Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2010

  1. Entwicklung der IT-Bedrohungen im Jahr 2010
  2. Kaspersky Security Bulletin 2010: Statistik für das Jahr 2010
  3. Kaspersky Lab Jahresbericht 2010: Spam im Jahr 2010

Mit dem vorliegenden Bericht setzt Kaspersky Lab die Serie seiner alljährlichen Analysen fort. Betrachtet werden die wichtigsten Probleme, die private User sowie Nutzer in Unternehmen betreffen, und mit dem Einsatz von schädlichen, potentiell unerwünschten und betrügerischen Programmen sowie mit Spam, Phishing und Hackeraktivitäten zusammenhängen.

Die Analyse wurde von den Experten des Global Research&Analisys Team (GReAT) in Zusammenarbeit mit der Unterabteilung Content&Cloud Technology Research und Anti-Malware Research von Kaspersky Lab erstellt.

2010: das Jahr der Sicherheitslücken

Betrachtet man die Malware-Landschaft im Jahr 2010, so zeichnen sich etliche Parallelen zum Vorjahr ab. Denn die allgemeine Ausrichtung der Angriffe hat sich nicht drastisch geändert; allerdings haben viele Attacken ein neues qualitatives Niveau erreicht.

Der Anteil neuer Schadprogramme, die innerhalb eines Monats entdeckt wurden, hält sich auf dem Level des Jahres 2009, und bei einigen Malware-Typen wurde sogar ein Rückgang der Aktivität registriert. Attacken auf Browser und Botnetze waren nach wie vor die größte Bedrohung.

Bereits in unserem letzten Jahresbericht sind wir auf diese Stabilisierung im Malware-Strom eingegangen. Die Gründe dafür sind gleich geblieben: die zurückgehende Aktivität einer Reihe von Trojanern (Game-Trojaner) sowie der aktive Kampf der Strafverfolgungsbehörden, Antiviren-Software-Anbieter und Telekommunikationsunternehmen gegen kriminelle Services und Cyberkriminellen-Gruppierungen. Zudem hat die erwartete mengenmäßige Abnahme von gefälschten Antiviren-Programmen zur Stabilisierung der Zahl neuer Schädlinge beigetragen.

Anzahl der in den Datenbanken von Kaspersky Lab erfassten Schadprogramme

Allerdings kann man die Stabilisierung der Zahl neuer Schadprogramme nicht mit einer Stabilisierung der Zahl von Attacken gleichsetzen. Erstens werden die Schädlinge immer komplizierter – ihr technisches Niveau ist im Vergleich zum Vorjahr sogar wieder wesentlich gestiegen, und zweitens werden die meisten Attacken zunächst über den Browser geführt – mit Hilfe vieler Sicherheitslücken in den Browsern und den mit ihnen interagierenden Anwendungen. Das führt dazu, dass sich häufig ein und dasselbe Schadprogramm mit Hilfe dutzender unterschiedlicher Sicherheitslücken ausbreiten kann, was wiederum eine proportionale Zunahme der Angriffe nach sich zieht.

Betrachtet man die Attacken als die Gesamtheit der von uns registrierten Vorfälle, so zeichnen sich ganz klar vier grundlegende Typen von Malware-Vorfällen ab:

  • Attacken über das Internet (registriert mit Hilfe des Web-Anti-Virus)
  • lokale Vorfälle (auf den Anwender-Computern registriert)
  • Netzattacken (mit Hilfe von IDS registriert)
  • Vorfälle im E-Mail-Verkehr

Erstmals seit Beginn unserer Untersuchungen überstieg die Anzahl der ersten beiden von uns registrierten Angriffstypen 1,9 Milliarden! Angriffe über den Browser machten über 30 Prozent aller Vorfälle aus (mehr als 500.000.000 abgewehrte Attacken). Eine detaillierte Analyse dieser Daten finden Sie im statistischen Teil des Kaspersky Lab Security Bulletin.

Sicherheitslücken waren das Top-Thema im Jahr 2010. Sie kamen vor allem in den Produkten der Firma Adobe vor und wurden zum Haupteinfallstor für Malware. Nach wie vor geht der Trend weg von der Ausnutzung von Schwachstellen in Microsoft-Produkten und hin zur Ausnutzung von Sicherheitslücken in Produkten von Adobe und Apple (Safari, Quicktime, iTunes). Das Schlüsselelement bei solchen Angriffen ist ein Bündel von Exploits, die verschiedene Sicherheitslücken in Browsern und den dazugehörigen Plug-ins ausnutzen. Die absoluten Spitzenreiter des Jahres 2010 nach Anzahl der registrierten Vorfälle waren Exploits, die Fehler in den Produkten der Firma Adobe ausnutzen.

Während Cyberkriminelle Sicherheitslücken früher in erster Linie nur dazu ausnutzten, um in ein System einzubrechen, so wurden im Jahr 2010 einige Schadprogramme entdeckt, die sich verschiedene Schwachstellen auf allen Etappen ihrer Arbeit zu Nutze machen. Einige dieser Programme wie zum Beispiel der Wurm Stuxnet nutzen auch „Zero-Day-Schwachstellen“ aus.

Ergebnisse

In unserem Jahresbericht 2009 versuchten wir, die Entwicklungen innerhalb der Cybercrime-Szene und deren Angriffsarten für das Jahr 2010 vorherzusagen. Nach Ablauf des Jahres können wir nun, wie im Folgenden ausführlich erläutert, das Fazit ziehen, dass sich unsere Prognosen größtenteils bewahrheitet haben.

Zunahme der Attacken mit Hilfe von Filesharing-Netzen

P2P-Netze beziehungsweise Filesharing-Netze erwiesen sich im Jahr 2010 tatsächlich als beliebtes Einfallstor für Malware. Diese Angriffe haben sich nach Browser-Attacken an der zweiten Stelle positioniert.

Über Filesharing-Netze wurden praktisch alle Arten von Schadprogrammen verbreitet: Datei-Viren, gefälschte Antiviren-Lösungen, Backdoors und alle erdenklichen Würmer. Außerdem wurden solche Netze zum Hauptverbreitungsweg für neue Bedrohungen wie zum Beispiel ArchSMS.

