Glossar

Keylogger

Keylogger: Wie sie funktionieren und wie man sich schützt

Was sich konkret hinter einem Keylogger verbirgt, deutet die deutsche Übersetzung an: Der englische Begriff steht für „Tasten-Protokollierer“. Es kann sich dabei um Hard- oder Software handeln. Beide haben die grundlegende Funktion gemein: Sie führen Protokoll über die Tastatureingaben an einem PC und übermitteln die gesammelten Informationen regelmäßig an den Initiator des Angriffs.
Angreifer nutzen Keylogger für das Ausspähen sensibler Daten, darunter Login-Passwort-Kombinationen, Zugangsdaten zum Online-Banking oder Kreditkarteninformationen. Benötigt wird dazu entweder ein zwischen Tastatur und PC gestecktes Stück Hardware oder ein auf der Festplatte installiertes Programm. Die Verbreitung der Software-Version kann zum Beispiel durch Trojaner oder Social-Engineering erfolgen.

So funktionieren Software-Keylogger

Gefährlich sind die beiden Varianten zwar gleichermaßen, aufgrund ihrer einfacheren Verbreitungsmöglichkeiten werden Software-basierte Keylogger jedoch deutlich häufiger für Angriffe verwendet. Sie sind in der Regel Teil eines kompletten Schadsoftware-Pakets und finden zusammen mit einem Trojaner oder Rootkit ihren Weg auf den Rechner des Betroffenen.
Software-Keylogger nutzen unterschiedliche Schwachstellen und Angriffspunkte. Relativ verbreitet ist das Vortäuschen einer API auf dem infizierten PC. Über diese Schnittstelle zur Anwendungsprogrammierung kann sich das Programm quasi zwischen Tastatur und Betriebssystem einnisten und ohne Verzögerung jeden Tastendruck protokollieren.
Raffinierter und aufwendiger sind die sogenannten Kernel-Keylogger. Ein prominentes Beispiel dieser Unterkategorie ist der Duqu-Trojaner, der 2012 zur Industriespionage eingesetzt wurde. Kernel-Keylogger starten sich in der Regel unauffällig als Treiber selbst, sobald das Betriebssystem hochfährt. Duqu nutzte zu diesem Zweck ein gestohlenes Software-Zertifikat für Kerneltreiber, wodurch er zuverlässig bei jedem Systemstart ausgeführt wurde. Nach abgeschlossener Infiltration spionierte das Programm den Opfer-Rechner aus und löschte sich nach 36 Tagen selbst. Spuren hinterließ der Keylogger keine.
Die Datenübermittelung an den Angreifer war ähnlich raffiniert: Mit Hilfe des Steganografie-Verfahrens versteckte das Programm die gesammelten Informationen in Bilddateien und verschickte sie unauffällig im JPEG-Format an den Auftraggeber. Neben Screenshots und Tastatureingaben übermittelte Duqu so Informationen über laufende Prozesse und Netzwerkfreigaben.
Weniger häufig als die API- und Kernel-Varianten sind sogenannte Man-in-the-Browser-Keylogger, die die Formulareingaben in Internet-Browsern protokollieren. Zusätzlich gibt es deutlich komplexere Varianten, die in der Regel für gezielte Angriffe und lukrative Industriespionage eingesetzt werden.

Kaum zu erkennen: Hardware-Keylogger

Während Software-basierte Keylogger zumindest theoretisch durch Anti-Spyware-Programme und Virenscanner zu identifizieren sind, hat die Hardware-Variante einen entscheidenden Vorteil für den Angreifer: Virenwächter können ihr nichts anhaben.
Hardware-Keylogger finden entweder als USB-Stick oder in Form getarnter Tastatur-Anschlüsse, die zwischen Tastaturkabel und PC-Anschluss sitzen, ihren Weg an den Ziel-PC. Seltener sind direkt bei der Herstellung auf BIOS-Ebene installierte Keylogger. Ein weiterer Vorteil der Hardware-Variante: Sie sind flexibel einsetzbar und funktionieren unabhängig vom Betriebssystem.
Gespeichert werden die Tastatureingaben auf einem integrierten Speichermedium wie RAM oder EPROM. Zum Auslesen der Daten muss der Hardware-Keylogger nach einiger Zeit wieder entfernt und ausgelesen werden. Es gibt aber auch Varianten, die die Daten per Funk oder Netzwerk direkt an den Angreifer übertragen.
Hardware-basierte Keylogger werden trotz ihrer Vorteile selten eingesetzt, da die Installation am Opferrechner schwieriger ist. Voraussetzung ist ein physischer Zugang zum entsprechenden Computer - und das setzt in der Regel aufwendiges Social-Engineering oder einen Mittelsmann voraus. Betroffen sind deshalb eher Unternehmen und öffentliche Einrichtungen als Privatanwender, da es dort lukrativere Daten zu entwenden gibt. Bekannt ist zum Beispiel ein Fall aus den USA von 2012: Damals installierten Schüler einer High School Hardware-Keylogger an den PCs ihrer Lehrer, spionierten so deren Passwörter aus und manipulierten mit Hilfe dieser Daten ihre Noten.
Auch in Internet-Cafés lauert häufig Gefahr. Es gibt allerdings Möglichkeiten, sich zu schützen.

Wie man sich vor Keyloggern schützt

Hardware-Keylogger sind in der Regel leicht zu erkennen: Steckt zwischen USB- oder PS2/2-Stecker des Eingabegeräts und der entsprechenden Buchse am Rechner eine Art längliches Zwischenstück, droht Abhörgefahr. Wer sich etwa in Internet-Cafés oder Bibliotheken unsicher ist, kann die Tasten-Protokollierer wie folgt austricksen:
• die sogenannte Durchwürfelung erschwert Keyloggern das Mitschreiben konkreter Zugangsdaten. Der Nutzer wechselt bei der Daten-Eingabe in unregelmäßigen Abständen zwischen eigentlichem Eingabefeld und beispielsweise einer Textdatei hin und her. Zwischen den tatsächlich einzugebenden Zeichen trägt er einfach willkürlich andere Zeichen in die Textdatei ein.
• über die unter C:\Windows\System32\ aufzufindende Datei osk.exe lässt sich eine virtuelle Tastatur auf den Bildschirm bringen. Hier angeklickte Tasten kann ein Hardware-Keylogger nicht nachverfolgen.
• USB-Taschentresore mit darauf gespeicherten Login-Daten helfen ebenfalls.
Schwieriger ist es bei Software-Keyloggern: Sie sind nicht leicht zu entdecken, da sie sich normalerweise nicht wie andere Schadprogramme verhalten. Sie richten keinen offensichtlichen Schaden am System an und agieren im Hintergrund, gerade weil sie ihr volles Potenzial nur unerkannt entfalten. Helfen können Antivirenprogramme mit heuristischer Erkennungsmethode. Auch die oben beschriebene Durchwürfelung bietet Schutz - allerdings nicht bei allen Software-Keyloggern.