Was ist eigentlich Riskware?

Viele Benutzer von Emsisoft Anti-Malware finden bei einem Malware-Scan so genannte Riskware auf ihrem Rechner. Wer mit den vielen Anglizismen und Bedeutungen der Computerwelt nicht unbedingt so sehr vertraut ist, kann hier leicht stolpern und womöglich nicht schädliche, sondern absichtlich installierte Software ins Nirvana der Quarantänefunktion befördern. Daher möchten wir mit diesem Artikel aus der Emsisoft Wissensdatenbank einmal genauer erläutern, was Riskware eigentlich genau ist.

Riskware leitet sich zunächst einmal sehr simpel von den beiden englischen Begriffen „risk“ und „ware“ ab, zu Deutsch also in etwa „Risikoware“. Die „Ware“ bezieht sich hier natürlich rein auf Software und nichts Materielles. Es handelt sich also um Software, deren Installation ein Risiko für die PC Sicherheit darstellen kann, aber nicht zwangsläufig muss. In der Regel fallen relativ normale Programme in die Kategorie Riskware, denn einige Anwendungen können ihrer eigentlichen Bestimmung zweckentfremdet und gegen den PC Besitzer angewendet werden. Drei unterschiedliche Beispiele hierfür möchten wir folgend gern vorstellen.

Beispiel Nr. 1: IRC

Für etliche Millionen Nutzer des IRC (Internet Relay Chat – ein riesiges Chatsystem mit unzähligen Servern und Netzen) stellt sich die Qual der Wahl, mit welcher Client-Software sie darauf zugreifen möchten. „mIRC“, „Pirch“, Trillian und wie sie noch alle heißen mögen, potentiell passende Programme gibt es wie Sand am Meer. Und Emsisoft Anti-Malware erkennt sie eigentlich alle als Riskware. Nun mag man sich fragen, woran das liegt. Schließlich hat man das auserkorene Programm von der offiziellen Homepage herunter geladen, so dass eine Infektion mit einem Schädling ausgeschlossen scheint. Das ist soweit auch richtig, denn das absichtlich installierte Programm selber stellt im Normalfall kein Risiko dar. Vielmehr gibt es einige Malwarearten, die auf einen eingebauten IRC Client zugreifen, um dem Autor der Malware zur Verfügung zu stehen. In der Regel handelt es sich hierbei um Trojaner, die sich nach Infektion des Systems in ein bestimmtes geheimes IRC Netzwerk verbinden. Dort sieht der Besitzer zum einen, wie viele infizierte Rechner ihm nun zur Verfügung stehen, zum anderen können die infizierten Rechner ab sofort über Tastaturbefehle in diesem IRC Netzwerk gesteuert werden.

Im Falle dieser IRC Netze spricht man auch von „Botnets“. Der IRC Client wurde hier keinesfalls absichtlich durch den PC Besitzer installiert, sondern durch den entsprechenden Trojaner. Die größten aufgedeckten Botnets umfassten mehrere 10.000 infizierte Rechner. Das ist eine sehr bedenkliche Anzahl, denn die Botnets werden so gut wie immer für Straftaten wie das Versenden von Spam oder sogar zum „Flooden“ (Überlasten) von bestimmten Webseiten oder gar Providern eingesetzt. Der Anwender merkt nur selten etwas von der Infektion und kann ganz normal weiter arbeiten und surfen. Jedenfalls bis zu dem Zeitpunkt, wo die Internetverbindung auf einmal extrem langsam wird – weil die komplette Bandbreite gerade für eine Attacke verwendet wird.

Die Anhänger eines gepflegten Chats im IRC brauchen nun aber keine Angst zu haben; eine normale Installation stellt für gewöhnlich kein Risiko dar.

