„Wir stellen eine allgemeine Zunahme der Cybercrime-Kompetenz fest“, so Steve Durbin, Global Vice President des herstellerunabhängigen Verbands Information Security Forum (ISF). „Cybercrime ist heute eine richtige Branche mit schnell wachsenden Unternehmen.“ Zwar sind zahlreiche Softwarehäuser – nicht zuletzt Microsoft – seit geraumer Zeit nachdrücklich bestrebt, die Anfälligkeit ihrer Lösungen für Sicherheitslücken zu minimieren. Zeitgleich aber, da sind sich die Sicherheitsexperten einig, hat sich die Angreiferseite zu einer hochgradig arbeitsteiligen Industrie entwickelt, die wirkungsvoll wirtschaftliche Ziele verfolgt: vom Adresshandel für Spamming und Phishing über das Lahmlegen von Websites per Botnet in Auftragsarbeit bis hin zu Erpressung, Industriespionage, klassischer politisch motivierter Spionage (wie jüngst mittels Flame) oder ersten Gehversuchen in Richtung „Cyber-Krieg“ (Stuxnet, Duqu). Hinzu gesellt sich das Phänomen langanhaltender Angriffe, APTs genannt, bei denen der Angreifer hartnäckig ein bestimmtes Ziel – etwa Industriespionage – verfolgt. Anders als von manchen Security-Anbietern suggeriert, sei es praktisch unmöglich, sich vor solchen APTs zu schützen, warnte unlängst Experte Bruce Schneier (siehe „Hacker trifft CISO“, LANline 3/2012, S.6ff.): Das in vielen Fällen effektive Mittel der relativen Sicherheit (mein Haus ist besser geschützt als das meiner Nachbarn) ist gegen APTs wirkungslos, da es der Angreifer ja auf eben dieses Unternehmen abgesehen hat. APTs sind allerdings so aufwändig, dass sie laut Einschützung des F-Secure-Vordenkers Mikko Hypponen wohl meist auf staatlicher Initiative beruhen – und gegen einen Geheimdienst ist ein CISO eben praktisch machtlos.

Security-Verantwortliche sind also gut beraten, sich durch den Rummel um APTs, Stuxnet oder Flame nicht beirren zu lassen und sich auf alltägliche Bedrohungen der IT-Sicherheit zu konzentrieren – zumal APTs häufig allzu „Advanced“ (fortschrittlich, ausgefeilt) gar nicht seien, wie Microsofts Director Trustworthy Computing Tim Rains meint: „Cyberangriffe als ‚Advanced‘ zu bezeichnen, kann für Unternehmen irreführend sein und von den fehlenden Grundlagen ablenken, die weitaus mehr Angriffsfläche bieten.“ So waren laut Microsoft im vierten Quartal 2011 weltweit 1,7 Millionen Systeme von Conficker befallen – und der Wurm treibt seit 2008 sein Unwesen.

Keine Entwarnung

HP warnt in seinem „2011 Top Cyber Security Risks Report“ (siehe Beitrag Seite 50) davor, angesichts eines Rückgangs offiziell gemeldeter Sicherheitslücken vorschnell Entwarnung zu geben: Dieser Rückgang rühre nicht nur von besserer Softwarequalität, sondern auch daher, dass Kriminelle heute nicht mehr ihr Wissen um Sicherheitslücken für Ruhm und Ehre hinausposaunen, sondern es auf dem lukrativen Schwarzmarkt verkauften.