwischenfälle mit sensiblen Daten sind allerdings nicht nur auf professionelle Hacker-Software zurückzuführen, sondern mitunter auch den blanken Zufall oder Unaufmerksamkeit. Dazu zählen auf EC-Karten notierte Geheimzahlen, Haftnotizen mit Passwörtern am Computerbildschirm oder fehlgeleitete Informationen. Ein Beispiel: Vor einigen Jahren erregte eine Panne der Landesbank Berlin Aufsehen. Zwei Kurierfahrer hatten sich über einen von der LBB verschickten Christstollen hergemacht und dann Etiketten von Päckchen vertauscht, um ihren Mundraub zu vertuschen. Prompt landeten tausende Kreditkartendaten in der Redaktion der „Frankfurter Rundschau“, für die eigentlich die Weihnachtsleckerei gedacht war.

Immer beliebter werde das sogenannte Social Engineering, bei dem mit scheinbar seriöser Werbung oder Angeboten vermeintlicher Sicherheitssoftware der Anwender geleimt und auf infizierte Seiten gelenkt wird. Im Vergleich zu Kriminellen, die mit technisch hochentwickelten Angriffen besonders lukrative Ziele attackieren, setzen Angreifer in Sozialen Netzwerken mit weniger ausgereiften Methoden auf die Masse - und kassieren in der Regel jeweils nur kleinere Beträge.

Unter den zehn weltweit am stärksten verbreiteten Gruppen von Schadprogrammen gehören allein sechs zur Gruppe der Adware und „Rogue-Software“, die sich als seriöse Sicherheitssoftware tarnt. Allein die Zahl der Schadsoftware, die Nutzer mit infizierten Browser-Anzeigen auf gefälschte Webseiten lockt, sei vom zweiten Quartal zum vierten Quartal 2010 um 70 Prozent gestiegen.

Der Anteil infizierter Rechner in Deutschland liegt zwar deutlich unter dem Mittelwert. Während weltweit 8,7 von 1000 überprüften Systemen infiziert waren, sind es in Deutschland nur 5,3 Rechner. Damit hat sich die Quote allerdings im Vergleich zum Vorjahr (2,2 pro 1000 Systeme) mehr als verdoppelt.

Von

dpa

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×