„Schadprogramm" – Versionsunterschied

Als Schadprogramm, Schadsoftware oder zunehmend als Malware [ˈmalwɛːɐ̯ ] – englisch , evilware, junkware oder malware [ˈmælˌwɛə ] (Kofferwort aus malicious ‚bösartig‘ und software ) – bezeichnet man Computerprogramme, die entwickelt wurden, um, aus Sicht des Opfers, unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Der Begriff des Virus ist häufig nicht klar abgegrenzt. So ist die Rede von Virenschutz, womit viel allgemeiner der Schutz vor Schadsoftware jeglicher Art gemeint ist.

Von Malware abzugrenzen ist fehlerhafte Software, obwohl auch diese selbst Schaden anrichten kann oder durch Sicherheitslücken beziehungsweise mangelnde Informationssicherheit zum Angriff auf Computersysteme ausgenutzt werden kann.

Die Schadfunktionen sind gewöhnlich getarnt, oder die Software läuft gänzlich unbemerkt im Hintergrund (Typisierung siehe unten). Schadfunktionen können zum Beispiel die Manipulation oder das Löschen von Dateien oder die technische Kompromittierung der Sicherheitssoftware und anderer Sicherheitseinrichtungen (wie z. B. Firewalls und Antivirenprogramme) eines Computers sein, aber auch das ungefragte Sammeln von Daten zu Marketing-Zwecken.^[1] Es ist bei mancher Malware auch üblich, dass eine ordnungsgemäße Deinstallation mit den generell gebräuchlichen Mitteln fehlschlägt, so dass zumindest Software-Fragmente im System verbleiben. Diese können möglicherweise auch nach der Deinstallation weiterhin unerwünschte Funktionen ausführen.

Die bisher bekannte Malware kann man grundsätzlich in drei verschiedene Klassen einteilen: Die Computerviren, die Computerwürmer und die Trojanischen Pferde.^[2]

• Ein Computervirus ist per Definition ein Programmcode, der sich selbstständig oder automatisiert weiterverbreiten kann, indem er Dateien infiziert. Der Begriff „computer virus" wurde im Jahr 1981 durch den Informatiker Leonard M. Adleman etabliert, der die Bezeichnung erstmals öffentlich verwendete.^[3] Vergleiche von Programmcodes mit biologischen Viren gab es aber schon in den Jahren zuvor. Das erste bekannte Computervirus soll den meisten Quellen nach Elk Cloner für den Apple II im Jahr 1982 gewesen sein.
• Ein Computerwurm ist per Definition ein eigenständiges Computerprogramm oder Skript, das sich selbstständig oder automatisiert weiterverbreitet. Als Erfinder des theoretischen Konzepts der Selbstreplikation gilt John von Neumann im Jahr 1953.^[4] Die erste bekannte Schadsoftware überhaupt war der Computerwurm Creeper im Jahr 1971.^[5] Die Bezeichnung „computer worm" geht auf den Endzeit-Roman Der Schockwellenreiter von John Brunner aus dem Jahr 1975 zurück. Ob Brunner den Begriff wirklich selbst erfunden hat, ist nicht bekannt. Er prägte ihn aber zumindest dauerhaft.^[6]
• Ein Trojanisches Pferd ist per Definition ein eigenständiges Programm, das als Haupt- oder Nebenfunktion schädlichen Code enthält, sich aber nicht selbstständig oder automatisiert weiterverbreiten kann. Die Infektion erfolgt daher großteils durch Drive-by-Download oder durch Spam-Kampagnen. Daniel Edwards stellte 1972 das theoretische Konzept solcher Malware als Bedrohung für die Rechnersicherheit auf und benannte sie erstmals als „trojan horse".^[7] Das Spiel Pervading Animal aus dem Jahr 1975 wird als das erste bekannte Trojanische Pferd bezeichnet.^[8]

Computerviren werden üblicherweise nach Art der Wirtsdatei/en in folgende Unterklassen eingeordnet:

• Bootsektorviren infizieren Bootblöcke wie Bootsektor und/oder MBR, RDB etc. Ein Bootblock ist technisch gesehen eine Datei.
• Companionviren erstellen infizierte Kopien einer Exe-Datei als Com-Variante.
• Dateiviren infizieren ausführbare Dateien mit der Endung Exe oder Com.
• Kernelviren infizieren Dateien, die zum Kernel des Betriebssystems gehören.
• Clusterviren infizieren Sektoren auf dem Datenträger und verlinken darauf. Davon ausgenommen sind Bootsektor und Bootblock.
• Makroviren infizieren MS-Office-Dokumente.
• Hybridviren infizieren Exe- oder Com-Dateien und ebenfalls Bootsektoren bzw. MBR.

