CERT: Feuerwehr für IT-Sicherheit

Kärntens Problem mit "Conficker" hat gezeigt, dass auch Österreichs kritische Infrastruktur nicht vor Wurmattacken gefeit ist. Das Computer Emergency Response Team of Austria (CERT.at) hat die Aufgabe, im IT-Notfall zu helfen. Im Gespräch mit ORF.at sprechen die Sicherheitsexperten über Strategien im Umgang mit "Conficker" und neue Ansätze zur Vernetzung der IT-Sicherheitsstellen in der EU.

Zwei CERTs für Österreich

CERT.at wurde vor rund einem Jahr gegründet. Betrieben wird das Projekt vom heimischen Domain-Verwalter nic.at und dem Bundeskanzleramt (BKA). Die technische Arbeit wird vom CERT erledigt, während sich das BKA vorwiegend um die politische Vernetzung - insbesondere auf EU-Ebene - kümmert. CERT.at ist die zweite Sicherheitsstelle dieser Art in Österreich. Seit 2003 existiert bereits ACOnet CERT, das vom IT-Security-Team des Zentralen Informatikdiensts der Universität Wien betrieben wird.

• CERT.at

• ACOnet CERT

"Wir sind vergleichbar mit der Feuerwehr", erklärt Teamleiter Otmar Lendl den Auftrag von CERT.at. "Wir helfen im Notfall, und wir versuchen, Schäden präventiv zu vermeiden." Bei Angriffen auf Rechner, die so umfangreich sind, dass sie die nationale Infrastruktur bedrohen, dient das CERT als Koordinierungsplattform und informiert die jeweiligen Netzbetreiber und die Sicherheitsexperten in Firmen und Institutionen. Beispielsweise hatte CERT.at bei Sicherheitstests anlässlich der Fußball-EM 2008 Koordinierungsschritte für einen Notfall geübt.

Ein Hauptfokus des vierköpfigen Teams ist auf die kritische Infrastruktur Österreichs gerichtet. CERT.at soll hier die Rolle einer Leitstelle spielen. Als Institution muss es sich aber erst noch etablieren. "Bei Waldbränden und Hochwasser wissen alle, wen sie anrufen sollen", so Lendl. Im IT-Bereich gebe es für große Notfälle noch relativ wenige Strukturen und Pläne.

Notfallübungen während der EM 2008

Das haben auch die langwierigen Probleme mit dem Wurm "Conficker" gezeigt, der im Frühjahr Spitäler und Behörden in Kärnten befallen hatte. "Die Erfahrungen aus Kärnten waren sehr hilfreich", meint Lendl. "Die 'Conficker'-Probleme in der Kärntner Landesregierung und in den Spitälern haben gezeigt, was alles passieren kann und was für die Behebung relevant ist."

Die technischen Aspekte stehen dabei im Vordergrund: Welche Schnellmaßnahmen sind etwa zu setzen, wenn alle Arbeitsplatzcomputer verwurmt sind? Wo beginnt man mit der Arbeit, wie stellt man sicher, dass alle Büros zugänglich und alle wichtigen Passwörter vorhanden sind? Ebenso wichtig ist, die Verantwortlichen zu kennen und eine Liste von Personen zu haben, die im Notfall zu verständigen sind.

"Die EM war ein guter Anlass, das einmal theoretisch durchzuspielen", erläutert Aaron Kaplan, Mitarbeiter von CERT.at. "Im Ernstfall muss klar sein, wo mit der Arbeit begonnen werden kann, um wieder einen Basisbetrieb herstellen zu können." Zudem müsse man die Folgen des Ausfalls eines größeren Teils der IT-Infrastruktur bedenken. "Wenn ein Behördennetzwerk ausfällt, müssen wir wissen, wie dann noch Pässe ausgestellt werden können. Wenn bei der ÖBB ein IT-Ernstfall eintritt oder der Strom ausfällt, muss es einen Plan dafür geben, was die Bahn in diesem Fall macht", so Kaplan.

