Was gegen Schnüffelsoftware hilft

09.05.2006
Von 

Schwerpunkte von Frank Kölmel, der auf mehr als 20 Jahre Erfahrung in der Netzwerk- und Internetbranche zurückblicken kann, sind Ausbau und Festigung der Position des Unternehmens in der D-A-CH-Region und Osteuropa. 

Gegen die Tarnung

Die Heimlichkeit, mit der die elektronischen Spione das Firmennetz infiltrieren, erschwert naturgemäß ihre Identifikation. Auch ist ein Befall nicht unbedingt eindeutig zu erkennen, denn nicht immer verlangsamt sich der Rechner oder stürzen Programme ab. Hier eine Auswahl möglicher Enttarnungsmaßnahmen:

Logfile-Analyse

Vermuten die Netzverantwortlichen eine Infektion mit Spyware, so bringt eine Logfile- beziehungsweise LAN-Analyse Gewissheit. Netz-Sniffer wie das Open-Source-basierende "Ethereal" können den gesamten LAN-Traffic protokollieren und analysieren. Auf diese Weise lokalisieren sie schädlichen Code oder decken andere Gefahrenquellen auf. Der Sniffer klinkt sich beispielsweise in den Treiber der Netzwerkkarte ein und speichert alle ein- und ausgehenden Daten zwischen. Dann decodiert er die Netzpakete so, dass der Administrator die einzelnen Bestandteile unterscheiden kann. Zur Präzisierung der Suche lässt sich der aufgezeichnete Datenverkehr nach einer Vielzahl von Kriterien filtern - etwa nach dem Port, der Ziel- oder Quelladresse und der Art des Dienstes. Die Zieladresse könnte bei http-Traffic zum Beispiel auf eine bekannte Spyware-Website deuten, an die der im sicheren Netz angesiedelte Spion die ergatterten Informationen sendet. Da die Kommunikation der Spyware mit ihrem "Informationsempfänger" mitunter zum Zweck der Verschleierung verschlüsselt ist, kann auch ein ansonsten im Netz ungenutztes Verschlüsselungsprotokoll Hinweise auf Spionageaktionen geben.

Typische Spyware- Symptome

  • Die Einstellungen der Homepage haben sich geändert.

  • Unbekannte Symbolleisten und Icons erscheinen.

  • Die Favoritenliste des Browsers zeigt Web-Seiten an, die dort nicht aktiv aufgenommen wurden.

  • Mehr Pop-ups als früher erscheinen am Bildschirm, viele davon stehen in keinem Zusammenhang mit frequentierten Web-Seiten.

  • Das System ist langsamer als gewöhnlich und braucht mehr Zeit zum Starten.

  • Dialogfenster von unbekannten Programmen fordern zu Eingaben auf.

  • Unerklärliche Fehlermeldungen häufen sich.

  • Der User gelangt nicht zur gewünschten Web-Seite, sondern wird automatisch an andere Sites weitergeleitet.

  • Die besuchten Seiten enthalten viele zusätzliche Hyperlinks.

  • Die Netzaktivität hat sich übermäßig erhöht - selbst bei angeblichem Leerlauf des Systems.