Endpoint Protector Appliance: Datenklau verhindern fur Windows und Mac

 

Die Zweite Generation des Staatstrojaners wurde von Experten entdeckt

Er soll noch potenter sein als die bayerische Schnüffelsoftware: Hacker vom Chaos Computer Club haben einen zweiten Staatstrojaner der Firma DigiTask geortet. Die Spähsoftware ermöglicht die weitgehende Überwachung eines Verdächtigen – auch ihr Einsatz könnte illegal sein.

Hamburg – Der Anti-Viren-Software-Hersteller Kaspersky hat nach eigenen Angaben eine weitere Version des Staatstrojaners analysiert – und dabei eine bedenkliche Entdeckung gemacht. Das offenbar von der Firma DigiTask entwickelte Programm kann mehr Programme abhören, als der vom Chaos Computer Club identifizierte Bayern-Trojaner. Auch neuere Betriebssysteme soll der Schädling infizieren können. Der Anwalt von DigiTask sagte SPIEGEL ONLINE, es handele sich offenbar um Software der Firma – wann und an wen der Trojaner geliefert wurde, sagte er nicht.

de-200x200.jpg

„Wir kennen diese Version“, sagte Frank Rieger vom Chaos Computer Club (CCC). „Bisher haben wir aber keine konkreten Anhaltspunkte, wo dieser Trojaner womöglich eingesetzt wurde und uns deshalb mit einer Veröffentlichung zurückgehalten.“ Weil der entdeckte Trojaner laut CCC unsicher ist und prinzipiell die komplette Überwachung eines Computers ermöglicht, beschäftigt sich der Bundestag am Mittwoch gleich dreimal mit dem Thema.

Der neue Schädling wurde von Unbekannten offenbar mehrfach zwischen Dezember 2010 und Oktober 2011 auf die Plattform virustotal.com hochgeladen. Dort können verdächtige Dateien auf Virenbefall gescannt werden – und Hersteller von Anti-Viren-Software beziehen von dort Informationen über neue Gefahren. Die Firma F-Secure hatte zuerst einen Zusammenhang zwischen den Dateien und dem Staatstrojaner hergestellt.
Read more

Duqu: Neuer Stuxnet-Virus erschreckt Sicherheitsprofis

Wie der Spiegel berichtet hat Stuxnet einen erschreckenden Nachfolger gefunden. Auch Wired.com berichtet über den Nachfolger von Stuxnet.

Er ist kleiner, gemeiner als sein Vorgänger und hat ein bisher unbekanntes Angriffsziel: Sicherheitsforscher haben eine neue Variante des Computerschädlings Stuxnet entdeckt. Bisher habe die Software keinen Schaden angerichtet – allerdings wurden schon potentielle Ziele ausgespäht.

Das ist der Wegbereiter des nächsten Stuxnet-Angriffs – so fassen Forscher des Antivirus-Dienstleisters Symantec ihre Analyse einer neuen Schadsoftware zusammen. Stuxnet war vor einem Jahr als Vorbote einer neuen Form von Computerschädlingen bekannt geworden: Das Programm war mit enormem Aufwand gestaltet worden, um Industrieanlagen zu sabotieren.

Der Stuxnet-Nachfolger Duqu scheint den nächsten derartigen Angriff vorzubereiten. Duqu sucht nach Insider-Informationen zu Steuerungssystemen von Industrieanlagen, berichtet Symantec.

Mysteriöse Quellen
Woher Symantec die Duqu-Dateien erhalten hat, verschweigen die Autoren der Analyse. Am 14. Oktober habe ein Forschungslabor mit „vielen internationalen Verbindungen“ Symantec auf den neuen Trojaner hingewiesen und Dateien zur Analyse eingeschickt. Diese Daten sollen von Rechnern in Europa stammen.

Die mysteriöse Forschungsinstitution habe Symantec auch eine eigene, 46-seitige Analyse des Schädlings übermittelt – die Autoren bezeichnen sich als Forscher, die Schadsoftware analysieren. Am 17. Oktober habe eine weitere Organisation aus Europa andere Duqu-Varianten an Symantec gesendet.

de-inline-b.jpg
Wegbereiter eines neuen Angriffs
Die Symantec-Forscher bezeichnen Duqu auf Basis ihrer Analyse als Wegbereiter eines neuen Angriffs im Stuxnet-Stil. Als Belege für diese These führen die Autoren diese Details auf:

Die Schöpfer von Duqu hatten offenbar Zugriff auf den Quellcode des Schädlings Stuxnet.
Die Software habe keine Funktion zur autonomen Weiterverbreitung gehabt. Sie sei stattdessen sehr zielgerichtet eingesetzt worden – in Rechnersystemen, wo „Hintergrundinformationen“ zum Aufbau von Kontrollsystemen in Industrieanlagen zu finden sind.

