Halbjahresbericht - EJPD - admin.ch
Halbjahresbericht - EJPD - admin.ch
Halbjahresbericht - EJPD - admin.ch
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Informationssi<strong>ch</strong>erung<br />
Informatikstrategieorgan Bund ISB<br />
Bundesamt für Polizei fedpol<br />
Melde- und Analysestelle Informationssi<strong>ch</strong>erung MELANI<br />
Lage in der S<strong>ch</strong>weiz und international<br />
<strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I (Januar – Juni)<br />
In Zusammenarbeit mit:
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Inhaltsverzei<strong>ch</strong>nis<br />
1 Einleitung ........................................................................................................................5<br />
2 Aktuelle Lage, Gefahren und Risiken ...........................................................................6<br />
2.1 Phishing und Diebstahl von Login-Daten mit Malware .......................................6<br />
2.2 Spionage: Gezielte Angriffe auf S<strong>ch</strong>weizer Unternehmen .................................6<br />
2.3 Botnetze: Dezentral gesteuert und Host für betrügeris<strong>ch</strong>e Web-Seiten.............7<br />
2.4 Malware: immer effektiver ..................................................................................8<br />
2.5 Angriffsvektoren: Vor allem über Applikationen..................................................8<br />
3 Tendenzen / Allgemeine Entwicklungen.......................................................................9<br />
3.1 Gefahr dur<strong>ch</strong> Phishing und Key-Logging............................................................9<br />
3.2 Ausnutzung von Si<strong>ch</strong>erheitslücken in Applikationen ..........................................9<br />
3.3 Wirts<strong>ch</strong>aftsspionage ...........................................................................................9<br />
3.4 Botnetze ...........................................................................................................10<br />
4 Aktuelle Lage ICT Infrastruktur national.....................................................................10<br />
4.1 Kriminalität........................................................................................................10<br />
Finanzinstitut erneut Opfer von Phishing-Attacken ..........................................10<br />
Abtransport der Gelder (Geldwäs<strong>ch</strong>erei) – Mittlerweile ein Problem für<br />
Phisher .............................................................................................................11<br />
5 Aktuelle Lage ICT Infrastruktur International.............................................................12<br />
5.1 Pannen, Ausfälle ..............................................................................................12<br />
Japan: PC offenbart via Peer-2-Peer Daten über ein japanis<strong>ch</strong>es<br />
Kernkraftwerk ...................................................................................................12<br />
5.2 Attacken............................................................................................................12<br />
Gezielte Wirts<strong>ch</strong>aftsspionage dur<strong>ch</strong> Ausnutzen von S<strong>ch</strong>wa<strong>ch</strong>stellen in<br />
Microsoft-Produkten .........................................................................................12<br />
Zunahme der Amplification-Angriffe via DNS-Server .......................................13<br />
Erpressung und Datenzerstörung mit Hilfe von Malware : Daten<br />
vers<strong>ch</strong>lüsselnde (Ransomware) oder Daten lös<strong>ch</strong>ende Malware nimmt zu.....14<br />
5.3 Kriminalität........................................................................................................15<br />
Phishing und Datendiebstahl via Malware: Weitere Zunahme zu erwarten,<br />
Einsatz neuer Te<strong>ch</strong>niken ..................................................................................15<br />
DDoS-Attacke gegen Antispam-Unternehmen als Indiz für die Ressourcen<br />
der organisierten Kriminalität............................................................................15<br />
5.4 Terrorismus ......................................................................................................16<br />
England: Extremisierung und Ausbildung via Internet – London-Attentäter<br />
waren eigenständige Amateure........................................................................16<br />
Dänemark / Frankrei<strong>ch</strong>: Attacken auf Webserver wegen Mohammed-<br />
Karikaturen .......................................................................................................18<br />
6 Prävention .....................................................................................................................18<br />
6.1 Software ...........................................................................................................18<br />
Wireless LANs: Verbesserung des Si<strong>ch</strong>erheitsbewusstseins, Handlungsbedarf<br />
aber na<strong>ch</strong> wie vor gegeben ..............................................................................18<br />
Windows Vista und One Care Live...................................................................19<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
2/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
6.2 Hardware ..........................................................................................................19<br />
Hardware-Lösung gegen S<strong>ch</strong>adprogramme (Intel) ..........................................19<br />
6.3 Diverses............................................................................................................20<br />
Massnahmen gegen Phishing ..........................................................................20<br />
Swiss Security Day, Safer Internet Day............................................................21<br />
Deuts<strong>ch</strong>land: Bürger-CERT geht online ...........................................................22<br />
Allgemeine Massnahmen gegen andere aktuelle Gefahren.............................22<br />
7 Aktivitäten / Informationen...........................................................................................23<br />
7.1 Staatli<strong>ch</strong>............................................................................................................23<br />
UNO legt globale Anti-Terror-Strategie vor und fokussiert dabei auf das<br />
Internet .............................................................................................................23<br />
EU: EU-Kommission veröffentli<strong>ch</strong>t Strategie für eine si<strong>ch</strong>ere<br />
Informationsgesells<strong>ch</strong>aft...................................................................................24<br />
Se<strong>ch</strong>s EU-Staaten einigen si<strong>ch</strong> auf „Check the Web“-Programm zur<br />
Internetüberwa<strong>ch</strong>ung gegen Terror ..................................................................25<br />
Grossbritannien: Pharmaindustrie wird in staatli<strong>ch</strong>e Informationssi<strong>ch</strong>erung<br />
integriert............................................................................................................26<br />
7.2 Privat ................................................................................................................26<br />
Frankrei<strong>ch</strong>: Provider bieten Kunden Filtersoftware an .....................................26<br />
8 Gesetzli<strong>ch</strong>e Grundlagen...............................................................................................27<br />
Anpassung des S<strong>ch</strong>weizer Urheberre<strong>ch</strong>tsgesetzes .........................................27<br />
EU-Ri<strong>ch</strong>tlinie zur verda<strong>ch</strong>tsunabhängigen Vorratspei<strong>ch</strong>erung .........................28<br />
9 Statistik..........................................................................................................................28<br />
MELANI publiziert Studie bezügli<strong>ch</strong> Informationssi<strong>ch</strong>erheit in Unternehmen...28<br />
10 Glossar ..........................................................................................................................29<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
3/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
S<strong>ch</strong>werpunkte Ausgabe 2006/I<br />
• Phishing: Phishing-Mails vermehrt in Deuts<strong>ch</strong>; Angriffe ri<strong>ch</strong>ten si<strong>ch</strong> au<strong>ch</strong> gegen<br />
kleinere Finanzinstitute<br />
Phishing hat in der ersten Jahreshälfte 2006 weiter zugenommen. Die versandten<br />
Phishing-Mails sind in deutli<strong>ch</strong> besserer Spra<strong>ch</strong>e abgefasst und ri<strong>ch</strong>ten si<strong>ch</strong> neu au<strong>ch</strong><br />
gegen kleinere Finanzinstitute. Mehr Informationen dazu unter:<br />
► aktuelle Lage: Kapitel 2.1<br />
► Tendenzen für das nä<strong>ch</strong>ste Halbjahr: Kapitel 3.1<br />
► Beispiele / Vorfälle: S<strong>ch</strong>weiz Kapitel 4.1; International Kapitel 5.3<br />
► Prävention: Kapitel 6.3<br />
• Wirts<strong>ch</strong>aftsspionage: Erstmals gezielte Angriffe auf S<strong>ch</strong>weizer Unternehmen<br />
MELANI hat erstmals gezielte Spionageangriffe über das Internet auf S<strong>ch</strong>weizer<br />
Betreiber kritis<strong>ch</strong>er Infrastrukturen beoba<strong>ch</strong>tet. Die benutzte individualisierte Malware<br />
wird von Antivirensoftware meist ni<strong>ch</strong>t erkannt und gefährdet generell Firmen in Form<br />
von Diebstahl von Ges<strong>ch</strong>äftsgeheimnissen. Mehr Informationen dazu unter:<br />
► Aktuelle Lage: Kapitel 2.2 und 2.4<br />
► Tendenzen für das nä<strong>ch</strong>ste Halbjahr: Kapitel 3.1 und 3.2<br />
► Beispiele / Vorfälle: Kapitel 5.2<br />
► Prävention: Kapitel 6.3<br />
• Botnetze: Dezentral gesteuert und te<strong>ch</strong>nis<strong>ch</strong> ausgefeilter<br />
Im ersten Halbjahr 2006 tau<strong>ch</strong>ten über Peer-to-Peer gesteuerte Botnetze auf, deren<br />
Steuerungsbefehle teilweise au<strong>ch</strong> vers<strong>ch</strong>lüsselt übermittelt werden. Botnetze spielen<br />
in kriminellen Aktivitäten im Internet eine ernstzunehmende Rolle. Zu beoba<strong>ch</strong>ten ist<br />
der Trend hin zu kleineren Botnetzen, die viel s<strong>ch</strong>wieriger entdeckt werden können.<br />
Botnetze benutzen für ihre Steuerung vermehrt den für den meisten Webverkehr benutzten<br />
Port 80. Auf diese Weise fallen Steuerungsbefehle im grossen Datenvolumen<br />
des World Wide Web ni<strong>ch</strong>t weiter auf. Mehr Informationen dazu unter:<br />
► Aktuelle Lage: Kapitel 2.3<br />
► Tendenzen für das nä<strong>ch</strong>ste Halbjahr: Kapitel 3.3<br />
► Beispiele / Vorfälle: Kapitel 5.2 und 5.3<br />
► Prävention: Kapitel 6.3<br />
• Angriffsvektoren: Vermehrt über Applikationen<br />
Da S<strong>ch</strong>wa<strong>ch</strong>stellen in Betriebssytemen seltener werden, geraten vermehrt Applikations-S<strong>ch</strong>wa<strong>ch</strong>stellen<br />
ins Visier der Angreifer. Die Kompromittierung dur<strong>ch</strong> den Besu<strong>ch</strong><br />
präparierter Webseiten, über die Malware auf den Computer geladen wird, nimmt weiter<br />
zu. Mehr Informationen dazu unter:<br />
► Aktuelle Lage: Kapitel 2.5<br />
► Tendenzen für das nä<strong>ch</strong>ste Halbjahr: Kapitel 3.2<br />
► Beispiele / Vorfälle: Kapitel 5.2<br />
► Prävention: Kapitel 6.3<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
4/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
1 Einleitung<br />
Der dritte <strong>Halbjahresberi<strong>ch</strong>t</strong> (Januar – Juni 2006) der Melde- und Analysestelle Informationssi<strong>ch</strong>erung<br />
(MELANI) erläutert die wi<strong>ch</strong>tigsten Tendenzen rund um Gefahren und Risiken, die<br />
mit den Informations- und Kommunikationste<strong>ch</strong>nologien (IKT) einhergehen, gibt eine Übersi<strong>ch</strong>t<br />
über Ereignisse im In- und Ausland, beleu<strong>ch</strong>tet die wi<strong>ch</strong>tigsten Entwicklungen im Berei<strong>ch</strong><br />
der Prävention und resümiert Aktivitäten staatli<strong>ch</strong>er und privater Akteure. Erläuterungen<br />
zu Begriffen te<strong>ch</strong>nis<strong>ch</strong>er oder fa<strong>ch</strong>li<strong>ch</strong>er Art (Wörter in kursiv) sind in einem Glossar am Ende<br />
dieses Beri<strong>ch</strong>ts zu finden. Die Beurteilungen von MELANI sind neu in einem farbli<strong>ch</strong> hervorgehobenen<br />
Abs<strong>ch</strong>nitt lei<strong>ch</strong>ter aufzufinden.<br />
Kapitel 2 bes<strong>ch</strong>reibt die aktuelle Lage, Gefahren und Risiken des letzten Halbjahres. Ein<br />
Ausblick auf zu erwartende Entwicklungen wird in Kapitel 3 gegeben.<br />
Kapitel 4 und 5 befassen si<strong>ch</strong> mit Pannen und Ausfällen, Angriffen, Kriminalität und Terrorismus,<br />
die einen Zusammenhang mit IKT-Infrastrukturen aufweisen. Anhand ausgewählter<br />
Beispiele werden wi<strong>ch</strong>tige Ereignisse der letzten se<strong>ch</strong>s Monate des Jahres 2006 aufgezeigt.<br />
Der Leser findet hier illustrative Beispiele und ergänzende Informationen zu den allgemeinen<br />
Kapiteln zwei und drei.<br />
Kapitel 6 befasst si<strong>ch</strong> mit te<strong>ch</strong>nologis<strong>ch</strong>en Entwicklungen zur Prävention bzw. Erhöhung der<br />
Si<strong>ch</strong>erheit der Informations- und Kommunikationste<strong>ch</strong>nologien.<br />
Kapitel 7 legt den Fokus auf staatli<strong>ch</strong>e und privatwirts<strong>ch</strong>aftli<strong>ch</strong>e Aktivitäten zum Thema Informationssi<strong>ch</strong>erung<br />
im In- und Ausland.<br />
Kapitel 8 fasst Änderungen in den gesetzli<strong>ch</strong>en Grundlagen zusammen.<br />
Kapitel 9 gibt eine Zusammenfassung wi<strong>ch</strong>tiger Studien und Statistiken zu IKT-Themen.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
5/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
2 Aktuelle Lage, Gefahren und Risiken<br />
2.1 Phishing und Diebstahl von Login-Daten mit Malware<br />
Phishing hat in der ersten Jahreshälfte weiter zugenommen. 1 Die in Phishing-Mails verwendete<br />
Spra<strong>ch</strong>e hat si<strong>ch</strong> zudem verbessert. Bemerkenswert ist insbesondere die starke Zunahme<br />
ni<strong>ch</strong>t englis<strong>ch</strong>spra<strong>ch</strong>iger Phishing-Mails: Neu sind au<strong>ch</strong> kleinere Finanzinstitute von<br />
Phishing betroffen – mögli<strong>ch</strong>erweise deshalb, weil si<strong>ch</strong> grössere Banken immer besser<br />
s<strong>ch</strong>ützen und Verteidigungsstrategien ausgearbeitet haben. Ebenfalls zugenommen hat das<br />
Phishing von Login-Daten auf so genannten „Social Websites“, wie beispielsweise „MySpace“.<br />
2 Wahrs<strong>ch</strong>einli<strong>ch</strong> hoffen die Angreifer, dass die Opfer für andere Dienste dieselben Login-Daten<br />
nutzen.<br />
