Kleine Virenkunde: Trojaner, Ransomware und Co

Berichte über Cyberangriffe und Gefährdungen aus dem Internet nehmen zu. Dies nicht ohne Grund: Der Branchenverband bitkom stellte in einer aktuellen Befragung fest, dass bis zu 86 % Prozent der Unternehmen innerhalb der letzten 12 Monate in irgendeiner Form durch Cyberangriffe geschädigt wurden. Die Palette der verwendeten Attacken reichte von Infektionen mit Schadsoftware, über Phishing-Angriffe, bis hin zu den gefürchteten Ransomware-Attacken.

Um notwendige Schutzmaßnahmen besser verstehen zu können, kann es hilfreich sein, sich ein wenig mit den unterschiedlichen Arten von Computerviren auszukennen. Daher möchten wir im Folgenden einen kleinen Überblick über die aktuellen Formen der Bedrohung geben.

Welche Arten von Computerviren gibt es?

Eine allgemeingültige Kategorisierung vorzunehmen, ist angesichts der unüberschaubaren Anzahl an kursierender Schadsoftware gar nicht mehr so einfach. Oftmals werden auch Angriffsformen vermischt, etwa ein Trojaner genutzt, um sich Zugriff auf den Rechner zu verschaffen und danach weitere Schadsoftware nachgeladen. Auch die Zielrichtungen können stark variieren. Ging es Hackern früher häufig um Anerkennung in der Szene, sind inzwischen häufig echte Cyber-Kriminelle verantwortlich, bei denen entsprechend finanzielle Gewinne im Vordergrund stehen.

Klassische Einteilungen, wie sie etwa vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verwendet werden, gehen von drei Hauptformen aus:

1. Virus: Hierbei handelt es sich um ein nicht eigenständig lauffähiges Programm, welches sich an ein Wirtsprogramm anheften muss. Von dort aus kann es sich allerdings weiterverbreiten und seine schadhafte Wirkung entfalten. Ein Beispiel sind Makroviren, die in Office-Dokumente eingebettet sind. Die Infizierung muss entsprechend über den Download oder ein sonstiges Kopieren auf das System erfolgen.

2. Computerwurm: Dies ist eine besonders gefährliche Form einer Schadsoftware. Sie ist eigenständig lauffähig und verbreitet sich zudem selbst. Dies ist etwa per E-Mail, per Bluetooth, mit einer MMS, aber auch über Dienste im Internet möglich.

3. Trojaner: Angelehnt an das antike Vorbild eines Trojanischen Pferdes, handelt es sich dabei um eine Software, die scheinbar einem anderen Zweck dient. Dies kann ein vorgeblich nützliches Programm sein, das der Nutzer in gutem Glauben installiert. Ebenso tritt der Trojaner aber auch als Anlage einer E-Mail in Erscheinung. Hier ist es beispielsweise bei Ransomware-Angriffen üblich, durch lange Namen und mehrfache Endungen (XYZ.doc.exe) zu verschleiern, dass es sich um ein ausführbares Programm handelt. Im Gegensatz zu Würmern und Viren verbreitet sich ein Trojaner nicht selbstständig. Es wird immer ein Anwender benötigt, der die Schadsoftware ausführt.

Weitere Begriffe rund um Schadsoftware

Die meisten der geläufigen Begriffe aus dem Umfeld von Computerviren lassen sich den drei genannten Hauptkategorien zuordnen. Ihre Bezeichnungen ergeben sich zumeist aus der Zielrichtung ihrer Funktion:

- Ransomware/Verschlüsselungstrojaner: Bei Ransomware handelt es sich oft um Trojaner, die auf dem angegriffenen System Dateien verschlüsseln. Die spätere Entschlüsselung wird gegen ein "Lösegeld" angeboten. Daraus leitet sich auch die alternative Bezeichnung "Erpressungstrojaner" ab. Es gibt aber auch Formen von Ransomware, die sich zunächst eines Trojaners bedient und dann etwa einen Virus nachlädt.

- Botnetze: Dies ist ein durch Schadsoftware akquiriertes Netzwerk von Rechnern Unbeteiligter. Die Rechner können etwa durch einen Wurm oder Trojaner befallen sein und danach durch den Inhaber des Botnetzes ferngesteuert werden. Dies erfolgt beispielsweise mit der Zielrichtung, Webserver durch konzentrierte Anfragen zu überlasten und zum Absturz zu bringen ("Distributed Denial of Service Attack", kurz: DDoS). Diese Form des Angriffs geht ebenfalls häufig mit Erpressungen einher.

- Exploits: Sie sind zunächst keine Computerviren. Vielmehr handelt es sich dabei um den Beweis, dass eine Sicherheitslücke in einer Software oder auf einem Betriebssystem für manipulative Zwecke ausgenutzt werden kann. Häufig entwickeln Sicherheitsforscher solche Exploits und benachrichtigen die betroffenen Unternehmen rechtzeitig vor der Veröffentlichung. Natürlich können Exploits aber auch für kriminelle Zwecke und zur Erstellung von Computerviren missbraucht werden.

- Spyware: Sie basiert oft auf einem Trojaner. Zielrichtung ist das Ausspähen von Daten, wie zum Beispiel Zugangsdaten für Accounts. Verwendet werden können auch Keylogger, die Tastatureingaben aufzeichnen und an Control-Server versenden.

- Ad-/Scareware: Bei beiden Formen handelt es sich nicht um Schadsoftware im eigentlichen Sinne. Adware verteilt mit einer Software unerwünschte Werbung oder Links auf Inhalte von Werbepartnern. Wenn im Vorfeld ausreichen darauf hingewiesen wird, kann dies sogar legitim sein und beispielsweise dafür sorgen, dass eine Software kostenfrei angeboten wird. Scareware täuscht nur vor, ein System befallen und unter Kontrolle zu haben. Dies ist oft harmlos. In der Vergangenheit gab es aber auch Fälle, in denen eine Sperrung durch eine Polizeidienststelle vorgegeben und zur Zahlung von angeblichen Strafen aufgefordert wurde.

Wie schütze ich mein Netzwerk vor den unterschiedlichen Computerviren?

Tatsächlich ist es schon ein sehr wichtiger erster Schritt, dass alle Anwender im Netzwerk sich drohender Gefahren bewusst sind. Da eine Vielzahl an Schadsoftware, wie zum Beispiel Ransomware, auf Trojanern basiert, besteht in diesen Fällen nur dann eine Gefahr, wenn das Programm aktiv ausgeführt wird. Hierfür bedienen sich Kriminelle wiederum oftmals Methoden des Social Engineering, also der gezielten Manipulation von Mitarbeitern, etwa durch das Vortäuschen einer Notsituation.

Das Ausführen und Öffnen unbekannter Dateien sollte generell vermieden werden. Problematisch bleibt das Versenden von Anlagen. Selbst in eigentlich als sicher geltenden PDF-Dokumenten wurden bereits Computerviren integriert. Neben einem aktuellen Virenschutz-Programm hilft auch hier der gesunde Menschenverstand. Zumindest von unbekannten oder unseriös wirkenden Absendern sollten keine Anlagen geöffnet werden.

Sofern Schadsoftware auf Schwachstellen im System basieren, ist die Wahrscheinlichkeit groß, dass der entsprechende Hersteller ein Interesse daran hat, diese schnellstmöglich zu schließen. Entsprechend sollte regelmäßig aktiv auf Updates verwendeter Software und Betriebssystem geachtet und diese nötigenfalls auch manuell eingespielt werden. Eine gute Backup-Strategie sollte ohnehin in jedem Unternehmen vorhanden sein, damit im Schadensfall der Verlust überschaubar bleibt.

Für noch mehr Sicherheit können dedizierte Firewall-Systeme und Intrusion-Detection-Systeme sorgen, die bei Anomalien im Netzwerk Alarm schlagen. Ob alle Schutzmechanismen auch wirklich funktionieren, lässt sich mit einem simulierten Angriff in Form eines Penetration-Tests wirksam überprüfen.

IT-Sicherheit für KMU

Angesichts der Bedrohungslage durch Computerviren und Ransomware sollte ein gewisser Aufwand zur Minimierung von Risiken in Unternehmen selbstverständlich werden. Dazu gehört, sich über drohende Gefahren zu informieren und Mitarbeiter zu sensibilisieren. In manchen Fällen kann sich auch die Beratung durch externe Experten auszahlen. Das Thema wird voraussichtlich jedenfalls in absehbarer Zeit nicht an Bedeutung verlieren.