Computerdateien, E-Mails, USB-Sticks & -Kabel, Chips aller Art ... aber woher kommt die Malware, die Endgeräte infiziert? Und wo versteckt sie sich, wenn das Gerät einmal infiziert ist? Und wie kann man sich davor schützen? Ein pädagogisches Papier, um die Route einer Malware nachzuvollziehen.
Welche Zugangswege nutzt die Malware?
Malware nutzt zahlreiche Transitmethoden, um ihr Ziel zu erreichen und Computersysteme zu infizieren; man spricht dann von der Exposition des Informationssystems: die Angriffsfläche. Die Anzahl der Angriffe, die auf ein Ziel gerichtet sind, ist unterschiedlich und eröffnet den Cyberkriminellen einen gewissen Spielraum, um sich je nach Schutzniveau des Ziels eine eigene Route zu schaffen.
Einige Hauptinfektionsvektoren kristallisieren sich jedoch heraus, und zwar mit E-Mail-Diensten oder der Lieferkette wie auf einer Software-Dimension. Mehr oder weniger ausgeklügelte Phishing-Techniken zielen darauf ab, dass der Benutzer eine Malware installiert oder zunächst seine Zugangsdaten für den Fernzugriff auf seinen Arbeitsplatz abfragt. Dafür gibt es verschiedene Methoden, von einer gefälschten Website bis hin zu einem Keylogger, der sich hinter einer infizierten Datei versteckt. Sobald die Zugangsdaten erlangt wurden, verwenden Cyberkriminelle sie, um sich Zugang zum Informationssystem zu verschaffen. Ebenfalls in dieser Software-Dimension sind die wichtigsten Anwendungsplattformen, Play Store, App Store, Google Play Store ..., regelmäßig von infizierten Anwendungen betroffen – leider oft von Tausenden oder sogar Millionen von Menschen heruntergeladen, bevor sie von den Plattformen entfernt werden. Vom Abzapfen der Kontaktdatenbank bis hin zum Hijacking von Webbrowsern kann die Malware in diesen Anwendungen auch dazu dienen, temporäre Passwörter zu stehlen, die z. B. per SMS verschickt werden. Schneller Tipp: Denken Sie daran, vor dem Herunterladen einer Anwendung zu überprüfen, woher sie stammt und wer der Entwickler ist. Aber nicht alles ist so einfach, und das Beispiel der offiziellen App für die Olympischen Spiele 2022 in Peking – die für die Athleten und ihre Mitarbeiter gedacht ist – wirft noch mehr Fragen zu dieser Vertrauensfrage auf. In diesem Fall hatten Cyber-Sicherheitsforscher dort echte Sicherheitslücken entdeckt. Die meisten von ihnen waren nicht in der Lage, die Daten zu verschlüsseln oder persönliche Daten zu sammeln. Parallel dazu nehmen auch die sogenannten Cyberangriffe auf die Versorgungskette zu, mit verheerenden Auswirkungen. Die Cyberkriminellen infizieren dabei direkt eine Software und hoffen, dann deren Kunden zu infizieren, meist unter Ausnutzung eines Updates. Bis Ende 2020 sollen fast 18.000 Kunden des Unternehmens SolarWinds im Rahmen eines solchen Angriffs mit der Malware Sunburst infiziert worden sein.
Die Bedrohung kann auch von einer materiellen Dimension ausgehen, bei der physische Datenträger zu Infektionsvektoren werden und die Einrichtung komplexer und vor allem teurer ist. Das offensichtlichste, weil bekannteste Beispiel ist der infizierte USB-Stick, der sowohl in zivilen als auch in sensibleren Bereichen verwendet wird. Wie z. B. in der Industrie und nun mit Malware nach Hause geliefert wird ... und es gibt noch weniger klassische Medien. Während die Beispiele eines Aquariumthermometers in einem Kasino oder eines vernetzten Babyphones außergewöhnlich sind und weit entfernt vom Arbeitsalltag scheinen, sind andere viel näher an den Menschen. Faxgerät, Drucker, Computermaus oder auch USB- und Lightning-Kabel werden nun regelmäßig als potenzielle Eintrittsquellen in Arbeitsplätze und damit in Computernetzwerke hervorgehoben. Und wenn Sie die USB-Anschlüsse Ihrer Geräte verschließen, sind diese nicht vor Bedrohungen geschützt: Anfang 2022 wurde ein Rootkit entdeckt, das im SPI-Flash-Chip eines Computer-Mainboards versteckt war ... Anticybersecurity-by-design.
Wenn die Malware den Rechner infiziert hat
Aber zu erkennen, dass ein Endgerät mit Malware infiziert ist, ist alles andere als einfach, da es das Ziel der Cyberkriminellen ist, unter dem Radar von Cybersicherheitslösungen zu fliegen. Es gibt zwar Anzeichen, die darauf hindeuten können, z. B. ein langsameres Betriebssystem, ungewöhnlich viele Pop-ups oder plötzlich auftretende Bluescreens, aber andere sind eher heimlich. Und sind am verdächtigem Verhalten einer Arbeitsstation zu erkennen.
Wo befindet sich die Malware auf einem Endgerät, nachdem sie heruntergeladen wurde? Zunächst installiert sie sich in den temporären Benutzerverzeichnissen. Betriebssysteme enthalten nämlich eine Vielzahl von temporären Ordnern, die von Anwendungsdaten bis hin zu Browser-Caches reichen. Diese Dateien, auf die Benutzer standardmäßig schreibend zugreifen können, weisen von Haus aus eine niedrige Sicherheitsstufe auf, sodass Malware sie als Startrampe nutzen kann. Das Ziel der Malware ist es dann, bösartigen Code zu interpretieren, sei es in Form eines Skripts oder einer ausführbaren Datei. Es ist auch möglich, Spuren der Installation von Malware in der Windows-Registrierung zu finden.
Wie wird man Malware los?
Hier kommt das Sprichwort „Vorbeugen ist besser als heilen“ zum Tragen, um eine komplette Neuinstallation der Arbeitsstation zu vermeiden. Es ist also immer noch besser, einer Infektion vorzubeugen: Noch bevor man vom Endgerät spricht, ist der Benutzer in der Regel das Ziel. Indem sie versuchen, seine Aufmerksamkeit abzulenken oder auf seine Unkenntnis des Themas setzen, ist die Leichtgläubigkeit des Benutzers somit das erste Fenster für einen Angriff von Cyberkriminellen auf ein System. Und alle Profile in einem Unternehmen sind betroffen von diesem Konzept der digitalen Hygienebasis. Pop-up-Fenster, verdächtige Anhänge von unbekannten Benutzern oder die Installation von Software über nicht offizielle oder Torrent-Seiten sind potenzielle Gefahren, die es zu vermeiden gilt. Über die bloße Wachsamkeit hinaus, eine regelmäßige Aktualisierung des Betriebssystems und der Browser eine erste Stufe des Schutzes des IS vor Malware einrichten.
Parallel dazu gibt es technische Lösungen, um sich vor Malware zu schützen. Auf der Ebene der Netzwerkströme sind Lösungen zur Erkennung von Eindringlingen und E-Mail-Filter bewährte Verfahren. Sie ermöglichen in gewissem Maße das „Aufräumen“ von Links und Anhängen. Was Desktops und Server betrifft (wie Verhaltensschutz und/oder Gerätekontrolle), so ist das Verschließen von USB-Ports an Computern keine Notwendigkeit mehr, um Malware abzuwehren, die über physische Vektoren übertragen wird. Die Funktionen zum Schutz von Posten (EPP) werden zunächst dafür sorgen, dass die raffiniertesten Angriffe abgewehrt werden, bevor die Funktionen zur Erkennung (EDR) Elemente für weitere Analysen liefern.
Wenn es der Malware aber dennoch gelingt, einen Rechner zu infizieren, ist noch nicht alles verloren. Erster Reflex: Sobald die Malware gefunden wurde, ist es sinnvoll, die Verbindung zum Internet zu trennen, um die Beseitigung der Malware vorzunehmen. Anschließend sollten Sie darauf achten, nicht nur die bösartige Datei, sondern auch temporäre Dateien sowie Persistenzmechanismen wie Registrierungsschlüssel zu löschen. Die grundlegenden Antivirenprogramme, die z. B. auf dem Großteil der Windows-Rechner vorhanden sind, können bestimmte Schadprogramme unter Quarantäne stellen oder löschen – vorausgesetzt, sie können sie erkennen ... In einigen komplizierteren Fällen muss jedoch sogar eine komplette Neuinstallation des Systems durchgeführt werden. ... In jedem Fall ist Hilfe von außen immer von Vorteil, wie z. B. das System von cybermalveillance.gouv.fr in Frankreich, die Online-Diagnose und -Hilfe anbietet. Kennwörter ändern, Software und Betriebssystem aktualisieren sind ebenfalls unumgängliche Maßnahmen, um eine sofortige Neuinfektion zu vermeiden.