Von Spionen und Datenschnüfflern

Schutz vor Spyware

06.10.2005
Von 


Wolfgang Miedl arbeitet Autor und Berater mit Schwerpunkt IT und Business. Daneben publiziert er auf der Website Sharepoint360.de regelmäßig rund um Microsoft SharePoint, Office und Social Collaboration.
Neben klassischen PC-Schädlingen wie Viren machen in letzter Zeit auch immer mehr Spionage-Tools von sich reden. Doch es gibt preisgünstige Tools zum Schutz vor dieser Gefahr.

DER KAMPF gegen die Virenbedrohung ähnelt dem Rennen von Hase und Igel: Mit immer neuen Schutzmaßnahmen wollen Softwarehersteller die PC-Sicherheit erhöhen, doch findigen Programmierern gelingt es oft nach relativ kurzer Zeit, solche Schutzwälle zu umgehen. Fakt ist auch, dass es Viren im klassischen Sinn kaum mehr gibt. Die neueren Schadprogramme wie Trojaner, Würmer oder Bots vereinen meist mehrere Kategorien in sich, um sich zu verbreiten und die befallenen Rechner als versteckten Stützpunkt für weitere, ferngesteuerte Attacken zu öffnen. Auffallend ist insbesondere das rasante Wachstum der Bedrohung durch Viren, wie die Zahlen der Security-Spezialisten von Messagelabs belegen. Von den im Jahr 2004 überprüften 147 Milliarden E-Mails bei Messagelabs-Kunden enthielten im Jahresdurchschnitt 6,1 Prozent einen Virus. Im Vorjahreszeitraum waren es nur 3 Prozent, 2002 diagnostizierte das Unternehmen sogar nur 0,5 Prozent der Mails als verseucht.

Bezeichnend an dieser Studie ist auch, dass sie E-Mails als Hauptinfektionsquelle bestätigt - und damit fahrlässiges oder leichtsinniges Benutzerverhalten als das nach wie vor größte Sicherheitsrisiko entlarvt. In den meisten Fällen genügt ein unüberlegter Doppelklick auf einen manipulierten Mail-Anhang, um einen PC zu infizieren. Die böswilligen Versender machen sich dabei den Umstand zunutze, dass unter dem am weitesten verbreiteten Betriebssystem Windows eine Vielzahl von Dateitypen zur Ausführung von Code missbraucht werden kann. Längst verschicken sie keine offensichtlich verdächtigen EXE-Dateien mehr, schädliche Inhalte lassen sich heutzutage auch in kaum bekannten ausführbaren Dateitypen wie SCR, COM, PIF oder CPL verstecken.

Eine Mitschuld an der einfachen Verbreitung tragen aber auch Schwachpunkte und Lücken in der Software aus Redmond. Zwar hat Microsoft in die neueren Versionen seiner Mail-Programme Outlook und Outlook Express wirksame Abwehrmechanismen integriert, doch immer noch arbeiten viele Nutzer mit ungeschützten Versionen.

Microsoft reagiert

Als wirksamen Konter gegen die Bedrohung durch manipulierte Mails wurden im Wesentlichen zwei Maßnahmen eingeführt: Zum einen blockieren die aktuellen Outlook-Versionen jeden Mail-Anhang, der von seiner Dateiendung her als ausführbare Programmdatei erkannt wird. Um das zu umgehen, packen viele Virenversender ihre Post in ZIP-Archive ein, doch die unmittelbare Gefahr beim Doppelklick ist damit gebannt. Die zweite Maßnahme war die Blockade von Schadfunktionen, die sich in HTML-E-Mails verstecken. Das Fatale dabei war bisher, dass ein einfaches Öffnen im Vorschaufenster des Mail-Clients ausreichte, um die zerstörerische Funktion auszulösen.

Der zweite problematische Bereich waren über Jahre Lücken im Windows-Betriebssystem. Deutlich wurde das während der verheerenden Massenepidemie durch den Sasser-Wurm. Der Wurm hatte eine Lücke im LSASS-Dienst von Windows genutzt, um ungehindert und unbemerkt vom Benutzer über das Internet Rechner zu befallen. Gleichzeitig hatte er dabei eine Hintertür für ferngesteuerte Schad- und Spionagefunktionen installiert. Obwohl Microsoft bereits Monate vor diesem Ausbruch über die Windows-Upate-Website eine wirksame Fehlerbereinigung bereitgestellt hatte, konnte sich der Virus auf Millionen nicht gepatchter PCs breit machen.

Statt wie bisher immer nur mit Fehlerbereinigungen auf entdeckte Lücken zu reagieren, hat Microsoft mit dem seit Mitte 2004 verfügbaren Service Pack 2 für Windows XP nun einige grundlegende Mechanismen für mehr Sicherheit eingeführt. Zum einen ist nun eine Software-Firewall integriert, die unerwünschten Netzverkehr von außen wie von eventuell bereits intern aktiven Trojanern abblockt. Zum anderen wurde der Internet Explorer mit einem Popup-Blocker sowie zusätzlichen Sperren und Abfragedialogen für verdächtige Software-Downloads ausgestattet.

Unter den vielfältigen PC-Bedrohungen bildet Spyware (Spionageprogramme) eine besondere Kategorie. Charakteristisch ist auch hier das Problem der Definition und der klaren Abgrenzung. Zunächst kann man der Gattung Spyware alles zuordnen, was im Hintergrund unbemerkt vom Anwender Daten ausliest, sammelt und über das Netz versendet. Auch viele Würmer haben Spyware im Gepäck.

Rechtliche Situation oft unklar