Rubrik: Produkte/Hintergrund

Definition von Spyware

Spyware einfach nur als unerwünschte Software zu bezeichnen, ist eine Verharmlosung

(17.01.05) - Die meisten Benutzer wissen über Spyware nicht sehr viel außer der Tatsache, dass es sich um unerwünschte und bösartige Software handelt. Lange Zeit haben Unternehmen der Bedrohung durch Spyware weniger Bedeutung beigemessen als Viren oder Spam-Mails. Spyware kann allerdings genauso große Schäden anrichten wie die schlimmste Vireninfektion. Die finanzielle Bedrohung durch Spyware ist weitreichend und sehr viel ernster zu nehmen als beispielsweise Kreditkartenbetrug per E-Mail (Phishing). Das gilt auch für die Folgen, die Spyware in Form einer Gefährdung des Datenschutzes und von möglichen Haftungsansprüchen nach sich zieht. Vor allem für kleine und mittlere Unternehmen ist es daher von äußerster Wichtigkeit, die Natur von Spyware und ihr Gefahrenpotenzial zu kennen.

Was ist Spyware?

Spyware einfach nur als unerwünschte Software zu bezeichnen, ist eine Verharmlosung. Einmal auf dem PC installiert kann Spyware die Windows-Registry ändern, DLLs (Dynamic Link Libraries) hinzufügen und Programmdateien (DPFs, z. B. bösartige ActiveX- oder Java VM-Objekte) auf das System herunterladen. Manche Spyware infiltriert Webbrowser (besonders Internet Explorer) durch Installation von ActiveX-Steuerungen, BHOs (Browser Helper Objects) und Toolbars oder durch Modifikation der Internet-Optionen des Browsers, einschließlich Homepages, Favoritenlisten und Kontextmenüobjekte. Wieder andere Spyware verändert sogar TCP/IP-Einstellungen und Host-Dateien.

In im Internet verfügbaren Spyware-Enzyklopädien und Glossaren werden Zehntausende von als bösartig eingestuften Spyware-Programmen identifiziert. Die am häufigsten anzutreffenden Typen werden nach-folgend im Detail beschrieben:

Adware

Nicht alle Adware ist (technisch gesehen) Spyware, aber viele Experten sind der Meinung, dass selbst die so genannte Permissionware (Software, deren Verwendung die Zustimmung des Entwicklers erfordert) als Spyware anzusehen ist, wenn sie der Verbreitung unerbetener Werbung dient. Zu den am häufigsten verwendeten Zustellungsmethoden gehören unerwünschte Browser-Fenster (Popups) und durch Werbe-banner gesponserte Anwendungen. Zurzeit gibt es etwa 800 dieser Softwareangebote mit integrierter Spyware. Die Palette solcher Angebote ist umfangreich und umfasst kostenlose Spieleversionen (Midnight Oil Solitaire), FTP-Clients (FTP Works), E-Mail-Clients (Eudora), Music Player, Web- und Systemdienst-programme und viele andere Anwen-dungen, die oft den berühmten Haken haben. Die Entwickler dieser Software verdienen über die Werbefirmen, die ihre Werbung in Fenstern oder Toolbar-Funktionen der so genannten Freeware anzeigen. Manche Adware (z. B. FlashTrack) überwacht die Internetaktivitäten und Suchanfragen von Benutzern und sendet dann diese Infos an Ad-Server wie Aureate und Aveo, die dann ziel-gerichtete Werbung (meistens Popup-Werbebanner) basierend auf Stichwörtern oder bestimmten Sätzen ausgeben. Viele Eltern haben bereits die Erfahrung gemacht, dass ihre Kinder beim Surfen über augen-scheinlich harmlose Stichwörter wie "Kätzchen" zu Websites mit fragwürdigen Inhalten, wie z. B. Porno-grafie, umgeleitet werden.

