Wie Hacker sich heimlich bereichern
Immer öfter generiert Schadsoftware digitales Geld auf Kosten von Nutzern. Diese können sich jedoch wehren.
(dpa) „Das System hat in der letzten Stunde Malware gefunden“, heißt es in der kurzen E-Mail, die Hajo Löffler an diesem Vormittag im Computerraum der Heinrich-Heine-Schule in Heikendorf bei Kiel erhält.
Löffler ist Informatiklehrer. Welcher Rechner den Virenalarm ausgelöst hat, findet er so schnell heraus wie dessen Ursache: Ein Schüler hatte eine Webseite mit Tipps zum Lernen aufgerufen, deren Inhalt genauso unverfänglich war wie die zugehörige Adresse. „Die Seite sah absolut seriös aus“, sagt Löffler. Das Problem dahinter: Sie lässt für ihren Betreiber unbemerkt Kryptogeld schürfen – auf Kosten des Besuchers. „Kryptojacking“nennt sich diese Schadsofware, die seit vergangenem Herbst verstärkt im Umlauf ist. Sie funktioniert sie nicht nur über Webseiten, sondern kann auch über Computerviren auf fremde Rechner gelangen.
Zwar sind die Kurse der gängigen Digitalwährungen derzeit weit entfernt von ihren Höchstständen von Ende Dezember vergangenen Jahres. Dennoch kann Kryptojacking bei einem Preis von nur 5 000 Euro pro Währungseinheit lukrativ sein. Denn die hohen Stromkosten, die beim sogenannten „Mining“– also dem Erzeugen oder Schürfen von Kryptogeld – entstehen, werden durch Ausnutzung der Prozessorleistung der Webseiten-Besucher einfach auf diese abgewälzt.
Die Betroffenen bekommen davon in vielen Fällen nichts mit. Ein paar Hinweise kann es aber geben. Zum Beispiel, wenn der Rechner immer langsamer wird, die Lüfter aufdrehen oder das Gerät unerwartet heiß wird. Dann, schreibt die Verbraucherzentrale Nordrhein-Westfalen, sollten Nutzer aufmerksam werden.
Der finanzielle Schaden hält sich bei alldem zwar in Grenzen – laut einer Berechnung des Computerfachmagazins c’t kann der erhöhte Stromverbrauch bis zu einem Euro pro Tag kosten. „Allerdings sind auch Fälle bekannt, wo der Prozessor Schaden genommen hat, weil er auf Hochtouren gelaufen ist“, warnt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
„Als Besucher müsste man zumindest einen Hinweis darauf bekommen, dass die Rechenleistung gerade für Mining-Aktivitäten in Anspruch genommen wird“, sagt Gärtner. „Das ist allerdings nicht immer der Fall.“
Auch auf der Lernseite gab es keine entsprechende Mitteilung. Für Löffler ein Unding. „Ich finde das hochgradig ärgerlich, weil es ja hinter meinem Rücken passiert“, sagt er.
René Bader von der IT-Sicherheitsfirma NTT Security spricht von einer rechtlichen Grauzone: „Halb legal, halb illegal. Wenn ein Angreifer den Code von einer fremden Website so manipuliert, dass er daraus in Form von Mining Kapital schlägt, dann ist das zweifellos illegal.“Für eine rechtliche Regelung sei der Aufwand momentan dennoch zu hoch. „Der entstandene Schaden steht ja in keinem Verhältnis zu dem Aufwand, den ein Gerichtsverfahren nach sich ziehen würde“, so Bader.
Daher raten Experten Internetnutzern vor allem, ihre Anti-Viren-Programme auf dem neuesten Stand zu halten und das von vielen Schürfprogrammen benötigte JavaScript abzuschalten. Browser wie Chrome oder Firefox hielten zudem Erweiterungen bereit, die Schürf-Software blockierten. Da auch Unternehmen sehr häufig Ziele von solchen Angriffen seien, sollten Mitarbeiter zudem stärker für das Problem sensibilisiert werden, so Bader.
An den Schul-PCs der Heinrich-Heine-Schule scheint das von Löffler installierte Antiviren-Programm seinen Dienst zumindest erfüllt zu haben. Er selbst hat sich für seine privaten Zwecke eine der Erweiterungen installiert, die solche unerwünschten Aktivitäten im Browser verhindern.
Die Lern-Webseite zeigt Besuchern inzwischen ein Hinweis, dass sie „Ihren Prozessor für Rechenoperationen“nutzen möchte. Von Kryptowährungen ist dabei allerdings nicht die Rede.
„Ich finde das hochgradig ärgerlich, weil es hinter meinem Rücken passiert.“
Hajo Löffler
Lehrer der Heinrich-Heine-Schule
in Heikendorf bei Kiel