Versorge mich/uns bitte Links zu den Quellen. Denn das, was Du in der Folge schreibst, widerspricht allem, was ich seit langem höre. Und glaube mir: Ich höre tagein, tagaus sehr, sehr viel zu diesem Thema.
Eine Abkehr der bekannten Angriffsmuster ist meines Wissens nach noch nirgendwo zu sehen.
Die von mir vertretene Meinung begründet sich aus den Daten der von uns bezogenen Datenbanken (z.B. SCIP AG;
National Vulnerability Database Home - mehr allgemeine Vulnerabilities; gewerbl. Angebote über die Auftretenshäufigkeit incl. Alarmierungsdiensten) und den Live-Messdaten eines Netzes mit 30'000 (D/A/CH) und 3'000 (Asia) Knoten.
Es stellt somit sicherlich keine weltumfassende Situation, sondern die Verhältnisse im Umfeld unserer Umgebungen dar.
Es gibt keinen Unterschied zwischen privaten Homepages, XXX-Sites und professionell betriebenen Sites. Denn die Server werden vollkommen automatisch (skriptgesteuert) verseucht. Da trifft kein lebendes Wesen eine Entscheidung, welcher Schädling wohin verpflanzt wird.
Das mag im Grundsatz richtig sein, aber wir können in den oben genannten Netzen einen deutlich höheren Durchseuchungsfaktor bei den gewerblichen XXX-Sites verzeichnen, als dies bei den privaten Angeboten der Fall ist. Das hat wahrscheinlich unter anderem mit den Besucherzahlen auf den jeweiligen Pages und der daraus folgenden "Attraktivität" für eine Verseuchung zu tun.
Zudem bieten die gewerblichen Seiten durch den wesentlich höheren Anteil individuell programmierter Extensions, die in den seltensten Fällen einem seriösen Vulnerability-Test unterzogen werden, auch ein ganz anderes Angriffs-Szenario.
Niemand ("Hacker") investiert, ausserhalb der automatisierten Verseuchungen, ernsthaft mehrere Tage Arbeit für eine Page mit 500 Klicks pro Monat.
Was ist ein "Trivialschädling"?
Als Trivialschädling sehe ich einen Schadcode an, der von den gängigen Scannern mit Erfolgs-Raten von gegen 100% erkannt wird, ggf. automatisiert verteilt wird, oft schon von der Border-Security beseitigt wird und nicht unbedingt (Vermögens-)Schäden beim Endanwender verursacht. Z.B. Umleitung von Webbrowser-Abfragen auf werbefinanzierte Angebote mittels BHO (Business Helper Object). Keylogger oder Passwort-Trojaner gehören nicht in diese Kategorie
Trotzdem finden die Angreifer immer wieder einen Weg. Zuletzt eben über die Ad-Networks. Da hat kein Sitebetreiber eine Chance, verseuchte Banner vorab raus zu filtern. Wenn der Werbedienstleister pfuscht, hat die New York Times ein Problem. Selbst wenn die nyt.com nicht anfällig ist gegen SQL-Injections und anderen Mist.
Wenn ich den Ertrag meiner Site maximieren will und mit Anbietern zusammen arbeite, die ihr Handwerk nicht seriös betreiben, muss ich mit den Folgen leben können.
Wir sperren solche Sites in unserem Netz konsequent und da bleiben dann auch schon mal grosse Anbieter auf der Strecke die den Zugang zu ca. 40'000 potentiellen Kunden verlieren.
Die NYT (und Andere) kommt bei uns zum Beispiel über den Reuters-Pressedienst rein, das rechnet sich sogar finanziell.
Angesichts der vielen Zehntausend neuen Schädlinge, die jeden Tag (!) auftauchen, eine ziemlich gewagte These.
Der Anteil der targeted attacks dürfte noch nicht einmal im Promillebereich liegen.
Ich setze dabei als Mass weniger die "Quantität" als die "Qualität" an - für mich ist die Schadenshöhe das Mass der Dinge und da sieht es dann schnell anders aus.
Bezüglich der rein mengenmässigen Betrachtung gebe ich dir Recht.
In diesem Fall stimme ich Dir zu. Nur mit Antiviren-Software und Firewall ist der Krieg schon seit Jahren nicht mehr zu gewinnen.
Leider sind Awareness-Trainings in Unternehmen sehr unbeliebt. Außerdem hab ich auch das Gefühl, dass IT-Dienstleister viel lieber Lizenzen und Kisten verticken als Trainings. Was wahrscheinlich nicht zuletzt daran liegt, dass sie schlicht nicht in der Lage sind, ordentliche Schulungen zu konzipieren. Denn dazu müssten man sich die Mühe machen, sich zuvor Fachwissen anzueignen. Dann doch lieber ein neues, aber nutzloses Firewall-Modul verkauft.
"Awareness"-Schulung ist keine Aufgabe von Informatikdienstleistern, sondern eine Managementaufgabe - auf allen Ebenen.
Hier kann ich täglich erleben, dass "der Fisch vom Kopf her stinkt" und gerade die oberen Kader mit weitgreifenden Rechten sehr wenig Interesse und Motivation zeigen, scih mit diesem Thema auseinander zu setzen.
Aktuellstes Beispiel: Mitglied der GL und Mitinhaber hat einen IT-MA angewiesen, die Festplattenverschlüsselung auf dem persönlichen Notebook abzuschalten, da die Eingabe von 2 Passwörtern beim Systemstart zu mühsam war. Dies verstösst gegen eine von ihm selber unterzeichnete unternehmensweit verbindliche Policy. Das Notebook wurde gestohlen, wobei die Umstände einen Gelegenheitsdiebstahl unwahrscheinlich erscheinen lassen. Das gab eine grössere Panik...
Anderes Beispiel von vor einem Jahr: Beauftragter Intrusion-Test bei einem grösseren Finanzunternehmen (ohne Wissen der IT).
Wir haben 20 Memory-Sticks mit interessantem Inhalt und einem selbstentwickelten (nicht erkannten) Trojaner an verschiedenen Stellen des Unternehmens "liegen lassen". Bis auf 2 Ausnahmen wurden die Memory-Sticks eingesetzt, einige davon an mehreren Stellen, einer auf einem nicht isolierten PC der IT - da erübrigt sich jeder Kommentar...