Die Zunahme der cyberkriminellen Aktivität in P2P-Netzen wurde auch von Sicherheits-Experten anderer Unternehmen registriert. So weist zum Beispiel die Firma Cisco in ihrem Bericht für das erste Halbjahr 2010 direkt auf den signifikanten Anstieg der Attacken in den drei populärsten P2P-Netzen BitTorrent, eDonkey und Gnutella hin.

Die Malware-Epidemie über P2P-Netze begann im März 2010, als die Zahl der mit Hilfe des Kaspersky Security Networks registrierten Vorfälle erstmals 2,5 Millionen im Monat überstieg. Zum Ende des Jahres registrierte Kaspersky Lab 3,2 Millionen Attacken dieser Art

Kampf um Traffic

So genannte Partnerprogramme spielen nach wie vor eine überaus wichtige Rolle, wenn es um die Wechselbeziehungen zwischen Cyberkriminellen und Diensten zum Aufbau neuer Botnetze sowie zur Steuerung und Umverteilung bestehender Botnetz-Kapazitäten auf neue Einsatzgebiete geht.

Neben ihren offensichtlich kriminellen Arbeitsgebieten, wie etwa der Infizierung von legalen Webseiten und von Anwendercomputern mittels Drive-by-Downloads, bedienten sich die Partnerprogramme im Jahr 2010 zunehmend auch so genannter „grauer“ Einnahmequellen. Dazu zählen verschiedene Tricks, um den Anwender dazu zu bringen, sich freiwillig Dateien auf seinen Computer zu laden, die Verwendung von „abgefangenen“ Ressourcen zur Black SEO (verbotene Methoden der Suchmaschinenoptimierung), Attention-Grabbing-Links und die Verbreitung von Adware sowie die Umleitung des Traffics auf verschiedene Ressourcen.

Mehr über die aktuellen Arbeitsmethoden solcher Partnerprogramme erfahren Sie in der Analyse „The Perils of the Internet“.

Epidemien und zunehmende Komplexität von Schadprogrammen

Keine Epidemie war im letzten Jahr in Bezug auf Ausbreitungsgeschwindigkeit, Ausmaß und der ihr entgegengebrachten Aufmerksamkeit mit der des Wurms Kido (Conficker) aus dem Jahr 2009 vergleichbar. Betrachtet man die aufgezählten Faktoren im Einzelnen, so können allerdings 2010 viele Schadprogramme zweifellos zur Gattung der Epidemien (globalen Ausmaßes) gezählt werden.

Die Botnetze Mariposa, ZeuS, Bredolab, TDSS, Koobface, Sinowal und Black Energy 2.0 waren im Jahr 2010 immer wieder Gegenstand von gerichtlichen Untersuchungen und ihre Namen tauchten ständig in der Berichterstattung auf. Jedes dieser Botnetze steht für Millionen von infizierten Computern auf der ganzen Welt und sie zählen zu den technisch kompliziertesten Schadprogrammen.

Dabei wurden die Bots nicht nur mit konventionellen Mitteln wie E-Mail in Umlauf gebracht. Die Cyberkriminellen setzten hier auch auf moderne Verbreitungsplattformen wie soziale Netzwerke und Dateitauschbörsen. Bei diesen Bedrohungen wurden zum Teil erstmals Schadprogramme für 64-Bit-Plattformen umgesetzt, viele verbreiteten sich mit Hilfe von Zero-Day-Schwachstellen.

Ganz oben auf der Liste der Malware-Trends 2010 steht leider ein negatives „Meisterstück“, der Wurm Stuxnet. Stuxnet war das IT-Sicherheitsthema im zweiten Halbjahr 2010. Die Berichterstattung zu diesem Schädling, seinen möglichen Zielen und seinen Funktionsarten stellte alles vorher da gewesene in den Schatten.

Der Fall Stuxnet zeigt, dass die am weitesten verbreiteten Programme auch immer die technisch kompliziertesten Bedrohungen darstellen. Damit wird die Messlatte auch für die Antiviren-Industrie höher gehängt, denn sie befindet sich in einem ständigen technologischen Wettstreit mit den Virenschreibern.

Rückgang der gefälschten Antiviren-Programme

Diese Vorhersage war überaus strittig – selbst unter Kollegen gingen die Meinungen bei diesem Thema auseinander. Damit sie sich bewahrheitete, musste noch eine Reihe zusätzlicher Faktoren eintreffen, wie beispielsweise die Änderung der wichtigsten Einnahmemethoden für die Betreiber und Teilnehmer an Partnerprogrammen, die Gegenwehr seitens der Antiviren-Unternehmen und der Strafverfolgungsbehörden, sowie eine ernsthafte Konkurrenz unter den verschiedenen Gruppen von Cyberkriminellen, die sich mit der Entwicklung und Verbreitung von gefälschten Antiviren-Programmen beschäftigen.

Stützt man sich am Ende des Jahres auf die mit Hilfe von KSN gewonnenen statistischen Daten um ein Fazit zu ziehen, so kommt man zu dem Schluss, dass die Anzahl von gefälschten Antiviren-Lösungen weltweit insgesamt tatsächlich abgenommen hat. Während in den Monaten Februar und März 2010 der Höhepunkt der Aktivität registriert wurde (etwa 200.000 Vorfälle pro Monat), ging deren Verbreitung Ende des Jahres 2010 um das Vierfache zurück. Zudem ließ sich eine starke regionale Ausrichtung der bestehenden falschen Antiviren-Programme feststellen. Die Cyber-Betrüger konzentrierten sich lieber auf eine kleine Anzahl von Ländern und hier in erster Linie die USA, Frankreich, Deutschland und Spanien.

Angriffe auf und in Google Wave

Das Projekt Google Wave wurde Mitte des Jahres 2010 von Google verworfen, so dass es gar nicht erst in vollem Ausmaß in Betrieb genommen werden und keine große Zahl an Teilnehmern an sich binden konnte. Aus diesem Grund hat sich die Vorhersage bezüglich der Attacken auf diesen Service und seine Kunden nicht bewahrheitet.

Attacken auf das iPhone und Android

Im Jahr 2009 wurden die ersten Schadprogramme für das iPhone sowie ein Spionageprogramm für Android entdeckt. Wir vermuteten, dass die Cyberkriminellen diesen Plattformen im Jahr 2010 wesentlich mehr Aufmerksamkeit widmen würden.

Was das iPhone betrifft, so gab es keine Vorfälle mit echten Schadprogrammen, die etwa mit dem Wurm Ike aus dem Jahr 2009 vergleichbar sind. Allerdings wurden im vergangenen Jahr einige Konzept-Programme für diese Plattform entwickelt, die demonstrieren, welche Waffen die Cyberkriminellen in ihr Arsenal aufnehmen könnten. Durchaus erwähnenswert ist hier das Programm SpyPhone, das von Schweizer Forschern entwickelt wurde und sich unerlaubten Zugriff auf Informationen über den Aufenthaltsort, die Interessen, die Passwörter und den Suchverlauf im Internet sowie über den Beruf und die Freunde des iPhone-Anwenders verschaffen kann. Diese Informationen können daraufhin unbemerkt an einen entfernten Server geschickt werden. Eine solche Funktionalität kann erfolgreich in einer harmlos erscheinenden Anwendung verborgen werden.

Früher waren vor allem die Endnutzer gefährdet, die zur Installation von Anwendungen aus beliebiger Quelle einen Jailbreak für ihr Telefon durchführten. Doch die Zeiten haben sich geändert: Heute sind Angriffe theoretisch vor allem dann möglich, wenn sich Anwender die vielgeliebten Apps aus dem Apple Store auf ihr Smartphone laden. Einige Vorfälle mit legalen Anwendungen sind bereits bekannt, bei denen unbemerkt Nutzerdaten gesammelt und diese an ihre Entwickler weitergeleitet werden.

Die oben beschriebene Gefahrenlage für iPhone-Nutzer trifft auch auf Android zu – mit einer wichtigen Ergänzung: Für diese Plattform wurden Schadprogramme gefunden, die eine eindeutig kriminelle Ausrichtung haben. Sie funktionieren nach der bereits erprobten Methode mobiler Trojaner und verschicken SMS-Nachrichten an kostenpflichtige Nummern. Der Schädling Trojan-SMS.AndroidOS.FakePlayer, für den offensichtlich russische Virenautoren verantwortlich sind, wurde im September 2010 von Kaspersky Lab entdeckt, und ist die erste reale Android-Malware. Obgleich der Trojaner nicht über den Android Market (die offizielle Plattform zum Erwerb von Android-Anwendungen), sondern über betrügerische Websites verbreitet wurde, halten wir es für äußerst wahrscheinlich, dass auch im Android Market schädliche Anwendungen auftauchen werden. Außerdem gibt es eine Vielzahl legaler Anwendungen, die bei der Installation auf dem Telefon den Anwender um Zugriff auf private Daten, SMS-Sendefunktionen und Anrufdetails bitten. In den meisten Fällen leisten die Endnutzer diesen Bitten Folge – Anlass, an der Zuverlässigkeit des Sicherheitskonzepts von Android insgesamt zu zweifeln.

Zielgerichtete Attacken auf Unternehmen und Industrieobjekte

Die unter dem Namen „Aurora“ bekannte Attacke vom Anfang des Jahres 2010 betraf nicht nur das Unternehmen Google. Zwar war Google das Hauptziel der Angreifer, dennoch traf es auch eine Reihe anderer Konzerne überall auf der Welt. Der Vorfall deckte ernsthafte Sicherheitslücken in den Sicherheitssystemen auf und zeigte, wo die potentiellen Ziele für Cyberspionage und den Diebstahl sensibler kommerzieller Informationen sind. Auch in Zukunft werden Großunternehmen im Visier zielgerichteter Attacken stehen.

Der Wurm Stuxnet ist nicht nur wegen seiner außergewöhnlichen Komplexität interessant, sondern in erster Linie aufgrund seines Ziels. Er hat speicherprogrammierbare Steuerungen (SPS) im Visier, die in der industriellen Produktion verwendet werden. Stuxnet markiert das erste allgemein bekannt gewordene Beispiel für industrielle Cyber-Spionage und -Sabotage, durch die ernsthafte Schäden verursacht werden können. Die frühere Grenze zwischen der virtuellen und der realen Welt ist praktisch verschwunden, was uns alle vor völlig neue Aufgaben stellt, die es in nächster Zeit zu lösen gilt.

Digitale Zertifikate

Digitale Zertifikate und Signaturen gehören zu den Säulen, auf denen das Vertrauen zu verschiedenen Objekten in der Computerwelt fußt. Selbstverständlich spielt das Vorhandensein einer Signatur in einer Datei auch bei der Entwicklung von Antiviren-Lösungen eine wichtige Rolle. So werden von vertrauenswürdigen Herstellern signierte Dateien als sauber bewertet. Diese Technologie ermöglicht es den Entwicklern von Antiviren-Programmen, die Zahl von False-Positives zu reduzieren und gleichzeitig Ressourcen beim Scan des Anwendercomputers auf Infizierungen einzusparen.

Die Ereignisse des Jahres 2010 haben gezeigt, dass Cyberkriminelle, wie jeder andere Softwareentwickler, auf völlig legalem Weg an digitale Zertifikate kommen können. Zum Beispiel, indem sie offiziell eine „Software zur Remote-Steuerung ohne GUI“ entwickeln, bei der es sich in Wahrheit um eine Backdoor handelt. Vor allem Entwickler von AdWare, RiskWare und gefälschten Antiviren-Programmen bevorzugen diese Methode, um die eigene Malware vor Entdeckung durch eine Antiviren-Lösung zu schützen. Haben die Kriminellen erst einmal den notwendigen Schlüssel vom Zertifizierungsdienstanbieter erhalten, können Sie damit ohne großen Aufwand ihre Schadprogramme signieren.

Man kann nun mit Fug und Recht behaupten, dass die Idee der Signatur von Programmen ernsthaft in Misskredit geraten ist. Nicht nur, dass unbescholtene Zertifizierungsdienstanbieter in Misskredit geraten – es sind die Cyberkriminellen selbst, die derartige Dienste anbieten.

Außerdem ist ein Zertifikat oder genauer ausgedrückt sein geheimer Schlüssel nichts anderes als eine Datei, die, wie jedes andere virtuelle Eigentum auch, gestohlen werden kann. Die entdeckten Komponenten des Wurms Stuxnet waren mit Hilfe von Zertifikaten der Firmen Realtek Semiconductors und JMicron signiert. Wie genau der geheime Schlüssel in die Hände der Cyberkriminellen gelangte, ist nicht bekannt. Doch offensichtlich gibt es hier verschiedene Möglichkeiten, um an echte Zertifikate zu kommen. Womöglich haben die Hintermänner von Stuxnet diese wichtigen Dateien Insidern abgekauft oder sie mit Hilfe einer Backdoors oder eines ähnlichen Schadprogramms gestohlen. Der Diebstahl von Zertifikaten ist zum Beispiel eine der Funktionen des weit verbreiteten Trojaners Zbot (ZeuS).

Die bedeutendsten Ereignisse des Jahres

Aurora

Die Attacke der „Operation Аurora“ in den ersten Monaten des Jahres 2010 erregte nicht nur unter Sicherheitsexperten Aufmerksamkeit, sondern fand auch in den Massenmedien große Beachtung. Wie bereits oben erwähnt, standen große Unternehmen im Visier der Angreifer, darunter auch Google und Adobe. Die Cyberkriminellen, die hinter diesen Angriffen steckten, wollten nicht nur vertrauliche Anwenderdaten stehlen, sondern auch an die Quellcodes verschiedener Unternehmensprojekte gelangen.

Das wichtigste Werkzeug bei den Angriffen war ein Exploit zu der Sicherheitslücke CVE-2010-0249 im Internet Explorer. Als diese erstmals durch Cyberkriminelle ausgenutzt wurde, verfügte Microsoft noch nicht über einen entsprechenden Patch, um sie zu schließen. So wurde „Aurora“ zu einem weiteren krassen Beispiel für die Ausnutzung von Zero-Day-Schwachstellen.

Erpresser-Trojaner

Anfang und Mitte 2010 wurde eine Vielzahl von Infizierungen mit verschiedenen Modifikationen so genannter SMS-Blocker für User in Russland und einigen anderen osteuropäischen Ländern zu einem ernsthaften Problem.

Diese Schadprogramme wurden auf verschiedene Arten verbreitet, mit Hilfe von Drive-by-Downloads unter anderem über populäre russischsprachige Soziale Netzwerke sowie über Filesharing-Netze. Auf den infizierten Computern blockierten sie Betriebssystem-Funktionen oder auch den Zugriff auf das Internet. Anschließend forderten sie den Anwender auf, eine SMS an eine kostenpflichtige Premium-Nummer zu senden, um so den entsprechenden „Freischalt-Code“ zu erhalten.

Das Problem und die Zahl der betroffenen User nahmen derartige Ausmaße an, dass nicht nur Strafverfolgungsbehörden darauf aufmerksam wurden, sondern auch die russischen Massenmedien ausführlich darüber berichteten. Das geschah sowohl online als auch im Fernsehen. Auch die Mobilfunkanbieter leisteten ihren Beitrag im Kampf gegen die Erpresser, indem sie neue Regeln bei der Registrierung und Arbeit mit Kurzwahlnummern einführten, laufend die betrügerischen Accounts sperrten und ihre Kunden über den SMS-Betrug informierten.

Ende August wurden in Moskau mehrere Personen verhaftet und wegen der Programmierung von SMS-Blockern angeklagt. Angaben des Innenministeriums der Russischen Föderation zufolge belaufen sich die illegalen Einnahmen dieser Gruppe auf etwa 500 Millionen Rubel (zirka 12,5 Millionen Euro).

Aus der Welt geschafft ist dieses Problem damit noch nicht. Cyberkriminelle haben andere Wege eingeschlagen, um das Geld der Betroffenen für die „Entsperrung“ abzukassieren, beispielsweise mittels Überweisung über elektronische Bezahlsysteme und ähnlicher Methoden.

Überdies wurden Ende des Jahres neue Vorfälle von Verschlüsselungstrojanern nach Art von Gpcode registriert, die Daten mit Hilfe der widerstandsfähigen Algorithmen RSA oder AES chiffrieren und ebenfalls Geld für die Wiederherstellung der entsprechenden Informationen fordern.

Stuxnet

Die Entdeckung des Wurms Stuxnet im Sommer 2010 war bezüglich seines Einflusses auf die Branche eines der wichtigsten Ereignisse – und zwar nicht nur des Jahres 2010. Schon die erste Analyse des Wurms brachte zwei entscheidende Faktoren zutage, die eine eingehendere Untersuchung unumgänglich machten.

Erstens wurde festgestellt, dass der Wurm auf Windows-Betriebssystemen sofort eine Zero-Day-Sicherheitslücke ausnutzt, die mit der fehlerhaften Bearbeitung von LNK-Dateien zu tun hat (CVE-2010-2568). Diese Sicherheitslücke wird dazu verwendet, Schaddateien von mobilen USB-Speichern aus zu starten. Auch andere Cyberkriminelle wurden sehr schnell auf diese Schwachstelle aufmerksam und bereits im Juli registrierten wir andere Schadprogramme, die ebenfalls die entsprechende Sicherheitslücke ausnutzten. Insbesondere stellten wir fest, dass die Schädlingsverbreiter Sality und Zbot (ZeuS) ein Exploit bei dieser Schwachstelle einsetzten. Allein im dritten Quartal 2010 waren 6 Prozent aller Mitglieder des Kaspersky Security Network (KSN) von Angriffen betroffen, die auf dem Exploit zur Sicherheitslücke CVE-2010-2568 basieren.

Zweitens verwendete der Wurm legale digitale Zertifikate der Firma Realtek. Die Problematik der digitalen Zertifikate, die im vergangenen Jahr besonders aktuell wurde, behandelt der Abschnitt „Ergebnisse“ im Detail.

Interessant ist zudem, dass nach einer gewissen Zeit eine schädliche Stuxnet-Komponente entdeckt wurde, die mit einem Zertifikat der Firma JMicron signiert war. Die Original-Trägerdatei (Dropper), die diese Komponente vermutlich installiert hatte, konnte dagegen bisher nicht gefunden werden. Die Herkunft dieser Komponente ist eine weitere Unbekannte in der ohnehin schon überaus rätselhaften Stuxnet-Geschichte.

