Sicherheit oder Komfort?

Die Verteidigung

Der Held unserer Geschichte ist Frank, Anfang 30, einziger IT-Administrator in einem mittelständischen Unternehmen irgendwo in Deutschland. Er ist verantwortlich für alles Digitale im Haus, von Storage und Netzwerken bis hin zu Home Office Lösungen und dem defekten Drucker in der Buchhaltung. Frank weiss, dass Sicherheit aus mehreren Ebenen besteht. Je mehr Ebenen vorhanden sind, desto schwieriger ist es für Kriminelle, Malware einzuschleusen. Um möglichst viele Risiken auszuschließen, setzt er auf diese:

1. E-Mail-Schutz

Die erste Ebene in Franks Abwehrkette ist eine E-Mail-Gateway-Appliance. Diese nutzt eine Anti-Spam-Technologie, die unangeforderte und unerwünschte E-Mails herausfiltert. Er nutzt DKIM und SPF. DKIM ermöglicht das Anfügen einer digitalen Signatur an gesendete E-Mails. Diese sorgt zum einen dafür, dass der Empfänger sich auf den korrekten Absender verlassen kann, zum anderen kann sie eingehende E-Mails blockieren. Kriminelle haben so keine Möglichkeit, über die E-Mail-Domain eine gültige digitale Signatur zu erstellen und zu senden. Ein SPF-Eintrag ist eine Liste aller offiziellen E-Mail-Server, die eine Organisation verwendet. So wird überprüft, ob eine gesendete E-Mail von einem geprüften Server kam, oder nicht.

Hinweis:

SPF-Einträge beinhalten in der Regel entweder -all oder ~ all. Die Option -all bedeutet: "Diese Liste ist endgültig und keine anderen Server gelten als valide Versender meiner E-Mails." Mit anderen Worten: Der SPF-Eintrag ist auf dem neuesten Stand und jede E-Mail, die von einem anderen Server kam, ist demnach nicht von Ihnen. ~ all ist ein so genanntes Soft-Fail, das bedeutet "meine Server-Liste ist womöglich doch nicht vollständig." Soft-Fails können verwendet werden, wen SPF-Einträge modifiziert und getestet werden. Beenden Sie daher die Einträge möglichst mit -all.

2. IT-Sicherheitsregeln

Kürzlich bemerkte Frank einen Anstieg von Spam mit Microsoft Office-Anhängen; diese Dokumente führen beim Öffnen automatisch Makros aus, die eine Malware herunterladen. Hier gibt es zwei mögliche Lösungsansätze:

1. Makros können vollständig deaktiviert werden. Die automatische Ausführung wird gestoppt, der Benutzer muss sie manuell akzeptieren, bevor sie ausgeführt werden.
2. Der Microsoft Office Viewer. Diese Anwendung lässt die Anwender sehen, wie die Dokumente aussehen, ohne Word oder Excel zu öffnen. Die Viewer-Software unterstützt Makros überhaupt nicht, eine versehentliche Aktivierung ist also unmöglich.

3. Benutzerschulung

Die schwierigste aller Sicherheitsebenen ist: der User selbst. Seine Reaktionen sind am wenigsten berechenbar. Oh, ein Nigerianischer Prinz schreibt mir? Na, was der wohl will? Ich soll dem Paketzusteller meine Adresse und E-Mail bestätigen? Na klar, sonst kommt das Päckchen ja nicht!

Die Sicherheit müssen die User immer im Blick haben - sei es durch starke Passwörter, oder einfach durch die Kenntnis der vielen Bedrohungsarten, die es gibt. Frank hat sich entschieden, ein Sicherheitstraining aufzubauen, einschließlich E-Mail und Passwort-Tipps, Trainingsvideos, Poster und gelegentliche Tests mit kleinen Gewinnspielen. 

4. Endpoint-Scanning

Frank weiß, dass es eigentlich egal ist, wie ausgefeilt sein E-Mail-Schutz ist, denn es gibt zahlreiche Möglichkeiten, bösartige Dateien in sein Netz zu bekommen. Es könnte über File-Sharing-Dienste wie Dropbox, FTP, mobile Geräte oder den berühmten USB-Stick auf dem Parkplatz sein. Neuerdings sorgt Frank sich sogar um mögliche Drohnenangriffe.

