1. Was ist Spyware?

1.1 Erklärung

1.2 Funktionsweise

1.3 Ziel der Spyware

1.4 Vertraute Programme?

2. Zu beachtende Computersymptome bei Spywarebefall

3. Vorsichtsmaßnahmen

4. Schützende Programme

5. Spyware entfernen

6. Blacklist

7. Rechtliche Lage

8. Quellen

1. Was ist Spyware?

1.1 Erklärung

Spyware sind Programme, die Informationen über das Online-Verhalten und den Rechner des Anwenders, ohne dessen Wissen, an Datenbanken weiterleiten. Die Spyware wird beim Rechnerstart aktiviert und die Daten des Anwenders werden versendet sobald eine Verbindung zum Internet besteht.

Definition Spyware:

Allgemein: Jede Technologie, die dabei hilft Informationen über eine Person oder ein Unternehmen zu erfassen, ohne deren Wissen

1.2 Funktionsweise

Spyware bedient sich einfachen Anwendungen wie z.B.:

• Cookies

• Clear-GIFs (auch Webbugs genannt)

• Banner-Ads

• Phonehome-Programme

• Trojanische Pferde

• BHO's (Browser Helper Objects)

Beim Herunterladen einer Spysoftware wird ein Cookie auf dem Rechner des Anwenders gespeichert, damit dieser bei einem erneuten Besuch wiedererkannt werden kann. Das gespeicherte Cookie enthält eine Kennung, unter der sämtliche Daten des Anwenders beim Anbieter der Software gespeichert werden. Durch die Registrierung der Software gelangen Daten über den Anwender/Nutzer zum Anbieter. Bei jedem neuen Webseitenbesuch werden so neue Daten zu den schon vorhandenen hinzugefügt. Dadurch, dass ein Cookie auf dem Rechner des Anwenders gepeichert wurde, kann die Firewall oder das Antivirenschutzprogramm die Spyware nicht mehr als solche wiedererkennen.

Gefährdet sind vor allem diejenigen die irgendwelche Free- oder Shareware aus dem Internet herunterladen.

Auch die User die Filesharing mittels eines P2P (peer-to-peer) Netzwerkes (Kazaa, Limewire, Audiogalaxy, Morpheus...) betreiben, sind im Visier der Syware.

Schlechte Nachricht!!!

Es gibt auch Spyware-Programme die die Tastatur-Eingaben des Users kontrollieren (Keylogger) oder die alle Aktivitäten des User-PCs überwachen.

Gute Nachricht!!!

Die Keylogger werden von den gängigen Antivirenschutzprogrammen erkannt, unter der Voraussetzung, dass diese immer die neuesten Signaturen enthalten.

1.3 Ziel der Spyware

Das ursprüngliche Ziel der Spyware war es das Surfverhalten des Anwender zu verfolgen, um auf dessen Angewohnheiten die passende Werbung, in Form von Pop-ups oder Werbebannern, einzublenden. Diese Form von Spyware nennt sich auch noch Adware.

Die Spyware premiere machte das Unternehmen Aureate Media (später in Radiate umbenannt). Dieses Unternehmen setzte auf Adware, um dem Benutzer auf seine Surfgewohnheiten zugeschneiderte Werbung in bereits auf dem PC vorhandene Programme zu integrieren. Heute wird geschätzt, dass der Code von Aureate/Radiate bereits auf mehr als 20 Millionen PCs läuft. Dieser Code führt dann häufig zu Problemen wie Systemabstürzen oder Ressourcenverbrauch. Spyware-Programme können ebenfalls das Verhalten des Anwenders beeinflussen, indem sie

- Suchen auf vorgegebene Sites umlenken,

- Funktionen des Browsers verändern,

- Bannerwerbung und Pop-ups auf Grund des Surfverhaltens in andere Programme einspielen.

Es gibt aber auch Spyware am Arbeitsplatz. Immer mehr Angestellte profitieren am
Arbeitsplatz von der guten Internetverbindung und glauben so auf kosten des Hauses surfen zu können. Meistens werden private e-mails vom Arbeitsplatz aus verschickt, obwohl dies nicht der eingentliche Nutzen des Betriebs-Mailservers ist.

