Security

So erkennen Sie Hackerangriffe und Vireninfektionen

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.
Wir stellen Ihnen zehn Warnsignale beziehungsweise Indizien vor, an denen Sie erkennen, dass Ihr Rechner und/oder Ihr Unternehmens-Netzwerk gehackt wurden.

Vor allem in kleinen Unternehmen stehen Verantwortliche schnell vor einem Rätsel, wenn unerklärliche Phänomene auf den Rechnern der Anwender oder, noch schlimmer, auf dem oder den Server(n) stattfinden. In diesem Beitrag nennen wir Ihnen einige Anhaltspunkte, an denen Sie erkennen können, dass sich ein Virus eingeschlichen hat oder Sie gehackt wurden.

Wir geben Ihnen auch einige Hinweise, wie Sie diese Probleme eingrenzen und unter Umständen beheben können. Generell gilt aber: Wenn Sie einen Sicherheitsangriff vermuten, holen Sie sich Hilfe von einem Profi, der Angreifer finden und eliminieren und gegebenenfalls die Beweise forensisch sichern kann.

10 Tipps: So erkennen Sie Hackerangriffe und Vireninfektionen.
10 Tipps: So erkennen Sie Hackerangriffe und Vireninfektionen.
Foto: scyther5 - shutterstock.com

1. Im WLAN sind unbekannte Geräte zu finden

In vielen schon länger bestehenden Firmennetzwerken werden keine optimalen Sicherheitskonfigurationen für das WLAN verwendet. Das veraltete WEP-Protokoll zur Verschlüsselung der WLAN-Daten lässt sich leicht aushebeln. Unter Umständen haben Mitarbeiter auch den WLAN-Key ausgelesen, was in Windows zum Beispiel sehr einfach über die Eigenschaften der Netzwerkverbindung möglich ist, und den Schlüssel an Bekannte beziehungsweise Außenstehende weiter gegeben. Auch ehemalige Mitarbeiter können sich unter Umständen noch mit dem Netzwerk verbinden. Sie sollten daher in jedem Fall regelmäßig überprüfen, ob unbekannte Rechner und Benutzer mit dem WLAN verbunden sind und bekannte Geräte identifizieren. Das ist mit Zusatztools sehr einfach möglich.

Mit der iPad-App Fing finden Sie aktuell verbundene Geräte im WLAN
Mit der iPad-App Fing finden Sie aktuell verbundene Geräte im WLAN

Sie können für regelmäßige Suchen zum Beispiel die kostenlose iPad-App Fing verwenden. Diese zeigt alle aktuell verbundenen Geräte an und unterstützt auch das Hinterlegen von Beschreibungen. Auch in der Weboberfläche Ihres WLAN-Gerätes finden sie entsprechende Daten. In diesem Bereich gibt es aber auch noch zahlreiche weitere Tools.

WLAN-Router zeigen verbundene Geräte an. Hier sollten keine unbekannten Geräte erscheinen
WLAN-Router zeigen verbundene Geräte an. Hier sollten keine unbekannten Geräte erscheinen

2. Auf den Rechnern erscheinen echte oder falsche Virenmeldungen

Sobald auf den Rechnern irgendwelche Virenwarnungen erscheinen, sollten Sie diese ernst nehmen. Stellen Sie sicher, ob die Meldung von Ihrem echten Virenscanner stammen, oder von einem so genannten Fake-Anti-Virus-Programm. Beides ist schlecht, denn auch das Fake-Anti-Virus ist ein Virus, der sich unerlaubt auf Ihren Rechner geschmuggelt hat.

Wenn Sie den Virus mit Ihrem Virenscanner entfernen, überprüfen Sie, ob dieser immer wieder auftaucht, weil der Virus vielleicht von einer anderen Quelle im Netzwerk stammt. Scannen Sie in diesem Fall alle betroffenen Rechner.

Handelt es sich um ein gefälschtes Viren-Programm, können Sie dieses mit Tools wie Remove Fake Antivirus finden und löschen lassen.

