Keylogger: Wie Angreifer Benutzereingaben aufzeichnen

Obwohl Keylogger manchmal legal eingesetzt werden können, werden sie in der Regel dazu verwendet, Ihre Daten zu illegalen Zwecken auszukundschaften. [...]

(c) pixabay.com

Was ist ein Keylogger? Ein Keylogger ist ein Tool, das die Aktivitäten eines Computerbenutzers bei der Interaktion mit dem Computer aufzeichnen und darüber berichten kann. Der Name ist eine Kurzversion von Keystroke Logger, wobei Keylogger vor allem aufzeichnen, was Sie tippen, während Sie es eingeben. Aber wie Sie sehen werden, gibt es verschiedene Arten von Keyloggern, und einige zeichnen ein breiteres Spektrum von Eingaben auf.

Jemand, der alles beobachtet, was Sie tun, mag unheimlich klingen, und Keylogger werden oft von böswilligen Hackern für zwielichtige Zwecke installiert. Aber es gibt auch legitime oder zumindest legale Verwendungszwecke für Keylogger: Eltern können sie einsetzen, um ihre Kinder online zu überwachen, und Arbeitgeber können auf ähnliche Weise ihre Angestellten im Auge behalten.

Was macht ein Keylogger?

Die Grundfunktion eines Keyloggers besteht darin, dass er aufzeichnet, was Sie eingeben, und diese Informationen auf die eine oder andere Weise an denjenigen zurückmeldet, der ihn auf Ihrem Computer installiert hat. (Da ein Großteil Ihrer Interaktionen mit Ihrem Computer – und mit den Personen, mit denen Sie über Ihren Computer kommunizieren – über Ihre Tastatur erfolgt, ist die Bandbreite der Informationen, die ein Keylogger auf diese Weise erlangen kann, wirklich riesig – von Kennwörtern und Bankdaten bis hin zu privater Korrespondenz.

Einige Keylogger gehen über die reine Protokollierung von Tastenanschlägen und die Aufzeichnung von Text hinaus und schnüffeln auch auf andere Weise. Für fortgeschrittene Keylogger ist es möglich,:

  • Protokollierung von Text aus der Zwischenablage, um Informationen aufzuzeichnen, die Sie aus anderen Dokumenten ausschneiden und einfügen
  • Aktivitäten wie das Öffnen von Ordnern, Dokumenten und Anwendungen aufzeichnen
  • Erstellen und Aufzeichnen von Bildschirmfotos mit zufälliger Zeitangabe
  • Abfrage des Textwerts bestimmter Bildschirmsteuerungen, was für das Abgreifen von Passwörtern nützlich sein kann

Welche Arten von Keyloggern gibt es und wie funktionieren sie?

Hinter dem Begriff „Keylogger“ verbirgt sich eine Vielzahl von Tools, von denen einige die gleichen Ergebnisse auf sehr unterschiedliche Weise erzielen. Wir werden die verschiedenen Arten genauer unter die Lupe nehmen und ein wenig darüber sprechen, wie sie funktionieren.

Die erste allgemeine Kategorie ist Keylogger-Software. Dabei handelt es sich um Programme, die auf Ihrem Gerät leben und Ihre Tastenanschläge und andere Aktivitäten aufzeichnen.

Der vielleicht häufigste Typ von Keylogger-Software ist ein Keylogger im Benutzermodus, manchmal auch als Keylogger auf API-Ebene bezeichnet. Diese Programme haben keine Verwaltungsrechte, können aber dennoch Informationen abfangen, die über die Anwendungsprogrammierschnittstellen (APIs) übertragen werden, über die verschiedene Anwendungen Tastatureingaben empfangen können. Unter Microsoft Windows verfolgen solche Keylogger die API-Funktionen GetAsyncKeyState oder GetKeyState und verwenden eine DLL, um die abgefangenen Daten aufzuzeichnen.

Keylogger auf Kernel-Ebene sind schwieriger zu erstellen und zu installieren, aber wenn sie einmal installiert sind, verankern sie sich im Betriebssystem selbst und sind daher schwieriger zu erkennen und zu beseitigen. Am anderen Ende des Spektrums gibt es Screen Scraper, die keine Tastatureingaben protokollieren, sondern die Screenshot-Funktionen des Computers nutzen, um Bildschirmtext aufzuzeichnen, und Keylogger auf Browserebene, die nur Text erkennen können, der in ein Browserformular eingegeben wird (aber wenn man bedenkt, wie viel von unserem Online-Leben in einem Webbrowser stattfindet, ist das immer noch ziemlich gefährlich).

Neben Keylogging-Software gibt es auch Keylogging-Hardware, darunter Aufzeichnungsgeräte, die in die Tastaturverkabelung selbst eingebaut werden können, oder ein Keylogging-Gerät, das wie ein USB-Stick aussieht und an einen Anschluss am Laptop oder Computer gesteckt wird. Es gibt auch Geräte, die die Bluetooth-Kommunikation zwischen einer drahtlosen Tastatur und einem Computer aufzeichnen können.

Eine besonders esoterische Version eines Keyloggers, die im Labor getestet wurde, ist ein akustischer Keylogger, der mit verblüffender Genauigkeit feststellen kann, was Sie tippen, nur aufgrund der Geräusche, die Ihre Finger auf den Tasten machen. Wesentlich einfacher ist die Idee der Aufzeichnung durch Dritte, die im Wesentlichen darin besteht, dass eine Kamera heimlich auf Ihren Bildschirm und Ihre Tastatur gerichtet wird.

Alle diese verschiedenen Arten von Keyloggern müssen die Daten irgendwo speichern; da die Festplatten heute viel größer sind als früher, ist es im Allgemeinen nicht schwer, einen Platz zu finden, an dem man sie unterbringen kann. Keylogging-Software sendet die gesammelten Informationen gelegentlich über das Internet zurück an denjenigen, der sie steuert, und tarnt die Daten manchmal, um ihre Aktivitäten zu verbergen. Auch Hardware-Keylogger sind dazu in der Lage, auch wenn sie manchmal von ihrem Kontrolleur persönlich abgeholt werden müssen.

Bevor wir fortfahren, sollten wir eine weitere Unterscheidung zwischen den verschiedenen Arten von Keyloggern treffen. Dabei geht es nicht darum, wie sie technisch funktionieren, sondern um ihre Legalität. Jede der oben genannten Arten von Keyloggern könnte von einem böswilligen Angreifer installiert werden, der Ihre persönlichen Daten oder Kennwörter stehlen möchte.

Wenn jedoch der Besitzer eines Geräts einen Keylogger auf seinem eigenen System installiert, werden die Dinge undurchsichtiger. Viele kommerzielle Keylogger werden an Eltern vermarktet, die die Online-Aktivitäten ihrer Kinder überwachen wollen, und dies wird im Allgemeinen als legal angesehen, wenn die Eltern Eigentümer der überwachten Computer sind. Keylogger sind auch häufig auf Computern in Schulen oder am Arbeitsplatz zu finden, und in den meisten Rechtssystemen der Vereinigten Staaten gelten sie als legal, wenn sie für legale Zwecke eingesetzt werden. Mit anderen Worten: Ihr Chef kann die von einem auf Ihrem Arbeitslaptop installierten Keylogger gesammelten Daten als Beweismittel verwenden, um Sie zu entlassen, wenn er herausfindet, dass Sie an einer nicht genehmigten Aktivität beteiligt sind. Aber es wäre trotzdem illegal, z. B. Ihre Bankpasswörter abzufangen, wenn Sie sich zufällig bei Ihrem Finanzinstitut am Arbeitsplatz anmelden.

Wie gelangt ein Keylogger auf Ihr System?

