• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Leitfaden zur Rechnersicherheit

Status
Für weitere Antworten geschlossen.

Kenobi van Gin

Brillenschlange

Registriert
14 Juli 2013
Beiträge
3.620
Ort
.\
Leitfaden zur Rechnersicherheit (verfasst im g:b von Kugelfisch23 und aNtiCHrist)


Inhalt

1. Einführung – Grundlegende Begriffe

2. Kompromittierung verhindern – System sicher konfigurieren
3. Hinweise und Maßnahmen für den Ernstfall



[anchor=Kap1]1. Einführung – Grundlegende Begriffe[/anchor]

Ziel dieses Leitfadens ist die bessere Absicherung des eigenen Systems gegen eine Kompromittierung durch Malware sowie die Hilfe zur Erkennung eines kompromittierten Systems.

Mit Malware ist in dieser Hinsicht jegliche Art von Schadsoftware gemeint. Gängig ist die genauere Unterteilung von Malware abhängig von ihrer Verbreitungsart in Würmer, Trojanische Pferde und Viren – erwähnenswert ist an dieser Stelle, dass die Gattung der Viren (d.h. Malware, welche sich durch Injektion von Code in andere ausführbare Dateien verbreitet), die aus historischen Gründen oft als Bezeichnung für jeglicher Art von Malware dient, inzwischen nur noch sehr selten anzutreffen ist. Wesentlich häufiger sind unter modernen Malware-Produkten die Gattungen der Würmer (selbstständige Verbreitung, z.B. durch Ausnutzung von Schwachstellen) und der Trojanischen Pferde (vermeintlich nützliche Software, die, anstelle oder zusätzlich zu ihrer angedachten Funktion, Schadcode tranportiert) sowie Mischformen dieser zwei Klassen. Dies ist auch der Grund, weshalb von einigen Forenteilnehmer der Begriff Malwarescanner anstelle von Antivirensoftware propagiert wird – solche Tools finden seit geraumer Zeit nicht ausschließlich Viren, sondern (vor allem) auch weitere Klassen von Malware und ggf. gar potentiell unerwünschte (aber nicht prinzipiell bösartige) Software (z.B. Adware).
Ein System muss als kompromittiert angesehen werden, wenn potentiell unbekannter Schadcode ausgeführt wurde. Da im Nachhinein kaum mehr mit vertretbarem Aufwand zuverlässig festgestellt werden kann, welche Veränderungen am System vorgenommen wurden und welche Menge an Schadcode nachgeladen wurde, ist ein solches System per Definition nicht mehr vertrauenswürdig. In keinerlei Hinsicht.


[anchor=Kap2]2. Kompromittierung verhindern – System sicher konfigurieren[/anchor]

Weit verbreitet ist der Irrtum, man könne und solle sein System einzig und allein durch Installation von Sicherheitssoftware schützen. Dass diese Auffassung falsch sein muss, zeigt sich bereits an der Tatsache, dass jede Software potentiell Schwachstellen enthalten kann und dass die Wahrscheinlichkeit, dass in mindestens einem installierten Softwareprodukt eine ausnutzbare Schwachstelle bekannt wird, mit der Anzahl der installierten Produkte steigt. Keineswegs entschärft wird diese Problematik dadurch, dass sich vermeintliche Sicherheitssoftware (um überhaupt arbeiten zu können) oft tief im System verankert und dadurch eine mögliche Schwachstelle auch entsprechend größere Auswirkungen hat, etwa die Kompromittierung des gesamten Systems erlaubt.
Deshalb sollte ausschließlich Sicherheitssoftware installiert werden, die einen klar ersichtlichen Vorteil bietet. Weniger ist in diesem Zusammenhang oft mehr.

Dementsprechend sind nachfolgend die wichtigsten Punkte eines Sicherheitskonzepts aufgelistet, das geeignet ist, um den überwiegenden Anteil der aktuell verbreiteten (und in Zukunft zu erwartenden) Malware von deinem System fernzuhalten.


