Kaspersky Security Bulletin 2010: Statistik für das Jahr 2010

  1. Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2010
  2. Statistik für das Jahr 2010
  3. Kaspersky Lab Jahresbericht 2010: Spam im Jahr 2010

Über den Bericht

Der vorliegende Jahresbericht ist Teil des Kaspersky Security Bulletin 2010 und beruht auf Daten, die mit Hilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet wurden. Das KSN setzt in den Produkten für Heimanwender und Unternehmen eine Cloud-Architektur ein und gehört zu den wichtigsten Technologien von Kaspersky Lab.

Das Kaspersky Security Network ermöglicht es unseren Experten, in Echtzeit selbst solche Schadprogramme aufzuspüren, für die es bisher noch keine Signaturen oder heuristische Erkennungsmethoden gibt. Mit Hilfe vom KSN können wir die Verbreitungsquellen von Schadprogrammen im Internet identifizieren und Anwender vor dem Zugriff auf diese Quellen schützen.

Gleichzeitig ermöglicht das KSN eine sehr schnelle Reaktion auf neue Bedrohungen – innerhalb weniger Sekunden nach seiner Entdeckung auf dem Computer des Anwenders wird das Schadprogramm blockiert und zwar ohne die sonst übliche Aktualisierung der Antiviren-Datenbanken.

Die im Jahresbericht vorgestellten Statistiken basieren auf Daten von Kaspersky Lab-Produkten, deren Anwender zugestimmt haben, dass die Software statistische Informationen sammeln und zu Auswertungszwecken an Kaspersky Lab schicken darf.

Schadprogramme im Internet (Attacken über das Web)

Seit der Veröffentlichung unseres letzten Jahresberichts hat sich die Situation bezüglich der Attacken über den Browser wesentlich verschlechtert. Während im Jahr 2008 noch 23.680.646 Browser-Attacken auf KSN-Mitglieder stattfanden und deren Zahl im letzten Jahr auf 73.619.767 wuchs, so zählten wir im Jahr 2010 580.371.937 Angriffe.

Dieser Zuwachs hängt mit der Verbreitung von Exploit-Sammlungen zusammen, die Angriffe über die Technologie Drive-by-Download einleiten. Unter diesen Sammlungen sind Eleonore und Neosploit besonders erwähnenswert. Cyberkriminelle setzen sie insbesondere zur Verbreitung von Malware über Partnerprogramme nach dem Schema PPI (Pay Per Install) ein.

Auch die sich selbst verbreitenden Web-Infektionen wie zum Beispiel Gumblar oder Pegel dürfen nicht außer Acht gelassen werden. Diese Systeme verwenden von Cyberkriminellen gestohlene Passwörter für den Zugriff auf Webressourcen und sind in der Lage, Webseiten automatisch zu infizieren. Web-Botnetze, die ihren Pool an Zombie-Computern ständig aktualisieren, gehören zu den komplexesten Problemen der modernen IT-Sicherheit. Der erste Schritt zur Verbreitung der Bots läuft hauptsächlich über gehackte legitime Webseiten, deren Zusammensetzung sich immer wieder ändert.

Die Attacken über den Browser waren im Jahr 2010 die wichtigste Eindringungsmethode von Malware auf die Computer der Anwender, und für die nähere Zukunft sehen wir keinerlei Anzeichen dafür, dass sich diese Situation ändert. Sicherheitslücken in Browsern (in erster Linie im Internet Explorer) und auch in Browser-Anwendungen wie Adobe Flash Player und PDF Reader tauchen weiterhin praktisch jeden Monat auf, und jede von ihnen wird dann innerhalb kürzester Zeit von Cyberkriminellen ausgenutzt.

Im Jahr 2010 haben wir das Kaspersky Security Network um neue Algorithmen zur Erkennung potentiell gefährlicher Webseiten und Anwendungen im Netz erweitert. Zusammen mit dem System zur Entdeckung von Phishing-Seiten ermöglichen uns diese Technologien, über 60 Prozent der Web-Attacken im allerfrühsten Stadium zu identifizieren. Das geschieht ganz ohne Verwendung traditioneller signaturbasierter Erkennungsmethoden und ohne Aktualisierung der Antiviren-Datenbanken durch die Anwender.

Top 20 der Schadprogramme im Internet

Nachfolgend sind die 20 aktivsten Schadprogramme aufgeführt, die im Jahr 2010 an Internet-Attacken auf die Computer der Anwender beteiligt waren. Jede dieser 20 Bedrohungen wurde von Kaspersky Lab mehr als eine Million Mal registriert und mehr als 80 Prozent (461.046.555) aller registrierten Malware-Vorfälle entfielen auf diese Schädlinge.

Position Name Anzahl der Attacken Anteil in Prozent
1 Blocked 347 848 449 59,94 %
2 Trojan.Script.Iframer 37 436 009 6,45%
3 Trojan.Script.Generic 19 601 498 3,38%
4 Trojan-Downloader.Script.Generic 13 887 220 2,39%
5 Trojan.Win32.Generic 9 515 072 1,64%
6 Exploit.Script.Generic 9 118 706 1,57%
7 Exploit.JS.Agent.bab 3 161 815 0,54%
8 AdWare.Win32.Shopper.l 2 620 672 0,45%
9 Trojan-Clicker.JS.Iframe.bb 2 320 419 0,40%
10 Trojan-Dropper.JS.Hexzone.bu 2 125 007 0,37%
11 Trojan.JS.Agent.bhr 2 014 679 0,35%
12 Trojan.Win32.StartPage 1 610 123 0,28%
13 Trojan.HTML.Fraud.bl 1 547 961 0,27%
14 AdWare.Win32.FunWeb.q 1 463 179 0,25%
15 Trojan-Spy.Win32.Agent.bdpj 1 290 311 0,22%
16 Exploit.Java.CVE-2010-0886.a 1 246 382 0,21%
17 Trojan.JS.Iframe.fe 1 109 354 0,19%
18 Trojan-Downloader.Win32.Generic 1 071 929 0,18%
19 AdWare.Win32.HotBar.dh 1 046 306 0,18%
20 Trojan-Downloader.Win32.Zlob.aces 1 011 464 0,17%

Den ersten Platz im Rating belegen Bedrohungen, die mit Hilfe spezieller Algorithmen zur Entdeckung potentiell gefährlicher Seiten, Links und bereits erwähnter Anwendungen blockiert wurden.

Auf Position zwei befinden sich heuristisch erkannte schädliche Links, die von Hackern oder häufig von den Schadprogrammen selbst in den Code der gehackten Seiten eingeschleust werden. Diese Links rufen im Browser heimlich eine andere Seite auf, die in der Regel die eigentliche Exploit-Sammlung enthält, welche Sicherheitslücken in Browsern und Anwendungen ausnutzt. Weitere Programme dieser Art – und zwar die am weitesten verbreiteten IFrame-Bedrohungen – landeten auf den Plätzen 9 und 17. In diesen Fällen handelt es sich jedoch um signaturbasierte Erkennung.

Im Jahr 2009 befanden sich in den Top 5 der Web-Bedrohungen die Skripte Gumblar und die Adware Boran.z. Im Jahr 2010 belegten Schadprogramme, die Kaspersky Anti-Virus heuristisch aufgespürt hat, die Plätze 2 bis 6. Mit Gumblar und Boran.z vergleichbare Programme wie Agent.bab und Shopper.l belegten die Plätze 7 und 8.

Der Schädling Exploit.JS.Agent.bab trat im Mai 2010 erstmals in Erscheinung und wurde in seinem ersten „Lebensmonat“ mehr als 340.000 Mal entdeckt. Der Exploit nutzt die Sicherheitslücke CVE-2010-0806 aus und lädt verschiedene Schadprogramme auf den betroffenen Computer. Die Zusammenstellung dieser Schädlinge weist eindeutig auf die chinesische Herkunft des Exploits hin: Trojan-Downloader.Win32.Geral und Backdoor.Win32.Hupigon,Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW und so weiter.

Das Werbeprogramm Adware.Win32.Shopper.l verhält sich äußerst aggressiv, versucht auf verschiedene Arten in den Computer einzudringen und installiert eine Erweiterung für den Microsoft Internet Explorer. Neben Shopper schafften es zwei weitere Werbeprogramme in die Hitliste der Web-Schädlinge: Funweb.q (Platz 14) und HotBar.dh (Platz 19).

Nahezu alle anderen Vertreter der Top 20 sind entweder Exploits oder werden bei Attacken eingesetzt, die Sicherheitslücken mit Exploits ausnutzen.

Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind

Im Jahr 2010 hat Kaspersky Lab 580.371.937 Attacken registriert, die von Internet-Ressourcen in 201 Ländern ausgingen. Etwa 90 Prozent aller von uns im Netz erfassten Schadprogramme stammten aus zwanzig Ländern (siehe Tabelle).

Position Land* Anzahl der Web-Attacken** Anteil in Prozent
1 USA 137.487.939 25,98%
2 Russland 80.053.584 15,13%
3 China 69.178.484 13,07%
4 Niederlande 35.248.627 6,66%
5 Deutschland 31.502.020 5,95%
6 Spanien 22.266.022 4,21%
7 Ukraine 20.304.022 3,84%
8 Großbritannien 18.624.666 3,52%
9 Schweden 13.747.084 2,60%
10 Lettland 9.398.597 1,78%
11 Frankreich 9.080.399 1,72%
12 Kanada 7.606.163 1,44%
13 Britische Jungferninseln 5.447.433 1,03%
14 Polen 3.867.382 0,73%
15 Moldawien 3.756.679 0,71%
16 Philippinen 2.618.504 0,49%
17 Türkei 2.394.933 0,45%
18 Vietnam 1.915.727 0,36%
19 Hong Kong 1.909.675 0,36%
20 Australien 1.908.612 0,36%

*Zur Bestimmung der geografischen Ursprünge der Attacken werden Domainname und reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Außerdem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Bei der Analyse dieser Statistik muss man unbedingt berücksichtigen, dass es hier nicht nur um von Cyberkriminellen aufgebaute und unterhaltene schädliche Hosting-Services geht, sondern auch um legale Webseiten, die gehackt und als „Obdach“ für Schadcode ausgenutzt wurden. Eine falsche Auslegung dieser Daten könnte dazu führen, dass einem Land die „Schuld“ für die Attacken gegeben wird – und solche Beschuldigungen gab es bereits. Doch das ist grundlegend falsch. Die Statistik zeigt vielmehr, dass sich die Länder in der Opferrolle befinden, weil deren Cyberspace von Kriminellen ausgenutzt wird.

