Antispyware – Lange unterschätzt, hat sich Spyware zu einer ernst zu nehmenden Gefahr entwickelt. Viele der Abwehrmaßnahmen ähneln dem Virenschutz. Nicht überraschend, sind beide Schädlingstypen doch artverwandt. Aber es muss nicht gleich ein Produkt sein, um den größten Teil der Spyware aufzuhalten.

Spyware ist nicht nur lästig und nervig. Sie ist gefährlich und ihre Bekämpfung kostspielig. Zahlreiche Statistiken belegen es.Wie akut die Gefahr ist, zeigte ein Blog-Eintrag, den die Experten des Herstellers Sun Belt während des Tests der Real-World-Labs aufspürten. Im Blog war ein großer Cache versteckt, der Bank- und andere Finanzinformationen archivierte. Gefüllt hatte es das Spyware-Tool »Srv.SSA-KeyLogger« automatisch und heimlich. Es stahl diese Daten, indem es HTML-Applikationsanfragen mehrerer Tausend Anwender protokollierte. Details zu der Spionagemethode sind unter »www.sunbeltsoftware.com/press.cfm?id=125« zu finden. Das FBI hat bereits Ermittlungen eingeleitet.Obschon der Ausgang dieses Verfahrens offen ist,bleibt eins gesichert: Im Jahr 2006 wird noch mehr Spyware dieser Art auftreten.

Das Finanzbeispiel beweist den Schaden unmittelbar, weil er schnell zu kalkulieren ist. Spyware bedroht zugleich die Produktivität aller Unternehmen, ein schwer zu fassender Posten, der sich nur ungenau beziffern lässt.Ein Beispiel: Ein Mitarbeiter installiert eine Tool-Sammlung, die ihm verspricht, seine Webanbindung zu beschleunigen. Die Tool-Suite spielt heimlich Spyware auf, die sich gegenüber Entfernungsversuchen mehr als resistent erweist. Jedes Mal, wenn der Anwender auf eigene Faust das eingeschmuggelte Tool löschen möchte, schädigt es wichtige Dateien seines Betriebssystems. Seien es Einträge in der Windows-Registry, dynamische Link-Libraries oder die TCP/IP-Konfigurationsdateien.

Der Zweikampf zwischen User und Spyware währt so lange, bis sein Client kapituliert und nicht mehr startet. Der betroffene Mitarbeiter ruft daraufhin die Helpdesk an. Die Experten untersuchen den Rechner, isolieren den Fehler nach Stunden und spielen die primäre Partition wieder auf. Der Anwender kann nach einem halben Tag wieder arbeiten. In einem Unternehmen mit 500 Mitarbeitern können mehrere solcher Vorfälle geschehen.Wie viel Produktionskraft am Ende verloren geht, lässt sich daher nur schätzen. Aber selbst bei konservativen Annahmen kann der Schaden je nach Mitarbeiterzahl schnell in unangenehme Dimensionen wachsen.

AOL und die NCSA haben im vergangenen Jahr eine Online-Studie gestartet, um zu ermitteln, wie weit das Spyware-Problem bereits gediehen ist.Anwender durften ihre Rechner kostenlos auf diese Schädlingsvariante hin untersuchen lassen. Das Ergebnis: Die Rechner von mehr als 80 Prozent aller Teilnehmer waren mit Spyware verseucht. Im Durchschnitt war jeder untersuchte Client mit 90 verschiedenen Varianten infiziert.Überrascht? Das Problem ist verbreiteter und akuter als angenommen. Die Situation ähnelt dem Aufstieg der Spam- Mails. Als unterschätzte Gefahr hat Spyware wie Spam die Inkubationszeit, in der beide schlicht nicht ernst genommen oder übersehen wurden, gut ausgenutzt, indem sie zahlreiche Varianten und Infektionstechniken entwickelten. Gerade in den USA haben Unternehmen nun Sorge, dass Spyware firmeninterne Informationen an unautorisierte Dritte weiterreicht. Eine ernste Lage, weil die dortigen Gesetzesbestimmungen wie »Sarbanes Oxley Act« den Vorstand direkt haftbar machen.Die Real-World Labs der Network Computing haben sich daher in einem Test der aktuellen Antispyware-Tools angenommen. Sie untersuchten, wie geschickt sie diesen Schädlingstypen bekämpfen.

Definitionsfragen

Was ist Spyware im Detail? Dieser Begriff bezeichnet Software, die unerwünscht auf einer Workstation installiert ist, sich penetrant verhält und potenziell gefährlich ist. Ihre Intention ist meist,den Urheber zu bereichern.Viele Hersteller führen auch Adware, Browser-Helper-Objekte (BHO),Angriffswerzeuge,Keylogger,P-to-Peer- Programme, Tracking-Cookies und unautori-sierte Remote-Management-Tools unter der Spyware-Kategorie. Von diesen zählen Keylogger, Angriffstools und die Remote-Admin-Varianten sicher zu den gefährlichsten,denn sie stehlen persönliche, sensible Anwender-Informationen. Keylogger und Remote-Admin-Tools sind geschickt darin, die Web-,E-Mail-,VPN-Login- Einträge und andere Geheimnisse eines Users aufzuzeichnen.Im schlimmsten Fall zeichnen diese Tools seine Kreditkartennummer und Account- Daten auf. Verteilte Angriffswerkzeuge wiederum bauen einen infizierten Client zum Spam-Relay um oder spannen ihn in Denial-of- Service-Attacken ein.

Adware,P-to-P, BHOs und Tracking-Cookies sind eher lästig als gefährlich, denn sie nerven den Anwender mit Popup-Fenstern, bremsen seinen Browser oder leiten ihn auf peinliche Search- Engine-Seiten um. Sie zeichnen aber auch sein Internet-Profil auf. P-to-P als letzte Kategorie tauscht Inhalte über die wertvollen WANRessourcen eines Unternehmens aus, in der Regel illegal.Wer das im Intranet nicht unterbindet, könnte sich im schlimmsten Fall vor Gericht wiederfinden, angeklagt wegen Verletzungen des Urheberrechts.

Kein Allheilmittel

Die Anbieter von Gegenmaßnahmen,vorne weg die Antiviren-Lobby, scheint das Problem zu lange verkannt zu haben. Erst zum Ende des vergangenen Jahres haben sie massiv damit begonnen, ihre Antiviren- und Antispam-Engines mit zusätzlichen Künsten zu erweitern, die sich ganz auf Spyware konzentrieren. Es muss aber nicht immer gleich ein Produkt sein, um ein Problem zu lösen. Der erste große Schritt, um die meisten der Spyware-Infektionen heute zu stoppen, ist: Anwendern verbieten, Software zu installieren, und zwar dauerhaft. Im Test stellte sich heraus, dass lokale Administratorrechte in dem Active-Directory 100 Prozent der Verseuchungen verursachten. Dabei wurden die Clients über Monate mit mehr als 30 Spyware-Varianten und anderen unerwünschten Programmen konfrontiert.Rechner mit eingeschränkten User- Rechten wurden in dieser Zeit von keinem einzigen Feindbyte verseucht. Das war mehr als überraschend.

Lokale Administratorrechte sind ein Relikt der Windows-NT-Zeit. Die Software-Programmierer tragen einen guten Teil der Schuld. Ihre Anwendungen sind auf Clients mit minimalen oder eingeschränkten Privilegien schlicht nicht lauffähig. Was blieb den Administratoren also anderes übrig, als ihre User mit vielen Rechten auszustatten? Wer es organisatorisch bewerkstelligen kann, sollte die Rechte der Desktops und User beschneiden, strikt reglementieren. Damit hätte er einen großen Teil des heutigen Spyware- Problems im Griff – mit wirksamen und billigen Gegenmaßnahmen, da die ADS alle benötigen Werkzeuge mitbringt.Ob dieser Ansatz auf Dauer fruchtet? Keineswegs, denn die Spyware- Entwickler bemühen sich intensiv, neue Implementierungswege zu erfinden.Umwege, die ihnen erlauben, an dieser Rechtekontrolle vorbei in das System zu gelangen. Es ist also nur eine Frage der Zeit, bis die User-Policy als Gegenmittel an Wirkung einbüßt.

Es ist banal, deswegen aber nicht falsch:Zu jeder guten Schutzinitiative gehört die Schulung der Anwender.Wenn sie die Gefahren kennen, verstehen und im besten Fall einsehen,wird das Spyware-Aufkommen sinken. Da der Schädlingstyp sich stark auf die Schwächen der Webbrowser konzentriert, ist es durchaus lohnenswert, im Unternehmen einen Browser als Standard vorzuschreiben. Für diesen eigenen Standard können die Verantwortlichen die sicherste Konfiguration ausschreiben und als Group-Policy-Objekt hinterlegen. Darin sind die Anwenderkonfiguration, administrative Templates und die stärksten Sicherheitsparameter eingebettet. Im Internet sind zahlreiche Dokumentationen zu sicheren Browser-Einstellungen veröffentlicht.Welche aktiven Codes und Applets der Administrator im Unternehmen freischaltet, ist jedoch stark von den Applikationen und Diensten im Intranet abhängig.Hier ist Anpassung obligatorisch.

Alljenen, denen diese Wege, aus welchen Gründen auch immer, als unzureichend erscheinen, bleibt der Griff zum Antispyware-Tool. Das gewünschte Produkt sollte nicht nur scannen, sondern blockieren und vor allem entfernen können. Die Benutzungsoberfläche sollte sich, wie bei allen Security-Produkten, intuitiv erschließen und leicht zu bedienen sein. Noch ein generelles Wort zu Windows-Service- Pack2.Wer plant, seine Clients aufzurüsten, sollte davor unbedingt nach Spyware suchen. Es ist hinlänglich bekannt, dass einige der Schädlingsversionen das Upgrade scheitern lassen.

Mehr als ein Scan und ein Werkzeug sind empfehlenswert, damit möglichst alle Typen entdeckt werden.Wer sich so eine sichere Position erarbeitet hat, sollte Antispyware-Dienste als Standarddisziplin in seinem Unternehmen etablieren. So kann er den erreichten, sauberen Status konservieren. Diese Dienste können von anderen, bereits etablierten Mechanismen auf Gateways und Content- Proxies profitieren. So könnten die zentralen Plattformen durchsetzen, dass die internen Anwender bestimmte Webseiten,S/Mime-Typen oder Inhalte nicht nutzen dürfen. Die Firewall könnte beispielsweise Adware-Server blocken.

Andere Kontrollmöglichkeiten: Statt dass der Administrator ein Hostfile auf jedem Client mit den Adware-Server-Namen aufsetzt, der an den Localhost (127.0.01) gebunden ist, legt er diese Hostnamen zentral im DNS-Server an.Wer Intrusion- Prevention oder -Detection einsetzt, sollte beim jeweiligen Hersteller fragen, wie diese Spyware bekämpfen. Und schließlich lohnt es sich, zentrale Antispyware-Gateways im Auge zu behalten. Sie können als Ergänzung zum Desktop- Schutz eine ganze Menge von Schadenscode abfangen,bevor er die Clients erreicht. Im Grunde sind dabei die gleichen Kriterien zu beachten wie beim Virenschutz.Keine Überraschung, ist Spyware doch artverwandt mit den Viren.

pm@networkcomputing.de