2433330

Das kleine 1x1 der Sicherheitslücken

08.07.2019 | 08:02 Uhr | Arne Arnold

Nur wenn Sie sich als PC-Nutzer auch gut mit IT-Sicherheit auskennen, können Sie angemessen auf alle Bedrohungen reagieren. Damit Ihnen das einfach gelingt, erklären wir hier die wichtigsten Begriffe – mit vielen Infos zu Virenschutz & Co.

Dieses Sicherheitslexikon möchte Ihnen einige ausgewählte, interessante Begriffe aus dem Bereich der IT-Sicherheit ins Gedächtnis rufen. Es ist natürlich kein umfassendes Nachschlagewerk. Dafür genügen die wenigen Seiten eines Zeitschriftenartikels leider nicht. Wir haben aber jene Sicherheitsbegriffe herausgesucht, die gerade wieder besonders aktuell sind.

Internet

Spear Phishing: Gezielter Angriff

Eine besonders perfide Angriffsart auf Computernutzer ist das sogenannte Spear Phishing. Bei dieser Hackermethode informieren sich die Angreifer vor ihrer Attacke über das Opfer. Spear Phishing wird meist gegen Mitarbeiter einer Firma eingesetzt, in deren IT-Systeme die Angreifer eindringen wollen. Die Hacker bringen beim Spear Phishing zum Beispiel in Erfahrung, welcher Mitarbeiter für die Buchhaltung zuständig ist. Dieser erhält dann eine Mail mit einer Rechnung im Anhang, um dessen Bezahlung gebeten wird. Natürlich wird der Mitarbeiter den Anhang öffnen, da die Mail an ihn persönlich adressiert ist, ihn direkt anspricht und thematisch zu hundert Prozent in seinen Arbeitsbereich fällt. Der Mailanhang enthält dann neben einer fingierten Rechnung im PDF-Format auch noch einen Angriffscode, der zuerst den Rechner der Buchhaltung kapert und dann das ganze Firmennetzwerk.

Abwehr: Einen guten Schutz gegen Spear Phishing herzustellen, ist besonders schwer, da der Angriff auf das Opfer maßgeschneidert ist. Am ehesten helfen gute technische Maßnahmen: Aktuelle Software ohne Sicherheitslücken und eine gute Antiviren-Software. Zudem sollten Mitarbeiter laufend in Sicherheitsfragen fortgebildet werden.

Außerdem: Spear Phishing gibt es auch ohne Angriffscode. Wenn der Angreifer das Mailkonto eines Vorgesetzten kapern konnte, dann nutzt er dieses, um sich von einem seiner Mitarbeiter Geld überweisen zu lassen. Das klingt zwar zunächst unglaublich, ist aber bereits dutzendfach in Deutschland geschehen. Die betroffenen Firmen zahlten Summen von einigen Tausend bis zu mehreren Millionen Euro pro Fall. Das wird die „Chef“-Masche oder „CEO Fraud“ genannt. Das BSI hatte bereits 2017 ausdrücklich davor gewarnt und auch Tipps zum Schutz vor der Chef-Masche gegeben.

Web-Authentifizierung: Warum das Passwort so schnell nicht aussterben wird

Watering-Hole-Attacke

Zum Wasserloch (Watering Hole) muss jeder irgendwann einmal kommen. Zumindest in Gegenden, in denen Wasser knapp ist. Darum legen sich im Tierreich manche Jäger am Wasserloch auf die Lauer und warten, bis die Beute zu ihnen kommt. Ganz ähnlich funktioniert die Watering-Hole-Attacke von Hackern. Der Angreifer wählt eine bestimmte Website aus, von der er weiß, dass seine Opfer diese häufig besuchen. Hat er beispielsweise die Software-Entwickler einer Firma ins Visier genommen, dann sucht er eine Website mit Infos zu Programmcode aus. Idealerweise weiß er dafür, welche Projekte die Entwickler aktuell mit welcher Programmiersprache verfolgen. Dann infiziert er die Website mit einem Virus und wartet darauf, dass die Entwickler die Site besuchen und sich dort infizieren. Ähnliches funktioniert mit einer Personalabteilung, die sich öfter Infos von Fortbildungsportalen holt oder mit der Abteilung für Bürobedarf, die regelmäßig beim selben Online-Versender Verbrauchsmaterial wie Druckerpapier & Co. bestellt.

Abwehr: Hier schützt an erster Stelle ein stets aktueller Browser mit ebenfalls aktuellen Browser-Erweiterungen. Denn der Schadcode kann nur dann ohne Aktion des Nutzers einen Rechner befallen, wenn er Sicherheitslücken im Browser vorfindet. Zusätzlich schützt natürlich auch ein Antivirenprogramm.

Betriebssysteme

Privilege Escalation

Der Begriff Privilege Escalation, auch Rechteerhöhung oder Privilegienerweiterung genannt, bezeichnet das Ausnutzen einer Lücke im System mit dem Ziel, höhere Zugriffsrechte auf das Betriebssystem zu erlangen. Privilege Escalation gilt als besonders gefährlich, da dadurch eine der stärksten Schutzvorrichtung eines Systems durchbrochen wird. Im Falle von Windows geht es hauptsächlich um Schadcode, der mit den eingeschränkten Rechten eines Standardbenutzers gestartet wird und sich dann Admin-Rechte holen kann. Das geht etwa über eine präparierte PDF-Datei, die ein PDF-Reader öffnet. Mit einer Privilege-Escalation-Lücke im PDF-Reader kann sich der Code dann in die Registry eintragen.

Die Software Sandboxie packt beliebige Anwendungen in eine Sandbox.
Vergrößern Die Software Sandboxie packt beliebige Anwendungen in eine Sandbox.

Abwehr: Privilege Escalation wird in den meisten Fällen durch das Ausnutzen von Sicherheitslücken erreicht. Die können sowohl in Windows als auch in Anwendersoftware stecken. Am besten schützt also das umgehende Einspielen von verfügbaren Updates. Eine zusätzliche Hürde kann eine Sandbox sein, die eine Schutzmauer um Anwendungen zieht. Empfehlenswert dafür ist das Tool Sandboxie . Einen Ratgeber zu Sandboxie finden Sie hier .

Emet umhüllt Anwendungen mit einer zusätzlichen Schutzhülle umgibt.
Vergrößern Emet umhüllt Anwendungen mit einer zusätzlichen Schutzhülle umgibt.

Einen ähnlichen Schutz bietet das Tool Emet , das Programme gegen typische Angriffe abschottet. Eine Anleitung zu Emet gibt es hier . Allerdings funktioniert Emet nicht mit Windows 10 1809. Mit dem Mai-Update 2019 soll Windows ebenfalls eine Sandbox bekommen und Emet damit überflüssig sein.

Apps aus unbekannten Quellen

Für Android-Smartphones gibt es einen offiziellen App-Store von Google, genannt Google Play. Die Apps aus diesem Store sind geprüft und dadurch in den meisten Fällen virenfrei. Das gilt für „Apps aus unbekannten Quellen“, wie es im Android-Betriebssystem heißt, nicht immer. Virenverbreiter verteilen deshalb ihre schädlichen Apps über Websites per Download. Im Frühling 2019 kursierte etwa ein Gustuff genannter Banking-Trojaner als APK-Datei (= installierbare App), der auf dem Smartphone die Anmeldedaten von mehr als 100 Banking-Apps und 32 Kryptowährungs-Apps stehlen und automatisch Transaktionen durchführen konnte.

Abwehr: In Android ist die automatische Installation nur von APK-Dateien erlaubt, die aus Google Play stammen. Versuchen Sie eine APK-Datei aus einer anderen Quelle zu installieren, zeigt Android eine Warnung an. Gleichzeitig bietet Android die Möglichkeit, die Installation pauschal für alle fremden APK-Dateien zu erlauben. Ab Android 8 hat sich das allerdings geändert. Nun gilt die Erlaubnis für fremde APK-Dateien immer nur für die App, über die die APK-Datei gestartet wird. Liegt die APK-Datei etwa in Ihrer Dropbox und Sie starten sie von dort, müssen Sie die Installationsrechte in den Android-Einstellungen speziell für die Dropbox-App einräumen. Werfen Sie am besten mal einen Blick in der Einstellungen-App von Android unter „Sicherheit & Datenschutz –› Unbekannte Apps installieren“ (oder ähnlich lautend). Dort sind nun alle installierten Apps aufgeführt und deren Installationsrechte aufgelistet.

Internet of Things: Risiken & Gefahren

Netzwerk

SMB1: Veraltetes Protokoll

Wannacry verschlüsselt Benutzerdateien unter Windows und fordert anschließend Lösegeld.
Vergrößern Wannacry verschlüsselt Benutzerdateien unter Windows und fordert anschließend Lösegeld.

SMB steht für Server Message Block. Es handelt sich in der Version 1 um ein rund 30 Jahre altes Netzwerkprotokoll, das den Kern von Microsofts LAN-Manager ausmacht und für Datei- und Druckerfreigaben zuständig ist. Allerdings gilt SMB1 als veraltet und unsicher. Im Jahr 2017 konnte sich der Schädling Wannacry über eine Sicherheitslücke in SMB1 fast ungehindert in vielen Netzwerken verbreiten und die Daten von befallenen PCs verschlüsseln. Anschließend forderte Wannacry ein hohes Lösegeld. Die Sicherheitslücke hatte Microsoft mit dem Update MS17-010 bereits im März 2017 geschlossen. Dennoch stand SMB1 nach diesem Vorfall auf der Streichliste von Microsoft. Windows war schon seit Jahren nicht mehr auf SMB1 angewiesen, da es mit Windows Vista auf SMB2 und mit Windows 8 auf SMB3 setzt. Mit der Version Windows 10 1709 hat Microsoft dann SMB1 bei einer Windows Neuinstallation deaktiviert.

Zwar benötigt Windows 10 das Protokoll SMB1 nicht mehr, aber viele andere Netzwerkgeräte, etwa ein NAS oder einige Raspberry- Pi-Systeme. Taucht bei Ihrem System ein Netzwerkgerät nicht in der Windows-Netzwerkumgebung im Explorer auf, kann das gut und gerne am deaktivierten SMB1- Protokoll liegen. Sie beheben das Problem, indem Sie SMB1 wieder aktivieren. Das ist zwar nicht ganz optimal, da in SMB1 vielleicht noch weitere Sicherheitslücken stecken und es zudem langsamer arbeitet als seine Nachfolger, aber als Übergangslösung mag das in vielen Netzwerken vertretbar sein.

Seit der Windows-10-Version 1709 muss das SMB1-Protokoll erst aktiviert werden.
Vergrößern Seit der Windows-10-Version 1709 muss das SMB1-Protokoll erst aktiviert werden.

Sie aktivieren SMB1 in Windows 10 über die klassische Systemsteuerung unter „Programme –› Windows-Features aktivieren und deaktivieren –› Unterstützung für die SMB 1.0/CIFS Dateifreigabe“. Alternativ und ohne Sicherheitsmangel soll es auch helfen, die zwei Dienste „Funktionssuche Ressourcenveröffentlichung“ und „Funktionssuchanbieter- Host“ auf „Automatisch (verzögerter Start)“ umzustellen. Das geht unter „Systemsteuerung –› System und Sicherheit –› Verwaltung –› Dienste“. In dem Beitrag unter haben wir die Lösung des Problems etwas ausführlicher beschrieben. Sie finden die Anleitung dort gleich unter dem ersten Punkt „NAS ist in der Windows-Netzwerkansicht nicht sichtbar“.

Ist mein PC infiziert? So erkennen Sie Angriffe

SSL: Soll Vertrauen schaffen

SSL steht für Secure Sockets Layer und war bis vor wenigen Jahren der Standard für die Verschlüsselung von Webseiten. Mittlerweile wurde SSL vom technischen Nachfolger TLS (Transport Layer Security) abgelöst. Tatsächlich sprechen aber selbst Experten auch heute noch von SSL-Verbindungen, da der Begriff so verbreitet ist.

