Definition von Spyware
Spyware (Kurzform für „spying software“, Spionage-Software) ist eine Art von unerwünschter Schadsoftware, die einen Computer oder ein anderes Gerät infiziert und Informationen über die Webaktivitäten eines Benutzers sammelt, ohne dass dieser davon weiß oder seine Zustimmung dazu gegeben hat. Betroffen sind Kennwörter, PINs, Zahlungsdaten und andere sensible Daten.
Spyware gehört zu den meist verbreiteten Bedrohungen im Internet. Diese Malware-Form infiltriert meistens Desktop-Browser, kann sich aber auch in einer App oder auf einem Mobiltelefon verbergen. In den letzten Jahren sind mobile Spyware-Angriffe immer geläufiger und raffinierter geworden, da immer mehr Menschen ihr Mobiltelefon für Bankgeschäfte und jede Form der Kommunikation nutzen.
Spyware wird zwar per Definition ohne Kenntnis des Benutzers ausgeführt, jedoch besitzt sie mitunter legitime Funktionen oder wird legal verwendet. So wird eine bestimmte Form von Spyware von Werbetreibenden und Datenfirmen oft in App-Downloads eingebettet und im Kleingedruckten erwähnt. Andere Formen werden von Arbeitgebern eingesetzt und dienen der Erkennung von Datendiebstahl, Sicherheitsverletzungen oder Lecks in Verbindung mit Mitarbeitern. Spyware wird aber auch von Behörden und Polizei eingesetzt, um Informationen zum Online-Verhalten und zu den Aktivitäten einer Person zu erfassen.
Da Spyware in der Regel im Hintergrund des Betriebssystems ausgeführt wird, ist es ohne moderne Sicherheitstools und -lösungen kaum möglich, sie zu erkennen oder gar unschädlich zu machen.
2022 CrowdStrike Global Threat Report
Laden Sie den Global Threat Report 2022 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.
Jetzt herunterladenArten von Spyware
Es gibt verschiedene Arten von Spyware. Auch wenn alle Spyware-Programme das gemeinsame Ziel verfolgen, persönliche Informationen zu erfassen, verwenden sie dazu unterschiedliche Taktiken.
Adware
Adware verfolgt den Webverlauf und die Online-Aktivitäten von Benutzern, um Werbemaßnahmen zu optimieren. Technisch gesehen ist Adware zwar eine Form von Spyware, sie installiert aber weder Software auf dem Computer eines Benutzers, noch zeichnet sie Tastatureingaben auf. Bei Adware besteht die Gefahr in der Kompromittierung der Privatsphäre des Benutzers. Die von der Adware erfassten Daten werden mit anderen Aktivitätsdaten des Benutzers korreliert, die – offen oder verdeckt – im Internet gesammelt wurden. Somit ergibt sich ein Profil dieser Person, das ohne Zustimmung des Benutzers an andere Werbetreibende weitergegeben oder verkauft werden kann.
Cookies (auch als HTTP-Cookies oder Internet-Cookies bezeichnet) wurden für Webbrowser entwickelt, um das Benutzererlebnis auf einer bestimmten Website zu verfolgen und ggf. zu optimieren. Es gibt zwei Arten von Cookies: sitzungsbasierte Cookies und persistente Cookies.
Sitzungs-Cookies werden im Arbeitsspeicher abgelegt und nicht auf die Festplatte geschrieben. Sie dienen im Allgemeinen der Verbesserung des Webbrowsing-Erlebnisses eines Benutzers. Mithilfe der Zurück-Taste beispielsweise muss eine erneut aufgerufene Seite nicht noch einmal geladen werden.
Persistente Cookies vereinfachen die Authentifizierung (gespeicherte Kennwörter) und das Verfolgen der Interaktion eines Benutzers mit einer Website (z. B. auf welche Seiten oder Produkte er klickt).
Ein Angreifer kann Cookies missbräuchlich verwenden, indem er die Websitzung eines Benutzers infiltriert, z. B. wenn der Benutzer auf Adware klickt oder durch die heimliche Installation von Cookies (so genannten Zombie-Cookies) auf dem Computer.