• ENISA

IT-Sicherheit auf EU-Ebene

In den vergangen Wochen hat sich EU-Medienkommissarin Viviane Reding mehrfach für Maßnahmen zum besseren Schutz der IT-Infrastruktur auf europäischer Ebene ausgesprochen, zuletzt forderte sie einen EU-Beauftragten für Cyber-Security.

Eine wesentliche Rolle sollte der Europäischen Netzsicherheitsagentur (ENISA) zukommen. Diese soll laut Reding Vereinbarungen zu Mindeststandards an Kapazitäten und Diensten für die nationalen CERTs treffen.

Mehr zum Thema:

• Reding will EU-Beauftragten für Cyber-Security

• EU-Kommission will Internet absichern

Standard-Meldesystem für Viren

"Bevor es uns gegeben hat, sind zum Beispiel viele Informationen einfach versandet, weil die ausländischen Teams weder Lust noch Zeit hatten, alle österreichischen Ansprechpartner zu informieren", erklärt Robert Schischka, nic.at-Geschäftsführer und Repräsentant von CERT.at.

Wenn es seitens der ENISA eine Erfassung der erkannten Schadsoftware in einem standardisierten Format gabe, auf die die CERTs zurückgreifen könnten, so wäre das von großem Vorteil für alle, meint Schischka. "Die redaktionelle Aufbereitung der Informationen, die über viele verschiedene Kanäle kommen, ist sehr mühsam und kostenintensiv" und überschreite auch die Kapazitäten von CERT.at.

Vertraulicher Umgang mit Daten

Zudem seien bei der IT-Sicherheit der vertrauliche Umgang mit Informationen und der Schutz der Quelle wichtig. "Je größer eine Organisation ist, desto schwieriger ist es, die Informationen geheim zu halten", meint Schischka. Zu den nationalen Internet-Anbietern und vielen IT-Fachkräften in den Unternehmen halte man persönlichen Kontakt.

CERT.at beobachtet sicherheitsrelevante Parameter in den Netzwerken einiger Partner aus dem öffentlichen Bereich, um neue Bedrohungen schnell erkennen zu können. "Es erfolgt dabei aber kein IP-Adressen-Monitoring, und es werden keine Daten aufgezeichnet", so Schischka. Mit der Beobachtung von Anomalien ließen sich einige Rückschlüsse ziehen. Bei Bedarf - wie etwa bei "Conficker" - werde der Provider informiert, der die Meldung an den jeweiligen Kunden weiterleite.

1,3 Millionen "Conficker C"-Fälle

Nach dem Angriff der Schadsoftware MSBlaster vor vier Jahren sei es im Netz relativ ruhig gewesen und keine großen Attacken verzeichnet worden. Mit "Conficker" gebe es wieder einen sehr effektiven Wurm. "Technisch ist er nichts Besonderes, er hat nur viele Bausteine, die in den letzten Jahren gebildet wurden", meint Lendl.

"Wir sind gerade an dem Punkt, wo das Internet als das Nervensystem der modernen Gesellschaft entdeckt wird", beschreibt Kaplan die derzeitige Situation, wonach die Internet-Kriminalität immer mehr zum Problem werde. "Auch der Autor von 'Conficker' will ziemlich sicher damit Geld verdienen." Derzeit habe allein "Conficker C" 1,3 Millionen PCs weltweit infiziert. Diese Rechner können etwa zu Spam-Versendern werden.

"Conficker"-Befall visualisiert: je länger der Strahl, desto größer die Anzahl der infizierten PCs.

Theorie des Reverse Engineering

Der Ursprung der Attacken sei häufig in den ehemaligen Ostblockstaaten zu orten. In Bulgarien etwa "hat man zur Sowjetzeit eine große Industrie gehabt, die Reverse Engineering betrieb", meint Kaplan. Darunter versteht man in der Technologiebranche die Fertigkeit, Dinge zu demontieren, zu verstehen und zu kopieren.

"Mit diesem Denkmodell analysiert man auch die Software, und danach wirst du entweder ein 'White Hat' - ein Sicherheitsexperte -, oder du findest einen Bug und nutzt den aus", so Kaplan.

