Viren und Trojaner befallen immer wieder PCs. Meist vom Nutzer unbemerkt, man bekommt eine Bewerbung als Word Dokument und wundert sich nicht darüber klickt drauf und öffnet die Bewerbung. Bereits hier ist es meist zu spät.
Das eingebettete Schadprogramm lädt beliebige andere Schadsoftware nach oder schafft Zugänge zum PC für den Angreifer. Selbst wenn man jetzt herausfindet welcher Virus oder Trojaner am ursprünglichen Dokument anhängig war, in dem man die Mail weiterleitet mit dem Betreff SCAN an scan@virustotal.com , hat man keinen sicheren PC mehr. Man bekommt auf diese E-Mail-Weiterleitung hin einen Report zurückgesendet, dieser beinhaltet Berichte von allen großen Viren Scannern.
Bedeutet bei Verdacht auf Schadbefall PC aus und einen Profi anrufen. z.B. uns.
Gefahren:
Wenn ein Schadprogramm-Befall unbemerkt bleibt breitet dieses sich meist auf weitere PCs wie Kunden und Mitarbeiter PCs aus. Der Befall nimmt unter Umständen Ihre Daten als Geisel.
Wie macht er das bloß?
Das ist vielseitig, viele Programme schlafen erst einmal nachdem Sie weiteren Schadcode nachgeladen haben und warten auf späte Abendstunden oder Tage später bevor sie Ihre Arbeit beginnen. Damit wird die Infektionsquelle weiter verschleiert.
Schadprogramme sind meist darauf ausgerichtet sich zu verbreiten und dauerhaft im verborgenen zu bleiben. Die Verbreitung geschieht z.B. dadurch das es sich in Dokumente auf dem PC oder Netzlaufwerken einbettet und auf den nächste Kollegen wartet. Verschleierung und Persistenz kann noch vielseitiger sein.
Die Schadprogramme verschlüsseln z.B. all Ihre Daten im Netzwerk und auf Backups an die sie rankommen, sowie natürlich alle Daten auf dem PC. Danach wird Lösegeld für die Daten gefordert.
Falls nichts verschlüsselt wird infiziert die Schadsoftware möglicherweise weitere Word Dokumente und verschickt sich selbst als E-Mail weiter. Der Fantasie sind keine Grenzen gesetzt. Keylogger protokollieren sämtliche Ihrer Eingaben, so kommen die Angreifer z.B. weitere Zugriffe.
Schadprogramme öffnen oft verschlüsselte Tunnel durch sämtliche IT Sicherheitsmaßnahmen der Firma. Damit können Angreifer dann auch aus der Ferne wie bei einer Fernwartung agieren.
Wir als IT Experten und Software Entwickler können in den ersten Schritten Systeme durch Wiederherstellung von unbetroffenen Backups wieder betriebsbereit machen oder durch Analyse jedes einzelnen Dokuments, falls kein Backup vorhanden ist, die Schadprogramme auffinden in Dokumenten. Diese können wir dann bereinigen.
Weiterhin kann man das Netzwerkverhalten beobachten und so Infektionen auffinden. Wenn ein bestimmter PC z.B. nachts immer große Datenmengen nach China schickt ist das ein Anhaltspunkt.
Sicherheitslücken in Software:
Jegliche Software hat früher oder später Sicherheitslücken, egal ob Web Anwendungen oder auf dem PC installierte Software oder Betriebssysteme. Eine Sicherheitslücke ist noch kein meldepflichtiger Vorfall, erst wenn diese aktiv genutzt wurde, kann es ein meldepflichtiger Vorfall sein.
Wie schützt man PCs und Netzwerke?
PCs:
- die Software immer aktuell halten
- massiv auf Verschlüsselung setzen
- starke Passwörter und Zweifaktor Authentifizierung nutzen
- Antiviren Software nutzen, das ist aber kein Allheilmittel, selbst wenn Antiviren Software im Einsatz ist, bedeutet das nicht das nicht bereits weitere Komponenten nachgeladen worden oder ein Zugang geschaffen wurde, die nicht entdeckt werden
- Passwort Manager nutzen um für jede Anwendung ein einzigartiges Passwort festlegen und verwalten zu können
Netzwerke:
- UTMS, Verhalten im Netzwerk zu regulieren und zu überwachen, Alarmierungen usw. https://de.wikipedia.org/wiki/Unified_Threat_Management
- Firewall regeln, den Netzwerk Verkehr regulieren
- VLANs, den Netzwerk Verkehr trennen
- Verschlüsselung im Netzwerk verwenden
Meldekette:
Die größte Frage ist immer ab wann muss ich melden. Fakt ist Software ist immer von Sicherheitslücken betroffen, egal ob es große Software Anbieter wie Microsoft sind, die jeden zweiten Dienstag im Monat mit Ihren Patch Days zahlreiche Sicherheitslücken schließen oder kleine Software Anbieter die meist auch gar nicht nachbessern.
Wenn es einen Schaden gibt, dann ist der zu melden als Vorfall. Wenn jedoch rechtzeitig reagiert werden konnte und es kein Schaden gibt, dann ist auch nichts zu melden.