Malware - so die Abkürzung für Schadsoftware - ist Softwarecode, der geschrieben wurde, um Computer oder Netze zu beschädigen oder zu zerstören oder um unbefugten Zugriff auf Computer, Netze oder Daten für missbräuchliche oder kriminelle Zwecke zu ermöglichen. Nahezu jede Art von Cyberangriff basiert auf einer Form von Malware.

Cyberkriminelle verwenden Malware um

• Benutzer und Unternehmen gegen hohe Geldbeträge als Geiseln zu halten
• unbefugt Fernsteuerung von Computern oder Servern anderer Personen zu übernehmen
• Diebstahl von sensiblen Daten zu begehen. Dazu gehören Bankkonto- und Sozialversicherungsnummern, geistiges Eigentum von Unternehmen usw., um Identitätsdiebstahl, Wettbewerbsvorteile und andere betrügerische Zwecke zu erzielen
• Angriffe auf Systeme von Unternehmen, Behörden, öffentlichen Einrichtungen oder anderen Institutionen zu verüben, die diese lahmlegen

Die Kosten von Malware-bezogenen Angriffen sind enorm. Cybercrime Magazine berichtet, dass die weltweiten Schadenskosten für nur eine Art von Malware - nämlich Ransomware - in 2021 bei 20 Milliarden US-Dollar lagen und bis 2031 auf 265 Milliarden US-Dollar ansteigen werden  (Link befindet sich außerhalb von ibm.com).

Früher handelte es sich bei den meisten Malware-Bedrohungen um Computerviren, also um einen Code, der einen Computer „infiziert“ und dann Kopien von sich selbst auf andere Computer überträgt. Der allererste Computervirus mit der Bezeichnung Creeper replizierte sich so lange, bis er den Computer lahmlegte, indem er die Festplatte füllte. (Das funktionierte in 1971, als Creeper zum ersten Mal auftrat, relativ schnell.) Spätere Viren deaktivierten Computersysteme, indem sie Betriebssystemdateien, Anwendungsdateien oder die Bootsektoren von Festplatten überschrieben oder beschädigten.

Heutzutage gibt es zahlreiche weitere Arten von Malware, die sich ständig weiterentwickeln, um Computern und Netzen immer größeren Schaden zuzufügen und sich dabei der Erkennung und Beseitigung durch Sicherheitstools und Malware-Schutztechnologien zu entziehen. Im Folgenden finden Sie kurze Beschreibungen einiger der gängigen Arten von Malware, die heute im Umlauf sind.

Ransomware

Ransomware ist Malware, die das Gerät eines Opfers sperrt oder einige oder alle Daten des Opfers verschlüsselt. Anschließend wird eine Lösegeldzahlung - oft in Form von Kryptowährung - gefordert, um das Gerät zu entsperren, die Daten zu entschlüsseln oder zu verhindern, dass die Daten gestohlen oder weitergeleitet werden. Laut dem X-Force Threat Intelligence Index 2022 (PDF, 4,1 MB) handelt es sich bei fast jedem Vorfall von Ransomware, auf den X-Force seit 2019 reagierte, um eine „doppelte Erpressung“, bei der das Opfer sowohl mit Datenverschlüsselung als auch mit Datendiebstahl bedroht wurde. Außerdem sind Vorfälle mit „dreifacher Erpressung“ durch Ransomware, nämlich Verschlüsselung, Diebstahl von Daten sowie verteilte Denial-of-Service- oder DDoS-Angriffe (siehe Botnets, unten) auf dem Vormarsch.

Derselbe Bericht enthüllte, dass Ransomware-Angriffe 21 Prozent aller Cyberangriffe in 2021 ausmachten.

Die Opfer von Ransomware und die Beauftragten für die Verhandlungen zögern, die Höhe der Lösegeldzahlungen offenzulegen. Ein globales Versicherungsunternehmen leistete Berichten zufolge im Mai 2021 die größte bekannte Ransomware-Zahlung in Höhe von 40 Millionen US-Dollar (Link befindet sich außerhalb von IBM.com). Die Schätzungen der durchschnittlichen Zahlungen reichen von 100.000 bis 300.000 US-Dollar. Für viele Opfer von Ransomware-Angriffen fällt das Lösegeld jedoch unter die geringeren Kosten. Laut dem Bericht IBM's Cost of a Data Breach 2021 (Kosten einer Datensicherheitsverletzung 2021) betrugen die durchschnittlichen Kosten eines Ransomware-Angriffs - ohne das Lösegeld - 4,62 Mio. US-Dollar.