Wird in einer anderen Datei ein Link auf den eigentlichen Viruscode gesetzt, gilt auch diese Datei als infiziert, bzw. zählt als Wirtsdatei, da der Link als Bestandteil des Viruscodes angesehen wird.

Speicherresidente Viren infizieren zusätzlich den RAM, was für diese Einteilung aber ohne Belang ist, da der RAM keine Wirtsdatei darstellt.

Die zahlreichen weiteren Bezeichnungen für Viren beziehen sich meist auf ihr Infektions-Verhalten, die Wirtssysteme, den Payload, eingebaute Trigger oder angewendete Techniken.

Würmer unterteilt man nach der Art ihrer Verbreitung in folgende Klassen:

• Netzwerkwürmer nutzen Sicherheitslücken und schwache Passwörter in Betriebssystemen und Anwendungen, um sich über das Netzwerk (z. B. P2P) direkt auf andere Computer zu kopieren. Als Mittel zum Zweck wurden in den ersten zehn Jahren des 21. Jahrhunderts häufig die damals beliebten Tauschbörsen und BitTorrents ausgenutzt. Auch Instant-Messenger werden von Würmern zur Verbreitung zweckentfremdet.
• E-Mailwürmer verschicken sich automatisiert oder teilautomatisiert per E-Mail und nutzen dabei oft Exploits in Outlook oder anderen E-Mail-Programmen.
• Würmer für Wechseldatenträger oder für USB-Kleingeräte verbreiten sich über USB-Sticks und Wechselfestplatten und nutzen dabei häufig Sicherheitslücken in der Autostart-Funktion.
• IRC-Würmer nutzen die Steuerungsskripte des Internet Relay Chats aus, um sich zu verbreiten.
• Bluetooth-Würmer nutzen Exploits der Bluetooth-Technik von Mobiltelefonen und Tablet-Computern.
• MMS-Würmer versenden sich automatisiert per Multimedia Messaging Service.

Würmer werden in den Massenmedien oft fälschlich als Viren bezeichnet. Als klares Unterscheidungsmerkmal gilt, dass ein Computerwurm keine Wirtsdatei benötigt.

Je nach der Art ihrer schädlichen Auswirkungen gibt es eine Vielzahl weiterer, mehr oder weniger etablierter Bezeichnungen für Malware. Oft handelt es sich bei diesen Programmen um Trojanische Pferde, da sie sich nicht selbstständig oder automatisiert weiterverbreiten können. Eine häufig verwendete Kurzform ist Trojaner, dieser Begriff wird aufgrund seiner Wortherkunft aber häufig als falsch angesehen. Allerdings ist der Begriff in der deutschen Sprache sowohl im Fachbereich als in der Allgemeinheit fest etabliert und stellt somit eine korrekte Bezeichnung dar. Ein Trojanisches Pferd lädt man meist aufgrund von Täuschung aus dem Internet, fängt es sich als Drive-by-Download ein, oder bekommt es versehentlich oder absichtlich zugespielt.^[9]

Die folgenden Typen von Malware treten meist in Form von Trojanischen Pferden auf:

• Adware forscht den Computer und das Nutzerverhalten aus, um gezielt Werbung zu platzieren. Adware wird häufig zusammen mit gewünschten Installationen oder Webabrufen, ohne Nachfrage und ohne Nutzen für den Anwender, gestartet. Die gesammelten Informationen dienen häufig nicht nur der personalisierten Werbung, sie stellen auch einen finanziellen Wert beim Verkauf an die Marktforschung dar.
• Hintertür (Backdoor) ist eine verbreitete Schadfunktion, die üblicherweise durch Viren, Würmer oder Trojanische Pferde eingebracht und installiert wird. Sie ermöglicht Dritten einen unbefugten Zugang („Hintertür") zum Computer, jedoch versteckt und unter Umgehung der üblichen Sicherheitseinrichtungen. Backdoors werden oft genutzt, um den kompromittierten Computer als Spamverteiler oder für Denial-of-Service-Angriffe (DoS) zu missbrauchen.
• Spyware spioniert den Computer, die Daten und das Nutzerverhalten aus und sendet die Daten an Dritte weiter. Diese Form von Malware wird häufig zusammen mit anderer, nützlicher Software installiert, ohne den Anwender zu fragen, und bleibt auch häufig nach deren Deinstallation weiter tätig.
• Keylogger sind eine Unterklasse der Spyware. Sie sind Programme die dazu verwendet werden, die Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und einem Dritten bereitzustellen. Dabei werden unter anderem eingegebene Benutzernamen und Passwörter erfasst, diese geben dem Dritten wiederum die Möglichkeit, auf die Systeme zuzugreifen, für die diese Zugangsdaten bestimmt sind.
• Scareware ist darauf angelegt, den Benutzer zu verunsichern und ihn dazu zu verleiten, schädliche Software zu installieren oder für ein unnützes Produkt zu bezahlen. Beispielsweise werden gefälschte Warnmeldungen über angeblichen Virenbefall des Computers angezeigt, den eine käuflich zu erwerbende Software zu entfernen vorgibt.
• Ransomware blockiert den Zugriff auf das Betriebssystem bzw. verschlüsselt potenziell wichtige Dateien und fordert den Benutzer zur Zahlung von Lösegeld auf – meist über das digitale Bezahlsystem Monero.^[10]
• Rogueware (auch Rogue-Software, Rogue-Sicherheitssoftware oder englisch „rogue security software") gaukelt dem Anwender vor, vermeintliche andere Schadprogramme zu entfernen. Manche Versionen werden kostenpflichtig angeboten, andere Versionen installieren weitere Schadprogramme während des Täuschungsvorgangs.^{[11] [12]}
• Coin mining (auch Cryptocurrency mining) bezeichnet eine Technik, bei der ein Angreifer die Hardware- und Energieressourcen von Opfern unbemerkt und ohne deren Zustimmung zum rechenintensiven Mining verwendet werden, z. B. über manipulierte Webseiten oder durch Schadsoftware.^{[13] [14]}
• Riskware ist Software, die für legale Zwecke beworben wird, aber dabei erhebliche Sicherheitsprobleme aufwerfen kann. Beispielsweise der Missbrauch von Fernwartungsprogrammen als Backdoor-Trojaner.
• Archivbomben sind stark komprimierte Dateien, wie beispielsweise einfarbige Bitmapdatei in Gigabyte-Größe. Nach dem Packen haben diese eine Größe von wenigen 100 Kilobyte. Das bringt möglicherweise den Systemspeicher beim Entpacken an seine Grenzen. Virenscanner hatten früher Probleme mit der Prüfung von Archivbomben, weil sie sich dabei oft in Endlosschleifen verfingen.
• Dropper sind Trojaner, die einen Virus aussetzen. Meistens handelt es sich dabei um einen Bootsektorvirus. Sie dienen zu Erstfreisetzung oder zur gezielten Infektion.

Grayware

Grayware wird teils als eigene Kategorie benutzt, um Software wie Spyware und Adware oder andere Varianten, die Systemfunktionen nicht direkt beeinträchtigen, von eindeutig schädlichen Formen, der Malware, abzugrenzen.^[15] Der Begriff ist nicht zu verwechseln mit Grauware oder dem Reimport von Waren am offiziellen Importeur vorbei.

Bei Greyware handelt es sich bis auf wenige Ausnahmen um Trojanische Pferde. Strittig ist aber in vielen Einzelfällen ob es sich nun um überhaupt um Grey- oder doch um Malware handelt. Das subjektive Empfinden spielt hier eine entscheidende Rolle und gerade diese Unklarheit ist ein Definitionsmerkmal von Greyware. Oft als solche angesehen werden unter anderem:

• Dialer, Einwahlprogramme auf Telefon-Mehrwertrufnummern, werden oft unter Malware genannt, obwohl sie im engeren Sinne nicht dazu zählen, sondern nur missbräuchlich für Betrugszwecke genutzt werden. Illegale Dialer-Programme führen die Einwahl heimlich, d. h. im Hintergrund und vom Benutzer unbemerkt, durch und fügen dem Opfer finanziellen Schaden zu, der etwa über die Telefonrechnung abgerechnet wird. Strafrechtlich handelt es sich hier um Onlinebetrug. Der ursprüngliche Sinn von Dialern war aber der legale Hintergrund eine Möglichkeit des einfachen und unkomplizierten Bezahlens im Internet zu ermöglichen.
• Govware bezeichnet meist Spyware-Trojaner oder in selteneren Fällen auch Spionagesoftware mit Wurmeigenschaften. Der Unterschied zur Malware besteht lediglich in der offiziellen Verwendung durch Geheimdienste, Zoll und andere berechtigte Institutionen.

Eine logische Bombe ist ein schädlicher Programmcode, welcher primär durch Bedingungen; sogenannte Auslöser (trigger), schädliche Befehle (malicious commands) ausführt, teilweise komplexe Aufgaben über bspw. Sprungbefehlen auch mehrere Befehlsketten ausführt. Auch Viren können auf einem infizierten Computer logische Bomben platzieren, die in der Regel so programmiert sind, dass sie zu einem festgelegten Zeitpunkt gleichzeitig hochgehen. Diese Logikbomben werden manchmal auch als Zeitbomben bezeichnet.^[16]

Eine Hintertür (häufig als Backdoor) dient dem geheimen Zugriff auf ein installiertes System, auf Softwareebene, meist mehrfach in Betriebssystemen; Systemsoftware, Treibersoftware, Softwarepaketen, Treiberdateien, Upgrades und Updates und zunehmend Einzelsoftware. Mit höherer Programmierdichte (Code-Dichte), Software-Komplexität, steigt unweigerlich die Fehlerrate und damit das Risiko von ungewollten Hintertürchen.

Hostile Applets (aus dem Englischen; feindliche Kleinanwendungen) werden meist innerhalb anderer Computerprogramme eingesetzt und sind häufig Unteranwendungen (wie Add-Ons). Applets sind ähnlich, aber umfangreicher als Makros. Hostile Applets nutzen vorwiegend Fehlimplementationen, z. B. in Sandboxen und virtuellen Maschinen, aus. Eingesetzt werden sie vorwiegend um sensible, geheime Daten auszuspähen, Schadsoftware einzuschleusen oder Daten zu manipulieren.

Anwendungen für Betriebssysteme von Microsoft können seit Windows 10 Add-Ons, Makros und Skripte von Drittanbietern zur Laufzeit über das Antimalware Scan Interface (AMSI) auf potentiell schädliches Verhalten prüfen lassen.^[17]

Moderne und professionelle Schadsoftware basiert auf verschiedenen Schadkonzepten, Mischungen aus Logikbomben und anderen Schadprogrammtypen. Diese sind mit am häufigsten anzutreffen, ebenso die Verschleierungstaktiken; Tarnung ist kreativer und vielfältiger geworden (resp. erwähnt sei die Tarnung mittels Homographie, als Systemdatei, durch gefälschte oder irrtümlich erlangte Sicherheitssignaturen).

• Testviren wie die Eicar-Testdatei, bzw. der darin enthaltene Code, sind kein Virus. Die Eicar-Datei ist unter MS-DOS ein ausführbares Programm und kann sich oder den Testcode nicht weiterverbreiten. Wenn man die Testdatei überhaupt als Malware ansehen will, dann ist sie de facto ein Trojaner.
• Bloatware ist eine Bezeichnung für Software, die mit Funktionen überladen ist oder die Anwendungen sehr unterschiedlicher Arbeitsfelder ohne gemeinsamen Nutzen bündelt.
• Crapware bezeichnet die vorinstallierte Software auf einem neu erworbenen Gerät. Diese wird oft als unnütz und lästig empfunden.
• Nagware ist ein Name für reguläre und nützliche Freeware-Anwendungen, welche auf lästige Art sehr häufig mit Pop-Up-Fenstern oder Ähnlichem zur Registrierung auffordert oder für den Kauf der Vollversion wirbt.
• Hoaxes; engl. für Scherze, sind streng genommen keine Schadprogramme, sondern ein Mittel des Social Engineering, zumeist im Rahmen von Phishing.