Browser-Session-Hijacking

Beim Browser-Session-Hijacking (wortwörtlich Browser-Sitzungs-Entführung) kommt eine Art virtuelle Lockvogeltaktik zum Einsatz. Über Spyware (Icoo, WurldMedia, Xupiter Toolbar, Lop, BonziBuddy, CoolWebSearch) werden dabei Browser-Sitzungen und Suchanfragen zu Websites und Suchmaschinen umdirigiert, die der Benutzer ursprünglich gar nicht zu besuchen beab-sichtigte. Der "entführte" Benutzer sieht sich dann unerwünschten oder fragwürdigen Inhalten und Werbebotschaften ausgesetzt. Die "Entführer" verdienen an der Kommission bzw. den entsprechen-den Gebühren für die selektive Weiter-leitung von Benutzern an E-Commerce Sites, die Dienste oder Produkte ähnlich denen vom Benutzer ursprünglich gesuchten anbieten.

Remote Administration Tools

Bestimmte Remote-Administration-Tools (RATs) und Keylogger gehören zu der Sorte Spyware, die sich das Trojanerprinzip zu Nutze macht. Wie der Name schon sagt, erhält der Angreifer durch sie die administrative Kontrolle bzw. die Möglichkeit zum illegalen Datenzugriff. So können per Remote-Zugriff Tastatureingaben des Benutzers abgefangen und protokolliert, Anwendungs- und Browser-Aktivitäten überwacht und sogar WebCam-Streams abgefangen werden. BackOrifice und Sub7 sind Beispiele für RATs, die in die Kategorie der DDoS (Distributed Denial of Service) -Bedrohung fallen. Kommerzielle RATs wie NetObserve und Spyagent werden vordergründig als "legitime Über-wachungstools" für Manager, Eltern sowie misstrauische Ehegatten vertrieben. Der kürzlich aufgetretene und berüchtigte Trojaner Bankhook.A ist ein Tastaturan-schläge protokollierendes Browser-Helper- Object, das in E-Mail-Anhängen Verbreitung findet und nach erfolgter Installation nach auf dem PC gespeicherten Kontozugriffsdaten sucht.

Tracking-Agents

Tracking-Agents, Web-Bugs und Data-Miner sind virtuelle "Müllmänner", die das Web-Browsing und -Shopping sowie E-Mail- und Instant Messaging-Aktivitäten überwachen und sogar System- und private Informationen sammeln können. Manche Tracking-Firmen verwenden diese Informationen für die Zielkundenwerbung, andere wiederum veräußern oder missbrauchen die gesammelten Daten. Alexa, eine gängige Such-Toolbar, gehört ebenfalls zu den Data-Mining-Tools. Transponder/VX2 sammelt E-Mail-Adressen und Browser-Verläufe sowie Daten aus Web-Formularen und Konfigu-rationsdateien. Gator/GAIN (jetzt Claria) beansprucht die Bezeichnung Permissionware. Anti-Spyware-Experten aber behaupten, dass dieser Client, der automatisch Formulare ausfüllt und Passwörter speichert, die Kaufgewohnheiten von Benutzern protokolliert.

Double Agent Spyware

Leider kommt es auch vor, dass Software, die als Anti-Spyware deklariert wird, in Wahrheit nichts anderes als Spyware ist. So laden Benutzer Demo- oder Freeware-Versionen von so genannter Sicherheitssoftware gegen Adware herunter, nur um herauszufinden, dass es sich dabei in Wirklichkeit um Spyware handelt. Seriöse Händler von Anti-Spyware wie PestPatrol und Kephyr Labs ordnen "RedV EasyInstaller" und "SpyBlast" in diese Kategorie ein. Aber auch das ist noch nicht der Gipfel der Unseriosität. Manche Hersteller "entführen" mit ihrer Anti-Spyware (SpyWiper) sogar Startseiten aus dem einfachen Grund, um den unwissenden Benutzer dann zum Kauf ihres Produkts zu drängen (eine Art virtuelle Schutzerpressung). (Anna Focks, Senior Director EMEA bei WatchGuard) (WatchGuard: ma)