Was ist Malware?

„Malware“ ist der allgemeine Name für schädlichen Code, der den normalen Betrieb eines Nutzergeräts, wie z. B. eines Computers, Smartphones oder Tablets, stören soll. Es gibt viele verschiedene Malware-Kategorien, darunter Würmer, Trojaner, Spyware und Keylogger. Diese Begriffe werden häufig synonym verwendet, und viele Malware-Varianten nutzen heutzutage eine Kombination verschiedener Techniken.

Mit dem Großteil aktueller Malware wollen sich ihre Entwickler einfach nur bereichern.1 Hierzu stehlen sie für gewöhnlich vertrauliche Daten, wie z. B. Nutzernamen, Kennwörter, Kreditkartendetails oder andere Finanzdaten. Diese vertraulichen Informationen werden dann verwendet, um weitere Angriffe auf Privatpersonen und Unternehmen durchzuführen, oder an andere Kriminelle verkauft. Ransomware, eine Malware-Art, die das Gerät des Nutzers sperrt und eine Lösegeldzahlung fordert, damit der Dateizugriff wiederhergestellt wird, kommt derzeit vermehrt zum Einsatz, um Malware zu monetarisieren.

Schätzungen zufolge werden täglich 390.000 neue Malware-Varianten entdeckt.

Malware wird so entwickelt, dass sie Sicherheitssysteme und Erkennungsmechanismen umgeht, sodass es für Sicherheitsteams äußerst schwierig ist, den Schutz von Nutzern und Unternehmen zu gewährleisten. Damit ihre Malware nicht erkannt wird, nutzen Kriminelle verschiedene Methoden: Sie verschleiern Dateinamen, ändern Dateiattribute, imitieren legitime Programmvorgänge und verstecken Prozesse und Netzwerkverbindungen. Unterstützt werden diese Verschleierungstechniken durch die schiere Anzahl neuer Malware: Schätzungen zufolge werden täglich 390.000 neue Varianten entdeckt.2

Wie wird Malware verbreitet?

Malware wird auf unterschiedliche Arten verbreitet, um Geräte zu infizieren. Diese umfassen:

  • Schädliche Dateianhänge an Phishing-E-Mails: Die E-Mail nutzt wahrscheinlich Social-Engineering-Techniken, um den Empfänger vom Öffnen des Anhangs zu überzeugen. Und wenn der Anhang geöffnet wird, wird der Malware-Code implementiert.
  • Schädliche URL-Links im E-Mail-Text: Die E-Mail nutzt wahrscheinlich Social-Engineering-Techniken, um den Empfänger vom Öffnen des Links zu überzeugen. Und wenn der Link geöffnet wird, wird der Nutzer auf eine Site geleitet, über die Malware installiert wird.
  • Drive-by-Downloads: Wenn der Nutzer eine Seite zur Malware-Verbreitung besucht oder durch eine schädliche Werbeanzeige darauf umgeleitet wird („Malvertising“), wird der Malware-Code installiert.
  • Infizierte USB-Geräte
  • Direkter Netzwerkzugriff durch Ausnutzung offener Ports in Firewalls
  • Schwachstellen in Betriebssystem oder Anwendungen des Geräts: Hierbei kann es sich beispielsweise um ein veraltetes oder falsch konfiguriertes Flash-Plugin im Browser eines Nutzers handeln. Schädliche Websites können so aufgebaut werden, dass sie das Gerät eines Besuchers sofort nach Schwachstellen untersuchen. Die Malware auf der entsprechenden Seite ermittelt dann, welche Schwachstellen ausgenutzt werden können, und implementiert dann den passenden Malware-Code.

