IT-Security in Krefeld: Von Virenschutz bis Firewall

IT-Security ist ein Themenfeld der Informationstechnologie, das Netzwerksicherheit, Betriebssicherheit, Bedrohungen und Schwachstellen, Host-Sicherheit, Zugriffskontrolle und Kryptografie umfasst. Sie betrifft in den Grundlagen bereits den einfachen Endnutzer, der einen geschulten Umgang mit Informationen braucht, um sich und seinem Unternehmen nicht zu schaden. Insbesondere bei Firmen, die täglich mit sensiblen Daten umgehen, ist IT-Sicherheit daher ein unbedingter Bestandteil um die eigenen Daten vor Verlust und Diebstahl zu schützen. Vor diesem Hintergrund stellen sich viele Fragen, die für jedes Unternehmensmanagement von Bedeutung sind:

• Was ist IT-Security und wie betrifft sie mein Unternehmen?
• Was ist Malware und was kann sie mit meinen Daten anrichten?
• Wie sollte man eine Firewall konfigurieren und wie funktioniert sie eigentlich?
• Wie funktioniert ein Virenschutzprogramm?

Viren, Würmer & Trojaner – wie sie arbeiten und was sie anrichten

Computerprogramme, die einzig dem Ziel dienen Informationen auszuspionieren, zu vernichten oder zu blockieren oder den Zweck verfolgen Geld zu erpressen, werden Malware genannt. Der Begriff setzt sich aus den englischen Worten malicious und Software zusammen und umfasst Viren, Würmer, Trojaner, Spyware, Scareware und Ransomware.

Der Prototyp der Malware: Der Virus

Viren sind Programme, die sich an ausführbare Dateien hängen, bei Windows meistens .exe Dateien, und die bei Aktivierung dieser Datei beginnen Schaden anzurichten. Sie sind auf eine Wirtsdatei angewiesen, die sie meistens nicht zerstören und daher unbemerkt bleiben. Ist ein Computer von einem Virus befallen bestehen daher oft Schwierigkeiten, die genaue befallene Datei zu ermitteln, da diese wie gewohnt ihren Dienst tut. Viren verbreiten sich mithilfe des Menschen über CDs, USB-Sticks oder geöffnete E-Mail-Anhänge. Das passiert genau dann, wenn die befallene Wirtsdatei übertragen wird. Eine Unterform des Virus sind sogenannte Makro-Viren, die sich an Word- oder Excel-Dokumente anhängen. Makros sind in einer Office-eigenen Programmiersprache geschriebene Programmteile, die vor allem Arbeitsabläufe automatisieren sollen.

Schnell und unabhängig: Der Wurm

Der Computerwurm verbreitet sich ähnlich wie der Virus, hat aber die Fähigkeit sich selbst zu vervielfältigen, nachdem er einmal ausgeführt wurde. Dadurch ist seine Verbreitungsgeschwindigkeit äußerst hoch und nicht nur einzelne PCs, sondern ganze Netzwerke können lahmgelegt werden. Dabei kann er auch Datenbanken wie MySQL Server angreifen und so Informationen in Kundendatenbanken oder auf Webseiten verändern oder löschen. Würmer können innerhalb kurzer Zeit einen großen Teil der Festplatte und des virtuellen Speichers belegen, wodurch die Ausführbarkeit und Geschwindigkeit des Gesamtsystems stark beeinträchtigt wird. Bei Netzwerken können sich die Up- und Downloadgeschwindigkeiten vermindern, sobald der Wurm die entsprechenden Kanäle gefunden hat, um sich zu verbreiten. Mit „Code Red“ tauchte 2001 erstmals ein dateiloser Wurm auf, der nur im Arbeitsspeicher existierte und der nicht mehr versuchte Dateien auf dem System zu infizieren.

Überraschungen im Inneren: Trojanische Pferde

Trojanische Pferde oder kurz „Trojaner“ sind Malware Programme, die ganze Pakete an Maßnahmen bündeln und ausführen können. Sobald der Schadcode einmal auf einen Computer gelangt, entpackt er, wie in der griechischen Mythologie, seine Zerstörungskraft. Ein Trojaner kann einerseits selber Schaden anrichten, andererseits aber auch das System derart verändern, dass andere Programme leichteren Zugang haben. Er kann Hintertüren schaffen, sogenannte „Backdoors“, durch die ein Computer beispielsweise von einem anderen System aus gesteuert werden kann. Ein Trojaner ist dabei als nützliche Anwendung getarnt führt aber im Hintergrund ohne Wissen des Anwenders andere Funktionen aus. Das entspricht der Funktionsweise des Virus, wobei der Nutzer beim Trojaner von vorne herein getäuscht wird, da er glaubt ein anderes, nützliches Programm zu installieren.