Den Symantec-Forschern zufolge unterscheidet sich Duqu signifikant von Stuxnet, weil er kein Wurm ist und sich nicht selbst replizieren kann. Man könnte ihn als Aufklärungsdrohne bezeichnen, deren Zweck es ist, möglichst viele Informationen über potentielle Angriffsziele zu sammeln, heißt es.

Stuxnet wurde in Steuerungsrechner iranischer Atomaufbereitungsanlagen eingeschleust und manipulierte offenbar monatelang unentdeckt die Drehzahlen der zur Urananreicherung benutzten Zentrifugen, welche durch die Unregelmäßigkeiten schadhaft wurden, ausfielen und ersetzt werden mussten.

„Was uns erstaunt, ist, dass diese Leute immer noch aktiv sind“, sagt Symantec-Experte O’Murchu gegenüber „Wired“. Wir dachten, sie hätten sich nach all der Publicity um Stuxnet zurückgezogen. Aber das ist offensichtlich nicht der Fall. Sie waren im vergangenen Jahr eindeutig aktiv.“ Es liege nahe, dass die Informationen, welche die Autoren mit ihrer Schadsoftware jetzt sammeln, für einen neuen Angriff genutzt werden sollen.

Jpeg-Bilder tarnen die Datenübertragung
Wohl auch, weil er keine Schäden anrichten soll, ist Duqu mit 300 Kilobyte kleiner als Stuxnet. Die Daten, die er abgreift, sendet der Aufklärungsschädling an einen Kommando- und Steuerungs-Server, von dem er auch neue Programmbestandteile nachladen kann. Um seine Datenübertragungen zu tarnen, damit sie von Schutzprogrammen nicht erkannt wird, versendet er seine Datenpakete getarnt als Jpeg-Bilder.

Wer auch immer Duqu kontrollierte, hat laut Symantec auf infizierten Systemen ein weiteres Programm nachgeladen, einen sogenannten Keylogger. Der protokolliere Tastatureingaben, um so Logins und Passworte in Rechnernetzen auszuspähen.

Symantec berichtet, man habe im eigenen Archiv von Kunden eingeschickter Schädlinge eine Duqu-Variante entdeckt, die am 1. September gemeldet wurde. Eine Analyse der Dateien deute darauf hin, dass Duqu schon im Dezember 2010 eingesetzt worden sein könnte.

Die Symantec-Forscher warnen in ihrem Bericht: „Es ist möglich, dass derzeit weitere Angriffe gegen andere Organisationen mit bislang unentdeckten Varianten laufen.“

Quelle: Spiegel.de

Schutz vor Trojanern (und dem Bundestrojaner): So bleibt der Computer sicher

Die vergangen Tage ist das Thema in aller Munde. Jeder Berichtet von dem Bundestrojaner der vermutlich schon seit längerem von Behörden, und bestimmt nicht nur Deutschen, eingesetzt wird.
Die Süddeutsche Zeitung gibt folgende Info zum Schutz vor Trojaner, auch dem Bundestrojaner der auch per USB einen PC infizieren kann.

Eine staatliche Überwachungssoftware – der sogenannte Staatstrojaner – sorgt für Aufregung. Doch was ist ein Trojaner eigentlich und wie kann man seinen Computer vor einer solchen Schadsoftware sicher schützen?

Der in die Schlagzeilen geratene «Trojaner» ist eine Spionagesoftware, die ähnlich funktioniert wie Schadprogramme, die von Kriminellen zum Ausspähen etwa von persönlichen Bankdaten genutzt werden. Eigentlich Trojanisches Pferd genannt, schleust sich eine solche Schadsoftware unbemerkt in fremde Rechner ein, liest Daten aus und kann im Prinzip die Kontrolle des ganzen Computers übernehmen.

«Man sollte deshalb keine Programme installieren, die nicht aus vertrauenswürdigen Quellen kommen», rät Martin Mink vom Center Center for Advanced Security Research Darmstadt (CASED). Auf Windows-Rechnern sei zudem eine Antiviren-Software Pflicht, die Trojaner oftmals schon vor oder bei der Installation erkennen könne.

Vordergründig hätten Trojaner meist eine nützliche Funktion, seien zum Beispiel ein Bildschirmschoner oder ein Spiel, erklärt Mink. Im Hintergrund könnten sie aber Schadsoftware ausführen oder nachinstallieren, eben wie das namens gebende Trojanische Pferd, in dessen Innerem griechische Soldaten der Sage nach in die Stadt Troja gelangten.

Angreifern ist es so möglich, sensible Daten wie Benutzernamen oder Kennwörter, Tastatureingaben, Chats oder Gespräche mitzuschneiden, den Rechner fernzusteuern, Werbung einzublenden oder auch sicherheitsrelevante Programme zu deaktivieren.

Wohlgemerkt waren es die Trojaner selbst, die das riesige Holzpferd nach einem vorgetäuschten Abzug der Griechen in die Stadt holten – aus purer Neugier. Ähnlich funktionieren PC-Trojaner heute noch. «Insbesondere, wenn es um Raubkopien geht, kann es gut sein, dass sie manipuliert sind», sagte Mink, der in der Security Engineering Group der TU Darmstadt arbeitet. «Damit werden Nutzer geködert.»

Die Verbreitungswege von Trojanern sind vielfältig. Die Gefahr lauert nicht nur bei Tauschbörsen oder Direktdownloads, auch Programme in E-Mail-Anhängen oder auf Datenträgern wie USB-Sticks können infiziert sein. Selbst beim Surfen können manipulierte Webseiten dem Rechner Schadsoftware unterschieben – Drive-by-Download heißt das im Fachjargon. «Das müssen keine Schmuddelseiten sein», sagt Mink. «Es gibt schon Beispiele von bekannten Seiten, die infiziert worden sind, zum Beispiel über Werbebanner.»

Bei Suchmaschinen wie Google werden potenziell gefährliche Seiten oft schon markiert. In den neuesten Versionen warnen auch Browser wie Firefox oder der Explorer den Nutzer, wenn dieser gefährliche Adressen ansteuern möchte. Martin Mink empfiehlt zudem die Installation der Erweiterung NoScript. «Die verhindert, dass eine Webseite aktive Inhalte ausführen kann.»

Ob nicht vielleicht schon längst ein Trojaner samt Schadsoftware sein Unwesen auf dem PC treibt, ist nicht leicht festzustellen. «In den meisten Fällen merkt man das einfach nicht», sagt Mink. Von Zeit zu Zeit könne man sein System aber von einer Notfall-CD booten, wie sie Computerzeitschriften oft beiliegen. Unter einem anderen Betriebssystem wie Linux ließen sich dann oft gleich mehrere Antiviren-Programme ausführen. «Damit kann man schon viel entdecken.»

Es gibt aber durchaus ungewöhnliche Systemaktivitäten, die für eine Infektion sprechen können. «Es kann auffallen, wenn sich plötzlich Webseiten oder Browserfenster öffnen», erklärt der Experte. Auch wenn der Rechner plötzlich langsamer läuft oder der Prozessor immer stark ausgelastet ist, lohnt sich ein Scan mit einer Boot-CD.

Eine Garantie, dass die verschiedenen Antivirenprogramme den Trojaner oder die jeweilige Schadsoftware sicher entfernen können, gibt es nicht. «Bei manchen geht es besser, bei manchen weniger gut», sagt Mink. «Wenn man nicht sicher ist, ob die Schadsoftware ganz entfernt ist, ist es am besten, das ganze System neu zu installieren.»

Quelle: Sueddeutsche.de

60% von gefunden USB Sticks werden an PCs angeschlossen.

Die US-Regierung hat eine Studie durchgeführt, wonach 60% der absichtlich verloren gegangener USB-Sticks von den Findern mit einem PC verbunden wurden. Die sich auf den USB-Flash Drives befindliche Schadsoftware wurde dann automatisch ausgeführt und der PC infiziert.

Damit ist es Angreifern faktisch möglich danach den infizierten PC bzw. das Netzwerk in dem sich der PC befindet zu missbrauchen oder auszuspionieren.

Einen ausführlichen Artikel gibt es hierzu in Englisch bei Bloomberg.com

Endpoint Protector schutz gegen USB Sticks

„Stuxnet ist peinlich, nicht verblüffend“ Spiegel.de

Zwei IT-Experten behaupten, der berüchtigte Stuxnet-Wurm sei zu fehlerhaft, um ein Meisterwerk – oder das Werk eines westlichen Geheimdienstes – zu sein.

Ist Stuxnet wirklich die brandgefährliche „erste Waffe des ersten Cyberkriegs“, das Wunderwerk, als das ihn IT-Sicherheitsexperten und Medien (auch SPIEGEL ONLINE) deuten? Zwei IT-Experten glauben nicht daran: Die Stuxnet-Entwickler hätten „grundlegende Fehler“ gemacht, sagte etwa IT-Berater Tom Parkner in einem Vortrag auf der Hacker-Konferenz Blackhat DC im US-Bundesstaat Virginia. Für Root.org-Blogger Nate Lawson ist Stuxnet gar „peinlich, nicht verblüffend“.

Parkner zufolge könnte Stuxnet das Werk zweier Programmier-Teams sein. Das eine, talentierte, habe Stuxnets Kern, vor allem dessen vier ( vermutlich teuer eingekaufte) Angriffsmethoden entwickelt. Ein zweites, weniger begabtes könnte das Vehikel drumherum gebastelt und für den Einsatz fit gemacht haben. Parker analysierte den Stuxnet-Programmcode und kam zu dem Schluss, dass er teilweise nicht sehr gut geschrieben sei – gerade die Kommando- und Kontroll-Infrastruktur sei schlecht ausgeführt. Stuxnet kommuniziere über unverschlüsselte Kanäle und verbreitete sich im Internet, was nicht im Interesse der sicherlich um Geheimhaltung bemühten Entwickler gewesen sein dürfte.

