Für 2013 rechnet Check Point mit mehr Gefahren im Netz. Im Vordergrund stehen dabei Social Engineering-Attacken und "Advanced Persistent Threats" (APT), also neuartige Bedrohungen, dies es vor paar Jahren noch gar nicht gab. Cyber-Kriminelle entwickeln immer raffiniertere Angriffsmethoden, um kleine und große Organisationen zu attackieren, so die Einschätzung des Firewall-Marktführers.
In dem gerade begonnenen Jahr 2013 rechnet Check Point mit mehr Gefahren im Netz. Im Vordergrund stehen dabei so genannte Social Engineering-Attacken und die "Advanced Persistent Threats" (APT), also neuartige Bedrohungen, dies es vor paar Jahren noch gar nicht gab. Cyber-Kriminelle entwickeln immer raffiniertere Angriffsmethoden, um kleine und große Organisationen zu attackieren, so die Einschätzung des Firewall-Marktführers.
Christine Schönig, Technical Managerin bei Check Point, hat acht Gefahren für das Firmennetzwerk 2013 ausgemacht Foto: Check Point
Christine Schönig, Technical Managerin bei Check Point, hat acht Gefahren für das Firmennetzwerk 2013 ausgemacht:
1. Social Engineering
Von Social Engineering spricht man dann, wenn ein Angreifer menschliche Eigenschaften ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen, nutzen Hacker eine Vielzahl von Techniken. Haben sie sich in der Vergangenheit aber auf eher "einfaches Austricksen", etwa auf fingierte E-Mails oder vermeintlich firmeninterne Anrufe konzentriert, hat sich ihr Fokus heute auf Soziale Netzwerke wie Facebook oder LinkedIn verlagert. Denn dort sind viele der Detailinformationen, die Cyberkriminelle für ihre unlauteren Geschäfte brauchen, meist schon vorhanden und frei zu haben - ganz ohne Tricks. Das vertrauenswürdig erscheinende Profil eines Unternehmens oder auch nur einer Person, gefolgt von einer erfolgreichen Freundschafts- oder Verbindungsanfrage, kann schon genügen - und der Social Engineering-Angriff ist ins Rollen gebracht.
Das ändert sich 2013
Neues europäisches Cybercrime Centre Im Januar 2013 nimmt das Europäische Cybercrime Centre bei Europol in Den Haag seinen Dienst auf. Ziel ist es, die grenzübergreifende Zusammenarbeit bei der Bekämpfung von Computer- und Internetkriminalität innerhalb Europas zu verbessern. Das Zentrum soll Informationen bündeln, bei Ermittlungen unterstützen und einheitliche Abwehrstrategien für die EU-Länder entwickeln. Das Cybercrime Centre startet mit einem kleinen Team und wird schrittweise ausgebaut.
Elektronische Authentifizierung für Steueranmeldungen Ab 2013 ist für Umsatzsteuervoranmeldungen und Lohnsteueranmeldungen von Unternehmen und Selbständigen eine elektronische Authentifizierung erforderlich. Für die elektronische Authentifizierung gibt es verschiedene Möglichkeiten. Allen gemeinsam ist die Notwendigkeit einer vorherigen Registrierung auf der Seite ElsterOnline.de. Da es bei der Registrierung zu Wartezeiten kommen kann, sollte sie so schnell wie möglich vorgenommen werden.
Lohnsteuerkarte auf Papier wird abgeschafft Die Lohnsteuerkarte auf Papier hat endgültig ausgedient. Im Jahr 2013 wird sie durch das Verfahren zum Abruf elektronischer Lohnsteuerabzugsmerkmale (ELStAM) ersetzt. Die Arbeitgeber werden künftig die für die Lohnsteuerabrechnung ihrer Arbeitnehmer notwendigen Steuerdaten (Steuerklasse, Kinderfreibeträge etc.) aus einem zentralen Datenpool der Finanzverwaltung abrufen.
E-Bilanz wird verpflichtend Unternehmen müssen für das Wirtschaftsjahr 2013, das am 1. Januar 2013 oder unterjährig beginnen kann, zwingend eine E-Bilanz abgeben. Bilanzierungspflichtige Unternehmen müssen dann ihre Jahresabschlussdaten für steuerliche Zwecke nach amtlich vorgeschriebenem Datensatz elektronisch an die Finanzverwaltung übermitteln. Von der Verpflichtung zur Übermittlung der E-Bilanz sind rund 1,35 Millionen Unternehmen betroffen.
Rundfunkgebühr für jeden Haushalt Am 1. Januar 2013 tritt die neue Gebührenordnung zur Finanzierung des öffentlich-rechtlichen Rundfunks in Kraft. Private Haushalte werden künftig eine einheitliche Gebühr zahlen, unabhängig von Art und Anzahl der vorhandenen Rundfunkgeräte. Der Beitrag in Höhe von 17,98 Euro wird Fernseher, Radios, Computer, Tablet Computer, Smartphones und empfangsfähige Navigationsgeräte umfassen. Abgedeckt sind auch private Fahrzeuge der Bewohner.
Bestandsdatenauskunft muss neu geregelt werden Im Laufe des neuen Jahres müssen die Regelungen zur Bestandsdatenauskunft im Telekommunikationsgesetz sowie in den entsprechenden Spezialgesetzen und den Gesetzen der Länder neu gefasst werden. Es geht darum, unter welchen Voraussetzungen Ermittlungsbehörden wie Polizei, BKA, Verfassungsschutz etc. von den Telekommunikationsunternehmen die Herausgabe der Bestandsdaten von Kunden verlangen können.
Warteschleifen werden kostenfrei Ab Juni 2013 dürfen Warteschleifen im Grundsatz nur noch kostenfrei angeboten werden. Ausnahmen bestehen zum Beispiel für ortsgebundene Rufnummern oder Mobilfunknummern. Verstößt der Anbieter gegen diese Vorgaben, so entfällt sein Entgeltanspruch künftig ganz und der Anruf ist für den Verbraucher kostenfrei.
Roaming wird günstiger Im kommenden Jahr wird die Handynutzung im europäischen Ausland erneut preiswerter. Ab dem 1. Juli 2013 beträgt die Preisobergrenze für ausgehende Telefonate 24 Cent pro Minute nach zuvor 29 Cent. Die Telefonminute für eingehende Anrufe darf maximal 7 Cent kosten (vorher 8 Cent). Der Preis für SMS aus dem EU-Ausland sinkt von 9 Cent auf 8 Cent. Auch die Nutzung von Datentarifen wird günstiger, ein Megabyte kostet ab Juli maximal 45 Cent nach zuvor 70 Cent.
2. APTs
Die hohe Sensibilität für Social Engineering ist auch deshalb angezeigt, weil es Vorbote einer noch raffinierteren Angriffsform sein kann - so genannter APTs - Advanced Persistent Threats. Namhafte Beispiele für APTs, die in 2012 sowohl gegen Unternehmen als auch gegen staatliche Einrichtungen gerichtet waren, sind "Gauss" und "Flame". APTs sind äußerst hoch entwickelt, sehr differenziert geplant und kombinieren verschiedene Angriffstechnologien. Ihr Ziel ist, Zugriff auf ein Netzwerk zu erlangen und dort "still und leise" Informationen zu stehlen. Sie arbeiten nach dem "low-and-slow"-Prinzip, wodurch sie meist nur schwer zu erkennen und daher oft so erfolgreich sind. Dafür müssen APTs nicht zwingend auf verbreitete Programme wie Microsoft Word und ähnliches abzielen. Sie können auch andere Vektoren, zum Beispiel Embedded Systems, also eingebettete Systeme, nutzen. In einer Welt, in der immer mehr Devices über eigene IP-Adressen verfügen, ist die Implementierung von Security in diese Systeme niemals wichtiger gewesen, als heute. APTs werden vor allem deshalb weiter auftreten, weil sie nicht zuletzt von Regierungsstellen und anderen, kapitalstarken Organisationen als nützliches Cyber-Space-Tool zu Spionagezwecken dienen. APTs finden immer und überall statt, entsprechend wichtig ist es, verdächtige Anomalien im Netzwerkverkehr frühzeitig zu erkennen.
