Sicheres Endgerät

Arbeitsplatzcomputer sind besonders beliebte Ziele von Angreifenden. Die Nutzer*innen bedienen direkt Anwendungen, mit denen Inhalte aus dem Internet geöffnet werden, wie z.B. Web-Browser, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten. Diese sind meistens das Einfallstor für Schadsoftware: Besuchen die Nutzer*innen infizierte Webseiten, öffnen E-Mails mit kompromittierendem Inhalt oder kopieren Schadsoftware über lokale Datenträger auf den Client, verbreitet sich so die Schadsoftware in das Netz der Universität und/oder verhindern den Zugriff auf Daten und Systeme ("Ransomware").

Absoluten Schutz gibt es nicht

Um Schäden durch Angriffe zu verhindern oder einen eingetretenen Schaden zu minimieren, gibt es eine Vielzahl technischer und organisatorischer Maßnahmen in den Bereichen Prävention, Detektion und Reaktion. Schadprogramme und Angriffsvektoren entwickeln sich jedoch stetig weiter und nutzen immer neue Sicherheitslücken, für die u.U. noch keine Schutzmechanismen existieren (Zero Day Exploits). Einen absoluten Schutz dagegen gibt es leider nicht. Dennoch gibt es einfache Möglichkeiten, mit denen man die Risiken minimieren kann.

Best Practices: Systemhärtung

• Um generell vor Infektionen durch die Ausnutzung bereits behobener Sicherheitslücken geschützt zu sein, installieren Sie unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller – idealerweise automatisch - Sicherheitsupdates für Ihr Betriebssystem und die von Ihnen installierten Programme. Dies gilt besonders für Anwendungen, mit denen Inhalte aus dem Internet geöffnet werden, wie z.B. Web-Browser, Browser-Plugins, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten. Sie sollten in diesem Zusammenhang zudem beobachten, ob die von Ihnen eingesetzten Anwendungen überhaupt noch mit Sicherheitsaktualisierungen durch den Hersteller versorgt werden. (Umsetzungshinweise für Windows 10)
   
• Um die Angriffsfläche Ihres Systems zu minimieren, deinstallieren/deaktivieren Sie nicht benötigte Software, Plugins (z.B. Flash, Java, Silverlight), Funktionen und Schnittstellen (z.B. Bluetooth, Remote-Zugänge). (Umsetzungshinweise für Windows 10)
  • Deaktivieren Sie das Ausführen von sog. "aktiven Inhalten" auch in den Anwendungsprogrammen (z.B. Word-/Excel-Makros in Microsoft Office, JavaScript in Browsern und PDF-Dokumentenbetrachter). Kann auf Makros in bestimmten internen Arbeitsabläufen nicht verzichtet werden, sollte grundsätzlich die Ausführung nur von Makros mit festgelegten digitalen Signaturen erlaubt werden. (Umsetzungshinweise)
     
• Setzen Sie ein Schutzprogramm gegen Schadsoftware ein und lassen Sie dieses sich automatisch aktualisieren, um die Ausführung oder Verbreitung von Schadsoftware zu verhindern. Überprüfen Sie in regelmäßigen Abständen den Sicherheitsstatus Ihres Computers ("scannen" nach Schadsoftware). (Umsetzungshinweise)
   
• Nutzen Sie Sicherheitsfunktionen des Betriebssystems, um Infektionen mit Schadsoftware zu erschweren (Umsetzungshinweise für Windows 10), insbesondere:
  • Administrative Tätigkeiten sollten von alltäglichen Tätigkeiten durch unterschiedliche Konten voneinander getrennt werden: Ein Standard-Benutzerkonto pro Nutzer*in für alltägliche Arbeiten und ein Benutzerkonto, welches in die lokale Administratorengruppe gestellt wird, für administrative Aufgaben (wie Softwareinstallationen und Systempflege). (Umsetzungshinweise für Windows 10)
     
  • Bei dem sog. "Application (Directory) Whitelisting" wird die Anzahl ausführbarer Anwendungen auf ein notwendiges Maß begrenzt, wodurch die Ausführung von Programmen aus dem Nutzer-Verzeichnis, wo Schadsoftware in der Regel beim Herunterladen abgelegt wird, unterbunden wird. (Umsetzungshinweise für Windows 10)
• Vergeben Sie eine Kennwortrichlinie, ein Limit für Anmeldeversuche und eine Wartezeit bei Inaktivität bis zur Sperrung der Sitzung. (Umsetzungshinweise für Windows 10)
   
• Eine sinnvoll konfigurierte Desktop-Firewall verringert unnötige Angriffsfläche. (Umsetzungshinweise für Windows 10)
   
• Schützen Sie die Daten (insb. auf mobilen Endgeräten oder externen Datenträger) für den Fall eines Diebstahls, z.B. in dem Sie Datenträger (sofern möglich) verschlossen aufbewahren und den Datenträger verschlüsseln. (Umsetzungshinweise)
   
• Es sollte das BIOS/UEFI-Setup mit einem Kennwort geschützt und die Startreihenfolge so konfiguriert sein, dass nur von dem primären Systemlaufwerk (und nicht von CD / DVD) gestartet wird. Weiterhin sollten nicht benötigte Kommunikationsschnittstellen (z.B. FireWire, Thunderbolt) schon an dieser Stelle deaktiviert sein. Secure Boot schützt vor nicht vertrauenswürdigen Bootloadern, indem nur signierte Bootloader erlaubt sind, und sollte im BIOS/UEFI-Setup aktiviert werden.

