Clients sind besonders beliebte Ziele von Angreifern: Die Nutzer bedienen direkt Anwendungen, mit denen Inhalte aus dem  Internet geöffnet werden, wie z.B. Web-Browser, Browser-Plugins, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten. Diese sind somit oft das Einfallstor für Schadsoftware und Angriffsfläche für Angreifer. Besuchen die Nutzer infizierte Webseiten, öffnen E-Mails mit kompromittierendem Inhalt oder kopieren Schadsoftware über lokale Datenträger auf den Client, verbreitet sich so die Schadsoftware über die Clients in das Netz der Universität und/oder - wie im Fall von "Ransomware" - verhindern den Zugriff auf Daten und Systeme.

Absoluten Schutz gibt es nicht

Um Schäden durch Angriffe zu verhindern oder einen eingetretenen Schaden zu minimieren, gibt es eine Vielzahl technischer und organisatorischer Maßnahmen in den Bereichen Prävention, Detektion und Reaktion. Schadprogramme und Angriffsvektoren entwickeln sich jedoch stetig weiter und nutzen immer neue Sicherheitslücken, für die u.U. noch keine Schutzmechanismen existieren (Zero Day Exploits). Einen absoluten Schutz dagegen gibt es leider nicht. Dennoch gibt es einfache Möglichkeiten, mit denen man die Risiken minimieren kann. Viele dieser Maßnahmen gehören zu den allgemeinen Best-Practices zur Verbesserung der IT-Sicherheit.