3. Interne Bedrohungen
Einige der größten Gefahren drohen allerdings nicht von außen, sondern kommen von innen. Attacken aus dem Inneren des Unternehmens heraus können besonders verheerend sein, denn ein privilegierter Anwender hat Zugriff auf die sensibelsten Daten. Durch eine vom U.S. Department of Homeland Security geförderte Studie fanden die Analysten des CERT Insider Threat Center am Softwareentwicklungsinstitut der Carnegie Mellon-Universität und der amerikanische Geheimdienst gemeinsam heraus, dass betrügerische Insider innerhalb der Finanzindustrie im Durchschnitt fast 32 Monate lang unentdeckt agieren in diesem Zeitraum enormen Schaden anrichten können. Vertrauen ist, wie man landläufig sagt, ja gut - zu viel davon kann ein Unternehmen jedoch sehr verwundbar machen.
Security-Software-Hersteller zu Bedrohungen 2013
Walter Jaeger, Kaspersky: "Händler bieten Kunden flexible Sicherheitssoftware."
Martin Ninnemann, Trend Micro: "Pattern-gestützte Erkennung ist nur ein Bestandteil der Sicherheitsstrategie"
Norbert Runser, Director Channel Central and Eastern Europe bei McAfee: "Mögliche Vorfälle und Schäden früher erkennen und verhindern"
Max Galland, Senior Manager SMB Sales EMEA Central Region Symantec: "Die Hälfte der Attacken ist gegen kleine und mittlere Firmen gerichtet"
Helmut Reketat, G Data Sales Director Global: "Klassischer Schadcode immer kurzlebiger"
IAN Kilpatrick, Wick Hill Group:"Angriffsvektoren mit unterschiedlichen Signaturen"
Markus Mertes, Panda Security: "Reaktive Erkennung von Schadprogrammen nicht mehr zeitgemäß"
Pierre Curien, Geschäftsführer von Doctor Web Deutschland: "Heuristik und Verhaltensanalyse im Kommen"
Alexander Neff, Quest Software: "Ganzheitliche Sicht auf alle sicherheitsrelevanten Vorgänge"
Sascha Beyer, COO bei Avira: "Die digitale Identität eines jeden Anwenders schützen"
Dr. Ronald Wiltscheck, ChannelPartner: "Neue Bedrohungen beflügeln das Geschäft mit IT_Securtiy"
4. BYOD
Auch in der Welt der mobilen Kommunikation spielt Vertrauen eine große Rolle, zumal die Unternehmen große Schwierigkeiten damit haben, dem ungebrochenen "Bring-Your-Own-Device" (BYOD)-Trend den richtigen Mix an Sicherheitstechnologien entgegen zu setzen. Die Anwender nutzen ihre mobilen Endgeräte zunehmend so, wie ihre PCs, und machen sich damit auch in der mobilen Welt zum beliebten Angriffsziel für webbasierte Attacken. Es ist zu erwarten, dass Cyberkriminelle künftig mehr Energie auf die Entwicklung von Funktionen verwenden werden, mit deren Hilfe sie die App-Überprüfungs- und Erkennungsmechanismen umgehen können, die von den Anbietern heute zum Schutz ihrer App-Märkte aufgeboten werden. Die Flut von iPhones, Google Android-Geräten und anderen Devices, die heute in die Unternehmen hineinschwappt, eröffnet Hackern also einen weiteren, viel versprechenden Angriffsweg, der entsprechend abgesichert werden muss.
5. Cloud-Security
BYOD ist allerdings nicht die einzige Gefahr, die Unternehmen dazu zwingt, die Mauern um ihre schützenwerten Daten neu zu konstruieren. Es gibt da auch noch diesen "kleinen" Trend zu Cloud Computing. Je mehr Unternehmen immer mehr Informationen in öffentliche Cloud-Services stellen, umso attraktiver werden diese Services als Angriffsziele - und können für die betroffene Organisation zum "Single Point of Failure" werden. Die Unternehmen sollten daher gegenüber ihren Cloud-Providern das Thema Security als besonders wichtig herausstellen und ihre entsprechenden Anforderungen deutlich machen.
