Malware
Malware

Was ist Malware?

Der Begriff Malware ist die Kurzform für „malicous software“ → malicous (englisch) = böswillig/arglistig. Malware sind Schadprogramme, deren Ziel es ist, die Computer anderer Personen zu infizieren. Die Schadprogramme werden in der Regel unbeabsichtigt installiert. Oft verbergen sie sich hinter der „Fassade“ eines ansonsten vertrauenswürdigen Programms. Ist die Schadsoftware einmal installiert – man spricht dann von einem infizierten Computer – greifen die Schadprogramme über Sicherheitslücken im Betriebssystem und über Software auf den betroffenen PC zu.

Ziele von Malware

Die Entwicklung von Malware verfolgt unterschiedliche Zielsetzungen.

  • Datendiebstahl: Das betrifft sowohl den Diebstahl privater als auch geschäftlicher Daten. Im privaten Kontext könnten neben Daten, die sich zum Identitätsmissbrauch eignen auch Bilddateien im Fokus der Angreifer stehen. Ebenso könnten vertrauliche Informationen in Bezug auf gesundheitliche Daten betroffen sein. Beim Diebstahl geschäftlicher Daten kann es sich um Zugangsdaten von Nutzerinnen, Kundendaten, Daten zum geistigen Eigentum und auch um zahlungsrelevante Daten handeln. Opfer solcher Malware-Angriffe können neben Privatpersonen und Unternehmen auch öffentliche Einrichtungen und Behörden sein.
  • Störung des Geschäftsbetriebs: Hier geht es darum, eine Betriebsstörung oder eine Betriebsunterbrechung hervorzurufen. Die Umfänge können dabei sehr unterschiedlich sein. Manchmal betrifft es nur einen (möglicherweise sehr wichtigen) Computer, manchmal betrifft es das komplette Firmennetzwerk. Es gibt auch eine Sonderform, sogenannte DDOS-Angriffe. DDOS = Distributed Denial-of-Service attack; Denial of Service = Verweigerung des Dienstes; DDOS = Verteilter Dienstverweigerungsangriff). Dabei handelt es sich um eine „mutwillige Dienstblockade“, die das Ziel verfolgt, den Zugriff auf Internetdienste zu stören. Da solche Angriffe von einer Vielzahl an Quellen ausgehen, ist es nicht möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
  • Erpressung / Geldforderungen: Manche Malware verfolgt das Ziel, die Betroffenen zur Zahlung von Geld zu verleiten. Das kann auf unterschiedliche Art und Weise erfolgen und wird in dem Abschnitt Ransomware beschrieben.

