Ein PC und 100 Trojaner

Die Vielzahl an Warnungen vor Trojanern und anderen Schädlingen führt offenbar zur Abstumpfung bei den Anwendern – bis der Ernstfall eintritt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte bereits in der Vergangenheit immer wieder Seiten zur Überprüfung der Absicherung von PCs und anderen kritischen EDV-Komponenten ins Netz. Nun hat die Behörde die eigenen Empfehlungen einer praktischen Prüfung unterzogen.

Der traurige IT-Alltag

Jede Woche dasselbe Spiel. Hersteller XY warnt vor einer neuen Sicherheitslücke im eigenen Produkt und stellt einen Patch zur Verfügung. Für den Administrator bedeutet dies eine Überprüfung im Rahmen der bestehenden EDV-Umgebung (manchmal sogar Kompatibilitätstests) und dann den unternehmensweiten Rollout. Letzterer erfolgt meist automatisiert.

Zeitfresser Patch-Management

Ist dieser Prozess abgeschlossen, so vergehen meist nur wenige Tage und der nächste Hersteller verursacht einen Neustart des gesamten Prozesses mit einem Flicken seiner Software. Die Kette jener Hersteller, die mittlerweile zum Admin-Alltag gehören ist lange – angeführt von Adobe und Oracles Java-Implementierung. Microsoft gehört mit seinem monatlichen Patchday schon wieder zu den „angenehmen“ Kandidaten. Wer hätte das gedacht.

Updates Make the World go Round

Was eingangs als „Spiel“ tituliert wurde, hat in der Praxis ernste Auswirkungen. Ausfall von Systemen, Veruntreuung von Daten und manchmal sogar die gesamte „Übernahme“ von Rechnern sind kein Spaßszenario mehr. Von den Kosten der Wiederherstellung einmal ganz zu schwiegen.

Dass stetes Warnen nicht den Erfolg bringt ist leider Realität. Das BSI hat jüngst aber sogar den konkreten Beweis angetreten. Und dieser spricht eine klare Sprache.

Alt gegen gepatcht

In einem Feldversuch wurden zwei Windows 7-Konfigurationen einer Reihe bekannter Trojaner-URLs ausgesetzt. Das Spezielle am Test: das Angriffsszenario beschränkte sich auf sogenannten Drive-By-Attacken. Dabei bleibt der Anwender außen vor. Die einzige Aktion ist das harmlos scheinende Ansurfen einer Webseite. Kein „versehentlicher“ Doppelklick oder sonstige Aktivitäten sind notwendig, um den Rechner zu infizieren.

 

Die beiden Testszenarien: Beide Kandidaten verfügen über einen aktuellen Patch-Stand von Windows 7 (was in der Praxis schon eine wohlgemeinte Annahme darstellt). Unterschiedlich sind einerseits die eingesetzten Browser (aktueller Google Chrome gegen aktuellen Internet Explorer 9), zum anderen die meist auf jedem PC installierte Zubehör-Software. Adobes Reader und Flash (aktuell gegen veraltet), Java Runtime (nicht installiert gegen veraltet) sowie die Benutzerumgebung (Standardbenutzer gegen Administratorkonto).

96 zu 51

Das Ergebnis in aller Kürze: Von den 100 Drive-by-Webseiten bestand das aktuell gewartete System 96 Angriffe. Vier unerwünschte Downloads wurden zwar ausgelöst aber nicht ausgeführt. Beim vernachlässigten PC waren 36 (!) Angriffe uneingeschränkt erfolgreich, 10 weitere Exploits wurden zwar ausgelöst aber durch den Virenscanner am Starten gehindert.

Alle Details zum Test finden Sie als PDF-Download auf der BSI-Seite.

Verabschieden Sie Windows XP

Windows XP wurde im Test (als ungepflegtes OS) zu Vergleichszwecken auch noch mitgeführt. Das Ergebnis ist vorhersehbar katastrophal. Die Testbedingungen waren es aber auch: ohne Patches und Virenschutz, und dann noch mit Internet Explorer 6. Dafür aber mit Administratorrechten des Benutzers.

