Wie funktionieren Backdoor-Attacken?
Mit einer Backdoor-Attacke (Attacke durch die Hintertür) öffnen Angreifer eine Hintertür zu einem System und verschaffen sich so unbemerkt Zugriff. Aus Sicht des Angreifers bekommt das Opfer idealerweise vom Angriff gar nichts mit und die Hintertür bleibt lange geöffnet. Ein Backdoor-Schadprogramm umgeht vorhandene Sicherheits- sowie Authentisierungsmaßnahmen und ermöglicht dem Cyberkriminellen das Ausspionieren persönlicher Daten oder Installieren weiterer Schadprogramme. Die Installation erfolgt unter anderem über Viren, Würmer oder Trojanische Pferde, die in diesem Fall nur als Hilfsprogramm für die unbemerkte Installation der Backdoor dienen. Wird der Virus, Wurm oder Trojaner gelöscht, kann die Backdoor weiterhin aktiv sein und dem Angreifer uneingeschränkten Zugriff zum System gewähren.
Ein Beispiel für eine klassische Backdoor ist das Universalpasswort für das BIOS des Herstellers Award, auf ein passwortgeschütztes BIOS konnte man immer unter Verwendung des Generalpassworts „lkwpeter“ zugreifen. Nach der Installation vieler Programme gibt es Default-Passwörter, die der Anwender sofort ändern muss. Andernfalls dienen diese Angreifern als Backdoor und sie können sich unbemerkt Zugriff verschaffen. Unabhängig davon, ob eine Backdoor von den Software-Entwicklern für administrative Zwecke implementiert oder von Cyberkriminellen eingeschleust wurde, geht von dieser immer ein Sicherheitsrisiko aus.
Woran erkenne ich Backdoor-Attacken?
Öffnet der Computer Programme plötzlich nur noch langsam? Zeigt der Task-Manager einen hohen Upload an, obwohl der Rechner gerade inaktiv ist? Möglicherweise wird der Computer zum Verschicken von Spam oder weiterverbreiten eines Wurms missbraucht. Zeigt das System ein anderes ungewohntes Verhalten, ist das Laufwerk im Ruhezustand sehr aktiv oder befinden sich verdächtige Dateien in den Verzeichnissen? Cyberkriminelle verschaffen sich mithilfe von Backdoor-Attacken Zugriff auf ein System und nutzen dieses für eigene Zwecke aus. Bei erhöhter Laufwerksaktivität sucht unter Umständen gerade ein Wurm nach Passwörtern und anderen interessanten Dokumenten. Große Mengen an Datenpaketen von einer IP-Adresse können ein Hinweis auf einen laufenden Angriffsversuch sein, die eingerichtete Firewall sollte diese protokollieren. Neben dem Datendiebstahl ist die Integration des Computers in ein großes Bot-Netz ein häufiges Ziel der Angreifer, die damit kriminelle Ziele verfolgen. In solch einem Fall verschickt der Hacker zum Beispiel zu einem festgelegten Zeitpunkt einen Befehl an alle infizierten Rechner und in der Folge richten die Systeme massenhaft Anfragen an einen anderen Computer. Dieser soll unter der plötzlichen Anfragelast den Dienst einstellen, die Angriffsform nennt man Denial-of-Service-Attacke (DoS-Angriff). Der Zusammenschluss vieler gekaperter Rechner zu einem Bot-Netz vervielfacht die Schlagkraft solch einer Attacke und erschwert die Identifikation des eigentlichen Urhebers des Angriffs.
Der Einsatz einer Firewall mit Reporting- und Logging-Funktion kann beim Aufspüren von installierten Hintertüren helfen. Wenn die IP-Adresse des Remote-Rechners identifiziert werden kann, hat das Opfer eine Chance auf die Ergreifung des Angreifers, da die Internet-Provider die User in der Regel in einer Logdatei erfassen. Häufig verstecken Angreifer die Backdoors mithilfe von Rootkits und sind dann für die Sicherheits-Lösungen nur sehr schwer zu finden. Die Backdoor ist dabei in vielen Fällen nicht im eigentlichen Schädling untergebracht, sondern wird nachträglich über eine Nachladefunktion installiert. Dann finden die Virenprogramme zwar in vielen Fällen den Urheber (Trojaner, Virus oder Wurm), können jedoch die Backdoor nicht finden und beseitigen.
Nach einem erkannten Angriff ist der Rechner sofort vom Netz zu trennen, dadurch wird die Verbindung zum Angreifer gekappt und die weitere Ausbreitung des Schadens verhindert. Der sicherste Weg der Beseitigung ist letztlich eine komplette Neuinstallation des Betriebssystems.
Wie kann ich mich vor Backdoor-Attacken schützen?
Meist ist der Anwender die Fehlerquelle und hat ein schädliches Programm ausgeführt oder im Internet auf einen schadhaften Link geklickt. Die Angreifer tarnen schädliche Programme für Backdoor-Attacken zum Beispiel in E-Mails mit Anhang oder einem Link, bei E-Mails mit unbekanntem Absender oder irritierendem Inhalt ist daher immer Vorsicht geboten. Um einer Attacke vorzubeugen, ist umsichtiges Surfen eine wichtige Regel und nicht blindes Vertrauen in die Firewall und Antiviren-Software. ActiveX und JavaScript sollten beim Surfen im Netz per Default deaktiviert sein und nur für vertrauenswürdige Webseiten aktiviert werden. Auch E-Mails von Freunden und Bekannten stellen ein Risiko dar, häufig verbreiten sich die schadhaften Programme über das Adressbuch eines infizierten Systems automatisch weiter. Einer ungewöhnlichen E-Mail oder einer seltsamen Nachricht in Skype oder WhatsApp ist daher mit größter Vorsicht zu begegnen, im Zweifel ruft man am besten den Absender an und fragt nach. Manche Programme verfügen nach der Installation über ein Default-Passwort, das in jedem Fall sofort geändert werden muss. Sinnvoll ist es auch für den Alltag einen Benutzer mit sehr eingeschränkten Rechten anzulegen und das Installieren neuer Programme zu unterbinden.