[anchor=Kap2.1]2.1. Schwachstellen in Programmen[/anchor]

Sehr oft verbreitet sich moderne Malware durch Ausnutzung von Schwachstellen in Anwendungssoftware oder dem Betriebssystem. Daher ist es wichtig, das Risiko unbekannter Schwachstellen möglichst gering zu halten und bekannt gewordene umgehend zu schließen.

Ein sehr häufig vorkommendes Szenario, in dem die Ausnutzung einer Schwachstelle in einem Programm möglich ist, ist der Besuch einer Webseite. Der Browser lädt fremde und somit potentiell bösartige Daten aus dem Internet. Durch eine Schwachstelle im Browser oder den darin verfügbaren Plugins kann es mit entsprechend präparierten Daten ohne weiteres Zutun des Nutzers zur Ausführung von Schadcode kommen. Dabei ist zu beachten, dass auch große, bekannte Sites durch dort vorhandene Schwachstellen manipuliert worden sein können und somit ebenfalls Schadcode ausliefern können. Solche Fälle gab es in der Vergangenheit immer wieder und es wird sie auch in Zukunft weiterhin geben. Schwachstellen auf dem eigenen System sind daher selbst dann gefährlich, wenn man ausschließlich seriöse, bekannte Websites besucht.


[anchor=Kap2.1.1]2.1.1. Schwachstellen vermeiden[/anchor]

Je mehr Programmcode vorhanden ist, desto wahrscheinlicher werden auch Schwachstellen. Daher ist es sinnvoll, keine unnötigen Programme zu installieren und nicht benötigte Funktionen zu deaktivieren.

Dabei sind insbesondere die im Browser verfügbaren Plugins zu erwähnen. Obwohl die meisten Nutzer kaum mehr als den Flash-Player benötigen werden, haben sie (oft unbewusst) viele andere Plugins im Browser aktiv, die ein unnötiges Sicherheitsrisiko darstellen, da eine Schwachstelle von jeder besuchten Webseite ausgenutzt werden könnte. Schwachstellen in Plugins von Adobe Reader und Java wurden z. B. in der Vergangenheit schon sehr oft zum Einschleusen von Malware ausgenutzt, während kaum jemand diese Plugins tatsächlich benötigt.

Daher ist es ratsam, regelmäßig die im Browser nutzbaren Plugins zu prüfen und unbewusst installierte, unnötige oder gar unbekannte Plugins zu deinstallieren oder zumindest zu deaktivieren. In Firefox (und SeaMonkey) ist das Prüfen und Deaktivieren sehr einfach über Extras → Add-ons → Plugins möglich. In Opera und Chrome kann man dies über den Aufruf von about:plugins in der Adressleiste tun. Andere moderne Browser bieten dort zumindest einen Überblick über die Plugins. Ggf. kann man dann auch durch Löschen der Plugins Abhilfe schaffen, sofern diese nicht sowieso getrennt von benötigten Programmen deinstallierbar sind.


[anchor=Kap2.1.2]2.1.2. Sicherheitsupdates zeitnah einspielen[/anchor]

Mit einer minimalen Softwareausstattung lässt sich zwar das Risiko minimieren, dennoch werden regelmäßig Schwachstellen bekannt. Deshalb ist – insbesondere bei Software, welche mit aus dem Internet stammenden, potentiell bösartigen Daten in Kontakt kommt (z.B. Browser samt Plugins, E-Mail-Client, ...) – unbedingt darauf zu achten, unsichere Versionen zu erkennen und von den Entwicklern bereitgestellte Sicherheitsupdates zeitnah zu installieren.


[anchor=Kap2.1.2.1]2.1.2.1. Automatisierte Überprüfung auf Schwachstellen[/anchor]

Während viele verbreitete Linux-Distributionen über einen Paketmanager Update-Automatiken für sämtliche installierten (Anwendungs-) Pakete bereitstellen, werden in aktuellen Windows-Versionen über die Windows-Update-Funktion nur Updates für das System selbst und einige der standardmäßig installierten Microsoft-Komponenten verbreitet. Dies ändert selbstverständlich nichts an der Tatsache, dass man diese Automatik in aller Regel nutzen und keinesfalls ohne einen guten Grund deaktivieren sollte. Auch bieten einige Programme (z.B. Firefox) von Haus aus eine automatische Update-Funktion, die man üblicherweise unbedingt nutzen sollte.

