||||||
Die Bezeichnung Spyware bzw. Spionageprogramm ist jedem Internet-Benutzer in den letzten Jahren zum Begriff geworden. Programme dieser Art machen sich zum Beispiel durch Popup-Werbefenster, eine plötzliche Verlangsamung von Internet-Verbindungen oder das mysteriöse und hartnäckige Auftauchen von unbekannten Symbolen auf dem Desktop bemerkbar. Diese Beeinträchtigungen sind oftmals harmlos, können jedoch in manchen Fällen in bösartige Angriffe übergehen. So kann ein solches Programm zum Beispiel vertrauliche Daten wie Benutzernamen und Kennwörter ausfindig machen und für betrügerische Zwecke verwenden.
Aufgrund der relativen Neuheit von Spyware und der großen Bandbreite von Programmen, die unter dieser Bezeichnung zusammengefasst werden, besteht eine gewisse Verwirrung im Hinblick auf diese Programme und die mit ihnen verbundenen Sicherheitsrisiken für Privatanwender und Unternehmen. Symantec verfügt über mehr als 20 Jahre Erfahrung in der Entwicklung von Sicherheitslösungen für Privatanwender und Unternehmen zum Schutz vor Bedrohungen durch Schadprogramme ("Malware") und kann Sie dabei unterstützen, das Spyware-Problem besser zu verstehen und zu beheben. Symantecs einzigartiger Ansatz bei der Bekämpfung von Spionageprogrammen wird von den Anforderungen seiner Kunden und Partner sowie jahrelanger Erfahrungswerte als einer der führenden Anbieter von Sicherheitslösungen bestimmt. Durch Symantec-Lösungen zur Spionageprogrammbekämpfung übernehmen Benutzer und Unternehmen wieder die Kontrolle über ihre IT-Umgebung und Systeme, da sie selbst bestimmen, welche Software erhalten bleibt und welche unerwünschten Programme entfernt werden.
Während Bedrohungen wie Blaster, Welchia und andere bösartige Malware-Programme im Jahr 2003 schlagzeilenträchtige Angriffe auf Internet-Benutzer ausführten, verbreiteten sich Spionageprogramme mit weniger Aufsehen auf ihren Systemen. Als Reaktion auf diese neuartigen Sicherheitsrisiken (von Symantec als erweiterte Bedrohungen bezeichnet) wurden die Virenschutzprodukte Norton™ und Symantec™ AntiVirus so weiterentwickelt, dass sie Spionagepgrogramme und andere unerwünschte Programme auf Benutzercomputern erkennen können. Diese Schutzmaßnahmen boten Hilfe zur Lösung eines Problems, das angesichts schwerwiegenderer bösartiger Bedrohungen wenig untersucht wurde.
Im Laufe der Zeit hat Symantec seine Strategie hinsichtlich der so genannten erweiterten Bedrohungen weiter ausgebaut, um den Herausforderungen durch Programme zu begegnen, die nun im Allgemeinen als Spionageprogramme oder Spyware bezeichnet werden. Symantecs Lösungen zur Spionageprogrammbekämpfung basieren auf eindeutigen Definitionen und praktischer Risikoanalyse von Spionage- (Spyware) und Werbeprogrammen (Adware) und sollen durch klare Anleitungen und zuverlässiges Entfernen unerwünschter Software dazu beitragen, dass Benutzer den Inhalt ihrer Systeme besser verstehen und kontrollieren können.
Diese Strategie basiert auf jahrelanger Erfahrung im Umgang mit ähnlichen Sicherheitsproblemen. Da die Meinungen zu bestimmten Inhalten im Internet auseinander gehen, überlassen Symantec-Produkte beispielsweise seit Jahren ihren Benutzern die Entscheidung darüber, ob diese Inhalte auf ihren Systemen zugelassen oder entfernt werden. Die Erfahrung im Umgang mit solchen Herausforderungen, die von den Vorlieben der Benutzer und dem Standort des Computers (z. B. zu Hause oder im Büro) bestimmt werden, hat gezeigt, dass Informationen und Flexibilität entscheidend sind. Symantec hat sich darum das Ziel gesetzt, Kunden einen Leitfaden an die Hand zu geben, mit dessen Hilfe sie die beste Wahl für sich und ihre Familie oder ihr Unternehmen treffen können.
