9. Oktober 2008 - Malware

Drive-By-Downloads: Wenn sich die Malware selbst herunterlädt

Schadsoftware, die Ihre persönlichen Daten stehlen möchte, lauert nicht nur auf unseriösen Webseiten. Sie erfordert auch kein aktives Herunterladen mehr. Selbst der Besuch einer namhaften, scheinbar harmlosen Internetpräsenz kann ausreichen, um den eigenen Rechner zu verseuchen. Viele Internetnutzer sind sich der Gefahren der sogenannten Drive-By-Downloads noch nicht bewusst. Sorgen Sie deshalb für Aufklärung und ein neues Bewusstsein für Internetgefahren.

wenn-sich-die-malware-selbst-herunterladt.jpeg
Eben mal vorbeigesurft - und sich eventuell auch auf seriösen Seiten Malware eingefangen (Bild: Thinkstock)

Der Personalleiter ist ganz aufgeregt. Scheinbar wurde sein Passwort für die Bewerberdatenbank auf den Internetseiten des Unternehmens gestohlen. Vertrauliche Angaben verschiedener Bewerber kursieren seit Kurzem im Web.

Passwortdiebstahl und Spurensuche

Doch wie kann das möglich sein, dass der Datenschutz bei Bewerberdaten versagt? Der Leiter der Personalabteilung ist sich ganz sicher, das Passwort nicht weitergegeben zu haben. Aber das brauchte er auch nicht. Auf seinem Rechner befindet sich eine Spyware, die die Passworteingabe mitgeschrieben und an einen Hacker heimlich übertragen hat.

Zwar ist der Weg des Passwortdiebstahls nun geklärt, aber wie konnte die Spyware auf den Rechner gelangen? Hat der bisher unbescholtene Kollege etwa unseriöse Webseiten besucht und dort unbemerkt Malware heruntergeladen?

Gefahren lauern auf vielen Websites

Der Personalchef beteuert, dass er niemals solche Webinhalte besucht und heruntergeladen hat. Die Infektion des Rechners muss einen anderen Weg genommen haben. Er habe nur namhafte Informationsportale genutzt und bekannte Stellenbörsen besucht. An einen aktiven Download kann er sich nicht erinnern.

Tatsächlich könnte sich der Personalleiter nur auf harmlos erscheinenden Webseiten bewegt haben – und trotzdem konnte sich eine Software zur Datenspionage einnisten. Die sogenannten Drive-By-Downloads sind wie Infektionen, die man sich in der Fußgängerzone im Vorbeigehen einfängt. Ohne offensichtlichen Leichtsinn und eigenes Zutun könnten sich also Schadprogramme über den Webbrowser auf den Computer übertragen.

Anzeige

Mitarbeiterschulung im Datenschutz: Die Zeitschrift Datenschutz PRAXIS gibt Ihnen Monat für Monat Praxistipps.

Prominente Websites werden gehackt

Die Tendenz, Schadsoftware unerkannt über bekannte und gut besuchte Webseiten zu verteilen, nimmt weiter zu. Denn die Erfolgsaussichten für die Internetkriminellen sind dadurch deutlich höher.

Gelingt es, eine Webseite mit Hunderttausenden von Besuchern im Monat zu verseuchen, ist der Verbreitungsgrad der Malware entscheidend höher. Zudem sinkt das Misstrauen der Internetnutzer, wenn sie sich auf bekannten und scheinbar zuverlässigen Webseiten bewegen. Da ist man schnell einmal zu einem Download verleitet. Doch echte Drive-by-Donwloads benötigen diese Art der Nutzerbeteiligung nicht.

Downloads wider Willen möglich

So genügt es, eine entsprechend mit Malware verseuchte Internetseite im Webbrowser aufzurufen, und schon startet der Download. Dabei werden dann nicht nur die Bilder und andere Inhalte der Webseite geladen, sondern unter Umständen auch Schadprogramme, die bestehende Sicherheitslücken des eingesetzten Webbrowsers ausnutzen. Dazu werden oftmals unsichtbare Hyperlinks (Verknüpfungen) auf den Seiten genutzt, die die Malware während des Seitenaufbaus im Browser nachladen.

Neben den möglichen Lücken in der Browsersicherheit können auch Browsererweiterungen (Plugins) solche Schwachstellen aufweisen und dadurch den Weg frei machen für die Infektion des Rechners und zur nachfolgenden Datenspionage.

Die leider noch unbekannte Gefahr

Viele Internetnutzer sind verblüfft, wenn sie erfahren, dass sich Schadsoftware auch herunterladen kann, ohne dass sie selbst einen Hyperlink anklicken müssen. Empfehlungen wie „Links auf unbekannten Webseiten besser nicht anklicken“ helfen hier also wenig. Vielmehr sollten die Internetnutzer ihren Webbrowser sowie alle installierten Plugins und Add-Ons aktuell halten.

Gerade bei den Erweiterungen besteht oftmals ein Aktualisierungsstau, da Updates vielfach nicht automatisiert eingespielt werden oder aber die Erweiterungen aus unzuverlässigen Quellen stammen.

Viele Wege führen zum gefährlichen Download

Der Besuch gehackter Webseiten ist jedoch nicht die einzige Möglichkeit, sich einen Drive-by-Download einzufangen. Die Cyber-Kriminellen nutzen für das Einschleusen von Spionagesoftware auch Spam-Mails mit Hyperlinks zu bekannten Webseiten, die Vertrauen erzeugen, wie prominente Portale, Webseiten von Nachrichtenmagazinen oder Webshops.

Eine weitere Gefahr droht durch verseuchte Online-Werbung, die auf zahlreichen Webpräsenzen angezeigt wird. Sie lädt dort die Schadsoftware einfach nach und überspielt sie via Browser auf den Rechner. Durch infizierte Werbebanner werden auch ansonsten gut geschützte Websites zu Malware-Schleudern, da die Online-Werbung von einem anderen, unter Umständen weniger gut geschützten Server übertragen wird.

Selbst Suchergebnisse könnten verseucht sein

Unter Umständen hat der Personalleiter, dessen Passwort gestohlen wurde, auch nur eine Suchmaschine genutzt. Hacker arbeiten durchaus mit Methoden der Suchmaschinenoptimierung (SEO) und bringen so eine verseuchte Webseite weit nach oben in die Trefferliste. Ein Klick auf das entsprechende Suchergebnis kann schon die Malware auf den Rechner bringen.

Verschiedene Sicherheitsanbieter haben deshalb Zusatzwerkzeuge für Webbrowser im Programm, die jeweils die Suchergebnisse scannen und eine Malware-Gefahr in der Trefferliste anzeigen, ohne dass man die Webseite dafür wirklich öffnen muss.

Fazit: Misstrauen alleine genügt nicht
  • Da auch prominente und scheinbar harmlose Webseiten verseucht sein könnten und Drive-By-Downloads drohen, reicht die bloße Vorsicht beim Internetsurfen nicht aus.
  • Webbrowser, alle Browser-Erweiterungen und das Betriebssystem des Internetrechners müssen regelmäßig aktualisiert werden.
  • Eine aktuelle Anti-Malware-Software mit Zero-Day-Schutz sollte Pflicht sein.
  • Aktive Inhalte im Browser sollten gesperrt werden, da diese beim Drive-By-Download helfen.
  • Spezielle Sicherheitsplugins für Browser können Suchergebnisse vor dem Öffnen scannen (hier auf Datenschutzbestimmungen achten, da eine Gefahr der Protokollierung der gesuchten Webseiten bestehen könnte).

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln