Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Netzwerk-Sicherheit: Hier kommt der Maus-Trojaner

Von Kathrin Dorscheid

Von infizierten E-Mail-Anhängen hat jeder schon gehört, aber von infizierten Computermäusen? Mit einer präparierten USB-Maus schleusten Sicherheitsforscher Schadsoftware in ein Firmennetz. Der Fall zeigt: Selbst gut geschützte Netze sind nicht sicher vor dem größten Risikofaktor - dem Menschen.

Spionageangriff: Kriminelle wüten in Privatrechnern und Firmennetzen Zur Großansicht
Corbis

Spionageangriff: Kriminelle wüten in Privatrechnern und Firmennetzen

Es war ein Paket wie jedes andere, und der Mitarbeiter, an den es adressiert war, dürfte sich nicht viel dabei gedacht haben, als er es öffnete. Darin enthalten: ein paar Werbeflyer und eine Computermaus in Originalverpackung. Ein ganz normales Werbegeschenk. Was er nicht ahnte: Das Geschenk war in Wahrheit eine manipulierte, trojanische Maus und darauf ausgerichtet, das Firmennetzwerk seines Arbeitgebers zu infiltrieren. Der Mitarbeiter stöpselte die Maus in seinen Bürorechner - und öffnete damit den Angreifern das Tor. Ihr Plan war aufgegangen, schon hatten sie Zugriff auf das Firmennetzwerk und konnten aus der Ferne wichtige Informationen abgreifen.

Zum Glück des Betroffenen handelte es sich bei dem Angriff nur um einen Test: Die IT-Sicherheitsfirma Netragard war beauftragt worden, von außen in das Firmennetzwerk einzudringen - genau so, wie es auch ein Hacker versuchen könnte. Um Schwachstellen aufzuspüren und Sicherheitsvorkehrungen zu verbessern. Und mal wieder zeigte sich: Die größte Schwachstelle ist der Mensch.

Trojanische Mäuse, Tastaturen und Smartphones

Für ihren fingierten Hacker-Angriff manipulierten die Netragard-Profis die Computermaus, in die sie einen Mikrokontroller mit USB-Unterstützung (ein sogenanntes Teensy-Board) einbauten. Vom Unternehmensverzeichnis Jigsaw kauften sie eine Liste der Angestellten des Unternehmens; einem von ihnen schickten sie die manipulierte Maus zu.

Zuvor hatten sie in Erfahrung gebracht, welches Antivirenprogramm das Unternehmen benutzt - ein anderer Mitarbeiter hatte sich öffentlich auf Facebook darüber beklagt. Entsprechend programmierten die Netragard-Leute eigens dafür ein Schadprogramm - das gleichzeitig auch das Kontrollfenster unterdrückt, das den Nutzer normalerweise darauf aufmerksam macht, wenn ein Außenstehender per Fernsteuerung auf den Rechner zugreifen will.

Keine drei Tage, nachdem Netragard das manipulierte Werbepaket in die Post gegeben hatte, schloss der angeschriebene Mitarbeiter die Maus an seinen Computer an - und Netragard hatte unbemerkt vollen Zugriff auf das System erlangt.

Die Methode ist zwar nicht ganz neu, schon 2007 wies Sicherheitsprofi Luis Miras auf die Möglichkeiten hin, über USB-Geräte wie Mäuse, Tastaturen oder Aufnahmegeräte die Kontrolle über einen fremden Computer zu übernehmen. Auch über manipulierte Smartphones können PCs derart gehackt werden.

Viele Firmen konfigurieren deshalb ihre Systeme inzwischen so, dass Mitarbeiter keine Installationsrechte mehr haben und die Autorun-Funktion deaktiviert ist. Trotzdem funktioniert die Masche mit den herumliegenden USB-Sticks noch immer.

Ein Experiment des US-amerikanischen Heimatschutzministeriums hat laut der Nachrichtenagentur Bloomberg wieder gezeigt, wie leicht Menschen zu überlisten sind: Mitarbeiter ließen absichtlich CDs und USB-Sticks auf den Parkplätzen der Behördengebäude liegen. Das ernüchternde Ergebnis: Rund 60 Prozent der arglosen Finder steckten die Speichermedien wie selbstverständlich in ihre Rechner. Waren darauf offizielle Aufkleber angebracht, schlossen sogar 90 Prozent die herrenlosen Fundstücke am Computer an.

