Ging es Hackern früher um Ruhm, geht es ihnen heute oft ums Geld. Für entdeckte Sicherheitslücken kassieren sie hohe Summen von Software-Herstellern.
Man stelle sich vor, ein Haus ist von einem hohen Zaun umgeben, hat ein dickes Schloss an der Tür und überdies eine Überwachungskamera - und trotzdem können Einbrecher unbemerkt eindringen und das Tafelsilber stehlen. Was nach einer Räuberpistole klingt, ist bei Computern mit Internet-Anschluss Alltag: Viele populäre Programme haben Sicherheitslücken, die der Hersteller noch nicht kennt - dafür aber Cyber-Kriminelle. Ein aktueller Fall bringt dieses Problem in die Schlagzeilen: Der Internet Explorer von Microsoft wies tagelang eine Lücke auf, durch die Angreifer die Kontrolle über fremde Rechner erobern konnten.
Bild vergrößern
Keine Software ist perfekt. Kleinste Programmierfehler öffnen Hackern schnell ein Hintertürchen. (© Foto: AP)
Anzeige
Auch wenn derzeit Microsoft in der Kritik steht, betrifft das Problem die gesamte Software-Industrie. Denn kein Programm kommt perfekt auf den Markt. Ein Programmierfehler kann schnell zum Hintertürchen für Hacker werden: Wenn der Hersteller nicht über eine Sicherheitslücke Bescheid weiß, können sie ohne Gegenwehr das System angreifen. Derartige schädliche Software nennen Experten "Zero Day Exploits". "Die Angreifer zielen auf die gängigsten Produkte, also Betriebssysteme und Browser", berichtet Rainer Link, Sicherheits- Experte beim Softwarehersteller Trend Micro.
Mehr als 100 000 Dollar
Findige Hacker arbeiteten früher zumeist für Ruhm und Ehre - heute können sie richtig Kasse machen: Die Suche nach bislang unbekannten Sicherheitslücken ist zu einem einträglichen Geschäft geworden. So loben Hersteller von Sicherheits-Software wie zum Beispiel die US- Unternehmen iDefense und Tipping Point Belohnungen aus. Das Schweizer Unternehmen WabiSabiLabi versteigert auf einer Plattform im Internet Sicherheitslücken und Angriffsprogramme. Die Gebote erreichen derzeit bis zu 5000 Dollar.
In geheimen Foren im Internet dürften die Preise deutlich höher liegen: "Da werden Summen von mehr als 100 000 Dollar kolportiert", sagt Hartmut Pohl, Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg. Zu den Käufern zählt er Cyber- Kriminelle, die Betriebsgeheimnisse oder Kontodaten ausspionieren, aber auch Geheimdienste, die in die Computer vermeintlicher Terrorverdächtiger eindringen wollen. Angesichts dieser Verlockungen hat sich eine Szene entwickelt, die intensiv nach Schwachstellen sucht - keine gute Nachricht für die Sicherheit der Internet-Nutzer.
Sie sind jetzt auf Seite 1 von 2 nächste Seite
Rekord in Deutschland
- Internet Explorer Microsoft schließt Sicherheitslücke 17.12.2008
- Hacker-Angriff auf Obama "Ihr habt ein echtes Problem" 07.11.2008
- Online-Kriminalität Ins Netz gelockt 14.10.2008
- Schutz vor Passwort-Hackern Zwölf Zeichen für die Sicherheit 03.11.2008
- Hackerangriff auf Teilchenbeschleuniger Schwarzes Daten-Loch 14.09.2008
"Und das liegt nicht hauptsächlich an der größeren Verbreitung des Betriebssystems gegenüber seinen Wettbewerbern sonder vor allem am Konzept."
Dem stimme ich uneingeschränkt zu. Doch glaube ich, dass auch die Desktop-Unixe ein ernsthaftes Problem bekommen, wenn der allgemeine User auf sie losgelassen wird. Dass diese Systeme dem Benutzer viel mehr Möglichkeiten der Kontrolle bieten als MS-Windows ist bekannt. Beispielsweise reicht ein einfacher Doppelklick auf eine Datei nicht aus um einen Schädling zu installieren. Doch wird der DAU das Ausführen eines Binaries bestätigen und kann sich unter Umständen seinen User-Account verseuchen oder zerstören. Auch Passwörter werden schnell eingegeben, weil irgendein rpm- oder deb-Fremdpaket danach verlangt. Auch Updates müssen überhaupt eingespielt werden, das nach meiner Erfahrung bei einigen Linux-Einsteigern aus Gründen der Ungewissheit nicht immer gemacht wird.
Ich glaube, wenn sich Linux eines Tages wirklich auf dem Desktop etablieren sollte, werden sich auch die Schädlinge vermehren. Virenscanner werden auch hier eine sinnvolle Ergänzung zur Sicherung des Systems werden. Sobald auch kommerzielle Software in größerem Maß zur Verfügung steht, auch ein Paketfilter.
Die Unix-Desktops sind MS-Windows konzeptionell weit überlegen. Gerade MS behält dem User viele wichtige Informationen vor und verfolgt ein unverständliches und umständliches Sicherheits- Installationskonzept. Doch ist gegen Doofheit kein Kraut gewachsen und sich allein darauf zu verlassen, dass Linux (oder andere) sicher sind ist falsches Vertrauen. Es reicht ein einziger Befehl in einem Scipt um den Inhalt des Useraccount zu löschen. Der sogenannte DAU drückt bei der Nachfrage zum Ausführen natürlich "Logisch".
Hirn 1.0 ist und bleibt der wichtigste Schutz vor Schädlingen! Bei allen Systemen.
Grüße.
... ist die Tatsache, dass die gefährlichen Sicherheitslücken und Exploits hauptsächlich unter Windows vorhanden sind.
Und das liegt nicht hauptsächlich an der größeren Verbreitung des Betriebssystems gegenüber seinen Wettbewerbern sonder vor allem am Konzept. Microsoft verwurschtelt die Benutzeroberfläche und Anwenderprogramme untrennbar mit dem Betriebssystem (z. B. ist der Internet Explorer integraler Bestandteil von WIndows, dazu gibt es auch ein Gerichtsurteil).
Bei den bekannteren Wettbewerbern unter den Betriebssysteme ist der sicherheitsrelevante Betriebssystemkern (unixoide Systeme, wie z. B. Solaris, BSD, Linux...) strikt von der Benutzeroberfläche getrennt.
Bis echte Microkernel-Betriebssysteme für den PC marktreif sind, ist die Verwendung solcher Systeme m. E. gegenüber Windows vorzuziehen.
In Deutschland ist Hacken aber verboten!
Laut StGB §202c, der im Jahre 2007 verabschiedet wurde, ist der Einsatz von Hackertools verboten. Seither dürfen in Deutschland, Sicherheitsexperten und -firmen zu überprüfende Objekte nicht mehr mit den selben Tools angreifen wie Kriminelle, sondern müssten alle Tests von Hand erledigen. Der Chefredakteur der renomierten Computerzeitschrift "IX" zeigte sich ,diese Woche, diesbezüglich selbst an, da seine Zeitschrift, in der aktuellen Ausgabe, potentiell "Hackertools" beigelegt hat.
Wo kein Käufer, da kein Markt. Der Verkauf von Informationen über Sicherheitslücken ist eine Ausprägung der Kommerzialisierung des Internets. Warum sollten Sicherheitslücken nicht verkauft werden können, wenn man sogar Trivialitäten wie den Doppelklick oder den Statusbalken patentieren und somit kommerziell ausbeuten kann? Bugreports für kommerzielle Software zu verfassen ist eine undankbare Arbeit, da ausschließlich die Herstellerfirma einen Nutzen davon hat und Geld mit der Software verdient. Im Gegenteil, man wird sogar oft dafür kriminalisiert und muss sich auch noch vor dem Gesetz verantworten.
Freie Software hat in der Regel kein Geld für den Kauf von sicherheitskritischen Informationen übrig ist trotzdem mindestens genauso sicher wie kommerzielle. Hier steht man Bugreports aufgeschlossen gegenüber, es ist sogar möglich selber Patches zu schreiben und sich in die Entwicklung einzubringen.
Dass Windows7 sicherer sein soll als Vista muss sich erst herausstellen, da das System nicht auf dem Markt ist. Besser wäre ein Beispiel mit OSX, Linux, BSD oder Solaris gewesen.
Computersysteme kann man nicht komplett absichern. Die größte Sicherheitslücke sitzt hinter dem Bildschirm. Aber den Menschen kann man mit klugen Softwareeinstellungen helfen, nicht zur Sicherheitslücke zu werden. Daher ist es unbegreiflich, warum das verbreitete MS-Windows immer noch Dateiendungen ausblendet, Benutzer und Administrator nicht sauber trennt, einen hochintegrierten Browser anbietet, ... . Zu einem sicheren System gehört auch das Vertrauen der Nutzer in den Hersteller. Gerade bei Windows weiß ich, dass viele legale Nutzer nie Updates installieren, weil sie (zurecht?) Angst haben, persönliche Daten an Microsoft zu übermitteln. Hier hat der Hersteller das Vertrauen vieler Kunden verspielt. Aber nicht nur MS. Viele kommerzielle Programme übersenden heimlich Daten. Dies schürt die Skepsis gegenüber der Hersteller und trägt damit zur Systemunsicherh
Selber erlebte ich als Hotliner in einer angesehenen Weltfirma, dass Mitarbeiter sehr lässig mit der Sicherheit umgehen. Am Telefon wurde mir bspw. unaufgefordert ein Passwort für eine Anmeldung im Novellnetzwerk durchgegeben, obwohl ich nach dem Usernamen fragte. Das Passwort war so simpel wie "monika" oder "herbert". Auf entsprechende Hinweise meinerseits meinte der User: "Ach, das macht doch garnichts"
Mich wundert nichts mehr, außer: Es wird immer gegen Schäubles Horch'n Guck geschimpft, aber selber lässt man Haustüren offen und Schlüssel unter der Matte liegen, wenn man geht...
Bequemlichkeit kostet Sicherheit. Und es ist irgendwie schmerzlich, sich in unserem digitalen Zeitalter eingestehen zu müssen, dass die eig. wichtigen Dokumente immer noch am sichersten in einen Ordner liegen (plus Sicherheitskopie an einem anderen Ort) und eine Überweisung per Überweisungsvordruck schwerlich von "Cyberkriminellen" abgefangen oder angeändert werden kann...
Paging