Im Jahr 2010 hat sich die Geografie der Web-Bedrohungen drastisch verändert. Noch 2009 führte China das Ranking mit dem unglaublich hohen Wert von 52 Prozent an. Im Jahr 2010 ergriffen die chinesischen Behörden Maßnahmen zur Verbesserung der Situation und konnten viele schädliche Hosting-Services, die von Cyberkriminellen auf der ganzen Welt genutzt wurden, aus dem lokalen Cyberspace entfernen. Zudem wurden die Vorschriften zur Registrierung von Domains in der Zone .cn verschärft. All das führte dazu, dass China (13 Prozent) nun nicht mehr das Hauptherkunftsland von Web-Bedrohungen ist und seine Vorreiterrolle an die USA (26 Prozent) und Russland (15 Prozent) abgetreten hat.

Der Anteil der USA steigt mit jedem Jahr (7 Prozent im Jahr 2008, 19 Prozent im Jahr 2009, 26 Prozent im Jahr 2010) – eine beunruhigende Entwicklung. Selbst nach einer Reihe spektakulärer Schließungen illegaler Hosting-Dienste hat sich die Situation nicht verändert. Wir haben es hier ganz klar mit einer Vielzahl von Infizierungen legaler Webseiten zu tun.

Nach den USA und China folgten im Ranking üblicherweise Deutschland, Holland und Russland, dessen höchste Positionierung bisher Platz fünf war. Im Jahr 2010 landete allerdings Russland auf dem zweiten Platz. Der prozentuale Anteil von Attacken aus russischen Internet-Ressourcen stieg innerhalb eines Jahres von 2,6 auf 15,1 Prozent. Die Zunahme der Web-Ressourcen mit schädlichen Inhalten in Russland steht in engem Zusammenhang mit den bereits erwähnten Ereignissen in China. Die russischen Cyberkriminellen zählten zu den wichtigsten Nutzern der illegalen Hosting-Dienste in China. Nach der Schließung dieses „Marktes“ waren sie gezwungen, auf russische Ressourcen auszuweichen.

Web-Attacken, aufgeschlüsselt nach Ländern

Der nächste zu analysierende Wert beschreibt, in welchen Ländern und Regionen User am häufigsten zur Zielscheibe von Web-Attacken wurden.

Etwa 82 Prozent aller 561.869.053 registrierten Infizierungsversuche entfielen auf die Computer der Einwohner folgender zwanzig Länder:

Position Land Prozentualer Anteil der Webattacken**
1 China 19,05%
2 Russland 17,52%
3 USA 10,54%
4 Indien 5,56%
5 Deutschland 3,16%
6 Ukraine 2,66%
7 Vietnam 2,60%
8 Großbritannien 2,56%
9 Frankreich 2,55%
10 Italien 2,39%
11 Spanien 2,06%
12 Saudi-Arabien 1,77%
13 Malaysia 1,62%
14 Türkei 1,60%
15 Brasilien 1,49%
16 Mexiko 1,47%
17 Kanada 1,31%
18 Thailand 1,15%
19 Polen 1,09%
20 Ägypten 1,02%

Verglichen mit 2009 gibt es auch bei der geografischen Verteilung der angegriffenen Computer wesentliche Veränderungen. Obwohl chinesische User nach wie vor am häufigsten im Visier der Angreifer stehen, hat sich der Wert für dieses Land innerhalb eines Jahres mehr als halbiert und ist von 46,8 auf 19,1 Prozent gesunken.

Russland und die USA haben die Plätze getauscht und in beiden Ländern nahm die Zahl der Angriffe zu – wir registrierten einen Anstieg von 5,8 auf 17,5 Prozent respektive von 6,6 auf 10,5 Prozent. Der Anteil der russischen Anwender ist vor allem auf Grund der Attacken, die über populäre russische soziale Netzwerke durchgeführt wurden, so drastisch gestiegen. Anteil daran haben auch die mit diesen Angriffen zusammenhängenden Epidemien verschiedener SMS-Blocker, auf die wir bereits im Hauptteil des Jahresberichts eingegangen sind. Deutschland und Indien behielten ihre Positionen in den Top 5 der am häufigsten über Web-Attacken angegriffenen Länder.

Die Gründe für die Zunahme der Angriffe auf User in der Ukraine von 0,9 Prozent im Jahr 2009 auf 2,7 Prozent im Jahr 2010 sind größtenteils mit den für Russland geltenden Gründen identisch, denn die Überschneidung des Cyberspace dieser zwei Länder führt zu ähnlichen Problemen.

Der im Jahr 2009 beobachtete Rückgang der Attacken auf Anwender in der Türkei, Ägypten und Vietnam hat sich nur bei den ersten beiden Ländern fortgesetzt. Für die Internet-User in Vietnam hat sich die Situation dagegen verschlechtert. Das Land ist in unserem Rating auf den 7. Platz geklettert.

Netzattacken

Ein Grundelement jedes modernen Schutzprogramms ist die Firewall. Sie kann Angriffe von außen, die nicht über den Browser laufen, blockieren, und sie wehrt Versuche ab, Anwenderdaten vom Computer zu stehlen.

Kaspersky Internet Security verfügt über eine Firewall mit IDS (Intrusion Detection System), die eingehende Pakete erkennt. Bei diesen handelt es sich häufig um Exploits, die Sicherheitslücken in den Netzdiensten der Betriebssysteme ausnutzen. Auf diese Weise können Cyberkriminelle uneingeschränkt auf das System zugreifen.

Im Jahr 2010 hat das IDS-System 1.311.156.130 Netzattacken abgewehrt. Der Vorjahreswert lag bei etwa 220 Millionen Vorfällen.

Top 20 der Netzattacken

Position Name Anzahl der Attacken Anteil in Prozent
1 Intrusion.Win.NETAPI.buffer-overflow.exploit 557.126.500 42,49%
2 DoS.Generic.SYNFlood 400.491.518 30,54%
3 Intrusion.Win.MSSQL.worm.Helkern 262.443.478 20,02%
4 Scan.Generic.UDP 45.343.780 3,46%
5 Intrusion.Win.DCOM.exploit 14.134.307 1,08%
6 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 10.631.023 0,81%
7 Scan.Generic.TCP 5.238.178 0,40%
8 Intrusion.Win.LSASS.exploit 5.089.038 0,39%
9 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 3.256.429 0,25%
10 DoS.Generic.ICMPFlood 2.341.724 0,18%
11 DoS.Win.IGMP.Host-Membership-Query.exploit 1.641.578 0,13%
12 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1.399.613 0,11%
13 Intrusion.Win.PnP.exploit 579.249 0,04%
14 Intrusion.Win.EasyAddressWebServer.format-string.exploit 384.278 0,03%
15 Intrusion.Win.SMB.CVE-2009-3103.exploit 236.122 0,02%
16 Intrusion.Win.WINS.heap-overflow.exploit 190.272 0,01%
17 DoS.Win.ICMP.BadCheckSum 101.063 0,01%
18 Intrusion.Generic.FTPD.format-string.attack 98.239 0,01%
19 Intrusion.Win.CVE-2010-2729.a.exploit 71.671 0,01%
20 Intrusion.Win.MSFP2000SE.exploit 44.674 0,00%

Im Vergleich zum Jahr 2009 haben die Spitzenreiter dieses Ratings die Plätze miteinander getauscht. Nach Anzahl der Attacken belegte NETAPI.buffer-overflow.exploit den ersten Platz – ein Schädling, der die Sicherheitslücke MS08-067 ausnutzt und in Würmern der Familie Kido zur Anwendung kommt. Die Besetzung der restlichen Top-5-Positionen blieb unverändert. Nach wie vor sind hier schädliche Pakete der Würmer Helkern (Slammer) und Exploits zu der Sicherheitslücke MS03-026 zu finden, die beispielsweise im Jahr 2003 der Wurm Lovesan ausnutzte.

Von besonderem Interesse ist die Netzattacke CVE-2010-2729.a (Platz 19), die vom Wurm Stuxnet unter Ausnutzung der Sicherheitslücke MS10-61 durchgeführt und schließlich von Kaspersky Lab-Experten aufgedeckt wurde. Über eine Schwachstelle im Windows-Druckdienst konnte sich dieser Wurm über lokale Netzwerke ausbreiten. Zum Zeitpunkt der Entdeckung der Schwachstelle handelte es sich um eine Zero-Day-Attacke. Nach nur fünf Monaten gelang ihr der Sprung in die Top 20. Stuxnet ist nach wie vor das einzige Schadprogramm, das diese Sicherheitslücke ausnutzt.

Lokale Infizierungen

Lokale Infizierungen sind von besonderer Bedeutung, denn zu diesen zählen insbesondere die Objekte, die nicht über das Netz, E-Mail oder Netzwerk-Ports in Computer eingedrungen sind.

Die Antiviren-Lösungen von Kaspersky Lab haben fast 1,5 Milliarden (1.325.667.443) Virenvorfälle auf den Computern der Anwender, die zum Kaspersky Security Network gehören, entdeckt. Insgesamt wurden dabei 1.590.861 verschiedene schädliche oder potentiell unerwünschte Programme registriert.

