Was sind Trojaner?
Trojanische Pferde sind Programme, die neben scheinbar nützlichen auch nicht dokumentierte, schädliche Funktionen enthalten und diese unabhängig vom Computer-Anwender und ohne dessen Wissen ausführen. Im Gegensatz zu Computer-Viren können sich Trojanische Pferde jedoch nicht selbständig verbreiten.
Schadensfunktionen
Trojanische Pferde sind bereits seit den Anfängen der Computernutzung mit Großrechnern bekannt. Bei Personal-Computern waren sie aber jahrelang nicht in nennenswertem Umfang aufgetreten. Bei den Großrechnern ist die Nutzung mit hohen Kosten verbunden, weshalb man den Betrieb zumeist für viele vernetzte Arbeitsplätze gleichzeitig ermöglicht.
Die Abrechnung der Kosten erfolgt dann entsprechend der in Anspruch genommenen Rechenzeit. Es kamen daher schon vor Jahrzehnten Trojanische Pferde auf, mit deren Hilfe es möglich war, die Rechner auf Kosten anderer Anwender zu nutzen. Hierzu ist meist nur die Kenntnis des Passwortes sowie der Anmeldename für den Zugriff erforderlich. Dieses wird mittels heimlich installiertem "Password-Sniffer" beim Einloggen protokolliert und ermöglicht dann dem Angreifer die unberechtigte Nutzung. Der Password-Sniffer hat natürlich das Erscheinungsbild des normalen Login-Programms, sodass der berechtigte Anwender von der Manipulation nichts merkt.
Wenn man berücksichtigt, dass in Betrieben und den Dienststellen der öffentlichen Verwaltung heute überall solche Computer für die unterschiedlichsten Aufgaben eingesetzt werden, bestehen vor allem folgende Gefahren:
Der Schutz vertraulicher Daten auf vernetzten Computern (z.B. Personalangelegenheiten, Konstruktionsunterlagen, Kalkulationsdaten usw.) ist bei Befall mit Trojanischen Pferden oder Computer-Viren nicht mehr gesichert. Diese Daten können verändert, gelöscht oder ausgeforscht und über das Netz an den Angreifer verschickt werden. Dieser "Datendiebstahl" kann unbemerkt bleiben, weil im Gegensatz zum Diebstahl materieller Dinge nichts fehlt!
Computer erbringen Dienstleistungen wie z.B. Fahrplanauskünfte. Die korrekte Arbeitsweise dieser Computer kann durch entsprechende Manipulationen verhindert werden.
Bei der Nutzung von Computern durch Unbefugte können hohe Kosten an anderer Stelle (z.B. Telefongebühren) entstehen.
Abhilfe:
Manuelle Untersuchung / Beseitigung
Genau wie bei der Bekämpfung von Computer-Viren kann es passieren, dass ein neues Trojanisches Pferd vom aktuellen Schutzprogramm nicht erkannt wird. Bei solchen Trojanischen Pferden, die z.B. den Computer ausspionieren und die Daten über das Netz verschicken, sind aber durchaus eine Erkennung ohne Hilfsmittel und die manuelle Entfernung möglich. Dies beruht auf der bekannten Arbeitsweise solcher Programme.
Übliche Programme dieser Art bestehen aus zwei Teilen, einem "Server" auf dem Computer des Opfers und einem "Client" auf dem des Angreifers. Der Angreifer verschickt den Server in Form einer ausführbaren Datei (z.B. XYZ.EXE) als Anhang einer E-Mail an Adressen, die er im Internet findet. Ob der Empfänger die Datei startet und damit zum Opfer wird, kann er nur feststellen, wenn das Trojanische Pferd danach eine E-Mail zurück schickt. Dies geschieht selten sofort. Meistens trägt sich das Programm zunächst nur in der Windows-Registrierungsdatei so ein, dass es bei jedem Start des Rechners aktiviert wird. Es prüft dann auf einem Kommunikationskanal nur, ob es über das Netz kontaktiert wird.
Dieser Kommunikationskanal ist durch die IP-Adresse des Computers im Netz und durch die sogenannte Port-Adresse des Programms auf dem Computer charakterisiert. Der Angreifer muss nun das Netz nach Rechnern mit solchen aktivierten Servern durchsuchen ("scannen") um festzustellen, ob einer der Empfänger die Datei gestartet hat.