Im Jahr 2008 wurden von Sicherheitsunternehmen wie F-Secure „eine Million neuer Schädlinge" erwartet. Täglich erreichen demnach etwa 25.000 neue Schadprogramme – sogenannte Unique Samples, also Schädlinge mit einzigartigem „Fingerabdruck" nach MD5 – speziell hierfür eingerichtete Server, z. B. Honeypots. Dagegen konnte AV-Test bereits Mitte April 2008 zehn Millionen neue Schadprogramme im Jahr 2008 zählen. Es sei eine starke Veränderung bei der Verbreitung von Schadsoftware zu erkennen: Trojanische Pferde in E-Mail-Dateianhängen werden immer seltener, während die Angriffe über das Web etwa mittels Drive-by-Download zunehmen. Außerdem käme der Einsatz von Rootkit-Techniken zum Verstecken der Schädlinge immer häufiger vor.^{[18] [19]} Laut dem kalifornischen Malware-Spezialisten Kindsight Security waren 2012 in Deutschland durchschnittlich 13 % der privaten Rechner durch Malware infiziert. Nach einer Sicherheitsstudie der Zeitschrift <kes> und Microsoft von 2014^[20] ist die „Infektion durch Schadsoftware" auf den ersten Platz der Gefährdungen für die Unternehmens-IT vorgerückt. Sie hat damit „Irrtum und Nachlässigkeit der Mitarbeiter" auf den zweiten Platz verdrängt. 74 Prozent der Studienteilnehmer hätten angegeben, dass sie in den letzten zwei Jahren von Schadsoftware-Vorfällen betroffen waren. An der Spitze der Infektionswege stehe in den befragten Unternehmen die E-Mail. Danach würden Webinhalte folgen, die die Schadsoftware über aktive Inhalte oder „Drive-by-Downloads" verteilen.^[21]

Eine Studie, die sich mit den Motivationsgründen der Entwickler von Schadsoftware auseinandersetzt, ist im Jahr 2006 zu den fünf primären Ergebnissen gekommen:^[22]

• Habgier: Angriffe werden durchgeführt, um einen persönlichen, materiellen Gewinn daraus zu erzielen.
• Neugier: Angriffe werden durchgeführt, um die persönliche Neugier zu stillen.
• Spionage: Angriffe werden durchgeführt, um gezielt in den Besitz bestimmter Informationen zu gelangen.
• Vergeltung: Angriffe werden durchgeführt, um gezielt und zur Befriedigung persönlicher Emotionen Schäden zu erzeugen.
• Konspiration: Angriffe werden durchgeführt, um eventuelle Verfolger auf falsche Fährten zu locken.

Als weitere Komponente ist mittlerweile der sogenannte Cyberkrieg dazugekommen, der über schlichtes Spionieren weit hinausgeht. Ein bekanntes Beispiel für Sabotage durch Geheimdienste war der Netzwerkwurm Stuxnet, der im Jahr 2010 bekannt wurde. Man verwendete diese Govware zum Manipulieren iranischer Atomanlagen.^[23]

• Botnet
• Contentfilter
• Crimeware
• Doxing
• Informationssicherheit
• Logikbombe
• Pharming
• Phishing
• Ransomware
• Vishing

• Eugene Kaspersky: Malware: Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt. Hanser-Verlag, München 2008, ISBN 978-3-446-41500-3. 

• Viren, Würmer, trojanische Pferde. Archiviert vom Original am 8. Dezember 2012; abgerufen am 22. August 2023 (Informationsseite des CERT der Universität Stuttgart (RUS-CERT) zu Schadsoftware). 
• Verschiedene Arten und Klassifikation von Malware. AO Kaspersky Lab; abgerufen am 22. August 2023 (Einstufung der Arten von Malware nach Schädlichkeit). 
• Mikko Hyppönen: The Malware Museum. In: Internet Archive. 2016; abgerufen am 8. Februar 2016 (englisch, Sammlung von Emulationen historischer Schadprogramme). 
• Schadsoftware: Wie Sie Malware erkennen und entfernen. Ionos, 21. Juni 2023; abgerufen am 22. August 2023. 

• Schadprogramm

• Wikipedia:Belege fehlen