In der Nacht vom 6. auf den 7. Mai 2020 bemerkte die IT-Abteilung der Ruhr-Universität Bochum massive Störungen des Netzwerkverkehrs, die auf einen Hacker-Angriff hindeuteten. Die Verantwortlichen für die Sicherheit fuhren daraufhin die Server in der zentralen Verwaltung der Universität herunter, um so zu verhindern, dass sich der Virus weiter ausbreiten und Daten beschädigen und löschen kann. Betroffen von der Virenattacke waren vor allem die Exchange- und Sharepoint-Server, aber auch der VPN-Zugang zu den Uni-Systemen funktionierte zeitweise nicht mehr. Als Folge des Angriffs fiel das interne Mailsystem der Universität aus, außerdem waren zahlreiche Dienste für extern arbeitende Studierende nicht mehr erreichbar. Da wegen der Corona-Krise der Universitätsbetrieb nur noch online stattfand, war der Lehrbetrieb stark eingeschränkt.
1. Ransomware
An der Uni Bochum hatte eine Ransomware zugeschlagen. Die Bezeichnung stammt vom englischen Wort ransom, das so viel heißt wie Lösegeld. Solche Schadprogramme dringen in einen Computer oder ein ganzes Netzwerk ein und versuchen, die dortigen Datenbestände zu verschlüsseln oder die Standard-Benutzer inklusive Administrator auszusperren. Für die Entschlüsselung oder Freigabe der Daten verlangen die Kriminellen, die hinter der Attacke stecken, ein Lösegeld.
Die bekannteste Ransomware der vergangenen Jahre wurde durch den Trojaner-Virus Emotet übertragen. Dieser erzeugt besonders authentisch wirkende Spammails und greift dazu auf das Outlook-Adressbuch eines befallenen Rechners zurück. Im Anhang solcher Mails befindet sich ein Word- oder Excel-Dokument mit integrierten Makros, die nach Freigabe durch den Anwender die Infektion des PCs auslösen. Anschließend lädt Emotet weitere Module aus dem Internet nach, die dann mit der Verschlüsselung der Daten beginnen.
Abwehr: Das wirksamste Mittel gegen einen Ransomware-Angriff ist ein regelmäßiges Backup der wichtigsten Dokumente auf ein Medium wie einen USB-Stick oder eine externe Festplatte. Nach der Sicherung sollte der Datenträger dann sofort vom PC getrennt werden. Einen ausführlichen und aktuellen Backup-Ratgeber finden Sie hier.
2. Banking-Trojaner
Laut den Daten der Sicherheitsfirma Check Point war der Banking-Trojaner Dridex im April 2020 die weltweit am weitesten verbreitete Malware überhaupt. Die Software missbraucht genau wie Emotet die Makrofunktion von Office-Dokumenten und sendet anschließend die auf dem befallenen PC gefundenen Daten an einen Server im Internet. Außerdem enthält sie auch einen Keylogger, liest also Tastatureingaben des Anwenders mit.
Seit September 2019 ist in der EU eine Zwei-Faktor-Authentifizierung für Banktransaktionen vorgeschrieben. Seither haben die Programmierer von Banking-Trojanern vor allem Anwender in Russland, Asien und Südamerika ins Visier genommen. Einige sind jedoch auf Android-Geräte ausgewichen und fangen dort die SMS der Banken mit dem Bestätigungscode ab.
Abwehr: Installieren Sie nur Apps aus dem offiziellen Google Play Store. Zusätzlich können Sie eine Antiviren-App installieren. Im Test schnitten die Apps Avira, Bitdefender und G Data gut ab.
3. Keylogger
Keylogger gibt es als Hardware, die am USBPort zwischen Tastatur und PC installiert wird, wie auch als Software. In dieser Form handelt es sich häufig nur um eine einzige, unauffällige Datei, die irgendwo in den Tiefen von Windows liegt und die Tastatureingaben abfängt. Die Hacker interessieren sich natürlich vor allem für Benutzernamen, Passwörter und PINs. Die Daten bekommen sie vom Keylogger per Internet zugeschickt.
Abwehr: Da Keylogger so unauffällig sind, haben viele Antivirenprogramme Schwierigkeiten, sie zu entdecken. Besser lösen diese Aufgabe spezielle Antispywaretools wie Freeware Spybot Search & Destroy. Wenn Sie an einem fremden Rechner für einen Shop oder Internet-Dienst Ihr Passwort eingeben müssen, greifen Sie zu einem Trick: Tippen Sie die ersten Buchstaben ein, klicken Sie dann auf einen freien Bereich der Website, geben Sie eine zufällige Zeichenkombination ein, und setzen Sie die Eingabe Ihres Passworts dann im Standard-Eingabefeld fort.
4. Phishing
Bei einer Phishingattacke versucht ein Krimineller, einem Opfer die Zugangsdaten zu einem Onlineshop oder einem Zahlungsdienstleister wie etwa Paypal zu entlocken. Dazu schickt er ihm etwa eine E-Mail mit einem Link, der ihn auf eine täuschend echt nachgeahmte Website dieses Dienstes führt. Über den Text der E-Mail versucht der Hacker den User dazu zu bewegen, auf der gefälschten Webseite seine Zugangsdaten einzugeben. Gelingt dies, loggt sich der Angreifer bei der echten Website ein, ändert das Passwort und bestellt Waren auf Kosten des Opfers, das zudem nicht mehr auf das eigene Konto zugreifen kann.
Abwehr: Einige Antivirenprogramme können Phishingmails erkennen. Dafür müssen die Virensignaturen allerdings regelmäßig aktualisiert werden, und zwar möglichst mehrmals am Tag. Sehen Sie sich bei Nachrichten von Shops und Onlinediensten zudem immer sehr genau die Absenderadressen an. Handelt es sich um eine Phishingmail, kommt sie in der Regel nicht von der Domain des Anbieters. Stattdessen nutzt der Kriminelle einen kostenlosen E-Mail-Dienst oder verwendet einen leicht abgewandelten Domain-Namen etwa amason.com . Typisch für Phishingmails ist zudem, dass sie ihr Anliegen dringlich machen und Sie dazu bringen wollen, innerhalb weniger Stunden oder Tagen zu reagieren.
5. Spammails
Eng verwandt mit den Phishing- sind Spammails. Die meisten dieser Werbenachrichten sind harmlos und lediglich lästig, einige davon stammen jedoch von Betrügern. Sie reagieren auf aktuelle Trends und bieten stark nachgefragte Produkte an, während der Corona-Pandemie beispielsweise Atemschutzmasken. Dazu lotsen sie den Anwender per Link zu einem Onlineshop, wo er seine Adress- und Zahlungsdaten eingibt. Das Geld wird sofort abgebucht, die Ware jedoch taucht nie auf.
Abwehr: Sehen Sie sich die Website und die E-Mail genau an; bislang unbekannte Anbieter sollten Sie googeln. Bezahlen Sie nicht per Sofortüberweisung. Falls Sie per Lastschrift oder Kreditkarte bezahlt haben und feststellen, dass es sich um einen Betrüger handelt, wenden Sie sich sofort an Ihre Bank. In vielen Fällen können Sie so Ihr Geld zurückerhalten.
6. RDP-Brute-Force-Angriffe
RDP steht für das Remote-Desktop-Protokoll, das Microsoft in Windows für die Wartung entfernter Rechner eingebaut hat. Administratoren können sich damit übers Netzwerk oder auch übers Internet in einen anderen PC einklinken und die Steuerung übernehmen. Der Desktop des entfernten Computers läuft dann in einem Fenster auf Ihrem eigenen Windows-PC.
In den vergangenen Jahren ist das RDP zu einem bevorzugten Angriffsziel von Hackern geworden. Sie suchen mit speziellen Portscannern nach Computern, bei denen das Protokoll aktiviert ist, und versuchen dann, mittels Brute-Force-Attacken Benutzernamen und Passwörter zu ermitteln. Teilweise dauern diese Angriffe mehrere Tage oder sogar Wochen. Haben sie sich erst einmal Zugriff verschafft, spielen sie beispielsweise eine Ransomware auf den fremden PC oder erkunden über ihn das Netzwerk der Firma.
Abwehr: Deaktivieren Sie RDP, wenn Sie es nicht benötigen. Gehen Sie dazu in den "Einstellungen" auf "System -› Remotedesktop" und setzen Sie den Schalter bei "Remotedesktop aktivieren" auf "Aus". Falls Sie das Protokoll verwenden wollen, achten Sie darauf, dass alle Personen, denen Sie den Remote-Zugriff gestatten, ausreichend komplexe Passwörter verwenden: mindestens zwölf Zeichen, mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
7. Drive-by-Downloads
Bei einem solchen Angriff manipulieren die Hacker in der Regel eine bestehende Website und setzen dort einen Code ein, über den beim Aufruf der Seite automatisch eine Malware auf den Rechner des Besuchers geladen wird. Damit das funktioniert, müssen zwei Voraussetzungen erfüllt sein: Die Website oder das dahinterstehende Content-Management-System muss Sicherheitslücken aufweisen, so dass der Angreifer den Code verändern kann. Außerdem muss es auch im Browser des Besuchers eine Sicherheitslücke geben, denn ansonsten wäre ein unbemerkter Download nicht möglich.
Abwehr: Achten Sie darauf, dass Sie immer mit der aktuellen Version Ihrer Browser-Software arbeiten. Zusätzlich können Sie einen Skriptblocker, etwa Noscript nutzen.
8. Botnetze
Ein Botnetz oder Botnet setzt sich zusammen aus Tausenden von Computern oder vernetzten Geräten, die mit einer Malware infiziert wurden. In der Folge kommunizieren sie unbemerkt mit einem Commandand- Control-Server im Internet, von dem sie die Anweisungen für die weiteren Aktionen bekommen. Betreiber von Botnetzen sind häufig Dienstleister, die gegen eine Gebühr DDoS-Angriffe gegen Webserver ausführen, Spammails verschicken oder Klickbetrug vornehmen, indem sie etwa Webseiten aufrufen oder auf Werbebanner klicken.
Abwehr: Die Software für das Botnetz kommt in den meisten Fällen als Anhang einer Spammail oder als Trojaner. Antivirensoftware erkennt die Schädlinge in der Regel und schlägt Alarm. Dennoch sollten Sie nicht auf Dateianhänge in Mails unbekannter Absender klicken und Software nur von seriösen Anbietern wie etwa der PC-WELT herunterladen.
9. Trojaner
So wie die Griechen im Bauch eines hölzernen Pferdes unbemerkt in die Stadt Troja eindrangen, holt man sich mit dem Download einer vermeintlich harmlosen Software einen Virus auf den Computer, der sich beim Ausführen des Setups automatisch verbreitet.
Abwehr: Laden Sie keine Programme aus unseriösen Quellen oder illegale Patches herunter. Seien Sie generell äußerst vorsichtig beim Anklicken und Öffnen von Dateianhängen in E-Mails.
10. DoS-Angriffe
Mit einem Denial-of-Service-Angriff schalten Kriminelle einen Server, ein Netzwerk oder einen Internetdienst aus, indem sie ihn gezielt überlasten. Wenn eine große Anzahl von Rechnern an diesem Angriff beteiligt ist, etwa ein Botnetz, spricht man von einem Distributed Denial of Service, DDoS.
DDoS-Attacken werden von Kriminellen als Dienstleistung angeboten, um das Webangebot eines Konkurrenten lahmzulegen oder um vom Betreiber eines Servers ein Lösegeld zu erpressen oder auch als Form eines politischen Protests. DDoS-Attacken werden zunehmend über schlecht gesicherte Geräte im Internet of Things (IoT) durchgeführt, die sich in großer Zahl einfach kapern lassen. Auf Befehl eines Command-and-Control-Servers beginnen sie alle zum gleichen Zeitpunkt, das Angriffsziel so lange mit unsinnigen Abfragen und großen Datenmengen zu überfluten, bis es unter der Last der Anfragen zusammenbricht und für den Nutzer nicht mehr erreichbar ist.
Abwehr: Achten Sie darauf, dass alle Ihre Internetgeräte wie Router, Webcams und andere mit langen, sicheren Passwörtern geschützt sind. Einen Angriff auf Ihre private Website hingegen müssen Sie in der Regel nicht befürchten, und wenn, ist Ihr Provider für die Abwehr zuständig. Er kann die Abfragen beispielsweise auf eine andere Adresse umleiten.
(PC-Welt)