Pünktlich zur Aktivierung der Multifaktor-Authentifizierung von Microsoft-Konten, kommen nun passende Fake-Mails zum Abgreifen der Login-Daten.

Hier ein Beispiel einer solchen Mail:

Guten Morgen,

Wir haben eine Benachrichtigung erhalten, dass Sie unsere Online-Dienste in den letzten zwei Wochen nicht genutzt haben. Um unseren Online-Service weiterhin nutzen zu können, bestätigen Sie bitte Ihre Registrierung, indem Sie auf den untenstehenden Link klicken.

Einloggen

Wenn Sie kein Interesse haben, nutzen Sie unseren Service weiterhin, bestätigen Sie Ihre Verbindung nicht und nach 48 Stunden wird Ihr Konto gelöscht.

Das diese Mails Fake sind, erkennt man ganz leicht an folgenden Kriterien:

Beschuldigung etwas gemacht oder nicht gemacht zu haben
Unnötige Dringlichkeit
Unnötig drastische Konsequenz
Link-Adresse hat nichts mit Microsoft gemein
Absendermail hat nichts mit Microsoft gemein

Im April wurden weltweit Microsoft Exchange-Server angegriffen. Bekannt als Hafnium Exchange-Server-Hacks. Besonders kleine und mittelständische Unternehmen waren hiervon stark betroffen. Die vom BSI gemeldete Anzahl von verwundbaren Systemen, sinkt nur langsam. Nach so langer Infizierungszeit könnten Systeme nicht mehr sinnvoll gerettet oder gesäubert werden. Mann muss davon ausgehen, dass die gesamte Infrastruktur betroffen sein könnte. Die betroffenen Firmen wissen meist nicht wie hiermit umzugehen ist! Zudem mangelt es meist an einer umfassenden Dokumentation.

Zusammen mit unserem langjährigen Kooperationspartner UPGRAIT haben wir einen hoch optimiertes Verfahren entwickelt und bereits mehrfach eingesetzt. Es ermöglicht uns gesamte EDV-Landschaften (Server, Clients, Netzwerk) in kürzester Zeit von Grund auf zu erneuern. Hier der exemplarische Ablauf für ein 50 Clients starkes Unternehmen:

 

 

Wir hören immer wieder, dies sei nicht realistisch. Wir widersprechen, und machen es zu einem fairen Kostenumfang einfach möglich!

In den letzten Wochen wurden Login-Passwort-Sammlungen im Internet angeboten. Die „Collection #1“ bis „Collection #5“ genanten Sammlungen enthalten rund 2,2 Milliarden (2.200.000.000 in Zahlen) Logins zu Websites und Dienste. Die Daten sind zum Teil älteren Ursprungs, zum Teil aber auch aktuell.

Ob man und in welchem Umfang man betroffen ist, kann man mit einem Tool des Hasso-Plattner-Instituts prüfen. Das Tool findet man hier: https://sec.hpi.de/ilc/search
Nach der Eingabe der E-Mail-Adresse wird ein Report an eben diese versendet.

Bei der Verwendung gleicher Login-Kombinationen bei unterschiedlichen Diensten, macht man es den Angreifern natürlich sehr leicht. Darum sollte man stets für unterschiedliche Dienste oder Websites auch unterschiedliche Kennwörter vergeben. Damit dies nicht lästig wird, sollte man sich diese (am besten natürlich offline) notieren.

Mehr Infos zum Thema gibt es hier: Heise.de
Tipps für sichere Passwörter gibt es hier: snITcon.de

Worum geht es überhaupt?

Die Design-Schwachstelle in aktuellen Prozessoren ist schon einige Jahre bekannt; eine Ausnutzung war bislang nur theoretisch möglich. Einem Forscher-Team ist es nun gelungen diese Schwachstelle praktisch auszunutzen.

Welche Hardware ist betroffen?

Während Meltdown nur Intel Prozessoren betrifft, betrifft Spectre ALLE Hersteller. Pauschal gesagt so ziemlich jedes Gerät der letzten 7-9 Jahre ist betroffen.

Was ist so schlimm an Meltdown und Spectre?

Meltdown und Spectre (1 & 2) sind Angriffsszenarien die es ermöglichen eigentlich isolierten Arbeitsspeicher auszulesen, bzw. die Sicherheitsmechanismen die dies verhindern sollen, umgehen. Besonders Rechenzentren trifft dies hart, da die Sicherheit von Kundendaten nicht mehr gewährleistet werden kann. Daten können übergreifend aus dem Arbeitsspeicher ausgelesen werden. Eben ein Super-Gau, schlimmer geht es nicht mehr.

Wie betrifft das mich?

Endkunden und deren Geräte sind zwar auch betroffen, jedoch ist es bei weitem nicht so kritisch und nur indirekt. Man benötigt Zugriff auf das System um den Schadcode auf dem betroffenen System auszuführen Dies ist in den meisten Fällen nicht gegeben. Prinzipiell könnten über Webseiten Angriffe gefahren werden, aber dies wurde von den Browser-Herstellern zügig mit Patches unterbunden.

Und nun? Was soll ich tun?

Wie bei jedem Problem diesen Ausmaßes, wird schnell an Lösungen gearbeitet. Dies führt aber dazu, dass die vermeintliche Lösung selbst fehlerhaft ist. So hat Intel bereits erste Micro-Code-Updates für die Prozessoren, sowie Microsoft Patches für die Betriebssysteme zurückgezogen, da diese ungewünschte Nebeneffekte hatten. Aktuell sind nur Dienst-Anbieter im Zugzwang ihre Systeme abzusichern, als Endkunde der nur indirekt betroffen ist, sollte man erst einmal abwarten bis sich der Staub gelegt hat und funktionierende Lösungen bereitstehen. Der einzige akute Angriffsvektor über Browser ist bereits geschlossen.

Weitere Vorgehensweise

Im Laufe des Jahres werden großflächig funktionierende Updates bereitstehen. Dann folgt folgende Vorgehensweise:

  • Schritt 1: Browser aktualisieren. Die großen Hersteller machen dies automatisch (Chrome, Firefox, Edge, …)
  • Schritt 2: Bios-Update durchführen. Diese enthalten Microcode Updates gegen Meltdown
  • Schritt 3: Antivirus-Programm auf die aktuelle Programmversion aktualisieren (Voraussetzung für Schritt 4)
  • Schritt 4: Nach Schritt 3 die entsprechenden Betriebssystem-Updates installieren. (generell ein aktuelles Betriebssystem verwenden wie z.B. Windows 10)

Sobald die Zeit gekommen ist, führe ich diese Schritt gerne durch, da besonders Schritt 2 nichts alltägliches ist. Als Aufwand schätze ich aktuell 30 Minuten pro Rechner.

Die Zahl der von betrügerischen oder schädlichen E-Mails nimmt stetig zu. Zudem wird es immer schwieriger diese als solches zu entlarven.
Für die Erkennung solcher E-Mails gibt es 4 einfache Punkte die man befolgen sollte:

  • Mail-Adresse
    • Ist die E-Mail-Adresse verdächtig? Ausländische Kennung (z.B. .ru) bzw. seltsamer Aufbau
    • Ist der Versender eventuell bekannt?
  • Inhalt
    • Ist der Inhalt plausibel?
    • Rechtschreibung OK?
    • Konkreter Inhalt oder eher allgemein formuliert?
  • Anhänge
    • Ist ein Anhang vorhanden?
    • Welches Dateiformat(e) hat der Anhang?
  • Links
    • Sind Links in der Mail enthalten
    • Wohin führen diese (mit Maus darüber fahren = Ziel wird angezeigt)

 

Im Folgenden möchte ich gerne eine dieser Mails analysieren. Hier zunächst die Mail wie sie angezeigt wird (zum Vergrößern klicken):

 

Bemerkenswerte Punkte:

  • speziell auf den Empfänger zugeschnitten, eine Bewerbung auf eine teils tatsächlich vorhandene Stellenanzeige
  • perfektes Deutsch ohne Rechtschreibfehler
  • Anhänge die auf den ersten Blick als passend empfunden werden wie z.B. ein Lebenslauf
  • Anhänge die vom Datei-Format Sinn ergeben (z.B. Foto, PDF, ZIP-Datei)
  • ordentliche E-Mail-Adresse (wie z.B. von web.de, gmx.de, usw.)
  • Ansprechender Inhalt (Text sowie Foto)

Auffälligkeiten:

  • Es wurde keine Stellenanzeige aufgegeben
  • Es existiert keine Stellenanzeige …
  • keine namentliche Begrüßung
  • keine Nennung der angeblich ausgeschriebenen Stelle
  • Der Anhang ist bei genauerer Betrachtung auffällig

Anhang:

Der Anhang dieser E-Mail sieht auf den ersten Blick in Ordnung aus. Ein Bild und eine ZIP-Datei. Bei der ZIP-Datei sollte man dennoch Vorsicht walten lassen. Öffnet man diese, wird der eigentliche Charakter der E-Mail klar.

Die E-Mail versucht ein anderes Dateiformat vorzutäuschen. In diesem Fall soll ein Programm wie ein PDF aussehen. Gerne wird hierzu einfach vor der eigentlichen Dateiendung etwas anderes vertrautes gesetzt; wie hier z.B. .pdf

Wichtig: Die letzte Endung, also das was rechts vom letzten „Punkt“ steht, definiert das Dateiformat. Alles was davor steht, ist nicht von Belang.

Folgende Dateiformate sind Programme und sollten unter keinen Umständen ausgeführt werden:

  • .exe
  • .bat
  • .cmd
  • .com
  • .msi

Wichtig: Direkt nach dem Erhalten solcher Mails wird kein Antivirus-Programm in der Lage sein den Schädling zu erkennen. Erst einige Stunden später werden diese erkannt. Im Zweifel einfach ein paar Tage den Anhang nicht öffnen.

Kaum eine Firma verzichtet heute noch auf die Vorteile des elektronischen Zahlungsverkehrs. Das Online-Banking bietet viele Vorteile! Aber wie steht es um die Risiken? Eine generelle Aussage ist hierbei nicht möglich, denn es kommt ganz auf die angewendete Methode an.

Im Folgenden werden die gängigsten Methoden kurz vorgestellt und bewertet.

Die Verfahren im Überblick

Dieses Verfahren war eines der ersten Verfahren zur Legitimierung von Transaktionen. Die Banken schickten dem Kunden über den Postweg eine zeitlich unbegrenzt gültige TAN-Liste in Papierform zu. Bei jeder Transaktion kann eine der zur Verfügung stehenden TANs frei gewählt werden

    • Vorteile:
      • sehr Flexible Nutzung
      • zügige TAN-Ermittlung
      • wenig Aufwand
    • Nachteile:
      • unsicherstes Verfahren am Markt
      • universelle nicht an Aufträge oder zeitlich gebundene Gültigkeit der TANs

Das indizierte TAN-Verfahren ist der TAN-Liste sehr ähnlich. Die TANs sind jedoch durchnummeriert. Der Kunde kann also nicht mehr beliebig aus der Liste wählen, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete TAN einzugeben.

    • Vorteile:
      • sehr Flexible Nutzung
      • zügige TAN-Ermittlung
      • wenig Aufwand für den Benutzer
    • Nachteile:
      • unsicheres Verfahren, da TANs meist nicht zeitlich gebunden
      • Angreifer könnten TANs sammeln und entsprechend nutzen
      • TANs universell einsetzbar

Die erste Version der TAN-Generatoren wurde mittlerweile durch die Verfahren „Sm@artTAN plus“ und „S@artTAN optic“ abgelöst. Die TAN wurde mit Hilfe eines Generators und der EC-Karte generiert. Die generierte TAN ist abhängig von Werten wie: EC-Kartennummer, laufende TAN-Nummer, Datum, Uhrzeit usw. Wichtig hierbei ist, dass die Überweisungsdaten selbst nicht in die Berechnung einfließen. Die generierte TAN wird bei der Bank auf Gültigkeit anhand der Werte gegengerechnet.

    • Vorteile:
      • sehr Flexible Nutzung
      • zügige TAN-Ermittlung
      • wenig Aufwand für den Benutzer
      • TAN-Ermittlung benötigt EC-Karte
      • TANs zeitlich begrenzt nutzbar
      • separates, nicht mit dem Rechner verbundenes Gerät ohne Anbindung an das Internet
    • Nachteile:
      • TANs werden unabhängig von den Auftragsdaten generiert
      • TAN kann in dem zeitlichen Fenster auch für einen anderen Auftrag genutzt werden
      • keine Kontrollinstanz

Dieses Verfahren benötigt einen Kartenleser mit Tastatur. Aus den Auftragsdaten wird von der Bank ein entsprechender Code generiert. Dieser muss bei eingesteckter EC-Karte in das Gerät eingetippt werden. Der Code besteht in der Regel aus einem Überweisungscode sowie der Ziel-Kontonummer. Dieses Verfahren führt eine Kontrollinstanz in Form der Ziel-Kontonummer ein. Diese sollte vom Benutzer mit dem Original abgeglichen werden und erst nach positiver Prüfung verwendet werden. Je nach Generator werden neben Bankleitzahl auch Kontonummer und Betrag am Generator angezeigt.

    • Vorteile:
      • Die generierte TAN ist nur für diese eine Aktion gültig und kann nicht zweckentfremdet werden.
      • Kontrollinstanz anhand der Ziel-Daten möglich
      • wirksamer Schutz gegen Manipulation der Empfängerdaten
      • separates, nicht mit dem Rechner verbundenes Gerät ohne Anbindung an das Internet (nicht infizierbar)
    • Nachteile:
      • aufwändige TAN Generierung
      • Fehleranfällig durch Tippfehler am Gerät
      • die Eingabe benötigt etwas Zeit und Geduld

Dieses Verfahren funktioniert analog zum „Sm@artTAN plus“-Verfahren. Jedoch wird hierbei die Eingabe des Codes durch einen Flicker-Code am Bildschirm ersetzt. Das Gerät bekommt die Daten über eine optische Schnittstelle übermittelt. Optional verfügt das Gerät auch weiterhin über eine Tastatur, so dass die Eingabe auch manuell erfolgen kann.

    • Vorteile:
      • Die generierte TAN ist nur für diese eine Aktion gültig und kann nicht zweckentfremdet werden.
      • Kontrollinstanz anhand der Ziel-Daten möglich
      • Separates, nicht mit dem Rechner verbundenes Gerät ohne Anbindung an das Internet (nicht infizierbar)
    • Nachteile:
      • Optische Übermittlung ist etwas fummelig und gelingt nicht immer

Anders als bei den bisherigen Verfahren, wird die TAN bei der Bank generiert. Die Übermittlung erfolgt per SMS an eine Mobilrufnummer. Neben der TAN stehen die Auftragsdaten wie z.B. IBAN, Betrag usw. in der Nachricht. Die TAN ist an diese Auftragsdaten gebunden, zeitlich begrenzt und kann nicht zweckentfremdet werden. Dieses Verfahren minimiert zum einen Eingabefehler und steigert den Komfort, da kein TAN-Generator mehr benötigt wird (auch mobil problemlos einsetzbar). Hinzu kommen aber zwingend zu beachtende Verhaltensvorschriften. Es sollte z.B. unter allen Umständen vermieden werden, das Telefon mit dem Rechner zu verbinden oder gar über dieses die Überweisung (z.B. via APP) auszuführen.

    • Vorteile:
      • Die generierte TAN ist nur für diese eine Aktion gültig und kann nicht zweckentfremdet werden.
      • Kontrollinstanz anhand der Ziel-Daten möglich
      • Zweiter Kommunikationskanal unabhängig vom PC
      • Schnelle, unkomplizierte TAN-Generierung
    • Nachteile:
      • Die Sicherheit wird durch Smartphones untergraben (SMS könnte am infizierten Endgerät manipuliert werden).
      • Sicherheit abhängig vom Mobilfunkanbieter (Versand von Ersatzkarten / Twin-Karten an beliebige Lieferadresse)
      • Ggf. Kosten für den SMS-TAN-Versand

Die HBCI-Verfahren funktionieren prinzipiell ohne TANs. Zur Verwendung wird neben eines von der Bank ausgestellten Zertifikat eine Software benötigt. Die Verbindung zur Bank wird über das Zertifikat legitimiert. Meist wird das Zertifikat auf einem USB-Stick gespeichert und muss bei Bedarf mit dem Rechner verbunden werden.

    • Vorteile:
      • Relativ einfache Nutzung
      • Eine Legitimierung für viele Aufträge auf einmal möglich
    • Nachteile:
      • Universell einsetzbares Zertifikat im Dateiformat
      • Angreifer brauchen nur den Rechner infizieren und bekommen ALLE benötigten Daten (Backups der Bankingsoftware, Logindaten, Zertifikat, …), um von einem anderen Ort und PC Überweisungen auszuführen.
      • USB-Stick vermittelt dem Kunden eine falsche Sicherheit. Dieser kann ganz einfach bei Verbindung mit dem Rechner ausgelesen werden!
      • Keine Kontrollinstanz

Sehr analog zum „HBCI mit Zertifikat-Datei“-Verfahren. Jedoch wird die Zertifikat-Datei durch einen Kartenlesen mit Tastatur ersetzt. Dieser ist mit dem PC verbunden und wird von der Software angesprochen. Zur Legitimierung wird die EC-Karte sowie die Eingabe der PIN am Lesegerät benötigt.

