Malware beim Webdesigner

Shownotes

Heute erzähle ich die Geschichte einer Webdesignerin, deren mit Malware infizierter Computer eine Kettenreaktion auslöste, die zahlreiche Websites von Kunden gefährdete.

Und sie bemerkte die Malware nicht einmal.

Checkliste downloaden

Links

BSI: Digitale Rettungskette – Hilfe bei einem IT-Sicherheitsvorfall

Verbraucherzentrale: Virus auf dem Gerät – Was tun?

Ionos: Website vor Malware schützen

Exali.de: WordPress-Hack: Ist der Webdesigner haftbar?

Transkript

Anja ist eine talentierte Webdesignerin mit einem Auge für Ästhetik und einem Herz für ihre Kunden. Nach etlichen Jahren in einer Agentur hat sie sich letztes Jahr selbstständig gemacht.
Sie wollte raus aus dem Hamsterrad, ihre Zeit selber einteilen.

Aber vor allem liebt sie es Webseiten bauen, die ihre Kunden wirklich brauchen. Sie möchte anderen Selbstständigen und kleinen Unternehmen dabei helfen, gesehen zu werden.

Angriff aus Sicht des Opfers

Der Beginn der Infektion

Heute hat Anja ein besonders anspruchsvolles Projekt. Ein kleines Unternehmen aus der Region hat sie beauftragt, seine in die Jahre gekommene Website komplett neu zu gestalten. Mit jedem abgeschlossenen Abschnitt wächst ihre Zufriedenheit.

Sie ist so in ihre Arbeit vertieft, dass sie die eingehende Email kaum bemerkt. Die Anfrage eines neuen Kunden. In Gedanken noch bei ihrem aktuellen Projekt, öffnet sie die Email.

Die Anfrage scheint unkompliziert zu sein, und ohne lange zu zögern, öffnet sie den Anhang. Sie scannt das Dokument kurz und stellt fest, dass es sich um eine Standardanfrage für eine WordPress-Website handelt.

Was sie zu diesem Zeitpunkt noch nicht weiß: Mit dem Öffnen des Dokuments hat sie eine Kettenreaktion ausgelöst, deren Folgen sie sich nicht vorstellen kann. Denn das Dokument enthält Malware.

Die Malware, die sich im Anhang versteckt, schleicht sich unbemerkt in ihr System ein und verankert sich an strategisch wichtigen Stellen. Anja merkt nichts und arbeitet weiter.

Exkurs: Was ist Malware?

Malware ist der Oberbegriff für bösartige Software, die entwickelt wurde, um Computersysteme zu schädigen. Malware kann verschiedene Formen annehmen und unterschiedliche Ziele verfolgen.

Umgangssprachlich wird Malware oft einfach als Virus bezeichnet. Ein Virus ist jedoch nur eine Form von Malware.

Neben Viren sind auch Trojaner, Ransomware, Würmer oder Adware bekannte Arten von Malware. Grundsätzlich handelt es sich aber bei allen um schädliche Programme die einfach unterschiedliche Funktionen haben und sich auf unterschiedliche Arten verbreiten.

Apropos: Hinweis zum Thema Malware auf dem Computer

In der Folge “Ransomware beim Fotografen” hatte ich den Tipp gegeben, den infizierten Rechner auszuschalten. Nun hat mich ein aufmerksamer Zuhörer (danke Marius), der sich wirklich mit der Materie auskennt, darauf hingewiesen, dass es eher kontraproduktiv ist, den Computer auszuschalten, weil man damit den Arbeitsspeicher löscht. Und damit möglicherweise Beweise, die für IT-Forensiker oder Strafverfolgungsbehörden wichtig sein könnten.

Und gerade wenn Kundendaten oder wie in unserem heutigen Fall deren Webseiten betroffen sind, sollte man sich Hilfe holen und den Vorfall melden. Das geht zum Beispiel über die kostenlose Hotline der „Digitalen Rettungskette“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dort ist ein Experte am Telefon, der dir hilft, den Vorfall einzuschätzen und dir erklärt, was jetzt zu tun ist.