Einfacher Einstieg

Noch vor wenigen Jahren mussten Cyberkriminelle sich hinreichend mit Softwareprogrammierung, Sicherheit und Netzwerken auskennen, um einen Malware-Angriff durchzuführen. Das Malware-Ökosystem hat sich jedoch so stark weiterentwickelt, dass Cyberkriminelle heute schon für 39 US-Dollar Malware erstellen, implementieren und monetarisieren können.3 Tatsächlich stehen Interessierten zahlreiche günstige MaaS- (Malware as a Service) und RaaS-Angebote (Ransomware as a Service) zum Download zur Verfügung, die auf entsprechenden Portalen öffentlich angepriesen werden. Hier sehen Sie ein Beispiel für ein solches Portal, das verschiedene MaaS-Optionen anbietet:

Malware Seller

Malware-Typen

Spyware: Zeichnet Surfaktivitäten auf und erfasst Informationen zum Nutzer oder Unternehmen. Diese Informationen werden dann für weitere kriminelle Zwecke an andere Stelle gesendet oder für die Übernahme der Gerätekontrolle verwendet, ohne dass der Nutzer es bemerkt.

Keylogger: Zeichnet die Tastenanschläge des Nutzers auf, um Anmeldedaten und andere vertrauliche Informationen zu ermitteln. Diese Informationen werden von Cyberkriminellen häufig verwendet, um weitere schädliche Aktionen durchzuführen.

Trojaner: Getarnt als legitime Software, die das System des Nutzers ausspioniert oder Zugriff erlangt, um Daten zu stehlen, zu löschen, zu sperren oder zu ändern oder um die Geräte- oder Netzwerkperformance zu stören. Es gibt verschiedene Arten von Trojanern, darunter Backdoor-Trojaner, die Cyberkriminellen die vollständige Fernsteuerung des infizierten Geräts ermöglichen, DDoS-Trojaner, die Geräte in ein Botnet aufnehmen, das dann für DoS-Angriffe genutzt wird, und E-Mail-Trojaner, mit deren Hilfe über das infizierte Gerät E-Mail-Angriffe durchgeführt werden können.4

Würmer: Replizieren sich selbst über Netzwerkverbindungen von einem Gerät, Laufwerk oder Netzwerk zum nächsten. Würmer verbreiten sich automatisch, also ohne Nutzeraktion. Sie replizieren sich selbst, belasten Bandbreite und überlasten Webserver.5

Rootkits: Sie sollen remote Administratorkontrolle über das infizierte Gerät bieten. Sind sie einmal installiert, können die Cyberkriminellen hinter dem Rootkit alle Aktionen auf dem Gerät verfolgen, Dateien ausführen, Programme und zusätzliche Malware installieren und Software, wie z. B. Antivirenprogramme, modifizieren. Rootkits sind besonders schwer zu entdecken und entfernen.6

Ransomware: Verschlüsselt die Dateien auf dem Gerät des Nutzers oder auf Netzwerkgeräten. Um den Zugriff auf die verschlüsselten Dateien wiederherzustellen, muss der Nutzer „Lösegeld“ (im Englischen „Ransom“) an die Cyberkriminellen zahlen – üblicherweise über schwer zu verfolgende elektronische Zahlungsmethoden, wie z. B. Bitcoin.

Minimieren der Risiken durch Malware

Das schwächste Glied in der Kette sind die fehlenden Grundlagen der Mitarbeiter. Der Großteil der Malware erfordert eine Nutzeraktion, damit sie ihre Payload aktivieren kann. Mitarbeiter dahingehend zu schulen, wie sich Cyberangriffe erkennen und abwehren lassen, ist also essenziell. Viele Attacken nutzen E-Mails und Social Engineering, um Mitarbeiter dazu zu bewegen, Malware herunterzuladen oder ihre Anmeldedaten preiszugeben. Deshalb sollten sich entsprechende Schulungen auf diese häufig genutzten Angriffsvektoren konzentrieren. Auch Übungen, bei denen Mitarbeitern Test-Phishing-E-Mails gesendet werden, können Nutzer effektiv darin schulen, zwischen echter Zuliefererkommunikation und Phishing-Mails mit Betreffzeilen wie „Rechnung angehängt – bitte öffnen“ unterscheiden zu können.

Patchen Sie, was das Zeug hält. Und wenn Sie fertig sind, patchen Sie weiter. Wie WannaCry und Petya gezeigt haben, ist ein zuverlässiger Ansatz zum Patchen bekannter Schwachstellen unerlässlich, damit Ihr Unternehmen nicht ungeschützt dasteht. Noch Monate nachdem die EternalBlue-Schwachstelle durch WannaCry und NotPetya ausgenutzt wurde, sind laut Schätzungen weiterhin ca. 38 Millionen Computer ungepatcht.7 Ungepatchte Geräte und Software zu erkennen, ist für Cyberkriminelle verhältnismäßig einfach. Und wenn sie einmal ein solches Gerät gefunden haben, ist auch die Ausnutzung bekannter Schwachstellen ein Kinderspiel.

Laut Schätzungen sind nach wie vor 38 Millionen Computer ungepatcht.

Sichern Sie Ihre Daten ... und dann sichern Sie die Backups. Viele Nutzer wissen nicht, dass Malware auch Backups verschlüsseln kann, die auf Netzwerkservern gespeichert sind. Deshalb müssen Unternehmen ihre aktuellen Sicherungsansätze überdenken. Sichern Mitarbeiter wichtige Dateien auf einem Netzwerklaufwerk? Werden die Dateien von diesen Geräten und Fileservern dann in der Cloud gesichert? Testen Sie, ob die Backups wiederhergestellt werden können? So können Unternehmen, selbst wenn Malware alle lokalen Dateien und Backups verschlüsselt, ihre Daten dennoch wiederherstellen und schnell wieder zum normalen Betrieb zurückkehren.

Sich zum Schutz vor dieser wachsenden Gefahr nur auf eine Sicherheitsebene zu verlassen, ist nicht empfehlenswert.

Machen Sie Kriminellen das Leben schwer: mit mehreren Sicherheitsebenen. Cyberkriminelle investieren viel Zeit und Geld, um immer komplexere und fortschrittlichere Malware zu entwickeln und so die Sicherheitsmaßnahmen von Unternehmen zu umgehen. Sich zum Schutz vor dieser wachsenden Gefahr nur auf eine Sicherheitsebene zu verlassen, ist nicht empfehlenswert. Bei einem Ansatz mit verschiedenen Sicherheitsebenen können die zusätzlichen Ebenen greifen, wenn die vorherige den Angriff nicht blockieren kann. Welche Sicherheitsebenen sind derzeit in Ihrem Unternehmen implementiert? Verfügen Sie über verschiedene Sicherheitslösungen, um die Risiken über alle Angriffsphasen hinweg zu minimieren? Sind Lücken in Ihrer Sicherheit vorhanden, die Cyberkriminelle ausnutzen könnten?


1 https://securityintelligence.com/know-your-enemy-understanding-the-motivation-behind-cyberattacks/
2 https://www.av-test.org/de/statistiken/malware/
3 https://www.forbes.com/sites/kevinmurnane/2016/07/15/ransomware-as-a-service-being-offered-for-39-on-the-dark-net/#b45e97955a63
4 https://usa.kaspersky.com/resource-center/threats/trojans
5 https://www.veracode.com/security/computer-worm
6 https://heimdalsecurity.com/blog/rootkit/
7 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
8 https://www.gdatasoftware.com/blog/2017/04/29666-malware-trends-2017
9 https://www.forbes.com/sites/jameslyne/2013/09/06/30000-web-sites-hacked-a-day-how-do-you-host-yours/#6d04c3481738
10 https://www.theguardian.com/technology/2016/mar/16/major-sites-new-york-times-bbc-ransomware-malvertising
11 https://www.malwarebytes.com/pdf/labs/Cybercrime-Tactics-and-Techniques-Q1-2017.pdf
12Kruegel, D. C., Labs Report at RSA: Evasive Malware’s Gone Mainstream. Abgerufen von http://labs.lastline.com/evasive-malware-gone-mainstream