Für Benutzer von Windows 2000, XP, Vista, und 7 bietet der Sicherheitsdienstleister Secunia mit dem Personal Software Inspector ein kostenloses Programm an, mit dem sich Schwachstellen auf dem System finden lassen. Dazu werden wie bei einem Malwarescanner die Dateien auf der Festplatte auf bestimmte Signaturen geprüft, bloß dass die Software eben nicht Malware, sondern unsichere Programme erkennt.

Alternativ bietet Secunia auf seiner Website auch mit dem Online Software Inspector die Möglichkeit, dein System direkt aus dem Browser heraus (über ein Java-Applet) auf bekannte Sicherheitslücken in Betriebssystem und gängiger Software zu überprüfen. Hier werden aber deutlich weniger Programme überprüft, so dass nach Möglichkeit der Personal Software Inspector genutzt werden sollte.

Hinweis: Die Java-Sicherheitsabfrage beim Aufruf des Online Software Inspector erscheint, weil das Applet ja die Dateien auf der Festplatte scannen muss. Normalerweise ist dies einem Java-Applet natürlich nicht gestattet, daher muss es um Erlaubnis fragen.


[anchor=Kap2.1.2.2]2.1.2.2. Manuelle Überprüfung auf Schwachstellen[/anchor]

Falls du ein vom Personal/Online Software Inspector nicht unterstütztes Betriebssystem verwendest, keine Java-Umgebung installiert hast oder dem Applet nicht vertraust, kannst du natürlich auch selbst nach unsicheren Versionen suchen. Die Versionsinformationen der Programme finden sich normalerweise im Hilfe/?-Menü (ganz rechts) unter dem Punkt Über <Programmname> (oft auch About <Programmname>). Ansonsten finden sich Versionsangaben unter Windows oft auch unter Systemsteuerung → Software. Einen Überblick über installierte Browser-Plugins bekommt man in Firefox/SeaMonkey/Opera, wenn man about:plugins in der Adressleiste aufruft.

Mit dem Wissen über die installierten Versionen kannst du dich nun u.a. auf den Websites der Entwicker selbst auf die Suche nach aktualisierter Software machen. Insbesondere im Bezug auf Browser pflegt aNtiCHrist seit einiger Zeit im Browser-Forum (dieser Link verwies auf board.gulli.com und wurde daher entfernt) eine Liste von Browser- und Plugin-Versionen, welche bekannte Schwachstellen aufweisen und keinesfalls verwendet werden sollten.


[anchor=Kap2.2]2.2. Umgang mit fremden ausführbaren Dateien[/anchor]

Ebenfalls eine häufige Ursache für die Infektion mit Malware und die daraus folgende Kompromittierung des Systems ist der zu sorglose Umgang mit ausführbaren Dateien aus häufig dubiosen Quellen. Dabei kann es sich entweder offensichtlich um ausführbare Dateien handeln (Dateierweiterung z.B. exe), die einem vermeintlich anderen Zweck dienen (Trojanische Pferde im engeren Sinne), oder auch um ausführbare Dateien, welche den Eindruck erwecken sollen, es handle sich um eine vermeintlich ungefährliche Daten-Datei, z.B. um ein Bild.


[anchor=Kap2.2.1]2.2.1. Erkennung von Malware - Einschätzung ausführbarer Dateien; Malwarescanner[/anchor]

Es gibt keinen allgemein gültigen Weg, jegliche Malware zuverlässig zu erkennen.
Ein Malwarescanner kann dich bei der Beurteilung, ob einer bestimmten Datei zu trauen ist, nur unterstützen, indem er verbreitete, bekannte Malware erkennt. Jedoch solltest du dir unbedingt darüber im Klaren sein, dass ein negatives Ergebnis keineswegs die Unbedenklichkeit einer bestimmten Datei garantieren kann.
Wie unabhängige Vergleiche verschiedener Scanner – etwa http://www.av-comparatives.org/ – zeigen, muss es nicht unbedingt ein kostenpflichtiger Scanner sein: Auch das kostenlose Avira AntiVir Personal bietet eine gute Erkennungsrate und die in der Vergangenheit verhältnismäßig hohe Zahl falsch-positiver Treffer konnte inzwischen gesenkt werden.
Zudem erlauben es Dienste wie VirusTotal oder Jottis Malwarescanner, einzelne verdächtige Dateien von verschiedenen verbreiteten Malwarescannern untersuchen zu lassen, ohne diese lokal installieren zu müssen. Auch dort garantiert ein unauffälliges Ergebnis natürlich nicht die Unbedenklichkeit.

Sofern der Malwarescanner bei einer bestimmten Datei keinen offensichtlichen Fund vermeldet, ist insbesondere die Herkunft der Datei für deine Beurteilung entscheidend. Stammt sie aus einer dubiosen Quelle?
Die Praxis zeigt etwa, dass insbesondere User, welche auf wenig vertrauenswürdigen Websites nach Cracks, 'Hacking'- oder Cheat-Tools suchen, oft ein leichtes Opfer für Script-Kiddies sind, die auf diesem Weg ihre Malware verteilen wollen. Insbesondere von neuen Benutzern in Boards, Warez-Sites u.ä. gepostete ausführbare Dateien sind in dieser Hinsicht höchst verdächtig. Solche dubiosen Angebote sind unbedingt zu meiden.
Bei an sich vertrauenswürdiger, frei erhältlicher Software empfiehlt sich stets der Download von der Website der Entwickler.

Es ist natürlich nicht auszuschließen, dass eine vermeintlich vertrauenswürdige Website Opfer eines Angriffs wird und danach Malware zum Download anbietet. Sofern der Austausch der angebotenen Dateien in geschickter Weise erfolgt, ist dies kaum zu erkennen. Es ist dennoch ratsam, vor der Ausführung einer heruntergeladenen Datei darauf zu achten, ob der Inhalt plausibel erscheint, etwa die Dateigröße zum mutmaßlichen Inhalt passt.

Wenn es unumgänglich ist, eine verdächtige Datei auszuführen, bietet sich ein Test in einer virtuellen Maschine an – dazu kannst du Virtualisierungslösungen wie VirtualBox oder VMWare nutzen. Beachte allerdings, dass ...
... auch eine Virtualisierungslösung Schwachstellen enthalten kann, welche das Ausbrechen aus der virtuellen Umgebung erlauben. Deshalb solltest du zumindest die benutzte Virtualisierungssoftware stets aktuell halten.
... Malware erkennen kann, dass sie in einer virtuellen Umgebung ausgeführt wird und sich dementsprechend zahm verhalten kann. Wenn du die Datei danach auf einem physischen System ausführst, wird der Schadcode aktiv.
... die virtuelle Maschine auch kompromittiert werden kann. Nach jedem Test solltest du sie von außen zurück in einen definierten Zustand bringen (z.B. durch einen Wiederherstellungspunkt der Virtualisierungslösung oder durch anfertigen einer Kopie der VM vor einem Test)


[anchor=Kap2.2.2]2.2.2. als Daten getarnte ausführbare Dateien[/anchor]

Einige Malware-Verbreiter versuchen, ihre ausführbaren Dateien als an sich unbedenkliche Daten-Datei, z.B. als Bild, zu tarnen. Dazu kann einerseits eine von einem Laien nicht sofort mit einer ausführbaren Datei assoziierte Dateiendung (z.B. scr) zum Einsatz kommen, andererseits eine doppelte Erweiterung der Form jpg.exe genutzt werden.

Unbedingt zu beachten und zu verändern ist eine in dieser Hinsicht sehr bedenkliche Standardeinstellung des Windows-Explorers, die gewisse Dateierweiterungen ausblendet und dadurch die Identifikation von auf diese Weise getarnten ausführbaren Dateien unnötig erschwert. Aus diesem Grund sollte Dateinamenerweiterung bei bekannten Dateitypen ausblenden in den Ordneroptionen deaktiviert werden. Das Vorgehen unter Windows 7 etwa ist in http://www.itler.net/2009/11/windows-7-dateiendungen-anzeigen/ beschrieben.

Nicht von dieser Einstellung betroffen sind jedoch die Dateiendungen, die üblicherweise von Verknüpfungen genutzt werden – pif und lnk. Deren Erweiterungen werden erst nach einer Änderung in der Windows-Registry angezeigt. Insbesondere für pif-Dateien sollte das Anzeigen der Erweiterung unbedingt aktiviert werden, da diese direkt ausführbaren Code enthalten können.

Vorsicht ist auch bei einem Laien ggf. unbekannten Dateierweiterungen geboten, so transportieren etwa scr-Dateien (Windows-Bildschirmschoner) ebenso ausführbaren Code wie com-Dateien. Selbst Microsoft-Office-Dokumente können unter Umständen bösartige Makros enthalten.


[anchor=Kap2.2.3]2.2.3. Verbreitung über Wechselspeicher; AutoRun/AutoPlay[/anchor]

Eine weitere Verbreitungsstrategie für Malware ist die Kompromittierung von Wechselspeichern, etwa externer Festplatten oder USB-Sticks – ein prominentes Beispiel ist etwa der Conficker-Wurm, der diese Verbreitungsmöglichkeit nutzt. Mit AutoRun und AutoPlay existieren in aktuellen Windows-Versionen zwei Features, welche dazu führen können, dass eine auf einem Wechselspeicher abgelegte, ausführbare Datei direkt beim Anstecken (AutoRun) oder nach Auswahl eines präparierten, unauffälligen Eintrags im AutoPlay-Dialog ausgeführt wird.
Das genaue Verhalten hängt von der Windows-Version ab: Während Windows 7 ausschließlich CDs/DVDs den AutoPlay-Dialog modifizieren lässt, erlauben ältere Windows-Versionen auch USB-Sticks und externen Festplatten die Modifikation der Einträge und führen Inhalte von CDs und DVDs mittels AutoRun ungefragt aus.
Microsoft bietet einen Patch an, welcher das sicherere AutoRun-/AutoPlay-Verhalten von Windows 7 auf Windows XP und Vista überträgt. Dieser sollte unbedingt eingespielt werden, wenn du AutoRun/AutoPlay nicht komplett deaktivieren willst.


[anchor=2.3]2.3. Meidung administrativer Konten[/anchor]

Da sich Malware wie in den vorhergehenden Abschnitten beschrieben häufig durch das Fehlverhalten des Benutzers oder durch Schwachstellen in mit Benutzerrechten ausgeführten Anwendungsprogrammen verbreitet, sollte unter Windows – ebenso wie unter unixoiden Systemen (z.B. Linux) üblich – nur dann ein Administrator-Konto genutzt werden, wenn tatsächlich administrative Tätigkeiten durchgeführt werden. Denn durch die Verwendung eines Admin-Kontos hat auch eventuell ausgeführter Schadcode sofort Vollzugriff auf das gesamte System. Nutzer von Windows 2000 und XP sollten zumindest zum Surfen ein eingeschänktes Konto nutzen, Nutzer von Windows Vista und Windows 7 die Benutzerkontensteuerung nicht ausschalten und ihre Dialoge nicht leichtfertig wegklicken.


[anchor=Kap2.4]2.4. Direkte Angriffe von außen[/anchor]

... sind in der heutigen Zeit verhältnismäßig selten. Dies hat zum einen den Grund, dass seit einiger Zeit aus dem Internet direkt ausnutzbare Schwachstellen in einem der standardmäßig aktivierten Windows-Dienste sehr selten sind (bekannte Beispiele solcher Schwachstellen in der Vergangenheit wurden z.B. durch Würmer wie Sasser oder Blaster ausgenutzt), zum anderen erlauben die heute sehr weit verbreiteten Heim-(DSL-)Router in der Standardkonfiguration prinzipbedingt keine eingehenden Verbindungen. Grundsätzlich gilt dennoch, dass ein System keine nicht benötigten Dienste im Netzwerk anbieten sollte.


[anchor=Kap2.4.1]2.4.1. Für und wider Personal Firewalls[/anchor]

Wenn du die obigen grundlegenden Sicherheitsrichtlinien befolgst, sind entgegen den häufig zu lesenden Empfehlungen eine separat installierte Personal Firewall (auch Desktop-Firewall genannt) oder eine Internet-Security-Suite in aller Regel nicht notwendig.
Damit Unbefugte nicht von außen auf das System zugreifen können, reichen die Windows-Firewall oder ein handelsüblicher DSL-Router oder ein sauber konfiguriertes System, das keine nicht benötigten Dienste im Netzwerk anbietet, bereits aus.
Oft soll eine Personal Firewall auch dazu dienen, ausgehenden Netzwerkverkehr basierend auf der verursachenden Anwendung zu filtern. Da Programme allerdings untereinander kommunizieren können und dadurch z.B. Schadcode im Namen deines als vertrauenswürdig eingestuften Standard-Browsers von einer Personal Firewall unbemerkt Verbindungen nach außen aufbauen kann, kann dieses Konzept prinzipbedingt keinen zuverlässigen Schutz bieten. Deshalb leuchtet ein, dass es weit sinnvoller ist, durch oben genannte Sicherheitsmaßnahmen eine Infektion zu verhindern, als mit höchst ungewissem Ausgang gegen eventuelle Symptome zu kämpfen. Wenn dein System dennoch kompromittiert wird, musst du unabhängig von einer eventuell installierten Personal Firewall davon ausgehen, dass sämtliche Daten dem Angreifer in die Hände gelangt sind (mehr dazu im nächsten Kapitel).


[anchor=Kap2.5]2.5. Backup-Strategien; Disaster Recovery[/anchor]

Selbst das beste Sicherheitskonzept kann nicht garantieren, dass dein System nicht kompromittiert wird, sondern nur das Risiko minimieren. Deshalb ist es ratsam, sich bereits im Voraus darüber Gedanken zu machen, wie du im Falle einer Kompromittierung reagieren willst (vgl. nächstes Kapitel) – insbesondere solltest du regelmäßige Datensicherungen anlegen, um eventuellem Datenverlust vorzubeugen. Auch eine Komplettsicherung deines fertig konfigurierten Systems ist ratsam – sie erspart dir ein langwieriges manuelles Neuaufsetzen. Dazu bieten sich etwa Acronis TrueImage oder jede andere Backup-Lösung an, welche inkrementelle Backups anlegen kann.

Zu beachten ist, dass die Datensicherung auf einem Medium abgelegt werden sollte, das nicht ständig mit deinem System in Kontakt ist, da, sofern dein System kompromittiert wird, jeglicher Kontakt mit einer bestehenden Datensicherung dazu führt, dass diese auch als potentiell kompromittiert angesehen werden muss – eine externe Festplatte, welche nur zum Anlegen von Datensicherungen an den Rechner angeschlossen wird, eignet sich gut.

Zudem solltest du bereits jetzt das nächste Kapitel durchlesen und im Falle einer Kompromittierung benötigte Werkzeuge, insbesondere eine Live-CD/-DVD (z.B. Knoppix) zum zeitnahen Ändern deiner Zugangsdaten und zum Retten privater Daten bereits jetzt anfertigen, sofern du dir nicht sicher bist, diese im Bedarfsfall (z.B. mit einem Zweitrechner) schnell herstellen zu können.


[anchor=Kap3]3. Hinweise und Maßnahmen für den Ernstfall[/anchor]

In diesem Abschnitt geht es darum, wie mit einem System verfahren werden sollte, bei dem der Verdacht einer Kompromittierung besteht oder diese bereits nachgewiesen wurde.


[anchor=Kap3.1]3.1. Folgen und Symptome einer Kompromittierung[/anchor]

Leider bleibt eine Kompromittierung oftmals völlig symptomfrei und damit unentdeckt. Das liegt daran, dass die Verbreiter der Malware es darauf abgesehen haben, die unter ihre Kontrolle gebrachten Systeme langfristig als Teil ihrer Botnets (siehe auch Wikipedia) zu missbrauchen. Diese werden vor allem zum Massenversand von Spam sowie für DDoS-Angriffe über die infizierten Rechner genutzt. Auch werden die infizierten Systeme als Proxy zur Verschleierung von Straftaten genutzt. Bei Ermittlungen führt die Spur dann zum Anschlussinhaber des infizierten Systems, was schnell zu einer Hausdurchsuchung führen kann. Nebenbei werden oft systematisch Zugangsdaten von interessanten Diensten ausgespäht, um etwa Kontrolle über E-Mail-Adressen zu erhalten oder über FTP-Zugangsdaten Webseiten so zu manipulieren, dass sie anschließend ebenfalls Malware verbreiten.

