Glossar
Malware ist der Oberbegriff für Schadprogramme – ein Kofferwort aus malicious und Software. Viren gehören genauso zur Malware wie Würmer oder Trojanische Pferde. Anti-Virenprogramme sind eigentlich Anti-Malware-Programme, da moderne Virenscanner eben auch Würmer und Trojaner erkennen.
Den größten Anteil auf Windows-Rechnern machen immer noch Viren aus: Laut der Internet-Security-Firma AV-Test waren 2016 rund 37,6 Prozent der Schadprogramme Viren. Ein Viertel der Schädlinge ließen sich der Katergorie der Würmer (25,44 Prozent) zuordnen, die allgemeinen Trojaner machten 23,74 Prozent aus. Der Anteil von Ransomware, eine spezielle Art von Erpressungs-Trojanern, lag 2016 noch nicht einmal bei einem Prozent. Doch die Verbreitung sagt nichts über die verursachten Schäden aus. Diese dürften gerade bei Ransomware besonders hoch sein.
Jeder Virus ist ein Programm, das sich in anderen Programmen einnistet. Er kann sich selbst kopieren und so neue Programme infiltrieren. Er kann Daten oder sogar die gesamte Hardware des infizierten Rechnersystems zerstören. Aber da sich ein Virus fast immer hinter einer EXE-Datei, also eine Programmdatei, versteckt, braucht ein Virus einen Nutzer, der auf die Datei klickt und somit den Virus ausführt. Für die Verbreitung braucht ein Virus auch wieder den Menschen, der infizierte Dateien kopiert und zum Beispiel über einen USB-Stick auf einen anderen Rechner überträgt.
Trojaner / Trojanisches Pferd
Diese Angriffsart hat ihren Namen in Anlehnung an die griechische Sage, in der sich feindliche Soldaten in einem geschenkten Holzpferd verstecken, um die uneinnehmbaren Stadtmauern Trojas zu bezwingen und die Stadt von innen einzunehmen. Der Trojaner funktioniert ähnlich: Dem Nutzer wird suggeriert, ein nützliches Programm herunterladen zu können, doch im Programmcode befindet sich versteckt der Schädling, der vom Nutzer aktiviert wird. Weniger als die konkrete Art des Schadprogramms beschreibt der Begriff Trojaner den Angriffsweg: Versteckt, aber auf die Hilfe des unwissenden Nutzers angewiesen. Angreifer brauchen dazu wenig Fachwissen, doch das dahinterliegende Know-how ist immens. Ein Trojaner, der sich als Banking-Homepage oder -App ausgibt und unbemerkt vom Nutzer Passwörter und Tan-Listen kopiert, per Mail verschickt und dann das betreffende Konto räumt, kann aus über 7000 Software-Modulen bestehen. WannaCry nutze diese Methode, besteht aber aus verschiedenen Schadprogramm-Elementen. Zum Beispiel installiert der Trojaner eine Backdoor.
Hacker können infizierte Firmen-PCs über das Internet mit anderen infizierten PCs zu einem Rechner-Netzwerk zusammenschalten, über das sie Spam verschicken oder Angriffe auf Server starten. Im vergangenen November sollten 900.000 Telekom-Router in solch ein mächtiges Botnetz eingebaut werden – der Plan ging zwar schief, aber Tausende Telekom-Kunden saßen da ohne Telefon und Internet.
Ein ganzer Dienstleistungssektor beruht auf Botnetzen, deren Dienste man im Darknet problemlos mieten kann. Zum Beispiel, um „Distributed Denial of Service“-Angriffe (DDoS) zu fahren, Spam-Mails zu versenden oder um Bitcoins zu schürfen. Wenn der eigene Rechner Teil eines Botnetzes wird, sind Betroffene nicht nur Opfer, sondern werden unbewusst auch zu Tätern, quasi zum Werkzeug von Cyberkriminellen. Denn ein Benutzer kann mit einem Botnetzwerk gleich hunderte, oder tausende Computer fernsteuern und deren Rechnerleistung nutzen.
