Ja, gibt es. Nennt sich "gesunder Menschenverstand" kombiniert mit einem Schuss "Misstrauen" und ein wenig "Organisation".

Die (öffentlich erreichbare) Dokumentation des Infektion beim Heise Verlag zeigt wie schnell die Social Engeneering Angriffe zu Erfolg führen können. Wegen einer bestimmten Software mussten einzelne Rechte mit lokalen Adminrechten ausgestattet werden - und ausgerechnet einen solchen Rechner hat es getroffen.

Verhindern wird schwer, vermutlich nur durch Aufsetzen eines neuen AD mit einem strikten Rechtekonzept, Verbot der Ausführung von Programmen in bestimmten Verzeichnissen etc. Ob das hilft kann ich so nicht sagen, evtl. wurden schon Lücken gefunden, die diese Maßnahmen umgehen können.

klar, gegen Leichtsinn und Naivität ist kein Kraut gewachsen, aber ich denke hier z.B. an einen Tool, das beim Öffnen von E-Mail-Anlagen nochmal informiert, dass Befehle ausgeführt werden sollen und das nochmal ausdrücklich nachfragt. Wenn man die gängigen malwareverseuchten E-Mail-Anlagen blockieren kann, ist schon viel gewonnen.

Ich hatte schon testweise per Registry-Schlüsseln den Empfang von MS-Office-Dateien verhindert. Das führt aber zu einem umständlichen Handling in Outlook, falls man tatsächlich MS Office-Dateien austauschen will/muss.

Ein klein wenig Lektüre zu dem Thema:

https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html 

Falls Weihnachten zu stressig ist...🤣

... die Windows10-Funktion „Überwachter Ordnerzugriff“ bzw. deren geeignete Konfiguration erscheint mir sehr interessant. Vielleicht kann man so mit Bordmitteln einen großen Teil der Risiken abdecken.

Jede externe Sicherheitssoftware will nämlich die beste sein und oft behindern sich zusätzliche Produkte gegenseitig oder bremsen die Performance des System zu stark aus.

Wie @einmalnoch schon schick ausführte, suchen Sie ein Tool, dass das Denken und Co. dem Mitarbeiter abnimmt und er in der Sicherheit des Tools genau doch lieber zu viel klickt, weil die Software es schon richten wird. 

Und wenn, braucht man ein Konzept und mehr Sicherheit geht immer auf Kosten von Bequemlichkeit und "mal eben". Bei einem Mandanten mit Sophos im Einsatz musste der Admin erst den Citrix Receiver zur Installation für DATEVasp freischalten. Was in 3 Klicks fertig ist, artete dann in 10min aus. An sich nicht viel. Kommt das oft vor, verwaltet man sich ggf. zu Tode. 

Es gibt kein extra Programm/Tool/was auch immer, dass die Viren kennt und vorher weiß, was die Viren vorhaben, damit das Tool warnen kann. Es kann immer nur reagiert aber nicht agiert werden. Man sollte sich auf eine Lösung einschießen. Sophos ist in größeren Umgebungen schick aber auch ein sehr, sehr mächtiges Programm. Das einmal richtig konfiguriert + Mitarbeitersensibilisierung - mehr kann man nicht machen, weil die Viren sich immer was Neues ausdenken, damit man genau diesen 1 Klick macht. 

Was schon mal ein Anfang ist: per GPO immer den Dateitypen einblenden lassen und Mitarbeitern mitteilen, welche Endung was macht und wobei man misstrauisch werden soll. Dann kann man die ganzen .pdf.exe schon mal übergehen und ggf. kann man auch .docm und .xlsm sperren, wenn man nicht die Lohnvorerfassungstabelle der DATEV nutzt und man allen Mandaten das via UO online machen lässt. Aber da das auch schierig umzusetzen ist und am Ende doch jeder Mandant sein eigenes Süppchen bekommt ... 

Hallo @einmalnoch  und @metalposaunist ,

danke für die eher allgemeinen Tipps

Der o.g. Heise-Security-Artikel ist sehr informativ, danke @einmalnoch .

Die verschiedenen Entwicklungsgenerationen der heute grassierenden Computerviren (EMOTET etc.) habe ich selbst und bestimmt auch viele Andere genauso gesehen (zum Glück war ich nicht selbst Opfer, habe aber massenhaft entsprechende E-mails gesehen und eliminiert).

Das Eine oder Andere kann man aus den allgemeinen Empfehlungen dennoch anwenden.

Die einfachsten Maßnahmen müssen nicht die Schlechtesten sein.

(Jemandem, der ein gutes Auto sucht, das Wandern zu empfehlen, wäre auch nicht der Burner).

• Dateiendungen immer voll anzeigen lassen
• in Outlook die tatsächliche E-Mail-Adresse (anstatt nur den Anzeigenamen) anzeigen lassen
• die Makro-Sicherheit für die MS-Office-Dateien gut konfigurieren
• regelmäßige Scans des Systems mit einem guten Tool und in kurzen Intervallen (da das System evtl. bereits infiziert ist, aber die Malware "seine Arbeit" noch nicht begonnen hat.
• ggfs. Word-und Excel-eMail-Anlagen "verbieten" oder per Registry blockieren
• ..... (sicher gibt es noch mehr einfache Maßnahmen, die hilfreich sind, bitte keine Zurückhaltung mit Tipps, solange es nicht nur der Tipp "Kopf einschalten !" ist 😁)

@metalposaunist  Zitat:

... in der Sicherheit des Tools genau doch lieber zu viel klickt, weil die Software es schon richten wird.

ein guter Hinweis !

Manche Maßnahmen und Sicherheitsfunktionen sollte man am besten gegenüber den Mitarbeitern verschweigen, damit Sie nicht erst Recht leichtsinnig und unvorsichtig werden.

Eigentlich könnten wir einmal die Verantwortlichen vom IT-Club bitten, den Vortrag zum Social Engeneering noch einmal zu aktualisieren und in den nächsten Runden anzubieten. War damals sehr interessant und dürfte es wieder werden.

ja, ein Austausch unter potentiellen Opfern, die zwar nicht im gleichen Boot, aber immerhin in der gleichen Flotte (der Datev-Umgebung) 'rudern', wäre sehr hilfreich.

Gibt es evtl. noch ein Dokument oder eine pps oder einen Link von der letzten Veranstaltung ?

Und wenn wir schon beim Thema Sicherheit sind. Nutzt KeePass rege und schwierigere, komplexe Kennwörter. Auch wenn die Mitarbeiter selbst die FiBu sichern und zum anderen Berater übertragen müssen. 123456 ist kein Kennwort. Dann kann man es auch weglassen. 

Kennwörter sind heutzutage das Gold. Hat man die, kann man alles mögliche mit dem Account anstellen und man bekommt richtig Probleme. 

Angriffe häufen sich: Tausende Passwörter für Ring-Kameras im Netz verbreitet

Und möchte man doch KeePass über die Cloud laufen lassen, weil man die 1 Datenbank an 5 Geräten braucht: 

Beim Suchen auf diesen Link gestoßen

https://www.datev.de/web/de/top-themen/steuerberater/leitfaden-social-engineering/ 

Ein kleiner Einstieg in das Thema.

---

@vogtsburger  schrieb:

klar, gegen Leichtsinn und Naivität ist kein Kraut gewachsen, aber ich denke hier z.B. an einen Tool, das beim Öffnen von E-Mail-Anlagen nochmal informiert, dass Befehle ausgeführt werden sollen und das nochmal ausdrücklich nachfragt. Wenn man die gängigen malwareverseuchten E-Mail-Anlagen blockieren kann, ist schon viel gewonnen.

---

Kleine Anekdote zum neuen Jahr:

Mitarbeiterin des Mandanten erhält "Initiativbewerbung" mit ZIP-Anhang.  Die Software weist darauf hin, dass Anhang verseucht ist.  Um die Bewerbungsdaten zu "retten" wird der Hinweis ausdrücklich ignoriert und der Anhang geöffnet um ihn auszudrucken.  Ergebnis der "Rettungsaktion" Praxisstillstand für 1 Woche.

Fazit:  Kein Softwareprogramm kann das fehlende Nachdenken eines Mitarbeiters ersetzen.  Es helfen nur Schulung, Schulung und nochmals Schulung und im Zweifel - mir ist bewusst, dass das Retro klingt - Beschränkung des E-Mail-Zugangs

Klingt vielleicht bescheiden, aber als Admin wünsche ich mir eine Möglichkeit, auch die Dokumentenablage per ViWas durchkämmen zu können, um zu verifizieren, ob hier irgendwo Mails mit infizierten Dokumenten abgelegt wurden. 

PS: Die Datei eicar.com wurde in der DATEV- Dokumentenablage noch nie persönlich angegriffen und im ViWas- Aktualisierungs- Zeitfenster läßt sich diese Datei sogar ausführen.

Durch die überhäufigen ViWas- Fenster achtet kein Mitarbeiter mehr auf den Status des Virenschutzes.
(Gerade jetzt nach den Feiertagen hageln die fett roten Meldungen: "Seit xx- Tagen"... wo doch der PC urlaubsbedingt einfach nur ausgeschaltet war...)

LastPass... wurde im IT-Club ebenfalls genannt. 

Auch hier gibt es lange Passwörter und copy von PW und Username.

Hat mir bei den diversen DATEV-Anmeldungen schon viel Erleichterung gebracht.

Das Video ist interessant. Danke dafür.

Hallo @martinkolberg ,

die Datei Datei eicar.com ist das Mindeste, was eine Antivirensoftware erkennen muss. EICAR.COM wurde ja genau zu diesem Zweck mit einer Test-Viren-Signatur versehen.

Aber selbst die Erkennung von eicar.com beruhigt mich noch lange nicht.

Heutige Schadsoftware verwendet viel raffinierte und perfidere Tricks, um zum Ziel zu kommen.

Ein einziger harmlos aussehender Link in einer unverdächtigen eMail kann die Hintertüren für die eigentlich gefährlichen 'Kandidaten' öffnen.

Ich würde gern ein oder mehrere zusätzliche spezialisierte Tools aktivieren, die sich nicht mit der standardmäßig eingesetzten Sicherheitssoftware 'beißen', die also z.B. nicht den "Windows Defender" deaktivieren sondern ergänzen.

Das eine Tool wäre z.B. auf Ransomware spezialisiert, ein anderes z.B. auf Angriffe über offene Ports oder auf Botnetze etc. 

Mir geht es nicht um die "perfekte" Virenkennung.
Was mich ärgert:

Täglich drängt sich ViWas in den Vordergrund und bremst den Mitarbeiter mindestens 1 * wöchentlich durch einen HD- Scan aus, und niemand - auch nicht der Admin - hat ein Werkzeug, um die DATEV- Dokumentenablage zu scannen, wo alle Emails und Dokumente endgelagert sind. 

Wo liegt der Sinn darin, regelmäßig alle Programmverzeichnisse zu scannen, wenn die eigentliche Ablage für potentiell gefährliche Benutzer- Daten nicht gescannt werden kann?

---

@martinkolberg  schrieb:

...

Wo liegt der Sinn darin, regelmäßig alle Programmverzeichnisse zu scannen, wenn die eigentliche Ablage für potentiell gefährliche Benutzer- Daten nicht gescannt werden kann?

---

... eine berechtigte Frage !

Ich vermute, dass hier die standardmäßig eingerichteten und/oder selbstdefinierten "Ausnahmen" den Viren-Scan dieser Daten verhindern.

Das Arbeiten mit der Datev-Umgebung würde sicher stark ausgebremst, wenn der Echtzeitschutz der AntiViren-Software jedes 'angefasste' Dokument erst nach Malware scannen würde.

Aber bei einem kompletten Virenscan sollten aus meiner Sicht die "Ausnahmen" deaktivierbar sein. 

