Keylogger und Anti-Keylogger-Tricks

Sie drücken die Taste [A], am Bildschirm erscheint wie durch ein Wunder A. Auf dem Weg dazwischen signalisiert die Tastatur dem PC den Tastendruck, der PC meldet ihn an Windows, danach meldet Windows ihn an die Anwendung. An allen Übergabepunkten ist der Tastendruck abhörbar: Im Kabel der Tastatur durch Hardware-Keylogger, in Windows durch Software-Keylogger.

  • Gegen Software-Keylogger (siehe Beitrag "Keylogger-Software", der demnächst erscheint) hilft meist nur Systemkenntnis, zur Not eine Antispyware (siehe "Anti-Keylogger-Tools", der ca. Ende der Woche irgendwann demnächst erscheint).
  • Gegen Hardware-Keylogger (->"Keylogger-Hardware") sind Tools machtlos, den hier befindet sich der Angreifer außerhalb des Systems und Ihnen bleiben nur Tricks, auf die ich gleich weiter unten eingehe, die dann aber sehr wirksam sind.

Warum setzt jemand Keylogger ein?

Die Welt ist schlecht, das hört in Digitalien nicht auf. Hacker und Cracker fischen blind nach Passwörtern. Neidische Kollegen wollen Ihnen ans Leder. Ihr Chef will Sie aushorchen oder kontrollieren. Ihr Ehemann oder Ihre Ehefrau wollen Sie ausspionieren. Eltern wollen wissen, was ihre Kinder tun. Teenies wollen wissen, was ihre Eltern tun (auch das gibt es). Neidische Konkurrenten wollen wissen, wie Sie Ihr Produkt entwickelt haben - Firmenspionage im Unternehmen wird in Deutschland ganz allgemein unterschätzt.

Ist das alles alltäglich? Nein. Es kommt halt vor. Die Frage ist wie immer, ob Sie eine Person sind, bei der sich Spionage lohnt.

Wo sind Sie einer Gefahr ausgesetzt?

Im Internet-Café ist die Gefahr am größten. Man muss sich das mal vorstellen: Sie zahlen X Euro und müssen sich oft auch noch gegenüber einer Privatperson ausweisen. Und diese hatte alle Zeit der Welt, den PC zu präparieren, an dem Sie sitzen. Anders gesagt: Ich würde mich an einem solchen Ort bestenfalls bei einem Wegwerf-Account anmelden. *grusel*

Im Unternehmen ist die Gefahr groß, denn Sie haben keine Kontrolle über den PC, die hat der Admin. Ich möchte Systemverwalter hier gewiss nicht unter Generalverdacht stellen. Doch Administratoren sind eben auch nur Menschen, das heißt, sie sind neugierig - oder sie haben Schwächen, die man ausnutzen kann (Belohnung, Erpressung). Es hängt alles davon ab, wie wertig das zu ermittelnde Geheimnis ist.
Zugleich wecken die Möglichkeiten digitaler Kontrolle zunehmend Begehrlichkeiten bei Arbeitgebern. Diese müssen eigentlich vor dem Einsatz von Überwachungssoftware die Genehmigung des Betriebsrates einholen. In einer Welt der Mitarbeiterüberwachung, in der Lidl mir auf den Kopf glotzt, T-Com und Bahn ihre Mitarbeiter abhört, würde ich mich allerdings nicht darauf verlassen, dass das wirklich passiert.
Ich will das alles an dieser Stelle nicht verurteilen; wer je eine Firma hatte, weiß, dass man pro Mitarbeiter drei Scheren pro Jahr anschaffen muss und dass das offene Schreibwarenschränkchen den Bedarf aller Familien aller Mitarbeiter deckt. Ich will nur verdeutlichen: Der Firmen-PC ist nicht Ihrer. Verhalten Sie sich also am besten auch so: Gehen Sie stets davon aus, dass Sie dort keine Privatsphäre haben.
Mal eben Mails* checken? Klar können Sie das tun, aber es besteht eben die Gefahr, dass im Zuge dessen Kontendaten anfallen, und die wichtigste Regel des Datenschutzes lautet: Daten, die da sind, verschwinden nicht mehr (wenn etwas verschwindet, dann stets nur die Arbeit der letzten halben Stunde vor dem Speichern ... :-).