Malware für den Serverzugriff

Malware für den Serverzugriff verschafft Angreifern unbefugten Zugriff auf Web-Anwendungsserver. Bei Malware für den Serverzugriff handelt es sich häufig um legitime Software, die für Cyberangriffe modifiziert oder missbraucht wird. Einige dieser Malware wurde ironischerweise ursprünglich entwickelt, um Sicherheitslücken eines Servers oder Serverbetriebssystems aufzuzeigen.

Zu den Arten von Malware für den Serverzugriff gehören Web-Shells, die es Angreifern ermöglichen, über einen Webbrowser die Kontrolle über einen Webserver zu übernehmen. Dazu gehören auch Programme zur Fernverwaltung von Systemen wie Back Orifice, das die Fernverwaltung von Microsoft Windows auf einem Server oder Computer ermöglicht. Angreifer nutzen diese Art von Malware für alle möglichen Zwecke, von der Verunstaltung oder Lahmlegung der Websites des Opfers bis zum Diebstahl von Benutzerberechtigungen und anderen vertraulichen Daten. Der 2022 X-Force Threat Intelligence Index berichtet, dass 11 Prozent aller Cybersicherheitsvorfälle in 2021 Angriffe auf Server waren.

Botnets

Technisch gesehen sind Botnets keine Malware, aber sie werden mithilfe von Malware erstellt. Ein Botnet ist ein Netz von mit dem Internet verbundenen und mit Malware infizierten Geräten wie PCs, Smartphones, Internet der Dinge (engl. Abk. IoT) und anderen. Das Botnet schafft eine Backdoor, durch die der Hacker die Geräte aus der Ferne steuern kann. Hacker erstellen Botnets, um Distributed Denial of Service-Angriffe (engl. Abk. DDoS) zu starten. Hierbei handelt es sich um Angriffe, bei denen ein Zielnetz mit so viel betrügerischem Datenverkehr bombardiert wird, dass das Netz zum Stillstand kommt oder ganz zusammenbricht.

Cryptojackers

Cryptojacker ist eine Malware, die die Fernsteuerung eines Geräts übernimmt und es zum „Mining“ von Kryptowährungen verwendet, was ein extrem rechenintensiver und teurer Vorgang ist. (Im Wesentlichen erstellen Cryptojacker Botnets für Krypto-Mining.) Websites für Kryptowährungen zahlen Belohnungen, meist in Kryptowährung, an Personen, die Rechnerleistung für das Mining bereitstellen. Cryptojacking ermöglicht es Cyberkriminellen, diese Gewinne über die Geräte anderer Leute zu erzielen.

Dateilose Malware

Bei dateiloser Malware handelt es sich um Malware, die in Speichern arbeitet und bösartigen Code oder Skripte in legitime Anwendungen einschleust. Da sie keine Signatur - eine für Malware charakteristische Bytefolge - hinterlässt, kann dateilose Malware mit herkömmlicher Antivirensoftware nicht erkannt und entfernt werden. Viele der neuesten Antivirenlösungen der nächsten Generation (NGAV) können sie jedoch erkennen.