---

@martinkolberg  schrieb:

Mir geht es nicht um die "perfekte" Virenkennung.
Was mich ärgert:

Täglich drängt sich ViWas in den Vordergrund und bremst den Mitarbeiter mindestens 1 * wöchentlich durch einen HD- Scan aus, und niemand - auch nicht der Admin - hat ein Werkzeug, um die DATEV- Dokumentenablage zu scannen, wo alle Emails und Dokumente endgelagert sind. 

Wo liegt der Sinn darin, regelmäßig alle Programmverzeichnisse zu scannen, wenn die eigentliche Ablage für potentiell gefährliche Benutzer- Daten nicht gescannt werden kann?

---

Hi,

diese Frage müssten die Antivirenhersteller und Microsoft beantworten. DATEV hat hier keinen Einfluss. (Nutzerdaten liegen in einer SQL-Datenbank). Bei Exchange verhält es ich genauso. Die Antivirenhersteller können lediglich den SMTP-Transport überwachen und eingreifen. Alle Objekte innerhalb der Datenbank sind nicht erreichbar. 

Aber: Wenn jetzt ein Benutzer ein infiziertes Objekt (Word-Datei aus einer Mail in der Dokumentenablage) öffnet, kann der VirenScanner auf die temporären Dateien zugreifen. Das tut er auch bei einer Standardinstallation. Technisch wird das Objekt aus der Datenbank in den Temp-Datenpfad des Benutzers kopierert, da Word o.ä. nicht direkt in einer Datenbank öffnen kann. Die Dateien müssen im Dateisystem existieren.

Insofern besteht m.E. bei den Objekten in der Dokumentenablage oder DMS kein Problem. 

Die Grundproblematiken sind m.E.:

- Virenscanner hat noch keine passenden Signaturen (das Konzept ist schon immer fragwürdig gewesen).

- User klickt alles an, was nicht bei drei auf dem Baum ist.

Besser geht es nur, wenn konfigurierter Anwendungssignierung gearbeitet wird. Das hatte DATEV auf einem Admin-Workshop mal vorgestellt. Die Konfiguration und Pflege im AD ist allerdings eher was für Vollwaisen. Bei jedem Update (Windows, DATEV u.s.w.) müssen die geänderten Signaturen eingepflegt werden. Dafür werden aber immer nur die bekannten und signierten Programme ausgeführt. Aber ein Riesenaufwand... 

Für die Zukunft bleibt wohl nur:

- aktueller Virenscanner (welcher auch immer).

- aktueller Patchstand der Betriebssysteme

- laufende Backup's (ggf. sogar stündlich)

- Usersensibilisierung (laufende Schulung)

Grüße

Chr.Ockenfels

auf der folgenden Adresse stehen ein paar Infos zu diesem Thema.

(allerdings in einem von der KI vergewaltigten Deutsch. Der Originaltext ist verständlicher)

https://support.microsoft.com/de-lu/help/309422/choosing-antivirus-software-for-computers-that-run-sql-server

bzw. in Englich:

https://support.microsoft.com/en-us/help/309422/choosing-antivirus-software-for-computers-that-run-sql-server

Ausnahmen für *.mdf und *.ldf sind schon ein Thema seit es Antivirensoftware und SQL-Server gibt.

---

diese Frage müssten die Antivirenhersteller und Microsoft beantworten. DATEV hat hier keinen Einfluss. (Nutzerdaten liegen in einer SQL-Datenbank).

---

- DATEV hat die Daten in die SQL- Datenbank abgelegt
- DATEV hat uns einen Virenscanner geliefert.

Aus welchem Grunde gibt es kein von DATEV programmiertes Script, welches in der Lage wäre die innerhalb der SQL- Datenbank liegenden Nutzerdaten zu testen? Dieses Scipt müßte lediglich die Daten temporär auschecken, prüfen und das Ergebnis in einem Protokoll festhalten. Das Script könnte am Kommserver jeweils Sonntags laufen, vielleicht mit der optionalen KI, nur die Dokumente zu prüfen, die seit der letzten Prüfung neu eingecheckt wurden.

---

@martinkolberg  schrieb:

---

diese Frage müssten die Antivirenhersteller und Microsoft beantworten. DATEV hat hier keinen Einfluss. (Nutzerdaten liegen in einer SQL-Datenbank).

---

- DATEV hat die Daten in die SQL- Datenbank abgelegt
- DATEV hat uns einen Virenscanner geliefert.

 

Aus welchem Grunde gibt es kein von DATEV programmiertes Script, welches in der Lage wäre die innerhalb der SQL- Datenbank liegenden Nutzerdaten zu testen? Dieses Scipt müßte lediglich die Daten temporär auschecken, prüfen und das Ergebnis in einem Protokoll festhalten. Das Script könnte am Kommserver jeweils Sonntags laufen, vielleicht mit der optionalen KI, nur die Dokumente zu prüfen, die seit der letzten Prüfung neu eingecheckt wurden.

---

Hi, 

ich verstehe hier das DATEV-Bashing nicht. Der VirenScanner (in diesem Fall McAfee) prüft bei Ablage des Objektes in der Dokumentenablage mit den bekannten Signaturen. Wenn ein Objekt wieder geöffnet wird, werden die dann aktuellen Signaturen genutzt. Wenn also nachträglich ein Infekt bemerkt wird, ist doch alles in Butter. 

Jetzt soll ein Script laufen was nach Viren sucht, wenn neue Signaturen vorliegen? Wer soll denn die Laufzeiten verkraften. Bei entsprechenden Dokumentenansammlungen ist das technisch schlicht nicht möglich. Was soll das Script zudem prüfen? Alle Dokumente, nur Dokumente des letzten Monats, der letzten Woche, u.s.w.? Nur die neuen Dokumente seit der letzten Prüfung? Und was ist mit alten versionierten Dokumenten im DMS oder DokOrg?

Und DATEV legt z.B. keine Objekte in der Exchange-Datenbank ab. Das macht ausschließlich der Exchange. Hier kann DATEV lediglich den SMTP-Transport überwachen. Das macht sie auch bei DATEVnet-Nutzung (laufend und Mailradar). Auch hier ist eine weitere Forderung technisch abwegig.

Hier mal wieder alles auf die DATEV zu schieben , greift zu kurz und geht einfach nicht. In grauer Vorzeit gab es mal eine Möglichkeit für VirenScanner auch eine Exchange-Datenbank inhaltlich zu scannen. Diese Möglichkeit hat Microsoft wohlweislich entfernt um Inkonsistenzen in den Datenbanken zu verhindern.

Grüße

Chr.Ockenfels

---

@chrisocki  schrieb:

---

...

ich verstehe hier das DATEV-Bashing nicht.

...

Ich sehe das nicht als Datev-Bashing, sondern als einen ganz naheliegenden Wunsch, seine Daten-Basis checken zu können.

Datev müsste ja keinen eigenen Virenscan entwicklen. Es könnte ein separates Tool ohne Automatismus sein. Diesen Check könnte man ja auch als "Prüflauf für die Dokumentenablage" oder ähnlich bezeichnen. Es wäre dann eben z.B. eine Prüflauf auf Existenz, Integrität und Lesbarkeit der in der Dokumentenablage (in den SQL-Datenbanken) gespeicherten Daten.

Quasi als "Abfallprodukt" (oder 'Kollateral-Nutzen') würde die jeweils eingesetzte Antiviren-Software (seines Vertrauens) 'im Vorbeigehen' die temporär geöffneten Daten auf Malware checken und die Funde ggfs. protokollieren.

Es ist immer gut, die Leichen im Keller oder die Bomben-Blindgänger im Vorgarten zu kennen.

Alles was man manuell in endlosen Klick-Orgien erledigen könnte, sollte auch per Script um 10er-Potenzen schneller ablaufen können. 

Also, ich empfinde diesen Wunsch jedenfalls nicht als unbescheiden.

Es wäre von DATEV nett, ein solches 'Prüftool' bereitzustellen.