Nach Malware-Attacke auf 20 Minuten: Was Sie jetzt tun können

Sowohl auf den Computern von Bundesangestellten wie auch in grossen Unternehmen war oder ist die Website von «20 Minuten» gesperrt. Die News-Seite hat die Computer ihrer Besucher infiziert. Wie kann man so etwas verhindern? Sechs Antworten.

Video ««20 Minuten»-Trojaner kann Banküberweisungen tätigen» abspielen

«20 Minuten»-Trojaner kann Banküberweisungen tätigen

3:51 min, aus 10vor10 vom 8.4.2016

Bin ich gefährdet?

Grundsätzlich ja. Denn Webseiten werden regelmässig attackiert und können Träger von schädlicher Software sein. Im konkreten Fall wurden diejenigen Besucher von «20 Minuten» attackiert, welche die Newsseite mit ihrem Desktop-Computer aufgerufen haben. Nutzer, welche mit ihrem Smartphone entweder per App oder mit einem Browser auf die Seite zugegriffen haben, sind nicht betroffen.

Was ist das für eine Malware?

Sie trägt den Namen «Gozi». Dabei handelt es sich um einen Trojaner, der gezielt Daten von E-Banking-Accounts ausspioniert. Experte Guido Berger von SRF Digital sagt, dass «Gozi» bereits seit 2007 existiert. Über die Jahre wurde der Trojaner von Kriminellen ständig weiterentwickelt. Deshalb ist er nach wie vor gefährlich. Derzeit untersuchen Experten, ob die über die Website verteilte «Gozi»-Variante schädlich ist.

Zusatzinhalt überspringen

Hacker-Angriff versichern?

Cyber-Attacken häufen sich. Doch hierzulande gilt noch immer das Gesetz der Verschwiegenheit. Firmen wie auch Versicherungen hätten hier Handlungsbedarf, wie dieser Beitrag zeigt.

Wie funktioniert die Übertragung des Trojaners auf den Computer?

Dies kann beim herkömmlichen Aufrufen einer Website geschehen – gänzlich unbemerkt vom Nutzer. Die Melde- und Analysestelle Informationssicherung des Bundes, kurz «MELANI», warnt auf Ihrer Website, dass die Zahl solcher Angriffe zunehme, weil Attacken über Anhänge von E-Mails nicht mehr so effektiv seien:

«Es zeichnet sich immer mehr eine Verlagerung der Angriffsvektoren (von E-Mails mit Anhang oder Links) zu Webseiteninfektionen – sogenannten Drive-By Infektionen – ab. Die klassischen Wege der Malware-Verbreitung funktionieren wohl deshalb nicht mehr so gut, weil die Anwender mittlerweile sensibler reagieren: Es wird nicht mehr auf jeden, per E-Mail erhaltenen Link geklickt und seltsam anmutende Anhänge werden weniger geöffnet.»

Eine Hand bedient ein Notebook, darauf sind grüne Programmiercodes auf schwarzem Hintergrund zu sehen Bild in Lightbox öffnen.

Bildlegende: Malware wird vermehrt über Webseiten statt über E-Mail-Anhänge verbreitet. Keystone

Gemäss Tamedia-Mediensprecher Christoph Zimmer wurde der Trojaner im aktuellen Fall als Flash-Element auf die Website von «20 Minuten» eingeschleust.

Wie merke ich, dass ich betroffen bin?

Leider gibt es kein Verfahren, mit welchem eindeutig überprüft werden kann, ob «Gozi» auf dem heimischen Rechner installiert ist. Guido Berger rät, dass Nutzer ihre E-Banking-Konten innerhalb der nächsten Monate regelmässig auf Unregelmässigkeiten überprüfen – beispielsweise auf verdächtige Transaktionen. Denn «Gozi» könne auch wochenlang schlummern und erst dann aktiv werden.

Ist E-Banking denn überhaupt noch sicher?

Grundsätzlich schon. Denn die Schweizer Banken verwenden beim E-Banking-Login moderne Methoden wie die Zwei-Stufen-Authentifikation, also beispielsweise Bestätigungscodes per SMS. Auf diese kann «Gozi» nicht zugreifen. Berger schätzt die Gefahr, dass das E-Banking-Konto leergeräumt wird, denn auch als gering ein. Allerdings könnten die Erschaffer von «Gozi» auch einfach E-Banking-Zugangsdaten sammeln und als Datensatz weiterverkaufen. Deshalb lohnt sich auch das regelmässige Anpassen der eigenen Passwörter.

Wie kann ich mich gegen weitere Infektionen über Webseiten schützen?

Das oberste Gebot heisst: Die gesamte genutzte Software muss stets auf dem aktuellsten Stand gehalten werden. Das heisst, Updates für die Anti-Viren-Software, das Betriebssystem und vor allem den Browser müssen regelmässig heruntergeladen werden – dies raten sowohl die Experten von MELANI wie auch Guido Berger.

MELANI rät weiter, dass JavaScripts (damit werden beispielsweise Animationen ermöglicht) im Browser eingeschränkt oder gleich ganz deaktiviert werden. Davon rät Gudio Berger jedoch ab, denn dynamische Inhalte wie etwa Info-Grafiken, können ohne JavaScript oft nicht mehr angezeigt werden. Versierten Nutzern rät er, in den Browsereinstellungen die PlugIns für Flash und Java zu deaktivieren.

Zu frühe Entwarnung

Tamedia als Herausgeberin von «20 Minuten» hatte am Donnerstagabend kurz vor 22 Uhr mitgeteilt, dass die Schadsoftware gefunden und gelöscht worden sei. Die Entwarnung kam aber zu früh – der Trojaner «Gozi» wurde erst am Freitagmorgen um 10.15 Uhr gelöscht, wie das Unternehmen heute mitteilt. Die verspätete Löschung sei aufgrund menschlichen Versagens passiert. «Tamedia bedauert diesen Fehler zutiefst und entschuldigt sich bei allen Leserinnen und Lesern für die falsche Information», heisst es in der Mitteilung.