kümmert sich um Ihre Sicherheit
english deutsch français polski russian magyar
Produkte
Kaufen
Support
Partner
Presse
Agnitum

Presse

Home
Pressemitteilungen
Agnitum Newsletter
Auszeichnungen
Presseraum
PR-Kontakt

Im Rampenlicht: Keylogger

Einleitung

Das System zur Tastenanschlagsprotokollierung, kurz Keylogger, ist ein spezielles Tool zur Überwachung und Aufzeichnung der Tastatureingaben, z.B. der vom Anwender eingegebenen Passwörtern und anderer wertvoller Daten, die dann später im Verborgenen an den Täter/Eigentümer/Installierer übermittelt werden. Diese Tastaturüberwachung kann zwar durchaus legitimen Zwecken dienen, in den meisten Fällen werden Keylogger jedoch heimlich installiert, um die Aktivitäten von Angestellten, Kindern oder Ehepartnern zu überwachen. Online-Kriminelle benutzen Keylogger dazu, Log-In-Namen und Passwörter vom Computer des Opfers zu sammeln, diese Daten an speziellen Speicherplätzen wie etwa der E-Mail-Adresse oder persönlichen Webseite des Angreifers zu sammeln (häufig in verschlüsselter Form) und dann die gestohlenen Identitätsdaten für kriminelle Zwecke zu nutzen, etwa um das Online-Bankkonto des Opfers leerzuräumen.

Arten von Keyloggern

Es gibt zwei Arten von Keyloggern: Software-Keylogger und Hardware-Keylogger.

Hardware-basierte Keylogger sind reale Geräte, die auf der einen Seite mit der Tastatur und auf der anderen Seite mit einem Computeranschluss wie PS/2 oder USB verbunden werden. Sie wurden dazu entwickelt, Daten zu empfangen, aufzuzeichnen und in einem nichtflüchtigen (permanenten) Speicher für den späteren Zugriff zu sichern. Hardware-Keylogger können direkt in die Tastatur eingebaut werden und werden oft als eine Einheit über Untergrund-Webseiten verkauft. Seien Sie also vorsichtig, wenn jemand bei Ihnen zuhause oder an Ihrem Arbeitsplatz plötzlich ohne ersichtlichen Grund die Tastatur austauscht - Sie sollten misstrauisch sein und die wahren Gründe dafür herausfinden. Hardware-Keylogger sind optisch schwer zu erkennen. Sie müssen dazu die Tastaturverbindungen unter die Lupe nehmen oder die Tastatur sogar komplett auseinandernehmen, um zu überprüfen, ob sie einen speziellen Chip zur Überwachung Ihrer Tastenanschläge enthält. Für einen technisch durchschnittlich begabten Menschen ist das kein leichtes Unterfangen. Aus der Sicht des Angreifers liegt der Vorteil von Hardware-Keyloggern darin, dass sie Tastenanschläge von dem Moment an aufzeichnen, in dem Sie den Computer einschalten - von BIOS-Eingaben bis hin zu Passwörtern, die Sie beim Einloggen in weiteren Sitzungen eingeben, kann also wirklich alles in die falschen Hände gelangen. Hardware-Keylogger sind für moderne Sicherheitssoftware kaum zu erkennen. Das macht sie besonders gefährlich. Der Nachteil von Hardware-Keyloggern ist es, dass der Angreifer bei diesen Tools zur Installation, Wartung und den Zugriff auf die gesammelten Daten einen realen Zugang zum Computer des Opfers haben muss.

Der restliche Teil des Artikels befasst sich mit der anderen Art von Keyloggern, nämlich mit den Programmen, die Tastaturanschläge protokollieren.

Software-Konzept

Software-Keylogger sind Programme, die Sie in der Auflistung der installierten Programme im Menüpunkt "Software" in der Systemsteuerung wahrscheinlich nie finden werden. Die meisten von ihnen werden ohne Wissen und Zustimmung des Anwenders installiert. Ihre Aufgabe ist es, die aufgezeichneten Informationen an die vorgegebenen Hacker-Standorte zu übertragen, indem sie hinter den Kulissen agieren und den Ziel-Anwender ausspionieren.

Wenn man sich Software-Keylogger einmal auf ihre technische Umsetzung hin anschaut, erkennt man zwei unterschiedliche Gruppen: a) Kernel-Keylogger und b) Hook-Keylogger.