In Europa ist Phishing insbesondere in Spanien (wo die ersten Phishing-Mails gar in Katalanis<strong>ch</strong><br />
aufgetau<strong>ch</strong>t sind), Deuts<strong>ch</strong>land, Italien, den Niederlanden, Skandinavien und Frankrei<strong>ch</strong><br />
im Vormars<strong>ch</strong>. 3 Au<strong>ch</strong> in der S<strong>ch</strong>weiz wurden Zwis<strong>ch</strong>enfälle registriert (siehe Kapitel<br />
4.1).<br />
Neben Phishing-Mails setzen Kriminelle au<strong>ch</strong> vermehrt professionelle Malware für den Diebstahl<br />
von Login-Daten für E-Banking ein. Diese Malware zei<strong>ch</strong>net Tastatureingaben, wie z.B.<br />
Login-Daten während des Verbindungsaufbaus, unbemerkt auf und sendet diese ans<strong>ch</strong>liessend<br />
an einen vom Angreifer kontrollierten Server.<br />
Konkrete Beispiele sind in Kapitel 4.1 und 5.3 aufgeführt.<br />
Umfassende Phishing-Analysen und Verteidigungsstrategien publiziert das britis<strong>ch</strong>e National<br />
Infrastructure Security Co-Ordination Centre (NISCC). 4 Eine Anleitung zur si<strong>ch</strong>eren Nutzung<br />
des E-Banking ist auf der MELANI-Homepage verfügbar. Präventionsrats<strong>ch</strong>läge sind in Kapitel<br />
6.3 zu finden.<br />
2.2 Spionage: Gezielte Angriffe auf<br />
S<strong>ch</strong>weizer Unternehmen<br />
Im ersten Halbjahr 2006 sind gezielte Wirts<strong>ch</strong>aftsspionageangriffe auf S<strong>ch</strong>weizer Unternehmen<br />
bekannt geworden.<br />
In diesen Fällen s<strong>ch</strong>ickten die Angreifer präparierte Dokumente mit gefäls<strong>ch</strong>tem Absender an<br />
S<strong>ch</strong>lüsselpersonen der betreffenden Unternehmen. Die Na<strong>ch</strong>ri<strong>ch</strong>ten waren auf die Empfänger<br />
zuges<strong>ch</strong>nitten, was auf vorgängige vertiefte Re<strong>ch</strong>er<strong>ch</strong>en hinweist. Die unter dem Begriff<br />
„Titan Rain“ bekannte, seit längerem anhaltende Operation insbesondere gegen Regierun-<br />
1<br />
Siehe dazu au<strong>ch</strong>: http://www.antiphishing.org (Stand: 16.08.2006).<br />
2<br />
Siehe die Warnung des FBI: http://www.fbi.gov/cyberinvest/escams.htm (Stand: 16.08.2006).<br />
3<br />
Siehe http://www.theregister.co.uk/2006/04/26/international_phishing_survey/ und<br />
http://www.heise.de/newsticker/meldung/70547 (beide Stand: 16.08.2006).<br />
4<br />
Siehe: http://www.niscc.gov.uk/niscc/docs/phishing_guide.pdf; und:<br />
http://people.deas.harvard.edu/~ra<strong>ch</strong>na/papers/why_phishing_works.pdf (Beide Stand: 16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
6/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
gen und Rüstungskonzerne westli<strong>ch</strong>er Staaten wurde im <strong>Halbjahresberi<strong>ch</strong>t</strong> 2005/II thematisiert.<br />
Die Vorgehensweise der Angreifer ist dort ausführli<strong>ch</strong> bes<strong>ch</strong>rieben (Kapitel 2.1, 3.1 und<br />
5.2). Als Urheber hinter den Angriffen wird die Volksrepublik China vermutet.<br />
MELANI liegen Informationen vor, dass im ersten Halbjahr 2006 au<strong>ch</strong> S<strong>ch</strong>weizer Konzerne<br />
von sol<strong>ch</strong>en Angriffen betroffen waren. Na<strong>ch</strong> Ansi<strong>ch</strong>t von MELANI sind besonders Regierungsstellen,<br />
Firmen, die mit Regierungsaufträgen betraut werden, sowie die Rüstungsindustrie<br />
im Visier der Angreifer. Grundsätzli<strong>ch</strong> droht Gefahr aber au<strong>ch</strong> für Firmen, die einen<br />
Vorsprung an Know-how aufweisen oder ges<strong>ch</strong>äftli<strong>ch</strong> im fernen Osten tätig sind (siehe dazu<br />
au<strong>ch</strong> Kapitel 2.4). In Kapitel 3.2 nimmt MELANI eine Eins<strong>ch</strong>ätzung über die mögli<strong>ch</strong>e Entwicklung<br />
dieser Bedrohung vor. Beispiele sind im Kapitel 5.2 zu finden, Empfehlungen zur<br />
Prävention im Kapitel 6.3.<br />
2.3 Botnetze: Dezentral gesteuert und Host für betrügeris<strong>ch</strong>e<br />
Web-Seiten<br />
Botnetze stellen na<strong>ch</strong> wie vor eine Gefahr dar. Sie liegen praktis<strong>ch</strong> allen kriminellen Aktivitäten<br />
im Berei<strong>ch</strong> des Internets zu Grunde. Geld verdient wird vor allem mit der Installation von<br />
Adware, des weiteren mit dem Sammeln von verwertbaren Daten, wel<strong>ch</strong>e auf den kompromittierten<br />
Re<strong>ch</strong>nern liegen, mit Spam-Versand und mit Distributed Denial-of-Service (DDoS)-<br />
Erpressung (siehe dazu die Ausführungen in den beiden <strong>Halbjahresberi<strong>ch</strong>t</strong>en 2005). 5 Beoba<strong>ch</strong>tet<br />
wurden im ersten Halbjahr 2006 au<strong>ch</strong> über Peer-to-Peer (P2P) gesteuerte Botnetze,<br />
teilweise mit vers<strong>ch</strong>lüsseltem Steuerungskanal, die s<strong>ch</strong>wieriger zu identifizieren und zu deaktivieren<br />
sind.<br />
Im Zusammenhang mit den in Kapitel 4.1 erwähnten „Finanzagenten“, die von Phishern für<br />
die Überweisung von Geldern ins Ausland angeheuert werden, tau<strong>ch</strong>en ebenfalls Botnetze<br />
auf. Die Homepages der (fiktiven) Firmen, für die der „Finanzagent“ zu arbeiten glaubte, werden<br />
auf Botnetzen gehostet. Mit anderen Worten: Sie befinden si<strong>ch</strong> gar ni<strong>ch</strong>t auf von<br />
Hosting-Providern unterhaltenen Webservern, sondern auf zu Botnetzen gehörenden Zombie-Re<strong>ch</strong>nern.<br />
Auf diese Weise ist es fast aussi<strong>ch</strong>tslos, die jeweiligen Seiten vom Netz nehmen<br />
zu wollen.<br />
Na<strong>ch</strong> Eins<strong>ch</strong>ätzung von MELANI besteht eine Bedrohung dur<strong>ch</strong> Botnetze für jede Firma mit<br />
Internetverbindungen, da Botnetze für fast alle illegalen Tätigkeiten gebrau<strong>ch</strong>t werden. Au<strong>ch</strong><br />
Privatanwender sind von Botnetzen bedroht. Während einerseits ihr Computer beeinträ<strong>ch</strong>tigt<br />
werden kann, droht anderseits ein Verlust persönli<strong>ch</strong>er Daten wie beispielsweise Login-<br />
Informationen für Online-Taus<strong>ch</strong>börsen, E-Banking oder Ähnli<strong>ch</strong>es. Zudem können re<strong>ch</strong>tli<strong>ch</strong>e<br />
Konsequenzen drohen, wenn der eigene Re<strong>ch</strong>ner vom Botnetzbetreiber für illegale<br />
Zwecke missbrau<strong>ch</strong>t wird.<br />
Eine Eins<strong>ch</strong>ätzung zur weiteren Entwicklung von Botnetzen wird in Kapitel 3.3 vorgenommen.<br />
Präventionsempfehlungen sind in Kapitel 6.3 zu finden.<br />
5 Siehe zur Nutzung von Botnetzen zwecks Berei<strong>ch</strong>erung au<strong>ch</strong>:<br />
http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html<br />
(Stand: 11.09.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
7/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
2.4 Malware: immer effektiver<br />
Malware, wel<strong>ch</strong>e si<strong>ch</strong> eigenständig innerhalb kürzester Zeit über das Internet verbreitet, wurde<br />
im ersten Halbjahr 2006 praktis<strong>ch</strong> ni<strong>ch</strong>t mehr beoba<strong>ch</strong>tet. Stattdessen hat die Zahl gezielt<br />
verbreiteter Malware zugenommen.<br />
Die gezielte Verbreitung dieser Malware bewirkt, dass diese länger unentdeckt bleibt. Dank<br />
des na<strong>ch</strong> wie vor wa<strong>ch</strong>senden cyberkriminellen Marktes, auf dem unter anderem au<strong>ch</strong><br />
Exploits und Informationen über bis anhin unveröffentli<strong>ch</strong>te S<strong>ch</strong>wa<strong>ch</strong>stellen erhältli<strong>ch</strong> sind, ist<br />
dieses Wissen grösseren Kreisen zugängli<strong>ch</strong>. Entspre<strong>ch</strong>end kann auf Grund vorhandener<br />
Tools heutzutage lei<strong>ch</strong>ter ein Stück Malware zusammengestellt werden, das bei gezieltem<br />
Einsatz kaum von Anti-Virensoftware erkannt werden kann. Verwertet wird ans<strong>ch</strong>liessend<br />
alles Brau<strong>ch</strong>bare, vor allem Login-Daten, Kreditkartennummern oder Seriennummern von<br />
Software.<br />
Zudem ist au<strong>ch</strong> wieder Malware aufgetau<strong>ch</strong>t, die Dateien auf den infizierten Computern vers<strong>ch</strong>lüsselt.<br />
Der Ents<strong>ch</strong>lüsselungs-Code wird ans<strong>ch</strong>liessend gegen ein Lösegeld angeboten.<br />
Mehr zu dieser so genannten Ransomware finden Sie in Kapitel 5.2.<br />
Während die in Kapitel 2.2 angespro<strong>ch</strong>enen gezielten Spionageangriffe eher für China strategis<strong>ch</strong><br />
bedeutsame Firmen betreffen, können alle S<strong>ch</strong>weizer Unternehmen sowie Privatanwender<br />
von gezielten Attacken betroffen werden. Hinter sol<strong>ch</strong>en Angriffen stehen eher Cyberkriminelle<br />
oder zuweilen au<strong>ch</strong> die Konkurrenz.<br />
Beispiele für sol<strong>ch</strong>e Angriffe sind im Kapitel 5.2 zu finden. Kapitel 6.3 führt Präventionsempfehlungen<br />
für Firmen und Privatpersonen zur Eindämmung dieser Gefahr auf.<br />
2.5 Angriffsvektoren: Vor allem über Applikationen<br />
Da Betriebssysteme und Serversoftware mittlerweile si<strong>ch</strong>erer werden, verlagern si<strong>ch</strong> die Angriffsvektoren<br />
auf die Applikationsebene, wie beispielsweise Office von Microsoft oder Antiviren-Software<br />
vers<strong>ch</strong>iedener Hersteller (siehe dazu Kapitel 5.2).<br />
Oft erfolgen Infektionen dur<strong>ch</strong> den Besu<strong>ch</strong> präparierter Webseiten. Auf diese Weise verteilte<br />
Malware, die bis anhin unbekannte S<strong>ch</strong>wa<strong>ch</strong>stellen ausnutzt, hat das Potenzial, vollständig<br />
aufdatierte und gut ges<strong>ch</strong>ützte Computer zu infizieren. Am gefährli<strong>ch</strong>sten sind Webseiten mit<br />
News zu prominenten Personen, Pornowebseiten, inoffizielle Device-Driver-Webseiten und<br />
so genannte „Game-Cheats“-Homepages. Do<strong>ch</strong> au<strong>ch</strong> an si<strong>ch</strong> harmlose Webseiten können<br />
so missbrau<strong>ch</strong>t werden: S<strong>ch</strong>afft es beispielsweise der Angreifer, einen Webserver zu kompromittieren,<br />
kann er ans<strong>ch</strong>liessend S<strong>ch</strong>adcode in die auf diesem Server gespei<strong>ch</strong>erten<br />
Webseiten einbauen. Beispielsweise wurde die in Kapitel 5.2 erwähnte Ransomware häufig<br />
auf diese Weise verteilt.<br />
Zum S<strong>ch</strong>utz vor sol<strong>ch</strong>en Gefahren ist neben der Befolgung der Grunds<strong>ch</strong>utzempfehlungen<br />
auf der MELANI-Homepage insbesondere wi<strong>ch</strong>tig, dass die Verhaltensregeln befolgt werden.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
8/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
3 Tendenzen / Allgemeine Entwicklungen<br />
3.1 Gefahr dur<strong>ch</strong> Phishing und Key-Logging<br />
Phishing wird na<strong>ch</strong> Eins<strong>ch</strong>ätzung von MELANI weiter zunehmen. Zu erwarten sind vermehrte<br />
Angriffe auf kleinere Finanzdienstleister und spra<strong>ch</strong>li<strong>ch</strong> professioneller wirkende Phishing-<br />
Mails. Banken werden si<strong>ch</strong> künftig au<strong>ch</strong> Man-in-the-middle-Attacken in E<strong>ch</strong>tzeit ausgesetzt<br />
sehen.<br />
Zudem wird erwartet, dass Malware vermehrt die Funktionalität der Web-Browser manipuliert.<br />
Mit sol<strong>ch</strong>en Verfahren können alle gängigen Authentisierungsverfahren umgangen werden.<br />
Siehe Kapitel 2.1 für die aktuelle Eins<strong>ch</strong>ätzung der Phishing-Gefahr und für Beispiele Kapitel<br />
4.1 und 5.3.<br />
3.2 Ausnutzung von Si<strong>ch</strong>erheitslücken in Applikationen<br />
Kapitel 2.5 analysierte die Zunahme von Angriffen über Applikationen anstelle der bisher weit<br />
verbreiteten Angriffe gegen Si<strong>ch</strong>erheitslücken in Betriebssystemen. In Kapitel 5.2 wird zudem<br />
thematisiert, dass insbesondere die entdeckten Lücken in Microsoft-Produkten für gezielte<br />
Wirts<strong>ch</strong>aftsspionage aus dem fernen Osten ausgenutzt werden.<br />
MELANI erwartet, dass Angriffe unter Ausnützung von Si<strong>ch</strong>erheitslücken in Applikationssoftware<br />
weiter zunehmen werden. Unternehmen und Privatanwender werden davon glei<strong>ch</strong>ermassen<br />
betroffen sein. Zur Verteilung dieser Malware werden vermehrt Social-Engineering-<br />
Angriffe zum Zuge kommen.<br />
Beispielsweise ist zu erwarten, dass immer mehr E-Mails oder Instant-Messaging-<br />
Na<strong>ch</strong>ri<strong>ch</strong>ten vers<strong>ch</strong>ickt werden, die entweder Malware im Atta<strong>ch</strong>ement enthalten oder den<br />
Empfänger per Link auf eine Homepage locken wollen, über die dann der Computer mit<br />
Malware infiziert wird (siehe dazu au<strong>ch</strong> Kapitel 2.4, 2.5 und 3.1).<br />
3.3 Wirts<strong>ch</strong>aftsspionage<br />
Die in Kapitel 3.2 erwähnten Te<strong>ch</strong>niken werden vermehrt au<strong>ch</strong> zwecks Wirts<strong>ch</strong>aftsspionage<br />
gegen S<strong>ch</strong>weizer Unternehmen eingesetzt werden.<br />
Die Vorgehensweise der Angreifer aus China wurde im letzten <strong>Halbjahresberi<strong>ch</strong>t</strong> (Kapitel<br />
2.1, 3.1 und 5.2) ausführli<strong>ch</strong> bes<strong>ch</strong>rieben. Au<strong>ch</strong> ni<strong>ch</strong>t-<strong>ch</strong>inesis<strong>ch</strong>e Akteure, die Unternehmen<br />
ausspionieren mö<strong>ch</strong>ten, dürften dabei ähnli<strong>ch</strong> vorgehen. In Kapitel 2.2 und 2.4 werden Eins<strong>ch</strong>ätzungen<br />
vorgenommen, wel<strong>ch</strong>e Firmen besonders bedroht sind. Präventionsmassnahmen<br />
werden im Kapitel 6.3 aufgeführt.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
9/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
3.4 Botnetze<br />
Es ist bekannt, dass Malware-Autoren Informationen, oft gegen Bezahlung, austaus<strong>ch</strong>en.<br />
Der Quellcode einiger Bots ist zudem frei im Internet verfügbar. Versionskontrollen und<br />
Pat<strong>ch</strong>-Management bei der Entwicklung von Bots gehören mittlerweile zum Standard. Diese<br />
Entwicklung wird si<strong>ch</strong> au<strong>ch</strong> künftig fortsetzen. 6<br />
Für das nä<strong>ch</strong>ste Halbjahr muss mit einer weiteren Verbreitung der Botnetze gere<strong>ch</strong>net werden,<br />
wodur<strong>ch</strong> au<strong>ch</strong> die von ihnen ausgehenden Gefahren zunehmen werden. Das erste<br />
Halbjahr 2006 bestätigte den beginnenden Trend hin zu Peer-to-Peer (P2P) gesteuerten<br />
Netzwerken, die über keinen einzelnen zentralen Server mehr verfügen. Botnetze, die ihre<br />
Befehle über Port 80 austaus<strong>ch</strong>en, dürften ebenfalls zunehmen. Über diesen Port wird der<br />
Grossteil des Web-Verkehrs abgewickelt, weshalb die Botnetz-Steuerungssignale s<strong>ch</strong>wieriger<br />
zu erkennen sind.<br />
Während die Strafverfolgung von Betreibern grosser Botnetze in den letzten Monaten Forts<strong>ch</strong>ritte<br />
ma<strong>ch</strong>te (siehe dazu den <strong>Halbjahresberi<strong>ch</strong>t</strong> 2005/II), bauen Botnetzbetreiber zunehmend<br />
auf kleinere, s<strong>ch</strong>wieriger zu entdeckende und spezialisierte Botnetze.<br />
Die Erpressung von E-Commerce-Firmen mit DDoS-Attacken hat in den letzten Monaten und<br />
Jahren ständig zugenommen. Diese Tendenz wird si<strong>ch</strong> fortsetzen und wohl au<strong>ch</strong> in der<br />
S<strong>ch</strong>weiz aktuell werden.<br />
4 Aktuelle Lage ICT Infrastruktur national<br />
4.1 Kriminalität<br />
Finanzinstitut erneut Opfer von Phishing-Attacken<br />
Im Jahr 2005 wurden mehrere Finanzinstitute in der S<strong>ch</strong>weiz und dem Ausland Ziel von<br />
Phishingattacken. Die Phishing-E-Mails forderten die Opfer auf, die ersten fünf oder zehn<br />
Zahlenkombinationen der Strei<strong>ch</strong>liste einzugeben. Da die Betrüger wussten, dass das Loginsystem<br />
diese Zahlen der Reihe na<strong>ch</strong> abrief, waren alle gesammelten Zugangscodes gültig.<br />
In der S<strong>ch</strong>weiz haben einzelne Finanzinstitute auf die Angriffe reagiert und neue Loginverfahren<br />
für den Zugriff auf ihre Online-Banking-Portale eingeführt. Beispielsweise muss die<br />
Strei<strong>ch</strong>liste seither ni<strong>ch</strong>t mehr der Reihe na<strong>ch</strong> abgehakt werden. Vielmehr wählt das System<br />
die Zahlen na<strong>ch</strong> dem Zufallsprinzip aus und der Kunde muss dann die Zahl an der vom System<br />
angeforderten Position eingeben.<br />
Na<strong>ch</strong> dem Systemwe<strong>ch</strong>sel veränderten die Angreifer ihre Taktik. Im Juni 2006 waren E-<br />
Banking-Kunden erneut von einer Phishing-Mail-Welle betroffen. Diesmal wurden sie per E-<br />
Mail aufgefordert, die ersten vierzig Nummern der Strei<strong>ch</strong>liste einzugeben. So konnten die<br />
Betrüger mit grosser Wahrs<strong>ch</strong>einli<strong>ch</strong>keit damit re<strong>ch</strong>nen, an die für das Login erforderli<strong>ch</strong>en<br />
Angaben heranzukommen.<br />
6 Siehe dazu einen ausführli<strong>ch</strong>en Beri<strong>ch</strong>t von McAfee (Sage, Vol. 1, Issue 1):<br />
http://www.mcafee.com/us/threat_center/white_paper.html (Stand: 11.09.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
10/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Um dieser neuen Spielart zu begegnen bes<strong>ch</strong>loss beispielsweise die Postfinance die Einführung<br />
einer weiteren te<strong>ch</strong>nis<strong>ch</strong>en Gegenmassnahme. Ab 2007 werden die Yellownet-<br />
Kundinnen und -Kunden ein Hardware-Token erhalten, mit der sie si<strong>ch</strong> beim Login identifizieren<br />
müssen.<br />
Abtransport der Gelder (Geldwäs<strong>ch</strong>erei) – Mittlerweile ein Problem für Phisher<br />
Die Geldwäs<strong>ch</strong>erei in Form getarnter Teilzeitjob-Angebote geriet in den letzten Monaten ins<br />
Rampenli<strong>ch</strong>t. Vers<strong>ch</strong>iedene fiktive Unternehmen mit Namen wie Alleria AG, Porell Partners<br />
oder AnyPay überfluteten die elektronis<strong>ch</strong>en Briefkästen in der S<strong>ch</strong>weiz mit Spam-Mails, alle<br />
mit praktis<strong>ch</strong> demselben Inhalt. 7 Die Unternehmen boten eine „Arbeit” als Kurier oder Finanzagent<br />
an, die im Wesentli<strong>ch</strong>en darin bestand, das eigene Bank- oder Postkonto zur Verfügung<br />
zu stellen. Die hinter der Fassade dieser Unternehmen steckenden Personen würden<br />
anfängli<strong>ch</strong> eine eher bes<strong>ch</strong>eidene Geldsumme auf das Konto einzahlen. Verliefen die ersten<br />
Transaktionen problemlos, würden na<strong>ch</strong> und na<strong>ch</strong> höhere Beträge überwiesen. Bis zu zehn<br />
Prozent dieser Summen durften vom Kurier als Provision behalten werden, der Rest sollte<br />
via Western Union in ein Drittland überwiesen werden. Auf diese Weise wird das Geld zuerst<br />
über das Konto eines unbes<strong>ch</strong>oltenen Bürgers transferiert, auf dem eine Transaktion von<br />
einigen Tausend Franken keinen Verda<strong>ch</strong>t weckt. Dur<strong>ch</strong> die Western-Union-Überweisung<br />
verliert si<strong>ch</strong> dann die Spur des Geldes.<br />
Offensi<strong>ch</strong>tli<strong>ch</strong> verfügen die Phisherbanden inzwis<strong>ch</strong>en über so viele Login-Daten, dass der<br />
Abtransport des Geldes ni<strong>ch</strong>t mehr einfa<strong>ch</strong> mögli<strong>ch</strong> ist.<br />
Geht man auf ein sol<strong>ch</strong>es Jobangebot ein, kann dies strafre<strong>ch</strong>tli<strong>ch</strong>e Folgen haben. Wer nämli<strong>ch</strong><br />
mithilft, Spuren von Geldern zu verwis<strong>ch</strong>en, die aus unre<strong>ch</strong>tmässigen Tätigkeiten (z.B.<br />
Phishing) stammen, ma<strong>ch</strong>t si<strong>ch</strong> der Geldwäs<strong>ch</strong>erei s<strong>ch</strong>uldig.<br />
Do<strong>ch</strong> Kunden sind ni<strong>ch</strong>t immer nur Opfer: In einigen Fällen gaben si<strong>ch</strong> Kunden als Phishing-<br />
Opfer aus, um so in den Genuss der Kulanzents<strong>ch</strong>ädigungen von Postfinance zu kommen.<br />
Die 730'000 Kundinnen und Kunden von Yellownet haben 2006 von der Post ein S<strong>ch</strong>reiben<br />
erhalten, das sie vor sol<strong>ch</strong>en Betrügereien warnte.<br />
7 Siehe dazu die entspre<strong>ch</strong>ende Warnung auf MELANI:<br />
http://www.melani.<strong>admin</strong>.<strong>ch</strong>/newsticker/00086/index.html?lang=de (Stand: 16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
11/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
5 Aktuelle Lage ICT Infrastruktur International<br />
5.1 Pannen, Ausfälle<br />
Japan: PC offenbart via Peer-2-Peer Daten über ein japanis<strong>ch</strong>es Kernkraftwerk<br />
Im Juni beri<strong>ch</strong>tete die „Japan Times“, sensible Daten seien aus dem Netzwerk eines Kraftwerks<br />
der Chubu Electronic Power Co. auf das Internet gelangt. Gemäss Beri<strong>ch</strong>t sind Daten<br />
über Operations-Prozeduren und kritis<strong>ch</strong>e Gebiete im Kraftwerk veröffentli<strong>ch</strong>t worden. Grund<br />
für den Datenverlust sei eine auf dem PC einer mit der physis<strong>ch</strong>en Si<strong>ch</strong>erheit des Kraftwerks<br />
beauftragten Firma installierte Peer-to-Peer-Software (P2P) gewesen.<br />
Dieses Beispiel aus Japan zeigt, dass eine umfassende Informationssi<strong>ch</strong>erheitspolitik für<br />
Firmen unerlässli<strong>ch</strong> ist. Nur so ist es mögli<strong>ch</strong>, die Installation risikobehafteter Software zu<br />
verhindern und au<strong>ch</strong> Zulieferer bindend in die Si<strong>ch</strong>erheitspolitik des Unternehmens zu integrieren.<br />
5.2 Attacken<br />
Gezielte Wirts<strong>ch</strong>aftsspionage dur<strong>ch</strong> Ausnutzen von S<strong>ch</strong>wa<strong>ch</strong>stellen in Microsoft-Produkten<br />
In der ersten Jahreshälfte wurden mehrere Si<strong>ch</strong>erheitslücken in Microsoft-Produkten bekannt,<br />
insbesondere im Internet-Explorer und in Office-Produkten (MS Word, MS Excel, MS<br />
PowerPoint). Einige dieser Si<strong>ch</strong>erheitslücken wurden für gezielte Spionageangriffe gegen<br />
westli<strong>ch</strong>e kritis<strong>ch</strong>e Infrastrukturen missbrau<strong>ch</strong>t.<br />
Im März wurde beispielsweise eine Si<strong>ch</strong>erheitslücke im Internet-Explorer bekannt, die dem<br />
Angreifer das Ausführen von Malware ermögli<strong>ch</strong>te. 8 Ende Mai traf es dann das Textverarbeitungsprogramm<br />
MS Word: Das Internet Storm Center von SANS warnte vor einem 0-day-<br />
Exploit, der eine bisher unbekannte Si<strong>ch</strong>erheitslücke in Word ausnutzte. 9 Bei vielen dieser<br />
Angriffe handelte es si<strong>ch</strong> um gezielte Spionageangriffe. Die Ursprünge dieser Angriffe lagen<br />
allesamt in China oder Taiwan. 10<br />
8<br />
Siehe: http://www.melani.<strong>admin</strong>.<strong>ch</strong>/newsticker/00078/index.html?lang=de (Stand: 16.08.2006).<br />
9<br />
Siehe http://isc.sans.org/diary.php?date=2006-05-19 und http://isc.sans.org/diary.php?date=2006-05-20 (Stand:<br />
16.08.2006).<br />
10<br />
Siehe http://www.melani.<strong>admin</strong>.<strong>ch</strong>/newsticker/00081/index.html?lang=de.<br />
Weitere Informationen zum Vorfall sind zu finden unter (Stand: 16.08.2006):<br />
http://blog.washingtonpost.com/securityfix/2006/05/microsoft_hackers_exploiting_u.html;<br />
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9000651&pageNumber=2;<br />
sowie http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9000688.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
12/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Mitte Juni s<strong>ch</strong>liessli<strong>ch</strong> nutzten Angreifer aus der glei<strong>ch</strong>en Region einen weiteren 0-day-<br />
Exploit, diesmal im Tabellenkalkulationsprogramm Excel, um an sensible Daten zu gelan-<br />
11<br />
gen.<br />
Diese Vorgehensweise bei gezielter Industriespionage ist bereits bekannt. So wurde die unter<br />
dem Begriff „Titan Rain“ seit längerem bekannte Angriffswelle gegen Regierungsstellen<br />
und Rüstungskonzerne westli<strong>ch</strong>er Staaten im <strong>Halbjahresberi<strong>ch</strong>t</strong> 2005/II als S<strong>ch</strong>werpunkt<br />
thematisiert.<br />
In Kapitel 6.3 werden Massnahmen zur Bekämpfung dieser Bedrohung vorges<strong>ch</strong>lagen, während<br />
in Kapitel 2.2 eine Eins<strong>ch</strong>ätzung vorgenommen wird, wer besonders bedroht ist dur<strong>ch</strong><br />
diese Angriffe. Eine Eins<strong>ch</strong>ätzung zur Entwicklung dieser Gefahr ist in Kapitel 3.2 zu finden.<br />
Zunahme der Amplification-Angriffe via DNS-Server<br />
Wie der US-amerikanis<strong>ch</strong>e IT-Dienstleister VeriSign Mitte März mitteilte, waren im Januar<br />
und Februar 2006 weltweit etwa 1'500 Organisationen dur<strong>ch</strong> so genannte rekursive DNS-<br />
Amplification-Angriffe betroffen. 12 Bei diesen Angriffen werden Datenpakete gegen ein (drittes,<br />
vom DNS-Server unabhängiges) Ziel über offen rekursive DNS-Server geleitet, um sie<br />
zu verstärken und so das eigentli<strong>ch</strong>e Ziel stärker zu beeinträ<strong>ch</strong>tigen. Gemäss Angaben der<br />
Internet Corporation for Assigned Names and Numbers (ICANN) hatten die Angriffe zeitweise<br />
Bandbreiten zwis<strong>ch</strong>en 2 und 8 GBit/s. 13<br />
Ende März gaben beispielsweise der deuts<strong>ch</strong>e Domain-Registrar joker.com sowie der USamerikanis<strong>ch</strong>e<br />
Registrar Network Solutions bekannt, ihre DNS-Server seien auf Grund massiver<br />
DDoS-Angriffe beeinträ<strong>ch</strong>tigt gewesen. 14 Network Solutions erlebte einen Angriff auf<br />
seine Top-Level-Domain-Server, der zu einer 25-minütigen Beeinträ<strong>ch</strong>tigung des DNS-<br />
Systems führte. Nur wenige Tage zuvor waren au<strong>ch</strong> die DNS-Server der deuts<strong>ch</strong>en CLS<br />
Computer Service Langenba<strong>ch</strong> GmbH, die die Domain-Registraturstelle joker.com betreibt,<br />
angegriffen worden, wobei die Attacken während se<strong>ch</strong>s Tagen angehalten hatten. 15 Diese<br />
beiden Unternehmen waren (Dritt-)Ziele, die einen über offen rekursive DNS-Server verstärkten<br />
Angriff erlebten.<br />
Diese Art der Angriffe bietet na<strong>ch</strong> Eins<strong>ch</strong>ätzung von MELANI ein Potenzial für DDoS-<br />
Attacken, die in der Lage sind, au<strong>ch</strong> grosse Organisationen zu beeinträ<strong>ch</strong>tigen. Diese Angriffsart<br />
erlaubt es theoretis<strong>ch</strong>, kleinere Botnetze au<strong>ch</strong> für DDoS-Attacken mit grossen Bandbreiten<br />
einzusetzen.<br />
11<br />
Siehe http://www.melani.<strong>admin</strong>.<strong>ch</strong>/newsticker/00083/index.html?lang=de (Stand: 16.08.2006).<br />
12<br />
Siehe: http://sear<strong>ch</strong>.verisign.com/cs.html?<strong>ch</strong>arset=iso-8859-<br />
1&url=http%3A//www.verisign.com/static/037903.pdf&qt=dns+recursion&col=&n=1&la=en sowie<br />
http://www.computerworld.com/developmenttopics/websitemgmt/story/0,10801,109631,00.html (beide Stand:<br />
16.08.2006).<br />
13<br />
Siehe: http://www.icann.org/committees/security/dns-ddos-advisory-31mar06.pdf (Stand: 16.08.2006).<br />
14<br />
Siehe:<br />
https://joker.com/index.joker?mode=news&id=109&Joker_Session=2bc4b6ed131484bc4b3e67eb707f4111 und<br />
http://www.computerworld.com/developmenttopics/websitemgmt/story/0,10801,109972,00.html?source=x10<br />
(beide Stand: 16.08.2006).<br />
15<br />
Siehe http://news.netcraft.com/ar<strong>ch</strong>ives/2006/03/26/domain_registrar_joker_hit_by_ddos.html (Stand:<br />
16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
13/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Eine Eins<strong>ch</strong>ätzung der Bedrohungslage ist in Kapitel 2.3 zu finden, während in Kapitel 3.3<br />
eine Prognose über die Entwicklung der Bedrohung vorgenommen wird. Informationen über<br />
diese Art der Angriffe, inklusive Anleitungen zur korrekten Konfiguration von DNS-Servern,<br />
sind in der Fussnote zu finden. 16<br />
Erpressung und Datenzerstörung mit Hilfe von Malware : Daten vers<strong>ch</strong>lüsselnde<br />
(Ransomware) oder Daten lös<strong>ch</strong>ende Malware nimmt zu<br />
Obwohl der Trend in Ri<strong>ch</strong>tung unauffälliger und zielgeri<strong>ch</strong>teter Malware zwecks Spionage,<br />
Datendiebstahl oder Aufbau eines Botnetzes geht (siehe Kapitel 2.1, 2.3 und 2.4), sind im<br />
ersten Halbjahr 2006 diverse Fälle aufgetau<strong>ch</strong>t, bei denen Daten auf der Festplatte gelös<strong>ch</strong>t<br />
oder vers<strong>ch</strong>lüsselt wurden. Na<strong>ch</strong> der Vers<strong>ch</strong>lüsselung verlangt der Malware-Autor Geld zur<br />
Ents<strong>ch</strong>lüsselung der Daten, weshalb die bei dieser Art von Angriffen eingesetzte Malware<br />
allgemein als Ransomware (ransom: engl. für Lösegeld) bezei<strong>ch</strong>net wird.<br />
Im Januar tau<strong>ch</strong>te ein E-Mail-Wurm auf, der je na<strong>ch</strong> Antivirenhersteller Nyxem, Blackmal,<br />
Mywife oder Tearec benannt wurde. Im Gegensatz zu der in den letzten Jahren im Umlauf<br />
befindli<strong>ch</strong>en Malware ohne S<strong>ch</strong>adfunktion, versu<strong>ch</strong>te Nyxem, immer am 3. des Monats sämtli<strong>ch</strong>e<br />
Dokumente auf der Festplatte des infizierten PCs zu lös<strong>ch</strong>en. Die erste grosse Lös<strong>ch</strong>welle<br />
wurde für den 3. Februar erwartet. Während zu Beginn bei Si<strong>ch</strong>erheitsexperten no<strong>ch</strong><br />
Alarmstimmung herrs<strong>ch</strong>te, wurde bald klar, dass der Wurm eher Heimnutzer und kleine Firmen<br />
treffen würde, da er Administratorenre<strong>ch</strong>te benötigte und bereits vor dem 3. Februar<br />
von Antivirensoftware erkannt werden konnte. Entspre<strong>ch</strong>end stellte si<strong>ch</strong> dann na<strong>ch</strong> dem 3.<br />
Februar au<strong>ch</strong> heraus, dass ni<strong>ch</strong>t wie zunä<strong>ch</strong>st befür<strong>ch</strong>tet Millionen, sondern nur Tausende<br />
von Re<strong>ch</strong>nern infiziert waren. Bemerkenswert an Nyxem ist die Tatsa<strong>ch</strong>e, dass der Programmierer<br />
im Gegensatz zu sonst eingesetzter Malware offensi<strong>ch</strong>tli<strong>ch</strong> keine finanziellen<br />
Interessen verfolgte.<br />
Erstmals seit dem Mai 2005 tau<strong>ch</strong>te im März Malware auf (Zippo-A oder Cryzip), wel<strong>ch</strong>e die<br />
Festplatte na<strong>ch</strong> Word-Dokumenten, Datenbanken oder Tabellenkalkulationen dur<strong>ch</strong>su<strong>ch</strong>te<br />
und in ein passwortges<strong>ch</strong>ütztes Zip-Ar<strong>ch</strong>iv vers<strong>ch</strong>ob. Eine Na<strong>ch</strong>ri<strong>ch</strong>t informierte den Computerbenutzer,<br />
er hätte 300 US$ zu überweisen, um das für die Rettung seiner Dateien notwendige<br />
Passwort zu erhalten. Ende April drohte Ransom-A, es würde von nun an alle 30<br />
Minuten eine Datei in einen unsi<strong>ch</strong>tbaren Ordner vers<strong>ch</strong>oben. Erst na<strong>ch</strong> der Bezahlung von<br />
10,99 US$ via Western Union erhalte man den zur Freis<strong>ch</strong>altung der Dateien benötigten<br />
Code. Nur wenige Tage später verlangte Arhiveus-A (oder MayAlert) na<strong>ch</strong> der Vers<strong>ch</strong>lüsselung<br />
der Dateien auf betroffenen Festplatten, dass für die Freis<strong>ch</strong>altung der Dateien auf drei<br />
Webseiten Medikamente gekauft werden müssten, wie sie gewöhnli<strong>ch</strong> in Spam-Mails beworben<br />
werden. Im Juni tau<strong>ch</strong>te mit DigiKeyGen eine Malware auf, die freien Zugang zu<br />
Hardcore-Pornoseiten im Internet verspro<strong>ch</strong>en hatte – na<strong>ch</strong> der Installation wurde jedo<strong>ch</strong><br />
weitere Malware na<strong>ch</strong>geladen und dem User eine Software zu deren Entfernung für 49,95<br />
US$ angeboten.<br />
Während Antivirenhersteller bisher sämtli<strong>ch</strong>e Passwörter knacken und so die Lösegeldforderungen<br />
ents<strong>ch</strong>ärfen konnten, ist künftig damit zu re<strong>ch</strong>nen, dass auf diese Weise vers<strong>ch</strong>lüsselte<br />
Daten ohne die Hilfe des Angreifers ni<strong>ch</strong>t mehr rekonstruierbar sein werden.<br />
In Kapitel 6.3 s<strong>ch</strong>lägt MELANI Massnahmen zur Bekämpfung dieser Bedrohung vor.<br />
16 DNS-Amplification-Attacks: http://www.isotf.org/news/DNS-Amplification-Attacks.pdf; DNS-Recursion Attacks,<br />
inklusive Best Practices für die korrekte Konfiguration von DNS-Servern: www.us-cert.gov/reading_room/DNSrecursion121605.pdf<br />
(beide Stand: 16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
14/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
5.3 Kriminalität<br />
Phishing und Datendiebstahl via Malware: Weitere Zunahme zu erwarten, Einsatz<br />
neuer Te<strong>ch</strong>niken<br />
Wie bereits erwähnt, hat Phishing ni<strong>ch</strong>t nur in der S<strong>ch</strong>weiz (Kapitel 4.1) weiter zugenommen,<br />
sondern au<strong>ch</strong> international. 17<br />
Im Februar wurde ein Phishing-Angriff bekannt, bei dem die Angreifer über ein gültiges SSL-<br />
Zertifikat für die Phishing-URL verfügten. 18 Ende März wurden Informationen über ein trojanis<strong>ch</strong>es<br />
Pferd namens MetaFisher publik. Unter Ausnutzung der Windows Metafile-<br />
Si<strong>ch</strong>erheitslücke wurde beim Besu<strong>ch</strong> speziell präparierter Webseiten diese Malware installiert,<br />
die unter anderem während des Aufrufs gewisser Finanzwebseiten automatis<strong>ch</strong> Tastatureingaben<br />
aufzei<strong>ch</strong>nete. Während viele sol<strong>ch</strong>e versteckte Keylogger im Umlauf sind,<br />
zei<strong>ch</strong>nete si<strong>ch</strong> dieser dur<strong>ch</strong> professionelle Ma<strong>ch</strong>weise aus. 19 Eine weitere entdeckte Malware<br />
war in der Lage, vers<strong>ch</strong>lüsselten Verkehr bereits auf dem infizierten Re<strong>ch</strong>ner (no<strong>ch</strong> vor<br />
der Vers<strong>ch</strong>lüsselung) zu belaus<strong>ch</strong>en und so Transaktionscodes (TANs) abzufangen. Ende<br />
März gelang es einem Angreifer, den DNS-Server des Providers zweier kleiner Banken in<br />
Florida (USA) zu manipulieren, so dass die Besu<strong>ch</strong>er der betroffenen Webseite selbst bei<br />
korrekter manueller Eingabe der Bankadresse direkt auf einer Phishing-Seite landeten.<br />
Im April wurde ein Phishing-Angriff bekannt, bei dem die Bankkunden per Mail aufgefordert<br />
wurden, eine (fals<strong>ch</strong>e) Bankenhotline anzurufen. Wer die Nummer wählte, gelangte auf eine<br />
vom Angreifer programmierte automatis<strong>ch</strong>e Hotline, die professionell wirkte und die Angabe<br />
von PIN-Codes verlangte.<br />
Eine Eins<strong>ch</strong>ätzung von MELANI zum Thema Phishing ist in Kapitel 2.1, eine Prognose auf<br />
die voraussi<strong>ch</strong>tli<strong>ch</strong>e Entwicklung dieser Gefahr im Kapitel 3.1 zu finden. Vorfälle in der<br />
S<strong>ch</strong>weiz sowie die Anwerbung von „Finanzagenten“ werden im Kapitel 4.1 untersu<strong>ch</strong>t, während<br />
in Kapitel 6.3 präventive Massnahmen für Heimanwender erläutert werden. Grundsätzli<strong>ch</strong><br />
ist mit einer Zunahme von Phishing-Attacken zu re<strong>ch</strong>nen.<br />
DDoS-Attacke gegen Antispam-Unternehmen als Indiz für die Ressourcen der<br />
organisierten Kriminalität<br />
Die organisierte Kriminalität verfügt au<strong>ch</strong> im Internet über mä<strong>ch</strong>tige Mittel zur Verfolgung<br />
ihrer Interessen. Im Mai 2006 hatte si<strong>ch</strong> ein massiver DDoS-Angriff gegen ein auf die Bekämpfung<br />
von Spam spezialisiertes israelis<strong>ch</strong>es Unternehmen ereignet, der dieses s<strong>ch</strong>liessli<strong>ch</strong><br />
zur Aufgabe seines Ges<strong>ch</strong>äftes zwang.<br />
17<br />
Siehe http://www.antiphishing.org (Stand: 16.08.2006).<br />
18<br />
Siehe au<strong>ch</strong>: http://isc.sans.org/diary.php?date=2006-02-13 (Stand: 16.08.2006).<br />
19<br />
Siehe dazu: http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=109803<br />
oder http://www.heise.de/newsticker/meldung/71291 (Stand: 16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
15/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Das israelis<strong>ch</strong>e Unternehmen wandte zur Spambekämpfung ebenfalls zweifelhafte Mittel an.<br />
Es bot seinen Kunden die Mögli<strong>ch</strong>keit, si<strong>ch</strong> auf eine „Do Not Intrude List“ eintragen zu lassen.<br />
Na<strong>ch</strong> jeder empfangenen Spam-Mail sandte das Unternehmen im Namen des Abonnenten<br />
eine so genannte Opt Out-Mail an den Betreiber der beworbenen Webseite, was de<br />
facto jedo<strong>ch</strong> ebenfalls als Spam-Mail beurteilt werden kann. Die Opt-Out-Mails trafen offenbar<br />
in sol<strong>ch</strong> grosser Zahl auf diesen Servern ein, dass der Verkauf der mit Spam beworbenen<br />
Produkte beeinträ<strong>ch</strong>tigt worden sein musste.<br />
Am 2. Mai meldete si<strong>ch</strong> ein eins<strong>ch</strong>lägig bekannter, vermutli<strong>ch</strong> der russis<strong>ch</strong>en organisierten<br />
Kriminalität zugehöriger Botnetzbetreiber und Spammer, PharmaMaster, und erklärte dem<br />
Antispam-Unternehmen den Krieg. 20<br />
Mit einer DDoS-Attacke wurden zunä<strong>ch</strong>st die Server der Firma lahm gelegt. Na<strong>ch</strong>dem diese<br />
temporäre Webseiten bei einem externen Provider aufs<strong>ch</strong>altete, wurden au<strong>ch</strong> dessen Kunden<br />
Opfer dieses Angriffes. Zudem wurde der DNS-Provider des Antispam-Unternehmens<br />
ebenfalls angegriffen und dessen Kunden in Mitleidens<strong>ch</strong>aft gezogen, bis dieser s<strong>ch</strong>liessli<strong>ch</strong><br />
die DNS-Einträge des Unternehmens lös<strong>ch</strong>te. Das israelis<strong>ch</strong>e Unternehmen beauftragte<br />
daraufhin eine amerikanis<strong>ch</strong>e, auf DDoS-Abwehr spezialisierte Firma mit der Verteidigung.<br />
Do<strong>ch</strong> au<strong>ch</strong> diese konnte den massiven DDoS-Angriff, der si<strong>ch</strong> ebenfalls auf weitere seiner<br />
Kunden ausweitete, ni<strong>ch</strong>t abwehren. Die israelis<strong>ch</strong>e Antispam-Firma war s<strong>ch</strong>liessli<strong>ch</strong> gezwungen,<br />
si<strong>ch</strong> den Angreifern zu beugen und zog si<strong>ch</strong> aus dem Antispam-Ges<strong>ch</strong>äft zurück. 21<br />
Dieser Vorfall illustriert, über wel<strong>ch</strong>e Ressourcen die organisierte Kriminalität inzwis<strong>ch</strong>en<br />
verfügt. Selbst auf die Verteidigung von DDoS-Attacken spezialisierte Firmen sind mitunter<br />
ma<strong>ch</strong>tlos gegen einen sol<strong>ch</strong>en Angriff.<br />
Es ist jedo<strong>ch</strong> festzuhalten, dass das Anti-Spam-Unternehmen seinerseits dubiose Te<strong>ch</strong>niken<br />
einsetzte.<br />
5.4 Terrorismus<br />
England: Extremisierung und Ausbildung via Internet – London-Attentäter waren<br />
eigenständige Amateure<br />
Die Terrorismuseins<strong>ch</strong>ätzung im letzten <strong>Halbjahresberi<strong>ch</strong>t</strong> (Kapitel 5.4) kam zum S<strong>ch</strong>luss,<br />
dass Cyberterrorismus (Internet / Informations- und Kommunikationste<strong>ch</strong>nologie IKT als Ziel)<br />
derzeit eher unwahrs<strong>ch</strong>einli<strong>ch</strong> ist, dafür Terroristen das Internet als Mittel zur Ideologisierung,<br />
Finanzbes<strong>ch</strong>affung, Propaganda und Kommunikation nutzen. Wie der offizielle Untersu<strong>ch</strong>ungsberi<strong>ch</strong>t<br />
des britis<strong>ch</strong>en Innenministeriums zu den Londoner Attentaten vom 7. Juli<br />
2005 nun zeigt, erfolgten Ausbildung und Ideologisierung der Terroristen über das Internet. 22<br />
20<br />
Siehe au<strong>ch</strong>: Washington Post: Security Fix – Brian Krebs on Computer and Internet Security, 17. Mai 2006:<br />
Spam Fighter Calls It Quits<br />
(http://blog.washingtonpost.com/securityfix/2006/05/legal_antispam_vigilante_compa.html, Stand: 14.07.2006).<br />
21<br />
Siehe au<strong>ch</strong>: Die Zeit, 18.5.2006: Die Herren der Cyber-Zombies (http://www.zeit.de/2006/21/Spam_xml (Stand:<br />
14.08.2006).<br />
22<br />
Zu finden unter: http://www.homeoffice.gov.uk/documents/7-july-report.pdf?view=Binary#sear<strong>ch</strong> (Stand:<br />
16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
16/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Der Terrorplot war simpel gestrickt und die eingesetzten Bomben einfa<strong>ch</strong> konstruierbar und<br />
günstig. Die Attentäter standen ausserdem ni<strong>ch</strong>t in Verbindung mit Bin Ladens Terrornetzwerk<br />
Al Qaida, obwohl der Anführer der Gruppe mehrmals na<strong>ch</strong> Pakistan gereist war. Seine<br />
Besu<strong>ch</strong>e dienten jedo<strong>ch</strong> nur der zusätzli<strong>ch</strong>en Ideologisierung und ni<strong>ch</strong>t der Planung von Attentaten.<br />
Das na<strong>ch</strong> den Ans<strong>ch</strong>lägen aufgetau<strong>ch</strong>te Bekennervideo, das den Anführer der Terrorzelle<br />
zusammen mit Bin Ladens Stellvertreter Ayman al-Zawahiri zeigt, ist offenbar erst im<br />
Na<strong>ch</strong>hinein entstanden, um eine Urhebers<strong>ch</strong>aft von Al Qaida zu suggerieren. Die innerhalb<br />
weniger Monate radikalisierten Männer nutzten das Internet zur weiteren Ideologisierung und<br />
vor allem zur Ausbildung, was offenbar für Attentate ausrei<strong>ch</strong>te – in einem terroristis<strong>ch</strong>en<br />
23<br />
Ausbildungscamp war keiner von ihnen gewesen.<br />
Diese Art von Terrorismus stellt Strafverfolgungsbehörden und Na<strong>ch</strong>ri<strong>ch</strong>tendienste vor Probleme:<br />
Potenzielle Attentäter sind ni<strong>ch</strong>t mehr nur unter hinlängli<strong>ch</strong> bekannten Personengruppen<br />
zu su<strong>ch</strong>en, sondern offensi<strong>ch</strong>tli<strong>ch</strong> neu au<strong>ch</strong> unter Staatsbürgern, die in zweiter oder dritter<br />
Generation im Westen leben. Die Überwa<strong>ch</strong>ung der Kommunikation via Internet wiederum<br />
ist glei<strong>ch</strong>zeitig ni<strong>ch</strong>t nur te<strong>ch</strong>nis<strong>ch</strong>, sondern au<strong>ch</strong> juristis<strong>ch</strong> und gesells<strong>ch</strong>aftspolitis<strong>ch</strong> eine<br />
grosse Herausforderung. Als zusätzli<strong>ch</strong>es Problem ist zu bea<strong>ch</strong>ten, dass au<strong>ch</strong> sol<strong>ch</strong>e Überwa<strong>ch</strong>ungsme<strong>ch</strong>anismen<br />
unterwandert werden können und dass dieses Know-how mit grosser<br />
Wahrs<strong>ch</strong>einli<strong>ch</strong>keit bald au<strong>ch</strong> von terroristis<strong>ch</strong>en Gruppen genutzt werden wird. Ni<strong>ch</strong>ts<br />
desto trotz würde jedo<strong>ch</strong> die Kontrolle bekannter islamistis<strong>ch</strong>er Webseiten und Foren einen<br />
na<strong>ch</strong>ri<strong>ch</strong>tendienstli<strong>ch</strong>en Gewinn bedeuten.<br />
Glei<strong>ch</strong>zeitig wird inzwis<strong>ch</strong>en au<strong>ch</strong> in der S<strong>ch</strong>weiz die allgemeine Terrorgefahr dur<strong>ch</strong> militante<br />
Islamisten als dur<strong>ch</strong>aus existent betra<strong>ch</strong>tet. Au<strong>ch</strong> hierzulande leben radikalisierte Gruppen,<br />
die das Internet benutzen und theoretis<strong>ch</strong> jederzeit aktiv werden könnten. 24 Ni<strong>ch</strong>t nur im EU-<br />
Raum, sondern au<strong>ch</strong> in der S<strong>ch</strong>weiz wird über eine Ausweitung der Internetüberwa<strong>ch</strong>ung<br />
debattiert. Das neue Bundesgesetz zur Wahrung der Inneren Si<strong>ch</strong>erheit (BWIS II), das präventiven<br />
Staatss<strong>ch</strong>ützern zusätzli<strong>ch</strong>e Überwa<strong>ch</strong>ungskompetenzen einräumen soll, befindet<br />
si<strong>ch</strong> in der Vernehmlassung. 25 Unter anderem ist au<strong>ch</strong> das präventive Eindringen in verdä<strong>ch</strong>tige<br />
Computersysteme zur Informationsbes<strong>ch</strong>affung vorgesehen. Beispielsweise bestünde<br />
so künftig unter strengen Voraussetzungen und unter strikter ri<strong>ch</strong>terli<strong>ch</strong>er Kontrolle die Mögli<strong>ch</strong>keit,<br />
zur Erkennung und zur Abwehr einer konkreten Gefahr für die innere oder äussere<br />
Si<strong>ch</strong>erheit au<strong>ch</strong> passwortges<strong>ch</strong>ützte Webseiten zu überwa<strong>ch</strong>en. Diese geplante neue Kompetenz<br />
bes<strong>ch</strong>ränkt si<strong>ch</strong> gemäss bundesrätli<strong>ch</strong>em Entwurf zur Revision des Bundesgesetzes<br />
über Massnahmen zur Wahrung der inneren Si<strong>ch</strong>erheit (BWIS II) auss<strong>ch</strong>liessli<strong>ch</strong> auf die Bekämpfung<br />
von Terrorismus, von verbotenem politis<strong>ch</strong>en oder militäris<strong>ch</strong>en Na<strong>ch</strong>ri<strong>ch</strong>tendienst<br />
und von verbotenem Handel mit Waffen, radioaktiven Materialen sowie verbotenem Te<strong>ch</strong>nologietransfer.<br />
23<br />
Siehe dazu: http://observer.guardian.co.uk/uk_news/story/0,,1750139,00.html<br />
sowie http://www.telepolis.de/r4/artikel/20/20538/1.html (beide Stand: 24.08.2006).<br />
24<br />
Siehe die entspre<strong>ch</strong>enden Abs<strong>ch</strong>nitte zum Thema Terrorismus im „Beri<strong>ch</strong>t zur Inneren Si<strong>ch</strong>erheit S<strong>ch</strong>weiz<br />
2005“ des Bundesamtes für Polizei:<br />
