GAZ vom 13.11.2004

Viren sind  das kleinere Übel
Spyware in Betrieben

Schaden richtet diese im Fachjargon «Malware» genannte Software natürlich auch an. 
Nicht nur den direkten finanziellen Schaden durch  Einsatz des EDV-Personals und Ausfall des produktiven Arbeitsplatzes sondern sicher auch durch Informationen und Daten die «nach außen» gelangen. Die Datenmengen die dabei übertragen werden, «raus wie auch rein» belasten das Firmenbudget zusätzlich denn meist wird das übertragende Datenvolumen abgerechnet sofern es sich nicht um  eine Flat-Rate handelt.
Welche Daten das sind erfährt man spätestens wenn urplötzlich Dinge im Web zu finden sind, die dort nicht sein dürften. Oder man bekommt gezielte E-Mails, die genau das offerieren wonach man kürzlich gesucht hatte. Oder der reale Briefkasten enthält womöglich Angebote bei denen man sich wundert, wie passend die Offerte ist.
Welche Daten das genau sind kann niemand mit Bestimmtheit sagen, unangenehm ist der Gedanke allemal.
Kürzliche Befragungen von Sunbelt haben ergeben, dass Viren derzeit das kleinere Übel sind, nachzulesen unter [1] in englisch. Den Weg den diese Malware zum Firmenrechner findet unterscheidet sich nicht zu dem 
eines Privatrechners und wird häufig durch fehlende  Aufklärung der Benutzer erleichtert.
Der Aufforderung durch Mails eine bestimmte Internetseite zu besuchen sollte man widerstehen, eventuelle angehängte Dateien ignorieren.
Ein Absender der auf jemand Bekannten hindeutet, dieser aber 
nicht mehr deutsch spricht oder offensichtliche Übersetzungs-
fehler im Text bereithält, sollte mit äußerster Vorsicht behandelt werden.
Besser ist eine telefonische Nachfrage zu dem Sachverhalt, auch Rückfrage per Mail ist dann angebracht.
Der nette Kollege nebenan hat einen schicken Bildschirmschoner,
ein anderer eine schon lang gesuchte freie Software die angeblich das System schneller macht, muss nicht einmal installiert werden: schick sie mir mal rüber.
Ganz prekär, der Admin sucht unter Zeitdruck nach einer Lösung, 
natürlich mit allen Rechten im Firmennetz und schwups - ist er einer «bösen» Seite oder Software auf den Leim gegangen. Die Malware tummelt sich nun mit administrativen Rechten im Firmennetz.

Gibt es eine Policy die den im Firmennetz vorhandenen Internetzugang
reguliert, oder sonstige administrative Einschränkungen?
Dürfen von den Benutzern Programme installiert werden, oder ist dies durch eben solche firmenweiten Richtlinien verhindert worden. 
Was ist mit den Aussendienstmitarbeitern, die beim Kunden mit ihrem Laptop unterwegs sind, oder oft relativ ungeschützt vom Homeoffice aus arbeiten. Wie werden diese Geräte behandelt werden sie wieder an das Firmennetz angeschlossen, findet eine vorherige Überprüfung statt? PC's die durch Kundenkontakt kurzfristig wegen Datenaustausch oder gemeinsamen Projekten in das Firmennetz gelassen werden, stellen möglicherweise ebenfalls eine Gefährdung dar.
Letzte Frage, sind die Systeme auf dem aktuellen Stand, die entsprechenden Fixes oder Servicepacks installiert und somit einigermaßen sicher?

Die Gefahr einer Infizierung erfolgt nicht unbedingt nur vom Internet her, da haben Sie häufig vorgesorgt mit einer Firewall, Virenscanner und womöglich Paketfiltern. Die Gefahr die von innen kommt, wird allzu oft übersehen, wiegt aber meist schwerer. 

Ein mögliches Szenario einer Kompromitierung:
Ein gegen Gefahren vom Internet gut geschütztes System mit diversen Servern und Clients, bestens versorgt mit Virenscannern, E-Mail Scannern, Firewall und sogar eine Quarantäne Maschine, auf der obskure Dinge isoliert geprüft werden können. Leider sind nicht alle notwendigen Softwarefixes konsequent installiert worden oder sogar übersehen. Die Server, die rund um die Uhr laufen stehen ja geschützt im internen Netz, also sind einige wichtige Dinge nicht gepatched worden. Bei den Clients verhält sich dies ebenso, die verlassen das Unternehmen nicht. Also muss nicht jeder Hotfix installiert werden dachte man, da die problematischen Ports durch die Firewall vom Internet her blockiert wurden, hier kommst du nicht rein. Dieser Gedankengang erwies sich als fatal als eines Tages eine Präsentation durchgeführt werden sollte, die sich auf einem externen PC befand der zu diesem Zweck wirklich sehr kurz an das Firmennetz angeschlossen wurde. Schnelle Sache das, 10 Minuten wurden gebraucht um die Daten auf einen Server zu kopieren.
Das aber war genug Zeit für eine Variante des Sasser Wurms, der nun reichlich Beute fand und natürlich auch die nun ungeschützten Server in den Abgrund riss, neben etlichen Clients trotz Virenscannern auf allen Maschinen.
Warum dies werden Sie sich fragen, unmöglich - Signaturen nicht auf aktuellem Stand gewesen?
Nein, das passiert sehr leicht weil ein Virenscanner auf Dateiebene scannt und prüft. Er schaut aber nicht nach zerstörerischem Netzverkehr der sich aus etlichen Paketen zusammensetzt und erst wenn sich eine Datei daraus gebildet hat, schlägt er zu, leider zu spät. Die Firewall hat dies schon lange vom Internet her abgeblockt, nun kam dieser zerstörerische Verkehr aber eben nicht von aussen. 

Wie kann ein Unternehmen dieses Problem lösen, denn die Virenscanner sind nicht in der Lage Malware zu entdecken. Jede der rund 15000 Dateien in einem moderat bestücktem System zu kennen und im Schlaf zu benennen ist nicht jedermanns Spezialität.
Namensgleichheit oder Buchstabendreher sind auch für erfahrene Administratoren nicht leicht zu entdecken. Auf jedem Firmen-PC die frei verfügbare «Anti-Spyware»  zu verwalten und auf dem aktuellen Stand zu halten ist unmöglich. Dem Übel ohne enormen Verschleiß an Schuhsohlen beizukommen ist derzeit hoch im Kurs, einige Vertreter kommerzieller Software haben sich des Themas angenommen und präsentieren nun Lösungen die Enterprisefähig sind. Damit kann das Problem dann auch  zentral verwaltet und administriert werden, natürlich proprietär auf den Anbieter zugeschnitten, aber mit aktuellen Datenbeständen und Signaturen.

Hilfe gibt es schon - die Anbieter reagieren auf den Trend.
Computer Association [2] hat das aufgekaufte Werkzeug Pestpatrol gerade rechtzeitig fertig und eine Enterprisesuite «eTrust PestPatrol Anti-Spyware r5» daraus gemacht.

Trend Micro [3] hat seine Suite Officescan 6.5 gerade jetzt mit diesen Fähigkeiten ausgestattet.

Sunbelt (Sunsoftware) [4] bietet in kürze Counterspy (Desktopversion) und CounterSpy Enterprise für das Unternehmen an. 

Ein neuer Anbieter [5], gerade sechs Wochen in Deutschland etabliert, 
verspricht eine auf Linux basierte Lösung, mit umfassendem ungewöhnlichem Support wie mir versichert wurde.

Die Vorstellungen sind so brandneu, dass eventuell die Website der genannten Unternehmen noch nicht den neuen Status reflektieren, im Vorfeld konnte ich mich aber von der ernsten Absicht und Funktion dieser Anwendungen überzeugen lassen.
Die Frage nach der eventuellen Haftung der Benutzer bei Schäden klärt das Gericht  meist unter Mithilfe eines Sachverständigen. Letzteren können Sie auch vor dem Schaden beratend zur Prüfung Ihrer Maßnahmen einschalten.

Michael Bormann

 [1] http://www.w2knews.com/?id=500
 [2] http://ca.com/   http://www.pestpatrol.com/
 [3] http://www.trendmicro.de
 [4] http://www.sunbelt-software.com
 [5] http://www.network-box.de



 
l