* Ich empfehle ein Smartphone, um Mails diskret
auf dem WC checken zu können, statt am Arbeitsplatz.

Zuhause ist die Gefahr am geringsten. Sie können die Tastaturstecker selbst überprüfen; Sie haben die Tastatur angeschafft, können sie wechseln; Sie können Software nach gusto einsetzen, Antispyware starten, etc. Und dennoch: Keylogger stecken in allerlei Software drin, zum Beispiel in Banking-Trojanern. Erwachsende sollten zudem nicht die kriminelle Energie ihrer Kinder unterschätzen ...

Doch wie üblich sind Sie keineswegs machtlos. Hier drei Tricks:

Anti-Keylogger-Trick 1: Copy-Paste-Eingabe

Geben Sie einige oder alle Zeichen des Passworts per Copy & Paste ein, damit Hardware-Keylogger es nicht aufzeichnen können. Die Hardware-Keylogger können zwar die Tastenkombination sehen, die Cut [Strg X], Copy [Strg C] & Paste [Strg V] initiieren, aber nicht, was kopiert und eingefügt wurde, denn die Zwischenablage ist eine Funktion des Betriebssystems.

Das rettet natürlich nur Benutzernamen und Passworteingaben - zum heimlichen Chatten im Büro ist das nicht praktikabel. Die Wirkung ergibt sich auch nur bei Tastatur-Hardware-Keyloggern, also kleinen Tastaturspionen zwischen Ihrer Tastatur und Ihrem PC (oder gleich in Ihrer Tastatur).

Viele Software-Keylogger, die ich kenne, zeichnen die Zwischenablage auf - da reicht das nicht.

Anti-Keylogger-Trick 2a: Taskgeswitchedte* Eingabe

*(Geiles "Denglisch", oder?)

Als Steigerung bietet sich dieser lässige Trick an: Wechseln Sie bei der Eingabe von wichtigen Daten zwischen dem Dialog zur Eingabe dieser Daten und einer anderen Anwendung mit unwichtigen Eingaben (Browser, Notepad) hin und her.

Nochmal ausführlich, der Trick ist also dieser: Ihr Passwort lautet sesam, ihr "Verschleierungsbegriff" 1234567890; Sie wechseln mit [Alt Tab] zum Passwort-Dialog und geben s ein, dann [Alt Tab] zu Notepad und 1, [Alt Tab], dann e, [Alt Tab] 23 [Alt Tab] s [Alt Tab] 456 [Alt Tab] a [Alt Tab] 78 [Alt Tab] m [Alt Tab] 90 [Alt Tab] und [Enter]. Der Keylogger hat dann folgendes aufgezeichnet: s1e23s456a78m90.

Wie Sie sich unschwer vorstellen können, ist es natürlich wichtig, als PW nicht etwas so einfaches wie sesam und als Verschleierung nicht so etwas offensichtliches zu nehmen wie 1234567890, aber ich machte das hier nur im Beispiel, damit Sie den Effekt deutlicher sehen können. Lautet das Passwort sonuumbool176 und der Verschleierer net456cafe, dann entwirrt das keiner mehr - zumal es völlig egal ist, welche Buchstaben Sie zur Verschleierung verwenden, denn es zählen ja nur die wichtigen im Benutzerdateneingabedialog.

Hardware-Keylogger haben hier keine Chance. Software-Keylogger müssen schon clever sein, um das [Alt Tab] mit aufzuzeichnen und so den Trick zu entlarven. Man kann auch ohne [Alt Tab] die Tasks wechseln und zum Beispiel bei Win 7 einfach unten in der Startleiste aufs Icon klicken. Allerdings zeichnen die besseren Software-Keylogger auch auf, welche Anwendung im Moment der Aufzeichnung gerade läuft.

Es gibt dann aber diese Möglichkeit:

Anti-Keylogger-Trick 2b: Eingabefokus in der Anwendung wechseln

Wenn Sie wie im Trick 2a wahlweise Word oder einen Browser haben, dann ist relativ klar: Entweder geben Sie in Word etwas ein oder in den Browser.

Aber das geht auch innerhalb einer Website: Wenn Sie zum Beispiel ein Formular mit zwei Feldern haben (zum Beispiel: Benutzername und Passwort), dann müssen Sie ja erst ins jeweilige Feld klicken, um dem Browser klarzumachen, wohin er ihre Tasteneingaben lenken soll. Man spricht vom "Eingabefokus", der dann eben wahlweise beim ersten oder beim zweiten Feld liegt.

