Virenschutz - Sicherheitslücken schließen

Grundlagen - Stand:

Wenn Sie jetzt weiterlesen, akzeptieren Sie die Rechtlichen Bedingungen, die Sie hier einsehen können.

Der folgende Text beschreibt (aus Sicht des Autors) wie Sie sich einigermaßen effektiv gegen den Befall mit Makroviren, Würmern und Trojanern schützen können. Ein wirksamer Schutz vor Makroviren ist unter nur unter Beachtung aller Voraussetzungen möglich. Dabei müssen sowohl technische, als auch organisatorische Maßnahmen ineineinander übergreifen.

Das Wichtigste im Überblick

Um ein einigermaßen sicheres System zu bekommen, sollten Sie die folgenden Punkte befolgen:

• Benutzeranmeldekonto: Arbeiten Sie NICHT als lokaler Administrator, sondern NUR mit Benutzerrechten. Entscheidend sind hier die Rechte auf dem PC (lokale Rechte)
• Verwenden Sie sichere Kennwörter zur Anmeldung
• Installieren Sie einen Virenschutz, der so häufig wie möglich aktualisiert wird (Virussignaturen)
• Aktivieren Sie den Dienst "Automatische Updates", um Microsoft-Patches zu erhalten. In Netzwerken WSUS verwenden
• Aktuell: Deregistrieren Sie die Imageviewer Bibliothek, sonst fangen Sie sich beim Besuchen einer Website schon Trojaner ein:
  Start/Ausführen: "regsvr32 -u %windir%\system32\shimgvw.dll"
• Setzen Sie im Internet-Explorer unter Extras/Internetoptionen/Sicherheit die Stufe auf HOCH zurück. Löschen Sie alle Internet-Explorer-Verknüpfungen
• Installieren Sie Opera ab Version 8.51 (gibt's auch in deutsch) und verwenden Opera als Standard-Browser für das Surfen. Verwenden Sie NICHT mehr den Internet Explorer.
• Befolgen Sie die organisatorischen Anweisungen unten im Text und reagieren nicht auf HOAXES

Nun noch einige der genannten Themen etwas ausführlicher:

Vorsorgemaßnahmen und Organisatorisches

Mail und Internet:

• Öffnen Sie keine E-Mail-Anhänge, die Sie nicht angefordert haben. Bei unverlangt erhaltenen Anhängen den Absender kontaktieren und fragen, ob dieser eine Datei mit der Dateigröße x und dem Namen y als Anhang verschickt hat.
• Mindestens Outlook ab Version xp mit SP3 als Mailprogramm verwenden (nicht Outlook Express!). Im Netzwerk bietet auch Tobit David wirksamen Schutz gegen Viren und Makros und SPAM.
• Meiden Sie fragwürdige Seiten, klicken NICHT auf irgendwelche BANNER
• Reagieren Sie nicht auf Mails, die persönliche Informationen, von Ihnen haben möchten (PINs, Passwörter, Geburtsdatum, TANs, Zugangsdaten allgemein).
• Banking: Kontrollieren Sie, ob sie eine gesicherte Verbindung zum Bankserver haben (gelbes Schloß in der Adressleiste von Opera). Durch Doppelklick auf das Schloß wird angezeigt, von wem das Zertifikat ausgestellt wurde und für wen. Wenn eben möglich, verwenden Sie zum Banking NUR HBCI mit einer Chipkarte!
• Vermeiden Sie das Weiterleiten von Virenscherzen und Ketten-Emails (sog. Hoaxes). Mehr Info zum Thema weiter unten

Anwendungen:

• Verwenden Sie mindestens Office xp oder 2003 (Word, Excel, Powerpoint), setzen Sie die Makrosicherheit mindestens auf "Mittel".
• Verwenden Sie den Adobe Reader in der aktuellen Version und aktualisieren Sie die Sicherheitsupdates
• Aktualisieren Sie die SUN Java Engine regelmäßig. Auf java.sun.com finden Sie die Updates.
• Installieren Sie Spybot Search&Destroy (http://security.kolla.de), lassen es regelmäßig aktualisieren und überprüfen damit Ihr System nach Diallern, Werbetrojanern und anderen Schadprogrammen.

