IT-Sicherheit ist ein ewiges Katz-und-Maus-Spiel: Angreifer tüfteln unentwegt neue Methoden aus, wie sie fremde Rechner angreifen oder manipulieren können, ob mittels Viren, Würmer oder gezielter Hackattacken. Die Angreifer nutzen dabei immer Sicherheitslücken in Betriebssystemen und Anwendungsprogrammen aus.

Jeden Tag werden zahlreiche neue Sicherheitslücken bekannt. Der Aufwand, diese Bedrohungen zu erkennen und Methoden zum Schutz oder geeignete Gegenmittel anzubieten, ist enorm. Auf IT-Sicherheit spezialisierte Unternehmen wie Symantec, Kaspersky, TrendMicro, Network Associates und einigen anderen sind deshalb rund um die Uhr damit beschäftigt, nach Entdecken neuer Sicherheitsrisiken so schnell wie möglich geeignete Gegenmittel anzubieten.

Den wohl größten Aufwand betreibt das US-Unternehmen Symantec, das Experten rund um den Erdball beschäftigt, um zeitnah auf jede Art von Bedrohung reagieren zu können. Die Zentrale, das „Security Response Center“, befindet sich im kalifornischen Santa Monica. Unterstützt werden die über 700 Mitarbeiter in Kalifornien von Kollegen im „Symantec Operation Center“ (SOC) in Alexandria nahe Washington D.C. sowie von Profis in Calgary, Tokio, Sydney, Dublin und Berlin. „Mit unseren vernetzten Büros sind wir rund um die Uhr einsatzbereit und können schnell reagieren“, erklärt Vincent Weafer, Chef des Response Center in Santa Monica.

Die IT-Experten warten nicht darauf, dass die Bedrohungen in der Presse veröffentlicht werden: Symantec verfügt über ein Netzwerk mit über 20.000 Sicherheitssensoren in über 180 Ländern, installiert in Netzwerken von Kunden. Darüber hinaus liefern auch die rund 120 Millionen installierten Programmpakete der „Norton“-Reihe rund um die Uhr wichtige Eckdaten und Datenmaterial. Während sich die Fachleute in Washington D.C. in erster Linie um Hackangriffe und deren Abwehr mit Hilfe von Firewalls kümmern, sind die IT-Techniker in Santa Monica auf Viren, Würmer, Spam und ähnliche Bedrohungen spezialisiert.

Das Tempo, mit dem neue Sicherheitslücken ausgenutzt werden, wächst rasant. Mittlerweile dauert es im Schnitt weniger sechs Tage, bis nach Bekannt werden einer neuen Sicherheitslücke ein so genannter „Exploit“ auftaucht. Eine Angriffsmethode, die gezielt die neue Schwachstelle ausnutzt, um Schaden anzurichten. Laut „Internet Security Threat Report“ gab es allein im ersten Halbjahr dieses Jahres 1.237 neue Schwachstellen. Das sind im Schnitt 7 neue Angriffsflächen pro Tag.

Im selben Zeitraum haben die Experten in Santa Monica 4.496 neue Viren und Würmer registriert. Viereinhalb Mal mehr als im Vorjahr. „Mittlerweile werden auch Handys und Organizer attackiert“, erklärt Weafer. „Außerdem weisen die Angriffsmethoden immer ausgefeiltere Infektionsmechanismen auf: Schädlinge wie Gaobot oder Beagle mutieren, verändern also ihr Aussehen und machen es so schwerer, aufgespürt zu werden.“

Deshalb ist Tempo wichtig. Spätestens nach vier Stunden haben die Experten in Santa Monica in der Regel geeignete Gegenmittel entwickelt, um die Bedrohung abzuwehren oder aus infizierten Systemen zu entfernen. „In einfachen Fällen brauchen wir nur wenige Minuten“, berichtet Weafer.