    • Vorteile:
      • Relativ einfache Nutzung
      • Eine Legitimierung für viele Aufträge auf einmal möglich
    • Nachteile:
      • Universell einsetzbares Zertifikat auf der Chip-Karte
      • Durch eine Infizierung des PCs erlangen Angreifer Zugang zur Bankingsoftware, sowie den Logindaten.
      • Kartenleser bildet zwar eine Hürde, diese kann jedoch von Angreifern überwunden werden (höherer Aufwand als bei der Zertifikat-Datei)
      • Keine Kontrollinstanz

 

Bewertung der Verfahren

Unsichere Verfahren:

  • TAN-Liste
  • iTAN-Liste
  • TAN-Generator (erste Generationen)
  • HBCI mit Zertifikat-Datei

Relativ sichere Verfahren:

  • mTAN / Mobile TAN
  • HBCI mit Lesegerät

Sehr sichere Verfahren:

  • Sm@rtTAN optic
  • Sm@rtTAN Plus
  • mTAN / Mobile TAN (bei Verwendung eines separaten Handys)

 

Die Sm@rtTAN-Verfahren sind als besonders sicher zu bewerten, da sie ein externes, nicht verbundenes Gerät verwenden. Ebenso ermöglichen sie eine zügige Kontrolle der Auftragsdaten! Gleiches gilt für das mTAN Verfahren. Hier gilt jedoch die Empfehlung, ein eigenes Handy ohne Internetzugang oder Verbindung zum PC zu nutzen. Hierfür eigenen sich besonders einfache nicht-Smartphone-Geräte in Kombination mit einer Pre-Paid-Karte.

Fazit

Leider preisen die Banken nach wie vor die HBCI-Verfahren an. Diese wecken beim Kunden eine falsche Sicherheit und können fatale Schäden zur Folge haben. Meine klare Empfehlung geht definitiv in Richtung der Sm@rt-TAN sowie dem mobile-TAN-Verfahren. Im Ernstfall kann der Benutzer durch die ihm gebotene Kontrollmöglichkeiten Schäden abwenden.

Was ist zu tun?

Zunächst sollte man das aktuell eingesetzte Verfahren identifizieren. Anhand der hier vermittelten Informationen kann das Verfahren nun kritisch hinterfragt werden. Sollte man eine Änderung des Verfahrens wünschen, reicht in der Regel ein Anruf bei der jeweiligen Bank.

Hinweis: Es gibt tatsächlich Banken die nach wie vor mit TAN-Listen arbeiten bzw. als Alternative(n) nur unsichere Verfahren anbieten. Eine solche Tatsache sollte die Frage aufwerfen, ob man dieser Bank auch weiterhin sein Vertrauen schenken möchte oder, ob man sich nicht mal nach einer kompetenten, zukunftssicheren Alternative umsehen sollte!

Aus aktuellem Anlass möchte ich gerne mein Wissen über Computer-Viren und mögliche Schutzmechanismen zur Verfügung stellen. Im letzten Jahr haben die Quantität sowie die Effektivität von Angriffen enorm zugenommen. Im Folgenden möchte ich auf diese Punkte eingehen:

  • Was kann eine Antivirus-Software überhaupt leisten?
  • Unter welchen Umständen versagen Antivirus-Programme?
  • Wer sind eigentlich die Angreifer?
  • Wie kommen Viren eigentlich auf den Rechner?
  • Einfache Verhaltensregeln zur Prävention

Was kann eine Antivirus-Software überhaupt leisten?

