Trends

Wie die Ausführungen zu Phishing,  Trojanern, Exploits und mobilen Geräten zeigen, ist ein Ende der Weiterentwicklung der Leistungsfähigkeit von Schadprogrammen nicht absehbar.

Vor allem drei Trends zeichnen sich ab, durch die sich Bedrohung in der Zukunft weiter verschärfen wird.

Bereits heute ist zu beobachten, dass Trojaner nicht mehr auf einen speziellen Angriff zugeschnitten werden, sondern unterschiedliche Schadfunktionen enthalten. Da die Entwicklung und Verteilung eines Trojaners aufwändig und er nach einer Enttarnung nutzlos ist, soll die Multifunktionalität in kurzer Zeit möglichst hohen Nutzen für den Angreifer erzeugen.

Flexible Trojaner mit Datenbank-Anbindung

So attackieren Banking-Trojaner in der Regel schon nicht mehr nur eine ausgewählte Bank, sondern greifen auf eine mitgeführte (manchmal sogar auf eine Online-) Datenbank zu, mit deren Hilfe sie sich an die Spezifika und sogar geänderte Sicherheitsfunktionen unterschiedlicher Online-Banking-Angebote anpassen.

Trojaner in Intranets und Office-Dokumenten

Aber auch Zugriffe in internen Netzen, die geschäftliche Transaktionen und bspw. Kreditkarteninformationen umfassen, werden gezielt gefiltert. Die Kartendaten werden über unverdächtige oder sogar verschlüsselte Verbindungen an den Angreifer übermittelt. Auch Beispiele, dass Trojaner Office-Dokumente nach Schlüsselworten (wie bspw. "Top Secret") durchsuchen und die Fundstücke nach außen versenden, sind nicht als abwegig zu betrachten.

Erpressung und Rufmord

Zukünftig ist auch mit gänzlich andersartigen Straftaten zu rechnen wie Erpressung (ein Trojaner, der Festplattenpartitionen verschlüsselt und die Entschlüsselung erst nach Überweisung eines Lösegelds freigibt, existiert bereits) oder Rufmord (z.B. Ablage kinderpornografischer Bilder und anschließende Anzeigeerstattung per anonymer E-Mail).

Trojaner werden zukünftig vermehrt als "lokaler Proxy" arbeiten und dabei alle Peripheriegeräte und Online-Zugänge überwachen - vom E-Mail-Versand über Internet-Surfen bis zur Datenspeicherung auf USB-Sticks. Damit sinkt die Entdeckungsgefahr für den Angreifer, da der Missbrauch direkt auf dem System des Opfers quasi "online" erfolgt.

Mit einem lokalen Proxy lassen sich Angriffe sehr wirksam verbergen: Ändert der Proxy-Trojaner beim Online-Banking die Kontendaten von Überweisungen mit Kleinbeträgen, nicht aber die Höhe des Betrags, ist die Wahrscheinlichkeit einer Entdeckung zunächst gering. Werden viele Systeme mit einem solchen Proxy-Trojaner infiziert, summieren sich die Kleinbeträge, während dem Angreifer mehr Zeit für die Spurenverwischung bleibt - bis zur Reklamation der eigentlichen Überweisungsempfänger dauert es bei Kleinbeträgen meist Tage bis Wochen.

Die Nutzung von Trojaner-Baukästen (Construction Kits) erlaubt es Angreifern, in kürzester Zeit individuelle Varianten leistungsfähiger Trojaner zu produzieren, die von Virenscannern nicht erkannt werden.

Zukünftig wird es möglich sein, individuell verschiedene Trojaner "halbautomatisch" zu erzeugen, zu denen jeweils keine Viren-Signaturen bekannt sind. Solche "Einmal-Trojaner" lassen sich nur noch mit ausgefeilten Heuristiken an ihrem Verhalten erkennen. Das Problem hierbei ist, dass wenn sie sich erst einmal im System eingenistet haben auch die Deaktivierung oder Täuschung der Virenscanner möglich ist.