valerybrozhinsky - stock.adobe.c
Was genau ist Malware und wie kann man sich schützen?
Im allgemeinen Sprachgebrauch ist der Begriff Malware inzwischen etwas verwaschen. Wie funktionieren typische Angriffe tatsächlich und wie können Unternehmen sich schützen?
Malware ist im Grunde einfach ein Stück Code, das versucht, eine vorher festgelegte Reihe von Aktionen im Verborgenen auszuführen. Ziel ist es stets, Zugang zu sensiblen Daten zu erhalten oder den Betrieb des infizierten Computers oder Netzwerkes zu stören. Folglich zielt Malware-Schutz darauf ab, ebendiese Angriffe zu verhindern.
Wie die meisten IT-Security-Begriffe wurde auch Malware im Versuch, spezielle Sicherheitsprodukte zu positionieren, überstrapaziert und dadurch immer mehr verwaschen. Deshalb wollen wir einen Blick darauf werfen, wie ein Malware-Angriff typischerweise abläuft, welche Arten von Malware beziehungsweise Schadsoftware uns gegenwärtig begegnen und wie man sich am besten vor solchen Angriffen schützen kann.
Wie läuft ein typischer Malware-Angriff ab?
Malware operiert in einem zyklischen Prozess, in dem Hacker lediglich einzelne Vektoren in der Vorgehensweise anpassen, um ihr spezifisches Ziel, welches in der Regel finanziell motiviert ist, zu erreichen. Dieser Zyklus läuft dabei in drei Phasen ab:
Infektion: Die Malware muss auf irgendeine Weise in das anvisierte System oder Netzwerk eindringen. Hierzu gibt es verschiedene Möglichkeiten wie Phishing, infizierte USB-Geräte (zum Beispiel USB-Sticks) oder API-Verbindungen.
Ausführung der Payload: Das A und O jeder Malware ist ihre Fähigkeit, die vorgesehenen Aufgaben ohne Erkennung und Abwehr erfolgreich auszuführen.
Exfiltration: Schließlich muss die bösartige Software in der Lage sein, ihre Aufgabe abzuschließen, indem sie entweder Daten aus dem infizierten System entwendet, also an den Angreifer sendet, oder den Angreifer in die Lage bringt, die Situation auf andere Weise zu monetarisieren, wie es beispielsweise im Falle der Ransomware durch die Verschlüsselung von Dateien der Fall ist.
Die eingesetzten Techniken und Taktiken mögen sich bei den unterschiedlichen Arten von Malware unterscheiden, das Grundprinzip, also das eigentliche Ziel und der Zyklus, bleibt jedoch das Gleiche.
Welche Arten von Malware muss man unterscheiden?
Auch wenn das Grundprinzip sich nicht unterscheidet, erfordern doch verschiedene Arten von Malware individuelle Maßnahmen zur Abwehr. Deshalb erscheint es sinnvoll, die wesentlichen Malware-Arten genauer zu betrachten.
Viren: Das Virus ist der Klassiker der Malware. Im Laufe der Jahre beziehungsweise Jahrzehnte hat sich der Zweck von Computerviren jedoch drastisch weiterentwickelt. In der Vergangenheit wurden Viren meist nur entwickelt, um Schaden und Verwüstungen anzurichten. Heutzutage stellen Kriminelle maßgeschneiderte Viren her, um sehr gezielte und damit verheerende Angriffe auszuführen.
Per Definition ist ein Virus ein Schadprogramm, das sich nach seiner Ausführung in andere Programme, einen Bootsektor oder den Arbeitsspeicher einschleust, und sich damit reproduziert. Dabei ist es für die Ausbreitung entscheidend, dass es eine dauerhafte Entfernung vermeidet. So ist es durchaus möglich, dass ein Virus selbst nach der Entfernung der Originaldatei noch an anderer Stelle auf dem Computer lebt und somit weiterhin seine Aufgabe erfüllt.
Ransomware: Spätestens seit der weltweiten Ausbreitung von WannaCry im Jahr 2017 und den immensen verursachten Schäden ist Ransomware eine der bekannteren Arten von Malware. Hier werden Dateien auf einem Computer oder Speichersystem verschlüsselt, verbunden mit einer Lösegeldforderung an das Opfer. Generell wird dringend davor abgeraten, das Lösegeld zu bezahlen.
Abgesehen von den eher grundsätzlichen Vorbehalten, dass man durch die Zahlung diese kriminellen Handlungen fördert, spricht auch dagegen, dass es keinerlei Garantie dafür gibt, dass nach Begleichung der Forderung die Angreifer auch tatsächlich den nötigen Schlüssel zur Entschlüsselung zur Verfügung stellen.
Es gibt nachgewiesene Fälle, in denen die Kriminellen dazu nicht im Stande gewesen waren, selbst wenn sie es wollten. Entsprechend sollte man besser nicht auf die Ehrlichkeit von Kriminellen vertrauen. Stattdessen ist es ratsamer, sich an die Polizei und die zuständigen Behörden zu wenden sowie professionelle Hilfe in Anspruch zu nehmen, um wieder an seine Daten zu gelangen. Ebenfalls hilfreich ist die Seite No More Ransom: Hier lässt sich überprüfen, ob es einen öffentlich verfügbaren Entschlüsselungscode für die verschlüsselten Dateien gibt.
Trojanische Pferde beziehungsweise Trojaner: Diese Malware-Art verdankt ihren Namen offensichtlich der griechischen Mythologie. Genau wie beim klassischen trojanischen Pferd versuchen ihre Softwarependants – oft als nützliche Anwendung getarnt – in fremde Systeme einzudringen, um dann ohne Wissen des arglosen Nutzers eine andere, bösartige Funktion auszuführen, etwa dem Angreifer eine Hintertür zu hinterlassen, die ihm zu einem späteren Zeitpunkt einen Weg zurück in das System zu ermöglicht. Trojaner geben also Cyberkriminellen die Möglichkeit, Informationen über das interne System oder Netzwerk zu sammeln und tiefere, speziell auf das kompromittierte Netzwerk zugeschnittene Angriffe zu planen.
Rootkits und Hintertüren: Rootkits und Hintertüren ermöglichen im Wesentlichen den Fernzugriff auf ein System und dessen Steuerung, ohne entdeckt zu werden. Mittels Rootkits erlangen Angreifer vollen Root-Zugriff auf ein System, wo sie dann neue Befehle starten, mit dem Exfiltrieren von Daten beginnen oder Protokolle und Programme ändern können, um nicht entdeckt zu werden.
Hintertüren oder Backdoors sind der allgemeine Begriff für alle Wege, die Hacker oder Insider hinterlassen, die einen Fernzugriff oder einen Zugang außerhalb eines authentifizierten Zugriffs auf ein internes System ermöglichen. Wenn Angreifer erst einmal eine solide Hintertür eingerichtet und eine Präsenz in einem Netzwerk erlangt haben, ist es meist sehr schwierig, sowohl den Zugang zu entfernen als auch forensisch zu bestimmen, auf welche Daten sie zugegriffen haben. Ohne eine angemessene Überwachung im Vorfeld ist dies unter Umständen sogar gar nicht möglich.
Remote Access Trojaner (RATs): RATs oder Remote-Administration-Tools sind eine spezielle Form der Hintertürtechnik, die Hacker einsetzen, um Fernzugriff auf ein System zu erlangen und zu behalten. Damit ein RAT wie beabsichtigt funktionieren kann, muss es über einen serverseitigen Agenten oder eine Datei verfügen, der beziehungsweise die dauerhaft im Netzwerk verbleibt, so dass der Angreifer die Kontrolle und den Zugriff aufrechterhalten kann. Diese Dateien sind oft so getarnt, dass sie wie Standarddateien aussehen, um nicht entdeckt zu werden.
„Malware trifft Unternehmen jeder Größe. Kein Unternehmen ist zu klein oder zu unwichtig, keines ist zu groß und zu gut geschützt, dass es nicht zum Opfer von Cyberangriffen werden kann.“
Michael Scheffler, Varonis Systems
Allgemeine Verhaltenstipps
Neben einer umfassenden, auf das Unternehmen und seine Ziele abgestimmten Sicherheitsstrategie gibt es einige Punkte, die bei der Schadensbegrenzung und -beseitigung wichtig sind. Unabhängig von der konkreten Situation sollten Kommunikation und Wachsamkeit stets höchste Priorität haben und ein vorher ausgearbeiteter Response-Plan beziehungsweise Vorfallreaktionsplan mit entsprechenden Protokollen angewandt werden.
Klar kommunizieren: Für den Erfolg von Unternehmen jeder Größe ist eine klare, offene Kommunikation von entscheidender Bedeutung. Auch außerhalb einer Krise ist sie für die Implementierung von Sicherheitskontrollen in allen Bereichen unerlässlich. Ohne einen klaren Kommunikationskanal kann es zu Schwierigkeiten kommen, die andere Abteilungen oder Bereiche des Unternehmens betreffen, etwa bei der Einführung restriktiver Kontrollen.
Wachsam bleiben: Unabhängig von der Lösung oder dem Verfahren, das zur Erkennung von Schwachstellen und Angriffen sowie zur Reaktion darauf eingesetzt wird, ist es entscheidend, dass Sicherheitsverantwortliche schnell reagieren. Gerade bei Malware-Infektionen ist Zeit ein wesentlicher Faktor: Nur durch eine rasche Reaktion auf Warnmeldungen können weiteren Schäden vermieden werden.
Einen Plan haben: Unternehmen müssen über einen Aktionsplan verfügen, wenn ein Zwischenfall eintritt. Dieser Aktionsplan sollte zudem mehrmals im Jahr geübt werden, ähnlich wie bei der Feuerwehr, die ja auch für den Einsatz trainiert.
Grundsätzlich sollten Vertreter aus allen Bereichen hier einbezogen werden, um Aufregung und Fehler im Ernstfall zu verhindern. Diese Übung kann ebenfalls helfen, Schwachstellen schneller zu erkennen und Anpassungen vorzunehmen, die sich durch geänderte Anforderungen im Laufe der Zeit ergeben. Speziell die Nutzung von neuen Cloud-Diensten trägt dazu bei das sich die Anforderungen kontinuierlich verändern.
Malware trifft Unternehmen jeder Größe. Kein Unternehmen ist zu klein oder zu unwichtig, keines ist zu groß und zu gut geschützt, dass es nicht zum Opfer von Cyberangriffen werden kann. Deshalb ist es unerlässlich, sich dieser real existierenden Gefahren bewusst zu werden und sich auf den Fall der Fälle einzustellen.
Über den Autor:
Michael Scheffler ist Country Manager DACH von Varonis Systems.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.