IT-News World » Berichte » Software-Lücken erlauben Einbruch durch die Hintertür

Berichte

Software-Lücken erlauben Einbruch durch die Hintertür

Bewertung:

Cyber-Kriminelle suchen nach Sicherheitslücken, um in fremde Computer einzudringen und etwa Kontodaten auszuspähen. (Bild: dpa-infocom)

am 17.12.2008 | Von Christof Kerkmann, dpa

Hamburg (dpa) - Man stelle sich vor, ein Haus ist von einem hohen Zaun umgeben, hat ein dickes Schloss an der Tür und überdies eine Überwachungskamera - und trotzdem können Einbrecher unbemerkt eindringen und das Tafelsilber stehlen.

Was nach einer Räuberpistole klingt, ist bei Computern mit Internet-Anschluss Alltag: Viele populäre Programme haben Sicherheitslücken, die der Hersteller noch nicht kennt - dafür aber Cyber-Kriminelle. Ein aktueller Fall bringt dieses Problem in die Schlagzeilen: Der Internet Explorer von Microsoft wies tagelang eine Lücke auf, durch die Angreifer die Kontrolle über fremde Rechner erobern konnten.

Auch wenn derzeit Microsoft in der Kritik steht, betrifft das Problem die gesamte Software-Industrie. Denn kein Programm kommt perfekt auf den Markt. Ein Programmierfehler kann schnell zum Hintertürchen für Hacker werden: Wenn der Hersteller nicht über eine Sicherheitslücke Bescheid weiß, können sie ohne Gegenwehr das System angreifen. Derartige schädliche Software nennen Experten «Zero Day Exploits». «Die Angreifer zielen auf die gängigsten Produkte, also Betriebssysteme und Browser», berichtet Rainer Link, Sicherheits- Experte beim Softwarehersteller Trend Micro.

Findige Hacker arbeiteten früher zumeist für Ruhm und Ehre - heute können sie richtig Kasse machen: Die Suche nach bislang unbekannten Sicherheitslücken ist zu einem einträglichen Geschäft geworden. So loben Hersteller von Sicherheits-Software wie zum Beispiel die US-Unternehmen iDefense und Tipping Point Belohnungen aus. Das Schweizer Unternehmen WabiSabiLabi versteigert auf einer Plattform im Internet Sicherheitslücken und Angriffsprogramme. Die Gebote erreichen derzeit bis zu 5000 Dollar.

In geheimen Foren im Internet dürften die Preise deutlich höher liegen: «Da werden Summen von mehr als 100 000 Dollar kolportiert», sagt Hartmut Pohl, Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg. Zu den Käufern zählt er Cyber- Kriminelle, die Betriebsgeheimnisse oder Kontodaten ausspionieren, aber auch Geheimdienste, die in die Computer vermeintlicher Terrorverdächtiger eindringen wollen. Angesichts dieser Verlockungen hat sich eine Szene entwickelt, die intensiv nach Schwachstellen sucht - keine gute Nachricht für die Sicherheit der Internet-Nutzer.

Die Schuld an der Bedrohung tragen aber nicht nur Kriminelle, sondern auch die Software-Hersteller selbst. «Es dauert oft mehrere Wochen, in extremen Fällen sogar mehrere Monate, bis die Unternehmen die Lücken schließen», sagt Link. Die Lücke zu schließen, ohne im Programmcode ein neues Problem zu schaffen, ist gar nicht so einfach.

Sich gegen Zero-Day-Angriffe zu schützen, ist also schwierig. Sobald ein Patch zur Verfügung steht, sollten Nutzer diesen sofort installieren. Denn Kriminelle werten den Code der Nachbesserungen aus und greifen dann gezielt diese Stelle an - da viele Anwender ihr System nicht aktualisieren, ist gute Ausbeute garantiert. Ansonsten gibt es nur eine Alternative: «Man muss sehr vertrauliche Daten auf einem Rechner aufbewahren, der nicht mit dem Internet verbunden ist», sagt Pohl. Das ist weniger komfortabel, aber deutlich sicherer.

Keine Software lässt sich perfekt programmieren. Die Hersteller können jedoch mit verschiedenen Tests schon bei der Konzipierung ihre Produkte auf Sicherheitslücken überprüfen - Experten sprechen von «Threat Modeling». «Das ist in Deutschland noch wenig verbreitet», sagt IT-Experte Pohl. Microsoft arbeite trotz der aktuellen Schelte schon seit einigen Jahren mit solchen Werkzeugen. Das Betriebssystem Vista gilt in puncto Sicherheit etwa unter Fachleuten als besser als seine Vorgänger. Kontodaten und Liebesbriefe lagern jedenfalls schon ein bisschen sicherer als früher.

• Versteigerungsplattform für Sicherheitslücken: www.wslabi.com

IT-News als RSS-Feed lesen

Weitere News aus Berichte

Befehle vom Telefon: Fernsteuerungs-Apps für TV & Co.

18.05.2012 | Von Tobias Hanraths, dpa | Stuttgart (dpa/tmn) - Unterwegs den Router anschalten, aus der Ferne auf die Musiksammlung zugreifen und den Fernseher vom Nebenraum aus steuern: Remote-Apps machen es möglich. Allerdings kochen viele Hersteller ihr eigenes Süppchen, Universallösungen gibt es kaum.    Weiter lesen ...

Sprachen pauken für den Urlaub - Neue Apps und Lernprogramme

16.05.2012 | Von Cordula Dernbach, dpa | Berlin (dpa/tmn) - «Hallo», «Tschüss», «Bitte» und «Danke»: Wer im Urlaub mehr als nur diese Sprachfetzen beherrschen will, kann fremde Begriffe und Vokabeln mit elektronischen Helfern lernen. Unter den neuen Programmen gibt es auch Angebote für Kinder.    Weiter lesen ...

Sprachen pauken für den Urlaub - Neue Apps und Lernprogramme

16.05.2012 | Von Cordula Dernbach, dpa | Berlin (dpa/tmn) - «Hallo», «Tschüss», «Bitte» und «Danke»: Wer im Urlaub mehr als nur diese Sprachfetzen beherrschen will, kann fremde Begriffe und Vokabeln mit elektronischen Helfern lernen. Unter den neuen Programmen gibt es auch Angebote für Kinder.    Weiter lesen ...

Grafikkarte für den PC: Aufrüsten lohnt sich

16.05.2012 | Von Tobias Hanraths, dpa | Berlin/Dresden (dpa/tmn) - Spiegelungen, Schatten und andere Effekte: Die volle Pixelpracht gibt es in modernen PC-Spielen nur mit leistungsstarken Grafikkarten. Beim Kauf kommt es aber nicht nur auf die pure Leistung an.    Weiter lesen ...

Bluetooth-Tastaturen machen Tablets zum Notebook

15.05.2012 | Von Tobias Hanraths, dpa | Berlin (dpa/tmn) - Eine SMS ist auf einem Touchscreen schnell geschrieben, eine Mail auch noch. Doch bei langen Texten oder komplizierten Webadressen nerven virtuelle Tastaturen. Eine Alternative sind physische Bluetooth-Tastaturen für Smartphones oder Tablets.    Weiter lesen ...

Weitere News aus dem Bereich Berichte »