Was ist eigentlich ein Keylogger?

G DATA Ratgeber

Stellen Sie sich folgende Situation vor: Sie denken sich ein richtig sicheres Passwort aus und verstecken es an einem sicheren Ort, wo es niemand findet. Jetzt stellen Sie sich vor, jemand steht hinter Ihnen und schreibt sich einfach auf, welche Tasten Sie drücken, wenn Sie das Kennwort eingeben. Genau das macht ein Keylogger. Wie Sie Keylogger auf Ihrem Rechner erkennen und sich davor schützen können, erfahren Sie in diesem Artikel.

Wie funktionieren Keylogger?

Software Keylogger

Software-Keylogger sind Programme, die Tastenanschläge mitlesen. Sie registrieren heimlich jeden Tastendruck. Die meisten Software-Keylogger speichern die Tastenanschläge in einer Datei, die er entweder automatisch versendet oder die von außen abgerufen wird. Für das, was jeder so auf seiner Tastatur tippt, gibt es zahlreiche Interessenten. In erster Linie handelt es sich dabei um Kriminelle, die Daten wie Anmeldeinformationen und Passwörter in Erfahrung bringen wollen. Doch auch in der Welt der Spionage finden sich solche Keylogger. Sie werden beispielsweise von Industriespionen eingesetzt, um vertrauenswürdige Daten eines Unternehmens auszulesen, wie etwa interne Chats oder andere Kommunikationsinhalte, die nicht für die Außenwelt bestimmt sind.

Keylogger sind im Grunde genommen Spione, die sich unbemerkt zwischen das Betriebssystem und die Anwendung schalten und so alles Getippte mitlesen. Das hat für Kriminelle zum Beispiel den Vorteil, dass sie keine Verschlüsselungen umgehen müssen, da zum Zeitpunkt der Eingabe noch alles unverschlüsselt ist. Selbst Dinge wie Kreditkartennummern, Passwörter oder TAN-Nummern für das Onlinebanking sind bei der Eingabe im entsprechenden Fenster noch nicht verschlüsselt. Das passiert erst, wenn die Daten tatsächlich gesendet werden, also der Nutzer auf eine Schaltfläche wie „Anmelden“ oder „Überweisung durchführen“ klickt – ganz so wie jemand, der Ihnen heimlich über die Schulter schaut, wenn Sie am Geldautomaten Ihre PIN eingeben. Solche Keylogger sind oft Bestandteil von Schadsoftware und können daher in vielen Dingen enthalten sein: Von der vermeintlichen Rechnung per E-Mail, bis hin zu manipulierten Webseiten, die unbemerkt im Hintergrund einen solchen Spion auf dem System platzieren.

Keylogger in Ihrem Browser

Eine Unterart des Keyloggings erfordert jedoch nicht unbedingt das Mitlesen aller Tastatureingaben. Bei einem so genannten „Man-in-the-Browser“-Angriff wird der Browser manipuliert, indem ein Keylogger einige spezielle Speicherbereiche des Browsers verändert, um gezielt die Eingabefelder auf einer Internetseite mitlesen zu können. Die so erbeuteten Daten – Passwörter, TAN-Nummern und ähnliche Anmelde –Informationen - gehen ohne Umweg direkt zum Angreifer. Experten sprechen bei dieser Technologie von „Memory Injection“.

Der beste Schutz vor Keyloggern ist eine Zwei-Faktor-Authentifizierung. Diese ist zwar auch nicht unüberwindbar, macht es Angreifern aber wesentlich schwerer, die mit Hilfe des Keyloggers erbeuteten Daten zu verwenden. Ein Passwort allein reicht beim Einsatz dieser Art Absicherung nicht mehr aus, um sich anzumelden oder eine Zahlung zu autorisieren. Entweder muss der Anwender auf einem anderen Gerät per Tastendruck eine Aktion bestätigen oder eine separat generierte TAN-Nummer angeben. Diese wird etwa separat in einer Smartphone-App generiert oder per SMS verschickt und ist dann entweder nur für einen einzigen Vorgang gültig oder nur für eine begrenzte Zeit.

