Der Wurm Conficker befällt täglich noch immer tausende von Rechnern. Mittlerweile hat er das größte jemals bekannte Botnetz gebildet. Und er ist ein typisches Beispiel für die immer raffinierteren Praktiken von Online-Kriminellen, wie der Anbieter von Kommunikationslösungen Cisco in seinem Sicherheitsbericht für das erste Halbjahr 2009 schreibt. Internet-Gangster werden demnach immer gerissener. Sie schauen sich ihre Geschäftspraktiken in der legalen Wirtschaft ab und schließen sich für Angriffe gezielt zusammen.
Conficker nutzt eine Lücke im Betriebssystem Windows aus. Erstmals entdeckt wurde er im Oktober 2008. Mitte April dieses Jahres begann eine Spam-Welle, die sich unter anderem über das Netz der Rechner verbreitete, die von Conficker ferngesteuert werden. Über die verschickten E-Mails wurde den Empfängern angeboten, kostenlos ein Programm zu testen, mit dem sie heimlich SMS von anderen lesen könnten. Wer die angebliche Spionage-Software herunterlud, fing sich damit einen weiteren Schädling ein, den Botnet-Wurm Waledac. Offenbar hatten die Hintermänner von Conficker den Waledac-Erfindern gestattet, ihr weit verbreitetes Botnet zu nutzen.
Um angemessen gegen solche Attacken vorzugehen, müssen sich auch die Bedrohten vernetzen, erklärt der "Cisco 2009 Midyear Security Report". Im Februar wurde eine Arbeitsgruppe aus mehr als 100 Firmen gegründet, um gegen den Wurm vorzugehen. Die ICANN, die weltweit die Vergabe von Domain-Namen im Internet verwaltet, konnte eine Liste von Netz-Präsenzen erstellen, die Conficker versucht hatte anzugreifen. Daraufhin sperrten die Betreiber eine Reihe bedrohter Seiten.
Beliebt bei Angreifern aus dem Netz ist noch immer das Umleiten von Internet-Surfern auf eine eigene Seite, die der eigentlich angesteuerten gleicht. Kriminelle nutzen diese Methode vor allem, um an Finanzinformationen zu gelangen. Sie leiten zum Beispiel Bankkunden auf eine gefälschte Seite ihres Geldinstituts um und lassen sie dort ihre Nutzerdaten eingeben. Im April wurde die brasilianische Banco Bradesco Opfer eines solchen Angriffs.
Die Computer-Knacker machen sich mittlerweile auch moderne Vertriebswege für ihre Schadprogramme zu eigen. So wurde das Botnet Srizbi/Reactor Mailer von einem Spammer entwickelt, der es anschließend zur Nutzung gegen Gebühr feilbot - nach dem Prinzip Malware as a Service. Gegen Geld konnten andere Spammer eigene Nachrichten gestalten und über das Netz verbreiten. Der erste Fehler von Srizbi war allerdings, dass seine ganze Infrastruktur in einem einzigen Rechenzentrum untergebracht war. Nachdem das Rechenzentrum des Providers McColo in amerikanischen San Jose als Sitz ausgemacht und im November 2008 geschlossen wurde, sank das weltweite Spam-Aufkommen laut Messung von Cisco deutlich.
Spammer nutzen die Schweinegrippe
Srizbi suchte sich in Estland eine neue Heimat und war schon im Februar 2009 wieder für 60 Prozent des weltweiten Aufkommens an Müll-Mails verantwortlich. Kurz darauf fügte Microsoft seinem Tool gegen Schadprogramme (MSRT) die Signatur von Srizbi bei. Innerhalb weniger Wochen gingen die Infektionen fast ganz zurück.
Ein willkommenes Ereignis war vielen Angreifern auch die große Medien-Präsenz der Schweinegrippe. Sie versandten auf dieses Thema zugeschnittene Spam-Mails. Neugierige, die sich über das Virus H1N1 kundig machen wollten, nahmen sie dankbar an. Darin wurden Meldungen mit Betreffzeilen wie "Schweinegrippe in Hollywood verbreitet". Mit ein paar Klicks gelangten die Leser auf Seiten, die für den Vertrieb gefälschter Medikamente bekannt sind. Dort wurden beispielsweise angebliche Mittel gegen die Grippe angeboten. An IT-Sicherheitsbeauftragte richtet der Cisco-Bericht den Hinweis, dass mit derartigen Spam-Attacken bei jedem größeren Medien-Hype zu rechnen sei.
Vorsicht vor PDF-Dateien von Unbekannten
Das Bewusstsein der Anwender schärfen sollten IT-Chefs gegenüber Bedrohungen, die über alltägliche Anwendungen auf den Firmenrechner gelangen. Denn Cyberkriminelle nutzen häufig Programme, die die Nutzer für sicher halten und hinter denen sie keine Gefahr vermuten: Word, Excel oder Adobe Acrobat beispielsweise. War es in vergangenen Jahren üblich, vor dem Öffnen von ausführbaren Dateien unbekannter Herkunft zu warnen, sollte dasselbe Cisco zufolge jetzt auch für PDF- und andere Dateien gelten, die unbekannte Absender unverlangt geschickt haben.
Eine gute Nachricht hält der Bericht von Cisco auch bereit: Im ersten Halbjahr 2009 ist die Zahl der Angriffe insgesamt um ein Viertel gegenüber dem Vorjahr zurückgegangen. Zur Entwarnung gebe es allerdings keinen Anlass. Zunehmend würden Smartphones zum Ziel von Attacken. Außerdem stützt auch Cisco die mittlerweile gängige Vermutung, die Wirtschaftskrise werde die Sicherheitslage verschärfen. Gefeuerte Mitarbeiter könnten ihr Insider-Wissen für kriminelle Machenschaften nutzen.
Der Sicherheitsbericht basiert auf Beobachtungen von Cisco Security Intelligence Operations. Diese Abteilung sammelt Daten zu Angriffen von mehr als 700.000 Cisco-Sicherheitslösungen weltweit, aus verschiedenen anderen Abteilungen des Unternehmens und mehr als 600 externen Quellen.