Kaum eine Woche vergeht, ohne dass ein Unternehmen, eine Behörde oder ein Krankenhaus Opfer einer Ransomware-Attacke wird. Deren Computersysteme wurden von einem Erpresservirus befallen, der sämtliche Dateien verschlüsselt und sie nur gegen Zahlung eines hohen Lösegelds wieder freigibt. Dabei sind die Computer fast aller Opfer durch ein Antivirenprogramm geschützt. Wie kann das sein?
1. Extrem viele Angriffe mit sehr vielen Viren
Bereits in der PC-WELT 4/2023 haben wir den Antiviren-Experten Andreas Marx von AV-Test gefragt, wie es sein kann, dass so viele Schädlinge der Antiviren-Software entkommen, obwohl diese eigentlich gut schützt. Seine Antwort: „Viele Programme wehren um die 99,9% der Angriffe erfolgreich ab, aber das heißt auch, dass eine von 1.000 Attacken erfolgreich ist. Und bei über 100 Millionen neuen Schadprogrammen im Jahr und mehreren Milliarden Windows-PCs gibt es somit immer ein Restrisiko.“
Antivirus-Software für Windows im Test
Mit anderen Worten: Die Masse macht‘s. Kriminelle verbreiten Viren millionenfach, sodass am Ende immer noch viele durch die Sicherheitslücken eines Computersystems schlüpfen können. Auch Peter Stelzhammer, Sicherheitsspezialist und Mitbegründer von AV-Comparatives, sieht in der Masse der verteilten Viren einen Grund für den Erfolg von Malware. Er nennt aber noch weitere Gründe und gibt Tipps für einen guten Schutz. Das Interview mit Peter Stelzhammer finden Sie am Ende des Artikels.
Die Erkennungsrate von PC-Schädlingen durch Antivirenprogramme im Test von AV-Comparatives liegt zwischen 98,9 und 100 Prozent. Das sind sehr gute Werte. Sie bedeuten aber auch, dass einige Schädlinge immer noch übersehen werden.
IDG
Übrigens: Die meisten Schädlinge werden per Mail verbreitet. Entweder kommt der Schadcode direkt als Anhang oder ein Link in der Mail führt zu einem Virus. In deutlich geringerem Umfang kommt Schadcode auch per Messenger oder SMS. In diesen Fällen wird fast immer ein Link mitgeschickt, der auf den Schadcode oder eine infizierte Webseite verweist.
Schutz: Den grundlegenden Schutz bietet ein installiertes Antivirenprogramm. Zusätzlich darf Ihr PC keine Sicherheitslücken aufweisen. Dafür sorgen Sie, indem Sie immer alle Programm- und Windows-Updates installieren. Denn diese Patches schließen neu entdeckte Lücken im System. Zusätzlich zu diesen technischen Anforderungen müssen Sie selbst zum Schutzmann werden. Seien Sie bei Mailanhängen und Links in Mails immer äußerst misstrauisch.
Im Zweifelsfall sollten Sie auf das Öffnen des Anhangs verzichten. Wenn das keine Option ist, öffnen Sie den Anhang nur in einer sicheren Umgebung, z. B. in einer Sandbox unter Any.run. Eine Anleitung dazu finden Sie hier.
Siehe auch:
Online-Banking: 9 Tipps zum Schutz vor Phishing
Phishing-Falle oder unschädlich? Verdächtige Links online analysieren
2. Gezielte Angriffe auf Sicherheitslücken
Sicherheitsforscher finden immer wieder Sicherheitslücken in der Standardkonfiguration von Programmen. Nich oft, aber oft genug handelt es sich dabei auch um Lücken, die zunächst ohne typische PC-Viren ausgenutzt werden können. Das ist etwa der Fall, wenn der Fernzugriff auf die PCs eines Unternehmens nur mit einem Standardpasswort oder einfachen Passwörtern geschützt sind. Das ist geradezu eine Einladung für Hacker, diese Systeme in Besitz zu nehmen.
Sind sie erst einmal auf einem System angemeldet, können sie weiteren Schaden anrichten, indem sie beispielsweise das installierte Antivirenprogramm deaktivieren und erst dann ihren Schadcode auf das System schleusen.
Das Aufspüren von verwundbaren Systemen ist dabei einfacher als gedacht. Denn mit Scannern lassen sich große Teile des Internets nach verwundbaren Systemen durchsuchen. Im einfachsten Fall setzen die Angreifer auf Suchmaschinen für Sicherheitslücken, etwa Shodan.
Schutz: Verwenden Sie für alle Dienste, bei denen sich jemand auf Ihrem Computer einloggen kann, sehr komplexe und vor allem einzigartige Passwörter. Am besten aktivieren Sie eine Zwei-Faktor-Authentifizierung. Typische Heimnetzwerke sind hier an zwei Stellen betroffen: Am Router, wenn für diesen der Fernzugriff aktiviert ist, und am Computer, wenn dort ein Remote-Desktop-Dienst wie der von Windows genutzt wird. Wie Sie zum Beispiel den Fernzugriff der Fritzbox schützen, lesen Sie hier. Ein Ratgeber zu Remote Desktops gibt es unter “Home Office: Sicher arbeiten in Corona-Zeiten“.
Hier hat der Microsoft Defender eine eher harmlose Datei blockiert und unter Quarantäne gestellt. Auf einem privaten PC sollte diese Software ausreichend schützen. Für Firmen gibt es andere Programme.
IDG
3. Credential Stuffing: Gestohlene Log-in-Daten
Bei dieser Methode müssen die Angreifer nicht darauf warten, dass jemand eine Sicherheitslücke in einer Software oder einer Standardkonfiguration findet (siehe oben). Stattdessen beschaffen sich die Angreifer die Anmeldedaten von Hunderttausenden oder Millionen von Benutzern aus Untergrundforen und versuchen, sich mit diesen Daten anzumelden. Diese Angriffe werden als Credential Stuffing bezeichnet und zielen in erster Linie auf Onlinedienste wie das Mailpostfach oder eine Einkaufswebsite ab, können aber auch auf entfernte Desktops angewendet werden.
Mit Tools wie Sentry MBA funktioniert Credential Stuffing sogar automatisch. Sie testen die Kombinationen aus Benutzername und Passwort auf einer Vielzahl von Websites gleichzeitig. Bei einigen Onlineshops stammt bereits ein Großteil des Login-Traffics von solchen Tools.
Schutz: Gefährdet sind alle Nutzer, die dasselbe Passwort für mehrere Accounts verwenden. Wer dagegen für jeden Dienst ein eigenes Passwort erstellt, hat kaum etwas zu befürchten.
4. Gezielte Angriffe per Social Engineering
Von diesen Angriffen sind vor allem Mitarbeiter von Unternehmen betroffen. Aber auch zu Hause auf dem privaten PC. Dies zeigt der Angriff auf den privaten Laptop eines Entwicklers von Lastpass. Nachdem sich Hacker Zugang zu diesem Laptop verschafft hatten, konnten sie in das Firmennetzwerk von Lastpass eindringen und dort eine erhebliche Menge an Kundendaten stehlen.
Eine mögliche Angriffsform ist das Spear Phishing. Bei dieser Hackermethode informieren sich die Angreifer vor dem Angriff sehr genau über das Opfer. Die Hacker finden zum Beispiel heraus, welche Mitarbeiter für die Buchhaltung zuständig sind oder in der Personalabteilung arbeiten. Diese Personen erhalten dann eine Mail mit einer Rechnung oder einer Bewerbung im Anhang. Natürlich wird der Mitarbeiter den Anhang öffnen, da die Mail an ihn persönlich adressiert ist, ihn direkt anspricht und thematisch hundertprozentig in seinen Arbeitsbereich fällt. Der Anhang enthält dann eine PDF-Datei mit Schadcode, der eine neue Schwachstelle im PDF-Viewer des Unternehmens ausnutzt.
Schutz: Ein guter Schutz gegen Spear Phishing ist besonders schwierig, da der Angriff auf das Opfer zugeschnitten ist. Am ehesten helfen gute technische Maßnahmen, die etwa das Öffnen von Mailanhängen nur in einer geschützten Umgebung (Sandbox, virtueller PC) zulassen.
5. Angriffe mit neuen Tricks wie SMS und Video
Diese SMS-Nachrichten können den Empfänger durchaus dazu verleiten, auf die Links zu tippen. Wenn die Websites dahinter gut gemacht sind, wird man leicht Opfer einer Phishing-Attacke.
