Neue Fronten im Sicherheits-Krieg

Die Generäle, sagt man, bereiten sich immer auf den Krieg vor, den sie schon gekämpft haben. Weil sich aber inzwischen die Waffentechnik weiter entwickelt hat, sind sie auf den nächsten Krieg nie vorbereitet. So ähnlich ist es in der IT-Sicherheit. Wir haben inzwischen alle (hoffentlich) Virenschutz-Software und Firewalls, aber was nützt das neuartige Bedrohungsszenarien, die Lücken in Technologien nutzen, die es vor ein paar Jahren – oder Monaten – noch gar nicht gab?

Widgets sind der letzte Schrei, zum Beispiel: kleine, bannerähnliche Anzeigen, die man mittels HTML-Codeschnipseln auf einer Website oder einem Blog einfügen kann. Damit lassen sich bestimmte Inhalte innerhalb einer bestehenden Website darstellen, die ein User selber generiert hat – im Zeitalter des so genannten Web 2.0 ein immer beliebterer Spaß. Denken Sie an die Flash-Videos von YouTube oder Facebook.

Ähnliches gilt für Dashboards – digitale Armaturenbretter, wie sie von Suchmaschinenbetreibern wie Google oder von Social Networks wie Plaxo oder Xing per Download zunehmend unter die Leute gebracht werden, damit der User sofort und ohne Umwege auf die jeweilige Applikation gelangen und dort aktiv werden kann.

Das sieht alles sehr harmlos aus, ist es aber nicht, denn Widgets und Dashboards greifen tief ins Betriebssystem ein und können dort Dinge tun, die in höchstem Maße sicherheitskritisch sind. Für einen guten Hacker ist es ein Kinderspiel, bösartige Software-Komponenten – so genannte Malware – in einen vorhandenen Widget einzubauen oder seinen eigenen Schnipsel so zu tarnen, dass er aussieht, als käme er von einem vertrauenswürdigen Absender wie Microsoft oder Yahoo.

Gegen Angriffe dieser Art sind die vielen Millionen Menschen, die voller Begeisterung zu den neuen Kontaktbörsen und Online-Tummelplätzen des neuen „Mitmach-Internet“ strömen, kaum gewappnet. Wie die Generäle sind die Entwickler und Anbieter von Schutzsystemen für Computer ja immer noch damit beschäftigt, den letzten Krieg zu führen.

Die massenweise Ausbreitung von Online-Video ist so ein neues Schlachtfeld, auf dem mit völlig anderen Waffen als bisher gekämpft wird. Cisco hat kürzlich zugeben müssen, dass ihr VoIP-Protokoll angreifbar ist und hat entsprechende Patches nachgeliefert. Da aber fast täglich neue Anbieter auf den Markt kommen, die auf der ungeheueren Popularitätswelle von YouTube & Co. mitschwimmen wollen, kann kein Mensch sagen, was er sich da zusammen mit dem rieseigen Datenstrom heruntersaugt, die nun mal zwangsläufig für die Darstellung von Bewegtbildern nötig sind.

Neue Bedrohungen tauchen oft an Stellen auf, an denen man sie zu allerletzt vermuten würden. Nehmen wir doch nur die schicken kleinen Bilderrahmen, die neuerdings in den Medienkaufhäusern sogar schon im Grabbeltisch vor den Kassen auftauchen. Man schließt sie an den PC an und stellt sie auf den Schreibtisch und hat dann immer das digitale Bild der Ehefrau oder des Familienhunds vor Augen. Die Dinger werden meistens in China hergestellt, und wie amerikanische Medien berichten sind sie häufig bereits ab Werk mit einem besonders bösartigen Trojaner namens „Mocmex“ ausgestattet, der Passwörter abfängt und an die Auftraggeber in Fernost weiterleitet. Das alles, übrigens, ohne irgendwelche erkennbaren Spuren zu hinterlassen.

Schlimmer aber ist, dass Mocmex in der Lage ist, bestehende Sicherheits-Software schachmatt zu setzen. Brian Grayek, der als Entwickler bei Computer Associates arbeitet, wird in der angesehenen Tageszeitung Seattle Post mit der Behauptung zitiert, Mocmex sei in der Lage, den Virusschutz von mehr als 100 führenden Anbietern zu blockieren, darunter auch Microsofts eingebautes Firewall-System.

Die Schlacht um die Sicherheit im PC hat eine neue Front bekommen: digitale Bilderrahmen. Wie lange wird es wohl dauern, bis die „Generäle“ der Security-Industrie darauf eine passende Abwehrstrategie gefunden haben? So lange sie noch die Kriege kämpfen, die schon geschlagen sind, sind wir alle leider ziemlich schutzlos.