Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


04.03.2005

Spyware wird zur ernsten Bedrohung

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Spezielle Tools sollen helfen, Spyware vom Rechner fernzuhalten. Die Plagegeister lassen sich nach Meinung von Experten jedoch auch mit anderen Mitteln abwehren.

Als ob die DV-Mitarbeiter mit der Bekämpfung von Viren, Würmern und Spam nicht schon genug zu tun hätten, drängt nun auch noch vermehrt eine weitere Gefahr in die Unternehmensnetze: Ad- und Spyware-Programme sind zu einer ernsthaften Bedrohung geworden, die Administratoren, Analysten und Softwareanbieter beschäftigt.

Meist werden die Begriffe Adware und Spyware synonym benutzt. Allerdings gibt es zwischen beiden Programmarten einen kleinen, aber feinen Unterschied: Adware ist nicht per se bösartig. Diese Software dient dazu, zum Beispiel aus den Websites, die ein User ansurft, ein Profil zu erstellen. Das Ziel dabei ist es, Popups oder Werbebanner im Internet mit gezielten, auf das vermeintliche Interesse des Anwenders abgestimmten Inhalten zu füllen.

In der Regel erfolgt die Installation von Adware nicht heimlich, sondern sogar mit der expliziten Zustimmung des Benutzers. Über eine entsprechende Erweiterung ist es möglich, Software zu finanzieren, die der Anwender dann kostenlos benutzen darf. Die Entwickler integrieren eine Werbekomponente in ihr Produkt und erhalten dafür Geld vom Adware-Hersteller - nicht zuletzt zum Vorteil des Anwenders, der sich die Lizenzkosten spart. Bekanntestes Beispiel hierfür ist der alternative Browser "Opera", der in einer kommerziell lizenzierten und einer kostenlosen, Adware-finanzierten Version erhältlich ist.

Anders hingegen Spyware, die den PC heimlich ausspioniert und häufig ohne einen bestätigenden Mausklick des Anwenders auf die Festplatte gelangt. Im schlimmsten Fall protokolliert die Schnüffelsoftware etwa alle Tastatureingaben und sendet dieses Log an einen entfernten Rechner - damit liegen auch alle Passwörter des Benutzers oder seine Kreditkartendaten offen. Während Spyware also auf jeden Fall ein unwillkommener Gast auf dem PC ist, kann Adware durchaus im Sinne des Benutzers sein.

Um seinen Rechner mit Spy- und Adware zu verseuchen, braucht es nicht viel: Das Downloaden von ein paar scheinbar kostenlosen Programmen - Tauschbörsensoftware ist hier besonders berüchtigt - oder das Surfen mit einem ungepatchten PC mit allzu laxen Sicherheitseinstellungen reicht in der Regel aus, um sich unzählige Spione aufzuhalsen. Ein genaues Protokoll dazu hat Tom Liston, Mitarbeiter am Internet Storm Center, aufgezeichnet. Innerhalb kürzester Zeit wurden 20 Dateien auf dem Rechner des Experten installiert, ohne dass dieser gefragt worden wäre. Das vollständige Protokoll des Tests steht unter http://isc.sans.org//diary.php?date=2004-07-23 zur Verfügung.

Die Gefährdung, die von dieser Art von Software ausgeht, ist nicht zu vernachlässigen. So stuft zum Beispiel die Meta Group Spyware als "erweiterte Bedrohungen" ein. Die von Adware ausgehende Gefahr sehen die Analysten vor allem darin, dass die Software oft schlecht programmiert sei und so die Stabilität von Browser und PC beeinträchtigen könne. Darüber hinaus belegten sie Bandbreite - und die betroffenen Anwender die Telefonleitungen des Helpdesks. Bösartige Spyware versucht zudem, Passwörter oder andere sensible Informationen auszuspähen, und steht damit den Würmern als ernsthaftes Sicherheitsrisiko in nichts nach. Und auch Forrester Research warnt vor den Spitzeln auf der Festplatte: "Zusätzlich zu den Auswirkungen auf die Leistungsfähigkeit der PCs und der Bandbreite haben sich einige Organisationen über ernsthaften Informationsdiebstahl beklagt", so ein Papier vom Mai 2004.

Um sich gegen Spyware zu schützen, suchen viele Betroffene ihr Heil in neuen Produkten. Der Markt für Anti-Spyware-Lösungen hat beste Aussichten: IDC prognostiziert hier ein üppiges Umsatzwachstum - von weltweit zwölf Millionen Dollar Umsatz im Jahr 2003 auf über 300 Millionen Dollar im Jahr 2008. Trotz der rasanten Entwicklung sind die Anbieter bislang noch kaum auf die speziellen Bedürfnisse von Unternehmenskunden eingestellt.

Den Programmen fehlen für den Einsatz in großen Infrastrukturen wichtige Merkmale wie die Möglichkeit, die Client-Module zentral zu administrieren. Alle Hilfsmittel müssen zurzeit noch komplett manuell bedient werden - vom Signatur-Update bis hin zum Start der Festplattenüberprüfung. Zudem müsste ein Anwender zwei oder drei verschiedene Werkzeuge installieren. Denn jedes Produkt findet andere Arten von Spyware - je nachdem, wie die zugrunde liegende Signaturdatenbank vom Anbieter gepflegt wird. Spyware kann nämlich nur über Signaturen, also eine Sammlung typischer Merkmale einer bestimmten Software, erkannt werden. Erscheint ein neuer Spitzel auf der Bühne des Internets, müssen die Hersteller des Gegenmittels diesen erst analysieren und den Fingerabdruck an die Kunden verschicken.

Ein grundsätzliches Problem der Spyware-Erkennung besteht zudem darin, dass die Tools nur Warnungen ausgeben können, wie Gerhard Langer, Consulting Engineer des Sicherheits-Dienstleisters Ampeg, berichtet: "Da es einer Software nicht möglich ist, zwischen erwünschter Adware und bösartiger Spyware zu unterscheiden, muss immer der Anwender darüber befinden. Und die Mehrzahl der User ist damit überfordert." Ob eine Spyware entfernt werden sollte, ist aus Langers Sicht nur durch Black- und Whitelists zu ermitteln. Das habe allerdings auch den Nachteil, dass mit den heutigen Technologien keine Spyware-Suche in Echtzeit möglich sei.

Mit einem reinen produktorientierten Ansatz ist laut Langer dem Übel nicht beizukommen. Zwar arbeiten die großen Virenschutzanbieter inzwischen auch an Spyware-Modulen für ihre Suiten, doch Langer ist sich sicher: "Viele Unternehmen wünschen keine weitere Client-Komponente, die die Administration nur noch mehr erschwert." Der Berater empfiehlt stattdessen eine dreischichtige Sicherheitsstrategie, die in den meisten Unternehmen mit bestehenden Tools realisierbar sein dürfte.

Abwehr der Schnüffler auch ohne Spezial-Tools

In der ersten Schicht filtert ein URL-Blocker am Gateway bereits einen großen Teil der Schnüffler aus. Dazu wird die regelmäßig aktualisierte Web-Seiten-Kategorisierung der Hersteller von Content-Filtern genutzt - viele Anbieter haben inzwischen die Kategorie "Spyware" eingeführt. Die Bewegungen im Internet Nutzung werden dadurch so gesteuert, dass der Benutzer gar nicht erst mit den bekannten gefährlichen Websites in Berührung kommt. Dies allein ist jedoch nicht ausreichend, warnt Experte Langer: "Die Adressen der Adware-Hersteller ändern sich sehr schnell und häufig. Eine Blacklist hinkt da einfach der Realität immer etwas hinterher." Um dieses Manko auszugleichen, empfiehlt der Ampeg-Mann, als zweite Schicht einen Virenscanner mit integriertem Spyware-Schutz am Client einzusetzen.

Als dritte Maßnahme sollte ein Tool eingesetzt werden, das Spyware am Client wieder entfernt - und zwar am besten selbständig. "Im Prinzip kann man das heute mit einem ausgefeilten Patch-Management-System lösen. Es muss in der Lage sein, laufende Spyware-Prozesse zu erkennen, zu beenden und dann den PC auf den neuesten Patch-Stand zu bringen", erläutert der Security-Consultant von Ampeg.

Die Bedrohung durch Spyware muss ernst genommen werden. Die Gefahr, dass wichtige und vertrauliche Informationen in die falschen Hände gelangen, ist groß. Den meisten Unternehmen sollte es möglich sein, mit einer gezielten Sicherheitsstrategie der Spyware einen Riegel vorzuschieben. (ave)