Schadprogramme: bewährte Praktiken
 

Kurz gefasst

Schadprogramme stellen eine der größten Gefahren für jedes Informationssystem dar, unabhängig von dessen Größe. Jedes Betriebssystem ist betroffen und alle Ämter, Gemeinden und Organisationen können davon befallen werden.

Seit es sie gibt, haben Cyberkriminelle ihre Arbeitsweise und Angriffstechnik stark weiterentwickelt; Schadprogramme, eines ihrer Lieblingswerkzeuge, haben diese Entwicklung natürlich mitgemacht. So werden Sie heute keine Schadprogramme mehr finden, die lediglich zum Zeitvertreib geschrieben worden sind. Aktuell sind die am meisten verwendete Schadprogramme verschiedene Abwandlungen von Trojanern, welche einen Zugriff auf die Maschinen der Opfer erlauben, sei es um weitere illegale Taten zu begehen oder um vertrauliche Informationen zu stehlen.

Heutzutage dienen Schadprogramme hauptsächlich zum:

Sie stellen also eine große und allgegenwärtige Bedrohung dar. Ohne Präventivmaßnahmen, Schutzmaßnahmen und Korrekturmaßnahmen, riskiert eine Organisation erhebliche Auswirkungen.

Infektionswege

Es gibt viele Möglichkeiten, ein Gerät zu infizieren. Die am häufigsten verwendeten sind:

  • rechtmäßige  Webseiten  infizieren, (vorzugsweise jene mit hohen Besucherzahlen). Sie leiden unter opportunistischen oder gezielten Angriffen. Der Angreifer nutzt technische Schwachstellen oft schlecht gewarteter Webseiten aus, beziehungsweise versucht, Zugriff auf die Wartungsdienste der Webseiten zu bekommen, indem er das Passwort errät, egal ob es sich um Standardpasswörter der verwendeten Produkte handelt oder gängige, leicht zu erratende Passwörter, die vom Administrator definiert wurden. Anschließend installiert er Tools, um die technischen Schwachstellen der Browser der Besucher ausnutzen zu können oder aber um Besucher dazu zu bringen, selbst die Schadprogramme zu installieren (Beispiel: falsche Antivirenprogramme oder falsche Video-Codecs).
     

  • Schädliche Webseiten, die speziell entwickelt wurden, um die technischen Schwachstellen der Browser der Besucher ausnutzen zu können. Da diese Webseiten nicht bekannt sind, muss der Angreifer versuchen, seine potentiellen Opfer auf diese Seiten zu locken. Um dies zu tun, wird er:

    • die Opfer mit Hilfe von in Spam enthaltenen Links auf die Seite locken;

    • die Opfer mit Hilfe von Phishing auf die Seite locken;

    • die Opfer mit Hilfe von Werbebannern, welche auf stark frequentierten Seiten angezeigt werden, auf die infizierte Seite locken.
       

  • E-Mail mit infizierte Anhängen. Diese Technik wird sowohl bei opportunistischen wie auch bei gezielten Angriffen verwendet. Techniken aus dem Bereich des Social Engineering sollen die Opfer dazu verleiten, die Anhänge zu öffnen.

  • Wechseldatenträger mit infizierten Dateien. Schadprogramme nutzen die technischen Schwachstellen der Opfermaschinen aus. Dies wird besonders bei gezielten Angriffen benutzt, in Zusammenarbeit mit Techniken des Social Engineerings.

Auswirkungen

Da Schadprogramme allgegenwärtig sind, ist die Wahrscheinlichkeit, ihnen zu begegnen, wirklich sehr groß, (EBIOS-Bedrohungen: Fern-Spionage, Sabotieren der Software).

Die entstandenen  Auswirkungen sind normalerweise:

  • Finanzielle Auswirkungen

    • Der Zugang zu E-Banking-Anwendungen kann zu einem finanziellen Verlust führen. Kontrollieren Sie besonders gründlich die "multi-line"-Anwendung, da Organisationen oft sehr viele Kontenbewegungen haben und Manipulationen oft erst nach einigen Tagen oder gar Wochen auffallen.

    • Der Verlust vertraulicher Informationen (Diebstahl von geistigem Eigentum, Diebstahl von Herstellungsgeheimnissen, Diebstahl von strategischen Informationen der Organisation, Diebstahl von Kundendaten) führt oft zu finanziellen Auswirkungen.

  • Rechtliche Auswirkung

    • Falls die infizierten Maschinen zu illegalen Zwecken verwendet werden, kann der Besitzer mit Beschwerden konfrontiert werden (Denial-of-service-Angriffe, Infektion der Maschinen der Besucher der Webseite, Hosting illegaler Inhalte,...).

    • Der Verlust von vertraulichen Daten, wie etwa personenbezogene Daten, kann Beschwerden seitens der Betroffenen oder seitens der Datenschutzbehörde zur Folge haben.

  • Auswirkungen auf den Ruf

    • Die Tatsache, dass eine Webseite einer Organisation dazu verwendet wird, um die Maschinen ihrer Besucher zu infizieren, kann ernsthafte Konsequenzen für den Ruf der Organisation haben. So wie im normalen Handel, lebt auch der E-Commerce vom Vertrauen der Verbraucher. Ein Informationssicherheitsvorfall kann katastrophale Auswirkung auf dieses Vertrauen haben.

  • Auswirkungen auf das Know-How

    • Der Diebstahl, beziehungsweise die Zerstörung von Kundendaten oder Herstellungsgeheimnissen kann zu einem Verlust an Know-How führen.

  • Auswirkung auf die "Zeit"

    • Die Analyse des kompromittierten Systems, sowie die Wiederherstellung von infizierten Rechnern kann einen erheblichen Zeitverlust bewirken.

Verhaltensmaßnahmen

Ob es sich um gezielte oder opportunistische Angriffe handelt, ein Großteil der Schadprogramme gelangt durch die Ausnutzung von  menschlichen Schwachstellen auf die Maschinen der Opfer.

Bevor Ersteller eines Schadprogramms letzteres benutzen, testen sie auf Seiten wie www.virtest.com ob es entdeckt werden kann.
Schadprogramme sind dann unsichtbar für Antivirenprogramme, zumindest während den ersten Tagen des Angriffs, eben solange bis die Antivirenprogrammen die benötigten Signaturen bekommen. 

Es ist deswegen unabdingbar, dass jede Organisation ihre Mitarbeiter bezüglich der Schadprogramm-Risiken sowie der Infektionswege sensibilisiert und schult.

Der Infektion vorbeugen

Um Infektionen durch Schadprogramme vorzubeugen, muss ein verantwortungsbewusstes und vorsichtiges Verhalten bei der Manipulation von E-Mails, Wechseldatenträgern und beim Surfen an den Tag gelegt werden.

Auf Folgendes sollten Sie achten:

  • Befolgen sie den Leitfaden für E-Mails.

  • Vermeiden Sie die Verwendung unbekannter Wechseldatenträger.

    • Falls Sie solche Datenträger finden, übergeben Sie diese Ihrer EDV-Abteilung zur gründlichen Untersuchung. 

    • Falls man Ihnen Wechseldatenträger auf Konferenzen aushändigt, lassen Sie diese zuerst von einem Experten prüfen, bevor Sie sie verwenden.

    • Seien Sie sehr vorsichtig mit Wechseldatenträgern, die man Ihnen zugeschickt hat. Benutzen Sie sie nicht, falls der Absender unbekannt ist. Falls Sie den Absender kennen, vergewissern Sie sich, dass sie auch wirklich von diesem stammen und lassen Sie den Datenträger von einem Experten untersuchen, bevor Sie ihn verwenden.

Beim Surfen im Internet: 

  • Folgen Sie nur Links, die Ihnen auf wirklich vertrauenswürdigen Internetseiten angeboten werden. Andernfalls riskieren Sie, auf schädlichen Webseiten zu landen.

  • Achten Sie auf Warnhinweise Ihres Browsers ("safe browsing" für IE, Firefox, Chrome), beziehungsweise add-ons wie WOT.

  • Gehen Sie vorsichtig mit in Internetseiten angezeigten Werbebannern um, besonders wenn Sie der Internetseite nicht vollständig vertrauen. Sie können Schadprogramme enthalten, beziehungsweise Sie auf schädliche Webseiten weiterleiten.

Bei Dienstreisen oder generell wenn Sie unterwegs sind, achten Sie darauf: 

  • Ihre Hardware zu überwache. Angreifer könnten versuchen, sie mit Schadprogrammen zu infizieren. (Bedrohungen : siehe Sabotieren von Hardware, Sabotieren der Software). 

Seien Sie sich bewusst, dass sogar Rechner, die sich innerhalb einer Organisation befinden, infiziert werden können, und zwar wenn der Angreifer sich Zugang zum Gebäude verschafft hat. (KMU: siehe Eindringen in Einrichtungen und Einbringen oder Entfernen von Material und  Benutzung unerlaubter Programme).

Den Schaden begrenzen

Jeder Mitarbeiter sollte wissen, was im Fall einer Infektion zu tun ist:  

  • die infizierte Maschine muss isoliert und vom Netzwerk abgetrennt werden;

  • sie darf bis zur völligen Desinfektion nicht mehr benutzt werden;

  • die für diese Art von Sicherheitsvorfällen verantwortliche Person muss umgehend informiert werden.

Organisatorische Maßnahmen

Um Infektionen durch Schadprogramme vorzubeugen, müssen organisatorische Maßnahmen umgesetzt werden. Schreiben Sie folgende Sicherheitsleitlinien und sorgen Sie für deren Umsetzung:

 

Technische Maßnahmen

Nebst der Umsetzung von Verhaltensregeln und organisatorischen Maßnahmen, ist es auch wichtig, technische Maßnahmen zur Vermeidung beziehungsweise zur Schadensbegrenzung von Infektionen umzusetzen.

Es wird geraten, folgende technische Maßnahmen umzusetzen:

Antivirenprogramme können einen großen Teil der Schadprogramme erkennen und so eine Infektion verhindern. Jeder Rechner sowie jeder Dateiserver und Mail-Server innerhalb der Organisation muss mit einem Antivirenprogramm ausgestattet werden. Benutzen Sie bevorzugt unterschiedliche Antivirenprogramme für Computer und Server, um so die Wahrscheinlichkeit der Entdeckung von Schadprogrammen zu erhöhen. Aktualisieren Sie diese Antivirenprogramme regelmäßig. Sorgen Sie dafür, dass die Benutzer die Antivirenprogramme nicht ausschalten können.

Eine auf einem Rechner installierte Firewall kann einerseits die Infektion durch Ausnutzung technischer Schwachstellen verhindern und andererseits Infektionen erkennen.

Eine "Corporate Firewall" kann eine Ausbreitung über das gesamte Firmennetzwerk verhindern. Sie kann auch die Ausnutzung verschiedener technischer Schwachstellen dadurch verhindern, dass sie Verbindungsversuche über spezifische Ports durch Filter unterbinden kann.

Internetfilter können die Infektion von Computern verhindern, indem sie das Surfen auf schädlichen oder wenig vertrauenswürdigen Webseiten unterbinden.

Einige Schadprogramme versuchen, technische Schwachstellen auszunutzen. Dank der Patches können diese Schwachstellen korrigiert werden. Jedoch ist kein Informationssystem frei von technischen Schwachstellen.

Sicherheitskopien sind wirksame Korrekturmaßnahmen gegen den Verlust von Verfügbarkeit und Integrität. Sie können jedoch nicht dem Verlust von Vertraulichkeit vorbeugen. Sicherheitskopien können auch helfen, den Schaden zu begrenzen, der durch eine Infektionen mit einem zerstörerischen Schadprogramm entstanden ist.

Kryptografische Mittel können, im Fall einer Infektion, die Wahrscheinlichkeit des Vertraulichkeitsverlusts besonders sensibler Daten erheblich verringern.