Viren, Würmer, Bots - Bedrohungspotenzial von Malware und Tipps zum Schutz
von Tina Siering
Viren und Malware – wo liegt der Unterschied?
Jede Malware, ganz gleich welchen Typus, ist dadurch gekennzeichnet, dass sie ohne Zustimmung des Users auf einem Rechner installiert wird und dort Schäden anrichtet. Malware kann zur Spionage verwendet werden, für die Durchführung von Erpressungen, kann Daten löschen oder auch ganze Netzwerke lahmlegen. Seit den Anfängen der Malware-Entwicklung in den 1970er bis 1980er Jahren wurden die Schadprogramme immer weiter verfeinert – und immer raffinierter. Aus der frühen Zeit der ersten Schadprogramme stammt auch noch die weitverbreitete, synonyme Verwendung der Begriffe Malware und Virus. Es stimmt zwar, dass in der IT-Welt jeder Virus immer auch eine Malware ist. Allerdings ist nicht jede Malware auch gleichzeitig ein Virus! Vielmehr ist ein Computervirus nur eine von zahlreichen Schädlingen, die unter der Kategorie Malware zusammengefasst werden. Dem Virus kommt in Sachen Malware dabei eine ganz besondere Bedeutung zu: Das National Institute of Standards and Technology führt den Virus „Brain“ als eine der ersten jemals entdeckten Malware auf. Entwickelt wurde „Brain“ um 1986 herum von zwei Brüdern, die mit Software ihr Geld verdienten. Illegale Kopien der Software waren schon damals ein Ärgernis, sodass die Brüder ein Programm schrieben, das den Boot-Sektor von raubkopierten Disketten infizieren und damit Softwaredieben die Verwendung unmöglich machen sollte.
Im Laufe der Zeit entwickelte sich aus dem Virus-Prototypen eine ganze Palette an Schädlingen. Heute ist die Malware-Landschaft extrem vielfältig, denn Hacker entwickeln immer neue Möglichkeiten, Methoden und Techniken, um in die Systeme ihrer Opfer einzudringen. Die Malware-Welt lässt sich grob in acht Typen klassifizieren:
-
Viren
Computerviren funktionieren ähnlich wie biologische Viren: Sie kopieren sich auf infizierten Systemen durch die Infektion von Dateien und verbreiten sich durch den Versand von E-Mails, über kompromittierte Webseiten oder Anwendungen. Viren benötigen für die Verbreitung immer menschliches Zutun – einen User, der unbewusst eine verseuchte Datei weiterleitet, unbedarft einen infizierten E-Mail-Anhang öffnet oder kompromittierte Websites öffnet.
- Trojaner
Diese Form der Malware tarnt sich wie einst das Trojanische Pferd als „gutes“, legitimes Programm oder Datei. So werden ahnungslose User dazu gebracht, den Schädling zu installieren. Auch nach Kompromittierung eines Systems halten Trojaner ihre Tarnung aufrecht und verrichten vom User unbemerkt ihr Schadwerk.
- Würmer
Würmer sind autonom arbeitende Schädlinge, die anders als Viren keine menschliche „Hilfe“ zur Verbreitung benötigen. Würmer nutzen gezielt Schwachstellen in Netzwerken oder Sicherheitslücken aus, um sich zu verbreiten. Ein Wurm kann dabei problemlos tausende Kopien von sich selbst erstellen, die sich in den Netzwerken verteilen und weitere Systeme infizieren.
- Adware
Adware ist eine vergleichsweise harmlose, aber dafür umso lästigere Form der Malware. Adware wird häufig über Software-Installer verteilt und dient dazu, Werbeanzeigen auf Webseiten oder in Anwendungen anzuzeigen. Adware wird dabei immer mit ausdrücklicher Zustimmung des Users installiert, gilt daher nicht als „richtige“ Malware, sondern vielmehr als „potenziell unerwünschtes Programm“.
- Rootkits
Rootkits ermöglichen den Fernzugriff auf einen Computer und sind somit äußerst nützliche Tools für IT-Techniker, die an entfernten Standorten bestehende Probleme remote lösen müssen. Allerdings ermöglichen Rootkits auch Cyberkriminellen den vollständigen Zugriff auf ein Gerät. Das Gefährliche an Rootkits: Sie arbeiten unbemerkt vom User und sind nur schwer durch handelsübliche Antiviren-Software zu entdecken.
- Spyware
Spyware ist Spionagesoftware, die ein System und das Verhalten des Users vollständig ausspionieren kann. Von Tastatureingaben über die Bewegung des Mauszeigers bis hin zu Anmeldedaten kann Spyware so gut wie alles erfassen und an den Hacker im Hintergrund weiterleiten.
- Ransomware
Ransomware infiziert einen Computer und verschlüsselt sodann wichtige, sensible Daten auf dem System. Eine Entschlüsselung der Daten ist nur durch Eingabe eines Codes möglich – den die Hacker nur gegen die Zahlung eines Lösegeldes freigeben – oder auch nicht, denn selbst nach erfolgter Zahlung hängt die Freischaltung vom „guten Willen“ der kriminellen Erpresser ab.
- Bots
Bots sind, ähnlich wie Rootkits, ursprünglich für legitime Einsätze entwickelt worden. Bots können dafür verwendet werden, auf einem infizierten Rechner Befehle auszuführen. Was für IT-Experten ein nützliches Tool ist, ist für Hacker umso nützlicher. Mit einem Bot lassen sich gleich mehrere Computersysteme infizieren und zu einem Botnetz zusammenschließen. Mit dem Botnet lassen sich Daten stehlen, Spionageangriffe durchführen, Spam versenden oder umfassende DDoS-Angriffe durchführen.
Welche Gefahr geht von Malware aus und woran bemerke ich eine Infektion?
Die schlechte Nachricht zuerst: Malware wird immer gefährlicher. Es ist nicht nur die unglaubliche Vielfalt an Schadprogrammen, die Unternehmen und Privatanwendern zu schaffen macht, sondern auch und vor allem die kontinuierliche Professionalisierung der Cyberkriminellen. Mischformen aus mehreren Malware-Typen, „Malware-as-a-service“ oder Advanced Persistent Threats manipulieren Daten, spähen das Nutzerverhalten aus, blockieren den Zugriff auf kritische Dateien oder legen gleich ganze Netzwerke lahm.
Die meiste Malware arbeitet dabei im Verborgenen und wird von Usern nicht bemerkt. In einigen Fällen bemerken Anwender eine reduzierte Systemleistung, längere Ladezeiten von Webseiten oder Hintergrundprozesse. Manchmal unterbindet Malware auch die Verbindung zum Internet, verhindert das Hochfahren des Rechners oder den Zugriff auf Systemfunktionen. Wie gesagt: in einigen Fällen. Denn je professioneller ein Cyberangriff durchgeführt wird, desto geringer ist die Option, dass die Infektion bemerkt wird! Gerade bei Cyberangriffen auf Unternehmen sind Hacker am Werk, die ihr Handwerk verstehen. Eine Infektion mit „Bordmitteln“ zu entdecken, ist hier nahezu unmöglich.
So schützen sich Organisationen vor der Infektion mit Malware
Hier kommt die gute Nachricht: Mit grundlegenden Protection-Sicherheitsmaßnahmen lässt sich ein großer Teil von Standard-Cyberangriffen bereits abwehren. Mit einer aktiven Firewall und einem Virenscanner werden viele Angriffe zuverlässig unterbunden. Die Installation von Updates und Patches für Betriebssysteme und Software schließt Sicherheitslücken und mit starken Passwörtern und einer Multi-Faktor-Authentifizierung lässt sich auch bei kompromittierten Systemen der Schaden begrenzen. Die „Schwachstelle Mensch“ kann mit regelmäßig durchgeführten Security Audits und Trainings für die gesamte Belegschaft in eine „Human Firewall“ transformiert werden und die Stärke der eingeführten Sicherheitsmaßnahmen lässt sich durch Pentests unter Beweis stellen.
Als Ergänzung zu konventionellen Sicherheitsmaßnahmen im Bereich der IT-Security eignet sich die proaktive Jagd auf Cyberangreifer. Threat Hunting mittels einer Managed Detection and Response (MDR) Lösung ermöglicht die Erkennung von Gefahren im Frühstadium, bevor diese überhaupt zu Problemen werden. Mit dem Active Cyber Defense (ACD) Service von Allgeier secion erhalten Unternehmen die kontinuierliche Überwachung ihrer Netzwerke durch Cyber Defense Experten, ohne dabei auf ein eigenes SIEM oder SOC zurückgreifen zu müssen. Rund um die Uhr und an 365 Tagen im Jahr überprüfen die IT-Experten dabei den Netzwerkverkehr auf Anomalien, decken unbefugte Zugriffe auf und geben auch hoch entwickelten Advanced Persistent Threats keine Möglichkeit, in die Infrastruktur einzudringen. Als Managed Service ermöglichen Dienstleistungen wie ACD einen umfassenden Schutz zu deutlich geringeren Kosten als für eine SIEM-Lösung anfallen.
Fazit
Vom ersten Computervirus in den 1980er Jahren bis hin zur vielfältigen Malware-Welt von heute sind gerade einmal 40 Jahre vergangen. Viren, Würmer, Ransomware: Viele der Gefahren durch Malware lassen sich bereits durch grundlegende Schutzmaßnahmen wie Firewalls oder Antivirenprogramme eliminieren. Allerdings nicht alle – denn gerade bei hochkomplexen, professionell durchgeführten Cyberangriffen ist eine leistungsstarke IT-Security unverzichtbar. Mit proaktivem Threat Hunting und einer dauerhaften Überwachung des Netzwerkverkehrs lassen sich Angriffsaktivitäten frühzeitig erkennen und Schäden vermeiden. Mit ACD bietet Allgeier Secion umfassenden Cyberschutz – ohne dass Unternehmen hierfür auf ein eigenes SIEM oder SOC zurückgreifen müssen.