Eine Antivirus-Software vermittelt schnell das Gefühl von Sicherheit. Aber ist dieser Schutz wirklich allumfassend? Die Antwort hierauf ist ein klares NEIN. Dies ist in den Funktionsprinzipien begründet, welche man in zwei große Bereiche aufteilen kann:

  • Signaturbasierte Erkennung von Schadprogrammen
    • Übertragen auf den Menschen ist dies eine Erkennung anhand eines „Fingerabdrucks“ bzw. anhand der „DNA“
  • Verhaltensbasierte Erkennung von Schadprogrammen
    • Es wird die Verhaltensweise von Programmen analysiert und überwacht.
    • Verdächtige Programme werden im Zuge dessen analysiert und ggf. bekämpft

Die Erkennung anhand von Signaturen ist eine Art solide Grundimmunisierung. Die Merkmale von bekannten Schadprogrammen werden gesammelt und zur Identifizierung eben dieser vom Antivirus-Programm verwendet. Dies funktioniert sehr gut bei schon längerer Zeit bekannten Viren. Es ist vergleichbar mit einer Impfung, die stetig aktualisiert wird.

Tritt jedoch etwas Neues oder Geändertes auf, versagt dieser Mechanismus. Erst einige Zeit nach dem erstmaligen Auftreten (ca. 1-2 Tage) sind die neuen Viren identifiziert und wurden der Merkmalliste hinzugefügt.

Im Klartext heißt dies, dass genau HIER die signaturbasierte-Identifizierung versagt! An diesem Punkt kommt die verhaltensbasierte Erkennung ins Spiel und soll diese Lücke schließen. Von den Herstellern wird dies unter vielen Produktnamen vertrieben. Sehr beliebt ist der Begriff des cloudbasierten-Virenschutzes. Im Prinzip funktionieren sie aber alle ähnlich. Wird ein bei einem Programm ein verdächtiges Verhalten erkannt, wird dieses Programm an das Rechenzentrum des Anbieters übermittelt. Hier wird die Datei in einer Testumgebung analysiert und ggf. als gefährlich eingestuft. Der Prozess benötigt natürlich etwas Zeit und ggf. sogar eine menschliche Komponente. Bei Erkennung werden die Merkmale des Virus der Signaturliste hinzugefügt. Hierbei entstehen also die 1-2 Tage Differenz von Auftreten bis Erkennung und dem Entwickeln einer effektiven Möglichkeit der Bekämpfung. Währenddessen ist es dem Programm durch den nicht ausreichenden Schutz der Antivirus-Software auf dem Rechner möglich, großen Schaden anzurichten.

Währenddessen versucht auf dem heimischen Rechner die Antivirus-Software den Schädling einzudämmen; mit mehr oder weniger Erfolg.

Unter welchen Umständen versagen Antivirus-Programme?

Meistens versagen Antivirus-Programme bei ganz neuen Viren. Diese Programme sind darauf ausgelegt, an ihrem Verhalten nicht erkannt zu werden bzw. ihre Tätigkeiten zu verschleiern. Es kann somit sein, dass diese Programme nur durch Zufall oder einen „Fehler“ beim Verhalten erkannt werden können. Bis dahin bleibt ihr Treiben meist im Verborgenen.

Wer sind eigentlich die Angreifer?

Die gefährlichen und relevanten Angreifer sind in der Regel hochspezialisierte und höchst intelligente Personen mit krimineller Energie und dem Ziel, Profit zu erwirtschaften. Dementsprechend sind diese Gruppen professionell organisiert und fahren präzise Angriffe. Diese Angriffe können grob in zwei Gruppen unterteilt werden:

  • Angriffe gegen kleine, spezielle Ziele wie z.B. ausgesuchte Firmen
    • Bleiben meist lange unentdeckt
    • Sind meist auf großen Schaden ausgelegt
    • Ziel: Finanzielle Mittel; Know-How-Entwendung; (Auftrags-)Sabotage
  • Angriffe auf die große Masse
    • Möglichst viele Ziele in kurzer Zeit
    • Kleinere bis größere Schäden
    • Ziel: Langfristige Infizierung von Rechnern und deren Missbrauch für illegale Aktivitäten; finanzielle Mittel

Wie kommen Viren eigentlich auf den Rechner?

Typischerweise werden Schwachstellen in Programmen ausgenutzt, die eine direkte Verbindung zum Internet haben. Hierzu zählen:

  • Browser (Internet Explorer, Firefox, Chrome, Safari, usw.)
  • Mail-Programme (Outlook, Thunderbird, Windows Mail; usw.)
  • Indirekte Programme (z.B. Java, Adobe Flash, Adobe Reader, Word, Excel, Powerpoint, usw.)

