Sicherheit oder Komfort: Eine Geschichte über E-Mail-Spam und Ransomware
IT-Sicherheitsregeln
Kürzlich bemerkte Frank einen Anstieg der Zahl von Spam-Nachrichten mit Microsoft Office-Anhängen; diese Dokumente führen beim Öffnen automatisch Makros aus, die eine Malware herunterladen. Hier gibt es zwei mögliche Lösungsansätze:
- Makros können vollständig deaktiviert werden. Die automatische Ausführung wird gestoppt, der Benutzer muss sie manuell akzeptieren, bevor sie ausgeführt werden.
- Der Microsoft Office Viewer. Diese Anwendung lässt die Anwender sehen, wie die Dokumente aussehen, ohne Word oder Excel zu öffnen. Die Viewer-Software unterstützt Makros überhaupt nicht, eine versehentliche Aktivierung ist also unmöglich.
Benutzerschulung
Die schwierigste aller Sicherheitsebenen ist der Anwender selbst. Seine Reaktionen sind am wenigsten berechenbar. Oh, ein nigerianischer Prinz schreibt mir? Na, was der wohl will? Ich soll dem Paketzusteller meine Adresse und E-Mail bestätigen? Na klar, sonst kommt das Päckchen ja nicht!
Die Sicherheit müssen die User immer im Blick haben – sei es durch starke Passwörter, oder einfach durch die Kenntnis der vielen Bedrohungsarten, die es gibt. Frank hat sich entschieden, ein Sicherheitstraining aufzubauen, einschließlich E-Mail und Passwort-Tipps, Trainingsvideos, Poster und gelegentliche Tests mit kleinen Gewinnspielen.
Endpoint-Scanning
Frank weiß, dass es eigentlich egal ist, wie ausgefeilt sein E-Mail-Schutz ist, denn es gibt zahlreiche Möglichkeiten, bösartige Dateien in sein Netz zu bekommen. Es könnte über File-Sharing-Dienste wie Dropbox, FTP, mobile Geräte oder den berühmten USB-Stick auf dem Parkplatz sein. Neuerdings sorgt Frank sich sogar um mögliche Drohnenangriffe.
Ein Web-Gateway-Appliance kann zwar viel Schutz bieten, einen hundertprozentigen jedoch nicht. Dort setzt der EndpointScan an. Ihn mögen die Nutzer aufgrund der häufig auftretenden Verlangsamung des Rechners am wenigsten. Egal, denkt Frank. Folgende Möglichkeiten gibt es:
On-Access-Scans
Dies ist der Kern der meisten Endpoint-Schutzprodukte. On-Access-Scanning prüft jede Datei, kurz bevor sie verwendet wird. Die Malware wird identifiziert, die Aktivierung verhindert und angrenzende Lösungen gewarnt.
Host Intrusion Prevention
Dieses System ist auch bekannt unter Namen wie Verhaltensüberwachung oder HIPS. Hat eine Datei den On-Access-Scanner passiert und verhält sich auffällig, kann ein HIPS diese Aktivitäten überwachen und stoppen. Diese Sicherheitsfunktion kann dabei helfen sich vor neuer Malware zu schützen, die noch niemand zuvor gesehen hat.
Live-Schutz
Angesichts der Menge an schädlichen Aktivitäten ist ein Schutz vor neuen Bedrohungen besonders wichtig. Selbst wenn Anti-Viren-Software mehrmals täglich aktualisiert wird, bleibt das Infektionsrisiko. Live-Schutz sammelt Informationen über eine Datei und verifiziert diese über einen Cloud-Service.
Web Protection und Malicious Traffic Detection
Gängige Praxis bei einem Malwareangriff ist es, diesen in mehrere Segmente aufzuspalten. Man unterscheidet:
- Die Lieferung – in diesem Fall über Spam.
- Den Download – ein kleines Programm zum Start der nächsten Etappe.
- Die Ausführung – die eigentliche Malware, die den Schaden anrichtet.
Ein Downloader ist eine Miniatur-Malware, die nichts weiter tut als den eigenen Webserver anzurufen, um von dort herunterzuladen, was der Angreifer an Schadsoftware hinterlegt hat. Dies bedeutet, dass die Kriminellen ihre Angriffe über Spam ausführen können, ohne Malware mitzuschicken. Es ist sogar möglich, die Art der Malware im Verlauf der Attacke zu verändern.
Web Protection und Malicious Traffic Detection überwacht, zu welchen Webseiten der Computer eine Verbindung herstellt. Wird eine mit Malware-Verbreitung in Verbindung gebracht, wird die Verbindung blockiert.