Bei „Distributed Denial of Service“-Angriffe (DDoS) bombadieren Angreifer Internetserver mit so vielen Anfragen, dass er zusammenbricht. Ddos-Attacken werden in der Regel mit großen Bot-Netzen gefahren. Eine Ddos-Attacke gegen Dyn, einen Internet-Dienstleister, der für die Umwandlung der www-Internetadressen in numerale IP-Adressen zuständig ist, legte im Oktober 2016 kurzzeitig einen Großteil des Internetverkehrs an der US-Ostküste lahm. Seiten wie Netflix, Twitter oder AirBnB konnten nicht mehr aufgerufen werden, weil die Dyn-Server unter der Belastung der Ddos-Attacke zusammengebrochen waren. Ddos-Attacken sind ein klassisches Beispiel von Sabotage, doch mit der Androhung einer Ddos-Attacke können auch Betriebe erpresst werden. Hacker drohen etwa Onlineshops. Denn bricht deren Website zusammen, kann ein Online-Shop nicht mehr verkaufen.
Profis sprechen von Phishing, wenn Opfer auf gefälschte Emails, Websites oder Apps hereinfallen und persönliche Daten unbewusst an Cyberkriminelle weitergeben. So täuschen Hacker beispielsweise mithilfe einer Email vor, Nachrichten von der Bank, einem Internetdienst oder Paketlieferanten für den Kunden zu haben, der nur sein Passwort eingeben muss, um an die Nachricht zu kommen. Sobald das Opfer sein echtes Passwort auf der gefälschten Website eingegeben hat, nutzen die Hacker das Passwort, um Geld direkt vom Konto zu erbeuten oder die Daten zu verkaufen.
„Scare“ heißt auf Deutsch „erschrecken“: Scareware sind Software-Programme, die plötzlich auf dem Monitor auftauchen, den Benutzern Angst einjagen und zu unbedachten Aktionen verleiten sollen, etwa zum Installieren von schädlichen Programmen oder zum Anfordern kostenpflichtiger Dienstleistungen.
Hinter dem Begriff Spyware verbergen sich Schadprogramme, die Daten aus Betroffenen Rechnern an die Hacker senden. Das kann zum Beispiel ein Keylogger sein, der alle Tastaturanschläge aufzeichnet, womit Passwörter ausgespäht oder das Surfverhalten im Internet analysiert werden kann.
Anders als Viren agieren Würmer unabhängig von anderen Programmen, sie können sich allerdings ebenso reproduzieren. Sie graben sich tief ins System ein und können immense Schäden verursachen, indem sie beispielsweise Postfächer überlaufen oder Mailserver zusammenbrechen lassen. Sie verbreiten sich häufig als Email-Anhänge, die nur mit einem harmlosen Dateinamen getarnt sind. Anders als ein Virus kann sich der Wurm oft selbst verbreiten, zum Beispiel indem er eine Kopie seines Schadcodes an alle Nutzer im Email-Adressbuch verschickt.
Diese Programme öffnen für Cyberkriminelle eine Hintertür auf dem System der Opfer. Die Hintertür hebelt die Sicherheitsmechanismen wie Firewalls einfach aus. Damit können Hacker auf bestimmte Funktionen des Systems aus der Ferne zugreifen, zum Beispiel um Daten auszuspähen oder Computer zu sabotieren. Die Programme können zum Beispiel über einen Trojaner eingeschleust werden.
Diese Viren sind in Dokumenten wie Power-Point-Präsentationen, Excel-Tabellen oder Word-Dokumenten versteckt – als sogenannte Makros. Das sind kleine Programme, mit denen zum Beispiel bestimmte Befehle innerhalb des Programms in einer bestimmten Reihenfolge ausgeführt werden können. Makros sind also durchaus nützlich. Doch sie können eben auch durch Viren missbraucht werden. Aktiviert ein Nutzer das Makro in einem verseuchten Dokument, wird der Virus aktiv. Viele Betriebe haben deshalb die Nutzung von Makros deaktiviert. Die Gefahr ist einfach zu groß.
Dahinter verbirgt sich das Ausnutzen von Schwachstellen und Sicherheitslücken. In komplexen Computercodes verbergen sich oftmals Fehler oder nicht gestopfte Lücken. Deshalb sind die meisten Programm-Updates allein darauf ausgelegt, über die Zeit entdeckte Schwachstellen zu beseitigen. Trotzdem gelingt es Hackern immer wieder, Schwachstellen zu finden, bevor diese bekannt werden, und diese für Attacken auszunutzen. Dies sind die sogenannten ZeroDay Exploits, also solche, die vor dem Tag Eins der Entdeckung schon ausgenutzt werden.