Die mit Abstand beliebteste Methode ist der Infektionsweg direkt über den Browser. Der einfache Besuch einer manipulierten Website oder einer Website mit manipulierter Werbung reicht in der Regel aus. Diese Angriffe sind so effektiv und populär, da für die Infizierung eine ganze Palette an Werkzeugen zur Verfügung steht. Es wird hierbei nicht nur eine Schwachstelle verwendet, sondern eine ganze Masse. Die Angriffsart kann kontinuierlich (im Minutentakt) geändert werden, um den Vorsprung gegenüber Antiviren-Software sowie Hersteller zu behalten und sich gegen Gegenmaßnahmen zu wehren.

Einfache Verhaltensregeln zur Prävention

Diese Frontlinie kann nur gehalten werden, solange der Benutzer durch sein Verhalten mitwirkt. Diese Verhaltensweisen sind einem aus dem realen Leben bekannt und vertraut. Diese sind nicht einmal kompliziert oder technisch sondern lassen sich mit ganz normalem Menschenverstand und Logik umsetzen:

  • Banner / Meldungen im Internet, sollten nicht sorglos angeklickt werden!
    • Typische Vertreter sind „ihr Rechner ist gefährdet“, „Sie haben eine neue Nachricht.“ usw. Hier sollte man sich die Frage stellen, woher eine beliebige Website diese Information überhaupt herhaben möchte. Und wieso ist diese Website SO sehr über meine Sicherheit besorgt?
  • Links in E-Mails sollten nicht sorglos angeklickt werden!
    • Eine beliebte Methode ist der Versand von E-Mails mit Links zu irgendwelchen Websites. Der Text weckt meist durch Dringlichkeit bzw. Erwartung die Neugier. Typischer Weise sind diese Mails optisch an bekannte Dienstleister angelehnt z.B. DHL, UPS, Banken, Amazon, Internetanbieter usw.
    • Mag die optische Täuschung noch so gelungen, sind diese doch relativ einfach zu enttarnen. Versandadresse sowie das Ziel des Links entlarven Fälschungen meist eindeutig.
      • Größere Firmen nutzen üblicher Weise eigene E-Mail-Adressen von ihren Domains. Hier ein Beispiel:
      • Adresse
      • Ebenso verdächtig sind Links zu Seiten die nichts mit dem Dienstleister zu schaffen haben und garantiert nicht von diesem stammen:
      • Inhalt
      • Die Links zu Seiten werden im Mail-Programm angezeigt, sobald man mit der Maus über diesen Link geht und kurz verharrt. Dieses Vorgehen ist nicht schädlich, nur bitte nicht den Link anklicken. (Einfach mal bei der von mir erhaltenen E-Mail zu diesem Artikel testen).
      • Wie auch bei den E-Mail-Adressen benutzen Firmen meist Verweise auf eigene Websites, diese sind dann an am Namen zu erkennen. Schreibfehler oder seltsame Kreationen wie z.B. amazoon.de , pay.pal.de o.ä. sollten direkt Misstrauen erwecken.
    • Im Zweifel gilt: Finger weg!
    • Beliebt sind auch Fragen nach persönlichen Daten bzw. das „Pakete“ für einen „gefunden“ wurden, aber z.B. die Adresse unvollständig ist. Auch hier hilft es sich kritische Fragen zu stellen wie z.B.:
      • Warum sollte mich meine Bank oder ein anderer Dienstleister nach meinen persönlichen Daten fragen?
      • Wieso kommt diese (kritische) Anfrage als E-Mail? Und wieso soll ich die Daten irgendwo eintippen?
      • Wie konnte etwas „Verlorenes“ ohne Anhaltspunkt wohin es gehört, mir dann überhaupt zugeordnet werden? Und seit wann steht eine E-Mail-Adresse auf dem Paket?
      • Wie kommt der Dienstleister überhaupt an meine E-Mail-Adresse?
      • Meist scheitern diese Betrugsversuche an simplen logischen Fragen.
  • Gefährliche E-Mail-Anhänge sicher enttarnen.
    • Egal ob von Bekannten oder Fremden, bei Anhängen sollte man stets misstrauisch sein!
    • Schädliche Anhänge lassen sich jedoch sehr einfach identifizieren:
      • Rechnungen werden üblicherweise als PDF mit der Endung .pdf verschickt. Der Datei-Typ wird vom E-Mail-Programm angezeigt (ähnlich den Link-Adressen).
      • .zip Dateien die angeblich Rechnungen, usw. enthalten sind als verdächtig einzustufen und die gesamte Mail sollte gelöscht werden. Die ZIP-Datei soll „Vertrauen“ durch Bekanntheit wecken und den eigentlichen Dateityp verschleiern. Die .zip selbst ist nicht gefährlich, jedoch deren Inhalt.
      • Finger weg von .exe .bat. cmd .htm, .html usw. NIEMAND wird jemals so eine Datei als E-Mail verschicken!
    • Keine Anhänge von fremden Quellen öffnen.
  • Grundsatz: E-Mails sind NIE dringlich!
    • Es stellt sich die Frage was ist eigentlich dringlich und wieso wird es als E-Mail verschickt. Hier ein paar Beispiele:
      • Abmahnung o.ä. von Anwälten: Sollte man in Kontakt mit einem seriösen Anwalt kommen, egal wieso, wird dieser einen IMMER per Brief kontaktieren! Alle E-Mail-Nachrichten bezüglich solcher Themen können getrost ignoriert werden!
      • Zahlungsaufforderung / Säumnis bei Rechnungen / Mahnungen: Was zwischen Geschäftskunden üblich ist, ist im privaten Umfeld nicht zu erwarten. Absender prüfen, falls dieser unbekannt ignorieren.
      • Ergänzung von Daten / Datenverlust: Eine Bank sowie jede seriöse Firme wird niemals eine Aufforderung seine Daten zu aktualisieren, per E-Mail schicken!
    • Generell gelten folgende Grundsätze:
      • Wenn jemand etwas von einem möchte (z.B. Geld) wird dieser auch weiterhin versuchen einen zu kontaktieren! Notfalls postalisch oder telefonisch! Wenn nicht, ist das sein Problem.
      • E-Mails sind nicht rechtskräftig. Sollte man mal eine E-Mail zu viel ignorieren oder falsch einordnen ist dies kein Anlass zur Sorge.
      • Es wird weder etwas Schlimmes passieren, noch stirbt jemand, wenn man nicht reagiert.

