Zu Beginn des Jahres blickt man ja gerne mal nach vorne, in die Zukunft. Schon allein deswegen versuchen wir uns am Ausblick auf die Top-5-Sicherheitsbedrohungen für 2013. Ideengeber hierfür ist Tim Rains, der Director unseres Trustworthy-Computing-Bereichs. Wobei wir seinen englischsprachigen Blogeintrag natürlich mit lokalen Thesen unterstützen.

Glaskugel-Einsatz Nummer 1: Kriminelle profitieren von ungewollten Konsequenzen staatlicher Spionage

Das Malware-Autoren gerne Trittbrett fahren, kann man ihnen wohl kaum verdenken. Erst recht nicht, wenn die ursprüngliche Malware und die dazugehörigen Zero-Day-Exploits (angeblich) von Staaten und deren (wahrscheinlich vorhandenen) innoffiziellen Malware-Autoren-Teams verfasst werden. Ein Beispiel dafür ist die Malware Stuxnet: Diese hat eine Reihe von Zero-Day-Attacken in Windows-Systemen genutzt, das Ziel der Malware war allerdings recht beschränkt. Sobald die Lücken allerdings bekannt wurden, haben zahlreiche Kriminelle eine Chance gewittert und ihre Malware entsprechend angepasst. Mit dem Ergebnis, dass im ersten Halbjahr 2012 rund 85 Prozent der weltweit genutzten Exploits auf Stuxnet und die Schwachstelle CVE-2010-2568 zurückzuführen waren  - wir haben diese im Patch MS10-046 bereits 2010 geschlossen.

Tim Rains sieht voraus, dass dieses Verhalten in den nächsten Jahren weiter zunehmen wird. Staaten oder staatliche Organisationen werden sich gegenseitig weiter beharken und dabei wird es immer wieder Gelegenheiten für Malware-Autoren geben. Das gilt nicht nur für Krisengebiete, sondern lässt sich im Zweifel auch lokal in Deutschland beobachten: Als der CCC den deutschen „Staatstrojaner“ untersuchte, entdeckten sie einige schlampig programmierte Stellen. Mit deren Hilfe könnte sich andere Malware im System des überwachten Nutzers einnisten und unentdeckt im Hintergrund arbeiten.

Glaskugel-Einsatz Nummer 2: Angreifer wechseln auf Apps, Filme oder Musik

Wer sich etwas zurückerinnert: Vor einigen Jahren waren Makros das Haupteinfallstor für Malware, inzwischen ist dieser Infektionspfad so gut wie ausgetrocknet, die Malware-Autoren setzen in erster Linie auf Drive-By-Infektionen. Im nächsten Jahr könnte sich dies wieder ändern, so zumindest Tim Rains. Denn mit dem Zuwachs im Bereich der mobilen Systeme müssen die Angreifer ihre Strategien ändern.

Für Android hat sich dies bereits mehrfach bewahrheitet, Google musste bereits einige Male verseuchte Apps aus dem Markt nehmen. Neben Apps sieht Rains einen weiteren künftigen Angriffsvektor: Musik- und Videodateien. Die Malware ASX/Wimad beispielsweise nutzt das ASF-Dateiformat, um Systeme mit Hilfe von Multimediadateien zu infizieren. Dabei ist der Schädling so erfolgreich, dass er es bereits in die Top-10 der Schadsoftware-Hitliste geschafft hat.

Glaskugel-Einsatz Nummer 3: Cross-Site-Scripting und Drive-By-Attacken bleiben Lieblinge

Auch wenn Glaskugel-Einsatz Nummer 2 neue Angriffswege verspricht, so bleiben die Klassiker Drive-By-Attacken und Cross-Site-Scripting dennoch der Hauptangriffsweg im Jahr 2013. Das liegt auch daran, dass Exploit-Kits wie das Blackhole-Kit (mehr Informationen dazu hier) diese Attacken quasi als Standard-Angriffsweg in ihre Bausätze aufnehmen. Da ist die Vorhersage, dass sich daran wenig ändern wird, relativ einfach. Never change a winning system, das gilt leider auch für Kriminelle.

Glaskugel-Einsatz Nummer 4: Software-Updates werden einfacher

Drive-By-Attacken missbrauchen häufig bekannte Schwachstellen, für die es längst Updates gibt. Das Problem ist allerdings, dass die Aktualisierungsvorgänge meist langwierig, umständlich und nervig sind. Laut Tim Rains scheint allerdings ein Umdenken einzusetzen: Im letzten Jahr sind Attacken deutlich kürzer erfolgreich, zumindest wenn es um Schwachstellen in Adobe Flash geht. Das liegt auch daran, dass Adobe sein Update-Verhalten geändert hat und regelmäßige, automatische Updates ausliefert. Microsoft macht dies ja mit den automatischen Software-Updates ähnlich, auch wir können hier eine positive Bilanz ziehen. Bleibt zu hoffen, dass andere Hersteller in 2013 auf den Zug aufspringen und ihre Aktualisierungsprozeduren entsprechend anpassen.

Glaskugel-Einsatz Nummer 5: Rootkits entwickeln sich in 2013

Zwei neue Techniken stehen für das nächste Jahr vor dem Durchbruch: UEFI und Secure Boot. Beide schützen gegen Rootkits und andere Schädlinge, die bereits vor dem Start des Betriebssystems geladen werden. Für Rains bedeutet dies allerdings nicht das Ende von Rootkits und Co. Im Gegenteil. Er geht davon aus, dass die Macher der Rootkit-Schädlinge zumindest versuchen werden, ihre Malware auf diese neuen Techniken anzupassen. Allerdings lässt sich noch nicht absehen ob und wie erfolgreich sie werden. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.