SCHADSOFTWARE

Schadsoftware oder oftmals auch „Malware“ (malicious software – bösartiges Programm) genannt, dient dem Ziel, Endgeräte zu infizieren, unerwünschte Operationen auszuführen und die jeweilige betroffene Person dadurch zu schädigen. Man kennt Schadsoftware auch unter den Begriffen „Virus“, „Wurm“ oder „Trojaner“. Doch wo liegen die Unterschiede? Welche weiteren Arten von Schadsoftware gibt es noch? Wie kann ich gegebenenfalls erkennen, dass ein Endgerät mit Schadsoftware befallen ist und wie schütze ich mich bestmöglich davor? Diese Fragen soll der nachfolgende Beitrag klären.


WELCHE ARTEN VON SCHADSOFTWARE GIBT ES?

Je nach Art und Weise des Befalls sowie der Wirkungsweise von Schadsoftware, kann diese in unterschiedliche Kategorien unterteilt werden. Dabei ist zu berücksichtigen, dass bestimmte Schadsoftwares Bestandteile oder Wirkungsweisen vieler verschiedener Kategorien aufweisen können. Eine trennscharfe Abgrenzung ist meist nicht möglich. Dennoch ist es wichtig, die verschiedenen Arten und Wirkungsweisen zu kennen. Die eigene Sensibilisierung zu diesem Thema hilft, Bedrohungen durch Schadsoftware frühzeitig zu erkennen und den Befall der Endgeräte möglichst zu vermeiden.

Virus: Oft als Oberbegriff für sämtliche Schadsoftwares verwendet, umfasst diese Kategorie Schadsoftware, welche sich unter Zuhilfenahme von Dateien („Wirtsdatei“) ausbreitet. Bei einer Nutzung der Datei wird unbemerkt die Schadsoftware mit ausgeführt.

Wurm: Ein Wurm verfolgt das Ziel der weitestmöglichen Ausbreitung: Nach dem Befall eines Endgerätes erfolgt die eigenständige Ausbreitung auf weitere Geräte. Folgen können die Installation weiterer Schadsoftware oder die gezielte Überlastung von Endgeräten und Netzwerken sein.

Trojaner: Ähnlich wie das bekannte trojanische Pferd, tarnt sich der Trojaner zunächst als nützliches Werkzeug. Einmal installiert, ist der Trojaner in der Lage eigenständig weitere Schadsoftware zu installieren.

Ransomware: Diese Art der Schadsoftware verschlüsselt die gesamte Festplatte des Endgerätes und verlangt zur Entschlüsselung ein Lösegeld. Auf die Lösegeldforderung sollte grundsätzlich nicht eingegangen werden.

Spyware: Hierdurch werden schützenswerte Informationen über ein Gerät, Netzwerk oder eine Person, einschließlich Anmeldeinformationen und Finanzdaten, gesammelt und an Kriminelle übermittelt.

Adware: Mittels Adware werden durch Werbeanzeigen für den Entwickler Einnahmen generiert. Dies erfolgt in der Regel durch kostenlose Spiele oder Browsererweiterungen. Auch wenn die Auswirkungen zunächst harmlos erscheinen, können hierdurch dennoch zur Personalisierung der Werbeanzeigen persönliche Daten des Betroffenen gesammelt werden.

Scareware: „Wir haben auf Ihrem Gerät mehrere kritische Fehler entdeckt!“ Kennen Sie derartige Anzeigen aus dem Internet? Dabei handelt es sich um sogenannte Scareware. Dem Betroffenen wird durch Erzeugung eines Angstzustandes zur Installation einer „Reparatursoftware“ verleitet. Das perfide daran: Der Betroffene installiert hierbei nun regelmäßig die eigentliche Schadsoftware eigenständig.

Botnet: Mittels eines Botnets können eine Vielzahl von Endgeräten (einschließlich der smarten Waschmaschine) missbraucht werden, um koordiniert andere Netzwerke zu überlasten oder lahmzulegen. Auch wenn es sich bei einem Botnet selbst um keine Schadsoftware handelt, macht der Befall des Gerätes mit Schadsoftware einen solchen Missbrauch und gezielten Angriff erst möglich.


WIE KANN EINE INFIZIERUNG ERFOLGEN?

Endgeräte können über verschiedene Einfallsvektoren von Schadsoftware befallen werden. Dabei ist es grundsätzlich unerheblich, um welchen Gerätetyp es sich handelt oder welches Betriebssystem auf dem jeweiligen Gerät installiert ist: Kein Endgerät ist immun gegen Schadsoftware.

Oftmals gelangt Schadsoftware über einen E-Mail-Anhang auf das Endgerät. Dabei muss es sich nicht zwangsläufig um eine ausführbare Datei (z.B. .exe) handeln. Auch in gängigen Dokumenten- (z.B. .txt, .doc, .xls, .pdf) oder Bilddateien (z.B. .jpg, .png) kann Schadsoftware enthalten sein. Das kurze Öffnen einer solchen Datei kann dann bereits ausreichen, um das jeweilige Endgerät zu befallen. Auch per SMS oder E-Mail versandte Links stellen eine potenzielle Gefahr dar. Durch Aufruf der jeweiligen Internetseite kann Schadsoftware auf das Endgerät installiert werden. Oftmals nehmen die Betroffenen die Installation der jeweiligen Schadsoftware auch eigenständig vor, ohne zu wissen, dass es sich dabei um Schadsoftware handelt.

Auch Neugierde kann eine Infektion mit Schadsoftware begünstigen: Wie eine Studie der Universitäten von Illinois und Michigan zeigt, schlossen knapp die Hälfte der Finder von auf dem Campus-Gelände platzierten USB-Sticks an ihrem Endgerät an. Darauf installierte Schadsoftware hätte die Endgeräte ohne Weiteres befallen können. Dieser Weg zur Verbreitung von Schadsoftware ist gar nicht unüblich. Aus diesem Grund sollten insbesondere im Unternehmenskontext auch keine Speichermedien als Werbegeschenke angenommen werden. Sollte sich eine Nutzung fremder USB-Sticks nicht vermeiden lassen, ist zuvor zumindest eine Untersuchung des USB-Sticks durch die IT-Abteilung vorzunehmen.


WIE KANN ICH ERKENNEN, DASS MEINE ENDGERÄTE VON SCHADSOFTWARE BEFALLEN SIND?

Grundsätzlich sind die meisten Kategorien von Schadsoftware dergestalt konzipiert, dass Betroffene meist nicht oder erst sehr spät bemerken, dass ihre Endgeräte von Schadsoftware befallen sind. Anzeichen können dabei sein, dass unbekannte E-Mails im eigenen Namen versandt werden, Endgeräte ungewöhnliches Verhalten zeigen (z.B. nur sehr langsam oder stark verzögert reagieren), ohne erkennbaren Grund deutlich weniger Arbeits- oder Festplattenspeicher zur Verfügung steht oder sich regelmäßig unerwünschte Fenster oder Programme öffnen. Da es keine bestimmten Anzeichen gibt, die verlässlich auf den Befall mit Schadsoftware hinweisen, sollten Endgeräte regelmäßig mittels sogenannter „Antivirenprogrammen“ überprüft werden. Aber auch hierbei besteht keine absolute Gewissheit, dass die Schadsoftware auch erkannt wird. Aus diesem Grund sollten Maßnahmen ergriffen werden, welche bereits die Gefahr des Befalls mit Schadsoftware deutlich minimieren können.

Sollten Sie im beruflichen Kontext den Befall mit Schadsoftware feststellen oder eine entsprechende Vermutung bestehen, sollten Sie sich unverzüglich an Ihre IT-Abteilung wenden und gegebenenfalls die Datenschutz- und IT- bzw. Informationssicherheitsbeauftragten informieren. Maßnahmen, welche Sie bei einem Verdacht im privaten Umfeld ergreifen sollten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Internetseite zusammengefasst.


WIE SCHÜTZE ICH MICH BESTMÖGLICH VOR SCHADSOFTWARE?

Da die alleinige Verwendung von Antivirenprogrammen oder Firewalls bei weitem nicht ausreicht, um dem Befall mit Schadsoftware im genügenden Umfang entgegenzutreten, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitere Maßnahmen zu ergreifen:

– Um gegebenenfalls bestehende Sicherheitslücken zu schließen, sollten durch den Hersteller / Anbieter bereitgestellte Updates zeitnah installiert werden. Derartige Updates – und Softwares im Allgemeinen – sollten grundsätzlich jedoch ausschließlich von vertraulichen Quellen bezogen werden.

– Verwenden Sie Benutzerkonten mit reduzierten Rechten. Zur Installation von Schadsoftware und einem systemweiten Zugriff auf die Daten, benötigen Schadsoftwares in der Regel Administratorrechte. Eine Trennung zwischen einem Administratorkonto zur Verwaltung des Endgerätes sowie eines Nutzerkontos zur alltäglichen Verwendung des Endgerätes, hilft das Risiko eines Befalls zu minimieren.

– Legen Sie regelmäßig Backups wichtiger Daten, Ordner oder ganzer Festplattenpartitionen an. Sollte Ihr Endgerät von Schadsoftware befallen oder im schlimmsten Fall durch Verschlüsselung zunächst unbrauchbar gemacht worden sein, können Sie diese durch ein aktuelles Backup wiederherstellen.

– Öffnen Sie Anhänge und Links aus E-Mails mit Bedacht. Dies gilt insbesondere dann, wenn es sich um eine E-Mail eines unerwarteten Absenders und / oder um einen unerwarteten Anhang bzw. Link handelt. Auch eine vermeintliche E-Mail Ihres Chefs kann sich im Nachgang als Betrugsversuch herausstellen (sogenannter „CEO-Fraud“).


FAZIT

Der Beitrag zeigt die unterschiedlichen Formen von Schadsoftware. Dabei wird deutlich, dass durch die unterschiedlichen Arten und Wirkungsweisen von Schadsoftware ein allumfassender Schutz nie möglich sein wird. Durch Zuhilfenahme von Antivirenprogrammen und der Vornahme weiterer Schutzmaßnahmen kann das Risiko eines Befalls jedoch erheblich reduziert werden. Hierzu gehört jedoch auch, dass sich alle Nutzer regelmäßig über mögliche Risiken informieren und ihre Endgeräte nicht nur sensibilisiert nutzen, sondern auch entsprechend technisch absichern.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Endgeräte
  • Malware
  • Schadsoftware
  • Technische-organisatorische Maßnahmen
Lesen

EMOTET – AKTUELLE INFORMATIONEN

Die bekannteste Schadsoftware-Familie Emotet breitet sich erneut rasant aus. Mehr als 27.800 Varianten wurden durch Experten von GDATA im ersten Halbjahr 2020 bisher identifiziert. Durch die neuste Version wird dem Nutzer suggeriert, dass für die Nutzung von Microsoft Word ein Upgrade notwendig sei, damit die Inhalte einer Datei aufgerufen werden können. Die Nachrichten nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. Anknüpfungspunkte sind beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtige Informationen zur COVID-19-Pandemie. Insbesondere das aktuelle Infektionsgeschehen rund um die COVID-19-Pandemie wird immer wieder als Aufhänger genutzt (bspw. über Bereitstellung von Schutzmasken, Beantragung von Krediten und Förderungen sowie Empfehlungen und Ratschlägen der WHO oder des Bundesministeriums für Gesundheit).


WAS IST EMOTET?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.


WIE FUNKTIONIERT EMOTET?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.


WIE KANN MAN SICH SCHÜTZEN?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.


WAS IST BEI EINER INFIZIERUNG ZU TUN?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.


IST EINE MELDUNG AN DIE AUFSICHTSBEHÖRDE UND EINE INFORMATION AN DIE BETROFFENEN NOTWENDIG?

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenschutzverletzung
  • Emotet
  • Informationssicherheit
  • IT-Sicherheit
  • Schadsoftware
Lesen