Eine Website mit einer SSL-/TLS-Verbindung bewirkt auch, dass der Browser ein Schlosssymbol in der Adressleiste anzeigt. Allerdings sollten Sie sich nicht alleine auf das Schlosssymbol und die SSL-/TLS-Verbindung verlassen, denn laut Sicherheitsforschern sind rund die Hälfte aller Phishingsites mittlerweile mit einer SSL-/ TLS-Verbindung geschützt und zeigen entsprechend ebenfalls ein Schlosssymbol an. Bei Phishingsites handelt es sich um gefälschte Websites, die an Ihre persönlichen Daten kommen wollen.

Abwehr: Kontrollieren Sie die besuchte Website und ihre Adresse ganz genau: Sind Sie auf der richtigen Website? Oder weicht die Adresse von der gewohnten URL ab und lässt damit eine Fälschung vermuten?

Hardware

Spectre: CPUs mit Mängel

Spectre Meltdown CPU Checker prüft Ihr Windows auf die Sicherheitslücken Spectre und Meltdown.
Vergrößern Spectre Meltdown CPU Checker prüft Ihr Windows auf die Sicherheitslücken Spectre und Meltdown.

Zum Jahreswechsel 2017/2018 wurden mehrere Sicherheitslücken in den CPUs von Intel und AMD bekannt. Sicherheitsforscher tauften die Schwachstellen in der Hardware auf die Namen Meltdown und Spectre. Betroffen sind nahezu alle PCs, Server und Mobilgeräte. Die Lücken erlauben es, dass feindlicher Code auf eigentlich geschützte Speicherbereiche in der CPU zugreifen und Daten auslesen kann.

Die gute Nachricht gibt es für Privatanwender: Ein Angreifer wird sich kaum die Mühe machen, einen Privat-PC über eine dieser Sicherheitslücke anzugreifen. Denn wenn sein Schadcode diese Lücken ausnutzen kann, dann kann er Windows auch gleich direkt übernehmen. Gefährlich ist Spectre dagegen für Server, auf denen per Virtualisierung getrennte System laufen. Hacker können von einem System über die CPU-Bugs auf ein anderes System zugreifen.

Specucheck prüft Ihr System auf die Sicherheitslücken Spectre und Meltdown.
Vergrößern Specucheck prüft Ihr System auf die Sicherheitslücken Spectre und Meltdown.

Abwehr: Auch wenn Ihre PCs kaum von Spectre und Meltdown bedroht sind, sollten Sie alle Updates für Windows und für Ihre Internetbrowser sowie die Firmware-Updates für Ihre Hauptplatine installieren. Testen Sie mit den beiden Spectre- und Meltdown-Prüf-Tools Spectre Meltdown CPU Checker und Specucheck , ob Ihr System noch für den CPU-Bug anfällig ist. Tipps zu Specucheck finden Sie hier .

Apple wollte auf seiner Entwicklerkonferenz mal wieder allen zeigen, wer die dicksten Äpfel hat: Der neue Mac Pro, der natürlich im ultra-stylischen Tower-Gehäuse kommt, kostet schon in der mittelmäßigen Grundausstattung 5999 Dollar. Wenn man alles an Erweiterungskarten dazukauft, was ins Gehäuse reinpasst und den Mac Pro damit zum absoluten Rechenmonster und Traum jedes Video- und 3D-Profis macht, muss man sogar rund 50.000 Euro auf den Tisch legen. Wahnsinn!
Übertrieben teuer ist aber nicht nur der Mac Pro, sondern auch der passende Profi-Monitor "Pro Display XDR" für 5000 Euro und der erst recht der dazugehörige Ständer für unfassbare 1000 Euro! Aber seht selbst...

► Ausführlicher Artikel zum Mac Pro (2019): www.macwelt.de/news/Mac-Pro-wird-wieder-modular-10603853.html

► Unterstützt uns, werdet Kanalmitglied und erhaltet exklusive Vorteile (jederzeit kündbar):
www.youtube.com/pcwelt/join

PC-WELT Marktplatz

2433330