am 07.01.2002 Aktualisiert by Reini

Falsche Viren (Hoaxes)

Empfehlungen zum Schutz vor Computer-Viren aus dem Internet

Der Computer-Virus "LoveLetter" alias "ILOVEYOU" hat sich Anfang Mai 2000 weltweit äußerst schnell mit Hilfe des Microsoft E-Mail-Programms Outlook auf Millionen von Windows-Rechnern verbreitet und auch viele andere Mail-Systeme (Lotus Notes, Eudora, etc.) erreicht und bei unachtsamen Benutzern Schaden angerichtet. Neben der erheblichen Beeinträchtigung des E-Mail-Verkehrs, der teilweise bis zum Zusammenbruch betroffener Systeme führte, sind zudem auch Dateien auf den Rechnern der Anwender gelöscht oder unbrauchbar gemacht worden.

Nachfolgende Empfehlungen verstehen sich als Leitlinie, den Schutz vor Computer-Viren aus dem Internet zu verbessern. Gleichzeitig dienen sie als Diskussionsgrundlage zur konkreten Realisierung von Schutzmaßnahmen.

Die Empfehlungen gelten aus aktuellem Anlass in erster Linie für Microsoft Windows- und Office-Produkte, da diese aufgrund der weltweiten Verbreitung und der bestehenden Angriffsmöglichkeiten das größte Gefährdungspotential darstellen. Jedoch auch bei Produkten von anderen Herstellern sind Schwachstellen vorhanden, die geschlossen werden müssen.

Durch die unten angegebenen Empfehlungen für Maßnahmen werden folgende Zielgruppen in ihrer Aufgabe, das Internet gegen Computer-Viren aus dem Internet zu schützen, angesprochen:

• Endanwender: Betreiber privater und am Arbeitsplatz eingesetzter Rechner, die dazu dienen, Informationen im Internet abzurufen, zu verarbeiten oder wieder ins Netz einzubringen.

   

• Administratoren: Verwalter und Betreuer von Rechnern und Netz-Infrastrukturen.

   

• Software-Hersteller: Hersteller von Betriebssystem- und Abwendungs-Programmen.

   

• Inhalt-Anbieter: Produzenten von redaktionellen Inhalten, die im WWW bereitgestellt werden.

   

Je nach angesprochenem Adressaten sind die Empfehlungen konkreter oder abstrakter formuliert, je nach Inhalt sind sie kurz-, mittel- oder auch erst langfristig realisierbar. Zu einzelnen Punkten sind noch ausführlichere Erläuterungen geplant, die dann über WWW-Links im Text erreichbar sind.

Um auch auf neue Bedrohungen reagieren zu können, wird der Maßnahmenkatalog fortgeschrieben. Alle Interessierten sind hierbei aufgefordert, sich durch Beiträge an der Weiterentwicklung zu beteiligen.

Obwohl in den Medien "LoveLetter" überwiegend als Computer-Virus bezeichnet wurde, ist er eigentlich der Kategorie "Wurm" zuzuordnen. Zur Vereinfachung wird in diesen Empfehlungen "Virus" als genereller Begriff für Programme mit Schadensfunktion, also Computer-Viren, Würmer, Trojanische Pferde, etc. verwendet.

Jede einzelne der vorgestellten Maßnahmen bildet eine gewisse Schwelle als Hindernis für Computer-Viren. Mit der konzentrierten und koordinierten Verwirklichung wird die Wahrscheinlichkeit einer erfolgreichen Abwehr gesteigert.

Maßnahmen für Endanwender

1. Einstellungen am Rechner

Bereits durch das Aktivieren verfügbarer Sicherheitsfunktionen wird das Eindringen von Computer-Viren erheblich erschwert.

• Alle vorhandenen Sicherheitsfunktionen des Rechners aktivieren (Passwort-Schutz, Bildschirmschoner mit Passwort, etc.), damit während der Abwesenheit des berechtigten Benutzers Unbefugte keine Möglichkeit haben, durch unbedachte oder gewollte Handlungen den Rechner zu gefährden.

• Aktuelles Viren-Schutzprogramm mit aktuellen Signatur-Dateien einsetzen, das im Hintergrund läuft (resident) und bei bekannten Computer-Viren Alarm schlägt.

• Im Microsoft Explorer sollte die Anzeige aller Dateitypen aktiviert sein.

• Makro-Virenschutz von Anwendungsprogrammen (WinWord, Excel, Powerpoint, etc.) aktivieren und Warnmeldungen beachten.

• Sicherheitseinstellungen von Internet-Browsern auf höchste Stufe einstellen (Deaktivieren von aktiven Inhalten (ActiveX, Java, JavaScript) und Skript-Sprachen (z.B. Visual Basic Script, VBS), etc.).

• Keine Applikationsverknüpfung für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser nutzen oder Anwendungen über Internet aktivieren.

• Sicherheitseinstellungen (ECL) bei Lotus Notes bearbeiten und das Ausführen von "gespeicherten Masken" per Datenbank unterbinden.

   

2. Verhalten bei E-Mail

2a. Eingehende E-Mail

Eingehende E-Mail ist das größte Einfalltor für Computer-Viren. Bei Sicherheitsbewusstem Verhalten lassen sich hierbei schon die meisten Computer-Viren herausfiltern.

• Offensichtlich nicht sinnvolle E-Mails von unbekannten Absendern sofort ungeöffnet löschen.

• Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

• Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff.

• Kein "Doppelklick" bei ausführbaren Programmen (*.COM, *.EXE) oder Script-Sprachen (*.VBS, *.BAT), Vorsicht auch bei Office-Dateien (*.DOC, *.XLS, *.PPT) sowie Bildschirmschonern (*.SCR).

• Auch eine E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten.

• Nur vertrauenswürdige E-Mail-Attachments öffnen (z. B. nach tel. Absprache). Es ist zu beachten, dass die Art des Datei-Anhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann .

   

2b. Ausgehende E-Mail

Durch Beachtung der folgenden Maßnahmen kann die Gefahr reduziert werden, dass ein Endanwender unabsichtlich Computer-Viren verteilt.

• E-Mails nicht im HTML-Format versenden, auch wenn es vom eingesetzten Mail-Programm her möglich wäre; ebenso sind aktive Inhalte in E-Mails zu vermeiden.

• WinWord-Dokumente im RTF-Format versenden (Damit wird auch die Weiterleitung von ggf. vertraulichen Informationen im nicht direkt sichtbaren Verwaltungsteil der DOC-Datei verhindert.)

• Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden, da diese evtl. einen Computer-Virus enthalten können.

• Keinen Aufforderungen zur Weiterleitung von Warnungen, Mails oder Anhängen an Freunde, Bekannten oder Kollegen folgen, sondern direkt nur an den IT-Sicherheitsbeauftragten senden. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "elektronische Ente", Kettenbrief).

• Gelegentlich prüfen, ob E-Mails im Ausgangs-Postkorb stehen, die nicht vom Benutzer selbst verfasst wurden.

   

3. Verhalten bei Downloads aus dem Internet

Daten und Programme, die aus dem Internet abgerufen werden, stellen einen Hauptverbreitungsweg für Computer-Viren und Trojanische Pferde dar, um Benutzerdaten auszuspähen, weiterzuleiten, zu verändern oder zu löschen. Es muss darauf hingewiesen werden, dass auch Office-Dokumente (Text-, Tabellen- und Präsentations-Dateien) Makro-Viren enthalten können.

• Programme sollten nur von vertrauenswürdigen Seiten geladen werden, also insbesondere von den Originalseiten des Erstellers. Private Homepages, die bei anonymen Webspace-Providern eingerichtet werden, stellen hierbei eine besondere Gefahr dar.

• Die Angabe der Größe von Dateien, sowie einer evtl. auch angegebenen Prüfsumme, sollte nach einem Download immer überprüft werden. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten, dass unzulässige Veränderungen, meist durch Viren, vorgenommen worden sind. Daher sollten solche Dateien sofort gelöscht werden.

• Mit einem aktuellen Viren-Schutzprogramm sollten vor der Installation die Dateien immer überprüft werden.

• Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden. Installierte Entpackungsprogramme sollten so konfiguriert sein, dass zu entpackende Dateien nicht automatisch gestartet werden.

   

Maßnahmen für Administratoren

Administratoren, also die Verwalter und Betreuer von Rechnern und Netz-Infrastrukturen, müssen ihr Augenmerk nicht nur auf einen funktionierenden, sondern auch auf einen sicheren Ablauf richten. Da der Endanwender häufig aufgrund der Komplexität der Systeme nicht in der Lage ist, selbständig für die Sicherheit seines Rechners zu sorgen, sollten Maßnahmen möglichst zentral koordiniert werden. Dem Benutzer ist auch klarzumachen, dass Sicherheit manchmal auch unbequem sein kann und damit die Benutzerfreundlichkeit einschränkt. Aber durch mangelndes Sicherheitsbewusstsein und das Bestreben, Sicherheitsfunktionen möglichst rasch wieder zu ignorieren oder gar zu deaktivieren, gefährdet der einzelne nicht nur seinen Arbeitsplatz, sondern auch den seiner Kollegen.

