Norton-Interview: “Die Zeiten, in denen Kids im Keller Viren schreiben, sind vorbei”

Symantec ist mit Norton einer der Vorreiter unter den Herstellern von Sicherheitssoftware. Die bekannte Produktserie Norton bietet zahlreiche auf unterschiedliche Anwendungsfälle zugeschnittene Sicherheitslösungen wie Antivirus, Firewall oder Datensicherung. Candid Wüest, so genannter Threat Trend Expert bei Symantec, gibt im Gespräch mit OnSoftware Einblicke in das Leben eines Virenjägers.

OnSoftware: Im Internet drohen jede Menge Gefahren. Was war vor zehn Jahren gefährlich, was bedroht den Nutzer heute?

Candid Wüest: Vor rund zehn Jahre richtete beispielsweise der Makrovirus Melissa großen Schaden an. Diese Art von Viren versteckten sich hinter so interessanten Namen wie Anna-Kournikova-naked.exe und landeten per E-Mail beim Anwender. Nach einem Klick auf diese Datei war der Virus aktiv. Diese Viren nutzen ziemlich dreist die Naivität und Gutgläubigkeit eines Teils der Anwender aus. Damals ging es noch ein bisschen ums Profilieren. Der Angreifer wollte zeigen: Ich bin besser als du, kann 24 Millionen Systeme weltweit lahm legen und schaffe es in die Top-News. Das hat sich dann aber recht schnell geändert, als die Virenschreiber heraus fanden, dass man mit dem ganzen auch gutes Geld verdienen kann. Und es gab die ersten Bot-Netzwerke, die in wenigen Minuten ein paar Millionen E-Mails verschicken. Seit rund fünf Jahren geht es bei Computerviren eigentlich nur noch um Profit.

OnSoftware: Was sind das für Leute, die Viren schreiben?

Wüest: Also die Zeiten, in denen sich Kids im Keller bei Pizza und Cola die Nacht um die Ohren hauen und Viren schreiben, sind vorbei. Heutzutage gehen die Kriminellen fast wie normalsterbliche Angestellte zu Werke, mit Arbeitszeiten von neun Uhr morgens bis abends um fünf. Da gibt es Leute die haben ganz normale Arbeitsverträge und produzieren Schadsoftware, weil es sich halt leider sehr lohnt.

OnSoftware: Sind das alte Bekannte, oder treten ständig neue Virenschreiber auf den Plan?

Wüest: Oh ja. Oft kennt man sich. Da gibt es Veteranen wie das Russian Business Network, die Bot-Netze und Webseiten betreiben oder für andere ins Netz stellen, die schwer oder gar nicht offline genommen werden können. Es kommen aber auch immer wieder neue hinzu, die in das Virengeschäft einsteigen, weil sie das große Geld wittern. Fast 50 Prozent der im Untergrund gehandelten Daten sind Kreditkarteninformationen und Online-Bankzugangsdaten. Der direkte Weg zum Geld anderer eben.

OnSoftware: Wo fängt man sich am leichtesten einen Virus ein? Was ist zur Zeit die größte Gefahr?

Wüest: Aktuell definitiv das reine Surfen. Wir haben täglich mehr als 13.000 Webseiten, die infiziert sind mit Schadcode.  Meist ist es immer dieselbe Masche. Sucht man mit einer Suchmaschine nach einem Ereignis mit weltweiter Bedeutung wie “Haiti Erdbeben”, so sind unter den ersten 50, möglicherweise auch unter den ersten zehn Suchergebnissen Links zu betrügerischen Webseiten. Dort läuft dann ein kleines, bösartiges Skript, ein so genannter Drive-By-Download. Das Skript checkt im Hintergrund kurz ab, welchen Browser in welcher Version man benutzt. Dann kommt ein spezieller Exploit für die zum Browser passende Schwachstelle zum Einsatz. Das ganze passiert in Bruchteilen von Sekunden ohne dass der Anwender irgendwas anklickt. Der Benutzer bekommt davon nichts mit.

OnSoftware: Welche Betriebssysteme sind besonders betroffen?

