Gefahrenquelle E-Mail

Gefahr durch E-Mails mit Erpressungstrojaner. So schützen Sie sich gegen WannaCry, Jaff, Locky und Co.

Immer wieder sind E-Mails mit als Rechnung getarnten Anhängen im Umlauf. Häufig sind Office-Dokumente oder ZIP-Dateien angehängt, aber auch Links auf schadhafte Webseiten können die Verschlüsselung auslösen. Man geht davon aus, dass es circa 20 Mutationen des Erpressungstrojaners Locky pro Stunde gibt. Es gibt also in erster Linie keine technische Lösung, die Ihren Rechner schützen wird. Direkte Gegenmaßnahmen für eine Infektion sind leider bisher nicht möglich. Jedoch kann die Angriffsfläche extrem verkleinert werden, wenn man auf einige Punkte achtet. Unser Rat: bleiben Sie wachsam und lesen Sie Ihre E-Mails aufmerksam durch! Wir empfehlen ebenso immer, E-Mails von unbekannten Empfängern nicht zu öffnen. Wenn keine Mails von bekannten Kontakten erwartet werden, hilft ggf. ein kurzes Telefonat, um die Situation zu klären.

Ein aktuelles Antivirenprogramm... ist zu empfehlen, aber kein 100% Schutz

Antivirenprogramme haben im Rennen um die Erkennung der neuesten Schadsoftware immer das Nachsehen, weil Sie in erster Linie auf Signaturbasis arbeiten. Die Reaktionszeiten bei Signaturupdates liegen jedoch meist zwischen 12 und 48 Stunden. Bei Locky dauerte es etwa Tage, bis endlich eine Mehrheit der Antivirenprogramme die Installationsdatei als Gefahr erkannte. Trotzdem: Ein aktueller Virenschutz ist Pflicht, um den Rechner vor Infektionen zu schützen. In der heutigen Zeit mit immer schnelleren Mutationen der Schadsoftware - egal welcher Art - sind statt der klassischen signaturbasierenden Antiviren-Lösungen eher heuristisch arbeitende Lösungen zu empfehlen. Hier wird potentielle Schadsoftware soweit möglich am Verhalten erkannt.

E-Mail Security Proxy Lösungen

Gerade im professionellen Firmenumfeld lohnt es sich vor den produktiven Mailserver eine Proxy-Lösung mit erweiterten Scan- und Filtermöglichkeiten zu setzen. Diese scannt die Emails quasi im Durchlauf und ist in der Lage sie nach definierten Regeln und oder Voraussetzungen zu löschen, zu markieren oder unter Quarantäne zu stellen. Bei diesen Lösungen sollte man eine wählen, die nicht nur einen Schutz vor Spam-Mails und ungültigen Absendern bietet, sondern eben auch Email-Anhänge und vor allem Inhalte, z.B. Links, prüft. Des Weiteren muss die eingesetzte Lösung eine Updatefunktion besitzen, über die sie in einem kurzen, regelmäßigen Intervall mit den neuesten Abwehrinformationen aktualisiert wird. Große und professionelle Anbieter setzen hier auf einen Intervall von unter 5 Minuten.

Keine Makros in Office-Dateien ausführen („Inhalt aktivieren“)

Wenn ein Benutzer die Anlage öffnet und Makros aktiviert, dann wird der eingebettete Code die Malware auf dem Rechner ausführen. Somit ist der Weg für Locky & Co geöffnet. Für Unternehmen oder Organisationen kann es hilfreich sein, Makros per Gruppenrichtlinie komplett zu deaktivieren.

Angriffsfläche im Browser verkleinern

Da mittlerweile auch per Drive-by-Download (das unbewusste (das unbewusste und unbeabsichtigte Herunterladen von Software auf einen Rechner) das Schadprogramm verteilt wird, hilft es hier unter anderem bei Firefox NoScript zu installieren. Ebenso kann die komplette Deinstallation von Flash und Java helfen oder die Nutzung von Google Chrome. Dessen Autoupdate-Funktion aktualisiert diese Add-Ons nämlich automatisch.

Sandboxie - Starten von Anwendungen in einer sicheren Umgebung

Sandboxie ist eine System Utilities-Software, die als eine Art Filter zwischen Anwendung und Festplatte fungiert und so zum Beispiel das Eindringen von Viren, Spyware oder Malware in dem System verhindert. Mit Hilfe von Sandboxie konnte auf einem Testsystem zwar eine Infektion nicht verhindert, aber rückgängig gemacht werden. Aber Achtung: Für einen Unternehmenseinsatz ist diese Software keine wirkliche Alternative, vor allem weil hier auch auf Festplattenplatz und Nutzerschulung geachtet werden muss.

Eigene Private Cloud

Mit verschiedenen Programmen (Microsoft SystemCenter, ownCloud etc.) lässt sich eine Private Cloud im Netzwerk einrichten, welche eine Versionierung von Dateien ermöglicht und die Verzeichnisse dennoch als Netzlaufwerke für Nutzer zur Verfügung stellt. Selbst bei einem Befall durch ein Nutzersystem ließe sich somit bei richtiger Konfiguration auf eine vorherige Version zurückkehren.

Voller Zugriff auf alle Daten? Das richtige Maß entscheidet

Beschränken Sie die Fähigkeit der Benutzer (Berechtigungen) unerwünschte Software-Anwendungen zu installieren und zu benutzen, und wenden Sie den Grundsatz der "Least Privilege" auf alle Systeme und Dienstleistungen an. Das „Least Privilege“-Prinzip (oder „Need to know“-Prinzip) ist eines der wichtigsten Konzepte für Informationssicherheit: Jeder Benutzer soll genau jene Berechtigungen haben, die er benötigt, um seine Aufgaben zu erledigen – und nicht mehr.

Wie gefährlich die Verletzung des „Least Privilege“-Prinzips sein kann, hat der Fall Gemalto gezeigt. Nur so war es etwa der NSA und dem GCHQ möglich, kryptographische Schlüssel von SIM-Karten des niederländischen Sim-Karten-Herstellers Gemalto zu erlangen: Durch automatisierte E-Mail-Überwachung (Suche nach bestimmten Schlüsselwörtern) wurden jene Personen herausgefiltert, die potentiell Zugriff auf diese Daten hatten. Personen, bei denen eine besonders hohe Wahrscheinlichkeit bestand, dass sie Zugriff auf die geheimen Schlüssel hatten, wurden besonders intensiv überwacht – und angegriffen. Dabei handelte es sich in mehreren Fällen um Support-Mitarbeiter, die für ihre Tätigkeit eigentlich keinen Zugriff auf diese Daten benötigt hätten.

Und letztendlich: Folgen Sie auf keinen Fall unerwünschten Web-Links in E-Mails. Mehr Informationen erhalten Sie auf der offiziellen Internetseite Heimatschutz-Ministerium der USA (Department of Homeland Security) sowie des Bundesamtes für Informationssicherheit in der Informationstechnik BSI (Artikel „Krypto-Trojaner: Backups schützen gegen Datenverlust“).

Teilen: