Science
13.05.2015

Kaspersky entdeckt 325.000 neue Schadprogramme pro Tag

Der russische Security-Anbieter hat erstmals auch in Europa ein Forschungslabor eröffnet. In London machen die Forscher Jagd auf komplexe Bedrohungen wie Stuxnet und Carbanak.

Neben Moskau, Peking und Seattle ist der russische Antiviren-Hersteller Kaspersky nun erstmals auch in London mit einem Forschungslabor vertreten. Während die tägliche Malware-Erkennung - Kaspersky nannte in London die Zahl von 325.000 neuen Schadprogrammen pro Tag - weiterhin in den drei seit längerem bestehenden Forschungszentren angesiedelt ist, soll ein kleines Team in London komplexe Bedrohungsszenarien wie den Industrie-Trojaner Stuxnet oder die Finanz-Malware Carbanak sowie damit verbundene Cybercrime-Netzwerke analysieren.

Kaspersky Firmenzentrale London

1/7

Kaspersky Research Lab London

Kaspersky Research Lab London

Kaspersky Research Lab London

Kaspersky Research Lab London

Kaspersky Research Lab London

Kaspersky Research Lab London

Kaspersky Research Lab London

Flut an Malware

Während die Erkennung der über 300.000 neuer Malware-Varianten pro Tag zu über 99 Prozent automatisiert abläuft, beschäftigt sich das "Global Research & Analysis Team" - so die Kaspersky-interne Bezeichnung für die eigene Forschungseinheit - in mühsamer Kleinarbeit mit den technischen, aber auch organisatorischen Hintergründen komplexer Angriffe. "Der Aufwand, der bei gezielten Attacken wie Stuxnet oder Carbanak betrieben wird, aber auch die völlig unterschiedlichen Vorgehensweisen der Angreifer sind immer wieder verblüffend", erklärt Kaspersky-Sicherheitsforscher David Emm im Gespräch mit der futurezone.

Eine Schadsoftware zu programmieren und in ein Unternehmensnetzwerk einzuschleusen sei im Normalfall nicht der aufregende Teil. Das gelte auch für den Industrie-Trojaner Stuxnet, der für die Sabotage von iranischen Atomanlagen verantwortlich gemacht wird. "Das Programmieren eines Windows-Wurms wie Stuxnet ist gar nicht so schwierig. In dem Fall mussten die Angreifer aber wissen, wie die normale Systemaktivität aussieht, welche Hardware damit kontrolliert werden kann und wie das System umprogrammiert werden muss, damit so ein Sabotageakt möglich wird. Dafür müssen viele interne Daten ausspioniert, gesammelt und analysiert werden", erklärt Emm.

Gehackte Bankomaten und Banken

Der Blick auf die Finanzbranche mache ebenfalls deutlich, wie unterschiedlich Angriffsszenarien aussehen. Während in einigen Fällen Malware eingeschleust wurde, welche die Firmware von Bankomaten, also physische Hardware, umprogrammieren konnte, sei der kürzlich aufgedeckte Raubzug der "Carbanak"-Gruppe bei 100 Bankinstituten weltweit technisch wenig bemerkenswert gewesen. "Die Angreifer haben verschiedenste Bankensysteme infiltriert und in monatelanger Arbeit gelernt, wie sie im jeweiligen System das normale Mitarbeiterverhalten so perfekt imitieren können, dass Überweisungen bis zu mehreren Millionen Dollar einfach nicht aufgefallen sind. Technisch gesehen, war es völlig egal, welche Systeme die Banken genutzt haben", sagt Emm.

Mit Erkenntnissen wie dieser will Kaspersky verstärkt auch in der europäischen Finanzmetropole London punkten. Die vermittelte Expertise und Präsenz durch das Forschungslabor soll dabei helfen, neue Unternehmenskunden zu gewinnen. Im deutschsprachigen Raum hat Kaspersky derzeit vor allem die Automobilbranche im Visier, die auf dem Weg zum vernetzten und gar selbstfahrenden Autos einige grundlegende Sicherheitsprobleme zu lösen hat, wie auch die kürzlich aufgedeckte Lücke im BMW-System ConnectedDrive zeigt.

Smarte Autos als Falle

"Der BMW-Vorfall zeigt, dass das Thema schon jetzt brandaktuell ist. Durch die zunehmende Vernetzung mit externen Geräten wie Android-Smartphones oder iPhones, die auf verschiedene Systeme im Auto Zugriff haben, entsteht eine Reihe von potenziellen Angriffspunkten", erklärt Holger Suhl, Kaspersky-Manager für die DACH-Region, im Gespräch mit der futurezone. Kaspersky befinde sich in engem Kontakt mit mehreren Herstellern, die Automobilindustrie nehme das Sicherheitsproblem auf jeden Fall sehr ernst, meint Suhl.

Neben dem gefährlichen Hacking von Steuerfunktionen, was in einigen Proof-of-concept-Videos bereits bewiesen wurde, könnte das Auto in Zukunft zu einem neuen Einfallstor für Cyberkriminelle werden, um an persönliche Daten oder auch Firmengeheimnisse zu kommen. Gefahr drohe auch von anderer Seite, etwa durch das Hacken von Produktionsanlagen. "An der Oberfläche ist so ein Hack vielleicht gar nicht zu erkennen. Das Resultat könnte sein, dass die Bremszylinder einer Produktionsserie einfach um 20 Newtonmeter zu wenig angezogen wird. Kommt das zu einem späteren Zeitpunkt heraus und müssen dann Millionen von Fahrzeuge zurückgerufen werden, ist der Schaden enorm", sagt Suhl.

Nachträglicher Schutz hilft nichts

Beim Thema Auto wie auch im Fall der vielen ans Netz angebundenen neuen Objekte - Stichwort "Internet der Dinge" - müssen die Systeme laut Kaspersky von Grund auf so gestaltet werden, dass bestimmte Sicherheitsschwachstellen erst gar nicht auftreten können. "Für viele smarte Objekte kann man Schadsoftware schreiben und so etwa die Firmware beeinflussen. Als Sicherheitsforscher hat man derzeit aber das Problem, dass man die meisten Systeme nicht analysieren oder auch lesen kann, weil einfach die Schnittstellen für die Daten-Ausgabe fehlen", sagt Kaspersky-Forscher David Emm.

Dazu komme, dass viele Hersteller ihre Internet-fähigen Geräte bereits nach wenigen Monaten nicht mehr servicieren, weil sie zum nächsten Produkt weitergehen. Diese hätten neben fehlender Expertise daher auch meistens überhaupt kein Interesse, dass Schwachstellen öffentlich werden. Mit dieser Einschätzung steht Emm nicht allein da. Erst kürzlich hatte etwa auch der Sicherheitsforscher Cesar Cerrudo darauf hingewiesen, dass die sogenannten "Smart Citys" auf Hackerangriffe kaum vorbereitet sind.

Größte Schwachstelle Mensch

Das größte Gefahrenpotenzial gehe bei neuen vernetzten Produktkategorien aber einmal mehr vom Menschen selber aus, ist Emm überzeugt. "Bei PCs und Laptops haben die Leute es mittlerweile verstanden, dass sie aufpassen müssen und nicht jeden Link anklicken sollen. Je mehr wir beim Computing aber von traditionellen Geräten zu Handys, Tablets und Smartwatches sowie zu Geräten weggehen, die wir gar nicht mehr als Computer wahrnehmen, desto geringer ist unsere Vorsicht. Hier ist noch viel Aufklärungsarbeit notwendig", sagt Emm.