Der Kampf gegen die Cyber-Mafia ist nicht mehr zu gewinnen

"Kampf im Cyberspace - Wer wird gewinnen?" titelt eine neue Analyse [Link entfernt] des Sicherheitsunternehmens Kaspersky, um den Leser dann mit der drastischen Feststellung zu überraschen, es könne nicht mehr die Rede davon sein, die Cyber-Kriminellen vollständig zu besiegen. Die Frage sei vielmehr, ob es noch gelingen kann, das rasante Ansteigen der Cyber-Kriminalität einzudämmen. In einem sich beständig verschärfenden Konflikt würde es den Sicherheitsunternehmen gegenwärtig noch gelingen, wirksame Gegenwehr gegen einen anschwellenden Strom von Schadprogrammen zu leisten. Der Kampf gegen die organisierten Internet-Verbrecher würde sich jedoch von Jahr zu Jahr schwieriger gestalten. Während die Antiviren-Hersteller sich früher noch "spielend" der Malware-Flut entgegenstellen konnten, müsse man inzwischen gegen eine hochgerüstete Cyber-Mafia ankämpfen, deren finanzielle Ressourcen Schätzungen zufolge die der IT-Sicherheitsdienstleister inzwischen bei weitem übersteigen.

Der Zeitpunkt, die Situation unter Kontrolle zu bringen, ist unwiderruflich verstrichen

Der Anwender ist in dieser Konfrontation Opfer und zugleich Motor der Entwicklung, da er die lukrative Einkommensquelle der Online-Kriminellen darstellt. Auch der Staat ist der Einschätzung von Kaspersky zufolge eher ein Opfer, als ein ernst zu nehmender Gegner in der Konfrontation. Obwohl der Staat eigentlich über die besten Mittel zur Gegenwehr verfüge, sei er zugleich der am langsamsten agierende Teilnehmer des Kampfes - inzwischen sei der Zeitpunkt, an dem es möglich gewesen wäre, die Situation unter Kontrolle zu bringen, "unwiderruflich verstrichen". Die Online-Kriminalität habe inzwischen derartige Ausmaße erreiche, dass es dem Staat schlicht an Ressourcen mangele, sich auch nur einem Teil der vergangenen Verbrechen anzunehmen. Auf staatlicher Seite habe man das Problem der Internet-Kriminalität viel zu spät erkannt und bisher ergriffene Maßnahmen hätten nicht die geringste Verbesserung der Situation erzielt.

Einen kleinen Lichtblick sieht Kaspersky in der Einstellung von Unternehmen gegenüber der Cyber-Kriminalität. Viele Unternehmen seien den endlosen Angriffen der Cyber-Kriminellen inwischen überdrüssig und machten Front gegen die Online-Kriminellen. Während die Jahre 2004 und 2005 den Zeitpunkt der "absoluten Kriminalisierung" des Internet markierten, sei es das Jahr 2006, in dem die Wirtschaft begonnen habe, der Cyber-Kriminalität die "Zähne zu zeigen" und dieser Art des Verbrechens gebührenden Widerstand entgegenzubringen.

Es sei zu jedoch leider zu beobachten, dass während sich die Internet-Kriminalität immer besser organisiere und konsolidiere, die Fraktionen der Verteidiger immer weiter auseinanderdriften. Antiviren-Hersteller, Wirtschaft und staatliche Institutionen würden nur sehr ungern untereinander Informationen austauschen, was zu unnötigem Zeitverlust führe und die Ergreifung angemessener Gegenmaßnahmen erschwere.

Packer, Sandwiches und Rootkits - die Methoden der Malware-Autoren

Auf technischer Ebene eskaliert eine Konfrontations-Spirale der Schutzsysteme der Antiviren-Hersteller gegen immer weiter optimierte Schadprogramme der Internet-Kriminellen, die diese in beständig erhöhter Geschwindigkeit in Umlauf bringen. Lag die Zahl der erstmalig in Erscheinung getretenen Schadprogramme im Jahr 2001 noch bei etwa 8 800, hat sich diese Zahl bis zum Jahr 2006 mit über 86 000 fast verzehnfacht. Die Internet-Kriminellen setzen dabei effiziente Strategien ein, um der Erkennung durch Antiviren-Programme zu entgehen. So setzen die Malware-Autoren der Cyber-Mafia zunehmend sogenannte "Packer" ein, die die Schadprogramme verschlüsseln. So müssen die Malware-Schreiber ein den Antiviren-Herstellern schon bekanntes Schadprogramm nicht mehr neu gänzlich schrieben, um der Erkennung zu entgehen. Es reichen geringfügige Modifikationen des Packers - eine Methode die Kaspersky zufolge den Malware-Autoren ihre Arbeit ungemein erleichtert.

Die Antiviren-Hersteller ihrerseits kennen natürlich die Packer und setzen dieser Methode Erkennungsprogramme gegenüber. Gleichzeitig aber steigt die Zahl der noch unbekannten Packer stetig: Während im Jahr 2002 etwa 46 Prozent der Schadprogramme mit Packern verschlüsselt waren und davon nur etwa 3 Prozent unbekannt waren, wurden im Jahr 2006 schon bei 73 Prozent der Schadprogramme Packer eingesetzt, von denen aber nunmehr 28 Prozent unbekannt waren. Die Malware-Autoren verschlüsseln ihre Programme zudem gleich mit mehreren Packern, um die Erkennungsrate niedrig zu halten. Solche "Sandwiches" nehmen inzwischen einen Anteil von 33 Prozent der verpackten Schadprogramme ein.

Der Anteil von Schadprogrammen, die selbst aktiv gegen die Antiviren-Programme auf den Rechnern ihrer Opfer vorgehen, indem sie den Update-Mechanismus der Antiviren-Programme sabotieren, die Antiviren-Programme löschen, oder sich mit Rootkit-Techniken der Erkennung entziehen, ist in den vergangenen Jahren ebenfalls deutlich gestiegen. Lag der Anteil diese agressiven Schadprogramm-Varianten im Jahr 2002 noch unter 5 Prozent, stieg er bis zum Jahr 2006 auf fast 13 Prozent. Der Anteil der Rootkits stieg in diesem Zeitraum von 0,45 Prozent auf fast 4 Prozent.