Technische Vorkehrungen zum Schutz vor Malware

Als wichtigste Basisausstattung auf jedes verwendete Gerät, auch auf Smartphones oder Laptops, gehört ein gutes Antivirenprogramm. Hierbei sollte man nicht auf den Preis achten, sondern darauf, dass das Antivirenprogramm gut ist und bekannte und unbekannte Malware rechtzeitig erkennt. Es sollte einen umfassenden Schutz gegen allerlei Malware bieten und die neuesten Technologien der Hacker erkennen.

Da ständig neue Malware programmiert und verbreitet werden, müssen Antivirenprogramme ständig über das Internet aktualisiert werden, um die Geräte gegen die neuesten bekannten Bedrohungen soweit es geht zu schützen. Entweder man stößt die Aktualisierung manuell an oder das Antivirenprogramm aktualisiert sich in bestimmten Intervallen selbst, am besten täglich.

Was für das Antivirenprogramm gilt, das gilt auch für das Betriebssystem, für alle Programme, die man installiert hat sowie für die Treiber, die für die Hardware benötigt werden. Man sollte diese stets aktuell halten und vor allem verfügbare Sicherheitsupdates einspielen, die von den Herstellern bereitgestellt werden. Diese sollte man nach Möglichkeit nur direkt vom jeweiligen Hersteller laden oder zumindest darauf achten, dass die Downloadquellen absolut seriös und vertrauenswürdig sind.

Antivirenprogramme bieten in der Regel die Möglichkeit, alle Datenträger nach Malware zu durchsuchen. In bestimmten Zeitabständen sollte man davon Gebrauch machen und alle Datenträger durchsuchen. Insbesondere wenn verdächtige Aktivitäten auftreten, z.B. plötzliche Abstürze des Rechners.

IT-Systeme kommunizieren auf vielerlei Wegen untereinander, z.B. kommuniziert der lokale Rechner beim Aufruf einer Webseite unter anderem mit einem Server im Internet, auf dem die Webseite gespeichert ist. Für die Kommunikation werden verschiedene Kanäle verwendet, über die z.B. Steuerbefehle oder Datenpakete gesendet und empfangen werden. Diese Kanäle werden auch Ports genannt. Hacker können offene Ports für allerlei Angriffe verwenden.

Damit die Kommunikation über offene Ports nicht unkontrolliert abläuft, sollten alle Geräte mit einer Firewall ausgestattet werden. Diese fungieren wie ein Filter, kontrollieren die Zugriffe von und zum System und lassen z.B. nur Zugriffe zu, die gemäß den Regeln erlaubt sind, die in den Firewalleinstellungen festgelegt wurden. Die Festlegung der Regeln ist dabei sehr wichtig und es lassen sich damit vielerlei Einstellungen vornehmen. Beispielsweise könnte man nur zu oder von bestimmten IP-Adressen den Zugriff auf ein Port gewähren. Es ist auch möglich, unterschiedliche Regeln für ein- und ausgehenden Zugriff über ein Port festzulegen. So könnte man z.B. den ausgehenden Zugriff gewähren, den eingehenden jedoch blockieren.

Unterschieden werden Firewalls in Hardware- und Softwarefirewalls. In Unternehmen werden vorrangig Hardwarefirewalls eingesetzt. Das sind spezielle Geräte, die auch eine Software beinhalten und zur Kontrolle des Datenverkehrs eingesetzt werden. Häufig werden dazu unterstützend Softwarefirewalls eingesetzt, die auf eigens dafür eingerichteten Rechnern laufen. Für Heimanwender wären solche Lösungen meistens zu teuer, weshalb für diese Zielgruppe sogenannte Personal-Firewalls angeboten werden. Das sind im Grunde Softwarefirewalls und werden wie gewöhnliche Programme auf den Heimrechnern installiert und konfiguriert.

Jeder Rechner stellt mit dem Internet eine Verbindung über ein Modem bzw. einen Router her. Diese stellen somit den ersten möglichen Angriffspunkt dar und sollten so gut es geht abgesichert werden. Beispielsweise sollte man einen Router immer mit der aktuellsten Firmware betreiben, die die neuesten Sicherheitspatches enthalten. Auch sollten alle Standardpasswörter durch eigene, sichere Passwörter ersetzt werden. Denn, vielfach haben Router werksseitig gesetzte Passwörter, die aus den Handbüchern entnommen werden können, z.B. 1234 oder 0000. Sind diese werksseitig gesetzten Passwörter nicht geändert, könnte theoretisch jede Person sich Zugang zum Router verschaffen und diesen auch manipulieren oder für sonstige missbräuchliche Zwecke verwenden.

Eine Möglichkeit wäre z.B. die DNS-Server im Router zu ändern und die Benutzer auf gefälschte Webseiten zu leiten. Das ist hochgradig gefährlich, weil die Erkennung der Fälschung bei dieser Methode enorm erschwert wird und wenn sie gut gemacht ist, kann die Fälschung evtl. gar nicht erkannt werden. Denn, im Grunde kann man auf jedem Webserver im Internet eine Webseite mit einer beliebigen Internetadresse einrichten. Die Besucher gelangen normalerweise nicht auf diese gefälschten Webserver, weil die DNS-Server sie zum richtigen Webserver leiten. Sind die DNS-Einstellungen jedoch manipuliert, kann das fatale Folgen haben, wenn man z.B. denkt, man befindet sich auf der Webseite der Bank und PIN's und TAN's auf der gefälschten Webseite eingibt. Die Täter könnten damit z.B. eine Überweisung tätigen.

