Spyware bedroht Unternehmen
Artikel erschienen in Swiss IT Magazine 2005/20
Viren, Spam und Phishing beherrschen seit Monaten die Schlagzeilen. Das hat sicher seine Berechtigung. In ihrem Schatten entwickelt sich aber weitgehend unbemerkt eine viel grössere Bedrohung: Spyware.
Viele Firmen werden sich erst langsam bewusst, was hier auf sie zukommt. Kein Wunder, war Spyware doch bisher ein Problem für Heimanwender, die auf obskuren Seiten herumsurfen, illegale Programme herunterladen und ihren Computer nicht richtig managen. Dem mag so sein – Tatsache ist, dass auch Firmen immer häufiger mit Spyware konfrontiert werden und dass diese einen beachtlichen Schaden anrichten kann.
Das belegen aktuelle Zahlen: In einer Umfrage der amerikanischen «Information Security» haben über zwei Drittel der Befragten geantwortet, dass der Kampf gegen Spyware ihre Sicherheitsprioritätenliste anführt. Der Antispyware-Hersteller Webroot Software hat gemeinsam mit dem Provider Earthlink herausgefunden, dass heutzutage bis zu 90 Prozent aller Rechner in Unternehmen mit durchschnittlich zwölf Spyware-Programmen verseucht sind. In derselben Untersuchung haben ausserdem 65 Prozent der befragten Security-Manager zugegeben, dass ihre Firma nicht adäquat gegen Spyware geschützt sei.
Dabei lässt sich Spyware noch nicht einmal richtig definieren. Was gehört schon zu eigentlicher Spyware, was ist «bloss» Adware? Gibt es überhaupt einen Unterschied? Mit diesen Fragen beschäftigt sich die im Juni gegründete Antispyware Coalition, der das US-Center for Democracy and Technology sowie einige Antispyware-Hersteller angehören. Die Koalition versucht, eine Linie zu ziehen zwischen harmloser AdWare, die für die Surfüberwachung und Werbezwecke genutzt wird, und Spyware, die tatsächlich Schaden verursachen kann. Beiden gemeinsam ist bloss, dass die Software unbemerkt auf dem Rechner landet.
Einfach ist diese Unterscheidung allerdings nicht, überschneiden sich die beiden Kategorien doch häufig. Erschwerend kommt dazu, dass es inzwischen auch die Kategorie der sogenannten «Grayware» gibt, Tools, die einen legitimen Anspruch haben und vom Anwender explizit heruntergeladen und installiert werden. Beispiele dafür sind etwa die Toolbars von Google, Yahoo und Amazon, aber auch Programme unter anderem von Microsoft, die ab und zu über das Internet mit ihren Herstellern kommunizieren, ohne dass der Anwender davon in Kenntnis gesetzt wird. Zwar beteuern die Hersteller, dass dabei keinerlei persönliche oder andere wichtige Informationen übertragen werden – gewöhnlich wird aber genau dieses Verhalten des «unerlaubten» Informationsversands als typisch und damit definierend für Spyware verstanden.
Konkret kann wohl gesagt werden, dass aktuelle Spyware-Programme weit darüber hinausgehen, bloss dem Anwender beim Surfen über die Schulter zu gucken. Immer häufiger installieren sie Backdoors sowie Keylogger und ähnliche Programme, über die gleich alle Tätigkeiten am Rechner überwacht werden können.
Für Firmen hat der Spyware-Befall gravierende Folgen, könnten über die Tools doch unter anderem vertrauliche Daten an die Öffentlichkeit gelangen. Ausserdem kann Spyware Rechner und Netzwerke verlangsamen und Systemabstürze verursachen, die durch den Arbeitsausfall und insbesondere den Reparaturaufwand zu hohen Produktivitätseinbussen führen können. So empfehlen denn auch verschiedene Experten, im Zweifelsfall den Rechner besser gleich neu aufzusetzen als die Spyware zu deinstallieren zu versuchen – zu vielfältig und tiefgreifend seien die Veränderungen im System, als dass sich ein solcher Versuch lohnen würde.
Gleichzeitig lernen die Spyware-Autoren dazu und machen ihre Tools immer cleverer. So werden viele Programme mittlerweile mit Features ausgerüstet, wie sie sonst in Sicherheits-Software zu finden sind.
Ein Beispiel sind die sogenannten Schattenprozesse, die von vielen Tools eingerichtet werden. Diese Prozesse überwachen die Spyware und installieren diese neu, sobald sie deinstalliert wurde. So ist es kaum mehr möglich, die Software wieder loszuwerden, wenn sie sich einmal auf dem Rechner befindet.
Spyware-Autoren arbeiten aber auch mit Live-Updates, die den Code der Software auf einer regelmässigen Basis verändern, so dass sie nicht in den signaturbasierten Netzen der Antispyware-Tools hängenbleibt. Noch raffinierter sind die neuesten Tricks, bei denen die Spyware jedes Mal, wenn sie gestartet wird, ihren Code automatisch verändert. Ein Nachladen von Daten über das Internet entfällt damit, was die Entdeckungschancen noch weiter reduziert. Auch ver-suchen immer mehr Spyware-Programmierer, ihre Tools mit Hilfe von Root-Kits und Kernelmodifikationen direkt im Betriebssystem zu implementieren, wodurch eine Entfernung des Programms zusätzlich erschwert wird.
Software für die Spyware-Bekämpfung war lange Zeit nur als Bastellösung für den Desktop erhältlich. Erst in jüngster Zeit – seit die finanziellen Auswirkungen der Attacken offensichtlich wurden – hat sich auch die Industrie des Problems angenommen. Mittlerweile gibt es eine grosse Auswahl von Tools, die vielfach in die Suiten der grossen Security-Anbieter wie CA, Kaspersky, McAfee oder Symantec integriert sind und Spyware abwehren und aufspüren. Im Sinne einer Abwehr auf mehreren Ebenen, die sich wie bei Viren als einzig sinnvolles Mittel erweist, wird vermehrt auch Anti-Spyware-Funktionalität in Gateways und Firewalls integriert, beispielsweise von Aladdin, Barracuda und Websense.
Gänzlich verhindern lässt sich der Spyware-Befall kaum, zu vielfältig sind die möglichen Eintrittsvektoren. Erschweren kann man den digitalen Unholden ihr Werk aber schon mit einfachen Mitteln:
Blockierung von gefährlichen und dubiosen Sites
Spyware-Blacklists in die Firewall integrieren
Browser-Alternativen nutzen (vielfach nutzt Spyware Lecks im Internet Explorer)
Pop-up-Fenster im Browser mit ALT+F4 schliessen, nicht mit der Maus, da oft OK- und Abbrechen-Buttons vertauscht sind oder andere Tricks Downloads starten
Administrationsrechte (z.B. für ActiveX-Einsatz oder Software-Installation) nur bei Usern zulassen, die sie wirklich benötigen
Vorsicht bei Mail-Attachments, insbesondere bei verschlüsselten mit im Text mitgeschicktem Passwort
Anwender schulen, damit sie verdächtiges Verhalten des Rechners, neue Toolsbars, Social-Engineering und ähnliches selbst erkennen