21. Mär. 2011
RTF und SCADA im Visier von Internetkriminellen
Für das vierte Quartal 2010 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem unlängst erschienenen Quartalslagebericht 2010/4 ein erhöhtes Gefährdungsniveau der IT-Sicherheit in Deutschland festgestellt: Neue Angriffe über RTF hätten etwa gezeigt, dass neben PDF-Dokumenten auch weitere populäre Dateiformate in das Visier von IT-Kriminellen geraten sind.
In den letzten Jahren haben Angreifer häufig PDF genutzt, um über Schwachstellen im Adobe Reader in fremde Computer einzudringen. Doch auch das "Rich Text Format" (RTF) eigne sich sowohl gut für den Datenaustausch zwischen verschiedenen Textverarbeitungsprogrammen als auch für Missbrauch: Ende Dezember 2010 wurde eine Angriffsmöglichkeit bekannt, bei der durch das Öffnen manipulierter RTF-Dokumente beliebiger Code auf dem Zielsystem ausgeführt werden kann. Ursache ist eine Sicherheitslücke in Microsoft Word ab Version 2002 – für eine Infektion mit Schadsoftware genügt laut BSI jedoch bereits die Anzeige einer manipulierten RTF-E-Mail im Vorschaufenster von Microsoft Outlook. Das entsprechende, von Microsoft bereits im November 2010 veröffentlichte Update sollte daher umgehend installiert werden, sofern dies nicht schon erfolgt ist.
Als weitere Kernpunkte der Bedrohung nannte das BSI auch weiterhin Schwachstellen in Webauftritten. Und wie bereits im dritten Quartal hätten auch Ende 2010 der Trojaner "Stuxnet" und die prinzipielle Verwundbarkeit industrieller Steuerungssysteme die IT-Sicherheitslage geprägt: So wurde im Oktober 2010 eine spezielle Suchmaschine namens "Shodan" entdeckt, die im Internet nach öffentlich zugänglichen Prozesssteuerungssystemen sucht. Stuxnet hatte gezeigt, wie derartige SCADA-Systeme manipuliert und möglicherweise industrielle Prozesse sabotiert werden können. Aus Sicherheitsgründen sollten diese an sich zwar nicht öffentlich zugänglich sein, doch in der Praxis ermöglichen fehlerhafte Konfiguration oder das Umgehen von Sicherheitsvorschriften doch immer wieder bei einigen Anlagen den Zugriff und gegebenenfalls Angriff über das Netz.
