„Die Angriffe auf hochwertige Ziele nehmen zu“

Keine Woche vergeht derzeit, ohne dass nicht irgendwo großangelegte Netzeinbrüche und Datendiebstähle geschehen. Die Sicherheitslage im Internet lässt nicht nur zu wünschen übrig, sie scheint sich auch zu verschlechtern, könnte man meinen. Forscher des Netzausrüsters Cisco kommen jedoch zu einer anderen Einschätzung: Seit sie vor drei Jahren begannen, die IT-Sicherheitslage mit quantitativen Methoden zu vermessen, hat sich diese offenbar leicht verbessert.

Für ihre Berechnung ziehen die Cisco-Ingenieure verschiedene Parameter heran, etwa die Anzahl und Größe von Botnetzen, die PCs in „Zombierechner“ verwandeln, von denen Schadsoftware und Spam verschickt werden kann. Ergebnis ist der so genannte ARMS Index (für „Adversary Market Resource Share“), der eine Skala von 1,0 bis 9,0 umfasst. Während 1,0 die seligen Tage des ARPAnet repräsentiert, als das Netz mangels Größe noch sicher war, steht 9,0 für eine digitale Apokalypse.

Den ersten ARMS-Index veröffentlichten die Cisco-Forscher im Dezember 2009. Damals bezifferten sie die weltweite IT-Sicherheit mit 7,2 – was vor allem an ständigen Einbrüchen in Unternehmensnetze lag. Im Dezember 2010 sank der Index dann leicht auf 6,8. Technology Review sprach mit Cisco-Sicherheitsanalyst Patrick Peterson, der den Index mitentwickelt hat, über die aktuellen Bedrohungen, die Erfolge der Sicherheitscommunity und seine Erwartung für den ARMS Index 2011.

Technology Review: Während Viele den Eindruck haben, dass die Netzwelt unsicherer wird, haben Sie im zurückliegenden Jahr positive Entwicklungen ausgemacht. Was macht Sie so optimistisch?

Patrick Peterson: Das ist in der Tat interessant, denn es gibt zwei extrem unterschiedliche Trends. Im Kampf gegen Botnetze war das vergangene Jahr das bisher beste. Eine ganze Reihe von ihnen wurden hochgenommen oder gestört. Ihre Gesamtgröße ist enorm geschrumpft.

Gleichzeitig sahen wir aber, dass man mit infizierten Computersystemen viel größere Angriffsoperationen als bislang durchführen konnte. Ein Beispiel ist der Stuxnet-Wurm...

TR: ...der mutmaßlich Nuklearanlagen im Iran beschädigt hat.

Peterson: Ein anderes Beispiel für die neue Intensität ist der Aurora-Angriff auf Gmail-Nutzer, um mit Hilfe von eingeschmuggelter Malware geistiges Eigentum im großen Stil zu stehlen. Dieser Trend hat sich mit den Angriffen etwa auf das Playstation-Netzwerk von Sony oder auf den Internationalen Währungsfonds fortgesetzt.

TR: Was erwarten Sie dann für den diesjährigen ARMS Index?

Peterson: Der Trend zu geringeren Werten, also verbesserter Sicherheit, wird anhalten, sich aber verlangsamen. Wenn ich einen Blick die Kristallkugel werfen soll: Ich erwarte, dass der Index dieses Jahr bei 6,6 liegen wird.

TR: Intuitiv würde man aber das Gegenteil erwarten.

Peterson: In den letzten fünf, sechs Jahren ist es gelungen, Verfahren zu entwickeln, mit denen man Botnetze lahmlegen kann. Wenn Sie der Steuereinheit den Kopf abschlagen, kann sie keine Daten mehr aussenden. Die Sicherheitscommunity arbeitet inzwischen viel interdisziplinärer und straffer. Vor fünf Jahren hätte es noch sechs Wochen gedauert, bis ein Sicherheitsforscher wie ich und ein Typ von einer Sicherheitsbehörde es schaffen, zusammenzuarbeiten. Wenn überhaupt. Heute läuft das alles viel strukturierter, ich kann einfach hingehen und sagen „Ich kann Euch brauchbare Daten liefern“. Außerdem hat Microsoft ein Werkzeug entwickelt, mit dem man PCs von Botnetz-Infektionen säubern kann.

Allerdings müssen wir bisherigen Ansatz hinter dem ARMS Index überdenken. Als wir mit der Arbeit daran anfingen, entschieden wir uns dafür, die Gesamtbedrohung mit einer einzigen Zahl darzustellen. Seitdem haben die direkten Angriffe auf Verbraucher abgenommen, während solche auf hochwertige Ziele zunehmen. Wir müssten also vielleicht einen ARMS C für den Consumer-Markt und einen ARMS B für die Business-Welt einführen. ARMS B dürfte dann eher bei 7,5 liegen – 2011 ist das Jahr der Angriffe auf Unternehmen mit großen Kundennetzen. Und ich fürchte, dass noch mehr negativen Schlagzeilen kommen. Wir werden den Index beim nächsten Mal wahrscheinlich aufteilen.

TR: Auf Ihrer Skala steht der Wert 9,0 für den reinen Schrecken: eine Welt, in der fast jeder Rechner von Übeltätern überwacht oder manipuliert wird. Könnte es zu einer solchen „Kernschmelze“ des Netzes wirklich kommen?

Peterson: Zum gegenwärtigen Zeitpunkt ist dieses Szenario viel, viel weiter weg als noch vor drei Jahren, als wir mit der Arbeit an dem Index begannen. Seit dem Conficker-Wurm 2008 sind viele Gegenmaßnahmen ergriffen wurden, die solch ein Ereignis weniger wahrscheinlicher machen. Das Betriebssystem Windows ist sicherer geworden, das allgemeine Software-Design besser, und Internet-Provider können derartige Angriffe inzwischen abfangen.

9,0 ist ein fiktives digitales Armageddon, das mir nicht den Schlaf raubt. An einer Kernschmelze haben nur wenige Leute Interesse. Vielen geht es darum, einen erfolgreichen Angriff zu machen, und je kleiner ihr Fußabdruck dabei ist, desto eher haben sie Erfolg haben. Sorgen machen mir eher gezielte Gmail-Angriffe auf Mitarbeiter des Weißen Hauses. (nbo)