Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Malware: Arten, Analyse und Schutzmaßnahmen

Von Viren und Trojaner bis Ransomware, Spyware und Rootkits - alle Malware-Varianten erklärt, aktuelle Bedrohungslandschaft, Analyse-Methoden und praxiserprobte Schutzmaßnahmen für Unternehmen.

Inhaltsverzeichnis (5 Abschnitte)

Malware (Malicious Software) ist der Oberbegriff für alle Software die mit schädlicher Absicht entwickelt wurde. Kein anderes Thema beschäftigt IT-Sicherheitsteams so intensiv: Täglich werden nach Angaben des BSI über 310.000 neue Malware-Varianten entdeckt. Wer Malware versteht - ihre Typen, ihre Techniken, ihre Ziele - kann sich effektiver schützen.

Die Malware-Taxonomie

Malware lässt sich nicht mehr sauber in Kategorien unterteilen - moderne Schadsoftware kombiniert typischerweise mehrere Funktionen. Trotzdem helfen Klassifikationen zum Verständnis:

Viren und Würmer

Computervirus: Hängt sich an legitime Dateien oder Programme und verbreitet sich wenn diese ausgeführt oder weitergegeben werden. Erfordert Nutzeraktion zur Verbreitung.

Wurm (Worm): Kann sich selbstständig im Netzwerk verbreiten - ohne Nutzeraktion. WannaCry (2017) war ein klassischer Wurm: nutzte die EternalBlue-Schwachstelle (SMBv1) und infizierte innerhalb von Stunden 200.000 Systeme weltweit.

Polymorphe Malware: Verändert ihre eigene Signatur bei jeder Verbreitung um Antivirus-Erkennung zu umgehen.

Metamorphe Malware: Schreibt sich selbst komplett um (Code-Transformation) - keine erkennbare Signatur mehr.

Trojaner (Trojan Horse)

Software die sich als legitimes Programm tarnt aber Schadfunktionen enthält. Benannt nach dem trojanischen Pferd.

Remote Access Trojan (RAT): Gibt Angreifern vollständige Fernkontrolle über infizierte Systeme. Keylogging, Screenshot-Capture, Datei-Transfer, Webcam-Aktivierung. Bekannte RATs: AsyncRAT, njRAT, QuasarRAT.

Banking-Trojaner: Spezialisiert auf Finanzbetrug - modifiziert Bankseiten im Browser (Web Injection), fängt Transaktionen ab. Emotet begann als Banking-Trojaner, entwickelte sich zum universellen Malware-Loader.

Loader/Dropper: Initialer Payload der weitere Malware nachlädt. Emotet, IcedID, Qakbot sind Beispiele - sie holen den eigentlichen Payload (Ransomware, Stealer) nach der Infektion nach.

Spyware und Stealer

Spyware: Überwacht Nutzeraktivitäten ohne Wissen des Opfers. Keylogger, Screenshots, Mikrofon/Webcam-Zugriff, GPS-Tracking (mobile Spyware).

Infostealer / Credential Stealer: Spezialisiert auf das Stehlen von Zugangsdaten. Durchsucht Browser-Passwort-Datenbanken, gespeicherte Cookies, Session-Tokens, Kryptowährungs-Wallets.

Aktive Infostealer 2024: RedLine, Vidar, Raccoon, LummaC2, StealC. Werden als “Malware-as-a-Service” für $100-$500/Monat vermietet.

Was Stealer entwenden:

  • Browser-Passwörter (Chrome, Firefox, Edge - alle speichern Passwörter verschlüsselt, aber Stealer nutzen dieselbe API wie der Browser)
  • Session-Cookies (für Session-Hijacking ohne Passwort nötig)
  • MFA-Tokens (TOTP-Seeds aus Browser-Extensions)
  • VPN-Credentials und Konfigurationsdateien
  • Kryptowährungs-Wallet-Dateien und Private Keys
  • SSH-Keys, RDP-Verbindungsdaten

Rootkits

Rootkits verstecken sich und andere Malware auf dem System - sie manipulieren Betriebssystem-Funktionen um die eigene Existenz zu verbergen.

User-Mode Rootkit: Hakt sich in Betriebssystem-API-Aufrufe ein. Einfacher zu implementieren, aber erkennbar durch Integrity-Monitoring.

Kernel-Mode Rootkit: Operiert auf Betriebssystem-Kernel-Ebene - unsichtbar für normale Sicherheitswerkzeuge. Moderne Sicherheitslösungen nutzen Kernel-Isolation.

