Spyware: IT-Manager tanzen auf der Titanic

IT-Manager können auch entspannt sein. Zum Beispiel, wenn es um Spyware geht. Lediglich 25 Prozent der IT-Manager sehen Schnüffel-Programme als ein größeres Problem an – so eine Studie des Sicherheits-Spezialisten Secure Computing vom September. Und nur etwa zehn Prozent setzen spezielle Anti-Spyware-Software ein, hieß es im Oktober vom Software-Hersteller Webroot.
Für diese Sorglosigkeit gibt es keinen Grund. Denn: Ein Viertel aller Spyware bleibt unentdeckt. Das hat der Sicherheitsforscher Eric Howes in einer Studie herausgefunden. Howes hat 20 Anti-Spyware-Scanner 14 Tage lang darauf untersucht, ob sie Dutzende Spionage-Programme erkennen.

“Einige Scanner arbeiten wirklich schrecklich”, sagte Howes dem Branchendienst Eweek. So habe ein Programm nur 18 kritische Fälle erkannt. Darunter versteht Howes ausführbare Dateien (.exe und .com), dynamische Bibliotheken (.dll), Auto-Start-Einträge in der Registry sowie Registry-Einträge, die auf BHOs (Browser Helper Objects) und Toolbars hinweisen.

“Ein Ergebnis ist, das kein einziger Scanner alle kritischen Dateien und Registry-Einträge löscht”, so Howes. Deshalb sollten die Anwender “zwei oder mehrere Scanner” einsetzen. Es sei enttäuschend, dass Anti-Spyware-Tools in vielen Fällen nutzlos seien. Die Tools entdeckten zwar oft kritische Dateien. Diese blieben jedoch unentdeckt, wenn die Spyware die gelöschten Dateien erneut installiere.

Im Versuch schnitt Giant AntiSpyware am besten ab: der Scanner entdeckte 100 von 134 kritischen Fällen. Auf Platz zwei landete Pest Patrol (86 von 134). Schlusslicht wurde ein Scanner, der in Deutschland zu den bekanntesten zählt – Spybot (40 von 134).

Laut Howes werden die Spyware-Autoren immer raffinierter. “Die Dateien werden sehr gut im System versteckt”, so Howes. Zudem gebe es Schnüffel-Programme, die die Scanner an der Arbeit hindern. Bevorzugte Methode dafür sei es, den Rechner neu zu starten.

Die Spyware-Autoren nutzten komplizierte Techniken, um Bestandteile des Systems mit Spyware zu ersetzen. Wenn ein oder zwei Spyware-Bestandteile gelöscht werden, springen die unentdeckten Teile ein und ersetzen die gelöschten Dateien und Einträge.

Derweil könnte manchen IT-Managern das Gähnen nicht nur aufgrund der immer schlaueren Sypware vergehen – auch immer mehr Anwender zeigen sich sensibilisiert. Manche dreschen dann – aus welchen Motiven auch immer – mit der Spyware-Keule auf IT-Unternehmen ein. Jüngste Fälle: die Mozilla-Foundation und Lexmark.

Mozilla habe in die deutsche Version des Firefox-Browser eine Spyware-Funktion eingebaut, hieß es so in einem Anwender-Forum. Der Grund: Suchanfragen über ein Ebay-Suchfeld gelangen nicht direkt zu Ebay, sondern indirekt über den Server webtip.ch. Die Mozilla Foundation gab sich einsichtig, die Funktion wird in der nächsten deutschen Firefox-Version abgeschaltet.

Auch der Druckerhersteller Lexmark bekam zu hören, das er die Anwender ausspioniere. Lexmarks Software zeichne das Verhalten der Nutzer auf und sende das Protokoll an das Unternehmen, hieß es in einem Posting der Usenet-Newsgroup ‘comp.periphs.printers’. Lexmark hat mittlerweile dementiert. Die Anwender könnten bei der Installation entscheiden, ob der umstrittene Software-Bestandteil aufgespielt werde.

Fazit: Während die Spyware-Autoren immer schlauer werden, blieben viele IT-Manager passiv, das Info-Chaos wächst. Was ist die Lösung? Ein Super-Scanner, der wirklich alle Spionage-Programme erkennt? Oder eine Spionage-Eingreiftruppe?

Vielleicht kommt mehr Schwung in die Sache, wenn sich herumspricht, das die Schnüffel-Software so richtig ins Geld gehen kann. So macht Dell für zwölf Prozent aller Anrufe bei den Support-Hotlines Spyware verantwortlich. Die Kosten pro Anruf: zwischen 15 und 45 Dollar.