Bundesamt für Sicherheit in der Informationstechnik

Schadprogramme - eine allgegenwärtige Gefahr

Schadprogramme gelangen meist unbemerkt auf ein System und lösen dort schädliche Aktionen aus. Solche bösartigen Programme – auch Malware oder Schadsoftware genannt – sind nicht mit fehlerhaft programmierter Software zu verwechseln: Zwar kann auch hier die Fehlfunktion versehentlich zu Schäden führen, doch ist bei einem Schadprogramm die schädigende Wirkung oder missbräuchliche Nutzung eines fremden Systems von Anfang an die Absicht der Entwicklerinnen und Entwickler.

Der erste Cyber-Wurm der Welt

Der 2. November 1988 gilt als Geburtsstunde der Schädlingsgattung "Wurm": An diesem Tag setzte Robert Morris Jr. – seinerzeit Informatikstudent an der Cornell University in Ithaca, New York – ein Programm im Internet aus, das sich selbstständig duplizieren und verbreiten konnte. Nach eigenen Angaben wollte Morris mit der Software die damalige Größe des Internet durch Zählung der angeschlossenen Computer vermessen.
Der Morris-Wurm machte sich zur Ausbreitung auf andere Computer unter anderem ein Protokoll zum Nachrichtensenden im Betriebssystem UNIX zunutze. Eigentlich sollte sich der Wurm auf einem fremden Rechner nur einmal duplizieren, eine Rückmeldung für die Zählung senden und sich dann auf die nächsten erreichbaren Computer kopieren. Aufgrund eines folgenschweren Programmierfehlers tat er dies jedoch nicht nur einmal, sondern viele Male – was eine riesige Mail-Flut erzeugte. Außerdem löste der Wurm massive Störungen auf den befallenen Computern aus, bis hin zum Systemabsturz. Die dadurch verursachten Schäden inklusive der Kosten für die Systemwiederherstellung betrugen pro Fall zwischen 200 und 53.000 US-Dollar.
Als Morris erkannte, was sein Experiment angerichtet hatte, beriet er sich mit einem Freund an der Harvard University. Im Ergebnis versandte er zwar eine anonyme Nachricht im Netz mit Anweisungen, wie der Wurm zu beseitigen sei – doch es war zu spät, um die weitere Ausbreitung wirksam einzudämmen. Denn inzwischen hatten viele Administratoren ihre Systeme vom Netz genommen, sodass sie die anonyme Nachricht gar nicht mehr empfangen konnten. Erst Tage später gelang es einem Team von Programmierern an der kalifornischen University of Berkeley, den Morris-Wurm unschädlich zu machen.
Im Folgejahr wurde Robert Morris Jr. zum ersten Angeklagten, der von einem US-amerikanischen Gericht auf der Grundlage des "Computer Fraud and Abuse Act" von 1984 verurteilt wurde – und zwar zu einer dreijährigen Bewährungsstrafe, 400 Stunden gemeinnütziger Arbeit sowie einer Geldzahlung von etwas mehr als 10.000 US-Dollar. In seiner späteren Karriere etablierte sich Robert Morris zu einem angesehenen Computerwissenschaftler und arbeitet heute als Professor am Massachusetts Institute of Technology (MIT).

Derzeit sind mehr als eine halbe Milliarde unterschiedliche Malware-Varianten bekannt – und täglich kommen Hunderttausende hinzu. Anders als früher werden Schadprogramme heute nur noch sehr selten von Einzeltätern entwickelt. Überwiegend stammen sie stattdessen von arbeitsteilig organisierten, oft international vernetzten Cyber-Kriminellen. Häufiges Tatmotiv sind finanzielle Interessen, wobei die Schadsoftware als Werkzeug für Delikte wie Datendiebstahl, Betrug und Erpressung dient. Darüber hinaus gibt es aber auch viele Fälle von politisch motivierten, oft auch fremdstaatlich gelenkten Cyber-Attacken: Hier ist das vorrangige Ziel nicht Geld, sondern Einflussnahme auf die öffentliche Meinung und der Versuch, das Vertrauen der Bevölkerung in die demokratische Ordnung und staatliche Institutionen zu untergraben. Die mutmaßliche Manipulation von Wahlautomaten sowie der tausendfache E-Mail-Diebstahl im US-Wahlkampf 2016 sind zwei prominente Beispiele für einen derart motivierten Schadprogrammangriff.

Praktisch jedes technische System ist von Schadsoftware bedroht

Im Unterschied zu früher gefährden heutige Schadprogramme nicht nur Computer im engeren Sinne, sondern haben prinzipiell jedes softwaregesteuerte und vernetzte System im Visier. Neben Smartphones und Tablets gilt dies insbesondere für Router und auch für internetfähige Geräte wie ein Heizungsthermostat, der per App reguliert werden kann, oder ein über das Internet steuerbares Garagentor. Aber auch außerhalb der eigenen vier Wände wächst das Internet der Dinge buchstäblich von Tag zu Tag. Ob Strommasten oder Windräder, Medizintechnik in Kliniken, Verkehrsleitsysteme auf Autobahnen oder vernetzte Maschinen in intelligenten Fabriken: Immer mehr Systeme, die früher isoliert funktionierten, sind inzwischen in das Internet eingebunden. Sie alle werden damit potenziell zur Zielscheibe für Schadprogramme. Und auch ein isoliertes System ohne Netzwerkanschluss ist nicht vollständig immun gegen eine Malware-Infektion. In das Steuerungssystem einer nicht vernetzten Industrieanlage könnte ein Schadprogramm beispielsweise während einer Software-Aktualisierung über einen infizierten USB-Stick eindringen.

Das Verhältnis von Angriffs- und Abwehrmethoden gleicht dem bekannten Wettlauf zwischen dem Igel und Hasen: Jedes neu entdeckte Schadprogramm hat auf Seiten der IT-Sicherheitsindustrie zum Beispiel eine Verbesserung der Virenschutzfunktion zur Folge. Jeder verbesserte Abwehrmechanismus wiederum ruft die Entwicklung noch raffinierterer Angriffsmethoden hervor, um diesen Mechanismus zu umgehen. Im Ergebnis führt dieser Wettlauf zu einer verstärkten Professionalisierung der Malware-Entwicklung und zunehmend komplexen Schadprogrammen. Moderne Malware-Varianten bestehen zumeist aus mehreren Komponenten, die unterschiedliche Funktionen erfüllen – darunter auch die Möglichkeit, nach der Erstinfektion eines Systems weitere Programmmodule mit zusätzlichen Funktionen nachzuladen. Aufgrund ihrer Vielgestaltigkeit und Multifunktionalität lassen sich heutige Schadprogramme kaum noch einer einzigen Malware-Kategorie wie Virus, Wurm oder Trojaner zuordnen. So besitzt zum Beispiel die Ransomware WannaCry ebenso wie der Banking-Trojaner TrickBot unter anderem auch eine typische Wurmeigenschaft – nämlich die Fähigkeit, sich selbstständig innerhalb von Netzwerken auszubreiten. Ungeachtet der erwähnten Zuordnungsschwierigkeit ist ein grundlegendes Verständnis der Funktionsweise gängiger Schadprogrammtypen unverzichtbar, um auf die allgegenwärtigen Cyber-Risiken adäquat reagieren zu können.

Was (fast) alle aktuellen Schadprogramme gemeinsam haben

Weit verbreitet sind Schadprogramme, die ein sogenanntes Backdoor-Programm im Gepäck haben: Solche Programme öffnen für Cyber-Kriminelle gleichsam eine Hintertür, die einen heimlichen Fernzugriff auf das betroffene System ermöglicht.

Egal, in welcher Verbreitungsart ein Schadprogramm auf den Rechner kommt: Sobald es sich eingenistet hat, arbeitet es heutzutage in der Regel autonom als Bot weiter, lädt als solcher zum Beispiel weitere Schadprogramme auf das Gerät oder verbindet sich mit anderen infizierten Geräten zu einem Botnetz.

Die Befehle, die dann die eigentliche Schadfunktion auslösen, kommen hierbei von automatisch arbeitenden Befehlszentralen im Internet, sogenannten Command-and-Control-Servern (C&C-Server). Die Adressen solcher C&C-Server können entweder explizit im Programmtext der betreffenden Schadsoftware hineincodiert sein, oder das Schadprogramm enthält einen Algorithmus, um C&C-Adressen von Fall zu Fall zu generieren. Security-Spezialisten können sowohl festcodierte Adressen als auch Algorithmen zur Adressgenerierung durch Code-Analysen herausfinden – und kommen so dem jeweiligen C&C-Server auf die Spur. Darüber hinaus aber verpacken manche Kriminelle die Adressen von C&C-Servern in chiffrierter Form zum Beispiel in die Nutzerkommentare eines sozialen Netzwerks. Das Schadprogramm durchforstet dabei in bestimmten Abständen die Einträge der betreffenden Plattform und erkennt anhand bestimmter Merkmale, welcher Kommentar eine verschlüsselte Adresse zu einem C&C-Server enthält. Cyber-Kriminelle wollen IT-Sicherheitsexperten und Strafverfolgungsbehörden auf diese Weise das Aufspüren ihrer Befehlszentralen im Netz erschweren. Außerdem kann ein Schadprogramm seine Befehle von immer neuen C&C-Servern beziehen. Das eingeschleuste Schadprogramm bleibt also für Cyber-Kriminelle weiterhin nützlich – auch wenn der bislang aktive C&C-Server von Security-Spezialisten enttarnt und abgeschaltet wurde.