Kleiner Fehler im "Conficker"

Auch die "Conficker"-Epidemie geht darauf zurück, dass der Wurmautor eine Sicherheitslücke erkannt und ausgenutzt hatte. Das Passwort-Cracking des Wurms war zum einen "erstaunlich effektiv", auf der anderen Seite waren große Betriebe sehr anfällig, weil viele PCs im internen Netzwerk erst gar nicht mit einem Passwort geschützt waren.

Die Passwortabfrage sei aber auch eine Schwäche von "Conficker" gewesen, meint Kaplan. Wenn Admin-Accounts zu oft attackiert würden, werde der Zugang gesperrt, weil es nur drei bis vier Versuche gebe. "Das fiel auf", so Kaplan.

"Conficker" startet Schadfunktion

Bis Jänner habe sich der Wurm lediglich verbreitet. Die Infektion erfolgte über ungepatchte Windows-Installationen, interne Netzwerke und durch die Autorun-Funktion des Microsoft-Betriebssystems auch über USB-Sticks. Seit ein paar Wochen hat "Conficker" auch Schadfunktionen nachgeladen. Etwa eine Malware, die den User erpresst.

Der Wurm meldet dem User dabei, er habe Schadsoftware auf dem Computer gefunden. Um diese zu entfernen, möge er doch bitte das angebotene Programm kaufen. "Das kostet ihn ungefähr 40 US-Dollar, danach folgen weitere Meldungen, dass noch mehr Schadsoftware gefunden wurde und noch mehr Geld eingeworfen werden muss, um die Schadsoftware zu entfernen", erläutert Lendl - eine moderne Form der Erpressung.

"Die nicht aktualisierten Windows-Rechner waren schuld an der massiven Ausbreitung des Wurms", so Lendl. Diesen Schluss zieht der Teamleiter aus der Tatsache, dass die Hotspots in China, Brasilien und Vietnam seien. Hier seien auch nicht lizenzierte Windows-Kopien sehr weit verbreitet.

Szenarien zu "Confickers" Zukunft

Vermutung über die Herkunft der Täter gebe es bereits. Kaplan ist der Meinung, dass so ein aufwendig kreierter Wurm von mehreren Personen programmiert wurde. Beheimatet seien diese vermutlich in der Ukraine, da in den ersten beiden Versionen A und B eine Abfrage nach der Herkunft des Users durchgeführt wurde. Ukrainische IP-Adressen und Rechner mit einer ukrainischen Tastatur ließ der Wurm unangetastet, das sei bei der Version C nicht mehr so.

Für die Zukunft des Wurms sieht Lendl drei Szenarien. "Entweder dem Autor wird es zu heiß und er wirft ihn weg." Das zweite Szenario wäre, dass der Wurmschreiber "Conficker" verkauft und das von ihm aufgebaute Botnetz für Phishing oder Spam-Versand weiter genutzt wird. Die dritte Möglichkeit wäre, ihn an jemanden zu verkaufen, "der damit neue böse Sachen macht. Gerade in der Sportwettenbranche ist es üblich, damit Geld zu erpressen."

Katz und Maus

"Das Einzige, was wir machen können, ist, den Schaden zu minimieren", meint Lendl. Im Fortschreiten der Kriminalität und dem Kampf dagegen sieht der Teamleiter ein ewiges Katz-und-Maus-Spiel: "Einmal gewinnt der eine, dann wieder der andere." Den Verbrauchern kann er nur raten, ihre Rechner mit Hilfe von Firewall, Anti-Viren-Software und regelmäßigen Updates sauber zu halten.

Mehr zum Thema:

• "Conficker" lädt schädliche Funktionen nach

• Experte warnt vor "Conficker"-Hysterie

• Bundeswehr kämpft mit "Conficker"

• "Conficker" in nö. Spitälern aufgetaucht

• "Conficker" wurmt weiter

• Kärntner Spitäler fast vollständig "entwurmt"

(futurezone/Claudia Glechner)