Informationen zum Schutz vor Malware

Liebe Nutzer des ITMZ,

in den letzten Wochen häufen sich Meldungen über Malware, genauer Ransomware (Erpressungs- oder Verschlüsselungstrojaner), welche die Daten von Endgeräten verschlüsselt und nur gegen Geldzahlungen an Kriminelle wieder verfügbar macht.

Wie kann es zu solchen katastrophalen Vorfällen kommen?

Die gute Nachricht vorab: Solche Vorfälle lassen sich verhindern, indem Sie

  1. nur vertrauenswürdige Quellen für Daten und Anwendungen/Apps benutzen oder polemischer formuliert „nicht alles anklicken“. Das Internet ist KEINE bedingungslos vertrauenswürdige Quelle für Daten und Anwendungen/Apps.
     
  2. die Ausführung von Malware durch technische Maßnahmen wie  z.B. Software Whitelisting unterbinden.

Die Täter bringen bei einem erfolgreichen Angriff Malware auf dem jeweiligen Endgerät zur Ausführung, welche die schädlichen Aktionen auf dem Endgerät ausführt, z.B. die Verschlüsselung aller Daten auf allen verfügbaren lokalen Laufwerken und Netzwerklaufwerken.

Ganz wichtig: Der Start der Malware wird dabei immer durch den angegriffenen Nutzer selbst initiiert, z.B. durch das Laden einer präparierten Webseite, durch das Laden von E-Mail-Anhängen, usw.

Antivirus-Software bietet nur Schutz vor bekannter Malware und ist daher oft wirkungslos. Bisher sind die meisten Versuche gescheitert, von Kriminellen mittels Ransomware verschlüsselte Daten zu entschlüsseln und damit sind Ihre Daten bei einer erfolgreichen Ransomware-Attacke wahrscheinlich unwiederbringlich verloren.

Aus diesem Grund möchten wir Sie hiermit auf technische Möglichkeiten hinweisen, sich vor der ungewollten Ausführung von beliebiger Software (z.B. Malware,  0-Day-Exploits, Adware, etc. pp.) zu schützen.

Immunisierung  gegen Malware-Angriffe - Zwei-Benutzerregel und Software Whitelisting

Als wirksame Maßnahmen zum Schutz vor unerwünschter Software hat sich die konsequente Anwendung von zwei Selbstbeschränkungen bewährt: 

  • die Zwei-Benutzerregel – verhindert systemweite Veränderungen am System
  • Software Whitelisting oder auch Application Whitelisting – verhindert den Start von unerwünschten Anwendungen 

Darüber hinaus sind folgende technische Maßnahmen sinnvoll:

  • Überprüfung einer Datei oder einer Webadresse durch einen Online-Antivirus-Scanner, z.B. https://www.virustotal.com – kann den Start von Malware verhindern
  • Anpassung der hosts-Datei, um den Zugriff auf bekannte Malware-Server zu blockieren – verhindert den Zugriff auf bekannte Malware-Webseiten

Diese Selbstbeschränkungen erfordern die Inkaufnahme von Unbequemlichkeiten, welche sich jedoch langfristig durch einen verbesserten Schutz vor unerwünschter Software auszahlen.

Empfohlene Maßnahmen

 Zwei-Benutzerregel

Die Zwei-Benutzerregel bedeutet, dass alltägliche Arbeiten (Mails lesen, Webseiten aufrufen, Büroarbeit usw.) mit einem nicht administrativen Konto erledigt werden und administrative Konten nur für Systemverwaltungsaufgaben benutzt werden, so dass Sie besser vor Malware geschützt sind.

Weitere Informationen finden Sie hier:
Zwei-Benutzerregel

Software Whitelisting

Software Whitelisting sorgt dafür, dass nur Programme starten können, die auf einer Positivliste (Whitelist) stehen. Das Prinzip ist einfach:

„Arbeite als Normalnutzer und erlaube das Starten von Programmen nur aus schreibgeschützten Pfaden.“

Das Standardverhalten des Betriebssystems: “Jedes Programm ist startbar“ wird verändert in: „deny-by-default“. Kein Programm ist startbar, außer das Programm befindet sich auf der Whitelist.

In der einfachsten Form des Software Whitelisting ist das Starten von Software nur noch aus festgelegten Verzeichnissen erlaubt. Diese Verzeichnisse können nur von administrativen Konten beschrieben werden und somit ist die Ausführung beliebiger Software durch einen Standardbenutzer nicht mehr möglich.

