Was ist ein Keylogger?

Moderne Schadprogramme bestehen meist aus mehreren verschiedenen Komponenten mit unterschiedlichen Aufgaben. Diese Programme ähneln eher Schweizer Armeemessern als üblicher Software. Sie ermöglichen den Angreifern, verschiedene Aktionen auf kompromittierten PCs auszuführen.

Moderne Schadprogramme bestehen meist aus mehreren verschiedenen Komponenten mit unterschiedlichen Aufgaben. Diese Programme ähneln eher Schweizer Armeemessern als üblicher Software. Sie ermöglichen den Angreifern, verschiedene Aktionen auf kompromittierten PCs auszuführen. Eine Komponente, die in solchen Programmsammlungen meist vertreten ist, ist der Keylogger – ein spezialisiertes Tool, das jede Tastatureingabe auf dem Computer mitschreibt und dem Angreifer damit die Möglichkeit gibt, eine große Menge vertraulicher Informationen zu stehlen, ohne dabei aufzufallen.

Keylogger: Definition
Ein Keylogger ist ein Stück Software, das auf einem infizierten Computer Tastatureingaben aufnehmen kann. Das Programm sitzt meist zwischen der Tastatur und dem Betriebssystem, und schaltet sich, ohne dass der Anwender es merkt, in die Kommunikation zwischen den beiden Komponenten ein. Der Keylogger kann die abgefangenen Daten entweder lokal auf dem infizierten Rechner speichern oder sie an einen entfernten PC schicken, der ebenfalls von dem Angreifer kontrolliert wird, falls der Keylogger Funktionen zur externen Kommunikation hat. Auch wenn der Begriff Keylogger normalerweise in Bezug auf Schadprogramme verwendet wird, gibt es auch legale Überwachungsprogramme mit Keylogger-Funktionen, die von Strafvervolgungsbehörden genutzt werden.

Keylogger-Varianten
Auch wenn es viele verschiedene Keylogger-Varianten gibt, kann man alle in zwei Hauptkategorien einteilen: Software-basierte und Hardware-basierte Keylogger. Am meisten verwendet werden die Software-basierten Keylogger, die meist als Teil einer umfangreicheren Schadsoftware installiert werden, etwa als Teil eines Trojaners oder Rootkits. Dieser ist auch leichter auf einem Opferrechner zu installieren, da man dafür normalerweise keinen physikalischen Zugang zu dem Gerät benötigt. Eine verbreitete Art des Software-Keyloggers bietet die Möglichkeit, eine API auf dem Opferrechner vorzutäuschen, wodruch der Keylogger jeden Tastendruck ohne Verzögerung protokollieren kann. Es gibt auch noch Keylogger auf Ebene des Kernels, Man-in-the-Browser-Keylogger und einige viel komplexere Varianten.

Hardware-basierte Keylogger werden nicht so häufig eingesetzt, da es schwerer ist, sie auf Opferrechnern zu installieren. Denn dafür müssten die Angreifer physikalischen Zugang zum entsprechenden Computer bekommen, entweder bei der Herstellung oder nach der Auslieferung. Manche Hardware-Varianten können während der Herstellung installiert werden, inklusive Keylogger auf BIOS-Ebene. Ein böswilliger Insider kann so einen Keylogger direkt in der Fabrik installieren. Andere Hardware-Keylogger kommen als USB-Sticks oder gefälschte Tastatur-Anschlüsse, die zwischen dem Tastaturkabel und dem PC sitzen. Auch wenn sie schwerer zu installieren sind, sind Hardware-Keylogger flexibler einsetzbar, da sie unabhängig vom Betriebssystem arbeiten.

Ein Keylogger ist eine Software oder Hardware, die die Tastatureingaben eines kompromittierten Computers aufnehmen kann.

Infektionsmethoden
Software-Keylogger kommen meist als Teil eines größeren Schadprogramms. Die Opfer-Computer können über einen Drive-by-Download auf einer schädlichen Webseite infiziert werden, die Sicherheitslücken auf dem PC ausnutzt und den Schädling installiert. Keylogger werden in manchen Fällen auch als Teil legitimer Programm-Downloads installiert, entweder durch Kompromittierung des Downloadkanals oder durch Einbau des Schadprogramms in die herunter geladene Software selbst. Hardware-basierte Keylogger werden dagegen normalerweise von einem Angreifer installiert, der direkten Zugang zum Opferrechner hat.

Entfernung
Keylogger sind nicht leicht zu entdecken, da sie sich normalerweise nicht wie andere Schadprogramme verhalten. Sie suchen weder nach wertvollen Daten auf dem Opferrechner und schicken diese an einen Command-and-Control-Server, noch versuchen sie, Daten auf dem Computer zu zerstören. Keylogger sind so programmiert, dass sie sich still halten und dadurch nicht entdeckt werden. Antiviren-Programme können nach den bekannten Keylogger-Varianten suchen und diese entfernen. Allerdings sind maßgeschneiderte Keylogger oder Keylogger, die für einen bestimmten Angriff programmiert wurden, schwer aufzuspüren. Denn sie werden vielleicht nicht direkt als schädliche Software erkannt, je nachdem, wie sie sich auf dem infizierten Computer verhalten. Wenn ein Anwender den Verdacht hat, dass sein Computer mit einem Keylogger infiziert ist, gibt es verschiedene Möglichkeiten, den Schädling zu überlisten.  Vor allem sollte der PC von einer CD oder einem USB-Laufwerk gestartet werden. Man kann zudem auch eine virtuelle Bildschirmtastatur verwenden, so dass der Keylogger die Eingaben, die über diese virtuelle Tastatur gemacht werden, nicht mitschneiden kann.

Tipps