Firmware-Rootkit: Infiziert UEFI/BIOS oder Festplatten-Firmware - überlebt Betriebssystem-Neuinstallationen. MoonBounce (2022) war das erste öffentlich bekannte UEFI-Rootkit eines staatlichen Akteurs.

Bootkit: Infiziert den Master Boot Record oder UEFI-Bootloader - lädt vor dem Betriebssystem. Secure Boot (TPM) schützt dagegen.

Ransomware

Ransomware verschlüsselt Dateien oder sperrt Systeme und fordert Lösegeld. Sie ist die dominante Malware-Kategorie im Unternehmenskontext:

  • Locker-Ransomware: Sperrt den Bildschirm, verschlüsselt keine Daten (ältere Variante, leichter zu entfernen)
  • Crypto-Ransomware: Verschlüsselt Dateien mit starker Kryptographie (AES-256 + RSA-2048 typisch)
  • Double Extortion: Stiehlt Daten VOR Verschlüsselung und droht mit Veröffentlichung
  • Triple Extortion: Zusätzlich DDoS-Angriff auf Opfer oder Kontakt mit Kunden/Partnern

Adware und PUP

Adware: Zeigt unerwünschte Werbung, sammelt Browserverlauf. Oft als “Gratis-Software” gebündelt.

PUP (Potentially Unwanted Program): Browser-Toolbars, System-”Cleaner”, Mining-Software ohne Nutzerinformation.

Cryptominer

Nutzen Rechenleistung infizierter Systeme zum Schürfen von Kryptowährungen (Monero typischerweise, da besonders datenschutzfreundlich). Folge: erhöhte CPU-Last, Stromverbrauch, mögliche Hardware-Schäden.

Cryptojacking: Browserseitig via JavaScript - Miner läuft solange die Webseite geöffnet ist.

Moderne Malware-Techniken

Fileless Malware / Living-off-the-Land (LotL)

Das Konzept: Keine schädlichen Dateien auf der Festplatte - Malware lebt ausschließlich im Arbeitsspeicher und nutzt legitime Betriebssystem-Tools.

Häufig missbrauchte Windows-Tools:

  • PowerShell: Skript-Ausführung, Download von Payloads, AMSI-Bypass
  • WMI (Windows Management Instrumentation): Persistenz, Lateral Movement
  • MSHTA: Ausführung von VBScript/JScript
  • Regsvr32: DLL-Registrierung als Umgehung von Application Whitelisting
  • Certutil: Download von Dateien (LOLBin)
  • Scheduled Tasks: Persistenz ohne Autorun-Registry-Einträge

Warum schwer erkennbar: Kein bekannter Malware-Hash, nur legitime System-Prozesse aktiv.

Process Injection

Malware injiziert Code in legitime Prozesse (explorer.exe, svchost.exe) um:

  • Unter dem Prozessnamen zu laufen und nicht aufzufallen
  • Auf Rechte und Zugänge des Zielprozesses zuzugreifen
  • Speicher-Forensik zu erschweren

Techniken: DLL-Injection, Process Hollowing, Thread Execution Hijacking, Reflective DLL Loading.

Command & Control (C2)

Malware benötigt Kommunikation mit dem Angreifer für: Befehle empfangen, Daten exfiltrieren, Updates erhalten.

C2-Kommunikationskanäle:

  • HTTP/HTTPS: Tarnt sich als Web-Traffic (schwer zu blocken ohne TLS-Inspection)
  • DNS-Tunneling: Daten in DNS-Abfragen codieren - umgeht fast alle Firewalls
  • ICMP: Ping-Pakete als Covert Channel
  • Social Media APIs: Twitter, Telegram als C2-Kanal (echte API, legitimer Traffic)
  • Cloud Storage: Dropbox, Google Drive, OneDrive als Befehls-Ablage

Beacon-Pattern: Regelmäßige “Eincheckversuche” mit geringen Zeitintervallen. Erkennbar durch NDR/SIEM-Regeln die regelmäßige kleine Verbindungen zu unbekannten Hosts erkennen.

