McAfee ist ein angesehener Hersteller von Sicherheitsprogrammen. Schon im Februar 2008 hat er in Zusammenarbeit mit seinen eigenen Avert Labs den Report "Ein Internet, viele Welten" in deutscher Sprache veröffentlicht (1), in dem er besonders die globalen Malware-Trends mit ihren nationalen Besonderheiten beschreibt. Die einzelnen Beiträge sind in einer verständlichen Sprache ohne die im IT-Bereich gepflegte Fremdelei verfasst.

Der Beitrag von Muttik, der sich Russland widmet (2), ist bereits eingeflossen in den Aufsatz über Schurken-Provider und organisierte Cybercrime. Er beschreibt Russland als ein Hochtechnologieland mit exzellenten technischen Anbindungen und hervorragend ausgebildeten Menschen mit geringen Chancen, mit ehrlicher Arbeit gutes oder überhaupt Geld zu verdienen. Muttik sieht eine starke Tendenz zur Verfolgung der Cybercrime, die zu einem Verdrängungswettbewerb mit anderen Ländern führen werde. Sie hat aber im Hinblick auf das Russian Business Network - RBN - zu keinen nachhaltigen Erfolgen geführt. Es hat einfach seine Filialen verlagert und ausgebaut.
 

 
Der Report hat zwei Vorgänger.

Der erste Report erschien im Juli 2006 und nahm sich zum Schwerpunkt die Open Source-Software und Sicherheitsprobleme, die in ihrem Zusammenhang gesehen werden (3). Das Fazit (S. 3): Open-Source-Systeme haben zwar keine Schuld an den derzeitigen Sicherheitstrends, sie stellen jedoch einen bedenklichen Antriebsfaktor für Malware dar. Er warnt bereits vor Botnetzen und dem Phishing und von Dmitry Gryaznov wird die durchaus spannende Geschichte der Malware referiert (S. 8).

Unter der Überschrift "Die Macht des Geldes" berichtet Igor Muttik (S. 15) über Malware-Schreiber und ihre Verdienstmöglichkeiten. Die weiteren Themen sind Rootkits, die Leistungsfähigkeit von Botsoftware und die Veröffentlichungen von Sicherheitslücken wegen Standartsoftware. Man merkt den Autoren den offenen inneren Zweifel an: Sie wollen die offene Software ja nicht verteufeln, aber ...
 

 
Der zweite Report vom April 2007 widmete sich ausdrücklich der Cyber-Kriminalität (4). Er greift die Themen aus dem ersten Report wieder auf und aktualisiert sie im Hinblick auf Handyviren, Voice over IP, das Vordringen von Spyware, das unbedarfte Umgehen mit sozialen Plattformen im Internet, das seinerzeit neue Vista von Microsoft und weiteren Themen.

Der Report hat weniger Seiten (21 S., 1 MB) als der erste (44 S., 4,9 MB). Selbst in der Rückschau erweist er sich als auf der Höhe seiner Zeit und unternimmt er notwendige und richtige Ausflüge zum IT-Management. Dennoch wirkt er bemüht, unvollständig und ohne die richtige Leidenschaft, die im Zusammenhang mit den angesprochenen Themen erwartet werden könnte.

Die Beiträge wirken schaumgebremst, genauso wie der bereits angesprochene von Muttik über Russland. Open Source-Programmierer und besonders jene, die Malware schreiben, sind Gegner und keine Geschäftspartner. Aber auch diese wurden im ersten Report angebellt, aber nicht richtig gebissen. Gegen Open Source haben die McAfee-Leute im Grunde auch gar nichts.
 

 
Unter der üblichen, aber versteckten Rubrik "White Papers" (5) bietet  McAfee eine Reihe von Aufsätzen - auch in deutscher Sprache - an, die in die Reporte eingeflossen sind. Sie behandeln mehr umgrenzte Themen und, das ist McAfee sehr zu Gute zu halten, sie verwenden eine sehr klare und verständliche Sprache.

Sie behandeln spezielle Themen, wie die Funktionsweise von Rootkits (6), den Identitätsdiebstahl (7) und die Spyware (8). Daneben kommen auch Themen von allgemeinem Interesse zu Wort, seien sie es das Spamming (9), die Besonderheiten beim Bilder-Spamming (10) oder die Handy-Viren (11).

Erheblich "knalliger" wirkte McAfee's Zweite große europäische Studie über das Organisierte Verbrechen und das Internet (12) vom Dezember 2006. Sie hat den Biss, den das Thema erwarten lässt. Die Studie beschreibt einige Typen von Cyber-Kriminellen (S. 9), die so auch in jüngeren Berichten auftauchen.
 

 
Die Täter der Internetkriminalität reichen heute (2006) von Anfängern mit nur eingeschränkten Programmiererkenntnissen, die ihre Angriffe nur mit vorgefertigten Skripts durchführen können, bis hin zu gut ausgebildeten professionell arbeitenden Kriminellen, die über die aktuellen Ressourcen verfügen.

Nur etwa  2% der Hacker und Malware-Schreiber gehören zur puristischen  Elite der Bedrohungsautoren. Diese Innovatoren suchen die Herausforderung und nach Sicherheitslücken aus Begeisterung an der Sache. Ihre Gefährlichkeit wird als gering eingestuft, weil sie wissen, was sie tun.

Mittelmäßig gefährlich sind die ruhmgierigen Amateure. Sie sind Anfänger mit nur eingeschränkten Computer- und Programmiererkenntnissen, nutzen vorgefertigte Tools und bekannte Tricks und suchen nach Anerkennung in den Medien. Sie überblicken aber die Folgen ihres Handelns nicht und machen Fehler, die zu ihrer Entdeckung führen.

Gleichermaßen mittelmäßig gefährlich sind die Nachahmer, die Trittbrettfahrer, die verzweifelt versuchen, ihren berühmten Vorbildern nachzueifern, aber keine Innovationen oder eigenständige Leistungen in die Szene einbringen.
 

 
Aus der Gruppe der  verärgerten oder ehemaligen Mitarbeiter, Zulieferer oder Berater stammen die hoch gefährlichen Insider. Sie verfügen über Detail- und Exklusivwissen und häufig auch über Zugangsrechte, die sie während ihrer Mitarbeit erhalten hatten. McAfee schätzte schon 2006 ihre Bedeutung als steigend ein. Sie handeln böswillig und zielgerichtet, zerstörerisch oder auf ihren finanziellen Vorteil bedacht. Ihnen kann man nur begegnen mit einer klaren, organisatorischen Sicherheitsstruktur und gelebten Sicherheitskultur.

An die Spitze der hoch gefährlichen Kriminellen stellt McAfee die Organisierten Internetverbrecher. Wie in den meisten Gemeinschaften erfolgreicher Krimineller sitzen tief im Inneren einige streng abgeschirmte Köpfe, die sich auf die Mehrung ihrer Gewinne mit beliebigen Mitteln konzentrieren. Sie umgeben sich mit den menschlichen und technischen Ressourcen, die dies ermöglichen. Neuerdings würde man bei ihnen von Koordinatoren, Spezialisten, Leitern von Operation Groups und Rogue-Providern sprechen.

Diese Studie hat es in sich (12) und wird fortgeschrieben von den für 2008 erwarteten Gefahren (13).
 

 
Die jüngste, dritte "Analyse globaler Sicherheitsbedrohungen" (GTR) geht einen anderen Weg als ihre Vorgänger und untersucht globale Malware-Trends aus dem Blickwinkel der Besonderheiten in verschiedenen Ländern [auch (1)].

Der einleitende Artikel von Joe Telafici (14) weist auf die zunehmende Professionalität der Nachrichten und Webseiten hin mit denen die Anwender zur unbedarften Installation gebracht werden (siehe Kasten links).Es zeige sich eine Tendenz dazu, Sicherheitslücken in exotischer Software auszunutzen und die Wirkungen eines Angriffs beschränken und das besonders auf solche Länder, in denen keine intensive Strafverfolgung erwartet wird.

Dabei sind verschiedene Motivationen feststellbar, die sich nicht nur gegen das Vermögen von Privatleuten richten (Identitätsdiebstahl, Phishing), sondern auch die gezielte Industriespionage, die politische Auseinandersetzung (15) und die staatliche Spionage umfassen.

Telafici schließt mit einem Appell zur Intensivierung und Globalisierung der Strafverfolgung: Für uns ist offensichtlich, dass die juristischen, finanziellen und technischen Möglichkeiten der Ordnungshüter in den verschiedenen Teilen der Welt sich wie Tag und Nacht unterscheiden können. Da Angriffe selten innerhalb eines einzelnen Landes begonnen, durchgeführt und abgeschlossen werden, können wir Malware-Autoren und Cracker aufgrund dieser Situation selbst dann nur mit Mühe behindern oder stoppen, wenn die Beteiligten sehr gut bekannt sind. Diese mangelhafte internationale Koordination ist einer der Hauptgründe dafür, warum Cyber-Kriminalität heute als risikoarm gilt.
 

 
Der erste Bericht von Shinsuke Honjo führt nach Japan (16), wo "Winny" besonders beliebt ist und zwischen Dezember 2006
und Januar 2007 täglich 290.000 bis 450.000 Benutzer hatte. Winny ist ein Peer-to-Peer-Netzwerkanwendung, die es ermöglicht, den Austausch von Dateien so zu organisieren, dass sie unmittelbar zwischen den Anwendern ohne Zwischenspeicher im Netz wechseln.

Diese Technik wird zunehmend zur Verbreitung von Malware missbraucht, die Dateien löscht und andere Schadfunktionen. Am häufigsten verbreitet sich W32/Antinny.worm über Winny. Dieser versucht, die Dateien auf dem befallenen Rechner im Netzwerk freizugeben. Als Folge davon werden anderen Benutzern im P2P-Netzwerk vertrauliche oder persönliche Dateien zugänglich gemacht. Opfer sind auch staatliche Einrichtungen, Unternehmen und nicht zuletzt auch ein Atomkraftwerk.

Eine Besonderheit in Japan sind gezielte Angriffe unter Ausnutzung von Sicherheitslücken in exotischen Programmen. Honjo nennt insoweit die Textverarbeitung Ichitaro, die kostenlosen Dekomprimierungsprogramme Lhaca und lhaz und die Dateiformate aus der Windows-Familie.

Honjo fordert mehr Regeln und gelebtes Bewusstsein über Sicherheitsfragen. Über die Angreifer und ihre Motive weiß er wenig zu berichten. Jedenfalls in einem infizierten Word-Dokument wurden chinesischen Schriftzeichen entdeckt, die in Japan nicht verwendet werden. Das lässt den Schluss zu, dass es mit einer chinesischen Word-Version erstellt wurde und womöglich seinen Ursprung im Ausland hat.
 

 
Nach China führen uns Geok Meng Ong und Yichong Lin (17) und leiten damit ein, dass China ein rasantes wirtschaftliches Wachstum aufweist, das sich insbesondere auch durch einen Boom bei den Internetanwendungen und ihren Nutzerzahlen ausdrückt (18). Einer besonderen Beliebtheit erfreuen sich Onlinespiele mit insgesamt 31 Millionen Spielern, so dass die Regierung zum Schutz Minderjähriger eine zeitliche Begrenzung eingeführt hat. Diese Game Fatigue Regulation wird damit durchgesetzt, dass ein Spieler nach drei Stunden "Erfahrungspunkte" verliert und nach fünf Stunden alle Punkte, die er beim Spiel gewonnen hat.

Ebenso beliebt ist virtuelles Spielgeld, das 2003 eingeführt wurde und allgemein als Währungsersatz auch für Porno-Seiten und Online-Kasinos angenommen wird (siehe Kasten links). Dadurch hat sich ein profitabler Markt für Dienstleistungen in Form von Spielständen entwickelt und ihre Bezahlung mit virtuellen Geld. Darauf reagierte auch die Chinesische Malware-Szene: Etwa 70 % aller Benutzer sollen bereits das Opfer eines QQ-Kontendiebstahl geworden sein.

Anonyme Zahlungsvorgänge lassen sich schließlich per Prepaid Game Cards abwickeln. Sie kommen bevorzugt in Online-Shops und -Spielcentern zum Einsatz.

In Bezug auf die Cybercrime sind in China der Identitätsdiebstahl, das Phishing und der Handel mit (gestohlenen) virtuellen Waren zu bemerken. Unterstützt wird sie durch eine hohe Arbeitslosenquote bei jungen Hochschulabsolventen (bis zu 43 %). Die Verfolgung der Kriminellen soll inzwischen sehr ernst genommen und gefördert werden.

Das vierte Land, dem sich der Report widmet, ist Russland. Auf Igor Muttiks Bericht [auch (2)] wurde bereits einleitend und an anderer Stelle eingegangen.
  

 
In Europa habe sich die Malware wegen der Sprachvielfalt und damit einhergehend voneinander abweichenden Betriebssystemversionen nur verzögert entwickelt. Das gelte nach Toralv Dirro und Dirk Kollberg auch für Deutschland (19). Infolge der Verbreitung von Botnetzen und den verfeinerten Methoden beim Phishing tauchen jetzt keine oder kaum noch Nachrichten in gebrochenem Deutsch auf (20).

Heute sind die Texte in perfektem Deutsch geschrieben, sie nehmen auf aktuelle Ereignisse Bezug und spielen mit der Erwartungshaltung der Benutzer. Sie thematisieren den Kauf von Eintrittskarten zur Fußballweltmeisterschaft, die Onlinedurchsuchung und angebliche Käufe bei beliebten Handelsplattformen (Dell, eBay usw.), um ihre Schadfunktionen zu verbreiten. Speziell in Deutschland werde der Downloader-AAP-Trojaner mit der Trägerdatei Rechnung.pdf.exe eingesetzt, um Homebanking-Verbindungen zu „übernehmen“ und Benutzeranmeldeinformationen und Transaktionsnummern ... zu stehlen.

Die Autoren schildern weitere Beispiele für besondere deutschsprachige Malware und schließen am Ende:

Betrügerische Jobanbieter, die Mittelsmänner für Geldgeschäfte suchen – ein kaum verhüllter Versuch, Unschuldige für schmutziges Geld zu engagieren – machen heutzutage einen sehr professionellen Eindruck und werden zukünftig wohl noch stärker auf lokale Gegebenheiten eingehen. Es ist wahrscheinlich, dass die Deutschen schon bald im selben Maße Phishing-Angriffen, per E-Mail verteilten Trojanern und Spam ausgesetzt sein werden wie Benutzer in englischsprachigen Ländern.
 

 
Den klassischen Schwerpunkt der Cybercrime in Brasilien sehen Pedro Bueno und Patricia Ammirabile bei der Auskunftschaftung von Bankzugangsdaten (21). Das Land leide vor Allem unter Trojanern, die als „PWS-Banker“ bezeichnet werden. Dabei steht „PWS“ für das englische Wort „Password Stealer“ (Kennwortdiebe). (22) Der Finanzsektor habe allein 2005 Schäden in Höhe 165 Millionen US-Dollar durch Cybercrime erlitten. Als Reaktion darauf hätten die Banken in Brasilien das modernste und sicherste Online-Banking eingerichtet, zum Beispiel mit verschiedenen PINs für den Kontozugang und die Transaktion.

Die Autoren beschreiben im Einzelnen die Funktionsweise einer aktuellen Malware - PWS-Bankers.dldr, die mit winzigen Datei einen Downloader installiert und schließlich ihre benötigten Komponenten nach lädt (bis zu 4 MB). Abschließend meldet sich die Malware bei ihrem Meister per E-Mail und übermittelt alle ausgeforschten Daten über die Systemumgebung. Anschließend überwacht sie die Aktivitäten des Anwenders, forscht seine Kontodaten aus und übermittelt sie ebenfalls per E-Mail. Auf Änderungen am Design der Bankportale sollen die Täter binnen weniger Tage reagieren - und einer nachhaltigen Strafverfolgung ausgesetzt sein.
  