Fazit

Hält man sich an diese simplen Verhaltensregeln, sinkt die Wahrscheinlichkeit für eine erfolgreiche Attacke enorm. Bei E-Mails sollte man stets im Auge haben, dass es auch noch andere Kommunikationswege gibt und eine akute Dringlichkeit nicht besteht. Diese Tatsache sorgt für Besonnenheit und die Möglichkeit, logisch über den Inhalt der E-Mail nachzudenken. um Fälschungen zu identifizieren. Die Angreifer nutzen die vorgegebene Dringlichkeit oder Wichtigkeit, um beim Opfer Stress und Druck zu erzeugen. Unter diesen Umständen entstehen eher Fehler und logische Bedenken werden zurückgestellt bzw. ignoriert.

Ein bis zwei Minuten Nachdenken werden nicht zur Apokalypse führen. Im schlimmsten Fall erhält man die Informationen eben um diese Zeit später oder der Versender muss sich im Zweifelsfall nochmals melden. Dies ist auf jeden Fall erträglicher, als Gefahr zu laufen, infiziert zu werden. Dies ist in der Regel stressiger und kostspieliger.

Immer wieder rückt das Thema „Login-Daten-Diebstahl“ in den Fokus der Medien. Doch wie kann man sich dagegen schützen?! Eine ganz einfache Methode ist z.B. die Verwendung von „sicheren“ Passwörtern in Verbindung mit Diensten im Internet; ob nun E-Mails, Facebook, Onlinebanking usw.

Doch wie erstellt man ein sicheres Passwort? Hier ein paar grundlegende Tipps:

  • Für jeden Zweck andere Passwörter verwenden
  • Das Passwort sollte mindestens 10 Zeichen lang sein (länger ist besser)
  • Keine Wiederholung des Passworts um die Länge zu strecken (z.B. PasswortPasswort)
  • Verwendung von Sonderzeichen %/$?# usw.
  • Verwendung von Groß- und Kleinschreibung
  • Keine persönlichen Daten für das Kennwort verwenden (z.B. Geburtsjahr, Vor- und Nachnamen)

 

Intel und McAfee  haben zu diesem Thema eine nette Website mit vielen nützlichen Tipps aufgesetzt.

www.passwordday.org