Malware
Oberbegriff für Schadsoftware, die Systeme infiltriert, Daten stiehlt oder IT-Infrastruktur sabotiert.
Malware — kurz für Malicious Software — ist der Oberbegriff für jede Software, die mit schädlicher Absicht entwickelt wurde. Dazu zählen Viren, Würmer, Trojaner, Ransomware, Spyware, Rootkits und Keylogger. Was sie verbindet: Sie dringen in Systeme ein, um Daten zu stehlen, Ressourcen zu missbrauchen oder den Betrieb zu sabotieren. In der Praxis begegnen wir Malware in nahezu jedem Incident-Response-Einsatz — oft als Werkzeug in einer mehrstufigen Angriffskette.
Kategorien von Malware
| Kategorie | Verhalten | Beispiele |
|---|---|---|
| Virus | Hängt sich an Dateien an, verbreitet sich durch Ausführung | Dateiinfektoren, Makroviren |
| Wurm | Verbreitet sich selbstständig über Netzwerke | Netzwerkwürmer, E-Mail-Würmer |
| Trojaner | Tarnt sich als legitime Software | RATs, Banking-Trojaner |
| Ransomware | Verschlüsselt Daten und erpresst Lösegeld | Doppelte Erpressung, RaaS |
| Spyware | Überwacht Nutzeraktivitäten verdeckt | Keylogger, Infostealer |
| Rootkit | Versteckt sich tief im System, sichert persistenten Zugriff | Kernel-Rootkits, Bootkit |
Infektionswege
Die häufigsten Einfallstore für Malware sind Phishing-E-Mails mit präparierten Anhängen oder Links, kompromittierte Webseiten (Drive-by-Downloads), infizierte Software-Updates in der Lieferkette und die Ausnutzung ungepatchter Schwachstellen (Zero-Day-Exploits oder bekannte CVEs). Wir finden in Assessments regelmäßig, dass gerade ältere Systeme mit ausstehendem Patch-Management als Einstiegspunkt dienen — oft Systeme, die als unkritisch eingestuft und deshalb vernachlässigt wurden.
Moderne Evasion-Techniken
Aktuelle Malware ist darauf ausgelegt, Sicherheitslösungen aktiv zu umgehen. Fileless Malware operiert ausschließlich im Arbeitsspeicher und hinterlässt keine Dateien auf der Festplatte. Living-off-the-Land-Techniken missbrauchen legitime Systemwerkzeuge wie PowerShell oder WMI, um unter dem Radar zu bleiben. Polymorphe Malware ändert ihren Code bei jeder Ausführung, um signaturbasierte Erkennung zu unterlaufen. Diese Techniken machen klassische Antivirenlösungen zunehmend unzureichend und erfordern verhaltensbasierte Erkennung durch EDR-Systeme.
Analyse und Erkennung
Malware-Analyse erfolgt auf zwei Ebenen: Statische Analyse untersucht den Code ohne Ausführung — etwa durch Disassemblierung, String-Analyse oder Prüfung von Hashfunktionen gegen bekannte Signaturen. Dynamische Analyse führt die Malware in isolierten Sandboxes aus und beobachtet ihr Verhalten — Netzwerkkommunikation, Registry-Änderungen, Dateizugriffe. In produktiven Umgebungen übernehmen EDR-Lösungen und SIEM-Systeme die Echtzeiterkennung durch Korrelation verdächtiger Ereignisse.
Prävention
Wirksamer Malware-Schutz erfordert mehrere Ebenen. Technisch bilden EDR mit verhaltensbasierter Erkennung, konsequentes Patch-Management, Netzwerksegmentierung und Application Whitelisting die Grundlage. Organisatorisch sind regelmäßige Awareness-Schulungen gegen Social Engineering und ein getesteter Incident-Response-Plan unverzichtbar. Der Grundsatz Defense in Depth gilt hier besonders: Keine einzelne Maßnahme fängt alle Varianten ab.
Relevanz für KMUs
Kleine und mittlere Unternehmen sind keineswegs zu unbedeutend für gezielte Malware-Angriffe — im Gegenteil: Automatisierte Kampagnen treffen Unternehmen jeder Größe. Gleichzeitig fehlen KMUs häufig die Ressourcen für eigene Security-Teams. Eine Kombination aus modernem Endpunktschutz (EDR), regelmäßigen Schwachstellenprüfungen und grundlegender Netzwerksegmentierung schafft eine solide Basis. Wer zusätzlich einen Incident-Response-Plan vorbereitet hat, kann im Ernstfall schnell und strukturiert reagieren, statt wertvolle Stunden zu verlieren.