4. Schutzmaßnahmen für den Endanwender:

• Einsatz von Viren-Schutzprogrammen mit regelmäßiger automatisierter Aktualisierung (Update), da ein veraltetes Schutzprogramm nur für ein falsches Sicherheitsgefühl sorgt. Die Programme sollten sowohl zentral bei der Überwachung der E-Mail eingesetzt werden (File- bzw. Mail-Server), als auch lokal beim Endanwender (Client), damit dieser auch bei verschlüsselter Kommunikation geschützt ist.

• Die Konfiguration der E-Mail-Clients sollte so eingestellt sein, dass Attachments nicht automatisch geöffnet werden. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z.B. WinWord) oder Scripts eingesetzt werden. Aus Sicherheitsgründen sollte ebenfalls das HTML-Format nicht verwendet werden.

• Die Endanwender sollten im Umgang mit E-Mails entsprechend geschult und hinsichtlich der Sicherheitsaspekte sensibilisiert werden.

• Für Probleme ist ein zentraler Ansprechpartner (E-Mail-Adresse, Telefon- und Fax-Nummer) zu benennen.

   

5. Zentrale Schutzmaßnahmen:

• Viren-Schutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs sind auf Mail-Servern und Gateways zu installieren und regelmäßig zu aktualisieren.

• Filterregeln an Gateways oder Firewalls, sowie die Nutzung von "Policies" sind zur Erhöhung der Sicherheit gut geeignet. Derartige Maßnahmen erfordern oft keine teuren Zusatzprodukte. Dabei können Datei-Typen (z.B. *.VBS, *.WSH, *.BAT, *.EXE), die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen, gleich zentral abgeblockt werden.

• Es sollten nur vertrauenswürdige E-Mail-Programme zugelassen sein, die auch über entsprechende Sicherheitsfunktionen verfügen. "Private" Insel-Lösungen auf einzelnen Arbeitsplatz-Rechnern dürfen nicht zugelassen werden, um die Sicherheit des Gesamtsystems nicht zu gefährden.

• Rechner, auf denen für die Organisation, Firma oder Behörde kritische Anwendungen laufen, müssen ohne E-Mail und Internet-Zugang betrieben werden.

• Rechner mit ungeschützter externer Kommunikationsverbindung (z.B. Modem ohne Anschluss über gesicherte Gateways und Firewalls) dürfen nicht gleichzeitig mit dem Firmen- oder Behörden-Netz verbunden sein. Die Installation solcher Kommunikationsverbindungen erfordert eine ausdrückliche Genehmigung.

• Und nicht zu vergessen – Datensicherung! Bei Datenverlust ist das die einzige Maßnahme, die einen Weiterbetrieb der Firma, Organisation oder Behörde ermöglicht.

   

6. Erstellen von Notfallplänen

• Die Informationswege für Notfälle sind zu planen, die zuständigen Funktionen oder Personen zu definieren, Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen.

• Je nach vorliegendem Schadprogramm sind Verfahren zur differenzierten E-Mail-Filterung (z.B. Größenbeschränkung, keine Attachments, nur Post-Eingang, Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen. Da E-Mail mittlerweile das zentrale Informationsmedium geworden ist, dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden, damit nach wie vor Warnungen möglich sind.

• Es muss sichergestellt sein, dass bei Vorliegen eines neuen Computer-Virus die Updates der Viren-Schutzprogramme möglichst rasch auf Servern, Gateways und Clients eingestellt werden. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen.

• Sollten durch einen neuen Computer-Virus die üblichen Informationswege nicht verfügbar sein, sind alternative Verfahren zur zeitnahen Warnung vorzusehen (z. B. notfalls auch durch Fax, SMS, Lautsprecherdurchsagen).

• Bei einigen Computer-Viren (so auch bei VBS/LoveLetter) wird durch Aktivieren von Programmen versucht, weiteren Code über das Internet (meist WWW) nachzuladen. Die dabei verwendeten IP-Adressen oder Ports sind durch Filter abzublocken.

• Für den Notfall sind Backup- und Restore-Strategien zu erarbeiten, die festlegen, welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind, damit in kürzester Zeit eine, wenn auch eingeschränkte, Funktionsfähigkeit hergestellt werden kann.

   

Maßnahmen für Hersteller

Gerade die Hersteller von Betriebssystemen und Anwendungsprogrammen sind dafür verantwortlich, ihren Kunden nicht nur Funktionalitäten, sondern auch ein Höchstmaß an Sicherheit zu liefern. Es kann nicht angehen, dass viele Kunden zusätzliche Aufwendungen finanzieller oder organisatorischer Art zu leisten haben, wenn ein Hersteller ohne große Mehrarbeit Möglichkeiten zur Verhinderung des Missbrauchs dieser Funktionalitäten von Hause aus vorsehen kann.

7. Die Produkte (Betriebssysteme, Anwendungsprogramme) sind in sicherer Grundkonfiguration auszuliefern. Gegenwärtig werden Produkte in der Regel mit unsicheren Einstellungen ausgeliefert, die erst durch Veränderungen von – zudem auch noch irgendwo verborgenen – Einstellungen in einen sichereren Zustand versetzt werden können. Dies unterbleibt erfahrungsgemäß deshalb in den meisten Fällen. Sicherheitsrelevante Einstellungen sollten auch zentral administrierbar sein.

8. Sind in den Produkten sicherheitskritische Technologien (z.B. Windows Scripting Host, JavaScript, LotusScript, E-Mail-Attachments) vorhanden, so ist ausdrücklich auf die Risiken und damit mögliche Beeinträchtigungen der Sicherheit hinzuweisen. Ergeben sich neue Möglichkeiten des Missbrauchs von an und für sich nützlichen Funktionalitäten, so sind die Kunden unverzüglich darüber zu informieren und Abhilfen anzugeben. Die Daten sollten von ausführbarem Programmcode getrennt sein, zum Beispiel also getrennte Dateien für Texte und Makros.

9. Gerade Kommunikations-Programme wie E-Mail-Systeme, die einen idealen Nährboden für die Verbreitung von Computer-Viren bilden, müssen hinsichtlich Sicherheit dringend verbessert werden. Es darf nicht möglich sein, dass ungefragt und unbemerkt vom Anwender hunderte und tausende von E-Mail-Nachrichten verschickt werden. Anhänge von E-Mails sollten von der eigentlichen Meldung getrennt abgespeichert werden, damit infizierte Dateien bereits beim Eingang durch Viren-Schutzprogramme erkannt werden können.

10. Betriebssysteme sind ebenfalls in puncto Sicherheit dringend zu verbessern. Ein "Doppelklick" auf einen Anhang in einer E-Mail darf nicht dazu führen, dass damit ein Programm aktiviert wird, das unbemerkt Veränderungen im Betriebssystems und an Dateien des Anwenders vornimmt und sich durch Nachstarten von anderen Programmen weiter verbreiten kann. Generell muss es möglich sein, Programme nur in einer abgeschotteten Umgebung ("Sandkasten-Modell") kontrolliert auszuführen.

     

Maßnahmen für Inhalte-Anbieter

Das Internet ist das am besten geeignete Medium zur weltweiten Verbreitung von Informationen sowohl nützlicher als auch überflüssiger und schädlicher Art. Damit sind auch die Inhalte-Anbieter in der Pflicht, Maßnahmen zu ergreifen, um die Beeinträchtigung ihrer Kunden durch Computer-Viren zu minimieren.

11. Werden auf den Internet-Seiten Dateien zum Download angeboten, sollte für jede Datei die genaue Größe (in Byte, nicht nur KB oder MB) angegeben werden. Auch die zusätzliche Angabe einer Prüfsumme oder einer Signatur erleichtert es dem Endanwender, festzustellen, ob die Datei, die auf seinem Rechner vorhanden ist, auch dem Original entspricht, und nicht etwa durch einen Computer-Virus modifiziert wurde. Auch sollte auf den Einsatz von Cookies verzichtet werden.

12. Zusätzlich sollten die " Empfehlungen zum Schutz vor verteilten Denial of Service-Angriffen im Internet " berücksichtigt werden, insbesondere die Maßnahmen 9 bis 11: "Auswahl geeigneter und IT-sicherheitsbewußter Serverbetreiber",

13.  "Vermeidung aktiver Inhalte", "tägliche Überprüfung von Dateien auf Viren und Angriffsprogramme".

 am 07.01.2002 Aktualisiert by Reini