Wenn der eine Klick ein Klick zu viel ist.
In letzter Zeit hört man immer wieder vom Auftreten von Sicherheitslücken. Spectre (wie der letzte James-Bond-Film) und Meltdown, Kernschmelze, klingen nicht nur fies, sie sind es auch.
Zeit für ein Interview mit unserem Consultant Julian Löwel.
Wenn der eine Klick ein Klick zu viel ist
In letzter Zeit hört man immer wieder vom Auftreten von Sicherheitslücken. Spectre (wie der letzte James-Bond-Film) und Meltdown, Kernschmelze, klingen nicht nur fies, sie sind es auch. Immer mehr Endgeräte erreichen uns, die wir aufwendig säubern und wiederherstellen, während unsere Kunden kein Gerät mehr zum Arbeiten haben. Ihr Arbeitsbetrieb steht! Zudem ist nicht selten, dass ein kompromittierter Computer die umliegenden Geräte ebenfalls infiziert.
Zeit für ein Interview mit unserem Consultant Julian Löwel.
Julian, der Fall der Bundesregierung, die durch Hacker angegriffen wurde und wohl noch immer wird, ist gerade in aller Munde. In letzter Zeit treten immer wieder Sicherheitslücken auf. Sollte man wirklich jedesmal sofort darauf reagieren oder hat man schon immer wieder eine gewisse “Schonfrist”?
Eine Schonfrist würde ich meinem eigenen Gerät sicherlich nie geben, denn die Risiken, die aus diesen Sicherheitslücken resultieren, sind einfach zu groß. Ein einziger falscher Klick reicht, um seinen Firmenrechner oder -notebook unbrauchbar zu machen. Führt man seine Sicherheitsupdates nicht regelmäßig aus, spielt man Angreifern wie beispielsweise Hackern in die Hände. Durch die nicht geschlossenen Sicherheitslücken können sie sich leicht Zugriff auf private und/oder firmeneigenen Daten, Bankkonten und Accounts verschaffen.
Aber eigentlich erkennt man solche Phishing- und Scam-Mails doch gut. Schlechtes Deutsch, simpler Text ….
… und dann gibt es die richtig guten! Perfekt gefälschte Briefköpfe und Anschreiben großer Firmen, oder - und das wird immer mehr - Bewerbungsmails! Ich habe ein Beispielszenario für euch:
Ein Mitarbeiter der Firma "Hans Müller GmbH" (fiktive Firma) sieht am Montagmorgen eine Bewerbungs-E-Mail in seinem persönlichen Postfach. Er öffnet die E-Mail und klickt auf die enthaltene "PDF"-Datei, jedoch öffnet sich diese nicht.
Der Mitarbeiter geht davon aus, dass die E-Mail eventuell defekt sei und widmet sich erst einmal anderen Aufgaben, bevor er den Vorfall seiner IT-Abteilung meldet. Am Ende seines Arbeitstages hat er die E-Mail bereits vergessen und der IT-Abteilung nicht Bescheid gegeben. Da sein PC am Morgen immer so lange zum Hochfahren braucht, lässt er diesen über Nacht einfach laufen.
Am nächsten Morgen will er seiner buchhalterischen Arbeit nachgehen und versucht eine Rechnung auf dem Serverlaufwerk R: zu öffnen. Die typischen Symbole, welche eine Datei als PDF-Datei identifizieren, sind verschwunden!
Ein Anruf bei der IT deckt das Problem auch sehr schnell auf - die Daten wurden verschlüsselt! In der "PDF" des gestrigen Tages war ein Schadcode eingebettet, der auf noch nicht geupdateten Geräten ausgeführt werden konnte.
Über Nacht hat das befallene Gerät alle ihm zur Verfügung gestellten Dateien unbrauchbar gemacht. Die IT rät zur Dateiwiederherstellung aus einem regelmäßig durchgeführten Backup.
Die "Hans Müller GmbH" hat ihre Backups vorher nie geprüft gehabt (bspw. durch Testwiederherstellungen), und stellt genau jetzt fest, dass das Backup nie wirklich sauber gelaufen ist. Eine Datenrettung ist nicht mehr möglich!
Die Firma hat nicht nur den Datenbestand von Monaten verloren, sie kann auch die 10-jährige Aufbewahrungsfrist nicht mehr einhalten, da die Daten nicht mehr verfügbar sind.
---
Diese leider sehr realistische Geschichte behandelt das Thema Ransomware, das ein großes Thema des Jahres 2017 war (u.a. aufgrund des Befalls etlicher prominenter Firmen und Einrichtungen) und auch zukünftig nicht abklingen wird. Über diese Variante werden immense Geldsummen durch Erpressung zur Dateifreigabe generiert. Dateien werden unwiderruflich verschlüsselt und somit unbrauchbar gemacht. Das Entschlüsseln funktioniert nur noch mit einem privaten Schlüssel des Angreifers, diesen bekommt man nur durch Zahlung des Lösegeldes. Selbst wenn man zahlt, ist das keine Garantie, dass man seine Daten wieder entschlüsseln kann. Und ganz aktuell gibt es die Sicherheitslücken Meltdown und Spectre.
Und die verschlüsseln einem die Daten noch viel besser?
Meltdown und Spectre greifen anders und vielleicht noch viel simpler. Kurz und einfach gesagt: Angreifer können bspw. Passwörter aus den persönlichen Passwort-Managern auslesen und in persönliche E-Mails Einblick nehmen. Hier muss man nicht zwingend eine infizierte E-Mail öffnen. Da inzwischen fast alle Webseiten im Internet auf Javascript zurückgreifen, kann der Angreifer über den Webbrowser (Chrome, Firefox, Safari und Internet Explorer) Informationen auslesen – einfach durch den Besuch einer infizierten Webseite.
Einfach so? Ohne mein Zutun? Wie kann das gehen?
Wie genau das funktioniert, kann ich euch gerne technisch erläutern. Es handelt sich hierbei um eine schwerwiegende Lücke in vielen Mikroprozessoren. Durch diese hardwareseitige Sicherheitslücke können Angreifer unautorisierten Zugriff auf den Speicher fremder Prozesse bekommen. Das ganze geschieht auf der unterste Schicht des Betriebssystem - dem sogenannten Kernel. Der Kernel hat die absolute Kontrolle über das komplette System und erlaubt es Programmen mit CPU, Speicher, usw. zu kommunizieren. Bei den zuletzt bekannt gewordenen Lücken handelt es sich um Unzulänglichkeiten in der Prozessorarchitektur, die es Angreifern ermöglichen die Kernel-Access-Protection [Thema: virtual memory] zu umgehen und Daten von laufenden Programmen abzugreifen (Passwort-Manager, Webbrowser, E-Mails, usw.).
Brauche ich dann einen neuen Mikroprozessor?
Nein, neue Hardware ist nicht vonnöten! Diese Lücken wurden mittlerweile größtenteils geschlossen, erfordern aber ein Update der Antiviren Software, des Betriebssystems, sowie der Firmware des Prozessors selbst (falls bereits vorhanden). Besonders zu berücksichtigen sind ältere Computer und Netzwerkperipherie (z.B. Router oder NAS), die nicht regelmäßig mit Updates versorgt werden.
Dann kann ich das aber gut ohne eure Hilfe vom Systemhaus in den Griff bekommen?
Die Basisarbeit schon. Aber leider ist es regelmäßig durch das simple Klicken auf Windows Update nicht getan. Oft erfordert es noch ein gewisses Hintergrundwissen, dass genau diese Patche überhaupt erst ausgerollt werden. Im Meltdown/Spectre Fall ist das ein Registry-Eintrag:
„Key=“HKEY_LOCAL_MACHINE“ Subkey=“SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat“ Value=“cadca5fe-87d3-4b96-b7fb-a231484277cc“ Type=“REG_DWORD“ Data=“0x00000000″
Kurz gesagt: es ist einfach sehr viel effizienter, regelmäßige Sicherheitsupdates zu fahren und sich regelmäßig mit aktuellen Sicherheitsproblemen/-lücken auseinander zu setzen, als einen möglichen teuren und zeitintensiven Systemausfall zu riskieren. Übrigens, regelmäßige Updates kommen auch einem stabilen Betrieb zugute. Durch „Feuerwehreinsätze“ können wir in der Regel ein System wieder zum Laufen zu bekommen - nachdem es schon zu spät ist. Damit es erst gar nicht zu solchen Spontan-Einsätzen kommt, muss ein System proaktiv regelmäßig gewartet werden. Das schließt eine Systemüberwachung, -inventarisierung und Patch-Management mit ein.
Wir sehen schon, Updates sind keine lästigen Arbeitsunterbrecher. Denn die Arbeitszeit, die wir verlieren, wenn wir unsere Computer nicht aktuell halten, ist wesentlich höher als die dann im Vergleich geringe Updatezeit. Ganz zu schweigen vom finanziellen Ausfall und der finanziellen Belastung.
Lieber Julian, wir danken dir für deine Zeit!
Beitrag vom 06.03.2018 , aktualisiert am 06.03.2018