http://www.fedpol.<strong>admin</strong>.<strong>ch</strong>/etc/medialib/data/si<strong>ch</strong>erheit/beri<strong>ch</strong>t_innere_si<strong>ch</strong>erheit.Par.0038.File.tmp/BISS_2005_<br />
d.pdf (Stand: 16.08.2006).<br />
25<br />
Mehr Informationen unter: http://www.<strong>admin</strong>.<strong>ch</strong>/<strong>ch</strong>/d/gg/pc/pendent.html#<strong>EJPD</strong> (Stand: 16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
17/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Dänemark / Frankrei<strong>ch</strong>: Attacken auf Webserver wegen Mohammed-<br />
Karikaturen<br />
Der Protest der islamis<strong>ch</strong>en Welt gegen die von der dänis<strong>ch</strong>en Zeitung Jyllands-Posten publizierten<br />
Mohammed-Karikaturen äusserte si<strong>ch</strong> Anfang Jahr au<strong>ch</strong> massiv im Internet. Hunderte<br />
dänis<strong>ch</strong>er und anderer westeuropäis<strong>ch</strong>er Webseiten wurden angegriffen. 26<br />
Anfang Februar wurden dänis<strong>ch</strong>e Webseiten entweder mit Distributed-Denial-of-Service-<br />
Attacken (DDoS) lahm gelegt oder aber mit politis<strong>ch</strong>en, teils au<strong>ch</strong> militanten Bots<strong>ch</strong>aften<br />
verunstaltet (Defacements). In anderen Staaten, in denen die Karikaturen teils na<strong>ch</strong>gedruckt<br />
worden waren, konnten Zeitungsportale ni<strong>ch</strong>t mehr errei<strong>ch</strong>t werden. France Soir war Anfang<br />
Februar offline, in Deuts<strong>ch</strong>land wurde der Webserver des Internet-Portals Hagalil (ein deuts<strong>ch</strong>es<br />
Portal zu jüdis<strong>ch</strong>en Themen, dem nahen Osten und gegen Rassismus und Antisemitismus)<br />
von Angreifern gar vollständig gelös<strong>ch</strong>t.<br />
Homepage-Defacements zwecks politis<strong>ch</strong>er Kommunikation oder DDoS-Angriffe zwecks<br />
Einflussnahme sind ni<strong>ch</strong>ts Neues. Bisherige koordinierte Internetproteste (beispielsweise<br />
na<strong>ch</strong> der Irak-Invasion 2003 oder na<strong>ch</strong> dem Abs<strong>ch</strong>uss eines amerikanis<strong>ch</strong>en Spionageflugzeugs<br />
über China) errei<strong>ch</strong>ten jedo<strong>ch</strong> niemals dieses Ausmass. Ni<strong>ch</strong>t zuletzt ist dies au<strong>ch</strong> ein<br />
Hinweis darauf, dass extremistis<strong>ch</strong>e Gruppen jegli<strong>ch</strong>er Art immer qualifizierter im Umgang<br />
mit Informations- und Kommunikationste<strong>ch</strong>nologien werden (siehe die Terrorismuseins<strong>ch</strong>ätzung<br />
im letzten <strong>Halbjahresberi<strong>ch</strong>t</strong>, Kapitel 5.4).<br />
Na<strong>ch</strong> Eins<strong>ch</strong>ätzung von MELANI werden Defacements weiter zunehmen und insbesondere<br />
na<strong>ch</strong> politis<strong>ch</strong>en Ereignissen au<strong>ch</strong> organisiert dur<strong>ch</strong>geführt werden. Je koordinierter eine<br />
Aktion abläuft, desto grösser wird ihre politis<strong>ch</strong>e Kommunikationskraft. Na<strong>ch</strong> Eins<strong>ch</strong>ätzung<br />
von MELANI droht diese Art von Angriffen ni<strong>ch</strong>t nur Medien, sondern könnte au<strong>ch</strong> Webserver<br />
von Regierungen treffen oder sol<strong>ch</strong>e von Organisationen oder Unternehmen, wel<strong>ch</strong>e in<br />
den betroffenen Gebieten tätig sind. Ressourcen mit Anleitungen, Analysen und Empfehlungen<br />
zur Bekämpfung dieser Art Angriffe sind in der Fussnote zu finden. 27<br />
6 Prävention<br />
6.1 Software<br />
Wireless LANs: Verbesserung des Si<strong>ch</strong>erheitsbewusstseins, Handlungsbedarf<br />
aber na<strong>ch</strong> wie vor gegeben<br />
In einem Beri<strong>ch</strong>t der S<strong>ch</strong>weizer Monatszeits<strong>ch</strong>rift IT-Security 28 wurden 474 Funknetzwerke<br />
untersu<strong>ch</strong>t. 11% davon waren (öffentli<strong>ch</strong>e) Hotspots, 22% unvers<strong>ch</strong>lüsselt sowie 67% vers<strong>ch</strong>lüsselt.<br />
Dabei hielten si<strong>ch</strong> WEP und WPA in etwa die Waage, wobei erfreuli<strong>ch</strong>erweise<br />
26<br />
Siehe: http://www.networkworld.com/news/2006/020806-cartoon-web-hacks.htm und http://zone-h.org (Beide<br />
Stand: 16.08.2006).<br />
27<br />
Übersi<strong>ch</strong>t über Gefahren, White-Papers und Artikel: http://www.acunetix.com/Websitesecurity/. Das NISCC hat<br />
ausserdem eine Studie zum Thema Web-Application-Security publiziert:<br />
http://www.niscc.gov.uk/niscc/docs/secureWebApps.pdf (Beide Stand: 16.08.2006).<br />
28<br />
IT-Security, Ausgabe 2/2006, Seite 40.<br />
18/32<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Geräte mit der si<strong>ch</strong>ereren WPA-Vers<strong>ch</strong>lüsselung überwogen. Diese ni<strong>ch</strong>t repräsentativen<br />
Zahlen sind das Ergebnis eines Feldversu<strong>ch</strong>es in der Stadt Züri<strong>ch</strong>. Dies ist eine erfreuli<strong>ch</strong>e<br />
Verbesserung, da laut IT-Security vor zwei Jahren no<strong>ch</strong> bis zu 40% der Netze ohne Verwendung<br />
von Vers<strong>ch</strong>lüsselung betrieben wurden. Die Aufklärung der Bevölkerung über vers<strong>ch</strong>iedene<br />
Kanäle s<strong>ch</strong>eint erfolgrei<strong>ch</strong> zu sein.<br />
Neben präventiven Sensibilisierungsbemühungen muss au<strong>ch</strong> te<strong>ch</strong>nis<strong>ch</strong> die Einri<strong>ch</strong>tung der<br />
Vers<strong>ch</strong>lüsselung stetig vereinfa<strong>ch</strong>t werden.<br />
Windows Vista und One Care Live<br />
Für Windows Vista plant Microsoft neue Si<strong>ch</strong>erheitselemente zu implementieren. Zum Beispiel<br />
werden sämtli<strong>ch</strong>e Programme mit Benutzer-Re<strong>ch</strong>ten laufen, au<strong>ch</strong> wenn der momentane<br />
User über Administratorenre<strong>ch</strong>te verfügt (User Account Control). Sollten Administrationsre<strong>ch</strong>te<br />
nötig sein, öffnet si<strong>ch</strong> ein Bestätigungsfenster, in dem der Anwender die Re<strong>ch</strong>teeskalation<br />
mit einem Mausklick bestätigen muss. Die Frage, ob der Benutzer dann ni<strong>ch</strong>t do<strong>ch</strong><br />
sorglos auf das OK-Feld klickt, bleibt offen. Ausserdem kann gewisse Malware au<strong>ch</strong> unter<br />
einges<strong>ch</strong>ränkten Re<strong>ch</strong>ten aktiv werden, beispielsweise zwecks Datendiebstahls.<br />
Na<strong>ch</strong>dem Microsoft vor zwei Jahren die Antiviren-Software GeCad gekauft hat, veröffentli<strong>ch</strong>t<br />
das Softwareunternehmen nun die Antiviren-Software „Windows One Care Live“. Die endgültige<br />
Version ist ni<strong>ch</strong>t mehr kostenfrei. Diese kombiniert Anti-Spyware- mit Antiviren-Software<br />
und beinhaltet eine Firewall. Die Software ist Teil des neuen Internetauftritts „Live“, 29 mit dem<br />
der Computer via Internet Explorer auf mögli<strong>ch</strong>e S<strong>ch</strong>ädlinge oder S<strong>ch</strong>wa<strong>ch</strong>stellen überprüft<br />
werden kann.<br />
6.2 Hardware<br />
Hardware-Lösung gegen S<strong>ch</strong>adprogramme (Intel)<br />
Intel entwickelt eine Hardware-Lösung zur automatis<strong>ch</strong>en Erkennung s<strong>ch</strong>ädli<strong>ch</strong>er Prozesse<br />
in Computersystemen. Bereits im Herbst 2002 hatte Intel Grundzüge dieser Si<strong>ch</strong>erheitste<strong>ch</strong>nik<br />
„LaGrande Te<strong>ch</strong>nology“ (LT) vorgestellt. Intel hat nun die vorläufigen Spezifikationen veröffentli<strong>ch</strong>t,<br />
die ein Hauptelement von Intels „Safer Computing Initiative" sein sollen. Erste<br />
Produkte werden ni<strong>ch</strong>t vor 2008 auf dem Markt ers<strong>ch</strong>einen. 30<br />
Bereits heute existiert eine von der Trusted Computing Group (TCG) definierte Si<strong>ch</strong>erheitslösung,<br />
die in der Hardware verankert ist. Die TCG, zu der Firmen wie AMD, HP, Intel, Microsoft<br />
und Sun gehören, definiert die Spezifikationen dieses Bausteins, des so genannten<br />
„Trusted Platform Module“ (TPM), auf dem dieses Si<strong>ch</strong>erheitskonzept aufbaut. Eine wa<strong>ch</strong>sende<br />
Zahl an tragbaren Computern und Mainboards wird mit diesem TPM ausgeliefert, darunter<br />
fallen die Notebooks von Lenovo (ex-IBM) und die Intel-Macs von Apple. Die Universi-<br />
29<br />
http://www.live.com (Stand: 8.2.2006). Die Si<strong>ch</strong>erheitsfunktionen von „Live“ sind zu finden unter:<br />
http://safety.live.com/site/de-<strong>ch</strong>/default.htm (Stand: 5.9.2006).<br />
30<br />
http://www.intel.com/te<strong>ch</strong>nology/security (Stand: 5.9.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
19/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
tät Bo<strong>ch</strong>um hat die Funktionalität und Zuverlässigkeit sowie Si<strong>ch</strong>erheit und Performance der<br />
neuen TPM- Module getestet. Obs<strong>ch</strong>on die Tests no<strong>ch</strong> ni<strong>ch</strong>t abges<strong>ch</strong>lossen sind, wurde<br />
festgestellt, dass gewisse Chips den Anforderungen ni<strong>ch</strong>t genügen und beispielsweise gegen<br />
Wörterbu<strong>ch</strong>angriffe anfällig sind.<br />
6.3 Diverses<br />
Massnahmen gegen Phishing<br />
Au<strong>ch</strong> im ersten Halbjahr wurde einiges unternommen, um die Verbrau<strong>ch</strong>er vor Phishing-<br />
Attacken zu s<strong>ch</strong>ützen. Dabei stehen te<strong>ch</strong>nis<strong>ch</strong>e und polizeili<strong>ch</strong>e Massnahmen sowie mehrere<br />
präventive Informationsoffensiven im Vordergrund. Beispielsweise wird die kommende<br />
Version 2.0 des Webbrowsers Firefox eine Erweiterung enthalten, die Phishing-Seiten erkennen<br />
und vor ihnen warnen soll. Dafür hat das Firefox-Entwicklungsteam Googles Firefox-<br />
Erweiterung „Safe Browsing“ in den Quellbaum des Browsers integriert. Dabei werden die<br />
angesurften URLs mit einer Blacklist abgegli<strong>ch</strong>en. Jede Adresse wird vers<strong>ch</strong>lüsselt an einen<br />
Google-Prüfserver gesendet. Google selbst betont, dass die Daten ohne persönli<strong>ch</strong>e Informationen<br />
gespei<strong>ch</strong>ert würden. Die Google Firefox-Erweiterung „Safe Browsing“ kann s<strong>ch</strong>on<br />
jetzt über die „Google Toolbar Beta“ in die aktuelle Firefox-Version 1.5 geladen werden. 31<br />
Au<strong>ch</strong> der Internet Explorer 7 wird eine sol<strong>ch</strong>e Erweiterung für einen Phishing-S<strong>ch</strong>utz enthalten.<br />
Microsoft hat dazu eine „Weisse Liste“ mit etwa 100.000 häufig besu<strong>ch</strong>ten und vertrauenswürdigen<br />
Internet-Domains in den Internet Explorer 7 integriert. Darin sollen 90% der<br />
meist angesurften Seiten enthalten sein. Sobald nun eine Adresse aufgerufen wird, die si<strong>ch</strong><br />
ni<strong>ch</strong>t in dieser Liste befindet, s<strong>ch</strong>ickt der Browser eine Anfrage an einen Microsoft-Server.<br />
Dort wird überprüft, ob die Adresse auf einer „S<strong>ch</strong>warzen Liste" mit bekannten Phishing-Sites<br />
steht. Au<strong>ch</strong> hier können verdä<strong>ch</strong>tige Webseiten mit einem Klick gemeldet werden, die dann<br />
von Microsoft überprüft werden. Dabei wird ents<strong>ch</strong>eidend sein, wie lange es geht, bis eine<br />
Phishingseite in dieses Verzei<strong>ch</strong>nis aufgenommen wird.<br />
Eine weitere Massnahme im Internet Explorer 7, die dazu dient, Phishingversu<strong>ch</strong>e lei<strong>ch</strong>ter zu<br />
erkennen, besteht darin, dass bei jeder Seite, sei es au<strong>ch</strong> nur ein Popup-Fenster, die Webadresse<br />
zwingend eingeblendet wird. Damit werden die Versu<strong>ch</strong>e, die Originalseite im Hintergrund<br />
und die gefäls<strong>ch</strong>te Seite im Vordergrund zu laden, minimiert. Die fals<strong>ch</strong>e Seite<br />
muss allerdings immer no<strong>ch</strong> dur<strong>ch</strong> den Benutzer erkannt werden.<br />
Die s<strong>ch</strong>on seit längerem verfügbare Netcraft-Toolbar beruht ebenfalls auf dem Prinzip der<br />
Kontaktaufnahme mit einem Server, der eine Datenbank mit potenziellen Phishing-Seiten<br />
enthält. Die Netcraft-Toolbar funktionierte gemäss der Erfahrung von MELANI in fast allen<br />
Fällen re<strong>ch</strong>t zuverlässig. Au<strong>ch</strong> hier kann dur<strong>ch</strong> einen einfa<strong>ch</strong>en Klick dem Hersteller eine<br />
Phishing-Seite übermittelt werden. Zudem zeigt die Netcraft-Toolbar an, seit wann die besu<strong>ch</strong>te<br />
Homepage existiert. Handelt es si<strong>ch</strong> angebli<strong>ch</strong> um die Homepage eines grösseren<br />
Finanzinstituts und zeigt die Netcraft-Toolbar denno<strong>ch</strong> ein junges Alter der Homepage an,<br />
handelt es si<strong>ch</strong> mit grösster Wahrs<strong>ch</strong>einli<strong>ch</strong>keit um eine Phishing-Seite. Ein weiteres Tool ist<br />
der von McAfee vertriebene „SiteAdvisor“. Gemäss den Angaben von SiteAdvisor sollen 95%<br />
der „am häufigsten benutzten“ Webseiten überprüft und einges<strong>ch</strong>ätzt worden sein. Gerade<br />
31 Toolbar verfügbar unter: http://www.toolbar.google.com/T4/intl/de/index.html (Stand: 05.09.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
20/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
aber bei Phishing-Seiten, die sehr kurzfristig ins Netz gestellt werden, ist eine vorhergehende<br />
32<br />
Überprüfung praktis<strong>ch</strong> unmögli<strong>ch</strong>.<br />
Au<strong>ch</strong> auf Strafverfolgungsebene wurden weitere S<strong>ch</strong>ritte unternommen, um gegen das Phishing<br />
effizient vorzugehen. So haben die internationale Polizeiorganisation Interpol und der<br />
Softwarehersteller Microsoft eine breit angelegte Initiative gegen das Phishing gestartet. Ziel<br />
ist es, im ersten halben Jahr in mehr als 100 Fällen gegen mutmassli<strong>ch</strong>e Cyber-Kriminelle in<br />
Europa vorzugehen. Neben der zivil- und strafre<strong>ch</strong>tli<strong>ch</strong>en Verfolgung setzen Microsoft und<br />
die Internetprovider vor allem au<strong>ch</strong> auf stärkere Kontrolle bei der Registrierung neuer Domains.<br />
Damit sollen Webseiten, die einen ähnli<strong>ch</strong>en Namen wie das legale Originalangebot<br />
haben, re<strong>ch</strong>tzeitig entdeckt werden.<br />
MELANI nimmt Phishing-Meldungen aus der Bevölkerung via des Meldeformulars auf der<br />
MELANI-Homepage dankbar entgegen.<br />
Bei all der Hilfe, wel<strong>ch</strong>e sol<strong>ch</strong>e präventiven Toolbar-Programme bieten, bergen sie aber au<strong>ch</strong><br />
die Gefahr, dass die Benutzer blindlings sol<strong>ch</strong>en Tools vertrauen. Gerade wenn eine Phishing-Seite<br />
fals<strong>ch</strong> einges<strong>ch</strong>ätzt und als vertrauenswürdig taxiert wird, ist die Gefahr gross,<br />
dass die Daten trotzdem eingegeben werden. Eine sol<strong>ch</strong>e Entwicklung wäre kontraproduktiv.<br />
Deshalb dürfen neben der Aufrüstung der Te<strong>ch</strong>nik die Prävention und die Aufklärung ni<strong>ch</strong>t in<br />
den Hintergrund geraten.<br />
Eine Eins<strong>ch</strong>ätzung zur Bedrohungslage dur<strong>ch</strong> Phishing und die weitere Entwicklung der Bedrohung<br />
ist in den Kapiteln 2.1 und 3.1 zu finden; Kapitel 4.1 und 5.3 führen Beispiele auf.<br />
Swiss Security Day, Safer Internet Day<br />
Mit diversen internationalen und nationalen Si<strong>ch</strong>erheitsveranstaltungen wird vermehrt auf die<br />
Si<strong>ch</strong>erheit des eigenen Computers aufmerksam gema<strong>ch</strong>t. In der S<strong>ch</strong>weiz fand beispielsweise<br />
am 18. Mai 2006 der „Swiss Security Day” 33 statt. Das Projekt wird dur<strong>ch</strong> vers<strong>ch</strong>iedene<br />
Partner aus der Privatwirts<strong>ch</strong>aft, der Lehre und der Bundesverwaltung getragen und vom<br />
Verein Infosurance koordiniert. 34 Mit dabei war das Informatikstrategieorgan des Bundes<br />
(ISB), wel<strong>ch</strong>es au<strong>ch</strong> für die strategis<strong>ch</strong>e Führung von MELANI verantwortli<strong>ch</strong> ist. Am „Swiss<br />
Security Day“ wurden von den Partnern vers<strong>ch</strong>iedene Aktionen dur<strong>ch</strong>geführt. Diese gingen<br />
von der Verteilung von Informationsbros<strong>ch</strong>üren an die Mitarbeiter über Online-<br />
Si<strong>ch</strong>erheits<strong>ch</strong>ecks des Computers bis hin zu Awareness-Kampagnen. Laut den Organisatoren<br />
wurden in der gesamten S<strong>ch</strong>weiz über 250'000 Personen errei<strong>ch</strong>t. Der Anlass soll im<br />
nä<strong>ch</strong>sten Jahr wiederholt werden. Bei den Aktionen standen Kinder und Jugendli<strong>ch</strong>e besonders<br />
im Mittelpunkt, da gerade diese dur<strong>ch</strong> ihre Unerfahrenheit und Sorglosigkeit gefährdet<br />
sind. Deshalb wurden S<strong>ch</strong>ullektionen zum Thema „Si<strong>ch</strong>eres Verhalten im Internet“ an<br />
S<strong>ch</strong>weizer Primars<strong>ch</strong>ulen gehalten. Zudem wurden die Eltern dur<strong>ch</strong> die Dur<strong>ch</strong>führung von<br />
Elterninformationsabenden miteinbezogen. 35<br />
Au<strong>ch</strong> der am 7. Februar 2006 zum dritten Mal dur<strong>ch</strong>geführte „Safer Internet Day“ 36 hatte neben<br />
vielen anderen Aktionen Kinder und Jugendli<strong>ch</strong>e im Fokus. Er sollte vor allem darauf<br />
aufmerksam ma<strong>ch</strong>en, wel<strong>ch</strong>en Gefahren Kinder und Jugendli<strong>ch</strong>e im Internet ausgesetzt sein<br />
32<br />
Zu finden unter: http://toolbar.netcraft.com und http://www.siteadvisor.com (Beide Stand: 05.09.2006).<br />
33<br />
http://www.swisssecurityday.<strong>ch</strong> (Stand: 05.09.2006).<br />
34<br />
http://www.infosurance.<strong>ch</strong> (Stand: 05.09.2006).<br />
35<br />
Siehe für mehr Informationen: http://www.security4kids.<strong>ch</strong> (Stand: 05.09.2006).<br />
36 http://www.saferinternet.org (Stand: 05.09.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
21/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
können. Problematis<strong>ch</strong> ist hierbei vor allem, dass rund die Hälfte der Eltern ihre Kinder surfen<br />
lassen, ohne sie auf die dabei drohenden Gefahren sensibilisiert zu haben. Eltern sollten<br />
si<strong>ch</strong> aktiv für den Internetkonsum ihrer Kinder interessieren und daran teilnehmen. Ein wi<strong>ch</strong>tiger<br />
Teil sollte die Medienaufklärung sein. So wurde im Frühjahr 2005 die EU-Plattform<br />
klicksafe.de gegründet. Neben Werbung im Fernsehen wird au<strong>ch</strong> auf das Medium Blog gesetzt.<br />
Deuts<strong>ch</strong>land: Bürger-CERT geht online<br />
Am 2. März ging das Bürger-CERT in Deuts<strong>ch</strong>land online. Das Bürger-Cert ist ein gemeinsames<br />
Projekt des Bundesamtes für Si<strong>ch</strong>erheit in der Informationste<strong>ch</strong>nik (BSI) und der<br />
BITKOM-To<strong>ch</strong>tergesells<strong>ch</strong>aft MCert Deuts<strong>ch</strong>e Gesells<strong>ch</strong>aft für IT Si<strong>ch</strong>erheit. Das Portal ist<br />
kostenfrei. Bürger und kleine Unternehmen können si<strong>ch</strong> per E-Mail über Si<strong>ch</strong>erheitslücken<br />
im Internet informieren und warnen lassen. Das Portal bietet drei unters<strong>ch</strong>iedli<strong>ch</strong>e Warndienste<br />
per E-Mail-Abonnement an. Die drei Warndienste sind so konzipiert, dass diese jeweils<br />
gezielt die entspre<strong>ch</strong>enden Interessengruppen anspre<strong>ch</strong>en. Es handelt si<strong>ch</strong> dabei um<br />
te<strong>ch</strong>nis<strong>ch</strong>e Warnungen, um den Newsletter „Si<strong>ch</strong>er – Informiert“ und um die Extraausgabe<br />
von „Si<strong>ch</strong>er – informiert“. Zusätzli<strong>ch</strong> finden si<strong>ch</strong> auf dieser Seite viele nützli<strong>ch</strong>e Informationen<br />
zum S<strong>ch</strong>utz des eigenen Computers sowie ein Glossar.<br />
Analog dazu publiziert au<strong>ch</strong> MELANI seit Dezember 2004 Informationen zu aktuellen Si<strong>ch</strong>erheitsfragen.<br />
Bei der Auswahl der Meldungen bes<strong>ch</strong>ränkt si<strong>ch</strong> MELANI auf ein Minimum. Es<br />
wird davon ausgegangen, dass die Massnahmen des Grunds<strong>ch</strong>utzes befolgt werden. Aus<br />
diesem Grund wird auf der Webseite und via Newsletter nur dann über Gefahren und Risiken<br />
informiert, wenn die zu ergreifenden Massnahmen über den Grunds<strong>ch</strong>utz hinausgehen. Damit<br />
kann die Anzahl der Meldungen auf das absolut notwendige Minimum (ca. zwei bis drei<br />
pro Monat) bes<strong>ch</strong>ränkt werden. Si<strong>ch</strong>erheitsinformationen zu Handen der Bevölkerung und<br />
einfa<strong>ch</strong>e Tipps, wie Si<strong>ch</strong>erheitsprobleme gelöst werden können, sind einer der wi<strong>ch</strong>tigen<br />
Eckpfeiler im Kampf gegen Botnetze, Malware und Phishing.<br />
Allgemeine Massnahmen gegen andere aktuelle Gefahren<br />
Dieser Teil zählt präventive Massnahmen auf, mit denen die aktuellen Gefahren und Risiken<br />
(siehe Kapitel 2) gemindert werden können (für Phishing siehe eigenen Abs<strong>ch</strong>nitt weiter<br />
oben). Sie stellen eine Zusammenfassung der wi<strong>ch</strong>tigsten Punkte aus den MELANI Grunds<strong>ch</strong>utzempfehlungen<br />
dar.<br />
Heimanwender<br />
Neben der Si<strong>ch</strong>erstellung und Überprüfung eines laufenden Backups, der laufenden Aufdatierung<br />
von Betriebssystem und Applikationen sowie dem Einsatz aktueller Antiviren- und<br />
Antispyware-Software, sollte au<strong>ch</strong> darauf gea<strong>ch</strong>tet werden, was für Homepages besu<strong>ch</strong>t<br />
werden und von wo Software aus dem Internet heruntergeladen wird. Au<strong>ch</strong> wenn die Gefahr<br />
von klassis<strong>ch</strong>en Würmern und Viren per Massenmail laufend abnimmt, sollten unaufgefordert<br />
erhaltene E-Mail-Atta<strong>ch</strong>ments äusserst vorsi<strong>ch</strong>tig behandelt werden – selbst wenn sie<br />
(angebli<strong>ch</strong>) von einer bekannten Person stammen.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
22/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Firmen<br />
Zusätzli<strong>ch</strong> zu den S<strong>ch</strong>utzmassnahmen für Privatanwender sollten Unternehmen S<strong>ch</strong>utzkonzepte<br />
für Daten auf mobilen Geräten erarbeiten und dur<strong>ch</strong>setzen (Vers<strong>ch</strong>lüsselung, Überprüfung<br />
der Geräte auf Updates und S<strong>ch</strong>utzprogramme vor dem Ans<strong>ch</strong>luss ans Firmennetzwerk).<br />
Die Gefahren gezielt eingesetzter Malware lassen si<strong>ch</strong> jedo<strong>ch</strong> ni<strong>ch</strong>t alleine mit te<strong>ch</strong>nis<strong>ch</strong>en<br />
Massnahmen lösen. Nötig für eine erfolgrei<strong>ch</strong>e Prävention ist die Erstellung einer firmenweit<br />
gültigen IT-Si<strong>ch</strong>erheitspolitik, die die firmenspezifis<strong>ch</strong>en Anforderungen an die IT-Si<strong>ch</strong>erheit<br />
festlegt und für alle MitarbeiterInnen verbindli<strong>ch</strong> ma<strong>ch</strong>t. Firmen aller Grössen sollten regelmässige<br />
S<strong>ch</strong>ulungs- und Sensibilisierungs-Kampagnen dur<strong>ch</strong>führen. Neben einer Sensibilisierung<br />
auf die Gefahren dur<strong>ch</strong> Surfen, E-Mail und Datenverlust dur<strong>ch</strong> mobile Geräte sollte<br />
au<strong>ch</strong> eine zuvor klar definierte Politik für den Umgang mit mobilen Spei<strong>ch</strong>ermedien (USB-<br />
Sticks, CD-ROMs etc.) kommuniziert und dur<strong>ch</strong>gesetzt werden. Besonders wi<strong>ch</strong>tig: In ein<br />
sol<strong>ch</strong>es Sensibilisierungskonzept sollten au<strong>ch</strong> höhere Kader sowie Geheimnisträger im Unternehmen<br />
integriert werden – meistens sind sie es, die mit sol<strong>ch</strong> gezielten Angriffen konfrontiert<br />
werden. 37<br />
7 Aktivitäten / Informationen<br />
7.1 Staatli<strong>ch</strong><br />
UNO legt globale Anti-Terror-Strategie vor und fokussiert dabei auf das Internet<br />
Anfang Mai legte der UNO-Generalsekretär Kofi Annan die UNO-Strategie „Uniting against<br />
terrorism: recommendations for a global counter-terrorism strategy“ vor und rief darin zu einem<br />
vereinten Kampf gegen den Terrorismus auf. 38 Darin fokussiert er auf die Frage, inwiefern<br />
das Internet als Ressource für Terroristen überwa<strong>ch</strong>t werden sollte und ortet grundlegende<br />
Probleme, die es zuvor zu klären gelte.<br />
Problematis<strong>ch</strong> ist insbesondere die Tatsa<strong>ch</strong>e, dass es bisher no<strong>ch</strong> kein umfassendes internationales<br />
Abkommen darüber gibt, was Terrorismus eigentli<strong>ch</strong> genau ist. Aus diesem Grund<br />
wird von Annan primär eine allgemein akzeptierte Definition des Begriffes gefordert. Terrorismus<br />
sei zwar dur<strong>ch</strong> absolut ni<strong>ch</strong>ts zu re<strong>ch</strong>tfertigen – denno<strong>ch</strong> ruft der UNO-<br />
Generalsekretär dazu auf, dass si<strong>ch</strong> der Kampf dagegen an internationales Re<strong>ch</strong>t und an die<br />
Mens<strong>ch</strong>enre<strong>ch</strong>te halten müsse. Die bereits laufende direkte (militäris<strong>ch</strong>e) Bekämpfung des<br />
Terrorismus müsse mit der Notwendigkeit verbunden werden, die Ursa<strong>ch</strong>en des Terrorismus<br />
zu bekämpfen. Es gelte, gewaltsame Konflikte zu verhindern oder zu s<strong>ch</strong>li<strong>ch</strong>ten, Mens<strong>ch</strong>enre<strong>ch</strong>tsverletzungen<br />
konsequent zu ahnden und Re<strong>ch</strong>tsstaatli<strong>ch</strong>keit dur<strong>ch</strong>zusetzen. In diesem<br />
Zusammenhang verweist der Beri<strong>ch</strong>t auf die UNO-Resolution 1624 (2005) des Si<strong>ch</strong>erheitsrates,<br />
der die Staaten dazu auffordert, Aufrufe zur Gewalt unter Strafe zu stellen – eine Grund-<br />
37 Siehe für S<strong>ch</strong>utzempfehlungen für KMUs au<strong>ch</strong> das 10 Punkte-Programm der Stiftung InfoSurance:<br />
http://www.infosurance.<strong>ch</strong>/de/pdf/InfoSurance_Bros<strong>ch</strong>uere_10_Punkte_Design.pdf (Stand: 05.09.2006).<br />
38 Informationen und Beri<strong>ch</strong>t zu finden unter: http://www.un.org/unitingagainstterrorism/ (Stand: 28.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
23/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
39<br />
voraussetzung für Massnahmen gegen terroristis<strong>ch</strong>e Webseiten. Weiter ruft Annan in seiner<br />
Strategie dazu auf, den Terroristen die Mittel zu verweigern, die ihnen die Dur<strong>ch</strong>führung<br />
von Ans<strong>ch</strong>lägen erlei<strong>ch</strong>tern könnten. Neben einem ers<strong>ch</strong>werten Zugang zu konventionellen<br />
Waffen und der Verhinderung eines Zuganges zu <strong>ch</strong>emis<strong>ch</strong>en, biologis<strong>ch</strong>en oder nuklearen<br />
Waffen sollen au<strong>ch</strong> Grenzkontrollen und die Überwa<strong>ch</strong>ung internationaler Finanzströme sowie<br />
insbesondere des Internets verstärkt werden.<br />
Die Erarbeitung einer internationalen, umfassenden Strategie gegen Terrorismus ist zu begrüssen.<br />
Wie bereits erwähnt, liegen einige der bestehenden Probleme in der Tatsa<strong>ch</strong>e,<br />
dass es keine allgemein akzeptierte Terrorismusdefinition gibt. Solange eine sol<strong>ch</strong>e fehlt,<br />
birgt eine UNO-gestützte Verfolgung von Terroristen die Gefahr, dass despotis<strong>ch</strong>e Staaten<br />
Unterdrückung und Verfolgung politis<strong>ch</strong>er Dissidenten unter die Kategorie „Terrorismusbekämpfung“<br />
subsummieren und somit zu legitimieren su<strong>ch</strong>en. Wie Annan eine vollständige<br />
Überwa<strong>ch</strong>ung des Internets mit den bestehenden Mens<strong>ch</strong>enre<strong>ch</strong>ten realisieren will, bleibt<br />
unklar. Artikel 19 der allgemeinen Mens<strong>ch</strong>enre<strong>ch</strong>te s<strong>ch</strong>liesst nämli<strong>ch</strong> explizit die Freiheit mit<br />
ein, „Meinungen ungehindert anzuhängen sowie über Medien jeder Art und ohne Rücksi<strong>ch</strong>t<br />
auf Grenzen Informationen und Gedankengut zu su<strong>ch</strong>en, zu empfangen und zu verbreiten.“<br />
40<br />
Denno<strong>ch</strong> geht der Ansatz der UNO in die ri<strong>ch</strong>tige Ri<strong>ch</strong>tung. Das Strategiepapier zeigt deutli<strong>ch</strong>,<br />
dass in den nä<strong>ch</strong>sten Jahren eine Lösung für die bestehenden Hindernisse einer weltweiten<br />
gemeinsamen Terrorbekämpfung gefunden werden muss. Ohne Debatte über das<br />
Spannungsfeld zwis<strong>ch</strong>en Meinungsfreiheit und der - unter strengen Voraussetzungen und<br />
unter strikter ri<strong>ch</strong>terli<strong>ch</strong>er Kontrolle - zweifellos nötigen zusätzli<strong>ch</strong>en Internetüberwa<strong>ch</strong>ung<br />
dürfte eine sol<strong>ch</strong>e jedo<strong>ch</strong> no<strong>ch</strong> in weiter Ferne liegen.<br />
EU: EU-Kommission veröffentli<strong>ch</strong>t Strategie für eine si<strong>ch</strong>ere Informationsgesells<strong>ch</strong>aft<br />
Die EU-Kommission publizierte Ende Mai ihre Strategie zur Verbesserung der Informationssi<strong>ch</strong>erheit<br />
in Europa. 41<br />
Ziel der Strategie ist es, das Bewusstsein für die Problematik der Informationssi<strong>ch</strong>erheit<br />
dur<strong>ch</strong> einen offenen, umfassenden, alle wi<strong>ch</strong>tigen Akteure eins<strong>ch</strong>liessenden Dialog zu erhöhen.<br />
Mit einbezogen werden sollen EU-Partnerstaaten, die IT-Industrie, Betreiber kritis<strong>ch</strong>er<br />
Infrastrukturen, die European Network Information Security Agency ENISA 42 , aber au<strong>ch</strong> der<br />
einzelne Computernutzer. Personen und Organisationen müssten gestärkt werden, damit<br />
diese ihre eigenen Interessen und Verantwortli<strong>ch</strong>keiten besser wahrnehmen können. Obwohl<br />
es weitgehend am privaten Sektor liege, Lösungen zu entwickeln, müssten öffentli<strong>ch</strong>e Verwaltungen<br />
eine zentrale Rolle einnehmen.<br />
Konkret vorges<strong>ch</strong>lagen wird eine Anglei<strong>ch</strong>ung der nationalen Informationssi<strong>ch</strong>erungsbemühungen<br />
der einzelnen EU-Staaten mit dem Ziel, den Dialog zwis<strong>ch</strong>en Verwaltungen zu<br />
verbessern, Standards und Empfehlungen auszuarbeiten sowie das Bewusstsein der Benutzer<br />
zu erhöhen. Zu diesem Zweck soll die ENISA ein Konzept zur Datensammlung ausarbei-<br />
39<br />
Resolution verfügbar unter: http://www.un.org/depts/german/sr/sr_05/sr1624.pdf (Stand: 28.08.2006).<br />
40<br />
Zitiert aus der allgemeinen Deklaration der Mens<strong>ch</strong>enre<strong>ch</strong>te: http://www.unh<strong>ch</strong>r.<strong>ch</strong>/udhr/lang/ger.htm (Stand:<br />
28.08.2006).<br />
41<br />
Verfügbar unter: http://ec.europa.eu/information_society/doc/com2006251.pdf (Stand: 28.08.2006).<br />
42 ENISA: http://www.enisa.eu.int/ (Stand: 28.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
24/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
ten, mit dem Vorfälle gemeistert und einzelne Daten aus Teilstaaten der EU besser in Korrelation<br />
gesetzt werden können. Die ENISA wurde ausserdem mit der Evaluierung eines mehrspra<strong>ch</strong>igen,<br />
europaweiten Informationsaustaus<strong>ch</strong>- und Alarmsystems beauftragt. Des Weiteren<br />
rief die EU-Kommission die Teilstaaten der EU sowie den privaten Sektor zu einer aktive-<br />
43<br />
ren Rolle in der Verbesserung der Informationssi<strong>ch</strong>erheit in Europa auf.<br />
Die S<strong>ch</strong>weiz hat si<strong>ch</strong> mit MELANI bereits positioniert und nimmt somit die von der EU-<br />
Kommission vorges<strong>ch</strong>lagene aktive Rolle s<strong>ch</strong>on ein. MELANI arbeitet, wie von der Strategie<br />
empfohlen, mit wi<strong>ch</strong>tigen Vertretern der Privatwirts<strong>ch</strong>aft in der S<strong>ch</strong>weiz zusammen. Mit diesen<br />
zusammen wird au<strong>ch</strong> s<strong>ch</strong>on ein Informationsaustaus<strong>ch</strong>-Netzwerk betrieben. MELANI<br />
bietet zudem einen zentralen Anlaufpunkt für Informationssi<strong>ch</strong>erungsbelange in der S<strong>ch</strong>weiz<br />
für die Öffentli<strong>ch</strong>keit und die Privatwirts<strong>ch</strong>aft, analysiert gesammelte Daten, erhöht mit ihrem<br />
Internetauftritt die Sensibilisierung der Öffentli<strong>ch</strong>keit gegenüber aktuellen Bedrohungen und<br />
ist au<strong>ch</strong> international mit mehreren Partnern für den Informationsaustaus<strong>ch</strong> verbunden.<br />
Se<strong>ch</strong>s EU-Staaten einigen si<strong>ch</strong> auf „Check the Web“-Programm zur Internetüberwa<strong>ch</strong>ung<br />
gegen Terror<br />
Anlässli<strong>ch</strong> ihres Treffens Ende März einigten si<strong>ch</strong> die Innenminister einiger EU-Staaten<br />
(Frankrei<strong>ch</strong>, Deuts<strong>ch</strong>land, Italien, Polen, Spanien und Grossbritannien) auf ein Programm<br />
zur Überwa<strong>ch</strong>ung des Internets.<br />
Unter dem Namen „Check the Web“ soll unter Beteiligung von Europol ein arbeitsteiliges,<br />
länderübergreifendes Zentrum zur Internetüberwa<strong>ch</strong>ung ges<strong>ch</strong>affen werden. Gemeinsame<br />
Expertenarbeit und ein zu erri<strong>ch</strong>tendes internationales Web<strong>ch</strong>eckerteam sollen zusätzli<strong>ch</strong>es<br />
Datenmaterial generieren, mit dem bessere Arbeitsergebnisse und eine bessere Übersi<strong>ch</strong>t<br />
über die Nutzung des Internets dur<strong>ch</strong> terroristis<strong>ch</strong>e Organisationen errei<strong>ch</strong>t werden. Zusätzli<strong>ch</strong><br />
ist geplant, dass alle für die innere Si<strong>ch</strong>erheit zuständigen Behörden uneinges<strong>ch</strong>ränkten<br />
Zugriff auf das europäis<strong>ch</strong>e Visa-Informationssystem erhalten sollen. 44<br />
Na<strong>ch</strong> Eins<strong>ch</strong>ätzung von MELANI wäre eine breitere Informationsbes<strong>ch</strong>affung bezügli<strong>ch</strong> der<br />
terroristis<strong>ch</strong>en Nutzung des Internets hilfrei<strong>ch</strong> (siehe dazu au<strong>ch</strong> Kapitel 5.4 sowie die Überlegungen<br />
zum UNO-Programm, Kapitel 7.1). Das „Check the Web“-Programm ist ein geeigneter<br />
Ansatz, die analytis<strong>ch</strong>en Kompetenzen und die von den einzelnen Staaten gesammelten<br />
Daten zu konzentrieren und somit die Analyse der terroristis<strong>ch</strong>en Internetnutzung effizienter<br />
zu gestalten.<br />
43 Siehe au<strong>ch</strong>:<br />
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/06/701&format=HTML&aged=0&language=EN&guiL<br />
anguage=en (Stand: 28.08.2006).<br />
44 Siehe dazu:<br />
http://www.bmi.bund.de/nn_334158/Internet/Content/Na<strong>ch</strong>ri<strong>ch</strong>ten/Pressemitteilungen/2006/03/Innenministertreffe<br />
n__Heiligendamm.html (Stand: 28.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
25/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Grossbritannien: Pharmaindustrie wird in staatli<strong>ch</strong>e Informationssi<strong>ch</strong>erung integriert<br />
Verglei<strong>ch</strong>bar mit MELANI betreibt die britis<strong>ch</strong>e Regierung zum S<strong>ch</strong>utz ihrer kritis<strong>ch</strong>en (Informations-)Infrastrukturen<br />
(Critical Information Infrastructure Protection, CIIP) das National<br />
Infrastructure Security Co-Ordination Center NISCC. 45 Wie in der S<strong>ch</strong>weiz wurden au<strong>ch</strong> in<br />
Grossbritannien kritis<strong>ch</strong>e Wirts<strong>ch</strong>aftssektoren bestimmt, die besonders zu s<strong>ch</strong>ützen sind. 46<br />
Anfang Juni integrierte die britis<strong>ch</strong>e Regierung die britis<strong>ch</strong>e Pharmaindustrie in die S<strong>ch</strong>utzanstrengungen<br />
des NISCC.<br />
Der Pharma-Sektor erhält somit neben den bereits bestehenden (Flugindustrie, Finanz, Service<br />
Provider, Kommunikation und Industriesysteme) eine eigene Gruppe für den Informationsaustaus<strong>ch</strong>.<br />
Ziel ist es, dass einerseits die (Pharma-)Industrie, andererseits britis<strong>ch</strong>e Behörden<br />
künftig Informationen über Bedrohungen und Angriffe besser austaus<strong>ch</strong>en können.<br />
Ausserdem soll auf diese Weise die Frühwarnung bei Vorfällen verbessert werden.<br />
In der S<strong>ch</strong>weiz gehört der Pharma-Sektor bisher ni<strong>ch</strong>t zu den definierten kritis<strong>ch</strong>en Sektoren<br />
(bestehende Sektoren sind: Energieversorgung, Telekommunikation, Finanz- und Versi<strong>ch</strong>erungswesen,<br />
Transport und Logistik, Notfall- und Rettungswesen, Gesundheitswesen inkl.<br />
Wasserversorgung, sowie Regierung und öffentli<strong>ch</strong>e Verwaltungen). 47 Ein Ausbau der bestehenden<br />
Sektoren ist momentan ni<strong>ch</strong>t geplant. Die Auswahl der Sektoren wird jedo<strong>ch</strong> laufend<br />
überda<strong>ch</strong>t – es ist daher dur<strong>ch</strong>aus denkbar, dass der Pharma-Sektor eines Tages au<strong>ch</strong><br />
in der S<strong>ch</strong>weiz in den S<strong>ch</strong>utz kritis<strong>ch</strong>er Informationsinfrastrukturen integriert werden könnte.<br />
7.2 Privat<br />
Frankrei<strong>ch</strong>: Provider bieten Kunden Filtersoftware an<br />
Seit Anfang April bieten mehrere französis<strong>ch</strong>e Internetprovider (darunter Alice, AOL, Club<br />
Internet und Wanadoo) ihren Kunden kostenlose Jugends<strong>ch</strong>utzfilter an. 48<br />
Na<strong>ch</strong>dem der französis<strong>ch</strong>e Premierminister Dominique de Villepin letztes Jahr no<strong>ch</strong> standardmässig<br />
gefilterte Internetzugänge zum S<strong>ch</strong>utz von Kindern und Jugendli<strong>ch</strong>en gefordert<br />
hatte, einigte man si<strong>ch</strong> nun stattdessen auf diese Lösung. Statt einer expliziten Beantragung<br />
auf Auss<strong>ch</strong>luss aus den Filterungen (Entwurf) werden Kunden nun bei der Installation angefragt,<br />
ob sie eine sol<strong>ch</strong>e wüns<strong>ch</strong>en (so genanntes Opt-in-Verfahren). Die Filterlösungen basieren<br />
weitgehend auf Blacklist- und White-List-Filtern. Wie die französis<strong>ch</strong>e Sektion der European<br />
Digital Rights Initiative EDRI, die Gruppe Imaginons un réseau Internet solitaire IRIS,<br />
45<br />
Siehe http://www.niscc.gov.uk (Stand: 28.08.2006).<br />
46<br />
Siehe dazu das Informationssi<strong>ch</strong>erungskonzept S<strong>ch</strong>weiz des Informatikstrategieorgans Bund (ISB):<br />
http://internet.isb.<strong>admin</strong>.<strong>ch</strong>/imperia/md/content/si<strong>ch</strong>erheit/s<strong>ch</strong>utz-infrastruktur/information_assurance/pia_d.pdf<br />
(Stand: 28.08.2006).<br />
47<br />
Siehe dazu: http://internet.isb.<strong>admin</strong>.<strong>ch</strong>/imperia/md/content/si<strong>ch</strong>erheit/s<strong>ch</strong>utzinfrastruktur/melani_sonia/ruedi_rytz.pdf<br />
(Stand: 28.08.2006).<br />
48<br />
Siehe: http://www.afa-france.com/p_20060403.html (Stand: 28.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
26/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
bemerkte, sei für die Nutzer allerdings wenig transparent, wie die Filter funktionierten und<br />
49<br />
na<strong>ch</strong> wel<strong>ch</strong>en Kriterien gefiltert werde.<br />
Au<strong>ch</strong> in der S<strong>ch</strong>weiz entstand im März eine Debatte zu dieser Thematik. Der Ständerat Rolf<br />
S<strong>ch</strong>weiger rei<strong>ch</strong>te eine Motion ein, die unter anderem vorsah, „die Internetanbieter und -<br />
hoster in die Pfli<strong>ch</strong>t zu nehmen.“ 50 Zu diesem Zweck sollten die Internet-Access-Provider<br />
ihren Kunden gratis Filterprogramme zur Verfügung stellen.<br />
In der Antwort des Bundesrates auf die Motion kamen ähnli<strong>ch</strong>e Bedenken zum Ausdruck,<br />
wie si<strong>ch</strong> au<strong>ch</strong> EDRI und die deuts<strong>ch</strong>e Kommission für Jugendmediens<strong>ch</strong>utz KJM äusserten:<br />
Der S<strong>ch</strong>utz von Kindern würde dadur<strong>ch</strong> kaum verbessert. Vielmehr entstünde ein fals<strong>ch</strong>es<br />
Gefühl der Si<strong>ch</strong>erheit, das dazu führen könnte, dass Eltern und Provider ihre diesbezügli<strong>ch</strong>e<br />
Pfli<strong>ch</strong>t verna<strong>ch</strong>lässigen. Denn ein vollständiger S<strong>ch</strong>utz vor kinder- und jugendgefährdenden<br />
Web-Inhalten ist mit Filtersoftware unmögli<strong>ch</strong> zu errei<strong>ch</strong>en.<br />
8 Gesetzli<strong>ch</strong>e Grundlagen<br />
Anpassung des S<strong>ch</strong>weizer Urheberre<strong>ch</strong>tsgesetzes<br />
Der Bundesrat hat die Bots<strong>ch</strong>aft zur Ratifikation zweier Abkommen der Weltorganisation für<br />
geistiges Eigentum (WIPO) sowie zur Teilrevision des Urhebergesetzes verabs<strong>ch</strong>iedet. Die<br />
S<strong>ch</strong>weiz soll si<strong>ch</strong> an der internationalen Harmonisierung des Urheberre<strong>ch</strong>ts beteiligen, auf<br />
das si<strong>ch</strong> 127 Mitgliedstaaten der WIPO geeinigt haben. Im Zentrum steht dabei die Einführung<br />
eines Verbotes der Umgehung von te<strong>ch</strong>nis<strong>ch</strong>en S<strong>ch</strong>utzmassnahmen wie Zugangss<strong>ch</strong>ranken<br />
bei Internetdiensten oder Kopiersperren von CDs und DVDs. In Deuts<strong>ch</strong>land ist<br />
bereits seit Dezember 2003 ein sol<strong>ch</strong>es Gesetz in Kraft. 51 Digitale Medien dürfen demna<strong>ch</strong><br />
ni<strong>ch</strong>t mehr kopiert werden, wenn dabei eine Kopiersperre umgangen werden muss. Faktis<strong>ch</strong><br />
kommt dies dem Verbot der Privatkopie glei<strong>ch</strong>. Das Verbot umfasst au<strong>ch</strong> die Herstellung und<br />
den Vertrieb sol<strong>ch</strong>er Umgehungssoftware. Im Gegensatz zu Deuts<strong>ch</strong>land soll jedo<strong>ch</strong> in der<br />
S<strong>ch</strong>weiz eine Fa<strong>ch</strong>stelle in Zusammenarbeit mit den direkt betroffenen Kreisen dafür sorgen,<br />
dass ni<strong>ch</strong>t in missbräu<strong>ch</strong>li<strong>ch</strong>er Weise gesetzli<strong>ch</strong> erlaubte Werkverwendungen unterbunden<br />
werden. Au<strong>ch</strong> soll das Umgehungsverbot gegenüber denjenigen ni<strong>ch</strong>t geltend gema<strong>ch</strong>t werden<br />
können, wel<strong>ch</strong>e die Umgehung „auss<strong>ch</strong>liessli<strong>ch</strong> zum Zweck einer gesetzli<strong>ch</strong> erlaubten<br />
Verwendung vornehmen“. So wäre der Download von Werken zum persönli<strong>ch</strong>en Gebrau<strong>ch</strong><br />
weiterhin uneinges<strong>ch</strong>ränkt zulässig. Der Konsument soll ni<strong>ch</strong>t zwis<strong>ch</strong>en legalen und illegalen<br />
Angeboten unters<strong>ch</strong>eiden müssen. Au<strong>ch</strong> hier hat Deuts<strong>ch</strong>land einen anderen Weg einges<strong>ch</strong>lagen.<br />
Das deuts<strong>ch</strong>e Urhebergesetz verbietet Privatkopien, wenn sie von „offensi<strong>ch</strong>tli<strong>ch</strong><br />
re<strong>ch</strong>tswidrigen Vorlagen“ stammen. Wie diese jedo<strong>ch</strong> definiert sind, ist bis heute ni<strong>ch</strong>t eindeutig<br />
geklärt und bes<strong>ch</strong>äftigt weiterhin die deuts<strong>ch</strong>en Geri<strong>ch</strong>te. Wer hingegen Dritten den<br />
Zugang zu ges<strong>ch</strong>ützten Werken ermögli<strong>ch</strong>t, wie dies beispielsweise bei Peer-to-Peer-<br />
49<br />
Siehe dazu: http://www.edri.org/edrigram/number4.7/parentalsoft (Stand: 28.08.2006).<br />
50<br />
Siehe dazu: http://sear<strong>ch</strong>.parlament.<strong>ch</strong>/cv-ges<strong>ch</strong>aefte?ges<strong>ch</strong>_id=20063170 (Stand: 28.08.2006).<br />
51<br />
http://www.heise.de/ct/hintergrund/meldung/68064 (Stand: 28.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
27/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Taus<strong>ch</strong>netzwerken übli<strong>ch</strong> ist, ma<strong>ch</strong>t si<strong>ch</strong> sowohl in der S<strong>ch</strong>weiz als au<strong>ch</strong> in den anderen<br />
Ländern strafbar. Weitere Bestimmungen sollen dafür sorgen, dass die Internet-Service-<br />
52<br />
Provider ni<strong>ch</strong>t für Urheberre<strong>ch</strong>tsverletzungen ihrer Kunden haften. In vielen Ländern formiert<br />
si<strong>ch</strong> starker Widerstand gegen die zunehmende Vers<strong>ch</strong>ärfung der Urheberre<strong>ch</strong>tsgesetze.<br />
EU-Ri<strong>ch</strong>tlinie zur verda<strong>ch</strong>tsunabhängigen Vorratspei<strong>ch</strong>erung<br />
Die Innen- und Justizminister der Europäis<strong>ch</strong>en Union haben der bereits Anfang Dezember<br />
2005 bes<strong>ch</strong>lossenen Ri<strong>ch</strong>tlinie zur verda<strong>ch</strong>tsunabhängigen Vorratsspei<strong>ch</strong>erung von Telefon-<br />
und Internetdaten zugestimmt. Dabei geht es um die Spei<strong>ch</strong>erung der Verbindungs- und<br />
Standortdaten, die bei der Abwicklung von Diensten wie Telefonieren, SMS, E-Mailen anfallen.<br />
Die Telekommunikationsanbieter werden zur 6- bis 24-monatigen Aufzei<strong>ch</strong>nung von elektronis<strong>ch</strong>en<br />
Spuren verpfli<strong>ch</strong>tet, wobei es den Mitgliedstaaten überlassen wird, für wel<strong>ch</strong>e<br />
Zeitspanne innerhalb dieser Grenzen sie si<strong>ch</strong> ents<strong>ch</strong>eiden. Irland und die Slowakei stimmten<br />
gegen die Ri<strong>ch</strong>tlinie und haben beim Europäis<strong>ch</strong>en Geri<strong>ch</strong>tshof bereits Klage gegen diese<br />
umstrittene EU-Ri<strong>ch</strong>tlinie erhoben. Besonders von Seiten der Datens<strong>ch</strong>ützer wird heftige<br />
Kritik laut. So ist in Deuts<strong>ch</strong>land beispielsweise die Vorratsdatenspei<strong>ch</strong>erung bei bestimmten<br />
Internetdienstleistungen explizit ni<strong>ch</strong>t vorgesehen. Dagegen sehen die Befürworter die Paus<strong>ch</strong>alspei<strong>ch</strong>erung<br />
als unerlässli<strong>ch</strong>es Mittel für die effektive Strafverfolgung und rücken die<br />
Terrorismusbekämpfung in den Vordergrund.<br />
In der S<strong>ch</strong>weiz müssen gewisse Internetverbindungsdaten von Providern während 6 Monaten<br />
gespei<strong>ch</strong>ert werden. Ob und in wel<strong>ch</strong>em Ausmass in Zukunft weitere Daten des Internetverkehrs<br />
künftig länger aufbewahrt werden sollen, wird gegenwärtig diskutiert, wobei der<br />
Bundesrat eine Verlängerung der Aufbewahrungspfli<strong>ch</strong>t für sinnvoll hält.<br />
9 Statistik<br />
MELANI publiziert Studie bezügli<strong>ch</strong> Informationssi<strong>ch</strong>erheit in Unternehmen<br />
Eine von MELANI in Auftrag gegebene Studie der ETH Züri<strong>ch</strong> zeigt auf, dass im Jahr 2005<br />
eine deutli<strong>ch</strong>e Mehrheit der befragten S<strong>ch</strong>weizer Unternehmen einen Vorfall in der Informationssi<strong>ch</strong>erheit<br />
festgestellt hat. Am stärksten verbreitet sind Vorfälle mit Malware. Eine relativ<br />
häufig festgestellte Bedrohung ist au<strong>ch</strong> der konventionelle Diebstahl von Laptops oder anderer<br />
Hardware. Ein erhöhtes Risiko eines Vorfalles haben Grossfirmen und Unternehmen, die<br />
über das Internet ein- oder verkaufen. Als S<strong>ch</strong>utzmassnahmen werden in fast allen Firmen<br />
Antiviren-Programme und Firewalls eingesetzt. Die Unternehmen stellen allerdings wenig<br />
finanzielle und personelle Mittel für die Informationssi<strong>ch</strong>erung zur Verfügung und viele Firmen<br />
lagern ihre Massnahmen im Berei<strong>ch</strong> der Informationssi<strong>ch</strong>erung aus. Die wi<strong>ch</strong>tigste Erkenntnis<br />
aber ist, dass eine Mehrheit eine verstärkte Kooperation untereinander begrüssen<br />
würde und dass dabei neue Organisationen zu s<strong>ch</strong>affen wären. Die vollständige Studie ist<br />
auf der MELANI-Internetseite erhältli<strong>ch</strong>.<br />
52<br />
Eine Übersi<strong>ch</strong>t über die weltweiten Reformen des Urheberre<strong>ch</strong>tsgesetzes ist zu finden unter:<br />
http://www.heise.de/ct/hintergrund/meldung/68064 (Stand: 28.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
28/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
10 Glossar<br />
Dieses Glossar enthält sämtli<strong>ch</strong>e kursiv hervorgehobenen Begriffe. Ein ausführli<strong>ch</strong>eres Glossar<br />
mit mehr Begriffen ist zu finden unter:<br />
http://www.melani.<strong>admin</strong>.<strong>ch</strong>/glossar/index.html?lang=de.<br />
0-day-Exploit Exploit, der am selben Tag ers<strong>ch</strong>eint, an dem die Si<strong>ch</strong>erheitslücke<br />
öffentli<strong>ch</strong> bekannt wird.<br />
Adware Adware, eine Wortkombination aus Advertisement und Software,<br />
wird vielfa<strong>ch</strong> für Werbezwecke verwendet, indem die Surfgewohnheiten<br />
des Benutzers aufgenommen und dazu benutzt werden,<br />
entspre<strong>ch</strong>ende Produkte (z.B. dur<strong>ch</strong> Links) zu offerieren.<br />
Black- / White-List Black-List (S<strong>ch</strong>warze Liste): Liste von Instanzen wie zum Beispiel<br />
Webseiten, die im Verglei<strong>ch</strong> zur Allgemeinheit bena<strong>ch</strong>teiligt werden<br />
sollen. Die Bena<strong>ch</strong>teiligung kann si<strong>ch</strong> beispielsweise in einer<br />
Sperre der entspre<strong>ch</strong>enden Webseite äussern.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
White-List (Weisse Liste): Liste von Instanzen, die na<strong>ch</strong> der Meinung<br />
des Verfassers per se vertrauenswürdig sind.<br />
Bot / Malicious Bot Ursprung im slawis<strong>ch</strong>en Wort für Arbeit (Robota). Bezei<strong>ch</strong>net ein<br />
Programm, das bestimmte Aktionen na<strong>ch</strong> dem Empfang eines Befehls<br />
selbstständig ausführt. So genannte Malicious Bots können<br />
kompromittierte Systeme fernsteuern und zur Dur<strong>ch</strong>führung beliebiger<br />
Aktionen veranlassen.<br />
Botnetz Eine Ansammlung von Computern, die mit Bots infiziert sind. Diese<br />
lassen si<strong>ch</strong> dur<strong>ch</strong> einen Angreifer (den Botnetzbesitzer) komplett<br />
fernsteuern. Je na<strong>ch</strong> Grösse kann ein Botnetz aus einigen Hundert<br />
bis Millionen kompromittierter Re<strong>ch</strong>ner bestehen.<br />
Critical Infrastructure<br />
Protection / Critical<br />
Information Infrastructure<br />
Protection (CIP /<br />
CIIP)<br />
Wi<strong>ch</strong>tiger Bestandteil der nationalen Si<strong>ch</strong>erheitspolitik und Verteidigungsplanung.<br />
Überbegriff für Konzepte und Strategien zum<br />
S<strong>ch</strong>utz kritis<strong>ch</strong>er Infrastrukturen / kritis<strong>ch</strong>er Informationsinfrastrukturen.<br />
DDoS-Attacke Distributed-Denial-of-Service Attacke<br />
Eine DoS Attacke, bei der das Opfer von vielen vers<strong>ch</strong>eiden Systemen<br />
aus glei<strong>ch</strong>zeitig angegriffen wird.<br />
Defacement Verunstaltung von Webseiten.<br />
DNS Domain Name System<br />
Mit Hilfe von DNS lassen si<strong>ch</strong> das Internet und dessen Dienste<br />
benutzerfreundli<strong>ch</strong> nutzen, da die Benutzer anstelle von IP-<br />
29/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
DNS-Amplification-<br />
Attack<br />
Adressen Namen verwenden können (z.B. www.melani.<strong>admin</strong>.<strong>ch</strong>).<br />
Denial of Service-Angriff (DoS), der öffentli<strong>ch</strong> zugängli<strong>ch</strong>e DNS-<br />
Server missbrau<strong>ch</strong>t und diese als Amplifier (Verstärker) benutzt.<br />
DoS-Attacke Denial-of-Service Attacke<br />
Exploit-Code (kurz: Exploit)<br />
Hat zum Ziel, einen bestimmten Dienst für dessen Benutzer unerrei<strong>ch</strong>bar<br />
zu ma<strong>ch</strong>en oder zumindest die Errei<strong>ch</strong>barkeit des Dienstes<br />
erhebli<strong>ch</strong> einzus<strong>ch</strong>ränken.<br />
Ein Programm, ein Script oder eine Codezeile, mit der si<strong>ch</strong><br />
S<strong>ch</strong>wa<strong>ch</strong>stellen in Computersystemen ausnutzen lassen.<br />
Firewall Eine Firewall (engl. für Brandmauer) s<strong>ch</strong>ützt Computersysteme,<br />
indem sie ein- und ausgehende Verbindungen überwa<strong>ch</strong>t und gegebenenfalls<br />
zurückweist.<br />
Im Gegensatz dazu ist eine Personal Firewall (au<strong>ch</strong> Desktop-<br />
Firewall) für den S<strong>ch</strong>utz eines einzelnen Re<strong>ch</strong>ners ausgelegt und<br />
wird direkt auf dem zu s<strong>ch</strong>ützenden System – das heisst auf Ihrem<br />
Re<strong>ch</strong>ner – installiert.<br />
IP-Adresse Adresse, wel<strong>ch</strong>e einen Computer im Internet (oder einem TCP/IP-<br />
Netzwerk) identifiziert<br />
(Beispiel: 172.16.54.87).<br />
IRC Internet Relay Chat<br />
Eines der ersten Chat-Protokolle (kein Instant Messaging).<br />
Keylogger Geräte oder Programme, die zwis<strong>ch</strong>en den Re<strong>ch</strong>ner und die Tastatur<br />
ges<strong>ch</strong>altet werden, um Tastatureingaben aufzuzei<strong>ch</strong>nen.<br />
Kritis<strong>ch</strong>e (nationale)<br />
Infrastrukturen<br />
Mailing-Würmer / Massenmail-Virus<br />
Malware / Malicious<br />
Code<br />
Man-in-the-Middle-<br />
Attacke (MitM)<br />
Infrastruktur oder Teil der Wirts<strong>ch</strong>aft, deren Ausfall oder Bes<strong>ch</strong>ädigung<br />
massive Auswirkungen auf die nationale Si<strong>ch</strong>erheit oder die<br />
ökonomis<strong>ch</strong>e und/oder soziale Wohlfahrt einer Nation hat. In der<br />
S<strong>ch</strong>weiz sind folgende Infrastrukturen als kritis<strong>ch</strong> definiert worden:<br />
Energie- und Wasserversorgung, Notfall- und Rettungswesen, Telekommunikation,<br />
Transport und Verkehr, Banken und Versi<strong>ch</strong>erungen,<br />
Regierung und öffentli<strong>ch</strong>e Verwaltungen. Im Informationszeitalter<br />
hängt ihr Funktionieren zunehmend von Informations- und<br />
Kommunikationssystemen ab. Sol<strong>ch</strong>e Systeme nennt man kritis<strong>ch</strong>e<br />
Informationsinfrastrukturen.<br />
Malware, die si<strong>ch</strong> dur<strong>ch</strong> Versenden von Mails weiterverbreitet.<br />
Häufig wird dafür au<strong>ch</strong> der Begriff „Massenmail-Virus“ verwendet.<br />
Setzt si<strong>ch</strong> aus den englis<strong>ch</strong>en Begriffen "Malicious" und "Software"<br />
zusammen. Oberbegriff für Software, die s<strong>ch</strong>ädli<strong>ch</strong>e Funktionen<br />
auf einem Re<strong>ch</strong>ner ausführt (wie beispielsweise Viren, Würmer,<br />
trojanis<strong>ch</strong>e Pferde).<br />
Attacke, bei der si<strong>ch</strong> der Angreifer unbemerkt in den Kommunikationskanal<br />
zweier Partner hängt und dadur<strong>ch</strong> deren Datenaustaus<strong>ch</strong><br />
mitlesen oder verändern kann.<br />
MP3 Ein Kompressionsverfahren für Audio-Daten.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
30/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
MPEG<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
Moving Picture Experts Group<br />
Ein Kompressionsverfahren für Multimedia-Daten (z.B. Video),<br />
wobei es mehrere Standards gibt (MPEG 1 – 4).<br />
Peer-to-Peer (P2P) Eine Netzwerkar<strong>ch</strong>itektur, bei der die beteiligten Systeme glei<strong>ch</strong>e<br />
Funktionen übernehmen können (im Gegensatz zu Client-Server<br />
Ar<strong>ch</strong>itekturen). P2P wird häufig zum Austaus<strong>ch</strong> von Daten genutzt.<br />
Phishing Mittels Phishing versu<strong>ch</strong>en Betrüger, an vertrauli<strong>ch</strong>e Daten von<br />
ahnungslosen Internet-Benutzern zu gelangen. Dabei kann es si<strong>ch</strong><br />
beispielsweise um Kontoinformationen von Online-<br />
Auktionsanbietern (z.B. eBay) oder Zugangsdaten für das Internet-<br />
Banking handeln. Die Betrüger nutzen die Gutgläubigkeit und<br />
Hilfsbereits<strong>ch</strong>aft ihrer Opfer aus, indem sie ihnen beispielsweise E-<br />
Mails mit gefäls<strong>ch</strong>ten Absenderadressen zustellen.<br />
PKI Public Key Infrastructure<br />
Infrastruktur zur Verwaltung und zum Einsatz von digitalen Zertifikaten.<br />
Ransomware Malware, mit der die Besitzer der infizierten Re<strong>ch</strong>ner erpresst werden<br />
sollen (ransom: engl. für Lösegeld). Typis<strong>ch</strong>erweise werden<br />
Daten vers<strong>ch</strong>lüsselt oder gelös<strong>ch</strong>t und erst na<strong>ch</strong> Lösegeldzahlungen<br />
der zur Rettung nötige S<strong>ch</strong>lüssel vom Angreifer zur Verfügung<br />
gestellt.<br />
Redirect(or) dt. Weiterleitung. Meist benutzt im Zusammenhang mit Webseiten,<br />
wel<strong>ch</strong>e den Leser automatis<strong>ch</strong> auf eine andere Seite weiterleiten.<br />
RSA-Vers<strong>ch</strong>lüsselung Abkürzung für Rivest-Shamir-Adleman Vers<strong>ch</strong>lüsselung. Vers<strong>ch</strong>lüsselungsverfahren<br />
mit öffentli<strong>ch</strong>en S<strong>ch</strong>lüsseln, das 1978 eingeführt<br />
wurde. RSA ist ein asymmetris<strong>ch</strong>es Verfahren.<br />
Si<strong>ch</strong>erheitslücke S<strong>ch</strong>wa<strong>ch</strong>stelle in Hard- oder Software, über die Angreifer Zugriff<br />
auf ein System erlangen können.<br />
SIP Session Initiation Protocol<br />
Von der IETF standardisierte Protokollsuite für VoIP und weitere<br />
Kommunikationste<strong>ch</strong>nologien.<br />
Social Engineering Social Engineering-Angriffe nutzen die Hilfsbereits<strong>ch</strong>aft, Gutgläubigkeit<br />
oder die Unsi<strong>ch</strong>erheit von Personen aus, um beispielsweise<br />
an vertrauli<strong>ch</strong>e Daten zu gelangen oder die Opfer zu bestimmten<br />
Aktionen zu bewegen.<br />
Source-Code Dt. Quelltext. Für den Mens<strong>ch</strong>en lesbare Form eines Computerprogrammes.<br />
Spear-Phishing Gezielte Phishing-Attacke. Dem Opfer wird zum Beispiel vorgegaukelt,<br />
mit einer ihr vertrauten Person via E-Mail zu kommunizieren.<br />
Spyware Spyware soll ohne Wissen des Benutzers Informationen über dessen<br />
Surfgewohnheiten oder Systemeinstellungen sammeln und<br />
31/32
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
SSL Secure Sockets Layer<br />
diese an eine vordefinierte Adresse übermitteln.<br />
Ein Protokoll, um im Internet si<strong>ch</strong>er zu kommunizieren. Der Einsatz<br />
von SSL liegt heute beispielsweise im Berei<strong>ch</strong> von Online-Finanz-<br />
Transaktionen.<br />
SSL-Zertifikat Secure Sockets Layer Zertifikat<br />
Zertifikat, das benötigt wird, um über SSL zu kommunizieren.<br />
Dur<strong>ch</strong> dieses Zertifikat kann die Identität eines Systems überprüft<br />
werden.<br />
Trojanis<strong>ch</strong>es Pferd Trojanis<strong>ch</strong>e Pferde (häufig als Trojaner bezei<strong>ch</strong>net) sind Programme,<br />
die im Verborgenen s<strong>ch</strong>ädli<strong>ch</strong>e Aktionen ausführen und<br />
si<strong>ch</strong> dabei für den Benutzer als nützli<strong>ch</strong>e Anwendung oder Datei<br />
tarnen.<br />
USB-Memory-Stick Kleine Datenspei<strong>ch</strong>ergeräte, die über die USB-S<strong>ch</strong>nittstelle an einen<br />
Re<strong>ch</strong>ner anges<strong>ch</strong>lossen werden.<br />
Virus Ein selbstreplizierbares, mit s<strong>ch</strong>ädli<strong>ch</strong>en Funktionen versehenes<br />
Computerprogramm, wel<strong>ch</strong>es si<strong>ch</strong> zur Verbreitung an ein Wirteprogramm<br />
oder eine Wirtedatei anhängt.<br />
VoIP (Voice over IP) Voice over IP Telefonie über das Internet Protokoll (IP). Häufig<br />
verwendete Protokolle: H.323 und SIP.<br />
WEP Wired Equivalent Privacy<br />
Ein älteres, als unsi<strong>ch</strong>er geltendes Vers<strong>ch</strong>lüsselungsverfahren, das<br />
bei WLAN-Verbindungen eingesetzt wird.<br />
WLAN WLAN (oder Wireless Local Area Network) steht für drahtloses<br />
lokales Netzwerk.<br />
WPA Wi-Fi Protected Access<br />
Verbesserte Vers<strong>ch</strong>lüsselungsmethode, die bei Wireless-LAN-<br />
Verbindungen (WLAN) eingesetzt wird.<br />
WPA2 Wi-Fi Protected Access 2<br />
Neuer Si<strong>ch</strong>erheitsstandard für Funknetzwerke na<strong>ch</strong> der Spezifikation<br />
IEEE 802.11i. Na<strong>ch</strong>folgeversion der Vers<strong>ch</strong>lüsselungsmethode<br />
WPA und des als unsi<strong>ch</strong>er geltenden WEP.<br />
Wurm Im Gegensatz zu Viren benötigen Würmer zur Verbreitung kein<br />
Wirtprogramm. Vielmehr nutzen sie Si<strong>ch</strong>erheitslücken oder Konfigurationsfehler<br />
in Betriebssystemen bzw. Anwendungen, um si<strong>ch</strong><br />
selbständig von Re<strong>ch</strong>ner zu Re<strong>ch</strong>ner auszubreiten.<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
32/32