Consato IT-Lösungen für Unternehmen

Soforthilfe

Tel: 09191 / 353 98 – 0

Consato, Ihr Systempartner rund um IT und Organisation

Windows 7 Ablösung - Stichtag: Januar 2020

Strategien und Lösungen

 

Locky & Co • Schutz für die IT in Unternehmen • Teil III

Die Gefahr von Krypto-Trojaner betroffen zu sein, kann durch verschiedene Maßnahmen deutlich gesenkt werden. Neben der Schulung der Benutzer und der laufenden Pflege der IT gehören dazu auch Maßnahmen, die nur einmalig ergriffen werden müssen.

Das behandelt der dritte Teil unserer Serie.

Teil 3: Präventive, einmalige Maßnahmen - die Infektion verhindern

Die einmaligen Maßnahmen in der Übersicht

  • Windows XP, Office 2003 und ältere Versionen sind ernsthaft gefährdet
    Ersatz solcher Systeme durch aktuelle Versionen

  • Makrosicherheit bei Office 
    Eine hohe Makrosicherheit kann das Ausbreiten von Krypto-Trojanern sehr effektiv verhindern.

  • Arbeiten als echter Administrator und Administratoren-Konten ohne Kennwort vermeiden 
    Kommt es zu einem Befall, während man als echter Administrator angemeldet ist, dann hat der Virus Zugriff auf das gesamte Netzwerk.

  • Die UAC (Benutzerkontensteuerung) schützt die Unternehmens-IT
    Mittels der UAC kann die Gefahr deutlich vermindert werden, wenn Benutzer für ihre Arbeit administrative Rechte brauchen.

  • Die Zugriffsrechte im Unternehmen sollten mit Augenmaß eingeschränkt sein 
    Je mehr Schreibrechte ein Benutzer hat, umso größer ist der Schaden, wenn das System mit einem Krypto-Trojaner infiziert wird.

  • Filtern von potentiell gefährlichen Mailanhängen
    Fast alle Mailanhänge sind potentiell gefährlich. Falls das praktikabel ist, sollte man sie standardmäßig blockieren.

  • Mailverkehr durch Zertifikate sichern 
    Mails, die durch Zertifikate gesichert sind, sind besonders vertrauenswürdig.

  • Klärung der privaten Nutzung des Internets und von E-Mails
    Die private Nutzung von Internet und E-Mails ist eine zusätzliche Gefahr für das Unternehmen. Sie sollte deshalb nach Möglichkeit eingeschränkt werden. Im Idealfall kann ganz darauf verzichtet werden.

  • Software auf das Notwendige beschränken
    Das Entfernen von nicht benötigter Software steigert die Sicherheit.

  • Geschäftskritische Daten nur auf dem Server ablegen
    Geschäftskritische Daten sollten dort abgelegt werden, wo auch eine Datensicherung erfolgt.

  • Datensicherung vor Schreibzugriffen durch Benutzer schützen
    Hat ein Benutzer einen Schreibzugriff auf die Datensicherung, dann wird diese bei einem Virusbefall auch verschlüsselt.

Einmalige Maßnahmen im Detail

Windows XP, Office 2003 und ältere Versionen sind ernsthaft gefährdet

Microsoft stellt für Windows XP und Office 2003 keine Sicherheitsupdates mehr zur Verfügung.

Surft man mit Windows XP im Internet, oder empfängt man mit Office 2003 E-Mails und öffnet die Anlagen von E-Mails, dann besteht ein sehr hohes Risiko.

Das gilt auch für Vorgänger, wie Windows 2000, Windows ME, Windows 98, Office 2000, Office XP etc. Dennoch sind solche Systeme nach wie vor im Einsatz …

Wichtig:

  • Systeme mit diesen Produkten sollten unbedingt durch neue Windows- und Office Versionen ersetzt werden.
  • Oft erscheint es aus Gründen der Kompatibilität nötig, die alten Versionen eines Betriebssystems weiter zu verwenden (Beispiel: eine bestimmte Software läuft nicht auf neueren Windows-Systemen. In der Regel gibt es aber Wege, solche Software doch auf neueren Windows-Versionen zu betreiben.)
  • Gibt es keine Alternative zu Windows XP etc., dann muss sichergestellt sein, dass der betreffende PC keinen Zugang zum Internet hat und damit auch keine Möglichkeit, Mails zu empfangen.

 

Makrosicherheit bei Office

Viele Krypto-Trojaner verbreiten sich über Makros in Office-Dokumenten.

Makros sind kleine Programme, die unter Umständen beim Öffnen eines Dokuments gestartet werden und Schaden anrichten können. Die Office-Programme sollten so eingestellt sein, dass sie die Makros nicht ohne Rückfrage starten.

Wichtig:

  • Makros sind sinnvoll, aber häufig auch gefährlich.
  • Die Office-Programme (mindestens Excel, Word und Powerpoint) sollten für alle Benutzer so eingestellt sein, dass sie nicht ohne Rückfrage Makros starten.
  • Das lässt sich am einfachsten über Gruppenrichtlinien vereinheitlichen.
  • Die Benutzer müssen wissen, wie sie sich bei Meldungen zu verhalten haben.

 

Arbeiten als echter Administrator und Administratoren-Konten ohne Kennwort vermeiden

Als echter Benutzer „Administrator“ sollte man sich nur anmelden, wenn dieses für die Wartung der Systeme nötig ist.

Führt man einfache Arbeiten, insbesondere das Surfen im Internet und der Empfang von E-Mails, im Administrator-Status durch, gefährdet man das Unternehmen. Infiziert man sich in einem solchen Fall, dann kann der Virus sich ungehindert im gesamten Netzwerk verbreiten.

Wichtig:

  • Der Administrator-Status sollte nur für die Wartung von Systemen verwendet werden.
  • Das Konto sollte durch ein ausreichend komplexes Kennwort geschützt sein.

 

Die UAC (Benutzerkontensteuerung) schützt die Unternehmens-IT

Im Idealfall hat kein Benutzer administrative Rechte. Für Änderungen am System oder die Installation von Programmen wendet er sich an den Administrator.

Das kann in der Praxis allerdings die Arbeit behindern. Mit einer korrekt eingestellten UAC werden die Risiken aber deutlich minimiert: Die UAC meldet sich beim Benutzer, wenn eine Aktion durchgeführt werden soll, die die Rechte eines Administrators benötigt. Ist die Aktion plausibel, dann erlaubt der Benutzer diesen einmaligen Vorgang und arbeitet ansonsten so, als ob er keine administrativen Rechte hätte.

Wichtig:

  • Es kann in bestimmten Fällen sinnvoll sein, Benutzern administrative Rechte einzuräumen.
  • Für jeden Benutzer sollte individuell entschieden werden, ob er gelegentlich administrative Rechte benötigt.
  • Auf allen Computern sollte die UAC auf Stufe 3 eingestellt sein.
  • Jeder Benutzer sollte die Meldung der UAC nur dann bestätigen, wenn er sicher entscheiden kann, dass die laufende Aktion ungefährlich ist.
  • Alltägliche Arbeiten als echter „Administrator“ sollte in jedem Fall vermieden werden.

 

Die Zugriffsrechte im Unternehmen sollten mit Augenmaß eingeschränkt sein

Benutzer benötigen für Ihre Arbeiten Schreibrechte für bestimmte Verzeichnisse (etwa die Berechtigung zur Änderung von Dokumenten). Auf viele Verzeichnisse wird aber gar kein Zugriff benötigt, oder es reicht ein Lesezugriff aus.

Je weniger Schreibrechte ein Benutzer hat, umso weniger Schaden können Locky und Co im Ernstfall anrichten.

Wichtig:

  • Für jeden Benutzer sollte bekannt sein, welche Daten er schreiben, lesen oder gar nicht im Zugriff haben sollte.
  • Die Berechtigungen sollten entsprechend restriktiv eingeschränkt sein.
  • Mittels Benutzergruppen ist eine komfortable Verwaltung möglich.

 

Filtern von potentiell gefährlichen Mailanhängen

In den meisten Mailanhängen können sich Viren und Trojaner verstecken, vor allem in ZIP-Dateien und Office-Dokumenten. Selbst die vermeintlich sicheren PDFs können gefährlich sein.

Zudem hat sich gezeigt, dass Virenscanner eine neue Welle von Viren und Trojaner zunächst meist nicht erkennen. Manche Virenscanner (etwa Avira für Exchange Server) bieten daher die Möglichkeit, potentiell gefährliche Anhänge im ersten Schritt auszufiltern. Es wird nur der Text der E-Mail ohne die geblockten Anhänge zugestellt. Erst wenn der Mitarbeiter zu dem Schluss kommt, dass die Anhänge wichtig sind, kann er sich diese gezielt holen.

Wichtig:

  • Alle E-Mail-Anhänge sind potentiell gefährlich!
  • Wird ein Exchange Server eingesetzt, so können beispielsweise über „Avira für Exchange“ bestimmte Anhänge geblockt werden.
  • Welche Anhänge geblockt werden sollen lässt sich dabei sehr komfortabel einstellen.
  • Werden die Anhänge gebraucht, dann kann der Benutzer sich diese gezielt im Nachhinein holen.

 

Mailverkehr durch Zertifikate sichern

Bei E-Mails stellt der Einsatz von Zertifikaten sicher, dass der Absender nicht gefälscht und die E-Mail nicht nachträglich verändert wurde. Der technische Aufwand und die Kosten für eine Zertifikats-Lösung sind verhältnismäßig gering.

Wichtig:

  • Zertifikate erhöhen die Sicherheit von E-Mails erheblich.
  • Kosten und Aufwand sind verhältnismäßig gering.

 

Klärung der privaten Nutzung des Internets und von E-Mails

Die private Nutzung von E-Mails und Internet stellt für die Unternehmens-IT eine zusätzliche Gefahr dar. Werden sie gestattet sind, dann ist die Unterweisung von Mitarbeitern zur IT-Sicherheit besonders wichtig.

Wichtig:

  • Je mehr das Internet im Unternehmen genutzt wird, um so größer ist die Gefahr für die IT.
  • Unterweisungen von Mitarbeitern zur IT-Sicherheit sind besonders dann wichtig, wenn die private Nutzung des Internets gestattet oder geduldet ist.
  • Firewalls mit Webfiltern können hier die Gefährdung verringern

 

Software auf das Nötigste beschränken

Grundsätzlich stellt jede Software, die auf einem PC betrieben wird, auch ein potentielles Sicherheitsrisiko dar.

Das gilt besonders für Programme, die Verbindung zum Internet aufbauen oder Dateien aus dem Internet oder aus E-Mails öffnen.

Wichtig:

  • Es sollte geprüft werden, welche Anwendungen im Unternehmen eingesetzt werden.
  • Nicht benötige Anwendungen sollten deinstalliert werden.
  • Bei allen anderen Anwendungen sollte geprüft werden, ob es sicherheitskritische Updates gibt.
  • „Aagon ACMP“ ist eine gute Lösung um die Software eines Unternehmens aktiv zu verwalten und die Updates zu pflegen.

 

Geschäftskritische Daten nur auf dem Server ablegen

Häufig werden geschäftskritische Daten wie Word-Dokumente oder Excel-Tabellen auf dem lokalen Computer gespeichert. Meist wird der lokale Computer aber nicht gesichert. Damit sind die Daten nicht in der Datensicherung vorhanden. Kommt es zu einem Befall, dann werden diese Daten verschlüsselt und können nicht aus der Datensicherung wieder hergestellt werden.

Wichtig:

  • Geschäftskritische Daten sollte nur dort gespeichert werden, wo auch eine Datensicherung erfolgt.
  • Nur so ist sichergestellt, dass sie bei Bedarf auch wieder hergestellt werden können.
  • In der Regel ist das der zentrale Server im Unternehmen.

 

Datensicherung vor Schreibzugriffen durch Benutzer schützen

Ist die Datensicherung an das Netzwerk angeschlossen und über einen Laufwerksbuchstaben erreichbar, so sollten Benutzer keinerlei Zugriffsrechte auf diese haben – noch nicht einmal Leserechte. Auf keinen Fall sollten aber Schreibrechte vergeben sein.

Wichtig:

 

Meine Kollegen und ich stehen Ihnen bei Fragen gerne zur Verfügung.

Robert Sappert-Ernst


<< Zurück zum Teil 1 der Serie (Allgemeine Fragen) 
<< Zurück zum Teil 2 der Serie (Datensicherung als letzter Anker)


Locky & Co • Schutz für die IT in Unternehmen • Teil III

Teil 1: Die wichtigsten Fragen

Teil 2: Die Datensicherung als Rettungsanker bei Krypto-Trojanern

Teil 3: Präventive, einmalige Maßnahmen - die Infektion verhindern

Teil 4: Sonstige präventive Maßnahmen - die Infektion verhindern (in Vorbereitung)


Schutz vor Locky - Kennenlern-Angebot

Sie möchten wissen ob Sie einen ausreichenden Schutz vor Locky & Co haben?

Wir helfen Ihnen kostenlos und unverbindlich!

So gehen wir vor:

  • Telefonische Vorbesprechung
  • Untersuchung per Fernwartung
  • Abschlussbericht mit konkreten Handlungsempfehlungen
  • Abschlussgespräch

Umfang: 4 Stunden. Kostenlos und ohne weitere Verpflichtungen.

Für: Unternehmen mit mindestens 10 Arbeitsplätzen

Vereinbaren Sie einen Termin
  • Telefon: 09191/353 98-0
  • E-Mail:

IT Leistungen der Consato

IT Sicherheit, Anti-Viren, Anti-Spam, Patch-Management, Monitoring

Datenrettung und Daten-Wiederherstellung

Soforthilfe - Ersten vier Stunden kostenlos - Fehlerbehebung bei akuten Problemen

Server und Virtualisierung unter Windows und Linux

Netzwerke, VPN, WLAN, VLAN, Lan-Lan Kopplungen, Netzwerk-Trennungen, heterogene Netze

Unterstützung von Administratoren - Beratung von IT Entscheidern - Erstellung von Konzepten

Software- und Schnittstellen-Entwicklung

Diese Webseite verwendet Cookies, um Ihnen ein angenehmeres Surfen zu ermöglichen.