Best-Practices zur Verbesserung der IT-Sicherheit

  • Um generell vor Infektionen durch die Ausnutzung bereits behobener Sicherheitslücken geschützt zu sein, installieren Sie unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller – idealerweise automatisch -  Sicherheitsupdates für Ihr Betriebssystem und die von Ihnen installierten Programme. Dies gilt besonders für Anwendungen, mit denen Inhalte aus dem  Internet geöffnet werden, wie z.B. Web-Browser, Browser-Plugins, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten. Sie sollten in diesem Zusammenhang zudem sporadisch prüfen, ob die von Ihnen eingesetzten Anwendungen überhaupt noch mit Sicherheitsaktualisierungen durch den Hersteller versorgt werden.
  • Um die Angriffsfläche Ihres Systems zu minimieren, deinstallieren/deaktivieren Sie nicht benötigte Software, Plugins (z.B. Flash, Java, Silverlight), Funktionen und Schnittstellen (z.B. Remote-Zugänge). Schalten Sie Kommunikationsschnittstellen (wie etwa W-LAN und Bluetooth) nur dann temporär ein, solange sie benötigt werden. Führen Sie nur diejenigen aktiven Inhalte / Scripte (Flash, Java, Word-/Excel-Makros, JavaScript, ActiveX, *.bat, *.cmd, *.cs, *.reg, *.vbs, *.js ...) aus seriösen Quellen aus, denen Sie vertrauen. Kann auf Makros in bestimmten internen Arbeitsabläufen nicht verzichtet werden, sollte grundsätzlich die Ausführung nur von Makros mit festgelegten digitalen Signaturen erlaubt werden. (Unter Windows birgt die automatische Wiedergabe bzw. der Autostart von Programmen auf Wechseldatenträgern Gefahren und sollte deaktiviert werden.)
  • Setzen Sie ein Schutzprogramm gegen Schadsoftware ein und lassen Sie dieses sich automatisch aktualisieren. Über entsprechende Module zur Anwendungskontrolle kann die Ausführung oder Verbreitung von Schadsoftware verhindert werden, indem diese verdächtiges und typisches Verhalten unterbindet. Überprüfen Sie in regelmäßigen Abständen den Sicherheitsstatus Ihres Computers ("scannen" nach Schadsoftware).
  • Für die meisten Computer verkleinert eine sinnvoll konfigurierte Desktop-Firewall unnötige Angriffsfläche.
  • Nutzerkonten sollten Zugriffsrechte nur in dem Umfang zugewiesen bekommen, wie sie im Kontext zur Durchführung der Aufgaben benötigt werden. Arbeiten Sie daher grundsätzlich unter Nutzerkonten mit eingeschränkten Berechtigungen. (Die Benutzerkontensteuerung UAC unter Windows, bei der sich bspw. bei Softwareinstallationen ein Dialog zur manuellen Rechteerhöhung öffnet, bietet selbst keinen verlässlichen Schutz vor Infizierung mit Schadsoftware.)
  • Bei dem sog. "Application (Directory) Whitelisting" (unter Windows: "Software Restriction Policies" / "Applocker") wird die Anzahl ausführbarer Anwendungen auf ein notwendiges Maß begrenzt. So würde zum Beispiel die Ausführung von Dateien im Nutzer-Verzeichnis, wo Schadsoftware in der Regel beim Herunterladen abgelegt wird, unterbunden.
  • Es sollte das BIOS/UEFI-Setup mit einem Kennwort geschützt und die Startreihenfolge so konfiguriert sein, dass nur von dem primären Systemlaufwerk (und nicht von CD / DVD) gestartet wird. Weiterhin sollten nicht benötigte Kommunikationsschnittstellen (z.B. FireWire, Thunderbolt) deaktiviert sein. Secure Boot schützt vor nicht vertrauenswürdigen Bootloadern, indem nur signierte Bootloader erlaubt sind, und sollte im BIOS/UEFI-Setup aktiviert werden.
  • Erstellen Sie regelmäßig - am Besten automatisch - Sicherheitskopien (engl. Backups) Ihrer Daten, um (bspw. im Falle eines Ransomware-Vorfalls) die Verfügbarkeit der Daten zu gewährleistet. Insbesondere müssen die Daten in einem Offline-Backup gesichert werden, da viele Ransomware-Varianten auch Online-Backups, wie Daten auf NAS-Systemen oder Schattenkopien, verschlüsseln. Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.
  • Schützen Sie die Daten auf mobilen Endgeräten oder externen Datenträger vor Diebstahl, z.B. in dem Sie sie verschlossen aufbewahren und den Datenträger verschlüsseln.
  • Achten Sie auf die richtige Gestaltung und Verwendung von Passwörtern. Geben sie niemals weiter und notieren sie nicht an offen einsehbaren Stellen. Verwenden Sie für unterschiedliche Zwecke auch unterschiedliche Passworte. Ein privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden. Die Verwendung einer Passwortmanager-Software erleichtert die Verwaltung des gesamten Passwortsatzes.
  • Sperren Sie Ihren Computer und verschließen als Letzter Ihr Büro, wenn Sie Ihren Arbeitsplatz verlassen, auch, wenn es sich nur um eine kurze Abwesenheit handelt. Zum Entsperren muss die Eingabe des Passwortes erforderlich sein. Das Konfigurieren eines passwortgeschützten Bildschirmschoners nach einer Wartezeit dient zusätzlich als Fail-Safe-Mechanismus.
  • Seien Sie misstrauisch, etwa bei Links oder Dateianhängen, die Ihnen per E-Mail gesendet wurden. Beziehen Sie benötigte Software nur aus seriösen Quellen. Ist es notwendig, nicht vertrauenswürdige Dateien zu öffnen, sollten dies nur auf einem isolierten System geschehen und diese ggf. in ein ungefährliches Format umgewandelt werden.
  • Verbinden Sie keine privaten, fremden oder gar herrenlosen Datenträger mit Ihrem Computer, bevor nicht die Freiheit von Schadsoftware bestätigt wurde.
  • Verwenden Sie beim Übertragen von sensiblen Daten nur verschlüsselte Verbindungen. In Ihrem Browserfenster erkennen sie dies an an dem kleinen Schloss-Symbol, und daran, dass die Adresse mit "https://" beginnt.
  • Wenn Sie E-Mails standardmäßig in der Plaintext-Darstellung anzeigen, können Webadressen nicht mehr in HTML verschleiert werden, was vor dem unbeabsichtigten Aufruf infizierter URLs schützen kann.
  • Auf Basis von Filterlisten, die Tracking- und Werbedomains blockieren, lässt sich im Browser die Gefahr der Auslieferung von schädlicher, mit  Schadcode infizierter Werbung (und dem Abfluss von persönlichen Daten an zweifelhafte Drittanbieter) eindämmen.
  • Sein Sie sparsam mit Schreibrechten auf Netzlaufwerken, denn eine Verschlüsselung durch einen Ransomware von einem infizierten Computer, der nur Leserechte hat, wäre nicht mehr möglich.
  • Synchronisieren Sie keine dienstlichen Daten in unsichere/externe Cloud-Dienste, auch nicht Backups.
  • Als ergänzende Maßnahme können IT-Systeme mit regelmäßigen Schwachstellen-Scans darauf geprüft werden, ob die Härtungs- und Absicherungsmaßnahmen geeignet umgesetzt worden sind. Bei solchen regelmäßigen Prüfungen soll insbesondere darauf geprüft werden, ob bereitstehende Aktualisierungen für Betriebssysteme, Browser und andere Anwendungen eingespielt wurden.
  • Entwickeln Sie eine Strategie zur Schadensbegrenzung / Incident Response, um sich auf den Ernstfall vorzubereiten, d.h.
  1. Störungen schnellstmöglich zu identifizieren
  2. infizierte Geräte schnellstmöglich zu identifizieren und zu isolieren
  3. eingetretenen Schaden zu begrenzen bzw. weitere Schäden zu verhindern
  4. Angriffsvektor zu finden und schließen, um erneuten Schaden zu verhindern
  5. zu einem sicheren Normalbetrieb zurückkehren.

 Weitere Informationen