Besuchen Sie uns auf der it-sa 2024!
Home>
Malware
01
Malware: eine Definition
Als Schadsoftware oder Malware (ein Kofferwort aus malicious ‚bösartig‘ und software) bezeichnet man in der IT alle Arten von Programmen, die dafür vorgesehen sind, schädliche oder unerwünschte Aktionen auf einem System auszuführen. Hierzu zählen unter anderem Computerviren, Würmer, Trojaner, Ransomware, Spyware und viele weitere digitale Schädlinge. In der Regel setzen Cyberkriminelle die bösartigen Tools ein, um an sensible Daten zu gelangen, um Lösegelder zu erpressen oder um einfach möglichst viel Schaden auf dem betroffenen System zu verursachen. Die Verbreitung von Malware erfolgt heutzutage zumeist über das Internet. So nutzen Angreifer etwa Spam-E-Mails mit verseuchten Dateianhängen oder aber manipulierte Webseiten zur Distribution der Schadprogramme.
Betroffen von Malware sind sowohl private als auch berufliche Nutzer aller Branchen und Unternehmensgrößen – je nach Digitalkompetenz der Betroffenen haben die Angreifer einmal mehr, einmal weniger Erfolg. Wer seine Systeme auf aktuellen Stand hält und Inhalte aus dem Netz und aus Mails stets kritisch prüft, hat weitaus weniger zu befürchten als Nutzer, die arglos mit veralteten Betriebssystemen und Browsern das Internet erkunden. Dennoch lässt sich ein Befall durch Malware nie zur Gänze ausschließen, verschiedene Best-Practice-Methoden helfen allerdings dabei, die Angriffsfläche für Schadprogramme so gering wie möglich zu halten.
02
Welche Arten von Malware gibt es?
Die Zahl an unterschiedlichen Malware-Arten und Gattungen nimmt von Tag zu Tag zu. Im BSI-Bericht zur Lage der IT-Sicherheit 2019 sind allein im einjährigen Untersuchungszeitraum 114 Millionen neue Schadprogramm-Varianten entdeckt worden. Davon entfallen die meisten Schädlinge auf das Betriebssystem Windows. Generell unterscheidet man zwischen folgenden Malware-Typen:
Trojaner
Trojaner schleichen sich, wie der Name schon erahnen lässt, getarnt als harmlose Datei oder Anwendung auf das System des Opfers ein und führen dort nicht gewünschte Aktionen aus. Je nach Art des Trojaners werden unterschiedliche Funktionen ausgeführt, wie etwa das zielgerichtete Löschen bestimmter Systemdateien oder aber auch das Nachladen von weiterem Schadcode aus dem Internet.
Ransomware
Ransomware, auch Verschlüsselungs- oder Krypto-Trojaner genannt, verschlüsselt Daten auf dem betroffenen System und gibt diese erst durch die Eingabe des korrekten Passworts wieder frei. Letzteres erhalten die Opfer, nachdem sie ein Lösegeld (engl. “ransom”) an die Angreifer überwiesen haben. Als gängiges Zahlungsmittel dienen dabei Digitaldevisen wie Bitcoin oder Ether, die eine Nachverfolgung der Cyberkriminellen erschweren. Ransomware zählt zu den beliebtesten und gefährlichsten Schadprogrammen der vergangenen Jahre. Vor allem Unternehmen werden in jüngster Zeit zu Millionen-Zahlungen aufgefordert, um kritische Dienste wieder freizugeben. Zu den bekanntesten Ransomware-Varianten zählen WannaCry oder Petya.
Computerwurm
Als Computerwurm werden Programme definiert, die sich selbständig auf dem jeweiligen System sowie im angeschlossenen Netzwerk und darüber hinaus ausbreiten und zumeist schädliche Aktionen ausführen. Computerwürmer löschen Dateien, provozieren Fehlfunktionen und Schäden an Software und Hardware oder überfüllen das System mit sinnlosen Inhalten. Zu den typischen Verbreitungsarten von Computerwürmern zählen infizierte USB-Sticks, Mail-Anhänge oder auch verseuchte Webseiten.
