IT-Lexikon
Cybersecurity

Malware

Oberbegriff für Schadsoftware, die Systeme infiltriert, Daten stiehlt oder IT-Infrastruktur sabotiert.

Malware — kurz für Malicious Software — ist der Oberbegriff für jede Software, die mit schädlicher Absicht entwickelt wurde. Dazu zählen Viren, Würmer, Trojaner, Ransomware, Spyware, Rootkits und Keylogger. Was sie verbindet: Sie dringen in Systeme ein, um Daten zu stehlen, Ressourcen zu missbrauchen oder den Betrieb zu sabotieren. In der Praxis begegnen wir Malware in nahezu jedem Incident-Response-Einsatz — oft als Werkzeug in einer mehrstufigen Angriffskette.

Kategorien von Malware

Kategorie Verhalten Beispiele
Virus Hängt sich an Dateien an, verbreitet sich durch Ausführung Dateiinfektoren, Makroviren
Wurm Verbreitet sich selbstständig über Netzwerke Netzwerkwürmer, E-Mail-Würmer
Trojaner Tarnt sich als legitime Software RATs, Banking-Trojaner
Ransomware Verschlüsselt Daten und erpresst Lösegeld Doppelte Erpressung, RaaS
Spyware Überwacht Nutzeraktivitäten verdeckt Keylogger, Infostealer
Rootkit Versteckt sich tief im System, sichert persistenten Zugriff Kernel-Rootkits, Bootkit

Infektionswege

Die häufigsten Einfallstore für Malware sind Phishing-E-Mails mit präparierten Anhängen oder Links, kompromittierte Webseiten (Drive-by-Downloads), infizierte Software-Updates in der Lieferkette und die Ausnutzung ungepatchter Schwachstellen (Zero-Day-Exploits oder bekannte CVEs). Wir finden in Assessments regelmäßig, dass gerade ältere Systeme mit ausstehendem Patch-Management als Einstiegspunkt dienen — oft Systeme, die als unkritisch eingestuft und deshalb vernachlässigt wurden.

Moderne Evasion-Techniken

Aktuelle Malware ist darauf ausgelegt, Sicherheitslösungen aktiv zu umgehen. Fileless Malware operiert ausschließlich im Arbeitsspeicher und hinterlässt keine Dateien auf der Festplatte. Living-off-the-Land-Techniken missbrauchen legitime Systemwerkzeuge wie PowerShell oder WMI, um unter dem Radar zu bleiben. Polymorphe Malware ändert ihren Code bei jeder Ausführung, um signaturbasierte Erkennung zu unterlaufen. Diese Techniken machen klassische Antivirenlösungen zunehmend unzureichend und erfordern verhaltensbasierte Erkennung durch EDR-Systeme.

Analyse und Erkennung

Malware-Analyse erfolgt auf zwei Ebenen: Statische Analyse untersucht den Code ohne Ausführung — etwa durch Disassemblierung, String-Analyse oder Prüfung von Hashfunktionen gegen bekannte Signaturen. Dynamische Analyse führt die Malware in isolierten Sandboxes aus und beobachtet ihr Verhalten — Netzwerkkommunikation, Registry-Änderungen, Dateizugriffe. In produktiven Umgebungen übernehmen EDR-Lösungen und SIEM-Systeme die Echtzeiterkennung durch Korrelation verdächtiger Ereignisse.

Prävention

Wirksamer Malware-Schutz erfordert mehrere Ebenen. Technisch bilden EDR mit verhaltensbasierter Erkennung, konsequentes Patch-Management, Netzwerksegmentierung und Application Whitelisting die Grundlage. Organisatorisch sind regelmäßige Awareness-Schulungen gegen Social Engineering und ein getesteter Incident-Response-Plan unverzichtbar. Der Grundsatz Defense in Depth gilt hier besonders: Keine einzelne Maßnahme fängt alle Varianten ab.

Relevanz für KMUs

Kleine und mittlere Unternehmen sind keineswegs zu unbedeutend für gezielte Malware-Angriffe — im Gegenteil: Automatisierte Kampagnen treffen Unternehmen jeder Größe. Gleichzeitig fehlen KMUs häufig die Ressourcen für eigene Security-Teams. Eine Kombination aus modernem Endpunktschutz (EDR), regelmäßigen Schwachstellenprüfungen und grundlegender Netzwerksegmentierung schafft eine solide Basis. Wer zusätzlich einen Incident-Response-Plan vorbereitet hat, kann im Ernstfall schnell und strukturiert reagieren, statt wertvolle Stunden zu verlieren.