Liebe Blogleserinnen und -leser,
in diesem Blogeintrag hat sich ein guter Freund und Studienkollege Martin Sudmanns einmal mit den Bedrohungen aus dem Internet beschäftigt. Dies hat er vor allem deshalb gemacht, da Angriffe auf Computer, Smartphones, Identitäten, persönliche Daten, Server oder ganze IT-Infrastrukturen in der Öffentlichkeit nur sporadisch wahrgenommen werden. Dies geschieht immer dann, wenn über besonders medienwirksame Angriffe wie der Hackerangriff auf Sony im November/Dezember 2014 berichtet wird. Im Gegensatz zu dieser möglicherweise fälschlichen Wahrnehmung ist die Bedrohung aus dem Internet allerdings allgegenwärtig, sowohl zeitlich als auch räumlich. Auch die Anzahl der Angriffe wird oft völlig falsch eingeschätzt.
An dieser Stelle wundert Ihr euch möglicherweise, was das mit GIS zu tun hat oder ob Ihr euch noch auf der richtigen Website befindet. Ich schätze, die meisten, die das hier lesen, arbeiten tagtäglich mit dem Computer. Manche müssen sich vielleicht sogar explizit um die Sicherheit ihrer sensiblen (GIS-)Daten kümmern, beispielsweise weil personenbezogen Informationen involviert sind. Dies sollte natürlich auch im GIS-Bereich nicht zu kurz kommen; das Schützen von Geodaten vor Angriffen ist allerdings diesmal nicht das Thema, sondern es geht um die Charakteristiken der Angriffe selber. Denn auch wenn prinzipiell Angriffe von allen Orten und zu allen Zeiten passieren können, gibt es sowohl deutliche räumliche als auch zeitliche Unterschiede bzw. Schwankungen. Beispielsweise sind Angriffe auf Unternehmen zur regulären Arbeitszeit beliebt. Der Grund ist, dass dann viele Computer angeschaltet sind, die Serverlast größer ist als am Wochenende und die nicht autorisierte Aktivitäten aufgrund der parallel verlaufenden regulären Aktivitäten oftmals schwierig zu erkennen sind. So wurden die häufigsten (DDOS-)Angriffe dienstags registriert (Quelle). Freitage sind hingegen eher weniger beliebt :-)
Da wir uns aber beruflich mit Geodaten beschäftigen, möchte ich euch einladen, einmal die Geographie der Internetbedrohungen anzuschauen. Die räumliche Komponente eines Angriffs beinhaltet den Standort des Angreifers und den Standort des Zielcomputers. Dabei ist allerdings zu berücksichtigen, dass einerseits viele Angriffe nicht registriert werden, andererseits der gemessene Standort des angreifenden Computers nicht unbedingt mit dem realen Standort des Angreifers übereinstimmt – nicht einmal auf Länderebene. Jedenfalls, wenn der Angreifer gut ist.
Wie werden Angriffe gemessen?
Niemand kann alle Angriffe aus dem Internet auf alle Ziele messen. Es existiert lediglich die Möglichkeit, diese abzuschätzen. Eine Möglichkeit ist, sogenannte Honeypots zu verwenden. Diese „Honigtöpfe“ sehen nach außen wie ein verwundbares Ziel aus, sind aber in Wahrheit nur simulierte Opfer und protokollieren den Angriff detailliert mit. Aus Sicht des Angreifers ist dies äußerst unangenehm, da nicht nur den Angriff selbst registriert wird, sondern auch IP-Adressen sowie die Vorgehensweise erfasst werden kann. Kommt Schadcode (Malware) zum Einsatz, wird dieser sofort kopiert und zur späteren Analyse (Reverse Engineering) in Quarantäne verschoben. Die Betreiber dieser Honigtöpfe sind oftmals private Firmen als auch Forschungseinrichtungen. Eine andere Möglichkeit der Messung von Angriffen ist das Sammeln von Informationen aus Antivirenprogrammen oder sonstigen Angriffserkennungssystemen (Intrusion Detection System – IDS). Ähnliches wie bei den Honeypots gilt auch hier: je verbreiteter ein Produkt ist, desto umfassender die Ergebnisse.
Beispiele
Einige Beispiele aus Erfassungen von Honeypots sind öffentlich zugänglich und lassen sich oftmals sogar in Echtzeit anschauen. Dazu gehört z.B. der Sicherheitstacho der Telekom: Sicherheitstacho.
Es gibt auch die Möglichkeit, auf eine Vielzahl an anderen Angeboten zurückzugreifen, z. B. von NORSE: NORSE Live Attacks. Um diese Karte zu betrachten, benötigt man allerdings einen schnellen Computer und eine schnelle Internetverbindung. Dafür bietet sie sehr viel detaillierte Informationen.
Kaspersky Lab bietet eine dreidimensionale Karte, bei der auch die Art der Angriffe unterschieden wird (basierend auf deren Produkten): Cybermap Kaspersky.
Das sind nur einige Beispiele. Eine umfassendere Übersicht bekommt ihr hier: Realtime Attack Tracker.
Statistik
Eine statistische Übersicht, aufgeschlüsselt per Angriffsart und Land stellt ebenfalls Kaspersky Lab zur Verfügung (Report Kaspersky). Ein Beispiel zeigt hier die derzeit steigende Anzahl der Angriffe auf Benutzer von Smartphones:
Aber natürlich bieten auch andere Hersteller von Antivirensoftware ähnliche Reports an, wie z. B. das deutsche Unternehmen G DATA (Malware Report). Die Karte zeigt Standorte von Webservern, die Seiten ausliefern bei deren Besuch der Computer sich infizieren kann.
Das US-Amerikanische Unternehmen Symantec (Symantec Report) bietet beispielsweise eine – leider nur tabellarische – Übersicht über die Quellen von Email Spam.
Und weiter?
Natürlich muss man bei diesen Informationen, wie schon angesprochen, äußerst vorsichtig sein bei der Interpretation aufgrund der Schwierigkeit, die Quellen eindeutig zu bestimmen. Auch ist zu berücksichtigen, dass die privaten Unternehmen letztlich auch die Produkte verkaufen möchten. Einen Hinweis bzw. Trend können diese Zahlen aber durchaus liefern.
Mehr Hintergrundinformation über die allgemeine Situation in Deutschland – ohne explizite geographische Komponente – bietet das Bundesministerium für Sicherheit in der Informationstechnik (BSI) mit dem Lagebericht 2014 (BSI-Lagebericht).
Viele Grüße,
Martin, Helena & Mona