Anti-Analysis-Techniken

Malware-Entwickler implementieren aktiv Maßnahmen gegen Analyse:

  • VM-Erkennung: Prüft ob in VMware/VirtualBox läuft (dann kein schädliches Verhalten)
  • Sandbox-Evasion: Zeitverzögerung (Sleep 10 Minuten) bevor Aktivität beginnt
  • Anti-Debugging: Erkennt angehängte Debugger
  • String-Obfuskation: Lesbare Strings werden verschlüsselt gespeichert
  • Packer/Crypter: Payload verschlüsselt, wird nur im RAM entpackt

Malware-Analyse: Methoden

Statische Analyse

Analyse ohne Ausführung:

  • Hash-Vergleich gegen VirusTotal-Datenbank
  • Strings extrahieren (Domains, IPs, Registry-Keys, Befehle)
  • Imports analysieren (welche Windows-API-Funktionen werden genutzt?)
  • Disassemblierung und Decompilierung (Ghidra, IDA Pro)
# Hash berechnen
sha256sum suspicious.exe

# VirusTotal-Check (API)
curl -X POST "https://www.virustotal.com/api/v3/files" \
  --header "x-apikey: <API_KEY>" \
  --form "file=@suspicious.exe"

# Strings extrahieren
strings suspicious.exe | grep -E "(http|https|\.onion|192\.168)"

Dynamische Analyse (Sandboxing)

Ausführung in isolierter Umgebung und Verhaltensbeobachtung:

  • Datei-System-Änderungen
  • Registry-Modifikationen
  • Netzwerkverbindungen
  • Prozess-Erzeugung

Public Sandboxes: any.run, Joe Sandbox, Hybrid Analysis, Tria.ge

Eigene Sandbox: Cuckoo Sandbox (Open Source) für interne, sensitive Samples.

Memory Forensik

RAM-Analyse nach Infektion - entscheidend für Fileless Malware:

# Volatility Framework
volatility -f memory.img pstree    # Prozessbaum
volatility -f memory.img netscan   # Netzwerkverbindungen
volatility -f memory.img cmdline   # Kommandozeilen aller Prozesse
volatility -f memory.img malfind   # Injizierte Code-Segmente

Schutzmaßnahmen

Endpoint Detection and Response (EDR)

Moderne EDR-Lösungen ersetzen klassisches Antivirus:

  • Verhaltensbasierte Erkennung statt nur Signaturen
  • Erkennung von Fileless-Angriffen und LotL-Techniken
  • Forensik-Fähigkeiten: Vollständige Prozess-Bäume, Netzwerkverbindungen
  • Automated Response: Infizierte Prozesse automatisch beenden, Hosts isolieren

Marktführer: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Sophos Intercept X.

Application Whitelisting

Nur bekannte, explizit zugelassene Programme dürfen starten. PowerShell-Skripte von unbekannten Quellen werden geblockt.

Windows: AppLocker, WDAC (Windows Defender Application Control).

E-Mail-Sicherheit

90%+ aller Malware-Infektionen beginnen mit einer Phishing-E-Mail mit schadhaftem Anhang oder Link:

  • Makros in Office-Dokumenten deaktivieren (oder blockieren)
  • Sandboxed Link-Analyse (URLs werden vor Klick geprüft)
  • DMARC/DKIM/SPF für eigene Domains (verhindert Spoofing)

Patch Management

Malware nutzt bekannte, gepatchte Schwachstellen - wenn der Patch nicht eingespielt wurde. WannaCry nutzte eine 2-Monate alte Windows-Schwachstelle für die bereits ein Patch existierte.

Netzwerk-Segmentierung und Monitoring

Verhindert laterale Verbreitung nach erstem Fuß in der Tür. NDR erkennt Anomalien wie Portscan oder ungewöhnliche DNS-Abfragen die auf Malware hindeuten.

Backup und Business Continuity

Der letzte Schutz gegen Ransomware: 3-2-1-Backup-Regel:

  • 3 Kopien der Daten
  • 2 verschiedene Medien/Technologien
  • 1 Offsite/Air-gapped (nicht vom Produktionsnetz erreichbar)

Offline-Backups sind entscheidend - Ransomware verschlüsselt aktive Netzwerklaufwerke mit.

Malware und NIS2

NIS2 Art. 21 schreibt explizit vor: “Vorfall-Erkennung” und “Erkennung, Analyse, Eindämmung von Cybersicherheitsvorfällen” - was direkt auf Malware-Schutz und Response zielt. Betroffene Unternehmen müssen:

  • Technische Maßnahmen zur Malware-Erkennung (EDR/AV) betreiben
  • Meldeprozesse für erhebliche Vorfälle definieren (24h Frühwarnung)
  • Regelmäßige Sicherheitsschulungen durchführen (menschlicher Angriffsvektor)

Quellen & Referenzen

  1. [1] BSI Lagebericht zur IT-Sicherheit in Deutschland 2024 - BSI
  2. [2] ENISA Threat Landscape 2024: Malware - ENISA
  3. [3] Verizon DBIR 2024 - Verizon

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

17 Publikationen
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Jan Hörnemann, Chief Operating Officer · Prokurist bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung