Peinliche Datenpannen

Wochenlang rätselten Publikums- und Fachmedien, was der technisch besonders teuflische IT-Wurm Conficker wohl anrichten würde, wenn er sein erstes Wirken ausgerechnet am »Scherztag« 1. April entfaltet. Aber April, April: Der befürchtete weltweite Zusammenbruch des Internets blieb aus, eine Entwarnung kann freilich auch nicht gegeben werden. Sicherheitsdienstleister und die Fachpresse identifizierten bislang A-, B- und C-Varianten, die zwar immer trickreich, aber unterschiedlich bösartig vorgehen. Der Hintergrund: Conficker verhält sich nicht anders als andere altbekannte IT-Würmer. Über Netzwerke und hier vor allem natürlich über das Internet versucht er, Kontrolle über möglichst viele einzelne PCs zu erlangen.

Eine Schwachstelle im Betriebssystem oder Anwenderprogrammen – im Fachjargon Vulnerability genannt – genügt, damit sich die Malware erfolgreich festsetzen kann und die Kontrolle über den PC, oder noch schlimmer, einen Server übernimmt. Ein harmloses Spiel von fröhlichen Crackern ist das schon lange nicht mehr. Das »Geschäft« wird seit Jahren von mafiösen Organisationen gesteuert, die die so »gekaperten« PCs in bare Münze umwandeln. Dann wird erpresst, Firmengeheimnisse und Kontodaten verkauft oder die ferngesteuerte IT wird als dezentraler Mail-Server für Junk-Mails missbraucht.

»Zielgruppe« Business
Besonders bitter ist, dass die IT-Mafia nicht nur bei oft schlecht gesicherten Privat-PCs ein leichtes Spiel hat. Bezeichnend ist, dass sich der Conficker-Wurm bevorzugt bei Organisationen und Unternehmen aller Schattierungen eingenistet hat. Kein Wunder, dort findet man auch wesentlich interessantere Daten als die Fotos von Omas letzter Geburtstagsfeier. »Es ist traurig, aber vielen Anwendern fehlt immer noch das Bewusstsein für Sicherheit«, umreißt Gerhard Göschl, Security-Chef bei Microsoft Österreich, die Situation. Manchmal dürften freilich auch die Lizenzen fehlen, um ohne schlechtes Gewissen in den Genuss automatischer Software-Updates zu kommen (siehe Kasten). Ein beliebtes Einfallstor für böse Buben sind die Office-Formate von Microsoft. Sie sind fast überall im Einsatz und sie haben – wie jede Software – Sicherheitslücken. Security-Patches, und auch das ist fast unvermeidlich, sind nicht immer zeitnah verfügbar.

Und selbst wenn solche Patches verfügbar sind, werden sie lange nicht von allen Anwendern eingespielt. Seit fast einem Jahr prüft der Report, was so an doc-, ppt- oder xls-Attachments via Mail verschickt wird – und erlebte blaue Wunder. Manchmal sind es mehr, manchmal weniger: Aber rund ein Drittel der Attachments fällt etwa durch einen Schwachstellentest mit dem Vulnerability-Scanner »OfficeCat«. Ein paar Highlights: Auch Security-Unternehmen verschicken fragwürdige Dokumente, die uralte und längst behobene Schwachstellen aufweisen. Banken, Industrie, PR-Agenturen, Interessensvertreter, Flugsicherung, IBM und Co: Die Liste lässt sich fast beliebig fortsetzen. Sehr selten, aber doch patzt sogar Microsoft.