Ein physischer Keylogger muss physisch in einen Computer eingesteckt werden und erfordert daher direkten Zugriff, was eine knifflige Angelegenheit ist, die oft über Social-Engineering-Techniken oder einen kompromittierten Insider ausgeführt wird.

Die häufigste Art von illegalen Keyloggern ist jedoch die Software-Variante, die am besten als Keylogger-Malware bezeichnet werden kann. Da Keylogger so lukrative Daten sammeln können, gehören sie zu den häufigsten Malware-Payloads, die von Würmern, Viren und Trojanern verbreitet werden.

Die Art und Weise, wie ein Keylogger auf Ihr System gelangt, ist also die gleiche wie bei jeder anderen Art von Malware, und das bedeutet, dass Sie bei guter Cyber-Sicherheitshygiene in der Lage sein sollten, Keylogger-Software in Schach zu halten. Um dies zu tun, sollten Sie:

  • Achten Sie auf Phishing-E-Mails und öffnen oder laden Sie keine Anhänge herunter, wenn Sie nicht absolut sicher sind, woher sie stammen.
  • Ebenso sollten Sie keine Anwendungen herunterladen oder installieren, wenn sie nicht aus einer vertrauenswürdigen Quelle stammen. Das gilt auch für Browser-Navleisten, die eine häufige Angriffsfläche für Malware darstellen.
  • Halten Sie Ihren Computer mit aktueller Antiviren-Software sicher.

Wie man einen Keylogger erkennt

Wie können Sie feststellen, ob sich ein Keylogger auf Ihrem System befindet? Wenn es sich um einen Hardware-Keylogger handelt, sollten Sie natürlich nach der Hardware suchen. Wenn ein USB-Stick oder etwas anderes, das ungewöhnlich aussieht, an Ihren Computer angeschlossen ist, sollten Sie dies überprüfen. Wenn Sie mit einem Firmen-Desktop arbeiten, sollten Sie ab und zu die Rückseite überprüfen, um zu sehen, ob etwas Neues bzw. Merkwürdiges aufgetaucht ist.

Bei Software-Keyloggern gibt es einige Anzeichen, die Sie vielleicht selbst erkennen können. Keylogger können mitunter die Webleistung beeinträchtigen, ungewöhnliche Fehlermeldungen ausgeben und das Laden von Webseiten behindern. Dies sind alles Merkmale von Malware im Allgemeinen; manchmal können Sie einfach feststellen, dass mit Ihrem Computer etwas nicht stimmt. Keylogger-spezifische Anzeichen können Verzögerungen bei Mausbewegungen oder Tastatureingaben sein, bei denen das, was Sie eingeben, nicht so schnell auf dem Bildschirm erscheint, wie es sollte. Auf einem Smartphone bemerken Sie vielleicht, dass die Bildschirmfotos beeinträchtigt sind. (Ja, Keylogger können auf Smartphones installiert werden, genau wie jede andere Art von Malware).

Wenn jedoch ein Keylogger diese Art von sichtbaren Problemen auf Ihrem Computer verursacht, ist er wahrscheinlich nicht besonders gut. Das soll nicht heißen, dass Sie nie von einem Keylogger infiziert werden, der diese Symptome verursacht – es gibt viele Cyberkriminelle, die bereit sind, ihren Opfern schnell und einfach „gute“ Malware unterzuschieben. Machen Sie sich jedoch keine falschen Hoffnungen, nur weil Ihr Computer reibungslos funktioniert: Ein kommerzieller Keylogger oder ein Keylogger, der von einem geschickten Kriminellen oder einem nationalen Hacker implementiert wurde, kann im Hintergrund sein Unwesen treiben, ohne dass Sie es je merken. Deshalb ist eine gute Endpunkt-Sicherheitslösung so wichtig: Diese Plattformen suchen nach Keylogger-Code auf Ihrem Computer und werden ständig mit den neuesten Malware-Signaturen aktualisiert, damit sie neue Varianten erkennen können.