Allerdings sollten Sicherheitsprobleme auch nicht übertrieben werden, da sonst unnötige Ängste erzeugt werden und gleichzeitig die Wachsamkeit von Benutzern hinsichtlich der wirklich wichtigen Bedrohungen nachlässt. Aus diesem Grund macht Symantec eine eindeutige Unterscheidung zwischen Malware-Bedrohungen wie Viren und möglicherweise unerwünschten Anwendungen wie Spionageprogrammen (Spyware) und Werbeprogrammen (Adware). Letztere werden als Sicherheitsrisiken eingestuft. Abgesehen von Spionage- und Werbeprogrammen gelten auch Einwahlprogramme (so genannte "Dialer"), Remote-Zugriffsprogramme, Hacker-Tools und andere Anwendungen, die auf einem System gewollt oder ungewollt installiert sein können, als Sicherheitsrisiken.
Es bestehen zwar viele Übereinstimmungen zwischen den verschiedenen Definitionen, die von Branchenverbänden, Wissenschaftlern, Herstellern von Antispyware-Produkten und anderen verwendet werden. Eine allgemein gültige Beschreibung für dieses rasch zunehmende und oft verwirrende Phänomen muss jedoch noch gefunden werden. Symantec definiert Spionage- und Werbeprogramme folgendermaßen:
Spionageprogramme (Spyware): Programme, die Systeme ausspionieren oder Aktivitäten überwachen und Informationen an andere Computer oder Orte im Cyberspace weiterleiten. Zu den Informationen, die von Spionageprogrammen aktiv oder passiv erfasst und verbreitet werden können, gehören unter anderem Kennwörter, Anmeldeinformationen, Kontonummern, persönliche Informationen, einzelne Dateien oder andere vertrauliche Dokumente. Spionageprogramme können darüber hinaus Informationen über den Computer eines Benutzers, die ausgeführten Anwendungen, die Verwendung des Internet-Browsers und sonstige Benutzergewohnheiten sammeln und weiterleiten.
Spionageprogramme versuchen oft, unbemerkt zu bleiben, indem sie sich aktiv verstecken bzw. ihr Vorhandensein auf dem System nicht explizit anzeigen. Der Download von Spionageprogrammen kann über Webseiten (typischerweise Shareware oder Freeware), E-Mail-Nachrichten und Instant Messenger-Programme erfolgen. Darüber hinaus können Spionageprogramme ungewollt heruntergeladen und/oder aktiviert werden, wenn Benutzer der Lizenzvereinbarung (EULA) eines Softwareprogramms zustimmen, das in Verbindung mit dem Spionageprogramm steht, oder wenn sie eine Webseite aufrufen, die ein Spionageprogramm unabhängig von einer Lizenzvereinbarung herunterlädt.
Werbeprogramme (Adware): Programme, die die Anzeige von Werbeinhalten über ein eigenes Fenster oder durch Nutzung der Benutzeroberfläche eines anderen Programms ermöglichen. In manchen Fällen erfassen solche Programme Informationen vom Computer des Benutzers, einschließlich Informationen über die Nutzung des Internet-Browsers und sonstige Benutzergewohnheiten, und übermitteln diese Daten an einen Remote-Computer oder andere Orte im Cyberspace.
Der Download von Werbeprogrammen kann über Webseiten (oft Shareware oder Freeware), E-Mail-Nachrichten und Instant Messenger-Programme erfolgen. Darüber hinaus können Werbeprogramme ungewollt heruntergeladen und/oder aktiviert werden, wenn Benutzer der Lizenzvereinbarung (EULA) eines Softwareprogramms zustimmen, das in Verbindung mit dem Werbeprogramm steht, oder wenn sie eine Webseite aufrufen, die Werbeprogramme unabhängig von einer Lizenzvereinbarung herunterlädt.
Die Definitionen von Symantec implizieren keine Bewertung der Angemessenheit von Spionage- und Werbeprogrammen oder der Unternehmen, die deren Entwicklung und Verbreitung unterstützen. Die Definitionen von Symantec beschreiben die Funktionsweise dieser Programme, damit sie nach ihrem Risikoprofil klassifiziert werden können.
Sicherheitsrisiken wie Spionage- und Werbeprogramme können zwar als Erweiterung des Malware-Problems verstanden werden, aber das bisherige Klassifikationssystem für bösartige Bedrohungen wie Würmer und Viren − die immer unerwünscht sind und darum eine automatische Entfernung erforderlich machen − kann für diese neue Kategorie von möglicherweise unerwünschten Anwendungen nicht verwendet werden. Aufgrund dieser wichtigen Unterschiede zwischen Malware-Bedrohungen und Sicherheitsrisiken hat Symantec ein Risikoklassifikationssystem zur Bewertung von Werbeprogrammen und ähnlichen Anwendungen entwickelt, das Benutzern als Leitfaden bei der Entscheidung dienen soll, ob bestimmte Programme entfernt oder beibehalten werden sollen (siehe Abbildung 1). Mithilfe eines Risikokalkulators bewertet das System die Auswirkungen von Anwendungen in vier verschiedenen Kategorien, nimmt eine Gesamtbewertung der Anwendung als "hohes", "mittleres" oder "niedriges" Risiko vor und gibt Empfehlungen zum weiteren Vorgehen. Im Folgenden werden die vier Kategorien des Risikoklassifikationssystems − Auswirkungen auf die Systemleistung, Auswirkungen auf die Sicherheit der Daten, Programmentfernung und Verbergungsgrad (Stealth) − in Verbindung mit einem Überblick über das Risikobewertungssystem beschrieben.
Unerwartete Auswirkungen der Spionage- und Werbeprogramme auf die System- oder Netzwerkleistung geben Benutzern und Administratoren den größten Anlass zur Besorgnis. Systemabstürze, langsame Internet-Verbindungen und ungewöhnliches Verhalten des Web-Browsers fallen in die Kategorie "Auswirkungen auf die Systemleistung", die die Konsequenzen eines Sicherheitsrisikos in Bezug auf Stabilität, Geschwindigkeit und Leistung des Systems bewertet. Programme, die eine hohe Einstufung in dieser Kategorie erreichen, können stundenlange vergebliche Fehlersuchen, häufige Anfragen beim IT-Helpdesk und irritierende Unterbrechungen verursachen. Zu den Verhaltensweisen einer Anwendung, die im Zusammenhang mit der Systemleistung bewertet werden, gehören u. a. die folgenden:
| Einstufung | Grundlegende Beschreibung |
|---|---|
| Hoch | Erhebliche Auswirkungen auf Stabilität und/oder Leistung des Systems |
| Mittel | Häufige Popup-Fenster, Ersatz der Homepage, Umleitung von Webseiten und Suchergebnissen |
| Niedrig | Minimale Auswirkungen auf die Systemleistung |
Auswirkungen auf die Sicherheit der Daten
Verletzungen der Sicherheit der Daten im Hinblick auf einen einzelnen Benutzer oder ein Unternehmen durch Spionageprogramme − und gelegentlich auch Werbeprogramme − finden im Allgemeinen ohne Wissen der Benutzer statt und müssen sehr ernst genommen werden. Die Auswirkungen einer als Sicherheitsrisiko eingestuften Anwendung auf die Sicherheit der Daten bestimmen, in welchem Ausmaß das entsprechende Programm Informationen über das Benutzerverhalten erfasst und an Dritte (z. B. die jeweiligen Anbieter der Spionage- oder Werbeprogramme) übermittelt. Die von den Programmen erfassten Informationen reichen von Surfgewohnheiten im Internet bis hin zu vertraulichen Daten wie Benutzernamen und Kennwörtern, die für Identitätsdiebstahl oder nicht autorisierte Überweisungen vom Bankkonto eines Opfers genutzt werden können. Die gesammelten Informationen werden normalerweise über das Internet oder andere Übertragungsmethoden an den jeweils verantwortlichen Anbieter übermittelt oder auch lokal gespeichert. Zu den Verhaltensweisen einer Anwendung, die im Zusammenhang mit Auswirkungen auf die Sicherheit der Daten bewertet werden, gehören u. a. die folgenden:
