Stuxnet-Suchmaschine "Shodan" findet verwundbare Prozesssteuerungs-Systeme

BSI-Quartalslagebericht 4/2010 veröffentlicht: Manipulierte RTF-Dateien ermöglichen Angriffe

(15.03.11) - Für das vierte Quartal 2010 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein erhöhtes Gefährdungsniveau der IT-Sicherheit in Deutschland festgestellt. Neue Angriffe über das weitverbreitete RTF-Textformat zeigten, dass neben PDF-Dokumenten auch weitere populäre Dateiformate in das Visier von IT-Kriminellen geraten sind. Daneben weisen auch Webauftritte immer wiederkehrende Schwachstellen auf, die beispielsweise für den Diebstahl von Daten genutzt werden.

Wie bereits im dritten Quartal 2010 prägten auch Ende des Jahres der Trojaner "Stuxnet" und die prinzipielle Verwundbarkeit industrieller Steuerungssysteme die IT-Sicherheitslage. Diese und weitere Entwicklungen beschreibt der vierte Quartalslagebericht 2010, den das BSI jetzt veröffentlicht hat.

In den letzten Jahren haben Kriminelle häufig das PDF-Format von Adobe genutzt, um über Schwachstellen im Adobe Reader in fremde Computer einzudringen. Nun geraten auch andere weitverbreitete Dateiformate ins Visier der Angreifer: RTF (Rich Text Format) eignet sich als Format für Textdateien gut für den Datenaustausch zwischen verschiedenen Textverarbeitungsprogrammen. Ende Dezember 2010 wurde eine Angriffsmöglichkeit bekannt, bei der durch das Öffnen mani-pulierter RTF-Dokumente beliebiger Code ausgeführt werden kann. Ursache ist eine Sicherheits-lücke in Microsoft Word ab der Version 2002, doch reicht für eine Infektion mit Schadsoftware bereits eine Betrachtung einer manipulierten RTF-E-Mail im Vorschaufenster von Microsoft Outlook. Das entsprechende von Microsoft bereits im November 2010 veröffentlichte Update sollte daher von den Nutzern umgehend installiert werden.

Die gefährlichsten Schwachstellen in Webauftritten

Auch Webauftritte weisen nach Untersuchungen des BSI immer wieder Schwachstellen auf. Besonders gefährlich sind Sicherheitslücken, über die ein Angreifer seine Benutzerrechte erweitern und an sensible Daten gelangen kann. Häufig wurden SQL-Injection (Weiterleitung von SQL-Befehlen an die Datenbank der Webanwendung), Cross-Site-Scripting (ungeprüfte Weiterleitung von Daten von einem Nutzer an einen anderen) und die Übernahme ganzer Sitzungen beobachtet. Hintergrund dieser Entwicklung ist die zunehmende Komplexität von IT-Systemen, die dazu führt, dass ihre korrekte Konfiguration immer schwieriger wird. Zu diesem Trend tragen auch die zunehmende Vernetzung der Systeme und neue Technologien wie beispielsweise Virtualisierung bei.

Auch im vierten Quartal 2010 beschäftigte der Trojaner Stuxnet weiterhin die IT-Sicherheitsexperten. Im Oktober 2010 wurde eine spezielle Suchmaschine namens "Shodan" entdeckt, die im Internet nach öffentlich zugänglichen Prozesssteuerungs-Systemen sucht. Diese Systeme sind das Ziel von Stuxnet: Der Trojaner hatte gezeigt, wie sogenannte SCADA-Systeme manipuliert und möglicher-weise industrielle Prozesse sabotiert werden können. Aus Sicherheitsgründen sollten solche IT-Systeme zwar nicht öffentlich zugänglich sein. In der Praxis ermöglichen eine fehlerhafte Konfiguration oder die Umgehung von Sicherheitsvorschriften aber bei einigen Anlagen den Zugriff über das Internet. Eine Schadsoftware könnte dies ausnutzen, um Informationen zu stehlen oder Industrieanlagen unter ihre Kontrolle zu bringen. (BSI: ra)