Wüest: Das ist plattformübergreifend. Natürlich ist das am meisten verbreitete Betriebssystem, Windows, häufig betroffen. Aber auch Nutzer von Mac OS X sind unter den Opfern. Da wird dann eben beispielsweise gezielt eine Schwachstelle in Safari ausgenutzt. Oft sind Plug-ins die Einfallstore: Flash, QuickTime, PDF und so weiter. Das macht die Sache für den Angreifer leicht. Steckt die Lücke im Plug-in, so ist es meist völlig egal, welchen Browser und welches Betriebssystem der Anwender nutzt. Snow Leopard hat ja nicht umsonst einen rudimentären Virenscanner eingebaut, der ein knappes Dutzend Schädlinge blockt.

OnSoftware: Sind auch mobile Geräte, also Handhelds, PDAs, Handys bedroht?

Wüest: Das ist ein immer größeres Thema. iPhone, Android, Blackberry, Windows Mobile, Symbian wie sie auch alle heißen: Je größer die Verbreitung, um so attraktiver sind diese Geräte für einen Angriff. Und der Anwender nutzt diese Geräte immer häufiger wie seinen Computer, sprich: Man liest E-Mails, surft im Internet und speichert andere sensible Kontaktinformationen auf dem Mobilgerät. Das stellt sich ja auch die Frage: Was passiert, wenn das Handy des Geschäftsführers eines großen Unternehmens verloren geht oder gestohlen wird? Manchmal werden Smartphones gezielt geklaut, sprich: Die Geräte brauchen eine Verschlüsselung und vielleicht auch die Möglichkeit, Daten aus der Ferne zu löschen. Bisher ist die Bedrohung durch Viren noch relativ gering: Derzeit sind rund 400 Schädlinge für mobile Plattformen bekannt, während es für Windows über vier Millionen gibt.

OnSoftware: Wie halten Sie sich auf dem Laufenden? Wie kommen Sie an die übelsten Schädlinge des Tages heran?

Wüest: Wichtige Informationen kommen von den rund 30 Millionen Nutzern, die uns freiwillig Daten zur Verfügung stellen. Diese Informationen kommen in eine Datenbank. Mit deren Hilfe stellen wir beispielsweise fest: Wir wissen nicht genau was das da ist, aber die Datei gibt es auf vier Millionen Rechnern. So wissen wir, was gerade läuft im Internet. Und dann gehen wir mit verschiedenen Browsern auf verdächtige Websites und schauen mal, was passiert. Dann folgt die Analyse und im Fall der Fälle die entsprechende Reaktion. Schadcode kommt auf vielen Wegen zu uns. Das ist eine Art Automatismus.

OnSoftware: Nehmen wir mal an, ein bestimmter Browser ist von Schadsoftware bedroht. Nehmen Sie Kontakt mit dem Hersteller auf?

Wüest: Ja klar. Wir zeigen dem Hersteller exakt, was wir ermittelt haben, sprich: Wir leiten die analysierte Information bestmöglich weiter. Der Hersteller macht sich dann daran, die Lücke zu schließen.

OnSoftware: Hypothetisch: Wäre es möglich, dass plötzlich ein neuer Virus erscheint, der sich so andersartig hinsichtlich bisher bekannten Viren verhält, dass sämtliche Virenexperten weltweit vor einem Rätsel stehen?

Wüest: Also ganz ausknocken, eine Art Supergau ist heutzutage mehr als unwahrscheinlich. Schließlich gibt es ja seit Jahren die verhaltensbasierte Analyse. Da wirft die Sicherheitssoftware einen Blick auf das, was ein Programm da so treibt. Wenn beispielsweise eine Software ohne Programmfenster regelmäßig alle Tastenanschläge dokumentiert und per Intervall nach Rumänien schickt, so ist das schon verdächtig. Vor ungefähr 15 Jahren wurden die Hersteller von Antivirus-Software jedoch tatsächlich einmal böse überrascht. Damals traten plötzlich Makroviren auf. Bis zu diesem Zeitpunkt hatte man immer auf Dateiebene analysiert, plus Bootsektor oder Floppydisk. Und dann gab es eben diese Makroviren, und die Hersteller von Sicherheitssoftware waren gefordert, Lösungen zu präsentieren. Und zwar brauchbare, weil man eben nicht einfach so ein Office-Dokument komplett löschen kann, sondern nur die darin enthaltenen Makroviren.

Kommentare laden