In E-Mailprogrammen gibt es zum Lesen der E-Mails verschiedene Betrachtungsmodi, z.B. HTML, RTF oder Nur-Text. Die Einstellung HTML bewirkt, dass die E-Mail quasi wie eine Webseite angezeigt wird. Das kann zu Problemen führen. Denn, in Webseiten können z.B. Dateien eingebettet werden. Diese Möglichkeit nutzen manche, um präparierte Dateien einzubetten, mit denen Sicherheitslücken ausgenutzt und Malware runtergeladen werden können. Auch die Einstellung RTF ist nicht absolut sicher, da Möglichkeiten zur Einschleusung von Malware bekannt geworden sind. Das tückische an der Einstellung HTML oder RTF ist, dass Malware eingeschleust werden kann, ohne dass man einen Dateianhang öffnet. Es reicht aus, eine E-Mail lediglich zu betrachten, z.B. in der Vorschauansicht, die bei vielen E-Mailprogrammen eingestellt ist. Daher sollte aus Sicherheitsgründen in E-Mailprogrammen die Ansicht auf Nur-Text umgestellt werden.

In der Ansicht Nur-Text geht zwar die Formatierung der E-Mails verloren und sie sind unter Umständen nicht schön, dafür jedoch sicherer. Es hat außerdem einige weitere Vorteile. Beispielsweise verstecken viele Hacker Linkziele in E-Mails hinter Bildern, die als Schaltfläche dienen. Vielfach werden auch Bilder in E-Mails eingebunden, die automatisch von anderen Servern heruntergeladen werden, nur um zu ermitteln, ob die E-Mailadresse existiert und ob der Empfänger die E-Mail gelesen hat. In der Ansicht Nur-Text werden keine Bilder angezeigt, weshalb diese nicht mehr für solche Zwecke benutzt werden können. Das kann neben der erhöhten Sicherheit sogar dazu führen, die Menge der Spam E-Mails zu reduzieren, die viele Menschen täglich bekommen.

Im Zuge der Einrichtung eines Betriebssystems wird auf einem Computer ein Administrator-Konto erstellt. Mit diesem Benutzerkonto kann man sich auf den Rechner anmelden und hat auf diesen volle Zugriffsrechte. Man kann mit dem Administrator-Konto z.B. Sicherheitseinstellungen ändern, Programme installieren und deinstallieren, weitere Benutzerkonten einrichten bzw. ändern und auf alle Dateien zugreifen. Für normale Tätigkeiten sollte man nach Möglichkeit nicht mit dem Administrator-Konto arbeiten, da das ein gewisses Sicherheitsrisiko birgt. Wenn nämlich z.B. eine Malware eingeschleust und ausgeführt wird, dann geschieht das mit den Rechten des angemeldeten Benutzers. In einem solchen Fall würde bei einem Administrator-Konto der gesamte Rechner völlig schutzlos sein und es sind im Grunde alle erdenklichen Aktionen denkbar.

Daher sollte man für normale Tätigkeiten ein Benutzerkonto mit eingeschränkten Benutzerrechten einrichten und damit arbeiten. Als weitere Sicherheitsmaßnahme sollte das Administrator-Konto, geschützt durch ein starkes Passwort, deaktiviert werden. Hierbei ist jedoch Vorsicht geboten. Man sollte wissen, wie man bei Bedarf das Konto wieder aktivieren kann. Sonst kann es passieren, dass man den Administrator praktisch aussperrt und keine Änderungen am System vorgenommen werden kann.

Wenn man einen Rechner verwendet, dann hat man es grob betrachtet mit dem Betriebssystem, mit Programmen und persönlichen Dateien zu tun. Die persönlichen Dateien sollten nach Möglichkeit nicht auf derselben Festplatte liegen, auf dem das Betriebssystem installiert ist, sondern auf einer separaten. Am besten speichert man diese auf einer externen Festplatte, der normalerweise ausgeschaltet ist und nur bei Bedarf eingeschaltet wird. Im Falle eines Malwarebefalls wären diese Daten in gewisser Weise etwas geschützt.

Sollte ein Rechner trotz aller Schutzmaßnahmen mit einer Malware befallen sein, sollte man einerseits versuchen, den Schaden so gering wie möglich zu halten und andererseits so schnell es geht die Malware entfernen. Daneben sollte man Maßnahmen treffen, um zumindest wichtige Daten zu sichern. Einmal befallene Datenträger wie Festplatten oder USB-Sticks sollten nach Möglichkeit nicht mehr verwendet werden, da diese ein permanentes Risiko darstellen. Es kann z.B. durchaus passieren, dass eine Malware sich soweit einnistet, dass es sogar eine Formatierung überlebt.

Ob ein Rechner mit einer Malware infiziert ist oder nicht, lässt sich leider nicht immer eindeutig feststellen. Ein häufiger Hinweis auf einen Befall mit Malware sind gewisse Anomalien, z.B. wenn Programme nicht mehr ordnungsgemäß starten oder abstürzen.