Steam ist, oder zumindest sollte es so sein, eine Art ummauerter Garten. Ähnlich wie Apples App Store für iPhones oder die verschiedenen Konsolenspiele-Stores gelten die im Store gelisteten Produkte als sicher, wenn auch nicht unbedingt als gut. Sie tragen implizit das Gütesiegel von Valve. Aber ein paar jüngste Fälle von Malware, die in Steam-Spielen versteckt wurde, nehmen dem Ganzen den Glanz.
Im Februar tauchte ein kostenloses Spiel auf einer Steam-Liste mit gestohlenen Assets auf und verbreitete Malware, die Antivirenprogramme auslöste und offenbar Microsoft- und Steam-Anmeldeinformationen stehlen konnte. BleepingComputer berichtet über einen ähnlichen Vorfall nur ein paar Wochen später: Eine kostenlose Demo mit einem Eintrag, der aus einem anderen Spiel kopierte Assets enthielt und offenbar Spyware installierte.
Das neuere Angebot hat einen interessanten Haken: das Spiel “Sniper: Phantom’s Resolution”, beziehungsweise dessen kostenlose Demo, sollte laut Beschreibung über GitHub heruntergeladen werden. Der Link führte zu einem Download, der schamlos Cookie-Abfangmechanismen und Node.js-Skripte installierte, die offenbar dazu gedacht waren, die Windows-Sicherheit zu umgehen und persönliche Daten an andere Stellen zu senden.
Offenbar erkannten einige Antiviren-Programme die gefährliche Software nicht rechtzeitig. Valve hat das Fake-Spiel mittlerweile aus dem Store entfernt, auch die GitHub-Seiten und die zugehörigen Konten wurden gelöscht.
PC-Spiele waren noch nie so beliebt wie heute, und Steam ist mit über 40 Millionen gleichzeitig angemeldeten Spielern in Spitzenzeiten de facto der Gatekeeper für die Plattform. Es ist auch ein unglaublich großes System, zu dem allein im letzten Jahr fast 20.000 neue Spiele hinzugefügt wurden. Das macht den Steam-Store sowohl zu einem verlockenden Ziel als auch zu einem Ort, an dem man sich leicht verirren kann, wenn man versucht, Malware zu verbreiten.
Steam Sale: Dieses Gratis-Tool findet einfach und schnell versteckte Spiele-Perlen
Wie kann man sich schützen?
Im Jahr 2023 hat Valve sein Authentifizierungssystem Steam Guard sowohl auf der Seite der Entwickler als auch auf der Seite der Benutzer erweitert. Damit sollen solche Vorfälle eigentlich vermieden werden, doch der Umweg über Github sorgte dafür, dass die gefälschten Installationsdateien dennoch auf die Server von Steam geladen werden konnten.
Sie sollten nie vergessen: Steam hat zwar viele Nutzerzahlen, doch Valve ist kein riesiges Unternehmen. Im Jahr 2021 wurde berichtet, dass weniger als 100 Personen an Steam arbeiten. Vielleicht sollten wir daher anfangen, Steam-Downloads mit der gleichen Vorsicht zu behandeln, die Sie bei anderen Software-Downloads im Internet walten lassen.
Wenn Sie einen Download-Link auf einer bestätigten Microsoft-Webseite sehen, ist das wahrscheinlich in Ordnung. Aber eine kostenlose Demo von jemandem, von dem Sie noch nie gehört haben? Vielleicht recherchieren Sie vorher ein wenig oder laden Sie die Software erst einmal in einer sicheren Sandbox.
Wir denken natürlich nicht, dass jeder einzelne Download von Steam einer solchen Prüfung unterzogen werden muss. Wenn Sie ein Spiel aktualisieren, das Sie schon seit Jahren spielen, oder wenn Sie ein Spiel von einem etablierten Entwickler laden, ist es mit ziemlicher Sicherheit sicher. Wenn Sie jedoch ein kostenloses Spiel oder eine Demo eines brandneuen Entwicklers sehen, achten Sie auf der Store-Seite auf Copy-and-Paste-Assets (oder KI-Inhalte), lesen Sie Rezensionen und installieren Sie das Spiel erst, wenn es absolut sicher ist. Auch eine zuverlässige Antivirus-Software ist unerlässlich.
Dieser Artikel erschien zuerst bei unserer Schwesterpublikation PCWorld und wurde aus dem Englischen übersetzt und lokalisiert.