Symantec Sicherheitsbericht

19. März 2007

Symantec gibt in seinem neuesten "Internet Security Threat Report" Einblicke in verschiedenste Bereiche der Internet-Kriminalität. Und diese Daten lassen in ihrer Gesamtheit den Schluss aufkommen, dass von einem sicheren Internet noch lange nicht die Rede sein kann - eher im Gegenteil.

Im Bereich der Botnets geht das Sicherheitsunternehmen beispielsweise davon aus, dass die Zahl der bot-infizierten PCs im 2. Halbjahr 2006 auf 6 Millionen angestiegen ist. Das entspricht einem Plus von 29% gegenüber dem 1. Halbjahr 2006. Gleichzeitig soll aber die Zahl der Server, die diese Bot-Netze kontrollieren und lenken um ein Viertel (25%) abgenommen haben. Für Symantec ein Hinweis auf Konsolidierungserscheinungen im Bereich der Bot-Szene.

Ein weiteres Ergebnis betrifft das Bekanntwerden von Zero-Day-Lücken, also von Sicherheitslücken, für die der zuständige Hersteller noch keine Abhilfe zur Verfügung stellt. Im 1. Halbjahr 2006 wurde ein solches Zero-Day-Exploit bekannt, im 2. Halbjahr waren es dagegen ganze 12. 

Wieder ein anderer Problembereich, der in dem Bericht angesprochen wird, betrifft das Problem der illegalen Identitätsübernahme ("Identity Theft"). Hier ist es zunächst interessant, dass in 54% dieser Fälle die Täter mit Hilfe physikalischer Datenträger (z.B. Festplatten, USB-Sticks) in den Besitz von Daten (z.B. Kreditkartennummern, PINs, Passwörter) ihrer Opfer gekommen sind.

Ein Grund mehr, wieder einmal auf Software-Lösungen wie den Universal Password Manager (Java) hinzuweisen, mit dem sich bspw. Zugangsdaten auf dem USB-Stick sicher speichern lassen. Das Fraunhofer SIT hat eine ähnliche Java-Software für den Mai angekündigt, die allerdings kostenpflichtig sein wird.

Dass der Schutz solcher Daten aber notwendig ist, zeigt ein anderes Datum, das Symantec liefert: Erstmals hat das Unternehmen auch überprüft, zu welchen Preisen die gestohlenen Daten auf dem Schwarzmarkt gehandelt werden und diese Preise scheinen wohlfeil: Eine gültige US-Kreditkartennummer incl. Verifizierungs-Code ist derzeit für Preise zwischen 1 und 6 Dollar zu haben.

Ein kompletter Datensatz beziehungsweise eine vollständige "Identität", bestehend aus mindestens einem Bankkonto, einer Kreditkarte, dem Geburtsdatum und einer "Government issued Identification Number" (z.B. Sozialversicherungsnummer) kostet gerade noch zwischen 14 und 18 Dollar. Am Rohstoff "identifizierende Daten" scheint kein Mangel zu bestehen.