Was kann Malware im Unternehmen anrichten?

Oftmals verwenden Schadprogramme die kombinierte Vorgehensweise von Viren, Trojanern und Würmern. Das letztendliche Ziel des Angriffs reicht dabei von scherzhaften Störungen über Diebstahl von Daten bis zu ernsthaftem Schaden durch das komplette Löschen von Informationen. Folgende Arten von Malware gibt es:

Spyware: Auf der Jagd nach Daten

Spyware, wie der Name bereits verrät, versucht den jeweiligen Nutzer auszuspionieren, um an sensible Daten zu gelangen. Dabei kann es sich um das Herausfinden des Nutzerverhaltens handeln, um gezielt Werbung auf dem PC anzuzeigen; diese Form der Maleware wird auch „Adware“ genannt. Außerdem können sogenannte Keylogger installiert werden, die Keybordeingaben aufzeichnen und Informationen über Usernamen und Passworte an Dritte weiterleiten. Hiervon sind insbesondere Onlinebanking und Kreditkartennummern betroffen. Es können auch Mails mit sensiblen Daten für das Unternehmen abgefangen und zur Industriespionage verwendet werden. Laut dem Digitalverband Bitkom entstand in Deutschland im Jahr 2017 ein Schaden von rund 55 Milliarden Euro durch Industriespionage und Datendiebstahl.

Ransomware: Erpressung über das Internet

Ransomware beziehungsweise Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner verschlüsseln Dateien des befallenen Systems, sodass es nicht mehr nutzbar wird. Das Ziel ist Geld zu erpressen, indem angeboten wird gegen Zahlung das System wieder „freizuschalten“. Bekannt wurde das Konzept u.a. durch den Wurm „Wannacry“, der 2017 rund 230.000 Computer in 150 Ländern infizierte, darunter auch Systeme der Deutschen Bahn. Zwar erbeutete der Wannacry-Erpresser nur rund 31.000 Dollar. Aber der Schaden für die Wirtschaft war durch Betriebsunterbrechungen, die Nichteinhaltung von Fristen und Schadensersatzforderungen durch Kunden enorm.

Remote Access Trojaner

Der RAT ist darauf ausgelegt, dass ein fremder Nutzer über ein anderes System Zugang und Zugriffsrechte auf einen Computer oder ein Netzwerk bekommt. Dieses Konzept wird auch zur Fernwartung verwendet, also von Administratoren, die nicht physisch vor Ort sein können, wenn ein ungeschulter Computeruser Softwareprobleme meldet. In den falschen Händen und mit den falschen Intentionen wird ein solches Programm zu einem mächtigen Werkzeug der Spionage, aber auch für sogenannte Distributed Denial of Service Angriffe (DDos-Attacken). Dabei werden über verschiedene infizierte Computer unendlich viele Anfragen an ein weiteres System versendet, um es durch Überlastung außer Betrieb zu setzen. Das Ausmaß des Missbrauchs wird am Beispiel Jean-Pierre Lesueurs deutlich, der die Entwicklung seines Trojaners DarkComet 2012 einstellte, nachdem bekannt wurde, dass das Programm vom syrischen Regime genutzt wird, um die Opposition zu überwachen.

Wie funktioniert eine Firewall?

Eine Firewall ist zunächst ein Programm das den Datenfluss zwischen Computern und Servern überwacht. Sie überprüft empfangene und gesendete Daten, um einerseits die Infektion mit Malware zu verhindern, andererseits das Senden von gestohlenen Informationen zu erschweren. Damit ist sie ein wichtiger Bestandteil des Virenschutzes und der IT-Security in Unternehmen.

