Schützt euch vor Schadprogrammen! Denn es gibt ziemlich viele davon.

Was sind Schadprogramme und welche Arten gibt es?

Egal, ob „Trojaner“, „Virus“ oder „Wurm“ – alle Begriffe fallen letztendlich in die Kategorie Schadsoftware. Diese bösartigen Programme sind häufig multifunktional und sind oft im Stande – haben sie einmal ein System infiziert – zusätzliche Schadprogramme aus dem Internet nachzuladen, die weitere Schäden anrichten. Eines ist sicher: täglich gelangen immer intelligentere und immer schwerer zu entdeckende Schadprogramme auf den Markt, vor denen man sich so gut es geht schützen sollte.

Welche Geräte können von Schadprogrammen betroffen sein?

Im Prinzip sind alle elektronischen Geräte für Schadprogramme empfänglich, die entweder eine Schnittstelle zum Internet oder zu anderen Wechseldatenträgern besitzen. Neben PCs, Laptops, Smartphones und Tablets können also z.B. auch smarte Uhren, Fernseher oder Staubsauger von bösartiger Software betroffen sein. Waren früher eher infizierte CD-ROMs oder USB-Sticks Quellen von bösartiger Software, ist heute die stetige Internetverbindung von Geräten das Haupteinfallstor für Schadprogramme. Mit dem Kauf eines Gerätes sollte in jedem Fall eine unverzügliche Absicherung einhergehen.

Wie infiziert sich ein Gerät mit Schadprogrammen (Beispiele)?

E-Mail-Anhänge in Dateiformaten wie .exe oder .scr können Schadsoftware beinhalten, die beim Öffnen ausgeführt werden. Aber auch doppelte Dateiendungen wie z.B. „pdf.exe“ sollen Nutzer/-innen täuschen. Darüber hinaus können über Office-Dokumente ebenfalls Schadprogramme geladen werden. Außerdem können harmlos wirkende Verlinkungen im Text einer E-Mail, die beim Anklicken auf infizierte Webseiten verweisen oder den Download einer bösartigen Datei einleiten, eine Gefahrenquelle für das System sein.

 

Infizierte Software: Trojaner bezeichnen eine versteckte Schadkomponente von Software. Nutzerinnen und Nutzern installieren diese eigenständig aber unbemerkt – zum Beispiel beim Download von kostenlosen Software-Angeboten.

Webseiten: Auch der Aufruf einer mit Schadsoftware präparierten Webseite im Browser – beispielsweise aus den Ergebnissen einer Suchmaschine – kann ein Gerät infizieren. Das Gefährliche daran: Selbst seriöse Webseiten können mit Schadcode verseucht sein – etwa durch manipulierte Werbebanner. Für den Webseitenbetreiber geschieht dies zumeist auch unbemerkt.

Was können Schadprogramme anrichten?

Ausspionieren von Daten: Schadsoftware kann sich hinter täuschend echt aussehenden Webseiten oder sogar in E-Mail-Anhängen von vermeintlich bekannten Kontakten verbergen. Ihr Ziel: Das Ausspionieren bzw. Abgreifen personenbezogener Informationen oder Zugangsdaten von Betroffenen, um weiteren Schaden mit Online Accounts anzurichten. Was man tun kann, um Datendiebstahl zu verhindern, haben wir im Bereich Phishing zusammengestellt.

 

Erpressung: Ransomware bezeichnet Arten von Schadprogrammen, die den Zugriff auf die Daten oder das System einschränken beziehungsweise komplett unterbinden. Entweder sperrt die Software den kompletten Zugriff auf das System oder sie verschlüsselt bestimmte Daten. Für die Freigabe wird dann ein Lösegeld (englisch: ransom) verlangt. Da nicht sicher ist, ob die Daten nach Zahlung des Lösegelds tatsächlich wieder entschlüsselt werden können, empfiehlt es sich, nicht auf die Forderungen einzugehen und weder Geld noch Onlinewährungen wie Bitcoins zu transferieren.

Manipulation beim Online-Banking: Sind Schadprogramme auf einem Rechner platziert worden, können diese den Datenverkehr beim Online Banking abfangen und manipulieren. Für Betroffene gibt es keine Anhaltspunkte, die eine Manipulation anzeigen. Vom Aufruf der Webseite, über die Eingabemaske bis hin zum Abschluss der Transaktion gibt es keine Auffälligkeiten. Dabei fängt das Schadprogramm Daten ab, verändert sie und leitet die manipulierten Daten an die Bank weiter. Erst der Kontoauszug zeigt, welcher Schaden entstanden ist. Was man tun kann, zeigen wir in unseren Sicherheitstipps zum Online Banking.

Anzeige von Werbung: Adware, eine Schadsoftware zur Anzeige von unerwünschter Werbung, gelangt meist als zusätzliches Anhängsel von kostenlosen Downloads auf Ihr Gerät. Öffnen sich zukünftig beim Surfen vermehrt Pop-up-Fenster mit Werbung, treibt wohl eine Adware ihr Unwesen. Diese Software kann vergleichsweise harmlos sein, meistens jedoch ist sie ebenso im Stande, Nutzerdaten von Betroffenen beim Surfen im Internet aufzuzeichnen, um im Anschluss Werbe-Pop-ups weiter zu individualisieren.

Wie schütze ich mich vor Schadprogrammen?

• Führen Sie regelmäßig und zeitnah zur Verfügung stehende Updates durch – von Ihrem Betriebssystem und Programmen auf allen Geräten, um Sicherheitslücken zu schließen.
• Seien Sie vorsichtig beim Öffnen von E-Mails – insbesondere, wenn Sie Links und Anhänge anklicken und wenn es sich um die unerwartete Nachricht eines unbekannten Absenders handelt. Aber auch bei vermeintlich bekannten Absendern ist Vorsicht geboten, siehe z.B. Emotet.
• Nutzen Sie nur vertrauenswürdige Quellen, um Daten herunterzuladen.
• Legen Sie regelmäßig Backups wichtiger Daten an, um sich vor deren Verschlüsselung zu schützen und verlorene Daten selbst wiederherstellen zu können. Installieren Sie ein Virenschutzprogramm und eine Firewall, um Schadprogramme möglichst beim ungewollten Download zu erkennen.
• Verwenden Sie Benutzerkonten mit reduzierten Rechten, damit Schadprogramme keine Administratorrechte und damit Zugang zum gesamten System haben.

Praktisch jedes technische System ist von Schadsoftware bedroht

Cyber-Kriminelle versuchen, Schadprogramme möglichst unbemerkt auf ein System zu schleusen. Sollten Sie den Verdacht haben, dass etwas nicht stimmt – z.B. werden in Ihrem Namen E-Mails versendet – untersuchen Sie Ihr Gerät erst einmal mit einem aktuellen Virenschutzprogramm. In jedem Fall sollten Sie Ihr System einem gründlichen Check unterziehen. Weitere Infos im Bereich Infektionsbeseitigung.

Was kann ich tun, wenn ich betroffen bin?

Viele Schadprogramme nehmen tiefgreifende Änderungen am System vor, die nicht einfach rückgängig gemacht werden können. Bei einer bestätigten Infektion sollte daher das gesamte System neu aufgesetzt werden. Regelmäßige Backups erleichtern die Wiederherstellung Ihrer Daten. Wird ein Befall von Schadsoftware angezeigt, sollten Sie folgende Schritte durchführen:

 

• Sind die Dateien durch Ransomware verschlüsselt und es ist kein Backup vorhanden, bewahren Sie die verschlüsselten Daten auf, da diese ggf. zu einem späteren Zeitpunkt entschlüsselt werden können
• Installieren Sie das Betriebssystem neu. Eine Hilfestellung finden Sie im Bereich Infektionsbeseitigung
• Ändern Sie nach der Neuinstallation bei allen Online-Zugängen (E-Mail, soziale Netzwerke usw.) Ihre Passwörter

In jedem Fall sollten Sie einen Missbrauch bzw. Befall Ihres Systems bei Ihrer örtlichen Polizeidienststelle oder unter www.polizei-beratung.de melden.