Daten: Sensible Daten legen Sie nur auf externen Datenträgern ab. Am Besten zusätzlich verschlüsseln. Dazu gibt es Software, die ganze Datenträger (z.B. Memory Sticks) verschlüsselt - oder aber Sie verwenden die Dokument-Verschlüsselung vom Office (aber nur, wenn es Office 2003 ist UND Sie unter Optionen den Schlüssel auf mindestens RSA 128-bit eingestellt haben!)

Antivirus-Software: Stellen Sie bitte jederzeit sicher, dass das Symbol Ihres Antivirusprogramms stets unten rechts in der Taskleiste zu sehen ist. Es darf nicht rot durchgestrichen sein. Aktualisieren Sie Ihre Virussignaturen so häufig wie möglich. Verfolgen Sie auch die Tagespresse. Wird dort vor einem Virus gewarnt, sollten die Signaturen außerhalb der Reihe aktualisiert werden.

DFÜ-Einwahl und Firewall: Sichern Sie alle DFÜ-Internetverbindungen (z.B. T-Online) mit der Verbindungsfirewall ab. Windows xp bietet diese Funktion ab Werk, bei Windows 2000 oder wenn Sie mit der T-Online Software aus dem Ausland einwählen, können Sie z.B. Outpost 1.1 (kostenlos) einsetzen.
Wenn Sie ein Netzwerk verwenden, schützen Sie dieses durch eine effektive Firewall

Benutzerkonto und Anmeldung

Auf jedem PC gibt es mit Rechter Maustaste auf "Arbeitsplatz" die Auswahl "Verwalten". Dort finden Sie "Lokale Benutzer und Gruppen", Gruppen.
Schauen Sie per Doppelklick auf die Gruppen "Hauptbenutzer", dass dort NIEMAND Mitgliedf ist und bei "Administratoren", dass dort  nur "Administrator" und "admin" Mitglieder sind.
Einträge wie "Domänen-Benutzer" oder "Benutzer" haben in diesen Gruppen nichts mehr zu suchen.

Die oben genannte Richtlinie gilt unabhängig davon, ob Sie in einer Domäne anmelden oder lokal am System. Bei lokaler Anmeldung muß selbstverständlich ein lokaler Benutzer angelegt sein (z.B. KASSE1). Dieser ist aber nur Mitglied der Gruppe "Benutzer".

Verwenden Sie sichere Passwörter zum Schutz gegen Eindringlinge. Machen Sie es den Datendieben nicht zu einfach.

Betriebssystem Version und Patches

Eine Grundsicherheit erreichen Sie nur, wenn Sie ein Betriebssystem ab Windows 2000 verwenden. Windows 98 oder Windows NT wurden seit 1999 nicht mehr weiterentwickelt, lassen sich daher nicht absichern. Die monatliche Sicherheits-Aktualisierung bei Microsoft schließt bekannt gewordene Sicherheitslücken und erscheint immer am 2. Mittwoch im Monat. Bitte installieren Sie regelmäßig die erschienenen Sicherheitsfixes. Sie können den Prozeß automatisieren, indem Sie den Dienst "Automatische Updates" aktivieren und konfigurieren. In Netzwerken müssen Sie die Sicherheitsupdates zunächst auf einem Ihrer Server mit Hilfe des lizenzfreien Update Dientes "WSUS" sammeln und versorgen dann die PCs mit dem "Automatischen Update" Dienst.
Ihr System meldet, dass Sie als Betriebssystem verwenden. Sie können das überprüfen, indem Sie "Start" "Ausführen" anklicken, "winver" eingeben und auf "OK" klicken Neben der Betriebssystemversion wird Ihnen auch das aktuelle Service-Pack angezeigt. Stellen Sie bitte sicher, dass Sie die jeweils aktuellen Service-Pack-Versionen installiert haben:

• Windows xp: ServPack 2
• Server 2003: ServPack 1
• Windows 2000: ServPack 4 + Security Rollup Pack (SRP1)
• Windows NT: ServPack 6a

Falls diese Voraussetzungen nicht erfüllt sind, können Sie sich die jeweils aktuellen Service Packs unter folgendem Link besorgen:
Microsoft Servicepacks- Auswahl  nach Produkt

Sofern Sie keine Möglichkeit haben, den automatischen Updatedienst zu verwenden, müssen Sie alle Patches der von Ihnen verwendeten Betriebssysteme von Microsoft herunterladen.
Microsoft Sicherheitsbulletins (englisch)

Internet Explorer mindestens Version 6 mit SP1

Auch wenn Sie Opera oder Firefox verwenden: Viele andere Programme benutzen die Technologie des Internet-Explorer. Daher muss auch dieser aktuell sein. Im Wesentlichen erreichen Sie die Aktualisierung über den Softwareupdateservice von Microsoft (Automatische Updates).

Bedenken Sie immer:
Ihr PC bzw. Netzwerk ist auch dann, wenn eine Firewall vorhanden ist, bei Bekanntwerden von neuen Sicherheitslücken ungeschützt.

Starten Sie den Internet Explorer und rufen das Menü "?" "Info" auf. Wenn die ersten Zahlen hinter "Version:" nicht mindestens "6.0.2800" lauten, müssen Sie zunächst den aktuellen Internet-Explorer herunterladen und installieren:
Internet Explorer 6 incl. Service Pack 1

HOAXES - schlechte Scherze

Virus-Meldungen (Hoaxes, elektronische "Enten")

Mittels E-Mail werden seit ca. 5 Jahren häufig "Virus-Meldungen" verschickt, die vor einem "ganz neuen, gefährlichen" Virus warnen, der schon beim bloßen Lesen einer E-Mail aktiviert wird und sofort Daten löscht oder die Festplatte formatiert.

Die Meldungen stimmen jedoch nicht, sie sollen nur ungeschulte Computernutzer bei ihrer Hilfsbereitschaft und Gutmütigkeit ansprechen und zu schädlichen Aktionen veranlassen.

Eine solche Meldung wird deshalb als Hoax (englisch für Zeitungsente) bezeichnet. Man muß dazu wissen, daß jeden Monat ca. 300 neue Viren und ähnliche Schadsoftware bekannt werden, die nicht gefunden werden, solange sie "ganz neu" sind. Nach ca. 2 Tagen haben die Hersteller von Anti-Virus-Software die Erkennung in Ihre Programme eingebaut. Würde für jeden neuen Virus eine Warnung verbreitet...

Der Anwender kann Hoaxes an vier charakteristischen Merkmalen erkennen:

- Es wird dazu aufgefordert, die Meldung an möglichst viele andere Nutzer zu verteilen.

- Es handelt sich um einen Virus der so neu ist, daß kein Anti-Viren-Programm in momentan findet, und er löscht schon beim Lesen der E-Mail sofort Daten.

- Die Information stammt von einer Autorität. (Beispiele: Microsoft, AOL, Polizei, Rundfunk)

- Die originale E-Mail-Adresse des ursprünglichen Absenders oder eine konkrete WWW-Adresse ist nicht vorhanden.

Der Name der gefährlichen Datei ist das Einzige, was ständig verändert wird.

Die Meldung darf nicht sofort weiter geleitet werden. Wenn jeder Anwender (oder auch nur viele) dies tun, wird das E-Mail-System überlastet und blockiert. Das ist die Schadensfunktion, die der anonyme Urheber der Meldung bezweckt.

Im Normalfall ist der behauptete Sachverhalt frei erfunden, jedoch technisch nicht völlig unmöglich, wenn in der E-Mail aktive Inhalte verwendet werden.

Maßnahmen dagegen

Alle Virus-Meldungen zur Kenntnis nehmen und anschließend sofort löschen. Nicht weiterleiten, nicht den Systemadministrator oder Benutzerdienst anrufen und nachfragen!

Halten Sie Ihre Virussignaturen aktuell. Je aktueller die Signaturen, desto besser der Schutz vor Viren

Führen Sie keine eMail-Anhänge aus, insbesondere keine ausführbaren Dateien (*.EXE, *.VBS, *.HTM, *.ASP)

Öffnen Sie keine Dokumente direkt aus der Mail heraus. Immer erst speichern und Virenscan laufen lassen

Schauen Sie auch mal auf den Seiten der Virenschutzprogrammhersteller oder unter http://www.hoax-info.de nach..

Hier noch einige (lustige) Beispiele für HOAXES:

Wenn Sie eine e-Mail mit dem Titel "Bad Times" erhalten, loeschen Sie die sofort, ohne sie zu lesen. Es handelt sich hierbei um den bislang gefaehrlichsten e-Mail-Virus. Er wird Ihre Festplatte formatieren. Und nicht nur die, sondern alle Disketten, die auch nur in der Naehe Ihres PCs liegen. Er wird das Thermostat Ihres Kuehlschranks so einstellen, dass Ihre Eisvorraete schmelzen und die Milch sauer wird. Er wird die Magnetstreifen auf Ihren Kreditkarten entmagnetisieren, die Geheimnummer Ihrer EC-Karte umprogrammieren, die Spurlage Ihres Videorecorders verstellen und Subraumschwingungen dazu verwenden, jede CD, die Sie sich anhoeren, zu zerkratzen. Er wird Ihrem Ex-Freund/der Ex-Freundin Ihre neue Telefonnummer mitteilen. Er wird Frostschutzmittel in Ihr Aquarium schuetten. Er wird all Ihr Bier austrinken und Ihre schmutzigen Socken auf dem Wohnzimmertisch plazieren, wenn Sie Besuch bekommen. Er wird Ihre Autoschluessel verstecken, wenn Sie verschlafen haben und Ihr Autoradio stoeren, damit Sie im Stau nur statisches Rauschen hoeren. Er wird Ihr Shampoo mit Zahnpasta und Ihre Zahnpasta mit Schuhcreme vertauschen, waehrend er sich mit Ihrem Freund/Ihrer Freundin hinter Ihrem Ruecken trifft und die gemeinsame Nacht im Hotel auf Ihre Kreditkarte bucht. Bad Times verursacht juckende Hautroetungen. Er wird den Toilettendeckel oben lassen und den Foen gefaehrlich nah an eine gefuellte Badewanne plazieren. Er ist hinterhaeltig und subtil. Er ist gefaehrlich und schrecklich. Und ausserdem ist er lila!

Es gibt einen neuen, äußerst gefährlichen Virus, der verheerende Auswirkungen haben kann. Microsoft, IBM, NAI, Symantec und auch sämtliche Banken haben seine Existenz bereits bestätigt! Der Name des Virus ist ARBEIT. Wenn du ARBEIT von irgendwoher bekommst, ob von Kollegen oder von Deinem Chef, via E-Mail oder via Internet, öffne es nicht, schau es nicht an und rühre es auf keinen Fall an! Wir haben diesen Virus seit einiger Zeit in unseren Gebäuden und Systemen und jeder, der ARBEIT geöffnet hat, musste feststellen, dass sein komplettes Privatleben gelöscht wurde und das Gehirn seine normalen Funktionen aufgegeben hat. Wenn Du via E-Mail ARBEIT bekommst, kannst Du es nur vernichten indem Du (ohne es zu öffnen) mit einer E-Mail erwiderst: "Ich habe schon genug ARBEIT, es reicht! Ich bin in die Kneipe gegangen!". Auf diesem Weg vergisst Dein Gehirn ARBEIT. Wenn Du ARBEIT in Papierform bekommst, auf gar keinen Fall beachten! Nicht lesen, sondern sofort in den Papierkorb weiterleiten! Nimm Mantel und Hut sowie zwei gute Freunde oder Freundinnen mit und gehe sofort in die nächstgelegene Kneipe und bestelle je drei Biere! Wenn Du dies 14 mal wiederholst, wirst Du sehen, dass du ARBEIT aus deinem Gehirn vollständig gelöscht hast. Bitte diese Warnung sofort an alle Freunde und Bekannten weiterleiten! Solltest Du keine Freunde oder Kollegen mehr haben, bedeutet dies, dass Du infiziert bist und ARBEIT Dein Leben bereits vollkommen unter Kontrolle hat.

Neuer Virus aus Albanien
Das folgende wird für gewöhnlich per eMail verschickt:
Liebe Empfangger,
Sie abe soeben aine albanische Virus empfangge. Da wir in Albanie tecnologisch noc nict so wait fortgeschritte sind, handele sic um MANUELLE Virus. Bitte losche Sie alle Dataie auf Ihre Festplatte selber, jezte Sie neme bitte grosse Ammer unde schlage Sie graftig auf Giste wo ist Festplatte drinn unde leiten Sie diese mail weiter an alle Persone, die sie kenne. Ist voll krass und vunczioniert.
Viele Dank fur Susammenarbeit!
Gruss fo
Freier Virusendwiggler

Hallo, ich leide unter einigen sehr seltenen und natürlich tödlichen Krankheiten, schlechten Klausur- und Examensergebnissen, extreme Jungfräulichkeit und Angst davor, entführt und durch einen rektalen Starkstromschock exekutiert zu werden, weil ich circa 50 Milliarden beschissene Kettenbriefe nicht weitergeleitet habe.
Kettenbriefe von Leutchen, die tatsächlich glauben, dass, wenn man diese Briefe weiterleitet, dieses arme, kleine Mädchen in Arkansas, dass mit einer Brust auf der Stirn geboren wurde, genug Geld für die rettenden OP zusammenbekommt, gerade noch rechtzeitig, bevor die Eltern es an die "Freakshow" verkaufen.
Glaubst Du wirklich, dass Bill Gates Dir und jedem,der "seine" Mail weiterleitet 100 Dollar geben wird? Recht hast Du, dass glaube ich nämlich auch...
Um es auf den Punkt zu bringen. Diese Mail ist ein großes 'SCH$%&§ drauf' an all die Leutchen da draußen, die nichts besseres zu tun haben.
Vielleicht wird sich der böse Kettenbriefkobold in meine Wohnung schleichen und mich sodomieren während ich schlafe. Sodomieren, weil ich diese Kette unterbrochen habe, die im Jahre 5 nach Christus begonnen hat, von irgendeinem dem Kerker entronnenen Kreuzritter nach Europa gebracht wurde, und die, wenn sie es ins Jahr 2800 schafft, einen Guinness-Buch Eintrag erhält.

Weitere Literatur

Der Heise-Verlag hat eine eigene Sicherheitsseite mit aktuellen Meldungen:
http://www.heisec.de

Ein Virenlexikon finden Sie auf den Symantec-Seiten unter: http://www.symantec.com/avcenter/vinfodb.html

Die Seiten von Microsoft Sicherheit:
http://www.microsoft.com/security

Wichtige Rechtliche Hinweise

Die Angaben, die auf diesen Webseiten zur Verfügung gestellt werden, dienen ausschließlich der allgemeinen Information und dienen nicht der Beratung von Kunden im konkreten Einzelfall. Der Autor hat diese Informationen gewissenhaft zusammengestellt, übernimmt jedoch keine Haftung für Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen den Autor, die sich auf Schäden materieller oder ideeller Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind ausgeschlossen. Das Einspielen der Patches/Service-Packs geschieht allein auf eigenes Risiko.