 
Die abschließende Länderstudie von Allysa Myers betrifft die USA (23). Was sie beschreibt, lässt sich kaum noch als Cybercrime, sondern als digitalen Bürgerkrieg verstehen.

Was die Malware anbelangt kennen die USA keine Schwerpunkte. Ihre Anwender leiden unter allen Spielarten und das immer als erste. Das läge besonders auch daran, dass in den USA die Informationstechnik am frühesten Eingang in das Geschäftswesen, den Hochschulen und den Privathaushalten gefunden habe.

Myers geht kurz auf die jungen und immer wieder nachwachsenden Generationen der Script-Kiddies ein. Ein Großteil aller Malware-Erscheinungen könnten auf ihre Spielereien zurück gehen. Myers meint, dass dieses Phänomen wahrscheinlich fortbestehen, aber dadurch entschärft wird, dass besonders in der IT-Branche gute Gehälter bezahlt würden und gute Beschäftigungschancen bestünden. Die Strafverfolgung bliebe im Allgemeinen hilflos angesichts der Vielzahl und häufig jugendlicher Malware.
 

 
Natürlich machen McAfee und die Avert Labs Werbung mit ihren Sicherheitsberichten und den anderen White Papers und selbstverständlich zeigt Christopher Bolin in seinem Schlusswort [S. 20 der Gesamtausgabe, auch (1)] Stolz darauf, dass frühere Vorhersagen so eingetreten sind, wie sie angekündigt waren. Die Werbung bleibt jedoch weit hinter dem zurück, was man von anderen bekannten IT-Unternehmen, aber eben gerade nicht von denen gewohnt ist, die sich mit Malware und ihrer Abwehr befassen. Das gilt auch zum Beispiel für Symantec (24) und Kaspersky (25), die ebenfalls sachliche Informationen kompetent und ohne lautes Trommeln verbreiten.

Beachtlich und gelungen ist der neue Ansatz von McAfee, die Entwicklung der Malware unter einem nationalen Blickwinkel zu betrachten. Die Länderstudie über China ist einzigartig und nicht einfach nur exotisch. Sie macht den Zusammenhang zwischen (Spiel-) Kultur, Wirtschaft (Akademikerarbeitslosigkeit, virtuelles Geld und anonyme Zahlungswege) und Gesellschaft und damit die Umfelder für die organisierte Cybercrime besonders deutlich.

Dem stehen die Länderberichte über Russland und Japan kaum nach. Russland zeigt sich darin als ein ernst zu nehmendes Hochtechnologieland mit fähigen Experten, die wenig Hoffnungen auf lukrative Beschäftigungen haben können, wenn sie nicht im Illegalen arbeiten wollen. Die Methoden ihrer Rekrutierung werden besonders gut in der großen europäische Studie über das Organisierte Verbrechen und das Internet [siehe oben und (12)] und lassen KGB-Traditionen anklingen (26).
 

 
Auffällig ist die Hilflosigkeit, die in dem Länderbericht über Japan zum Ausdruck kommt. Dort scheint der Missbrauch persönlicher Daten so verbreitet zu sein, dass eigentlich alle Alarmglocken läuten und Gegenmaßnahmen eingeleitet sein müssten.

Dem entgegen stimmt der Länderbericht über Brasilien optimistisch: Wir haben ein Problem? Dann bauen wir eben das sicherste Homebanking der Welt auf! Ansonsten beschränkt sich dieser Bericht etwas zu sehr auf die Funktionsweise von Malware. Aber man muss anerkennen, dass es sich um eine Malware-Studie handelt, und nicht eine über die personellen Strukturen der Cybercrime.

Deutschlands Besonderheiten liegen darin, dass die Malware Deutsch gelernt hat. Außerdem hebt die Länderstudie hervor, dass die Deutschen auffallend vorsichtig und misstrauisch mit dem Internet umgehen, so dass es die Malware besonders schwer hat, Fuß zu fassen.

Diese Aussagen wirken unspektakulär. Sie sind jedoch Bestandteil eines Ländervergleichs und wir werden akzeptieren müssen, dass sie tatsächlich die hiesigen Besonderheiten treffen.

Die USA sind der Schmelztiegel der Cybercrime, wo alles vor kommt und das auch noch als erstes. Auch das wird man so hinnehmen müssen.

Ich wünsche mir weitere Länderberichte nach dem Vorbild über China. Ich möchte mehr über die weltweit dienenden Callcenter in Indien und Ägypten erfahren, über die IT-Kultur in Nigeria, in dem aufstrebenden Südafrika oder über die mit der englischen Sprache kämpfenden Franzosen. Auch die Softwareentwicklung in Indien und die Malware-Kultur in der Türkei könnte interessant sein.

Ich freue mich also auf den nächsten Report und hoffe, dass er nicht zu den Ansätzen der ersten beiden Sicherheitsberichten zurück fällt.
 

(1) McAfee, Lokalisierte Malware etabliert sich ;
Sicherheitsreport Ein Internet, viele Welten (3,2 MB)

(2) Igor Muttik, Russland: Die Wirtschaft und nicht die Mafia treibt Malware voran

(3) Der Preis für die Vorteile von Open Source, McAfee Juli 2006

(4) Die Zukunft der Cyber-Kriminalität, McAfee April 2007

(5) McAfee Avert Labs Technical White Papers

(6) Rootkits, Teil 1: Die wachsende Bedrohung, McAfee 26.04.2006
Aditya Kapoor, Ahmed Sallam, Rootkits Teil 2: Überblick über eingesetzte Techniken, McAfee April 2007

(7) François Paget, Identitätsdiebstahl, McAfee 04.01.2007 (ZIP-Datei)

(8) Anna Stepanov, Spyware: Beständiger Wandel, McAfee 30.01.2008

(9) Nick Kelly, Sagen Sie „Nein, danke“ zu unerwünschten E-Mails, McAfee 22.06.2007

(10) Nick Kelly, Bilder-Spam: Die neue E-Mail-Plage, McAfee 24.05.2007

(11) Zhu Cheng, Malware für Mobiltelefone: Bedrohungen und Vorbeugung, McAfee 05.09.2007

(12) Zweite große europäische Studie über das Organisierte Verbrechen und das Internet, McAfee Dezember 2006 (ZIP-Datei)
  

 
(13) McAfee Avert Labs-Prognosen zu den Top 10 der Bedrohungen für das Jahr 2008, McAfee 16.11.2007

(14) Joe Telafici, Ein Internet, viele Welten, McAfee Februar 2008

(15) DDoS-Angriff auf Estland

(16) Shinsuke Honjo, Japan: Malware verbreitet sich von Peer zu Peer, McAfee Februar 2008

(17) Geok Meng Ong, Yichong Lin, China: Die Bedrohungsvielfalt im Reich der Mitte, McAfee Februar 2008

(18) Nach jüngsten Zahlen hat China mit 253 Millionen Internetnutzer die weltweit meisten: China hat überholt

(19) Toralv Dirro, Dirk Kollberg, Deutschland: Malware lernt die Sprache, McAfee Februar 2008

(20) Die einzigen, die ihrer Masche und ihren schlechten Sprachgewohnheiten treu geblieben sind, sind die Leute von der Nigeria-Connection.

(21) Pedro Bueno, Patricia Ammirabile, Brasilien: Zechprellerei bei der Bank, McAfee Februar 2008

(22) Bei den frühen Meldungen über das Phishing und vor allem das Skimming bildete Brasilien auch meiner Erinnerung nach einen Schwerpunkt. Die ältesten Abbildungen von Vorsatzgeräten stammen aus Brasilien, so auch die, die der Cyberfahnder verwendet.

(23) Allysa Myers, USA: Der große Malware-Schmelztiegel, McAfee Februar 2008

(24) Symantec, Hintergrundberichte

(25) Kaspersky, Lesesaal

(26) siehe auch Cybercrime: Zusammenarbeit von Spezialisten