Die meisten Angriffe richten sich immer noch gegen PCs mit Windows-Betriebssystemen. In diesem Beitrag wird gezeigt, wie sich die Gefährdungen verändert haben und wie die Benutzer sich auf diese Veränderungen einstellen müssen. Sicherheitsupdates für das Betriebssystem allein sind längst nicht mehr ausreichend – auch die Anwendungen müssen ständig aktualisiert werden, aktuelle Virenscanner versagen bei der Erkennung vieler Schädlinge und die Gefahren gehen eher von Webseiten als von Mail-Anhängen aus. Es wird immer wichtiger, dass die PCs durch ein Bündel von Sicherheitsmaßnahmen geschützt werden – einzelne Absicherungen sind den werden – einzelne Absicherungen sind den vielfältigen Gefahren nicht mehr gewachsen. Der überwiegende Teil des Artikels ist nicht betriebssystemspezifisch ausgerichtet, einige praktische Empfehlungen richten sich jedoch an Windows-Benutzer
Durch neue Angebote und Dienste, neue Technologien und veränderte Anforderungen hat sich die Nutzung der Computernetze, vor allem die Nutzung des Internets, drastisch verändert, außerdem nimmt sie weiterhin stark zu. An diese Veränderungen haben auch die Angreifer ihre Methoden angepasst. Mit dem Missbrauch der Netze, z. B. für das Versenden von Spam-Mails, das Ausspähen vertraulicher Daten oder Angriffe auf wichtige Server, kann inzwischen sehr viel Geld verdient werden. Auch die Angreifer haben moderne Technologien zur Verfolgung ihrer Ziele zur Verfügung.
Sieht man sich diese Ziele an, kann kaum jemand behaupten, sein Rechner wäre für Angreifer uninteressant und braucht deshalb nicht vernünftig geschützt zu werden. Drei Beispiele:
Und: Falls die auf der Festplatte gespeicherten Daten wirklich nicht interessant sind, dann taugt fast jeder PC noch als ferngesteuerter Zombie in einem Bot-Netz.
Die im letzten Artikel [1] zum Thema Sicherheit von Windows-Clients vor etwa 4 Jahren aufgestellten Regeln zur sicheren Nutzung von PCs gelten immer noch, aber die Empfehlungen sind jetzt anders zu gewichten.
Die Installation eines leistungsfähigen Virenscanners auf jedem Rechner (im HU-Netz McAfee VirusScan Enterprise) und das regelmäßige, möglichst automatische Aktualisieren der Virensignaturen (.dat-Dateien) gehört zu den Selbstverständlichkeiten. Unabhängige Tests verschiedener Antivirus-Produkte wie z. B in [2] zeigen, dass die meisten Virenscanner – verglichen mit Testergebnissen in den Vorjahren – ihre Aufgaben (Schutz des Rechners vor Schädlingen, Entfernung von Schädlingen) schlechter erfüllen und auch den gestiegenen Anforderungen, die sich aus den aktuellen Gefahren im Netz ergeben, noch nicht gewachsen sind. Warum ist das so?
Für eine große Einrichtung wie die Humboldt-Universität ergibt sich ein weiteres Problem: Wegen der großen Zahl der Virenscanner-Installationen im HU-Netz ist es schwer möglich, mal schnell den Anbieter zu wechseln, nur weil dessen aktuelle Sicherheits-Suite bestimmte Anforderungen besser erfüllt als das an der HU installierte Produkt (eine Frage des Preises ist es auch).
Um es deutlich zu sagen: Die vorangegangenen Ausführungen über die Virenscanner sollten nicht dazu führen, die Virenscanner zu deaktivieren oder sogar vollkommen wegzulassen! Schlussfolgerung: Virenscanner können nur eine (wichtige) Komponente im Schutzschild zur Absicherung des Computers sein – sie allein können Ihren ger) schützen.
Benutzer und Administratoren fragen uns häufig, ob sie zum Schutz ihres Rechners zusätzlich eine Firewall installieren sollen, um den ein-und ausgehenden Datenverkehr auf dem PC besser kontrollieren zu können. Windows XP Professional und Windows Vista (ab Business Edition auf-wärts) enthalten eine einfache Firewall (die von Windows XP kann nur den eingehenden Verkehr kontrollieren). Mit den komplexen Einstellungen, die für eine wirksame Kontrolle des Datenverkehrs vom und zum PC nötig wären, sind die meisten Benutzer überfordert. Die Bedienung ist häufig zu kompliziert. Die Firewall wird zu weit geöffnet oder ganz abgeschaltet, wenn die Benutzer sich durch die Nachfragen der Software genervt und in ihrer Arbeit behindert fühlen. Das Ergebnis ist, dass der Datenverkehr kaum noch begrenzt ist, die Benutzer sich aber in trügerischer Sicherheit wiegen, da sie ja zusätzlich eine Firewall installiert haben. Fast alle kostenlosen Personal Firewalls für Windows sind nur für den privaten Einner müsste eine Lizenz gekauft werden.