Möglich wird das insbgesondere durch „Sara“ (Symantec Antivirus Research Automation). So nennen die Virenjäger in Santa Monica das Herz ihres Sicherheitssystems. Ein Hochleistungscomputer, schrankgroß und in einem gut gekühlten Raum aufgestellt, der rund um die Uhr ohne menschliche Hilfe nach neuen Bedrohungen fahndet.

Sara bearbeitet täglich knapp 10.000 per E-Mail eingesandte „Proben“, die meist von Kunden oder besorgten Benutzern kommen. Sara ermittelt selbständig, ob die Probe einen Virus, Wurm oder andere Form von Bedrohung enthält. Meist erhält der Einsender schon nach wenigen Minuten eine Antwort. Entdeckt Sara eine neue Bedrohung, wird die Probe vom Computersystem im Detail untersucht. Handelt es sich dabei lediglich um eine geringfügig veränderte Abart eines bekannten Virus oder Wurms, kann Sara das meist erkennen – und die neue Version automatisch in die Datenbanken eintragen. So lassen sich bereits 95% aller neuen Bedrohungen erkennen und abwehren.

Falls Sara eine bisher unbekannte Form von Bedrohung entdeckt, müssen Fachleute aus Fleisch und Blut ran. In diesem Fall werden Javier Santoyo und seine Kollegen alarmiert. „An hektischen Tagen passiert das durchaus mehrmals“, klagt Santoyo, der das rund 20-köpfige Analysten-Team leitet. „Dann müssen wir mit alle Mann sofort ins Lab.“

Im Lab rücken die Fachleute vor allem Viren und Würmern auf die Pelle. Alle Computer in Lab, darunter auch verschiedene PDAs, Organizer und Smartphones, sind von der Außenwelt abgeschottet. In Regalen stehen 100 Rechner unterschiedlichster Bauart. Ausgestattet mit allen möglichen Betriebssystemen und Anwendungsprogrammen, ob DOS, Windows, OS/2, Novell Netware, Mac OS oder Linux. „Wir müssen alles ausprobieren und testen können“, erläutert Santoyo.

Die Analysten untersuchen den Programmcode, versuchen die Art und Weise zu verstehen, wie der Virus oder Wurm funktioniert. Anschließend landen alle Daten in der zentralen Datenbank. Außerdem legen die Experten eine „Signatur“ an. Eine Art virtuelles Fahndungsfoto, damit Virenscanner den neuen Schädling erkennen können.

Danach werden die Virenscanner nach und nach mit den neuen Informationen gefüttert, damit die neue Bedrohung sofort bekannt ist. Vincent Weafer betont, dass die führenden Unternehmen in Sachen IT-Sicherheit kooperieren und sich auf dem Laufenden halten. Denn eins ist besonders wichtig: Dass Viren, Würmer und Hacker möglichst wenig Gelegenheit bekommen, ihre Tricks anzuwenden.

Verschiedene Arten von Bedrohung

Virus: Ein Programm, das sich möglichst lange versteckt hält und versucht, andere Systeme zu infizieren. Die meisten Viren verbreiten sich als Dateianhang in E-Mails, die der Benutzer anklickt und somit aktiviert,

Wurm: Ein Computervirus, der sich ganz ohne menschliches Zutun weiter verbreitet. Würmer verbreiten sich deshalb schneller als Viren.

Spam: Massenversand von Reklame-E-Mails.

Spyware: Software, die meist unbemerkt im Rechner landet und den arglosen Computerbenutzer ausspioniert. Die ermittelten Daten werden unbemerkt an Dritte weitergegeben.

Adware: Spezialform von Spyware: Präsentiert auf das Surfverhalten zugeschnittene Reklame.

Phishing: Benutzer werden mittels E-Mail aufgefordert, eine Webseite zu besuchen und werden dort durch geschicktes Ausfragen (Social Engineering) ausgeschnüffelt.

Hijacking: Methode, bei der die Startseite des Browsers „entführt“ wird: Nach dem Start erscheint eine Webseite mit Reklame, egal welche Startseite der Benutzer eingestellt hat.