Die eingehende Analyse förderte außerdem zutage, dass der Wurm drei weitere Exploits für Zero-Day-Schwachstellen in Windows einsetzt. Das erste dient zur Verbreitung des Wurms im lokalen Netzwerk und nutzt eine Sicherheitslücke im Druckdienst aus. Diese Schwachstelle wurde von Kaspersky Lab entdeckt und Microsoft veröffentlichte den entsprechenden Patch im September 2010. Mit zwei weiteren Sicherheitslücken erhöhte der Wurm seine Privilegien im System – über die Komponente win32k.sys und mit Hilfe des Task Scheduler. An der Entdeckung der erstgenannten Schwachstelle waren ebenfalls Experten von Kaspersky Lab beteiligt.

Stuxnet nutzt insgesamt fünf Schwachstellen aus, plus einer Sicherheitslücke in der Software Siemens WinCC, die mit den standardmäßig eingestellten Zugriffspasswörtern zu tun hat. Das ist allerdings nicht die bemerkenswerteste Eigenschaft des Wurms. Die destruktive Aktivität von Stuxnet richtet sich gegen Systeme mit einer bestimmten Konfiguration von SIMATIC WinCC/PCS7, die – und das ist das Entscheidende – auf spezielle Modelle von speicherprogrammierbaren Steuerungen (SPS) sowie auf Frequenzumrichter von bestimmten Herstellern zugreifen können. Die vom Wurm installierte dynamische Bibliothek fängt einen Teil der Systemfunktionen ab und kann dementsprechend Einfluss auf die Systemoperationen zur Steuerung des Industrieobjektes nehmen. Die wichtigste Aufgabe des Wurms besteht darin, die Funktionslogik der Kontroller in den Frequenzumformern zu ändern. Diese Kontroller überwachen die Drehgeschwindigkeit von Motoren. Dabei funktionieren sie nur mit Motoren mit einer sehr hohen Drehgeschwindigkeit, für die es nur wenige Einsatzgebiete gibt, zum Beispiel in Zentrifugen.

TDSS

Unter den „klassischen“ Schadprogrammen gebührt dem Schädling TDSS im Jahr 2010 der Siegerkranz. Das Attribut „klassisch“ ist dem Auftauchen des oben beschriebenen gefährlichen Wurms Stuxnet geschuldet, bei dem es sich zweifellos um eine absolute Neuheit in der Computerviren-Szene handelt und der nicht das Werk gewöhnlicher Cyberkrimineller sein kann.

Der Backdoor TDSS war bereits mehr als einmal Thema in unseren Analysen aus den Jahren 2009 und 2010. Auch bei den Analysten anderer Antiviren-Software-Anbieter ist dieser Schädling auf großes Interesse gestoßen, denn abgesehen von Stuxnet handelt es sich bei TDSS um den derzeit kompliziertesten Schadcode überhaupt. In TDSS werden nicht nur ständig neue Methoden umgesetzt, um seine Anwesenheit im System zu verbergen und um das Botnetz zu steuern. Seine Autoren nutzen auch immer wieder verschiedene Sicherheitslücken aus, sowohl bereits gepatchte als auch Zero-Day-Schwachstellen.

Im Jahr 2010 lief TDSS erstmals auch auf 64-Bit-Systemen. Die entsprechende Modifikation wurde im August des vergangenen Jahres entdeckt und erhielt die interne Nummer TDL-4. Zur Umgehung des Systemschutzes von Windows setzten die TDSS-Autoren auf eine Infizierung des MBR, die in ähnlicher Form auch Sinowal verwendet – ein anderer Trojaner. Bei erfolgreicher Infizierung des MBR wird der Schadcode noch vor dem Start des Betriebssystems ausgeführt und kann die Bootparameter dahingehend ändern, dass im System nicht signierte Treiber registriert werden können.

Der Downloader des Rootkits, der bestimmt, ob der Schädling unter einem 32-Bit- oder 64-Bit-System laufen soll, legt den Treibercode im Speicher ab und registriert diesen im System. Danach erfolgt der Start des Betriebssystems mit dem bereits integrierten Schadcode. Dabei ändert das Rootkit nicht den Kernbereich des Betriebssystems, den Windows mit der Technologie PatchGuard schützt.

Die Firma Microsoft wurde von unseren Experten über das Problem informiert, stufte diese „Besonderheit“ jedoch nicht als kritisch ein und klassifizierte sie nicht als Sicherheitslücke, da der Trojaner für die Registrierung im Bootsektor bereits über administrative Privilegien im System verfügen muss.

Um derartige Privilegien zu erhalten, setzt TDSS verschiedene Tricks ein und wird fortwährend perfektioniert. So entdeckten wir Anfang Dezember eine weitere Zero-Day-Schwachstelle, die TDSS ausnutzt, um seine Privilegien zu erhöhen. Diese Sicherheitslücke im Task Scheduler kam erstmals in Stuxnet zum Einsatz und wurde erst Mitte Dezember 2010 von Microsoft geschlossen.

Zahlreiche Vorfälle bei Twitter und Facebook

Zwei der populärsten und sich am schnellsten entwickelnden Sozialen Netzwerke standen 2010 im Zentrum zahlreicher Attacken. Diese Angriffe fanden nicht nur vor dem Hintergrund statt, dass Cyberkriminelle in diesen Netzen eine weitere Möglichkeit sahen, um ihre Schadprogramme zu verbreiten. Die Attacken nutzten auch in diesen Netzwerken entdeckte Sicherheitslücken aus, die ihnen den Vertrieb erleichterten.

Unter den Schädlingen für Soziale Netzwerke waren die zahlreichen Varianten des Wurms Koobface am aktivsten. Sie richteten sich im Wesentlichen gegen Twitter, wo Links auf trojanische Programme über gehackte User-Accounts verbreitet wurden. Wie effizient Versendungen innerhalb Sozialer Netzwerke sind, zeigt die Statistik. Allein im Verlauf einer eher unbedeutenden Attacke auf Twitter erhielten innerhalb einer Stunde mehr als 2000 Anwender den entsprechenden Link.

Eine mit der Popularität des iPhones zusammenhängende und bezeichnende Geschichte ereignete sich im Mai im Sozialen Netzwerk Twitter. Am 19. Mai kündigten die Betreiber von Twitter offiziell die neue Applikation „Twitter für iPhone“ an. Cyberkriminelle entschlossen sich, auf der Diskussionswelle mitzusurfen, die sich nach Veröffentlichung der Bekanntmachung aufbaute. Weniger als eine Stunde nach Erscheinen dieser Neuigkeit wurde Twitter von Mitteilungen überschwemmt, in denen immer wieder die Wortkombination „twitter iPhone application“ auftauchte und die zudem Links auf das Schadprogramm Worm.Win32.VBNA.b enthielten.

Zudem nutzten manche Malware-Autoren Twitter auch beispielsweise dazu, neue Domainnamen für Botnetz-Steuerungszentren zu generieren.

Einige im Jahr 2010 bei Twitter entdeckte XSS-Sicherheitslücken wurden ebenfalls aktiv von Cyberkriminellen ausgenutzt. Besonders bemerkenswert waren die im September durchgeführten Attacken. Einige XSS-Würmer wurden auf das Soziale Netzwerk losgelassen und verbreiteten sich ohne Beteiligung der User – es genügte bereits, eine infizierte Mitteilung anzuschauen. Wir schätzen, dass im Zuge dieser Epidemien mehr als eine halbe Million Twitter-User angegriffen wurden.

Im Mai etablierte sich bei Facebook eine ganz neue Angriffsart, die mit der neu eingeführten Funktion „like“ („gefällt mir“) zusammenhängt. Wie sich unschwer erraten lässt, ist diese Funktion für die Liste dessen verantwortlich, was dem Inhaber des jeweiligen Accounts gefällt. Tausende Anwender fielen der Attacke zum Opfer, die analog zu „clickjacking“ den Namen „likejacking“ erhielt.

Auf Facebook wurden zudem Köder-Links platziert, die zum Beispiel die „Fußball-WM 2010 in hoher Auflösung“ oder die „101 attraktivsten Frauen der Welt“ versprachen. Die Links führten auf eine speziell erstellte Seite, auf der ein Javascript-Szenario direkt unter dem Mauspfeil einen unsichtbaren „gefällt mir“-Button platziert hatte. Der Button folgte dem Mauspfeil, so dass der User unausweichlich die Schaltfläche klickte und so automatisch den Link auf seine „Pinnwand“ kopierte. Anschließend wurden die Freunde des Anwenders darüber informiert, dass ihm dieser Link gefällt. Nun funktionierte die Attacke nach dem Schneeballsystem: Die Freunde des Users folgten dem Link, daraufhin die Freunde der Freunde, dann deren Freunde und so weiter. Nachdem der Link auf die „Pinnwand“ kopiert wurde, gelangte der Anwender auf die Seite mit den anfangs versprochenen Informationen, zum Beispiel Fotos junger Mädchen. Hinter der der Attacke verbarg sich eine illegale Einnahmequelle: Auf dieser Seite befand sich nämlich ein kleines Javascript-Szenario eines Werbeunternehmens, das den Organisatoren der Attacke für jeden Besucher der Seite eine kleine Geldsumme zahlte.

Verhaftungen von Cyberkriminellen und Schließung von Botnetzen

In den Jahren 2008 bis 2009 führte der Kampf der Aufsichtsbehörden, Telekommunikationsunternehmen sowie der Antiviren-Industrie gegen kriminelle Internet-Hostings und -Services zu gewissen Erfolgen. Den Anfang machte Ende 2008 die Schließung verschiedener Dienste wie McColo, Atrivo oder EstDomains. Im Jahr 2009 wurden die Aktionen fortgesetzt und führten zur Beendigung der Tätigkeiten von UkrTeleGroup, RealHost und 3FN.

Für die Strafverfolgungsbehörden in verschiedenen Ländern wurde 2010 zum erfolgreichsten Jahr im Kampf gegen die Cyberkriminalität. Wir erwähnten bereits, dass einige Autoren von SMS-Blockern in Russland inhaftiert wurden, doch das ist nur ein kleiner Teil einer weltweiten Kampagne, um die Verbrecher zur Rechenschaft zu ziehen.

Anfang 2010 wurde ein Teil der Steuerungsserver desjenigen Botnetzes abgeschaltet, das mit Hilfe des Schädlings Email-worm.Win32.Iksmas alias Waledac aufgebaut worden war. Das Zombienetz war aufgrund massiver Spam-Attacken mit bis zu 1,5 Milliarden E-Mails in 24 Stunden bekannt geworden. Außerdem integrierte es aktuelle Themen in seine Mitteilungen, verschickte E-Mails mit Links auf Iksmas und setzte bei seinen Bots serverseitigen Polymorphismus sowie die Fast Flux-Technologie ein.

Im Sommer verhaftete die spanische Polizei die Betreiber von Mariposa, einem der größten Botnetze überhaupt. Dieses Zombienetz wurde mit Hilfe des Wurms P2P-worm.Win32.Palevo aufgebaut. Der Wurm verbreitet sich über Peer-to-Peer-Kanäle, Instant-Messaging-Systeme und über die Autorun-Funktion, das heißt über beliebige mobile Geräte wie Fotoapparate oder USB-Sticks. Die wichtigste Einnahmemethode von Palevo war der Verkauf und die Verwendung gestohlener Userdaten: Anmeldeinformationen und Passwörter verschiedener Dienste, in erster Linie Online-Banking. Später wurden in Slowenien vier junge Leute verhaftet, die beschuldigt werden, den Wurm-Schadcode im Auftrag spanischer „Kunden“ entwickelt zu haben. Nach Einschätzungen von Experten hat das Botnetz Mariposa bis zu 12 Millionen Rechner umfasst, was es zu einem der größten in der Geschichte des Internets macht.

Im Frühjahr 2010 wurde in Russland einer der Organisatoren des so genannten „RBS hack“ festgenommen und im September verurteilt. Im Jahr 2009 wurde ausführlich darüber berichtet, dass Unbekannte mehr als neun Millionen Dollar aus Hunderten von Bankautomaten rund um den Globus gestohlen hatten. Ungeachtet der Schwere des Verbrechens und der Höhe der Summe verurteilte ein Gericht in Sankt Petersburg den Angeklagten zu sechs Jahren Freiheitsentzug auf Bewährung. Andere Organisatoren dieser Attacke wurden in Estland verhaftet und an die USA ausgeliefert, wo sie jetzt auf ihren Prozess warten. Zwei weitere an dem Angriff Beteiligte wurden ebenfalls inhaftiert, einer in Frankreich, der andere in Russland.