Trojaner
Bei dieser Form von digitalem Angriff tarnt sich das Schadprogramm als erwünschter Code oder erwünschte Software. Trojaner können sich in Spielen, Apps oder sogar in Software-Patches verbergen, aber auch in Anhängen eingebettet sein, die über Phishing-E-Mails verteilt werden. Sobald der Trojaner von arglosen Benutzern heruntergeladen wurde, kann er die Kontrolle über die Systeme des Opfers übernehmen und böswillige Aktivitäten durchführen. Ein Trojaner kann beispielsweise Dateien löschen oder verschlüsseln oder vertrauliche Informationen an Dritte weitergeben.
Keylogger
Keylogger sind eine Art von Spyware, die Benutzeraktivitäten überwacht. Einmal installiert, können sie Kennwörter, Benutzer-IDs, Bankdaten und andere vertrauliche Informationen stehlen. Keylogger können über Phishing, Social Engineering oder schädliche Downloads in ein System eingeschleust werden.
Keylogger dienen aber auch legitimen Zwecken, z. B. können Arbeitgeber die Computeraktivitäten ihrer Mitarbeiter mit einem Keylogger verfolgen oder Eltern die Internetnutzung ihrer Kinder überwachen.
Systemmonitor
Ein Systemmonitor ist eine moderne Form von Spyware, die nahezu jeden Schritt erfasst, den der Benutzer auf dem infizierten Computer oder Gerät durchführt. Systemmonitore können so programmiert werden, dass sie alle Tastatureingaben, Browseraktivitäten und den Browserverlauf des Benutzers sowie jede Form der Kommunikation (einschließlich E-Mail, Chat oder soziale Medien) erfassen.
Mobilgeräte-Spyware
Mobilgeräte-Spyware ist eine Art von Malware, die es auf Mobilgeräte wie iPhone- oder Android-Geräte abgesehen hat. Genau wie herkömmliche Spyware operiert auch die mobile Variante unerkannt im Hintergrund und stiehlt Informationen wie Kennwörter, Fotos, SMS-Nachrichten, E-Mails, Anrufprotokolle, Kontaktlisten und Browserverläufe.
Raffiniertere Formen von Mobilgeräte-Spyware können auch als Keylogger agieren und die Aktivität eines Benutzers, seine Anmeldedaten und Kennwörter erfassen. Einige Varianten verschaffen sich Zugriff auf Mikrofon, Kamera, GPS-Funktion und andere Apps. Auf diese Weise werden vor allem Telefonate, Standorte und Bewegungen des Benutzers verfolgt bzw. aufgezeichnet.
Mobilgeräte-Spyware ist besonders gefährlich, da sie über SMS oder herkömmliche Textnachrichten bereitgestellt werden kann. Zudem ist Mobilgeräte-Spyware zum Ausführen von Befehlen in der Regel nicht auf die Interaktion des Benutzers angewiesen.
Funktionsweise von Spyware
Meistens handelt es sich bei Spyware um eine Anwendung, die sich selbsttätig an das Betriebssystem anhängt und im laufenden Betrieb im Hintergrund ausgeführt wird. Während dieser Zeit kann das Spyware-Programm beliebig viele Aktivitäten ausführen, zum Beispiel:
- Es erfasst Tastatureingaben (Keylogger) und greift unter anderem Benutzernamen, Kennwörter, Bankdaten, Kreditkartennummern und Kontaktinformationen ab.
- Es verfolgt die Online-Aktivität und erfasst Website-Besuche, Kontaktpersonen und Nachrichten und erstellt daraus ein detailliertes Benutzerprofil.
- Es übernimmt die Kontrolle über den Computer oder das Gerät und setzt die Startseite des Benutzers zurück, ändert Suchergebnisse oder überflutet das Gerät mit Pop-up-Anzeigen.
- Es konfiguriert die Sicherheitseinstellungen inklusive Firewall neu und ermöglicht so die Fernsteuerung über das Gerät oder es unterbindet jegliche Versuche, die Spyware zu entfernen.
Selbst wenn die Spyware-Anwendung keine persönlichen Informationen erfasst, so verlangsamt sie in der Regel den Computer oder das Gerät und verschlechtert allmählich Nutzbarkeit und Funktionalität.
Wo erfolgt eine Infektion mit Spyware?
Spyware gehört zu den häufigsten Internet-Bedrohungen und betrifft Unternehmen und Privatbenutzer gleichermaßen. Während in der Vergangenheit vorwiegend Windows- oder PC-Benutzer von Spyware-Angriffen betroffen waren, ist aufgrund der zunehmenden Zahl von Mac-Benutzern auch die Zahl der iOS-Angriffe gestiegen, sodass auch Apple-Anhänger nicht vor diesem Sicherheitsrisiko sicher sind.
Bei den gängigsten Infektionswegen spielt das Benutzerverhalten eine Rolle. Geräte werden zum Beispiel bei diesen Benutzeraktivitäten infiziert:
- Herunterladen von Medien-Raubkopien, z. B. Musik, Videospiele, Filme, Bücher, Software oder kostenpflichtige Inhalte
- Herunterladen von unerwünschten Materialien, z. B. Anhängen, Fotos oder Dokumenten, sogar von bekannten Quellen
- Bestätigen von Pop-up-Benachrichtigungen, ohne den Inhalt zu lesen oder zu verstehen
- Nichtlesen der Benutzervereinbarung beim Herunterladen legitimer Anwendungen oder Software
- Keine Installation von Updates oder Patches für Browser, Betriebssystem, Anwendungen und Software
Ein Spyware-Angriff kann einen Computer oder ein Gerät jedoch auch über Sicherheitsschwachstellen oder koordinierte Angriffe infizieren, die der durchschnittliche Benutzer kaum bemerkt, geschweige denn kontrollieren kann. Beispiele:
Sicherheitsschwachstellen: Viele Geräte oder Software-Anwendungen enthalten Fehler im Code (so genannte Bugs), die von digitalen Angreifern ausgenutzt werden können, um sich unerlaubt Zugriff auf ein System zu verschaffen. Einmal im System, richtet sich der Cyberkriminelle eine Backdoor ein, über die er selbst dann unerkannt in das System eindringen kann, wenn die ursprüngliche Schwachstelle später erkannt und gepatcht werden sollte.
Phishing und Spoofing: Phishing und Spoofing sind zwei häufig benutzte Taktiken von Bedrohungsakteuren, die oft koordiniert zum Einsatz kommen. Ziel ist es, den Benutzer zu einer bestimmten Aktion zu verleiten, z. B. zum Herunterladen einer infizierten Datei oder Herausgeben von Anmeldedaten. Spoofing geht einem Phishing-Angriff oft voraus. Dabei werden E-Mails und Websites raffiniert getarnt, sodass sie von legitimen, vertrauenswürdigen oder vertrauten Kontakten oder Sites kaum zu unterscheiden sind.
Software-Pakete oder getarnte Tools: Viele Spyware-Entwickler tarnen ihre Programme als Hilfstools, etwa zum Bereinigen der Festplatte oder Beschleunigen des Browsers. Die Downloads enthalten oft schädliche Add-ons, Erweiterungen oder Plug-ins. Leider ist der Großteil der Spyware so programmiert, dass sie selbst dann auf dem System verbleibt, wenn die Host-Anwendung bereits deinstalliert oder gelöscht wurde. In einigen Fällen wird in den Geschäftsbedingungen des Tools oder der Software sogar auf das Vorhandensein der Spyware hingewiesen.
So können Sie Spyware erkennen
Wie der Name schon sagt, ist Spyware so ausgelegt, dass sie im Verborgenen operiert und kaum auszumachen ist. Zudem handelt es sich bei vielen Spyware-Symptomen um relativ weit verbreitete Probleme, die als Folge anderer Cyberbedrohungen auftreten.