Aber jetzt kommt der Trick: Auf der Website, auf der Sie gerade ein Passwort eingeben müssen, können Sie auch einfach irgendwo in den angezeigten (!) Text klicken. Der Eingabefokus ist dann "nirgends", doch die Tasteneingaben bleiben und täuschen den Keylogger.

Im Wechsel: Eingabefokus bei 'Passwort' (werden ignoriert) und im zugehörigen Feld (werden übernommen)

Nochmal ausführlich: Ihr Passwort lautet sesam, ihr "Verschleierungsbegriff" 1234567890; Sie wechseln mit der Maus zum Eingabefeld "Passwort" der Website und geben s ein, dann klicken Sie auf einen statischen Text, zum Beispiel in das Wort "Passwort", geben zur Verschleierung 1 ein.  Dann wieder ins Passwortfeld (hinter das Ende) klicken, e, ins Wort Passwort klicken, 23, ins Passwortfeld klicken, s, ins Wort Passwort klicken, 456, a, ins Wort Passwort klicken, 78, ins Passwortfeld klicken, m, ins Wort Passwort klicken, 90 und abschließend auf "Anmelden" klicken. Der Keylogger hat dann folgendes aufgezeichnet: s1e23s456a78m90.

Der Unterschied zu vorher: Auch ein Keylogger, der weiß, welche Anwendung den Fokus hat, kriegt nichts mit, denn es hat immer die Anwendung "Browser" den Fokus. Der Keylogger müsste ermitteln, welches Feld den Fokus hat. Nicht unmöglich, aber derzeit kann das keiner. (Man widerspreche mir, falls doch).

Wichtig hierbei auch: wechseln Sie anders als hier Beispielhaft angegeben nicht einfach zwischen Passworteingabefeld und Wort "Passwort" hin und her, sondern bringen Sie auch hier Unregelmäßigkeit ins Spiel, indem sie auch mal zwei Mal den Fokus an verschiedene unwirksame oder wirksame Stellen setzen, auch mal nichts eingeben, auch mal was falsches und es dann korrigieren.

Anti-Keylogger-Trick 3: Virtuelle Tastatur nutzen

Auch nicht schlecht: Nutzen Sie eine virtuelle Tastatur auf dem Bildschirm.

Gibts nich gibts nich: Auch Sie haben eine! Bei Windows drücken Sie dazu einfach die Tastenkombination [Windows]+[U] und starten dann die Bildschirmtastatur; beim Mac suchen Sie nach Tastaturübersicht und schlagen sich durch (oder verwenden ein Tool) und bei GNU/Linux Ubuntu drücken Sie  [Alt F2] und geben onboard ein - schon startet die Screen-Tastatur.

Hier das Screen Keyboard von Windows 7:

Hier sind Hardware-Tastaturspione ohne Chance: Windows-7-Bildschirmtastatur

Statt zu tippen, klicken Sie also einfach die wichtigen Daten ein. Umständlich, aber es geht.

Aber: Jeder Mausklick des Benutzers ist in Windows technisch gesehen ein "Ereignis", kann daher von einer Software erkannt und ausgewertet werden. Einige Software-Keylogger fertigen bei jedem Click-Event einen Screenshot an. Das Ergebnis ist dann eine Reihe von Screenshots auf der virtuellen Tastatur, die das Kennwort erkennen lassen. Anders gesagt: 100% Schutz gegen Hardware-Keylogger, 0% Schutz gegen (moderne) Software-Keylogger.

Anti-Keylogger-Trick 4: Bestehendes überschreiben

Angenommen, das Passwort ist sesam233.

  • Gebe ich nun ein: s1eltsam199,
  • und lösche dann die letzten drei Zeichen, indem ich die 199 mit der Maus markiere und 233 eingebe (jetzt also: s1eltsam233),
  • mache weiter, indem ich dann das vierte und fünfte Zeichen mit der Maus markiere und [Entf] drücke (jetzt also: s1esam233),
  • dann die ersten beiden Zeichen mit der Maus markiere und s eingebe (jetzt also: sesam233),

dann habe ich nicht nur Sie verwirrt, sondern auch den Keylogger. Der Trick ist hier, dass die Keylogger - auch die softwarebasierten - nur Tasteneingaben aufzeichnen können, nicht aber Mausbewegungen und Mausmarkierungen, daher tarnt man auch hier das Passwort mit viel Drumherum.