Andere Arten von Malware

• Würmer sind bösartiger Code, der sich ohne menschliches Zutun selbst vervielfältigt und verbreitet. (Würmer unterscheiden sich von einem Virus. Ein Virus muss normalerweise von einem unwissenden Benutzer geöffnet werden, bevor er sich vervielfältigen und verbreiten kann.)
• Trojaner sind nach dem Trojanischen Pferd aus der Mythologie benannt. Hierbei handelt es sich um eine Form von bösartigem Code, der sich als legitime Software tarnt oder sich darin versteckt und immer dann ausgeführt wird, wenn der Benutzer die legitime Software benutzt.
• Rootkits sind Malware-Pakete, die sich unberechtigten, privilegierten Zugriff auf das Betriebssystem eines Computers oder andere Ressourcen verschaffen. Sie nutzen diesen Zugriff oder andere Software, um sich zu „verstecken“ und der Entdeckung auszuweichen. (Der Name dieser Malware leitet sich vom „Root“-Konto ab, dem privilegierten Administratorkonto auf Linux- oder Unix-Systemen.) Rootkits können das Betriebssystem und andere Software auf dem System neu konfigurieren. Dazu gehört auch Sicherheitssoftware, die das Rootkit erkennen und entfernen könnte.
• Scareware versucht, Nutzer zu falschen Entscheidungen zu verleiten. Dies umfasst das Herunterladen von Malware, die Weitergabe personenbezogener oder sensibler Daten an einen Betrüger sowie die fälschliche Warnung, dass der Nutzer gegen das Gesetz verstoßen hat oder ironischerweise mit einem Virus infiziert wurde. Scareware erscheint oft in Form von Popup-Fenstern, die sich nur schwer schließen lassen, ohne den Webbrowser zu schließen.
• Spyware ist genau das, wonach sich diese Malware anhört. Sie versteckt sich auf dem infizierten Computer, sammelt personenbezogene oder sensible Informationen und sendet sie an den Angreifer zurück. Eine Art von Spyware, der so genannte Keylogger, kann durch Aufzeichnung der Tastenanschläge eines Benutzers Zugriff auf dessen Benutzernamen, Kennwörter, Bankkonto- und Kreditkartennummern, Sozialversicherungsnummern und andere äußerst vertrauliche Informationen erhalten.
• Adware zeigt unerwünschte, irritierende Popup-Fenster und Online-Werbung an, während Benutzer versuchen, ihren Webbrowser zu benutzen. Die meiste Adware ist mit kostenloser Software verbunden. Das bedeutet, dass die Benutzer beim Herunterladen und Installieren der Software auch die Adware mitinstallieren. Die meiste Adware ist hauptsächlich ein Ärgernis. Sie fügt dem Zielcomputer oder -netz ansonsten keinen Schaden zu. Jedoch ein Typ von Adware, die unter der Bezeichnung „Malvertising“ bekannt ist, nutzt Online-Anzeigen, um bösartigen Code in Online-Anzeigen und Werbenetzwerke einzuschleusen.

Wie die Malware selbst sind auch die Verbreitungswege von Malware,  die so genannten Vektoren , zahlreich und entwickeln sich ständig weiter. Das Aufspüren dieser Taktiken ist für die Prävention, Erkennung und Bekämpfung von Malware von entscheidender Bedeutung. Einige der am häufigsten verwendeten Malware-Vektoren umfassen:

• Phishing-Betrug und andere Social-Engineering-Taktiken: Phishing-Nachrichten - die per E-Mail, SMS oder Textnachrichten-Apps verschickt werden - sollen Benutzer dazu verleiten, einen bösartigen E-Mail-Anhang herunterzuladen oder eine bösartige Website zu besuchen. Auf diese Weise wird ohne das Wissen des Benutzers Malware auf seinen Computer oder sein Mobilgerät übertragen. Phishing-Nachrichten sind oft so gestaltet, dass sie den Anschein erwecken, als stammten sie von einer vertrauenswürdigen Marke oder Einzelperson. Sie versuchen in der Regel, Angst zu wecken („Wir haben 9 Viren auf Ihrem Telefon gefunden!“), mit Geld zu locken („Auf Sie wartet eine nicht beanspruchte Zahlung!“) oder Dringlichkeit hervorzurufen („Sie haben nur noch wenig Zeit, um Ihr kostenloses Geschenk in Anspruch zu nehmen!“), um Benutzer zu bewegen, die gewünschte Handlung durchzuführen. Hierbei handelt es sich um eine wirkungsvolle Kombination. Außerdem ist Phishing der häufigste Vektor für Ransomware und andere Malware-Angriffe.
• System- oder Geräteschwachstellen: Cyberkriminelle suchen ständig nach ungepatchten Schwachstellen in Software, Geräten und Netzen, die ihnen ermöglichen, Malware in die Software oder Firmware der Zielperson oder des -unternehmens einzufügen. IoT-Geräte - von denen viele mit minimalen oder gar keinen Sicherheitsvorkehrungen verkauft und eingesetzt werden - sind ein enormes und fruchtbares Feld für Cyberkriminelle, die Malware verbreiten.
• Austauschbare Datenträger: Benutzer können oft der Versuchung nicht widerstehen, „gefundene“ USB-Laufwerke zu verwenden. Cyberkriminelle nutzen dies gerne aus, indem sie mit Malware verseuchte USB-Laufwerke dort hinterlassen, wo Benutzer sie finden können. Eine kürzlich durchgeführte Studie ergab, dass 37 % der bekannten Cyberbedrohungen darauf abzielen, austauschbare Datenträger für ihre Zwecke zu nutzen  (Link befindet sich außerhalb von ibm.com). In einer anderen Studie wurden 9 % der Sicherheitsvorfälle im Januar 2022 auf USB-Laufwerke und andere austauschbare Medien zurückgeführt  (Link befindet sich außerhalb von ibm.com).
• File-Sharing: File-Sharing-Netze - insbesondere solche, in denen Benutzer illegale Kopien von Videos oder Spielen austauschen - sind berüchtigte Tummelplätze für Cyberkriminelle, die Malware-Nutzlasten in beliebte Downloads oder Datenströme integrieren. Malware kann aber auch in vermeintlich legitime - insbesondere kostenlose - Software-Downloads integriert sein.

