Schadsoftware - Infektionen verhindern
Die sicherste Methode, ein infiziertes System zu reinigen, besteht darin, es zu löschen. Danach werden das System und die Programme neu installiert oder aus einem garantiert Schädlingsfreien Backup wiederhergestellt und die Benutzerdaten auf Infektionen geprüft. Das ist aufwändig und entsprechend unbeliebt, daher sollten Sie sorgsam darauf achten, dass es erst gar nicht zu einer Infektion kommt. Viele Schadsoftware kann man zwar auch problemlos aus dem infizierten System löschen, aber frei nach Murphy wird die, die Ihr Rechner sich einfängt, nicht dazu gehören.
Die alte Leier...
Das folgende haben Sie sicher schon tausend Mal gehört und gelesen, erfahrungsgemäß gibt es aber viel zu viele Nutzer, die sich nicht an diese einfachen Grundregeln halten:
- Halten Sie System und Anwendungen aktuell!
Neben 0-Day-Schwachstellen, für die es bekanntlich definitionsgemäß keinen Patch gibt, werden auch immer längst behobene Schwachstellen zum Einschleusen von Schadsoftware genutzt. Mit der Rückkehr des Exploit-Thursday wurde erneut bewiesen, dass man mit dem Installieren von Updates und Patches nicht mal einen Tag warten darf, will man auf Nummer Sicher gehen. Und ich erinnere nur an den RPC-Wurm Conficker, der eine kurz zuvor behobene Schwachstelle äußerst erfolgreich ausnutzte! Wären der entsprechende Patch überall installiert gewesen, hätte der Wurm keine Chance gehabt. - Arbeiten Sie mit angemessenen Benutzerrechten!
Arbeiten Sie nur dann mit Admin-Rechten, wenn dies unbedingt notwendig ist. Für alle normalen Aufgaben reichen die Rechte eines normalen Benutzers völlig aus. Das verhindert zwar keinen Angriff, reduziert aber seine Folgen: Sollte sich eine Schadsoftware erfolgreich einschleichen, kann sie zumindest nicht die Kontrolle über das System übernehmen, sondern hat nur Zugriff auf die Daten des betroffenen Benutzer-Kontos. - Erstellen Sie Backups!
In Ernstfall ist nichts so wichtig wie ein aktuelles Backup. Falls ein Schädling es schafft, Daten zu löschen, besteht im Backup meist die einzige Möglichkeit, die Daten zu retten. Und falls Sie auf Ransomware stoßen, ist ein Backup eine gute Rückversicherung. In den meisten Fällen lässt sich die Verschlüsselung zwar rückgängig machen, wenn das aber nicht möglich ist, haben Sie ohne Backup nur die Wahl, auf die Daten zu verzichten oder das Lösegeld zu zahlen und zu hoffen, dass die Cyberkriminellen so gnädig sind, die Daten im Gegenzug wirklich wiederherzustellen. - Seien Sie misstrauisch!
Scareware ist nur erfolgreich, weil viele Benutzer auf die gefälschten Virenwarnungen herein fallen. Nutzen Sie keine Online-Virenscanner, auf die Sie anscheinend zufällig im Internet stoßen. Und ein unaufgefordert durchgeführter Virenscan kann nur eins sein: Die Ausgabe von Scareware.
Wenn Sie dem Ergebnis ihres installierten Virenscanners in irgend einem Fall misstrauen, können Sie verdächtige Dateien z.B. von VirusTotal prüfen lassen, wo sie von einer Vielzahl zuverlässiger Virenscanner geprüft werden. Da die meisten Antiviren-Hersteller auch eigene Online-Scanner bereit stellen, können Sie auch einen gezielt auswählen. Eine Liste vertrauenswürdiger Antivirenhersteller finden Sie unter diesem Text. I.A. fährt man aber mit einem Angebot wie VirusTotal besser, da man dann gleich mehrere Einschätzungen auf einen Schlag erhält. Gerade bei neuer Schadsoftware sind die Ergebnisse sehr unterschiedlich, und evtl. verwenden Sie dann ausgerechnet einen Scanner, der genau den Schädling, den Ihre Datei enthält, nicht erkennt. - Achten Sie auf den Schutz Ihrer Daten
Prüfen Sie niemals Dateien mit vertraulichem Inhalt mit einem Online-Scanner, egal wie vertrauenswürdig der ist. Im Fall einer Infektion mit einem bisher unbekannten Schädling wird die Datei vom entsprechenden Scannerhersteller analysiert und ggf. auch mit anderen Antivirenherstellern ausgetauscht. VirusTotal leitet verdächtige Dateien generell an die beteiligten Antivirenhersteller weiter.
Schadsoftware fernhalten
Der beste Schutz vor Schadsoftware besteht darin, sie gar nicht erst in die Nähe des Rechners gelangen zu lassen. Das ist leichter gesagt als getan, den Schadsoftware kann auf jedem Weg auf den Rechner gelangen, auf den auch harmlose Daten ihn erreichen. Egal ob Netzwerk oder mobiler Massenspeicher, egal ob USB-Stick oder CD-ROM, Schadsoftware kann überall enthalten sein. Und für jeden Weg gibt es mindestens eine Möglichkeit zur Absicherung.
E-Mails filtern
Ein sehr beliebtes Einfallstor sind E-Mails. Sowohl Anhänge als auch Links können gefährlich sein! Wenn Sie einen guten Spam-Filter verwenden, erwischt der schon einen beachtlichen Anteil an E-Mails mit schädlichem Inhalt. Denn viele Schädlinge werden eben über Massenmails und damit Spam verbreitet. Den Rest sollte ein Virenscanner auf dem Mailserver ausfiltern. Wenn sie vermuten, Spam- oder Virenfilter hätten als "False Positive" eine harmlose Mail erwischt, seien Sie besonders vorsichtig. Eine Fehlerkennung kann natürlich passieren, aber genau so wahrscheinlich ist es, dass Sie auf einen Trick der Cyberkriminellen hereinfallen. Jemand bei RSA kann ein Lied davon singen!
Dateien prüfen
Prüfen Sie alle fremden neuen Dateien, bevor Sie sie öffnen. Egal ob Sie sie von einer noch so vertrauenswürdigen Website heruntergeladen oder von einem noch so guten Freund per E-Mail erhalten haben - fragen Sie ihren Virenscanner um dessen Meinung. I.A. wird das automatisch erfolgen, andernfalls müssen Sie den Scan manuell starten. Bei auch nur minimal verdächtigen Dateien sollten Sie bei einem negativen Ergebnis Ihres Scanners eine zweite, dritte und so weiter Meinung einholen und die Datei z.B. von VirusTotal prüfen lassen.
Das geht natürlich nur, wenn die Datei keine vertraulichen Daten enthält. Bei vertraulichen Daten stehen Sie vor einem Problem. Aber das lässt sich lösen, indem Sie beim Lieferanten der Datei nachfragen, was es damit auf sich hat. Berücksichtigen Sie auch, dass dessen Rechner ohne sein Wissen mit einem Schädling infiziert sein kann, der die für Sie bestimmte Datei infiziert hat.
Bei Programmdateien können Sie meist deren Signatur oder Prüfsumme prüfen. Verlassen Sie sich aber nur dann auf das Ergebnis der Prüfung, wenn Sie den verwendeten Schlüssel bzw. die Prüfsumme über einen sicheren Kanal erhalten haben. Stammen Programmdatei und Prüfsumme vom gleichen Server, können beide nach einer Kompromittierung des Servers manipuliert worden sein.
Netzwerkverkehr prüfen
Die sog. Unified Thread Management (UTM) Appliances am Internet-Gateway sind ein guter Ansatz, Schadsoftware aus einem lokalen Netz heraus zu halten. Je nach Umfang der eingesetzten Lösungen filtert die Appliance schädliche Inhalte aus mehr oder weniger vielen Übertragungskanälen heraus. Wichtig ist dabei vor allem die Prüfung der HTTP-Daten, um Drive-by-Infektionen schon im Vorfeld abzuwehren. Gelangt der Schadcode erst einmal auf den Client, ist es für eine Reaktion u.U. schon zu spät. In den allermeisten Fällen erkennt zwar der lokale Virenscanner den Schadcode, man kann aber nicht ausschließen, dass die Cyberkriminellen genau das ausnutzen und gezielt Schwachstellen in Virenscannern ausnutzen. Entweder, um darüber sofort Code einzuschleusen, oder aber um die Scanfunktion zu unterlaufen oder das Ergebnis zu verfälschen.
Nutzen Sie Virenscanner und Firewall
Nutzen Sie auf allen Rechnern einen Virenscanner und Firewall. Auch wenn eine UTM-Appliance alles Schädliche vom lokalen Netz fern hält, bleiben Einfallstore. So konnte sich z.B. Conficker in vielen Netzen ungestört verbreiten, nachdem er auf einem infizierten Notebook an allen Netzwerksicherungen im wahrsten Sinne des Wortes vorbei getragen wurde. Die Admins waren einem falschen Sicherheitsgefühl erlegen, weil der anfällige RPC-Port nicht aus dem Internet erreichbar war, und hatten sich mit der Installation der Patches Zeit gelassen.
Vor einem so ins lokale Netz gelangten Schädling schützt (außer einem aktuellen System und aktuellen Programmen, sofern keine 0-Day-Schwachstelle ausgenutzt wird) nur ein lokaler Virenscanner und eine lokale Firewall.
Vergessen Sie aber nicht, dass diese lokalen Schutzmaßnahmen von auf dem Rechner laufender Schadsoftware ausgetrickst werden kann. Haben Sie Schadsoftware auf Ihrem Rechner, sind die lokale Firewall und der lokale Virenscanner wirkungslos.
In der nächsten Folge erfahren Sie, wie Sie installierte Schadsoftware wieder los werden - Hoffentlich ohne das System neu zu installieren.
Antiviren-Hersteller
Die folgende, alphabetisch sortierte Liste ist weder vollständig noch stellt sie irgend eine Form der Bewertung dar. Welcher Scanner für Sie der beste ist, müssen und können Sie nur selbst entscheiden. Sofern Sie die Möglichkeit haben, probieren Sie verschiedene Scanner aus, z.B. in separaten virtuellen Maschinen.
- AVG
- Avira
- BitDefender
- ClamAV (ClamXav für Mac OS X)
- Dr.Web
- ESET
- F-Secure
- G Data
- Kaspersky
- McAfee
- Microsoft Security Essentials
- Sophos
- Symantec
- Trend Micro
Die meisten Hersteller bieten außer Windows-Versionen auch Scanner für Linux und/oder Mac OS X an. Nur für den Mac gibt es die Virenscanner von Intego.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Gegenmaßnahmen
-
- Schadsoftware - Infektionen verhindern
- Schadsoftware - Weg mit Scareware, Ransomware und Spyware!
- Schadsoftware - Weg mit Viren, Würmern, Trojanern und Rootkits
- Schadsoftware im Überblick
Trackbacks