Zahlen und Trends

Beginnen wir mit einem Blick in die Entwicklung der Verbreitung von Schadsoftware. Da auf vielen Geräten Microsoft Windows im Einsatz ist und zum großen Teil auch der Defender als AntiViren-Tool, verfügt Microsoft über eine große Datenbasis über die Verbreitung von Schadsoftware und veröffentlicht diese Daten regelmäßig.2016-MSIR-Trend.pngWir berichten im Folgenden aus dem aktuellen Sicherheitsbericht (Microsoft Security Intelligence Report (MSIR)) vom Zeitraum Jan-Jun 2016.

Zunächst kann man festhalten, dass die Flut von Schadsoftware in ihrer Intensität schwankt. Hieran erkennt man, dass die Guten den Bösen immer knapp auf den Fersen sind, mal mit mehr, mal mit weniger Abstand. Weltweit war im 2. Quartal 2016 jeder fünfte Rechner (20%) Schadsoftware ausgesetzt, in Deutschland liegt die Rate zwar darunter, aber immerhin auch noch bei ca. 13%. (siehe Bild rechts, Quelle: MSIR)

Interessant ist die Verteilung der verschiedenen Typen von Schadsoftware (siehe Bild unten, Quelle: MSIR). Hier führt der Trojaner, der sich möglichst unauffällig in das System ein2016-MSIR-malicious websites.pngnistet und dann zu einem bestimmten Zeitpunkt z.B. als Teil eines Bot-Netzes an koordinierten Angriffen beteiligt.

Eine weitere Statistik (siehe Bild links, Quelle: MSIR) zeigt einen Trend zu infizierten Web-Seiten. Die Anzahl von Web-Seiten, die Schadsoftware hosten, also verbreiten, hat signifikant zugenommen. Da, wie oben gesehen, nicht unbedingt mehr PCs einer Infizierung ausgesetzt si2016-MSIR-malware types.pngnd, folgt, dass eine Infizierung durch Schadsoftware zunehmend eben nicht mehr über Dateien als Email-Anhang stattfindet, sondern über den Besuch von infizierten Web-Seiten.

Deshalb werden wir auf diesen Punkt im Folgenden noch einmal im Detail eingehen.

 

 

Infizierung über Web-Seiten

Im ersten Blog-Beitrag sind wir auf die Infizierung über Email-Anhänge und Emails mit Links auf infizierte Web-Seiten eingegangen. Die infizierten Web-Seiten erreichen Sie natürlich nicht nur über Links in E-Mails, sondern auch, wenn Sie allzu sorglos unbekannte Internet-Seiten besuchen, z.B. über Lockangebote in Foren oder über Werbeanzeigen. Suchen Sie z.B. nach kostenlosen Streaming-Angeboten für Serien oder Filme und erlauben den gefundenen Angeboten die Installation von Software oder Browser-AddOns, so werden Sie mit hoher Wahrscheinlichkeit mit Schadsoftware infiziert.

Es ist wichtig zu verstehen, dass in vielen Fällen auch schon der Besuch einer Webseite ausreicht, um infiziert zu werden. Hierfür sind zwei in Web-Seiten eingebettete Technologien hauptverantwortlich:

  1. Flash: Flash hat ein andauerndes, man kann sagen immanentes Sicherheitsproblem und ist eigentlich nicht mehr zu retten. Flash wird vermutlich aussterben, obgleich es sehr häufig noch für Animationen, Browser-Spiele, Video-Player, etc. genutzt wird. Unsere Empfehlung: Flash deaktivieren!

  2. Java Script: Ohne Java Script läuft fast keine Web-Seite benutzerfreundlich. Die Autovervollständigung eines Formularfelds schon beim Tippen (bekanntes Beispiel ist die Google-Suche) wird z.B. mit Java Script umgesetzt. Unsere Empfehlung ist der Einsatz von NoScript, einem Browser AddOn, welches die Ausführung von Java Script zunächst verhindert. Per Klick kann die Ausführung dann für einzelne Domains (für erfahrene Anwender) oder für ganze Web-Seiten erlaubt werden. Wer ohne NoScript im Internet unterwegs ist, sollte sich nur auf vertrauten Web-Seiten bewegen.

 

Werbenetzwerke als unterschätzte Gefahr

Eine unterschätzte Gefahr, die ebenfalls mit Java Script zusammenhängt, sind Werbenetzwerke. Diese werden z.B. von Online Informationsportalen oder Zeitungen genutzt, um über Werbung Geld einzunehmen. Die Portale arbeiten dazu mit Werbenetzwerken zusammen und reservieren diesen Zugang zu Bereichen auf ihrer Web-Seite. Die Werbenetzwerke schalten dann eigenständig die Werbetreibenden auf diese Web-Seite. So kann auf vertrauten Web-Seiten über infizierte Werbung eines Dritten eine Infizierung erfolgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Infizierungsversuch des deutschen Bundestags über genau diesen Weg jüngstens bestätigt.

Wenn NoScript nicht genutzt wird, sollte zumindest ein sog. AdBlocker genutzt werden, der Werbung gezielt unterdrückt. Wir empfehlen uBlock. Das Perfide ist, dass manche Portale die Nutzung von NoScript oder AdBlockern erkennen und die Nutzung der gesamten Web-Seite technisch verhindern. Ohne Werbung keine Inhalte. Politisch wird seitens einiger Verlage sogar ein AdBlocker-Verbot gefordert. Diese Form der Regulierung wäre auf jeden Fall ein Fehler.

 

Wie kann Office 365 bei verlinkten Web-Seiten schützen?

Neben den aufgezeigten Möglichkeiten, sich selbst zu schützen, haben wir im ersten Beitrag bereits auf den Basisschutz innerhalb von Office 365 verwiesen. An dieser Stelle möchten wir den ergänzenden Dienst Advanced Thread Protection (ATP) vorstellen, der gegen Aufpreis (< 2€/Nutzer/Monat) die Sicherheit Ihrer Email Kommunikation noch einmal deutlich erhöht (Siehe hierzu das nachfolgende Bild, Quelle: Microsoft Webinar zu ATP von Natee Pretikul und Debraj Ghosh, Microsoft) Inked2017-EOP and ATP_mod.jpgDer Basisschutz EOP (im Bild hellblau markiert) erkennt zwar der Email angehängte, infizierte Dateien anhand ihrer Signatur und verhindert die Auslieferung an Ihr Email-Programm (z.B. Outlook), allerdings haben wir in diesem Artikel gezeigt, dass es eine Verschiebung gibt von direkt infizierten Emails (über Ahänge) hin zu einer Verlinkung von infizierten Web-Seiten. Sind Sie erstmal auf diesen Web-Seiten, kann Ihnen Office 365 nicht mehr helfen, dann könnte nur noch der lokale Virenscanner helfen.

Genau hier setzt Microsoft an und ersetzt alle Links in eingehenden Emails durch eine Web-Seite von Microsoft, die als eine Art Schleuse (Proxy) dient (im Bild lila markiert). Microsoft hat hierdurch die Möglichkeit, die tatsächlich besuchten Web-Seiten über diese Schleuse beim Zugriff in Echtzeit zu überprüfen und ihn im Ernstfall nicht zuzulassen bzw. nur nach Bestätigung der Warnung zuzulassen. Wie restriktiv ATP Web-Seiten blockt, das lässt sich über Richtlinien genau konfigurieren.

 

Referenzen:


Konversation wird geladen