12.02.2024
Trojaner gehören zu den gefährlichsten Cyberbedrohungen für Unternehmen. Sie zählen zu den ältesten Formen von Malware, werden aber stetig weiterentwickelt und haben daher nicht an Gefährlichkeit verloren. Obwohl es sich um eine bekannte Form von Schadsoftware handelt, sind Trojaner schwierig zu erkennen. Gleichzeitig gibt es wirksame Schutzmaßnahmen.
Als Trojaner oder trojanisches Pferd bezeichnet man in der Informationstechnologie getarnte Schadsoftware. Cyberkriminelle verstecken dabei Malware in scheinbar nützlichen Programmen. Öffnen Anwender diese trojanischen Pferde, wird ihr Computer oder Handy infiziert. Die Folgen können verheerend sein. Je nach Art des Schadprogramms können Angreifer etwa…
Tastatureingaben aufzeichnen
Passwörter auslesen
Daten kopieren, blockieren, modifizieren oder löschen
„Hintertüren“ öffnen und weitere Malware installieren
Im Unterschied zu Computerviren und Würmern, verbreiten sich Trojaner in der Regel nicht selbstständig weiter. Ihre Erschaffer setzen stattdessen auf Täuschung und bieten ihre trojanischen Pferde meist in unseriösen Quellen oder über verseuchte Werbung zum Download an.
Die Bezeichnung Trojaner für Schadsoftware leitet sich vom mythischen trojanischen Pferd ab. Das hölzerne Pferd war der Sage nach eine List des griechischen Odysseus, um die Stadt Troja einzunehmen. Die Griechen taten sie so, als hätten sie ihre jahrelange Belagerung der Stadt aufgegeben und platzierten das riesige Gebilde vor dem Stadttor.
Als die Trojaner das Geschenk in die Stadt holten, besiegelten sie damit Ihren Untergang: Im Inneren des trojanischen Pferdes befanden sich griechische Soldaten, die in der Nacht herauskletterten, die Wachen der Stadt überwältigten und den übrigen griechischen Truppen die Stadttore öffneten.
Bereits Anfang der 1970er Jahre entstanden zunächst theoretische Konzepte zu Trojanern. Nur wenig später wurden die ersten schadhaften Programme dieser Art eingesetzt und sollen etwa im kalten Krieg eine Rolle gespielt haben.
Der erste Fall eines Erpressungstrojaners, der öffentliche Aufmerksamkeit erregte, war die AIDS-Ransomware aus dem Jahr 1989. Sie wurde damals noch nicht über das Internet verbreitet: Der Hacker verschickte postalisch 20.000 Disketten und versprach den Empfängern Informationen über das HI-Virus. Nach einiger Zeit begann die Malware, Dateien auf den infizierten Computern zu verstecken und die Dateinamen zu verschlüsseln.
Seither haben Cyberkriminelle immer neue Arten von Trojanern entwickelt, aber auch die Lösungen zur Datensicherheit wurden stetig verbessert. Zu den verschiedenen Arten von Trojanern lesen sie mehr im entsprechenden Abschnitt dieses Artikels.
Durch das Ausführen des Wirtsprogramms wird auch die darin versteckte Schadsoftware gestartet und kann so Sicherheitsvorkehrungen, wie z. B. Firewalls, umgehen.
Bei Trojanern handelt es sich in der Regel um zwei eigenständige Programme, die miteinander verknüpft sind. Diese Verknüpfung wird oftmals über sogenannte Linker oder Dropper realisiert.
Linker verknüpfen den Trojaner mit einer beliebigen ausführbaren Wirtsdatei. Wird das Programm, an das sich der Trojaner gekoppelt hat, ausgeführt, startet zugleich auch die Malware unbemerkt im Hintergrund. Der Trojaner ist also nur aktiv, wenn auch das Wirtsprogramm ausgeführt wird.
Dropper hingegen legen das Schadprogramm auf dem System ab. Wird das trojanische Pferd geöffnet, installiert sich sie Malware unbemerkt im Hintergrund. In der Regel heftet sich die Schadsoftware an Autostartprogramme oder Hintergrunddienste und wird so bei jedem Start des Computers aktiv.