Netzwerkkommunikation funktioniert über Ports

Ein Computer hat unterschiedliche Ports. Ports sind Ein- und Ausgangstore eines jeden Rechners, die von Internet-abhängige Anwendung benötigt werden. Der E-Mail Client sowie Browser verwenden beispielsweise einen eignen Port. Ein Port bildet zusammen mit der IP des jeweiligen Rechners den „Socket“, von dem aus Anfragen und Daten versendet werden können. Auf der anderen Seite verwenden auch Webserver Ports. Sendet ein Computer eine Anfrage an einen Webserver, um beispielsweise eine Webseite anzeigen zu lassen, antwortet der Server und schickt die Antwort auf einen anderen, dynamisch zugewiesenen Port. Server verwenden naturgemäß zumeist statische Ports, während Desktops eher auf dynamische Ports zurückgreifen.

Arbeitsweise einer Firewall

Eine Firewall hat verschiedene Möglichkeiten diese Ports zu kontrollieren. Hierzu gehört die grundlegende Paketfilterung, bei der Pakete von bestimmten, einschlägig bekannten oder vom User festgelegten IP-Adressen und Ports abgelehnt werden. Bei einer Deep Packet Inspection werden Pakete nicht nur nach Absender aussortiert, sondern es wird auch ihr Inhalt überprüft. Dabei ist oft ein virtueller Proxiserver vorgeschaltet, weshalb man hier auch von Proxy-Firewalls spricht. Zusätzlich bieten einige Modelle auch Möglichkeiten unerlaubte Eingriffe in den PC zu verhindern. Solche Module werden Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) genannt.

Virenschutz ist am effektivsten mit Antivirus-Software und Firewall

Eine Firewall bietet allerdings keinen absoluten Virenschutz. Sie orientiert sich an den Adressen der Kommunikationspartner und blockiert bereits bekannte schadhafte IP-Quellen. Oftmals gelingt es Schadsoftware jedoch „unter dem Radar“ zu bleiben und ihren Netzwerkverkehr gegenüber der Firewall legitim und harmlos erscheinen zu lassen. Um solche Malware zu erkennen und zu entfernen  sollte ein PC-System zusätzlich durch ein starkes Virenschutzprogramm ergänzt werden.

Wie funktioniert ein Virenschutzprogramm?

Ein Virenschutzprogramm ist ein Programm, das alle Dateien des Rechners regelmäßig nach Malware scannt und verdächtige Dateien und Prozesse identifiziert. Es arbeitet dabei mit reaktiven und proaktiven Verfahren. Beim reaktiven Verfahren greift Antivirus-Software auf eine Datenbank aus Informationen über bereits bekannte schadhafte Programme zurück, erkennt diese und reagiert mit einer Warnmeldung beziehungsweise mit dem Verschieben der Datei in die Quarantäne. Proaktive Maßnahmen gehen noch einen Schritt weiter.

Proaktive Verfahren erhöhen die IT-Security

Da die Vielfalt von Viren in den 1990er Jahren aber rasant zunahm, entwickelte man proaktive Verfahren, die sich auf sogenannte Verdachtsmomente konzentrieren. Verdachtsmomente sind beispielsweise der Versuch der automatischen Veränderung oder Löschung Systemdateien oder auffälliges Verhalten wie der scheinbar unkontrollierte Versand von E-Mails. Dabei wertet das Programm normales Nutzerverhalten aus und berechnet Wahrscheinlichkeiten eines bestimmten Verhaltens. Weicht das Nutzerverhalten stark von gewohnten Pfaden ab, wird eine Warnmeldung ausgegeben oder die jeweiligen Prozesse werden zunächst in einer Testumgebung gestartet, um erweiterten Einfluss auf das Gesamtsystem zu reduzieren (Sandboxing).

Fazit: Virenschutz und Firewall sind beide notwendig

Ein Virenschutz ersetzt keine Firewall und umgekehrt. Denn gerade wenn Bedrohungen vom Anti-Virus Programm nicht erkannt werden, kann eine Firewall das Senden von sensiblen Daten vom PC an Dritte unterbinden. Umgekehrt ist die Überwachungen von Systemprozessen wichtig, gerade da die Schutzwand auch überwunden werden kann und Malware Schaden auf dem Computer anrichten kann. Nur die Kombination, verbunden mit einer richtigen Konfiguration, bietet optimalen Schutz für Ihr Unternehmen. Dennoch gilt: Einen einhundert prozentigen Virenschutz gibt es nicht, insbesondere nicht automatisch. Außerdem muss immer wieder nachkonfiguriert und vorhandene Software aktualisiert werden. IT-Security ist daher einer der wichtigsten Bestandteile einer Unternehmensstruktur.