Keylogger: Wenn der Tastaturspion mitliest

Stellen Sie sich vor, jede Tastatureingabe, die Sie auf Ihrem Rechner oder auf Ihrem Smartphone tätigen, wird von Cyberkriminellen insgeheim mitgelesen und aufgezeichnet: Jede Anmeldeinformation zu Ihrem Bankkonto, zu Ihrem E-Mail Account, zu Ihren Social Media Konten, sämtliche Suchanfragen und persönliche Daten. Ein Alptraum – aber mit einem Keylogger ist genau das möglich!

In unserem aktuellen Blogbeitrag stellen wir Ihnen nicht nur mit Snake eine aktuelle Keylogger-Malware Variante vor, sondern zeigen Ihnen auf, wie Keylogger funktionieren, worauf Sie unbedingt achten sollten, und wie Sie sich vor einem Keylogger-Angriff schützen können.

Die falsche Schlange: Keylogger Snake

Im Mai 2022 haben Sicherheitsexperten eine neue Cyberangriffswelle via E-Mail entdeckt, bei der Cyberkriminelle versuchen, eine frische Variante der bekannten und gefährlichen Keylogger-Malware Snake auf die Rechner ihrer Opfer zu schmuggeln. Dass die Opfer von der neuen Angriffsmasche nichts mitbekommen, liegt auch daran, dass der Keylogger einige trickreiche Umgehungstaktiken anwendet, um nicht entdeckt zu werden.

Statt Snake nämlich in einer Office-Datei zu verstecken, missbrauchen die Täter das unverdächtige PDF-Format. Darin eingebettet: ein DOCX-Dokument, welches ein Makro enthält, das für das Opfer gefährlich wird. Wer das PDF nämlich anklickt, erhält demnach nicht Informationen zu einer angeblichen Überweisung, sondern wird gebeten eine „verified“ (geprüfte) DOCX-Datei zu öffnen. Wer sich davon täuschen lässt, installiert sich eine modulare, überaus widerstandsfähige Malware, die persönliche Anmeldeinformationen wie Benutzernamen, Kennwörter und Bankdaten stiehlt, Screenshots erstellt und sogar Daten aus der Zwischenablage extrahiert.

Damit sich Snake aber überhaupt festsetzen kann, muss der Zielrechner zusätzlich eine Microsoft-Sicherheitslücke aufweisen. Allerdings hat Microsoft bereits 2017 (!) ein Patch für die unter dem Namen CVE-2017-11882 bekannte Sicherheitslücke veröffentlicht. Wer sich den Snake Keylogger demnach erst in den Folgejahren eingefangen hat, hat ganz offensichtlich die aktuellen Systemupdates nicht eingespielt.

Dennoch: Die ungewöhnliche Art, Malware über PDF zu verbreiten, zeigt einmal mehr, dass Cyberkriminelle immer kreativer werden, wenn es darum geht, neue Transportwege für ihre Schadsoftware zu finden. Zugleich ist es auch ein sehr effektiver Weg, da Anwendende PDF-Dateien tendenziell als sicherer empfinden als andere Dateitypen: Viele Internet-Nutzende reagieren auf E-Mails mit angehängten WORD- und Excel-Dateien aus unbekannten Quellen mit erhöhter Vorsicht.

Einfach und doch so mächtig: Das „Erfolgsrezept“ Keylogging

Seine Bezeichnung hat der Keylogger aus der Zusammensetzung der Worte „Keystroke Logger“ – zu Deutsch: „Tastenanschlag-Protokollierer“ (keystroke = Tastaturanschlag, to log = protokollieren).

Dementsprechend zeichnet ein Keylogger alles auf, was über die Computer-, Smartphone- oder Tablet-Tastatur eingegeben wird: Unterhaltungen in Messaging- und Social Media Programmen, besuchte Websites, E-Mails, Suchanfragen und persönliche Daten wie Passwörter und Kontoinformationen. Außerdem ist ein Keylogger in der Lage, Screenshots von PC-Aktivitäten zu erstellen. Keylogger können als Software oder als Hardware direkt auf dem jeweiligen Endgerät installiert werden. Passiert dies jedoch ohne das Wissen des Nutzenden, wird ein Keylogger schnell zum illegalen Tastaturspion.

Aufgrund seiner Eigenschaften wird ein Keylogger deshalb von Cyberkriminellen als Malware dazu verwendet, unbemerkt alle Tastatureingaben und Mausklicks ihrer Opfer aufzuzeichnen und diese erbeuteten Daten dann für ihre Zwecke zu missbrauchen. Die Idee, persönliche Daten direkt von der Tastatur abzugreifen, hat dabei einen simplen und entscheidenden Vorteil: In dem Moment, in dem das ahnungslose Opfer Passwörter und andere sensible Daten in ein Benutzerkonto eintippt, sind diese noch nicht verschlüsselt. Die Verschlüsselung erfolgt erst mit dem Klicken auf den „Absenden“ oder „Login“-Button.

Tatsächlich existieren Software-Tools, mit denen sich Tastatureingaben abfangen lassen, schon lange. Waren es einst sehr einfache kleine Programme, haben Cyberkriminelle im Laufe der Jahre eine Vielzahl an Keylogger-Varianten entwickelt und deren Fähigkeiten deutlich erweitert. Und wie der Snake Keylogger zeigt, wurden auch die Methoden, einen Computer zu infizieren, immer raffinierter.

Vorsicht: Keylogger gibt es auch als Hardware

Die Gefahr, mithilfe von Keyloggern ausspioniert zu werden, droht nicht nur auf dem PC oder Smartphone. Längst gibt es auch Hardware-Varianten, die als gewöhnliche Adapter, Sticks oder ähnlichem getarnt sind und ihren Einsatz sogar direkt am Bankautomaten finden: Wenngleich es Geldinstitute Kriminellen schwieriger gemacht haben, ihre Geldautomaten zu manipulieren, können findige Gauner dennoch Tastaturen entwickeln, die sie unauffällig auf dem echten Bedienfeld aufbringen. Für Bankkunden sind diese kaum erkennbar – und für Kriminelle sehr einfach, an Kontodaten wie PINs oder Kreditkartennummern zu gelangen.

Lassen Sie auch bei Benutzung öffentlich zugänglicher, fremder Rechner in Hotels, Bibliotheken oder Internetcafés Vorsicht walten, denn diese können mit einem USB-Keylogger versehen sein. Kontrollieren Sie deshalb fremde Rechner, ob ein solcher Stecker zwischen USB-Tastatur und Rechner steckt oder sogar an der Tastatur verlötet ist. Wie ein Software-Keylogger zeichnet auch ein USB-Keylogger alles auf, was Nutzende tippen und sendet diese Informationen an Dritte.

Wenngleich heutzutage die Wahrscheinlichkeit höher ist, Opfer eines Software-Keyloggers zu werden, stellen Hardware-Keylogger dennoch eine reale Gefahr dar.

Ursprünglich gar kein Hacker Tool

Um es vorweg zu sagen: In Deutschland ist der Einsatz eines Keyloggers nur auf dem eigenen Rechner erlaubt. Der Einsatz eines Keyloggers ist also durchaus legal, beispielsweise wenn er von Eltern eingesetzt wird, um die Aktivitäten ihrer Kinder während ihrer Zeit am Computer zu überwachen. Zudem kann ein Keylogger – Hardware-Keylogger in Form von USB-Keyloggern sind nahezu überall erhältlich und auch Keylogging-Software wird ganz legal angeboten – als Hilfsmittel zum Schutz der eigenen Daten und Passwörter bei Betriebssystem-Ausfällen verwendet werden.

Und tatsächlich war der ursprüngliche Verwendungszweck von Keyloggern ebenfalls nicht kriminell: Vor allem Forschungseinrichtungen wollten mit Keyloggern die Eingaben in Computersysteme erforschen und verbessern.

Wer jedoch andere Computer ohne Einverständnis des Nutzenden mit Keyloggern ausstattet – gleich, ob mit Hardware- oder Software-Keyloggern – macht sich nach §202a des Strafgesetzbuches strafbar. Dementsprechend ist es nach § 32 Abs. 1 BDSG beispielsweise auch unzulässig, einen Dienstrechner zur verdeckten Überwachung der eigenen Beschäftigten mit einem Keylogger auszustatten.

Der Einsatz eines Keyloggers ist damit per se nicht illegal – der Einsatzzweck und die Voraussetzungen entscheiden.

So gelangen Keylogger auf den Rechner

Keylogger können auf ganz unterschiedliche Weise auf einen PC, Tablet oder Smartphone gelangen. Ein häufiger Verbreitungsweg ist die E-Mail: Wer einen infizierten E-Mail-Anhang öffnet, kann sich die Malware schneller auf dem Rechner installieren, als ihm lieb ist. Keylogger können aber auch mit Downloads von unseriösen Websites auf das Endgerät gelangen oder über infizierte Popup-Werbung – getarnt als Browserplugin – in den Browser geladen werden.

Bei öffentlich zugänglichen Computern können Hacker zudem ein hardwarebasiertes Modul installieren, der alle Datei-Eingaben aufzeichnet. Häufig sind solche hardwarebasierten Keylogger verhältnismäßig einfach zu finden: Da diese meist als Steckverbindung zwischen Tastatur und Rechner gesetzt werden, lohnt sich eine Überprüfung der Verbindung vor Nutzung des Endgeräts. Sollte sich dort ein Modul befinden, entfernen Sie es sofort. Überprüfen Sie aber auch Tastaturen selbst auf veränderte Tasten oder sonstige Auffälligkeiten.

Warnsignale erkennen: Sie könnten sich einen Keylogger eingefnagen haben

Keylogger als Malware können sich tief in das Betriebssystem einnisten, beispielsweise auf Schnittstellen-Ebene oder im Kernel. Das macht Keylogger vor allem für Laien kaum aufspürbar. Dass diese kleinen Schadprogramme kaum Auffälligkeiten im Betrieb des Computers verursachen, erschwert die Suche nach ihnen zusätzlich. Warnsignale, dass Sie sich einen Keylogger eingefangen haben, können jedoch ein langsamer Browser sein, verzögerte Mausbewegungen oder Tastatureingaben oder ein verschwindender Cursor.

So schützen Sie sich vor Keyloggern

Der beste Keylogger-Schutz ist eine leistungsstarke Antivirus- und Anti-Spyware-Software, die Keylogger und andere Malware sofort nach ihrer Entdeckung entfernt und eine Infizierung verhindert.

Stellen Sie Ihre Firewall außerdem so ein, dass nur ausgewählte Anwendungen Zugriff auf das Internet erhalten. Dies verhindert, dass Keylogger aufgezeichnete Daten versenden können.

Wie das Beispiel des Snake-Keyloggers zeigt, halten Sie bitte Ihr Betriebssystem stets auf dem aktuellsten Stand und spielen Sie Sicherheitsupdates umgehend ein, um bekannt gewordene Sicherheitslücken zu schließen.

Bleiben Sie zudem stets skeptisch bei eingehenden E-Mails unbekannter Herkunft, prüfen Sie Anhänge vor dem Öffnen sorgsam und klicken Sie keine Download-Links.

Werbeblocker, auch Ad-Blocker genannt, in Browsern verhindern eine ungewollte Installation von Keyloggern über Popups.

Verwenden Sie ausschließlich Browser-Erweiterungen aus den jeweiligen App-Stores, denn Cyberkriminelle nutzen häufig auch Browser-Plugins, um Keylogger in Browsern zu installieren.

Schützen Sie Online-Konten durch eine Multi-Faktor-Authentifizierung. Erbeuten Cyber-Diebe über einen Keylogger Passwort und Benutzernamen nützen diese ihnen wenig, da ein weiterer Faktor notwendig ist, um Zugang zu einem Konto zu erhalten. Dieser weitere Faktor kann beispielsweise ein biometrisches Merkmal oder ein Zahlencode sein, der an ein anderes Endgerät, beispielsweise das Smartphone, gesendet wird.

Keylogger manuell aufspüren: So enttarnen Sie softwarebasierte Keylogger

Technisch versierte Nutzende können sich bei Verdacht einer Infektion Ihres Endgeräts auch selbst auf die Suche nach einem Keylogger begeben und diese entfernen: Sowohl der Task Manager als auch die Systemsteuerung sind zwei Anlaufpunkte. Bedenken Sie jedoch, dass Sie hier womöglich in wichtige Prozesse Ihres Rechners eingreifen und diese ungewollt beenden können.

Keylogger über den Task Manager aufspüren und deaktivieren
Ihr Task-Manager kann Ihnen helfen, einen eventuell vorhandenen Software-Keylogger aufzuspüren. Dieses Hilfsprogramm zeigt Ihnen an, welche Anwendungen und Hintergrundprozesse auf Ihrem PC oder Tablet im Moment ausgeführt werden. Fallen Ihnen unbekannte Programme auf, stellen Sie ruhig Nachforschungen an. Sollte es sich tatsächlich um ein potenziell gefährliches (oder auch unnötiges) Programm handeln, beenden Sie dieses. Dazu klicken Sie im Taskmanager mit der rechten Maustaste auf das Programm und wählen „Task beenden“. Prüfen Sie im Task Manager im nächsten Schritt in der Registerkarte „Start“ die Programme, die beim Computerstart gestartet werden. Sollten Ihnen auch hier ungewöhnliche Programme auffallen, die automatisch beim Computerstart aktiviert werden, deaktivieren Sie diese.

Keylogger in den Programmen deinstallieren
Auch die Einstellung „Apps & Funktionen“ oder alternativ „Programme und Funktionen“ – aufzurufen über die Systemsteuerung – kann Ihnen beim Aufspüren eines Software-Keyloggers helfen: Programme, die Ihnen hier verdächtig vorkommen oder nicht bekannt sind, können Sie durch klicken auf die rechte Maustaste deinstallieren. Prüfen Sie aber bitte zuvor – beispielsweise durch Nachforschungen im Internet – ob es sich wirklich um ein potentiell gefährliches oder unnötiges Programm handelt.

Keylogger in den temporären Dateien entdecken und löschen
Cyberkriminelle tarnen ihre Keylogger als seriöse Dateien, um diese möglichst lange vor einer Entdeckung zu schützen. Ein ideales Versteck ist der Temp-Ordner, der ohnehin unübersichtlich und voll ist. Ein aufmerksamer und regelmäßiger Blick in die temporären Dateien lohnt jedoch, denn hier können Sie die Schadprogramme aufspüren und löschen. Über „Einstellungen“ gelangen Sie zu dem temporären Dateiorder und klicken dort die Dateien an, die Sie entfernen möchten.

Fazit: Wachsamkeit und ein zuverlässiges Antiviren-Programm

Keylogger mögen ihre Hochzeit hinter sich haben, sind aber nach wie vor unterwegs. Eine Infektion mit einer Keylogging-Malware ist schwer zu entdecken – und wenn, dann erst, wenn die abgeschöpften Daten bereits übermittelt werden. Zwar können Keylogger manuell entfernt werden, jedoch ist der Vorgang tendenziell eher technisch versierten Nutzern vorbehalten.

Der beste Schutz vor den Tastaturspionen ist deshalb eine Kombination aus Technik und gesundem Menschenverstand: Wer seine Sicherheitssoftware aktuell hält und wachsam bleibt, braucht wenig Angst haben, sich eine Keylogging-Malware einzufangen. Haben Sie Fragen zum Thema IT-Security? Nehmen Sie gerne Kontakt zu uns auf.