Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Herr Droz, unser Interview wird von der Aktualität eingeholt. «20 Minuten» ist schon wieder attackiert worden.
Ja, wir sind am Abklären.
Ist es wieder der gleiche E-Banking-Trojaner?
Nein. Dieses Mal ist auch nicht die Infrastruktur von «20 Minuten» kompromittiert worden. Der Angriff erfolgte über ein europäisches Werbe-Netzwerk. Solche Angriffe gibt es seit vergangenem Wochenende auch auf niederländische Webseiten.
Wie schlimm ist das?
Wir klären zur Zeit ab. Das IT-Sicherheitsunternehmen Fox IT hat in seinem Blog Hintergrund-Informationen zu der gross angelegten Malvertising-Kampagne veröffentlicht.
Wie beurteilen Sie die Angriffe auf die Leserinnen und Leser von «20
Minuten»?
Die jüngsten Ereignisse sind sehr besorgniserregend. Seiten wie «20
Minuten» haben sehr hohe Besucherzahlen, sodass die daraus resultierenden
Virusinfektionen gross sind.
Wie gefährlich ist der E-Banking-Trojaner, der letzt Woche via «20 Minuten»-Website ahnungslose Opfer befiel?
GOZI ist der zur Zeit aktivste E-Banking-Trojaner in der Schweiz und
verursacht bei den betroffenen Banken, respektive deren Kunden Verluste.
Was wissen Sie über die Angreifer?
GOZI wird von mehreren Gruppen eingesetzt. In unserem Fall handelt sich um eine Gruppierung, die sich auf Schweizer Banken und deren Kunden konzentriert. Einiges deutet daraufhin, dass die Kriminellen aus dem russischen Raum stammen.
Angreifbar waren nur Windows-Computer?
Das ist richtig. Ausgenutzt wurde eine Sicherheitslücke in Flash. Am letzten Freitag hat übrigens Flash-Entwickler Adobe mit einem Notfall-Update reagiert.
Das grösste News-Portal des Landes als Malware-Schleuder. Darf das
passieren?
Nein, so etwas dürfte klar nicht passieren.
Switch betreut und überwacht das Hochschul-Netzwerk, kommt es dort
auch zu solchen Angriffen?
Ja, auch Angehörige der Schweizer Hochschulen sind betroffen. Wir sehen
pro Tag über 100 Zugriffe auf die Angreifer-Infrastruktur, weil der Trojaner ja versucht, eine Verbindung herzustellen. Die
betreffenden Nutzer werden von uns informiert.
Wenn man bei Sucuri.net einen Online-Malware-Check machte, wurden sowohl 20min.ch als auch Blick.ch auch zwei Tage nach der Attacke als gefährdet angezeigt. Handelt es sich dabei um ernstzunehmende Warnungen?
20min.ch ist nun aufgeräumt. Und auch der «Blick» scheint jetzt sauber zu sein. Bei der Warnung handelte es sich wohl genau um ein
Werbebanner, das von einer Drittseite kommt.
Soll man sich demnach nicht auf die Warnungen bei Sucuri.net verlassen?
Sucuri ist eigentlich eine gute Webseite. Allerdings sind die Aktualisierungen relativ langsam. Internet-Nutzer sollten sich darauf konzentrieren, den eigenen Computer abzusichern. System- und Browser-Software müssen aktuell sein. Ausserdem gibt es Antiviren-Programme, die über ein Plugin Schutz vor Infektionen bieten. Mit diesen Vorsichtsmassnahmen ist das Risiko deutlich geringer.
Im Februar haben Sie mit einem anderen IT-Sicherheitsexperten von Switch den Beitrag «Angriff der
Killer-Werbung» veröffentlicht, der aufzeigt, wie Malware
über manipulierte Online-Werbung auf Computer gelangen kann. Was sollen
Medienhäuser tun, um die Leser zu schützen?
Das Problem ist das Einbinden von Drittinhalten, welche selber nicht
kontrolliert werden. Hier ist mehr Vorsicht angebracht. Medienhäuser, wie eigentlich alle Betreiber populärer Websites, müssen
sicherstellen, dass ihre Infrastruktur vor Angriffen geschützt ist. Es gilt eine Verantwortung wahrzunehmen, auch wenn das Geld kostet.
Können Ad-Blocker die Gefahren von auf Webseiten verstecktem,
bösartigem Code – Javascript, Flash etc. – minimieren?
Werbeblocker verhindern, das Malware über Werbung, die ja oft von dritten
Webseiten her kommt, den Besucher erreicht.
Ad-delivery-Netzwerke sind interessante Angriffsziele, eben weil sie so
viele Besucher erreichen und oftmals nicht den Sicherheitsanforderungen
genügen, die ihre Verbreitung verlangen würde.
Sollten die Internet-Nutzer nicht sofort nach Bekanntwerden einer
verseuchten Website gewarnt werden?
Als erstes sollten Betreiber infizierter Webseiten entweder das Problem
lösen oder falls sie dazu nicht sofort in der Lage sind, die Website vom
Netz nehmen. Und ja: die Besucher sollten auf das Problem aufmerksam
gemacht werden, damit sie ihre eigenen Systeme auf allfällige Infektionen
überprüfen können.
Das hat beim «20 Minuten»-Hack nicht geklappt. Bis zu einer ersten Warnung dauerte es über drei Stunden.
Was mich persönlich gestört hat, ist die schlechte Kommunikation. Die Webseiten-Besucher wurden zu lange nicht richtig informiert. In solchen Situationen wäre es besser, wenn man hinsteht und sagt: «Wir haben Mist gebaut.» Das würde zur Glaubwürdigkeit beitragen.
Der Chef von MELANI sagt, dass seine Behörde
keine Weisungsbefugnis habe gegenüber Unternehmen. Der Bund kann also
niemanden verpflichten, eine Bedrohung öffentlich zu machen. Bräuchte es nicht eben doch eine nationale
Warnzentrale?
Switch informiert Webseiten-Betreiber, die Malware verteilen und gibt
ihnen 24 Stunden Zeit, das Problem zu lösen. Danach stellen wir die
Domain ab. Wir finden es zur Zeit konstruktiver, mit den Webseiten-Betreibern zusammen das
Problem zu lösen, statt auf «Naming und Shaming» zu setzen. Da kann ich vor allem den grossen Providern, wie Swisscom und Sunrise, ein Kränzchen winden. In den meisten Fällen werden die Probleme dann auch schnell gelöst, in der Regel innert einer halben Stunde.
Im Januar hatte es noch von Ihrer Seite geheissen, die Zahl der Malware-Fälle bei
Schweizer Domains habe 2015 abgenommen. Dies scheint aber nur für Phishing zu
gelten. Weichen die Kriminellen auf andere Methoden aus, wie eben das
Manipulieren von Online-Werbung auf bekannten Websites?
Die meisten Webseiten-Betreiber lösen Ihre Probleme sehr zeitnah, und das
widerspiegelt sich in der Infektionsrate der Schweiz, die im
internationalen Vergleich sehr tief ist.
Dass populäre Webseiten Ihre Probleme nicht in den Griff kriegen, ist eher
ungewöhnlich und und im konkreten Fall auch besorgniserregend.
Aber normal ist es nicht.