Wenn der Browser entführt wird

Eine der Plagen im Internet ist das so genannte Browser-Hijacking. Plötzlich tauchen bei jedem Internetbesuch Werbebanner von Schmuddelanbietern auf, die auch nach dem Neustart des Rechners im Browser erscheinen. Besonders häufig betroffen ist der auf fast allen Windows-PCs installierte Internet Explorer von Microsoft, Nutzer von anderen Browsern oder Betriebssystemen wie MacOS oder Linux dagegen kaum.

Das Belegen der Startseite mit einer zwangsweise installierten Werbeseite ist die häufigste Form der Browser-Entführung - aber leider nicht die einzige. "Im schlimmsten Fall ist ein entführter Browser gar nicht mehr zu gebrauchen", sagt Stefan Gehrke, Geschäftsführer von Mcert [Link entfernt] Deutsche Gesellschaft für IT-Sicherheit in Berlin. Und so kommt es zu der Entführung: Kleine Programme, so genannte trojanische Pferde, nutzen Sicherheitslücken im Computersystem aus und verändern dann die Browser-Einstellungen.

Die aggressivsten dieser Programme verändern alle im Browser abgespeicherten Internetadressen und wandeln sogar per Hand eingetippte Adressen ab, so dass der Surfer immer wieder auf Werbeseiten - in vielen Fällen Erotikseiten - landet, die der Architekt des Trojaners einprogrammiert hat. Andere Seiten aufzurufen, wird dann unmöglich.

"Entführungs-Seiten" können weitere Fallen enthalten

Mit Klicks von Internetnutzern auf Werbeseiten verdienen manche Trojaner-Pogrammierer ihr Geld - in diesem Fall entsteht kein Schaden für den Besitzer des entführten Browsers. Nicht selten hoffen die Übeltäter aber auf eine weit lukrativere Einnahmequelle: Dialer, die über Modem und ISDN Internetverbindungen zu überhöhten Preisen aufbauen können, sollen über den entführten Browser auf den Computer gelangen. "Wenn man feststellt, dass der Browser entführt ist, sollte man auf der aufgerufenen Seite nicht weitersurfen", warnt Frank Felzmann vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.

Diese Seiten könnten neben Dialern auch aktive Inhalte enthalten, die möglicherweise weiteren Schaden auf dem Computer anrichten. Die Browserentführung selbst stelle keine direkte Gefahr für den Computer oder das Betriebssystem dar, sagt Frank Felzmann. Sie ist hauptsächlich lästig. Einfangen kann man sich besagte Trojaner vornehmlich auf Webseiten, die auf schlecht gesicherten Servern liegen. "Auf offiziellen Internetseiten von Firmen oder Organisationen sollte so etwas nicht passieren", sagt Hendrik Fliermann, Technischer Leiter beim Hersteller von Antivirenprogrammen Panda-Software in Duisburg.

Hacker verstecken Programme, die den schädlichen Code ins Computersystem einschleusen, aber auch auf absichtlich infizierten Webseiten. Damit man den Browserentführern nicht in die Falle tappt, empfiehlt Gehrke, das Computersystem auf dem neuesten Stand zu halten und jeweils die neuesten Softwareverbesserungen, so genannte Patches, von der Microsoft-Internetseite herunterzuladen. Über die Schaltfläche Windows-Update in der Startleiste des Windows-Systems wird diese Funktion aktiviert. Überdies sei es ratsam, einen zweiten Browser wie Firefox oder Opera aus dem Internet herunterzuladen und als Reserve zu installieren.

Übliche Sicherheitsregeln beachten

Außerdem sollten die üblichen Sicherheitsregeln gegen Viren beachtet werden. Dazu gehört das Aufspielen eines aktuellen Virenscanners - auch wenn Trojaner, die es auf Browserentführung abgesehen haben, sich immer wieder an Virenscannern vorbeischummeln. E-Mail-Anhänge von unbekannten Absendern sollten nicht geöffnet, sondern sofort gelöscht werden.

"Mit dem Aufspielen des Service Pack 2 für Windows wird das Risiko einer Browserentführung stark minimiert", sagt Johannes Hemmerlein, Experte für Datensicherheit bei Microsoft in München. Die Sicherheitsarchitektur von Windows werde mit dieser Systemerweiterung grundlegend verbessert. Das Service Pack 2 kann von der Microsoft-Internetseite heruntergeladen werden, wird auf Anfrage aber auch kostenlos auf CD-ROM verschickt.

Die gefährlichste Phase für den Computer ist kurz nach dem Bekanntwerden einer Sicherheitslücke im Windows-System und der Zeit, die der Softwarehersteller benötigt, um entsprechende Patches bereitzustellen, die die Lücken wieder schließen. In dieser Phase versuchen die Programme der Browser-Entführer, die Windows-Registrierungs-Datei zu infizieren, eine Art Datenbank, in der alle für das Betriebssystem wichtigen Hard- und Softwareeinstellungen gespeichert sind. Dieses komplizierte System selbst zu reparieren und vom Trojaner veränderte Einträge zu löschen, sei zwar möglich, aber nicht ratsam. "Meistens macht man mehr kaputt, als man repariert", sagt Gehrke.

Weit sicherer sei es, spezielle Programme zu nutzen, die zum Entfernen der Einträge und der Schadsoftware angeboten werden. Ad-Aware von Lavasoft ist so ein Programm. Es ist einfach in der Handhabung und kann von Privatnutzern unentgeltlich unter www.lavasoft.de heruntergeladen werden. Auch das Softwaretool "SpyBot [Link entfernt] Search & Destroy" erfüllt diesen Zweck.