Ein erfolgreicher Schutz vor Malware-Bedrohungen erfordert einen umfassenden Ansatz im gesamten Unternehmen und die Beteiligung aller Bereiche - von Sicherheitsteams über IT-Mitarbeiter bis hin zu weiteren Beschäftigten und Geschäftspartnern. Benutzerschulung, Sicherheitsrichtlinien und Cybersicherheitstechnologien spielen dabei alle eine entscheidende Rolle.

Benutzerschulung

Benutzer sind die erste Verteidigungslinie im Schutzsystem eines Unternehmens gegen Malware. Heutzutage schulen Unternehmen ihre Benutzer förmlich darin, sich so zu verhalten, dass das Risiko von Malware und anderen Bedrohungen der Cybersicherheit minimiert wird. Diese Lektionen umfassen Folgendes:

• Grundlegende Leitlinien - wie z. B. „Öffnen Sie keine unerwarteten E-Mail-Anhänge“ oder „Laden Sie keine Software herunter, deren Verwendung nicht ausdrücklich von der IT-Abteilung genehmigt wurde“
• Beseitigung von Mythen - wie z. B.: „Ja, Sie müssen immer noch auf Malware achten, wenn Sie einen Apple Mac, ein Apple iOS- oder ein Google Android-Gerät verwenden“
• Richtige Kennworthygiene, z. B. keine Verwendung gleicher oder ähnlicher Kennwörter für mehrere Anmeldungen
• Ausgereifte Techniken – z. B. Tipps zur Erkennung von Phishing-E-Mails, die den Anschein erwecken, dass es sich um legitime Nachrichten handelt, die von vertrauenswürdigen Marken oder von Führungskräften des eigenen Unternehmens versendet werden.

Im Rahmen der meisten Sicherheitsschulungen für Endbenutzer werden die Benutzer auch darüber informiert, welche Maßnahmen sie im Falle einer tatsächlichen oder vermuteten Malware-Bedrohung ergreifen müssen und an wen sie sich wenden können.

Sicherheitsrichtlinien

Sicherheitsrichtlinien legen IT-Standards für IT-Technologien und -Verhalten fest, um das Risiko von Cybersicherheitsbedrohungen zu minimieren oder zu beseitigen. Diese Richtlinien legen beispielsweise die Art und Stärke der Verschlüsselung von E-Mails, die Mindestlänge, den Inhalt von Kennwörtern sowie die Berechtigungen für den Zugriff auf das Netz fest.

Richtlinien, die speziell auf die Vermeidung von Malware abzielen, könnten Folgendes untersagen:

• Beschränkung oder vollständiges Verbot der Nutzung von USB-Laufwerken oder anderen austauschbaren Datenträgern.
• Ein formelles Genehmigungsverfahren für das Herunterladen von Anwendungssoftware, die nicht von der IT-Abteilung genehmigt wurde.
• Die Häufigkeit, mit der Anwendungen und Sicherheitssoftware aktualisiert oder gepatcht werden sollen.

Cybersicherheitstechnologien

Moderne Cybersicherheitstechnologien fallen in zwei allgemeine Kategorien.

Vorbeugende Sicherheitstools dienen dazu, bekannte oder identifizierbare Bedrohungen der Cybersicherheit zu erkennen, zu isolieren und zu eliminieren. Viele davon - Antivirensoftware (einschließlich Next-Gen-Antivirus oder NGAV), Malwareschutz, Malware-Entfernungssoftware, Firewalls, URL-Filter - sind den meisten Benutzern bekannt.

Erkennungs- und Reaktionstechnologien sind Lösungen für die Unternehmenssicherheit, mit denen Sicherheitsteams Malware und andere Bedrohungen, die sich präventiven Tools entziehen, schnell erkennen und darauf reagieren können. Diese Lösungen lassen sich in der Regel mit präventiven Sicherheitstools, Threat Intelligence-Zuführungen und anderen sicherheitsrelevanten Datenquellen integrieren. Sie identifizieren Indikatoren für Malware und andere Cyberbedrohungen - so genannte Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) - mithilfe von fortschrittlicher Analytik und KI. Und sie ermöglichen es den Sicherheitsteams, bestimmte Aufgaben zu automatisieren, um schneller auf Sicherheitsvorfälle zu reagieren und daraus resultierende Schäden zu begrenzen oder zu verhindern.

Zu den am häufigsten verwendeten Technologien für die Erkennung und Abwehr von Gefahren gehören:

• SOAR (Sicherheitsorchestrierung, Automatisierung und Reaktion). SOAR integriert und koordiniert unterschiedliche Sicherheitstools und ermöglicht es Sicherheitsteams, halb- oder vollautomatische „Playbooks“ für die Reaktion auf potenzielle oder tatsächliche Bedrohungen zu erarbeiten.
• EDR (Endpunkterkennung und Reaktion). EDR sammelt kontinuierlich Daten von allen Endpunkten im Netz, einschließlich Desktop- und Laptop-Computern, Servern, mobilen Geräten, IOT-Geräten und mehr. Es korreliert und analysiert die Daten in Echtzeit nach Hinweisen auf bekannte Bedrohungen oder verdächtige Verhaltensweisen.
• XDR (erweiterte Erkennung und Reaktion). XDR ist eine neue Technologie, die Sicherheitstools in die gesamte hybride IT-Infrastruktur eines Unternehmens integriert. Sie erreicht das nicht nur für Endpunktgeräte, sondern auch für Netze, E-Mail, Anwendungen, Cloud-Workloads und mehr. Der Zweck dieser Technologie ist es, Unternehmen dabei zu helfen, bei der Prävention, Erkennung und Reaktion auf Cyberbedrohungen zusammenzuarbeiten und sich zu koordinieren. 

Zero-Trust beschreibt einen Ansatz für die Cybersicherheit, der davon ausgeht, dass Malware und andere Cyberangriffe den Perimeterschutz des Netzes erfolgreich durchbrechen werden. Er konzentriert sich daher darauf, es Angreifern zu erschweren, sich im Netz zu bewegen und ihre Ziele zu erreichen, wenn sie einmal „eingedrungen“ sind. Zu den Cybersicherheitsmaßnahmen, im Zusammenhang mit einem Zero-Trust-Ansatz, gehören unter anderem (aber keineswegs ausschließlich):

• Eine erstellte Richtlinie für den am wenigsten privilegierten Zugriff für Benutzer- und Administratorkonten;
• Mikrosegmentierung, bei der das Netz in Teilsegmente mit granularem, wenig privilegiertem Zugriff auf jedes Segment unterteilt wird;
• Multi-Faktor-Authentifizierung, bei der die Benutzer ihre Identität mit mindestens einem anderen Authentifizierungsfaktor zusätzlich zu einem Kennwort oder mit mindestens zwei anderen Identifizierungsfaktoren anstelle eines Kennworts verifizieren müssen;
• Adaptive Authentifizierung, bei der die Benutzer je nach den mit den verschiedenen Anfragen verbundenen Risiken zusätzliche Authentifizierungsfaktoren angeben müssen. Dies gilt z. B. für den Zugriff auf besonders sensible Daten oder die Anmeldung beim Netz von einem anderen Standort aus oder mit einem anderen Gerät.

Bei einem Zero-Trust-Ansatz werden Benutzer auf den Zugriff beschränkt, den sie zur Erfüllung ihrer Aufgaben benötigen. Wenn Benutzer zusätzlichen Zugriff verlangen, ist eine erneute oder zusätzliche Überprüfung erforderlich. Dieser Ansatz kann die Auswirkungen von Ransomware und anderer Malware, die in das Netz eindringt und dann monatelang auf der Lauer liegt, um in Vorbereitung eines Angriffs vermehrt auf Daten und andere Ressourcen zuzugreifen, erheblich mindern.