Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Noch einmal: Locky und Konsorten
Auch mir bekannte Unternehmen hat es getroffen. Manche mehr, manche weniger. Was haben die weniger betroffenen Unternehmen richtig gemacht?
Wie zu erwarten war, flaut die Berichterstattung über die Welle der Verschlüsselungsviren, die in Deutschland seit Anfang Februar gewütet haben, in der Presse ab. Die Gefahren bleiben jedoch. Immer noch kommt es zu Ausbrüchen der bekannten Viren oder neuer, aktueller Mutationen, z. B. TeslaCrypt 4.0 Ganz wie bei der Bekämpfung biologischer Seuchen.
Jüngst betroffene Unternehmen
Nach den Berichten in der Presse über betroffene Unternehmen wie z. B. einer Stadtverwaltung und diverser Krankenhäuser hat es mich doch überrascht, auch in meinem persönlichen Umfeld von sehr vielen betroffenen Unternehmen zu erfahren.
Da ist z. B. ein Autohaus, welches zähneknirschend seine Werkstattkunden noch einmal zur Nachbegutachtung einbestellen muss. Die standardmäßig bei Unfallschäden zur Abrechnung mit der Versicherung gemachten Fotos waren nämlich verloren. Ein Verschlüsselungsvirus hatte alle Datenbestände unwiederbringlich unbrauchbar gemacht. Eine nicht befallene Datensicherung, die nach Beseitigung des Virus wieder eingespielt werden kann, lag nicht vor. Die Versicherung verweigert die Abwicklung des Schadens und besteht auf einer Nachbegutachtung durch einen Sachverständigen. Natürlich auf Kosten des Autohauses. Davon, dass die Kunden nicht begeistert reagieren, wenn sie kurzfristig noch einmal vorbeikommen müssen, mal ganz abgesehen.
Oder das Softwareunternehmen, in dem eine Mitarbeiterin eine E‑Mail von einem vermeintlich bekannten Absender bekommt und den Dateianhang öffnet. In diesem Fall besonders perfide: die E‑Mail kam angeblich von der Adresse „admin@<unternehmen>.de“ und sah für die Mitarbeiterin tatsächlich so aus, als wäre sie von der hauseigenen IT-Abteilung versendet worden. Natürlich war die Versand-Mail-Adresse gefälscht …
In diesem Fall hat die Mitarbeiterin dann aber absolut richtig gehandelt: sofort nach dem Klick auf den Dateianhang (eine Zip-Datei) hat sie in der IT-Abteilung angerufen und nachgefragt, was die IT-Abteilung denn für komische E‑Mails verschickt. Dem Mitarbeiter der IT-Abteilung war sofort bewusst, dass etwas nicht stimmen kann. Er sprintete zum PC der Mitarbeiterin und zog das Netzwerkkabel. Parallel wurden alle Mitarbeiter angewiesen, alle IT-Systeme sofort abzuschalten und die Administratoren fuhren die Serversysteme herunter. Lohn der Mühe: der Virus hatte sich inzwischen „nur“ auf einigen Arbeitsplatz-Systemen verbreitet, aber noch keine Serversysteme erreicht. Die betroffenen Arbeitsplatzsysteme konnten ausfindig gemacht, zurückgesetzt und neu installiert werden. Datenverlust kam nicht vor.
Konsequenz
Die schnelle und richtige Reaktion der IT-Abteilung des Softwareunternehmens hat den Schaden auf ein Minimum reduziert. Im Vergleich dazu kämpft das Autohaus wahrscheinlich noch wochenlang mit den Folgen.
Ohne Mitarbeiter geht es nicht!
Schnelle und richtige Reaktionen können nur die Mitarbeiter selbst einleiten. Sensibilisieren und informieren Sie Ihre Mitarbeiter, wie sie im Falle eines – ich nenne es mal so – komischen oder unerwarteten Verhaltens ihres IT-Systems reagieren müssen. Dies gilt besonders, wenn das System nach einem Klick auf einen Dateianhang oder Internetlink in einer E‑Mail z.B.
- plötzlich ständig auf die Festplatte zugreift (zu erkennen an der Leuchtdiode für die Festplatte) oder
- spürbar langsamer wird und schlecht reagiert.
Dann sollten die Mitarbeiter sofort folgendes tun:
- System sofort herunterfahren (wenn noch möglich).
- Netzwerkstecker ziehen bzw. WLAN deaktivieren, um die weitere Verbreitung des Virus zu unterbinden.
- Sofort die IT-Abteilung, den EDV-Partner oder Administrator informieren, die dann schnell weitere Schritte einleiten müssen.
Beste Vorbeugung: gar keinen Virus einfangen
Natürlich wollen wir alle uns einen Virus erst gar nicht einfangen. Dazu müssen wir vielleicht etwas umdenken. Früher war der Ratschlag immer: keine Dateien und Links aus E‑Mails unbekannter Quellen öffnen. Das gilt natürlich grundsätzlich weiter. Inzwischen kommt die Schadsoftware aber oft mit E‑Mails aus vermeintlich bekannten Quellen.
Bleiben Sie bei jeder empfangenen E‑Mail misstrauisch! Besonders, wenn Dateianhänge oder Internetlinks enthalten sind. Entscheiden Sie in jedem Einzelfall, ob Sie den Dateianhang oder Internetlink wirklich aus dienstlichen Gründen anklicken müssen. Falls ja, rufen Sie den Dateianhang oder Internetlink erst auf, wenn Ihr Misstrauen ausgeräumt ist, z. B. weil Sie die E‑Mail so auch erwartet haben. Notfalls fragen Sie beim Versender nach, ob er Ihnen diese E‑Mail auch wirklich so geschickt hat.
Hätte die Mitarbeiterin des Softwarehauses im Fall oben vor — und nicht erst nach — dem Öffnen des Dateianhangs bei der IT-Abteilung nach der „komischen“ E‑Mail gefragt, wäre gar nichts passiert!
Ein Kommentar zu Noch einmal: Locky und Konsorten
Schreiben Sie einen Kommentar

Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.

Misstrauen ist gut, aber in der Praxis kaum umsetzbar…
Der Rat, Mails mit Anhängen gegenüber misstrauisch zu sein, ist gut, aber leider zeigt die Praxis, dass man damit nicht immer weit kommt. Sind aktuelle Attacken doch bewußt so gestaltet, dass der Anwender dem Nutzer “bekannt vorkommt”. Aus unserer Sicht hilft nur ein integrierter Ansatz zu Mail Security: Automatisierte Reputationsbewertung der Absender, Mailkommunikation per Default verschlüsseln und Nutzung von Large File Transfer für große oder problematische Anhänge. Mehr zu diesem Ansatz im Fachartikel: http://www.security-insider.de/trojaner-trotz-antivirus-a-528420/