Mit einem Keylogger (in Deutsch: „Tasten-Rekorder“) lassen sich die Eingaben eines Benutzers an der Tastatur aufzeichnen und somit überwachen. Dabei können entweder sämtliche gemachte Eingaben oder aber auch nur spezielle Schlüsselwörter wie Passwörter oder PINs und dergleichen aufgezeichnet werden. Während früher Keylogger nur analoge Tastenanschläge erfassen konnten, können moderne Keylogger mittlerweile auch Mausbewegungen, Bildschirmfotos oder virtuelle Tastendrücke aufzeichnen.
Ein Keylogger ist somit vergleichbar mit einer Person, die direkt hinter dem Anwender steht, alles mitliest und die auf dem Bildschirm zu sehenden Informationen aufzeichnet.
Technisch gesehen, wird der Keylogger zwischen dem Betriebssystem bzw. direkt an dem Computer und der zu überwachenden Anwendung platziert, sodass keine Verschlüsselung umgangen werden muss. Mit der direkten Installation des Keyloggers im System oder dem Netzwerk des Opfers hat der Angreifer bereits die wichtigste Abwehrstellung (Sicherheitshürde) des Opfers überwunden. Ist ein Keylogger einmal im für ihn sicheren Systembereich installiert, ist das Aufspüren nur noch mit größerem Aufwand möglich. Dabei ist die Nutzung der Technologie selbst legal, allerdings deren nicht autorisierter Einsatz regelmäßig nicht. Das ist wenig verwunderlich, da diese Technologie sehr gerne in Zusammenhang mit Hackerangriffen oder Spionagefällen gebracht wird.
Welche Arten von Keyloggern gibt es?
Grundsätzlich kann zwischen zwei Arten von Keyloggern unterschieden werden: Die weniger weit verbreiteten Hardware-Keylogger und die heute meistens genutzten Software-Keylogger, die als Computerprogramme Verwendung finden.
Hardware-Keylogger
Ein Hardware-Keylogger ist ein meistens kleines physisches Gerät in Form eines Zwischensteckers, der zwischen Tastatur und Computer gesteckt wird. Nutzungsbedingt werden diese Geräte heutzutage kaum noch verwendet, da die meisten Nutzer mit Laptops oder Dockingstationen arbeiten und die Kabel sichtbar auf dem Tisch liegen. Ein nicht autorisierter dazwischengeschalteter Stecker würde da schnell auffallen. Alternativ werden auch solche Geräte zunehmend innerhalb der Computer oder sogar Smartphones verbaut, dass sie dann gar nicht mehr auffallen. So oder so benötigt ein Hacker physischen Zugang, um das Gerät zu installieren bzw. dazwischenzuschalten. Allerdings kann es bei nicht mit dem Internet verbundenen Rechnern oder Systemen auch oftmals der einzige Weg sein, um Daten aufzeichnen zu können.
Eingesetzt werden Hardware-Keylogger bei Angriffen auf Unternehmen und wenn bekannt ist, dass der angezapfte Computer über keine Internetverbindung verfügt. Dabei muss der Hacker sich zumindest einmal physischen Zugang zum Hardwarestandort verschaffen. Um an die vom Keylogger mitgeschriebenen Daten zu gelangen, muss der Angreifer sich ein weiteres Mal Zugang zum Gerät verschaffen, um den Stecker zu entfernen und auslesen zu können. Sollte er ein fortschrittlicheres Modell mit Funk oder WLAN zur Remote-Datenaufzeichnung nutzen, muss der Angreifer sich ebenfalls ein weiteres Mal Zugang zur Hardware verschaffen, wenn er durch Entfernung des Steckers auch die nachträgliche Entdeckung der Datenaufzeichnung verhindern möchte.
Weitere Varianten von Hardware-Keyloggern sind Geräte, die mit einer versteckten Kamera arbeiten und die Tastenanschläge filmen, oder Module, die direkt in eine Tastatur verbaut werden und somit von außen nicht sichtbar sind.
Software-Keylogger
Software-Keylogger sind kleine Computerprogramme, die auf der Festplatte des Ziels installiert werden und so die Tastenanschläge aufzeichnen und an den Angreifer übermitteln. Installiert wird diese Schadsoftware (Malware) meist durch einen Klick auf einen schädlichen E-Mail-Anhang oder durch den Besuch einer infizierten Webseite, was voraussetzt, dass eine Internetverbindung vorhanden ist. Da aber kein physischer Zugang zum entsprechenden Computer benötigt wird, bevorzugen Angreifer diese virtuellen Software-Keylogger.
Auch hier gibt es mehreren Varianten wie zum Beispiel Formular-Keylogger, die sämtliche Texte protokollieren, die in Website-Formulare eingegeben werden. Alternativ nisten sich Kernel-basierte Keylogger im Systemkernel des Betriebssystems ein. Das ist für Angreifer besonders attraktiv, da sie über die hier hinterlegten Administratorrechte uneingeschränkten Zugriff auf das Gesamtsystem erhalten können.
Keylogger erkennen und sich davor schützen
Hardware-Keylogger die nicht fest im Gerät verbaut sind, lassen sich relativ einfach erkennen. Am besten informiert man sofort die IT-Abteilung, entfernt das Gerät, entsorgt es aber nicht, um einen möglichen Angreifer zu identifizieren. Ein ordentliches Kabelmanagement hilft am besten gegen Hardware-Keylogger, da so äußerliche Änderungen an der Hardware schnell auffallen. Zudem gewährleistet ein striktes Zugangssystem, dass Angreifer erst gar nicht in die Nähe der Computer gelangen.
Software-Keylogger sind dagegen nach erfolgreicher Installation schon wesentlich schwerer zu erkennen, da diese meist in einem Unterverzeichnis gut versteckt werden. Teilweise können Überwachungstools dabei helfen, die ausgehende Kommunikation zu tracken und ungewöhnliche Datenabflüsse zu dokumentieren und Alarm zu schlagen; auch Antiviren-Programme können den Einsatz eines Keyloggers teilweise erkennen.
Der sicherste Weg zur Verhinderung von Keyloggern ist aber weiterhin die Vorsorge, dass solche Schadprogramme erst gar nicht auf dem eigenen System installiert werden. Dafür ist es wichtig, dass alle Programme inklusive des Betriebssystems immer auf dem neuesten Stand aktualisiert werden und Nutzer keine Links in E-Mails von unbekannten Quellen anklicken. Zudem helfen Mitarbeiterschulungen, die speziell das Thema Online-Sicherheit und zu empfehlende Sicherheitsmaßnahmen näher erläutern.
Darüber hinaus bietet regelmäßig auch die Zwei-Faktor- oder Multi-Faktor-Authentifizierung einen guten Schutz. Denn selbst wenn ein Angreifer die Passwörter mitlesen konnte, und so den ersten Sicherheitsfaktor überwinden kann, hilft dies dem Hacker wenig, solange er nicht die Sicherheitsmerkmale des zweiten Faktors für eine erfolgreiche Authentifizierung kennt.
Abschließend sei noch auf einen perfiden Trick von so manchen Hackern verwiesen: So lassen Angreifer mit böser Absicht externe Festplatten oder USB-Sticks im viel frequentierten, öffentlichen Raum liegen. Sie spekulieren darauf, dass der Finder das Speichermedium an das eigene System anschließt und sich bei der Verbindung mit dem System sowie durch das Klicken einer auf der Festplatte befindlichen Datei unwissentlich ein Keylogger installiert.