Bauanleitung oder Darmrezept gefällig?
Aber nicht nur die gebräuchlichen MS-Office-Formate verdienen mittlerweile Beachtung. Auch das Adobe-Format PDF ist nicht mehr unkritisch. »Wir beobachten, dass seit Sommer letzten Jahres die Zahl der PDF-Angriffe extrem zugenommen hat und sich von Monat zu Monat verdoppelt«, konstatiert Göschl. Ganz falsch dürfte Göschl damit nicht liegen. Selbst Linux- und Mac-User sahen sich erst kürzlich mit einer schwerwiegenden Lücke einer PDF-Open-Source-Komponente konfrontiert. Zeitnahe Updates sind also auch für diese vorgeblich sicheren Systeme ein Muss. Wo ebenfalls häufig gepatzt wird, ist die saubere Trennung von internem Netzwerk und dem öffentlichen Internet. Der Report konnte problemlos ein Rezept gegen Darmverstopfung aufspüren, das der IT-Administrator einer Tierkörperverwertung im nichtöffentlichen Bereich seiner Webseite abgespeichert hatte. Hackerkünste sind dazu nicht notwendig. Mit ein paar Unix-Tools in Kombination mit Suchmaschinen lassen sich solche Einblicke – völlig legal natürlich – sogar automatisieren.

Interessanter als Darmrezepte sind freilich andere Infos, die sich so finden lassen. Sie brauchen die Daten aller wichtigen rumänischen Bank-Consulter? Kein Problem. Eine österreichische Bank liefert das frei Haus. Ebenso Wohnadresse, Handynummer und der private E-Mail-Anschluss eines Vorstands. Aber es geht noch pikanter: Wollten Sie immer schon den Mafia-Beauftragten eines zentralen Nato-Staates anrufen? Auch kein Problem. Für Börsianer interessant: Auch Vertragsdetails über dicke und unveröffentlichte Waffendeals lassen sich so finden. Auch die Techniker werden fündig. Wer ein technisches Subsystem eines der modernsten »Flüster-U-Boote« der Welt ein bisschen genauer nachbauen will als im Modellbausatz um 29 Euro, findet ebenfalls wertvolle Informationen. Fast schon skurril: Via Powerpoint warnt etwa der Information-Security-Officer einer Nato-Einheit seine Kollegen vor vielfältigen IT-Gefahren. Der kleine Schönheitsfehler: Auch diese ppt-Datei ist leider »vulnerable«.

Tipps: Die wichtigsten Minimalmaßnahmen
Selbst kleine Unternehmen ohne IT-Abteilung können die Sicherheit oder Vertraulichkeit ihrer Daten mit einfachen Mitteln erhöhen. So banal das klingt, aber selbst in großen Organisationen wird das nicht immer beachtet: Updates, Updates! Das gilt sowohl für das Betriebssystem wie die beliebten Office-Anwendungen. Wer hier schlampt, ist zumeist selber schuld. Marktführer Microsoft bietet automatische Update-Funktionen. Gültige Software-Lizenzen sollte man dafür freilich schon besitzen. Auch alternative Betriebssysteme wie Linux oder MacOS bieten seit Urzeiten automatische Updates.

Lästig, aber notwendig: Speziell für Microsoft-Betriebssysteme sind auch regelmäßige Updates für Firewall- oder Anti-Virensoftware ein Muss.
Eine saubere Trennung von Intranet und Internet: Selbst große Organisationen, bei denen man das nie vermuten würde, gelingt dieses »Pflichtprogramm« nicht immer. Oft genug gelangen so vertrauliche Dokumente und Daten an die Öffentlichkeit.

Die beliebten MS-Word-Dokumente sind geschwätziger, als viele Anwender immer noch vermuten würden. Sind die Funktionen nicht deaktiviert, verraten sie etwa Versionsgeschichte, Textrevisionen oder Sachbearbeiter. Klingt harmlos, kann aber enorme Konsequenzen haben: Im Jänner 2003 stolperte Ex-Britenpremier Tony Blair beinahe über einen harmlosen PR-Text, der den Irakkrieg begründen sollte. Das ging nur so lange gut, bis sich ein findiger Journalist das doc einmal näher ansah – und so den Inhalt als geschönte Lügengeschichte enttarnen konnte.