Krypto e.V.

Steuersünder-CD enthält Informationen über ihre Herkunft

Die umstrittene CD mit vorgeblich brisanten Daten über Steuersünder, an der Deutschland und Österreich Interesse zeigen, könnte nicht nur den Steuerfahndern nützliche Informationen liefern. Mittels spezieller Verfahren aus der Datenrettung und Forensik ist auch ihre Herkunft bestimmbar. So können digitale Spuren bis hin zu ihrem Ursprung zurückverfolgt werden, geben die Spezialisten von Kroll Ontrack zu bedenken. Jegliche Art von digitaler Information auf einem Datenträger hinterlasse Spuren.

Brenner-Informationen verraten Arbeitsplatz
“Es gibt verschiedene Wege, um die Identität des Inhabers der Steuersünder-CD zu ermitteln”, erläutert Reinhold Kern, Abteilungsleiter Forensik bei Kroll Ontrack. Beim Brennen einer CD werden dem Fachmann zufolge etwa die Brenn-Software, die Marke des Geräts sowie die Seriennummer des Brenners gespeichert. Anhand dieser Informationen ist beispielsweise ein Arbeitsplatz schnell auffindbar.

Anhand der für Normalanwender nicht sichtbaren Informationen ließen sich Rückschlüsse auf den Ort ziehen, an dem die CD gebrannt wurde. Es könne nachgewiesen werden, wann und an welcher Stelle die vertraulichen Steuerdaten einen Ort offensichtlich verbotenerweise verlassen haben. Zudem sei feststellbar, ob die Daten auf der Steuersünder-CD authentisch sind. Sofern Logfiles noch gespeichert sind, können diese etwa Zugriffe auf Datenbanken liefern.

Verschlüsselung
Exakte Informationen über die Herkunft der Steuersünder-CD dürften besonders für die betroffenen Banken von Interesse sein. Zwar verfügt der Inhaber über die Möglichkeit, die Daten per Software in einem “relativ einfachen Verfahren” zu verschlüsseln und mit einem 20-Stellen-Passwort zu versehen, das schwer zu knacken sei, wie Kern betont. Spätestens im Fall des Verkaufs müssten die Daten jedoch freigegeben werden. Allerdings weist man darauf hin, dass die gerichtliche Verwertbarkeit der forensisch erforschten Informationen von Fachjuristen beurteilt werden müsse.

Die Affäre um die Steuersünder-CD hat sich mittlerweile deutlich ausgeweitet. So ist es bereits zu ersten Selbstanzeigen gekommen. Zudem könnten die Informationen – anders als anfangs vermutet – dem deutschen Fiskus nicht 100 sondern sogar bis zu 400 Mio. Euro bringen. Medieninformationen zufolge wurde die CD aus Daten der Credit Suisse erstellt. Die Bank hatte jedoch mitgeteilt, keine Kenntnis von einem Datenklau zu haben.

Der bekannte Wurm Conficker hat erneut bei einem prominenten Opfer zugeschlagen. Der Schädling hat Computer der Greater Manchester Police (GMP) befallen. Diese wurden daraufhin vom Zentralrechner der britischen Behörden, dem Police National Computer (PNC), getrennt, um einer weiteren Ausbreitung vorzubeugen, berichtet die BBC. Damit zeigt sich, dass Conficker immer noch eine Gefahr bleibt.

“Ich bin überrascht, dass eine so wichtige und noch dazu sensible Organisation Conficker zum Opfer gefallen ist. Ich will doch hoffen, dass bei deren Rechnern die Schwachstelle gepatcht wurde, durch die sich der Wurm letztes Jahr im Internet so stark verbreiten konnte”, meint Rik Ferguson von Trend Micro. Denkbar ist, dass der Schädling über einen externen Datenträger ins GMP-Netz gelangt ist.

Verwunderliche Infektion
Wie genau Conficker am Freitag den Weg auf die Polizeirechner gefunden hat, ist bisher noch unklar. Für die zur Verbreitung via Internet genutzte Windows-Lücke gibt es seit Oktober 2008 einen Patch, dessen Dringlichkeit schon Anfang 2009 durch große Infektionen etwa bei der französischen Luftwaffe deutlich wurde. Die Schwachstelle sollte also gerade bei Behörden, die Zugang zu vertraulichen Daten haben, längst geschlossen sein.

“Wenn die Malware aber beispielsweise über einen infizierten USB-Stick in ein Netzwerk gelangt, kann sie sich dort je nach Variante dank Netzwerkfreigaben oder Brute-Force-Attacken leicht ausbreiten”, meint Ferguson. Dieser realen Gefahr ist offenbar die GMP zum Opfer gefallen. “Ich verstehe allerdings nicht, warum die AV-Lösung, welche die Polizei doch sicherlich nutzt, die Bedrohung nicht beim Versuch der Erstinfektion erkannt und neutralisiert hat”, so der Sicherheitsexperte.