Auch Netzwerksicherheitssysteme spielen eine wichtige Rolle bei der Erkennung von Keyloggern. Denken Sie daran, dass die Daten irgendwie an den Keylogger-Controller zurückgelangen müssen, und im Allgemeinen werden sie über das Internet gesendet. Viele Keylogger geben sich zwar große Mühe, ihre Daten als normalen Internetverkehr zu tarnen, aber gute Netzwerksicherheitstools können sie aufspüren.

Dennoch sollten Sie immer auf die Möglichkeit vorbereitet sein, dass irgendwo auf Ihrem System ein Keylogger lauert. Ein guter Schutzmechanismus gegen potenzielles Ausspähen ist die Verwendung eines Kennwortmanagers, der Kennwörter auf sichere Weise in Browserfenster einträgt, so dass die meisten Keylogger sie nicht erkennen können.

Entfernen eines Keyloggers

Die schlechte Nachricht ist, dass Sie wahrscheinlich nicht in der Lage sein werden, einen Keylogger selbst zu entfernen. Auf einigen Websites wird empfohlen, den Task-Manager Ihres Betriebssystems oder die Liste der installierten Programme zu durchsuchen und alles zu löschen, was ungewöhnlich oder verdächtig aussieht. Das ist zwar keine schlechte Idee, aber ein Keylogger, der ein gewisses Maß an Raffinesse aufweist, wird in diesen Kontexten nicht sichtbar sein.

Die gute Nachricht ist, dass die meisten Sicherheitssuites für Endgeräte Malware nicht nur erkennen, sondern auch löschen. Wenn Sie nach Bewertungen von Anti-Keylogger-Software suchen, z. B. bei AntiVirus Guide [engl.] oder Best Antivirus Pro, finden Sie eine Liste der wichtigsten Anbieter von Antiviren- und Endgeräteschutzprogrammen wie McAfee, Kaspersky, Norton, Bitdefender usw. Wenn Sie ein Endgeräteschutzprogramm finden, das Ihnen gefällt, wird es mit ziemlicher Sicherheit auch Ihren Computer von Keylogger-Software befreien.

Geschichte der Keylogger: Beispiele und prominente Angriffe

Der älteste bekannte Keylogger stammt noch aus der Zeit vor dem Computerzeitalter. In den 1970er Jahren entwickelte der russische Geheimdienst ein Gerät, das in einer elektrischen IBM-Schreibmaschine versteckt werden konnte und Informationen über Tastenanschläge per Funk übermittelte; diese Geräte wurden in den Schreibmaschinen der diplomatischen Einrichtungen der USA in Moskau und Leningrad eingesetzt.

Der erste Computer-Keylogger wurde 1983 von dem damaligen Doktoranden Perry Kivolowitz als Proof of Concept entwickelt. Ein besonders bemerkenswertes Beispiel für einen Keylogger „in freier Wildbahn“ wurde 2015 mit einer Modifikation für Grand Theft Auto V [engl.] verbreitet. Im Jahr 2017 wurde festgestellt, dass Hunderte von Hewlett-Packard-Laptop-Modellen mit einem Keylogger ausgeliefert wurden, obwohl HP darauf bestand, dass es sich dabei um ein Tool zur Diagnose der Tastaturleistung handelte, das vor der Auslieferung hätte gelöscht werden müssen, und nicht um einen Angriff.

Zwei der in den letzten Monaten am weitesten verbreiteten Keylogger-Malware-Programme sind der Snake Keylogger und Phoenix, ein älteres Programm, das kürzlich mit neuen Funktionen wiederbelebt wurde. Beide Programme sind ein Beweis dafür, dass Cyberkriminelle in diesem Bereich innovativ sind – bleiben Sie also auf der Hut.

*Josh Fruhlinger ist Schriftsteller und Redakteur aus Los Angeles.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*