Niemand lässt sich gern auf die Finger schauen. Leider gibt es jedoch immer wieder Personen, die es brennend interessiert, was andere an ihren heimischen PCs oder den Rechnern im Büro tun. Sogenannte Spyware befriedigt diese Neugier, der von vielen gefürchtete gläserne Anwender wird damit zur Realität.
Glaubt man einschlägigen Untersuchungen, können sehr viele bereits Opfer sein, ohne es zu wissen: So fanden der US-amerikanische Provider Earthlink und der Sicherheitsanbieter Webroot Software heraus, dass jeder dritte PC mit Spyware-Programmen verseucht ist. Für ihren "Spy Audit Report" haben die beiden Unternehmen eigenen Angaben zufolge bei zirka 1,5 Millionen PC-Scans mehr als 500.000 Spyware-ähnliche Programme gefunden, die auf den Rechnern mit oder ohne Kenntnis der Benutzer installiert wurden. Fast 134.000 von mehr als 420.000 allein im April überprüften Rechnern enthielten einen Trojaner oder ein Systemüberwachungs-Tool, etwa einen Keylogger.
Zu ähnlichen Ergebnissen kommen andere Untersuchungen. So wollen die Analysten von Harris Interactive bei einer im Auftrag des Herstellers Websense gestarteten Telefonumfrage unter US-amerikanischen IT-Experten im Frühjahr herausgefunden haben, dass 29 Prozent aller Rechner mit Spyware infiziert sind. Die Unternehmensberatung Mummert Consulting warnte im September 2003, dass jeder dritte Computerarbeitsplatz in deutschen Unternehmen mit Hilfe entsprechender technischer Maßnahmen überwacht wird. Und aus dem Pest Research Center des Herstellers Pestpatrol ist zu hören, dass über 85 Prozent aller deutschen Unternehmen mit Spionageprogrammen infiziert sein sollen. Die Gesamtzahl der im Umlauf befindlichen Überwachungsprogramme sei von Dezember 2003 bis März 2004 von 290.000 auf fast 550.000 angestiegen.
Diese Zahlen klingen drastisch, relativieren sich jedoch, wenn man bedenkt, dass es unterschiedliche Arten von Spyware gibt. Allgemein gesprochen handelt es sich dabei um Programme, die es ermöglichen, das Verhalten eines PC-Benutzers zu überwachen und anschließend auszuwerten. Die Bandbreite reicht dabei von einfachen Browser-Cookies über entsprechende Funktionen innerhalb von werbefinanzierten Hilfsprogrammen bis hin zu spezialisierten Lösungen, die entweder einzelne Aktivitäten wie zum Beispiel Tastatureingaben kontrollieren oder die komplette Überwachung eines Rechners und aller daran stattfindenden Aktivitäten erlauben.
Oliver Pott, Geschäftsführer von Pestpatrol Deutschland, räumt ein, dass nur sieben bis acht Prozent der Spionageprogramme zur höchsten Gefährdungsklasse gehören. Das Gros der Schnüffler stellen Cookies dar, die aufzeichnen, wann ein User welche Web-Seiten besucht und welche Inhalte er dabei aufruft.
Einen Schritt weiter geht so genannte Adware, also mittels Werbung finanzierte Programme: Diese beschränken sich häufig nicht darauf, dem Benutzer hin und wieder ein paar Produkteinblendungen zuzumuten, sondern sammeln wie die Software des Unternehmens Gator, das inzwischen unter Claria firmiert, Daten über das Surfverhalten der User und verkaufen diese Informationen an die Werbekunden weiter. Der Hersteller nennt dies selbstbewusst "Online-behavioural Marketing", was so viel heißt wie am Online-Verhalten des Surfers orientiertes Marketing. Auch die Client-Software der Internet-Tauschbörse "Kazaa" sammelt fleißig Informationen über ihre Benutzer und übermittelt diese zur Auswertung und Weiterverarbeitung über das Internet an spezielle Server.
Der Anbieter Webroot warnt, dass Adware Komponenten auf dem Rechner installiert, die persönliche Informationen, beispielsweise über das Alter, Geschlecht, Wohnort, Kaufinteressen oder Surfgewohnheiten sammeln. Häufig sind nur versteckt in den Nutzungsbedingungen der Software Hinweise darauf zu finden, dass überhaupt Spyware installiert wird. Der zumeist ahnungslose Mitarbeiter kann sich daher nicht erklären, woher die plötzliche Flut von Popup-Einblendungen kommt, warum sein System langsamer läuft und auch die Netzverbindung schlechter ist als sonst.
Die bei weitem gefährlichste Spyware-Kategorie bilden jedoch Tools, die sich unter Oberbegriffen wie Systemüberwachung oder Aktivitäts-Monitoring zusammenfassen lassen. Dazu gehören etwa Keylogger, die sämtliche Tastatureingaben erfassen und in eine Datei speichern. Diese kann von einem Angreifer später ausgewertet und beispielsweise auf darin enthaltene Passwörter, Kreditkartennummern oder sonstige sensible Informationen untersucht werden. "Keylogger stellen einen relativ hohen Anteil innerhalb der Spyware dar", warnt Experte Pott. Inzwischen verbreiten sich Keylogger auch über Viren und Würmer: "Fizzer" (Mai 2003), "Bugbear.B" (Juni 2003) und "Mydoom" (Januar 2004) enthielten alle ein entsprechendes Modul, das auf den infizierten Rechnern installiert wurde.
Eine andere Form der Überwachung ermöglicht das im Internet verfügbare Programm "Soundsnooper": Einmal installiert, überwacht es die Soundkarte des PC und beginnt automatisch mit der Aufzeichnung, sobald über das dazu notwendige Mikrofon Sprache wahrgenommen wird. Um Festplattenplatz zu sparen, stoppt die Aufnahme, sobald es ruhig ist. Der Anbieter nennt als Anwendungsmöglichkeiten unter anderem das Aufzeichnen von Konferenzen, das Mitschneiden von Telefonaten sowie das Überwachen von Mitarbeitern.
Neben diesen auf bestimmte Funktionen spezialisierten Tools gibt es aber auch Produkte, die fast alle Aktivitäten an einem PC überwachen und dokumentieren können. Dazu gehören unter anderem "System Recon", "Surf Spy" (von dem es auch eine Enterprise-Version gibt), "Eblaster", "Farsighter", "Realtime Spy", "Spy Agent", "Actmon", "Orvell", "Spector" oder "Winston". Einige dieser Werkzeuge erfassen nahezu alles, was am PC geschieht. Zum Standard zählt neben dem Protokollieren der Tastaturanschläge, der aufgerufenen Anwendungen und der besuchten Web-Seiten das Anfertigen von Screenshots in einem festgelegten Intervall (siehe Kasten "Spyware-Arten"). Auch Chat-Sessions, E-Mail-Verkehr oder Instant Messaging lassen sich aufzeichnen, einzelne Lösungen können sogar so konfiguriert werden, dass sie nur bei bestimmten
Schlüsselwörtern aktiv werden.
Die Programme können zumeist völlig unsichtbar im Hintergrund laufen, so dass das Opfer bis auf eine etwas längere Antwortzeit seines Rechners nichts von der Überwachung merkt. Die gesammelten Daten können entweder automatisch per E-Mail versendet oder aber über das lokale Netz auf einem Server gespeichert werden, von wo aus sich dann Auswertungen starten und umfassende Reports erstellen lassen. Auf Wunsch blenden Produkte wie etwa Actmon Fenster ein, die den PC-Benutzer auf die Überwachung hinweisen - eine Funktion, die besonders beim offiziellen Einsatz in Unternehmen interessant sein dürfte.
Orvell, Spector und Winston sind über das in Saarbrücken ansässige Unternehmen Protectcom erhältlich. Dessen Geschäftsführer Carsten Rau nimmt kein Blatt vor den Mund, wenn er über die Produkte spricht: "Überwachungssoftware hat sich etabliert, und wir haben kein Problem damit, deutlich zu sagen, was unsere Software tut".
Der Erfolg des Unternehmens scheint ihm Recht zu geben: Nachdem Protectcom im Jahr 2002 rund 7000 Lizenzen verkaufte, durften sich Rau und sein Team im darauf folgenden Jahr über eine Zunahme des Geschäfts um 75 Prozent freuen. Auch in diesem Jahr liege das Wachstum "im zweistelligen Bereich". Anrüchig ist die Spionagesoftware aus Sicht von Rau auch deshalb nicht, weil inzwischen neben Privatkunden immer mehr Unternehmen und Behörden derartige Tools kaufen und einsetzen.
Auch das Staatsarchiv Münster gehört zu den Kunden des Herstellers. In der Landesbehörde ist der "Webspy Analyzer" im Einsatz, um zu kontrollieren, welche Web-Seiten die Mitarbeiter besuchen. Wie Christian Wortmann, zuständig für die Netzwerkverwaltung und die Anwenderbetreuung, erzählt, wird jeden Monat das Surfverhalten von zwei nach dem Zufallsprinzip ausgewählten Mitarbeitern mit Hilfe des Tools untersucht. "Wir wollen nicht den Big Brother spielen, aber dennoch eine Möglichkeit der Kontrolle haben", erzählt der Spezialist, demzufolge die Überwachung "auf einem niedrigen Level" stattfindet. Der Einsatz der Software wurde den Mitarbeitern vorher mitgeteilt, außerdem sichert eine Dienstvereinbarung die Auswertung rechtlich ab.
Programme wie Orvell, Eblaster oder Actmon laden natürlich zu Missbrauch ein, was die Hersteller auch bereitwillig zugeben. Sie weisen auf ihren Internet-Seiten immer wieder darauf hin, dass hierzulande niemand ohne seine Zustimmung überwacht werden darf. Mathias Roth, Vice President von iOpus Software, dem Hersteller von Actmon, glaubt an die richtige Positionierung und verantwortungsvolle Werbung als ein Mittel, um Missbrauch vorzubeugen: "Wir sehen unsere Software vor allem als Werkzeug für Systemadministratoren und den technischen Support und bewerben sie auch entsprechend." Werbung im Stil von "Spionieren Sie Ihrem Gatten hinterher" sei für das Unternehmen daher tabu.
Von Actmon ist derzeit eine neue Version in Vorbereitung, die im Sommer erscheinen soll. Diese wird Roth zufolge die Möglichkeit bieten, auch Aktivitäten wie das Löschen oder Kopieren von Dateien auf einem Rechner zu protokollieren. Außerdem könne die Software dann auch feststellen, wenn der Rechner via Netzwerk oder USB-Stick "angezapft" wird. Roth sieht in dieser Funktion "eine Art Intrusion Detection für das Frontend".
Dem Manager zufolge sind es in erster Linie Firmen, die sich die Software zulegen: Derzeit interessieren sich überwiegend Kunden aus Nordamerika (USA und Kanada) für Actmon, in Europa und Asien sei jedoch eine steigende Nachfrage zu beobachten. Auf das Einsatzgebiet der Software angesprochen, gibt der Manager das Überwachen sicherheitsrelevanter PCs oder - bei einem konkreten Verdachtsfall - einzelner Mitarbeiter an. Protectcom-Mann Rau zufolge ist es mit Hilfe des Tools schon mehreren Unternehmen gelungen, Mitarbeiter zu überführen, die firmeninterne Informationen an die Konkurrenz weitergeleitet haben.
In Fällen wie diesen ist der Einsatz von Überwachungs-Tools also durchaus sinnvoll. In vielen anderen Situationen haben jedoch nicht nur einzelne Mitarbeiter im Unternehmen, sondern auch die für die Sicherheit zuständigen IT-Experten aus Gründen der Geheimhaltung beziehungsweise Spionageabwehr ein Interesse daran, Spyware zu finden und zu entfernen. Diese kann schließlich auch von einem externen Angreifer in das Netz geschleust worden sein. Der US-amerikanische Sicherheitsexperte Marcus Ranum kritisiert im jüngsten Sicherheits-Newsletter des System-Administration-, Networking- and Security-(SANS-) Institute, dass die IT-Abteilungen dieses Problem viel zu lange ignoriert haben: "Ein Elefant lässt sich nicht unter den Teppich kehren."
Wer einen Rechner von Spionagesoftware befreien will, kann dazu Spezial-Tools wie "Wintasks 4 Professionals" benutzen. Diese Lösung bietet umfangreiche Analysefunktionen, die weit über das Leistungsvermögen des Windows-eigenen "Task Managers" hinausgehen und dem Anwender selbst im Hintergrund verborgen laufende Prozesse und Anwendungen anzeigen. Diese lassen sich dann gezielt beenden, ungewünschte Programme können dauerhaft aus dem System entfernt werden. Allerdings erfordert die Bedienung dieser Software spezifische Systemkenntnisse und ist zudem zeitraubend. Leichter geht es mit speziellen Tools, die den Rechner untersuchen und Schnüffelprogramme deinstallieren.
Eine ganze Reihe von Anbietern hat sich inzwischen auf solche Spyware-Entferner spezialisiert. Ähnlich wie Virenschutzprogramme benutzen diese Lösungen Signaturen, anhand derer sie datensammelnde Eindringlinge entlarven. In der Regel lassen sich verdächtige Anwendungen zunächst isolieren, bevor sie in einem weiteren Schritt dauerhaft vom System gelöscht werden. Zu den bekanntesten Vertretern dieser Gattung gehören "Spybot Search & Destroy", "Spy Sweeper" oder "Pestpatrol".
Im Internet finden sich zudem kostenlose Utilities zur Überprüfung des Rechners, etwa "Elbtecscan" des Hamburger Softwarehauses Elbtec GmbH. Dieses kompakte Werkzeug ist jedoch insofern eingeschränkt zu benutzen, als es lediglich Spector, Eblaster und Orvell erkennt. Der Hersteller Pestpatrol bietet unter www.pestscan.de einen Online-Service, der den Rechner auf Schnüffel-Tools untersucht.
Speziell für Unternehmen, die sicherstellen wollen, dass niemand Unbefugtes den eigenen Mitarbeitern bei der Arbeit über die Schulter sieht, bietet sich Version 5.5 von "Pestpatrol" an. Die Software ist Server-basiert, und lässt sich von dort auf den Arbeitsplatzrechnern der Mitarbeiter installieren. Von einer zentralen Konsole aus können Administratoren dann den virtuellen Kammerjäger durchs Netz schicken und die elektronischen Spione von den Rechnern ihrer Mitarbeiter entfernen lassen. Auch Websense macht mit "Websense Enterprise" Jagd auf die Schnüffelsoftware. Dabei wird der Datenverkehr im Netz mit Hilfe spezieller Algorithmen gefiltert.