Sonderfall Emotet

Die Schadsoftware Emotet gilt derzeit als eine besonders große Gefahr und verursacht auch in Deutschland bei Privatverbraucher/-innen sowie Unternehmen regelmäßig hohe Schäden. Der Grund: Emotet verbreitet sich selbstständig an Kontakte von NutzerInnen infizierter Systeme mithilfe sehr authentisch wirkender E-Mails. Die Systeme der EmpfängerInnen werden ebenso mit Emotet infiziert, sobald ein Office-Dokument aus dem Anhang oder über einen Link geöffnet und die Ausführung von Makros aktiviert wird. Nachgeladene Software richtet dann den eigentlichen Schaden an. Wie genau Emotet funktioniert und wie man sich schützt.

Praktisch jedes technische System ist von Schadsoftware bedroht

Im Unterschied zu früher gefährden heutige Schadprogramme nicht nur Computer im engeren Sinne, sondern haben prinzipiell jedes softwaregesteuerte und vernetzte System im Visier. Neben Smartphones und Tablets gilt dies insbesondere für Router und auch für internetfähige Geräte wie digitale Heizungsthermostate, oder ein über das Internet steuerbares Garagentor.

 

Das Verhältnis von Angriffs- und Abwehrmethoden gleicht dem bekannten Wettlauf zwischen dem Igel und Hasen: Jedes neu entdeckte Schadprogramm hat auf Seiten der IT-Sicherheitsindustrie zum Beispiel eine Verbesserung der Virenschutzfunktion zur Folge. Jeder verbesserte Abwehrmechanismus wiederum ruft die Entwicklung noch raffinierterer Angriffsmethoden hervor, um diesen Mechanismus zu umgehen.

Im Ergebnis führt dieser Wettlauf zu einer verstärkten Professionalisierung der Malware-Entwicklung und zunehmend komplexen Schadprogrammen. Moderne Malware-Varianten bestehen zumeist aus mehreren Komponenten, die unterschiedliche Funktionen erfüllen – darunter auch die Möglichkeit, nach der Erstinfektion eines Systems weitere Programmmodule mit zusätzlichen Funktionen nachzuladen. Aufgrund ihrer Vielseitigkeit und Multifunktionalität lassen sich heutige Schadprogramme kaum noch einer einzigen Malware-Kategorie wie Virus, Wurm oder Trojaner zuordnen.

So besitzt zum Beispiel die Ransomware WannaCry ebenso wie der Banking-Trojaner TrickBot unter anderem auch eine typische Wurmeigenschaft – nämlich die Fähigkeit, sich selbstständig innerhalb von Netzwerken auszubreiten. Ungeachtet der erwähnten Zuordnungsschwierigkeit ist ein grundlegendes Verständnis der Funktionsweise gängiger Schadprogrammtypen unverzichtbar, um auf die allgegenwärtigen Cyber-Risiken adäquat reagieren zu können.

Was (fast) alle aktuellen Schadprogramme gemeinsam haben

Weit verbreitet sind Schadprogramme, die eine sogenannte Backdoor-Funktion im Gepäck haben: Solche Programme öffnen für Cyber-Kriminelle eine Hintertür, die einen heimlichen Fernzugriff auf das betroffene System ermöglicht.

 

Egal, in welcher Verbreitungsart ein Schadprogramm auf den Rechner kommt: Sobald es sich eingenistet hat, arbeitet es in der Regel autonom weiter, lädt zum Beispiel weitere Schadprogramme auf das Gerät oder verbindet sich mit einem sogenannten C2-Server, von dem es zentral für ein Botnetz missbraucht wird.

Die Schadprogramme erhalten Befehle wie das Nachladen weiterer Schadsoftware von automatisch arbeitenden Befehlszentralen im Internet, sogenannten Command-and-Control-Servern (C&C-Server). Die Adressen solcher C&C-Server können entweder explizit im Programmtext der betreffenden Schadsoftware codiert sein oder das Schadprogramm enthält einen Algorithmus, um wechselnde C&C-Adressen zum Beispiel in Abhängigkeit des aktuellen Datums zu generieren. Security-Spezialisten können die Adressen durch Code-Analysen herausfinden – und kommen so dem jeweiligen C&C-Server auf die Spur.

Quelle: BSI

Artikelbild: Shutterstock.com/ Olivier Le Moal