Niemand lässt sich gern auf die Finger schauen. Leider gibt es jedoch immer wieder Personen, die es brennend interessiert, was andere an ihren heimischen PCs oder den Rechnern im Büro tun. Sogenannte Spyware befriedigt diese Neugier, der von vielen gefürchtete gläserne Anwender wird damit zur Realität.
Glaubt man einschlägigen Untersuchungen, können sehr viele bereits Opfer sein, ohne es zu wissen: So fanden der US-amerikanische Provider Earthlink und der Sicherheitsanbieter Webroot Software heraus, dass jeder dritte PC mit Spyware-Programmen verseucht ist. Für ihren "Spy Audit Report" haben die beiden Unternehmen eigenen Angaben zufolge bei zirka 1,5 Millionen PC-Scans mehr als 500 000 Spyware-ähnliche Programme gefunden, die auf den Rechnern mit oder ohne Kenntnis der Benutzer installiert wurden. Fast 134000 von mehr als 420000 allein im April überprüften PCs enthielten einen Trojaner oder ein Systemüberwachungs-Tool, etwa einen Keylogger.
Viele Rechner sind bereits verseucht
Zu ähnlichen Ergebnissen kommen andere Untersuchungen. Die Unternehmensberatung Mummert Consulting warnte im September 2003, dass jeder dritte Computerarbeitsplatz in deutschen Unternehmen mit Hilfe entsprechender technischer Maßnahmen überwacht wird. Und aus dem Pest Research Center des Herstellers Pestpatrol ist zu hören, dass über 85 Prozent aller deutschen Unternehmen mit Spionageprogrammen infiziert sein sollen. Die Gesamtzahl der im Umlauf befindlichen Überwachungsprogramme sei von Dezember 2003 bis März 2004 von 290000 auf fast 550000 angestiegen.
Diese Zahlen klingen drastisch, relativieren sich jedoch, wenn man bedenkt, dass es unterschiedliche Arten von Spyware gibt. Allgemein gesprochen handelt es sich dabei um Programme, die es ermöglichen, das Verhalten eines PC-Benutzers zu überwachen und anschließend auszuwerten. Die Bandbreite reicht dabei von einfachen Browser-Cookies über entsprechende Funktionen innerhalb von werbefinanzierten Hilfsprogrammen bis hin zu spezialisierten Lösungen, die entweder einzelne Aktivitäten wie zum Beispiel Tastatureingaben kontrollieren oder die komplette Überwachung eines Rechners und aller daran stattfindenden Aktivitäten erlauben.
Adware mit bitterem Beigeschmack
Oliver Pott, Geschäftsführer von Pestpatrol Deutschland, räumt ein, dass nur sieben bis acht Prozent der Spionageprogramme zur höchsten Gefährdungsklasse gehören. Das Gros der Schnüffler stellen Cookies dar, die aufzeichnen, wann ein User welche Web-Seitenbesucht und welche Inhalte er dabei aufruft.
Einen Schritt weiter geht so genannte Adware, also mittels Werbung finanzierte Programme: Diese beschränken sich häufig nicht darauf, dem Benutzer hin und wieder ein paar Produkteinblendungen zuzumuten, sondern sammeln wie die Software des Unternehmens Gator, das inzwischen unter Claria firmiert, Daten über das Surfverhalten der User und verkaufen diese Informationen an die Werbekunden weiter. Auch die Client-Software der Internet-Tauschbörse "Kazaa" sammelt fleißig Informationen über ihre Benutzer und übermittelt diese zur Auswertung und Weiterverarbeitung über das Internet an spezielle Server.
Die totale Überwachung
Der Anbieter Webroot warnt, dass Adware Komponenten auf dem Rechner installiert, die persönliche Informationen, beispielsweise über das Alter, Geschlecht, Wohnort, Kaufinteressen oder Surfgewohnheiten sammeln. Häufig sind nur versteckt in den Nutzungsbedingungen der Software Hinweise darauf zu finden, dass überhaupt Spyware installiert wird. Der ahnungslose Mitarbeiter kann sich daher nicht erklären, woher die plötzliche Flut von Popup-Einblendungen kommt, warum sein System langsamer läuft und auch die Netzverbindung schlechter ist als sonst.
Die bei weitem gefährlichste Spyware-Kategorie bilden jedoch Tools, die sich unter Oberbegriffen wie Systemüberwachung oder Aktivitäts-Monitoring zusammenfassen lassen. Dazu gehören etwa Keylogger, die sämtliche Tastatureingaben erfassen und in eine Datei speichern. Diese kann von einem Angreifer später ausgewertet und beispielsweise auf darin enthaltene Passwörter, Kreditkartennummern oder sonstige sensible Informationen untersucht werden. "Keylogger stellen einen relativ hohen Anteil innerhalb der Spyware dar", warnt Experte Pott. Inzwischen verbreiten sich Keylogger auch über Viren und Würmer: "Fizzer" (Mai 2003), "Bugbear.B" (Juni 2003) und "Mydoom" (Januar 2004) enthielten alle ein entsprechendes Modul, das auf den infizierten Rechnern installiert wurde.
Eine andere Form der Überwachung ermöglicht das Programm "Soundsnooper": Einmal installiert, überwacht es die Soundkarte des PC und beginnt automatisch mit der Aufzeichnung, sobald über das dazu notwendige Mikrofon Sprache wahrgenommen wird. Um Festplattenplatz zu sparen, stoppt die Aufnahme, sobald es ruhig ist.
Neben diesen auf bestimmte Funktionen spezialisierten Tools gibt es aber auch Produkte, die fast alle Aktivitäten an einem PC überwachen und dokumentieren können. Dazu gehören unter anderem "System Recon", "Surf Spy" (von dem es auch eine Enterprise-Versiongibt), "Eblaster", "Farsighter", "Realtime Spy", "Spy Agent", "Actmon", "Orvell", "Spector" oder "Winston". Einige dieser Werkzeuge erfassen nahezu alles, was am PC geschieht. Zum Standard zählt neben dem Protokollieren der Tastaturanschläge, der aufgerufenen Anwendungen und der besuchten Web-Seiten das Anfertigen von Screenshots in einem festgelegten Intervall (siehe Kasten "Spyware-Arten"). Auch Chat-Sessions, E-Mail-Verkehr oder Instant Messaging lassen sich aufzeichnen, einzelne Lösungen können sogar so konfiguriert werden, dass sie nur bei bestimmten Schlüsselwörtern aktiv werden.
Die Programme können zumeist völlig unsichtbar im Hintergrund laufen, so dass das Opfer bis auf eine etwas längere Antwortzeit seines Rechners nichts von der Überwachung merkt. Die gesammelten Daten können entweder automatisch per E-Mail versendet oder aber über das lokale Netz auf einem Server gespeichert werden, von wo aus sich dann Auswertungen starten und umfassende Reports erstellen lassen. Auf Wunsch blenden Produkte wie etwa Actmon Fenster ein, die den PC-Benutzer auf die Überwachung hinweisen - eine Funktion, die besonders beim offiziellen Einsatz in Unternehmen interessant sein dürfte.
Orvell, Spector und Winston sind über das in Saarbrücken ansässige Unternehmen Protectcom erhältlich. Dessen Geschäftsführer Carsten Rau nimmt kein Blatt vor den Mund, wenn er über die Produkte spricht: "Überwachungssoftware hat sich etabliert, und wir haben kein Problem damit, deutlich zu sagen, was unsere Software tut".
Der Erfolg des Unternehmens scheint ihm Recht zu geben: Nachdem Protectcom im Jahr 2002 rund 7000 Lizenzen verkaufte, durften sich Rau und sein Team im darauf folgenden Jahr über eine Zunahme des Geschäfts um 75 Prozent freuen. Auch in diesem Jahr liege das Wachstum "im zweistelligen Bereich". Anrüchig ist die Spionagesoftware aus Sicht von Rau auch deshalb nicht, weil inzwischen neben Privatkunden immer mehr Unternehmen, Behörden und offizielle Stellen wie das österreichische Bundeskanzleramt derartige Tools kaufen und einsetzen.
Vertrauen gut, ...
Auch das Staatsarchiv Münster gehört zu den Kunden des Herstellers. In der Landesbehörde ist der "Webspy Analyzer" im Einsatz, um zu kontrollieren, welche Web-Seiten die Mitarbeiter besuchen. Wie Christian Wortmann, zuständig für die Netzwerkverwaltung und die Anwenderbetreuung, erzählt, wird jeden Monat das Surfverhalten von zwei nach dem Zufallsprinzip ausgewählten Mitarbeitern mit Hilfe des Tools untersucht. "Wir wollen nicht den Big Brother spielen, aber dennoch eine Möglichkeit der Kontrolle haben", erzählt der Spezialist, demzufolge die Überwachung "auf einem niedrigen Level" stattfindet. Der Einsatz der Software wurde den Mitarbeitern vorher mitgeteilt, außerdem sichert eine Dienstvereinbarung die Auswertung rechtlich ab.
Programme wie Orvell, Eblaster oder Actmon laden natürlich zu Missbrauch ein, was die Hersteller auch bereitwillig zugeben. Sie weisen auf ihren Internet-Seiten immer wieder darauf hin, dass hierzulande niemand ohne seine Zustimmung überwacht werden darf. Mathias Roth, Vice President von iOpus Software, dem Hersteller von Actmon, glaubt an die richtige Positionierung und verantwortungsvolle Werbung als ein Mittel, um Missbrauch vorzubeugen: "Wir sehen unsere Software vor allem als Werkzeug für Systemadministratoren und den technischen Support und bewerben sie auch entsprechend." Werbung im Stil von "Spionieren Sie Ihrem Gatten hinterher" sei für das Unternehmen daher tabu.
Von Actmon ist derzeit eine neue Version in Vorbereitung, die im Sommer erscheinen soll. Diese wird Roth zufolge die Möglichkeit bieten, auch Aktivitäten wie das Löschen oder Kopieren von Dateien auf einem Rechner zu protokollieren. Außerdem könne die Software dann auch feststellen, wenn der Rechner via Netzwerk oder USB-Stick "angezapft" wird. Roth sieht in dieser Funktion "eine Art Intrusion Detection für das Frontend".
Dem Manager zufolge sind es in erster Linie Firmen, die sich die Software zulegen: Derzeit interessieren sich überwiegend Kunden aus Nordamerika (USA und Kanada) für Actmon, in Europa und Asien sei jedoch eine steigende Nachfrage zu beobachten. Auf das Einsatzgebiet der Software angesprochen, gibt der Manager das Überwachen sicherheitsrelevanter PCs oder - bei einem konkreten Verdachtsfall - einzelner Mitarbeiter an. Protectcom-Mann Rau zufolge ist es mit Hilfe des Tools schon mehreren Unternehmen gelungen, Mitarbeiter zu überführen, die firmeninterne Informationen an die Konkurrenz weitergeleitet haben.
Wie werde ich die Spione los?
In Fällen wie diesen ist der Einsatz von Überwachungs-Tools also durchaus sinnvoll. In vielen anderen Situationen haben jedoch nicht nur einzelne Mitarbeiter im Unternehmen, sondern auch die für die Sicherheit zuständigen IT-Experten aus Gründen der Geheimhaltung beziehungsweise Spionageabwehr ein Interesse daran, Spyware zu finden und zu entfernen. Diese kann schließlich auch von einem externen Angreifer in das Netz geschleust worden sein. Der US-amerikanische Sicherheitsexperte Marcus Ranum kritisiert im jüngsten Sicherheits-Newsletter des System-Administration-, Networking- and Security-(SANS-) Institute, dass die IT-Abteilungen dieses Problem viel zu lange ignoriert haben: "Ein Elefant lässt sich nicht unter den Teppich kehren."
Wer einen Rechner von Spionagesoftware befreien will, kann dazu Spezial-Tools wie "Wintasks 4 Professionals" benutzen. Diese Lösung bietet umfangreiche Analysefunktionen, die weit über das Leistungsvermögen des Windows-eigenen "Task Managers" hinausgehen und dem Anwender selbst im Hintergrund verborgen laufende Prozesse und Anwendungen anzeigen. Diese lassen sich dann gezielt beenden, ungewünschte Programme können dauerhaft aus dem System entfernt werden. Allerdings erfordert die Bedienung dieser Software spezifische Systemkenntnisse und ist zudem zeitraubend. Leichter geht es mit speziellen Tools, die den Rechner untersuchen und Schnüffelprogramme deinstallieren.
Eine ganze Reihe von Anbietern hat sich inzwischen auf solche Spyware-Entferner spezialisiert. Ähnlich wie Virenschutzprogramme benutzen diese Lösungen Signaturen, anhand derer sie datensammelnde Eindringlinge entlarven. In der Regel lassen sich verdächtige Anwendungen zunächst isolieren, bevor sie in einem weiteren Schritt dauerhaft vom System gelöscht werden. Zu den bekanntesten Vertretern dieser Gattung gehören "Spybot Search & Destroy", "Spy Sweeper" oder "Pestpatrol".
Virtueller Kammerjäger
Im Internet finden sich zudem kostenlose Utilities zur Überprüfung des Rechners, etwa "Elbtecscan" des Hamburger Softwarehauses Elbtec (http://www.elbtec.de/elbtecscan.php41) GmbH. Dieses kompakte Werkzeug ist jedoch insofern eingeschränkt zu benutzen, als es lediglich Spector, Eblaster und Orvell erkennt. Der Hersteller Pestpatrol bietet unter www.pestscan.de einen Online-Service, der den Rechner auf Schnüffel-Tools untersucht.
Speziell für Unternehmen, die sicherstellen wollen, dass niemand Unbefugtes den eigenen Mitarbeitern bei der Arbeit über die Schulter sieht, bietet sich Version 5.5 von "Pestpatrol" an. Die Software ist Server-basiert, und lässt sich von dort auf den Arbeitsplatzrechnern der Mitarbeiter installieren. Von einer zentralen Konsole aus können Administratoren dann den virtuellen Kammerjäger durchs Netz schicken und die elektronischen Spione von den Rechnern ihrer Mitarbeiter entfernen lassen. Auch Websense macht mit "Websense Enterprise" Jagd auf die Schnüffelsoftware. Dabei wird der Datenverkehr im Netz mit Hilfe spezieller Algorithmen gefiltert.
Die Rechtslage
Viele Unternehmen haben ein großes Interesse daran zu erfahren, was ihre Angestellten während der Arbeitszeit so treiben. Sie hoffen, durch den Einsatz von Spionagesoftware die Effizienz ihrer Mitarbeiter steigern zu können. In den USA ist diese Big-Brother-Mentalität in fast allen Bundesstaaten legal, hierzulande sind entsprechende Eingriffe nicht ohne weiteres erlaubt. Die rechtlichen Grundlagen für den Schutz vor Überwachung finden sich in den Paragrafen 201 und 202 des Strafgesetzbuchs, die sich mit Verletzungen der Vertraulichkeit des Wortes, dem Briefgeheimniss und dem Ausspähen von Daten befassen.
Hersteller wie Protectcom weisen auf ihren Internet-Seiten auch immer wieder darauf hin, dass in Deutschland niemand ohne seine Zustimmung überwacht werden darf. Wer sich nicht daran hält und gegen die genannten Paragrafen verstößt (schon der Versuch ist strafbar), dem drohen hohe Freiheits- oder saftige Geldstrafen. Unternehmen, die den Einsatz eines Überwachungs-Tools aus welchen Gründen auch immer erwägen, tun demnach gut daran, die Mitarbeiter vorab zu informieren und gegebenenfalls mit dem Betriebsrat eine entsprechende Betriebsvereinbarung zu schließen. Damit sind sie auf der sicheren Seite.
Fazit
Leider arbeiten nicht alle Reinigungs-Tools immer 100-prozentig zuverlässig: So haben Tests gezeigt, dass beispielsweise weder Spybot S&D noch Spy Sweeper momentan in der Lage sind, Actmon zu erkennen. Im Zweifelsfall hilft also nur der Rückgriff auf ein Werkzeug wie Wintasks 4 Professionals.
Spyware-Arten
Cookies:
- Vom Browser angelegte Dateien,
- erfassen, welche Web-Seiten ein Anwender im Internet besucht,
- welche Informationen er abruft,
- können auch persönliche Informationen enthalten,
- besitzen ein geringes Gefahrenpotenzial.
Adware:
- werbefinanzierte Programme
- enthalten Komponenten, die persönliche Informationen und Online-Gewohnheiten überwachen,
- erstellen Profile und übermitteln diese an die Hersteller der Adware, die sie für ihre Marketing-Aktivitäten benutzen,
- sind lästig, wirken sich nachteilig auf die Systemleistung des Rechners aus und verlangsamen durch ihre Tätigkeit die Internet-Verbindung.
Systemüberwachungs-Tools:
- erfassen entweder einzelne (zum Beispiel Keylogger) oder aber nahezu sämtliche Systemaktivitäten wie Bildschirmeingaben, Dateizugriffe, besuchte Internet-Seiten,
- erlauben ein umfassendes Protokollieren und Auswerten der Vorgänge am Rechner,
- sind schwer zu entdecken,
- können benutzt werden, um Firmeninterna auszuspionieren,
- laden zu Missbrauch ein,
- stellen eine große Bedrohung dar.
Anti-Spyware (Auswahl)
Produkt / "Spybot Search & Destroy" / "Spysweeper" / "Pestpatrol" / "Elbtecscan" / "Wintasks 4 Professionals" / "Websense Enterprise"
Anbieter / Patrick M. Kolla / Webroot Software / Pestpatrol / Elbtec / LI Utilities / Websense
Besonderes / Für Privatanwender kostenlos, Unternehmen müssen eine kommerzielle Version erwerben. / Corporate Edition ist in Vorbereitung. / Corporate Edition ist Server-basiert: Software kann von einer Management- Konsole aus installiert werden. Scans und Auswertungen lassen sich zentral steuern. / Eingeschränkte Erkennungsfunktion, keine Entfernungsmöglichkeit. / Systemwerkzeug für Spezialisten, keine automatische Erkennung von Spyware / Gleichzeitige Analyse am Gateway und auf dem Client. Ermöglicht die Definition von Policies. Bietet weit mehr als nur Spyware-Abwehr.
Internet / http://www.safer-networking.org / www.webroot.com / www.pestpatrol.de / http://www.elbtec.de/download/elbtecscan.php4 / www.liutilities.com / www.websense.de
Preis / Auf Anfrage / Auf Anfrage / Corporate Edition (200 bis 499 Rechner) 19,47 Euro/Jahr pro zu schützenden PC / Kostenlos (Download) / Rund 40 Dollar / Etwa 7800 Dollar für Unternehmen mit bis zu 500 Mitarbeitern