Wie schtzen Sie sich gegen Schadsoftware? WannaCry ist ein spektakulrer aber bei weitem nicht der einzige Schdling, mit dem wir es heute zu tun haben. Nach einem Ransomware-Befall hilft die Neuinstallation der betroffenen Arbeitspltze und die Wiederherstellung der verlorenen Daten aus einem aktuellen Backup. Kein Spa aber immerhin hat man das akute Problem danach beseitigt. Noch unerfreulicher wre der Abfluss oder die unbemerkte Vernderung vertraulicher Daten ber einen lngeren Zeitraum - ohne dass sie dies auch nur bemerken. 4 Manahmen, mit denen Sie Ihren Schutz drastisch verbessern knnen: // 1 - Patching! Schadsoftware verbreitet sich vor allem ber bekannte Sicherheitslcken. Sicherheitslcken, die von den Herstellern lngst gestopft wurden. Das Risiko, dass es zu Schden kommt, lsst sich also dramatisch reduzieren, in dem man Hersteller-Patches bzw. neuere, sicherere Programmversionen zeitnah installiert. Siehe auch Gartner. Wir reden hier nicht ausschlielich von Microsoft - andere Hersteller tragen >50% der bekannten Sicherheitslcken bei (Java, Adobe Reader, etc.). Die Microsoft Betriebssystem, Office, Internet Explorer und andere Microsoft-Applikationen zu patchen ist also bestenfalls die halbe Miete. Patches vieler Hersteller automatisch zu installieren und auch nachvollziehen zu knnen, dass alle gewnschten Patches auf allen gewnschten Computern installiert sind ist mglich - mit dem richtigenSystem ist das gar nicht mal so schwierig - siehe Patching - nicht nur von Microsoft. 2 - Administrative Rechte nur fr Administratoren Auch Benutzer ohne administrative Rechte bzw. Schadsoftware, die im Benutzerkontext luft, kann erheblichen Schaden anrichten. Betroffen sind alle Bereiche, auf die ein Benutzer Schreibrechte hat - und die bentigen Benutzer im Regelfall um arbeiten zu knnen. Wo Benutzer aber administrative Rechte haben, hat es Schadsoftware umso einfacher sich dauerhaft und unbemerkt im System einzunisten. Software sollte ohnehin von der IT-Abteilung und damit Profi-Administratoren installiert werden. Vertrauenswrdige Software, Programme die stabil laufen und die Benutzern wirklich helfen ihre Arbeit zu erledigen und eben keine unbekannte Software aus dubiosen Quellen. Der Aufwand fr die Installation der wirklich gewnschten Software kann durch Automatisierung auf ein Minimum reduziert werden auch ganz ohne administrative Rechte des Benutzers - siehe ohne zustzliche IT-Mitarbeiter. 3 - Ausfhrung von fremder Software verhindern Wie gesagt Schadsoftware kann auch ganz ohne administrative Rechte des Benutzers groe Schden verursachen. Stichwort: Ransomware. Wenn nicht nur Dokumente auf der lokalen Festplatte des befallenen Computers, sondern auch alle Daten auf den Fileservern verschlsselt wurden, muss ein aktuelles Backup eingespielt werden. Die nderungen seit dem letzten Backup sind verloren. Die Zugriffsrechte knnen fr Benutzer auf ein sinnvolles bzw. notwendiges Ma reduziert werden, ganz ohne Schreibrechte wird es aber im Regelfall nicht gehen. Die Einschrnkung der berhaupt ausfhrbaren Programme kann die Sicherheit an dieser Stelle signifikant erhhen. ber Software Restriction Policies bzw. AppLocker lassen sich Programme entsprechend definierter Regeln kontrollieren. Voraussetzung ist allerdings Punkt 2: keine administrativen Rechte fr die Benutzer! Die Regeln fr die Programmausfhrung knnen z.B. so aussehen: Erlaube alle Programme in den Programmverzeichnissen und im Windows-Verzeichnis Hier haben Benutzer im Regelfall keine Schreibrechte, die Programme wurden also von einem Administrator da installiert und sind damit vertrauenswrdig. Die Ausnahmen von der Regel, also Unterverzeichnisse, auf die auch normale Benutzer Schreibrechte haben, mssen explizit ausgeschlossen werden. Erlaube alle Programme, die mit einem vertrauenswrdigen Zertifikat signiert sind. Damit knnen auch Programme auerhalb der pauschal berechtigten Pfade berechtigt werden, z.B. Programme, die im Benutzerprofil liegen, wie Microsoft Onedrive oder verschiedene Fernwartungstools, die vom Benutzer zu Beginn jeder Session heruntergeladen werden mssen. Erlaube einzelne Programme, die durch einen Hashwert identifiziert werden Wenn nichts anderes hilft, knnen einzelne Programme per Hash erlaubt werden. Damit werden heruntergeladene Programme und Programme aus Mailanhngen effizient an der Ausfhrung gehindert, auch wenn der Benutzer versucht sie absichtlich oder unabsichtlich auszufhren. Der Aufwand fr die Einrichtung und Pflege der Regeln hlt sich sehr in Grenzen und Administratoren knnen auch weiterhin berall alle Programme ausfhren - siehehttps://msdn.microsoft.com/de-de/library/hh831534(v=ws.11).aspx 4 - Virenscanner Auch wenn Virenscanner immer wieder in die Diskussion geraten weil sie zu Strungen beitragen und teilweise sogar selbst Sicherheitslcher aufreien - zumindest die Erkennung bekannter Schdlinge erledigen Virenscanner zuverlssig. Ein Virenscanner mit aktuellen Signaturen gehrt daher m. E. nach wie vor auf jeden Arbeitsplatz. Fazit Diese Aufzhlung listet 4 einzelnen Manahmen fr die Erhhung des Schutzes auf. 4 Manahmen, die alleine keine komplette Sicherheitsstrategie darstellen, aber erhebliche, praktische Verbesserungen beim Schutz gegen Schadsoftware bringen knnen. berlegen Sie nochmal: WannaCry? Bitte zgern Sie nicht uns zu kontaktieren - wir helfen Ihnen gerne, Ihre Sicherheit und die Verwaltung Ihrer Computerarbeitspltze zu verbessern.