Ein Web-Gateway-Appliance kann zwar viel Schutz bieten, einen hundertprozentigen jedoch nicht. Dort setzt der Endpoint-Scan an. Ihn mögen die Nutzer aufgrund der häufig auftretenden Verlangsamung des Rechners am wenigsten. Egal, denkt Frank. Folgende Möglichkeiten gibt es:

On-Access-Scans:
Dies ist der Kern der meisten Endpoint-Schutzprodukte. On-Access-Scanning prüft jede Datei, kurz bevor sie verwendet wird. Die Malware wird identifiziert, die Aktivierung verhindert und angrenzende Lösungen gewarnt.

Host Intrusion Prevention:
Dieses System ist auch bekannt unter Namen wie Verhaltensüberwachung oder HIPS. Hat eine Datei den On-Access-Scanner passiert und verhält sich auffällig, kann ein HIPS diese Aktivitäten überwachen und stoppen. Diese Sicherheitsfunktion kann dabei helfen sich vor neuer Malware zu schützen, die  noch niemand zuvor gesehen hat.

Live-Schutz:
Angesichts der Menge an schädlichen Aktivitäten ist ein Schutz vor neuen Bedrohungen besonders wichtig. Selbst wenn Anti-Viren-Software mehrmals täglich aktualisiert wird, bleibt das Infektionsrisiko. Live-Schutz sammelt Informationen über eine Datei und verifiziert diese über einen Cloud-Service.

Web Protection und Malicious Traffic Detection:
Gängige Praxis bei einem Malwareangriff ist es, diesen in mehrere Segmente aufzuspalten. Man unterscheidet:

1. Die Lieferung ­- in diesem Fall über Spam.
2. Den Download - ein kleines Programm zum Start der nächsten Etappe.
3. Die Ausführung - die eigentliche Malware, die den Schaden anrichtet.

Ein Downloader ist eine Miniatur-Malware, die nichts weiter tut als den eigenen Webserver anzurufen, um von dort herunterzuladen, was der Angreifer an Schadsoftware hinterlegt hat. Dies bedeutet, dass die Kriminellen ihre Angriffe über Spam ausführen können, ohne Malware mitzuschicken. Es ist sogar möglich, die Art der Malware im Verlauf der Attacke zu verändern.

Web Protection und Malicious Traffic Detection überwacht, zu welchen Webseiten der Computer eine Verbindung herstellt. Wird eine mit Malware-Verbreitung in Verbindung gebracht,  wird die Verbindung blockiert.

Memory-Scanning:
Wird die Malware bereits auf dem Computer ausgeführt, hilft ein Memory Scanning dabei, weiteren aktiven Malware-Code zu finden und loszuwerden. Überprüft werden sollte auch die Liste der aktiven Programme. Cyber-Kriminelle kennen jedoch eine Vielzahl von Tricks, mit denen Malware in der Prozessliste verborgen bleibt, so dass nur eine direkte Untersuchung der Memory helfen kann. Einige Malwarearten löschen sich bei Aktivität selbst von der Festplatte, so dass ein "Disc-only"-Scan vielleicht nicht hilft.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Sicherheit oder Komfort?
2. Die Verteidigung
3. Sophos Tipps zum Endpoint-Scanning

Lesen Sie mehr zum Thema

Weitere Artikel zu Sophos GmbH Fort Malakoff Park

MSP Elevate

Sophos erweitert Partnerprogramm für MSPs

Cybersicherheitslösungen für MSPs

Sophos und Pax8 kooperieren für optimiertes Sicherheitsmanagement

Sophos-Umfrage beim Security-Personal

Cybersicherheit? Absolut simpel, meint der Chef

Sophos-Studie

Ransomware-Angriffe im Gesundheitswesen auf Vier-Jahres-Hoch

Fernwartung als Einfallstor

Ransomware-Attacke nutzt Remote-Access-Programm

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler