Keylogger – Vorsicht, Spione in der Tastatur!

Keylogger-Malware wie Formbook und Snake Keylogger spionieren Ihre Tastatureingaben aus! Wir verraten Ihnen, was Sie dagegen tun können.

Aug 30, 2022 - 6 Min.

Ist es nicht ein unangenehmes Gefühl, wenn einem jemand beim Tippen die ganze Zeit über die Schulter schaut? Dies geschieht aber nicht nur in der Schlange am Bankautomaten oder beim bargeldlosen Bezahlen an der Supermarktkasse. Manchmal merken wir es nicht einmal, dass jedes Zeichen, das wir in die Tastatur eingeben, von Unbekannten mit raffinierten Mitteln insgeheim mitgelesen wird. Sogenannte Keylogger bedrohen die Sicherheit unserer vertraulichen (Online-)Daten öfter, als wir denken.

Seit es Computer und Passwörter gibt, versuchen Menschen, die digitalen Daten anderer auszuspionieren – meist zu unlauteren Zwecken. Die Reihe der üblichen Verdächtigen reicht vom eifersüchtigen Partner über Kriminelle, die auf Kosten ihrer Opfer shoppen gehen wollen, bis hin zu Erpressern und zur Industriespionage. Und was läge da näher, als die Zugangsdaten zu Bankkonten, Social-Media-Accounts, Online-Shops, Kryptowährungs-Depots, vertrauliche Dokumente oder E-Mails direkt von der Tastatur des Benutzers abzugreifen?

Von der Tastatur direkt in die Hände von Kriminellen

Der Vorteil dieser Strategie liegt auf der Hand: Denn in dem Moment, in dem Passwörter, PIN-Nummern oder Kreditkartendaten gerade in die Tastatur getippt werden, sind die Eingaben noch nicht verschlüsselt. Das erleichtert es den Betrügern, die ergaunerten Daten zu benutzen. Die Verschlüsselung erfolgt erst, wenn der ahnungslose Anwender auf „Absenden“ klickt und sich damit beispielsweise in ein Benutzerkonto einloggt, eine Nachricht verschickt oder eine Geldtransaktion bestätigt. 

Tatsächlich gibt es seit langem kleine Software-Programme und andere Tricks, mit denen Unbefugte jeden Tastendruck auf dem Computer-Keyboard abfangen können. Man nennt diese Tools „Keylogger“. Ursprünglich handelte es sich dabei um sehr einfache kleine Programme, die sich versteckt auf einem Rechner installieren liessen, um dann alles, was auf der Tastatur geschrieben wurde, in einer kleinen Log-Datei zu speichern. Mittlerweile existiert eine Vielzahl von Keylogger-Varianten, die über deutlich erweiterte Fähigkeiten verfügen. Auch die Methoden, einen Computer mit einem Keylogger zu „infizieren“, sind wesentlich raffinierter geworden.

Achtung: Keylogging ist nicht immer illegal!

Wie der Einsatz von Keyloggern juristisch bewertet werden muss, ist in Europa nach wie vor umstritten. Dürfen Behörden Keylogger und „Staatstrojaner“ nutzen und ohne Wissen des Anwenders auf dessen Computer installieren? Welche Regeln gelten für die Verwendung von Keyloggern am Arbeitsplatz oder im privaten Bereich? Eine EU-weit einheitliche Gesetzgebung für diese Frage gibt es bis heute nicht.

Wer selbst auf seinem eigenen Computer einen Keylogger installieren will, um beispielsweise die PC-Aktivitäten seiner Kinder zu kontrollieren, darf dies in der Schweiz tun, ohne mit dem Gesetz in Konflikt zu geraten. 

Seit einem Urteil des höchsten Schweizer Gerichts im Februar 2022 darf auch die Polizei Überwachungssoftware wie Keylogger zur Verbrechensbekämpfung einsetzen.

In Deutschland ist der Einsatz von Keyloggern ausdrücklich nur auf dem eigenen Rechner erlaubt – wer andere Computer mit einem Software-Keylogger, einer Spionage-Tastatur oder einem USB-Keylogger ausstattet, macht sich gemäss §202a des Strafgesetzbuches strafbar.

Vorsicht beim Bargeld abheben! Cyber-Kriminelle nutzen auch Hardware-Keylogger, um an Bankdaten zu kommen

Übrigens: Die Gefahr, mit Hilfe von Keyloggern ausspioniert zu werden, droht nicht nur auf dem PC. Wir können ihr tagtäglich begegnen, wenn wir zum Beispiel am Bankautomaten Geld abheben wollen. Findige Gauner haben für diese Terminals Hardware-Keylogger entwickelt, die als eigenständige Tastatur so unauffällig auf das Bedienpanel aufgebracht werden, dass es für die Bankkunden kaum zu erkennen ist. So wird es für die Kriminellen ganz einfach, in kürzester Zeit hunderte von Kreditkartennummern und Kontozugangs-PINs einzusammeln. 

Die Geldinstitute haben mittlerweile auf diese Bedrohung reagiert, um ihre EC- und Kreditkarten-Terminals besser gegen solche Manipulationen zu schützen. Trotzdem sollte man überall dort wachsam bleiben, wo es gilt, persönliche Daten per Tastatur einzugeben.

Die Wahrscheinlichkeit ist dennoch heute weitaus grösser, am Privat- oder Arbeits-PC oder auch an öffentlich zugänglichen Computern Opfer eines Software- oder Hardware-Keylogger-Angriffs zu werden.

Software-Keylogger ganz oben in der Rangliste der verbreitetsten Malware

Derzeit treibt der Software-Keylogger Formbook neben dem ebenfalls gefährlichen Trojaner Emotet sein Unwesen. Im Juni landete zudem mit dem Snake Keylogger in Deutschland eine weitere Malware dieser Kategorie. Grund genug, die Bedrohung durch Software-Keylogger etwas genauer unter die Lupe zu nehmen.

Formbook – Cybercrime im Abo

Der Information-Stealer Formbook wurde von Malware-Spezialisten zum ersten Mal 2016 aufgespürt. Die Schadsoftware wird in speziellen Hacker-Foren nicht verkauft, sondern zu sehr günstigen Preisen als „Malware-as-a-Service“ (MaaS) vermietet. Dabei erhalten die Käufer die Malware-Binärdatei und Zugang zu den nötigen Command & Control-Servern (C&C). Weitere Dienste ermöglichen, den Binärcode in einem unverfänglich erscheinenden Dokument zu verstecken. 

Was Formbook für Kriminelle besonders attraktiv macht: Aufgrund der einfachen Handhabung kommen damit auch User mit wenig Erfahrung und marginalen Programmierkenntnissen zurecht. Diese Form des „Benutzerkomforts“ hat sicher massgeblich zur weiten Verbreitung dieses Keyloggers beigetragen.

Heute schon Sicherheitsupdates installiert? Formbook nutzt Schwachstellen vom Microsoft Windows und Office aus

Ein weiterer Grund dürfte sein, dass Formbook ganz gezielt Windows-Rechner mit installiertem Microsoft Office angreift. Dabei wird die Malware in typische Office-Dokumente in Formaten wie .RTF, .DOC oder .XLS gepackt, um eine Schwachstelle in Office (bekannt als CVE-2017-8570) auszunutzen. Bereits seit 2017 existiert für Microsoft ein Patch, der diese Sicherheitslücke schliesst. Trotzdem sind Angriffe mit dem Information-Stealer Formbook auch heute noch erfolgreich. Daraus wird ersichtlich, dass viele User ihre Software über lange Zeiträume nicht auf dem neuesten Stand halten.

Vorsicht vor zweifelhaften E-Mail-Anhängen!

Am Anfang steht in der Regel eine neue E-Mail im Posteingang, oft mit Inhalten, die einem zunächst vertraut vorkommen: eine Nachricht von der Bank? Ein Hinweis auf eine bevorstehende Paketlieferung? Seit der Covid-Pandemie werden bösartige Mails auch unter Betreffs versandt, die von einer öffentlichen Gesundheits- oder Regierungsbehörde stammen könnten. Durch Social Engineering wird den Empfängern der Mails suggeriert, dass sich im Anhang wichtige persönliche Dokumente befänden, die es unbedingt zu öffnen gilt. 

Fallen ahnungslose User auf diesen Trick herein und klicken den mit dem Binärcode von Formbook „geimpften“ E-Mail-Anhang an, ist es schon zu spät. Denn nun arbeitet sich die Schadsoftware tief in die Prozesse des Windows-Systems und kann in der Folge

  • als Keylogger jeden Tastendruck mitprotokollieren – etwa bei der Eingabe von Zugangs- oder Bankdaten in Online-Formulare
  • Inhalte aus der Zwischenablage auslesen
  • Passwörter aus lokalen User-Cookies stehlen
  • Screenshots von Bildschirminhalten anfertigen
  • den Taskmanager deaktivieren
  • einen Computer-Neustart veranlassen
  • über die verbundenen C&C-Server Befehle für auszuführende Aktionen entgegennehmen

Snake Keylogger – die falsche Schlange lauert im PDF

Seit Mai 2022 ist mit dem Snake Keylogger ein weiteres Schadprogramm sehr aktiv, das Tastatureingaben ausspioniert – und diese Schlange ist besonders schlau, denn sie hat einen hinterhältigen Trick gefunden, so manches Anti-Spyware-System zu überlisten: Viele Computer-Anwender sind heute bereits vorsichtig, wenn sie E-Mails mit unbekannten Word- oder Excel-Dateien im Anhang erhalten und befördern solche Nachrichten unbesehen in den Daten-Papierkorb. Aus diesem Grund nutzen die Entwickler von Snake Keylogger einen raffinierten Umweg, um ihre Opfer dennoch in die Falle zu locken. Der modular strukturierte Snake Keylogger wird in Untergrund-Foren um Preise zwischen 25 und 500 Euro gehandelt – je nach Funktionsumfang und Einsatzdauer.

Snake Keylogger macht es sich zunutze, dass die meisten Anwender heute das PDF-Format immer noch für sehr sicher halten – denn anders als Dateien der Microsoft-Office-Programme Word, Excel oder Powerpoint enthalten PDFs keine tückischen Makros, die dem Virenbefall immer wieder Tür und Tor öffnen. Und wie bei Formbook wird den Mail-Empfängern durch „offizielle“ Absender-Adressen oder Social Engineering suggeriert, dass die Nachricht vertrauenswürdig sei.

Beim Öffnen der PDF-Datei nicht aufs Glatteis locken lassen!

Klickt man das PDF-Dokument in der Spam-Mail an, wird man gebeten, eine .DOCX-Datei zu öffnen und erhält die trügerische Zusicherung, dass das Word-File „verified“, also „geprüft“ sei. Hiervon sollte man sich auf keinen Fall täuschen lassen. Denn besagte .DOCX-Datei enthält ein Makro, mit dessen Hilfe der Snake Keylogger von einem C&C-Server auf den eigenen Rechner geladen wird.

Sicherheitsrisiko Mensch: Unachtsamkeit und Nachlässigkeit werden bestraft

Damit der Snake Keylogger sich auf einem Rechner festsetzen kann, müssen zwei Bedingungen erfüllt sein:

  • Der Anwender muss auf die Spam-Mail hereinfallen und den PDF-Anhang sowie im Folgenden das eingebettete .DOCX-Dokument öffnen.
  • Der Computer muss wie bei Formbook eine Microsoft-Sicherheitslücke aufweisen – in diesem Fall CVE-2017-11882. Auch diese ist bereits seit 2017 bekannt und damals mit einem Patch geschlossen worden – und betroffene User haben wohl auf den von Snake Keylogger befallenen Rechnern die aktuellen Systemupdates nicht eingespielt.

Wie zeigt sich eine Infizierung mit dem Snake Keylogger?

Ähnlich wie Formbook kann der Snake Keylogger bei Betroffenen enormen Schaden anrichten. Dabei arbeitet die Malware unbemerkt im Hintergrund – bis der User merkt, dass sich Unbefugte seiner Online-Accounts, seiner Bank- und Kreditkartendaten oder gar seiner Online-Identität bedient haben. Möglicherweise nutzen die Cyber-Kriminellen den Rechner eines Snake-Opfers auch unbefugt als Hardware-Ressource für ihre Krypto-Mining-Aktivitäten. Snake Keylogger kann

Wie schützt man sich am besten vor Spionage durch Keylogger?

Als Grundregel für den Schutz vor Keyloggern gilt wie bei jeder Schadsoftware, sein Betriebssystem immer auf dem neuesten Stand zu halten, um möglichst alle bekannten Sicherheitslücken zu schliessen. Auch der Einsatz einer leistungsstarken Antiviren- und Anti-Spyware-Softwarelösung kann die Infizierung mit Keylogger-Malware verhindern. Und last but not least: Es gilt, immer wachsam zu sein und jede eingehende E-Mail vor dem Öffnen sorgsam zu prüfen.

Hin und wieder lohnt es sich eventuell auch, die Steckverbindungen zwischen Computer und Tastatur zu überprüfen – denn Hardware-Keylogger werden häufig einfach als unscheinbarer Stecker an der Rückseite des PCs dazwischengeschaltet. Das Auslesen von Tastatureingaben ist aber nicht nur mit kabelgebundenen Tastaturen, sondern auch mit Wireless Keyboards möglich – hier werden im Handel sogar spezielle Geräte angeboten, in denen der Keylogger mit einem remote auslesbaren Flash-Speicher bereits fest verbaut ist.

Eine weitere Möglichkeit, seine sensiblen Daten besser vor Keyloggern zu schützen, ist, zum Beispiel bei der Eingabe von Passwörtern nicht die Hardware-Tastatur, sondern die Bildschirmtastatur des Betriebssystems zu benutzen.

Online-Konten sichert man am besten durch Multi-Faktor-Authentifizierung gegen Datenklau und Identitätsdiebstahl ab. Hier ist neben einem Passwort mindestens ein zweiter Faktor nötig, um seine Zugangsberechtigung nachzuweisen. Das kann ein biometrisches Merkmal (Face-ID oder Fingerabdruck) oder ein Zahlencode sein, der beispielsweise an das Smartphone des Anwenders gesendet wird. Erbeuten Cyber-Betrüger folglich lediglich Benutzernamen und Passwort, reicht dies nicht aus, um sich auf das Konto Zugriff zu verschaffen.

Jetzt herunterladen