Computervirus
Im Gegensatz zum Computerwurm handelt es sich beim Computervirus um ein nicht selbständiges Programm. Entsprechend befällt ein Virus vorhandene Systemdateien und Bootsektoren mit seinem Schadcode, um sich auszubreiten. Darüber hinaus ist die Interaktion des Nutzers für eine Ausbreitung auf andere Dateien und Systeme erforderlich. Viren verfolgen meist dieselben Ziele wie Würmer, auch sie sollen betroffene Systeme ausbremsen und nachhaltig schädigen.
Backdoor
Als Backdoor (zu Deutsch “Hintertür) werden bewusst im Programmcode versteckte Lücken bezeichnet, die eingeweihten Personen das Umgehen typischer Schutzmechanismen erlaubt, wie etwa eine Authentifizierung mittels Logindaten. Diese digitalen Hintertüren werden häufig von Nachrichtendiensten in Programme geschmuggelt, um dadurch einfacher an sensible Informationen zu gelangen. In der Vergangenheit waren etwa die Netzwerkrouter von Cisco, über die große Mengen des globalen Internettraffics verarbeitet werden, mit Backdoors für den US-Geheimdienst ausgerüstet.
Adware
Adware (abgeleitet aus dem Englischen “Advertisement”) bezeichnet unerwünschte Programme, die Werbefenster im System platzieren oder zwielichtige Webseiten automatisch im Browser ansteuern. Meist gelangen die Programme über unseriöse Download-Portale oder verseuchte Webseiten auf die Computer von Anwendern. Einmal installiert, lässt sich Adware nur unter hohem Aufwand aus dem System entfernen, da sich die Tools tief im Betriebssystem und in Webbrowsern verankern. Zu den bekanntesten Vertretern aus dem Adware-Umfeld zählen ungewollte Browser-Toolbars und andere meist unsinnige Erweiterungen.
Scareware
Scareware ist ein Oberbegriff für Schadprogramme, die den Nutzer durch Verunsicherung und Verängstigung zur Installation von Software zu bewegen. Meist handelt es sich dabei um weitere Schadsoftware oder etwa um angebliche Schutzsoftware, die in Wahrheit aber keinerlei Nutzwert besitzt – dafür jedoch umso mehr kostet. Die Bezeichnung Scareware leitet sich vom englischen Verb “scare”, zu Deutsch erschrecken, ab. Scareware ist vor allem auf unseriösen Online-Plattformen vertreten und zielt primär auf unerfahrene Nutzer ab.
Spyware
Wie bereits der Name andeutet, agiert Spyware als Spion (englisch “spy”) auf dem betroffenen System. Dort zeichnet es möglichst unerkannt wertvolle Nutzereingaben wie etwa Passwörter und andere Informationen auf, die dann über das Internet an die verantwortlichen Cyberkriminellen gesendet werden. Zur Verbreitung von Spyware nutzen Hacker die üblichen Infektionswege wie etwa E-Mail-Spam oder Software aus zwielichtigen Download-Portalen.
Cryptominer
Cryptominer sind eine neuartige Familie von Schadprogrammen. Die Malware wird von Cyberkriminellen eingesetzt, um im Hintergrund Digitaldevisen wie Bitcoin und dergleichen zu berechnen. Hierfür wird die Rechenleistung des infizierten Systems herangezogen – natürlich ohne Wissen des Nutzers. Cryptominer verstecken sich beispielsweise als Skript auf Webseiten, dort werden sie von Cyberkriminellen über Sicherheitslücken eingeschleust. Die errechneten Coins landen in den digitalen Crypto-Geldbörsen der Angreifer. In manchen Fällen kommen Cryptominer auch ganz legal zum Einsatz, etwa zur Monetarisierung von Webauftritten. Allerdings muss der Seitenbetreiber den Besucher über die Verwendung der Tools unmissverständlich in Kenntnis setzen.
04
Wie können sich Unternehmen vor Malware schützen?