Falls Sie bei Ihrem Gerät eine der folgenden Verhaltensweisen feststellen, sollten Sie dringend eine umfassende Sicherheitsüberprüfung durchführen, um die Ursache des Problems festzustellen und zu eliminieren:
- Der Computer oder das Gerät arbeitet langsam.
- Das Gerät stürzt immer wieder unerwartet ab.
- Das Gerät hat aus unerklärlichen Gründen zu wenig Speicherplatz oder Arbeitsspeicher.
- Die Landing Page des Browsers oder der Startbildschirm des Geräts wurde unerwartet geändert.
- Auf dem Gerät werden neue Symbolleisten, Suchmaschinen oder Anwendungen angezeigt, die nicht vom Benutzer heruntergeladen wurden.
- Das Gerät zeigt Pop-up-Anzeigen und -Meldungen an, auch wenn es offline ist.
Auf einem Mobilgerät ist Spyware manchmal besonders schwer auszumachen, da es keine einfache Möglichkeit gibt, Programme zu überprüfen, die im Hintergrund ausgeführt werden.
So schützen Sie sich vor Spyware
Da Malware – und dazu gehört auch Spyware – sehr unterschiedlich ist und sich ständig weiterentwickelt, ist ein mehrgleisiger, dynamischer Ansatz die einzige Möglichkeit, ihr wirksam zu begegnen. Herkömmliche Virenschutztools, die verdächtige Bedrohungen mit einer Liste bekannter Bedrohungen vergleichen, indem sie nach Kompromittierungsindikatoren (IOCs) suchen, können einfach nicht mit dem rasanten Tempo Schritt halten, in dem neue Malware auftaucht. Dadurch bleibt Unternehmen oft keine andere Wahl, als lediglich auf Angriffe zu reagieren, statt sie proaktiv zu verhindern.
Unternehmen müssen mehrere Maßnahmen wie Machine Learning, Exploit-Blockierung, Verhaltensanalyse und Blocklisting kombinieren und integrieren, um alle Arten von Malware, einschließlich Spyware, zu erkennen und zu verhindern. Nachfolgend gehen wir auf diese Funktionen näher ein, und zwar im Zusammenhang mit der CrowdStrike Falcon®-Plattform, der marktführenden Lösung für cloudnative Sicherheit.
Machine Learning
Die Falcon-Plattform nutzt Machine Learning, um Malware ohne Verwendung von Signaturen zu blockieren. Stattdessen setzt sie zum Analysieren von Dateien auf mathematische Algorithmen und schützt den Host auch dann, wenn er nicht mit dem Internet verbunden ist.
Exploit-Blockierung
Malware liegt nicht immer in Form einer Datei vor, die durch Machine Learning analysiert werden kann. Einige Arten von Malware können durch die Nutzung von Exploit-Kits möglicherweise direkt in den Arbeitsspeicher geladen werden. Um diese abzuwehren, bietet die Falcon-Plattform als zusätzlichen Schutz eine Exploit-Blockierungsfunktion.
Verhaltensanalyse
Haben Sie dateilose Malware im Blick, bei der kein Exploit-Kit verwendet wird, zum Beispiel bestimmte Arten von Ransomware? Zum Schutz von Systemen vor diesen Bedrohungen greift die Falcon-Plattform auf Kompromittierungsindikatoren zurück, bei denen sowohl legitime als auch verdächtige Aktivitäten untersucht werden, um verborgene Ereignisketten zu erkennen, die auf versuchte Malware-Infektionen hindeuten. Die meisten Kompromittierungsindikatoren können auch Malware-lose Angriffe verhindern.
Blocklisting
Bei der Falcon-Plattform können Unternehmen bestimmte Anwendungen auf die Blocklisting setzen und so automatisch verhindern, dass sie an irgendeiner Stelle im Unternehmen ausgeführt werden.
Die CrowdStrike Falcon-Plattform kombiniert diese Methoden mit innovativen, in der Cloud ausgeführten Technologien, um schnellere und minutenaktuelle Abwehrmechanismen zu erhalten. Vereinbaren Sie eine Demo oder nutzen Sie unsere kostenlose Testversion, um mehr darüber zu erfahren.