Malware
Oberbegriff für jede Art von Software, die mit der Absicht entwickelt wurde, Schaden anzurichten, Daten zu stehlen oder Systeme zu kompromittieren - von Viren über Trojaner bis Ransomware.
Malware (Kurzwort aus “malicious software” - bösartige Software) ist der Oberbegriff für alle Arten von Schadsoftware, die absichtlich entwickelt wurden, um Systeme zu schädigen, Daten zu stehlen, Kontrolle zu übernehmen oder anderen Schaden anzurichten.
Wichtigste Malware-Typen
Virus: Infiziert legitime Dateien und verbreitet sich selbst beim Ausführen. Klassischer Typ, heute seltener als früher - Antivirus-Software hat diesen Typ weitgehend eingedämmt.
Trojaner (Trojan Horse): Tarnt sich als nützliche Software. Öffnet Backdoor oder stiehlt Daten. Häufigster Verbreitungsweg für andere Malware - z. B. über gefälschte Rechnungs-PDFs.
Ransomware: Verschlüsselt Daten und verlangt Lösegeld. 2024 weiterhin größte Bedrohung für Unternehmen - durchschnittliche Forderung 2,73 Mio. USD (Coveware).
Spyware: Überwacht Aktivitäten heimlich - Keylogger, Screenshot-Capture, Kamerazugriff. Wird für Industriespionage und staatliche Überwachung eingesetzt (z. B. Pegasus).
Rootkit: Versteckt sich und andere Malware tief im System (Kernel-Ebene oder Bootloader). Sehr schwer zu erkennen und zu entfernen - oft ist eine Neuinstallation nötig.
Worm: Verbreitet sich selbständig über Netzwerke, ohne Wirtsprogramm. Klassiker: WannaCry (2017, >200.000 Systeme in 150 Ländern), NotPetya (2017, 10 Mrd. USD Schaden).
Backdoor: Geheimer Zugang, umgeht normale Authentifizierung. Wird oft von anderen Malware-Typen eingerichtet - oder direkt von APT-Gruppen für langfristigen Zugang installiert.
Fileless Malware: Lebt nur im Arbeitsspeicher, keine Dateien auf der Festplatte - besonders schwer zu erkennen, da klassische Antivirus-Software nichts zu scannen hat. Nutzt PowerShell, WMI, LOLBins.
Stealer (Infostealer): Stiehlt gezielt Credentials, Cookies, Crypto-Wallets. Bekannte Familien: RedLine Stealer, Raccoon, Vidar, LummaC2. Die Daten landen als “Stealer Logs” im Darknet.
Adware/Scareware: Weniger schädlich - nervt mit Werbung oder fingierter Virenmeldung zur Gelderpressung (“Ihr PC ist infiziert! Rufen Sie an: +1-800…”).
Verbreitung
Häufigste Verbreitungswege:
- Phishing-E-Mails (91% aller Malware-Infektionen beginnen hier) - Macro-aktivierte Office-Dokumente, bösartige Anhänge
- Drive-by-Downloads - kompromittierte Websites infizieren Besucher automatisch über Browser-Exploits
- Infizierte USB-Sticks - 60% der Menschen stecken gefundene USB-Sticks ein (IBM-Studie)
- Software-Downloads aus inoffiziellen Quellen - gecrackte Software, Tools auf dubiosen Sites
- Supply Chain Angriffe - legitimes Software-Update enthält Malware (SolarWinds 2020)
- Exploits gegen ungepatchte Systeme - bekannte CVEs in VPN, Exchange, Webservern
Erkennungsmethoden
- Signaturbasiert: Vergleich mit bekannten Malware-Signaturen - schnell, aber keine Zero-Days oder neue Varianten
- Heuristisch: Verhaltensanalyse verdächtiger Aktionen - langsamer, aber neue Varianten erkennbar
- Sandboxing: Ausführung in isolierter Umgebung zur Verhaltensanalyse vor Auslieferung an User
- EDR (Endpoint Detection & Response): Kontinuierliches Monitoring aller Prozesse, Registry-Änderungen, Netzwerkverbindungen - erkennt auch Fileless Malware und LOLBin-Missbrauch
Schutzmaßnahmen
Technisch:
- EDR auf allen Endpoints (nicht nur klassisches Antivirus)
- E-Mail-Gateway mit Attachment-Sandboxing
- Makros in Office deaktivieren (GPO) oder nur für signierte Dokumente erlauben
- USB-Ports deaktivieren oder nur für genehmigte Geräte freigeben
- Regelmäßiges Patching (Angreifer exploiten oft Schwachstellen die seit Wochen bekannt sind)
Organisatorisch:
- Security Awareness Training - Mitarbeiter sind der häufigste Eintrittspunkt
- Least-Privilege-Prinzip: Malware kann nur die Rechte des infizierten Accounts nutzen
- Network Segmentation: begrenzt Ausbreitung von Würmern und Ransomware
