Seit Anfang des Jahres verbreitet sich der ConfickerWurm weltweit über das Internet

Würmer sind eigenständige Programme, die sich systematisch in einem Computernetz verbreiten, z.B. über die bereits beschriebenen E-Mail-Anhänge. Sie haben meist keine eigene Schadfunktion, richten jedoch wirtschaftlichen Schaden durch die Beanspruchung von Rechner- und Netzkapazitäten an.

Seit Anfang des Jahres verbreitet sich der ConfickerWurm weltweit über das Internet. Die Verbreitung erfolgte ursprünglich über eine Lücke im WindowsBetriebssystem, obwohl schon seit Ende 2008 ein Patch zur Beseitigung der Lücke zur Verfügung stand.

Innerhalb kürzester Zeit waren mehrere Millionen Computer verseucht. Auch die sozialen Netzwerke Facebook oder Twitter werden inzwischen verstärkt genutzt, um den Wurm zu verbreiten. Der ConfickerWurm leitet die Nutzenden über einen geschickten Link zu einer gefälschten Webseite, wo sie veranlasst werden, ihre Authentifizierungsdaten einzugeben.

Meist erscheint eine Fehlermeldung, die oder der Betrügende erhält jedoch korrekte Anmeldedaten.

Exploits Sicherheitslücken, kleine Fehler in Betriebssystemen oder Programmen, werden von Cyber-Kriminellen ausgenutzt, indem sie speziell zur Nutzung einer bekannt gewordenen Lücke entwickelte Programme zum Angriff auf ein System verwenden. Diese sog. Exploits153 öffnen ohne Zutun des Benutzers die Zugänge zum System für den Angreifer. Man unterscheidet Exploits meist nach der Art des Angriffs. Lokale Exploits werden aktiviert, wenn eine Anwendung geöffnet wird, die die Lücke enthält, für deren Ausnutzung das Exploit geschaffen wurde.

Remote Exploits nutzen Schwachstellen der Netzsoftware für Angriffe aus dem Internet. Deshalb sollten Updates bzw. Patches, die der Behebung der Schwachstelle dienen, unverzüglich nach ihrer Bereitstellung installiert werden. Dies hilft allerdings nicht gegen die sog. Zero-Day-Exploits, die bereits vor oder am selben Tag, an dem die Lücke bekannt wird, für Angriffe auf dann in der Regel noch ungeschützte Rechner erfolgt.

Web-Verbreitung Spezielle Tools erzeugen perfekt nachgebildete Webseiten (z.B. von YouTube), die anschließend per Link in entsprechenden SPAM-Mails versendet werden. Wird dieser Link am angegriffenen Rechner ausgeführt, so öffnet der Browser die vermeintlich korrekte Internetseite. Hier erscheint dann eine Fehlermeldung, die zur Installation eines fehlenden Programms auffordert. Tatsächlich wird aber ein Schaden verursachender Code, z. B. ein Trojaner, aus dem Internet nachgeladen. Auf diese Weise werden täglich ca. 16.000 Webseiten infiziert. Drive-by-Download oder Drive-by-Infektion

Bereits beim Betrachten eines Videoclips im Web oder dem Besuch einer Website kann der Computer mit Schadcode infiziert werden. Die Angreifer nutzen immer mehr Sicherheitslücken bei Browsern zum Einschleusen von Schadcode aus. Hilfreich sind hier Add-ons (Browsererweiterungen), die z. B. Java bzw. Javascript blockieren, bis die Nutzerin oder der Nutzer die Java- oder Javascript-Anwendung selbst freigibt, damit also der spontanen Infektion mit Schadcode entgegenwirkt.

Botnetze Manche Programmierer von Schadcode sind darauf aus, möglichst viele Computer zu infizieren, um mit deren Hilfe an dritter Stelle großen Schaden anzurichten. Gelangt ein sog. Software-Bot auf einen fremden Computer, kann dieser von einem BotnetzOperator ferngesteuert werden. Bis zu hunderttausend gekaperte Computer ­ manchmal Zombie-PCs genannt - werden zu einem Botnetz zusammengeführt.

Diese Netze dienen meist der Verteilung von SPAM oder gezielter Denial-of-Service-Attacken, die z. B. Im Anschluss werden nur diese Warnungen ausgeschaltet, denn ein Angriff durch Schaden verursachende Software lag nicht vor. So wurde z.B. eine E-Mail mit dem Betreff „Conficker.B Infection Alert" versandt, die der Auffindung des ConfickerWurms dienen soll. Der besorgte Nutzer prüft seinen PC mit dem angehängten Scanfile. Dieser findet natürlich den im Betreff genannten schadhaften Code und bietet seine kostengünstige Entfernung an. Wenn man Glück hat, ist man danach nur um ein paar Euro ärmer, andernfalls um ein paar Schadprogramme „reicher", die der sog. Scanfile zusätzlich installiert hat. Die Zahl der gefälschten Antiviren-Programme hat sich seit dem letzten Jahr versechsfacht. Das Antivirenprogramm von Kaspersky enthält ca. 30.

Signaturen gefälschter Antivirenprogramme155.

Phishing

Beim Phishing wird versucht, durch massenhaften Versand von SPAM-Mail durch den Einsatz eines Trojaners in einem Anhang oder durch Leitung auf die gefälschte Webseite eines Kreditinstituts an Authentisierungsdaten für das Online-Banking oder an Kreditkarteninformationen zu gelangen. Die Nutzerin oder der Nutzer wird z. B. aufgefordert, mit Hilfe einer angehängten Datei eine Rechnung zu begleichen oder zu stornieren. Als Absender wird meist ein seriöses Großunternehmen genannt.

Erste Hilfe

Bereits 2007 haben wir Mindestanforderungen zum Schutz vor schadhaftem Code aufgeführt156. Hierzu zählen ein aktuelles Virenschutzprogramm, eine sichere Firewall, die Aktualisierung von Programmen, Systemüberwachungstools und gesundes Misstrauen.

Hier soll zusätzlich auf die speziellen Tools hingewiesen werden, die gezielt z. B. FAZIT

Trotz der „medialen Ruhe" zum Thema Schadprogramme begleiten ihre Gefahren die Computernutzerinnen und -nutzer täglich. Die Verursacher sind längst nicht mehr die Anerkennung suchenden Computerfreaks, sondern Kriminelle. Nicht die Zerstörung von Daten, sondern die Erlangung von Informationen für die materielle Schädigung der Nutzerinnen und Nutzer steht heute im Vordergrund.

Was Programme so ausplaudern

Nicht nur die in der Presse gelegentlich behandelten Spionageprogramme, die alle an einem Computer ausgeführten Handlungen (wie die Eingabe von Text, z.B. von Passwörtern oder PINs, das Lesen und Schreiben von E-Mails, den Besuch von Webseiten, Start von Programmen) protokollieren können, verbreiten Informationen über unser Nutzerverhalten heimlich im weltweiten Netz. Hier soll über die Geschwätzigkeit von Betriebssystemen und „normalen" Standardprogrammen berichtet werden, die immer wieder Daten in das Internet übertragen.

Manchmal wird der Anwender über einen beabsichtigten Verbindungsaufbau unterrichtet, meist verlaufen solche Aktionen jedoch unbemerkt im Hintergrund ab. Die Gründe hierfür können sehr

Der IT-Grundschutzkatalog enthält Maßnahmen, mit denen die unnötige Übertragung von (ggf. sensiblen) Informationen durch eingesetzte Programme verhindert werden kann. Diese Maßnahmen sind von den Behörden der Berliner Verwaltung umzusetzen.