Internet ist sicherer, aber Angreifer kontern mit neuen Taktiken. Demnach nehmen neue Bedrohungen durch Sicherheitslücken bei Mobilgeräten und automatisches Ausprobieren von Passwörtern / Phishing-Attacken und Shell-Command-Injections zu.
Die Internetsicherheit hat sich im vergangenen Jahr in einigen Bereichen signifikant verbessert: Anwendungen sind deutlich weniger verwundbar gegenüber Angriffen, die Schäden durch Spam und Exploit-Code sind zurückgegangen. Dies zeigt der heute vorgestellte X-Force 2011 Trend and Risk Report von IBM.
Gleichzeitig lässt der Bericht darauf schließen, dass Hacker und andere Angreifer deshalb auf neue Taktiken zurückgreifen: Sie zielen nun verstärkt auf Lücken in Nischenbereichen der IT ab und konzentrieren sich auf neue Technologien wie soziale Netzwerke und mobile Geräte.
Laut dem IBM X-Force 2011 Trend and Risk Report gingen Spam-E-Mails im Vergleich zum Jahr 2010 um etwa 50 Prozent zurück. Sicherheitslücken in Anwendungssoftware wurden von den Herstellern schneller geschlossen als im Vorjahr: So blieben 2011 nur 36 Prozent der Software-Sicherheitslücken ohne Patch, 2010 waren es noch 43 Prozent. Zudem verzeichnet der Report eine steigende Qualität des Software-Codes: Das so genannte Cross-Site-Scripting, eine Sicherheitslücke in Web-Anwendungen, trat 2011 nur noch halb so häufig auf wie noch vor vier Jahren.
Vor diesem Hintergrund ist allerdings auch zu erkennen, dass Internet-Kriminelle ihre Technik anpassen und verändern. Der Report zeigt einen Trend hin zu neuen Formen der Sicherheitsattacken: Dazu gehört die Ausnutzung von Sicherheitslücken in Mobilgeräten, das automatisierte Ausprobieren von Passwörtern und ein starker Anstieg bei Phishing-Angriffen. Zudem ist eine Zunahme bei Shell-Command-Injection-Angriffen zu verzeichnen - möglicherweise eine Reaktion darauf, dass viele Sicherheitslücken in Web-Anwendungen geschlossen wurden.
Der IBM X-Force 2011 Trend and Risk Report wurde vom Sicherheits-Forschungs-Team von IBM zusammengestellt. Er beruht auf Erkenntnissen aus Sicherheits-Analysen von Systemen von mehr als 4000 IBM Kunden basierend auf öffentlich bekannten Sicherheitslücken und den Ergebnissen aus Beobachtung, Analysen und Auswertung von durchschnittlich 13 Milliarden IT-sicherheitsrelevanten Vorkommnissen täglich im Jahr 2011.
"Für das Jahr 2011 zeigt unser Report einen überraschend guten Fortschritt im Kampf gegen IT-Sicherheitsattacken. Dieser beruht im Wesentlichen auf den signifikanten Verbesserungen der Software-Qualität durch die IT-Branche", erläutert Tom Cross, Manager of Threat Intelligence and Strategy für IBM X-Force. "Als Antwort auf diese Entwicklung arbeiten Hacker und andere Internetkriminelle an neuen Techniken, um neue Wege in die IT einer Organisation zu finden. Unternehmen müssen deshalb wachsam gegenüber der Internetkriminalität bleiben und Sicherheitslücken sorgfältig priorisieren und schließen."
Der Report zeigt einige positive Trends aus 2011, die für Unternehmen relevant sind:
30 Prozent Rückgang bei der Verfügbarkeit von Exploit-Code: Für bekannte Sicherheitslücken sind im Netz manchmal Exploit-Codes verfügbar, die Hacker herunterladen und nutzen können, um in Unternehmenscomputer einzubrechen. Im Jahr 2011 wurden etwa 30 Prozent weniger Exploit-Codes veröffentlicht als im Durchschnitt der vier letzten Jahre. Grund für diese Verbesserung sind Veränderungen in Architektur und Prozessen von Software, mit denen die Entwickler Sicherheitslücken vorbeugen wollen.