IDG
Ein Virus kann ein Antivirenprogramm meist dann umgehen, wenn er noch ganz neu ist. Das Schutzprogramm erkennt den Virus dann noch nicht. Dass der Virus neu ist, dafür kann der Angreifer sorgen, denn neue Viren gibt es in Untergrundforen zu kaufen. Er muss seine neue Ware dann aber möglichst schnell auf möglichst viele PCs bringen. Dies kann über Massenmails (siehe Punkt 1) oder über neue Tricks geschehen. Dazu gehören zum Beispiel Nachrichten, die per SMS verschickt werden und einen Link zum neuen Schädling enthalten.
Vor solchen Phishing-SMS warnt zum Beispiel das Landeskriminalamt Niedersachsen. Konkret geben sich die Kriminellen als DHL-Support aus. Mit gefälschten Paket-SMS versuchen sie, ihre Opfer zur Preisgabe privater Daten zu bewegen. Diese werden später von den Betrügern zum Identitätsdiebstahl genutzt. Aber natürlich lässt sich mit dieser Masche auch Schadcode verbreiten, zum Beispiel eine infizierte App oder ein PC-Virus.
Ganz aktuell ist der Einsatz von Videos, die mit Hilfe von künstlicher Intelligenz erstellt werden. Die Videos zeigen, wie man teure Software, zum Beispiel von Adobe, mit einem Crack kostenlos nutzen kann. Dazu gibt es einen Link, der zum Crack führt. Dieser enthält jedoch in Wirklichkeit Malware. Angebliche Cracks für teure Software werden zwar schon seit Jahrzehnten verwendet, um fremde PCs zu verseuchen. Neu ist aber die aufwendige Verpackung in Form eines Erklärvideos.
Schutz: Gegen Spam per SMS hilft, was auch gegen Spam per Mail schützt: Großes Misstrauen gegenüber Links in einer Nachricht. Dieses Misstrauen sollte man in Zukunft auch auf andere Annäherungsversuche wie scheinbar aufwendig gemachte Videos oder umfangreiche Nachrichten ausdehnen. Denn diese lassen sich schon heute ohne großen Aufwand hundert- und tausendfach erstellen.
Interview mit Sicherheitsexperten: Reicht ein guter Virenschutz?
Über dieses Thema haben wir mit Peter Stelzhammer, Sicherheitsspezialist und Co-Founder von AV-Comparatives (www.av-comparatives.org) gesprochen.
PC-WELT: Wie kann es sein, dass Antivirenprogramme 99 bis 100 Prozent aller PC-Schädlinge erkennen und dennoch so viele Rechner infiziert werden?
Stelzhammer: Das Problem ist, dass Antivirenprogramme zum Teil noch reaktiv sind. Die Cyberkriminellen hingegen gehen meist proaktiv vor. Das heißt, die Kriminellen suchen und finden Lücken in den Antivirenprogrammen und nutzen diese aus. Die Hersteller der Antiviren-Tools können dann nur noch im Nachhinein reagieren, also reaktiv sein und innerhalb von Stunden oder Tagen die Lücken schließen. Das sieht man auch bei unseren Tests von Antivirensoftware: Viele Tools schützen zu gut 99 Prozent vor allen aktuellen Viren. Ein paar Viren kommen also noch durch. Und bei der Masse an Viren erklärt das einige der infizierten Systeme. Die Programme mit einer hundertprozentigen Erkennung in unserem Test schaffen das übrigens auch nicht bei jedem Test.
PC-WELT: Ist ein Virenschutz also sinnlos?
Stelzhammer: Nein. Es ist schon so, dass ich mit einem Computer mit einem guten Antivirenprogramm und allen Updates gut gegen Schädlinge geschützt bin. Vor allem als Privatperson. Wichtig ist aber, dass das Antivirenprogramm und alle anderen installierten Programme und natürlich auch Windows auf dem neuesten Stand sind. Und um auch im Falle einer Infektion gut dazustehen, braucht man zusätzlich ein Backup. Dieses sollte nicht am PC angeschlossen bleiben. Denn dann könnte es ebenfalls von einer Ransomware verschlüsselt werden.
PC-WELT: Wer steht mehr im Fokus der Angriffe: Unternehmen oder private PCs?