Lawson wiederum empört sich regelrecht über die schlechten Tarn-Funktionen Stuxnets. Der Wurm „setzt keine auf virtuellen Maschinen beruhenden Tarnmechanismen ein, keine neuartigen Techniken, um sich gegen Debugging zu wehren oder irgendetwas, das ihn von den Hunderten täglich neuentdeckten Malware-Exemplaren unterscheidet.“ Die Stuxnet-Entwicklung stünde hinter dem zurück, was ein „bulgarischer Teenager in den Neunzigern bereits getan hat.“

Vor allem sind sich Lawson und Parkner in einer Vermutung einig: All diese Fehler deuten darauf hin, dass, trotz anderslautender Gerüchte, womöglich kein westlicher Staat hinter Stuxnet stehe. Vielleicht, spekuliert Lawson, wurde Stuxnet ja sogar zunächst von einem Profi-Team entwickelt, das – aus welchen Gründen auch immer – den Wurm-Entwurf dann einem Amateur-Team überließ, das Stuxnet dann auf eigene Faust weiterentwickelte.

Quelle: Spiegel.de

Stuxnet-Virus könnte tausend Uran-Zentrifugen zerstört haben laut Bericht des Spiegels

Neue Erkenntnisse über den hinterhältigen Stuxnet-Wurm: Möglicherweise hat die Schad-Software in der iranischen Anreicherungsanlage Natans größere Schäden angerichtet, als das Regime in Teheran eingestehen will. Bis zu tausend Uran-Zentrifugen hat der Virus womöglich auf dem Gewissen.

Sollten diese Berichte stimmen hat mit dem Stuxnet Wurm eine der bisher größten modernen Cyber-Angriffe sein Ziel erreicht.

Das Institute for Science and International Security (ISIS) ist eine renommierte Organisation. Sie wird von diversen Stiftungen und sogar der Internationalen Atomenergiebehörde IAEA gefördert. Nun sind drei ISIS-Forscher zu einem Schluss gekommen, der dabei helfen könnte, das Rätsel um den geheimnisvollen Stuxnet-Virus zu lösen. Stuxnet, schreiben die Wissenschaftler David Albright, Paul Brannan und Christina Walrond in ihrem Bericht, hat womöglich tausend oder noch mehr iranische Uran-Zentrifugen in der Anreicherungsanlage Natans, gut 300 Kilometer südlich von Teheran, zerstört.

Die Autoren des Forschungsberichts formulieren vorsichtig: „Wenn das Ziel von Stuxnet war, alle Zentrifugen in der Anreicherungsanlage zu zerstören, ist Stuxnet gescheitert. Wenn das Ziel jedoch war, eine begrenzte Anzahl von Zentrifugen zu zerstören und Irans Fortschritte beim Betrieb der Anlage zu hemmen und gleichzeitig die eigene Entdeckung zu erschweren, war die Malware möglicherweise erfolgreich, jedenfalls eine zeitlang.“

Dass Stuxnet in Natans Probleme verursacht hatte, gestand Ende November sogar Irans Präsident Mahmud Ahmadinedschad ein. Bei einer Pressekonferenz erklärte er: „Sie haben es geschafft, Probleme mit einer begrenzten Anzahl unserer Zentrifugen zu verursachen, mit einer Software, die sie in elektronischen Bauteilen installiert hatten“, sagte Ahmadinedschad Reuters zufolge. Stimmt die ISIS-Einschätzung jedoch, waren die Schäden durchaus umfangreich.

Andere Ursachen für die Ausfälle: unwahrscheinlich
Atomkraft und vor allem die Verbreitung von Nuklearwaffen sind das Spezialgebiet des ISIS-Instituts. In ihrem Bericht stützen sich die drei Autoren auf das Gutachten, das die IT-Sicherheitsfachleute von Symantec über Stuxnet angefertigt haben – und auf Daten aus den Beständen der Atomenergieaufsicht IAEA. Die Behörde veröffentlicht regelmäßig Berichte über Kennzahlen in Nuklearanlagen, über eingesetzte Rohmaterialien, installierte, betriebsbereite und tatsächlich arbeitende Zentrifugen.

banner-foto-b.jpg
Dem ISIS-Bericht zufolge wird in der zweiten Hälfte des Jahres 2009 eine ziemliche Delle in der Ausstattung von Natans deutlich: Etwa 1000 Zentrifugen, etwa zehn Prozent aller dort eingesetzten Geräte, wurden in den Monaten vor dem Januar des Jahres 2010 offenbar außer Dienst gestellt. Möglicherweise weil Stuxnet sein diskretes Zerstörungswerk verrichtet hatte. Die Autoren weisen allerdings explizit darauf hin, dass der massenweise Ausfall auch andere Ursachen haben könnte – schadhafte Bauteile oder ganze Lieferungen fehlerhaft zusammengesetzter Zentrifugen zum Beispiel. Doch das erscheine eher unwahrscheinlich, heißt es in dem Bericht. Die Ausfälle verschleierte Iran dadurch, dass parallel massenweise neue Zentrifugen installiert wurden.

Viel zu viel Uranhexafluorid verbraucht

Das komplexe Schadprogramm, so viel ist mittlerweile klar, hatte mindestens eine konkrete Aufgabe: Die Frequenzen, mit denen die Zentrifugen rotieren, zu manipulieren. Normalerweise müssen die Uranschleudern mit möglichst genau 1064 Hertz laufen, doch Stuxnet schraubte die Umdrehungszahl zunächst auf bis zu 1410 Hertz hinauf und anschließend auf bis zu zwei Hertz hinunter. Wieder und wieder, jeweils im Abstand eines knappen Monats.

Die höchsten Frequenzen, notieren die ISIS-Autoren, liegen sehr nahe an der absoluten Belastungsgrenze dieser Zentrifugen. Würden solche Geschwindigkeiten tatsächlich erreicht, würden die Rotoren der Zentrifugen „vermutlich auseinanderfliegen“. Gleichzeitig habe Stuxnet sein zerstörerisches Werk verschleiert: „Jede Angriffssequenz sendet auch Kommandos aus, um die Warn- und Sicherheitskontrollen der Frequenzumrichter abzuschalten, die das Bedienpersonal bei Steigerung oder Reduktion der Geschwindigkeit warnen sollen.“

Möglicherweise war das Ziel auch gar nicht, die Zentrifugen sofort zu zerstören, sondern langsam, über einen längeren Zeitraum hinweg, um die Quelle der ständigen Pannen zu verschleiern. In der 15-minütigen Phase, in der die Geschwindigkeit Richtung 1410 Hertz gesteigert werden sollte, sei dieser zerstörerische Zielwert womöglich gar nicht erreicht worden, so die ISIS-Autoren. Dieses Vorgehen sollte die Zentrifugen womöglich nach und nach beschädigen. Diskret.

Ein weiteres Indiz spricht für eine möglicherweise zweigleisige Wirkungsweise: In der zweiten Jahreshälfte 2010 setzte Iran in Natans wesentlich mehr von dem Grundstoff Uranhexafluorid ein, produzierte im Verhältnis zur Menge dieses Rohmaterials aber weniger niedrig angereichertes Uran. Schlussfolgerung der ISIS-Autoren: „Dies könnte darauf hindeuten, dass Irans Zentrifugen in diesem langen Zeitraum nicht effizient anreicherten.“ Verschwendeten die leiernden Zentrifugen Uranhexafluorid?

Die Tatsache, dass die Entwickler der Schad-Software überhaupt so gezielt auf die Eigenheiten der Hardware eingehen konnten, spreche für detaillierte Vorinformation, so die ISIS-Forscher. Denn zumindest bei der IAEA wisse man gar nicht, welche Frequenzumrichter in Natans eingesetzt werden: „Wenn Stuxnet auf die Anreicherungsanlage zielte, haben seine Autoren Informationen benutzt, die der IAEA nicht vorlagen.“ Ein weiterer deutlicher Hinweis darauf, dass Stuxnet tatsächlich ein Werk westlicher Geheimdienste sein könnte.

Quelle: Spiegel.de

Die Sicherheitslücken der Unternehmen – WirtschaftsWoche

Der Bericht der Wirtschafts Woche stellt die Frage „Wann Ihr Unternehmen ein Wikileak hat“
Wie technische Lücken und Mitarbeiter Firmengeheimnisse in Gefahr bringen – und wie Sie sich schützen.

Daniel Domscheit-Berg packt seinen Laptop aus und startet ihn auf dem Tisch eines Cafés am Potsdamer Platz in Berlin. An diesem kalten Herbsttag im Oktober 2009 hat der 32-jährige Sprecher von Wikileaks in Deutschland Brisantes im Gepäck: Ein Informant hatte ihm eine staatsanwaltschaftliche Geheimakte zugespielt, aus der hervorgeht, mit welch unredlichen Methoden der Arzneihersteller Ratiopharm den Umsatz nach oben getrieben hat. Wikileaks bringt das Dokument ins Netz, die WirtschaftsWoche berichtet, und Ratiopharm gerät in Erklärungsnot.

Inzwischen hat Wikileaks angekündigt, weitere Geheimnisse aus der Wirtschaft ins Netz stellen zu wollen. Im Januar sollen zunächst Enthüllungsdokumente einer Großbank folgen, Dokumente anderer Unternehmen seien bereits eingegangen. Und schon gibt es Berichte von weiteren Plattformen, die wie Wikileaks geheime Informationen ins Netz bringen wollen.

Lange wollten es Unternehmen nicht wahrhaben: Die Zeiten, in denen geheime Akten nächtelang kopiert werden mussten, sind vorbei. Mit einem Mausklick lassen sich Firmengeheimnisse auf USB-Sticks kopieren, die in Sekunden in die falschen Hände gelangen können. Das muss nicht nur Manager alarmieren, die gegen Gesetze verstoßen. Ob Mittelständler oder Dax-Konzern: Alle lagern vertrauliche Daten digital. Und trotz Firewalls und Passwörtern kommen Wirtschaftsspione immer wieder an diese Informationen heran.

Auf bis zu 50 Milliarden Euro taxiert eine Studie der Universität Lüneburg das jährliche Gefährdungspotenzial durch Wirtschaftsspionage in Deutschland. Da ist es geradezu fahrlässig, wie manche Betriebe mit ihren Geheimnissen umgehen: Sie lassen Fremde unkontrolliert ins Firmengebäude, Serverräume bleiben unverschlossen, und Praktikanten haben Zugang zum gesamten Computernetzwerk.

Wo aber liegen die größten Sicherheitslücken? Und wie schützen sich Unternehmen dagegen?

Risiko Spionageprogramme

Der größte Datenschatz der Unternehmen liegt auf Servern. Diese Großrechner werden daher mit Firewalls vor Angriffen aus dem Netz geschützt. Doch mithilfe von USB-Sticks beispielsweise können Mittelsmänner Schnüffel-Programme in das Netzwerk einschleusen. Anbringen kann den kleinen Speicherstick jede Putzhilfe.


banner-foto-a.jpg

Auf pure Neugier setzt ein anderer Trick der Cyber-Spione: Sie lassen USB-Sticks mit Trojaner-Software auf einem Firmenparkplatz fallen. Die Hoffnung: Ein Mitarbeiter findet ihn und öffnet den Datenträger auf seinem Firmencomputer. Sobald er den Stick anschließt, wird die Schadsoftware aktiv und verschickt die gewünschten Daten wochenlang häppchenweise über das Internet. „Das fällt in keiner Netzwerk-Statistik auf“, sagt Henrik Becker, IT-Experte bei der Düsseldorfer Unternehmensberatung RölfsPartner.

Ebenfalls via USB-Stick gelangen sogenannte Keylogger auf die Rechner von Managern. Die versteckten Programme zeichnen wie eine kleine Kamera sämtliche Tastaturbefehle auf – einschließlich Nutzernamen und Passwörtern – und übermitteln die Informationen ebenfalls via Internet an den Auftraggeber.

Schutz gegen derlei Angriffe bieten Anti-Leak-Programme, sozusagen der militärische Abschirmdienst der IT-Sicherheitsabteilung. Die Software kann, vom Eindringen Unbefugter in den Rechner bis zur Kopie von Dokumenten, jeden Zugriff blocken oder kontrollieren. Dabei protokolliert der elektronische Türsteher alle Datenbewegungen – und damit jeden möglichen Diebstahl. Dabei kann die Software sogar die Verarbeitung von Daten in Excel gestatten, aber unterbinden, dass die Tabelle ausgedruckt oder auf eine CD gebrannt wird. Sie kann auch USB-Ports sperren, um schädlichen Zugriff über Speichersticks zu verhindern.

Doch längst nicht jeder nutzt die Technik: Laut einer Studie des amerikanischen Marktforschers Forrester Research hat 2010 zwar jedes fünfte große Unternehmen aus den USA, Kanada, Großbritannien und Deutschland Anti-Leak-Software eingeführt. Bei kleinen und mittelständischen Unternehmen aber ist die Rate deutlich geringer: Nur zehn Prozent besitzen derartige Schutzsysteme.

Spektakuläre Virus-Analyse: Stuxnet sollte Irans Uran-Anreicherung stören

Wie bereits seit längerem vermutet bestätigt sich langsam der Verdacht das Stuxnet eine Attacke auf die Iranischen Atomanlagen mit einem wohl durchdachten, gut finanzierten und eindrucksvoll durchgeführte Attacke mit Hilfe von USB Sticks handelt. Bleibt nur noch offen welcher, oder welche Geheimdienste oder andere Interessengruppen dahinter stecken.

Ein Dossier zur Analyse der Stuxnet Attacke gibt es im Detail von Symantec zum Download.

Wired hat einen Umfangreichen Artikel zum Thema veröffentlicht.

Der Spiegel gibt in seinem Artikel ebenfalls weitere Aufschlüsse zum Thema.

Der Stuxnet-Wurm scheint endlich enträtselt. Virenforscher sind jetzt überzeugt: Die mysteriöse Software ist eine Art Undercover-Agent, der die iranischen Uranzentrifugen sabotieren sollte – gezielt, subtil und hinterhältig.

Welches Ziel verfolgt Stuxnet? Über diese Frage rätseln Experten, seit die ungewöhnliche Schadsoftware im Juli entdeckt wurde. Schnell war klar, dass sie Industriesteuerungsanlagen der Firma Siemens angreift. Wie sie das tut und vor allem, was sie dort anrichtet, war allerdings selbst Virenforschern ein Rätsel. Jetzt haben Schadsoftware-Spezialisten die Arbeitsweise des Angreifers analysiert und sind zu dem Schluss gekommen: Stuxnet ist noch viel hinterhältiger als gedacht, soll seine Ziele über Jahre manipulieren, ohne dabei Spuren zu hinterlassen. Der Schädling hatte wohl wirklich iranische Atomanlagen zum Ziel, sollte Irans Atomprogramm unbemerkt langfristig sabotieren.

Befürchtungen, Stuxnet habe dort katastrophale Schäden, den Austritt von radioaktivem Material oder gar eine Kernschmelze auslösen sollen, konnten die Experten des IT-Sicherheitsunternehmens Symantec aber nicht bestätigen. Stattdessen fanden sie heraus, dass Stuxnets Einsatz auf eine lange Verweildauer ausgerichtet war. Er sollte die Anlagen ganz subtil manipulieren, die Prozesse der Uran-Anreicherung kaum spürbar aber wirkungsvoll unterwandern. Das Ergebnis wäre minderwertiges Uran gewesen.

Diskreter Schädling

Dass es so lange gedauert hat, zu diesem Schluss zu kommen, liegt an der Komplexität der Software. Stuxnet, da sind sich alle Beobachter einig, ist eine ausgesprochen ungewöhnliche Software. Die Entwicklungskosten werden auf Millionen Dollar geschätzt, das Programmierer-Team muss groß gewesen sein. Alleine die Kosten für den Erwerb von Wissen um bis dahin unbekannte Windows-Sicherheitslücken dürften siebenstellig gewesen sein. Sie haben es ermöglicht, Stuxnet selbst an aktueller Schutzsoftware vorbei unbemerkt auf Rechner einzuschleusen.

Wie der Wurm das schaffte und was er auf den befallenen Systemen tun sollte, haben Symantecs Forscher jetzt in dem Bericht „W32.Stuxnet Dossier“ ( PDF) auf 63 Seiten zusammengefasst. Eine leichte Lektüre ist das nicht, eine spannende schon.

Endpoint Protector schützt vor Attacken durch USB

Bei der Sabotage des iranischen Atomprogramms sollte die Schadsoftware ausgesprochen subtil vorgehen. Zwar hat sich Stuxnet laut Symantec auf mehr als 100.000 Systemen eingenistet, aktiv wird er aber nur, wenn er ganz bestimmte Bedingungen vorfindet. Demnach ist er darauf ausgerichtet, bestimmte Siemens-Industriecomputer anzugreifen, die über Steuerungsmodule sogenannte Frequenzumrichter regeln. Symantec zufolge geht die Software dabei nur auf Umrichter los, die entweder vom finnischen Hersteller Vacon oder von der iranischen Fararo Paya stammen. Das mag kein Beweis sein, immerhin jedoch ein Indiz dafür, dass Stuxnets Ziel die iranische Kernbrennstoff-Anreicherungsanlage in Natans ist.

Die richtigen Frequenzen

So explizit ist das Symantecs Bericht zwar nicht zu entnehmen, zwischen den Zeilen aber doch deutlich zu lesen. Denn dort wird darauf hingewiesen, dass Stuxnet nur Frequenzumrichter beeinflusst, die mit Frequenzen zwischen 807 Hz und 1210 Hz arbeiten. Darauf folgt im Bericht der Hinweis, dass der Export von Umrichtern, die Frequenzen oberhalb von 600 Hz unterstützen, aus den USA verboten ist – weil solche Geräte in Urananreicherungsanlagen verwendet werden.

Eben diese Frequenzumrichter sind dringend nötig, um die Drehzahl jener Zentrifugen zu regeln, die für die Anreicherung von Kernbrennstoffen so wichtig sind. Eine konstante Drehzahl ist für den Erfolg des Prozesses essentiell, erklärt Symatec-Forscher Eric Chien im Firmenblog. Deshalb sind die Umrichter so wichtig. Werde die Umdrehungszahl der Zentrifugen verändert, würde die Konzentration der schweren Uran-Isotope unterbrochen. Das Resultat wäre minderwertiges Uran.

Genau an dieser Stelle setzt Stuxnet dem Bericht zufolge an. Über einen Zeitraum von Monaten sollte er die Frequenz der Umrichter wieder und wieder in unterschiedlichen Schritten variieren. In einem Beispiel zeigen die Virenforscher, dass er in einem Beispielsystem die Frequenz zunächst nach 13 Tagen auf 1410 Hz erhöht, um sie 27 Tage später zunächst auf 2 Hz zu senken und gleich danach auf 1064 Hz hochzufahren. In dieser Art geht es über Monate weiter.

Ein großer Erfolg – und dennoch gescheitert

Darüber ob Stuxnet seine Mission schon begonnen hat, herrscht bis heute Unklarheit. Iranische Behörden widersprechen Annahmen, wonach die Software bereits zu Unfällen und Unregelmäßigkeiten im iranischen Atomprogramm geführt habe. Die Entwicklung von Stuxnet lässt sich laut Symantec aber bis mindestens Juni 2009 zurückverfolgen.

it-sa Nürnberg 2010: Optimal System-Beratung präsentiert Appliance für Endpunkt-Sicherheit

Neues von der it-sa in Nürnberg.

Die Optimal System-Beratung zeigt vom 19. – 21. Oktober 2010 auf der it-sa 2010 in Nürnberg (Halle 12, Stand 529) die „Endpoint Protector Appliance“: ein pro-aktiver, direkt einsatzbereiter Schnittstellenschutz für PC und Mac, der Unternehmen Endpunkt-Sicherheit bietet. Das Gerät regelt die Verwendung von mobilen Datenträgern (wie USB-Sticks), indem sie diese in die Sicherheitspolitik des Unternehmens einbezieht. So regelt Endpoint Protector den Umgang mit Endgeräten innerhalb weniger Minuten, ohne die Produktivität einzuschränken.

Mehr info zur Endpoint Protector Appliance gibt bei hier.

IT-Sicherheit ist wichtiger denn je

MÜNCHEN/FRANKFURT. Eugene Kaspersky hat sich sein ganzes Berufsleben lang mit Würmern, Trojanern und anderen virtuellen Angreifern befasst. Eine Schadsoftware wie „Stuxnet“ ist dem Eigentümer der russischen Antiviren-Firma Kaspersky Lab aber noch nie untergekommen. „Das Programm ist so gut gemacht, das riecht danach, dass es von Geheimdiensten entwickelt wurde“, sagt er.

Stuxnet sorgt seit Monaten für Aufsehen unter Fachleuten, weil die Software riesige Industrieanlagen lahmlegen kann. So wird spekuliert, sie ziele eigentlich auf das iranische Atomkraftwerk Buschehr. Eine Bestätigung dafür gibt es zwar nicht. Doch allein die Existenz von Stuxnet zeigt, dass die Angriffe aus den Tiefen des Internets eine ganz neue Dimension bekommen.

Es ist nur ein Beispiel für neuartige, gefährliche Schadsoftware, gegen die sich Firmen ebenso wie PC-Nutzer zuhause rüsten. Der Markt für solche Schutzsoftware wächst rasant – und um die besten Programme und Anbieter ist ein wahrer Kampf entbrannt.

Chip-Weltmarktführer Intel zahlte im August mehr als sieben Mrd. Dollar für McAfee, die Nummer zwei für Sicherheitssoftware. Analysten sind verblüfft, dass Intel sich in den völlig neuen Bereich wagt. Kurz darauf hat sich Hewlett-Packard Arc-Sight für 1,5 Mrd. Dollar einverleibt, einen weiteren Spezialisten für IT-Sicherheit.

banner-sky.jpg

Gefährlicher Trend zur Mobilität

Dieses Jahr werden die Unternehmen weltweit mehr als 16 Mrd. Dollar für Sicherheitssoftware ausgeben, nach Berechnungen der Marktforscher von Gartner ein Plus von elf Prozent gegenüber dem Vorjahr. Trotz Krise sei das Geschäft auch 2009 um sieben Prozent gewachsen. In den nächsten Jahren werde sich der Trend fortsetzen.

Sorgen um mobile Sicherheit

Es sind nicht nur die raffinierten Angriffe, die das Geschäft beflügeln. Auch der technische Fortschritt sorgt dafür, dass Unternehmen mehr für IT-Sicherheit ausgeben müssen. Geht es nach großen IT-Konzernen wie etwa dem Softwarehersteller SAP, werden Manager ihre Unternehmen und Abteilungen schon bald zu einem großen Teil über Programme auf tragbaren Geräten wie Smartphones steuern – das öffnet neue Sicherheitslücken.

Die Kunden warnen bereits. „Alles entwickelt sich in Richtung Mobilität, daran besteht kein Zweifel. Aber es muss sichergestellt sein, dass unsere Daten auch sichere Wege nehmen werden“, sagt Karl Liebstückel, der Vorsitzende der SAP-Anwenderorganisation DSAG.

Das Kernproblem: In den meisten Firmen ist die IT-Sicherheit stark auf die realen Grenzen des Unternehmens beschränkt. Im Mittelpunkt der Sicherheitsstrategie steht häufig die sogenannte Firewall, der Zaun, der die Rechner und das Netz hinter den Türen der Unternehmen schützt. „In der modernen Welt sind aber die mobilen Geräte der neue Angriffspunkt“, sagt Wolfgang Straßer, Geschäftsführer des Beratungsunternehmens @-yet.

Handelsblatt.de berichtete.