Was ist Malware?

Fast jeder moderne Cyberangriff beinhaltet irgendeine Art von Malware. Diese Schadprogramme können viele Formen annehmen, von hochgradig schädlicher und kostspieliger Ransomware bis hin zu einfach nur lästiger Adware – je nachdem, was die Cyberkriminellen bezwecken möchten.

Cyberkriminelle entwickeln und nutzen Malware für Folgendes:

• Um Geräte, Daten oder ganze Unternehmensnetzwerke für hohe Geldbeträge als Geiseln zu nehmen.
  
  
• Um unbefugten Zugang zu vertraulichen Daten oder digitalen Assets zu erhalten.
  
  
• Um Anmeldedaten, Kreditkartennummern, geistiges Eigentum oder andere wertvolle Informationen zu stehlen.
  
  
• Um kritische Systeme, auf die sich Unternehmen und Regierungsbehörden verlassen, zu beeinträchtigen.

Jedes Jahr kommt es zu Milliarden von Malware-Angriffen und Malware-Infektionen können jedes Gerät und Betriebssystem betreffen. Egal, ob Windows-, Mac-, iOS- oder Android-Systeme: Alle können zum Opfer werden.

Malware-Angriffe zielen zunehmend auf Unternehmen statt auf einzelne Benutzer ab, da Hacker gelernt haben, dass es lukrativer ist, Unternehmen anzugreifen. Unternehmen verfügen oft über erhebliche Mengen an personenbezogenen Daten, und die Hacker nutzen diese Tatsache aus, um große Geldsummen von ihnen zu erpressen. Die Hacker können diese personenbezogenen Daten für Identitätsdiebstahl nutzen oder sie im Dark Web verkaufen.

Cyberkriminalität ist ein riesiger Wirtschaftszweig. Einer Schätzung zufolge wäre sie die drittgrößte Volkswirtschaft der Welt hinter den USA und China und es wird erwartet, dass sie bis 2025 10,5 Billionen USD an Kosten verursacht.

Hacker entwickeln ständig neue Malware-Stämme mit neuartigen Merkmalen und Funktionen. Diese einzelnen Malware-Stämme bringen im Laufe der Zeit neue Varianten hervor, um sich besser vor Sicherheitssoftware zu verstecken. Laut einer Schätzung wurden seit den 1980er-Jahren mehr als eine Milliarde verschiedene Malware-Stämme und -Varianten erzeugt. Das macht es für Cybersicherheitsexperten schwierig, Schritt zu halten.

Hacker geben ihre Malware oft weiter, indem sie den Code als Open-Source-Software zur Verfügung stellen oder ihn an andere Kriminelle verkaufen. Malware-as-a-Service-Vereinbarungen sind unter Ransomware-Entwicklern weit verbreitet, sodass auch Kriminelle mit wenig technischem Know-how die Früchte von Cyberkriminalität ernten können.

Obwohl sich die Landschaft ständig verändert, können Malware-Stämme in einige gängige Typen eingeteilt werden.

Die Begriffe „Malware“ und „Computervirus“ werden synonym verwendet, aber technisch gesehen ist ein Virus eine besondere Art von Malware. Konkret handelt es sich bei einem Virus um bösartigen Code, der legitime Software kapert, um Schaden anzurichten und Kopien von sich selbst zu verbreiten.

Viren können nicht selbstständig agieren. Stattdessen verbergen sie Teile ihres Codes in anderen ausführbaren Programmen. Bei Start des Programms wird auch der Virus ausgeführt. Viren bezwecken in der Regel, wichtige Daten zu löschen, reguläre Abläufe zu unterbrechen und Kopien von sich selbst an andere Programme auf dem infizierten Computer zu verteilen.

Bei den meisten der frühesten Malware-Bedrohungen handelte es sich um Viren. Elk Cloner, möglicherweise die erste Malware, die sich über öffentliche Geräte verbreitete, war ein Virus, der Apple-Computer anvisierte.

Ransomware sperrt die Geräte oder Daten eines Opfers und verlangt eine Lösegeldzahlung, in der Regel in Form von Kryptowährung, um sie zu entsperren. Laut dem X-Force Threat Intelligence Index von IBM ist Ransomware mit 17 % aller Angriffe die zweithäufigste Art von Cyberangriff.

Die einfachsten Ransomware-Attacken machen Assets unbrauchbar, bis das Lösegeld gezahlt wird. Cyberkriminelle können aber zusätzliche Taktiken anwenden, um den Druck auf die Opfer zu erhöhen.

Bei einem Doppelerpressungsangriff stehlen Cyberkriminelle Daten und drohen, sie preiszugeben, wenn nicht gezahlt wird. Bei einem Dreifacherpressungsangriff verschlüsseln Hacker die Daten des Opfers, entwenden sie und drohen damit, Systeme durch einen DDoS (Distributed Denial of Service)-Angriff offline zu nehmen. „Denial of Service“ bedeutet, dass ein Server mit so vielen Anfragen „bombardiert“ wird, dass er quasi reaktionsunfähig wird.

Die Lösegeldforderungen können zwischen Zehntausenden und Millionen USD liegen. Laut einem Bericht beträgt die durchschnittliche Lösegeldzahlung 812.360 USD. Auch wenn kein Lösegeld gezahlt wird, ist Ransomware teuer. Der Data Breach Kostenreport von IBM hat ergeben, dass ein durchschnittlicher Ransomware-Angriff mit Beteiligung der Strafverfolgungsbehörden 4,38 Mio. USD und ohne deren Beteiligung 5,37 Mio. USD kostet. und diese Kostenangaben beinhalten nicht das Lösegeld selbst.

Hacker verwenden Remote-Zugriff-Malware, um sich Zugang zu Computern, Servern oder anderen Geräten zu verschaffen, indem sie Hintertüren schaffen oder ausnutzen. Laut dem X-Force Threat Intelligence Index ist das Einschleusen von Hintertüren mit 21 % aller Angriffe das häufigste Ziel von Hackern.

Backdoors eröffnen Cyberkriminellen viele Möglichkeiten. Sie können Daten oder Zugangsdaten entwenden, die Kontrolle über ein Gerät übernehmen oder sogar noch gefährlichere Malware wie Ransomware installieren. Haben Hacker mit Remote-Zugriff-Malware eine Backdoor erzeugt, verkaufen sie sie manchmal an andere Hacker. Dies kann jeweils mehrere tausend USD einbringen.

Manche Remote-Zugriff-Malware wie Back Orifice oder CrossRAT wird absichtlich für böswillige Zwecke entwickelt. Eine andere Möglichkeit ist es, rechtmäßige Software abzuändern oder zu zweckentfremden, um remote auf ein Gerät zuzugreifen. Insbesondere nutzen Cyberkriminelle gestohlene Anmeldeinformationen für das Microsoft Remote Desktop Protocol (RDP) als Hintertür.

Ein Botnet ist der Zusammenschluss von mit Malware infizierten Online-Geräten, die unter der Kontrolle eines Hackers stehen. In einem Botnet können PCs, mobile Geräte, IoT-Geräte (Internet of Things) und andere zusammengeschlossen sein. Die Betroffenen merken oft gar nicht, dass ihre Geräte Teil eines Botnets sind. Botnets werden häufig bei DDoS-Angriffen eingesetzt.

Mirai, eines der bekanntesten Botnets, war 2016 für einen massiven Angriff auf den Domain Name System-Anbieter Dyn verantwortlich. Bei diesem Angriff waren beliebte Websites wie Twitter und Reddit für Millionen von Nutzern in den USA und Europa nicht mehr erreichbar.

Bei einem Kryptojacker handelt es sich um Malware, die ohne Wissen des Besitzers die Kontrolle über ein Gerät übernimmt und es zum Mining von Kryptowährungen wie Bitcoin nutzt. Im Wesentlichen erstellen Kryptojacker Krypto-Mining-Botnets.

Das Mining von Kryptowährungen ist extrem rechenaufwändig und teuer. Cyberkriminelle profitieren, während die Benutzer infizierter Computer durch Leistungseinbußen und Abstürze beeinträchtigt werden. Kryptojacker haben es oft auf die Cloudinfrastruktur von Unternehmen abgesehen, da sie so mehr Ressourcen zum Kryptomining erhalten als bei Angriffen auf einzelne Computer.

Bei dateiloser Malware handelt es sich um eine Angriffsart, die Schwachstellen in legitimen Softwareprogrammen wie Webbrowsern und Textverarbeitungsprogrammen ausnutzt, um schädlichen Code direkt in den Speicher eines Computers zu injizieren. Da der Code im Arbeitsspeicher ausgeführt wird, hinterlässt er keine Spuren auf der Festplatte. Und da legitime Software verwendet wird, wird der schädliche Code oft nicht erkannt.

Viele dateilose Malware-Angriffe nutzen PowerShell, eine in Microsoft Windows-Betriebssysteme integrierte Befehlszeilenschnittstelle und ein Scripting-Tool. Hacker können PowerShell-Scripts ausführen, um Konfigurationen zu ändern, Passwörter zu stehlen oder andere Schäden zu verursachen.

Bösartige Makros sind ein weiterer, häufig verwendeter Angriffsweg für dateilose Malware. In Anwendungen wie Microsoft Word oder Excel können Makros erstellt werden, um beispielsweise einfache Aufgaben wie die Formatierung von Text oder die Durchführung von Berechnungen zu automatisieren. Werden bösartige Skripte in solchen Makros gespeichert, werden sie mit dem Makro automatisch ausgeführt.

Computerwürmer sind sich selbst replizierende Schadprogramme, die sich ohne Benutzerinteraktion zwischen Anwendungen und Geräten ausbreiten können. (Im Vergleich dazu kann sich ein Virus nur verbreiten, wenn der Benutzer das kompromittierte Programm ausführt.) Manche Computerwürmer tun nichts weiter, als sich zu vervielfältigen. Andere haben jedoch schwerer wiegende Folgen. Die Ransomware WannaCry beispielsweise, die einen geschätzten Schaden von 4 Mrd. USD verursachte, war ein Computerwurm, der seine Wirkung dadurch maximierte, dass er sich automatisch zwischen miteinander verbundenen Geräten verbreitete.

Trojaner tarnen sich als nützliche Programme oder verstecken sich in legitimer Software, um Benutzer zur Installation zu verleiten. Ein Fernzugriffstrojaner oder „RAT“ (Remote Access Trojaner, Remote-Zugriffstrojaner) erstellt eine geheime Hintertür auf dem infizierten Gerät. Eine andere Art von Trojanern, sogenannte „Dropper“, installieren zusätzliche Malware, sobald sie erfolgreich eingeschleust wurden. Ryuk, einer der verheerendsten Ransomware-Stämme der letzten Zeit, nutzte den Emotet-Trojaner, um Geräte zu infizieren.

Rootkits sind Malware-Pakete, mit denen Hacker privilegierten Zugang auf Administratorebene zum Betriebssystem oder zu anderen Ressourcen eines Computers erhalten. Durch diese erweiterten Rechte können Hacker dann praktisch alles tun, was sie wollen, sei es Benutzer hinzufügen oder entfernen, Anwendungen neu konfigurieren oder sogar Betriebssystemcode modifizieren. Rootkits werden häufig dazu verwendet, um schädliche Prozesse zu verbergen oder Sicherheitssoftware, die sie abfangen könnte, zu deaktivieren.

Scareware verleitet Benutzer dazu, Malware herunterzuladen oder vertrauliche Informationen an Betrüger weiterzugeben. Scareware erscheint oft als plötzliches Pop-up mit einer dringenden Meldung, die den Benutzer in der Regel warnt, dass er gegen das Gesetz verstoßen hat oder dass sich ein Virus auf seinem Gerät befindet. Der Benutzer wird aufgefordert, eine „Strafe“ zu zahlen oder eine gefälschte Sicherheitssoftware herunterzuladen, die sich dann als Malware entpuppt.

Spyware verbirgt sich auf einem infizierten Computer, erfasst vertrauliche Informationen und sendet sie an einen Angreifer. Eine gängige Art von Spyware, die Keylogger heißt, zeichnet alle Tastatureingaben eines Benutzers auf, sodass Hacker Benutzernamen, Passwörter, Konto- und Kreditkartennummern, Sozialversicherungsnummern und weitere vertrauliche Daten erfassen können.