Stelzhammer: Unternehmen. Das ist lukrativer. Verseuchte Privat-PCs sind Kollateralschäden.
PC-WELT: Was ist aktuell die häufigste Angriffsart?
Stelzhammer: Phishing per Mail oder anderer Nachricht und gefälschter Website ist derzeit der größte Einstiegsvektor. Dabei gehen die Kriminellen mit raffinierten Tricks vor. Ein Beispiel ist die Domain www.poIizei.com. Das in der Adresse ist in Wirklichkeit ein großes I. So können Kriminelle fast alle Webadressen fälschen, in denen der Buchstabe L vorkommt.
KI-Tools sind so konzipiert, dass sie keine schädlichen Inhalte produzieren. In diesem Hacker-Forum wird gezeigt, wie man die KI Chat-GPT dennoch für kriminelle Zwecke missbrauchen kann.
IDG
PC-WELT: Sind Phishing-Angriffe mit etwas Übung nicht recht leicht zu erkennen?
Stelzhammer: Wer sich gut auskennt, muss nicht auf Phishing hereinfallen. Aber es gibt heute viele sehr gut gemachte Fälschungen – sowohl bei Mails als auch bei Websites. Und die Qualität der Fälschungen wird mit den neuen KI-Tools noch steigen. Denn mit Chat-GPT und anderen Programmen können Kriminelle massenhaft individuelle Phishing-Mails generieren lassen. Und wenn ein Opfer darauf antwortet, kann die KI sofort eine plausible Antwort schicken. So wird es noch einfacher, den Opfern einen PC-Schädling unterzuschieben oder ihnen Daten zu entlocken.
PC-WELT: Wie schleusen Kriminelle so viele Erpresserviren in Unternehmen ein?
Stelzhammer: Es gibt zwei Wege. Zum einen Massenangriffe, bei denen Ransomware an Millionen von Mailadressen verschickt wird. Irgendein unvorsichtiger Mitarbeiter wird schon auf den Link zur Ransomware in der Mail klicken. Und wenn die Ransomware dann zu dem einen Prozent an Schädlingen gehört, die ein Virenschutz übersieht, ist der PC infiziert.
Auf der anderen Seite gibt es aber auch gezielte Social-Engineering-Attacken gegen ein Unternehmen mit sehr gut gefälschten Mails. Meistens sind das Mails an die Personalabteilung mit einem PDF-Anhang. Die Mitarbeiter erwarten Mails mit PDF-Anhängen und klicken entsprechend unkritisch auf den Anhang.
Hierzu ein Beispiel: Ein Hotel auf der Turracher Höhe (Anm.: einem Ausflugsgebiet in Österreich) wurde in den letzten drei Jahren viermal von Ransomware befallen. Beim ersten Mal wurde das Hotel Opfer einer Massenmail. Das Hotel hat das Lösegeld bezahlt. Danach wussten die Kriminellen, dass sich ein Angriff auf das Hotel lohnt und haben es gezielt wieder angegriffen. Noch dreimal. Bis das Hotel endlich seine Sicherheitsvorkehrungen verbesserte.
PC-WELT: Schutzsoftware gibt es meist in drei Ausstattungsklassen: Antivirus, Internet Security und Total Security. Welche Variante empfehlen Sie?
Stelzhammer: Man sollte sich für die Ausstattungsvariante entscheiden, die alle wichtigen Schutzmechanismen enthält. Es gibt heute gute Antivirenprodukte, die nicht nur vor schädlichen Dateien schützen, sondern auch eine gute verhaltensbasierte Erkennung bieten und einen Webfilter gegen Phishing-Seiten eingebaut haben. Wenn ein Produkt über diese Funktionen verfügt, ist es ausreichend. Besser ausgestattete Produkte bieten mehr Komfort, aber nicht unbedingt mehr Schutz. Für den Komfort zahlt man.
PC-WELT: Der Microsoft Defender schneidet in Ihren Vergleichstests meist schlechter ab. Können Sie das kostenlose Bordmittel empfehlen?
Stelzhammer: Im Privatbereich ist der Defender ausreichend. Es gibt aber andere kostenlose Antivirenprogramme, die mehr bieten. Ich empfehle einen Blick auf unsere Vergleichstests, die wir auf unserer Website bereitstellen (Anmerkung der Redaktion: Die Adresse lautet www.av-comparatives.org).
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.