Zuverlässigen Schutz vor Schadsoftware erreichen Unternehmen mit der strikten Beachtung erprobter Sicherheitsmaßnahmen. Die Best Practices im Bereich Cybersecurity umfassen:
Backups anlegen
Generell gilt es für alle Unternehmen insbesondere kritische Datensätze vor Angriffen durch Malware oder andere etwaige Datenpannen mittels Backups zu wappnen. Die Sicherheitskopien sollten regelmäßig aktualisiert und am besten mehrfach redundant gespeichert werden. Darüber hinaus bietet sich eine Lagerung der Backup-Daten an verschiedenen Standorten an, um auch Geo-Redundanz zu erreichen. Damit sind die Sicherungen auch vor Bränden, Wasserschäden, Naturkatastrophen und anderen Fremdeinwirkungen geschützt. Je nach Art und Umfang der Backup-Daten bietet sich auch eine Sicherung in der Private oder auch Public Cloud an.
Malware-Scanner
Scansoftware hat sich ebenfalls etabliert, um Schadsoftware frühzeitig zu erkennen und von Systemen fernzuhalten. Diese Sicherheitstools ermitteln schadhafte Programme in der Regel über Hashwerte, die mit den Ergebnissen bekannter Schädlinge abgeglichen werden.
Awareness schafft eine menschliche Firewall
Nicht nur technische Lösungen verhelfen zu besserer Cybersicherheit. Vielmehr muss auch die Person vor dem Bildschirm in einer ganzheitlichen Sicherheitsstrategie eingebunden werden. Nicht ohne Grund sind in den BSI-Vorgaben für ISO 27001 auf Basis von IT-Grundschutz konkrete Anforderungen für Sensibilisierung und Schulung des Personals angegeben. Ebenso sieht auch das internationale Regelwerk für den Zahlungsverkehr PCI-DSS Awareness-Trainings für die Mitarbeiter vor. Zu den brisantesten Awareness-Themen zählen unter anderem: Passwort-Sicherheit, Vorteile mehrstufiger Anmeldeverfahren wie 2FA, Vorteile und Einsatz von Datenverschlüsselung, Phishing & Social Engineering, Identifikation von Angriffen und Malware-Befall.
E-Mail-Anhänge prüfen
Insbesondere eine sichere E-Mail-Nutzung trägt zum Schutz vor Schadsoftware bei, weil sich Schädlinge primär über Spam-E-Mails verbreiten. So müssen etwa Dateianhänge stets kritisch hinterfragt werden, auch wenn diese aus E-Mails von bekannten Kontakten stammen. Bei unangekündigten Dateianhängen, wie etwa ausführbaren Office-Dokumenten, empfiehlt es sich, den Absender telefonisch zu kontaktieren, um die Rechtmäßigkeit des Anhangs sicherzustellen. So lässt sich ausschließen, dass eine Malware-Infektion weiter streut. Auffällige Mails oder Dateien sollte in jedem Fall an den zuständigen IT-Betrieb und den IT-Sicherheitsbeauftragten weitergeleitet werden. Im Zweifel können so weiterführende Untersuchungen angestoßen werden, um Bedrohungen auszuschließen.
Software-Pflege
“Never change a running System” war einmal, wer heute mit standhaften Endpunkten arbeiten möchte, die auch neuartigen Angriffsvektoren gewachsen sind, für den lautet das Motto: patchen, patchen und nochmals patchen! Unternehmen sollten die im Einsatz befindlichen Systeme stets auf dem aktuellen Stand halten. Nur dadurch lässt sich sicherstellen, dass keine kritischen Schwachstellen in Betriebssystem und Anwendungssoftware schlummern. Wer dahingegen beim Thema Software-Pflege nachlässig agiert, riskiert Schlupflöcher für Viren, Würmer, Trojaner und andere Bedrohungen.
Monitoring und Netzwerk-Segmentierung
Das BSI rät außerdem zu regelmäßigem Monitoring von Logdateien, um Anomalien im Netzwerk frühzeitig zu erkennen, sowie zu einer konsequenten Netzwerk-Segmentierung, die bei der Eindämmung von Malware von hoher Bedeutung ist. Weitere Schutzmaßnahmen zur Absicherung von Unternehmen und Organisationen vor Malware finden Firmen und Anwender auf dem BSI-Portal „Allianz für Cyber-Sicherheit“.
