Wie effektiv vor Malware schützen?

David7

Cadet 4th Year
Dabei seit
Feb. 2018
Beiträge
66
Fast jeden Tag findet man im Internet neue Meldungen über Unternehmen, die von Malware jeglicher Art angegriffen und infiziert wurden. Häufig genannte Angriffe beinhalten bspw. Ransomware, Phishing, Würmer oder Viren.

Viele Tipps, wie man sich vor Malware schützen kann, sind eher abstrakt und allgemein gehalten. Beispielsweise sind Ratschläge wie "Klicken Sie nur auf Links, die vertrauenswürdig sind." zwar richtig, aber damit kann man letztendlich nicht so viel anfangen.

Um sich effektiv vor Malware schützen zu können, sind aus meiner Sicht zwei Fragen besonders wichtig:
  • Durch welche Methoden/Angriffsvektoren erfolgen die Angriffe durch Malware/Ransomware in der Regel?
  • Durch welche konkreten Maßnahmen kann man sich effektiv vor Malware und ähnlichen Angriffen schützen?
Vielleicht können wir dazu ja eine Art Wissenssammlung erstellen :)


Ich mache mal den Anfang:

Allgemein lässt sich feststellen, dass viele Angriffe zwar auf technischer Ebene ablaufen, dabei aber oft auf die Schwachstelle Mensch setzen.

Ransomware durch Makros in Microsoft Office-Dokumenten

Angriffe durch Ransomware/Malware erfolgen oft durch gefälschte E-Mails, in deren Anhängen sich Microsoft Word-Dokumente befinden wie bspw. Rechnungen, Mahnungen, etc. In diesen Dokumenten sind Makros hinterlegt, die man in Word mit einem Klick auf "Inhalt aktivieren" (gelbes Banner) aktivieren kann. Dadurch wird der Schadcode auf dem Rechner ausgeführt und das Unheil nimmt seinen Lauf.

Verhindern kann man diesen Angriff, indem man in Microsoft Office (bspw. Word) die Ausführung von Makros deaktiviert. Das geht über Datei --> Optionen --> Trust Center --> Trust Center Einstellungen --> Makro-Einstellungen --> Alle Makros ohne Benachrichtigung deaktivieren.
Zu beachten ist, dass man diese Einstellung für jede Office-Anwendung wie bspw. Word, Excel, Powerpoint, etc. einzeln setzen muss.

Hier noch ein Link von Microsoft: https://support.microsoft.com/en-us...ce-files-12b036fd-d140-4e74-b45e-16fed1a7e5c6
Alternativ kann man man die Ausführung von Makros auch per Gruppenrichtlinien (GPO) verhindern, was allerdings nur unter Windows 10 Pro möglich ist. Link: https://www.windowspro.de/wolfgang-...9-einschraenken-blockieren-gruppenrichtlinien


Standard-User sollten keine lokalen Adminrechte haben (principle of least privile)
Unter Linux ist dieses Prinzip der Standard. Auch unter Windows sollte der Nutzeraccount, mit dem man täglich arbeitet (Internet, Office, Gaming, etc.) keine Adminrechte haben. Sollte Schadcode durch irgendeinen Weg auf den PC gelangen, hat er durch die vorhandenen Adminrechte die Möglichkeit, sehr tiefgreifende Änderungen am Betriebssystem vorzunehmen.

Falls ihr unter Windows 10 aktuell nur einen User habt und dieser gleichzeitig Administrator ist, könnt ihr das so ändern: Ihr erstellt einen weiteren Nutzeraccount und gebt ihm Adminrechte. Nun habt ihr zwei Accounts mit Adminrechten (euren alten und den neuen User). Nun loggt ihr euch aus eurem alten User aus und in den neuen User ein. Über die Einstellung/Systemsteuerung des neuen Users entzieht ihr eurem alten User die Adminrechte. Die tägliche Nutzung des PCs wird weiterhin über den alten User durchgeführt. Wenn man trotzdem die Adminrechte braucht, kann man in der User Account Control (UAC) einfach das Passwort des Admin-Kontos eingeben.

Router
Der Router ist eure hauptsächliche Verteidigung gegen Angriffe aus dem Internet (Portscans, Verbindungsanfragen, etc.) Ein Router lässt typischerweise nur Traffic ins Intranet, der als Antwort auf eine vorher vom Intranet verschickte Anfrage zurückkommt. Unerwarteter Traffic wird abgelehnt bzw. verworfen.
Man sollte also darauf achten, dass der Router sowohl hardware- als auch softwaremäßig immer aktuell ist und keinen Router verwenden, der sein End-of-Support / End-of-Life erreicht hat.
Generell sollten Dienste wie SMB-Fileshares, Remote Desktop über RDP oder VNC nie direkt über das Internet erreichbar sein, sondern immer über einen VPN-Tunnel.

Router: Portweiterleitungen schließen/deaktivieren
Manche PC-Anwendungen für Peer-to-Peer-Kommunikation (bspw. Bittorrent), aber auch Network Attached Storages (NAS) wie Synology und QNAP oder Spielekonsolen geben an, dass man im Router eine Portweiterleitung auf das jeweilige Gerät freigeben soll. Dies führt dazu, dass Anfragen, die euren Router auf dem freigegebenen Port erreichen, direkt an dieses Gerät im Heimnetz weitergeleitet werden.

Ein typisches Angriffsszenario besteht darin, dass jemand sein NAS auch von unterwegs (Laptop, Smartphone, etc.) erreichen möchte und eine Portweiterleitung vom Router auf das NAS erstellt. Findet ein Angreifer über einen Portscan diesen offenen Port, können sich die Angriffe direkt gegen das Betriebssystem oder Anwendungen auf dem NAS richten. Durch das Ausnutzen von Sicherheitslücken auf dem NAS kann bspw. Ransomware installiert werden.

Router: UPnP deaktivieren
Universal Plug and Play (UPnP) ist eine Gruppe von Netzwerkprotokollen mit denen Geräte dem Router mitteilen können, bestimmte Ports zu öffnen und entsprechende Anfragen aus dem Internet an das Gerät weiterzuleiten. Die Geräte im Intranet können also selbständig eine Portweiterleitung aktivieren. Wie oben beschrieben kann das ziemlich gefährlich sein.

Router: Trennung von Hauptnetz und IoT-Netz
Es könnte sinnvoll sein, das Hauptnetz mit vertrauenswürdigen Geräten wie PCs, Laptops und NAS zu trennen von weniger vertrauenswürdigen Geräten wie bspw. Smart TVs, Roboterstaubsauger und anderen IoT-Geräten. Das geht in der Regel über einen WLAN-Gastzugang.

Updates: Regelmäßig Aktualisierungen installieren
Das regelmäßige Installieren von Updates betrifft den gesamten Software-Stack. Dazu zählen Anwendungssoftware (bspw. Browser, Office-Software, PDF-Software, etc.), Betriebssystem (Windows, OS X/ iOS, Linux, Android, etc.), UEFI/BIOS sowie die Firmware.

Updates: Anwendungssoftware
Viele Anwendungen kommen mit integrierten Update-Funktionen. Man sollte allerdings nicht blind darauf vertrauen, dass sich jede Anwendung von selbst aktualisiert (insbesondere dann nicht, wenn man die Anwendung selten verwendet).
Die integrierte Aktualisierungsfunktion erreicht man oft, indem man in der Anwendung ganz oben auf einen Reiter "Hilfe" oder "Help" klickt. Dort gibt es dann Unterpunkte wie "Auf Aktualisierungen prüfen" oder "Über...". Ruft man diese Funktionen auf, prüft die Anwendung sich selbst auf Updates und installiert diese.

Falls die Anwendung nicht über eine integrierte Updatefunktion verfügt, muss man die installierte Version mit der aktuellsten Version des Programms vergleichen, bspw. auf der Website des Herstellers oder auf dem Downloadportal seiner Wahl.

Updates: Betriebssystem
Windows 10 ist bekanntermaßen sehr update-freudig. Falls man nachhelfen möchte, kann man das über Einstellungen --> Update und Sicherheit --> Windows Update --> Nach Updates suchen machen.
Um die aktuell auf eurem PC installierte Version von Windows 10 herauszufinden, gibt es mehrere Wege. Zum einen über Einstellungen --> System --> Info --> Windows-Spezifikationen. Zum anderen kann man über das Startmenü durch die Eingabe von "cmd.exe" eine Kommandozeile öffnen. Die oberste Zeile in der Kommandozeile lautet bei mir bspw. "10.0.19041.572". Dies ist die Version von Windows, die aktuell auf eurem PC läuft. Nun öffnet ihr https://en.wikipedia.org/wiki/Windows_10 und vergleicht eure Versionsnummer mit der Versionsnummer in der Infobox beim Eintrag "Latest release", hier 10.0.19041.572. In meinem Fall sind beide identisch, was ein gutes Zeichen ist.

Linux zu aktualisieren ist aufgrund der Package manager wie bspw. apt auch recht einfach. Um unter Linux Informationen zur Version des Betriebssystems, etc. angezeigt zu bekommen, kann man den Befehl neofetch verwenden.

Updates: UEFI/BIOS
Neue Versionen des UEFI/BIOS für ein Mainboard/ Motherboard findet man in der Regel auf der Website der Hersteller. Nach meiner Erfahrung werden die meisten Mainboards leider nur 2-3 Jahre mit UEFI/BIOS-Updates versorgt. Zur Aktualisierung lädt man die Datei von der Website herunter, verschiebt sie auf einen USB-Stick und fährt den PC herunter. Danach den PC neu hochfahren und beim POST-Screen die Taste F2, Esc oder Entf drücken, um ins UEFI/BIOS zu gelangen. Im UEFI/BIOS wählt man dann über die Aktualisierungsfunktion den USB-Stick und die Datei darauf aus.

Updates: Firmware
Firmware zu aktualisieren kann sehr umständlich sein. Manche Hardwarehersteller bieten dafür spezielle Software an. Geräte wie Smart TVs oder Netzwerkdrucker haben oft eine integrierte Funktion, um ihre Firmware zu aktualisieren.
Eine recht neue und sehr praktikable Möglichkeit, Firmware zu aktualisieren, ist das der Dienst "fwupd". Dieser Dienst funktioniert hauptsächlich unter Linux. Mehr dazu unter https://en.wikipedia.org/wiki/Fwupd und https://fwupd.org .

Backups regelmäßig erstellen
Bei Backups sollte man sich an der 3-2-1-Regel orientieren: Es sollte 3 Datenkopien geben, davon 2 auf unterschiedlichen Medien, davon 1 an einem anderen Ort.
Zusätzlich sollten Backups immer automatisch erstellt werden. Gute Vorsätze wie "Ich starte jeden Sonntagabend ein manuelles Backup" funktionieren genauso wenig wie das alljährliche Vorhaben an Silvester, im neuen Jahr öfter ins Fitnessstudio zu gehen.

Veraltete und nicht mehr benötigte Software deinstallieren
Je länger man einen PC oder anderes Gerät nutzt, desto mehr Software sammelt sich darauf an. Manche Anwendungen braucht man ggf. nicht mehr. Diese sollte man dann deinstallieren.
Zusätzlich sollte man darauf achten, keine Software mehr zu verwenden, die ihr End-of-Support oder End-of-Life erreicht hat. Beispiele:
  • Adobe Flash (End of Life im Dezember 2020)
  • Adobe Shockwave + Shockwave Player (End of Life im April 2019)
  • Windows 7 (End of Support im Januar 2020)
  • Windows Server 2008 (End of Support im Januar 2020)
  • Microsoft Office 2010: Word, Excel, PowerPoint, etc. (End of Support im Oktober 2020)
 
Zuletzt bearbeitet:

xxMuahdibxx

Fleet Admiral
Dabei seit
Juli 2011
Beiträge
21.385
Man sollte den DAU verbieten ... der macht alles kapputt.
 

Taron

Commander
Dabei seit
Dez. 2013
Beiträge
2.098
Good old Standard - Brain.exe

  • keine Downloads dubioser Quelle anstoßen und Datei ausführen
  • keine Raubkopien, Cracks und "Börsen" nutzen
  • keine Mailanhänge von unbekanntem Absender öffnen, bzw. bei unerwartetem Erhalt eines (dubios erscheinenden) Anhangs vorab Absender kontaktieren, auch wenn es wichtig ist und wertvolle Zeit kostet - Wiederherstellung von Backups oder Shutdown des Netzwerks dauern noch länger (wichtigstes Einfallstor im Geschäftsbereich)
  • Achtung bei seriös wirkenden Mails mit Aufforderung von Eingabe der Kundendaten von Bank, Paypal, Providern, Streaminganbietern etc. - Phishing-Gefahr! Immer auf originale Email-Absenderadresse prüfen und/oder Text auf Rechtschreib- und Grammatikfehler checken
  • Vorsicht bei "Gratis"-Kaufsoftware, gratis könnte da lediglich die Payload aka Schadsoftware sein...

Und noch weitere Dinge:
  • Ad- und Skriptblocker nutzen, um Malware via Werbenetzwerke und JSS zu verhindern (Hinweis. evtl. Unterstützung wichtigster Seiten via Abo oder Einmalzahlung/Spende in Erwägung ziehen)
  • exotische Betriebssysteme oder Plattformen nutzen (wenn im Usecase möglich)
  • Browser regelmäßig updaten
  • Wechseldatenträger nicht allen möglichen Leuten unbeobachtet überlassen
 

BeBur

Lt. Commander
Dabei seit
Nov. 2018
Beiträge
1.819
Outlook
  • Makros aus
  • Keine Inhalte und kein HTML bei unbekannten E-Mails laden

PC
  • Mit Restric'tor vom Admin Konto aus das ausführen von Programmen verbieten
 

David7

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Feb. 2018
Beiträge
66
exotische Betriebssysteme oder Plattformen nutzen (wenn im Usecase möglich)
Diese Ansicht kann man von zwei Seiten betrachten.

Einerseits hast du damit recht, dass exotische Software wahrscheinlich seltener angegriffen wird, weil sich Angreifer vermutlich eher auf Software mit einer möglichst großen Nutzerbasis konzentrieren.

Andererseits sollte man auch Linus's law berücksichtigen: given enough eyeballs, all bugs are shallow.
Da weit verbreitete Standardsoftware eine größere Nutzerbasis hat, werden (sicherheitsrelevante) Fehler vermutlich eher gefunden und gefixt.
 
Top