Malware Arten

  • Virus: Ein Computervirus sucht nach sauberen Dateien, infiziert diese und beschädigt dabei deren Kernfunktion. Das kann eine Modifikation der Datei sein, ebenso ist es möglich, dass die Dateien komplett gelöscht werden. Die Verbreitung eines Computervirus erfolgt oft mit hoher Geschwindigkeit.
  • Worms: englisch für Würmer: Diese nutzen die Schnittstellen in Computernetzwerken und verbreiten sich dann über alle Geräte des Netzwerkes.
  • Trojaner: angelehnt an das Trojanische Pferd in der griechischen Mythologie. In einem hölzernen Pferd vor den Toren Trojas hatten sich in dessen Bauch griechische Soldaten versteckt. Nachdem das Pferd in die Stadt hineingezogen war, haben die Soldaten nachts die Tore geöffnet und das eigene Heer in die Stadt gelassen. Übertragen auf die Cybersicherheit tarnt sich die Schadsoftware als legitime Software oder als eine Funktionserweiterung einer legitimen Software. Im Gegensatz zur griechischen Mythologie bleiben Trojaner oft über längere Zeit unerkannt und unbemerkt. In dieser Zeit werden Hintertüren in der Computersicherheit geöffnet, die wiederum als Eingangstor für weitere Infektionen genutzt werden können. Im Gegensatz zu Viren und Würmern verbreiten sich Trojaner in der Regel nicht selbst.
  • Ransomware: Ransom englisch für Lösegeld: Bei einem Befall mit Ransomware wird der Computer für den/die AnwenderIn gesperrt, weiteres Arbeiten wird damit unmöglich. Im nächsten Schritt wird häufig mit der Zerstörung der Daten und / oder auch mit der Veröffentlichung der Daten gedroht (→ Double Extortion). Dies zu verhindern muss ein Lösegeld bezahlt werden. In Anlehnung an diese Vorgehensweise wird Ransomware gelegentlich auch Scareware genannt Scare englisch für Schreck. Bei einer besonderen Form handelt es sich um „leere Drohungen“. Das bedeutet, es gibt keinen Beweis dafür, dass die Drohung wirklich umgesetzt wird oder sogar werden kann. Ransomware gelangt meist als Trojaner, als Virus aber auch als Wurm in die Zielsysteme.
  • Botnets: Ein Botnet besteht aus einem Netzwerk infizierter Computer. Der Angreifer greift dabei über Fernzugriff und oft ohne, dass die Anwender es merken – auf die Computer zu.
  • Spyware: Spy englisch für Spion. Diese Malware verfolgt das Ziel, die Zielperson auszuspionieren. Dabei werden meist die Online-Aktivitäten der Zielperson protokolliert. Dieses Protokoll kann dann beispielsweise die Log-In Daten samt Nutzerkennung und Passwort beinhalten und damit können unbefugte Personen sich Zugang zu passwort-geschützten Bereichen und Programmen verschaffen.
  • Kryptominer: Diese Malware nutzt die Rechenleistung des infizierten Gerätes (die CPU-Zyklen) um damit neue Einheiten einer bestimmten Kryptowährung zu generieren, man spricht hier vom „schürfen“. Sowohl Nutzer als auch Administratoren merken häufig nichts. Das Risiko wird oft unterschätzt. Tatsächlich kann diese Malware die Leistungsfähigkeit und Produktivität der Hardware-Ressourcen massiv einschränken.

Infektionswege

  • Download von Software: Das kann zum Beispiel die vorerwähnte Zusatzfunktion für eine legitime Software sein und dann sind die NutzerInnen sich bewusst, Software / ein Programm herunterzuladen und zu installieren. Oft jedoch merken die NutzerInnen nicht einmal, dass Sie es mit sogenannten ausführbaren Dateien zu tun haben.  Hinter beziehungsweise in einer Bilddatei, einer Video- oder Audiodatei können sich solche ausführbaren Dateien verbergen und dann ist der/die Nutzer sich nicht bewusst, dass sie nicht nur ein Bild/Video/Audio heruntergeladen haben sondern unwissentlich Schadsoftware auf dem Computer installiert haben. Dies nennt man auch Drive-by-Download, also „Download im Vorbeifahren“.
  • Lokale / mobile Speichermedien: Auch heute noch stellen USB-Laufwerke und andere externe Speichermedien einen möglichen Infektionsweg dar. Allein das Einstecken eines USB Sticks kann ohne jede zusätzliche Aktion bereits die Verbreitung von Schadsoftware auslösen. Auch aus diesem Grund sollten zum Beispiel Laptops nie unbeaufsichtigt sein.
  • Phishing Angriffe: Phishing (englisch fishing – angeln). Hier werden die Zielpersonen über E-Mails kontaktiert. Die E-Mail ist getarnt als eine legitime Nachricht und enthält (als Köder) schädliche Links oder Anhänge. Der E-Mail Empfänger soll dazu verleitet werden, auf den Link zu klicken oder Datei-Anhänge herunterzuladen.
  • Smishing Angriffe:  Wortkombination aus SMS und Phishing: Statt der E-Mail wird über eine SMS versucht, ein Link Klicken zu provozieren.

Wie kann man sich vor Malware-Infektionen schützen?

Der Schutz vor einer Malware-Infektion umfasst im Wesentlichen drei Aspekte. Die IT-Sicherheitsinfrastruktur, organisatorische Regelungen und den Faktor Mensch.

IT-Infrastruktur: Zu der IT-Sicherheitsinfrastruktur gehören insbesondere Firewalls. Sie schützen den Computer beziehungsweise das Netzwerk vor einer Vielzahl an Angriffen und Sicherheitslücken. Eine moderne und leistungsfähige Firewall ist sowohl software- als auch hardwarebasiert. Antivirusprogramme können sowohl Dateianhänge als auch Links in E-Mails untersuchen und so verdächtige Komponenten identifizieren. Auch vermögen diese Programme aufgerufene Webseiten hinsichtlich einer Gefährdung zu bewerten. Und man kann mit Ihnen regelmäßige Scans der eigenen Firmenwebsite durchführen und potentielle Schwachstellen und Infizierungen identifizieren und lokalisieren.

Organisatorische Maßnahmen: Zu den organisatorischen Maßnahmen zählt einerseits die systematische Aktualisierung aller genutzten Programme und Anwendungen. Dazu zählen auch Webbrowser und lokale E-Mail Clients. Ein Fall der jüngeren Vergangenheit → nicht gepatchte Exchange Server Oft werden mit den Updates nicht nur Fehler bereinigt und Funktionen erweitert, sondern auch neue oder neu entdeckte Sicherheitslücken geschlossen.

Regelmäßige Datensicherungen sind ein weiterer wichtiger Baustein. Offline Backups sind insbesondere dann hilfreich, wenn nach einem erfolgreichen, destruktiven Viren- oder Ransomware-Angriff eine Wiederherstellung der Daten nötig wird. Es gibt zahlreiche Beispiele, in denen aufgrund fehlender oder veralteter Backups die Wiederherstellung Wochen oder sogar Monate gedauert hat. An dieser Stelle entscheidet sich, wie gut die eigene „Verhandlungsposition“ ist, wenn man mit einer Lösegeldzahlung konfrontiert ist.

Eine Richtlinie zur Vergabe sicherer Passwörter für die Belegschaft und die Erstellung von Notfallplänen sind weitere organisatorische Maßnahmen. Passwortmanager erfreuen sich zunehmender Beliebtheit, auch deswegen, weil die Zahl genutzter Systeme stetig steigt und damit auch die Anzahl an Passworten, die man sich merken muss.

Als weitere organisatorische Maßnahme gilt es ein systematisches und die gesamte Belegschaft betreffendes Schulungskonzept zu entwickeln und zu realisieren. Das Konzept sollte neben der Wissensvermittlung auch praktische Übungen umfassen (Erfahren Sie mehr über Mitarbeiter-Schulungen und Phishing Simulationen).

Faktor Mensch: Der Faktor Mensch spielt in mehrfacher Hinsicht eine wichtige Rolle im IT Sicherheitskonzept. Einerseits ist der Mitarbeitende aufgefordert sich an die Vorgaben zum Beispiel der Passwort-Richtlinie zu halten. Andererseits ist er gefordert, sich nicht allein auf die Firewall und sonstige technische Sicherheitsmechanismen zu verlassen, sondern mit „gesundem Misstrauen“ auf E-Mails mit potentiell bedrohlichen Anhängen und Links zu reagieren. Der Mitarbeitende kann seinen Beitrag zu IT Sicherheit nur leisten, wenn er die Gefahren kennt und ein Risikobewusstsein im Berufsalltag bewahrt.

Fazit

So real und relevant die Gefahren sind, so gibt es eine Vielzahl an Möglichkeiten, den Bedrohungen und Gefährdungen wirksam zu begegnen. Wichtig ist, dass dies als ein kontinuierlicher Prozess verstanden wird, weil die Bedrohungen sich in Windeseile ändern und neue Gefährdungen hinzukommen. Und es muss klar sein, dass die Komponenten ineinandergreifen müssen. Die beste und aufwändigste IT-Infrastruktur hilft wenig, wenn die Mitarbeitenden ihren Teil in der Sicherungskette wegen mangelnder Kenntnis und /oder mangelnden Risikobewusstseins nicht leisten können.

Weitere Artikel zu Cybersecurity

Was ist Social Engineering? Underground Economy, was tun nach einem Cyberangriff? Nützen Cyber Versicherungen?

Was ist Phishing? Phishing Arten und Methoden, so schützen Sie sich vor Phishing Attacken

Was ist eine Phishing Simulation, wie läuft sie ab und was gilt es zu beachten?