| Einstufung | Grundlegende Beschreibung |
|---|---|
| Hoch | Freigabe von vertraulichen Daten wie Kontonummern und Kennwörter von Geldinstituten oder anderen Organisationen sowie von Kreditkartendetails und vergleichbaren Angaben |
| Mittel | Aufzeichnen der Surfgewohnheiten im Internet und vergleichbarer Aktivitäten, Fehlen von Datenschutzrichtlinien (z. B. in einer Lizenzvereinbarung), Nichteinhaltung von Datenschutzrichtlinien |
| Niedrig | Keine oder minimale Auswirkungen auf die Sicherheit der Daten |
HINWEIS: Das Vorhandensein einer Endbenutzerlizenzvereinbarung (EULA), in der Benutzer über die Art der erfassten Informationen und ihren Verwendungszweck informiert werden, kann zwar bedeuten, dass eine solche Anwendung ein geringeres Risiko darstellt als eine Anwendung ohne Lizenzvereinbarung, aber Programme, die solche Informationen enthalten, können von Symantec dennoch als Spionageprogramme eingestuft werden. Ein wichtiger Aspekt bei der Bewertung von Spionageprogrammen sind die Erwartungen des Benutzers hinsichtlich der entsprechenden Software. Die Funktionsweise eines Programms wird in einer Endbenutzerlizenzvereinbarung im Allgemeinen jedoch nicht deutlich, da es sich hierbei oft um ein sehr langes Dokument handelt, das in einem kleinen Fenster geöffnet wird und in juristischer Terminologie verfasst ist, die den meisten Benutzern nicht unmittelbar verständlich ist.
Programmentfernung
Spionage- und Werbeprogramme lassen sich oft nur schwer entfernen, um möglichst lange im System zu verbleiben. Symantecs Bewertung der Programmentfernung basiert auf der relativen Schwierigkeit, eine unerwünschte Anwendung aus einem System zu entfernen. Verhaltensweisen in dieser Kategorie reichen von Anwendungen, die problemlos mit einem herstellerspezifischen Deinstallationsprogramm entfernt werden können, bis hin zu Spionage- und Werbeanwendungen, die sich auf zahlreichen Ebenen innerhalb des Computers einrichten und den meisten Entfernungsversuchen widerstehen. Zu den Verhaltensweisen einer Anwendung, die im Zusammenhang mit der Schwierigkeit einer Programmentfernung bewertet werden, gehören u. a. die folgenden:
| Einstufung | Grundlegende Beschreibung |
|---|---|
| Hoch | Widersetzt sich Deinstallation; Deinstallationsprogramm nicht funktionsfähig oder unvollständig |
| Mittel | Keine wirksamen Anweisungen zur Deinstallation |
| Niedrig | Das als Sicherheitsrisiko eingestufte Programm kann mit einer Standard-Deinstallationsfunktion erfolgreich entfernt werden, so dass es nicht mehr auf dem Computer ausgeführt wird und keine oder nur minimale Spuren hinterlässt |
Verbergungsgrad (Stealth)
Ein typisches Merkmal von Spionage- und einigen Werbeprogrammen ist es, sich im betroffenen Computer zu verbergen (Stealth-Programme): Die Programme versuchen, sich ohne Wissen des Benutzers zu installieren, und halten sich danach verborgen, um ihre Entdeckung und Entfernung zu vermeiden. Da diese Programme sich unerwartet installieren und scheinbar unsichtbar sind, können sie auf dem Computer verbleiben und ihre Aktivitäten ohne Wissen des Benutzers ausführen (z. B. Benutzerverhalten aufzeichnen, Popup-Werbefenster einblenden usw.). Der Verbergungsgrad kann von gänzlich unbemerkten Installationen und Operationen, die im Verborgenen ablaufen, bis hin zu Programmen reichen, die Benutzer über ihre Installation informieren und deutlich sichtbar sind (d. h., Benutzer können die Symbole und Prozesse des Programms sehen und nachvollziehen, wie das Programm auf ihren Computer gelangt ist).
Zu den Verhaltensweisen einer Anwendung, die im Zusammenhang mit ihrem Verbergungsgrad (Stealth) bewertet werden, gehören u. a. die folgenden:
| Einstufung | Grundlegende Beschreibung |
|---|---|
| Hoch | Weist die meisten oder alle Verhaltensweisen von verborgenen Programmen auf, z. B. unbemerkte Installation, Fehlen einer Benutzeroberfläche und versteckte Anwendungsprozesse |
| Mittel | Weist einige, aber nicht alle Verhaltensweisen von verborgenen Programmen auf, z. B. unbemerkte Installation, Fehlen einer Benutzeroberfläche oder versteckte Anwendungsprozesse |
| Niedrig | Normale Installations- und Anwendungsverhalten |
Das folgende Beispiel zeigt, wie die voraussichtlichen Auswirkungen eines Werbeprogramms auf einen Computer mithilfe der Sicherheitsrisikobewertung von Symantec bestimmt werden.
| Kategorie | Verhaltensweise | Einstufung |
|---|---|---|
| Leistung | Häufige Popup-Werbefenster und starke Beanspruchung der Systemressourcen | Hoch |
| Datenschutz | Verfolgen des Surfverhaltens im Internet; Informationen auf den vom Benutzer angezeigten Webseiten werden an den Werbeprogrammanbieter zur Analyse und zum Einsatz von gezielten Werbeanzeigen (z. B. Popup-Werbefenster) übertragen | Mittel |
| Entfernung | Das Programm beinhaltet keine Deinstallationsfunktion und widersetzt sich der manuellen Löschung durch den Benutzer | Hoch |
| Verbergungsgrad (Stealth) | Das Programm installiert sich im Verborgenen ohne Benachrichtigung oder Anzeige einer Endbenutzerlizenzvereinbarung im Web-Browser des Benutzers; die Prozesse sind im Windows Task-Manager sichtbar | Hoch |
Gesamteinstufung: Hohes Risiko
Empfohlene Maßnahme: Automatische Entfernung
Die Risikogesamtbewertung wird von Symantec LiveUpdate verwendet, um sicherzustellen, dass Kunden über aktualisierten Schutz vor Spionageprogrammen und anderen Programmen, die ein Sicherheitsrisiko darstellen, verfügen.
Erneute Klassifizierung eines Sicherheitsrisikos und Fehlerkennungen
Es kann vorkommen, dass Softwareanbieter die Einstufung ihrer Produkte als Sicherheitsrisiko durch Symantec als nicht zutreffend ansehen. Für solche Fälle bietet Symantec ein href="https://submit.symantec.com/security_risks/dispute/index.html">Online-Formular, mit dem Anbieter eine Anfrage an Symantec zur weiteren Untersuchung und Abhilfe einreichen können. Darüber hinaus stellt Symantec im Internet ein Formular zur Meldung von Fehlerkennungen in Bezug auf Spionage- und Werbeprogramme zur Verfügung.
Symantec ist seit vielen Jahren einer der führenden Anbieter im Bereich der IT-Sicherheit und damit bestens qualifiziert, den Herausforderungen von Spionage- und Werbeprogrammen zu begegnen. Im Zentrum von Symantecs Lösungen zur Spyware-Bekämpfung steht eine der weltweit führenden skalierbaren Sicherheitsinfrastrukturen, das Symantec Global Intelligence Network. Dieses Netzwerk aus mehr als 120 Millionen Virenschutzinstallationen auf Desktops, Servern und Gateways ermöglicht es, Spionage- und Werbeprogramme aufzuspüren und zur Analyse an die Symantec Security Response Center zu senden. Das globale Ausmaß und die Reichweite dieses Netzwerks gewähren Symantec einen umfassenden Einblick in das Spionage- und Werbeprogrammproblem und ermöglichen es, Unternehmen und Benutzern weltweit einen noch besseren Schutz vor diesen Risiken zu bieten.
In den Symantec Security Response Centern − mit Standorten in Nordamerika, Asien, Australien und Europa − arbeiten hochqualifizierte Sicherheitsexperten, die Kunden bei kritischen Sicherheitsereignissen rund um die Uhr zur Seite stehen. Die Symantec Security Response Center müssen sich mit einer großen Vielfalt von Bedrohungen und Sicherheitsrisiken auseinandersetzen und leisten daher einen äußerst wertvollen Beitrag zur Spionageprogrammforschung. Die AntiSpyware-Spezialisten von Symantec können zum Beispiel nicht nur auf das Fachwissen innerhalb ihres Teams zurückgreifen, sondern auch das Know-how der Symantec Antispam-Experten nutzen. Diese haben die Aufgabe, unangeforderte E-Mail-Nachrichten, über die unter anderem auch Installationsprogramme für Spionageprogramme verbreitet werden, zu überwachen und zu analysieren. Darüber hinaus stellt Symantecs Expertenteam für unbefugte Zugriffsversuche wertvolle Analysen der Vorgehensweisen zur Verfügung, mit denen Schwachstellen in Web-Browsern in Verbindung mit Spionageprogrammen ausgenutzt werden, um die Anwendungen im Verborgenen und vom Benutzer unbemerkt zu installieren.
Spionage- und Werbeprogramme werden zunehmend komplexer, und manche Programme sind bereits in der Lage, ihre Erscheinungsformen oder Verhaltensweisen zu ändern oder sich tief im Inneren des Systems zu verbergen − Verhaltensweisen, die von Viren angewendet werden, um der Entdeckung zu entgehen. Symantecs umfassende Erfahrung bei der Beseitigung von Malware-Bedrohungen in Verbindung mit einem Team erfahrener Virenschutzexperten sind entscheidende Vorteile bei der vorbeugenden Bekämpfung dieser Sicherheitsrisiken.
Symantecs Strategie zur Bekämpfung von Spionageprogrammen in Verbindung mit dem Global Intelligence Network und einer langjährigen Erfahrung im Umgang mit Sicherheitsproblemen resultiert in einem breiten Angebot von Sicherheitslösungen, mit denen Privatanwender und Unternehmen die Kontrolle über ihre Systeme und Netzwerke behalten. Ziel dieser Lösungen ist es, Privatanwender und Unternehmen in die Lage zu versetzen, fundierte Entscheidungen hinsichtlich der Entfernung oder Beibehaltung von unerwünschter Software zu treffen und somit letztendlich für höhere Produktivität und einen besseren Schutz ihrer Daten zu sorgen.
Die beste Verteidigung gegen zunehmende Sicherheitsrisiken wie Spionage- und Werbeprogramme ist die Zusammenarbeit von Unternehmen und Organisationen. Symantec engagiert sich in der Zusammenarbeit mit Branchenverbänden, gesetzgebenden Institutionen, Vollzugsbehörden und anderen Einrichtungen mit dem Ziel, den Herausforderungen und Risiken zu begegnen, die Spionageprogramme für Benutzer und Unternehmen weltweit darstellen.
Weitere Informationen zu Spionage- und Werbeprogrammen können Sie anfordern, indem Sie sich unter ses.symantec.com/antispyware anmelden. Sie erhalten dann eine kostenlose Ausgabe von Symantecs Hintergrundartikel "Untersuchungen zur Risikoanalyse von Spionage- und Werbeprogrammen" (in englischer Sprache).