  • Bei Kernel-Keyloggern handelt es sich um eine sehr komplexe Malware-Art, die sich direkt in den Windows-Kernel - den Kern des zugrundeliegenden Betriebssystems - integriert. Durch die Vorrechte dieses Zugriffs auf niedriger Ebene kann diese Art von Keyloggern die Tastaturaktivitäten direkt aus dem Host-Betriebssystem heraus überwachen. Kernel-Keylogger haben eigene Tastaturtreiber installiert, so dass die Überwachung der Tastenanschläge für sie ein Leichtes ist. In einem Computersystem sind Kernel-Keylogger wesentlich besser versteckt und schwerer zu erkennen; ihre Entdeckung und Entfernung ist mit erheblichem Aufwand verbunden. Ein Beispiel für diese Art ist der Keylogger "Klog".

  • Hook-Keylogger. Hooks (dt. Haken) sind zulässige Windows-Funktionen, die Prozessabläufe, Befehle oder Nachrichtenfenster abfangen. Indem der Keylogger einen Hook in einem Programm installiert, kann er dessen Inhalte - einschließlich der Tastatureingaben - aufzeichnen. Ein Beispiel für ein zulässiges Programm, das mit diesem Ansatz arbeitet, ist der Punto Switcher, der registriert, in welcher Sprache ein Anwender gerade tippt und automatisch das Eingabegebietsschema entsprechend ändert.

Verbreitungsmethoden

Von der Möglichkeit einmal abgesehen, dass jemand mit tatsächlichem Zugang zum PC einen Keylogger anschließt, sind die üblichen Verbreitungswege unter anderem:

  • die sogenannten Drive-By-Downloads durch das Ausnutzen von Sicherheitslücken in der Browser-Software (hauptsächlich durch einen falschen Umgang mit ActiveX und Java-Skripten),
  • das Öffnen schädlicher Spam- und Phishing-Anhänge in E-Mails oder Instant-Message-Programmen,
  • das Herunterladen und die Ausführung bösartiger Dateien aus dem Internet,
  • die Bündelung schädlicher Programme mit Shareware-Programmen und Inhalten aus Peer-to-Peer-Netzwerken,
  • der Download eines Keyloggers als Folge eines systemweiten Virenbefalls.

Anzeichen für eine Infektion

Wenn der Keylogger richtig entwickelt wurde (wie das bei Kernel-Keyloggern der Fall ist), werden Sie vermutlich nie bemerken, dass er auf Ihrem System läuft. Hochentwickelte Keylogger greifen auf die Rootkit-Funktionen anderer Programme zurück und können den herkömmlichen Programmen zur Überwachung ausgeführter Prozesse so verborgen bleiben. Nur hochspezialisierte Software wie etwa ein Rootkit-Erkennungsprogramm kann mögliche Anzeichen für einen Keyloggers entdecken.

Häufiger ist es jedoch so, dass der Keylogger nur Hooking-Techniken anwendet, um Tastaturaktivitäten aufzuzeichnen. In diesem Fall sollte der Prozessname ganz einfach im Windows Task Manager zu sehen sein. Sie sollten mit einer Internet-Suchmaschine manuell Nachforschungen über jeden im Task Manager aufgeführten verdächtigen Prozess anstellen und so Klarheit über die Zulässigkeit jedes unbekannten Prozesses auf Ihrem Computer gewinnen.

Auch Firewalls zeigen prozessbezogene Netzwerkaktivitäten an, und wenn Sie sorgfältig genug vorgehen, sollten Sie den Übeltäter finden können. Outpost Firewall bietet z.B. durch die Funktion Log Viewer (Protokollanzeige) die Möglichkeit, vergangene Netzwerkaktivitäten mit Anbindung an einen bestimmten Prozess zu überprüfen. Es ist also nicht allzu schwierig herauszufinden, was auf einem System falsch gelaufen ist.

Säuberung und Vorbeugung

Es ist einfacher, Keyloggern vorzubeugen als sie nach einem Befall zu entfernen. Keylogger können mit leicht erhältlichen Tools ganz einfach so verändert werden, dass eine Entdeckung durch die herkömmlichen Techniken, die Antiviren- und Anti-Spywareprogrammen zur Überprüfung von Code einsetzen, verhindert wird. Deshalb ist es besser, diese Art des Eindringens in Echtzeit zu bekämpfen als später die Folgeschäden zu beheben. Tools wie HIPS (Host Intrusion Protection System), die unzulässige oder unregelmäßige Programmaktivitäten überwachen und abwehren, können in Echtzeit verhindern, dass Keylogger aktiviert werden, Ihren Tastatureingaben nachspüren und dadurch Schaden anrichten können. Outpost Firewall Pro mit seinem Anti-Leak-Modul, die in Kürze erscheinende Outpost Security Suite Pro und andere hochentwickelte Sicherheitsprogramme bieten die Möglichkeit, das Verhalten von Software auf einem Computer zu kontrollieren. So wird gewährleistet, dass ein Schadprogramm keine Aktionen, Inhalte oder andere gemeinsam genutzte Daten eines auf einem Computer ausgeführten, zulässigen Programms abfangen kann.

Firewalls allein können zwar nicht direkt vor den Versuchen von Keyloggern schützen, Tastaturdaten aufzuzeichnen; sie können jedoch verhindern, dass die abgefangenen Benutzereingaben über das Internet an entfernte Angreifer übertragen werden.

Nützliche Sicherheitsmaßnahmen

Im letzten Teil des Artikels geben wir Ihnen einige leicht umzusetzende Tipps, wie Sie verhindern können, dass Ihre Informationen von einem Keylogger gestohlen werden.

Wenn Sie von einem öffentlichen Ort wie einem Internet-Café oder einem Flughafen-Internet-Kiosk aus auf das Internet zugreifen, loggen Sie sich möglichst nicht mit Ihren persönlichen Passwörtern auf privaten Seiten ein. Das ist grundsätzlich unsicher, denn selbst wenn Sie sich sicher einloggen, kann immer noch der Browser-Cache auf heikle Informationen hin untersucht werden. Wenn das Einloggen jedoch unumgänglich ist, können Sie mit folgender Vorgehensweise das Risiko minimieren, dass ein Keylogger Ihre Daten stiehlt:

Wenn Sie Ihre Log-In-Informationen eingeben,

  1. tippen Sie erst den Anfangsteil z.B. Ihres Passworts ein.
  2. Bewegen Sie den Cursor dann auf eine leere Stelle auf einer Webseite und tippen Sie dort irgendetwas ein. Der Text taucht natürlich nirgends auf, der Keylogger wird ihn aber trotzdem für einen Bestandtteil Ihres geheimen Passworts halten. Er kann nämlich nicht unterscheiden oder beurteilen, in welches Feld eines Programms die Daten genau eingegeben werden, sondern er protokolliert die Eingaben nur, ohne zu analysieren, ob sie tatsächlich gültig sind oder einfach nur verwirren sollen. Der Keylogger zeichnet einfach nur die Reihenfolge der Einträge auf, ohne zu wissen, wohin diese Einträge gehören.
  3. Nachdem Sie eine Reihe willkürlicher Zeichen in das leere Feld getippt haben, gehen Sie zurück zum Passwort-Feld und fahren mit der Eingabe des gültigen Passworts fort.
  4. Wiederholen Sie die Prozedur dann noch einige Male, damit es absolut unmöglich wird, Ihre Passwörter zu erkennen. Der unten abgebildete Screenshot stellt die Reihenfolge dar.

Durch dieses Vorgehen wird aus Ihrem geheimem Passwort {gültiges_passwort} die Eingabe {gjrfükrlfjatigjfkrfjlrhfjrhfiesrefhrfjkf_fjjkrjfpjfkrjfikafifjsrfjrfsjkjlwjkjrfklojdkfjrkdlfktfd}. Der Keylogger ist in diesem Fall also völlig nutzlos.

Verwenden Sie eine Online-Bildschirmtastatur anstatt die Zeichen auf Ihrer Tastatur einzutippen.

Anstelle der echten PC-Tastatur können Sie z.B. diese Seite (die Schriftart lässt sich mit der Taste RUS/LAT umstellen) zur Eingabe von Zeichen in einem Fenster benutzen.

Schlussfolgerung

Keylogger sind eine gefährliche und schädliche Art von Malware. Bei informierter und intelligenter Computernutzung in Kombination mit einer guten Antiviren- und Überwachungs-Software können die Auswirkungen für den Anwender jedoch erheblich gemildert oder sogar völlig verhindert werden.
Lernen Sie den Autor

 

Igor Pankov war schon immer von Computern, dem Internet und der Freiheit fasziniert, sich mit wenigen Mausklicks durch die weltweite Wissensdatenbank zu klicken.
Lesen Sie mehr...

Sicherheitgeschichten
Melden sie sich noch heute an!
Beziehen Sie unsere kostenlosen monatlichen Newsletter:
Agnitum Newsletter (Neuigkeiten)

Geben Sie hier bitte Ihre EMailadresse ein:

RSS feed
Nutzungsbedingungen   Suche   Site map   Kontakt   Datenschutzerklärung   PR-Kontakte   
Outpost Security Suite PRO   Outpost Firewall PRO   Outpost Antivirus PRO   Outpost Network Security
Alle Rechte vorbehalten © 1999–2012 Agnitum Ltd.