Dies führt dazu, dass Attacken wie z.B. unbemerkte Drive-by-Download-Angriffe auf Webbrowser durch das einfache Aufrufen von Webseiten oder das unbemerkte Ausführen von externen Programmen durch Anwendungsskriptsprachen nur durch das Öffnen einer Datei wirksam unterbunden werden.

Auf allen zentral verwalteten Windows-Systemen des ITMZ ist Software Whitelisting seit Jahren aktiv und hat sich als wirksamer Schutz vor Malware und Angriffen bewährt.

Weitere Informationen finden Sie hier:

Weitere Maßnahmen

Überprüfung einer Datei oder einer Webadresse über einen Online-Antivirus-Scanner

Immer dann, wenn Sie eine neue Datei oder eine neue Webadresse aus nicht vertrauenswürdiger Quelle nutzen möchten, ist es sinnvoll diese vor der Benutzung durch einen Online-Antivirus-Scanner überprüfen zu lassen:

Anpassung der hosts-Datei

Viele Webserver, die Malware verbreiten sind bekannt und der Zugriff auf diese Server lässt sich durch die Anpassung der Datei „hosts“ unterbinden, indem die jeweilige Webserver-DNS-Adresse umgeschrieben wird, s. dazu 5. Schützen Sie sich proaktiv vor Malware

Ausführungskontrolle ist auch innerhalb von Anwendungen nötig

Setzen Sie möglichst nur Anwendungen ein, die eine Steuerung der Erweiterung der jeweiligen Anwendung zulassen. Vor allem moderne Webbrowser ermöglichen durch das Installieren von Add-ons innerhalb des Webbrowsers ohne administrative Rechte potentiell die Installation von Malware. Dies eröffnet dieselben Angriffswege für unerwünschte Software wie auf Betriebssystemebene.

Daher empfiehlt Ihnen das ITMZ, die Installation von beliebigen Erweiterungen innerhalb einer Anwendung zu unterbinden, genauso wie dies auf Betriebssystemebene empfohlen ist.

Weiterhin empfiehlt Ihnen das ITMZ möglichst nur Internet-Anwendungen einzusetzen, welche eine nutzer- und anwendungsunabhängige Update-Funktionalität besitzen, sich also ohne Nutzeraktivität und Start der Anwendung aktualisieren lassen. Dadurch wird sichergestellt, dass die jeweilige Anwendung auch wirklich mit aktuellen Sicherheitsupdates versehen ist.

Die aktuellen Versionen der Webbrowser Google Chrome und Microsoft Edge/Microsoft Internet Explorer erfüllen diese Anforderungen.

Darüber hinaus rät Ihnen das ITMZ dringend zu einer Selbstbeschränkung auf notwendige und vertrauenswürdige Anwendungen.

Vorteile und Einschränkungen

Folgende Vorteile ergeben sich langfristig bei konsequenter Einhaltung der o.g. Maßnahmen:

  1. Senkung des Risikos von Datenverlust oder Kompromittierung durch Malware, da unerwünschte Software nicht mehr startbar ist.
     
  2. Verbessere Kontrolle über das Betriebssystem, da nur erwünschte Software ausgeführt wird.
     
  3. Systeme funktionieren langfristig zuverlässiger und vorhersehbarer, verglichen mit der Standardkonfigurationen, die den Start beliebiger Software erlaubt. 
      
  4. Updates können nach Ihrem persönlichen Rhythmus eingespielt werden und müssen nicht immer sofort installiert und aktiviert werden.  
      
  5. Die PC-Hardware kann wieder vorrangig für ihre ursprünglichen Aufgabe genutzt werden: erwünschte Software auszuführen.
     
    Die Nutzung von Software Whitelisting ermöglicht die Deaktivierung von Software Blacklisting (Antivirus-Software) für die auf der Positivliste stehenden Dateien, so dass mehr Hardware-Ressourcen für erwünschte Anwendungen zur Verfügung stehen. 
    Software Blacklisting  ist nur noch notwendig, wenn neue ungeprüfte Software ausgeführt werden soll. 

Folgende Einschränkungen enstehen bei konsequenter Einhaltung der o.g. Maßnahmen:

  1. Um neue erwünschte Software nutzen zu können, muss diese Software mit administrativen Rechten in die Verzeichnisse installiert oder kopiert werden, welche vom Software Whitelisting freigegeben sind.
        
  2. Software, die administrative Rechte benötigt, ist für Standardbenutzer nicht startbar.

Hinweise zur Umsetzung der empfohlenen Maßnahmen finden Sie unter

Bitte kontaktieren Sie Ihren verantwortlichen Administrator, um Unterstützung bei der Umsetzung der technischen Maßnahmen zu erhalten.

Ihr ITMZ-Team