Spyware

Spyware ist Malware, die darauf spezialisiert ist, Informationen von einem infizierten System zu sammeln und an Dritte zu übermitteln — ohne Wissen oder Zustimmung des Nutzers. Das Spektrum reicht von vergleichsweise harmloser Adware, die Surfverhalten trackt, bis hin zu hochentwickelter Überwachungssoftware, die Tastatureingaben mitschneidet, Screenshots anfertigt und Mikrofon sowie Kamera aktiviert.

Formen von Spyware

Spyware tritt in verschiedenen Varianten auf, die sich in Komplexität und Zielsetzung unterscheiden.

Keylogger zeichnen sämtliche Tastatureingaben auf und erfassen so Passwörter, Kreditkartennummern und vertrauliche Nachrichten. Infostealer gehen einen Schritt weiter: Sie extrahieren gezielt gespeicherte Zugangsdaten aus Browsern, E-Mail-Clients und Passwortmanagern. Screen-Capture-Spyware fertigt in regelmäßigen Abständen Screenshots an, um auch visuell dargestellte Informationen abzugreifen.

Besonders gefährlich ist kommerzielle Überwachungssoftware — sogenannte Stalkerware oder staatliche Spyware wie Pegasus. Diese Programme nutzen Zero-Day-Schwachstellen und können Smartphones vollständig kompromittieren, ohne dass der Nutzer einen Link anklicken muss.

Infektionswege

Spyware gelangt über verschiedene Wege auf Systeme. Häufig wird sie als Bestandteil scheinbar legitimer Software mitinstalliert — gebündelt mit Freeware oder versteckt in manipulierten Installationspaketen. Phishing-E-Mails mit schädlichen Anhängen oder Links sind ein weiterer klassischer Vektor. Drive-by-Downloads nutzen Schwachstellen im Browser, um Spyware ohne Nutzerinteraktion zu installieren.

In der Praxis sehen wir auch gezielte Angriffe über Social Engineering: Ein vermeintlicher IT-Support fordert zur Installation eines „Diagnose-Tools" auf, das in Wirklichkeit einen Infostealer enthält. Besonders im KMU-Umfeld, wo nicht jeder Mitarbeitende solche Taktiken kennt, ist das ein realistisches Szenario.

Erkennung und Abwehr

Spyware ist darauf ausgelegt, unauffällig zu operieren. Dennoch gibt es Indikatoren: unerklärlich hohe Netzwerkauslastung, langsamere Systemleistung, unbekannte Prozesse im Task-Manager oder unerwartete Browser-Erweiterungen. EDR-Lösungen erkennen verdächtiges Verhalten wie ungewöhnliche Zugriffe auf den Credential Store oder regelmäßige Datenexfiltration an externe Server.

Präventiv schützen mehrere Maßnahmen: konsequentes Patch-Management schließt Schwachstellen, die Spyware als Einfallstor nutzt. Anwendungs-Whitelisting verhindert die Ausführung nicht autorisierter Software. Multi-Faktor-Authentifizierung begrenzt den Schaden, selbst wenn Zugangsdaten durch einen Infostealer kompromittiert werden.

Spyware und Datenschutz

Aus Sicht der DSGVO ist ein Spyware-Befall ein meldepflichtiger Sicherheitsvorfall, sobald personenbezogene Daten betroffen sind. Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen. Unternehmen, die von NIS2 erfasst werden, unterliegen zusätzlichen Meldepflichten und müssen dokumentierte technische Schutzmaßnahmen nachweisen können.

Relevanz für KMUs

Spyware ist für kleine und mittlere Unternehmen besonders kritisch, weil sie oft über Wochen oder Monate unentdeckt bleibt und in dieser Zeit kontinuierlich Zugangsdaten, Kundendaten und Geschäftsgeheimnisse abfließen. Wir finden in Assessments regelmäßig Systeme, auf denen Browser-Erweiterungen oder ältere Software unbemerkt Daten an externe Server senden. Eine Kombination aus EDR-Monitoring, restriktiven Softwarerichtlinien und Schwachstellenprüfungen bildet die Grundlage, um Spyware frühzeitig zu erkennen und den Schaden zu begrenzen.