Die Empfehlung lautet: Benutzen Sie die eingebaute Firewall des Windows-Betriebssystems in der Standard-Einstellung oder noch besser in der Einstellung „ohne Ausnahmen“.
Kaum eine Webseite kommt inzwischen ohne aktive Inhalte (also: Skripte zur Navigation oder Multimedia-Inhalte wie z. B. Flash-Dateien) aus. Das führt dazu, dass man auf diesen Webseiten kaum noch navigieren kann oder viele Inhalte gar nicht angezeigt bekommt, wenn die Skripting-Fähigkeiten des Web-Browsers (Javascript, VBScript) deaktiviert sind oder das passende Plug-in/der Player für das angebotene Multimedia-Format nicht installiert sind. Der Trend geht schon seit langem dahin, dass im Browser (fast) alles darstellbar/abspielbar sein muss. Der Einsatz neuer Technologien wie z. B. Ajax macht es möglich, dass sogar ty-pische Office-Anwendungen vom Desktop teilweise ins Web „umziehen“. Wachsende Anforderungen an mobiles Arbeiten und an die universelle Verfügbarkeit von Programmen und Daten führen dazu, dass sich der Arbeitsplatz vieler und dadurch die Anwendungen, mit denen sie mit dem Web „in Kontakt treten“ – die Web-Browser, das Mail-Programm – eine größere Bedeutung erlangen. Ebenso wichtig sind die Betrachter (Viewer) und Player für die verschiedenen Medien-Formate (als Plug-in oder Add-on/Extension im Browser und im Mail-Programm oder als selbständige Programme, die bei Bedarf vom Browser oder vom Mail-Client zur Anzeige von Anhängen aufgerufen werden). Die meisten Benutzer haben Adobe Reader, Adobe Flash Player, Quick Time Player und einen weiteren Media Player auf ihrem Rechner installiert.
Auch die Angreifer haben sich darauf eingestellt. Der Anteil an Schadsoftware, die per Mail verteilt wird (und immerhin in der Regel als bewusste Aktion des Benutzers den Download oder das Öffnen von Dateien erfordert), ist stark zurückgegangen. Viel häufiger erfolgen die An-griffe inzwischen über entsprechend präparierte Webseiten, die dann Schwachstellen im Web-Browser, in Plug-ins oder türen (Backdoors) im System zu öffnen und darüber weitere Schadsoftware nachzuladen und den Angriff fortzusetzen.
Sicherheitsanalysten stufen die Web-Browser inzwischen als Sicherheitsrisiko Nr. 1 ein [3]. Durch sichere Konfiguration des Browsers oder zusätzliche Addons (z. B. NoScript, Flashblock für den Browser Firefox) kann man die Risiken jedoch drastisch senken.
Zur Verdeutlichung der Probleme habe ich hier nur wenige Nachrichten einer einzigen Aprilwoche von heise Security [4] herausgepickt:
Am Beispiel einer einzigen Anwendung soll das weiter illustriert werden: Der Media Player QuickTime für Windows der Fa. Apple (meistens im Paket mit iTunes) gehörte in den letzten Monaten in Bezug auf Sicherheitslücken zu den Spitzenreitern. Immer wieder war es möglich, dass Angreifer Rechner über kritische Lücken im Player infizieren konnten, siehe z. B. [5]. Innerhalb von 6 Monaten musste Apple 5 neue Versionen (7.3, 7.3.1, 7.4, 7.4.1, 7.4.5) der Software liefern, um Sicherheitslücken zu schließen. In der aktuellen Version 7.4.5 sind seit Wochen bekannte Sicherheitslücken nicht geschlossen. Dasselbe gilt für viele andere Anwendungen (Browser, Player, …). Sie enthalten Lücken, die oft steller bisher aber nicht durch Updates beseitigt wurden. Man sollte sich nicht in einem falschen Sicherheitsgefühl wiegen: die Tatsache, dass keine Updates angeboten werden, bedeutet längst nicht, dass die Anwendung sicher ist.
Windows-Anwender sind bei der Suche nach Updates weitestgehend auf sich allein gestellt, müssen sich also um die Updates für jedes Programm/Plug-in selbst kümmern. Linux-Benutzer (v. a. die, die eine der großen Distributionen wie OpenSUSE, Ubuntu, Debian oder Fedora einsetzen) können regelmäßig Updates für alle installierten Software-Pakete automatisch geliefert bekommen. Immerhin bietet Microsoft inzwischen als Alternative zum vorkonfigurierten Windows Update (liefert nur Updates für das Betriebssystem, Hardware-Treiber, den Internet Explorer und einige systemnahe Zusatzkomponenten) das erweiterte Microsoft Update an, das auch Office-Programme und zunehmend weitere (Microsoft-) Programme aktualisiert. Man muss den eigenen PC dafür konfigurieren, kann dann aber alle diese Updates automatisch beziehen. Updates für Software anderer Hersteller muss man weiterhin selbst suchen. Inzwischen bieten viele Programme die Möglichkeit, automatisch beim Start oder vom Benutzer initiiert nach verfügbaren Updates beim Hersteller zu suchen (z. B. die Browser Firefox und be Reader, das Java Runtime Paket usw.).
Dort, wo Programme es anbieten, das Suchen nach Updates und das Herunterladen automatisch durchzuführen und Sie über die Verfügbarkeit von Updates zu benachrichtigen, sollten Sie die Möglichkeit nutzen. Es ist zeitaufwendig, die Sicherheitsprobleme und Updates aller benutzten Programme zu verfolgen. Meistens wird die Aktualisierung der Programme dann aus Zeitgründen „vergessen“. Das regelmäßige Verfolgen der Meldungen auf heise Security ist eine gute Möglichkeit, um sich in kompakter Form und möglichst zeitsparend über Sicherheits-Updates zu informieren.
In Kürze wird der CMS den Administratoren der Institute eine weitere Möglichkeit zur Verfügung stellen, sich über sicherheitsrelevante Software-Updates zu informieren (siehe Artikel „Überwachung von Software-Versionen“ in diesem Heft).
Schlussfolgerung: Die regelmäßige Überwachung und Aktualisierung der Anwendungen ist mindestens genauso wichtig wie die des Betriebssystems. Auch diese Maßnahme ist noch nicht ausreichend.
Da die Beschreibung aller wichtigen Sicherheitseinstellungen hier nicht möglich ist, folgen zum Abschluss dieses Beitrages noch einmal unsere wichtigsten Empfehlungen, wie Sie Ihren PC sicher schützen können – wenigstens als Liste von Stichpunkten (die Aufzählung ist eine Rangfolge!):
Sie verfolgen z. B. im Web einen interessanten Link und geraten dadurch auf eine Webseite, die so präpariert ist, dass bereits beim bloßen Laden der Seite über eine Sicherheitslücke im Web-Browser ein Programm (Downloader) auf Ihrem PC gespeichert wird, das dann weitere Schadsoftware laden kann. Wie könnte das z. B. verhindert werden?
Diese Beispiele sollten illustrieren, dass durch die mehrfache Absicherung sogar beim Versagen von 3 Sicherheits-Maßnahmen wie im Fall 4. (Benutzer unaufmerksam, Browser nicht aktuell, Virenscanner nicht aktuell) eine Kompromittierung des PCs unter Umständen noch verhindert werden könnte.
Die Welt des Internets ist ein Abbild der realen Welt: sie ist nicht sicherer geworden. Um den eigenen Rechner vor Angriffen und Schädlingen zu schützen, muss man mehr Aufwand betreiben. Die Verantwortung bleibt bei den Benutzern der Rechner – der CMS und die Administratoren in den Einrichtungen können nur Wissen, Empfehlungen und Anleitungen beisteuern. Die Computerbetriebsordnung, die jeder Benutzer akzeptieren cms-journal 30 / Juni 2008 muss, der sich im HU-Netz bewegt und gesetzliche Regelungen wie die Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität (Einführung des neuen § 202c StGB – „Hackerparagraph“) nehmen jeden in die Pflicht, den eigenen Rechner vor Angriffen von außen zu schützen und sich verantwortungsbewusst zu verhalten.
Der Aufwand lohnt sich jedoch: es kostet noch viel mehr Zeit, einen kompromittierten Rechner komplett neu aufzusetzen oder mühselig verlorenen Daten hinterherzujagen. Noch immer ist für die Absicherung von PCs kein riesiger Aufwand nötig. Viele Aufgaben lassen sich durch Automatisierung erleichtern. Auch die Einhaltung der wichtigsten Regeln ist nicht so schwer.