Big Brother sitzt im Rechner

Gernot Hacker ist Sicherheitsexperte und stellvertretender Geschäftsführer von Avira.

Spyware verdankt ihre Entstehung nicht Hackern, sondern der Werbeindustrie, die mit dem Siegeszug des Internets Ende der 90er-Jahre mehr über die Gewohnheiten der Konsumenten herausfinden wollte. Über eine Analyse von besuchten Seiten und eingegebenen Suchbegriffen konnte man die Anzeigen optimiert positionieren und besser auf die Website-Besucher zuschneiden.

Im Prinzip ist Spyware noch immer in vielen Fällen ein anderes Wort für «Adware». So bringen viele P2P-Programme und Bannerwerbungen versteckte Spyware-Tools mit, die im Hintergrund versuchen, das Surf-Verhalten des Anwenders auszuspionieren. Daneben gibt es jedoch auch Software, die es auf Kreditkarten-Daten und Festplatteninhalte abgesehen hat. Experten unterscheiden daher zwischen zwei Arten von Spyware: Noch vergleichsweise harmlos ist solche Schnüffelsoftware, die den Anwender über die Weiterleitung der Daten hinweist, über die Nutzungsbedingungen die Zustimmung des Anwenders fordert und manchmal sogar mit einem Uninstall-Programm daherkommt. Die «böse» Spyware dagegen versucht, sich auch gegen den Willen des Users auf dem Rechner einzunisten, nutzt dazu Sicherheitslücken von Windows oder des Internet Explorer und wehrt sich mit zahlreichen Tricks gegen die Entdeckung und Entfernung. In dieser Hinsicht sind die Grenzen zu den Trojanern, die sich huckepack in das System einschleichen, fliessend. Gegen die Spyware der zweiten Kategorie kann sich der Anwender nicht ohne weitere Hilfsmittel wehren. Doch auch auf die Spyware, die mit offenen Karten spielt, fallen viele Anwender herein. Meist liegt es daran, dass niemand die Nutzungsbedingungen wirklich liest, sondern einfach auf «Zustimmen» klickt. Oft arbeitet Spyware eng verbunden mit der eigentlichen Software. So lässt sie sich in diesen Fällen zwar einfach entfernen, doch auch die «Wirt-Software» arbeitet dann nicht mehr. Sogar für diesen Fall ist in einigen Nutzungsbedingungen vorgesorgt. Das Entfernen der Spyware wird mit Anerkennung der Lizenzbedingungen untersagt. Da sich mit den heimlich erforschten Daten von Computernutzern viel Geld verdienen lässt, hat sich rund um Spyware eine ganze Industrie entwickelt, die sich ein Hase-und-Igel-Rennen mit den Herstellern von Antivirensoftware liefert. Mit immer neuen Methoden und Tricks versuchen sie, die gängigen so genannten Removal-Tools auszuhebeln. Der Hauptansatzpunkt ist dabei die heimliche Installation, von der der Anwender nichts mitbekommen darf. Hier greifen Spam und Spyware Hand in Hand. Der Anwender bekommt eine harmlos aussehende Mail, die in Wirklichkeit jedoch einen Trojaner im Gepäck hat.

Fiese Datendiebe

Ein Phänomen, das die Viren-Spezialisten in letzter Zeit besonders beschäftigt, besteht darin, dass sich bösartige Software aus gleich mehreren Quellen versorgt. Sie startet vom Benutzer unbemerkt den Download von Spyware und installiert diese auf dem Computer. Gleichzeitig aber holt sie sich noch ausgefeiltere Trojaner und diese verstecken sich noch raffinierter im System. Oft wird dabei sogar vordergründig etwas ganz anderes installiert und der User muss auch in diesem Fall bestätigen, dass er die Nutzungsbedingungen akzeptiert und gelesen hat. Wohl wissend, dass fast niemand diese Texte liest, schützen sich die Unternehmungen so vor der Verfolgung als Datendiebe. Alles, was Spyware-Unternehmungen tun müssen, um das System am Laufen zu halten, ist, ausgereifte Installationsroutinen zu nutzen und externe Anbieter zu finden, die für die Verbreitung der Software - etwa per Spam - sorgen. Solche Massenversender erledigen dann die halblegale Drecksarbeit.

