Deutschland
 

Was ist Spyware?

Vorbeugen, erkennen und entfernen von Spyware ist für Unternehmen elementar. Wie das funktioniert, erklärt dieser Beitrag.
Von 
CSO | 18. August 2023 06:04 Uhr
Heimlich, still und leise schaffen es Hacker über Spyware Zugriff auf Systeme zu erlangen.
Heimlich, still und leise schaffen es Hacker über Spyware Zugriff auf Systeme zu erlangen.
Foto: Alex Volot - shutterstock.com

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) war die Bedrohung der Cybersicherheit in Deutschland 2022 so hoch wie nie. Datendiebstahl, Cyberspionage und Sabotage verursachen deutschen Unternehmen jährlich einen Gesamtschaden von 223 Milliarden Euro. Datendiebe haben es vor allem auf Kommunikationsdaten und geistiges Eigentum abgesehen. Kein Wunder, dass laut Bitkom-Verband 83 Prozent der Unternehmen hierzulande einen Angriff durch Spyware fürchten. Zu Recht. Denn sich vor Spionagesoftware zu schützen und sie zu erkennen ist eine der großen Herausforderungen für IT-Abteilungen - in der Wirtschaft ebenso wie in der öffentlichen Verwaltung.

Über die Hälfte der Cyberangriffe gingen 2022 von organisierten Banden aus.
Über die Hälfte der Cyberangriffe gingen 2022 von organisierten Banden aus.
Foto: Bitkom

Spyware - Wege und Ziele der Schadsoftware

Einfallstore für Spyware-Angriffe sind unter anderem infizierte Webseiten, E-Mail-Anhänge, unbemerkte Downloads (Drive-by-drive-Downloads) und externe Datenträger wie USB-Sticks oder Wechselfestplatten.

Lesetipp: Clone-Phishing - Neue Phishing-Variante auf dem Vormarsch

Die Spähprogramme sind so konzipiert, dass sie sich selbst auf Smartphone, Tablet, PC, Server oder Laptop installieren oder sich ihre Installation beim User erschleichen, indem sie vorgeben, andere Funktionen auszuführen. Sie können zum Beispiel in File-Sharing-Programmen oder anderer kostenloser Software enthalten sein. Klickt der User auf einen Link, um das Programm auszuführen, installiert sich unbemerkt auch die Spyware. Nach erfolgreicher Installation auf dem Gerät beginnt sie, Informationen über die Person (oder Organisation) zu sammeln, ohne dass diese es bemerken. Fortan spioniert sie das Online-Verhalten des Anwenders aus.

Vertrauliche Daten wie Passwörter, PINs und Kreditkartennummern, E-Mail-Adressen, Bildschirminhalte oder Surfgewohnheiten werden an Dritte, nämlich die Hersteller des Spähprogramms, weitergeleitet. Je nach Ziel der Cyberspione geht es darum, dem User gezielte Online-Werbung zukommen zu lassen, seine Identität zu stehlen oder dessen Konto zu plündern, wertvolles geistiges Eigentum abzuschöpfen oder an Kundendaten zu gelangen, um nur einige Beispiele zu nennen.

Die "Bring-your-own-device"-Politik von Unternehmen, seit dem verstärkten Arbeiten im Homeoffice, birgt entsprechende Sicherheitsrisiken. Mitarbeitende laden sich für ihre Arbeit eigenständig Applikationen herunter und installieren diese beim hybriden Arbeiten auch auf dem Firmen-Laptop, ohne dass die IT-Security des Unternehmens davon weiß. Jeder Download birgt das Risiko, die Spyware als ungebetenen Gast gleich dabei zu haben.

Lesetipp: Cyberangriffe in Deuschland 2023 - Diese Unternehmen hat's schon erwischt

Spyware erkennen

Spyware ist hinterhältig. Sie tarnt sich als andere Prozesse und verschleiert sich durch harmlose Begriffe. Handelt es sich um eine sogenannte VB-Script-Attacke, nutzt sie die von Microsoft entwickelte Skriptsprache Visual Basic Script, um eigene Dateien auf der Festplatte zu erschaffen und das System zu manipulieren. Dann kann sie beispielsweise die Startseite des Browsers oder Computereinstellungen ändern.

Gut gemachte Spyware taucht weder in den Diensten noch Prozessen auf, und ist deshalb auch für die IT-Abteilung eines Unternehmens oft schwer zu bemerken. Ist ein Rechner von Spyware befallen, zeigt sich dieses noch am ehesten am verringerten Arbeitstempo, da die Schadsoftware Ressourcen belegt und den Betrieb beeinträchtigt. Beispiele dafür sind:

  • Online und in Anwendungen entstehen Lags.