Fazit für Unternehmen

Die Testumgebung des BSI ist auf Unternehmensebene nur bedingt relevant. Ohne Zweifel gilt die Tatsache, dass jede Nachlässigkeit bei der Wartung des PCs (egal ob Betriebssystem oder Anwendungssoftware) unmittelbar mit Infektionen bestraft wird.

Im Unternehmensalltag spielen aber auch andere Kriterien eine Rolle, die nicht ohne weiteres geändert werden können. So mag zwar ein aktuell gepatchter Chrome-Browser sicherer sein, der Einsatz von Google-Software ist aber aufgrund von Datenschutzbedenken manchmal unerwünscht. Darüber hinaus ist ein automatisiertes Chrome-Patch-Management nicht gerade einfach. Von Vorgaben bezüglich vorhandener Plug-Ins für unternehmensrelevante Anwendungen ganz zu schweigen.

Anti-Virus-Software ohne Belang?

Im BSI-Test kam zur AV-Abwehr die kostenlose Software von Microsoft (MS Security Essentials) zum Einsatz. Über den Leistungsgrad dieser Software darf gezweifelt werden. Die Bekämpfung von Trojanern ist halt mehr als nur reine AV-Kontrolle.

Im professionellen Umfeld findet die Software keine Anwendung, da – ganz abgesehen von lizenzrechtlichen Einschränkungen – keine Verwaltungsumgebung existiert. Damit entfällt die unentbehrliche Auswertung und Alarmierung des Administrators. Interessant wäre gewesen, inwieweit eine kostenpflichtige Lösung, diverse Schwachstellen in den Anwendungsprogrammen zu kompensieren imstande gewesen wäre.

Zero Day – die Ohnmacht des Administrators

Wie im BSI-Test erwähnt, erfolgten die meisten Angriffe durch das Blackhole Exploit Toolkit. Zum Unterschied von so manchem PC wird diese Software immer bestens gepflegt und verfügt so immer über einen aktuellen Stand an ausnutzbaren Schwachstellen. Zumeist reagieren die Entwickler des Trojaner-Baukastens um einiges schneller auf Verwundbarkeiten als die AV-Hersteller. Von den Reaktionszeiten und der Qualität der Patches der Hersteller (allen voran Adobe und Oracles Java) kann jeder Admin ein Trauerlied singen.

Zero-Day-Lücken bilden hier eine zusätzliche Hürde. Eine Zero-Day-Schwachstelle bedeutet, dass nur die Sicherheitslücke einer Software bekannt ist, an der Schließung aber bestenfalls erst gearbeitet wird. Damit haben Angreifer leichtes Spiel, da selbst der aktuellste Patch-Stand nichts nutzt. Ist der damit eingeschleuste Trojaner gut programmiert, so wird ihn auch ein AV-Scan nicht entdecken – selbst wenn die Lücke durch den Hersteller mit Zeitverzögerung geschlossen wurde.

Problemlösung an der falschen Stelle

Was tun? Die berechtigte Frage des Verantwortlichen im Unternehmen ist nicht eindeutig zu beantworten. Es gilt – und hier sind wir wieder beim eingangs erwähnten Warnen – nach wie vor die alten Regeln zu beachten: Für den Administrator bedeutet dies eine schnellstmögliche Aktualisierung von Betriebssystem und Anwendungen sowie eine gut gepflegte AV-Umgebung. Letztere beginnt auf Firewall-Seite! Für den Endanwender bleiben die Regeln: nicht leichtfertig Mailanhänge zu öffnen oder auf Links in Nachrichten zu klicken. Auch ein Blick auf URL-Links bei Google-Suchergebnissen sollte zur Praxis gehören.

Letztlich – und darauf haben wir allesamt leider wenig Einfluss – sollten aber auf höherer Ebene Lösungen erarbeitet werden. Der traditionelle Virenscanner hält mit der beschleunigten Entwicklung von Schadsoftware nicht mehr mit. Hier sind Prüfmechanismen auf Providerebene gefragt. Technisch sollte das kein größeres Problem darstellen – die damit einhergehenden Blockaden des Internetverkehrs aber zweifellos.

Guter Tipp zum Schluss: Die Prüfung Ihrer Sicherheitsstrategie sollte zum täglichen IT-Management gehören. Der Sicherheits-Check von DsiN bietet einen wertvollen Einstieg.

 

 


Teile diesen Artikel

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*