Best Practices: Verhaltensempfehlungen

• Erstellen Sie regelmäßig - am Besten automatisch - Sicherheitskopien (engl. Backups) Ihrer Daten, um (bspw. im Falle eines Ransomware-Vorfalls) die Verfügbarkeit der Daten zu gewährleisten. Insbesondere müssen die Daten in einem Offline-Backup gesichert werden, da viele Ransomware-Varianten auch Online-Backups, wie Daten auf NAS-Systemen oder Schattenkopien, verschlüsseln. Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten. (Umsetzungshinweise)
   
• Achten Sie auf die richtige Gestaltung und Verwendung von Passwörtern. Geben Sie diese niemals weiter und notieren Sie sie nicht an offen einsehbaren Stellen. Verwenden Sie für unterschiedliche Zwecke auch unterschiedliche Passwörter. Ein privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden. Die Verwendung einer Passwortmanager-Software erleichtert die Verwaltung des gesamten Passwortsatzes. (Umsetzungshinweise)
   
• Möchten Sie vertrauliche Informationen (bspw. personenbezogene Daten) versenden, verschlüsseln Sie diese. (Umsetzungshinweise)
   
• E-Mails, und vor allem welche mit sensiblen personenbezogenen Daten, sollten nach dem Eingang aus dem E-Mail-Client in eine geeignete Ablage (z.B. ein verschlüsselndes Dokumenten-Management-System) verschoben werden.
   
• Seien Sie misstrauisch, etwa bei Links oder Dateianhängen, die Ihnen per E-Mail gesendet wurden.
  • Versuchen Sie, den*die angegebenen Absender*in der E-Mail zu verifizieren, wenn Ihnen etwas verdächtig vorkommt (z.B. unerwartete E-Mail von einem unbekannten Absender). Lassen Sie sich die vollständige E-Mail-Adresse des Absenders anzeigen. (Umsetzungshinweise für Thunderbird) Halten Sie im Zweifel telefonisch Rücksprache mit dem vermeintlichem Absender. (Umsetzungshinweise)
     
  • Versuchen Sie, das vermeintliche Ziel des Web-Links, den Sie ggf. besuchen sollen, zu verifizieren. (Umsetzungshinweise) Wenn Sie sich E-Mails standardmäßig in der Plaintext-Darstellung anzeigen lassen, können Webadressen nicht mehr in HTML verschleiert werden, was vor dem unbeabsichtigten Aufruf schädlicher Web-Links schützen kann. (Umsetzungshinweise für Thunderbird)
     
  • Versuchen Sie zu gewährleisten, dass ein Dateianhang beim Öffnen keinen Schaden anrichten kann. Lassen Sie keine aktiven Inhalte ausführen. Sind auch nach Rückfrage beim Absender nicht alle Zweifel beseitigt, sollte der Anhang nur auf einem isolierten System ("Sandbox") geöffnet und zur Weiterverarbeitung ggf. in ein ungefährliches Format umgewandelt werden. (Umsetzungshinweise)
• Verbinden Sie keine privaten, fremden oder gar herrenlosen Datenträger mit Ihrem Computer, bevor nicht die Freiheit von Schadsoftware bestätigt wurde.
   
• Sperren Sie Ihren Computer und verschließen als Letzte*r Ihr Büro, wenn Sie Ihren Arbeitsplatz verlassen, auch, wenn es sich nur um eine kurze Abwesenheit handelt. Zum Entsperren muss die Eingabe des Passwortes erforderlich sein.
   
• Sein Sie sparsam mit Schreibrechten auf Netzlaufwerken, denn eine Verschlüsselung durch einen Ransomware von einem infizierten Computer, der nur Leserechte hat, wäre nicht mehr möglich.
   
• Synchronisieren Sie keine dienstlichen Daten in externe Cloud-Dienste, auch nicht Backups und Konfigurationseinstellungen (z.B. WLAN-Passwörter). (Umsetzungshinweise)
   
• Als ergänzende Maßnahme können IT-Systeme mit regelmäßigen Schwachstellen-Scans darauf geprüft werden, ob die Härtungs- und Absicherungsmaßnahmen geeignet umgesetzt worden sind. Bei solchen regelmäßigen Prüfungen soll insbesondere darauf geprüft werden, ob bereitstehende Aktualisierungen für Betriebssysteme, Browser und andere Anwendungen eingespielt wurden. (Umsetzungshinweise)
   
• Wenn Sie Kenntnis von einem Vorfall oder einer Gefährdung erlangen, bei denen der Schutz personenbezogener Daten oder eines anderen Zieles der Informationssicherheit verletzt ist oder konkret gefährdet erscheint, melden Sie dies bitte umgehend. (Umsetzungshinweise)
   
• Entwickeln Sie eine Strategie zur Schadensbegrenzung / Incident Response, um sich auf den Ernstfall vorzubereiten, d.h.
  • Störungen schnellstmöglich zu identifizieren
  • infizierte Geräte schnellstmöglich zu identifizieren und zu isolieren
  • eingetretenen Schaden zu begrenzen bzw. weitere Schäden zu verhindern
  • Angriffsvektor zu finden und schließen, um erneuten Schaden zu verhindern
  • zu einem sicheren Normalbetrieb zurückkehren.

 Weitere Informationen

• BSI für Bürger*innen: Wie Sie Ihren Computer sicher einrichten
• BSI für Bürger*innen: Gefahren aus dem Internet
• BSI für Bürger*innen: Maßnahmen gegen Internetangriffe