Die Top 20 der am weitesten verbreiteten Bedrohungen des Jahres 2010 setzt sich wie folgt zusammen:

Top 20 der auf den Computern der Anwender entdeckten schädlichen Objekte

Position Name Anzahl infizierter Computer Anteil in Prozent
1 Trojan.Win32.Generic 9.226.235 20,16%
2 DangerousObject.Multi.Generic 8.400.880 18,36%
3 Net-Worm.Win32.Kido.ih 6.386.762 13,96%
4 Virus.Win32.Sality.aa 4.182.229 9,14%
5 Net-Worm.Win32.Kido.ir 3.785.066 8,27%
6 Virus.Win32.Virut.ce 1.950.967 4,26%
7 Worm.Win32.Generic 1.706.624 3,73%
8 Worm.Win32.FlyStudio.cu 1.384.379 3,02%
9 Net-Worm.Win32.Kido.iq 1.057.900 2,31%
10 P2P-Worm.Win32.Palevo.fuc 1.049.861 2,29%
11 HackTool.Win32.Kiser.il 1.007.745 2,20%
12 Trojan.Win32.Invader 974.957 2,13%
13 Trojan.Win32.Pakes.Katusha.o 968.850 2,12%
14 Worm.Win32.VBNA.b 941.102 2,06%
15 Trojan.JS.Agent.bhr 941.092 2,06%
16 Trojan-Dropper.Win32.Flystud.yo 886.356 1,94%
17 Exploit.Script.Generic 855.842 1,87%
18 Trojan-Downloader.Win32.Generic 806.024 1,76%
19 Worm.Win32.Mabezat.b 783.831 1,71%
20 Virus.Win32.Sality.bh 739.712 1,62%

Auf mehr als 14 Millionen Rechnern wurden Infizierungsversuche blockiert, die das KSN erfolgreich mit Hilfe universaler heuristischer Methoden erkannt hat. (Trojan.Win32.Generic, Worm.Win32.Generic, Trojan.Win32.Invader, Exploit.Script.Generic, Trojan-Downloader.Win32.Generic).

Über 8 Millionen Computer wurden mit Hilfe des im Kaspersky Security Network integrierten Urgent Detection System (UDS) in Echtzeit geschützt. Neue Schaddateien wurden operativ als DangerousObject.Multi.Generic registriert.

Der Wurm Kido bleibt das am weitesten verbreitete Schadprogramm, das auf den Computern der Anwender blockiert wurde, obwohl es Ende 2010 bereits seinen zweiten Geburtstag feierte. Leider ist auch kein Rückgang der durch diesen Wurm verursachten Vorfälle zu beobachten. Vielmehr registrierten wir im Jahr 2010 eine Zunahme um mehr als das Doppelte. Offensichtlich wird die Bedrohung durch Kido sowie durch den Virus Sality (Spitzenreiter 2008) mindestens noch das gesamte Jahr 2011 gleich hoch bleiben und auf ein völliges Verschwinden dieser beiden Bedrohungen aus den Ratings braucht man vermutlich in den nächsten zwei bis drei Jahren nicht zu hoffen.

Auf dem 10. Platz befindet sich eine Variante des Wurms Palevo, der für den Aufbau des Botnetzes Mariposa verantwortlich ist. Über die Verhaftung des Virenautors und Botnetz-Inhabers berichten wir im Hauptteil unseres Jahresberichts. Die Position von Palevo im Ranking zeugt von seiner weiten Verbreitung. Nach all dem zu urteilen, sind die Vermutungen über 12 Millionen mit Palevo infizierter Computer vollkommen gerechtfertigt.

Die bereits vor einem Jahr beschriebenen Schadprogramme, die mit Hilfe der Skript-Sprache FlyStudio entwickelt werden, sind nach wie vor in den Top 20 vertreten (Plätze 8 und 16).

Auch das Verpacken und die Tarnung von Schadprogrammen mit Hilfe speziell entwickelter Packer erfreuen sich weiterhin großer Beliebtheit. An die Stelle einiger Packer, die im Jahr 2009 von Cyberkriminellen verwendet wurden, traten im Jahr 2010 die Packer Katusha und VBNA.

Lokale Infizierungen von Computern, aufgeschlüsselt nach Ländern

Die oben beschriebenen lokalen Infizierungen wurden bei Anwendern in praktisch jedem Land der Welt registriert.

Position Land* Prozentualer Anteil an allen Infizierungsversuchen**
1 China 19,86%
2 Russland 15,53%
3 Indien 7,35%
4 USA 5,72%
5 Vietnam 4,44%
6 Ukraine 2,59%
7 Deutschland 2,36%
8 Mexiko 2,18%
9 Italien 2,08%
10 Malaysia 2,07%
11 Frankreich 2,00%
12 Saudi-Arabien 1,92%
13 Türkei 1,91%
14 Spanien 1,88%
15 Brasilien 1,77%
16 Großbritannien 1,67%
17 Ägypten 1,66%
18 Thailand 1,58%
19 Polen 1,26%
20 Indonesien 1,12%

Die Top 20 der Länder, auf die 80 Prozent aller einmaligen Computer-Infizierungen entfallen, sind mit dem Ranking der am häufigsten von Web-Attacken betroffenen Länder nahezu identisch.

„Die Weltkarte“

Die Statistiken jedes Antiviren-Unternehmens basieren in erster Linie auf den Informationen seiner Kunden. Die Popularität der Produkte eines Unternehmens in den verschiedenen Ländern hat dabei natürlich einen großen Einfluss auf die Zusammensetzung dieser Daten. Worauf unsere statistischen Werte basieren, haben wir bereits mehrfach betont.

Um das Infizierungsrisiko, dem die Computer in den verschiedenen Ländern ausgesetzt sind, möglichst genau einzuschätzen, haben wir für jedes Land berechnet, wie häufig bei den Usern im jeweiligen Land im Laufe des Jahres 2010 ein Antiviren-Programm Alarm geschlagen hat.

Web-Bedrohungen

Das sind die Top 20 der Länder, deren Einwohner am häufigsten von Web-Attacken betroffen waren:

Position Land Prozentualer Anteil der Anwender *
1 Irak 61,84%
2 Oman 56,19%
3 Russland 53,69%
4 Weißrussland 48,03%
5 USA 46,15%
6 Sudan 45,93%
7 Kuwait 44,24%
8 Armenien 44,20%
9 Kasachstan 43,20%
10 Angola 42,99%
11 Ukraine 42,63%
12 China 41,36%
13 Aserbaidschan 40,98%
14 Indien 40,61%
15 Turkmenistan 39,97%
16 Bangladesh 39,85%
17 Libyen 39,79%
18 Sri Lanka 39,58%
19 Saudi-Arabien 38,72%
20 Dschibuti 37,78%

Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Lab-Produkten relativ gering ist (weniger als 10.000).

Im Irak wurden im Jahr 2010 beispielsweise zwei von drei Internet-Nutzern über das Netz angegriffen. In Russland war es jeder zweite User.

Insgesamt lassen sich alle Länder in mehrere Gruppen einteilen. In die Gruppe mit dem höchsten Risiko, also einem Wert von mehr als 60 Prozent über das Web attackierter Anwender, fällt nur ein einziges Land – der Irak. In die Gruppe mit erhöhtem Risiko und Werten zwischen 41 Prozent und 60 Prozent gehören die auf den Irak folgenden 11 Länder aus den Top 20. Die geringer gefährdete Risikogruppe wird von Ländern mit Werten zwischen 21 Prozent und 40 Prozent gestellt. Im Jahr 2010 fielen insgesamt 116 Länder der Welt in diese Gruppe. Die Werte der letzten Gruppe liegen zwischen 0 Prozent und 20 Prozent. Es handelt sich hierbei um die vergleichsweise sichersten Länder, und die insgesamt fünf Vertreter dieser Gruppe sind Deutschland, Japan, Luxemburg, Österreich und Norwegen. Ihre Werte schwanken zwischen 19 und 20,8 Prozent.

Lokale Bedrohungen

Eine ähnliche Statistik lässt sich für die Entdeckung lokaler Bedrohungen erstellen – solchen, die auf einem Computer entdeckt werden und schon auf irgendeine andere Art und Weise vorher auf das System gelangt sind, beispielsweise über das lokale Netzwerk oder über mobile Datenträger. Diese Zahlen spiegeln wider, wie hoch die durchschnittliche Infizierungsrate von Computern in den verschiedenen Ländern der Welt ist.

Position Land Prozentualer Anteil der Anwender*
1 Irak 79,26%
2 Sudan 70,42%
3 Ruanda 69,18%
4 Nigeria 67,77%
5 Tansania 67,68%
6 Bangladesh 67,27%
7 Angola 66,01%
8 Burkina Faso 62,58%
9 Afghanistan 62,50%
10 Uganda 62,02%
11 Oman 61,95%
12 Turkmenistan 61,25%
13 Dschibuti 60,80%
14 Nepal 60,44%
15 Mongolei 60,10%
16 Kamerun 59,66%
17 Kenia 59,49%
18 Malediven 58,29%
19 Sambia 58,24%
20 Mali 58,00%

Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Lab-Produkten relativ gering ist (weniger als 10.000).

Dass es sich bei den in diesem Ranking aufgeführten Ländern ausschließlich um Entwicklungsländer in Afrika und Asien handelt, lässt sich mit dem stetigen Vormarsch des Internets in diesen Regionen erklären. Damit einher gehen ein niedriges Niveau der Computerkenntnisse bei den Anwendern und fehlende Erfahrungen im Kampf gegen Cyberbedrohungen.

Auch bei den lokalen Bedrohungen ist es sinnvoll, die Länder in verschiedene Gruppen einzuteilen. Zur Gruppe mit der höchsten Infizierungsrate gehören die ersten zwölf Länder der Top 20. In der zweiten Gruppe (41 bis 60 Prozent) sind 66 Länder vertreten, in der dritten 45 Länder (21 bis 40 Prozent).

Die „saubersten“ Computer (0 bis ca. 20 Prozent) befinden sich in insgesamt 16 Ländern. Diese Werte sind selbstverständlich relativ, da sie sich wie bereits mehrfach erwähnt allein auf die Anwender von Kaspersky Lab-Produkten beziehen.

Länder mit minimalen Computer-Infizierungsraten:

Position Land Prozentualer Anteil *
1 Japan 8,65%
2 Deutschland 10,79%
3 Luxemburg 11,79%
4 Österreich 12,87%
5 Schweiz 10,15%
6 Dänemark 13,15%
7 Finnland 15,91%
8 Norwegen 16,20%
9 Schweden 16,61%
10 Großbritannien 17,43%
11 Kanada 18,28%
12 Niederlande 18,31%
13 Neuseeland 19,73%
14 Estland 20,00%
15 USA 20,06%
16 Irland 20,09%

Auch in diesem Rating sind fünf der in Bezug auf Web-Attacken sichersten Länder vertreten: Österreich, Deutschland, Luxemburg, Norwegen und Japan. Dass diese Länder in beiden Rankings aufgelistet sind, kann man als Zeichen eines hohen Schutzniveaus der Computer in diesen Ländern werten.

Sicherheitslücken

In den letzten fünf bis sechs Jahren wurde alljährlich ungefähr die gleiche Menge an Sicherheitslücken entdeckt. Das änderte sich im Jahr 2010. Der Statistik von CVE (cve.mitre.org) zufolge wurden in Microsoft-Produkten und populären Windows-Anwendungen anderer Anbieter um einiges mehr Schwachstellen entdeckt als im Jahr 2009.

Auch wenn sich die Zahl der entdeckten Sicherheitslücken nur unwesentlich ändert, nutzen Cyberkriminelle Schwachstellen Jahr für Jahr aktiver zu ihren Zwecken aus. Im Jahr 2010 erregte das Sicherheitslücken-Problem in gängigen Programmen mehr als einmal die Aufmerksamkeit der Computersicherheitsexperten und Journalisten. Unter Ausnutzung von Sicherheitslücken wurden Attacken durchgeführt, die auch in den Massenmedien hohe Wellen schlugen: die Operation Aurora und die Stuxnet-Attacke. Der Effekt dieses öffentlichen Interesses hat zwei Seiten. Einerseits begannen auch andere Cyberkriminelle die „bekannt gemachten“ Schwachstellen auszunutzen, andererseits beeilten sich die Hersteller, die Löcher in ihrer Software zu stopfen.

Früher gehörten die Komponenten des Betriebssystems Windows und andere Microsoft-Produkte zu den interessantesten Objekten von Cyberkriminellen und Forschern, die nach Sicherheitslücken suchen. Doch das ständig steigende Sicherheitsniveau dieses Betriebssystems und die Entwicklung eines Moduls zum automatischen Update haben dazu geführt, dass die meisten Anwender ihre Microsoft-Produkte nun ausreichend schnell aktualisieren. Daher gelingt es Cyberkriminellen nicht allzu lange, Schwachstellen in dieser Software auszunutzen. Das wiederum zwingt Online-Kriminelle dazu, nach Lücken in Programmen zu suchen, deren Hersteller der Sicherheit keine derart große Aufmerksamkeit widmen. So haben sich Schwachstellen in gängigen Anwendungen von anderen Anbietern gefunden, die nicht zur Windows-Standardausstattung gehören. In der Regel hat jeder User auf seinem Rechner zwei Dutzend solcher Anwendungen installiert, auf deren Aktualisierung nicht allzu sehr geachtet wird.

Dass nun in erster Linie Programme im Fokus stehen, die nicht zum Betriebssystem Windows gehören, zeigt auch unsere Statistik: Im ersten Quartal 2010 gehörten noch 6 der 10 am weitesten verbreiteten Sicherheitslücken zu Microsoft-Produkten, im vierten Quartal war es nur noch eine von 10! Bei allen übrigen handelt es sich um Schwachstellen in populären Anwendungen wie Playern, Programmen zum Lesen elektronischer Dokumente, Browser und virtuellen Maschinen.

  Microsoft Adobe Oracle Mozilla Apple HP
Q1 2010 6 3 1 0 0 0
Q2 2010 6 3 1 0 0 0
Q3 2010 5 4 1 0 0 0
Q4 2010 1 5 1 1 1 1

Im Jahr 2010 erkannte unser System zur Analyse von Sicherheitslücken 510 verschiedene Schwachstellen auf den Computern der KSN-Nutzer. Kaspersky Lab hat die 20 häufigsten Sicherheitslücken des Jahres 2010 analysiert, auf die 89,6 Prozent aller erkannten Schwachstellen entfallen.

