Springe zum Inhalt

Sicherheits-ABC

Um die Ausbreitung von Schadsoftware zu verhindern, beziehungsweise diese zu entfernen, ist es notwendig, die einzelnen Malware-Typen korrekt voneinander abgrenzen zu können. Im Folgenden soll daher ein Überblick über die gängigsten Malware-Typen und ihre Eigenarten gegeben werden.

Im allgemeinen Sprachgebrauch wird so gut wie jede Malware als Computervirus bezeichnet. Tatsächlich ist ein "echtes" Computervirus ein Programmcode, der Dateien auf einem Computer so modifiziert, dass bei Ausführen oder Öffnen einer Datei auch das Virus ausgeführt und verbreitet wird. Das Computervirus stellt somit die einzige Malware-Gattung dar, die andere Dateien infiziert und zur Verbreitung nutzt - ähnlich wie beim biologischen Vorbild. Dies macht es so schwierig, sie wieder vom infizierten System zu entfernen. Daher schaffen es auch heutzutage die besten Antivirus-Tools kaum die Viren komplett zu beseitigen - oftmals wird das Virus einfach in Quarantäne versetzt oder die infizierte Datei gelöscht. Neben der automatischen Verbreitung über andere Dateien führt der Schadcode häufig zu Veränderungen an Software und kann mittelbar auch die Hardware beschädigen. Betroffen können auch der Bootsektor (BIOS) eines Computers oder sogar der Hauptspeicher (RAM) des Rechners sein. Echte Computerviren sind heutzutage allerdings eher eine Seltenheit, sie machen nur rund 10 Prozent aller Schadsoftware-Fälle aus.

Würmer sind die am längsten bekannte Schadsoftware, die insbesondere seit der Verwendung von E-Mails in den 1990er Jahren große Anwendung fanden und insbesondere über maliziöse E-Mail-Anhänge verbreitet wurden. Mit nur einem unbedachten Öffnen wurden so in kurzer sämtliche Angehörigen eines Unternehmens oder einer Einrichtung infiziert.
Das wesentliche Merkmal von Würmern ist ihre Fähigkeit, sich selbst zu vervielfältigen. Berüchtigstes Beispiel ist der ILOVEYOU-Wurm, der sich am 4. Mai 2000 explosionsartig über den gesamten Globus ähnlich wie ein Kettenbrief in Windeseile ausbreitete. In der Folge wurden Telefonie-Systeme, ganze TV-Sender und Verlagshäuser lahmgelegt, betroffen waren seinerzeit nur Microsoft-Systeme. Weitere prominente Beispiele waren SQL Slammer und MS Blast. Besonders schädlich wirken effektive Würmer, weil sie sich ohne Zutun der Endbenutzer verbreiten können - anders als die zuvor beschriebenen Computerviren.

Trojaner sind mittlerweile bei kriminellen Hackern beliebter als Würmer, existieren aber ebenso wie diese bereits seit vielen Jahren. Sie tarnen sich als legitime Programme, beinhalten aber auch maliziöse Bestandteile. Auch Trojaner müssen vom betroffenen Nutzer aktiv ausgeführt werden, um Schaden anzurichten. In der Regel geschieht die Verbreitung per E-Mail oder über infizierte Webseiten. Die populärste Art von Trojaner tarnt sich als Antivirussoftware, meldet einen vermeintlichen Virenbefall und leitet den Benutzer anschließend zu einem vermeintlichen "Desinfektionsprogramm". Besonders beliebt bei Hackern sind Remote-Access-Trojaner (RAT), durch die befallene Rechner ferngesteuert werden können, um so über das Netzwerk möglichst viele weitere Rechner zu infizieren. RATs sind dabei so raffiniert programmiert, dass sie eine Erkennung durch gängige Schutzmaßnahmen wie Firewalls zu umgehen versuchen. Häufig werden auch Trojaner eingeschleust, um sich zwischen die Kommunikation zwischen Banken und ihren Kunden einzuhängen. Mittels Phishing werden dann sensible Daten ausspioniert und die Konten der Bankkunden geplündert.

Mittlerweile ist Schadsoftware oft so konzipiert, dass sie Kombination aus Trojaner und Wurm darstellen und unter Umständen auch mit Virus-Elementen ausgestattet sind: Auf den ersten Blick wirkt die Schadsoftware wie ein Trojaner, einmal ausgeführt greift sie aber wie ein Wurm andere Nutzer über das Netzwerk an. Solche "Rootkits" und "Stealth"-Programme versuchen das Betriebssystem so zu modifizieren, dass sie die komplette Kontrolle übernehmen und sich erfolgreich vor Antimalware Tools verstecken können. Um diese hybride Malware wieder loszuwerden, muss die kontrollierende Komponente aufgespürt und aus dem Speicher entfernt werden. Auch so genannte "Bots" sind grundsätzlich Kombinationen aus Trojanern und Würmern. Diese Bots versuchen, kompromittierte Rechner zum Teil eines maliziösen Netzwerks zu machen - einem Botnet. Diese Botnetze können aus wenigen tausend oder auch hunderttausenden Rechnern bestehen und können von anderen Kriminellen für deren Zwecke "angemietet" werden.

Ransomware ist eine Malware, die Dateien verschlüsselt und anschließend vom Geschädigten ein Lösegeld in Kryptowährung verlangt - entweder, um die Daten wieder zu entschlüsseln oder gleichzeitig herunterkopierte Datensätze nicht zu veröffentlichen. Diese Variante krimineller Angriffe ist besonders in den letzten Jahren populär geworden und hat bereits diverse Behörden, Institutionen, Unternehmen und sogar ganze Stadtverwaltungen lahmgelegt. Zumeist handelt es sich um Trojaner, die per Social Engineering verbreitet werden. Einmal ausgeführt, werden die Dateien und Ordner auf dem betroffenen Rechner innerhalb von Minuten verschlüsselt. In einigen Fällen werden die befallenen Systeme zunächst über einige Stunden ausgespäht, bevor die Verschlüsselungsroutine startet. Dadurch soll ermittelt werden, wieviel Lösegeld das Opfer zahlen kann, und andererseits können so unter Umständen auch vorhandene Backup-Dateien aufgespürt und anschließend gelöscht oder ebenfalls verschlüsselt werden. Bester Schutz ist, ein Offline-Backup aller kritischen Dateien anzufertigen, das keine physische Verbindung zu anderen Systemen im Netzwerk hat.

"Fileless"-Schadsoftware ist im engeren Sinne keine eigentlich Schadsoftware, sondern beschreibt lediglich die Art und Weise des Exploits (Ausnutzung einer Schwachstelle im Programmcode). Herkömmliche Malware nutzt das Dateisystem des Rechners, um sich auszubreiten und neue Systeme zu befallen. Fileless Malware nutzt dagegen keine Dateien zur Ausbreitung, sondern den Arbeitsspeicher oder andere Elemente des Betriebssystems wie Registry Keys oder APIs. Dadurch sind sie deutlich schwieriger zu identifizieren. Häufig beginnt der Angriff mit Fileless Malware mit einem Exploit legitimer Software oder Betriebssystem-Utilities wie Microsoft PowerShell.

Eine harmlosere Variante von Malware ist die Adware. Hierbei wird versucht, betroffene Nutzer mit ungewollten Werbeanzeigen zu bespielen, die unter Umständen auch maliziös sein können. Typische Adware-Programme sorgen beispielweise dafür, dass die Standard-Suchmaschine des Browsers geändert wird.

Im Unterschied zu Adware beschreibt "Malvertising" die Nutzung von legitimen Werbeanzeigen, um heimlich Malware auszuliefern. Cyberkriminelle kaufen hierfür diese Werbeanzeigen auf unverdächtigen Websites. Sobald ein Benutzer diese Anzeigen anklickt, wird er auf eine infizierte Seite weitergeleitet oder gelangt direkt zur Schadsoftware-Installation. Besonders gefährlich sind in diesem Zusammenhang Drive-by Downloads, die automatisch starten, ohne dass der Benutzer aktiv eingreifen kann. Mit dieser Methode wird diverse Schadsoftware übertragen, mit dem Ziel, finanziellen Profit zu erzielen. Kriminellen Hacker ist es bereits gelungen, ganze Anzeigen-Netzwerke zu infizieren, die Werbeanzeigen an viele verschiedene Webseiten ausliefern. So wurden z.B. auch angesehene Seiten wie die der New York Times oder Spotify zu Malware-Plattformen.

Spyware wird nicht nur für kriminelle Zwecke eingesetzt, sondern zum Beispiel auch von Privatpersonen, um etwa die Online-Aktivitäten ihrer Kinder zu überwachen. Im Gegensatz dazu versuchen Cyberkriminelle, mit Spyware (z.B. Keylogger) an Passwörter oder geistiges Eigentum zu gelangen. Ähnlich wie Adware ist Spyware nicht sonderlich schwer zu entfernen. Wie die Malware aber eigentlich auf den Rechner kommt, bleibt oftmals im Dunkeln. Oft geschieht dies durch Social Engineering oder ungepatchte Software, also ähnlich wie bei anderer Malware. Ist der eigene Rechner bereits mit Adware oder Spyware infiziert, liegt mit hoher Wahrscheinlichkeit eine Sicherheitslücke oder Schwachstelle vor, die Einfallstür für noch weit gefährlichere Malware ist.