Benutzer von Smartphones und Computern leben immer gefährlicher. Laut einer Untersuchung des deutschen BSI gibt es heuer bei den Sicherheitslücken einen starken Sprung nach oben.
St. Pölten. Wer sich heutzutage als Laie mit Experten für Computersicherheit unterhält, kann sich eigentlich nur noch fürchten. Seit Jahren hört man stets das gleiche Mantra: Es wird immer gefährlicher. Das ist auch 2015 nicht anders.
Andreas Könen meint das jedoch keineswegs sarkastisch. Er ist Vizepräsident des deutschen BSI, des Bundesamts für Sicherheit in der Informationstechnik, und orientiert sich strikt an Fakten. Das Amt ist in unserem Nachbarland so etwas wie die oberste Institution für Computersicherheit und untersteht dem Berliner Innenministerium. Am Dienstag präsentierte Könen in St. Pölten bei einer Tagung des Abwehramts des Bundesheeres seine Deutung der Bedrohung, die aufgrund der Grenzenlosigkeit des weltweiten Datennetzes auch für Österreich gilt. Im Wesentlichen geht es darum, dass die Zahl der kritischen Schwachstellen in Computerprogrammen, die wir alle nutzen, 2015 deutlich zugenommen hat, und zwar von im Schnitt 600 (Zeitraum 2010 bis 2014) auf über 1100 in diesem Jahr.
Von Spam bis zum Datendiebstahl
Unter redlichen Menschen ist so eine Lücke, die gewöhnlich durch einen Fehler bei der Programmierung entsteht, harmlos. Kriminelle Hacker hingegen nutzen solche Schwachstellen gezielt, um sich Zugriff – für welche Zwecke auch immer – auf das betroffene Endgerät zu verschaffen. Die Bandbreite der Einsatzzwecke reicht vom Missbrauch eines solcherart gekaperten Computers als Spam-Versender bis hin zur Zerstörung des Systems oder zum Datendiebstahl im großen Stil.
„Das Problem bei diesen kritischen Schwachstellen ist, dass es sich fast immer um relativ alte Versionen von Programmen handelt, für die Hersteller keine Updates mehr zur Verfügung stellen“, sagt Könen. Betroffen sind laut BSI Standardprodukte wie der für Videos so beliebte Flash Player, Programme und vor allem Browser von Apple, Microsoft und Mozilla, sowie insbesondere ältere Smartphone-Betriebssysteme von Google.
Fehlende Sicherheits-Updates
Eine bis ins letzte Detail stichhaltige Erklärung für den aktuell rasanten Anstieg von Sicherheitslücken haben die Experten des BSI nicht. Für Könen ist es jedoch naheliegend, dass er unmittelbar mit den einerseits vielen Versionswechseln der großen Softwarehersteller zu tun hat, die andererseits zur Folge haben, dass ältere Produkte häufig keine Sicherheits-Updates mehr bekommen. Dabei verschwinden die alten, und damit meistens unsicheren Versionen keineswegs vom Markt. Billig-Smartphones vom Diskonter sind so ein Beispiel. Vor allem Googles Android von Version 4.4 abwärts gilt unter Experten als ein solches Risikosystem.
Nun fragen sich viele zufriedene Nutzer von solchen Smartphones: Was soll mir schon passieren? Um ein Gerät mit Schadsoftware zu infizieren, reicht es heutzutage aber schon, eine seriöse, vertrauenswürdige Website anzusteuern, die Werbebanner von einem Drittanbieter ausspielt, auf die der eigentliche Website-Betreiber gar keinen Einfluss hat.
Dem BSI sind Fälle bekannt, in denen zum Beispiel Privatdetektive die Telefone von zu überwachenden Personen relativ einfach mit Schadprogrammen infizierten und so vollen Zugang zu ihrem Privatleben erhielten. Das Ausnutzen von Schwachstellen zum Eindringen in Computersysteme von Smartphones hat jedoch nur selten eine ausschließlich private Dimension. Viele Menschen verwenden ihre Geräte – häufig mit Wissen ihres Arbeitgebers – für den Beruf, verbinden sich mit Firmennetzwerken, nutzen ihr Smartphone zum Austausch vielleicht sogar sensibler Daten.
Gezielte Angriffe als Markt der Zukunft
Stellen die Schwachstellen in der von uns verwendeten Software auch das Einfallstor für die Massendelikte in der Computerkriminalität dar, sind ganz gezielte Angriffe auf bestimmte Personen, Unternehmen oder Behörden eher selten. Das liegt vor allem an dem hohen Aufwand, der dahintersteht. Unabhängig davon sind gezielte Angriffe aber äußerst effektiv – und der Markt der Zukunft, wie BSI-Vizepräsident Könen glaubt. Zwar wird ein Gutteil solcher Spähaktionen von Firmen und Behörden im Laufe der Zeit erkannt. „Im Schnitt dauert das jedoch 243 Tage. Genug Zeit also, damit der Angreifer sein Ziel erreichen kann.“
("Die Presse", Print-Ausgabe, 04.11.2015)