Den Link zu der Seite des BSI, auf dem du dann auch die Telefonnummer findest, ist wie immer auf der Episodenseite bei HackerFrei.de zu finden und auch in den Shownotes. Speicher dir den Link am besten ab oder schreib dir die Telefonnummer der Hotline ganz analog auf ein Blatt Papier, damit du sie im Notfall schnell zur Hilfe hast.

Die stille Verbreitung

Anja arbeitet weiter an ihrem Projekt und denkt gar nicht mehr an die Email. Sie ist so in ihre Arbeit vertieft, dass sie die kleinen Veränderungen an ihrem Computer gar nicht bemerkt.

Die Schadsoftware, die sich tief in ihrem System eingenistet hat, beginnt mit ihrer Arbeit.

Während Anja weiter an den Webseiten ihrer Kunden arbeitet, bleibt die Schadsoftware im Hintergrund aktiv. Sie sucht gezielt nach sensiblen Informationen wie Passwörtern, Kundendaten und Quellcodes. Die gesammelten Daten werden verschlüsselt über das Internet an einen unbekannten Server übertragen.

Gleichzeitig beginnt die Malware, die Verbindungen zwischen Anjas Computer und den Servern ihrer Kunden zu infiltrieren. Mit jedem Website-Upload schleicht sich die Malware unbemerkt weiter und verankert sich auf den fremden Systemen. So entsteht ein Netzwerk infizierter Systeme, das sich nach und nach ausbreitet.

Für Anja bleibt diese Entwicklung zunächst unbemerkt. Sie konzentriert sich auf ihre Arbeit und bemerkt nicht, dass ihr Computer und die Webseiten ihrer Kunden bereits in Gefahr sind.

Die unsichtbare Bedrohung

Auch in den nächsten Tagen bemerkt Anja nichts. Doch mit jedem Tag, den die Schadsoftware unentdeckt bleibt, richtet sie mehr Schaden an.

Erst nach einigen Tagen bemerkt Anja erste ungewöhnliche Vorkommnisse. Ihr Computer wird langsamer, Programme stürzen ab, Dateien verschwinden spurlos.

Zunächst schiebt sie die Probleme auf das Alter des Computers. Doch als auch ihre Internetverbindung instabil wird und seltsame Fehlermeldungen auftauchen, merkt sie, dass etwas nicht stimmt.

Beunruhigt beginnt sie, ihr System nach Viren zu durchsuchen. Doch ihre Antiviren-Software schlägt keinen Alarm. Die Schadsoftware ist zu gut getarnt, um entdeckt zu werden.

Je länger die Malware unentdeckt bleibt, desto größer wird die Gefahr für Anja und ihre Kunden.

Und Anja fühlt sich zunehmend hilflos. Sie ist verunsichert. Irgendetwas stimmt nicht mit ihrem Computer, aber was ist es? Gibt er langsam den Geist auf oder hat sie sich einen Virus eingefangen? Sie weiß es einfach nicht.

Die Entdeckung

Eines Morgens erhält Anja eine dringende Nachricht von einem ihrer größten Kunden. Seine Website ist plötzlich nicht mehr erreichbar. Er kann sich nicht mehr einloggen und wenn er die Website aufruft, ist da nur ein weißer Bildschirm.

Anja beschließt, einen Blick darauf zu werfen. Sie loggt sich auf dem Server ein und sucht nach dem Fehler.

Doch sie findet nichts Ungewöhnliches. Alle Dateien scheinen intakt und auch die Datenbank ist nicht beschädigt. Dennoch ist die Seite nicht erreichbar.

Irgendetwas stimmt nicht. Anja beginnt, die Logfiles zu überprüfen und stößt tatsächlich auf etwas Merkwürdiges: Eine Reihe unbekannter Zugriffe auf das Backend aus verschiedenen Ländern.