Meist wird eine Kompromittierung daher nur zufällig erkannt, weil die Malware nicht fehlerfrei arbeitet und seltsame Effekte hervorruft. Meist sind das Fehlfunktionen oder Abstürze in Browsern, oder anderen Programmen die einen Netzzugriff erfordern. Es können jedoch auch völlig andere Symptome sein, sofern sie denn überhaupt auftreten.
Lediglich bei Adware sowie bei Rogueware/Scareware gibt es eine Abweichung von dieser Problematik: Hier soll konkret mit dem Nutzer des infizierten Systems Geld verdient werden. Die Symptome sind bei Adware die ohne Interaktion plötzlich auftauchenden Werbeeinblendungen. Bei Rougeware/Scareware erscheinen hartnäckige (meist englischsprachige) Meldungen, dass das System infiziert sei (was sogar korrekt ist) und man ein höchst dubioses Antimalware-Programm kaufen müsse, um die Malware zu entfernen. Dadurch verschwinden aber im besten Fall lediglich die Meldungen, das System wird kompromittiert bleiben.


[anchor=Kap3.2]3.2. Sofortmaßnahmen beim Verdacht auf Kompromittierung[/anchor]

Besteht wegen seltsamem Verhalten oder gar noch deutlicheren Anzeichen der begründete Verdacht, dass ein System mit Malware infiziert ist, sollte es sofort vom Netz getrennt werden, um weiteren Missbrauch und auch das Nachladen von weiterem Schadcode zu vermeiden. Dies geschieht am besten durch das Entfernen des Netzwerkkabels oder bei WLAN durch das Entfernen oder zumindest Deaktivieren des WLAN-Adapters. Notebooks bieten dazu fast immer eine Fn-Tastenkombination, eine separate Taste oder einen Schalter an.

Möglichst schnell sollte man dann von einem anderen, sauberen System alle wichtigen Passwörter ändern. Sofern vorhanden kann das ein Zweitrechner sein. Noch besser ist jedoch die Nutzung einer Linux Live-CD wie z.B. Knoppix. Vorteil: Man benötigt keinen zweiten Rechner und man kann sich sehr sicher sein, dass das System auf der CD sauber ist, während der Zweitrechner ebenfalls infiziert sein könnte.


[anchor=Kap3.3]3.3. Nachweis der Kompromittierung[/anchor]

Ist man sich wegen fehlender oder weniger deutlicher Symptome unsicher, ob das System mit Malware infiziert ist, kann das Programm HijackThis erste Hinweise geben. Es gibt viel Malware, die man bereits damit entdecken kann. Bei der Einschätzung des von HijackThis erstellten Logs ist die Website http://hijackthis.de/ hilfreich.

Leider gibt es mittlerweile auch genügend Malware, die sich erfolgreich in ihrem infizierten System über Rootkits tarnen kann. Daher empfehlen wir für jeden Verdachtsfall das Scannen des Systems von einem sauberen Bootmedium aus. Dazu hat sich das kostenlose Avira Rescue System (Download: avira.com) bewährt. Sollte das Rescue System Funde melden und man den Verdacht haben, dass es sich um Fehlalarme handeln könnte, bietet sich die zusätzliche Prüfung bei Scanner-Diensten wie http://www.virustotal.com/ oder http://virusscan.jotti.org/ an. Zum Hochladen der Datei bietet sich wieder eine Linux Live-CD an.


[anchor=Kap3.4]3.4. Maßnahmen nach Feststellung der Kompromittierung[/anchor]

Hinweis für Leser, die direkt bei diesen Punkt eingestiegen sind: Falls noch nicht geschehen, sollten als erstes die Hinweise unter Punkt 3.2 beachtet werden, um weiteren Schaden abzuwenden.


[anchor=Kap3.4.1]3.4.1. Bereinigung möglich?[/anchor]

Eine verlässliche Bereinigung ist heutzutage leider nur noch in den wenigsten Fällen möglich, da Malware oft weiteren Code nachlädt, den ein Malwarescanner nicht unbedingt erkennt. Die Funktionen zum Löschen oder Desinfizieren von Dateien in den Malwarescannern sollten daher sehr kritisch gesehen werden. Manipulationen an der Registry erkennt jedenfalls kaum ein Scanner und selbst wenn ist eine erfolgreiche Korrektur sehr selten. Nur wenn ein lückenloser Nachweis des Infektionswegs, des auf das System gelangten Codes und die vorgenommenen Veränderungen möglich sind, kommt der Versuch einer Bereinigung in Frage. Ein Beispiel für solch einen Fall wäre halbwegs seriöse Adware, die versehentlich mit einem Programm installiert wurde.


[anchor=Kap3.4.2]3.4.2. Neuaufsetzen[/anchor]

In fast allen Fällen bedeutet eine Kompromittierung, dass das System für eine verlässliche Malware-Bereinigung neu aufgesetzt werden muss. Nicht selten berichten zwar Nutzer von vermeintlich erfolgreichen Bereinigungen, machen diese Behauptung aber nur an den verschwundenen Symptomen fest. Wie oben unter Punkt 3.1 erwähnt, zeigt aber aktive Malware meist überhaupt keine Symptome und auch ein Malwarescanner kann keine verlässliche Diagnose bieten. Wenn schon bekannt ist, dass Malware aktiv war (also vermutlich ein Malwarescanner schon versagt hat), sollte man daher von Bereinigungsversuchen absehen.

Auch ein Vergleich des Zeitaufwands für das Neuaufsetzen des Systems (idealerweise hat man eine saubere Datensicherung, die innerhalb kurzer Zeit und ohne Aufwand zurückgespielt ist) und einen Bereinigungsversuch mit fraglichem Ausgang spricht für das Neuaufsetzen. Letztlich kann sowieso nur ein verlässlich sauberes System eine Grundlage für ein sinnvolles Sicherheitskonzept sein. Als Bonus lösen sich übrigens auch viele über die Zeit ins System eingeschleppte Probleme durch eine saubere Neuinstallation des Betriebssystems.

Damit bei der Neuinstallation die Malware nicht überlebt, sollten die von dem Betriebssystem verwendeten Partitionen gelöscht (oder zumindest formatiert) werden. Tut man das nicht, hilft die Neuinstallation höchstens in den sehr unwahrscheinlichen Fällen, in denen ausschließlich Systemdateien manipuliert wurden. Auf anderen Partitionen sollten alle ausführbaren Dateien gelöscht werden. Schließlich könnte ein Virus diese manipuliert haben, so dass sie bei späterer Ausführung auch das neue System wieder kompromittieren. Daten auf den vom Betriebssystem verwendeten Partitionen können natürlich vor dem Formatieren/Löschen an einen anderen Ort kopiert werden. Dabei sollten allerdings die ausführbaren Dateien ausgelassen werden.

Dass eine Neuinstallation des Systems ausschließlich von einem unveränderten (oder notfalls selbst angepassten) Installationsmedium erfolgen sollte, leuchtet hoffentlich ein. Von verbastelten Windows-Versionen aus dubiosen Quellen raten wir ab. Neben der Gefahr, dass darin Malware enthalten ist, gibt es damit auch nicht selten Probleme, die sich durch erst durch die Veränderungen ergeben.

Damit es nach der Neuinstallation nicht erneut zu einer Kompromittierung kommt, sollten in Zukunft unbedingt die weiter oben in Abschnitt 2 erwähnten vorbeugenden Maßnahmen beachtet werden. Damit lässt sich zwar eine Neuinfektion auch nicht absolut ausschließen, aber sie wird immerhin extrem unwahrscheinlich.​
 
Status
Für weitere Antworten geschlossen.
Oben