Was versteht man unter einem Drive-by-Download?

Schadprogramme können nicht nur per E-Mail, sondern auch einfach beim Besuchen verschiedener Webseiten mit einem Browser (etwa Chrome oder Firefox) ohne Ihr Zutun auf Ihren Computer gelangen. Ein solcher Drive-by-Download kann im Extremfall zu einer völligen Blockierung Ihres Geräts führen, wenn auf diese Weise ein Erpressungstrojaner von Ihnen heruntergeladen wird. Was also ist ein solcher Drive-by-Download und wie können Sie sich vor ihm schützen?

Die technische Grundlage für einen Drive-by-Download

Für Sie als Internetnutzer ist das Laden einer Webseite das Ergebnis eines einzigen Klicks. Im Hintergrund führt Ihr Browser aber viele einzelne Aktionen aus. Der Browser sendet als so genannter Client Anfragen an Webserver, die oft viele einzelne Dateien übermitteln. Im Browser sehen Sie dann das Ergebnis, das der Browser aus allen diesen Dateien zusammengesetzt hat.

Die Struktur einer Webseite wird in HTML-Dateien festgelegt und ihr Aussehen in CSS. Zu den heruntergeladenen Dateien gehören aber auch Programme in der Sprache JavaScript, die jeder Browser ausführen kann und die das Verhalten der Webseite steuern. An sich ist es vorgesehen, dass diese JavaScript-Programme nur auf Daten Zugriff haben, die über dieselbe Webseite geladen wurden. Diese Zugriffsbeschränkung ist aber oft kompromittiert und solche Sicherheitslücken werden durch ein Drive-by-Download ausgenutzt.

Was ist ein Drive-by-Download?

„Drive-by“ bedeutet so viel wie „im Vorbeifahren“ und legt nahe, dass ein Drive-by-Download aus dem Laden von Dateien besteht, die schädliche Auswirkungen haben und die Sie nie bewusst herunterladen würden. Es stellt sich die Frage, warum dieser Download überhaupt erfolgt.

– Direkt verseuchte Webseite. Surfen Sie eine Webseite an, die unter der Kontrolle von Kriminellen steht, können Sie sich so per Drive-by-Download ein Schadprogramm auf Ihren Rechner herunterladen. Das ist relativ selten, denn dazu müssten die Angreifer Sie dazu bringen, eine bestimmte unbekannte Seite zu besuchen. Ein solcher Fall tritt am ehesten ein, wenn es sich um fragwürdige Seiten mit illegalem Inhalt handelt.

– Manipulation bekannter Webseiten. Diese werden von den Angreifern gehackt und mit Schadprogrammen verseucht, die dann an alle Besucher dieser Seite verteilt werden. Ein solcher Angriff ist natürlich umso lohnender, je populärer diese Webseite ist. Die Manipulation kann auch daraus bestehen, dass über Skripte andere Webseiten von Ihrem Browser unbemerkt nachgeladen werden. Diese Skripte stehen unter der Kontrolle der Angreifer, können Ihren Browser auf Sicherheitslücken untersuchen und entsprechende Schadprogramme nachladen, wenn solche Lücken gefunden werden.

Wie schützen Sie sich gegen einen Drive-by-Download?

– Software aktualisieren: In Browsern werden wie in anderen Softwarepaketen regelmäßig Sicherheitslücken gefunden. Die aktuelle Versionen haben die bisher gefundenen Lücken geschlossen und deshalb sollten Sie die aktuellste Version des Browsers verwenden. Wenn Sie Plug-ins in Ihrem Browser einsetzen, gilt der Rat auch für diese.

– Minimale Funktionalität: Zwar sind Funktionen wie JavaScript für viele Webseiten erforderlich. Trotzdem sollten Sie sich darüber im Klaren sein, dass sie mit deaktiviertem JavaScript sicherer unterwegs sind.

– NoScript: Für den Firefox-Browser gibt es das Plug-in NoScript, das Nachladen von Skripten blockiert.

– Adblocker: Ein Drive-by-Download per Adware kann nicht ausgeliefert werden, wenn Sie diese Ads allgemein blockiert haben. Das ist nicht nur aus Sicherheitsgründen von Vorteil, sondern erspart Ihnen auch die Belästigung durch diese Werbung. Der Brave Browser ist in dieser Hinsicht besonders effizient.

– Einschränken von Rechten: Surfen Sie mit den niedrigsten Rechten auf Ihrem Computer. Sind Sie als Administrator angemeldet, erhält eine möglicherweise heruntergeladene Malware Ihre Rechte als IT-Administrator und damit den vollen Zugriff auf Ihr Gerät. Sind Sie als normaler User eingeloggt, kann auch die Malware nicht von Administratorenrechten Gebrauch machen.

– Sandboxing: An sich sollte der Webbrowser seine JavaScript-Programme in einer Sandbox ausführen und damit die Zugriffsrechte des JavaScript-Codes stark einschränken. Falls das durch eine Sicherheitslücke ausgehebelt wird, kann eine zweite Sandbox helfen. Starten Sie Ihren Browser in einer solchen wie sandboxie-plus.com im Betriebssystem Windows, müsste die Malware auch aus dieser Sandbox ausbrechen, was wesentliche weitere Komplikationen mit sich bringt

Virtuelle Maschinen: Die Logik der Sandboxes lässt sich weiterführen zur Verwendung eines Betriebssystems, das nur die Steuerung für verschiedene virtuelle Maschinen bietet. Surfen Sie in einer dieser Maschinen und haben das Problem eines Drive-by-Downloads, brauchen Sie nur diese virtuelle Maschine zu löschen. Ein Angebot in dieser Richtung ist das System Qubes-OS.

– Backups: Das Anlegen von Backups ist in vielen Hinsichten eine gute Idee. Insbesondere ist es auch eine Lösung, wenn Sie sich per Drive-by-Download einen Erpressungstrojaner eingefangen haben und dieser den Zugang zu Ihren Daten blockiert. Statt ein Lösegeld zu bezahlen und auf die Freigabe der Daten zu hoffen, brauchen Sie dann nur Ihr System neu zu installieren.