Die Seite scheint gehackt worden zu sein.

Die Nachricht von der kompromittierten Website verbreitet sich schnell unter Anjas Kunden. Innerhalb weniger Tage melden sich weitere Kunden mit ähnlichen Problemen.

Einige berichten von seltsamen Pop-ups, die auf ihren Webseiten erscheinen, andere von veränderten Inhalten oder verschwundenen Produkten. Ein Kunde stellt sogar fest, dass seine Kreditkartendaten gestohlen wurden.

Angriff aus Sicht des Hackers

Was ist hier passiert? Schauen wir der Hackerin (ja, heute haben wir eine Hackerin am Start) über die Schulter:

Die Hackerin hat es auf Anja abgesehen, denn sie hat Zugang zu vielen Kunden-Websites. Das zeigt ihre beeindruckende Galerie erfolgreicher Projekte. Und für die interessiert sich die Hackerin – eine Goldgrube für sie.

Der erste Schritt ist einfach. Sie schickt Anja eine Phishing-Email, die wie eine normale Kundenanfrage aussieht. Der Anhang, eine scheinbar harmlose Datei, ist jedoch mit einer besonders raffinierten Schadsoftware infiziert. Diese Malware, ein sogenannter Trojaner, tarnt sich als harmlose Software und schleicht sich unbemerkt in Anjas Computersystem ein.

Sobald Anja den Anhang öffnet, ist der Weg frei. Der Trojaner nistet sich tief im Computer ein und beginnt mit seiner Arbeit. Er stiehlt Passwörter, durchsucht Emails und macht sogar Screenshots. Alle Daten werden verschlüsselt auf den geheimen Server der Hackerin übertragen.

Die Ausbreitung des Virus

Doch das war erst der Anfang. Ziel der Hackerin ist es, die Websites von Anjas Kunden zu infiltrieren. Jedes Mal, wenn Anja eine neue Website hochlädt oder Änderungen an einer bestehenden Website vornimmt, nutzt der Schädling die Gelegenheit, sich zu verbreiten.

Auf den Servern der Kunden sucht die Hackerin dann nach Schwachstellen. Vor allem bei WordPress-Systemen wird sie fündig. Diese Systeme sind sehr beliebt, aber leider auch sehr anfällig.

Sobald die Malware auf einem Server Fuß gefasst hat, beginnt sie auch hier mit ihrer Arbeit. Sie schafft sogenannte Backdoors, geheime Zugänge, durch die die Angreiferin jederzeit auf die Server zugreifen kann.

Sie verändert den Quellcode der Webseiten, um beispielsweise versteckte Links einzubauen, und sie hat Pop-Ups geschaltet. Diese führen zu ihren täuschend echt aussehenden Phishing-Seiten, auf denen die Besucher ihre persönlichen Daten eingeben sollten.

Gleichzeitig löscht unsere Hackerin Inhalte, fügt neue hinzu oder bringt einfach alles durcheinander.

Die Beute der Hackerin.

Am Ende hat unsere Hackerin eine riesige Datenbank mit gestohlenen Daten. Kreditkartennummern, Passwörter, persönliche Informationen – alles ist da.

Mit diesen Daten kann sie viel machen: Sie kann sie verkaufen, Identitäten stehlen oder einfach nur Spaß haben und Chaos stiften.

Was unsere Hackerin sonst noch mit Webseiten anstellen kann

Hacker können viele böse Dinge mit einer gehackten Website anstellen.

Sie können die Website so verändern, dass sie für Besucherinnen und Besucher unbrauchbar wird. Oder sie können die Website so einrichten, dass sie Schadsoftware auf den Computern der Besucher installiert. Das kann alles sein, von Spyware, also Software, die ausspioniert, bis hin zu Ransomware, die die Daten des Besuchers verschlüsselt und nur gegen Lösegeld wieder freigibt.