Im Herbst wurden viele Kriminelle verhaftet, die mit dem Einsatz des Schadprogramms ZeuS zu tun hatten. Ende September wurden 20 aus Russland, der Ukraine und anderen osteuropäischen Ländern stammende Personen verhaftet. Bei ihnen handelte es sich um Money Mules: Wäscher von Geld, das mit Hilfe dieses Trojaners gestohlen worden war. Gleichzeitig wurde in Großbritannien eine Gruppe von Personen aufgrund eines ähnlichen Tatbestandes festgenommen.

Kurz darauf erklärte der mutmaßliche Autor von ZeuS in verschiedenen Foren, in denen Vertreter der russischsprachigen Cyberkriminellen-Szene verkehren, dass er sich „aus dem Geschäft zurückziehen“ und den Quellcode des Trojaners und seiner Module an einen anderen Entwickler weitergeben werde.

Mitte Oktober wurde auch die Geschichte eines weiteren bekannten Botnetzes beendet, das auf dem trojanischen Programm Bredolab basierte. Tatsächlich ist hier nicht von einem einzelnen Zombienetz die Rede, sondern gleich von mehreren, deren Steuerung Hunderte zentraler Server übernahmen. Sie alle wurden infolge einer Aktion der holländischen und französischen Cyberpolizei abgeschaltet. Zum Zeitpunkt seiner Schließung bestand das größte Segment des Botnetzes aus über 150.000 infizierten Rechnern. Der Betreiber des Botnetzes ist Armenier. Er wurde mehrere Monate observiert und – nachdem die Server abgeschaltet waren – bei seiner Ankunft aus Moskau am Flughafen Jerewan festgenommen. Es ist anzunehmen, dass er in Russland illegalen Geschäften mit anderen Cyberkriminellen nachgegangen ist. Verschiedenen Quellen zufolge ist er bereits seit fast einem Jahrzehnt im Cyberkriminellen-Business aktiv und zudem verantwortlich für eine Reihe Aufsehen erregender DDoS-Attacken und Spam-Versendungen. Eine weitere illegale Einnahmequelle bestand in der Vermietung und dem Verkauf von Teilen des Zombienetzes an andere Kriminelle.

Prognosen für 2011

Daten, Daten, Daten: Cyberattacken 2011 – Der ultimative Datenklau

Bei früheren Prognosen haben wir uns ausschließlich аuf die Methoden der Cyberangriffe konzentriert, wie zum Beispiel „Attacken auf mobile Plattformen“, „Sicherheitslücken“ und ähnliches. Das hängt damit zusammen, dass das einzige Ziel der Cyberkriminellen immer nur Geld war.

Die Entwicklung des letzten Jahres hat allerdings gezeigt, dass die Welt der Cyberkriminalität sich im Wandel befindet und wir im Jahr 2011 zusätzlich zu den Methoden nun auch die Bereiche Organisatoren von Cyberattacken und deren Ziele eingehender betrachten müssen. Man kann diese Entwicklung mit dem Verschwinden von Schadprogrammen vergleichen, die „just for fun“ geschrieben wurden und mit dem darauffolgenden Aufkommen der modernen Cyberkriminalität.

Methoden

Zum Einstieg in diesen Abschnitt sei erwähnt, dass die Methoden der Cyberattacken nicht von ihren Organisatoren und Zielen abhängen. Sie spiegeln vielmehr die technischen Möglichkeiten wider, die moderne Betriebssysteme, das Internet und seine Services Cyberkriminellen heute bieten.

Rückblickend kann gesagt werden, dass 2010 das Jahr der Sicherheitslücken war. Wir gehen davon aus, dass sich im neuen Jahr dieses Problem weiter verschärfen wird. Programmfehler werden wohl noch häufiger als schon geschehen ausgenutzt werden. Diese Entwicklung wird begünstigt durch die Entdeckung neuer Sicherheitslücken in gängigen Produkten (Windows, Office, Produkte von Adobe und Apple). Stichwort „Zero-Day-Schwachstelle“: Vor wenigen Jahren war die Ausnutzung von Zero-Day-Schwachstellen ein einzigartiges Phänomen – im ausgehenden Jahr jedoch keine Seltenheit mehr. Und wir gehen davon aus, dass diese Tendenz sich fortsetzen und die Zero-Day-Bedrohungen weiter zunehmen werden. Zudem werden künftig nicht nur die unter Cyberkriminellen so beliebten Sicherheitslücken der Klasse “remote code execution” ausgenutzt werden, sondern auch die bisher kaum beachteten Schwachstellen zur Erhöhung der Systemprivilegien, der Datenmanipulation, der Umgehung der Schutzmechanismen des Systems. Aber auch auf der menschlichen Seite hat sich einiges getan und so werden die immer professioneller agierenden Cyberkriminellen schneller denn je auf ihre Aufdeckung und Entdeckung reagieren können.

Nach wie vor werden die wichtigsten illegalen Einnahmequellen im Diebstahl von Online-Banking-Accounts, Spamversand, der Organisation von DDoS-Attacken, Erpressung und Betrug liegen. Um diese Ziele zu erreichen, werden mehr oder weniger häufig dieselben Methoden wie heute auch angewendet werden.

Ohne Zweifel wird die Zahl der Bedrohungen für 64-Bit-Plattformen zunehmen. Da das Leben sich zunehmend in sozialen Netzwerken abspielt, wird auch im neuen Jahr die Zahl der Angriffe auf Nutzer sozialer Netzwerke zunehmen. Dabei werden die meisten Attacken Sicherheitslücken ausnutzen und über den Browser realisiert werden. DDoS-Attacken bleiben eines der wichtigsten Probleme des Internets. Zudem müssen wir uns auf neuartige Angriffe auf mobile Geräte und Betriebssysteme einstellen. In erster Linie wird das neue Jahr für Android recht gefährlich werden.

