DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Noch einmal: Locky und Kon­sorten

Auch mir bekannte Unter­nehmen hat es getroffen. Manche mehr, manche weniger. Was haben die weniger betrof­fenen Unter­nehmen richtig gemacht?

Wie zu erwarten war, flaut die Bericht­erstattung über die Welle der Ver­schlüs­se­lungs­viren, die in Deutschland seit Anfang Februar gewütet haben, in der Presse ab. Die Gefahren bleiben jedoch. Immer noch kommt es zu Aus­brüchen der bekannten Viren oder neuer, aktu­eller Muta­tionen, z. B. Tes­laCrypt 4.0 Ganz wie bei der Bekämpfung bio­lo­gi­scher Seuchen.

Jüngst betroffene Unter­nehmen

Nach den Berichten in der Presse über betroffene Unter­nehmen wie z. B. einer Stadt­ver­waltung  und diverser Kran­ken­häuser  hat es mich doch über­rascht, auch in meinem per­sön­lichen Umfeld von sehr vielen betrof­fenen Unter­nehmen zu erfahren.

Da ist z. B. ein Autohaus, welches zäh­ne­knir­schend seine Werk­statt­kunden noch einmal zur Nach­be­gut­achtung ein­be­stellen muss. Die stan­dard­mäßig bei Unfall­schäden zur Abrechnung mit der Ver­si­cherung gemachten Fotos waren nämlich ver­loren. Ein Ver­schlüs­se­lungs­virus hatte alle Daten­be­stände unwie­der­bringlich unbrauchbar gemacht. Eine nicht befallene Daten­si­cherung, die nach Besei­tigung des Virus wieder ein­ge­spielt werden kann, lag nicht vor. Die Ver­si­cherung ver­weigert die Abwicklung des Schadens und besteht auf einer Nach­be­gut­achtung durch einen Sach­ver­stän­digen. Natürlich auf Kosten des Auto­hauses. Davon, dass die Kunden nicht begeistert reagieren, wenn sie kurz­fristig noch einmal vor­bei­kommen müssen, mal ganz abge­sehen.

Oder das Soft­ware­un­ter­nehmen, in dem eine Mit­ar­bei­terin eine E-Mail von einem ver­meintlich bekannten Absender bekommt und den Datei­anhang öffnet. In diesem Fall besonders perfide: die E-Mail kam angeblich von der Adresse „admin@<unternehmen>.de und sah für die Mit­ar­bei­terin tat­sächlich so aus, als wäre sie von der haus­ei­genen IT-Abteilung ver­sendet worden. Natürlich war die Versand-Mail-Adresse gefälscht …

In diesem Fall hat die Mit­ar­bei­terin dann aber absolut richtig gehandelt: sofort nach dem Klick auf den Datei­anhang (eine Zip-Datei) hat sie in der IT-Abteilung ange­rufen und nach­ge­fragt, was die IT-Abteilung denn für komische E-Mails ver­schickt. Dem Mit­ar­beiter der IT-Abteilung war sofort bewusst, dass etwas nicht stimmen kann. Er sprintete zum PC der Mit­ar­bei­terin und zog das Netz­werk­kabel. Par­allel wurden alle Mit­ar­beiter ange­wiesen, alle IT-Systeme sofort abzu­schalten und die Admi­nis­tra­toren fuhren die Ser­ver­systeme her­unter. Lohn der Mühe: der Virus hatte sich inzwi­schen „nur“ auf einigen Arbeits­­platz-Sys­­­temen ver­breitet, aber noch keine Ser­ver­systeme erreicht. Die betrof­fenen Arbeits­platz­systeme konnten aus­findig gemacht, zurück­ge­setzt und neu instal­liert werden. Daten­verlust kam nicht vor.

Kon­se­quenz

Die schnelle und richtige Reaktion der IT-Abteilung des Soft­ware­un­ter­nehmens hat den Schaden auf ein Minimum redu­ziert. Im Ver­gleich dazu kämpft das Autohaus wahr­scheinlich noch wochenlang mit den Folgen.
 

Ohne Mit­ar­beiter geht es nicht!

Schnelle und richtige Reak­tionen können nur die Mit­ar­beiter selbst ein­leiten. Sen­si­bi­li­sieren und infor­mieren Sie Ihre Mit­ar­beiter, wie sie im Falle eines – ich nenne es mal so – komi­schen oder uner­war­teten Ver­haltens ihres IT-Systems reagieren müssen. Dies gilt besonders, wenn das System nach einem Klick auf einen Datei­anhang oder Inter­netlink in einer E-Mail z.B. 

  • plötzlich ständig auf die Fest­platte zugreift (zu erkennen an der Leucht­diode für die Fest­platte) oder
  • spürbar lang­samer wird und schlecht reagiert.


Dann sollten die Mit­ar­beiter sofort fol­gendes tun: 

  1. System sofort her­un­ter­fahren (wenn noch möglich).
  2. Netz­werkstecker ziehen bzw. WLAN deak­ti­vieren, um die weitere Ver­breitung des Virus zu unter­binden.
  3. Sofort die IT-Abteilung, den EDV-Partner oder Admi­nis­trator infor­mieren, die dann schnell weitere Schritte ein­leiten müssen. 

Beste Vor­beugung: gar keinen Virus ein­fangen

Natürlich wollen wir alle uns einen Virus erst gar nicht ein­fangen. Dazu müssen wir viel­leicht etwas umdenken. Früher war der Rat­schlag immer: keine Dateien und Links aus E-Mails unbe­kannter Quellen öffnen. Das gilt natürlich grund­sätzlich weiter. Inzwi­schen kommt die Schad­software aber oft mit E-Mails aus ver­meintlich bekannten Quellen.

Bleiben Sie bei jeder emp­fan­genen E-Mail miss­trauisch! Besonders, wenn Datei­an­hänge oder Inter­net­links ent­halten sind. Ent­scheiden Sie in jedem Ein­zelfall, ob Sie den Datei­anhang oder Inter­netlink wirklich aus dienst­lichen Gründen anklicken müssen. Falls ja, rufen Sie den Datei­anhang oder Inter­netlink erst auf, wenn Ihr Miss­trauen aus­ge­räumt ist, z. B. weil Sie die E-Mail so auch erwartet haben. Not­falls fragen Sie beim Ver­sender nach, ob er Ihnen diese E-Mail auch wirklich so geschickt hat.
Hätte die Mit­ar­bei­terin des Soft­ware­hauses im Fall oben vor — und nicht erst nach — dem Öffnen des Datei­an­hangs bei der IT-Abteilung nach der „komi­schen“ E-Mail gefragt, wäre gar nichts pas­siert!

Ein Kommentar zu Noch einmal: Locky und Konsorten

  • Bernd Hoeck (ITSec-Report) sagt:

    Miss­trauen ist gut, aber in der Praxis kaum umsetzbar…
    Der Rat, Mails mit Anhängen gegenüber miss­trauisch zu sein, ist gut, aber leider zeigt die Praxis, dass man damit nicht immer weit kommt. Sind aktuelle Attacken doch bewußt so gestaltet, dass der Anwender dem Nutzer “bekannt vor­kommt”. Aus unserer Sicht hilft nur ein inte­grierter Ansatz zu Mail Security: Auto­ma­ti­sierte Repu­ta­ti­ons­be­wertung der Absender, Mail­kom­mu­ni­kation per Default ver­schlüsseln und Nutzung von Large File Transfer für große oder pro­ble­ma­tische Anhänge. Mehr zu diesem Ansatz im Fach­ar­tikel: http://www.security-insider.de/trojaner-trotz-antivirus-a-528420/

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.