Keylogger: Funktionen und Erkennungsmethoden (Teil 1)

Im Februar 2005 reichte der Geschäftsmann Joe Lopez aus Florida Klage gegen die Bank of America ein, nachdem unbekannte Hacker dem amerikanischen Unternehmer 90.000 $ von seinem Konto bei der Bank of America gestohlen und nach Lettland transferiert hatten.

Die Ermittlungen ergaben, dass sich auf dem Computer von Mr. Lopez der Virus Backdoor.Win32.Apdoor (Backdoor.Ñoreflood) befand, der alle Tastatureingaben des Anwenders registriert und diese via Internet an die Virenautoren weiterleitet. Auf diese Weise gelangten die Hacker in den Besitz seines Passworts und LogIns zur Kontoverwaltung.

Das Gericht lehnte die Schadensersatzforderung allerdings ab, und zwar mit der Begründung, dass Mr. Lopez die elementarsten Sicherheitsmaßnahmen bei der Online-Verwaltung seines Bankkontos außer Acht gelassen hatte, denn die Signatur des entsprechenden Virus wurde bereits im Jahr 2003 in die Datenbanken fast aller Antivirus-Hersteller aufgenommen.

Abgesehen von Mr. Lopez’ eigenem Leichtsinn hat ein gewöhnlicher Keylogger zum Verlust von 90.000 $ geführt.

Was sind Keylogger?

Der Begriff “Keylogger“ ist neutral. In der wörtlichen Übersetzung aus dem Englischen bedeutet er etwa „Protokollant von Tastatureingaben“. In den meisten Quellen findet sich die folgende Definition: „Ein Keylogger (Tastaturspion) ist eine Software, die im Wesentlichen dazu verwendet wird, Tastatureingaben zu überwachen und zu protokollieren.“ Diese Definition ist allerdings nicht völlig richtig, da Keylogger auch als Hardware eingesetzt werden. Zwar sind Hardware-Keylogger wesentlich seltener anzutreffen, doch sollte man sie beim Schutz wichtiger Informationen ebenfalls berücksichtigen.

Das Abfangen der Tastatureingaben kann von gewöhnlichen Programmen genutzt werden, etwa zum Aufrufen von Programmfunktionen aus anderen Anwendungen mit Hilfe von Tastaturbefehlen („Hotkeys“) oder zum Umschalten falscher Tastaturbelegungen (wie etwa Keyboard Ninja). Es existiert eine Vielzahl legaler Software, die von Administratoren zur Überprüfung der Mitarbeiteraktivität und von Anwendern zur Kontrolle der Tätigkeiten Dritter auf ihrem Computer genutzt wird. Allerdings ist der moralische Grat zwischen berechtigter Beobachtung und krimineller Spionage sehr schmal. So wird auch legale Software sehr häufig zum vorsätzlichen Diebstahl geheimer Anwenderdaten benutzt.

Ein großer Teil der derzeit existierenden Keylogger gilt als legal und kann käuflich erworben werden, da von den Entwicklern dieser Programme eine Vielzahl von legalen Einsatzmöglichkeiten angeführt wird, unter anderem:

  • für Eltern: Verfolgung der Aktivitäten ihrer Kinder im Internet und Benachrichtigung der Eltern beim Versuch, auf nicht jugendfreie Sites zu gelangen (Parental Control);
  • für eifersüchtige Ehepartner: Verfolgung der Aktivitäten des Partners im Netz;
  • für Firmen: zur Aufdeckung nicht zweckgemäßer oder unerlaubter privater Nutzung des PCs;
  • für Organisationen: Verfolgung der Eingabe kritischer Wörter oder Verbindungen, die Geschäftsgeheimnisse enthalten können oder deren Verbreitung dem Unternehmen materiellen oder anderen Schaden zufügen könnte;
  • für Sicherheitsdienste: Durchführung von Analysen und Ermittlung bei Diebstaht oder anderen Fällen.