Adware spammt ein Gerät mit unerwünschter Pop-up-Werbung zu. Adware ist häufig in kostenloser Software enthalten, ohne dass der Benutzer sich dessen bewusst ist. Beim Installieren des Programms wird also unabsichtlich auch die Adware installiert. Der Großteil der Adware ist lediglich störend, es gibt jedoch auch Varianten, die personenbezogene Daten erfassen, Webbrowser auf schädliche Websites umleiten oder sogar weitere Malware auf das Gerät des Benutzers herunterladen, wenn er auf eines der Pop-ups klickt.

Ein Malware-Angriff besteht aus zwei Komponenten, der Malware-Payload und dem Angriffsvektor. Die Payload ist der bösartige Code, den die Hacker einschleusen wollen, und der Angriffsvektor ist die Methode, die verwendet wird, um die Payload an ihr Ziel zu bringen.

Zu den häufigsten Malware-Vektoren gehört Folgendes:

Einige Malware-Infektionen, wie z. B. Ransomware, machen auf sich aufmerksam. Die meisten versuchen jedoch, unerkannt zu bleiben, während sie Chaos anrichten. Dennoch hinterlassen Malware-Infektionen häufig Anzeichen, anhand derer Cybersicherheitsteams sie identifizieren können. Zu diesen Anzeichen gehören:

Leistungseinbußen: Malware-Programme nutzen die Ressourcen des infizierten Computers, beanspruchen häufig Speicherplatz und beeinträchtigen legitime Prozesse. Das IT-Supportteam verzeichnet möglicherweise einen Zustrom von Tickets von Benutzern, deren Geräte langsamer werden, abstürzen oder mit Pop-ups überflutet werden.

Neue und unerwartete Netzwerkaktivitäten: IT- und Sicherheitsmitarbeitern können seltsame Muster auffallen, z. B. Prozesse, die mehr Bandbreite als üblich verbrauchen, Geräte, die mit unbekannten Servern kommunizieren, oder Benutzerkonten, die auf Assets zugreifen, die sie normalerweise nicht verwenden.

Geänderte Konfigurationen: Einige Malware-Varianten modifizieren Gerätekonfigurationen oder deaktivieren Sicherheitslösungen, um der Entdeckung zu entgehen. IT- und Sicherheitsteams stellen vielleicht fest, dass sich die Firewallregeln geändert haben oder einem Konto mehr Rechte zugewiesen wurden.

Warnungen zu Sicherheitsereignissen: In Unternehmen mit Bedrohungserkennungslösungen ist das erste Anzeichen einer Malware-Infektion wahrscheinlich eine Warnung zu Sicherheitsereignissen. Lösungen wie Warnsysteme gegen Angriffe von außen (Intrusion Detection Systems, IDS), Security Information and Event Management (SIEM)-Plattformen und Antivirensoftware können potenzielle Malware-Aktivitäten kennzeichnen, damit das Notfallteam sie überprüfen kann.

Malware-Angriffe sind unvermeidlich, aber Unternehmen können Maßnahmen ergreifen, um ihre Abwehr zu stärken. Hier sind einige Schritte:

Schulungen zum Sicherheitsbewusstsein: Viele Malware-Infektionen sind darauf zurückzuführen, dass Benutzer gefälschte Software herunterladen oder auf Phishing-Betrügereien hereinfallen. Schulungen zum Sicherheitsbewusstsein können Benutzern dabei helfen, Social-Engineering-Angriffe, schädliche Websites und gefälschte Apps zu erkennen. Durch Schulungen zum Sicherheitsbewusstsein können Benutzer auch lernen, was sie tun und an wen sie sich wenden können, wenn sie eine Bedrohung durch Malware vermuten.

Sicherheitsrichtlinien: Die Verpflichtung zur Verwendung von starken Passwörtern, Multi-Faktor-Authentifizierung und VPNs beim Zugriff auf vertrauliche Assets über nicht gesichertes WLAN kann dazu beitragen, den Zugriff von Hackern auf Benutzerkonten einzuschränken. Das Einrichten eines regelmäßigen Zeitplans für Patch-Management, Anfälligkeitsbewertungen und Penetrationstests kann ebenfalls dazu beitragen, Software- und Geräteschwachstellen zu erkennen, bevor Cyberkriminelle sie ausnutzen. Richtlinien zur Verwaltung von BYOD-Geräten (Bring your own device) und zur Verhinderung von Schatten-IT können dazu beitragen, zu vermeiden, dass Benutzer unwissentlich Malware in das Unternehmensnetzwerk einschleusen.

Backups: Die Aufbewahrung aktualisierter Sicherungen von vertraulichen Daten und Systemabbildern, idealerweise auf Festplatten oder anderen vom Netzwerk trennbaren Geräten, kann die Wiederherstellung nach Malware-Angriffen erleichtern.

Zero-Trust-Netzarchitektur: Zero-Trust ist ein Ansatz für die Netzwerksicherheit, bei dem Benutzer nie als vertrauenswürdig gelten und stets überprüft werden. Insbesondere kommen bei Zero-Trust das Least-Privilege-Prinzip (Prinzip der geringsten Rechtevergabe), eine Mikrosegmentierung des Netzwerks sowie eine kontinuierliche anpassungsfähige Authentifizierung zum Einsatz, um sicherzustellen, dass kein Benutzer oder Gerät unbefugt auf vertrauliche Daten oder Assets zugreifen kann. Wenn Malware in das Netzwerk gelangt, können diese Kontrollen ihre Lateralbewegung einschränken.

Notfallpläne: Die Erstellung von Notfallplänen im Voraus für verschiedene Arten von Malware kann den Teams für Cybersicherheit helfen, Malware-Infektionen schneller zu beseitigen.

Zusätzlich zu den oben beschriebenen manuellen Maßnahmen können Cybersicherheitsteams mithilfe von Sicherheitslösungen bestimmte Aspekte der Malware-Entfernung, -Erkennung und -Prävention automatisieren. Zu den gängigen Tools hierfür gehören:

Antivirensoftware: Auch Anti-Malware genannt; Antivirensoftware untersucht Systeme auf Infektionsanzeichen. Viele Antivirenprogramme warnen nicht nur Benutzer, sondern können erkannte Malware auch automatisch isolieren und entfernen.

Firewalls: Firewalls können dafür sorgen, dass ein Teil des schädlichen Datenverkehrs gar nicht erst ins Netzwerk gelangt. Geschieht es doch, können Firewalls dazu beitragen, ausgehende Kommunikation an Hacker zu verhindern, wenn z. B. ein Keylogger Tastenanschläge an den Angreifer senden will.

SIEM-Plattformen (Security Information and Event Management): SIEMs erfassen Informationen aus internen Sicherheitstools, aggregieren sie in einem zentralen Protokoll und melden Anomalien. Da SIEMs Warnungen aus mehreren Quellen zentralisieren, können sie es einfacher machen, subtile Anzeichen für Malware zu erkennen.

SOAR-Plattformen (Security Orchestration, Automation and Response): SOARs integrieren und koordinieren unterschiedliche Sicherheitstools und ermöglichen es Sicherheitsteams, halb- oder vollautomatische Playbooks für die Reaktion auf Malware in Echtzeit zu erstellen.

EDR-Plattformen (Endpoint Detection and Response): EDRs überwachen Endgeräte wie Smartphones, Laptops und Server auf Anzeichen für verdächtige Aktivitäten und können automatisch auf entdeckte Malware reagieren.

XDR-Plattformen (Erweiterte Erkennung und Reaktion): XDRs integrieren Sicherheitstools und -abläufe über alle Sicherheitsebenen, Benutzer, Endgeräte, E-Mail, Anwendungen, Netzwerke, Cloud-Workloads und Daten hinweg. XDRs können dabei helfen, komplexe Prozesse der Prävention, Erkennung und Untersuchung von Malware sowie der Reaktion darauf zu automatisieren, einschließlich der proaktiven Suche nach Bedrohungen.

ASM-Tools (Attack Surface Management, Angriffsflächenmanagement): ASM-Tools erkennen, analysieren, beheben und überwachen kontinuierlich alle Assets im Netzwerk eines Unternehmens. ASM kann Cybersicherheitsteams dabei helfen, nicht autorisierte Schatten-IT-Anwendungen und -Geräte, die möglicherweise Malware enthalten, zu erkennen.

UEM-Software: UEM (einheitliche Endpunktverwaltung) überwacht, verwaltet und schützt alle Endbenutzergeräte eines Unternehmens, darunter Desktops, Laptops und mobile Geräte. Viele Unternehmen nutzen UEM-Lösungen, damit die BYOD-Geräte von Mitarbeitenden keine Malware in das Unternehmensnetzwerk einschleusen.