Als IT-Profi überwache ich routinemäßig die Computer und E-Mails meiner Mitarbeiter. Das ist in einer Arbeitsumgebung sowohl für administrative Zwecke als auch für die Sicherheit unerlässlich. Die Überwachung von E-Mails ermöglicht es beispielsweise, Anhänge zu blockieren, die einen Virus oder Spyware enthalten könnten. Das einzige Mal, dass ich mich mit dem Computer eines Benutzers verbinden und direkt an seinem Computer arbeiten muss, ist, um ein Problem zu beheben.
Wenn Sie jedoch das Gefühl haben, dass Sie überwacht werden, obwohl das nicht der Fall sein sollte, gibt es ein paar kleine Tricks, mit denen Sie feststellen können, ob Sie Recht haben. Zunächst einmal bedeutet die Überwachung eines Computers, dass er alles, was Sie auf Ihrem Computer tun, in Echtzeit beobachten kann. Das Blockieren von Pornoseiten, das Entfernen von Anhängen oder das Blockieren von Spam, bevor er in Ihren Posteingang gelangt, usw. ist keine wirkliche Überwachung, sondern eher eine Art Filterung.
Das eine große Problem, das ich hervorheben möchte, bevor ich weitermache, ist, dass Sie, wenn Sie in einer Unternehmensumgebung arbeiten und glauben, dass Sie überwacht werden, davon ausgehen sollten, dass sie ALLES sehen können, was Sie auf dem Computer tun. Gehen Sie auch davon aus, dass Sie nicht in der Lage sein werden, die Software zu finden, die alles aufzeichnet. In Unternehmensumgebungen sind die Computer so angepasst und umkonfiguriert, dass es fast unmöglich ist, etwas zu entdecken, es sei denn, man ist ein Hacker. Dieser Artikel richtet sich eher an Heimanwender, die glauben, dass ein Freund oder ein Familienmitglied versucht, sie zu überwachen.
Computerüberwachung
Wenn Sie also immer noch glauben, dass jemand Sie ausspioniert, können Sie Folgendes tun! Die leichteste und einfachste Art, wie sich jemand in Ihren Computer einloggen kann, ist die Verwendung von Remote Desktop. Das Gute daran ist, dass Windows nicht mehrere gleichzeitige Verbindungen unterstützt, während jemand an der Konsole angemeldet ist (es gibt einen Hack dafür, aber ich würde mir keine Sorgen machen). Das bedeutet, dass, wenn Sie an Ihrem XP-, 7- oder Windows 8-Computer angemeldet sind und jemand eine Verbindung über die eingebaute Remotedesktop-Funktion von Windows herstellt, Ihr Bildschirm gesperrt wird und Ihnen angezeigt wird, wer verbunden ist.
Warum ist das nützlich? Es ist nützlich, weil es bedeutet, dass jemand eine Software eines Drittanbieters verwenden muss, um sich mit IHRER Sitzung zu verbinden, ohne dass Sie es merken oder Ihr Bildschirm übernommen wird. Im Jahr 2014 wird jedoch niemand mehr so offensichtlich sein, und es ist viel schwieriger, Tarnsoftware von Drittanbietern zu erkennen.
Wenn wir nach Software von Drittanbietern suchen, die normalerweise als Fernsteuerungssoftware oder VNC-Software (Virtual Network Computing) bezeichnet wird, müssen wir bei Null anfangen. Wenn jemand diese Art von Software auf Ihrem Computer installiert, muss er dies normalerweise in Ihrer Abwesenheit tun und Ihren Computer neu starten. Der erste Hinweis könnte also sein, dass Ihr Computer neu gestartet wurde und Sie sich nicht daran erinnern können.
Zweitens sollten Sie in Ihrem Startmenü – Alle Programme nachsehen, ob etwas wie VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC usw. installiert ist. Oftmals sind die Leute nachlässig und gehen davon aus, dass ein normaler Benutzer nicht weiß, was eine Software ist, und sie einfach ignorieren wird. Wenn eines dieser Programme installiert ist, kann sich jemand mit Ihrem Computer verbinden, ohne dass Sie es merken, solange das Programm im Hintergrund als Windows-Dienst läuft.
Damit kommen wir zum dritten Punkt. Wenn eines der oben genannten Programme installiert ist, befindet sich in der Regel ein Symbol dafür in der Taskleiste, weil es ständig laufen muss, um zu funktionieren.
Überprüfen Sie alle Ihre Symbole (auch die versteckten) und sehen Sie nach, was gerade läuft. Wenn Sie etwas finden, von dem Sie noch nichts gehört haben, machen Sie eine kurze Google-Suche, um zu sehen, was auftaucht. Es ist ziemlich einfach für Überwachungssoftware, das Taskleistensymbol zu verstecken. Wenn Sie also dort nichts Ungewöhnliches sehen, bedeutet das nicht, dass Sie keine Überwachungssoftware installiert haben.
Wenn also an den offensichtlichen Stellen nichts auftaucht, lassen Sie uns zu den komplizierteren Dingen übergehen.
Überprüfen Sie die Firewall-Ports
Da es sich um Anwendungen von Drittanbietern handelt, müssen sie sich über verschiedene Kommunikationsports mit Windows verbinden. Ports sind einfach eine virtuelle Datenverbindung, über die Computer direkt Informationen austauschen. Wie Sie vielleicht schon wissen, verfügt Windows über eine integrierte Firewall, die viele der eingehenden Ports aus Sicherheitsgründen blockiert. Wenn Sie keine FTP-Site betreiben, warum sollte Ihr Port 23 offen sein, oder?
Damit diese Anwendungen von Drittanbietern eine Verbindung zu Ihrem Computer herstellen können, müssen sie über einen Port kommen, der auf Ihrem Computer offen sein muss. Sie können alle offenen Ports überprüfen, indem Sie auf Start, Systemsteuerung und Windows-Firewall gehen. Klicken Sie dann auf der linken Seite auf Programm oder Funktion durch die Windows-Firewall zulassen.
Hier sehen Sie eine Liste von Programmen mit Kontrollkästchen neben ihnen. Diejenigen, die angekreuzt sind, sind „offen“, und die nicht angekreuzten oder nicht aufgelisteten sind „geschlossen“. Gehen Sie die Liste durch und sehen Sie nach, ob es ein Programm gibt, mit dem Sie nicht vertraut sind oder das zu VNC, Fernsteuerung usw. passt. Wenn ja, können Sie das Programm blockieren, indem Sie das Häkchen bei diesem Programm entfernen!
Ausgehende Verbindungen prüfen
Leider ist es etwas komplizierter als das. In manchen Fällen gibt es zwar eine eingehende Verbindung, aber in vielen Fällen hat die auf Ihrem Computer installierte Software nur eine ausgehende Verbindung zu einem Server. Unter Windows sind alle ausgehenden Verbindungen erlaubt, d. h. nichts wird blockiert. Wenn die Spionagesoftware lediglich Daten aufzeichnet und an einen Server sendet, verwendet sie nur eine ausgehende Verbindung und wird daher nicht in der Firewall-Liste angezeigt.
Um ein solches Programm abzufangen, müssen wir ausgehende Verbindungen von unserem Computer zu Servern sehen. Es gibt eine ganze Reihe von Möglichkeiten, wie wir dies tun können, und ich werde hier nur auf ein oder zwei eingehen. Wie ich schon sagte, wird es jetzt etwas kompliziert, weil wir es mit einer wirklich heimlichen Software zu tun haben, die nicht so leicht zu finden ist.
TCPView
Zunächst laden Sie ein Programm namens TCPView von Microsoft herunter. Es ist eine sehr kleine Datei und Sie müssen es nicht einmal installieren, entpacken Sie es einfach und doppelklicken Sie auf Tcpview. Das Hauptfenster sieht dann so aus und macht wahrscheinlich keinen Sinn.
Im Grunde zeigt es Ihnen alle Verbindungen von Ihrem Computer zu anderen Computern an. Auf der linken Seite steht der Name des Prozesses, d.h. die laufenden Programme, z.B. Chrome, Dropbox, usw. Die einzigen anderen Spalten, die wir uns ansehen müssen, sind Remote Address und State. Sortieren Sie nach der Spalte Status und sehen Sie sich alle Prozesse an, die unter ESTABLISHED aufgeführt sind. Established bedeutet, dass derzeit eine offene Verbindung besteht. Beachten Sie, dass die Spionagesoftware nicht immer mit dem Remote-Server verbunden ist. Daher ist es eine gute Idee, das Programm geöffnet zu lassen und nach neuen Prozessen zu suchen, die unter dem Status ESTABLISHED auftauchen.
