Malware be­zeich­net schäd­li­chen Code oder schäd­li­che Software, die Geräte, An­wen­dun­gen, Server oder Netzwerke kom­pro­mit­tiert, Daten stiehlt, Systeme ma­ni­pu­liert oder deren Ver­füg­bar­keit be­ein­träch­tigt. Die be­kann­tes­ten Arten von Malware sind Viren, Tro­ja­ni­sche Pferde und Würmer.

Was ist Malware?

Malware ist ein Über­be­griff für Schad­pro­gram­me, die auf ein Gerät ge­schleust werden können und dort un­ge­woll­te Funk­tio­nen ausführen. Das Wort setzt sich aus den eng­li­schen Begriffen „MALicious“ (deutsch: „bösartig“) und „softWARE“ zusammen. Die Schad­soft­ware un­ter­schei­det sich dabei aus­drück­lich von feh­ler­haf­ten Pro­gram­men, die zum Beispiel nicht kom­pa­ti­bel mit einem Be­triebs­sys­tem sind und daher zu Fehlern oder Abstürzen führen können. Malware wird im Gegensatz dazu mit dem Vorsatz pro­gram­miert, Geräte oder Netzwerke zu in­fil­trie­ren und dort für Schaden zu sorgen. In manchen Fällen bleibt dieser Vorgang für lange Zeit unbemerkt und führt zu massiven Schä­di­gun­gen. An­ti­vi­ren­pro­gram­me und Firewalls können das Risiko deutlich re­du­zie­ren, ersetzen aber keine Updates, Backups, Rech­te­kon­zep­te und Schu­lun­gen.

My­De­fen­der
Cyber Security aus Deutsch­land
  • Geplante Viren-Scans
  • Au­to­ma­ti­sche Backups, einfache Wie­der­her­stel­lung

Wie gelangt Malware auf den Computer?

Malware kann trotz Schutz auf un­ter­schied­li­chen Wegen auf einen Computer gelangen. Besonders häufig erfolgt die Infektion über E-Mail-Anhänge oder Links, die beim Öffnen Schadcode ausführen. Auch der Download von in­fi­zier­ter Software aus un­si­che­ren Quellen stellt ein großes Risiko dar. Weitere typische An­griffs­we­ge sind ma­ni­pu­lier­te Websites, Si­cher­heits­lü­cken in ver­al­te­ter Software oder externe Da­ten­trä­ger wie USB-Sticks. In vielen Fällen setzen Angreifer zudem auf Social En­gi­nee­ring, um Nut­ze­rin­nen und Nutzer dazu zu bringen, Malware selbst aus­zu­füh­ren.

Malware ist heute häufig Teil einer An­griffs­ket­te: Zu­gangs­da­ten werden gestohlen, Zugriffe verkauft, Daten ex­fil­triert und an­schlie­ßend Ran­som­wa­re oder Er­pres­sung ein­ge­setzt.

Welche Arten von Malware gibt es?

Es gibt ver­schie­de­ne Arten von Malware, die sich teils massiv von­ein­an­der un­ter­schei­den. Gerade für den richtigen Umgang mit einem Schad­pro­gramm ist es wichtig, seine Funk­ti­ons­wei­se und Ziel­set­zung zu verstehen. Zu den be­kann­tes­ten Gattungen gehören Viren, Trojaner oder Würmer. Heute spielen jedoch auch moderne Formen wie Ran­som­wa­re oder Spyware eine zentrale Rolle. Viele Schad­pro­gram­me kom­bi­nie­ren zudem mehrere Techniken mit­ein­an­der. Dies sind die be­kann­tes­ten Arten:

Com­pu­ter­vi­ren

Sehr häufig wird der Begriff „Virus“ als Synonym für Malware verwendet. Aber auch wenn Com­pu­ter­vi­ren his­to­risch eine zentrale Rolle gespielt haben, ist das nicht immer korrekt. Gemein ist allen Com­pu­ter­vi­ren, dass sie Kopien von sich selbst erstellen und sich an andere Dateien oder Programme anhängen, um sich so auf einem System oder innerhalb eines Netzwerks zu ver­brei­ten. Der Zweck dieser Malware kann variieren. Einige Viren werden zur Be­ein­träch­ti­gung, Über­las­tung oder sogar Zer­stö­rung eines Systems ein­ge­setzt, andere dienen dazu, unbemerkt Daten aus­zu­spio­nie­ren. Heute spielen klas­si­sche Viren im Vergleich zu moderner Malware wie Ran­som­wa­re oder Trojanern eine geringere Rolle, gelten aber weiterhin als grund­le­gen­de Form von Schad­soft­ware.

Com­pu­ter­wür­mer

Com­pu­ter­wür­mer sind eine ei­gen­stän­di­ge Form von Malware und ähneln in ihrer Funk­ti­ons­wei­se teilweise Com­pu­ter­vi­ren, sind jedoch noch un­ab­hän­gi­ger. Während Viren an anderen Dateien hängen, kommen Würmer ohne eine Wirts­da­tei aus.

Sie kopieren und ver­brei­ten sich selbst­stän­dig und können sich so schnell über Netzwerke oder Si­cher­heits­lü­cken auf andere Systeme aus­brei­ten. Dadurch können sie großen Schaden anrichten, etwa indem sie Daten kopieren, Systeme ver­lang­sa­men oder weitere Schad­pro­gram­me nachladen.

Ihre Ver­brei­tung erfolgt haupt­säch­lich über Netzwerke, kann aber auch über E-Mails, Messenger oder externe Da­ten­trä­ger an­ge­sto­ßen werden.

Tro­ja­ni­sches Pferd

Eine weitere sehr bekannte Art der Malware ist das so­ge­nann­te Tro­ja­ni­sche Pferd, das oft einfach als Trojaner be­zeich­net wird. Der Name geht auf das hölzerne Pferd aus der grie­chi­schen My­tho­lo­gie zurück, in dessen Bauch sich Soldaten versteckt hielten, die so unbemerkt in die Stadt Trojas gelangten. Ganz ähnlich funk­tio­niert diese Art der Malware: Sie gibt vor, ein harmloses oder viel­leicht sogar nütz­li­ches Programm zu sein.

Einmal in­stal­liert, können Tro­ja­ni­sche Pferde heimlich das Host­sys­tem über­wa­chen, Daten kopieren, das System ma­ni­pu­lie­ren oder den Zugang für weitere Schad­pro­gram­me öffnen. Sogar eine Fern­steue­rung ist bei manchen dieser Schad­pro­gram­me möglich.

Im Gegensatz zu Viren oder Würmern ver­brei­ten sich Trojaner jedoch ty­pi­scher­wei­se nicht selbst­stän­dig, sondern gelangen meist durch Täuschung auf das System des Users.

Ran­som­wa­re

Ran­som­wa­re gelangt meist über Si­cher­heits­lü­cken oder Täuschung in ein System und ver­schlüs­selt dort Dateien. Nut­ze­rin­nen und Nutzer können dadurch nicht mehr auf die Daten zugreifen.

Über eine Be­nach­rich­ti­gung werden sie darüber in­for­miert, dass sie erst nach der Zahlung eines Lösegelds wieder un­ein­ge­schränk­ten Zugriff auf ihr System erhalten. Der Name dieser Malware leitet sich dem­entspre­chend von „ransom“, dem eng­li­schen Begriff für Lösegeld, ab. Moderne Varianten gehen häufig noch weiter und stehlen zu­sätz­lich Daten, um diese bei Nicht­zah­lung zu ver­öf­fent­li­chen.

Es wird grund­sätz­lich davon abgeraten, die For­de­run­gen zu erfüllen, da es keine Si­cher­hei­ten dafür gibt, dass die Cy­ber­kri­mi­nel­len die Daten nach der Zahlung tat­säch­lich wieder freigeben. Zu­sätz­lich gibt es andere Mög­lich­kei­ten, um Ran­som­wa­re zu entfernen, zum Beispiel durch das Ein­spie­len von Backups oder den Einsatz spe­zia­li­sier­ter Si­cher­heits­soft­ware zur Ent­fer­nung der Schad­pro­gram­me. Al­ler­dings lässt sich Ran­som­wa­re nicht immer voll­stän­dig rück­gän­gig machen. Das bloße Entfernen der Schad­soft­ware ent­schlüs­selt be­trof­fe­ne Dateien in der Regel nicht.

Spyware

Spyware wird dafür verwendet, fremde Computer oder Systeme heimlich aus­zu­spio­nie­ren. Die so ge­won­ne­nen Daten werden dann entweder für eigene Zwecke genutzt oder an Dritte wei­ter­ge­ge­ben.

Neben dem Verlust sensibler In­for­ma­tio­nen kann Spyware auch direkte Aus­wir­kun­gen auf das System haben, etwa durch Leis­tungs­pro­ble­me, ver­än­der­te Ein­stel­lun­gen oder das Nachladen weiterer Schad­pro­gram­me.

In­fo­s­tealer

In­fo­s­tealer sind Schad­pro­gram­me, die gezielt sensible Zu­gangs­da­ten und ver­wert­ba­re In­for­ma­tio­nen wie die folgenden von einem in­fi­zier­ten Gerät stehlen:

  • ge­spei­cher­te Pass­wör­ter
  • Brow­ser­da­ten
  • Cookies
  • Sit­zungs­to­kens
  • Zah­lungs­in­for­ma­tio­nen
  • Daten aus Krypto-Wallets

Während Spyware oft allgemein das Verhalten von Nut­ze­rin­nen und Nutzern überwacht, sind In­fo­s­tealer vor allem auf den schnellen Diebstahl konkreter Daten aus­ge­rich­tet. Die er­beu­te­ten In­for­ma­tio­nen werden häufig verkauft oder für weitere Angriffe genutzt, etwa für Kon­to­über­nah­men, Iden­ti­täts­dieb­stahl oder Ran­som­wa­re-Kampagnen.

Scareware

Der Begriff Scareware wird aus dem eng­li­schen Wort „scare“, also „er­schre­cken“ ab­ge­lei­tet. Nut­ze­rin­nen und Nutzern werden ge­fälsch­te Warn­hin­wei­se angezeigt, die sie entweder ver­un­si­chern oder zum Download eines Programms gegen eine ver­meint­li­che Bedrohung animieren sollen. Wird dieses her­un­ter­ge­la­den, in­stal­liert es häufig weitere Malware auf dem Computer.

In vielen Fällen zielt Scareware heute auch darauf ab, Be­trof­fe­ne zur Preisgabe sensibler Daten oder zur In­stal­la­ti­on von Fern­war­tungs­soft­ware zu bewegen, etwa im Rahmen von so­ge­nann­ten Tech-Support-Be­trugs­ma­schen.

Bild: ION_DE_DG-VPS_960x320.png
Bild: ION_DE_DG-VPS_1200x1200.png

Beispiele für bekannte Malware

Malware un­ter­teilt sich also in ver­schie­de­ne Un­ter­ar­ten. Mit großer Wahr­schein­lich­keit haben auch Sie bereits von konkreten Schad­pro­gram­men gehört oder gelesen. Zu den be­kann­tes­ten Ver­tre­tern gehören diese Beispiele:

ILOVEYOU

Der Vorreiter für viele weitere Schad­pro­gram­me war ILOVEYOU. Die Software wurde im Jahr 2000 per E-Mail ver­schickt und von vielen Tausend un­be­darf­ten Usern geöffnet. Umgehend re­pro­du­zier­te sich die Malware dann selbst, ver­schick­te sich an weitere Kontakte und über­schrieb zahl­rei­che Dateien auf den be­trof­fe­nen Systemen. Zu­sätz­lich wurden Zu­gangs­da­ten aus­ge­späht und Systeme teilweise un­brauch­bar gemacht. Weltweit kam es zu massiven Ausfällen von E-Mail-Systemen, und der wirt­schaft­li­che Schaden ging in die Mil­li­ar­den. Durch ILOVEYOU wuchs das Be­wusst­sein für die Gefahr durch Malware.

Emotet

Emotet ist ein Tro­ja­ni­sches Pferd, das zum ersten Mal 2014 iden­ti­fi­ziert wurde. Die Schad­soft­ware kopiert E-Mail-Adressen, Ab­sen­der­na­men und Kopf­zei­len, um eigene, täuschend echte Mails zu ver­schi­cken. Häufig werden dabei sogar be­stehen­de E-Mail-Verläufe genutzt, um die Nach­rich­ten besonders glaub­wür­dig wirken zu lassen. Klicken Empfänger oder Emp­fän­ge­rin­nen auf den Anhang, wird weitere Malware in­stal­liert, die Systeme lahmlegen oder sensible In­for­ma­tio­nen wie Bankdaten kopieren kann. Emotet dient dabei oft als so­ge­nann­ter „Loader“, der zu­sätz­li­che Schad­pro­gram­me wie Ran­som­wa­re nachlädt und so ganze Netzwerke kom­pro­mit­tie­ren kann. Nach mehreren Takedown- und Stö­rungs­ak­tio­nen ist Emotet seit 2023 deutlich seltener in groß an­ge­leg­ten Kampagnen sichtbar.

MyDoom

MyDoom ist ein Com­pu­ter­wurm, der sich im Jahr 2004 rasant ver­brei­te­te und als einer der schnells­ten seiner Art gilt. Der Schaden, der seitdem durch die Malware ver­ur­sacht wurde, wird auf mehrere Mil­li­ar­den Dollar geschätzt. Seine Herkunft ist bis heute ungeklärt, obwohl im Code die Zeile „andy; i’m just doing my job, nothing personal, sorry“ hin­ter­legt ist. Der Wurm ver­viel­fäl­tig­te sich selbst­stän­dig und ver­brei­te­te sich vor allem per E-Mail, aber auch über Peer-to-Peer-Netzwerke. Zu­sätz­lich führte MyDoom gezielte DDoS-Angriffe durch, ins­be­son­de­re auf die SCO Group und später auch auf Microsoft. Schät­zun­gen zufolge ver­lang­sam­te MyDoom das weltweite Internet zu seinen Hoch­zei­ten um 10 Prozent.

WannaCry

WannaCry ist der Name eines Schad­pro­gramms, das im Mai 2017 weltweit Schlag­zei­len machte. Die Ran­som­wa­re ver­schlüs­sel­te Dateien auf über 200.000 Computern in mehr als 150 Ländern und forderte jeweils ein Lösegeld von 300 US-Dollar bzw. 600 US-Dollar (nach Ablauf der ersten 3-Tage-Frist) in Bitcoin. Dafür nutzte die Malware die als „Eter­nal­Blue“ bekannte Si­cher­heits­lü­cke in Windows und konnte sich selbst­stän­dig über Netzwerke ver­brei­ten. Besonders stark betroffen war der britische National Health Service (NHS), wodurch wichtige Ope­ra­tio­nen ver­scho­ben werden mussten, da Pa­ti­en­ten­ak­ten nicht mehr aufrufbar waren. Auch global agierende Un­ter­neh­men wie Nissan, FedEx oder die Deutsche Bahn wurden Opfer der Malware. Der Schaden wird auf ungefähr vier Mil­li­ar­den Dollar geschätzt.

Pegasus

Die Spyware Pegasus der is­rae­li­schen NSO Group wird vor­nehm­lich zum Ausspähen von iOS- und Android-Smart­phones verwendet. Die Software kann ohne Zutun der Nut­ze­rin­nen und Nutzer auf ein Gerät gelangen (so­ge­nann­te Zero-Click-Angriffe) und er­mög­licht einen weit­rei­chen­den Zugriff, etwa auf Nach­rich­ten, Kamera, Mikrofon oder Stand­ort­da­ten. Zu den Kunden des Un­ter­neh­mens gehören in erster Linie Staaten, die die Software nach of­fi­zi­el­len Angaben aus­schließ­lich zur Ver­bre­chens­auf­klä­rung und Ter­ro­ris­mus­be­kämp­fung einsetzen. Dennoch steht Pegasus massiv in der Kritik, da ihr Einsatz in mehreren Fällen auch gegen Jour­na­lis­ten und Jour­na­lis­tin­nen, Ak­ti­vis­ten und Ak­ti­vis­tin­nen sowie po­li­ti­sche Geg­ne­rin­nen und Gegner nach­ge­wie­sen wurde.

BKA-Trojaner

Beim so­ge­nann­ten BKA-Trojaner handelt es sich um einen Hybriden aus Scareware und Ran­som­wa­re. Nach der Infektion wurde der Computer gesperrt und statt des Start­bild­schirms erschien eine ganz­sei­ti­ge Anzeige, die sug­ge­rier­te, dass das Bun­des­kri­mi­nal­amt auf dem ent­spre­chen­den Gerät bei­spiels­wei­se illegale Inhalte gefunden habe. Gegen eine Zahlung, häufig über Dienste wie Pay­saf­ecard, sollte der Zugriff wieder frei­ge­ge­ben werden. In vielen Fällen wurden die Daten jedoch gar nicht ver­schlüs­selt, sondern lediglich der Zugriff blockiert. Die Malware tauchte erstmals um 2011 auf und richtete trotz ver­gleichs­wei­se einfacher Technik großen Schaden an.

Reviewer

  • Christian Heldmaier

    Christian Heldmaier

    Christian Heldmaier ist ein er­fah­re­ner Online-Marketing- und SEO-Spe­zia­list aus Karlsruhe. Seit Juli 2020 ist er als SEO Manager bei IONOS tätig.

Zum Hauptmenü