Cyber Security in KMU: Was ist Spyware?

Spyware ist eine Sorte von bösartiger Software (Malware), die sich ohne Wissen des Nutzers in die Unternehmens-IT installiert. Sie dringt in Server, Notebooks oder Desktop-Computer ein, stiehlt vertrauliche Informationen und Internetnutzungsdaten und leitet es an Werbetreibende, Datenfirmen oder externe Nutzer weiter. Grundsätzlich ist jede Software eine Spyware, wenn sie sich ohne die Autorisierung des Nutzers selbständig auf sein Gerät oder die IT einer Organisation herunterlädt.

Spyware (Spionage-Software vom Englischen «to spy», ausspionieren) ist umstritten, weil sie, selbst wenn sie aus relativ harmlosen Gründen installiert wird, die Privatsphäre des Nutzers verletzt und Cyberkriminelle sie missbräuchlich einsetzen können. Spyware ist eine der häufigsten Bedrohungen für Internetnutzer in KMU, da sie die Cyber Security des KMU gefährdet. Einmal installiert, überwacht sie die Internet-Aktivitäten des Mitarbeiters, verfolgt Anmeldeinformationen und spioniert vertrauliche Informationen aus. Das primäre Ziel von krimineller Spyware ist es in der Regel an Kreditkarten-, Bankinformationen und Passwörter heranzukommen. In der Regel ist Spyware schwer zu erkennen. Häufig weist eine spürbare Verringerung der Prozessor- oder Netzwerkverbindungsgeschwindigkeit auf die Infizierung eines Geräts mit Spyware hin. Bei mobilen Geräten verusacht sie eine erhöhte Datennutzung und eine verkürzte Akkulaufzeit .

Funktionsweise von Spyware

Spyware kann auf jedem Windows- oder Mac-Computer sowie auf iOS- oder Android-Mobilgeräte sein Unwesen treiben.
 

Häufigste Infizierungswege für Spyware 

Die Ursachen für eine Infizierung mit Spyware sind vielfältig, doch sind sie stets auf unvorsichtiges Verhalten der Nutzer zurückzuführen:

• Nutzung von Medien aus dem Schwarz- oder Graumarkt wie Computerspiele, Videos und Musik.
• Herunterladen von Dateien, Programme oder Medien aus unzuverlässigen oder unbekannten Quellen.
• Klicken auf eine Pop-up-Werbung oder eine Pop-Up-Aufforderung ohne Wissen über die Weiterleitungswege.
• Öffnen von E-Mail-Anhängen von unbekannten Absendern.

In ihrer mildesten Form existiert Spyware als Anwendung, die gestartet wird, sobald das betreffende Gerät eingeschaltet ist. Danach arbeitet sie kontinuierlich im Hintergrund und nutzt den Arbeitsspeicher (RAM) sowie die Prozessorleistung des Geräts, generiert eine hohe Anzahl an Pop-up-Anzeigen und verlangsamt den Web-Browser – im Extremfall bis dieser für den jeweiligen Nutzer unbrauchbar wird. Spyware kann zudem die Homepage des Browsers zurücksetzen, um dadurch jedes Mal eine Anzeige zu öffnen oder sie beeinflusst die Suchmaschinenresultate für den Nutzer, was schliesslich die Suchmaschine nutzlos macht. Weiter kann Spyware die dynamischen Programmierbibliotheken (Dynamic Link Libraries DLL) des Computers ändern – diese sind zum Herstellen einer Verbindung mit dem Internet notwendig und ihre Veränderung führt zu Verbindungsfehlern, die schwer zu diagnostizieren sind.

Am schädlichsten ist Spyware dann, wenn sie den Verlauf des Web-Browsings nachverfolgt und eingegebene Wörter, Passwörter und andere private Informationen wie Kreditkartennummern oder Bankdaten aufzeichnet. Hat die Spyware all diese Informationen gesammelt, kann sie Identitätsdiebstähle vornehmen.

Spyware kann im Hintergrund auch Änderungen an den Einstellungen der Firewall eines Geräts vornehmen und dabei die Sicherheitseinstellungen neu konfigurieren – damit lässt sie noch mehr Malware auf dem jeweiligen Gerät oder IT-System zu. Besonders intelligente Formen von Spyware können sogar identifizieren, wenn das Gerät versucht, die Spyware aus der Windows-Registrierung zu entfernen. Dabei verhindert sie alle Versuche, sie daraus zu löschen.

Arten von Spyware

Als Spyware wird nicht nur ein bestimmter Typ von Schadsoftware bezeichnet sondern es handelt sich dabei um eine ganze Kategorie von bösartiger Software:

• Adware
• Keyboard-Logger
• Trojaner
• Programme zum Stehlen mobiler Informationen
  
  

Adware

Bösartige Adware wird oft mit kostenloser Software, Shareware-Programmen oder Dienstprogrammen gebündelt, die sich kostenlos aus dem Internet herunterladen lassen. Manchmal installiert sie sich auch unbemerkt auf dem jeweiligen Gerät, wenn der Benutzer damit eine infizierte Website besucht.

Cookies, die personenbezogene Daten (Personally Identifiable Information PII) und die Surfgewohnheiten der Nutzer nachverfolgen und aufzeichnen, sind eine der häufigsten Arten von Adware. Ein Werbetreibender kann Cookies verwenden, um zu verfolgen, welche Webseiten ein Benutzer besucht, um Werbung zielgerichtet aufgrund der Präferenzen des Nutzers zu schalten. So verfolgen etwa Werbetreibende den Browserverlauf oder Downloadverlauf eines Nutzer mit der Absicht diesem passende Pop-up- oder Bannerwerbung anzuzeigen und ihn zum Kauf zu motivieren.

Keyboard-Logger

Ein Keyboard-Logger zeichnet die eingegebenen Zeichenfolgen des Nutzers über seine Tastatur auf. Er ist eine Art von Systemmonitor, die oft von Cyberkriminellen verwendet werden, um PII Login-Informationen (Passwörter, Anmeldenamen) und sensible Unternehmensdaten zu stehlen.

Hardware-Keyboard-Logger gleichen einem USB-Speicher und sind eine physische Verbindung zwischen der Computertastatur und dem Computer. Hingegen erfordern Software-Keyboard-Logger keinen physischen Zugriff auf den Computer des Benutzers für die Installation. Software-Keyboard-Logger können unwissentlich vom Nutzer heruntergeladen werden.

Trojaner

Trojaner sind in der Regel bösartige Softwareprogramme, die als legitime Programme getarnt sind. Ein Opfer eines Trojaners installiert dabei unbewusst eine Datei, die sich als offizielles Programm ausgibt, so dass der Trojaner Zugriff auf den Computer bekommt. Der Trojaner kann anschliessend Dateien löschen, Dateien für Lösegeld verschlüsseln (Ransomware) oder Drittpersonen Zugriff auf die Informationen des Benutzers geben.

Mobile Spyware

Mobile Spyware ist gefährlich, da sie über SMS-Textnachrichten (Short Message Service) oder MMS (Multimedia Messaging Service) auf Mobiltelefone übertragen wird und normalerweise keine Benutzerinteraktion zum Ausführen von Befehlen erfordert. Wenn ein Smartphone oder Tablet mit mobiler Spyware infiziert ist, lässt sich danach mit einer Drittanbieter-App die Kamera und das Mikrofon des Telefons verwenden, um damit Aktivitäten in der Nähe auszuspionieren, Telefonanrufe aufzuzeichnen und Surfaktivitäten und Tastenanschläge des Nutzers zu protokollieren. Auch der Standort des Gerätebesitzers lässt sich über die eingebaute Standortbestimmung (Global Positioning System GPS) oder den Beschleunigungsmesser des Smartphones ermitteln.

So lässt sich in KMU Spyware verhindern

Die strikte Anwendung der grundlegenden Massnahmen der Cyber Security ist der beste Weg, um Spyware zu verhindern:

• Software ausschliesslich aus vertrauenswürdigen Quellen herunterladen oder installieren.
• Lesen aller Angaben vor der Installation von Software.
• Updates und Patches der Hersteller für Browser-, Betriebssystem- und Anwendungssoftware zeitnah einspielen und damit das System gegen aktuelle Gefahren schützen.
• Geprüfte und seriöse Antivirensoftware oder die Dienstleistung «Managed Antivirus» von spezialisierten IT-Dienstleistern einsetzen.
• Die Mitarbeitenden regelmässig zur IT-Nutzung schulen und auf die wichtigsten Verhaltensweisen sensibilisieren: E-Mails oder Anhänge von unbekannten Absendern nicht öffnen, Vermeiden von Interaktionen mit Pop-up-Anzeigen (Fenster mit Werbeinhalten, das sich zusätzlich über dem Browserfenster öffnet), Cookies nur in Ausnahmefällen und nur von besuchten Seiten zu akzeptieren.
• Zwei-Faktor-Authentifizierung (2FA) aktivieren. Einige Unternehmen haben ihren Authentifizierungsprozess sogar auf Drei- und Vier-Faktor-Authentifizierung erweitert (3FA bzw. 4FA).
• Um die Wahrscheinlichkeit einer Infektion weiter zu verringern, sollten Netzwerkadministratoren das Prinzip der geringsten Zugriffsprivilegien (Least Privilege Principle) praktizieren.
• Extern arbeitende Mitarbeitende, sollen vorzugsweise über ein gesichertes virtuelles privates Netzwerk (VPN) auf die Unternehmens-IT zugreifen.
  
  

So lässt sich Spyware entfernen

Um bereits installierte Spyware zu entfernen, müssen Gerätebenutzer zunächst feststellen, dass die Spyware in ihrem System vorhanden ist. Es gibt mehrere Symptome, die auf das Vorhandensein einer Spyware hindeuten können:

• Das Gerät läuft mit einer viel langsameren Geschwindigkeit als normal
• Das Gerät stürzt ständig unerwartet ab
• Popup-Anzeigen werden angezeigt, unabhängig davon, ob der Benutzer online oder offline ist
• Der Festplattenspeicher des Geräts ist voll, obwohl die Menge an durch den Nutzer gespeicherten Dateien dies nicht vermuten lässt
  
  

Wenn ein KMU feststellt, dass Spyware das System infiziert hat, sollte der Benutzer die internen IT-Verantwortlichen informieren. Wenn nicht genügend Cyber-Security-Expertise im Unternehmen vorhanden ist, so sollte es Unterstützung durch einen externen IT-Dienstleister mit genügend Erfahrung in IT-Sicherheit einholen.

Titelbild: Shutterstock