Aurora: Angriff mit IE-Exploit aus China auf Google und den Rest der Welt

Man muss sich darüber im Klaren sein, dass ein komplizierter Angriff nach Aurora-Muster gar nicht erforderlich ist. In der Regel reicht es aus, die Unerfahrenheit vieler Anwender auszunutzen. Ein Angreifer kann beispielsweise einen User auf eine Webseite mit einem Video locken. Dort bekommt er eine Meldung, dass er den notwendigen Codec nicht installiert habe.

Dass sich bei der Installation des vermeintlichen Codecs die Benutzerkontensteuerung und eventuell installierte Sicherheitsprogramme melden, ist für den Benutzer nichts Ungewöhnliches. In einem größerem Unternehmen wird sich mindestens ein Anwender finden, der den Trojaner hineinlässt. Wenn dieser ein virtuelles Rootkit nachlädt, sind die meisten Unternehmensadministratoren überfordert.

Zu den Sicherheitsbehörden wie dem BSI kann man nach der „Operation Aurora“ nur feststellen, dass sich der Wissensvorsprung äußerst professioneller Hacker gegenüber offiziellen Stellen in rasanten Schritten immer weiter vergrößert. Sensible Daten zu schützen wird wohl auf absehbare Zeit ein Kampf gegen Windmühlen bleiben.

Unsinnige Zertifizierungen wie der BSI-Grundschutz lähmen kleine und mittlere Unternehmen, deren Wettbewerbsvorteil gegenüber großen Konkurrenten vor allem aus Agilität und Flexibilität besteht. Einen Nutzen davon haben nur die Berater, die Unternehmen durch die Zertifizierung bringen. Die geübte Kritik am BSI-Grundschutz, dass es sich um blinden und nutzlosen Aktionismus handelt, ist in allen Punkten gerechtfertigt.

Hier ist dringend Handlungsbedarf erforderlich. Eine bürokratische Behörde, die langsam und träge Normen und Standards aufstellt, kann bestenfalls dazu beitragen, die Haftung von Unternehmen zu begrenzen, die sich an die Standards halten. Die teils existenzwichtigen Daten sind trotzdem in Peking und werden dort zu Geld gemacht.