Freundliche Spione

Dabei ginge es durchaus auch anders: Eines der bekanntesten legitimen Spywareartigen Tools ist die Google Taskbar für den Internet Explorer. Dieses kleine Programm bietet eine Reihe sehr nützlicher Funktionen: So lassen sich damit leichter Suchanfragen vornehmen, ein Pop-Up-Blocker ist integriert und es erscheinen zusätzliche Informationen zu den besuchten Websites. Tatsächlich aber schickt das Programm Informationen über die besuchten Websites an Google. Das ist kein Geheimnis und wird auch in allen Details bei der Installation und mit Texten auf der Google-Homepage erklärt. Der Anwender kann diese Funktionen abschalten und die Software installiert sich auch nicht heimlich oder enthält versteckte Sub-Programme. Google zahlt zudem keiner weiteren Firma Geld pro installierte Toolbars. Deshalb hat kein Spammer ein Interesse daran, das Programm massenhaft zu verbreiten.

Das beliebteste Mittel, um sich zu fremden Systemen Zugriff zu verschaffen, sind in der Windows-Welt die Lücken des bordeigenen Internet Explorers. Einen Exploit-Code zu installieren ist in der Praxis für die Hacker nicht ganz einfach, denn für die gewünschte massenweise Infiltrierung müssten tausende von Webseiten manipuliert werden. Deshalb bedienen sich viele Hacker eines Tricks: Sie nutzen Banner-Ads, um ihre Software zu verbreiten. Da für die Werbebanner, hinter denen sich Spyware versteckt, höhere Beträge gezahlt werden, erliegen viele Webmaster der Verlockung, solche Angebote auf ihre Homepage zu stellen. Ein Klick auf eine solche Werbung startet dann häufig sehr aggressive Installationsprogramme, die sich kaum schliessen lassen und häufig dem Anwender gar keine wirkliche Wahl lassen.

Spyware ist nicht nur auf den Rechnern von Jugendlichen verbreitet, die neugierig durch das Internet streifen und auf MP3- und Raubkopier-Seiten leichtsinnig Dateien herunterladen. Auch Unternehmungs-Rechner sind gefährdet. Zwar finden sich auf diesen hauptsächlich die noch vergleichsweise harmlosen Cookies, doch auch Spyware finden sich heute schon in Firmennetzen. Sicherheitsexperten schätzen, dass rund 15 Prozent aller Spyware-Varianten in die Kategorie «Ernsthafte Gefahr» fallen und unternehmungskritische Daten ausspionieren. Insbesondere nimmt der Diebstahl von Nutzeridentitäten zu. Das geschieht durch das Auslesen von Administratorenpasswörtern, E-Mail-Adressen, Kontaktdaten sowie Log-in und Nutzungsinformationen zu Instant-Messaging-Applikationen.

Sich gegen Spyware zu schützen ist nicht einfach. Gefragt ist eine ausgewogene Mischung aus unterschiedlichen Strategien. Eine gute Firewall verhindert schon in vielen Fällen, dass ungewünschte Software überhaupt das eigene Netzwerk erreicht. Der Einsatz von spezieller Antiviren- und Antispyware-Software ist unumgänglich. Schliesslich gehört auch das vorsichtige Surfen im Netz zu den Sicherheitsmassnahmen, mit denen man sich schädliche Software vom Rechner halten kann. Mit diesen Methoden lässt sich effektiv verhindern, dass Trojaner und Würmer die Spyware auf den eigenen Rechner bringen. Für den Fall, dass die Software bereits auf dem Rechner gelandet ist, oder dass man sogar selbst unwissentlich seine Zustimmung zur Spionage gegeben hat, sieht das anders aus. In diesen Fällen ist eine Software-Firewall sinnvoll. Sie informiert den Benutzer über alle Verbindungen, die mit Rechnern ausserhalb des eigenen Netzwerkes Kontakt aufnehmen und zeigt die dazugehörigen Programme an. Schwieriger ist es bei den hartnäckigen Fällen. Insbesondere dann, wenn die Spionage-Software in ein anderes Programm eingebunden ist, das selbst auf eine Internetverbindung angewiesen ist. Der Benutzer erhält dann nur eine Anfrage, ob für die Haupt-Software eine Genehmigung zur Kommunikation erteilt werden darf. Hier helfen die regelmässigen Updates von Anti-Spyware-Software, um sinnvolle Anwendungen von Pseudo-Tools, die nur als Wirt für Spyware dienen, zu unterscheiden. Spyware gibt es in den unterschiedlichsten Varianten: Vom Mediaplayer, der noch - vergleichsweise harmlos - den eigenen Musikgeschmack verrät, über Tools, die die Surfpräferenzen weiterleiten und den Festplatteninhalt katalogisieren, bis hin zum Keylogger, der private und geschäftliche Korrespondenz an einen neugierigen oder böswilligen Spion überträgt. Ausgereifte Anti-Spyware-Produkte erkennen heute einen Grossteil der gängigen Spyware-Anwendungen und sind durch schnelle Updates stets auf dem neuesten Stand. Gepaart mit einem gesunden Misstrauen ist der Anwender damit gegen die meisten Gefahren der Online-Spionage gefeit.