1.4 Vertraute Programme?

Wer kennt diese Programme nicht:

- die Web-Browser Opera 5 oder Netscape 6/7

- Real Audio (integriert in der Real Player freeware)

- das Übersetzungstool Babylon Translator (als freeware)

Genau diese uns scheinbar gut bekannten alltäglich genutzte Programme enthalten Spyware. Da die meisten dieser Programme als Freeware irgendwo downloadbar sind, ist nach wie vor äußerste Vorsicht geboten, auch wenn die Freeware-Angebote noch so verlockend klingen, denn es ist bekanntlich nicht immer das drin was draufsteht!

2. Zu beachtende Computersymptome bei Spywarebefall

• Ihr PC läuft viel langsamer als noch vor kurzer Zeit

• Die Startseite Ihres Browsers ändert sich ohne Ihr Zutun

• Sie entdecken neue Toolbars auf dem Desktop und/oder im Browser

• Der Windows Messenger schickt Ihnen Werbebotschaften auf den Bildschirm.

• Bei Ihnen bekannten Webseiten tauchen Pop-ups auf, die dort früher nicht waren

• Bei Webseiten, zu denen dies überhaupt nicht passt, tauchen Pop-ups mit Werbung für Sexangebote oder Glücksspiele auf

• Auf Webseiten tauchen unpassende orange-gelbe Werbelinks auf.

3. Vorsichtsmaßnahmen

1. Windows-Updates: Installieren Sie stets die aktuellen Windows-Updates mit den entsprechenden Sicherheitspatches.

2. Seien Sie misstrauisch beim Surfen: Laden Sie nie ausführbare Dateien (Programmdateien, Scripts) auf Ihren Computer, wenn Ihnen das auf einer Website vorgeschlagen wird. Die Behauptung, man könne sonst die Inhalte der Website nicht konsumieren, fällt auf die Betreiber zurück. Wenn dem tatsächlich so ist, dann wurde die Site schlecht programmiert. Zumeist will man ihnen aber bloß ein Programm unterjubeln, das Sie garantiert nicht haben möchten: Spyware, Dialer, Viren...

3. Seien Sie noch misstrauischer in Tauschbörsen: Vor allem bei kleinen ausführbaren Dateien handelt es sich fast immer um destruktive Programme oder Spyware.

4. Verwenden Sie eine persönliche Firewall wie etwa ZoneAlarm oder Symantec Internet Security, die die Online-Aktivitäten Ihres Rechners überwacht und einschränkt.

5. Informieren Sie sich über Programme, die Sie installieren möchten. Eine gute Quelle ist Spychecker.

6. Überprüfen Sie Ihren PC regelmäßig mit Ad-aware.

7. Schützen Sie sich mit Ad-aware Plus, vor allem wenn Sie Tauschbörsen nutzen oder häufig Programme aus Archiven herunterladen.

8. Deaktivieren Sie das Windows Messenger Service, das in Windows 2000 und XP standardmäßig aktiv ist:
   · Englischsprachig: Rufen Sie Start / Run auf, tippen Sie msconfig. Klicken Sie auf
   Services und deaktivieren Sie den Messenger
   · Deutschsprachig: Rufen Sie Start / Ausführen auf, tippen Sie msconfig. Klicken Sie auf Dienste und deaktivieren Sie den Messenger.

9. Deaktivieren Sie Erweiterungen des Browsers: Im Explorer 6 gehen Sie folgendermaßen vor:
   · Englischsprachig: Rufen Sie das
   Menü
   
   Tools / Intenet Options / Advanced
   auf und deaktivieren Sie Enable third-party browser extensions
   · Deutschsprachig: Rufen Sie das
   Menü Extras / Intenetoptionen / Erweitert auf und deaktivieren Sie
   Browsererweiterungen von Drittanbietern aktivieren

10. Deaktivieren Sie den Einsatz von Active-X :Rufen Sie das Menü Extras / Internetoptionen / Sicherheit / Internet / Stufe anpassen auf und deaktivieren Sie alle Optionen zu ActiveX-Steuerelementen

4. Schützende Programme

Programme wie Ad-Aware SE Personal (als Freeware auf der Lavasoft-Seite downloadbar) oder Ad-Aware Professional (zahlungspflichtig) spüren die unten aufgelisteten, gängigen Spyware Programme auf und beseitigen sie zuverlässig.

• Adware

• Alexa 1.0-5.0

• Aureate v1.0,2.0 + 3.0

• Comet Cursor v1.0 and v2.0

• Cydoor, Doubleclick

• DSSAgent

• EverAd, Ezula

• Flyswat

• Gator

• OnFlow-Player

• SaveNow

• TimeSink v1.0,v2.0 and v5.0

• HotBar

• Web3000

• Webhancer

Das GRC NetFilter Projektsoll vor Bedrohungen wie Adware, Spyware, Cookies und Spam schützen indem es dem User die Möglickkeit gibt den Datenstrom zwischen Rechner und Internet zu überwachen.

Ganz anders arbeitet das Programm DriveCript 4.0. Dieses Programm sorgt dafür, dass alle Daten auf dem Rechner mittels komplexer militär- und industrieerprobter Verschlüsselung für Unbefugte nicht mehr zu knacken sind. Eine weitere Möglichkeit die das Programm bietet ist die Steganographie, dabei werden die Daten in Musikstücken versteckt. Außerdem bedient sich DriveCript 4.0 einer 1344-Bit Datenverschlüsselung in Echtzeit.

Noch ein Highlight von DriveCript 4.0 ist, dass bei einem Angriff auf geheime Dateien von außen, der Rechner des Angreifers verlangsamt wird.

Das Prinzip klingt komplex, ist aber in seiner Anwendung angeblich sehr userfreundlich, sogar für unerfahrene Anwender.

Während GRC Netfilter Projekt und DriveCript 4.0 aktiv gegen Spyware ankämpfen, verhindert das Programm Ad Blocker nicht etwa das Spionieren sondern nur das einspielen von Werbung.

5. Spyware entfernen

Programm löschen und weg! Falsch!

Auch wenn man das Programm selbst löscht, muss man sich im klaren sein, dass seine Spionage-Anwendungen nicht vollständig von der Festplatte entfernt wurden und immer noch munter persönliche Daten weiterversenden.

Eine Möglichkeit ist das Programm in der Registry zu löschen. Dazu geht man auf START/RUN/ regedit eingeben und Enter drücken, dann im Verzeichnis HKEY_CLASSES_ROOT auf FIND klicken und den gewünschten Suchbegriff eingeben. Nachdem die Suche die Ergebnisse liefert, kann man alle Komponenten die den ungewünschten Programmnamen enthalten löschen. Danach mit der Taste F3 solange weiterfahren bis die Suche keine Ergebnisse mehr liefert (Meldung erscheint im Fenster!).

Diese Methode klingt ziemlich einfach, ist aber mit größter Vorsicht zu genießen, da man leicht aus Versehen ein für das Betriebssystem wichtiges Programm löschen könnte. Für Laien ist diese Methode also nicht so geeignet. Es gilt nach wie vor, wenn man sich nicht sicher ist, lieber Finger weg von der Registry.

Hierfür gibt es Programme wie Ad-Aware, Spybot-Search & Destroy, SpyWare/Adware Remover,oder X-Cleaner die dem unerfahrenen User den heiklen Löschvorgang in der Registry abnehmen.

Zudem gibt es kleinere Programme, wie AntiAureate oder NoAura (entfernen Software die Aureate/Radiate Spyware benutzen) die Helfen die gängigen Spyware-Programme  zu entdecken und sie zu entfernen.

Mit HijackThis kann der User feststellen welche Dateien beim Systemstart geladen weden, sowie die vorhandenen Browser-Add-Ons und Browser-Buttons auflisten.

6. Blacklist

Zu den großen Adware Networks gehören:

Gator: Hersteller der Spysoftware Gain

WhenU.com: Hersteller der Spysoftware SaveNow

Aureate/Radiate: Hersteller der gleichnamigen Spysoftware

Web3000: Hersteller der Spysoftware Netsonic Download Accelerator

Liste der mit Spyware behafteten Programme (Blacklist):

Abe's MP3 Finder 4.0: verwendet Aureate Spyware

AudioGalaxy: verwendet Bonzi, Gain und WebHancer

Aureate Spam-Killer: verwendet Aureate Spyware

Clicktilluwin: Die Online Lotterie wird von Experten als Trojaner eigeschätzt und dementsprechend von Antivirenprogrammen aufgespürt.

CuteFTP: verwendet Aureate Spyware

Divx Pro 5: installiert die Gator Spyware

EmmaSoft: verwendet Aureate Spyware in diversen Produkten

Eudora Sponsored Version: verwendet Aureate Spyware, weist jedoch darauf hin

FreeWire: P2P File Sharing Programm, verwendete Spyware unbekannt

Go!Zilla WebAttack: verwendet Aureate Spyware

Grokster: verwendet CyDoor Ad-ware

iMesh: fügt Schaltflächen zum Browser, die zu Anzeigenseiten führen; wertet Formulare aus, die mit dem Browser ausgefüllt werden!

KaZaA: verwendet Bonzi Software

Limewire: P2P File Sharing Programm, verwendete Spyware unbekannt

Morpheus: beinhaltet die Adware Morpheus Shopping

Netvampire: verwendet Aureate Spyware

OneMX: P2P File Sharing Programm, verwendete Spyware unbekannt

Opera: verwendet Cydoor für die Werbung

ProtectX: von Plasmatek gibt vor, die Privatsphäre des Anwenders zu schützen und spioniert ihn gleichzeitig aus.

RealAudio: liest die Registry aus und sendet die Daten an eine Datenbank. In dieser Datei sind alle Einstellungen und Informationen über den Computer und seine Programme gespeichert.

QuikLink Network: verwendet Aureate Spyware in diversen Produkten

Xolox:P2P File Sharing Programm, verwendete Spyware unbekannt

Weitere Listen gibt es unter Cexx und Spywareguide.

7. Rechtliche Lage §

• Spionageprogramme in kostenloser Software zu verstecken ist eindeutig ein Verstoß gegen das deutsche Datenschutzrecht. Wer den Einsatz solcher Programme verschweigt, verstößt gegen das Datenschutzgesetz.

• Wer eine verseuchte Software aus dem Internet geladen hat, sollte diese Software löschen. In einigen Fällen ist es ratsam, den Anbieter über die Verseuchung zu unterrichten, da er manchmal selbst nichts davon weiß.

• Der Datenschutzbeauftragte kann die Bürger nur über die Risiken und Gefahren die von solchen Programmen ausgehen, informieren. Wer also davon betroffen ist sollte sich nicht an den Datenschutzbeauftragten wenden, sondern an das Bundesamt für Sicherheit in der Informationstechnik [BSI]. Ansonsten beraten die Datenschutzbeauftragen der Länder.

• Wenn eine Firma (die solche Programme einsetzen) identifiziert werden kann, gibt es rechtliche Möglichkeiten. Ihr habt das Recht auf Auskunft über Eure gespeicherten Daten. Außerdem kann man das Löschen der Daten verlangen. Passiert das nicht, wird eventuell ein Bußgeld fällig. Wie man eine korrekte Löschung allerdings kontrollieren will ist hier die Frage.

• Die Spionageprogramme verstoßen gegen bereits bestehende Gesetze, etwa dem Grundsatz der Datenvermeidung und der Datensparsamkeit des Datenschutzgesetzes. Noch eine Frage wäre in diesem Zusammenhang, ob nicht auch Microsoft bzgl. Windows-XP belangt werden könnte?

[nach oben]

http://www.iezzi.ch/files/unizh_HS/PIA/PIA_SS2003_02-Spyware.pdf

http://www.spywareguide.com/product_list_category.php?category_id=1

http://www.webopedia.com/

http://dascomputerlexikon.de/listen/spionage.htm

http://www.geocities.com/spamless_securesoft/neowatch.html

http://www.at-web.de/spezialverzeichnisse/spywarecheck.htm

http://www.trojaner-und-sicherheit.de/trojaner_und_viren/spyware.htm

http://www.wienerzeitung.at/linkmap/technik/spyware/default.htm

[nach oben]