Glossar

Welche Arten von Bedrohungen sind bekannt?

Ganz unterschiedliche Arten von Bedrohungen kursieren ständig im Internet. Was sich hinter den Fachbegriffen verbirgt, erklären wir hier.

Grundsätzlich kann schadhafte Software wie folgt beschrieben werden:

• Adware
• Backdoors
• Bots & Botnetze
• Dialer
• Hoaxes
• Makroviren
• Malware
• Phishing
• Rootkits
• Scam
• Spyware
• Trojaner & Dropper
• Viren
• Würmer

Adware
Als Adware (advertising-supported Software) wird jene Software bezeichnet, die automatisch Material zu Werbezwecken aus dem Internet herunterlädt, einblendet, abspielt oder Daten für Werbezwecke sammelt. Adware muss sich nicht zwangsläufig ohne Wissen des Anwenders installieren. Viele Programme finanzieren sich durch Adware, in dem diese gemeinsam mit dem Programm in einem Installationspaket und mit Zustimmung des Benutzers installiert wird. Adware ist lästig, allerdings größtenteils harmlos. Typische Kennzeichen von Adware sind zum Beispiel gezielte Werbeeinschaltungen in Form von Pop-up-Fenstern, Bannern oder Redirects auf spezielle Websites – jeweils angepasst an das Surf- und Konsumverhalten des einzelnen Anwenders.

nach oben

Backdoors
Eine Backdoor ist eine Art Programm zur Fernbedienung eines Computers. Im Unterschied zu legalen und auch kommerziell erfolgreichen Programmen wie dem Microsoft Remote Desktop Protokoll oder den verschiedenen VNC-Derivaten mit ähnlichem Funktionsumfang werden Backdoors allerdings ohne Wissen des Anwenders installiert.

nach oben

Bots und Botnets
Ein Bot (Kurzform für "Robot") ist ganz allgemein ein Programm zur Automatisierung von Aufgaben. Besonders in der UNIX-Welt wurden Bots von Systemadministratoren benutzt, um eintönige Aufgaben, die häufig durchgeführt werden mussten, automatisch ablaufen zu lassen. Es gibt auch Bots, die mit ihrem Gegenüber plaudern und dabei menschliche Verhaltensweisen zu simulieren versuchen. Im Gegensatz dazu erlauben bösartige Bots einem Angreifer, über das Netzwerk den PC eines Opfers unter seine Kontrolle zu bringen. Für viele Bots macht es dabei keinen Unterschied, ob sie einen PC oder gar hundertausende fernsteuern. Sie werden häufig verwendet, um Spam zu verschicken, illegale Dateien herunterzuladen und zu speichern oder um an Angriffen auf andere Computer teilzunehmen. Ebenso kann die Festplatte des Opfers durchsucht werden und es können vertrauliche Informationen an Server im Internet geschickt werden, um die Identität des Opfers zu missbrauchen (sogenannter Identitätsdiebstahl). Computer, die mit Bots infiziert sind, werden oft "Drohnen" oder "Zombies" genannt. Bei der Zusammenschaltung von mehreren Bots zu einem großen Verbund spricht man von einem Botnet.
Ein Botnet ist eine Gruppe von infizierten PCs, die alle von dem gleichen Server ferngesteuert werden. Neuerdings gibt es auch Botnets auf Basis von P2P-Netzwerken (peer-to-peer), die keinen traditionellen Steuerrechner besitzen, aber dezentral administrierbar sind. Botnets werden vor allem für verteilte Angriffe auf Server, sogenannte DDoS-Attacken (Distributed-Denial-of-Service) oder auch zum Massenversand von E-Mails verwendet.

nach oben

Dialer
Früher stark verbreitet, haben sich Dialer in jüngster Zeit als potenzielle Gefahrenquelle sehr stark verringert. Mit der zunehmenden Zahl an Breitbandanschlüssen sind die Anzahl der über Einwahlnummern laufenden Verbindungen ins Internet stark zurückgegangen. Dialer haben hier vorhandene Einwahlnummern durch eigene Nummern ersetzt und so extrem teure Verbindungen zu kostenpflichtigen und angeblich speziellen und exklusiven Diensten und Inhalten eingerichtet.

nach oben

Hoax
Kettenbriefe wie "Microsoft warnt vor..." oder "CNN announced" sind typische Beispiele für Hoaxes. Das Wort Hoax ist eine Abkürzung für "Hokuspokus". Und mehr ist ein Hoax auch nicht. Mit falschen Inhalten versucht ein Hoax sich selbst am Leben zu erhalten, ein anderer Verbreitungsmechanismus als das Weiterleiten durch den Empfänger existiert nicht. Also muss der Inhalt möglichlichst reißerisch und ansprechend sein. Dies kann durch Ansprechen auf der emotionalen Ebene sehr gut gelingen (Beispiel: "Meine kleine Tochter ist krank, Microsoft spendet 5 Cent für jede weitergeleitete E-Mail" oder "Glück in der Liebe - leite diese Email weiter"). Ein Hoax kann aber weder Glück bringen, wenn man eine E-Mail an wenigstens 20 Leute versendet, noch kann ein effektiver Nutzen aus möglicherweise enthaltenen Aufforderungen gezogen werden. Hoaxes sind mit etwas Hintergrundwissen leicht zu entlarven.

nach oben

Makroviren
Ein Makro ist ein speziell aus dem Officebereich bekanntes Miniprogramm, dass durch Wiederholen von vorgegeben Aufgaben eine Arbeitserleichterung darstellt. Aufgrund der starken Verbreitung von Textverarbeitungs- und Tabellenkalkulationsprogrammen stehen solchen Viren natürlich breite Angriffsflächen zur Verfügung. Da Makros auch Befehle außerhalb eines Programmes interpretieren können, ist es mit einem manipulierten Dokument beispielsweise möglich, externe Applikationen zu starten. Die Verbreitung selbst ist sehr einfach – per E-Mail versendet kann eine manipulierte Datei in kürzester Zeit ganze Unternehmensnetzwerke lahmlegen. Makroviren sind eine sehr gefährliche Art von Malware.

nach oben

Malware
Der Begriff Malware steht für MALicious SoftWARE – also bösartige Software. Malware dient als Oberbegriff für die Gesamtheit von Schadsoftware. Viren, Würmer, Trojaner, Adware und Spyware sind zum Beispiel Unterkategorieren von Malware.

nach oben

Phishing
Phishing-Attacken haben in den letzten Jahren massiv zugenommen. Das Ausspähen von Daten mit der Vorgabe, offiziell im Namen eines bekannten Unternehmens, eines Finanzinstituts oder einer bekannten Person zu agieren, ist sehr lukrativ und deshalb bei Kriminellen äußerst beliebt. Im Gegensatz zu Spyware versuchen Phisher mit nachgemachten, aber dennoch täuschend echt wirkenden Websites oder E-Mails an wichtige persönliche Daten zu kommen. Daten von Kreditkarten sind dabei ähnlich beliebt wie Online-Banking-Passwörter oder Zugangsdaten für Onlinespiele. Da solche Phishing-Dateien selten selbst Malware enthalten, ist extreme Vorsicht beim Hantieren mit Zugangsdaten unerlässlich. Kein Finanzdienstleister wird per E-Mail über neue Authentifizierungssysteme informieren. Auch sind beim Anmelden keine für Transaktionen nötige Daten einzugeben. Ebenso wird Microsoft nie einen angeblichen Patch per E-Mail verschicken. Alle offiziellen Patches von Microsoft erhalten Sie ausschließlich direkt über die Microsoft-Website.
Wenn Sie dennoch Opfer einer Phishing-Attacke wurden, empfiehlt es sich dringend, sämtliche Passwörter von Grund auf zu ändern sowie – wenn möglich – auch Nutzernamen zu ändern oder sperren zu lassen. Informieren Sie in solch einem Fall unbedingt Ihr Bankinstitut über den Vorfall.

nach oben

Rootkits
Der Begriff Rootkit kommt aus dem UNIX-Bereich und umschreibt eine Ansammlung von Programmen, die als "root" (Administrator) ausgeführt werden. Das Gefährliche an einem Rootkit ist die Fähigkeit, sich für andere Programme unentdeckt im System registrieren zu können. So ist es etwa möglich, dass ein Rootkit über eine Windows-Installation aktiv ist und somit der gesamte Boot-, Anmelde- und Arbeitsvorgang in einen "virtuellen Computer" verschoben wird. Dahinter kann ein Keylogger aktiv sein und sämtliche Tastatureingaben mitprotokollieren und abspeichern. Aktive Rootkits zu erkennen ist auch für versierte Anwender sehr schwer. Der beste Schutz vor einem Rootkit ist die Prävention. Ein nicht aktiver Rootkit kann sich selbst nicht tarnen und vermittelt so dem User nicht das falsche Gefühl, sicher zu sein.

nach oben

Scam
E-Mails mit Spendenaufrufen nach Katastrophen mit großem medialen Echo sind ein typisches Beispiel für Scam. Dabei wird an das soziale Gewissen des Empfängers appelliert, um ihn zu einer Spende oder einer Aufwandsentschädigung zu bewegen. Die hier eingerichteten angeblichen Konten dienen natürlich nur einem Zweck – dem Versender von Scam-Nachrichten einen finanziellen Vorteil zu verschaffen. Diese Abart der E-Mail-Werbung ähnelt dem Spam und Phishing, allerdings werden Scams nicht regelmässig versendet und es wird nicht versucht, an persönliche Daten zu gelangen – einzig und allein der finanzielle Aspekt interessiert den Versender.

nach oben

Spyware
Programme, die persönliche Daten unterschiedlicher Natur an Interesssenten im Internet verschicken, sind sogenannte Spyware. Diese Programme kann man in der Regel mit Adware in Verbindung setzen. Sie liefert Spyware die zum effizienten Adware-Einsatz nötigen Daten. Spyware muss nicht immer illegal auf den Rechner gelangen. Ähnlich wie andere, möglicherweise unerwünschte Applikationen, kann dies legal im Rahmen einer Installationsroutine für ein gewünschtes Programm mit installiert werden. Die von Spyware erbeuteten Daten werden normalerweise für kommerzielle Zwecke weiterverwendet.

nach oben

Trojaner und Dropper
Trojanische Pferde – besser bekannt als Trojaner – sind klassische Malware. Im Gegensatz zu Viren und Würmern sind Trojaner nicht in der Lage, sich selbst zu replizieren oder zu verbreiten. Ein Trojaner infiziert ausführbare Dateien, indem er sich direkt an den Programmcode heftet. Wird also ein Programm ausgeführt, wird auch automatisch die Schadensroutine mit ausgeführt. Diese kann ganz unterschiedliche Funktionen aufweisen: vom Protokollieren der Tastatureingaben bis hin zum gezielten Löschen von Dateien. Auch das Nachladen von schadhaftem Code ist möglich. Ist ein Trojaner für solche Zwecke gedacht, spricht man von einem sogenannten Dropper. Ein Dropper kann wiederum andere schadhafte Software nachladen und ausführen. Typischerweise ist die Installation von Backdoors eine Hauptfunktion von Droppern. Die einfachste Möglichkeit, einen Trojaner zu entfernen, ist ihn zu löschen. Allerdings empfiehlt sich bei einer vorhandenen Infektion mit einem Dropper die Neuinstallation des Betriebssystemes inklusive Änderung aller verwendeten Passwörter.

nach oben

Viren
Der klassische Virus ist ein Programm, das in der Lage ist, sich selbst zu replizieren. Durch Anfertigen einer – auch modifizierten – Kopie von sich selbst und dem Einfügen von Code in eine bereits bestehende, ausführbare Datei, ist die Anzahl der möglichen verschiedenen Wirte sehr hoch:

• ausführbare Dateien (*.exe, *.com, ...)
• Boot Sektoren von Datenträgern
• Skriptdateien (*.vbs, *.bat,...)

Durch das Einfügen des eigenen Codes in eine ausführbare Datei stellt der Virus sein "Überleben" sicher und der Suchprozess nach noch nicht infizierten Dateien wird mit steigender Anzahl der Infektionen immer kürzer. Einige Viren sind dabei recht rabiat und zerstören die Struktur. Sie machen damit ein Programm unbrauchbar! Die meisten Viren fügen sich allerdings so in eine Datei ein, dass beide – Programm und Virus – unbeschädigt und voll funktionsfähig bleiben. Viren verbreiten sich schnell und nutzen dabei alle Möglichkeiten der Kommunikation. Insbesondere über das Internet oder über ein Netzwerk können sich Viren auch automatisch ausbreiten. Auf externen Datenträgern fehlt natürlich ein aktiver Wirt zur Verbreitung.
Viren können ferner nach ihrem Verhalten bei der Ausführung unterschieden werden. Nicht-speicherresidente Viren werden beim Ausführen einer infizierten Datei gestartet. Speicherresidente Viren werden hingegen beim Ausführen in den Arbeitsspeicher geladen und infizieren anschließend alle Dateien, auf die Zugriffe erfolgen.

nach oben

Würmer
Würmer sind bei ihrer Verbreitung dem Verhalten von Viren sehr ähnlich, der Unterschied liegt in der Aktivierung. Der klassische Virus muss ausgeführt werden, ein Wurm nutzt vorhandene (lokale) Netzwerke, um sich selbst auszubreiten. Dabei nutzen Würmer auch Schwachstellen in Betriebssystemen oder Programmen, um sich selbst weiterzuverbreiten. Ein Wurm ist in der Lage, andere Malware zu transportieren, beispielsweise Backdoors oder Keylogger. Doch auch ohne Anhang können Würmer gewaltige Schäden anrichten, wie die Ausbrüche von Lovsan oder Sasser 2004 zeigten. Durch ungepatchte Sicherheitslücken kam es damals zu Computerausfällen mit Schäden in Millionenhöhe. Trotz der eher langsamen Verbreitung im Internet wurden damals teilweise komplette Unternehmensnetzwerke lahmgelegt.

nach oben