Clients sind besonders beliebte Ziele von Angreifern: Die Nutzer bedienen direkt Anwendungen, mit denen Inhalte aus dem  Internet geöffnet werden, wie z.B. Web-Browser, Browser-Plugins, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten. Diese sind somit oft das Einfallstor für Schadsoftware und Angriffsfläche für Angreifer. Besuchen die Nutzer infizierte Webseiten, öffnen E-Mails mit kompromittierendem Inhalt oder kopieren Schadsoftware über lokale Datenträger auf den Client, verbreitet sich so die Schadsoftware über die Clients in das Netz der Universität und/oder - wie im Fall von "Ransomware" - verhindern den Zugriff auf Daten und Systeme.

Absoluten Schutz gibt es nicht

Um Schäden durch Angriffe zu verhindern oder einen eingetretenen Schaden zu minimieren, gibt es eine Vielzahl technischer und organisatorischer Maßnahmen in den Bereichen Prävention, Detektion und Reaktion. Schadprogramme und Angriffsvektoren entwickeln sich jedoch stetig weiter und nutzen immer neue Sicherheitslücken, für die u.U. noch keine Schutzmechanismen existieren (Zero Day Exploits). Einen absoluten Schutz dagegen gibt es leider nicht. Dennoch gibt es einfache Möglichkeiten, mit denen man die Risiken minimieren kann. Viele dieser Maßnahmen gehören zu den allgemeinen Best-Practices zur Verbesserung der IT-Sicherheit.

Best-Practices zur Verbesserung der IT-Sicherheit

  • Um generell vor Infektionen durch die Ausnutzung bereits behobener Sicherheitslücken geschützt zu sein, installieren Sie unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller – idealerweise automatisch -  Sicherheitsupdates für Ihr Betriebssystem und die von Ihnen installierten Programme. Dies gilt besonders für Anwendungen, mit denen Inhalte aus dem  Internet geöffnet werden, wie z.B. Web-Browser, Browser-Plugins, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten.
  • Um die Angriffsfläche Ihres Systems zu minimieren, deinstallieren/deaktivieren Sie nicht benötigte Software, Plugins (z.B. Flash, Java, Silverlight), Funktionen und Schnittstellen (z.B. Remote-Zugänge). Schalten Sie Kommunikationsschnittstellen (wie etwa W-LAN und Bluetooth) nur dann temporär ein, solange sie benötigt werden. Führen Sie nur diejenigen aktiven Inhalte / Scripte (Flash, Java, Word-/Excel-Makros, JavaScript, ActiveX, *.bat, *.cmd, *.cs, *.reg, *.vbs, *.js ...) aus seriösen Quellen aus, denen Sie vertrauen. Kann auf Makros in bestimmten internen Arbeitsabläufen nicht verzichtet werden, sollte grundsätzlich die Ausführung nur von Makros mit festgelegten digitalen Signaturen erlaubt werden.
  • Setzen Sie ein Schutzprogramm gegen Schadsoftware ein und lassen Sie dieses sich automatisch aktualisieren. Über entsprechende Module zur Anwendungskontrolle kann die Ausführung oder Verbreitung von Schadsoftware verhindert werden, indem diese verdächtiges und typisches Verhalten unterbindet. Überprüfen Sie in regelmäßigen Abständen den Sicherheitsstatus Ihres Computers ("scannen" nach Schadsoftware).
  • Nutzerkonten sollten Zugriffsrechte nur in dem Umfang zugewiesen bekommen, wie sie im aktuellen Kontext zur Durchführung einer Aufgaben benötigt werden. Arbeiten Sie daher grundsätzlich unter Nutzerkonten mit eingeschränkten Berechtigungen. (Dies ist bspw. ab Windows 7 und Mac OS X Standard: Erfordert eine Installation oder ein anderer systemrelevanter Vorgang erweiterte Rechte, öffnet sich ein Dialog, der eine Bestätigung erwartet.) Ein privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden.
  • Bei dem sog. "Application (Directory) Whitelisting" (unter Windows: "Software Restriction Policies") wird die Anzahl ausführbarer Anwendungen auf ein notwendiges Maß begrenzt. So würde zum Beispiel die Ausführung von Dateien im Verzeichnis %TEMP%, wo Malware in der Regel beim Herunterladen abgelegt wird, unterbunden.
  • Erstellen Sie regelmäßig - am Besten automatisch - Sicherheitskopien (engl. Backups) Ihrer Daten, um (bspw. im Falle eines Ransomware-Vorfalls) die Verfügbarkeit der Daten zu gewährleistet. Insbesondere müssen die Daten in einem Offline-Backup gesichert werden, da viele Ransomware-Varianten auch Online-Backups, wie Daten auf NAS-Systemen oder Schattenkopien, verschlüsseln. Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.
  • Schützen Sie externe Datenträger vor Diebstahl und Verlust, z.B. in dem Sie sich verschlossen aufbewahren und/oder den darauf befindlichen Datenbestand verschlüsseln.
  • Achten Sie auf die richtige Gestaltung und Verwendung von Passwörtern. Geben sie niemals weiter und notieren sie nicht an offen einsehbaren Stellen. Verwenden Sie für unterschiedliche Zwecke auch unterschiedliche Passworte.
  • Sperren Sie Ihren Computer und verschließen als Letzter Ihr Büro, wenn Sie Ihren Arbeitsplatz verlassen, auch, wenn es sich nur um eine kurze Abwesenheit handelt. Zum Entsperren muss die Eingabe des Passwortes erforderlich sein.
  • Seien Sie misstrauisch, etwa bei Links oder Dateianhängen, die Ihnen per E-Mail gesendet wurden. Beziehen Sie Software nur aus seriösen Quellen. Verbinden Sie keine privaten, fremden oder gar herrenlosen Datenträger mit Ihrem Computer, bevor nicht die Freiheit von Schadsoftware bestätigt wurde. Informieren Sie sich und andere über typische und wesentliche Infektionswege für Schadsoftware und Angriffsvektoren.
  • Verwenden Sie beim Übertragen von sensiblen Daten nur verschlüsselte Verbindungen. In Ihrem Browserfenster erkennen sie dies an an dem kleinen Schloss-Symbol, und daran, dass die Adresse mit "https://" beginnt.
  • Wenn Sie E-Mails standardmäßig in der Plaintext-Darstellung anzeigen, können Webadressen nicht mehr in HTML verschleiert werden, was vor dem unbeabsichtigten Aufruf infizierter URLs schützen kann.
  • Sein Sie sparsam mit Schreibrechten auf Netzlaufwerken, denn eine Verschlüsselung durch einen Ransomware von einem infizierten Computer, der nur Leserechte hat, wäre nicht mehr möglich.
  • Als ergänzende Maßnahme können IT-Systeme mit regelmäßigen Schwachstellen-Scans darauf geprüft werden, ob die Härtungs- und Absicherungsmaßnahmen geeignet umgesetzt worden sind. Bei solchen regelmäßigen Prüfungen soll insbesondere darauf geprüft werden, ob bereitstehende Aktualisierungen für Betriebssysteme, Browser und andere Anwendungen eingespielt wurden.
  • Entwickeln Sie eine Strategie zur Schadensbegrenzung / Incident Response, um sich auf den Ernstfall vorzubereiten, d.h.
  1. Störungen schnellstmöglich zu identifizieren
  2. infizierte Geräte schnellstmöglich zu identifizieren und zu isolieren
  3. eingetretenen Schaden zu begrenzen bzw. weitere Schäden zu verhindern
  4. Angriffsvektor zu finden und schließen, um erneuten Schaden zu verhindern
  5. zu einem sicheren Normalbetrieb zurückkehren.

 Weitere Informationen