  • Hardware Keylogger

  • Diese sind im Alltag der meisten Menschen eher selten anzutreffen, sollen aber dennoch hier Erwähnung finden. Hardware-Keylogger sind kleine und unauffällige Geräte, die sich per USB an einem Computer anschließen lassen. Es gibt sie als Zwischenstecker, bei dem die Tastatur an einem Ende angeschlossen wird und der Keylogger selbst am Rechner eingestöpselt wird. Aus Sicht des Betriebssystems ist alles in Ordnung und es „sieht“ nur die Tastatur. Es gibt solche Keylogger jedoch auch als Modul, das direkt in eine Tastatur eingebaut werden kann. Einige Modelle verfügen sogar über eingebaute Mobilfunk- oder WLAN-Module. Diese Sorte Keylogger kann dann zum Beispiel in festgelegten Abständen eine Textdatei mit den Tastatureingaben per E-Mail an den Angreifer senden.

Hardware-Keylogger verlassen sich nicht auf die Installation oder Ausführung einer Schadsoftware, sondern funktionieren komplett autark. Aus Sicht der Angreifer hat ein Hardware-Keylogger einen großen Nachteil: Man muss diese selbst am Rechner einstecken. Dafür muss ein Täter für wenigstens einige Sekunden (oder Minuten) unbeobachtet sein, um keinen Verdacht zu erregen. Deshalb eignen sich diese Spionagegeräte auch nur für sehr gezielte Angriffe auf einzelne Personen. Auch lassen sich Hardware-Keylogger nur an PCs anschließen, deren Verkabelung nicht offen sichtbar ist. An einem Laptop wäre ein Einbau so gut wie unmöglich und beim Einsatz einer Dockingstation, die in der Regel auf dem Schreibtisch steht, wäre das Risiko entdeckt zu werden einfach zu hoch. 

Dem steht der Vorteil gegenüber, dass ein Angreifer sich keine Gedanken darüber machen muss, ob der angezapfte Computer über eine Internetverbindung verfügt. Deshalb finden diese Geräte auch eher bei Angriffen auf Unternehmen Verwendung. Je nach verwendetem Keylogger muss ein Angreifer das Gerät nicht einmal mehr wieder einsammeln, wenn er alle Informationen erbeutet hat, die er braucht und muss sich auch nicht sorgen, wenn das Gerät entdeckt wird. Wie wahrscheinlich das ist, kann jeder für sich selbst beantworten: Wie oft schauen Sie Zuhause oder auch im Büro hinter Ihren Rechner? Sollten Sie jedoch einmal ein solches Gerät entdecken, informieren Sie umgehend Ihre IT-Abteilung – werfen Sie es auf keinen Fall weg! Spuren an oder auf dem Gerät können hier wichtig sein, wenn es darum geht, den Angreifer zu identifizieren.

Wie schütze ich mich vor Keyloggern?

 

Wer Hardware an seinem Büro-PC entdeckt, die nicht selbst angeschlossen wurde: Informieren Sie sofort die IT-Abteilung und trennen das fragliche Gerät vom PC. Hardware-Keylogger lassen sich meist einfach erkennen und entfernen, außer jemand hatte die Zeit, an das Innenleben Ihres Computers zu kommen.

Software-Keylogger sind ohne eine Sicherheitssoftware kaum zu entdecken. Sie sind meist gut im System versteckt und werden oft im Verbund mit anderem Schadcode eingesetzt, wie etwa einer Komponente, die regelmäßig Screenshots vom System anfertigt. Hier hilft nur eine schlagkräftige Sicherheitslösung sowie die regelmäßige Installation von Sicherheitsupdates für das Betriebssystem.