Seit geraumer Zeit konzentrieren sich Computerkriminelle verstärkt auf die Sammlung vertraulicher Informationen von Computern argloser Anwender. Methoden, um Passwörter, PINs, TANs oder Kreditkartendaten zu schützen, werden damit bei Sicherheitssoftware immer wichtiger. Derzeit sind zwei Lösungen verbreitet, um dies zu gewährleisten. Ein Aufsatz von Nikolaj Grebennikov, dem stellvertretenden Leiter der Abteilung für Innovationen bei Kaspersky Lab stellt die Methoden Privacy Control und Verhaltensanalyse der Systemprozesse gegenüber.

Drei Arten des Diebstahls sind zu unterscheiden: Die Erste verleitet den Anwender selbst dazu, den Kriminellen die entsprechenden Informationen zu übermitteln, indem er durch gefälschte Aufforderungen, die meist per Spam-Mails verbreitet werden, in die Irre geführt wird. Diese Methode wird als Phishing bezeichnet.

Die zweite Art, vertrauliche Informationen zu stehlen, basiert auf der Beobachtung und anschließenden Protokollierung der Anwenderaktivität mit Hilfe trojanischer Programme, die als Trojan-Spies bezeichnet werden.

Bei der dritten Methode werden zum Diebstahl vertraulicher Daten schädliche, meist trojanische Programme der Kategorie Trojan PSW eingesetzt, die den Anwendercomputer nach vertraulichen Informationen durchsuchen und diese dann – ohne Beteiligung des Users – verdeckt an die Kriminellen weiterleiten.

Nahezu alle aktuellen, umfassenden Security Suites enthalten eine Komponente zum Schutz vertraulicher Informationen, die üblicherweise Privacy Control genannt wird und deren Hauptaufgabe darin besteht, die vertraulichen Daten auf dem Computer des Anwenders vor unberechtigtem Zugriff und vor Weiterleitung an Dritte zu schützen. Privacy Control basiert auf der Eingabe als vertraulich zu behandelnder Informationen durch den Anwender, woraufhin das Schutzprodukt den vom Computer ausgehenden Traffic analysiert und die entsprechenden Informationen herausschneidet bzw. verschlüsselt.

Leider kann diese Methode den Strom vertraulicher Informationen auf geschützten Websites nicht blockieren, da diese mit einem Protokoll arbeiten, in dem alle übermittelten Daten verschlüsselt werden. So wird verhindert, dass ein beliebiger Dritter den übertragenen Datenstrom analysieren kann. Zudem kann nicht vermieden werden, dass auch trojanische Programme im verschlüsselten Traffic beliebige vertrauliche Informationen vom Opfercomputer versenden. Zum anderen ist die Verwahrung aller vertraulichen Informationen an einem einzigen Ort prinzipiell keine sehr zuverlässige Schutzmethode.

Doch es existiert eine alternative Methode zum Schutz sensitiver Daten, die insbesondere in Kaspersky Internet Security 7.0 umgesetzt wurde und zwar als eines der Subsysteme der Komponente Anti-Spion. Bei diesem Ansatz wird das Verhalten aller Prozesse im System des Anwenders analysiert und bei Erkennen jeglicher verdächtiger Aktivität wird der Anwender entweder gewarnt oder die entsprechende Aktivität schon im frühen Stadium automatisch blockiert.

Die Analyse beschreibt eine Situation, in der das trojanische Programm Trojan-PSW.Win32.LdPinch mittels Verschlüsselung problemlos die Mehrzahl der Passwörter und anderer Daten von einem Computer stehlen kann, der von der Technologie Privacy Control geschützt wird. Ein Schutzsystem hingegen, das auf der Aktivitätsanalyse der geöffneten Anwendungen basiert und das in Kaspersky Internet Security 7.0 integriert ist, blockiert den Prozess der Datensammlung und verhindert die verdeckte Versendung der von Trojan-PSW.Win32.LdPinch zusammengetragenen vertraulichen Informationen.

Der Autor zieht schließlich das Fazit, dass die auf der Verhaltensanalyse der geöffneten Anwendungen und auf der Beobachtung verdächtiger Aktivität basierende Methode die weitaus effektivere Schutzmaßnahme ist. Als bedeutend weniger effektiv hat sich der Ansatz herausgestellt, bei dem die Schutzkomponente eine vom Anwender erstellte Liste vertraulicher Daten verwendet und zu verhindern versucht, dass diese Daten in den ausgehenden Traffic gelangen.