Rückgang bei ungepatchten Sicherheitslücken: Wenn Sicherheitslücken bekannt gemacht werden, muss der verantwortliche Software-Hersteller nach Möglichkeit schnell einen Patch oder ein entsprechendes Software-Update zur Verfügung stellen. Einige Sicherheitslücken werden zwar nie geschlossen, doch die Anzahl ungepatchter Sicherheitslücken nahm über die vergangenen Jahre hinweg stetig ab. Vom Jahr 2010 bis zum Jahr 2011 sank ihr Anteil von 43 auf 36 Prozent.
50 Prozent weniger Cross-Site-Scripting-(XSS)-Sicherheitslücken dank höherer Software-Qualität: Das IBM X-Force-Team verzeichnet eine spürbare Verbesserung der Qualität bei Software. Dazu nutzen Unternehmen beispielsweise Tools wie den IBM AppScan OnDemand-Service, der Sicherheitslücken im Code analysiert, erkennt und behebt. Nach Erkenntnissen von IBM waren XSS-Sicherheitslücken im Jahr 2011 nur halb so häufig in Software von Kunden zu finden wie noch vor vier Jahren. Trotzdem finden sich noch in 40 Prozent aller von IBM gescannten Anwendungen XSS-Sicherheitslücken - ein sehr hoher Wert für ein bekanntes Problem, für das Lösungen existieren.
Rückgang bei Spam: Das weltweite Spam-Monitoring-Netzwerk von IBM hat 2011 nur noch etwa halb so viele Spam-E-Mails registriert wie 2010. Dieser Rückgang konnte durch die Abschaltung einiger großer Spam-Botnets erreicht werden, was die Möglichkeiten der Spammer deutlich eingeschränkt haben dürfte. Das IBM X-Force-Team beobachtet die Entwicklung des Spamaufkommens bereits über mehrere Generationen hinweg. In den letzten sieben Jahren haben sich die Spam-Filter verbessert, worauf die Spammer ihre Methoden immer wieder anpassen mussten, um Leser zu erreichen.
2011: die Angreifer passen ihre Techniken an
Trotz der signifikanten Verbesserungen hat sich die Menge der Angriffsarten erhöht, das Spektrum an gemeldeter externer Netzwerk- und Sicherheitsvorfällen wurde breiter. Vor allem folgende drei Schlüsselbereiche belegen die zunehmende Raffinesse der Schadcode-Hersteller:
Angriffe auf Shell-Command-Injection-Schwachstellen haben sich mehr als verdoppelt - Seit Jahren sind SQL-Injection-Angriffe gegen Webanwendungen unter unterschiedlichsten Angreifern sehr populär. Sie erlauben es, die Datenbank hinter einer Website zu manipulieren. Da immer mehr dieser Schwachstellen geschlossen werden konnten - die Anzahl der SQL-Injection-Schwachstellen in öffentlichen Websites ging 2011 um 46 Prozent zurück - haben es einige Angreifer stattdessen auf Shell-Command-Injection-Schwachstellen abgesehen. Aufgrund dieser Schwachstellen können Hacker Befehle direkt auf einem Webserver ausführen. Shell-Command-Injection-Angriffe nahmen um das Zwei- bis Dreifache im Laufe von 2011 zu. Web-Entwickler sollten dieser Entwicklung hohe Aufmerksamkeit widmen.
Immer mehr automatisiertes Passwort-Raten - Schwache Passwörter und Passwortvorgaben haben 2011 eine große Rolle bei schwerwiegenden Sicherheitsvorfällen gespielt. Zudem gibt es immer mehr automatisierte Angriffe im Internet, bei denen das Netz systematisch nach schwachen Login-Passwörtern abgesucht wird. IBM hat eine starke Zunahme dieser Art Passwort-Ratens bezüglich Secure-Shell-Server (SSH-Server) im zweiten Halbjahr 2011 beobachtet.
Phishing-Attacken nutzen nachgeahmte Seiten von Social-Networks und Paketpost-Diensten - Die Anzahl an Phishing-E-Mails war 2010 und in der ersten Hälfte von 2011 relativ gering. Jedoch nahm das Phishing-Phänomen in der zweiten Jahreshälfte wieder zu und erreichte dabei eine Dimension, wie seit 2008 nicht mehr. Viele dieser E-Mails geben sich die Gestalt von beliebten Social-Networks und Paketpost-Diensten. Auf diese Weise verleiten sie ihre Opfer dazu, auf einen Link zu klicken, der sie wiederum auf Websites führt, die versuchen, ihren Computer zu infizieren. Einige dieser Aktivitäten gehen auf das Konto von Werbebetrügern, die so versuchen, Traffic auf eine Händler-Website zu schleusen.
Neue Technologien eröffnen neue Angriffswege
Eine Herausforderung für die Unternehmenssicherheit sind nach wie vor neue Technologien wie Mobile- und Cloud-Computing.
Mobile-Angriffe stiegen 2011 um 19 Prozent - Der IBM X-Force-Report beschäftigte sich in diesem Jahr besonders mit dem "Bring-your-own-Device"-Trend (BYOD). Im Vergleich zum Vorjahr stieg demnach die Menge an Exploits, über die Mobil-Geräte ins Visier genommen werden können, um 19 Prozent. Viele mobile Endgeräte haben ungepatchte Schwachstellen und bieten damit eine willkommene Angriffsfläche für Hacker. IT-Manager müssen sich auf dieses wachsende Risiko vorbereiten.
Angriffe beziehen sich vermehrt auf Social Media - Mit der weitverbreiteten Nutzung von Social-Media-Plattformen und Social-Technologien rücken auch diese vermehrt in das Visier von Angreifern. Die IBM X-Force beobachtete einen Anstieg an Phishing-E-Mails, die nachgeahmte Social-Media-Websites nutzen. Auch gerissenere Angreifer haben sich dem Thema angenommen. Die Menge an Informationen, die die Menschen über ihr Privat- und Berufsleben in den Social-Networks teilen, spielt eine zunehmende Rolle bei der Vorbereitung von Angriffen auf öffentliche und private Computer-Netzwerke.
Neue Herausforderung Cloud-Computing - Das Cloud-Computing bewegt sich rapide in Richtung Mainstream-Nutzung, bis 2013 wird hier schnelles Wachstum erwartet. 2011 kam es zu zahlreichen Vorfällen. IT-Abteilungen müssen daher sehr genau abwägen, welche Workloads sie Drittanbietern in der Cloud überantworten und welche sie aufgrund ihrer Sensibilität selbst oder in einer Private-Cloud verarbeiten und mit welchem Anbieter sie hier zusammenarbeiten. Cloud-Sicherheit muss höchste Priorität für Kunden haben und IT-Anbieter sollten höchste Sicherheitsstandards und flexible Lösungen anbieten können.
Laut dem IBM X-Force 2011 Trend and Risk Report sind Service-Level-Agreements (SLAs) am effektivsten, wenn es um das Sicherheitsmanagement in der Cloud geht, da der Einfluss gering ist, den ein Unternehmen realistischerweise auf einen Cloud-Computing-Service nehmen kann. Daher sollten Zuständigkeit, Zugangsmanagement, Governance und Terminierung bei der Ausarbeitung der SLAs mit Sorgfalt bedacht werden und klar vereinbart werden. Der X-Force-Report rät Cloud-Kunden, den gesamten Lebenszyklus des Cloud-Deployments zu betrachten und deren Auswirkungen auf die allgemeinen Sicherheitsrichtlinien zu berücksichtigen.
"Viele Cloud-Kunden machen sich Gedanken über die Sicherheit dieser Technologie. Abhängig von der Art des Cloud-Deployments befindet sich die meiste - wenn nicht die gesamte - Technologie außerhalb der Kontrolle eines Kunden", so Ryan Berg, IBM Security Cloud Strategist. "Sie sollten sich auf die Anforderungen bezüglich der Informationssicherheit der für die Cloud bestimmten Daten konzentrieren und sich sorgfältig versichern, dass ihr Cloud-Anbieter in der Lage ist, die Workload adäquat zu sichern."