Sicherheitslücke Anteil an der Gesamtzahl der Computer, auf denen Sicherheitslücken entdeckt wurden Name Auswirkung Einstufung Erscheinungsddatum
31744 26,98% Microsoft Office OneNote URI Handling Vulnerability Systemzugriff Hoch kritisch 09.09.2008
35377 26,64% Microsoft Office Word Two Vulnerabilities Systemzugriff Hoch kritisch 09.06.2009
38805 24,98% Microsoft Office Excel Multiple Vulnerabilities Systemzugriff Hoch kritisch 09.03.2010
37255 23,18% Sun Java JDK / JRE Multiple Vulnerabilities Systemzugriff, DoS, Aufdecken sensibler Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der Systemsicherheit Hoch kritisch 31.03.2010
38547 17,41% Adobe Flash Player Domain Sandbox Bypass Vulnerability Umgehung der Systemsicherheit Mäßig kritisch 12.02.2010
34572 15,87% Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Systemzugriff Extrem kritisch 03.04.2009
37690 14,46% Adobe Reader/Acrobat Multiple Vulnerabilities Systemzugriff, Cross-Site-Scripting Extrem kritisch 15.12.2009
29320 12,96% Microsoft Outlook „mailto:“ URI Handling Vulnerability Systemzugriff Hoch kritisch 11.03.2008
41340 12,63% Adobe Reader / Acrobat SING „uniqueName“ Buffer Overflow Vulnerability Systemzugriff Extrem kritisch 08.09.2010
39272 12,55% Adobe Reader / Acrobat Multiple Vulnerabilities Systemzugriff, Cross-Site-Scripting Hoch kritisch 14.04.2010
40026 12,38% Adobe Flash Player Multiple Vulnerabilities Systemzugriff, Cross-Site-Scripting Extrem kritisch 05.06.2010
23655 12,27% Microsoft XML Core Services Multiple Vulnerabilities Systemzugriff, Cross-Site-Scripting, DoS Hoch kritisch 09.01.2007
41917 11,99% Adobe Flash Player Multiple Vulnerabilities Systemzugriff, Aufdecken sensibler Daten, Umgehung der Systemsicherheit Extrem kritisch 28.10.2010
41791 11,21% Sun Java JDK / JRE / SDK Multiple Vulnerabilities Systemzugriff, DoS, Aufdecken sensibler Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der Systemsicherheit Hoch kritisch 13.10.2010
32428 10,33% Microsoft PowerPoint Multiple Vulnerabilities Systemzugriff Hoch kritisch 12.05.2009
40907 9,99% Adobe Flash Player Multiple Vulnerabilities Systemzugriff Hoch kritisch 11.08.2010
25952 9,88% ACDSee Products Image and Archive Plug-ins Buffer Overflows Systemzugriff Hoch kritisch 02.11.2007
38551 9,50% Adobe Reader/Acrobat Two Vulnerabilities Systemzugriff, Umgehung der Systemsicherheit Hoch kritisch 12.02.2010
37231 9,03% Sun Java JDK / JRE Multiple Vulnerabilities Systemzugriff, DoS, Aufdecken sensibler Daten, Umgehung der Systemsicherheit Hoch kritisch 04.11.2009
39375 8,51% Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability Systemzugriff Hoch kritisch 13.04.2010

Bemerkenswert ist, dass es sich bei fast der Hälfte der hier aufgeführten Schwachstellen um Fehler in der Software handelt, die bereits vor 2010 bekannt waren. Zwei dieser „alten“ Sicherheitslücken (welche sich in Microsoft XML Core Services und ACDSee Products Image and Archive Plug-in befanden) wurden bereits im Jahr 2007 (!) entdeckt.

Im Jahr 2010 verteilen sich die 20 am häufigsten in Anwendungen gefundenen Schwachstellen auf die Produkte von vier Unternehmen: Microsoft, Adobe, Oracle und ACDSee:

Noch ein Jahr zuvor belegten Microsoft-Produkte mit recht großem Abstand die Führungsposition in dieser Kategorie. Im Jahr 2010 hat sich das Bild grundlegend gewandelt: Den ersten Platz in den Top 20 nach Anzahl der entdeckten Sicherheitslücken teilen sich Produkte von Microsoft und Adobe. Eine nicht unwesentliche Rolle spielte dabei der Umstand, dass in den Top 20 des Jahres 2009 nur Sicherheitslücken des Adobe Flash Player vertreten waren und im Jahr 2010 vier von acht Schwachstellen in Adobe-Produkten auf den Adobe Reader entfielen, der zu einem der Lieblingsziele von Cyberkriminellen avanciert ist.

Die anfälligsten Anwendungen auf Windows-Plattformen waren im Jahr 2010 Programme aus dem Microsoft Office-Paket, der Adobe Reader und der Adobe Flash Player. Auch der Anteil entdeckter Sicherheitslücken in Sun (Oracle) Java JDK/JRE nimmt stetig zu. Gleichzeitig waren in den Top 20 dieses Mal keine Schwachstellen im Apple QuickTime Player vertreten, auf den im Jahr 2009 noch 70 Prozent aller entdeckten Schwachstellen entfielen.

Kategorisiert man die Top 20 der auf den Computern der KSN-Nutzer entdeckten Sicherheitslücken nach ihren Auswirkungen auf das System, so ergibt sich die folgende Verteilung:

Das Hauptziel der Kriminellen ist es natürlich, entfernten Zugriff auf das System des Anwenders zu erhalten. Wie auch im Vorjahr ermöglichen 19 von 20 Schwachstellen Online-Betrügern praktisch uneingeschränkten Zugriff auf das System (Auswirkungstyp „System access“ – Systemzugriff). Interessant dabei ist, dass 6 dieser 19 Sicherheitslücken Cyberkriminellen außerdem dabei helfen, die Systemsicherheit zu umgehen.

Das höchste Gefahrenpotential (Extrem kritisch) wiesen je zwei Schwachstellen im Adobe Reader und Adobe Flash Player sowie eine in Microsoft PowerPoint auf.

Leider ist es so, dass nicht alle Anbieter Update-Mechanismen für ihre Produkte entwickeln und sie in die Software integrieren. So wird die Sorge um die Aktualisierung des Systems meist den Usern überlassen. Die meisten Anwender sind allerdings nicht sonderlich an der Aktualisierung der Anwendungen interessiert, sofern diese nicht mit einem neuen Feature verbunden sind. All das hat dazu geführt, dass populäre Programme, die noch nie aktualisiert wurden, auf Millionen von Computern existieren. Diese Computer öffnen Cyberkriminellen Tor und Tür.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.