Filtern Sie diese Liste nach Prozessen, deren Namen Sie nicht kennen. Chrome und Dropbox sind in Ordnung und kein Grund zur Sorge, aber was ist openvpn.exe und rubyw.exe? Nun, in meinem Fall verwende ich ein VPN, um mich mit dem Internet zu verbinden, also sind diese Prozesse für meinen VPN-Dienst. Sie können diese Dienste aber auch einfach googeln und das schnell selbst herausfinden. VPN-Software ist keine Spionagesoftware, also keine Sorge. Wenn Sie nach einem Prozess suchen, können Sie anhand der Suchergebnisse sofort erkennen, ob er sicher ist oder nicht.
Eine andere Sache, die Sie überprüfen sollten, sind die Spalten ganz rechts, die Gesendete Pakete, Gesendete Bytes usw. heißen. Sortieren Sie nach „Gesendete Bytes“, und Sie können sofort sehen, welcher Prozess die meisten Daten von Ihrem Computer sendet. Wenn jemand Ihren Computer überwacht, muss er die Daten irgendwo hinschicken. Wenn der Prozess nicht extrem gut versteckt ist, sollten Sie ihn hier sehen.
Process Explorer
Ein weiteres Programm, mit dem Sie alle auf Ihrem Computer laufenden Prozesse finden können, ist Process Explorer von Microsoft. Wenn Sie es ausführen, sehen Sie eine Menge Informationen über jeden einzelnen Prozess und sogar über untergeordnete Prozesse, die innerhalb von übergeordneten Prozessen laufen.
Der Prozess-Explorer ist ziemlich genial, weil er sich mit VirusTotal verbindet und Ihnen sofort sagen kann, ob ein Prozess als Malware erkannt wurde oder nicht. Klicken Sie dazu auf Optionen, VirusTotal.com und dann auf VirusTotal.com überprüfen. Schließen Sie diese einfach und klicken Sie im Dialogfeld des Programms auf Ja.
Nachdem Sie das getan haben, sehen Sie eine neue Spalte, die die Erkennungsrate des letzten Scans für viele Prozesse anzeigt. Es wird nicht möglich sein, den Wert für alle Prozesse zu ermitteln, aber es ist besser als nichts. Für die Prozesse, die keinen Wert haben, können Sie manuell in Google nach diesen Prozessen suchen. Bei den Prozessen, die eine Bewertung haben, sollten Sie darauf achten, dass der Wert ziemlich genau 0/XX lautet. Wenn es nicht 0 ist, googeln Sie den Prozess oder klicken Sie auf die Zahlen, um zur VirusTotal-Website für diesen Prozess zu gelangen.
Ich neige auch dazu, die Liste nach Firmennamen zu sortieren, und jeden Prozess, bei dem keine Firma aufgeführt ist, google ich, um ihn zu überprüfen. Aber auch mit diesen Programmen kann es sein, dass Sie nicht alle Prozesse sehen.
Rootkits
Es gibt auch eine Klasse von Stealth-Programmen, die Rootkits genannt werden und die die beiden oben genannten Programme nicht einmal sehen können. Wenn Sie bei der Überprüfung aller oben genannten Prozesse nichts Verdächtiges gefunden haben, müssen Sie in diesem Fall noch robustere Tools ausprobieren. Ein weiteres gutes Tool von Microsoft ist Rootkit Revealer, das allerdings schon sehr alt ist.
Weitere gute Anti-Rootkit-Tools sind Malwarebytes Anti-Rootkit Beta, das ich sehr empfehlen würde, da das Anti-Malware-Tool 2014 auf Platz 1 stand. Ein weiteres beliebtes Tool ist GMER.
Ich schlage vor, Sie installieren diese Tools und führen sie aus. Wenn sie etwas finden, entfernen oder löschen Sie alles, was sie vorschlagen. Außerdem sollten Sie eine Anti-Malware- und Anti-Viren-Software installieren. Viele dieser Stealth-Programme gelten als Malware/Viren. Sie werden also entfernt, wenn Sie die entsprechende Software ausführen. Wenn etwas entdeckt wird, stellen Sie sicher, dass Sie es googeln, damit Sie herausfinden können, ob es sich um eine Überwachungssoftware handelt oder nicht.
E-Mail & Website-Überwachung
Zu überprüfen, ob Ihre E-Mail überwacht wird, ist ebenfalls kompliziert, aber wir bleiben in diesem Artikel bei den einfachen Dingen. Wenn Sie eine E-Mail von Outlook oder einem anderen E-Mail-Client auf Ihrem Computer senden, muss dieser immer eine Verbindung zu einem E-Mail-Server herstellen. Die Verbindung kann entweder direkt oder über einen so genannten Proxyserver hergestellt werden, der eine Anfrage entgegennimmt, sie verändert oder prüft und sie an einen anderen Server weiterleitet.
Wenn Sie einen Proxyserver für E-Mails oder zum Surfen im Internet verwenden, können die Websites, auf die Sie zugreifen, oder die E-Mails, die Sie schreiben, gespeichert und später angesehen werden. Sie können beides überprüfen, und so geht’s. Gehen Sie im IE auf Extras und dann auf Internetoptionen. Klicken Sie auf die Registerkarte „Verbindungen“ und wählen Sie „LAN-Einstellungen“.
Wenn das Kästchen „Proxyserver“ markiert ist und eine lokale IP-Adresse mit einer Portnummer hat, dann bedeutet das, dass Sie zuerst einen lokalen Server durchlaufen, bevor Sie den Webserver erreichen. Das bedeutet, dass jede Website, die Sie besuchen, zunächst einen anderen Server passiert, auf dem eine Software läuft, die die Adresse entweder blockiert oder einfach protokolliert. Sie sind nur dann einigermaßen sicher, wenn die von Ihnen besuchte Website SSL (HTTPS in der Adressleiste) verwendet, was bedeutet, dass alles, was von Ihrem Computer zum entfernten Server gesendet wird, verschlüsselt ist. Selbst wenn Ihr Unternehmen die Daten dazwischen abfangen würde, wären sie verschlüsselt. Ich sage „einigermaßen sicher“, denn wenn eine Spionagesoftware auf Ihrem Computer installiert ist, kann sie die Tastenanschläge und damit alles, was Sie auf diesen sicheren Websites eingeben, aufzeichnen.
Für Ihre Firmen-E-Mails überprüfen Sie dasselbe, nämlich eine lokale IP-Adresse für die POP- und SMTP-Mailserver. Um dies in Outlook zu überprüfen, gehen Sie zu Extras, E-Mail-Konten, und klicken Sie auf Ändern oder Eigenschaften, und suchen Sie die Werte für POP- und SMTP-Server. Leider ist in Unternehmensumgebungen der E-Mail-Server wahrscheinlich lokal, so dass Sie mit Sicherheit überwacht werden, selbst wenn dies nicht über einen Proxy geschieht.
Sie sollten immer vorsichtig sein, wenn Sie im Büro E-Mails schreiben oder auf Websites surfen. Der Versuch, die Sicherheitsvorkehrungen zu durchbrechen, könnte dich in Schwierigkeiten bringen, wenn sie herausfinden, dass du ihre Systeme umgangen hast! IT-Mitarbeiter mögen das nicht, das kann ich Ihnen aus Erfahrung sagen! Wenn Sie Ihr Surfen im Internet und Ihre E-Mail-Aktivitäten schützen wollen, ist es am besten, wenn Sie ein VPN (Private Internet Access) verwenden.
Dafür muss eine Software auf dem Computer installiert werden, was Sie vielleicht gar nicht können. Aber wenn Sie das können, können Sie ziemlich sicher sein, dass niemand sehen kann, was Sie in Ihrem Browser tun, solange keine lokale Spionagesoftware installiert ist! Es gibt nichts, was Ihre Aktivitäten vor einer lokal installierten Spionagesoftware verbergen kann, da diese Tastatureingaben usw. aufzeichnen kann. Versuchen Sie also, meine obigen Anweisungen zu befolgen und das Überwachungsprogramm zu deaktivieren. Wenn Sie Fragen oder Bedenken haben, zögern Sie nicht zu kommentieren. Viel Spaß!