Ich werde nicht müde darauf hinzuweisen, wie unsicher Windows ist im Vergleich zu allen anderen Betriebssystemen. Damit soll natürlich nicht gesagt sein, dass Schadsoftware für andere Systeme wie Mac OS oder Linux nicht existieren und funktionieren kann – aber ein aktuelles Beispiel zeigt, welche zusätzlichen Hürden so eine Software in der Regel nehmen muss, um ihr Ziel zu erreichen.
Hier wird ein Angebot für zwei Mac-Schadprogramme näher beschrieben. Diese Programme werden aktuell im Darknet angeboten. Es handelt sich um ein Programm zur Überwachung eines Mac-Rechners, MacSpy, sowie einen Erpressungstrojaner namens MacRansom.
Die grundsätzliche Funktion dieser Programme entspricht dem, was man aus der Windows-Welt kennt. Im Darknet wird regelrecht Werbung für diese Programme gemacht, es gibt kostenlose Grundversionen und kostenpflichtige Zusatzmodule. Aus dem zugehörigen Werbetext kann man hervorragend entnehmen, warum Schadsoftware auf anderen Plattformen (Mac, Linux) trotzdem keine solche Rolle spielt und spielen wird wie unter Windows. Ich übersetze auszugsweise aus der Beschreibung des Erpressungstrojaners (der vollständige Text befindet sich in englischer Sprache auf der verlinkten Webseite):
Für wen ist dieses Programm?
- Personen, die es einem Mac-Benutzer heimzahlen wollen
- Personen, die an ahnungslosen Familienmitgliedern, Freunden, Kollegen und Klassenkameraden leichtes Geld verdienen möchten
Falls Sie über keine hervorragenden Überredungskünste verfügen, um das Ziel dazu zu bringen, die Software selbst herunterzuladen und zu installieren, benötigen Sie physischen Zugang zu dem Mac der Zielperson.
Damit das Programm schließlich sein gewünschtes Ziel erreicht, soll der Käufer angeben, wie viel Geld die Entschlüsselung erwirtschaften soll, wann und wodurch die Verschlüsselung gestartet werden soll usw. Der Käufer erhält ein Produkt nach seinen Bedürfnissen. Der oder die Programmierer behalten 30% des in Bitcoin zu zahlenden Lösegeldes.
Zur Rückverfolgbarkeit wird noch folgendes gesagt:
Die Herkunft des Programms lässt sich nicht nachweisen, es löscht sämtliche digitalen Spuren für Sie. Niemand wird Sie verdächtigen, und Sie können nach der Installation jede Verantwortlichkeit von sich weisen. Sie müssen lediglich Vorsicht walten lassen, auf welche Weise Sie das Programm installieren. Beispielsweise wäre es risikoreich, das Programm auf eine Clearnet-Webseite hochzuladen und die Zielperson anzuweisen, das Programm von dort herunterzuladen.
Es wird deutlich, worin das Problem liegt: es ist nicht einfach, einen Mac zu verseuchen. Das Programm wendet sich bewusst an Personen mit direktem Zugriff auf die Zielrechner, weil es viel schwieriger als in der Windowswelt ist, tatsächlich Ziele zu finden und erfolgreich anzugreifen.
Unter Windows werden Programme dieser Art bevorzugt über Spam-E-Mails verteilt, entweder direkt als Anhang oder als Verknüpfung zu einer Webseite mit einem Download. Häufig werden Funktionen wie die Makro-Technik von Microsoft Office oder Schwachstellen in Windows, Flash, Java usw. verwendet. Zwar wird das potentielle Opfer meist dahingehend manipuliert, die Datei zu öffnen oder herunterzuladen, aber es gibt nur wenige Mechanismen, die zusätzlich verhindern, dass ein solch Angriff funktioniert. Windows-Anwender sind es gewöhnt, Rückfragen bei administrativen Zugriffen, die sie sowieso nicht verstehen, mit einem OK abzunicken. So gelingen solche Massenangriffe problemlos bei einer mehr als ausreichenden Menge an Opfern.
Anders bei anderen Betriebssystemen. Es ist wesentlich schwieriger, hier automatische Infektionen zu erreichen. Andere Betriebssysteme bieten nicht so zahlreiche Hintertüren und Lücken, durch die die Schadsoftware sich installieren kann. Sie überfordern den Anwender nicht mit einer Flut von unverständlichen Rückmeldungen, die er reflexhaft wegklickt. Eine ausreichende Menge an gutgläubigen und mithelfenden Opfern zu finden, ist weitaus schwieriger.
Ein Mac, auf dem die hier beschriebene Software installiert wird, warnt davor, dass die Software nicht -wie eigentlich erforderlich- signiert ist und deshalb aus einer unbekannten und nicht vertrauenswürdigen Quelle stammt. Als Mac-Anwender ist man nicht gewöhnt, alle Naslang Treiber und Hilfsprogramme von irgendwoher zu beziehen, damit irgend etwas funktioniert. Die Wahrscheinlichkeit, die Installation doch weiterzuführen, ist also hoffentlich deutlich geringer.
Bei einem Linuxrechner müssten noch weitere Klippen umschifft werden: der Anwender müsste dazu gebracht werden, die Schadsoftware überhaupt ausführbar zu machen und dann auszuführen, und dann müsste die Schadsoftware auch noch genau zu der vorliegenden Distribution passen, um zu funktionieren.
Bezeichnend ist, dass die Absicherungshinweise in dem verlinkten Artikel über diese Mac-Schadprogramme nicht die übliche Reaktion enthalten, die man im Windows-Umfeld normalerweise antrifft: installieren Sie eine aktuelle Antivirenlösung. Stattdessen ist die primäre Schutzmaßnahme eine höchst sinnvolle, die leider unter Windows zwar möglich ist, aber in der Regel völlig vernachlässigt wird: legen Sie für jeden Benutzer des Systems eigene Konten an und schützen Sie diese durch geheime Passwörter.
Wenn es schon so weit ist, dass man Familienmitgliedern nicht mehr trauen kann, dann muss man unterschiedliche Konten verwenden, aber es ist auch aus vielen weiteren Gründen sinnvoll: Trennung von administrativen und allgemeinen Aufgaben, persönliche Browserhistorie und -favoriten und Zugriff nur auf eigene Dateien usw.
Dazu kommen regelmäßige Backups, die ebenfalls aus vielerlei weiteren Gründen wichtig sind. Werden diese zwei Sicherheitsmaßnahmen umgesetzt, kann die hier beschriebene Schadsoftware deт Mac-Anwender nicht schrecken.
