Moin Moin

Ich habe nicht alles gelesen, deshalb entschuldigt, wenn ich bereits geklärtes wiederhole.

Zunächst einmal sollte Outlook (oder das Alternativ.-Programm) und andere Office-Programme bei Dateien aus dem Internet per Standard Makros abschalten. Davon gehen die Absender auch aus und versuchen den betreffenden Mitarbeiter dazu zu verleiten, die Sperre auszuheben. Der Text in der Email kann durchaus vertrauenserweckend sein - das beschreibt aus Heise. Per Schulung habe ich versucht, die Mitarbeiter an der Stelle bereits argwöhnisch zu werden. Dann wird die Mail zu mir weitergeleitet, und erst meine Expertise entscheidet. Geht nicht in jeder Kanzlei, deswegen halte ich dieses Vorgehen auch für gut:

1. Grundsätzlich darf niemand der Freigabe zustimmen.

2. Per eigener Eingabe der Email-Adresse (also kein wird der vermeintliche Absender zu der Authentizität befragt.

Optional: WIrd der Absender gebeten, keine doc- oder xls-Dateien mehr zu versenden.

Wenn es nicht stimmt sagt es mir bitte: DOCX- und XLSX- Dateien enthalten keine Makros und sind damit sicher.

Übrigens: PDF-Dateien können auch Javascript enthalten und damit Schadcode ausführen. Deshalb ist bei uns  Javascript grundsätzlich ausgeschaltet bei PDF-Programmen. Einschalten kann es immer noch. Wenn es bei PDF-Dateien die Anfrage nach Javascript gibt, dann werde ich kontaktiert. Ist bisher nicht vorgekommen, wird aber immer wieder allen "eingebleut"

ICh habe auch die Erfahrung gemacht, dass die Filterung durch Datevnet sehr hilfreich ist!

Soll keine Werbung sein, das ist genauso mit anderen Mitteln durchführbar. Nur halt: Meine Erfahrungen mit der Prüfung in Datevnet ist positiv.

QJ

1. sind Rechtschreibfehler drin.

Das liest man überall als Prüfkriterium. Nur – wenn ich alle Nachrichten mit Rechtschreibfehlern löschen würde – dann hätte ich auf einmal sehr viel Freizeit. Selbst E-Mails von großen Unternehmen enthalten immer mal wieder Rechtschreibfehler, wenn es sich nicht um automatisch generierte E-Mails handelt. Warum auch immer das so ist, man kann den Eindruck gewinnen, die Hälfte der Leute sind der deutschen Rechtschreibung nicht (mehr) mächtig. Daher hat sich dieses Kriterium in meiner Praxis als technischer Laie nicht bewährt.

Backup, Backup, Backup. Gern mehrmals täglich und getrennt vom Produktivsystem.

Wäre es denn technisch unmöglich, ein Schadprogramm zu verwenden, dass sich auf dem Produktivsystem einnistet, eine Weile schläft, um auch mit auf die Datensicherungen zu gelangen, und erst nach Ablauf von Zeit x seine Arbeit beginnt, bspw. die Daten inkl. Datensicherungen zu verschlüsseln? Wie schon gesagt, bin zwar Laie, stelle mir das aber nicht als unmöglich vor. Gut, ein Hindernis ist sicher, damit das Schadprogramm aktiv werden kann, muss die Platte erstmal an einem laufenden (Windows-)System hängen. Mit mehreren Datensicherungen kann man dann wohl vorbeugen.

Backup, Backup, Backup. Gern mehrmals täglich und getrennt vom Produktivsystem.

Wäre es denn technisch unmöglich, ein Schadprogramm zu verwenden, dass sich auf dem Produktivsystem einnistet, eine Weile schläft, um auch mit auf die Datensicherungen zu gelangen, und erst nach Ablauf von Zeit x seine Arbeit beginnt, bspw. die Daten inkl. Datensicherungen zu verschlüsseln? Wie schon gesagt, bin zwar Laie, stelle mir das aber nicht als unmöglich vor. Gut, ein Hindernis ist sicher, damit das Schadprogramm aktiv werden kann, muss die Platte erstmal an einem laufenden (Windows-)System hängen. Mit mehreren Datensicherungen kann man dann wohl vorbeugen.

Technisch wäre es möglich, 2 Gründe machen dies aber (fast) unmöglich. Das Schadprogramm liegt im Dateisystem vollständig vor, spätestens beim nächsten Scan durch die Antivirensoftware sollte die Schadroutine gefunden werden.

Auch ein Schadprogramm muss irgendwie gestartet werden, auf eine Datei klicken und hoffen, dass nichts passiert sollte heute ja eigentlich nicht geschehen, daher ja die Empfehlung unter Windows nicht als local Admin zu arbeiten bzw. die UAC nicht abzuschalten. Weitere Möglichkeiten wären natürlich die Aufgabenplanung, aber auch hier werden Zugangsdaten benötigt.

dass eine Malware evtl. so programmiert ist, dass sie nicht sofort sondern erst zu einem Stichtag aktiviert wird, ist schon länger 'Stand der Technik'. Wenn dann zufällig oder absichtlich ein angeschlossener Datenträger ebenfalls verschlüsselt wird, steigt die Wahrscheinlichkeit des totalen Datenverlustes.

Eine perfide Malware könnte theoretisch unbemerkt über einen längeren Zeitraum im 'Quiet-Modus' zusätzlich zum laufenden System auch alle Sicherungsgenerationen unbrauchbar machen.

Die Gefahr, die von Ransomware & Co. ausgeht, wird meiner Meinung nach immer noch stark unterschätzt.

Eine perfide Malware könnte theoretisch unbemerkt über einen längeren Zeitraum im 'Quiet-Modus' zusätzlich zum laufenden System auch alle Sicherungsgenerationen unbrauchbar machen.

Die Gefahr, die von Ransomware & Co. ausgeht, wird meiner Meinung nach immer noch stark unterschätzt.

Hallo Herr Vogtsburger,

ich würde Ihre Nachricht zu 100% umdrehen.

die Gefahr die von Ransomware ausgeht wird überschätzt da ein brauchbares Backup diese sehr einschränkt.

eine Malware kann realistisch gesehen NICHT im Hintergrund die Sicherung unbrauchbar machen und sich dann erst zeigen wenn genug Sicherungsgenerationen auch schon verschlüsselt sind.

Denn erforderlich dazu wäre: die Malware installiert einen Filtertreiber der alle I/O Operationen abfängt. Alle Dateien die geschrieben werden werden transparent verschlüsselt. Alle Dateien die gelesen werden werden (falls verschlüsselt) transparent wieder entschlüsselt. Zudem werden alle Dateien die noch unverschlüsselt sind nach und nach verschlüsselt.

nach x Tagen stellt die transparente Entschlüsselungsroutine den Dienst ein und entschlüsselt erst nach Freischaltung wieder.

Problem ist: das ist aufwändig und komplex. Sämtliche im Umlauf befindliche Ransomware ist von unfähigen Stümpern zusammengemurkst, einen funktionierenden Filtertreiber der das schön unauffällig im Hintergrund abwickelt, bitte auch noch unter verschiedenen Windows-Versionen, bei der Installation die erzwungene Signaturüberprüfung von Treibern bitte noch beachten, das traue ich denen erstens nicht zu und zweitens macht sich niemand die Mühe das zu implementieren wenn man die Ransomware-Software genauso gut an einem Nachmittag zusammenklopfen kann und trotz jedem Verzicht auf solche Gimmicks immer noch ein paar Leute findet die keine Backups machen und daher lieber zahlen.

nächstes Problem: damit der Filtertreiber transparent im Hintergrund die verschlüsselten Daten wieder entschlüsseln kann muss das Geheimnis zur Entschlüsselung auf der befallenen Maschine liegen. Damit ist es im Backup und nach Wiederherstellung des Backups kann es von dort ausgelesen werden und vom einem Decrypt-Tool zur Wiederherstellung der Daten verwendet werden.

drittes Problem: wenn mein Terminalserver1 befallen ist und dort der transparente Ver-/Entschlüsselungs-Filtertreiber installiert ist und dann fleissig alle Datei die auf dem Fileserver abgelegt werden verschlüsselt, dann wird das den Benutzern von Terminalserver 2 bis 9 sehr schnell auffallen denn auf deren Server ist der Virus nicht aktiv und folglich lesen die vom Fileserver die verschlüsselten Daten ohne dass die transparent entschlüsselt werden.

Dass erst auf ALLEN Terminalservern + Kommserver + sonstige Systeme (oder direkt schon auf dem Fileserver) der Virus aktiv wird, abwartet bis wirklich ALLE Systeme in der korrekten Reihenfolge infiziert werden, die Schlüssel synchronisiert und erst dann mit der Verschlüsselung anfängt: daran glaube ich nicht, den Aufwand das zu entwickeln tut sich niemand an.

Viele Grüße, Ulrich Wurst

Hallo Herr Wurst,

ich wäre froh, wenn meine Befürchtungen bezüglich der Gefährlichkeit von Ransomware technisch unrealistisch bzw. unwahrscheinlich (in der Realisierung zu aufwändig) wären.

Derzeitige 'normale' Ransomware-Angriffe sind vielleicht tatsächlich relativ 'harmlos', jedenfalls, wenn das Angriffs-Opfer funktionierende Backups erstellt hat.  Aber dieses Erpressungs-Szenarium verspricht soviel möglichen 'Gewinn', dass man sich nicht auf die Komplexität, den technischen Aufwand und die Unwahrscheinlichkeit verlassen sollte.

Geld ist wahrscheinlich eine der besten Triebfedern, um kriminelle Energie und kriminelle Kreativität zu fördern.

Einer meiner Mandanten hatte schon Ransomware-Erlebnisse (siehe Screenshot)

Bei ihm verlief der Angriff 'zufällig' relativ harmlos, da 'nur' ein Client-PC betroffen war und im Wesentlichen nur die Urlaubs-Selfies verschlüsselt wurden.