3. Die Browser öffnen fremde Internetseiten, ohne dass Anwender etwas starten

Sehr oft werden nicht die kompletten Rechner von Viren oder Trojanern befallen, sondern vor allem die Browser. Das äußert sich darin, dass ständig unerwünschte Internetseiten geöffnet werden, ohne dass Anwender das wollen. Passiert das, können Sie ziemlich sicher davon ausgehen, dass der Browser gekapert wurde.

Generell helfen hier zunächst ein Virenscan und das Löschen der temporären Internetdateien. Außerdem sollten Sie in den Einstellungen des Browser überprüfen, ob ein externer Proxy-Server eingetragen wurde, oder Zusatztools als Add-Ins installiert sind. Entfernen Sie diese vom Rechner und installieren Sie Sicherheits-Add-Ins wie das leistungsfähige und kostenlose NoScript.
Microsoft bietet in diesem Bereich ebenfalls eine Hilfe-Seite. Aber auch Symantec hilft mit Programmen wie Norton Power Eraser.

Download: NoScript

4. Auf den Rechnern laufen unbekannte Programm, welche das System auch noch ausbremsen

Auch wenn der Virenscanner keine Meldung zeigt, oder die PCs ansonsten sauber laufen, kann ein Angreifer im Netzwerk sein Unwesen treiben. Das wird häufig dann bemerkt, wenn auf den Rechnern unbekannte Programme laufen, auch über den Windows-Autostart. Auch wenn einzelne Programme viele Rechenressourcen verbrauchen, kann sich ein Angreifer auf dem System eingenistet haben. In diesem Fall können Sie den Rechner zum Beispiel mit einer Rettungs-CD wie der von Kaspersky oder mit der PC-WELT Notfall-DVD starten und scannen lassen.

Zusätzlich können Sie die Autostart-Programme auf dem Rechner mit Tools wie AutoRuns anzeigen lassen.

Download: AutoRuns

Den Task-Manager in Windows starten Sie über das Kontextmenü der Taskleiste. Überprüfen Sie hier ob unbekannte Programme vorhanden sind. Sie können nach dem Programmnamen auch im Internet suchen.

AutoRuns zeigt Autostart-Programme auf dem Rechner an
AutoRuns zeigt Autostart-Programme auf dem Rechner an

5. Partner/Kunden informieren Sie, dass Viren-/Spam-E-Mails aus Ihrem Netzwerk verschickt wurden

Werden Sie darüber informiert, dass von Mail-Adressen Ihres Unternehmens Viren- und Spam-Mails versendet werden, können Sie nahezu 100-prozentig sicher sein, dass entweder Ihr Mail-Server gehackt wurde, oder einer oder mehrere PCs in Ihrem Unternehmen. In diesem Fall sollten Sie umgehend den Server und alle Arbeitsstationen mit Virenscannern durchsuchen lassen, auch mit den bereits erwähnten Rettungs-CDs. Kappen Sie in diesem Fall auch die Internetleitung, bis Sie das Problem eingegrenzt haben.

Mail-Server müssen Sie mit speziellen Scan-Programmen säubern, außerdem müssen hier die Einstellungen von Profis untersucht werden.

6. Auf den Desktop-PCs öffnen sich im Browser zahlreiche Popups, Menübars und Fenster

Öffnen sich keine fremden Webseiten, aber dafür Popups und andere nervige Tools, wenn Sie den Browser öffnen, stellen Sie bei den installierten Programmen sicher, ob nervige Menüleisten installiert sind. Rufen Sie dazu in Windows die „Systemsteuerung, Programm, Programme und Funktionen“ auf (schneller erreichen Sie dieses Menü, wenn Sie appwiz.cpl im Eingabefenster „Programmen/Dateien durchsuchen“ des Startmenüs von Windows eingeben). Entfernen Sie hier Programme, die Sie nicht brauchen.

Lassen Sie zusätzlich den Rechner noch mit Spybot Search and Destroy durchsuchen. Entfernen Sie alle Add-Ins der Browser, Sie die nicht kennen.

Download: Spybot Search and Destroy

7. Die Internet-Verbindung ist ständig stark ausgelastet

Wenn Sie bemerken, dass Ihre Internet-Verbindung ständig ausgelastet ist, sollten Sie überprüfen, von welchen Rechnern das kommt und welche Programme die Auslastung verursachen. Überprüfen Sie dazu regelmäßig Ihre Firewall und Router.

Die Auslastung Ihrer Internetverbindung sollten Sie regelmäßig im Auge behalten
Die Auslastung Ihrer Internetverbindung sollten Sie regelmäßig im Auge behalten

Auch Viren und Trojaner übertragen Daten ins Internet. Öffnen Sie auf den entsprechenden Rechnern eine neue Eingabeaufforderung.

Geben Sie in der Eingabeaufforderung den Befehl netstat -oein. Wollen Sie die Ausgabe in eine Textdatei umleiten, geben Sie den Befehl netstat -o >C:\netstat.txt ein. Anschließend können Sie die Datei mit einem Editor bearbeiten und lesen. Sie sehen alle laufenden Programme und deren aktuellen Verbindungszustand. In der Spalte Remoteadresse sehen Sie, zu welchem Server oder zu welcher Adresse im Internet das Tool eine Verbindung aufbaut.

Auf den Rechnern können Sie Datenverbindungen ebenfalls entdecken
Auf den Rechnern können Sie Datenverbindungen ebenfalls entdecken

8. Der Virenscanner auf den Client-PCs oder dem Server ist ständig ausgeschaltet

Viele Virenscanner haben keinen ausreichenden Selbstschutz. Das heißt Angreifer schalten zuerst den Virenscanner aus und können dann ungehindert das System angreifen. Überprüfen Sie in diesem Fall die Ereignisanzeige des Rechners darauf, ob das regelmäßig passiert und stellen Sie sicher, dass der Selbstschutz des Scanners aktiviert ist. Außerdem sollten Sie den Rechner mit einem weiteren Virenscanner überprüfen lassen. Beispielsweise mit einem externen Virenscanner von CD/DVD oder mit einem Stand-Alone-Tool wie dem Microsoft-Windows-Tool zum Entfernen bösartiger Software. Allerdings sollten Sie nicht zwei vollwertige Virenscanner gleichzeitig auf einem PC installieren. Diese können sich gegenseitig blockieren und Ihren PC lahmlegen.

Download: Microsoft-Windows-Tool zum Entfernen bösartiger Software

Der Selbstschutz des Virenscanners sollte immer aktiviert sein
Der Selbstschutz des Virenscanners sollte immer aktiviert sein

Eine wichtige Anlaufstelle ist auch das Wartungscenter in Windows 7/8/8.1. Dieses starten Sie durch Eingabe von wscui.cpl in das Eingabefeld des Windows-Startmenüs. Überprüfen Sie hier im Bereich Sicherheit, ob Virenscanner und Firewall aktiviert sind.

Das Wartungscenter informiert über Sicherheits-Funktionen in Windows 7/8/8.1
Das Wartungscenter informiert über Sicherheits-Funktionen in Windows 7/8/8.1


9. Sie erhalten vermeintliche Meldungen von der Polizei/GEZ, dass Raubkopien auf Ihren Rechnern zu finden sind

Solche Meldungen sind in allen Fällen Viren und Trojaner. Keine Behörde sperrt einen PC, egal wie echt die Meldung aussieht. Hier haben Sie nur eine Chance: Sie müssen den Rechner mit einer Rettungs-CD, wie der PC-WELT-Notfall-DVD starten und scannen lassen. Kann der Scanner den Virus nicht entfernen, sichern Sie alle Dateien vom Rechner und installieren den Rechner neu. Überprüfen Sie aber die gesicherten Dateien nach Viren.

10. Über die sozialen Netzwerkkonten der Anwender werden ständig Falschmeldungen veröffentlicht

Lassen Sie den Zugriff aus soziale Netzwerke im Unternehmen zu, besteht auch die Gefahr, dass sich Anwender Facebook-Trojaner einfangen. Diese posten unerlaubt falsche Statusmeldungen, die weitere Anwender anlocken und deren Rechner identifizieren. Zu finden sind solche Meldungen häufig als Gutschein oder Spendenaufruf. Die erste Anlaufstelle für solche Angreifer ist die Webseite von Mimikama.Hier finden Sie Meldungen über aktuelle Angreifer und was Sie dagegen tun können. (PC-Welt)

Zur Startseite