Warum Malware für Macs bald massenhaft zuschlagen wird

Dass jetzt das erste Do-it-yourself-Malware-Kit für OS X aufgetaucht ist, zeigt einen Wendepunkt auf, der den langsamen Untergang des Windows-Monopols und den stetigen Anstieg von Alternativen repräsentiert.

Interessanterweise sagte eine bekannter Sicherheitsforscher genau diesen Wendepunkt in seinem im März 2008 veröffentlichten Papier „When Malware Attacks (Anything but Windows)“ voraus. Das Papier liegt hinter einer Paywall, aber mit einer geschickten Suchanfrage kann man es trotzdem finden.

Darin beschreibt Adam J. O’Donnell „ein neues Modell auf Basis der Spieltheorie, um vorherzusagen, ob und wann Mac-Malware zu einem relevanten Faktor wird, ausgehend von einer angemessenen Zahl messbarer Parameter“.

In diesem drei Jahre alten Papier erläutert er die Annahmen seiner Analyse genau so wie „Faktoren außerhalb des Modells, die die Ankunft von Mac-Malware beschleunigen oder verzögern kann“. Dabei fasst er zusammen:

„Malware-Autoren werden die Marktbedingungen kontinuierlich testen und nach der richtigen Zeit suchen, Exploits für die neue Plattform zu entwickeln. Wir müssen auch auf gezielte Angriffe achten, da der Wert von Daten in einem einzigen Rechner höher sein kann als der, den man erzielt, wenn man ihn als Botnet-Client zum Spammen einsetzt.“

In einer Keynote auf der MIT Spam-Konferenz im März 2008 (PDF) stellt O’Donnell den bekannten Vergleich auf, den ich zuvor gemacht habe:

• Windows-Malware: etwa 250.000 Samples Ende 2006, 500.000 Ende 2007
• Macintosh-Malware: unter 100, inklusive pre-OSX

Und daher stellt O’Donnel die absolut berechtigte Frage: Wenn nicht jetzt, wann dann? Sein Antwort darauf lautet: „Ich erwarte breit gestreute kommerzielle Mac-Malware, wenn etwa fünf bis zehn Prozent der Internet-Nutzer Macs einsetzen.“

Sind wir an diesem Punkt bereits angekommen? Macs verkauften sich in den letzten drei Jahren außerordentlich erfolgreich. Und zwar so erfolgreich, dass ihr Marktanteil sich in diesem Zeitraum nahezu verdoppelt hat. Ende 2008, ein paar Monate nachdem O’Donnell sein Papier veröffentlicht hatte, hat StatCounter die Mac-OS-X-Nutzung im Web mit etwa 3,8 Prozent angegeben. Im ersten Halbjahr 2011 ist der Anteil auf 6,5 Prozent gestiegen und ein Ende der Tendenz ist nicht abzusehen. Net Market Share zeigt eine ähnliche Entwicklung auf. Das Unternehmen gibt die Mac-Nutzung im April 2008 mit 3,45 Prozent an. Heute seien es 5,4 Prozent.

Der zweite signifikante Trend, den man erwähnen sollte, ist der kontinuierliche Rückgang von Windows XP. Die „bösen Buben“ mögen XP, weil es ungleich leichter anzugreifen ist als neuere Windows-Versionen. Da der XP-Anteil an den Windows-Nutzern zurückgeht (er liegt derzeit bei etwa 50 Prozent), sinkt auch Anteil der erfolgreichen Angriffe. Das bedeutet, dass die „bösen Buben“ neue Opfer suchen.

Der Anstieg um ein paar Prozentpunkte im Mac-Markt scheint auf den ersten Blick nicht signifikant, aber in einer Welt mit einer Milliarde Geräte im Internet bedeutet jeder Prozentpunkt 10 Millionen potenzielle Opfer. Ein Markt mit 60, 80 oder sogar hundert Millionen Mac-Usern ist den „bösen Buben“ groß genug.

Zukünftige Crimeware Kits werden wahrscheinlich über Cross-Plattform-Funktionalität verfügen. Sie werden Pakete für Windows und OS X schnüren können, die so viele Schwachstellen und Social-Engineering-Tricks wie möglich beinhalten. Auf jeder verseuchten Webseite werden die Besucher nach Betriebssystem sortiert. Jede Gruppe bekommt ihre eigene Giftmischung. Wenn für einen Angreifer nur eine Checkbox nötig ist, werden die Banden sprichwörtlich über Nacht den Mac-Markt erorbern. Die Frage ist lediglich, wann das passieren wird? Dieses Jahr oder vielleicht nächstes Jahr?

Bei Apple gibt es Anzeichen, dass man sich auf größere Angriffe vorbereitet. Dieses Jahr wurden erstmals externe Sicherheitsberater eingeladen, sich die neue Version von Mac OS X anzusehen. Meine Vermutung ist, dass die „bösen Buben“ immer noch die „Marktbedingungen“ testen und auf die richtige Zeit warten, um zuzuschlagen. Ich glaube, wir werden ein paar mehr Sondierungen und „Beta-Tests“ zu spüren bekommen. Das Problem in diesem „Markt“ ist, dass Mac-Nutzer nicht die Kunden sind, sondern das Produkt.