![[externer Link]](../../../../images/link.gif)
Empfehlungen zum Schutz vor verteilten
Denial of Service- Angriffen im Internet Empfehlungen zum Schutz vor Computer-Viren
aus dem InternetMinister Schily erklärte am 14. Februar diesen Jahres: "Die Sicherheit in der Informationstechnik ist eine Schlüsselfrage für jede moderne Volkswirtschaft. Deshalb wird die Bundesregierung weiter alle Maßnahmen ergreifen, mit der diese Sicherheit auch in Zukunft gewährleistet wird. Sie wird dazu insbesondere den Internet-Providern und den Firmen Hinweise geben, mit welchen Sicherheitstechniken sie sich vor Hacker-Angriffen schützen können. Staat und Wirtschaft müssen gemeinsam daran arbeiten, dieser neuen Art von Angriffen auf die Sicherheit unseres Wirtschaftslebens einen Riegel vorzuschieben. Bei derartigen Angriffen handelt es sich keineswegs um technische Spielereien, sondern um Taten, die mit allen Mitteln verhindert werden müssen. Die erheblichen zivilrechtlichen Konsequenzen, wie etwa die Leistung von Schadenersatz an die Geschädigten, sollten allen eine zusätzliche Warnung sein."
In der Task Force arbeiten Mitarbeiter des Bundesministeriums des Inneren (BMI), des Bundesministerium für Wirtschaft und Technologie (BMWi), des Bundesministerium der Justiz (BMJ), des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) zusammen. Je nach Anlass werden weitere Experten zu den Beratungen hinzugezogen. Den Kern der Task Force bilden 12 ständige Mitglieder.
Zentrale Aufgaben der Task Force sind die Auswertung von Informationen sowie die Prüfung von Art und Umfang der Bedrohung in Deutschland und erforderlicher Gegenmaßnahmen. Bisher wurden Maßnahmenkataloge in Abstimmung mit externen Experten aus Wirtschaft, Wissenschaft und Behörden erarbeitet und im Internet bereitgestellt.
Die jeweiligen Empfehlungen verstehen sich als Leitlinie, den darin angesprochenen Schwachstellen zu begegnen, den Schutz vor Angriffen zu verbessern und vorhandene Risiken zu minimieren. Gleichzeitig dienen sie als Diskussionsgrundlage zur konkreten Realisierung von Maßnahmen in den verschiedensten Bereichen.
Gegenwärtig sind 2 Maßnahmenkata-loge verfügbar, aus denen im folgenden Auszüge veröffentlicht werden:
Empfehlungen zum Schutz vor verteilten
Denial of Service- Angriffen im Internet Empfehlungen zum Schutz vor Computer-Viren
aus dem InternetUm auch auf neue Bedrohungen reagieren zu können, werden
die Maßnahmenkataloge fortgeschrieben werden. Alle
Interessierten sind hierbei aufgefordert, sich durch Beiträge
an der Weiterentwicklung zu
beteiligen.
Nachfolgende Empfehlungen verstehen sich als Leitlinie, den Schutz vor verteilten Denial of Service (DoS) -Angriffen zu verbessern. Gleichzeitig dienen sie als Diskussionsgrundlage zur konkreten Realisierung von Maßnahmen in den Bereichen Server, IT-Betreiber, Netzvermittler, Internet Service Provider (ISP), Content Provider, Inhalte Anbieter und Endnutzer. Anlass sind die im Februar verstärkt beobachteten DoS-Angriffe auf renommierte Internet-Anbieter.
Hierbei hatten sich die Angreifer Zugang zu hunderten von Rechnern im Internet verschafft, auf denen sie die Programme für die DoS-Attacken installierten. Von einem separaten Rechner aus synchronisierten sie diese Angriffsprogramme derart, dass die Wirksamkeit des Angriffs durch die Vielzahl der gleichzeitig angreifenden Rechner stark erhöht war. Diese Art Angriff wird als Distributed Denial of Service (DDoS)-Angriff bezeichnet.
Die beobachteten Angriffe basierten auf zwei wesentlichen
Schwachstellen: Zum einen wurden die Absenderadressen der
"angreifenden" Datenpakete gefälscht (IP-Spoofing),
zum anderen werden – vor den Angriffen auf ausgewählte
Zielrechner – auf einer großen Anzahl weiterer, nur
unzureichend geschützter Internet-Rechner unberechtigterweise
Programme installiert, die ferngesteuert in Massen Datenpakete
absenden können. Das Besondere an diesen DDoS-Angriffen ist,
dass diese daher auch diejenigen treffen können, die sich
ansonsten optimal vor Eindringlingen aus dem Internet
geschützt haben (für die Erkennung und Behandlung von
Angriffen vgl. http://www.
bsi.de/literat/cebit99/angriff.htm). Insofern sind Rechner, auf
denen noch nicht einmal so genannte Grundschutzmaßnahmen
umgesetzt sind, nicht nur für den jeweiligen Betreiber eine
Gefahr, sondern auch für alle anderen Rechner im Internet. So
waren die Vorbereitungen zu den kürzlich bekannt gewordenen
Angriffe nur dadurch möglich, dass verschiedene schon seit
längerem bekannte Schwachstellen nicht beseitigt wurden.
Die nachfolgenden Maßnahmen sind nach Zielgruppen gegliedert, wobei die ersten fünf Maßnahmen bei der Abwehr bzw. der Schadensbegrenzung von DDoS-Angriffen helfen, da sie bei den Übertragungswegen im Internet ansetzen. Die restlichen Maßnahmen beziehen sich auf die Auswahl, Konfiguration und Pflege der Endsysteme im Internet und erschweren die Vorbereitung eines DDoS-Angriffs. Restrisiken werden jedoch auch nach Umsetzung der Maßnahmen verbleiben, weshalb geordnete Meldeverfahren für Angriffe über das Internet entwickelt werden sollten.
Den Netzvermittlern kommt eine zentrale Rolle bei der Verhinderung von DoS zu. Die Netzvermittler sind zwar selber nur selten Ziel von DoS-Angriffen, haben aber indirekt Nutzen von einem sichereren Internet, da das Vertrauen aller Nutzer und damit ihre Zahl wächst.
Viele DoS-Angriffe nutzen gefälschte IP-Absenderadressen. Dies macht einerseits einige Angriffe erst möglich und erschwert andererseits auch die Suche nach dem Verursacher. Durch entsprechende technische Regeln in der Netzinfrastruktur der Netzvermittler können die Netzbetreiber diese Möglichkeit wesentlich einschränken, so dass gefälschte Pakete erst gar nicht weiter in das Internet vermittelt werden. Eine Organisation, die an einen Netzbetreiber angeschlossen ist, hat einen bestimmten IP-Adressbereich zur Verfügung. Jedes IP-Paket, das aus dieser Organisation in das Internet geschickt wird, müsste eine IP-Absenderadresse aus diesem Bereich haben. Ist dies nicht der Fall, so handelt es sich um eine gefälschte Adresse und das IP-Paket sollte vom Netzvermittler nicht weitergeleitet werden, d. h. es soll eine Paketfilterung auf die Absenderadressen beim Einspeisen der Pakete in das Internet durchgeführt werden. Zwar ist IP-Spoofing innerhalb des erlaubten Adressbereichs der Organisation noch immer möglich, jedoch ist der Kreis der möglichen Verursacher auf die Organisation eingeschränkt. Ein normaler Heimzugang in das Internet hat nur eine einzige erlaubte IP-Adresse, so dass über solche Wählzugänge IP-Spoofing gar nicht mehr möglich wäre.
Häufig sind Server nur über eine einzelne Netzverbindung an den Netzvermittler angebunden. Selbst wenn die Server widerstandsfähig gegen DoS-Angriffe sind, so ist doch diese Netzverbindung selber in ihrer Kapazität beschränkt und kann von einem Angreifer vollständig ausgelastet werden, so dass die Server aus dem Internet nicht mehr erreichbar sind. Daher sollten Netzvermittler in Erwägung ziehen, die Netzanbindung der Serverbetreiber durch den Einsatz von Paketfiltern gegen DoS-Angriffen abzuschirmen, d. h. es soll eine Paketfilterung (auf Ports) beim Verlassen der Pakete aus dem Internet durchgeführt werden. Dies ist insbesondere dann sehr effektiv, wenn in Zusammenarbeit mit einem Angriffserkennungssystem beim Serverbetreiber der Paketfilter dynamisch an den jeweils laufenden Angriff angepasst werden kann. Darüber hinaus kann der Netzvermittler in Absprache mit dem Serverbetreiber den Paketfilter auch so konfigurieren, dass Maßnahme 3 auch auf der Seite des Netzvermittlers ergänzt wird.
Die Rechner der Serverbetreiber kommen nicht nur als Opfer der DoS-Angriffe in Betracht. Wegen ihrer leistungsfähigen Anbindung an das Internet sind sie auch beliebte potenzielle Ausgangsplattformen. Daher muss verhindert werden, dass diese Rechner als Ausgangspunkt für Angriffe auf weitere Rechner missbraucht werden.
Server sollten im Normalfall nur wenige Dienste anbieten und entsprechend konfiguriert werden. Auf dem vorgeschalteten Router sollten Paketfilterregeln implementiert werden, die nur die zugehörigen Protokolle passieren lassen und beispielsweise sicherheitskritische Dienste oder gerichtete Broadcasts abblocken. Im Falle eines Angriffs können diese Router so umkonfiguriert werden, dass die Anfragen von verdächtigen einzelnen IP-Adressen oder -Adressbereichen abgewiesen werden. (Darüber hinaus sollte der Serverbetreiber den Paketfilter zusätzlich so konfigurieren, dass aus seinem Netz heraus IP-Spoofing nicht möglich ist und so die Maßnahme 1 unterstützt wird. Die dazu vorzunehmenden Einstellungen sind in den Systemverwalter-Handbüchern der Router beschrieben.)
DoS-Angriffe zeichnen sich normalerweise dadurch aus, dass sie Server anomal auslasten. Daher sollten typische Kennwerte (Speicherauslastung, Stacks, Netzauslastung, ...) ständig überwacht werden. Eine automatische Alarmierung ermöglicht dann, zeitnah Reaktionen einzuleiten (hostbasierte Angriffserkennung). Hierzu sind ggf. geeignete Zusatzprodukte heranzuziehen.
Zusätzliche Informationen zu Intrusion Detection Systems
finden sich beispielsweise unter http://www.bsi.bund.de/literat/studien/ids/ids-stud.htm.
In einem Notfallplan ist eine geeignete Eskalationsprozedur
festzuschreiben. Notwendige Angaben sind dabei u. a.
Ansprechpartner, Verantwortliche, alternative Kommunikationswege,
Handlungsanweisungen und Lagerort möglicherweise
benötigter Ressourcen (z. B. Magnetbänder). Nähere
Informationen zum Umgang mit Angriffen aus dem Internet finden sich
unter http://www.bsi.de/literat/cebit99/angriff.htm.
Auch die Server der Serverbetreiber können als Agenten
eines DoS-Angriffs missbraucht werden. Der Angreifer installiert
dazu unter Ausnutzung bekannter Schwachstellen Schadsoftware. Daher
müssen die Betreiber der Server diese sorgfältig und
sicher konfigurieren. Nicht benötigte Netzdienste sind zu
deaktivieren und die benötigten abzusichern, ein hinreichender
Passwort- und Zugriffsschutz sowie rechtzeitiges Ändern
(insbesondere voreingestellter) Passwörter muss sichergestellt
sein. Nähere Informationen finden sich unter http://www.bsi.bund.
de/bsi-cert/webserv.htm.
Durch Manipulationen an Servern kann ein Angreifer diese als Agenten missbrauchen oder ihre Leistungsfähigkeit einschränken. Deshalb müssen alle Änderungen und alle Zugriffe auf den Server protokolliert werden. Es ist auf eine restriktive Vergabe von Zugriffsrechten der Nutzer, auf die zur Verfügung gestellten Systemressourcen und auf eine erhöhte Sorgfalt bei Konfigurationsänderungen zu achten. In regelmäßigen Abständen ist das Dateisystem auf Integrität zu überprüfen. Werden lediglich statische Daten benötigt, kann ein manipulationssicherer, schreibgeschützter Datenträger verwendet werden.
Für den Fall, dass Schwachstellen neu entdeckt werden, die einen DoS-Angriff ermöglichen oder erleichtern, ist es wichtig, dass diese schnell behoben werden können. Meist werden derartige Schwachstellen in Open-Source-Software wesentlich schneller behoben als in Produkten, deren Quellcode nicht veröffentlicht ist. Häufig können die Veränderungen im Quellcode sogar selbst durchgeführt werden. Daher sollten Open-Source-Produkte bei ähnlicher Leistungsfähigkeit bevorzugt werden (siehe http://linux.kbst. bund.de/).
Die Inhalte-Anbieter sollten schon durch die Wahl ihres Serverbetreibers darauf hinwirken, dass dieser Sicherheit und Verfügbarkeit als zentrale Leistungsmerkmale ansieht. Daher sollten sie einen Serverbetreiber wählen, der entsprechende Erfahrungen mit den benötigten Internet-Plattformen vorweisen und seine Bemühungen im Bereich IT-Sicherheit nachweisen kann, z. B. durch ein IT-Sicherheitskonzept.
Viele WWW-Seiten im Internet sind derzeit nur nutzbar, wenn in den Browsern aus Sicherheitssicht bedenkliche Einstellungen vorgenommen werden, die von einem Angreifer missbraucht werden können. Durch bewusste Vermeidung sicherheitskritischer Techniken (z. B. aktive Inhalte) können Inhalte-Anbieter dazu beitragen, dass auf den Clients keine unsicheren Einstellungen vorhanden sein müssen.
Viele Inhalte-Anbieter stellen auf ihren WWW-Seiten Programme und Dokumente zum Download bereit. Gelingt es einem Angreifer, dort ein trojanisches Pferd einzubringen, so kann er in kurzer Zeit auf eine große Verbreitung seines Programmes hoffen. Eine solche Vorgehensweise ist insbesondere bei DDoS-Angriffen für Angreifer sehr verlockend, da dabei eine große Zahl von Rechnern für einen wirkungsvollen Angriff benötigt wird. Der Inhalte-Anbieter sollte deshalb täglich mit speziellen Suchprogrammen überprüfen, ob auf seinen Seiten Programme mit Schadenfunktionen (Viren, Trojanische Pferde, DoS-Programme, etc.) zur Verfügung gestellt werden (für die Suche nach DDoS-Programmen siehe z. B. http://foia.fbi.gov/nipc/trinoo.htm).
Rechner der Endanwender sind im Normalfall nicht Ziel von DoS-Angriffen. Allerdings können diese Rechner dazu benutzt werden, dass ein Angreifer in einem ersten Schritt Programme auf ihnen installiert, die ihm dann ferngesteuert einen DoS-Angriff auf beliebige Rechner ermöglichen. Daher können auch Endanwender einen Beitrag zum Schutz vor DoS-Angriffen leisten.
Rechner von Endanwendern können als Agenten für
Angriffe missbraucht werden. Am leichtesten lassen sich solche
Agenten über Viren, trojanische Pferde oder durch aktive
Inhalte (insbesondere ActiveX) auf die einzelnen Rechner
installieren. Daher ist ein zuverlässiger und aktueller
Virenschutz und das Abschalten aktiver Inhalte im Browser dringend
anzuraten. Ggf. kann auch der Einsatz von Hilfsprogrammen zum
Online-Schutz des Clients (beispielsweise PC-Firewalls) erwogen
werden. Weitere Empfehlungen werden auf den WWW-Seiten des BSI
und der Initiative Sicherheit im Internet
gegeben.
Rechner, die über einen Internet-Anschluss verfügen,
sollten durch konsequente Umsetzungen der
IT-Grundschutzmaßnahmen aus den Kapiteln 6.1, 6.2 und 6.4
für vernetzte Unix-Systeme bzw. Windows NT des
IT-Grundschutzhandbuchs ein angemessenes Sicherheitsniveau
erreichen. Damit ist gewährleistet, dass typischen
Gefährdungen entgegengewirkt wird. Das IT- Grundschutzhandbuch
kann unter http://www.bsi. bund.de/gshb/
eingesehen und unter gshb@ bsi.de kostenlos auf CD-ROM bezogen
werden.
Immer wieder werden neue sicherheitsrelevante Schwachstellen in
den Betriebssystemen und der Serversoftware entdeckt, die wenig
später durch Updates (Patches) der Hersteller behoben werden.
Um möglichst zeitnah reagieren zu können, ist es
notwendig, die Mailinglisten des Computer Emergency Response Teams
(CERT) und der Hersteller zu abonnieren und auszuwerten. Die
relevanten Updates sind schnellst möglich einzuspielen, um die
bekannt gewordenen Schwachstellen zu beheben.
Um einen Rechner vor Risiken und Gefahren zu schützen, ist
z. T. erhebliches Know-how zur Erarbeitung einer guten effektiven
IT-Sicherheitskonfiguration notwendig. Administratoren müssen
daher ausreichend aus- und weitergebildet werden. Zur
Unterstützung der Administrationsaufgaben sollten zudem
Sicherheits-Tools herangezogen werden. Besonders geeignet ist hier
das BSI-Tool USEIT, das es ermöglicht,
Schwachstellen in der Installation und Konfiguration von
Unix-Rechnern zu finden.
Der Computer-Virus "LoveLetter" alias "ILOVEYOU" hat sich Anfang Mai 2000 weltweit äußerst schnell mit Hilfe des Microsoft E-Mail-Programms Outlook auf Millionen von Windows-Rechnern verbreitet und auch viele andere Mail-Systeme (Lotus Notes, Eudora, etc.) erreicht und bei unachtsamen Benutzern Schaden angerichtet. Neben der erheblichen Beeinträchtigung des E-Mail-Verkehrs, der teilweise bis zum Zusammenbruch betroffener Systeme führte, sind zudem auch Dateien auf den Rechnern der Anwender gelöscht oder unbrauchbar gemacht worden.
Nachfolgende Empfehlungen verstehen sich als Leitlinie, den Schutz vor Computer-Viren aus dem Internet zu verbessern. Gleichzeitig dienen sie als Diskussionsgrundlage zur konkreten Realisierung von Schutzmaßnahmen. Die Empfehlungen gelten aus aktuellem Anlass in erster Linie für Microsoft Windows- und Office-Produkte, da diese aufgrund der weltweiten Verbreitung und der bestehenden Angriffsmöglichkeiten das größte Gefährdungspotenzial darstellen. Jedoch auch bei Produkten von anderen Herstellern sind Schwachstellen vorhanden, die geschlossen werden müssen.
Obwohl in den Medien "LoveLetter" überwiegend als Computer-Virus bezeichnet wurde, ist er eigentlich der Kategorie "Wurm" zuzuordnen. Zur Vereinfachung wird in diesen Empfehlungen "Virus" als genereller Begriff für Programme mit Schadensfunktion, also Computer-Viren, Würmer, Trojanische Pferde, etc. verwendet. Jede einzelne der vorgestellten Maßnahmen bildet eine gewisse Schwelle als Hindernis für Computer-Viren. Mit der konzentrierten und koordinierten Verwirklichung wird die Wahrscheinlichkeit einer erfolgreichen Abwehr gesteigert.
Bereits durch das Aktivieren verfügbarer Sicherheitsfunktionen wird das Eindringen von Computer-Viren erheblich erschwert. Alle vorhandenen Sicherheitsfunktionen des Rechners sollte man aktivieren (Passwort-Schutz, Bildschirmschoner mit Passwort, etc.), damit während der Abwesenheit des berechtigten Benutzers Unbefugte keine Möglichkeit haben, durch unbedachte oder gewollte Handlungen den Rechner zu gefährden. Ein aktuelles Viren-Schutzprogramm mit aktuellen Signatur-Dateien ist einzusetzen, das im Hintergrund läuft (resident) und bei bekannten Computer-Viren Alarm schlägt. Im Microsoft Explorer sollte die Anzeige aller Dateitypen aktiviert sein. Ferner: Makro-Virenschutz von Anwendungsprogrammen (WinWord, Excel, Powerpoint, etc.) aktivieren und Warnmeldungen beachten. Sicherheitseinstellungen von Internet-Browsern auf höchste Stufe einstellen (Deaktivieren von aktiven Inhalten (ActiveX, Java, JavaScript) und Skript-Sprachen (z.B. Visual Basic Script, VBS), etc.). Keine Applikationsverknüpfung für Anwendungen mit potenziell aktivem Code (MS-Office) im Browser nutzen oder Anwendungen über Internet aktivieren. Sicherheitseinstellungen (ECL) bei Lotus Notes bearbeiten und das Ausführen von "gespeicherten Masken" per Datenbank unterbinden.
Eingehende E-Mail ist das größte Einfalltor für Computer-Viren. Bei sicherheitsbewusstem Verhalten lassen sich hierbei schon die meisten Computer-Viren herausfiltern. Offensichtlich nicht sinnvolle E-Mails von unbekannten Absendern sofort ungeöffnet löschen. Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde. Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff. Kein "Doppelklick" bei ausführbaren Programmen (*.COM, *.EXE) oder Script-Sprachen (*.VBS, *.BAT), Vorsicht auch bei Office-Dateien (*.DOC, *.XLS, *.PPT) sowie Bildschirmschonern (*.SCR). Auch eine E-Mail im HTML-Format kann aktive Inhalte mit Schadensfunktion enthalten.
Nur vertrauenswürdige E-Mail-Attachments öffnen (z. B. nach tel. Absprache). Es ist zu beachten, dass die Art des Datei-Anhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann. Ausgehende E-Mail
Durch Beachtung der folgenden Maßnahmen kann die Gefahr reduziert werden, dass ein Endanwender unabsichtlich Computer-Viren verteilt. E-Mails nicht im HTML-Format versenden, auch wenn es vom eingesetzten Mail-Programm her möglich wäre; ebenso sind aktive Inhalte in E-Mails zu vermeiden. WinWord-Dokumente im RTF-Format versenden (Damit wird auch die Weiterleitung von ggf. vertraulichen Informationen im nicht direkt sichtbaren Verwaltungsteil der DOC-Datei verhindert.) Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden, da diese evtl. einen Computer-Virus enthalten können.
Keinen Aufforderungen zur Weiterleitung von Warnungen, Mails oder Anhängen an Freunde, Bekannte oder Kollegen folgen, sondern direkt nur an den IT-Sicherheitsbeauftragten senden. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder "elektronische Ente", Kettenbrief). Gelegentlich prüfen, ob E-Mails im Ausgangs-Postkorb stehen, die nicht vom Benutzer selbst verfasst wurden.
Daten und Programme, die aus dem Internet abgerufen werden, stellen einen Hauptverbreitungsweg für Computer-Viren und Trojanische Pferde dar, um Benutzerdaten auszuspähen, weiterzuleiten, zu verändern oder zu löschen. Es muß darauf hingewiesen werden, dass auch Office-Dokumente (Text-, Tabellen- und Präsentations-Dateien) Makro-Viren enthalten können. Programme sollten nur von vertrauenswürdigen Seiten geladen werden, also insbesondere von den Originalseiten des Erstellers. Private Homepages, die bei anonymen Webspace-Providern eingerichtet werden, stellen hierbei eine besondere Gefahr dar.
Die Angabe der Größe von Dateien sowie einer evtl. auch angegebenen Prüfsumme, sollte nach einem Download immer überprüft werden. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten, dass unzulässige Veränderungen, meist durch Viren, vorgenommen worden sind. Daher sollten solche Dateien sofort gelöscht werden. Mit einem aktuellen Viren- Schutzprogramm sollten vor der Installation die Dateien immer überprüft werden.
Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden. Installierte Entpackungsprogramme sollten so konfiguriert sein, dass zu entpackende Dateien nicht automatisch gestartet werden.
Administratoren, also die Verwalter und Betreuer von Rechnern und Netz-Infrastrukturen, müssen ihr Augenmerk nicht nur auf einen funktionierenden, sondern auch auf einen sicheren Ablauf richten. Da der Endanwender häufig aufgrund der Komplexität der Systeme nicht in der Lage ist, selbstständig für die Sicherheit seines Rechners zu sorgen, sollten Maßnahmen möglichst zentral koordiniert werden. Dem Benutzer ist auch klarzumachen, dass Sicherheit manchmal auch unbequem sein kann und damit die Benutzerfreundlichkeit einschränkt. Aber durch mangelndes Sicherheitsbewusstsein und das Bestreben, Sicherheitsfunktionen möglichst rasch wieder zu ignorieren oder gar zu deaktivieren, gefährdet der Einzelne nicht nur seinen Arbeitsplatz, sondern auch den seiner Kollegen.
Einsatz von Viren-Schutzprogrammen mit regelmäßiger automatisierter Aktualisierung (Update), da ein veraltetes Schutzprogramm nur für ein falsches Sicherheitsgefühl sorgt. Die Programme sollten sowohl zentral bei der Überwachung der E-Mail eingesetzt (File- bzw. Mail-Server), werden als auch lokal beim Endanwender (Client), damit dieser auch bei verschlüsselter Kommunikation geschützt ist.
Die Konfiguration der E-Mail-Clients sollte so eingestellt sein, dass Attachments nicht automatisch geöffnet werden. Außerdem sollten als E-Mail-Editor keine Programme mit der Funktionalität von Makro-Sprachen (z.B. WinWord) oder Scripts eingesetzt werden. Aus Sicherheitsgründen sollte ebenfalls das HTML-Format nicht verwendet werden. Die Endanwender sollten im Umgang mit E-Mails entsprechend geschult und hinsichtlich der Sicherheitsaspekte sensibilisiert werden. Für Probleme ist ein zentraler Ansprechpartner (E-Mail-Adresse, Telefon- und Fax-Nummer) zu benennen.
Viren-Schutzprogramme zur zentralen Überprüfung des E-Mail-Verkehrs sind auf Mail-Servern und Gateways zu installieren und regelmäßig zu aktualisieren. Filterregeln an Gateways oder Firewalls sowie die Nutzung von "Policies" sind zur Erhöhung der Sicherheit gut geeignet.
Derartige Maßnahmen erfordern oft keine teuren Zusatzprodukte. Dabei können Datei-Typen (z.B. *.VBS, *.WSH, *.BAT, *.EXE), die im täglichen Arbeitsablauf nicht als Anhänge von E-Mails vorkommen, gleich zentral abgeblockt werden.
Es sollten nur vertrauenswürdige E-Mail-Programme zugelassen sein, die auch über entsprechende Sicherheitsfunktionen verfügen. "Private" Insel-Lösungen auf einzelnen Arbeitsplatz-Rechnern dürfen nicht zugelassen werden, um die Sicherheit des Gesamtsystems nicht zu gefährden. Rechner, auf denen für die Organisation, Firma oder Behörde kritische Anwendungen laufen, müssen ohne E-Mail und Internet-Zugang betrieben werden.
Rechner mit ungeschützter externer Kommunikationsverbindung (z.B. Modem ohne Anschluss über gesicherte Gateways und Firewalls) dürfen nicht gleichzeitig mit dem Firmen- oder Behörden-Netz verbunden sein. Die Installation solcher Kommunikationsverbindungen erfordert eine ausdrückliche Genehmigung. Und nicht zu vergessen: Die Datensicherung! Bei Datenverlust ist das die einzige Maßnahme, die einen Weiterbetrieb der Firma, Organisation oder Behörde ermöglicht.
Die Informationswege für Notfälle sind zu planen, die zuständigen Funktionen oder Personen zu definieren, Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen. Je nach vorliegendem Schadprogramm sind Verfahren zur differenzierten E-Mail-Filterung (z.B. Größenbeschränkung, keine Attachments, nur Post-Eingang, Filterung von bestimmten Betreffs) vorzubereiten und auch zu testen. Da E-Mail mittlerweile das zentrale Informationsmedium geworden ist, dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden, damit nach wie vor Warnungen möglich sind.
Es muss sichergestellt sein, dass bei Vorliegen eines neuen Computer-Virus die Updates der Viren-Schutzprogramme möglichst rasch auf Servern, Gateways und Clients eingestellt werden. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen. Sollten durch einen neuen Computer-Virus die üblichen Informationswege nicht verfügbar sein, sind alternative Verfahren zur zeitnahen Warnung vorzusehen (z. B. notfalls auch durch Fax, SMS, Lautsprecherdurchsagen). Bei einigen Computer-Viren (so auch bei VBS/LoveLetter) wird durch Aktivieren von Programmen versucht, weiteren Code über das Internet (meist WWW) nachzuladen. Die dabei verwendeten IP- Adressen oder Ports sind durch Filter abzublocken. Für den Notfall sind Backup- und Restore-Strategien zu erarbeiten, die festlegen, welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind, damit in kürzester Zeit eine, wenn auch eingeschränkte, Funktionsfähigkeit hergestellt werden kann.
Gerade die Hersteller von Betriebssystemen und Anwendungsprogrammen sind dafür verantwortlich, ihren Kunden nicht nur Funktionalitäten, sondern auch ein Höchstmaß an Sicherheit zu liefern. Es kann nicht angehen, dass viele Kunden zusätzliche Aufwendungen finanzieller oder organisatorischer Art zu leisten haben, wenn ein Hersteller ohne große Mehrarbeit Möglichkeiten zur Verhinderung des Missbrauchs dieser Funktionalitäten von Hause aus vorsehen kann.
(Betriebssysteme, Anwendungsprogramme) sind in sicherer Grundkonfiguration auszuliefern. Gegenwärtig werden Produkte in der Regel mit unsicheren Einstellungen ausgeliefert, die erst durch Veränderungen von – zudem auch noch irgendwo verborgenen – Einstellungen in einen sichereren Zustand versetzt werden können. Dies unterbleibt erfahrungsgemäß deshalb in den meisten Fällen. Sicherheitsrelevante Einstellungen sollten auch zentral administrierbar sein.
Sind in den Produkten sicherheitskritische Technologien (z.B. Windows Scripting Host, JavaScript, LotusScript, E-Mail-Attachments) vorhanden, so ist ausdrücklich auf die Risiken und damit mögliche Beeinträchtigungen der Sicherheit hinzuweisen. Ergeben sich neue Möglichkeiten des Missbrauchs von an und für sich nützlichen Funktionalitäten, so sind die Kunden unverzüglich darüber zu informieren und Abhilfen anzugeben.
Die Daten sollten von ausführbarem Programmcode getrennt sein, zum Beispiel also getrennte Dateien für Texte und Makros.
Gerade Kommunikations-Programme wie E-Mail-Systeme, die einen idealen Nährboden für die Verbreitung von Computer-Viren bilden, müssen hinsichtlich Sicherheit dringend verbessert werden. Es darf nicht möglich sein, dass ungefragt und unbemerkt vom Anwender hunderte und tausende von E-Mail-Nachrichten verschickt werden. Anhänge von E-Mails sollten von der eigentlichen Meldung getrennt abgespeichert werden, damit infizierte Dateien bereits beim Eingang durch Viren-Schutzprogramme erkannt werden können.
Betriebssysteme sind ebenfalls in puncto Sicherheit dringend zu verbessern. Ein "Doppelklick" auf einen Anhang in einer E-Mail darf nicht dazu führen, dass damit ein Programm aktiviert wird, das unbemerkt Veränderungen im Betriebssystem und an Dateien des Anwenders vornimmt und sich durch Nachstarten von anderen Programmen weiter verbreiten kann. Generell muss es möglich sein, Programme nur in einer abgeschotteten Umgebung ("Sandkasten-Modell") kontrolliert auszuführen.
Auch die Inhalte-Anbieter sind in der Pflicht, Maßnahmen zu ergreifen, um die Beeinträchtigung ihrer Kunden durch Computer-Viren zu minimieren.
Werden auf den Internet-Seiten Dateien zum Download angeboten, sollte für jede Datei die genaue Größe (in Byte, nicht nur KB oder MB) angegeben werden. Auch die zusätzliche Angabe einer Prüfsumme oder einer Signatur erleichtert es dem Endanwender, festzustellen, ob die Datei, die auf seinem Rechner vorhanden ist, auch dem Original entspricht, und nicht etwa durch einen Computer-Virus modifiziert wurde. Auch sollte auf den Einsatz von Cookies verzichtet werden.
Zusätzlich sollten die Empfehlungen zum Schutz vor verteilten
Denial of Service-Angriffen im Internet berücksichtigt
werden, insbesondere die Maßnahmen 9 bis 11: "Auswahl
geeigneter und IT-sicherheitsbewusster Serverbetreiber",
"Vermeidung aktiver Inhalte", "tägliche
Überprüfung von Dateien auf Viren und
Angriffsprogramme".
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 61