6. HTML5
So, wie die Verbreitung von Cloud Computing die Angriffsflächen der Unternehmen vergrößert hat, so wird auch HTML5 zum Aufkommen neuer Gefahren beitragen. Auf der diesjährigen Black Hat-Konferenz, die Security-Profis Hinweise auf eventuelle, neue Gefahren gab, wurden der plattformübergreifende Support von HTML5 und seine Integration verschiedener Technologien als Türöffner für neue Attacken diskutiert, etwa über den möglichen Missbrauch von Web Worker-Funktionalitäten. Zwar erhält die Sicherheit von HTML5 eine zunehmend hohe Aufmerksamkeit, doch allein die Tatsache, dass es neu ist impliziert, dass die Entwickler bei seiner Nutzung Fehler machen werden - Fehler, auf die die Angreifer schon warten. Für das kommende Jahr ist daher ein Anstieg von HTML5-orientierten Attacken zu erwarten, die sich mit der zunehmenden Verbesserung gezielter Security-Maßnahmen aber graduell abschwächen sollte.
Der Umgang mit HTML5
Flight - Event-gesteuertes Web-Framework von Twitter Unter Softwareentwicklern genießt Twitter einen guten Ruf, nicht zuletzt weil das Unternehmen zahlreiche Frameworks und Tools an die Community freigegeben hat.
Google Code Prettify macht Quelltexte besser lesbar Es soll ja Programmierer geben, die mit einem einfachen Editor und unformatiertem Text arbeiten können. Die meisten Entwickler finden es aber mühsam, ohne Syntax-Hervorhebung Code zu lesen.
TideSDK - plattformunabhängige Desktop-Apps erstellen Mit dem quelloffenen Framework "TideSDK" können Web-Entwickler ihr Know-how nutzen, um plattform-übergreifende Desktop-Anwendungen für Windows, Mac OS X und Linux zu erzeugen.
"LaunchRock" erstellt attraktive Landingpages im Nu Der Dienst stellt ein Online-Tool bereit, mit dem man eine standardisierte Landingpage mit schlichtem Registrierungsformular erstellen kann.
App Annie liefert wertvolle App-Store-Statistiken Wer neben Metriken über die Nutzung der eigenen Software auch an den Statistiken der App-Stores besonders interessiert ist, sollte einen Blick auf App Annie werfen.
Loggr - Monitoring und Analytics für Web-Anwendungen Betreiber von Web-Anwendungen sind bedacht, eine möglichst hohe Performance und Verfügbarkeit sicherzustellen. Application-Performance-Management-Tools wie Loggr helfen dabei.
WPTouch macht aus Wordpress-Blogs mobile Apps Das kostenlose Plugin "WPTouch" wandelt Wordpress-Blogs in eine mobile App um. Dabei nimmt die Seite das charakteristische Look and Feel der jeweiligen Plattform automatisch an.
The M-Project - HTML5-Framework für mobile Web-Apps Mit "The M-Project" steht ein quelloffenes HTML5-Framework für mobile Web-Apps zur Verfügung, das in Deutschland entwickelt wird.
HockeyApp - Smartphone-Apps besser testen HockeyApp sammelt Informationen wie Crash-Reports und Anwendungs-Logs und liefert ausführliche Testberichte.
Kirby - ein textbasierendes Content-Management-System OpenWe hat mit "Kirby" ein Content-Management-System (CMS) entwickelt, das ganz ohne Datenbank auskommt.
Mashape - Zentraler Marktplatz für APIs APIs, die verschiedene WebDienste miteinander integrieren können, werden mit SaaS, Cloud Computing & Co. immer wichtiger. Das Startup Mashape stellt eine zentrale Drehscheibe für Programmierschnittstellen zur Verfügung, die die Integration heterogener Cloud-Dienste vereinfachen soll - quasi eine Art App Store für APIs.