Doch das ist keine objektive Sicht der Dinge, da für alle aufgeführten Fälle durchaus andere Mittel zur Verfügung stehen, andererseits aber JEDER legale Keylogger auch zu unlauteren Zwecken eingesetzt werden kann. So ist in jüngster Zeit leider gerade der Diebstahl von User-Daten verschiedener Online-Bezahlsysteme zum am weitesten verbreiteten Anwendungsgebiet von Keyloggern geworden (und zu genau diesem Zweck entwickeln Virenschreiber ständig neue Trojan-Keylogger).

Darüber hinaus verbergen sich viele Keylogger im System (da sie über Rootkit-Funktionalität verfügen), was sie zu vollwertigen trojanischen Programmen macht.

Da Keylogger zu kriminellen Zwecken verwendet werden können, hat deren Entdeckung für Antivirus-Hersteller mittlerweile höchste Priorität. In der Klassifizierung von Schadprogrammen von Kaspersky Lab existiert die spezielle Kategorie „Trojan Spy“, zu der auch Programme mit der Funktionalität von Tastaturspionen zählen. Entsprechend der Definition „spionieren diese Trojaner den Anwender des infizierten Computers aus, indem sie über die Tastatur eingegebene Informationen, Monitor-Abbildungen (Screenshots), Listen der aktiven Programme und der Aktivität des Anwenders in einer Datei auf der Festplatte speichern und in bestimmten Abständen an den Hacker versenden.“

Warum sind Keylogger gefährlich?

Im Gegensatz zu anderen Schadprogramm-Typen sind Keylogger für das System selbst absolut ungefährlich. Für den Anwender jedoch kann ein Keylogger durchaus zu einer Bedrohung werden, da die vom Anwender über die Tastatur eingegebenen Passwörter und sonstige vertrauliche Daten abgefangen werden können. Auf diese Weise kommen Kriminelle in den Besitz von Passwörtern und Kontonummern, Zugangscodes zu Spieler-Accounts von Online-Spielen sowie Adressen, LogIns und Passwörtern von E-Mail-Programmen und vielen anderen Anwendungen.

Verfügen die Kriminellen erst einmal über die entsprechenden Daten, beschränken sie sich nicht unbedingt darauf, Geld vom Konto des Anwenders abzubuchen oder die Accounts von Online-Gamern zu nutzen, denn solche Daten können in den falschen Händen weitaus ernstere Folgen nach sich ziehen als den Verlust einer bestimmten Summe. Der Einsatz von Keyloggern ermöglicht vielmehr auch politische und wirtschaftliche Spionage und ermöglicht den Zugang zu Dokumenten, die nicht nur Geschäfts-, sondern auch Staatsgeheimnisse enthalten können. Überdies sind sie in der Lage, Sicherheitssysteme außer Kraft zu setzen (etwa durch den Diebstahl versteckter Schlüssel in kryptografischen Systemen).

Neben Phishing und Methoden des Social Engineering (siehe hierzu auch „Eigentumsdiebstahl in Computernetzen“) ist das Ausspionieren mit Hilfe von Keyloggern zu einer der am weitesten verbreiteten Arten elektronischen Betrugs geworden. Kann sich der aufmerksame Anwender im Fall von Phishing jedoch noch selbst schützen – indem er eindeutig als Phishing zu erkennende Mails ignoriert und keine persönlichen Daten auf verdächtigen Sites eingibt – so können Tastaturspione einzig durch die Verwendung spezieller Schutzmechanismen entdeckt werden.

Nach den Worten von Cristine Hoepers, Managerin des Brazil’s Computer Emergency Response Team, tätig unter der Egide des Internet Steering Committee, haben Keylogger als am weitesten verbreitete Methode zum Raub vertraulicher Informationen dem Phishing den Rang abgelaufen und werden zudem immer wählerischer. Denn sie verfolgen nun, welche Web-Sites der User besucht, um erst dann mit der Aufzeichnung der Tastatureingaben zu beginnen, wenn eine für den Kriminellen interessante Site aufgerufen wurde.

In den letzten Jahren wurde ein bedeutender Zuwachs verschiedener Schadprogramme mit Keylogger-Funktionalität verzeichnet. Vor dem Risiko, in die Fänge von Cyberkriminellen zu geraten, ist kein Anwender mehr sicher, ganz egal in welchem Teil der Erde er sich befindet oder für welche Organisation er tätig ist.

Beispiele für den Einsatz von Keyloggern durch Kriminelle

Einer der bekanntesten Fälle von Keylogger-Missbrauch aus jüngster Vergangenheit ist der Diebstahl von über einer Million Dollar von Kunden der skandinavischen Bank Nordea. Im August 2006 erhielten Kunden der schwedischen Bank Nordea wiederholt E-Mails im Namen ihrer Bank mit dem Angebot, ein Antispam-Produkt zu installieren, das sich angeblich im E-Mail-Anhang befand. Beim Versuch des Empfängers, die angehängte Datei auf den Computer zu überspielen, installierte sich eine spezielle Variante des bekannten Trojaners Haxdoor. Dieser aktivierte sich bei der Registrierung des Opfers im Online-Service der Bank und öffnete ein Fenster mit einer Fehlermeldung und der Bitte, das LogIn zu wiederholen. Daraufhin zeichnete der im Trojaner enthaltene Tastaturspion die eingegebenen Daten auf und versandte sie an den Server der Hacker. Die auf diese Weise zusammengetragenen persönlichen Daten wurden von den Kriminellen genutzt, um Geld von den Konten der vertrauensseligen Bankkunden abzuheben. Den Angaben des Trojaner-Autors zufolge, kam Haxdoor auch bei Attacken gegen australische und verschiedene andere Banken zum Einsatz.

Am 27. Januar 2004 nahm die Epidemie eines der bekanntesten Schadprogramme – des Wurms Mydoom – ihren Anfang. Mydoom brach den Rekord des Wurms Sobig und löste die bisher größte Epidemie in der Geschichte des Internet aus. Der Wurm bediente sich der Methode des Social Engineering, organisierte einen Angriff auf die Site www.sco.com – die daraufhin ausfiel – und hinterließ auf den infizierten Computern ein trojanisches Programm, das zur Verbreitung neuer Versionen des Virus benutzt wurde, die der ersten Hauptepidemie folgten. Es ist jedoch weitestgehend unbekannt, dass Mydoom neben der Funktionalität eines Netzwurms, eines Backdoors und neben der Fähigkeit zur Organisation von DoS-Attacken auch über die Funktion eines Keyloggers zum Sammeln von Kreditkartennummern verfügte.

Anfang 2005 verhinderte die Londoner Polizei einen der am größten angelegten Diebstahl-Versuche in England. Mit Attacken auf das Bankensystem planten die Kriminellen, 423 Millionen Dollar aus der Londoner Filiale der Sumitomo Mitsui Bank zu entwenden. Die Hauptkomponente des vom 32jährigen Israeli Yeron’om Bolondi entwickelten Trojaners war ein Keylogger, der es ermöglichte, alle Tastatureingaben während der Arbeit mit dem Kundenprogramm dieser aufzuzeichnen.

Im Mai 2005 wurde in London von der israelischen Polizei ein Ehepaar festgenommen und der Entwicklung von Schadprogrammen beschuldigt, mit denen israelische Firmen Konkurrenzunternehmen ausspionierten. Die Ausmaße derartiger Betriebsspionage sind erstaunlich: In den Ermittlungsunterlagen der israelischen Behörden fanden sich so namhafte Firmen wie die Mobilfunk-Betreiber Cellcom und Pelephone und der TV-Anbieter YES. Den Unterlagen zufolge richtete sich die Überwachung gegen die PR-Agentur Rani Rahav, zu deren Kunden unter anderem der zweitgrößte Handybetreiber Israels, Partner Communications, und der Kabelnetzbetreiber HOT gehören. Der israelische Importeur von Volvo und Honda, die Firma Mayer, wird der Spionage gegen die Firma Champion Motors, den israelischen Importeur von Audi und Volkswagen, verdächtigt. Ruth Haefrati, die den Vertrieb des von ihrem Mann Michael Haefrati entwickelten Trojaners mit Keylogger-Funktionen übernommen hatte, wurde zu vier Jahren Freiheitsstrafe verurteilt. Michael Haefrati selbst ist für 2 Jahre inhaftiert.

Im Februar 2006 verhaftete die brasilianische Polizei 55 Personen, die an der Verbreitung von Schadprogrammen beteiligt waren, die zum Raub von Registrierungsdaten und Passwörtern von Banksystemen verwendet wurden. Die Keylogger wurden genau in dem Moment aktiv, in dem die Anwender die Site des Banksystems aufriefen. Im Anschluss daran protokollierten sie verdeckt alle auf diesen Seiten eingegebenen Daten mit, um sie daraufhin an die Hacker weiterzugeben. Die Gesamtsumme, die auf diese Weise von 200 Kundenkonten sechs verschiedener brasilianischer Banken gestohlen wurde, betrug 4,7 Milliarden Dollar.

Fast zur selben Zeit wurde eine Gruppe junger russischer und ukrainischer Krimineller festgenommen, die seit Ende 2004 an Kunden verschiedener westeuropäischer Banken E-Mails mit einem angehängten Keylogger versendet haben. Zudem befand sich der Schädling auf eigens eingerichteten Websites, auf die die User per Social Engineering gelockt wurden. Im weiteren Verlauf entwickelte sich auch dieser Fall ähnlich den oben aufgeführten Beispielen: Das Programm wurde beim Besuch der Site des Banksystems aktiviert, zeichnete alle vom Anwender eingegebenen Daten auf und gab diese schließlich an die Kriminellen weiter. Innerhalb von 11 Monaten wurden so über eine Million Dollar entwendet.

Es gibt unzählige Beispiele für die Verwendung von Keyloggern durch Kriminelle – die Mehrheit der mit Finanzen in Zusammenhang stehenden Cyber-Verbrechen wird bereits mit Hilfe von Tastaturspionen verübt. Denn einzig der Einsatz von Keyloggern ermöglicht eine umfassende und zuverlässige elektronische Spionage.

Wachsende Popularität von Keyloggern unter Kriminellen

Die steigende Beliebtheit von Keyloggern unter Kriminellen wird von verschiedenen Unternehmen der IT-Sicherheitsbranche bestätigt.

In einem Bericht von VeriSign wird auf den extremen Zuwachs von Schadprogrammen mit Keylogger-Funktionalität innerhalb der letzten Jahre verwiesen.


Quelle: iDefense, ein Unternehmen der VeriSign-Gruppe

In einem Artikel der Firma Symantec wird dargelegt, dass etwa die Hälfte der von den Firmen-Analysten aufgespürten Schadsoftware des letzten Jahres keine direkte Bedrohung für den Computer darstellt, sondern von den Online-Kriminellen genutzt wird, um persönliche Daten der PC-Besitzer zu sammeln.

Gemäß einer Berechnung des Analysten John Bambenek vom SANS-Institut sind derzeit allein in den USA ungefähr 10 Millionen Computer von einem Schadprogramm mit Keylogger-Funktionalität infiziert. Auf Grundlage dieser Berechnung beträgt die Summe, die amerikanische User von Online-Bezahlsystemen verlieren könnten 24,3 Milliarden Dollar.

Auch Kaspersky Lab registriert ständig neue Schadprogramme mit Keylogger-Funktionen. Eine der ersten Viruswarnungen vor einem Schadprogramm mit Keylogger-Funktionalität – dem Trojaner Troj_Latinus.svr – wurde von Kaspersky Lab am 15. Juni 2001 veröffentlicht. In der Folge erschienen regelmäßig neue Keylogger-Versionen. Derzeit befinden sich in den Kaspersky-Datenbanken Informationen zu mehr als 300 Familien spezialisierter Keylogger. In dieser Zahl sind keine Keylogger enthalten, die in komplexe Schadprogramme integriert sind und deren wichtigster Bestandteil nicht die Tastaturspionage ist.

Die Mehrheit aktueller Schadprogramme sind hybride Bedrohungen, das heißt in ihnen wird eine Vielzahl von Technologien verwendet, so dass in fast jeder Malware-Kategorie ein Programm vorkommen kann, das unter anderem eine Funktion zum Ausspionieren der Tastatureingaben enthält.