Der Mandant konnte noch rechtzeitig das Netzwerkkabel ziehen, bevor die Malware auf die Netzlaufwerke 'überspringen' konnte.

In diesem Fall mehr Glück als Verstand !

Aber wenn man sich die professionelleren Angriffe anschaut (siehe Heise-Security), kann man nicht mehr von unfähigen Stümpern ausgehen. Hier steckt viel KnowHow, Energie und Zeit dahinter.

Wer auch immer dahinter steckt, als Geschäftsidee und zur Geldwäsche ist Ransomware recht gut geeignet.

Ich selbst sehe hier jedenfalls nach wie vor eine große Gefahr.

Man muss ja immer auch mit der Naivität und Gutgläubigkeit von sich und Anderen rechnen.

Viele Grüße

Michael Vogtsburger

Nachtrag:

Übrigens,  um (Daten-)Dateien, Programm(-Dateien) oder auch Backup-Images unbrauchbar zu machen, reicht im einfachsten Fall das Patchen weniger Bytes an den richtigen Stellen. Eine komplette Verschlüsselung ist eigentlich gar nicht erforderlich. Ohne spezielle Hilfmittel bzw. 'Reparatur' könnten solche manipulierten Dateien nicht verwendet weden

Da sitzen Sie leider einem Irrglauben auf. Der TS verschlüsselt nicht die eigenen Daten sondern die auf allen erreichbaren Netzlaufwerken, da ist es egal ob der TS 2 noch nicht befallen ist, das Verzeichnis WINDVSW1 ist von allen TS erreichbar und alle Nutzer der DATEV Umgebung haben Zugriffsrechte.

Was ein klein wenig schützt ist die Tatsache, dass ein TS Nutzer keine local Admin Rechte hat und daher nicht so einfach die Powershell starten kann.

Wenn die Gefahr so gering ist wie Sie es sagen wäre der Heise Verlag (Achtung: nicht Heise Medien, auch bekannt als Nerdistan) nicht Opfer des Angriffs geworden.

Die Spearfishing Mails werden immer besser! Wer sich, wie Emotet, auch Zugangsdaten für einen Netzwerkadmin beschaffen kann, ist hochgefährlich und mit Respekt im Vorfeld zu behandeln damit möglichst nichts auf den Rechner kommt.

Da sitzen Sie leider einem Irrglauben auf. Der TS verschlüsselt nicht die eigenen Daten sondern die auf allen erreichbaren Netzlaufwerken, da ist es egal ob der TS 2 noch nicht befallen ist, das Verzeichnis WINDVSW1 ist von allen TS erreichbar und alle Nutzer der DATEV Umgebung haben Zugriffsrechte.

hallo einmalnoch, da haben Sie wohl meinen Beitrag nicht gelesen. Es ging um das Thema dass ein Virus auf TS1 die Daten angeblich transparent verschlüsseln könne so dass kein Benutzer (auch auf anderen TS) merkt dass die Daten verschlüsselt sind und folglich die Datensicherung angeblich tagelang unbrauchbare Sicherungen erstellt (da die Dateien verschlüsselt sind).

und das ist nun wie geschildert ein Kapitel für die große Sammlung der IT-Mythen.

Hallo Herr Wurst,

ich hatte in meinem Post nichts von Terminalservern, von 'transparenter Verschlüsselung' oder Ähnlichem geschrieben, sondern nur von der theoretischen Möglichkeit, dass eine Malware vielleicht unbemerkt auch Backups manipulieren oder gar verschlüsseln könnte, sodass sogar ein totaler Datenverlust droht.

Falls das technisch unmöglich oder wegen der Komplexität und dem Programmieraufwand höchst unwahrscheinlich ist, soll es mir sehr recht sein.

Sie haben natürlich Recht, dass kein Malware-Entwickler mehr Aufwand treibt als nötig, aber je besser die gängige Sicherheitssoftware wird, desto raffinierter werden auch die Schadprogramme und die Angriffsmethoden.

Man kann nur hoffen, dass die IT-Fachleute, die man mit dem Schutz der eigenen IT-Infrastruktur beauftragt, nicht allzu leichtsinnig und größenwahnsinnig werden. 

Ein Malware-Entwickler hat sicher ganz andere Ziele und Ideen als ein normaler Administrator, der vorrangig den ungestörten und Betrieb der IT sicherstellen will.

Hier als Administrator kein Worst-Case-Szenario in Betracht zu ziehen, ist meiner Meinung nach sträflicher Leichtsinn.

Genauso gut könnte jemand behaupten, dass ein Einbruch in das eigene Wohnhaus nicht möglich ist, weil man ja eine neue Alarmanlage mit Bewegungsmeldern und Kameras installiert hat.

Wenn tatsächlich der GAU eintritt, nützen weder Schuldzuweisungen noch schlaue Sprüche etwas. Den Schaden hat man letztlich selbst zu tragen.

So what !

Viele Grüße

Michael Vogtsburger