Virenprogrammierer sind ganz versessen auf Ihren Rechner, denn jeder neue verseuchte PC bringt den Programmierern und Kriminellen mehr Geld.
Haben Hacker etwa ein paar hundert PCs mit einem Bot infiziert, dann vermieten sie diese Computer an Spammer, die darüber millionenfach ihre Werbemails aussenden. Auf der anderen Seite gibt es immer mehr Schädlinge, die es auf Ihre Daten, Log-ins, Online-Banking-Infos und Kreditkartennummern abgesehen haben.
Wir klären über die 10 fiesesten Viren-Fallen im Internet auf und sagen, wie Sie Ihren Rechner schützen.
Unsere Gefahrenskala von 1-5 zeigt wie groß die Gefahr ist. 1 bedeutet „gering", 5 „sehr groß".
1. Populäre Software mit Malware verseucht
Gefahr (4): Verbreiter von Malware nutzen den Hype um neue Software, um ihre Schädlinge unters Volk zu bringen. Beispiel Windows 7: Schon mehrere Tage, bevor Microsoft die Vorabversion (Release Candidate) zum Download bereitgestellt hat, zirkulierte in Tauschbörsen ein Download mit diesem Namen. Viele Anwender, die es nicht abwarten konnten, sind darauf hereingefallen. Statt des Betriebssystems erhielten sie eine Scareware, also ein betrügerisches, vorgebliches Antivirusprogramm. Bereits im Januar haben Online-Kriminelle auf die gleiche Weise das Interesse an Apples neuer Software iWork ’09 ausgenutzt, um einen Bot zu verbreiten. Sie haben damit ein Botnet aus gekaperten Macs aufgebaut.
Abwehr: Nicht jede Antiviren-Software erkennt Scareware und blockt sie ab, wenn sie gerade frisch in Umlauf gebracht wurde. Daher lautet die Abwehrstrategie, Software aus fraglichen Quellen entweder gar nicht herunterzuladen oder aber erst in einer virtuellen Maschine zu testen.
- 10 Tipps für Ihre Sicherheit
Das Thema Sicherheit wird in Firmen oft noch bagatellisiert. Lesen Sie hier, wie Sie das Risiko einfach senken können. - Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter. - Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden. - Tipp 3: Passwörter und Benutzernamen einrichten
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert. - Tipp 4: Virenscanner und Firewall sind ein Muss
Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken. - Tipp 5: Daten regelmäßig sichern
Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern. - Tipp 6: Erstellen Sie einen Notfallplan
In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich. - Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern. - Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich. - Tipp 9: Server und Netzwerk schützen
Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden. - Tipp 10: Zugriffsregel erleichtern Adminstration
Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen.
2. Viren-Attacke auf Outlook-Anwender
Gefahr (3): Phishing bezeichnet eine Methode, bei der eine Mail mit gefälschtem Absender den Nutzer auf eine gefälschte Website lockt. Dort soll das Opfer seine persönlichen Daten und Log-ins verraten. Ist die Seite gut gemacht, also etwa eine perfekte Nachbildung der Website einer Bank, dann stolpern tatsächlich etliche Anwender in die Falle. Trickreich gemacht war eine Phishing-Attacke auf Anwender von Microsoft Outlook Anfang Juni 2009. In der Phishing-E-Mail wurden die Benutzer aufgefordert, ihr E-Mail-Programm über ein Online-Verfahren neu zu konfigurieren. Der beigefügte Link führte angeblich zu Microsoft, tatsächlich aber auf eine Phishing-Site. Dort sollten die Anwender ihren Benutzernamen und ihr Passwort angeben. Dadurch erlangten die Kriminellen die Kontrolle über das Mailkonto des jeweiligen Benutzers. Andere Mails dieser Art verwiesen auf einen Virus.
Abwehr: Überprüfen Sie vor der Eingabe von Log-in-Daten immer, ob die Adresse oben im Browser die der gewünschten Website ist. Nutzen Sie zudem einen Link-Scanner und ein Antiviren-Programm.
3. Falscher Flash-Player installiert Trojaner
Gefahr(4): Per Mail oder Suchmaschinen-Spam verbreiten Kriminelle Links zu angeblich besonders spannenden oder lustigen Web-Videos. Wer den Link anklickt, landet auf einer Seite, auf der es noch keinen Clip zu sehen gibt. Es wird nur ein Bild angezeigt, das ein abspielbereites Video vortäuscht. Wer dieses Video per Klick zum Starten bringen will, bekommt eine Aufforderung, die neueste Version von Adobe Flash Player herunterzuladen und zu installieren. In besonders gut gemachten Fällen landet das Opfer auf einer Download-Site, die dem Original von Adobe täuschend ähnlich sieht. Der Server der gefälschten Site steht meist in Ländern mit einem unterentwickelten Internet-Recht. So bleiben diese Sites lange online. Damit aber nicht genug. Lediglich der eigentliche Download-Link und die Web-Adresse, in der jeweils „addobe“ statt „adobe“ steht, weisen bei genauer Betrachtung auf die Täuschung hin. Die zum Download angebotene Datei heißt wie das Original „install_flash_player.exe“ und trägt das gleiche Symbol. Damit enden jedoch die Gemeinsamkeiten. Was unvorsichtige Web-Surfer mit der Datei tatsächlich erhalten, ist Malware: ein Trojanisches Pferd, das Anmeldedaten für das Online-Banking ausspionieren soll.
Abwehr: Das beste Mittel gegen solche Schädlinge ist erhöhte Wachsamkeit, wenn Sie von einer Web-Seite zum Download von Updates aufgefordert werden. Prüfen Sie die Download-Adresse genau, und installieren Sie zusätzlich einen Link-Scanner.