Wichtig: Nicht nur das Passwort verschleiern!

Okay, jetzt also wieder der Tipp für Paranoide. Denn wenn Sie sich schon die Mühe machen, dann können Sie auch gleich konsequent sein. Das heißt: Verschleiern Sie mit den gebotenen Tricks stets nicht nur das Passwort, sondern auch den Benutzernamen. Warum? Ganz einfach: Wer Ihnen Benutzernamen kennt, der muss nur noch ihr Passwort herausbekommen. Wer aber noch nicht mal Ihren Benutzernamen kennt, der hat mehr Arbeit. Und wendet sich vielleicht einem anderen Zielobjekt zu.

Das gilt auch für Passwort-Merkzettel: Vermerken Sie darauf nicht nur das Kennwort nicht vollständig, sondern versuchen Sie, auch den Nutzernamen zu verschleiern. Wenn's halt geht. Das ist schon eher der Tipp für extremst Sicherheitsbewusste ...

Trick 5: Alle Tricks mischen

Helfen die Tipps da oben gegen wirklich gegen Keylogger?

Gegen Hardware-Systeme: ja.
Gegen Software-Systeme derzeit wahrscheinlich noch, aber nur, sofern Sie alle vier Methoden mischen und parallel anwenden. Langfristig aber eher nicht, einzelne Tipps werden bereits heute von Keyloggern ausgehebelt. Derzeit würde ich aber sagen, die Kombination der Tricks 1, 2a, 3 und 4 hilft gegen aktuelle Keylogger aller Art, gegen Hardware jeder einzelne sowieso & garantiert.

Hardware-Keylogger und Software-Keylogger stelle ich ausführlich ein weiteren Beiträgen vor.
Ein kurzer Ausblick:

Keylogger-Hardware

PS/2- und USB-Keylogger

Hardware-Keylogger gibt es als Tastaturanschluss-Zwischenstücke für PS/2 und USB, Chip-Module für den Einbau in Tastaturen, als fertige Tastaturen mit eingebauten Keyloggern und natürlich in Sonderformen, meist für das Abgreifen von PINs an Bankautomaten. Wer glaubt, nur James Bond käme an so was ran, der irrt: Selbst bei Amazon.de kriegen Sie einen Tastaturspion für USB oder PS/2 für 110 bis 140 Euro, im Web gibt's noch billigere. Je nach Preis können die Dinger:

  • alle Tastenanschläge aufzeichnen
  • in Speicher zwischen 2 MByte und mehreren GByte
  • Versionen mit WLAN verschicken die Daten täglich per Mail über Ihren WLAN-Router.

Mehr dazu im Beitrag "Hardware-Keylogger".

Keylogger-Software

Keylogger-Programme zapfen einfach Ihre Tastatur an, bedienen sich also direkt an der Quelle, bei Windows. Die meisten können das folgende:

  • alle Tasteneingaben aufzeichnen
  • die gerade aktive Anwendung vermerken
  • Screenshots machen und speichern

Viele Keylogger-Programme kursieren in etwas, das man als "Hackerszene" bezeichnen könnte. Ich kann davor nur warnen.

Mehr dazu im Beitrag "Software-Keylogger", der demnächst erscheint.

-

Haben Sie Erfahrungen mit Keyloggern gemacht? Kennen Sie noch guter Abwehrtools oder Tricks? Sind Sie Privatdetektiv und haben eine würzige Anekdote für uns? Schreiben Sie doch einen Kommentar!

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren...

3 Antworten

  1. Nirsin sagt:

    Trick 3 ist Unsinn. Bildschirmtastaturen werden schon von frei im Internet erhältlichen Programmen ausgelesen.

  2. Stefan sagt:

    Ich bin auf der Suche nach einer virtuellen Tastatur, welche die Eingabe tätigt, wenn man x Sekunden über dem Buchstaben steht (also kein Mausklick nötig). So etwas sollte es geben, zumindest wurde bei Symantec in einem Anti-Keylogger-Bericht über eine solche Software gesprochen (ohne diese beim Namen zu nennen).