Eigenständige Trojaner gelangen, ebenfalls versteckt in anderen Programmen, auf die Rechner ihrer Opfer. Nach der Installation agieren sie allerdings eigenständig und können etwa den Browser für illegale Aktivitäten missbrauchen. Ein bekanntes Beispiel ist der Trojaner Emotet, der im Hintergrund Malware nachlädt, die dann das betroffene Gerät verschlüsselt.
Browser-Trojaner sind eine bekannte Variante der Integration des Schadcodes in die Wirtssoftware. In diesem Fall verlässt der Trojaner sein Versteck nicht, sondern verrichtet seine schadhafte Arbeit, sobald das Wirtsprogramm ausgeführt wird. Im Umkehrschluss bedeutet das, dass er mit der Wirtssoftware zusammen auch wieder deinstalliert werden kann.
Verbreitet werden Trojaner etwa per Anhang in Phishing-Mails oder in präparierten Programmen, die meist kostenlos zum Download angeboten werden. Hacker wählen dafür häufig unseriöse Plattformen, die nur über geringe Sicherheitsvorkehrungen verfügen, um ihre Malware anzubieten.
Eine besonders perfide Methode ist der Download per Pop-up. Dabei erscheint ein Fenster auf Ihrem Endgerät, das Sie warnt, Ihr Computer oder Smartphone sei mit Malware infiziert. Folgen Sie den Anweisungen und laden sich das empfohlene Antiviren-Programm herunter, installieren Sie damit einen Trojaner auf Ihrem Gerät.
Trojaner lassen sich einerseits nach Art und Aufbau (wie oben beschrieben) unterscheiden, andererseits nach ihrer Aktivität.
Backdoor-Trojaner manipulieren das Sicherheitssystem des infizierten Geräts und öffnen Hintertüren. Durch diese können Cyberkriminelle Zugriff auf das System erhalten oder weitere Schadsoftware installieren.
Banking-Trojaner sind darauf ausgelegt, Kontodaten und Online-Banking-Zugänge zu erbeuten.
Trojan-Spy-Programme sind eine Form von Spyware mit der etwa Screenshots erstellt, vertrauliche Daten ausgelesen oder Tastenanschläge aufgezeichnet werden können.
Erpressungstrojaner sind auch bekannt als Ransomware. Diese Variante verschlüsselt Daten auf infizierten Geräten. In der Regel fordern Cyberkriminelle anschließend ein Lösegeld.
SMS-Trojaner befallen Smartphones und Firmenhandys. Sie sind z. B. getarnt als SMS-App und senden Nachrichten an kostenpflichtige Rufnummern. Sie kommen auch zum Einsatz, um Zwei-Faktor-Authentifizierungen zu manipulieren.
DDoS-Trojaner machen das infizierte Gerät zum Teil eines Bot-Netzwerks, mit dem DDos-Attacken ausgeführt werden.
Fake-Antivirus-Trojaner tarnen sich als Anti-Virus-Software und zeigen falsche Sicherheitswarnungen an. In der Regel wird Geld gefordert, um die vermeintliche Bedrohung zu beseitigen. Zudem werden häufig sensible Bankdaten an die Hacker übermittelt.
Weitere Formen von Trojanern sind u. a. Rootkits, Exploits, Mailfinder oder Notifier. Die Vielzahl der Varianten dieser Malware macht deutlich, wie weit verbreitet Trojaner sind und wie wichtig ein effektiver Schutz gegen diese Bedrohung ist.
Welche Schäden mithilfe von Trojanern angerichtet werden können, zeigen beispielhaft einige der bekanntesten Vertreter dieser Malware-Gattung.
Der Zeus-Trojaner wird häufig als Banking-Trojaner klassifiziert, kann aber zugleich zusätzliche Malware installieren. Er wurde 2007 bei einem Angriff auf das US-Verkehrsministerium erstmals entdeckt.
Sein Quellcode wurde 2011 veröffentlicht. Das führte einerseits zu großem Interesse bei Sicherheitsforschern, andererseits zu zahlreichen neuen Varianten und Ablegern, die auf dem ursprünglichen Code basieren.
Zeus soll zum Diebstahl mehrerer hundert Millionen US-Dollar genutzt worden sein und Millionen Windows-Computer infiziert haben.