Conficker-Vormarsch gestoppt?
Zwar dürfte Conficker nach wie vor auf Mio. PCs zu finden sein, doch die schnelle Ausbreitung des Wurms scheint mittlerweile gestoppt. Die Statistiken der Conficker Working Group deuten darauf hin, dass die Zahl der infizierten PCs seit dem letzten Quartal 2009 annähernd stabil bleibt. Das könnte mit dem Start von Windows 7 zusammenhängen. “Es verbessert definitiv, wie die Autorun-Funktion bei austauschbaren Medien funktiniert”, meint Ferguson. Diese wird unter anderem von Conficker ausgenutzt, um PCs zu befallen. Allerdings kenne er noch keine Statistiken, ob Windows 7 damit wirklich die Infektionsraten senkt.

Der britischen Polizei als jüngstem prominenten Conficker-Opfer stehen jetzt jedenfalls die Aufräumarbeiten bevor. Die GMP bleibt dabei vom zentralen Kriminalcomputer abgeschnitten bis Experten die Systeme in Manchester gesäubert haben und sich sicher sind, dass keine weitere Ausbreitungsgefahr mehr besteht. (pte/tc)

Cyberkriminelle haben soziale Netzwerke im Jahr 2009 verstärkt ins Visier genommen. Der Versand sowohl von Malware als auch Spam über Facebook und Co hat im Jahresverlauf um rund 70 Prozent zugenommen. Zu diesem Ergebnis kommt der Security Threat Report 2010 des Sicherheitsunternehmens Sophos. Dieses Sicherheitsproblem ist auch für Unternehmen von Bedeutung.

Wie beliebt gerade Facebook bei Hackern ist, zeigt aktuell auch eine Kampagne mit einer gefälschten Virenwarnung vor einer angeblich schädlichen “Unnamed App”. Die Warnung wird von besorgten Nutzern auch durch Facebook-Nachrichten oder über die Pinnwand weiter verbreitet, warnt das AV-Unternehmen Panda Security. Ziel der Hintermänner ist, verunsicherte User zum Download einer gefälschten AV-Software zu bewegen.

Soziale Netzwerke lohnendes Ziel
Bei der aktuellen Kampagne setzen die Cyberkriminellen darauf, dass sich User genauer über die angebliche Gefahr informieren wollen. Dabei landen sie über Suchmaschinen auf gefährlichen Download-Seiten. Doch auch der Malware-Versand direkt über soziale Netzwerke ist dramatisch angestiegen. Bereits 36 Prozent der User geben laut Sophos an, dass sie 2009 Schadsoftware über eine Social-Networking-Seite zugeschickt bekommen haben. Das ist gegenüber 2008 ein Anstieg um 69,8 Prozent.

Noch etwas deutlicher zugenommen hat demnach der Spamversand über Facebook und Co. 2009 hat bereits mehr als die Hälfte der Nutzer deart unerwünschte Nachrichten erhalten (57 Prozent). “User verbringen immer mehr Zeit auf Social Networks und teilen dort vertrauliche und wertvolle persönliche Informationen. Die Hacker haben herausgefunden, wo Geld zu machen ist”, meint Graham Cluley, Senior Technology Consultant bei Sophos. Die Beliebtheit der sozialen Webangebote als Angriffsziel birgt dabei nicht nur für Privatanwender ernsthafte Gefahren.

Risiken für Unternehmen
Einer Sophos-Umfrage unter mehr als 500 Unternehmen zufolge machen sich 72 Prozent der Betriebe Sorgen, dass das Verhalten der Mitarbeiter auf sozialen Netzwerken auch Risiken für das Unternehmen mit sich bringt. Die Nutzung gerade von Facebook wird aber immer seltener eingeschränkt, da sie Teil des modernen Geschäftslebens ist. Dabei erachten sechs von zehn Befragten diese Seite als größtes Risiko. “Man darf nicht vergessen, dass Facebook das mit Abstand größte Social Network ist. Im größten Obstgarten gibt es klarerweise auch die meisten faulen Äpfel”, meint dazu Cluley.

Das Facebook-Team arbeite hart im Kampf gegen Bedrohungen, doch könnten teils einfache Änderungen den Nutzern mehr Sicherheit bieten. Die vielkritisierten Änderungen an den Privateinstellungen bezeichnet Cluley explizit als Rückschritt. Gerade Datenschutz ist aus Unternehmenssicht ein gewichtiges Problem an sozialen Netzwerken. Sophos verweist diesbezüglich darauf, dass Hacker gerade über das vermeintlich harmlose Business-Netzwerk LinkedIn Hackern umfangreiche Informationen zu Mitarbeitern und Hierarchie in einem Unternehmen gewinnen könnten.