FAQ Malware

Inhaltsverzeichnis

Allgemeine technische Fragen

Fragen für Halter von betroffenen Domain-Namen

Fragen zum Prozess bei SWITCH

Allgemeine technische Fragen

Was ist Malware?

Malware ist ein Sammelbegriff für "malicious software": sich selbst verbreitende Programme/Codes, die dafür sorgen, dass auf einem Rechner schädliche Aktionen ausgeführt werden. Dies passiert meist unbemerkt, so dass der Nutzer des PCs nichts davon mitbekommt. Beispiele für die verschiedenen Arten von Malware sind Computerviren, Würmer, Trojaner, Spionageprogramme ("Spyware") etc.

Malware-Infektion vs. Malware-Verbreitung

  • Von einer Malware-Infektion spricht man, wenn ein PC mit Malware infiziert ist.
  • Eine Website, die dazu benutzt wird, ihre Besucher mit Malware zu infizieren, bezeichnet man als Malware verbreitende Website.

Wie wird Malware verbreitet?

Das kann auf unterschiedlichste Art passieren. Stark zugenommen hat in jüngster Zeit etwa die Verbreitung über so genannte "Drive-By-Downloads". Dabei kann ein PC bereits beim blossen Aufruf einer Website unbemerkt infiziert werden.

Wie können Angreifer meine Website missbrauchen?

Angreifer platzieren versteckten Code auf Ihrer Website - meist durch eine Softwareschwachstelle oder durch gestohlene bzw. erratene Passwörter. Öffnet ein Benutzer dann die Website im Browser, wird der schädliche Code im Hintergrund ausgeführt. Die Folgen davon fallen je nach Art der Malware unterschiedlich aus - vom Daten- und Passwortdiebstahl bis hin zum Absturz des gesamten Rechensystems.

Was macht SWITCH bei einem Hinweis Dritter, dass eine .ch-Domain schädlichen Code verbreitet?

SWITCH überprüft zunächst, ob der Verdacht begründet ist. Falls sich dies bestätigt, wird versucht, den Malware verbreitenden Code von der Website zu entfernen. Dazu kontaktiert SWITCH den Halter sowie den technischen Kontakt des Domain-Namens per E-Mail.

Wie kann ich meine Website vor Missbrauch durch Malware schützen?

  • Verwenden Sie starke Passwörter für Ihren FTP-Account.
  • Stellen Sie sicher, dass sämtliche auf Ihrem Server installierten Programme jederzeit auf dem aktuellsten Stand sind.
  • Untersuchen Sie Ihren PC regelmässig auf Malware und Viren.

Weitere Tipps zum Schutz vor Internetangriffen finden Sie auf der Website eBanking aber sicherico_exlink_last.

Was kann ich tun, damit ich informiert werde, wenn meine Website Malware verbreitet?

Stellen Sie sicher, dass E-Mail-Adresse und Telefonnummer des technischen Kontakts für Ihren Domain-Namen korrekt sind. Geben Sie als technischen Kontakt jemanden an, der zu üblichen Bürozeiten erreichbar ist, zum Beispiel den Support Ihres Website-Betreibers. Nur so ist gewährleistet, dass SWITCH auch während Ihrer Abwesenheit jemanden informiert, der die Malware entfernen kann.

Fragen für Halter von betroffenen Domain-Namen

Meine Website wird zur Verbreitung von Malware missbraucht. Wie kann ich das stoppen?

Die schnellste Lösung: Löschen Sie Ihre Website komplett und installieren Sie sie auf einem sicheren System neu. Unterstützung dabei finden Sie bei Ihrem Hosting-Provider bzw. Betreiber Ihrer Website.

Alternativ können Sie den Schadcode zur Verbreitung von Malware auf Ihrer Website selbst entfernen. Dies setzt allerdings ein gutes Mass an IT-Kenntnis voraus. Siehe auch Wie finde ich den Code zur Verbreitung von Malware

In jedem Fall sollten Sie nach Entfernen des schädlichen Codes Massnahmen ergreifen, die einen erneuten Missbrauch Ihrer Website verhindern können. Siehe auch Wie kann ich meine Website vor Malware schützen

Wie finde ich den Code zur Verbreitung von Malware auf meiner Website?

Suchen Sie im Quellcode nach Code-Teilen, die nicht von Ihnen stammen. Oft besteht der Schadcode aus iframes, die Schadcode nachladen, zum Beispiel:

oder aus Javascript-Code:

Beim Aufruf meiner Website zeigt der Browser eine Warnung an. Warum?

Verschiedene Browserhersteller haben Massnahmen getroffen, um die Benutzer vor Malwareinfektion zu schützen. Sie warnen deshalb Internetnutzer beim Besuch mancher Websites, die Malware verbreiten. Beispiel:

SWITCH hat hierauf keinerlei Einfluss. Die Warnung ist unabhängig von den Massnahmen, die SWITCH ergreift, und sie wird auch noch einige Zeit nach dem Entfernen des schädlichen Codes angezeigt werden. Sie können allerdings nach erfolgreichem Entfernen des schädlichen Codes mit den Google Webmaster Toolsico_exlink_last eine erneute Prüfung Ihrer Website veranlassen.

Weitere Informationen dazu finden Sie bei Googles Webmaster Centralico_exlink_last sowie bei der Organisation Stopbadwareico_exlink_last.

Fragen zum Prozess bei SWITCH

Ich habe eine E-Mail von SWITCH erhalten, weil meine Website Malware verbreitet. Was muss ich jetzt tun?

Der schädliche Code muss umgehend entfernt werden. Siehe dazu Meine Website wird zur Verbreitung von Malware missbraucht

Falls dies nicht passiert - der Halter nicht auf die Benachrichtigung von SWITCH reagiert oder sich weigert, entsprechende Massnahmen zu veranlassen - geht SWITCH von einem begründeten Verdacht gemäss AEFV aus. In diesem Fall wird SWITCH:

  • den Halter über die Blockierung seines Domain-Namens informieren,
  • die DNS-Delegation für den Domain-Namen aus dem .ch-Zonenfile entfernen (d.h. der Domain-Name funktioniert nicht mehr),
  • den Fall an die zur Blockierung von .ch-Domains befugte Behörde melden. Aktuell ist dies MELANIico_exlink_last, die Melde- und Analysestelle Informationssicherung.

Mein Domain-Name wurde blockiert. Wie kann ich die Blockierung aufheben?

Wenn Ihr Domain-Name wegen der Verbreitung schädlicher Software oder wegen Phishing blockiert wurde, ist Folgendes zu tun:

Wieso wird SWITCH bei Malware auf .ch-Domains aktiv?

Websites, die Malware verbreiten, stellen eine grosse Gefahr für die Besucher dar. Ein Aufruf der manipulierten Seiten genügt bereits, um einen Besucher per "Drive By", also im "Vorbeigehen", mit Malware zu infizieren. Da diese Methode der Cyberkriminellen auch bei .ch-Websites stark zunimmt, wird SWITCH aktiv, sobald Hinweise auf Malware verbreitende .ch-Domains vorliegen. SWITCH ist gemäss AEFV (Verordnung über die Adressierungselemente im Fernmeldebereich) ermächtigt, Domain-Namen zu blockieren. Bei Hinweisen von Behörden ist SWITCH sogar verpflichtet, die Blockierung vorzunehmen.

Welche Rolle spielt das BAKOM?

Das BAKOM reguliert den Telekommunikationsmarkt und akkreditiert die Behörden, die zum Blockieren von Domain-Namen berechtigt sind.

Werden meine Daten irgendwo veröffentlicht?

SWITCH veröffentlicht die Daten über infizierte Websites nicht, sondern benachrichtigt lediglich den Halter und den technischen Kontakt. Der Hosting-Provider oder Internet Service Provider wird in Einzelfällen informiert, damit er beim Entfernen des Malware verbreitenden Codes unterstützend tätig werden kann. Sämtliche Kundendaten werden von SWITCH gemäss Datenschutzgesetz behandelt.

Werden meine Daten an die Behörden gemeldet?

Wenn der Malware verbreitende Code rasch entfernt wird, geht SWITCH davon aus, dass der Verdacht unbegründet ist, und informiert die Behörden nicht.

Falls der Malware verbreitende Code trotz Hinweis vom Halter nicht entfernt wird, meldet SWITCH den Fall an MELANIico_exlink_last, die Schweizer Meldestelle für Cyberkriminalität.

Was passiert bei Malware verbreitenden .li-Domains?

Der Prozess für Malware verbreitende .li-Domains ist ähnlich dem für .ch-Domains. Die Grundlage bilden hier die AGB von SWITCH.

SWITCH-Kundendienst

So erreichen Sie den Kundendienst von SWITCH:

E-Mail: helpdesk@nic.ch
Telefon: 0848 844 080, international +41 848 844 080 (Shared Cost)
Fax: 0848 844 081, international +41 848 844 081 (Shared Cost)