Locky & Co • Schutz für die IT in Unternehmen • Teil III

Microsoft stellt für Windows XP und Office 2003 keine Sicherheitsupdates mehr zur Verfügung.

Surft man mit Windows XP im Internet, oder empfängt man mit Office 2003 E-Mails und öffnet die Anlagen von E-Mails, dann besteht ein sehr hohes Risiko.

Das gilt auch für Vorgänger, wie Windows 2000, Windows ME, Windows 98, Office 2000, Office XP etc. Dennoch sind solche Systeme nach wie vor im Einsatz …

Wichtig:

• Systeme mit diesen Produkten sollten unbedingt durch neue Windows- und Office Versionen ersetzt werden.
• Oft erscheint es aus Gründen der Kompatibilität nötig, die alten Versionen eines Betriebssystems weiter zu verwenden (Beispiel: eine bestimmte Software läuft nicht auf neueren Windows-Systemen. In der Regel gibt es aber Wege, solche Software doch auf neueren Windows-Versionen zu betreiben.)
• Gibt es keine Alternative zu Windows XP etc., dann muss sichergestellt sein, dass der betreffende PC keinen Zugang zum Internet hat und damit auch keine Möglichkeit, Mails zu empfangen.

Viele Krypto-Trojaner verbreiten sich über Makros in Office-Dokumenten.

Makros sind kleine Programme, die unter Umständen beim Öffnen eines Dokuments gestartet werden und Schaden anrichten können. Die Office-Programme sollten so eingestellt sein, dass sie die Makros nicht ohne Rückfrage starten.

Wichtig:

• Makros sind sinnvoll, aber häufig auch gefährlich.
• Die Office-Programme (mindestens Excel, Word und Powerpoint) sollten für alle Benutzer so eingestellt sein, dass sie nicht ohne Rückfrage Makros starten.
• Das lässt sich am einfachsten über Gruppenrichtlinien vereinheitlichen.
• Die Benutzer müssen wissen, wie sie sich bei Meldungen zu verhalten haben.

Als echter Benutzer „Administrator“ sollte man sich nur anmelden, wenn dieses für die Wartung der Systeme nötig ist.

Führt man einfache Arbeiten, insbesondere das Surfen im Internet und der Empfang von E-Mails, im Administrator-Status durch, gefährdet man das Unternehmen. Infiziert man sich in einem solchen Fall, dann kann der Virus sich ungehindert im gesamten Netzwerk verbreiten.

Wichtig:

• Der Administrator-Status sollte nur für die Wartung von Systemen verwendet werden.
• Das Konto sollte durch ein ausreichend komplexes Kennwort geschützt sein.

Im Idealfall hat kein Benutzer administrative Rechte. Für Änderungen am System oder die Installation von Programmen wendet er sich an den Administrator.

Das kann in der Praxis allerdings die Arbeit behindern. Mit einer korrekt eingestellten UAC werden die Risiken aber deutlich minimiert: Die UAC meldet sich beim Benutzer, wenn eine Aktion durchgeführt werden soll, die die Rechte eines Administrators benötigt. Ist die Aktion plausibel, dann erlaubt der Benutzer diesen einmaligen Vorgang und arbeitet ansonsten so, als ob er keine administrativen Rechte hätte.

Wichtig:

• Es kann in bestimmten Fällen sinnvoll sein, Benutzern administrative Rechte einzuräumen.
• Für jeden Benutzer sollte individuell entschieden werden, ob er gelegentlich administrative Rechte benötigt.
• Auf allen Computern sollte die UAC auf Stufe 3 eingestellt sein.
• Jeder Benutzer sollte die Meldung der UAC nur dann bestätigen, wenn er sicher entscheiden kann, dass die laufende Aktion ungefährlich ist.
• Alltägliche Arbeiten als echter „Administrator“ sollte in jedem Fall vermieden werden.

Benutzer benötigen für Ihre Arbeiten Schreibrechte für bestimmte Verzeichnisse (etwa die Berechtigung zur Änderung von Dokumenten). Auf viele Verzeichnisse wird aber gar kein Zugriff benötigt, oder es reicht ein Lesezugriff aus.

Je weniger Schreibrechte ein Benutzer hat, umso weniger Schaden können Locky und Co im Ernstfall anrichten.

Wichtig:

• Für jeden Benutzer sollte bekannt sein, welche Daten er schreiben, lesen oder gar nicht im Zugriff haben sollte.
• Die Berechtigungen sollten entsprechend restriktiv eingeschränkt sein.
• Mittels Benutzergruppen ist eine komfortable Verwaltung möglich.

In den meisten Mailanhängen können sich Viren und Trojaner verstecken, vor allem in ZIP-Dateien und Office-Dokumenten. Selbst die vermeintlich sicheren PDFs können gefährlich sein.

Zudem hat sich gezeigt, dass Virenscanner eine neue Welle von Viren und Trojaner zunächst meist nicht erkennen. Manche Virenscanner (etwa Avira für Exchange Server) bieten daher die Möglichkeit, potentiell gefährliche Anhänge im ersten Schritt auszufiltern. Es wird nur der Text der E-Mail ohne die geblockten Anhänge zugestellt. Erst wenn der Mitarbeiter zu dem Schluss kommt, dass die Anhänge wichtig sind, kann er sich diese gezielt holen.

Wichtig:

• Alle E-Mail-Anhänge sind potentiell gefährlich!
• Wird ein Exchange Server eingesetzt, so können beispielsweise über „Avira für Exchange“ bestimmte Anhänge geblockt werden.
• Welche Anhänge geblockt werden sollen lässt sich dabei sehr komfortabel einstellen.
• Werden die Anhänge gebraucht, dann kann der Benutzer sich diese gezielt im Nachhinein holen.

Bei E-Mails stellt der Einsatz von Zertifikaten sicher, dass der Absender nicht gefälscht und die E-Mail nicht nachträglich verändert wurde. Der technische Aufwand und die Kosten für eine Zertifikats-Lösung sind verhältnismäßig gering.

Wichtig:

• Zertifikate erhöhen die Sicherheit von E-Mails erheblich.
• Kosten und Aufwand sind verhältnismäßig gering.

Die private Nutzung von E-Mails und Internet stellt für die Unternehmens-IT eine zusätzliche Gefahr dar. Werden sie gestattet sind, dann ist die Unterweisung von Mitarbeitern zur IT-Sicherheit besonders wichtig.

Wichtig:

• Je mehr das Internet im Unternehmen genutzt wird, um so größer ist die Gefahr für die IT.
• Unterweisungen von Mitarbeitern zur IT-Sicherheit sind besonders dann wichtig, wenn die private Nutzung des Internets gestattet oder geduldet ist.
• Firewalls mit Webfiltern können hier die Gefährdung verringern

Grundsätzlich stellt jede Software, die auf einem PC betrieben wird, auch ein potentielles Sicherheitsrisiko dar.

Das gilt besonders für Programme, die Verbindung zum Internet aufbauen oder Dateien aus dem Internet oder aus E-Mails öffnen.

Wichtig:

• Es sollte geprüft werden, welche Anwendungen im Unternehmen eingesetzt werden.
• Nicht benötige Anwendungen sollten deinstalliert werden.
• Bei allen anderen Anwendungen sollte geprüft werden, ob es sicherheitskritische Updates gibt.
• „Aagon ACMP“ ist eine gute Lösung um die Software eines Unternehmens aktiv zu verwalten und die Updates zu pflegen.

Häufig werden geschäftskritische Daten wie Word-Dokumente oder Excel-Tabellen auf dem lokalen Computer gespeichert. Meist wird der lokale Computer aber nicht gesichert. Damit sind die Daten nicht in der Datensicherung vorhanden. Kommt es zu einem Befall, dann werden diese Daten verschlüsselt und können nicht aus der Datensicherung wieder hergestellt werden.

Wichtig:

• Geschäftskritische Daten sollte nur dort gespeichert werden, wo auch eine Datensicherung erfolgt.
• Nur so ist sichergestellt, dass sie bei Bedarf auch wieder hergestellt werden können.
• In der Regel ist das der zentrale Server im Unternehmen.

Ist die Datensicherung an das Netzwerk angeschlossen und über einen Laufwerksbuchstaben erreichbar, so sollten Benutzer keinerlei Zugriffsrechte auf diese haben – noch nicht einmal Leserechte. Auf keinen Fall sollten aber Schreibrechte vergeben sein.

Wichtig:

• Siehe Details zur Datensicherung im Teil 2 dieser Serie.