Grundsätzlicher Aufbau von Keyloggern

Das Prinzip von Keyloggern besteht darin, zwischen zwei beliebigen Gliedern der Signalübertragungskette einzudringen – vom Drücken der Taste durch den Anwender bis zum Erscheinen des Symbols auf dem Bildschirm. Umgesetzt werden kann dieses Prinzip in Form von Videoüberwachung, von Wanzen in der Tastatur selbst, dem Kabel oder im Systemblock des Computers, durch das Abfangen der Input-Output-Abfragen, durch Auswechseln des Tastaturtreibers, durch einen Treiber-Filter im Stapelspeicher der Tastatur, durch das Abfangen der Kernelfunktionen (z. B. Austausch der Adressen in den Systemtabellen, Splicing des Funktionscodes), durch das Abfangen der DLL-Funktionen im Anwendermodus oder durch eine Tastaturabfrage mit den dokumentierten Standardmitteln.

Die Praxis allerdings zeigt, dass komplizierte Ansätze in weit verbreiteten trojanischen Programmen eher selten zur Anwendung kommen, sondern meist eher in Trojanern verwendet werden, die eigens zum Diebstahl von Unternehmens-Finanzdaten entwickelt wurden.

Keylogger lassen sich bedingt in Hard- und Software unterteilen. Erstere sind kleine Geräte, die an der Tastatur, im Kabel oder im Systemblock des Computers installiert werden. Letztere sind eigens geschriebene Programme zur Verfolgung und anschließenden Protokollierung der Betätigung einzelner Tasten.

Im Folgenden sind die populärsten technischen Ansätze zur Entwicklung von Software-Keyloggern aufgeführt:

  • Systemfalle zur Benachrichtigung über Tastatureingaben (wird mit Hilfe der Funktion WinAPI SetWindowsHook zur Benachrichtigung installiert, die über Fensterprozedur versendet wird – meist in C geschrieben);
  • Regelmäßige Tastaturabfrage (mit Hilfe der Funktion WinAPI Get(Async)KeyState, GetKeyboardState – meist in VisualBasic, seltener in Borland Delphi geschrieben);
  • Verwendung von Treiber-Filtern (erfordert besondere Kenntnisse, in C geschrieben).

Die verschiedenen Entwicklungsmethoden von Keyloggern werden im zweiten Teil dieses Artikels detailliert beschrieben. An dieser Stelle zunächst einige statistische Daten.

Die ungefähre Verteilung der oben beschriebenen Keylogger-Typen ist im folgenden Diagramm dargestellt:

In jüngster Zeit zeichnet sich eine Tendenz zur Verwendung von Technologien zum Verbergen (Maskierung) der Keylogger-Dateien ab – zum Schutz vor Entdeckung, sei es manuell oder durch einen Antivirus-Scan. Diese Methoden kann man als Rootkit-Technologie bezeichnen. Es lassen sich zwei Grundtypen der von Keyloggern eingesetzten Verbergungstechniken unterscheiden:

  • Verbergungsmethoden im Anwendermodus (UserMode);
  • Verbergungsmethoden im Kernelmodus (KernelMode) des Betriebssystems.

Die ungefähre Verteilung der von Keyloggern eingesetzten Verbergungsmethoden ist im folgenden Diagramm dargestellt:

Verbreitungsmechanismen von Keyloggern

Die Methoden zur Verbreitung von Keyloggern unterscheiden sich insgesamt nicht von denen anderer schädlicher Programme. Lässt man die Fälle außer Acht, in denen ein solcher Tastaturspion gekauft und von einem misstrauischen Ehepartner installiert oder von Sicherheitsdiensten eingesetzt wird, so verbleiben die folgenden Methoden zur Verbreitung von Keyloggern:

  • Installation beim Öffnen einer an eine E-Mail angehängte Datei;
  • beim Starten einer Datei aus einem allgemein zugänglichen Verzeichnis in einem Peer-to-Peer-Netz;
  • über eine Script auf Web-Sites, das Besonderheiten des Internet-Browsers ausnutzt, die es Programmen ermöglichen, sich beim Anwender automatisch auszuführen;
  • mit Hilfe eines vorher installierten Schadprogramms, das in der Lage ist, andere schädliche Software im System zu installieren.

Schutz vor Keyloggern

Die meisten Antivirus-Hersteller nehmen die bekannten Keylogger in ihre Datenbanken auf. Daher unterscheiden sich die Mechanismen zum Schutz vor Tastaturspionen auch nicht von denen zum Schutz vor anderer Malware – man installiert ein Antivirus-Produkt und sorgt für eine regelmäßige Aktualisierung der Datenbanken. Da die meisten Antivirus-Produkte Keylogger allerdings zur Klasse der potentiell gefährlichen Programme zählen, sollte man sich davon überzeugen, dass die verwendete Antivirus-Software auch in der Standardkonfiguration Keylogger entdeckt. Sollte dies nicht der Fall sein, muss die entsprechende Konfiguration manuell vorgenommen werden. Beherzigt man diesen Ratschlag, so ist man vor den meisten Tastaturspionen geschützt.

Im Folgenden werden die unterschiedlichen Methoden zum Schutz vor unbekannten Keyloggern und solchen, die speziell für Angriffe auf ein konkretes System entwickelt wurden, genauer beschrieben.

Da der Einsatz von Keyloggern im Wesentlichen den Raub vertraulicher Informationen (Bankkartennummern, Passwörter u. ä.) zum Ziel hat, sollte man folgende Schutzmechanismen anwenden:

  1. Verwendung von Einwegpasswörtern/Zwei-Faktoren-Authentifizierung,
  2. Verwendung eines proaktiven Schutzsystems zur Entdeckung von Software-Keyloggern,
  3. Verwendung einer virtuellen Tastatur.

Durch die Verwendung von Einmal-Passwörtern lässt sich das Risiko minimieren, Verluste auf Grund abgefangener Passwörter zu erleiden, da sie nur zum einmaligen Gebrauch bestimmt sind und zudem meist auch die Zeit begrenzt ist, innerhalb der sie verwendbar sind. Selbst wenn es einem Kriminellen also gelingen sollte, in den Besitz eines solchen Passworts zu gelangen, ist es ihm trotzdem nicht möglich, damit an vertrauliche Informationen zu kommen.

Zur Herstellung von Einmal-Passwörtern sind verschiedene spezielle Geräte erhältlich:

  1. in Form eines Sticks (z. B. Aladdin eToken NG OTP):
  2. in Form eines „Taschenrechners“ (z.B. RSA SecurID 900 Signing Token):

Einmal-Passwörter werden auch über ein Mobiltelefon-System vergeben, wobei der registrierte Anwender eine SMS verschickt und als Antwort einen PIN-Code erhält, der dann zusammen mit dem persönlichen Code bei der Authentifizierung eingegeben werden muss.

Bei der Verwendung eines Sticks zur Generierung von Einwegpasswörtern stellt sich der Zugangs-Algorithmus zum geschützten Informationssystem folgendermaßen dar:

  1. Der Anwender verbindet sich mit dem Internet und öffnet ein Dialogfenster zur Eingabe der persönlichen Daten;
  2. daraufhin drückt der Anwender auf die Schlüsseltaste zur Generierung eines Einmal-Passworts, das innerhalb von 15 Sekunden auf dem Display des Schlüsselanhängers erscheint;
  3. der Anwender gibt sein LogIn, seinen PIN-Code und den gescannten Wert des Einmal-Passworts im Dialogfenster ein;
  4. der eingegebene Wert wird vom Server überprüft, woraufhin entschieden wird, ob dem Anwender Zugriff auf die vertraulichen Daten gewährt wird.

Wird zur Generierung von Einmal-Passwörtern ein Gerät in Form eines Taschenrechners verwendet, so gibt der Anwender seinen PIN-Code auf der „Tastatur“ ein.

Generatoren von Einmal-Passwörtern sind in europäischen, amerikanischen, asiatischen und australischen Banksystemen weit verbreitet. So verwendet etwa eine führende Bank Großbritanniens, die Lloyds TSB, schon seit November 2005 Generatoren von Einmal-Passwörtern.

In diesem Fall hat das Unternehmen allerdings weiterhin hohe Kosten, da es auch unumgänglich ist, den Kunden die entsprechenden Geräte zur Verfügung zu stellen – ebenso wie eine entsprechende Software.

Die kostengünstigere Lösung ist die Verwendung eines proaktiven Schutzsystems, das den Anwender vor der Installation oder Aktivierung eines Software-Keyloggers warnt.



Beispiel für die Aktivierung des proaktiven Schutzes vor Keyloggern durch Kaspersky Internet Security

Der entscheidende Nachteil dieses Ansatzes besteht darin, dass sich der Anwender an der Beurteilung und der Entscheidung über die weitere Verfahrensweise mit dem verdächtigen Code aktiv beteiligen muss. Ist der Anwender technisch nicht ausreichend versiert, kann eine falsche Entscheidung dazu führen, dass ein Keylogger durch die Maschen schlüpft. Wird die Beteiligung des Anwenders an der Entscheidungsfindung des proaktiven Schutzsystems so weit wie möglich reduziert, kann dies wiederum dazu führen, dass ein Keylogger in Folge einer zu schwachen Sicherheitspolitik des Systems übersehen wird. Eine zu strenge Sicherheitspolitik erhöht andererseits die Gefahr, dass nützliche Programme – auch solche zum Abfangen von Tastatureingaben zu legalen Zwecken – ebenfalls blockiert werden.

Die letzte hier aufgeführte Methode zum Schutz vor Hardware- und Software-Keyloggern ist der Einsatz einer virtuellen Tastatur. Hierbei handelt es sich um ein Programm, das auf dem Bildschirm das Abbild einer gewöhnlichen Tastatur darstellt, auf der dann mit Hilfe der Maus die entsprechenden Tasten „gedrückt“ werden können.

Die Idee einer Bildschirmtastatur ist nicht neu – unter Windows kann sie über das Menü Start > Programme > Zubehör > Eingabehilfen > Bildschirmtastatur aufgerufen werden.


Ansicht der im Betriebssystem Windows integrierten Bildschirmtastatur

Allerdings ist die in Windows integrierte Bildschirmtastatur als Schutz vor Keyloggern kaum verwendbar, da sie nicht als Schutzmechanismus, sondern als Hilfe für Personen mit eingeschränkter Beweglichkeit entwickelt wurde. Aus diesem Grund kann die Datenübertragung nach der Eingabe über eine derartige Tastatur problemlos von einem Schadprogramm abgefangen werden. Eine Bildschirmtastatur zum Schutz vor Keyloggern sollte auch speziell zu diesem Zweck entwickelt werden und das Abfangen der eingegebenen Daten in jedem Stadium der Eingabe und der Übertragung ausschließen.

Fazit

In diesem Artikel wurden die Prinzipien der Entwicklung und Verwendung von Keyloggern, die zur Aufzeichnung von Tastatureingaben eingesetzt werden – in Form von Hard- und Software – näher betrachtet.

  • Ungeachtet der Tatsache, dass Hersteller von Keyloggern diese als legale Software verkaufen, eignen sich die meisten Tastaturspione zum Diebstahl persönlicher Informationen und zur Spionage.
  • Neben Phishing und Methoden des Social Engineering gehören Keylogger derzeit zu den wichtigsten Arten elektronischen Betrugs.
  • IT-Sicherheits-Unternehmen verzeichnen einen stetigen Zuwachs an schädlichen Programmen mit Keylogger-Funktionalität.
  • Der Trend geht eindeutig zur Verwendung von Rootkit-Technologien in Software-Keyloggern, das heißt von Funktionen, die die Keylogger-Dateien vor manueller Entdeckung und Antivirus-Scans verbergen.
  • Mit Hilfe von Keyloggern durchgeführte Spionage lässt sich nur durch spezialisierte Schutzmechanismen aufdecken.
  • Zum Schutz vor Keyloggern empfiehlt sich der Einsatz eines Multilayer-Schutzsystems:
    • traditionelle Antivirus-Produkte, bei denen unbedingt die Funktion zur Erkennung potentiell gefährlicher Software aktiviert sein muss (die bei vielen Produkten standardmäßig deaktiviert ist);
    • proaktive Schutzsysteme zum Schutz vor neuen Keylogger-Modifikationen;
    • eine virtuelle Tastatur oder Systeme zur Generierung von Einmal-Passwörtern zum Schutz vor Hard- und Software-Keyloggern.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.