Genau genommen kann man im Falle von Emotet sogar von einer Familie von Malware sprechen, denn die Schadsoftware wurde im Laufe der Zeit mehrfach verändert. Es handelt sich um eine modulare Malware, die unterschiedliche Schadsoftware transportieren kann.
Das trojanische Pferd enthält z. B. einen polymorphen Computervirus, der seine Signatur bei jeder Installation leicht verändert und so nur schwer von herkömmlichen Firewalls erkannt werden kann. Emotet wurde in der Vergangenheit auch häufig im Zusammenhang mit Ransomware eingesetzt.
Verbreitet wird das trojanische Pferd zumeist über Anhänge in Phishing-Mails. Dazu kapert Emotet u. a. Kontaktlisten in E-Mail-Adressbüchern und verschickt sich selbst an weitere Empfänger. Da diese meist bereits zuvor Kontakt mit den vermeintlichen Absendern hatten, schöpfen sie selten Verdacht.
Erstmals 2014 entdeckt, gelang europäischen Behörden 2021 ein wirksamer Schlag gegen das Hacker-Netzwerk hinter der Malware. Allerdings wurde Emotet Anfang 2023 in OneNote-Dateien entdeckt, was eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Folge hatte.
NotPetya ist die Weiterentwicklung des 2016 erstmals entdeckten Ransomware-Trojaners Petya. 2017 verbreitete sich die neuere Version der selbstreproduzierenden Malware – versteckt in Updates einer Finanz-Software. Hauptverbreitungsgebiet war die Ukraine, aber auch internationale Unternehmen waren betroffen.
NotPetya erschien ebenfalls wie eine Ransomware, verschlüsselte die Daten der betroffenen Computer aber nicht nur, sondern löschte sie – ein sogenannter Wiper. Der finanzielle Schaden lag weltweit bei mehreren hundert Millionen US-Dollar.
Die Zeiten, in denen Trojaner sich recht zuverlässig durch Merkmale wie doppelte Dateiendungen verrieten, sind aufgrund der Weiterentwicklungen durch Cyberkriminelle leider größtenteils vorüber.
Bei folgenden Anzeichen sollten Sie aufmerksam werden und prüfen, ob Ihre Systeme infiltriert wurden:
Ihr Computer ist ungewöhnlich langsam: Die Hintergrundaktivität der Schadsoftware kann die Leistung beeinflussen, da sie Rechenleistung und Systemressourcen in Anspruch nimmt.
Ungewöhnliches Verhalten Ihres Computers, wie z. B. ein sich von selbst bewegender Mauszeiger oder sich selbstständig öffnende Anwendungen sind ebenfalls ein Alarmsignal.
Ungewöhnliche Pop-ups erscheinen: Kommt Ihnen ein plötzlich auftauchendes Fenster verdächtig vor und werden Sie darin zum Klick auf einen Link aufgefordert, sollten Sie vorsichtig sein und den Link nicht anklicken. Besser ist es, das Fenster umgehend zu schließen.
E-Mails mit ungewöhnlichen oder unerwarteten Anhängen können ebenfalls Trojaner enthalten. Da dies eine der häufigsten Verbreitungsmethoden ist, sollten Sie Anhänge und Links in Mails immer prüfen, bevor Sie sie öffnen.
Dateien verschwinden plötzlich, lassen sich nicht öffnen, oder werden unerwartet verschoben.
Neue Applikationen tauchen im Startmenü auf oder es finden sich unerwartete Screenshots auf dem Desktop oder an anderen Stellen.
Eine langsame oder unterbrochene Internetverbindung kann ebenfalls ein Zeichen dafür sein, dass ein Trojaner im Hintergrund zusätzliche Malware herunterlädt.
All diese Merkmale können auch andere, harmlose Erklärungen haben. Allerdings sollten Sie diese Warnsignale ernst nehmen und umgehend einen Malware-Scan Ihres Geräts durchführen oder Ihre IT-Abteilung informieren.
Da es sich in den meisten Fällen bei einem Trojaner lediglich um ein Transportprogramm handelt, hilft die Deinstallation meist nicht, um die Bedrohung zu beheben. Ist die Malware abgekoppelt, verbleibt sie auch nach der Deinstallation des Wirtsprogramms auf dem Gerät. Eine Ausnahme sind hier die oben erwähnten Browser-Trojaner und ähnliche, bei denen der Schadcode in das jeweilige Programm integriert ist.
Da viele Formen von Trojanern bekannt sind, hilft häufig die Verwendung eines Anti-Viren-Programms. Dieses kann die Schadsoftware erkennen, isolieren und löschen.
Das Perfide an Trojanern ist, dass sie oftmals weitere Malware installieren. Um auch diese zu erkennen, empfiehlt sich ein vollständiger Scan des betroffenen Geräts, inklusive der Registrierungsdatenbank. Da diese oft sehr umfangreich ist, dauert ein manueller Check durch einen IT-Experten häufig sehr lang und ist zeit- und kostenintensiv.
Bestehen die Probleme nach der Überprüfung und Reinigung des Systems durch die Anti-Virus Software fort, hilft meist nur eine vollständige Systemwiederherstellung. Für diesen Fall sollten Unternehmen regelmäßig Backups ihrer Systeme anlegen, um Datenverlust zu vermeiden.
Halten Sie Ihre Mitarbeiterinnen und Mitarbeiter dazu an, sich an die grundlegenden Regeln der Cybersecurity zu halten. Dazu gehören:
Installieren Sie ausschließlich Programme und Anwendungen aus vertrauenswürdigen Quellen. Achten Sie darauf, dass keine (meist kostenlos angebotenen) Zusatzprogramme installiert werden.
Stellen Sie vor dem Öffnen von E-Mail-Anhängen sicher, dass es sich nicht um ausführbare Dateien handelt. Einige Trojaner verwenden nach wie vor doppelte Dateiendungen, wie z. B. „dokument.pdf.exe“.
Installieren Sie eine Anti-Virus-Software und aktualisieren Sie diese regelmäßig.
Auch Firewalls und andere Lösungen zur Datensicherheit schützen Ihre Computer, Tablets und Handys.
Besonders für Unternehmen mit mehreren Angestellten und entsprechend vielen Geräten lohnt es sich, eine Software zum Mobile Device Management (MDM) oder zum Enterprise Mobility Management (EMM) anzuschaffen. Damit können Firmengeräte zentral durch Ihre IT-Abteilung verwaltet und die Installation von Schadsoftware aller Art verhindert werden.
Trojaner …
sind getarnte Schadprogramme, die zumeist in anderen Programmen oder Dateien versteckt sind.
müssen in der Regel durch Täuschung des Opfers installiert werden.
erfüllen unterschiedliche kriminelle Aufgaben, wie Ausspähen, Verschlüsseln oder Löschen von Daten.
sind häufig Türöffner für weitere Malware.
sind weit verbreitet, können aber mithilfe entsprechender Software erkannt und neutralisiert werden.
Melden Sie sich für den O2 Business Newsletter an und erhalten Sie Informationen zu weiteren Themen, Aktionen und Sonderangeboten für Geschäftskunden.
Bei Trojanern handelt es sich um getarnte Malware, die verschiedene Aufgaben erfüllen kann. Die Schadsoftware läuft in der Regel im Hintergrund und kann z. B. Daten ausspionieren, verschlüsseln oder löschen, Tastenanschläge aufzeichnen, Hintertüren öffnen oder weitere Malware auf dem befallenen System installieren.
Sie werden zudem zur Verbreitung von Ransomware eingesetzt, die Daten verschlüsselt, um anschließend ein Lösegeld zu fordern. Auch die Löschung oder Ausspähung sensibler Daten ist möglich.
In den meisten Fällen sind Trojaner hochgefährlich – besonders für Unternehmen und Behörden. Sie ermöglichen Cyberkriminellen beispielsweise Zugriff auf sensible Daten oder können helfen, ganze Computersysteme und Netzwerke zu übernehmen. Zudem laden sie häufig weitere Schadsoftware nach, die weiteren Schaden verursacht.
Häufige Anzeichen für Trojaner sind etwa eine verminderte Systemleistung, verschwundene Daten oder ungewöhnliche Pop-ups. Mit einem Anti-Virus-Programm lassen sich die meisten Trojaner erkennen und entfernen.
Passend zum Thema