Tower - Anspruchsvolles Git-Tool für den Mac "Tower" ist ein professioneller Git-Client für Mac OS X, der in Sachen Bedienkomfort und Funktionalität kaum Wünsche offenlässt.
Google Swiffy verwandelt Flash-Inhalte in HTML5 Wer sicherstellen will, dass sich Flash-Inhalte auch auf iOS-Plattformen betrachten lassen, sollte sich das Konverter-Tool "Swiffy" ansehen.
Cappuccino bringt Mac-Usability ins Web Die jungen Entwickler hinter "Cappuccino" sind sehr ehrgeizig: Ein Web-Framework, bei dem man keinen HTML- beziehungsweise CSS-Code schreiben kann und sich mit dem DOM (Document Object Model) nicht auseinandersetzen muss, ist allein schon ein recht mutiger Ansatz. Dazu kommt noch eine selbst entwickelte Programmiersprache, Objective-J, die das Beste von Javascript und Objective-C vereinen soll.
Flotr2 - Interaktive Diagramme auf HTML5-Basis erstellen Angeboten von der Softwareschmiede Humble Software bietet "Flotr2" einen einfachen Weg, dynamische und interaktive Diagramme in Web-Seiten und -Anwendungen zu integrieren.
MooTools - das objektorientierte Javascript-Framework Wie wichtig die Rolle ist, die Javascript in der heutigen Web-Entwicklung spielt, spiegelt sich in der großen Zahl von Frameworks, Tools und Klassenbibliotheken wider, die die Arbeit mit der mächtigen Skriptsprache erleichtern und heute auf dem Markt zu finden sind.
Mobitest analysiert die Performance mobiler Websites Mit "Mobitest" können Entwickler die Ladezeiten von mobilen Websites auf populären Smartphones und Tablets messen.
Ohne Programmierkenntnisse - Apps Marke Eigenbau Die Entwicklung von Smartphone-Apps ist nicht gerade günstig. Wer eine tolle Idee für eine App hat, aber weder Programmierkenntnisse noch Geld für deren Umsetzung durch einen professionellen Entwickler besitzt, kann auf Tools zurückgreifen, die nach dem Baukastenprinzip arbeiten.
Mojito hilft bei der Entwicklung mobiler Web-Apps Als erstes Entwickler-Tool im Rahmen der umfangreichen Initiative "Yahoo Cocktails" hat der Internet-Konzern Yahoo "Mojito" herausgebracht.
Socialize - Sharing-Funktionen in die eigene App integrieren So gut wie jede Smartphone-App bietet den Nutzern die Möglichkeit, die Anwendung in den wichtigsten sozialen Netzwerken ihren Freunden und Kollegen zu empfehlen. Meistens steht dazu ein einfacher Button zur Verfügung, der den User nach Twitter, Facebook etc. weiterleitet.
RestKit - Solides Fundament für Cloud-basierende iOS-Apps Bei der Entwicklung Web-basierender Apps fallen immer wieder die gleichen Aufgaben an. Ein typischer Use-Case sieht vor, dass vom Anwender erzeugte Daten validiert und via HTTP-Anfrage an den Server geschickt werden.
Flurry Analytics - Google Analytics für Apps Welche Features werden am häufigsten verwendet? Wie oft wurde diese oder jene Ressource angeklickt? Welche Fehler treten in einem bestimmten Modul auf? App-Entwickler, die Antworten auf solche Fragen suchen, sind mit Flurry Analytics gut bedient.
Sproutcore - HTML5-Framework für moderne Web-Apps Nutzer erwarten zunehmend, dass sich Applikationen im Browser genauso anfühlen wie Desktop-Anwendungen. Das ständige Warten auf Server-Daten stellt deshalb eine der größten Hürden für Web-Applikationen dar.
Jotform - Komplexe Web-Formulare einfach erstellen Bei Jotform handelt es sich um einen Web-basierenden Wysiwyg-Formular-Wizard. Dieser ermöglicht es Web-Entwicklern wie Laien, optisch ansprechende und funktional anspruchsvolle Web-Formulare zu erstellen, und das in nur wenigen Schritten.