Doch all das wird nur der Hintergrund sein vor einer sich grundlegend gewandelten Landschaft, die geprägt sein wird von dem Auftreten neuer Organisatoren und neuer Ziele der Cyberattacken

Neue Organisatoren und neue Ziele

Wie eingangs erwähnt, waren die letzten Jahre hinsichtlich des Zwecks der Cyberattacken recht überschaubar, ging es doch größtenteils um Geld. Das Auftreten von Stuxnet allerdings läutete eine neue Ära ein, denn hier wurden gewisse moralische und technische Grenzen überschritten. Die Angriffe des Wurms haben der ganzen Welt eindrucksvoll gezeigt, dass es Cyberwaffen gibt, denen man nicht ohne Weiteres, ganz im Gegenteil nur mit äußerster Anstrengung Widerstand leisten kann. Nachdem die erste Stuxnet-Welle für die Cyberkriminellen so erfolgreich gelaufen ist, ist es nicht ausgeschlossen, dass zukünftig auch Cyber-Nachrichtendienste und kommerzielle Unternehmen ihr Wissen und ihre Möglichkeiten in Stuxnet-ähnliche Programme stecken werden. Traditionelle Cyberangriffe werden natürlich nach wie vor Standard sein und somit die Basis der Kriminalität im Web bilden. Der normale Nutzer wird auch höchstwahrscheinlich nicht von Stuxnet-artigen Schädlingen betroffen sein. Das Szenario wird vielmehr einem unsichtbaren Kampf gleichen, dessen Episoden nur äußerst selten und wenn, dann zufällig ins Blickfeld der Massenmedien geraten. Die meisten Opfer werden daher nie erfahren, wie und von wem ihnen Schaden zugefügt wurde. Dabei ist die Rede noch nicht einmal unbedingt von Cyberspionage, wie Stuxnet sie betrieben hat. Das generelle Ziel dieser Art von Angriffen werden Informationen jeglicher Art sein.

Stuxnet hat eine neue Ära der Cyberbedrohungen eingeläutet. Wir gehen davon aus, dass diese Entwicklung im Jahr 2011 nur ihren Anfang nimmt und erst in den darauffolgenden Jahren zur vollen Entfaltung kommt. Allerdings ist schon jetzt klar, dass durch diese neue Qualität der Attacken und derer, die sie vorbereiten, der Kampf gegen Cyberbedrohungen wesentlich schwerer wird.

Spyware 2.0

Die Zeit ist reif für ein neues Konzept: Spyware 2.0 löst das alte Konzept der Malware 2.0 ab.

Neben Spamversand und Organisation von DDoS-Attacken besteht die Hauptfunktionalität moderner Schadprogramme im Diebstahl von Anwender-Accounts. Im Fokus stehen hier Banken, E-Mail, soziale Netzwerke und vieles mehr. Doch Account-Daten sind bei Weitem nicht alles, und vor allem nicht das Wertvollste, was beim Anwender zu holen ist. Im Jahr 2011 erwarten wir eine neue Klasse von Spionageprogrammen, deren Funktionalität schlicht und einfach darin besteht, alles zu stehlen, was es zu stehlen gibt. Diese Art der Spyware wird sich für den Anwender selbst interessieren – Wohnort, Arbeit, Hobbys, Bekannte, Familienstand und Familie, Haarfarbe, Augenfarbe, Dokumente, Fotos und so weiter. Nichts auf dem infizierten Computer wird vor ihnen sicher sein.

Derartige Daten werden schon jetzt von sozialen Netzwerken und Verkäufern von Internetwerbung gesammelt, denn der Markt dafür existiert. Und wo ein Markt ist, gibt es Nachfrage, lässt sich Geld verdienen. Dabei ist die weitere Verwertung dieser Daten nicht einmal wichtig. Die Hauptsache bei Nachfrage und Angebot besteht darin, dass sich hier Cyberkriminellen eine neue Einnahmequelle eröffnet.

Informationen sind der größte Wert in der heutigen Zeit. Der Interessensbereich derer, die solche Angriffe initiieren, wird sich signifikant erweitern. 2011 wird also auch das Jahr von universellen Allround-Dieben werden

Cyberkriminelle haben in den letzten Jahren einen regelrechten Professionalisierungsprozess durchlaufen. Früher waren neben den Heimanwendern ausschließlich Finanzinstitute und verschiedene Bezahlsysteme für die Cyberkriminellen attraktiv. Heute sind sie technisch so weit fortgeschritten, dass sie sich auf den Markt der Industriespionage, des Betrugs und der Erpressung vorwagen können.

Zusammenfassung der Haupttrends 2011

Der Ausblick auf das Jahr 2011 lässt Schlimmes ahnen. Sicherlich war zu erwarten, dass Cyberkriminalität nicht abnehmen wird – aber nun erreichen die Attacken eine neue Qualität und wir sehen uns einer neuen Professionalität der Cyberkriminellen gegenüber. Hier die Tendenzen im Überblick:

  • Bei der Entwicklung von Schadprogrammen und der Organisation von Cyberattacken treten neue, professionellere Spieler auf den Plan.
  • Schädliche Programme werden nicht mehr nur entwickelt, um damit Geld zu verdienen, sondern vermehrt, um Informationen jeglicher Art zu erhalten.
  • Informationen werden zum Hauptziel von Cyberattacken und gleichzeitig zu einer neuen Einnahmequelle der traditionellen Cyberkriminalität.
  • Sicherheitslücken gehören weiterhin zu den wichtigsten Methoden zur Durchführung von Cyberattacken, wobei sowohl das Spektrum der Schwachstellen erweitert als auch die Ausnutzungs-Geschwindigkeit erhöht werden.
  • Mit Spyware 2.0 wird eine neue Klasse von Schadprogrammen auf den Diebstahl von persönlichen Anwenderdaten (Identitätsdiebstahl) spezialisiert sein, aber auch auf den Diebstahl von allen nur erdenklichen Daten.
  • Spyware 2.0 wird nicht nur ein Werkzeug in den Händen der traditionellen Cyberkriminellen sein, sondern auch von den neuen Profis für Attacken eingesetzt werden.
  • Unternehmen werden vermehrt Opfer von Cyberkriminalität werden.

Das KSN ist eine der wichtigsten Funktionen bei den Produkten für Privatanwender, und Kaspersky Lab arbeitet derzeit an der Integration des Systems in seine Unternehmenslösungen.

Mit Hilfe des Kaspersky Security Network können die Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu sperren.

Gleichzeitig verbessert das KSN die Reaktionszeit auf neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.