Wir sammeln heute alle Daten von einzelnen Personen oder Organisationen, die einzelne Puzzleteile des gesamten Bedrohungsapparates ausmachen. Eine konzentrierte Sammlung, Veröffentlichung und Nutzung all dieser Daten würde eine neue Massenware gegen Bedrohungen werden.
Wir wissen fast alle ziemlich genau, wer uns aus dem Internet angreift und warum. Einzelne unter uns wissen sogar mehr. Sie wissen welche Gruppen uns angreifen, und darüber kennen Sie sogar einzelne Namen von Mitgliedern dieser Gruppen. Sie wissen wo sie leben, wer deren Familienmitglieder sind, wo sie in die Schule gegangen sind, und wo sie in den Ferien hinfahren.
Ein gutes Beispiel ist das russische Business Netzwerk, die Crimeware Group. Mit ein wenig Suchaufwand im Internet findet man ein Jahrzehnt von Spuren und Hiweisen, Bilder deren Anführer, und sogar Geschäftsbeziehungen. Möchten Sie sehen, wer Ihnen also den ganzen Spam sendet? Schauen Sie hier: http://en.wikipedia.org/wiki/List_of_spammers . Sie ist beliebig erweiterbar. Die Frage ist, sollten diese Männer alle auf die Terrorliste / Sanktionsliste Banz? Ich bin vermutlich der erste in Deutschland, der sich diese Frage stellt. Das wäre einmal an den Bundesanzeiger bzw. ans Justizministerium zu adressieren.
Möchten Sie wissen, wer die meiste Wirtschaftsspionage veranlasst. Lesen Sie einen anderen Bericht, den bekommen Sie aber nur von mir. Der zeigt sogar noch die pyhsichen IP Adressen der Hacker auf. Doch man fragt sich, warum sitzen die Jungs nicht im Gefängnis? Die Antwort ist einfach. Diese Jungs arbeiten über internationale Grenzen hinweg, also ist es schwierig mit einer Anklage und deren Verurteilung, und bei manchen kommt noch der Punkt hinzu, dass ihre Heimatländer das gar nicht wollen, oder sie noch unterstützen. Das ist in den USA genauso wie in China. Auch wenn wir die Beweise sichern und liefern, können wir die Jungs nicht einfach festnehmen in den Ländern in denen sie leben. Auslieferungsabkommen gibt es, aber nicht mit allen Ländern. Gerade Länder in denen die meisten großen Hacker zuhause sind, haben genau solche Auslieferungsabkommen nicht, und deshalb leben die Jungs in diesen Hackeroasen.
Viele Industriezweige haben Gruppen in denen Sie Informationen austauschen über die Industrieziele, die von Angriffen betroffen sind oder angegriffen wurden. So haben wir z.B. die Taskforce Cybersecurity der Industrie gegründet von Minister a.D Brüderle. Andere Industriezweige tun das auch, schon vorher und völlig selbstständig in kleiner Gruppe.
Viele Anti-Malware-Hersteller wissen genau, woher neue Kriminalität im Anflug ist, wann eine neue Hackerkampagne von den bösen Jungs in den erwähnten Gruppen losgetreten wird, und was sie im Sinn haben (neues Malwareprogramm oder neue Phishingstrategie), sie wissen manchmal sogar schon von welcher neuen IP-Adresse dies stattfinden wird.
Man kann also sagen, dass es einige hundert Firmen und tausende von Leuten gibt, die ein ziemlich gutes Verständnis und Wissen über das Böse im Internet besitzen. Sie erkennen neue Trends wenn sie passieren. Individuell aber hat keine der Firmen oder Leute alle Informationen. Und genau das müßte erreicht werden, dass alle Guten diese Information über die Bösen für alle bereitstellen.
Und warum wird das nicht gemacht? Genau, weil jeder damit sein Geld verdient. Wissen ist Macht. Oder homöopatisch. Wer die Information hat, hat die Macht. Wenn mich also jemand darüber informiert, dass es bald eine neue Phishing-Kampagne geben wird, die da heißt „Nackte Bilder von Angela Merkel“, bin ich doch eher daran interessiert, dass mein Anti-Malware-Programm das abfedert und blockt, damit es nicht auf meinen Desktop kommt. Das Problem: Anti-Malware-Programme sind nur zu ca. 25% zuverlässig.
Ein Anti-Malware-Hersteller erhält manchmal innerhalb von wenigen Sekunden eine Nachricht über eine neue Bedrohung. Warum dauert es mitunter viele Stunden oder sogar Tage bis man informiert wird? Ich sende eine Datei mit dem Slammer Virus an Virus Total. Die Datei ist von 2003. Nur 58% der Engines erkennen das Virus, und das sind noch nicht einmal die, von denen man es erwarten würden. Warum erkennen nicht mehr Hersteller diese Malware? Erstellt man ein neues Malware-Programm, so erkennt das eine Scan-Engine meistens nicht. Und betrachtet man die Engines einzeln, so entgeht Ihnen allen einige Informationen über die verschiedene Malware. Aber würde man die Gedanken aller Hersteller bündeln, hätte man vermutlich eine perfekte Informationsbasis.
Die Anti-Malware-Hersteller sollten langsam anfangen untereinander die Informationen auszutauschen. Ein Metadirectory müsste her, und es müßte fair verwaltet werden, auch die ökonomische Seite. Virus Total macht das im Ansatz schon. Wenn alle das machen würden, würden auch die Anti-Malware-Programme besser werden, und wir würden alle davon profitieren. Aber stattdessen haben wir schlechte Sammler von Thread-Informationen, jeder in seinem Silo, die mit diesen inakkuraten Informationen versuchen perfekte Produkte herzustellen, und diese auch in Ihrer Werbung mit 100% Sicherheit und Akkuratheit anbieten. Ein schöner Traum.
Nachdem uns Symantec letzte Woche die Ohren an der Börse vollgejammert hat, sollten sie lieber einmal als Urgestein des Anti-Malware anfangen über eine derartige Strategie nachzudenken, und nicht mit gleichem Ansatz in die Entwicklung einer neuen Generation Produkte einzusteigen, was wieder zum Scheitern verurteilt sein wird. Es ist ganz einfach. Ihr tauscht euch aus, Ihr seid erfolgreich. Ihr tauscht euch nicht aus, und keiner kauft mehr eure Produkte. Sehr simpel, oder? Diese miesen Produkte, die möchte einfach niemand mehr kaufen und einsetzen.
Weitere Artikel
McAfee Labs prognostizieren für 2014 mehr Angriffe durch mobile Ransomware und Security-Aware-Attacken
Neue F-Secure Client Security Premium mit Software-Updating und verbesserter Abwehrtechnologie
Spam im Frühjahr 2013: Kaspersky Lab meldet rekordverdächtigen Spam-Rückgang
AV-Test: Wie gut schneiden Antivirenlösungen für Unternehmen unter Windows 8 ab?