  • Das System stürzt häufig ab oder hängt.

  • Auf dem Bildschirm tauchen Pop-Ups auf, selbst wenn der User gerade nicht im Netz unterwegs ist.

  • Veränderter Startbildschirm

  • Unerwartete Werkzeugleisten

  • Verändertes Suchmaschinenaussehen und -verhalten

Das sind nur einige Beispiele, die ein Indiz für eine aktive Spionagesoftware sein können.

Beispiele für Spyware

Banking-Trojaner, Kennwortdiebe oder sogenannte Keylogger - es gibt verschiedensten Arten von Schadprogrammen, die sensible Daten des Users ins Visier nehmen. Ziel einer Spyware kann zum Beispiel sein, ein immer genaueres Verbraucherprofil entstehen zu lassen. Dann geht es dem Schadprogramm vor allem darum, Berichte zu den Online-Gewohnheiten und -käufen des Users zu übermitteln, damit dieser möglichst maßgeschneiderte Werbung erhält. Schließlich ist das Online-Werbegeschäft ein Riesenmarkt und die Gewinnspannen sind umso höher, je mehr Informationen über Konsumenten vorliegen. Solche Spyware verrichtet ihr Werk unter anderem über Tracking-Cookie-Dateien auf der Festplatte. Kennt die besuchte Webseite das Cookie und nutzt es, kann die Software das Userverhalten genau dokumentieren. Auch Adware, also unerwünschte Werbesoftware, kann als Spyware fungieren und das infizierte Gerät überwachen.

Besonders übel sind Keylogging-Programme, die die Eingaben des Users an der Tastatur seines Computers oder mobilen Endgeräts protokollieren und damit überwachen. Keylogger erfassen dadurch vertrauliche Daten wie Passwörter und PINs, aber auch Recherchen, E-Mail-Inhalte etc.

Lesetipp: Was ist ein Keylogger?

Schließlich gibt es noch die Trojaner-Spyware, die das Gerät des Users durch Trojaner-Malware infiziert. Sie kann schlimmstenfalls Änderungen an den Sicherheitseinstellungen vornehmen und ermöglicht so Cyberkriminellen, das infizierte Gerät aus der Ferne zu steuern. Besonders kritisch sind die Banking-Trojaner, die Anmeldeinformationen von Finanzinstituten abgreifen, ohne dass es in der Webhost-Anwendung ersichtlich ist. Mitunter übermitteln die Trojaner dann ihre gesammelten Daten für einen Zugriff an Remote-Server.

Spyware entfernen

Ist das IT-System eines Unternehmens von Spionagesoftware betroffen, ist im Grunde ein Datenforensiker nötig. Es gilt zu prüfen:

  • Wie ist die Spyware ins System gekommen?

  • Welche Bereiche der IT-Landschaft sind betroffen?

Idealerweise lässt sich Spyware, wenn sie aufgespürt ist, aus dem System löschen. Der nächste Schritt ist dann, das IT-System auf den alten Stand, also auf den Zeitpunkt vor dem Eindringen der Spyware, zurückzusetzen. Doch das kann für ein Unternehmen unter Umständen gravierende Probleme bedeuten: Ist zum Beispiel das Warenwirtschaftssystem betroffen, wirkt sich das massiv auf Lagerbestand, Logistik und Produktion aus. Das IT-System muss in der Regel neu installiert werden. Tools zur Malware-Bekämpfung helfen ebenfalls bei der Entfernung von Spyware.

Schutz vor Spyware

Regelmäßige Virenscans sollten Standard sein. Doch Spyware kommt manchmal sogar relativ unverhohlen daher, und zwar in den Lizenzbestimmungen kommerzieller Software. Das BSI empfiehlt deshalb, die Lizenzbestimmungen kritisch daraufhin zu prüfen, ob die dort vereinbarte Verwendung von Nutzer- und Gerätedaten tatsächlich für einen störungsfreien Gebrauch der betreffenden Anwendung notwendig ist.

Ad-Blocker und Anti-Viren-Software installieren: Das BSI rät grundsätzlich zur Verwendung von Ad-Blockern, die vor Angriffen über extern eingebettete Werbeeinblendungen schützen. Gute Anti-Viren-Software bietet ebenfalls Schutz vor Spyware, indem sie versucht, Spyware an typischen Mustern zu erkennen. Sicheren Schutz bieten auch Anbieter sogenannter Spyware-Detection, deren IT-Experten meist aus dem Defendingbereich kommen. Denn in Schutzsoftware fehlen mitunter bestimmte Funktionen wie ein Cloud-basiertes Erkennungssystem oder eine virtuell verschlüsselte Tastatur. Und Vorsicht: Manche vermeintlichen Schutzprogramme, die kostenlos verfügbar sind, sind tatsächlich selbst Spyware.