"Es gibt kein Gerät, das Menschen davon abhält, sich idiotisch zu verhalten", zitiert Bloomberg den Sicherheitsexperten Mark Rasch von der Firma Computer Sciences Corp (CSC), der den Test begleitete. Die ausführlichen Ergebnisse der Studie sollen zu späterem Zeitpunkt veröffentlicht werden.

Gezieltes "Spear Phishing"

Auch Sascha Pfeiffer, Sicherheitsberater beim Softwareanbieter Sophos, sieht Menschen als kritischste Schwachstellen für Angriffe auf Firmennetzwerke. Neben manipulierter Hardware wie im oben genannten Beispiel schicken Hacker inzwischen häufig gezielt verseuchte E-Mails an Personen in Entscheider-Positionen, die auf möglichst viele sensible Daten in einem Firmennetzwerk zugreifen können.

Laut Pfeiffer ein typisches Beispiel für diese Variante: Ein Hacker schickt eine Mail an einen Finanzvorstand und gibt sich als Wirtschaftsprüfer aus, der Finanzvorstand leitet die Mail ungelesen an seine Sekretärin weiter. Die wiederum öffnet den infizierten Anhang der Nachricht, ohne Verdacht zu schöpfen, da diese schließlich von ihrem Chef kommt.

Auf ähnliche Weise schafften es Anfang des Jahres Hacker, in das System der Sicherheitsfirma RSA einzudringen: Sie schickten eine Excel-Datei mit dem Namen "Einstellungsplan 2011" an mehrere Mitarbeiter. Ein Neugieriger unter ihnen öffnete das Dokument - woraufhin die Hacker seinen PC steuern und wichtige Informationen über das Authentifizierungssystem "SecurID" der Firma RSA auslesen konnten.

Mit diesem Wissen konnten die Hacker Monate später in die Server des Rüstungskonzern Lockheed Martin eindringen - sie hatten das mehrstufige Sicherheitssystems mit personalisierten Tokens geknackt.

Solche gezielten Attacken auf bestimmte Empfänger, die neuere Variante des Phishings, werden - nach dem englischen Wort für Speer - als Spear Phishing bezeichnet.

Ebenfalls beliebt: Ein fingiertes Bewerbungsschreiben mit einem PDF-Anhang wird an die Personalabteilung geschickt - ein klassischer PDF-Exploit. "Oft werden gezielt Anhänge mit Schadsoftware verschickt, die zum Beispiel frische Lücken des Acrobat Readers ausnutzen", erläutert Pfeiffer. "Die Personalabteilung ist ein beliebter Startpunkt für solche Angriffe."

Schnüffler in soziale Netzwerken

Und auch soziale Netzwerke sind eine wichtige Informationsquelle für Hacker mit unlauteren Absichten, wie schon das Beispiel mit der Maus zeigt. Dort plaudern Mitarbeiter von Unternehmen häufig allzu freizügig interne Informationen aus. Dort lässt sich gezielt herausfinden, mit welchen Informationen man Menschen ködern kann, die Zugriff auf Firmennetzwerke haben. Viele kennen ihren Bekanntenkreis in Business-Netzwerken wie Xing oder LinkedIn nur oberflächlich. "Im Zweifelsfall klickt man in sozialen Netzwerken viel eher einen Link an, den ein Bekannter geteilt hat - obwohl der Schaden genauso groß sein kann wie beim Herunterladen eines E-Mail-Anhangs", sagt Pfeiffer.

Wie viele Hacker-Angriffe genau pro Tag auf Konzerne gestartet werden, lässt sich schwer quantifizieren - es gibt keine Meldepflicht. Und manche Attacken dürften wohl lange Zeit unbemerkt bleiben.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 23 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Sicherheit!
kosmohuman 06.07.2011
Deshalb ist es bei vielen Firmen verboten, jegliche USB-Hardware an Firmen-PC anzuschliessen. In vielen Firmen, wo man auf Sicherheit achtet, sind sogar keine USB-Slots vorhanden. Keine Neuigkeit!
2. x
mmueller60 06.07.2011
Zitat von kosmohumanDeshalb ist es bei vielen Firmen verboten, jegliche USB-Hardware an Firmen-PC anzuschliessen. In vielen Firmen, wo man auf Sicherheit achtet, sind sogar keine USB-Slots vorhanden. Keine Neuigkeit!
Ich habe da so meine Zweifel, ob dieser Mehraufwand auch nur für 10% aller PC-Arbeitsplätze getrieben wird. Mir fällt im Moment nur ein Unternehmen ein, in dem das mal der Fall war, daß USB-Anschlüsse ausgeschaltet waren. Und selbst dort ging man dann mit dem Stick halt zu dem einen Kollegen, von dem man wußte, der hatte einen PDA und dafür einen freigeschalteten USB-Anschluß. Der Kollege war dann so nett, die Files vom USB-Stick auf das Netzlaufwerk zu schieben...
3. ....
taggert 06.07.2011
Es gibt aber auch Software (wie zum Beispiel "DriveLock") mit der Administratoren ganz einfach, ohne erheblichen Aufwand alle USB Ports an den Computern blockieren können. Mit eindeutigen Hardware-IDs lässt sich dann sicher stellen das nur "Firmen-Eigene" Mäuse / Tastaturen / Smartphones / Sticks etc. benutzt werden können. Ist bei der Ersteinrichtung ein bisschen Aufwand, aber der Rest danach ist Pipifax... und die Software ist super flexibel so kann man diverse Geräte Firmenweit und Dauerhaft "freischalten" oder einem Rechner "für die nächsten 30 Minuten" den USB Port nur für "Kameras" freischalten... etc etc etc. Also ich denke Berufs-Administratoren sind sich der Gefahr (hoffentlich) bewusst und haben dagegen bereits Vorkehrungen getroffen.
4. Fluch der Bequemlichkeit
schweineigel 06.07.2011
Mich als Privatanwender ärgern auch oft solche "bequemen, automatischen Dinge" Schon oft habe ich (als Experte) irgend etwas gemacht, und schwupp schwupp schwup, ist irgendwas ganz automatisch im Hintergrund gemacht worden. Irgendwas wurde installiert, eingestellt oder verändert. Die ganze Sache wird zu 90% durch irgendwelche "Komfortroutinen" erzeugt. Programme auf CD's USB-Sticks, Webseiten,PDF's,Emails werden einfach so ausgeführt, ohne dass nervig nachgefragt wird. Das ungeliebte WindowsVISTA wurde so programmiert, dass es eben oft nachgefragt hat. Aber das war dann auch irgendwie lästig. Und weil der normale User sich gestört wurde, wurde dann dann auch wieder gemeckert. Der "normale User" wusste einerseits nicht, wie man diese Warnungen ausschalten konnte, doch VOR ALLEM wollte er nicht die Verantwortung übernehmen, wenn er es getan hätte. Anstatt dessen hat er alle Probleme dann auf die Technik geschoben. Der Vorwurf "Dummheit" ist also eigentlich falsch. "Faulheit" trifft es besser. Die Sache mit der Maus ist aber ziemlich an den Haaren herbeigezogen. Wahrscheinlicher wäre irgendjemand, der einen Angestellten kidnappt, ihn ausfragt, möglicherweise unter Drogeneinfluss Nachts über einen längeren Zeitraum; und dann einen Doppelgänger trainiert. Ist schon oft passiert -- in Spionagethrillern.
5.
Der Meyer Klaus 06.07.2011
Zitat von taggertEs gibt aber auch Software (wie zum Beispiel "DriveLock") mit der Administratoren ganz einfach, ohne erheblichen Aufwand alle USB Ports an den Computern blockieren können. Mit eindeutigen Hardware-IDs lässt sich dann sicher stellen das nur "Firmen-Eigene" Mäuse / Tastaturen / Smartphones / Sticks etc. benutzt werden können. Ist bei der Ersteinrichtung ein bisschen Aufwand, aber der Rest danach ist Pipifax... und die Software ist super flexibel so kann man diverse Geräte Firmenweit und Dauerhaft "freischalten" oder einem Rechner "für die nächsten 30 Minuten" den USB Port nur für "Kameras" freischalten... etc etc etc. Also ich denke Berufs-Administratoren sind sich der Gefahr (hoffentlich) bewusst und haben dagegen bereits Vorkehrungen getroffen.
... Linux installiert? Da bin ich schon froh wenn der USB-Stick überhaupt zu mounten ist. Und wenn der das erst dank Hacker tut: Mehr davon! :D
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: