Das Ende der Antivirus-Ära

Nach der Entdeckung des Computerwurms Flame plädieren Sicherheitsexperten für eine neue Strategie im Kampf gegen Cyberangriffe: Statt Schadprogramme abzuwehren, sollen die Angreifer selbst angegangen werden.

Vor drei Wochen haben IT-Sicherheitsexperten Flame entdeckt – laut dem ungarischen CrySys Lab "die komplexeste Schadsoftware, die je gefunden wurde". In ihrer Konstruktion übertrifft sie noch die Computerwürmer Stuxnet und Duqu, mit denen Industrieanlagen, darunter die Urananreichungszentrifugen des iranischen Atomprogramms angegriffen worden waren. Für Mikko Hypponen, Gründer der Sicherheitsfirma F-Secure, markiert Flame das "Versagen der Antivirus-Industrie" – und einen Wendepunkt in der IT-Sicherheit.

Rechnerschutz mit Antiviren-Programmen würden zwar auch in Zukunft noch gebraucht. "Aber sie werden nicht mehr das einzige Verfahren sein", sagt Nicolas Christin von der Carnegie Mellon University. "Wir müssen davon wegkommen, digitale 'Maginot'-Linien aufzubauen, die unüberwindbar aussehen, tatsächlich aber leicht zu umgehen sind", führt der Informatiker in Anspielung auf das französische Verteidigungssystem aus, das im Zweiten Weltkrieg von Hitlers Truppen überrannt worden war.

Christin und einige andere Sicherheitsforscher arbeiten deshalb schon an neuen Abwehrstrategien für die IT-Sicherheit. Sie sollen nicht nur schwerer anzugreifen sein, sondern betroffenen Firmen und Behörden die Möglichkeit geben, zurückzuschlagen.

"Der Fehler der Industrie war, sich auf die Werkzeuge der Angreifer zu konzentrieren", moniert Dmitri Alperovitch, Mitgründer und CTO von CrowdStrike. Das kalifornische Start-up wurde mit einem Startkapital von 26 Millionen Dollar im Februar von altgedienten Virenexperten gegründet. "Wir müssen uns auf den Angreifer selbst konzentrieren, nicht auf seine Waffe – also die Taktik, die menschliche Komponente einer Operation, denn die lässt sich am wenigsten erweitern."

CrowdStrike gibt derzeit noch keine technischen Details bekannt. Die Idee sei, so Alperovitch, ein intelligentes Warnsystem zu schaffen, das auch ganz neue Angriffsmethoden erkennt und zu ihrem Ursprung zurückverfolgen kann.

Das sei möglich, weil alle Angreifer – ob sie nun eine komplexe Software wie Flame austüfteln oder gewöhnliche Trojaner – dasselbe Ziel hätten: auf Daten auf dem Zielrechner zugreifen und sie womöglich auch zum Angriffsrechner zu schicken. Sich dagegen zu wappnen, erfordere den Einsatz von "Big Data" – die Hochleistungsanalyse von gewaltigen Datenmengen, um auch kleinste Spuren eines Einbruchs in das System des Kunden zu entdecken.

Carnegie-Mellon-Forscher Christin, der zuletzt die Geschäftsmodelle von Angreifern untersucht hat, hält den Ansatz von Crowdstrike für sinnvoll. Die Kosten für Know-how und Programmieraufwand machten den größten Anteil der neue Angriffsmethoden aus. Es gehe nicht mehr darum, Schadcode eines einsamen Programmiergenies zu neutralisieren. Inzwischen habe man es mit ganzen Gruppen von Angreifern zu tun. "Dafür braucht man Experten in verschiedenen Bereichen, die auch mit anderen zusammenarbeiten können", sagt Christin. Solche Fachleute seien derzeit rar.

Ähnliche Gedanken macht man sich auch in Antivirus-Firmen. "In den achtziger Jahren gab es bei Polizeibehörden den Slogan: 'Crime doesn't pay' – Verbrechen zahlt sich nicht aus", sagt Sumit Agarwal von Shape Security, das dieser Maxime folge. Details verrät auch Agarwal nicht, nur so viel: Man wolle für den Angreifer die Kosten so in die Höhe treiben, so dass sich eine Attacke am Ende nicht mehr rechne. Unter den Investoren des Start-ups ist auch der frühere Google-Chef Eric Schmidt, der sechs Millionen Dollar beigesteuert hat.

Dem Angreifer das Leben schwer machen will auch Mykonos Software. Dessen System versucht Websites zu schützen, indem es einen Angriff in die Länge zieht, so dass der Zeitaufwand für Hacker zu hoch wird. Anfang des Jahres wurde Mykonos Software von Juniper Networks gekauft.

Antiviren-Firmen haben darauf hingewiesen, dass Flame kein gewöhnlicher Computervirus ist, weil finanziell und personell gut ausgestattete Geheimdienste dahinter steckten. Erst kürzlich hatte US-Präsident Barack Obama zugegeben, dass Stuxnet im Auftrag des Weißen Hauses entwickelt worden war. Doch dürften auch "gewöhnliche" Cyberkriminelle die Konstruktion aufmerksam studieren, um Elemente davon für ihre eigenen Entwicklungen zu übernehmen.

"Noch nie sind so viele Milliarden Dollar an Abwehrtechnologie in die Public Domain gelangt", sagt Agarwal von Shape Security. Während die US-Armee darauf bedacht sei, dass etwa Flugzeuge oder U-Boote nicht in gegnerische Hände gelangten, sei dies bei militärischen Schadprogrammen wie Stuxnet oder Flame nicht möglich. "Die kann jeder unter die Lupe nehmen", sagt Agarwal.

Er und Crowdstrike-Gründer Alperovitch sind sich einig: Hier entsteht gerade eine neue Klasse von Malware, die gegen US-Unternehmen aller Größen eingesetzt wird. Laut Alperovitch würden bereits kleinere Anwaltskanzleien oder Umwelttechnik-Firmen von größeren Konkurrenten mit solchen Werkzeugen angegriffen, um Firmengeheimnisse auszuspähen.

CrowdStrike will nun die Urheber aufdecken. "Ein Gegenhack wäre illegal, aber es gibt Maßnahmen, die funktionieren können", sagt Alperovitch. Dazu gehöre auch, dass Regierungen Angriffe vor die Welthandelsorganisation bringen oder öffentlich machen, um den Ruf von spionierenden Unternehmen zu schädigen.

Forscher wie Christin haben bereits neuralgische Punkte ausgemacht, die einfache, aber wirkungsvolle juristische Schritte erlauben. Bei der Manipulation von Suchergebnissen zugunsten dubioser Online-Apotheken würde es schon helfen, einige Dienste zu schließen, die Nutzer auf die fragwürdigen Seiten umleiten. Informatiker an der University of California in San Diego konnten wiederum zeigen, dass der größte Teil aller Erlöse aus Spam weltweit durch drei Banken fließt. "Die wirkungsvollste Gegenmaßnahme wäre, diese drei Banken dicht zu machen, oder Banken anders zu regulieren", sagt Christin. So komplex diese Systeme seien, hätten sie oft doch einige wenige Schlüsselpunkte, von denen ein Erfolg abhänge. Lege man die lahm, würden Attacken ziemlich teuer.

Agarwal warnt jedoch, dass juristische Gegenstrategien nicht ohne Kehrseite sind. "Stellen Sie sich vor, Sie haben ein großes Unternehmen und geraten aus Versehen in die Fänge der russischen Mafia. Da könnten Sie am Ende ein größeres Problem haben als das, wogegen sie sich wehren wollten." (nbo)