Ausführen von aktiven Inhalten nur in Ausnahmefällen
Aktive Inhalte (z.B. Flash oder Java im Browser, Makros in Word) werden sehr häufig als Einfallstor für Schadsoftware verwendet. Eine der häufigsten Ursachen für die Infektion eines Computers mit Schadsoftware ist der Aufruf einer infizierten Datei durch den*die Benutzer*in. Insbesondere mit Schadsoftware infizierte Anhänge (z.B. PDF-, Word-, Excel-Dateien) von E-Mail-Nachrichten stellen eine große Gefahr dar. Wenn eine Internetseite oder ein Dokument nur mit diesen Techniken funktioniert, ist dies verdächtig.
In bestimmten Situationen warnt das Betriebssystem oder die Anwendung, mit der die Datei empfangen oder geöffnet wird (z.B. E-Mail-Client, Webbrowser oder Archiv-Programm), bereits vor potenziell unsicheren Dateien oder eingebetteten Scripten, bevor sie auf der Festplatte gespeichert oder ausgeführt werden. Eine zuverlässige Erkennung ist nicht garantiert und wenn ein Alarm gegeben wird, ist es meistens Ihnen noch überlassen, wie Sie damit umgehen, d.h. ob Sie den Dateien doch vertrauen oder sie löschen.
Deaktivieren Sie die Ausführung aktiver Inhalte, soweit Sie diese nicht zwingend benötigen:
- Microsoft Office konfigurieren oder gleich die Open-Source-Office-Lösung LibreOffice verwenden, wo z.B. viele Word-Makros nicht funktionieren (Kann auf Makros in bestimmten internen Arbeitsabläufen nicht verzichtet werden, sollte grundsätzlich die Ausführung nur von Makros mit festgelegten digitalen Signaturen erlaubt werden.)
- Geschützten Modus in Acrobat Reader aktivieren oder gleich einen PDF-Reader wie Sumatra (nur für Windows) oder XpdfReader verwenden, der keine aktiven Inhalte ausführt (vgl. PDFreaders.org)
- Scripte im Browser mit AddOns (wie NoScript) blockieren, um Drive-By-Infektionen zu erschweren
- Flash-Plugin sowie Java-Ausführung (sofern installiert) im Browser deaktivieren, damit diese auch nicht versehentlich ausgeführt werden können
Umgang mit suspekten Dateien
Wenn Sie eine Datei aus unbekannter oder nicht vertrauenswürdiger Herkunft bzw. unerwartet oder unter verdächtigen Umständen erhalten, sollte diese vor dem Öffnen unbedingt noch einmal manuell auf Schadsoftware überprüft werden: Virenschutzprogramme bieten typischerweise die manuelle Inspektion von Datei- und Ordner-Inhalten direkt im Explorer (vorher auf die Festplatte speichern, aber nicht ausführen) an - mit der Sophos Endpoint Security via Rechtsklick auf die Datei/den Ordner -> "Mit Sophos Anti-Virus überprüfen".
Wenn eine Datei einen sogenannten aktiven Inhalt (wie Makros in Word-Dokumenten oder eingebettete Scripte in PDF-Dateien) ausführen möchte, sollten Sie diesen nicht zulassen, denn hier können sich Schadfunktionen verbergen.
Halten Sie in diesem Fall mit dem*der Absender*in Rücksprache, denn vielleicht verbreitet sich Schadsoftware von dessen Computer selbstständig oder der*die Absender*in der E-Mail ist gefälscht.
Sind auch nach Rückfrage bei dem*der Absender*in nicht alle Zweifel beseitigt, kann die verdächtige Datei in einer sog. "Sandbox" geöffnet werden, in der die Schadsoftware auf dem Hostsystem aller Voraussicht nach keinen Schaden anrichten kann, z.B.
- in einer "virtuellen Maschine, die mit "VirtualBox" o.ä. eingerichtet wurde oder dem seit Windows 10 1903 integrierten Sandbox-Modus
- mit Programmen zur Anwendungsvirtualisierung wie Sandboxie
Für eine Verarbeitung auf dem eigenen Produktivsystem oder zur Weiterleitung an einen Dritten bietet es sich dann in dieser Sandbox-Umgebung an, die verdächtige Datei in ein anderes, für die Weiterverarbeitung ebenfalls geeigneten Format zu konvertieren, bei dem aktive Inhalte der Originaldatei übergangen werden, z.B.
- PDF-Dateien: In einem PDF-Viewer öffnen und erneut zu einer PDF-Datei über einen virtuellen Druckertreiber "drucken".
- Microsoft-Office-Dateien: In LibreOffice öffnen und als PDF-Datei exportieren.
Weniger erfahrene Nutzer*innen können sich dafür an ihre*n Systembetreuer*in oder den KIM-Support wenden.