Zeit zum Patchen wird immer knapper

Die Sicherheitsspezialisten vermeldeten zudem, dass 2005 deutlich mehr Schwachstellen als im Vorjahr entdeckt wurden. Insgesamt spürte die X-Force im abgelaufenen Kalenderjahr im Rahmen ihrer Hard- und Softwaretests 4472 Sicherheitslücken auf. Dies entspricht einem Anstieg um 33 Prozent gegenüber 2004.

Bedenkliche Entwicklung

Besorgniserregend scheint vor allem, dass Hacker immer schneller Angriffe auf öffentlich preisgegebene Schwachstellen starten. 3,13 Prozent der Schädlingsprogramme wurden binnen 24 Stunden nach der ersten Veröffentlichung einer Sicherheitslücke auf den Weg gebracht, 9,38 Prozent der bösartigen Codes fanden innerhalb der nächsten 48 Stunden ihr Ziel. Äusserst bedenklich ist in diesem Zusammenhang, dass ein Grossteil der Angriffe auf bislang nicht annoncierte Schwachstellen abzielt.

Hacker suchen aktiv nach Schwachstellen

In 12,5 Prozent aller Fälle fanden sich zeitgleich mit der Veröffentlichung detaillierter Angaben zu der jeweiligen Sicherheitslücke bereits Informationen zu den ersten Exploits in den Medien. Dies belegt, dass Cyberkriminelle inzwischen ausgesprochen aktiv nach möglichen Einfallstoren suchen, spezielle Schädlingsprogramme schreiben und erst dann mit Informationen zu der Schwachstelle an die Öffentlichkeit treten. Dies bedeutet im Klartext, dass sich das Zeitfenster zwischen der Veröffentlichung von Angaben zu der jeweiligen Sicherheitslücke und dem darauf abzielenden schädlichen Code - dem so genannten «Patching Window» - zunehmend verkürzt.

Proof-of-Concept-Codes und Exploits

Die Hälfte aller bekannt gewordenen Schwachstellen waren innerhalb von nur einer Woche entweder von einem Exploit- oder einem Proof-of-Concept-Code betroffen. Unter Letzterem wird die erste Version eines schädlichen Codes verstanden, den Hacker zunächst im Internet veröffentlichen und der genau aufzeigt, wie sich eine bestimmte Schwachstelle angreifen lässt. Üblicherweise tauscht zunächst nur eine kleine Gruppe Hacker ein Proof-of-Concept untereinander zum Testen und Weiterentwickeln aus. Ergebnis sind so genannte Exploits: Bösartige Software-Codes, die für gezielte Angriffe auf die jeweilige Schwachstelle genutzt werden.

Die Veröffentlichung von Informationen zu den jeweiligen Schädlingen - beispielsweise in Hacker-Newsgroups - trägt dazu bei, dass diese rasch in Umlauf gebracht werden können und dadurch eine schnelle Verbreitung finden.

Schutzlos ausgeliefert

«Wir verzeichnen einen deutlichen Anstieg von Zero-Day-Angriffen, die zum Zeitpunkt der Veröffentlichung einer Schwachstelle auftreten», sagt Claudio Nessi, Country Manager Switzerland & Austria von ISS. «Dies gibt Produktentwicklern keinerlei Zeit, erforderliche Patches zu testen und diese Anwendern und Administratoren von unternehmensweiten Netzwerken rechtzeitig bereitzustellen.» Diejenigen, die keinerlei Systeme mit aktiven Schutzmechanismen betreiben, seien dementsprechend mehrere Tage bis hin zu einigen Wochen vollkommen ungeschützt Angriffen auf die ermittelten Schwachstellen ausgesetzt. Zudem müsse davon ausgegangen werden, dass der Zeitraum zwischen der Bekanntgabe einer Schwachstelle und der Verfügbarkeit hierauf ausgelegter Patches weiter abnehme. Dies gilt laut Claudio Nessi insbesondere für «High Profile»-Sicherheitslücken: Hierzu zählen beispielsweise Netzwerkdienste, die in Verbindung mit gängigen Betriebssystemen stehen. Die rasche Entwicklung von Schadprogrammen direkt nach der Bekanntgabe von Schwachstellen führt unweigerlich zu der schnellen Verbreitung von Bot-Wu_rmern und Malware wie Spyware oder RootkitInstaller-Agenten, die in kürzester Zeit viele Systeme infizieren.

Weitere Informationen

Der aktuelle X-Force Threat IQ Report ist im Internet unter der folgenden Adresse abrufbar: http://xforce.iss.net/xforce/threat_insight_quarterly/index.php. Darüber hinaus veröffentlicht die X-Force kontinuierlich Security-Alerts und Advisories. Diese sind im Internet über folgende Adresse zugänglich: http://xforce.iss.net/xforce/alerts/alerts. Weitere Informationen zum integrierten Sicherheitskonzept von ISS sind unter http://www.iss.net/proof/preemptiveprotection/ zu finden.

(pd/hs)