Beispiel Nr. 2: VNC

Während das IRC eher zum Vergnügen genutzt wird, gibt es auch einige Programme, die Sie vielleicht für ihre tägliche Arbeit benötigen. Ein gutes Beispiel hierfür sind so genannte „Remote Desktop“ Anwendungen, die das absichtliche Nutzen eines entfernten Rechners ermöglichen. Beispielsweise „VNC“ in allen seinen Varianten ermöglicht es dem Anwender, auf einen Rechner mit dem passenden Server Programm zuzugreifen und ihn zu nutzen, als wäre es der eigene Computer vor Ort. Dabei ist es egal, wo der Host-Computer steht, sei es im Nachbarraum, ein paar Kilometer entfernt oder gar auf der anderen Seite der Erde. Eine einfache Internetverbindung und die Software reichen für die Fernadministration.

Nun können Sie sich die Tücke vermutlich schon vorstellen. Was ist, wenn jemand einen Trojaner auf meinen Rechner einschleust und über diesen nun noch ein vollkommen normales Programm wie VNC installiert? Viele Malware Scanner mögen den Trojaner früher oder später erkennen, nicht aber VNC, denn hierbei handelt es sich ja um ein vollkommen normales und an sich ungefährliches Programm. Dumm nur, dass der Angreifer damit die Kontrolle über den infizierten Rechner behält und damit buchstäblich machen kann, was er will.

Beispiel Nr. 3: FTP

Bei unserem letzten Beispiel handelt es sich um eines der meistgenutzten Protokolle im Internet – dem FTP. Das ausgeschrieben „File Transfer Protocol“ lautende Protokoll dient dem Transfer von Dateien im Internet. Die meisten Betreiber einer eigenen Homepage unter Ihnen dürften auch bereits einmal mit einem FTP Client Programm gearbeitet haben um die mühevoll erstellten Webseiten hochzuladen. Manche von Ihnen haben vielleicht auch schon einmal einen FTP Server auf dem eigenen Rechner installiert und sich dann gewundert, dass Emsisoft Anti-Malware jenen als Riskware erkennt. Nun, der Grund ist relativ simpel: Neben der Installation eines IRC Clients greifen einige Trojaner auch auf die Installation eines FTP Servers zurück. Auf diesem wird auch gleich ein passendes Benutzerkonto mit vollen Zugriffsrechten auf den kompletten Rechner angelegt. Sprich, der Angreifer hat, solange Sie mit dem Internet verbunden sind, volle Kontrolle über alle Ihre Dateien und kann hoch- und runterladen, was auch immer er möchte. Kein schöner Gedanke, oder?

Fazit

Sie sehen also, Riskware kann ein Risiko für die PC Sicherheit darstellen, muss es aber nicht. Eigenhändig und absichtlich installierte Programme können also von Emsisoft Anti-Malware als Riskware angezeigt werden. In diesem Fall kann man die Warnung aber in der Regel ruhigen Gewissens ignorieren oder das entsprechende Programm auf die Ausnahmen-Liste setzen damit es bei künftigen Scans nicht mehr erkannt wird. Wer allerdings bis dato unbekannte und am besten auch noch in dubiosen Verzeichnissen installierte Software als Riskware aufspürt, sollte diese genauer analysieren und gegebenenfalls schnellstmöglich entfernen. Dabei sollte allerdings auch nicht vergessen werden, dass das eine oder andere Programm auch durch andere Mitbenutzer des PCs den Weg auf die Festplatte finden kann.

Für Hersteller eines Sicherheitstools wie Emsisoft Anti-Malware gilt es oftmals, einen guten Kompromiss aus einerseits bestmöglichem Schutz für das System und andererseits so wenig Fehlmeldungen wie möglich zu finden. In diesem Sinne überlassen wir Ihnen die Möglichkeit, Riskware Meldungen zu deaktivieren. Stellen Sie sich Ihr Emsisoft Anti-Malware so ein, wie es Ihnen am besten gefällt und dennoch Ihrem Sicherheitsanspruch genügt.