Sicherheitslücken in Software: Böses, böses PDF

Datenschädlinge geraten immer häufiger über manipulierte Dokumente auf den Rechner. Denn Nutzer halten ihre Software nicht aktuell. Dagegen helfen einfache Tricks.

Dann ist es zu spät: Virusalarm! Bild: imago/imagebroker

PDF-Dateien gelten vielen Nutzern als harmlos. Sie zeigen einen Text im Originallayout an und enthalten nach landläufiger Meinung keine ausführbaren Programme, die den PC attackieren könnten. Die Gefahren, die vom Surfen auf zwielichtigen Seiten im Web ausgehen, schätzen User viel höher ein.

Diese Ansicht ist falsch. Immer häufiger werden PDF-Dateien so manipuliert, dass ihr bloßes Ausführen im Leseprogramm Adobe Reader die Installation eines Datenschädlings nach sich zieht. Die Schaddateien geraten dabei per E-Mail an den Empfänger oder werden im Web heruntergeladen.

Malware-Entwickler konzentrierten sich immer mehr auf Formate wie PDF, meint auch der unabhängige IT-Sicherheitsexperte Georg Wicherski, der beim Anti-Viren-Spezialisten Kaspersky den letzten großen Twitter-Wurm analysierte. "Da in letzter Zeit im Browser vermehrt zusätzliche Sicherheitsmaßnahmen eingebaut wurden, die das Ausnutzen einer Schwachstelle erschweren sollen, sind viele Kriminelle auf das vergleichsweise einfachere Ausnutzen von Lücken im Adobe Reader ausgewichen."

Die Zahlen sind erschreckend. Nach Angaben des Sicherheitsunternehmens F-Secure wurden Angriffe auf die PDF-Software im vergangenen Jahr zum häufigsten Malware-Einfallstor. Selbst das lange auf Platz 1 stehende Microsoft Office wurde mittlerweile entthront. "Was hat sich verändert? Es lag grundsätzlich daran, dass es im Adobe Reader mehr Sicherheitslücken als in den Office-Anwendungen gab", heißt es lapidar in dem Report.

Zu den Problemen mit der Software gehört, dass sich ins PDF-Format viele andere Formate einbetten lassen, darunter das ebenfalls besonders gerne angegriffene http://www.taz.de/1/netz/netzoekonomie/artikel/1/das-flasht-nicht/Flash. "Da das PDF-Format eine Vielzahl von Wegen erlaubt, eingebettete Formate zu kodieren, bieten sich außerdem zusätzliche Möglichkeiten, die Erkennung durch Anti-Viren-Software zu umgehen", warnt Sicherheitsfachmann Wicherski.

Der Nutzer hat mehrere Möglichkeiten, PDF-Angriffe abzuwehren. Die oberste Maxime ist: Das Leseprogramm Adobe Reader muss stets auf dem neuesten Stand sein. Dazu sollte man die eingebaute Aktualisierungsroutine nutzen - oder sich einfach selbst regelmäßig auf die Suche nach der frischsten Version machen. "Internet-Kriminelle benutzen teilweise über zwei Jahre alte Sicherheitslücken und sind damit immer noch erfolgreich", sagt Wicherski. Ist der Reader neu, fällt auch ein Teil des Risikos weg.

Allerdings gibt es auch sogenannte Zero-Day-Exploits ("Tag-Null-Lücken"). Das sind ausnutzbare Fehler, die so neu (oder unbekannt) sind, dass sie der Hersteller noch nicht behoben haben kann. Auch kommt es vor, dass bekannte Sicherheitslücken über mehrere Tage oder gar Wochen bestehen bleiben, weil eine Firma einen bestimmten Update-Kalender einhalten möchte oder ihren Programmierern gerade die Ressourcen fehlen. Dann kommt es zum Wettlauf mit der Zeit: Entweder die Malware-Entwickler sind schneller oder aber der Hersteller.

Hier kann Maxime Nummer zwei helfen: einfach nicht die Software des Marktführers nutzen. Wer einfach nur PDFs lesen will, muss nicht den mit unnötiger Zusatzsoftware aufgeblasenen Adobe Reader verwenden. Unter Windows gibt es gleich mehrere kostenlose oder kostengünstige Alternativen wie Sumatra PDF oder Foxit. Auf dem Mac bringt das Betriebssystem mit Preview seine eigene PDF-Lesesoftware mit, die allerdings auch schon Sicherheitslücken aufwies.

"Da eine Sicherheitslücke sich meistens spezifisch zur verwendeten Software verhält, hilft das Einsetzen einer alternativen Software in diesem Fall", sagt Experte Wicherski. Generell seien die Alternativen nicht automatisch sicherer als die vielgenutzten Programme. "Jedoch denken auch Internetkriminelle in ökonomischen Strukturen und spezialisieren sich auf die Software mit dem größten Marktanteil." Und bei PDF-Readern sei das eben Adobe.

Eventuell verbessert sich die Lage bald. Adobe habe sein eigenes Sicherheitsmanagement in diesem Jahr grundlegend verbessert, meint Wicherski. Sicherheitslücken würden mittlerweile wesentlich schneller geschlossen. "Der neue Acrobat Reader 10 verfügt zudem über zusätzliche Sicherheitsmerkmale, die das Ausnutzen einer Schwachstelle erschweren sollen." Dabei handelt es sich um eine sogenannte Sandbox, einen virtuellen "Sandkasten", der verhindern soll, dass ein Angreifer über den Reader die volle Kontrolle über einen PC erlangen kann.

Die Frage ist nur, ob das wirklich klappt oder ob Online-Gauner nicht auch darin Lücken finden.