Von A bis Z: Die Tricks der Cyberkriminellen

Adware kommt im Schlepptau kostenloser Shareware- und Freeware-Angebote auf den Rechner: Software zum Anzeigen von Werbung („Ad“ wie „Advertisement“). Sie sorgt etwa dafür, dass sich beim Surfen plötzlich Pop-up-Werbefenster öffnen. Manchmal erfasst die eigentlich harmlose Adware jedoch auch Informationen über Systemkonfigurationen und Surfgewohnheiten und wird damit zu Spyware.

Backdoor-Programme öffnen Hintertüren auf IT-Systemen und umgehen dabei Firewalls und andere Sicherheitsmechanismen. Hacker können damit auf bestimmte Funktionen des Systems zugreifen, zum Beispiel um Daten auszuspähen oder Computer zu sabotieren. Solche Programme werden beispielsweise über einen Trojaner eingeschleust.

„Baiting“ bedeutet „ködern“: Dabei wird ein mit Malware infiziertes Gerät, etwa ein USB-Flash-Laufwerk, so im Unternehmen deponiert, dass es wahrscheinlich gefunden wird. Das ist der Köder. Sobald jemand den Inhalt des Laufwerks kontrollieren will und es mit einem Computer verbindet, wird der Rechner mit Malware infiziert. Die erlaubt es anschließend, in die Unternehmens-IT einzudringen.

Hacker schalten infizierte PCs über das Internet mit anderen infizierten PCs zu einem Rechner-Netzwerk zusammen, damit wird der eigene Rechner zum Werkzeug von Cyberkriminellen. Die Dienste solcher Botnetze kann man im Darknet mieten, um etwa „Distributed Denial of Service“-Angriffe (DDoS) zu fahren, Spam-Mails zu versenden oder Bitcoins zu schürfen. In Botnetzen werden oft Hunderte oder Tausende Zombie-Computer ferngesteuert.

Die Chef-Masche, auf Englisch „Fake President“, läuft über E-Mails. Kriminelle geben sich als Firmenchefs aus und weisen „ihre“ Mitarbeiter in echt wirkenden E-Mails an, Geld auf ein bestimmtes Konto zu überweisen. Immer dringlich, immer vertraulich. Das baut zusätzlichen Druck auf – und führt oft genug zum Erfolg. Die Chef-Masche unterscheidet sich in einem wichtigen Detail von anderen Internetattacken: Zwar werden E-Mails benutzt, doch Computersysteme werden weder beschädigt noch manipuliert.

Bei einem „Distributed Denial of Service“-Angriff, kurz DDoS, bombardieren Angreifer einen Server mit so vielen Anfragen, dass er zusammenbricht. DDoS-Attacken werden meist mit riesigen Botnetzen gefahren. Es geht um Sabotage, oft kombiniert mit Erpressung: Ohne funktionierende Server sinkt etwa der Umsatz von Online-Shops sofort auf null.

Downloader oder Dropper sind kleine Programme, die Malware aus dem Internet herunter- oder nachladen. Manchmal sind Dropper notwendig, um Viren zu aktivieren. Dropper, die ihre Malware lediglich im Speicher ablegen, heißen Injector. Opfer können dabei nicht erkennen, welche Inhalte heruntergeladen werden.

Exploits nutzen Sicherheitslücken in komplexen Computercodes. Obwohl regelmäßige Programm-Updates die entdeckten Schwachstellen beseitigen sollen, gelingt es Hackern immer wieder, neue Lücken zu finden.

„Hoax“ ist eigentlich Schabernack und im engeren Sinn keine Malware. Es gibt allerdings Hoaxes, die PC-Nutzer auffordern, bestimmte und zum Teil wichtige Systemdateien zu löschen. Womit sich die User ihre eigenen Rechner lahmlegen.

Keylogger zeichnen alles auf, was über die Tastatur eingegeben wird: E-Mails, Chats, besuchte Webseiten usw. Über diese Spyware lassen sich persönliche Daten wie Passwörter oder Kreditkartendaten direkt abgreifen – und unerlaubt nutzen.

Diese Viren sind in PowerPoint-Präsentationen, Excel-Tabellen oder Word-Dokumenten als sogenannte Makros versteckt. Makros sind eine zusammengefasste und automatisierte Abfolge von Befehlen und Anweisungen. Aktivieren Nutzer das Makro in einem verseuchten Dokument, wird der Virus aktiv. Viele Unternehmen deaktivieren daher die Nutzung von Makros: Die Gefahr ist einfach zu groß.

Malware ist der Oberbegriff für Schadprogramme und meint Viren genauso wie Würmer oder Trojaner. Deshalb sind Anti-Virenprogramme eigentlich Anti-Malware-Programme, auch wenn Viren noch immer die häufigste Malware sind. Die derzeit kursierende Malware mischt meist verschiedene Typen, denn sie lässt sich dynamisch nach dem Baukastenprinzip zusammensetzen.

Phishing ist das Abfischen von persönlichen Daten durch gefälschte E-Mails, Websites oder Apps. Sobald Opfer ihr echtes Passwort beispielsweise auf einer gefälschten Banken-Website eingeben, nutzen die Hacker das Passwort, um Geld direkt vom Konto zu erbeuten oder die Daten zu verkaufen. Soll eine bestimmte Person abgefischt werden, wird von Spear-Phishing gesprochen. Dann bittet etwa der angebliche Chef per E-Mail, seine PowerPoint-Präsi noch mal zu checken. Gerne doch – und schon steht das Einfallstor in die Unternehmens-IT weit offen.

Beim Pretexting schützt ein Angreifer falsche Tatsachen vor, um ein Opfer dazu zu bringen, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Zum Beispiel gibt er in dieser Social-Engineering-Variante vor, Bankdaten zu benötigen, um die Identität des Empfängers zu bestätigen. Oder er tarnt sich als Mitarbeiter der IT-Abteilung, um Opfer dazu zu verleiten, Login-Daten preiszugeben oder einen Computerzugang zu gewähren.

Es ist ein Geben und Nehmen – oder wie die Lateiner sagten: quid pro quo. Bei „Quid pro quo“-Angriffen versprechen Cyberkriminelle ihrem Opfer eine Gegenleistung (etwa ein Geschenk), um an sensible Informationen zu kommen. Auch diese Angriffe fallen unter die Rubrik Social Engineering.

Ransomware ist die derzeit am stärksten gefürchtete Malware. Laut einer BSI-Umfrage von 2017 kam fast jede dritte von rund 600 befragten Institutionen in Kontakt mit den Erpresserprogrammen, 23 meldeten einen erheblichen Ausfall von Produktion und Dienstleistung und 21 verloren wichtige Daten. Vier der 190 betroffenen Organisationen sahen sogar die wirtschaftliche Existenz bedroht. Eingeschleust werden die Trojaner über E-Mail-Anhänge. Sie verschlüsseln Dokumente, Fotos, E-Mails und sogar komplette Datenbanken und machen sie unbrauchbar. Wer seine Daten entschlüsselt haben will, muss den Angreifern ein Lösegeld („ransom“) zahlen.

Rootkits sind selbst keine Malware, sondern der schützende Umhang, der verhindert, dass sie entdeckt werden. Rootkits dringen in die Tiefen von Computersystemen vor und gelangen an Root-Privilegien und damit an allgemeine Zugriffsrechte. Anschließend sind Angriffe nur schwer auszumachen, da sie durch die Rootkits getarnt werden.

Scareware sind Software-Programme, die plötzlich auf dem Monitor auftauchen und den Benutzern Angst einjagen („scare“). Damit wollen sie den User zu unbedachten Aktionen verleiten, etwa zum Installieren von schädlichen Programmen oder zum Anfordern kostenpflichtiger Dienstleistungen.

Social Engineering sucht die Sicherheitslücken nicht im Netz, sondern findet sie beim Menschen. Die sollen manipuliert werden, um bestimmte Aktionen auszuführen (zum Beispiel E-Mail-Anhänge anklicken usw.) oder vertrauliche Informationen preiszugeben. E-Mail-Filter, Firewalls und Netzwerk- oder Daten-Überwachungs-Tools helfen zwar, Social-Engineering-Attacken abzuschwächen, doch letztlich ist keine Technologie in der Lage, die Hilfsbereitschaft oder die Nachlässigkeit von Menschen auszugleichen. Mit Schulungen lässt sich das Bewusstsein in der Belegschaft steigern, doch ausschließen lässt sich das Risiko nie.

Spear-Phishing ist eine gezielte Art von Phishing, die sich auf eine bestimmte Person oder Organisation konzentriert. Spear-Phishing-Angriffe verwenden persönliche Informationen, um Vertrauen zu gewinnen und besonders legitim zu erscheinen. Durch die Personalisierung haben Spear-Phisher höhere Erfolgsquoten.

Spyware ist angewandte Spionage. Die Malware sendet Daten aus den betroffenen Rechnern an die Hacker. Das kann zum Beispiel ein Keylogger sein, der alle Tastaturanschläge aufzeichnet und so Passwörter ausspäht oder das Surfverhalten im Internet analysiert.

In Krimis sieht der Held mitunter im Autorückspiegel, wie Verfolger fast an seiner Heckklappe kleben. In dieser Tradition steht die Social-Engineering-Variante Tailgating, denn „tailgate“ heißt auf Deutsch „Heckklappe“. Noch schnell in den zugangsgesicherten Bereich schlüpfen, bevor die Tür zufällt: Tailgating. Kurz mal den Laptop des Nachbarn ausleihen, um Malware zu installieren: ebenfalls Tailgating.

Weil die Stadtmauern unbezwingbar sind, lassen sich die feindlichen Soldaten in einem Holzpferd – scheinbar ein Geschenk – ins Zentrum von Troja ziehen: So erzählt es die griechische Sage. Der Trojaner funktioniert ähnlich: Nutzer glauben, ein nützliches Programm herunterzuladen, doch im Code versteckt sich der Schädling. Das Wort „Trojaner“ beschreibt weniger die Art der Malware als den Angriffsweg: versteckt und vom Nutzer aktiviert.

Viren sind Programme, die sich in anderen Programmen einnisten. Sie können sich selbst kopieren und so neue Programme infiltrieren. Dabei können Viren die gesamte Hardware des infizierten Rechnersystems zerstören.

Angreifer suchen eine bestimmte, oft von ihrem ausgewählten Opfer besuchte Website aus. Diese Seite wird mit Malware infiziert. „Auflauern am Wasserloch“ ist daher eine passende Übersetzung der Watering-Hole-Attacke. Ihre Opfer sind meist Mitarbeiter von Konzernen oder Regierungsstellen.

Ebenso wie Viren können sich Würmer selbst reproduzieren, aber anders als Viren agieren Würmer unabhängig von anderen Programmen. Würmer graben sich tief in IT-Systeme ein und können immense Schäden verursachen, indem sie beispielsweise Postfächer überlaufen oder Mailserver zusammenbrechen lassen. Sie verbreiten sich häufig als E-Mail-Anhänge. Anders als ein Virus kann sich der Wurm oft selbst verbreiten, zum Beispiel indem er eine Kopie seines Schadcodes an alle Nutzer im E-Mail-Adressbuch verschickt.

Wenn Hacker infizierte Firmen-PCs über das Internet mit anderen infizierten PCs zu einem Rechner-Netzwerk zusammenschalten, spricht man von einem Botnetz. „Zombies“ heißen die betroffenen Rechner.