Das Durchsuchen des Netzes ist auch deshalb nötig, weil die IP-Adressen den E-Mail-Adressen nur bei größeren Betrieben und Einrichtungen fest zugeordnet sind. Bei kleineren und Privatanwendern werden die IP-Adressen dem jeweiligen Computer erst bei der Anmeldung am Netz durch den Online-Dienst dynamisch zugeordnet. Diese Zuordnung von (konstanten) E-Mail-Adressen zu (veränderlichen) IP-Adressen erledigt ein Computer des Online-Dienstes. Das ist kein Problem, weil der Anwender sie nicht wissen muss, denn er arbeitet mit den E-Mail-Adressen. Die Port-Adresse, auf der das Schadensprogramm "lauscht", ist dagegen konstant. Hiermit kann das Trojanische Pferd erkannt werden! Der Angreifer hat natürlich keinen Zugriff auf die dynamische Verteilung der IP-Adressen durch den Online-Dienst und durchsucht deshalb ganze Bereiche von IP-Adressen. Dabei adressiert er immer das Port seines Trojanischen Pferdes, bis ein Computer aus dem Netz antwortet. Nun hat der Angreifer Zugriff auf den befallenen Computer.
Schadensfunktionen
Trojanische Pferde sind bereits seit den Anfängen der Computernutzung mit Großrechnern bekannt. Bei Personal-Computern waren sie aber jahrelang nicht in nennenswertem Umfang aufgetreten. Bei den Großrechnern ist die Nutzung mit hohen Kosten verbunden, weshalb man den Betrieb zumeist für viele vernetzte Arbeitsplätze gleichzeitig ermöglicht.
Die Abrechnung der Kosten erfolgt dann entsprechend der in Anspruch genommenen Rechenzeit. Es kamen daher schon vor Jahrzehnten Trojanische Pferde auf, mit deren Hilfe es möglich war, die Rechner auf Kosten anderer Anwender zu nutzen. Hierzu ist meist nur die Kenntnis des Passwortes sowie der Anmeldename für den Zugriff erforderlich. Dieses wird mittels heimlich installiertem "Password-Sniffer" beim Einloggen protokolliert und ermöglicht dann dem Angreifer die unberechtigte Nutzung. Der Password-Sniffer hat natürlich das Erscheinungsbild des normalen Login-Programms, sodass der berechtigte Anwender von der Manipulation nichts merkt.
Wenn man berücksichtigt, dass in Betrieben und den Dienststellen der öffentlichen Verwaltung heute überall solche Computer für die unterschiedlichsten Aufgaben eingesetzt werden, bestehen vor allem folgende Gefahren:
Der Schutz vertraulicher Daten auf vernetzten Computern (z.B. Personalangelegenheiten, Konstruktionsunterlagen, Kalkulationsdaten usw.) ist bei Befall mit Trojanischen Pferden oder Computer-Viren nicht mehr gesichert. Diese Daten können verändert, gelöscht oder ausgeforscht und über das Netz an den Angreifer verschickt werden. Dieser "Datendiebstahl" kann unbemerkt bleiben, weil im Gegensatz zum Diebstahl materieller Dinge nichts fehlt!
Computer erbringen Dienstleistungen wie z.B. Fahrplanauskünfte. Die korrekte Arbeitsweise dieser Computer kann durch entsprechende Manipulationen verhindert werden.
Bei der Nutzung von Computern durch Unbefugte können hohe Kosten an anderer Stelle (z.B. Telefongebühren) entstehen.
Abhilfe:
 | Schulung für umsichtiges Verhalten der Anwender Wie schon dargestellt, können sich Trojanische Pferde nicht selbständig verbreiten. Im Regelfall muss daher der Anwender aktiv werden, und z.B. auf eine .EXE-Datei "klicken" die als Anhang an einer E-Mail liegt. Die Anwender müssen daher dahingehend geschult werden, dass möglichst nur dann Dateien, die Programmcode enthalten können, als Anhang verschickt werden, wenn dies vorher telefonisch abgestimmt wurde. Anderenfalls ist nicht auszuschließen, dass die Datei von einem Computer-Virus oder einem potentiellen Angreifer stammt. Ähnlich den unverlangt zugeschickten e-Mails (z.B. Werbung, sogenanntes SPAM), werden auch Trojanische Pferde oft an E-Mail-Adressen verschickt, die sich z.B. auf den öffentlichen Internet-Seiten eines Unternehmens oder einer Dienststelle befinden können. Die Anwender müssen wissen, dass das Anklicken von Dateien im Anhang einer E-Mail immer mit Gefahr verbunden sein kann. |
| Viren-Schutzprogramme Die Schutzprogramme gegen Computer-Viren erkennen meist auch die verbreitetsten Trojanischen Pferde. Wichtig beim Einsatz dieser Programme ist deren Aktualität, denn es erscheinen täglich neue Viren und Trojanische Pferde. Zum Glück können sich nur wenige stärker verbreiten, bevor sie in die Schutzprogramme eingearbeitet sind und diese sie erkennen. Das Schutzprogramm muss auf den Computern aller Anwender aktiv, im Speicher resident arbeiten. Nützlich ist auch der Einsatz von Viren-Schutzprogrammen auf den Servern, jedoch werden hier verschlüsselte, mit Kennwort oder mit weniger bekannten Programmen komprimierte Viren und Trojanische Pferde nicht gefunden. Auf dem Arbeitsplatz-PC dagegen finden die Schutzprogramme solche Schadensprogramme nach dem Entpacken oder Entschlüsseln sehr wohl. |
| Einstellungen Moderne E-Mail-Programme wie Outlook oder die entsprechenden Teile der Internet-Browser (z.B. Netscape Messenger) erlauben es, ausführbaren Programmcode in Form von Java-Script, HTML-Code usw. oder den Aufruf von Funktionen des Betriebssystems direkt in die Nachricht einzubauen. Dadurch können auch schädliche Programme, wie Trojanische Pferde und Computer-Viren ablaufen, ohne dass der Anwender darauf Einfluss hat. Die Ausführung dieser sogenannten aktiven Inhalte lässt sich deshalb auch in den Programmen abschalten. Dies wird vom BSI schon seit langem empfohlen Bei einigen Betriebssystemen, wie z.B. Novell Netware oder Windows NT, lassen sich die Rechte der Anwender zum Zugriff auf die Daten oder Programme einschränken. Dies kann die Sicherheit gegen Missbrauch erhöhen. denn meist hat die Software nur die Rechte des Nutzers, der sie startet. Es werden auch öfters Sicherheitslücken in den E-Mail-Programmen und Browsern bekannt, mit denen unerwünschte Manipulationen möglich sind. Zumeist ist unmittelbar nach Bekanntwerden solcher Dinge auch eine Lösung des Herstellers der Programme verfügbar, die den Fehler behebt. Auch hier gilt die Forderung, Programme auf dem aktuellen Stand zu halten und Sicherheits-Updates kurzfristig einzusetzen. |
Manuelle Untersuchung / Beseitigung
Genau wie bei der Bekämpfung von Computer-Viren kann es passieren, dass ein neues Trojanisches Pferd vom aktuellen Schutzprogramm nicht erkannt wird. Bei solchen Trojanischen Pferden, die z.B. den Computer ausspionieren und die Daten über das Netz verschicken, sind aber durchaus eine Erkennung ohne Hilfsmittel und die manuelle Entfernung möglich. Dies beruht auf der bekannten Arbeitsweise solcher Programme.
Übliche Programme dieser Art bestehen aus zwei Teilen, einem "Server" auf dem Computer des Opfers und einem "Client" auf dem des Angreifers. Der Angreifer verschickt den Server in Form einer ausführbaren Datei (z.B. XYZ.EXE) als Anhang einer E-Mail an Adressen, die er im Internet findet. Ob der Empfänger die Datei startet und damit zum Opfer wird, kann er nur feststellen, wenn das Trojanische Pferd danach eine E-Mail zurück schickt. Dies geschieht selten sofort. Meistens trägt sich das Programm zunächst nur in der Windows-Registrierungsdatei so ein, dass es bei jedem Start des Rechners aktiviert wird. Es prüft dann auf einem Kommunikationskanal nur, ob es über das Netz kontaktiert wird.
Dieser Kommunikationskanal ist durch die IP-Adresse des Computers im Netz und durch die sogenannte Port-Adresse des Programms auf dem Computer charakterisiert. Der Angreifer muss nun das Netz nach Rechnern mit solchen aktivierten Servern durchsuchen ("scannen") um festzustellen, ob einer der Empfänger die Datei gestartet hat.
Das Durchsuchen des Netzes ist auch deshalb nötig, weil die IP-Adressen den E-Mail-Adressen nur bei größeren Betrieben und Einrichtungen fest zugeordnet sind. Bei kleineren und Privatanwendern werden die IP-Adressen dem jeweiligen Computer erst bei der Anmeldung am Netz durch den Online-Dienst dynamisch zugeordnet. Diese Zuordnung von (konstanten) E-Mail-Adressen zu (veränderlichen) IP-Adressen erledigt ein Computer des Online-Dienstes. Das ist kein Problem, weil der Anwender sie nicht wissen muss, denn er arbeitet mit den E-Mail-Adressen. Die Port-Adresse, auf der das Schadensprogramm "lauscht", ist dagegen konstant. Hiermit kann das Trojanische Pferd erkannt werden! Der Angreifer hat natürlich keinen Zugriff auf die dynamische Verteilung der IP-Adressen durch den Online-Dienst und durchsucht deshalb ganze Bereiche von IP-Adressen. Dabei adressiert er immer das Port seines Trojanischen Pferdes, bis ein Computer aus dem Netz antwortet. Nun hat der Angreifer Zugriff auf den befallenen Computer.
Letztes Update: 12:59 28/05 2004 |