Doch das ist nicht alles.

Hacker können auch Spam-Bots installieren. Diese versenden dann massenhaft Spam-Mails, bis die Email-Adresse des Besitzers kompromittiert ist und sein Ruf schwer geschädigt ist.

Und natürlich wird auch gestohlen, was nicht niet- und nagelfest ist. Kundeninformationen, Zahlungsdaten oder auch andere sensible Geschäftsdaten.

Noch schlimmer ist es, wenn die Website für illegale Aktivitäten missbraucht wird, zum Beispiel für den Verkauf illegaler Waren oder für Phishing-Angriffe.

Manchmal dient die gehackte Website auch nur als Ausgangspunkt für weitere Angriffe, um andere Systeme zu infizieren. Sie wird also als Sprungbrett benutzt.

Die Folgen einer gehackten Website

Die Folgen eines Hackerangriffs können verheerend sein. Betroffene Unternehmen können erhebliche finanzielle Schäden erleiden, ihre Reputation und das Vertrauen ihrer Kunden verlieren.

Auch rechtliche Konsequenzen sind nicht auszuschließen. Unternehmen können wegen Datenschutzverletzungen belangt werden und müssen unter Umständen hohe Bußgelder zahlen.

Zudem kann die Website für längere Zeit nicht erreichbar sein, was zu erheblichen Umsatzeinbußen führen kann.

Ganz zu schweigen vom Google-Ranking der Website. Stellt Google Malware oder andere Angriffe auf die Website fest, wird diese markiert und ein Platz auf Seite 1 der Google-Suchmaschine ist für lange Zeit Geschichte.

Ausgang der Geschichte

Anja ist verzweifelt, als ein Kunde nach dem anderen anruft. Sie fühlt sich für das Chaos verantwortlich und erkennt, dass sie ihre Kunden enttäuscht hat.

Tagelang versucht sie, die Schadsoftware zu entfernen und die Webseiten wiederherzustellen, doch es ist ein aussichtsloser Kampf. Zu tief hat sich die Malware in den Systemen eingenistet und Anja wird sie einfach nicht los.

Sie sucht professionelle Hilfe und wendet sich an eine IT-Sicherheitsfirma. Diese bestätigt ihre schlimmsten Befürchtungen: Ihre Systeme sind mit einer hochprofessionellen Schadsoftware infiziert.

Der Experte erklärt Anja, dass die Malware in der Lage ist, sich selbst zu replizieren und zu verbreiten. Sie hat Hintertüren in den Systemen hinterlassen, durch die sich der Hacker jederzeit wieder Zugang verschaffen kann. Um die Situation in den Griff zu bekommen, muss Anja alle Geräte komplett neu aufsetzen. Das gilt auch für die Webseiten und Server ihrer Kunden.

Zum Glück waren Anjas Kunden sehr verständnisvoll. Aber die letzten Wochen waren sehr anstrengend. Anja hat eine Spezialfirma beauftragt, die Webseiten ihrer Kunden von der Malware zu befreien. Das war nicht ganz billig. Aber sie wollte sichergehen, dass die Webseiten ihrer Kunden wieder tipptopp sind.

Auch die anderen Folgen der Malware versucht Anja für ihre Kunden zu beseitigen. Sie hat viele Stunden damit verbracht, die SEO der Seiten zu verbessern, um den Ranking-Schaden auszugleichen.

Trotzdem ist der finanzielle Schaden, den die Kunden durch den Ausfall ihrer Webseiten erlitten haben, hoch. Und ihr Ruf als zuverlässige Webdesignerin hat schwer gelitten. Es wird lange dauern, bis sie ihren guten Ruf wiederherstellen kann.

Learnings

Malware erkennen

Malware ist eine böse Sache. Aber woher weiß man, dass man Malware auf seinem Computer, Laptop, Tablet oder Smartphone hat?

Am einfachsten ist es natürlich, wenn die Antivirensoftware anspringt. Aber wie gesagt, auch die meldet sich nicht immer.

Es gibt jedoch einige Anzeichen dafür, dass sich dein System etwas eingefangen hat:

• Läuft dein Computer oder Smartphone plötzlich viel langsamer als sonst?
• Stürzen Programme öfter ab als sonst?
• Tauchen plötzlich Pop-ups oder Werbung auf?
• Hat sich die Startseite deines Browsers oder deine Suchmaschine ohne dein Zutun geändert?
• Laufen im Task-Manager Prozesse, die du nicht zuordnen kannst?
• Sind Dateien plötzlich verschwunden oder unbrauchbar?
• Zeigt dein Virenscanner ungewöhnliche Netzwerkaktivitäten an?
• Benötigt dein Computer plötzlich mehr Ressourcen als sonst?

Wenn du eines oder mehrere dieser Anzeichen bemerkst, kann es sehr gut sein, dass dein Gerät mit Schadsoftware infiziert ist. In diesem Fall solltest du sofort handeln und deinen Computer scannen.

Was tun bei einer Infektion?

1. Trenne sofort die Verbindung zwischen dem betroffenen Gerät und dem Internet: Je länger die Verbindung bestehen bleibt, umso größer ist die Gefahr, dass sich die Schadsoftware, zum Beispiel im ganzen WLAN-Netzwerk ausbreiten kann oder die Malware Kontakt zum Hacker aufbauen kann.
2. Starte einen Virenscan: Verwende eine zuverlässige Antivirensoftware, um deinen Computer gründlich zu scannen und die Malware zu entfernen. Am besten ist es, wenn du bereits eine Antivirenscanner auf deinem Rechner
3. Setz deinen Computer zurück: Wenn der Virenscan nicht erfolgreich war, bleibt dir nichts anderes übrig, als deinen Computer auf die Werkseinstellungen zurückzusetzen.
4. Passwörter von Online-Konten ändern: Du solltest nun als Vorsichtsmaßnahme alle deine Passwörter ändern, da du nicht wissen kannst, was die Schadsoftware auf deinem Gerät sehen und erfassen. Am besten nutzt du hierfür direkt einen Passwort-Manager.
5. Achte auf verdächtige Aktivitäten: Beobachte deine Geräte, die mit im selben Netzwerk oder WLAN sind und deine Online-Konten auf verdächtige Aktivitäten. Das können zum Beispiel verdächtige Anmeldeversuche sein, die du nicht getätigt hast. Oder auch Emails zum Zurücksetzen des Passworts. Oder ungewöhnliche Transaktionen. Sei einfach wachsam!
6. Sollten Schwierigkeiten auftreten, solltest du einen Fachmann zu Rate ziehen. Da gibt es zum Beispiel das Cyber-Sicherheitsnetzwerk des BSI. Hier bekommst du kostenlose Auskunft und Unterstützung im Falle eines IT-Sicherheitsvorfalls. Die Experten helfen dir, das Risiko und die Gefahr des Angriffs einzuschätzen und helfen dir bei den nächsten Schritten. Den Link zu diesen Angebot findest du wie immer auf meiner Website und in den Shownotes.
7. Informiere dich: Halte dich über die neuesten Bedrohungen im Internet auf dem Laufenden. Abonniere dafür am besten diesen Podcast und lerne jede Woche wieder etwas Neues über digitale Sicherheit und mögliche Angriffs-Szenarien.

Was kann man also tun, damit einem so etwas nicht passiert?

Vorsicht

Die beste Verteidigung gegen Malware ist Vorsicht. Denn Malware kommt nicht einfach so auf deinen Computer. Wie ein Krankheitsvirus muss sie sich irgendwo eingefangen haben. Gott sei Dank ist es einfacher, sich vor Computerviren zu schützen.

Die wichtigsten Gebote sind:

• Lade nichts herunter, von dem du nicht sicher bist, dass es virenfrei ist. Benutze einen Online-Virenscanner oder dein Antivirenprogramm, um Downloads zu überprüfen, bevor du sie öffnest.
• Lade sowieso nur von vertrauenswürdigen Quellen herunter. Wenn zum Beispiel kostenpflichtige Software irgendwo kostenlos zum Download angeboten wird, hat das einen Grund und meistens keinen guten.
• Öffne keine Anhänge von Emails, die du nicht vorher auf Viren überprüft hast.
• Sei auch vorsichtig bei Emails von Personen, die du kennst. Immer häufiger verwenden Hacker dir bekannte Email-Adressen oder sogar Namen, um infizierte Anhänge oder Links zu Phishing-Seiten zu verschicken.
• Meide verdächtige Webseiten und höre auf deinen Browser. Wenn dein Browser dich vor dem Besuch einer Website warnt, dann weiß er meistens mehr als du.
• Und klicke nicht auf Werbung, die rechts, links, oben oder unten auf Webseiten oder Social-Media-Seiten erscheint. Viren durch Werbung sind eine Sache!

Antiviren-Software

Programme, die Viren erkennen, bevor sie Schaden anrichten können, sind eine gute Sache. Du solltest ein solches Programm auf deinen Geräten haben.

Aber: Anti-Malware-Software bietet keinen hundertprozentigen Schutz. Ohne regelmäßige Updates funktioniert sie nur halb so gut und sie erkennt nur bekannte Schadsoftware.

Auch mit einem solchen Programm gilt also: Vorsicht ist besser als Nachsicht.

Updates

Auch wenn es nervt und immer wieder gesagt wird: Halte alle deine Systeme auf dem neuesten Stand. Updates und Patches haben immer einen guten Grund. Sie schließen Sicherheitslücken, durch die sonst Hacker in dein System eindringen könnten. Also sei besser “safe than sorry” und investiere die paar Minuten, wenn ein Update ansteht.

Spezielle Tipps für Webdesigner

Um deine Kunden-Websites bestmöglich zu schützen, empfiehlt es sich, neben der Nutzung lokaler Server auch den Einsatz von virtuellen Maschinen oder Containerlösungen in Betracht zu ziehen.

Virtuelle Maschinen bieten eine zusätzliche Isolationsebene, die bei einem Sicherheitsvorfall helfen kann, die Auswirkungen zu minimieren.

Ergänzend dazu gelten für dich natürlich besonders die gerade genannten Regeln: Du solltest deine Arbeitsgeräte besonders regelmäßig und zeitnah updaten, eine wirklich robuste Sicherheitssoftware (also Antiviren- und Anti-Malware-Programme und Firewalls) laufen haben, eine durchdachte Backup-Strategie haben und vor allem dein Verhalten im Internet so anpassen, dass du möglichst sicher unterwegs bist.

Und trenne deine verschiedenen Projekte. Wenn eine deiner Kundenseiten infiziert ist, sind wenigstens die anderen sicher.

Fazit

Malware ist ein großes Thema, vor allem wenn man beruflich auf Kundensysteme zugreift. Viel zu schnell ist etwas passiert und das Kind in den Brunnen gefallen.

Überprüfe deine Sicherheitsvorkehrungen für einen solchen Fall und habe einen Notfall-Plan in der Schublade, damit du weißt, wie du reagieren musst, wenn etwas passiert.

Vergesse nicht, dir die Notfall-Liste herunterzuladen!

Und wie gesagt, sei immer vorsichtig und misstrauisch im Internet. Mach es Hackern nicht zu leicht.

Alles Liebe, Frida

Hey, ich bin Frida, dein Podcast-Host bei den Hacker-Geschichten.

Wenn du Fragen oder Anregungen hast, schreibe mir gerne eine Nachricht!

Weiterhören

Weitere Folgen

Music

Calm at Sea – Folk Acoustic

Guitar Melody​ – Folk Acoustic