Bootstrap - Website-Vorlage von den Twitter-Entwicklern Web-Entwickler erhalten mit Bootstrap eine professionelle HTML- und CSS-Vorlage, die als solides und flexibles Fundament für eigene Projekte dienen kann.
Modernizr hilft beim Einstieg in HTML5 Der neue Standard HTML5 bietet Programmierern und Designern Techniken und Funktionen, die sie sich lange gewünscht haben. Doch leider zögern noch viele, von den schönen neuen Features in eigenen Projekten Gebrauch zu machen.
Apache Wink - Einfache Rest-Services für Java "Wink" ist ein junges Open-Source-Projekt der Apache Foundation, das Java-Entwicklern die einfache Implementierung von Web-Services im Rest-Style (Representational State Transfer) ermöglicht.
Aviary - Kostenloser Foto-Editor für Mobile- und Web-Apps Die Softwareschmiede Aviary ist für zahlreiche innovative Online-Anwendungen im Bereich Multimedia bekannt. Die bei der Entwicklungsarbeit gesammelten Erfahrungen spiegeln sich in dem kostenlosen "Aviary"-Framework wider.
Three20 - Mächtige Open-Source-Bibliothek für iOS-Anwendungen "Three20" ist eine quelloffene, erstklassige iOS-Bibliothek, die die Entwicklung nativer Anwendungen für iPhone und iPad vereinfachen und beschleunigen kann.
CForms - Mächtiges Formular-Plugin für Wordpress Web-Formulare dürfen in so gut wie keinem Blog beziehungsweise keiner Website fehlen. Unter Wordpress-Nutzern sehr beliebt ist in diesem Bereich das kostenlose Tool "CForms". Damit lassen sich beliebig komplexe Formulare erstellen und auf einfache Weise in Blog-Einträge und Seiten integrieren.
Testflight vereinfacht das Testen von iOS-Apps Entwickler, die ihre iOS-Apps von Kunden, Betatestern oder Kollegen testen lassen möchten, müssen sich einem aufwendigen Prozedere beugen.
Einfache Web-Formulare mit Google Docs Ein großer Vorteil des Web ist die papierlose Erfassung von Formulardaten. Jeder Internet-User kennt diese Formulare (Webforms) im täglichen Umgang mit Ebay, Amazon, Facebook & Co.
Imgscalr - Bilder in Java einfach skalieren Bei Web-Anwendungen muss man Bilder häufig skalieren, weil sie in einer Größe angezeigt werden sollen, in der sie eigentlich nicht vorliegen.
Kendo UI Mobile - HTML5-Framework für Smartphone-Apps Vor allem im Mobile-Bereich müssen Softwarehersteller in eine elegante, intuitive und schöne Arbeitsoberfläche investieren. Hilfe verspricht hier das auf HTML5, CSS3 und Javascript basierende Mobile-Framework "Kendo UI Mobile" von dem amerikanischen Softwareunternehmen Telerik.
Applicasa - Hosting-Service für Backend-Systeme Mit einem umfassenden Hosting-Service, der Backend-Systeme für Mobile-Anwendungen bereitstellt, versetzt "Applicasa" iOS-Entwickler in die Lage, sich voll und ganz auf ihre App zu konzentrieren.
Pencil Sketching - GUI-Skizzen in Firefox "Pencil Sketching” eignet sich optimal dazu, schnell und unkompliziert GUI-Prototypen für Web-Anwendungen zu erstellen.
Firebug - ein Muss für Web-Entwickler Zur Analyse und Optimierung von Web-Seiten hat sich das Firefox-Add-on "Firebug" als Standardwerkzeug für Web-Entwickler etabliert.
Mit Bugzilla Programmfehlern auf der Spur Die Mozilla Foundation bietet mit "Bugzilla" ein nützliches Web-Tool zur zentralen Erfassung, Analyse und Verwaltung von Programmfehlern.
Xampp installiert Ihren Apache-Server Ein Apache-Server mit Perl-, PHP- und MySQL-Unterstützung lässt sich nicht so einfach einrichten. Wer eine solche Umgebung lokal auf seinem Rechner braucht, der kann auf "Xampp" zurückgreifen, anstatt alles selber zu installieren.
Http-Anfragen bequem mit URL Decoder editieren Mit dem "URL Decoder” können Web-Entwickler Http-Anfragen mit vielen Parametern in einer Übersichtstabelle visualisieren und schnell bearbeiten.
MediaElementPlayer - HTML5-Video für jeden Browser Egal ob Internet Explorer, Firefox, Safari oder Chrome, ob auf dem PC, iPhone, iPad oder Android-Smartphone: Mit dem JavaScript-Framework "MediaElementPlayer" funktioniert HTML5-Video in jedem Browser und auf jedem Gerät.
Poedit hilft bei der Software-Lokalisierung Bei der Lokalisierung von Software-Anwendungen werden oft Portable-Object-Dateien verwendet. Mit dem kostenlosen Tool "Poedit" lassen sie sich bequem bearbeiten.
Hurl - Web-APIs direkt im Browser testen Web-Entwickler haben täglich mit Http-Anfragen zu tun, sei es bei der Implementierung eigener Server-Client-Anwendungen, bei der Arbeit mit Web-Services oder bei der Integration mit externen APIs (Application Programming Interface).
7. Botnets
Auch wenn 2013 in Sachen "beste Angriffs-Innovation" ein wahrer Wettbewerb zwischen Forschern, Entwicklern und Angreifern entstehen mag - nicht zuletzt werden Cyberkriminelle auch viel Zeit darauf verwenden, das zu perfektionieren, was sie schon sehr gut beherrschen - zum Beispiel werden sie für eine hohe Verfügbarkeit und Verbreitung ihrer Botnets sorgen. Zwar waren legale Take-Downs, wie sie von Unternehmen wie Microsoft durchgeführt wurden, erfolgreich und brachten Spam- und Malware-Operationen vorübergehend zum Erliegen. Doch es wäre naiv anzunehmen, dass die Angreifer nicht das, was sie aus diesen Take-Downs gelernt haben, für die Optimierung ihrer weiteren Aktivitäten nützen würden. Botnets sind sehr präsent, und werden es bleiben.
8. "Spezielle" Malware
Woraus Angreifer außerdem gerne lernen, ist die Vorgehensweise von Forschern bei der Analyse von Malware. Als Ergebnis traten kürzlich neue Techniken auf, mit deren Hilfe die Malware-Analyse umgangen werden kann und völlig ineffizient wird. Dies ist möglich durch die Entwicklung und den Einsatz von Malware, die in keiner anderen Umgebung korrekt ausgeführt werden kann als in der, auf die sie tatsächlich abzielt. Beispiele für solche präzise ausgerichteten Attacken sind Flashback und Gauss. Beide waren darin erfolgreich, insbesondere Gauss, die Netzwerkanalysten von einer automatisierten Malware-Analyse abzuhalten. Die Malware-Spezialisten werden diese Angriffstechniken im kommenden Jahr weiter verbessern und ausbauen und ihre Schadsoftware dediziert auf bestimmte Ziele ausrichten, so dass sie z. B. nur Computer mit einer spezifischen Konfiguration angreifen wird. Sicher ist, dass 2013 eine wahre Flut von Bedrohungen und Malware mit sich bringen wird, wobei die Angriffsvektoren von sozialen Netzwerken über mobile Endgeräte bis hin zu den Mitarbeitern selbst reichen werden. So, wie die Security für Rechner und Betriebssysteme weiter verbessert werden wird, so werden sich auch die Techniken von Cyberkriminellen verbessern, mit denen sie dann die neuen Verteidigungsmaßnahmen umgehen werden. Alles in allem Grund genug, geeignete Security-Maßnahmen in 2013 nicht nur als guten Vorsatz, sondern als wichtige Grundlage für ein erfolgreiches Geschäftsjahr zu sehen. (rw)