Keine Verbindung zwischen sensiblen Bereichen im IT-System: Um sich als Unternehmen weniger angreifbar zu machen, ist es sinnvoll, die IT-Systeme von Verwaltung und Fertigung isoliert voneinander zu betreiben, so dass sich entstehender Schaden durch Spyware nicht fortpflanzt, sondern begrenzen lässt. Redundant ausgelegte IT-Systeme sichern im Cyberspionage- oder Sabotagefall die Geschäftskontinuität. Das bedeutet, dass die Systeme in ihren Funktionen doppelt ausgelegt und räumlich voneinander getrennt, meist in Rechenzentren angesiedelt sind und mehrere Server genutzt werden. In Krankenhäusern laufen beispielsweise die IT-Systeme rund um Operationen autark, sogar mit separater Stromversorgung, damit hier weder Spyware noch andere Hackerangriffe das Leben von Menschen gefährden können. Tägliche automatisierte Backups erleichtern zudem die Neuinstallation im Schadensfall.

Lesetipp: Domain-Sicherheit - Global-2000-Unternehmen vernachlässigen Security

Auf Ausführung von aktiven Programminhalten verzichten: Die Wiedergabe multimedialer aktiver Inhalte durch Programme wie Java, Adobe Flash oder ActiveX birgt Risiken, denn über aktive Inhalte können Viren, Dialer und andere Schadprogramme auf den Rechner gelangen. Plug-Ins oder Flash Player können ebenfalls ein Einfallstor für schädliche Spy-Codes sein. Beim Design einiger aktiver Inhalte wurde nicht auf ausreichenden Schutz für den User geachtet. Diese Drive-By-Infektionen gilt es zu vermeiden. Die Ausführung aktiver Inhalte kann zudem unbemerkt erfolgen. Filterlisten, die Tracking- und Werbedomains blockieren, können hier das Risiko reduzieren.

Spyware und der Faktor Mensch

Nicht selten sind es auch menschliche Schwachstellen, die Spyware den Weg ebnen. Mitarbeitende machen Cyberangriffe unwissentlich, aber auch wissentlich möglich. 2021 waren sie laut einer Bitkom-Umfrage die dritthäufigste Ursache für gelungene Cyberattacken. Dabei geht jedes dritte betroffene Unternehmen von Vorsatz aus, teils auch durch ehemalige Mitarbeitende. Werden Mitarbeitende unwissentlich zum Türöffner für Datenspione, geschieht dies meist durch einen sorglosen Umgang mit dem Speichern oder Versenden von Daten oder dem unkritischen Umgang mit Webanwendungen und E-Mail-Anhängen.

Mehr als die Hälfte aller Cyberangriffe auf mittelständische Unternehmen begann im vergangenen Jahr mit einer infizierten E-Mail. Auch das sogenannte Social Engineering ist auf dem Vormarsch. Knapp jedes zweite Unternehmen verzeichnete laut Bitkom 2022 externe Versuche, per Telefon (38 Prozent) und E-Mail (34 Prozent) von Mitarbeitenden sensible Informationen zu bekommen. Hier sind interne Schulungen hilfreich, um Mitarbeitende für Gefahren zu sensibilisieren - und Zugang zu Daten, Messenger-Diensten, Software sowie Apps im Unternehmen streng zu reglementieren und zu protokollieren, um Missbrauch vorzubeugen.

Lesetipp: Was ist Social Engineering?

Grundsätzlich gilt: Verzichten Sie auf das Anklicken von Werbeanzeigen oder fragwürdigen Links. Prüfen Sie E-Mail-Absender und Anhänge, bevor Sie den Anhang öffnen. Arbeiten Sie nicht ständig mit Administratorrechten an Ihrem Rechner. Installieren Sie nur Software aus vertrauenswürdigen Quellen - und setzen Sie auf die Expertise von erfahrenen IT-Dienstleistern. (bw)

Dino Huber ist seit 2021 CEO der Deutschen Gesellschaft für Cybersicherheit (DGC). Er unterstützt nationale und internationale Unternehmen und Behörden beim IT-bezogenen Risikomanagement u.a. durch simulierte Hackerangriffe, mit Security Awareness Training und Beratung zu Sicherheitsstandards. Der Autor bringt jahrzehntelange Erfahrung im IT-Bereich mit, inbesondere in der Rüstungs- und Verteidigungsindustrie, wo er international für IT- und Infrastruktur-Projekte im Einsatz war. Er verantwortete zudem als Managing Director einen namhaften IT Defense Services-Provider.
Folgen: