Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Veröffentlicht: 18. Aug 2006
Auf dieser Seite
Einführung
Definition
Herausforderungen
Lösungen
Zusammenfassung
Anhang A: Gebräuchliche Informationssystemanlagen
Anhang B: Häufige Bedrohungen
Anhang C: Sicherheitsrisiken
Referenzen
Einführung
Willkommen bei diesem Dokument aus der Reihe der Sicherheitsleitfäden für mittelgroße Unternehmen. Microsoft hofft, dass Ihnen die folgenden Informationen beim Erstellen einer sichereren und produktiveren Computerumgebung helfen werden.
Kurzzusammenfassung
Bösartige Software und Malware werden zwar immer komplexer und ausgereifter, aber dies gilt ebenso für die Software- und Hardwaretechnologien zur Verhinderung von Malwarebedrohungen und -angriffen.
Malwarebedrohungen kommen mittelgroßen Unternehmen sowohl hinsichtlich Technologien als auch Maßnahmen zur Vorbeugung und Reaktion auf sie teuer zu stehen. Das Internet hat den Spielraum von externen Bedrohungen für mittelgroße Unternehmen erheblich ausgeweitet, während gleichzeitig einige der größten Bedrohungen, z. B. interne Angriffe, fortbestehen.
Interne Angriffe mit dem höchsten Schadenspotenzial entstammen Aktivitäten von Insidern in den vertrauensvollsten Positionen, etwa Netzwerkadministratoren. Insider, die bösartige Aktivitäten unternehmen, haben wahrscheinlich bestimmte Ziele und Absichten, etwa das Einschleusen von trojanischen Pferden oder unberechtigtes Durchsuchen des Dateisystems, während der genehmigte Zugriff auf die Systeme gewahrt bleibt. Häufiger haben die Insider jedoch gar keine schlechten Absichten, sondern verschaffen bösartiger Software Zugang etwa durch Verbinden infizierter Systeme oder Geräte mit dem internen Netzwerk, was zur Beeinträchtigung der Integrität und Zuverlässigkeit des Systems bzw. der Leistungsfähigkeit, Verfügbarkeit und/oder Speicherkapazität des Systems führen kann.
Nach Analyse sowohl interner als auch externer Bedrohungen ziehen viele mittelgroße Unternehmen Systeme in Erwägung, die ihre Netzwerke überwachen, Angriffe erkennen und Ressourcen zur Unterstützung des Managements von Malwarerisiken in Echtzeit bieten.
Übersicht
Dieses Dokument enthält Informationen zu nützlichen Strategien für das Management von Malwarerisiken in mittelgroßen Unternehmen. Es ist in vier Hauptabschnitte unterteilt: Einführung, Definition, Herausforderungen und Lösungen.
Definition
In diesem Abschnitt wird definiert, was Malware ist (und was keine Malware ist) und welche Merkmale sie aufweist, und wie sich das mit ihr verbundene Risiko verwalten lässt.
Herausforderungen
In diesem Abschnitt werden einige der häufigsten Herausforderungen beschrieben, denen sich mittelgroße Unternehmen in Zusammenhang mit dem Management von Malwarerisiken gegenübersehen. Dies schließt Folgendes ein:
Gebräuchliche Informationssystemanlagen
Häufige Bedrohungen
Sicherheitsrisiken
Endbenutzeraufklärung und Richtlinien
Abwägung zwischen Risikomanagement und Geschäftsbedarf
Lösungen
Dieser Abschnitt enthält weitere Informationen zu Richtlinien, Ansätzen und Strategien, z. B.:
Physische und logische Richtlinien
Reaktive und proaktive Ansätze zur Vorbeugung gegen Malware und Viren
Strategien für die Reduzierung von Malware
Die Abschätzung und das Management von Malwarerisiken werden in diesem Abschnitt als Bestandteil von Strategien für die Vorbeugung gegen Malwarebedrohungen ebenfalls behandelt. Er enthält außerdem Informationen zu Überwachungs- und Berichterstellungstools, die das Scannen und Erkennen von Malwareaktivitäten und die Erstellung von Berichten hierzu erleichtern.
Zielgruppe dieses Leitfadens
Dieses Dokument richtet sich hauptsächlich an das Management- und IT-Personal in mittelgroßen Unternehmen und soll dazu beitragen, Malwarerisiken besser zu verstehen, sich gegen diese Bedrohungen zu verteidigen und schnell und auf geeignete Weise auf erfolgte Malwareangriffe reagieren zu können.
Definition
Malware ist eine Verkürzung von „malicious software“ (bösartige Software). Unter diesen Sammelbegriff fallen Viren, Würmer und trojanische Pferde, die mutwillig schädliche Funktionen auf einem Computersystem ausführen. Genau genommen stellt jede Art von bösartigem Code Malware dar.
Die verschiedenen Typen von Malware
In den folgenden Unterabschnitten werden unterschiedliche Malwarekategorien beschrieben.
Verschleierung
- Trojanisches Pferd. Hierbei handelt es sich um ein scheinbar nützliches oder zumindest harmloses Programm, das versteckten Code zur Ausnutzung oder Beschädigung des Systems, auf dem es ausgeführt wird, enthält. Benutzer erhalten trojanische Pferde (auch Trojaner genannt) üblicherweise durch E-Mails, die den wahren Zweck und die Funktion des Programms verheimlichen. Bei Ausführung eines trojanischen Pferds wird bösartiger Payload oder eine bösartige Funktion ausgeführt.
Infizierende Malware
Wurm. Bei einem Wurm wird bösartiger Code verwendet, der sich automatisch über Netzwerkverbindungen von Computer zu Computer ausbreitet. Er kann Schaden etwa in Form des Verbrauchs von Netzwerkressourcen oder von lokalen Systemressourcen anrichten und potenziell DoS-Angriffe auslösen. Einige Würmer sind in der Lage, sich ohne Benutzereingriff selbst zu verbreiten und auszuführen, während andere zur Verbreitung direkt von einem Benutzer ausgeführt werden müssen. Neben der Replikation können Würmer mit Payload-Schadensfunktionen einhergehen.
Virus. Für Viren wird Code verwendet, der mit der Absicht geschrieben wurde, sich selbst zu replizieren. Viren verbreiten sich von Computer zu Computer, indem sie sich in Hostprogramme einbinden. Sie können Hardware, Software und Daten beschädigen. Bei Ausführung des Hostprogramms wird der Viruscode ebenfalls ausgeführt und infiziert neue Hosts. Dies geht u. U. mit weiteren Payload-Schadensfunktionen einher.
Malware zu Profitzwecken
- Spyware. Diese Art von Software wird auch als Spybot oder Tracking-Software bezeichnet. Spyware nutzt andere Formen betrügerischer Software und Programme, die ohne das Einverständnis des Benutzers bestimmte Aktivitäten auf einem Computer ausführen. Solche Aktivitäten können das Sammeln persönlicher Daten sowie die Änderung der Internetbrowser-Konfigurationseinstellungen umfassen. Dies stellt nicht nur eine Belästigung dar, sondern kann auch zu vielfältigen Problemen führen, die von der Verschlechterung der Gesamtleistung eines Computers bis hin zu Verletzungen der Privatsphäre reichen.
Websites, die Spyware einsetzen, nutzen verschiedene Tricks, um Benutzer zum Herunterladen und Installieren der Spyware zu veranlassen. Zu diesen Tricks gehören das Wecken falscher Erwartungen beim Benutzer und das heimliche Einbinden von Spyware in andere, potenziell erwünschte Software, z. B. kostenlose File-Sharing-Software.
- Adware. Eine Art von Werbeeinblendungssoftware, insbesondere bestimmte ausführbare Anwendungen, deren Hauptzweck darin besteht, Werbeinhalte auf eine Weise oder in einem Kontext anzuzeigen, die vom Benutzer möglicherweise nicht erwartet wird und nicht erwünscht ist. Viele Adware-Anwendungen führen darüber hinaus Verfolgungsfunktionen aus und fallen damit in die Kategorie der Tracking-Technologien. Verbraucher können Adware entfernen, sofern sie eine derartige Verfolgung ablehnen, auf die durch das Programm eingeblendete Werbung verzichten möchten oder deren Auswirkungen auf die Systemleistung als Ärgernis empfinden. Umgekehrt können sich Benutzer dafür entscheiden, bestimmte Adware-Programme beizubehalten, wenn deren Präsenz Kostenvorteile für eine gewünschte Ware oder Dienstleistung bringt oder die angezeigte Werbung als nützlich oder gewünscht angesehen wird, beispielsweise Werbung, die Alternativen oder Ergänzungen zu vom Benutzer gewünschten Waren oder Dienstleistungen darstellen.
Weitere Informationen erhalten Sie im Wikipedia-Artikel Malware unter https://en.wikipedia.org/wiki/Malware sowie im Abschnitt What is Malware? (Was ist Malware?) im The Antivirus Defense-in-Depth Guide (Handbuch zum tief greifenden Antivirenschutz; in englischer Sprache) unter www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#ELF.
Das Verhalten von Malware
Die Eigenschaften, die die verschiedenen Kategorien von Malware aufweisen können, sind sich oftmals sehr ähnlich. So können etwa sowohl Viren als auch Würmer Netzwerke als Transportmechanismus missbrauchen. Ein Virus versucht jedoch gezielt, Dateien zu infizieren, während ein Wurm sich einfach nur selbst kopiert. Die folgenden Abschnitte enthalten kurze Beschreibungen typischer Eigenschaften von Malware.
Zielumgebungen
Versucht Malware, ein Hostsystem anzugreifen, kann eine Reihe von bestimmten Komponenten für einen erfolgreichen Angriff erforderlich sein. Die folgenden Beispiele sind typische Komponenten, die Malware zum Angriff auf einen Host benötigen könnte:
Geräte. Malware richtet sich mitunter gezielt gegen einen bestimmten Gerätetyp, etwa einen PC, einen Apple Macintosh-Computer oder selbst gegen einen PDA (Personal Digital Assistant). Mobile Geräte wie Handys werden ebenfalls immer häufiger zu Angriffszielen.
Betriebssysteme. Voraussetzung für die Wirksamkeit von Malware kann ein bestimmtes Betriebssystem sein. So konnte der CIH- oder Tschernobyl-Virus der späten 90er Jahre nur Computer angreifen, auf denen Microsoft® Windows® 95 oder Windows 98 ausgeführt wurde. Neuere Betriebssysteme sind sicherer. Leider wird Malware ebenfalls immer raffinierter.
Anwendungen. Bevor Malware Payload-Schäden anrichten oder sich replizieren kann, ist möglicherweise die Installation einer bestimmten Anwendung auf dem Zielcomputer erforderlich. Angriffe des Virus LFM.926 aus dem Jahr 2002 zum Beispiel waren nur dann möglich, wenn Shockwave Flash-Dateien (.swf) auf dem lokalen Computer ausgeführt werden konnten.
Trägerobjekte
Sofern es sich bei der Malware um einen Virus handelt, versucht sie, ein Trägerobjekt (einen Host) zu infizieren. Die Anzahl und der Typ der angegriffenen Trägerobjekte ist je nach Malwareform sehr unterschiedlich. Die folgende Liste enthält Beispiele der am häufigsten angegriffenen Trägerobjekte:
Ausführbare Dateien. Diese Träger sind das Ziel des „klassischen“ Virentyps, der sich durch Einbinden in ein Hostprogramm repliziert. Neben typischen ausführbaren Dateien mit der Erweiterung.exe können beispielsweise Dateien mit den folgenden Erweiterungen ebenfalls für diesen Zweck missbraucht werden:.com,.sys,.dll,.ovl,.ocx und.prg.
Skripts. Angriffe mit Skripts als Träger richten sich gegen Dateien, in denen eine Skriptsprache verwendet wird, etwa Microsoft Visual Basic® Script, JavaScript, AppleScript oder Perl Script. Zu den Erweiterungen für diesen Dateityp gehören:.vbs,.js,.wsh und.prl.
Makros. Bei diesen Trägern handelt es sich um Dateien, die eine Makroskriptsprache einer bestimmten Anwendung unterstützen, etwa eines Textverarbeitungs- oder Tabellenkalkulationsprogramms oder einer Datenbankanwendung. Viren können beispielsweise anhand der Makrosprachen in Microsoft Word und Lotus Ami Pro verschiedene Wirkungen erzielen, die von lästig (Umstellen von Wörtern oder Ändern der Farben in einem Dokument) bis bösartig (Formatieren der Festplatte eines Computers) reichen.
Transportmechanismen
Bei einem Angriff können eine Methode oder eine Vielzahl verschiedener Methoden für die Replikation zwischen Computersystemen Anwendung finden. Dieser Abschnitt enthält Informationen zu einigen der von Malware üblicherweise verwendeten Transportmechanismen.
Wechseldatenträger. Die ursprüngliche und wohl auch die wirkungsvollste Art der Weitergabe von Computerviren und anderer Malware bestand (zumindest bis vor kurzem) in der Dateiübertragung. Dieser Mechanismus begann mit Disketten, ging dann zu Netzwerken über und erobert nunmehr neue Medien, z. B. USB-Geräte und Firewire. Die Infektionsgeschwindigkeit ist nicht so hoch wie bei netzwerkbasierter Malware, doch die Bedrohung ist stets vorhanden und lässt sich aufgrund des Bedarfs am Datenaustausch zwischen verschiedenen Systemen nur schwer gänzlich ausschalten.
Netzwerkfreigaben. Als Computer mit einem Mechanismus zur direkten gegenseitigen Verbindungsaufnahme über Netzwerke versehen wurden, erhielten Malware-Autoren einen weiteren Transportmechanismus, der das Potenzial von Wechseldatenträgern für die Verbreitung von bösartigem Code noch übertraf. Unzureichend implementierte Sicherheitsmaßnahmen auf Netzwerkfreigaben schaffen eine Umgebung, in der sich Malware auf eine Vielzahl von an das Netzwerk angeschlossenen Computern ausbreiten kann. Diese Methode hat die manuelle Vorgehensweise mit Wechseldatenträgern weitgehend ersetzt.
Peer-to-Peer-Netzwerke. Damit Dateien per P2P (Peer-to-Peer) übertragen werden können, muss ein Benutzer zunächst die Clientkomponente der P2P-Anwendung installieren, die das Netzwerk nutzt.
Weitere Informationen finden Sie im Abschnitt Malware Characteristics (Malwareeigenschaften) im The Antivirus Defense in Depth Guide (Handbuch zum tief greifenden Antivirenschutz; in englischer Sprache) unter www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#EQAAC.
Was ist in der Definition von Malware nicht eingeschlossen?
Es gibt eine Reihe von Bedrohungen, die nicht unter den Begriff der Malware fallen, da es sich bei ihnen nicht um Computerprogramme handelt, die mit böswilliger Absicht erstellt wurden. Sie können für mittelgroße Unternehmen dennoch sicherheitsrelevante und finanzielle Auswirkungen haben. Die folgende Liste enthält einige häufige Beispiele von Bedrohungen, die bei der Ausarbeitung einer umfassenden Sicherheitsstrategie zu verstehen und zu berücksichtigen sind.
Spaßsoftware. Spaßanwendungen dienen dazu, Benutzer zum Lachen zu bringen oder schlimmstenfalls deren Zeit zu vergeuden. Solche Anwendungen gibt es bereits seit den ersten Tagen der Computerverwendung. Da sie nicht mit böswilliger Absicht entwickelt wurden und leicht als Spaß erkennbar sind, werden sie im Rahmen dieses Leitfadens nicht als Malware betrachtet. Es gibt viele Beispiele für Spaßanwendungen, die interessante Bildschirmeffekte, amüsante Animationen oder Spiele bieten.
Falschmeldungen. Eine Nachricht, die vor einem nicht vorhandenen Virus warnt, ist ein Beispiel für eine Falschmeldung (auch Hoax genannt). Wie einige andere Formen von Malware nutzen Falschmeldungen das Social Engineering, um Computerbenutzer zur Ausführung bestimmter Aktionen zu bewegen. Falschmeldungen gehen jedoch nicht mit ausführbarem Code einher; vielmehr wird normalerweise einfach nur versucht, das Opfer zu täuschen. Ein häufiges Beispiel ist eine E-Mail-Nachricht oder ein Kettenbrief per E-Mail mit einer Warnung vor einem neu entdeckten Virentyp und der Bitte um Weiterleitung der Nachricht an Freunde. Diese Art der Falschmeldung führt zur Verschwendung von Zeit, E-Mail-Serverressourcen und Netzwerkbandbreite. Falschmeldungen können allerdings auch Schäden verursachen, wenn sie zu Änderungen an Computerkonfigurationen auffordern (z. B. Löschen von Registrierungseinträgen oder Systemdateien).
Betrug. Eine E-Mail-Nachricht, die den Empfänger dazu veranlassen soll, private Angaben zu offenbaren, die für illegale Zwecke missbraucht werden können (beispielsweise Angaben zum Bankkonto), ist ein häufiges Beispiel von Betrug. Eine besondere Art des Betrugs ist unter der Bezeichnung „Phishing“ (ausgesprochen „Fisching“) bekannt geworden und wird auch als „Brand-Spoofing“ oder „Carding“ (Kartenschwindel) bezeichnet.
Spam. Spam ist eine unangefordert gesendete E-Mail, in der Produkte oder Dienstleistungen angepriesen werden. Dieses Phänomen wird gemeinhin als Ärgernis angesehen, wenngleich es sich bei Spam nicht um Malware handelt. Der dramatische zahlenmäßige Anstieg von Spamnachrichten stellt jedoch ein Problem für die Infrastruktur des Internets dar. Darüber hinaus verursacht Spam Produktivitätsverluste bei Mitarbeitern, die täglich gezwungen sind, solche Nachrichten auszusortieren und zu löschen.
Internetcookies. Internetcookies sind Textdateien, die von Websites auf den Computern von Benutzern abgelegt werden, die diese Websites besuchen. Solche Cookies enthalten identifizierende Informationen über einen Benutzer und übertragen sie an die Websites, die die Cookies auf dem Benutzercomputer abgelegt haben. Dabei können auch weitere Angaben, die die Websites über den Besuch des Benutzers sammeln möchten, übertragen werden.
Cookies sind legitime Hilfsmittel, die auf vielen Websites zur Verfolgung von Besucherdaten Anwendung finden. Leider werden Cookies von einigen Websiteentwicklern auch zum Sammeln von Informationen ohne Wissen des Benutzers missbraucht. Einige können dazu dienen, Benutzer zu täuschen oder ihre Richtlinien zu umgehen. So können mit ihnen beispielsweise die Surfgewohnheiten über viele Websites hinweg verfolgt werden, ohne dass der betroffene Benutzer darüber informiert wird. Daraufhin haben Websiteentwickler die Möglichkeit, anhand dieser Informationen die Werbung auf einer Website gezielt anzupassen, was als Verletzung der Privatsphäre gilt.
Weitere Einzelheiten zu Malware und deren Eigenschaften finden Sie im Leitfaden zur erfolgreichen Virenabwehr in Microsoft TechNet unter https://www.microsoft.com/germany/technet/datenbank/articles/900000.mspx.
Risikomanagement und Malware
Microsoft definiert Risikomanagement als das Verfahren, durch das Risiken erkannt und die Auswirkungen solcher Risiken ermittelt werden.
Der Versuch, einen Plan für das Sicherheitsrisikomanagement umzusetzen, kann für mittelgroße Unternehmen ein mühevolles Unterfangen darstellen. Zu den möglichen Schwachstellen können hierbei mangelnde Kenntnisse im Unternehmen, ungenügende Geldmittel oder fehlende Anleitungen für das Outsourcing gehören.
Das Sicherheitsrisikomanagement bietet einen proaktiven Ansatz, der mittelgroße Unternehmen bei der Planung ihrer Strategie gegen Malwarebedrohungen unterstützen kann.
Durch ein formales Sicherheitsrisikomanagement-Verfahren kann der Betrieb eines mittelgroßen Unternehmens auf die kostengünstigste Weise innerhalb eines bekannten und akzeptablen Rahmens von Geschäftsrisiken erfolgen. Die Unternehmen werden außerdem mit einem konsistenten und klar erkennbaren Wegweiser für die Organisation und Priorität begrenzter Ressourcen in Hinblick auf das Risikomanagement versehen.
Zur Vereinfachung der Risikomanagementaufgaben hat Microsoft den Leitfaden zum Sicherheitsrisikomanagement veröffentlicht, der Orientierungspunkte für die folgenden vier Vorgehensweisen enthält:
Ermittlung von Risiken. Erkennen Sie Risiken für das Unternehmen, und legen Sie deren Relevanz fest.
Nutzung von Entscheidungshilfen. Erkennen und bewerten Sie Kontrolllösungen auf Grundlage eines definierten Kosten-Nutzen-Analyseverfahrens.
Einsatz von Kontrollmechanismen. Stellen Sie Kontrolllösungen bereit, und wenden Sie sie an, um das Risiko für Ihr Unternehmen zu reduzieren.
Messung der Programmeffizienz. Analysieren Sie das Risikomanagementverfahren hinsichtlich seiner Effizienz, und stellen Sie sicher, dass Kontrollmechanismen den erwarteten Schutz bieten.
Näher auf dieses Thema einzugehen würde den Rahmen dieses Dokuments sprengen. Es ist jedoch von grundlegender Bedeutung, das Prinzip und die Verfahren zu verstehen, um eine Lösungsstrategie für Malwarerisiken zu planen, bereitzustellen und einzusetzen. Die folgende Abbildung stellt die vier Hauptverfahren zum Risikomanagement dar.
.gif)
Abbildung 1. Die vier Hauptverfahren zum Risikomanagement
Bild in voller Größe anzeigen
Weitere Informationen zum Risikomanagement finden Sie im Leitfaden zum Sicherheitsrisikomanagement im Microsoft TechNet unter https://go.microsoft.com/fwlink/?linkid=30794.
.gif){kind=link}
Herausforderungen
Malwareangriffe erfolgen über verschiedene Vektoren oder Angriffsmethoden an besonders anfälligen Schwachpunkten. Für mittelgroße Unternehmen empfiehlt sich die Durchführung von Risikoabschätzungen, die nicht nur Aufschluss über Sicherheitsrisikoprofile geben, sondern auch dazu dienen, die für das Unternehmen akzeptable Risikostufe zu ermitteln. Mittelgroße Unternehmen müssen Strategien für die Reduzierung von Malwarerisiken ausarbeiten.
Für mittelgroße Unternehmensumgebungen ist dies unter anderem mit folgenden Herausforderungen verbunden:
Gebräuchliche Informationssystemanlagen
Häufige Bedrohungen
Sicherheitsrisiken
Schulung der Benutzer
Abwägung zwischen Risikomanagement und Geschäftsbedarf
Gebräuchliche Informationssystemanlagen
Durch die Informationssystemsicherheit lassen sich wichtige Informationen gewinnen, die für das Sicherheitsmanagement von mittelgroßen Unternehmen hilfreich sind. „Gebräuchliche Informationssystemanlagen“ bezieht sich sowohl auf physische als auch auf logische Aspekte eines Unternehmens. Hierzu können Server, Arbeitsstationen, Software und Benutzerlizenzen gehören.
Geschäftskontaktdaten von Mitarbeitern, mobile Computer, Router, Personaldaten, strategische Pläne, interne Websites und Kennwörter von Mitarbeitern stellen alle gebräuchliche Informationssystemanlagen dar. Eine ausführliche Liste finden Sie in „Anhang A: Gebräuchliche Informationssystemanlagen“ am Ende dieses Dokuments.
Häufige Bedrohungen
Einige der Methoden, mit denen Malware mittelgroßen Unternehmen Schaden zufügen kann, werden auch als Vektoren für die Bedrohung bezeichnet. Sie stellen die Bereiche mit dem größten Aufmerksamkeitsbedarf bei der Ausarbeitung einer wirksamen Lösung zur Reduzierung von Malwarerisiken dar. Zu den herkömmlichen Bedrohungen gehören Naturkatastrophen, mechanisches Versagen, Personen mit böswilliger Absicht, uninformierte Benutzer, Social Engineering, bösartiger mobiler Code sowie Mitarbeiter mit unlauteren Absichten. Dieses umfangreiche Bedrohungsspektrum stellt nicht nur mittelgroße Unternehmen, sondern Unternehmen jeder Größe vor gewaltige Herausforderungen.
In „Anhang B: Häufige Bedrohungen“ am Ende dieses Dokuments finden Sie eine ausführliche Liste von Bedrohungen, die mittelgroße Unternehmen potenziell gefährden können.
Sicherheitsrisiken
Sicherheitsrisiken sind Schwachstellen in den Verfahren und Richtlinien für die Sicherheit von IT-Systemen, in den administrativen und internen Kontrolleinrichtungen, im physischen Layout sowie in anderen Bereichen, die für den unberechtigten Zugriff auf Informationen oder zur Unterbrechung wichtiger Prozesse ausgenutzt werden könnten. Sicherheitsrisiken sind sowohl physischer als auch logischer Natur. Sie umfassen Naturkatastrophen, mechanisches Versagen, inkorrekt konfigurierte Software, Software ohne Patches sowie menschliches Versagen. In „Anhang C: Sicherheitsrisiken“ am Ende dieses Dokuments finden Sie eine ausführliche Liste von Sicherheitsrisiken, die potenziell eine Gefahr für mittelgroße Unternehmen darstellen können.
Schulung der Benutzer
Hinsichtlich der physischen und logischen Informationssicherheit stellen nicht unbedingt Computer oder Software das größte Sicherheitsrisiko dar, sondern Computerbenutzer. Mitarbeiter machen mitunter folgenreiche Fehler, indem sie etwa ihre Kennwörter an leicht einsehbaren Stellen aufschreiben, virenverseuchte E-Mail-Anhänge herunterladen und sie öffnen oder den Computer am Ende des Arbeitstages nicht herunterfahren. Da der Mensch die Computersicherheit durch seine Aktionen erheblich beeinträchtigen kann, muss der Sensibilisierung von Mitarbeitern, IT-Personal und Management eine hohe Priorität eingeräumt werden. Ebenso wichtig ist es, dass sich die gesamte Belegschaft geeignete Sicherheitsgewohnheiten aneignet. Langfristig erweisen sich diese Ansätze einfach als kosteneffizienter für das Unternehmen. Durch geeignetes Training erhalten die Benutzer Empfehlungen zur Verhinderung bösartiger Aktivitäten und Wissen über potenzielle Bedrohungen und deren Vermeidung. Benutzer sollten sich unter anderem über die folgenden Sicherheitspraktiken bewusst sein:
Keine E-Mails beantworten, die finanzielle oder persönliche Informationen erbitten.
Kennwörter niemals bekannt geben.
Keine verdächtigen E-Mail-Anhänge öffnen.
Nicht auf verdächtige oder unerwünschte E-Mails antworten.
Keine Anwendungen installieren, die nicht autorisiert wurden.
Computer durch kennwortgeschützten Bildschirmschoner oder im durch die Tastenkombination STRG-ALT-ENTF angezeigten Dialogfeld sperren, solange sie nicht benutzt werden.
Firewall aktivieren.
Sichere Kennwörter auf Remotecomputern verwenden.
Richtlinien
Schriftliche Richtlinien und akzeptierte Verfahren sind für die Durchsetzung der Sicherheitspraktiken von grundlegender Bedeutung. Um deren Wirksamkeit zu gewährleisten, sollten alle IT-Richtlinien die Unterstützung des oberen Managements einschließen und einen Umsetzungsmechanismus sowie ein Informations- und Sensibilisierungsinstrument für Benutzer vorsehen. Richtlinien können sich beispielsweise mit folgenden Themen befassen:
Art und Weise der Erkennung von Malware auf einem Computer.
Art und Weise der Benachrichtigung über vermutete Infizierungen.
Hilfestellung von Benutzern für mit der Vorfallslösung beauftragte Personen, etwa durch Beschreibung der zuletzt vom Benutzer durchgeführten Aktion vor Infizierung des Systems.
Prozesse und Verfahren zur Reduzierung von Sicherheitsrisiken bei Betriebssystemen und Anwendungen, die von Malware missbraucht werden könnten.
Patchverwaltung, Anwendung von Sicherheitskonfigurationsanweisungen und Checklisten.
Abwägung zwischen Risikomanagement und Geschäftsbedarf
Die Investition in ein Risikomanagementverfahren hilft mittelgroßen Unternehmen dabei, Prioritäten zu setzen, Bedrohungsminderungen zu planen und auf zukünftige Bedrohungen oder Sicherheitsrisiken für das Unternehmen vorbereitet zu sein.
Ausgaben für die IT-Sicherheit können Budgetbeschränkungen unterliegen, doch kann der effektive Einsatz einer gut strukturierten Risikomanagementmethodik dem Management dabei helfen, geeignete Kontrolleinrichtungen für die Gewährleistung der erforderlichen Sicherheitsfunktionen zu finden.
Mittelgroße Unternehmen müssen genau zwischen Risikomanagement und ihrem Geschäftsbedarf abwägen. Die folgenden Fragen können dabei von Nutzen sein:
Sollte das Unternehmen seine Systeme selbst konfigurieren oder dies dem Anbieter der Hardware/Software überlassen? Welche Kosten sind zu erwarten?
Sollte Lastenausgleich oder Clusterbildung als Mechanismus zur Sicherstellung einer hohen Anwendungsverfügbarkeit verwendet werden? Was ist zur Einrichtung dieser Mechanismen erforderlich?
Ist ein Alarmsystem für den Serverraum erforderlich?
Sollten elektronische Schlüsselsysteme für das Gebäude bzw. den Serverraum verwendet werden?
Welches Budget steht dem Unternehmen für Computersysteme zur Verfügung?
Welches Budget steht dem Unternehmen für Support und Wartung der Technologie zur Verfügung?
Welchen Betrag hat das Unternehmen im Vorjahr schätzungsweise für Computersysteme (Hardware-/Softwarewartung) ausgegeben?
Wie viele Computer befinden sich am Hauptstandort des Unternehmens? Ist eine Inventarliste der Computerhardware und Software vorhanden?
Sind ältere Systeme leistungsfähig genug, um den Großteil der erforderlichen Software auszuführen?
Wie viele neue oder aufgerüstete Computer sind schätzungsweise erforderlich? Wie viele wären optimal?
Braucht jeder Benutzer einen Drucker?
Weitere Einzelheiten zum Risikomanagement finden Sie im Leitfaden zum Sicherheitsrisikomanagement unter https://go.microsoft.com/fwlink/?linkid=30794.
Lösungen
In diesem Abschnitt werden verschiedene Strategien für das Malwarerisikomanagement vorgestellt, wozu reaktive und proaktive Ansätze sowie physische und logische Richtlinien gehören. Überprüfungsmethoden, wie Berichterstellungstools und Überwachungen, werden ebenfalls behandelt.
Entwicklung von Strategien für die Reduzierung von Malware
Bei der Ausarbeitung von Strategien für die Reduzierung von Malware ist es wichtig, erforderliche betriebliche Schlüsselpunkte zu definieren, an denen die Erkennung von und/oder Vorbeugung gegen Malware implementiert werden kann. Es sollte für das Malwarerisikomanagement nicht nur ein einziges Gerät oder eine einzige Technologie als Schutzmaßnahme eingesetzt werden. Es sind vielmehr Methoden zu bevorzugen, die einen mehrschichtigen Ansatz aus proaktiven und reaktiven Mechanismen im gesamten Netzwerk verfolgen. Antivirensoftware spielt in diesem Bereich eine Schlüsselrolle, sie sollte jedoch nicht das einzige Instrument zur Erkennung von Malwareangriffen darstellen. Weitere Einzelheiten zum mehrschichtigen Ansatz finden Sie im Abschnitt The Malware Defense Approach (Ansatz zum Malwareschutz) im The Antivirus Defense-in-Depth Guide (Handbuch zum tief greifenden Antivirenschutz; in englischer Sprache) unter www.microsoft.com/technet/security/topics/serversecurity/avdind_3.mspx#E1F.
Auf die folgenden betrieblichen Schlüsselpunkte wird genauer eingegangen:
Abschätzung von Malwarerisiken
Physische Sicherheit
Logische Sicherheit
Proaktive und reaktive Richtlinien und Verfahren
Bereitstellung und Management
Abschätzung von Malwarerisiken
Bei der Abschätzung von Malwarerisiken müssen mittelgroße Unternehmen die Angriffsvektoren im Auge behalten, die am anfälligsten für Bedrohungen sind. Wie und in welchem Umfang sind sie geschützt? Die folgenden Fragen sind zu berücksichtigen:
Wurde im Unternehmen eine Firewall installiert?
Firewalls sind ein wichtiger Bestandteil der Umkreisverteidigung. Eine Netzwerkfirewall dient häufig als vorderste Verteidigungslinie gegen externe Bedrohungen für das Computersystem, die Netzwerke und wichtige Informationen eines Unternehmens. Mittelgroße Unternehmen sollten entweder Software- oder Hardwarefirewalls einsetzen.
Verfügt das Unternehmen über die Möglichkeit der Überprüfungsanalyse für interne oder externe Sicherheitsrisiken? Auf welche Art erfolgt die Analyse der überprüften Informationen?
Es wird ein Tool wie z. B. Microsoft Baseline Security Analyzer (MBSA) für die Überprüfung auf inkorrekte Konfigurationen oder Sicherheitsrisiken empfohlen. Es ist außerdem möglich, das Verfahren zur Überprüfung auf Sicherheitsrisiken externen Anbietern zu übertragen, um eine Bewertung der Sicherheitsumgebung und Empfehlungen für mögliche Verbesserungen zu erhalten.
Hinweis MBSA ist ein einfach zu bedienendes Tool für IT-Fachleute, das kleinen und mittelgroßen Unternehmen bei der Feststellung ihrer Sicherheitslage in Übereinstimmung mit Sicherheitsempfehlungen von Microsoft hilft. Es bietet darüber hinaus spezifische Hinweise zur Fehlerbehebung. Verbessern Sie Ihren Sicherheitsmanagementprozess durch Verwendung von MBSA, anhand dessen häufige fehlerhafte Sicherheitskonfigurationen und fehlende Sicherheitsupdates auf Ihren Computersystemen erkannt werden können.
Ist ein Bewertungsplan für Sicherungen und Wiederherstellungen vorhanden?
Achten Sie darauf, dass Sicherungspläne vorhanden sind und Sicherungsserver voll funktionsfähig sind.
Wie viele Arten von Antivirensoftware hat das Unternehmen? Wurde die Antivirensoftware auf allen Systemen installiert?
Die Nutzung von nur einer Antivirenplattform kann ein Risiko für Unternehmen darstellen, da jede Plattform bestimmte Stärken und Schwächen aufweist.
Verfügt das Unternehmen über ein drahtloses Netzwerk? Sind die Sicherheitsfunktionen bei einem vorhandenen drahtlosen Netzwerk aktiviert und korrekt konfiguriert?
Ein ungesichertes drahtloses Netzwerk kann auch bei Vorhandensein eines vollständig gesicherten drahtgebundenen Netzwerks ein inakzeptables Risiko darstellen. Ältere Normen für drahtlose Netzwerke, z. B. WEP, lassen sich leicht manipulieren, so dass die geeignetste Sicherheitslösung für drahtlose Netzwerke ermittelt werden muss.
Wurden die Mitarbeiter hinsichtlich der Vorbeugung gegen Malware aufgeklärt? Sind sie mit dem Thema Malwarerisiken vertraut?
Die Malwareverbreitung schließt häufig eine Form von Social Engineering ein, und die wirksamste Verteidigung gegen derartige Bedrohungen besteht somit in der Aufklärung.
Ist eine schriftliche Richtlinie zur Verhinderung oder Behandlung von Malwarebedrohungen vorhanden? Wie häufig wird die Richtlinie überprüft? Wird sie umgesetzt? Inwieweit hält sich das Personal an diese Richtlinie?
Stellen Sie sicher, dass Benutzer über die Möglichkeiten zur Vorbeugung gegen Malwarebedrohungen informiert sind. Es ist sehr wichtig, dass alle entsprechenden Informationen dokumentiert werden. Es sollte daher eine schriftliche Richtlinie bezüglich solcher Informationen und Verfahren vorhanden sein und umgesetzt werden. Diese Richtlinie sollte nach jeder Änderung überprüft werden, um sicherzustellen, dass deren Wirksamkeit und Gültigkeit gewahrt bleibt.
Physische Sicherheit
Die physische Sicherheit umfasst die Einschränkung des Zugriffs auf Geräte, um Manipulation, Diebstahl und menschliches Versagen auszuschließen und infolge solcher Ereignisse auftretende Ausfallzeiten zu vermeiden.
Die physische Sicherheit ist zwar eher auf Sicherheitsprobleme im Allgemeinen als speziell auf Malwareprobleme ausgerichtet, doch ist der Schutz vor Malware ohne einen wirksamen physischen Verteidigungsplan für alle Clients, Server und Netzwerkgeräte innerhalb der Infrastruktur eines Unternehmen unmöglich.
Die folgende Liste gibt wichtige Gesichtspunkte an, die für einen wirksamen physischen Verteidigungsplan berücksichtigt werden müssen:
Gebäudesicherheit. Wer hat Zugang zum Gebäude?
Personalsicherheit. Wie restriktiv sind die Zugriffsrechte eines Mitarbeiters?
Netzwerkzugriffspunkte. Wer hat Zugriff auf die Netzwerkgeräte?
Server. Wer darf auf die Server zugreifen?
Arbeitsstationen. Wer darf auf die Arbeitsstationen zugreifen?
Bei Gefährdung eines dieser Gesichtspunkte steigt das Risiko, dass Malware die externen und internen Netzwerkverteidigungsgrenzen umgehen und einen Host auf dem Netzwerk infizieren kann. Der Schutz des Zugriffs auf Einrichtungen und Computersysteme sollte ein grundsätzliches Element jeder Sicherheitsstrategie darstellen.
Weitere Einzelheiten hierzu finden Sie im Artikel 5-Minutem-Sicherheitstipp- Physikalische Sicherheit für Ihren Computer (Ratgeber für die physische Sicherheit in englischer Sprache) im Microsoft TechNet unter www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx
Logische Sicherheit
Softwaresicherheitsmaßnahmen für Informationssysteme in mittelgroßen Unternehmen umfassen den Zugriff anhand von Benutzer-IDs und Kennwörtern, Authentifizierung und Zugriffsrechte. All diese Elemente sind für das Management von Malwarerisiken von grundlegender Bedeutung. Diese Sicherheitsmaßnahmen sollen dazu beitragen, dass ausschließlich autorisierte Benutzer Aktionen auf einem bestimmten Server oder einer bestimmten Arbeitsstation im Netzwerk durchführen oder dort auf Informationen zugreifen können. Es obliegt den Administratoren, dafür zu sorgen, dass Systeme in Übereinstimmung mit der jeweiligen Funktion eines Benutzers konfiguriert sind. Erwägungen bei der Einrichtung derartiger Sicherheitsmaßnahmen können Folgendes umfassen:
Einschränkung verfügbarer Programme bzw. Dienstprogramme auf solche, die tatsächlich für eine bestimmte Position erforderlich sind.
Erhöhung der Kontrolle über wichtige Systemverzeichnisse.
Erhöhung der Überwachungsstufen.
Verwendung von Richtlinien für möglichst geringe Berechtigungen.
Einschränkung der Verwendung von Wechseldatenträgern, z. B. Disketten.
Wer sollte administrative Rechte für den Sicherungsserver sowie den oder die Mailserver und Dateiserver erhalten?
Wer sollte Zugriff auf Ordner mit Personaldaten erhalten?
Welche Berechtigungen sollten für den Zugriff auf abteilungsübergreifende Ordner eingeräumt werden?
Sollte eine Arbeitsstation von mehreren Benutzern verwendet werden können? Welche Zugriffsebene sollte in diesem Fall zugewiesen werden? Dürfen Benutzer Softwareanwendungen auf ihren Arbeitsstationen installieren?
Benutzer-IDs, Anmelde-IDs oder Konten sowie Benutzernamen sind eindeutige, persönliche Identifizierungsmerkmale für Benutzer eines Computerprogramms oder des Netzwerks, auf das mehr als ein Benutzer zugreifen kann. Die Authentifizierung ist der Vorgang, bei dem die Identität einer Einheit oder eines Objekts überprüft und bestätigt wird. Beispiele hierfür sind die Bestätigung der Quelle und Integrität von Informationen, etwa durch Überprüfen einer digitalen Signatur, oder die Bestätigung der Identität eines Benutzers oder Computers. Zur Verbesserung der Sicherheit empfiehlt es sich, jedes Anmeldekonto mit einem Kennwort – d. h. mit geheimen Authentifizierungsdaten zur Kontrolle des Zugriffs auf eine Ressource oder einen Computer – zu versehen. Nach eingerichteter Netzwerkanmeldung für einen Benutzer sind geeignete Zugriffsrechte festzulegen. So darf beispielsweise ein bestimmter Benutzer auf einen Ordner mit Personaldaten zugreifen, er hat jedoch nur Leseberechtigungen und kann daher keine Änderungen vornehmen.
Weitere logische Sicherheitselemente umfassen Folgendes:
Kennwortrichtlinien wie Gültigkeitsdauer und Komplexität.
Daten- und Softwaresicherungen.
Vertrauliche Informationen/sensible Daten – Verschlüsselung nach Bedarf verwenden.
Es sind geeignete Authentifizierungs- und Autorisierungsfunktionen bereitzustellen, die der jeweiligen Nutzung und dem akzeptablen Risiko entsprechen. Besonderes Augenmerk sollte dabei auf Server und Arbeitsstationen gerichtet werden. Alle genannten Elemente der logischen Sicherheit sollten deutlich formuliert, umgesetzt und im gesamten Unternehmen zu Referenzzwecken verfügbar gemacht werden.
Proaktive und reaktive Richtlinien und Verfahren
Für das Management von Malwarerisiken gibt es zwei grundlegende Ansätze: proaktiv und reaktiv. Proaktive Ansätze schließen sämtliche Maßnahmen ein, die dem Ziel dienen, die Gefährdung von Systemen durch host- oder netzwerkbasierte Angriffe zu verhindern. Reaktive Ansätze sind Maßnahmen, die mittelgroße Unternehmen ergreifen, nachdem ein Eindringling oder ein Angriffsprogramm (etwa ein trojanisches Pferd oder andere Malware) in einigen Systemen erkannt wurde.
Reaktive Ansätze
Nach Kompromittierung der Sicherheit eines Systems oder Netzwerks ist ein Vorfallsreaktionsablauf erforderlich. Die Vorfallsreaktion stellt die Methode dar, mit der ein Problem untersucht, seine Ursache analysiert und seine Auswirkungen minimiert, das Problem gelöst und die Schritte zur Problemlösung zu Referenzzwecken dokumentiert werden.
Jedes Unternehmen trifft Maßnahmen zur Vorbeugung gegen zukünftige Geschäftseinbußen. Analog dazu verfügt jedes Unternehmen auch über Pläne zur Reaktion auf derartige Einbußen für den Fall, dass proaktive Maßnahmen entweder unwirksam oder nicht vorhanden waren. Reaktive Methoden umfassen Wiederherstellungspläne für den Notfall, Neuinstallation von Betriebssystemen und Anwendungen auf beschädigten Systemen und Übergang zu Alternativsystemen an anderen Standorten. Die Vorbereitung und Implementierbarkeit von geeigneten reaktiven Reaktionen ist nicht minder wichtig als das Vorhandensein proaktiver Maßnahmen.
Das folgende Diagramm einer reaktiven Reaktionshierarchie zeigt Schritte für die Behandlung von Malwarevorfällen auf. Zusätzliche Informationen zu diesen Schritten sind im nachfolgenden Text enthalten.
.gif)
Abbildung 2. Reaktive Reaktionshierarchie
.gif){kind=link}
Schützen Sie Leben und Sicherheit von Personen. Falls Lebenserhaltungsgeräte an betroffene Computer angeschlossen sind, kommt ein Abschalten wohl nicht in Frage. Eine Möglichkeit wäre es, solche Systeme im Netzwerk logisch zu isolieren, indem Router und Switches umkonfiguriert werden, ohne dass deren Funktionen zur Patientenhilfe beeinträchtigt werden.
Halten Sie den Schaden in Grenzen. Dadurch werden zusätzliche Schäden infolge des Angriffs begrenzt. Schützen Sie umgehend wichtige Daten, Software und Hardware.
Schätzen Sie den Schadensumfang ab. Fertigen Sie umgehend Duplikate von den Festplatten jedes angegriffenen Servers an, und verwenden Sie sie für spätere genauere Untersuchungen. Schätzen Sie daraufhin den Schaden ab.
Ermitteln Sie die Ursache für den Schaden. Zur Ermittlung des Ursprungs eines Angriffs ist es erforderlich, sich Klarheit über die angegriffenen Ressourcen und die Sicherheitslücken, die zum Erlangen des Zugriffs bzw. die Unterbrechung der Betriebsbereitschaft genutzt wurden, zu verschaffen. Überprüfen Sie die Systemkonfiguration, die Patchstufe, Systemprotokolle, Überwachungsprotokolle und -pfade auf den direkt betroffenen Systemen sowie Netzwerkgeräte, die den Datenverkehr auf sie leiten.
Beheben Sie den Schaden. Es ist äußerst wichtig, den Schaden schnellstmöglich zu beheben, um den normalen Geschäftsbetrieb und während des Angriffs verlorene Daten wiederherzustellen.
Überprüfen Sie Reaktions- und Updaterichtlinien. Nach Abschluss der Dokumentation und Wiederherstellung sollten Reaktions- und Updaterichtlinien einer gründlichen Überprüfung unterzogen werden.
Was ist zu tun, wenn die Systeme im Netzwerk Viren enthalten? Die folgende Liste enthält Beispiele für einen reaktiven Ansatz:
Vergewissern Sie sich, dass die vorhandene Firewall korrekt funktioniert. Sorgen Sie für positive Kontrolle über eingehenden und ausgehenden Datenverkehr auf den Systemen und im Netzwerk.
Betrachten Sie zuerst die wahrscheinlichsten Schwachstellen. Beseitigen Sie die häufigsten Malwarebedrohungen, und suchen Sie danach nach unbekannten Bedrohungen.
Isolieren Sie das infizierte System. Trennen Sie es vom Netzwerk und vom Internet. Unterbinden Sie während des Bereinigungsvorgangs die Ausbreitung der Infizierung auf andere Systeme im Netzwerk.
Untersuchen Sie Verfahren zur Ausbruchskontrolle und Bereinigung.
Laden Sie die aktuellen Virendefinitionen von Antivirensoftwareanbietern herunter.
Vergewissern Sie sich, dass Antivirensysteme zum Scannen aller Dateien konfiguriert sind.
Scannen Sie das gesamte System.
Stellen Sie fehlende oder beschädigte Daten wieder her.
Entfernen oder reparieren Sie infizierte Dateien.
Vergewissern Sie sich, dass die Computersysteme keine Malware mehr enthalten.
Schließen Sie die bereinigten Computersysteme wieder an das Netzwerk an.
Hinweis Es ist wichtig, dass auf sämtlichen Computersystemen aktuelle Antivirensoftware ausgeführt wird, und dass automatisierte Prozesse für die regelmäßige Aktualisierung der Virendefinitionen ablaufen. Es ist besonders wichtig, Antivirensoftware auf von mobilen Mitarbeitern verwendeten tragbaren Computern regelmäßig zu aktualisieren.
Richten Sie eine Datenbank oder ein Protokoll zur Verfolgung der auf die wichtigsten Systeme im Unternehmen angewendeten Patches ein: Systeme, auf die über das Internet zugegriffen werden kann, Firewalls, interne Router, Datenbanken und Backoffice-Server.
Proaktive Ansätze
Ein proaktiver Ansatz für das Risikomanagement weist gegenüber einem reaktiven Ansatz viele Vorteile auf. Statt erst nach Eintritt eines Notfalls zu reagieren, tragen proaktive Ansätze im Vorfeld zur Minimierung des Notfallrisikos bei. Es sollten Pläne ausgearbeitet werden, in denen die wichtigsten Anlagen eines Unternehmens durch Implementierung von Kontrollfunktionen zur Reduzierung des Risikos der Ausnutzung von Sicherheitslücken durch Malware geschützt werden.
Ein wirksamer proaktiver Ansatz kann mittelgroßen Unternehmen bei der Reduzierung zukünftiger Sicherheitsvorfälle helfen, jedoch ist eine vollständige Unterbindung des Problems unwahrscheinlich. Daher sollten Vorfallsreaktionsprozesse kontinuierlich verbessert werden, während gleichzeitig langfristige proaktive Ansätze entwickelt werden. Die folgende Liste enthält Beispiele für proaktive Maßnahmen zum Management von Malwarerisiken.
Statten Sie Hardwaresysteme und Router nach Empfehlung der Anbieter mit der neuesten Firmware aus.
Wenden Sie die neuesten Sicherheitspatches auf Server- und andere Anwendungen an.
Abonnieren Sie sicherheitsrelevante E-Mail-Mitteilungen von Anbietern und wenden Sie Patches an, wenn dies empfohlen wird.
Stellen Sie sicher, dass auf allen Microsoft-Computersystemen aktuelle Antivirensoftware ausgeführt wird.
Vergewissern Sie sich, dass automatisierte Prozesse zur regelmäßigen Aktualisierung der Virendefinitionen ausgeführt werden.
Hinweis Es ist besonders wichtig, Antivirensoftware auf von mobilen Mitarbeitern verwendeten tragbaren Computern regelmäßig zu aktualisieren.
Richten Sie eine Datenbank zur Verfolgung der angewendeten Patches ein.
Überprüfen Sie Sicherheitsprotokolle.
Aktivieren Sie umkreis- oder hostbasierte Firewalls.
Verwenden Sie einen Sicherheitsrisikoscanner wie Microsoft Baseline Security Analyzer, um häufige fehlerhafte Sicherheitskonfigurationen und fehlende Sicherheitsupdates auf Ihren Computersystemen zu ermitteln.
Verwenden Sie Benutzerkonten mit möglichst geringen Berechtigungen. Bei Kompromittierung von Prozessen mit geringen Berechtigungen entsteht weniger Schaden als bei Prozessen mit umfassenden Berechtigungen. Daher kann durch die Verwendung eines Kontos ohne Administratorberechtigungen anstelle eines Administratorenkontos bei der Durchführung täglicher Aufgaben zusätzlicher Schutz vor Infizierungen durch Malware, externen oder internen Angriffen auf die Sicherheit, unbeabsichtigten oder beabsichtigten Veränderungen am Systemsetup und an Konfigurationen sowie unbeabsichtigtem oder beabsichtigtem Zugriff auf vertrauliche Programme oder Dokumente geboten werden.
Setzen Sie Richtlinien für sichere Kennwörter um. Sichere Kennwörter mindern die Wahrscheinlichkeit, dass ein Angreifer Brute-Force-Angriffe zur Erhöhung von Berechtigungen nutzt. Sichere Kennwörter weisen typischerweise die folgenden Merkmale auf:
Sie sind mindestens 15 Zeichen lang.
Sie enthalten niemals Kontonamen, echte Namen oder den Namen des Unternehmens in irgendeiner Form.
Sie enthalten niemals vollständige Wörter, umgangssprachliche Ausdrücke oder andere Begriffe, nach denen gesucht werden kann.
Sie unterscheiden sich wesentlich von vorher benutzten Kennwörtern und sind nicht inkrementell.
Sie weisen mindestens drei der folgenden Zeichenarten auf:
Großbuchstaben (A, B, C...)
Kleinbuchstaben (a, b, c...)
Ziffern (0, 1, 2...)
Nicht-alphanumerische Symbole (@, &, $...)
Unicode-Zeichen (€, ƒ, λ...)
Weitere Informationen zu Kennwortrichtlinien finden Sie im Artikel Password Best practices (Bewährte Praktiken für Kennwörter; in englischer Sprache) im Microsoft TechNet unter https://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true.
Tief greifende Schutzmaßnahmen
Ein proaktiver Ansatz zum Management von Malwarerisiken in einer mittelgroßen Unternehmensumgebung sollte die Verwendung geschichteter, tief greifender Maßnahmen zum Schutz von Ressourcen vor externen und internen Bedrohungen vorsehen. Der Begriff „tief greifende Schutzmaßnahmen“ (oder auch tief greifende bzw. mehrschichtige Sicherheit) wird für Sicherheitsmaßnahmen in mehreren Schichten verwendet, die zusammen eine geschlossene Sicherheitsumgebung ohne jegliche Schwachstellen bilden. Die Sicherheitsschichten, die die tief greifende Schutzstrategie ausmachen, sollten die Bereitstellung von Schutzmaßnahmen einschließen, die von externen Routern bis hin zu den Standorten der Ressourcen und allen Punkten zwischen ihnen alles abdecken. Durch die Bereitstellung mehrerer Sicherheitsschichten kann gewährleistet werden, dass bei Ausfall einer Schicht die anderen Schichten den für die Sicherheit der Ressourcen erforderlichen Schutz aufbringen können.
In diesem Abschnitt wird das Sicherheitsmodell der tief greifenden Schutzmaßnahmen erläutert, was einen ausgezeichneten Ausgangspunkt für das Verständnis dieses Konzepts darstellt. Dieses Modell sieht sieben Stufen von Sicherheitseinrichtungen vor, die dazu beitragen sollen, dass Versuchen der Sicherheitsgefährdung in mittelgroßen Unternehmen mit wirkungsvollen Verteidigungsmaßnahmen begegnet werden kann. Jede dieser Maßnahmen kann dazu beitragen, Angriffe auf vielen unterschiedlichen Stufen abzuwehren.
Die genauen Definitionen aller Schichten lassen sich je nach den Sicherheitsprioritäten und -erfordernissen eines Unternehmens anpassen. Die folgende Abbildung stellt die Schichten des Modells der tief greifenden Schutzmaßnahmen dar.
.gif)
Abbildung 3. Das Sicherheitsmodell der tief greifenden Schutzmaßnahmen
.gif){kind=link}
Daten. Risiken auf der Datenschicht entstehen aufgrund von Sicherheitslücken, die ein Angreifer zum Erlangen des Zugriffs auf Konfigurations-, Unternehmens- oder anderweitige Daten ausnutzen könnte, die nur auf einem Gerät im Unternehmen vorhanden sind.
Anwendung. Risiken auf der Anwendungsschicht entstehen aufgrund von Sicherheitslücken, die ein Angreifer zum Erlangen des Zugriffs auf ausgeführte Anwendungen ausnutzen könnte. Jeder ausführbare Code, den ein Malware-Autor außerhalb eines Betriebssystems unterbringen kann, könnte für Angriffe auf das System genutzt werden.
Host. Diese Schicht wird typischerweise von Anbietern von Service Packs und Hotfixes gegen Malwarebedrohungen abgedeckt. Risiken auf dieser Schicht entstehen durch Angreifer, die Sicherheitslücken in den vom Host oder Gerät bereitgestellten Diensten ausnutzen.
Internes Netzwerk. Die Risiken für die internen Netzwerke eines Unternehmens betreffen hauptsächlich sensible Daten, die über derartige Netzwerke übertragen werden. Die Konnektivitätserfordernisse für Client-Arbeitstationen in internen Netzwerken sind ebenfalls mit einigen Risiken verbunden.
Umkreisnetzwerk. Mit dieser Schicht verbundene Risiken entstehen dadurch, dass ein Angreifer Zugriff auf WANs (Wide Area Networks) und die über sie verbundenen Netzwerkebenen erhalten.
Physische Sicherheit. Risiken auf dieser Schicht entstehen durch Angreifer, die Zugang zu einer physischen Anlage erhalten.
Richtlinien, Verfahren und Bewusstsein. Alle Schichten dieses Sicherheitsmodells werden von Richtlinien und Verfahren begleitet, die mittelgroße Unternehmen aufstellen, um den Anforderungen auf jeder Stufe gerecht zu werden.
Die Daten-, Anwendungs- und Hostschichten lassen sich zu zwei Schutzstrategien für die Clients und Server im Unternehmen zusammenfassen. Auch wenn diese Schutzmaßnahmen einige geläufige Strategien aufweisen, sind die Unterschiede bei der Implementierung von Client- und Serverschutzmaßnahmen groß genug, um einen jeweils eigenen Ansatz zu rechtfertigen.
Die Schichten für interne und für Umkreisnetzwerke lassen sich ebenso in einer geläufigen Netzwerkschutzstrategie zusammenfassen, da sich beide Schichten mit den gleichen Technologien befassen. Details der Implementierung unterscheiden sich in diesen Schichten abhängig von der Position der Geräte und Technologien in der Infrastruktur des Unternehmens. Weitere Informationen zu tief gehenden Sicherheitsmaßnahmen finden Sie in Chapter 2: Malware Threats (Kapitel 2, Malwarebedrohungen) des The Antivirus Defense-in-Depth Guide (Handbuch zum tief greifenden Antivirenschutz; in englischer Sprache) unter https://go.microsoft.com/fwlink/?LinkId=50964.
Bereitstellung und Management
Strategien für das Management von Malwarerisiken können alle in diesem Dokument bisher vorgestellten Technologien und Ansätze umfassen. Es empfiehlt sich, eine zuverlässige und wirksame Antivirensoftware auf allen Systemen bereitzustellen. Neben Antivirensoftware sollte Windows Defender verwendet werden, ein Tool von Microsoft zur Vermeidung von Produktivitätsverlusten, das Computer vor Popupeinblendungen, Leistungsminderungen und Sicherheitsbedrohungen durch Spyware und anderer potenziell unerwünschter Software schützt. Die Bereitstellung dieser beiden Komponenten sollte möglichst umgehend nach Installation des Betriebssystems erfolgen. Neueste Patches für die Antivirensoftware sollten sofort angewendet und konfiguriert werden, um eine wirksame Erkennung und Bereinigung von Malware stets zu gewährleisten. Da ein einzelner Ansatz keine umfassende Sicherheitslösung garantieren kann, sollten Firewalls, Gateways, Einbruchserkennungssysteme und weitere Sicherheitstechnologielösungen, die in Abschnitten weiter oben behandelt wurden, zusammen mit Antivirensoftware abgesichert werden.
Dieser Abschnitt enthält Informationen zur Überprüfung, Überwachung und Berichterstellung sowie zu verfügbaren Technologien.
Überprüfung
Nach genauer Betrachtung und Implementierung der zuvor genannten Ansätze und Technologien zum Management von Malwarerisiken ist sicherzustellen, dass diese effektiv bereitgestellt werden.
Verwenden Sie die folgenden Hilfsmittel zur Überprüfung einer Lösung in der Netzwerk- und Systemumgebung:
Antivirensoftware. Suchen Sie mit Antivirensoftware mit den neuesten Signaturdateidefinitionen auf allen Systemen nach Viren.
Windows Defender. Suchen Sie mit Windows Defender auf allen Systemen nach Spyware und anderer potenziell unerwünschter Software.
Microsoft Baseline Security Analyzer (MBSA). Scannen Sie alle Systeme mit MBSA, um häufige fehlerhafte Sicherheitskonfigurationen zu erkennen. Weitere Informationen finden Sie auf der Webseite Microsoft Baseline Security Analyzer unter https://go.microsoft.com/fwlink/?linkid=17809.
Darüber hinaus sollten alle neu eingerichteten Konten mit entsprechenden Zugriffsberechtigungen getestet und überprüft werden, um sicherzustellen, dass sie die gewünschten Funktionen aufweisen.
Nach Überprüfung der Strategien und implementierten Technologien sollten Patches für Software und Hardware zur Gewährleistung der anhaltenden Wirksamkeit von Sicherheitseinrichtungen nach Bedarf angewendet werden. Benutzer und insbesondere IT-Personal sollten durch Aktualisierungen stets auf dem neuesten Stand bleiben.
Überwachung und Berichterstellung
Eine kontinuierliche Überwachung aller Geräte im Netzwerk ist für die Erkennung von Malwareangriffen von grundlegender Bedeutung. Die Überwachung kann ein durchaus komplexer Vorgang sein. Für sie müssen Informationen aus vielfältigen Quellen (z. B. Protokolle von Firewalls, Routern, Switches und Benutzern) zusammengetragen werden, nach denen Grundwerte für „normales“ Verhalten erstellt und dadurch abnormales Verhalten erkannt werden kann.
Strategien für die Überwachung und Berichterstellung hinsichtlich Malware in mittelgroßen Unternehmensumgebungen sollten Technologien und Benutzerschulungen einschließen.
Technologien bezieht sich hierbei auf ordnungsgemäß bereitgestellte und implementierte Hardware- und Softwaretechnologien, die mittelgroßen Unternehmen bei der Überwachung und Berichterstellung hinsichtlich Malwareaktivitäten und angemessener Reaktionen darauf unterstützt. Benutzerschulung bezieht sich auf Aufklärungsprogramme, die Leitfäden für Benutzer zur Verhinderung, Vorbeugung und korrekten Berichterstattung hinsichtlich Malwarevorfällen einschließen.
Technologien
Es kann ein automatisiertes Warnsystem für die Überwachung eingerichtet werden, das einen Bericht über vermuteten Malwarebefall an eine zentrale Stelle oder eine geeignete Kontaktperson übermittelt, die daraufhin Benutzer über geeignete Maßnahmen informieren kann. Durch ein automatisiertes Warnsystem lässt sich die Verzögerung zwischen der anfänglichen Warnung und dem Bewusstsein der Benutzer über die Malwarebedrohung minimieren, allerdings besteht das Problem bei diesem Ansatz darin, dass Fehlarlarm ausgelöst werden kann. Werden Warnungen nicht untersucht und keine Berichterstellungscheckliste für ungewöhnliche Aktivitäten überprüft, ist es wahrscheinlich, dass Warnungen über Malware ausgegeben werden, die gar nicht vorhanden ist. Diese Situation kann zu Vernachlässigungen führen, da die Aufmerksamkeit von Benutzern bei zu häufig auftretenden Warnungen nachlassen kann.
Es kann sinnvoll sein, Mitglieder des Netzwerkadministratorenteams mit der Aufgabe zu betrauen, alle automatisierten Malwarewarnungen aus allen Systemen zur Softwareüberwachung oder Antivirenpaketen, die im Unternehmen verwendet werden, in Empfang zu nehmen. Die Zuständigen können dann Fehlalarme aus den automatisierten Systemen aussortieren, bevor Warnungen an Benutzer weitergeleitet werden.
Es empfiehlt sich, Malwarelösungen kontinuierlich zu überprüfen und auf dem neuesten Stand zu halten. Sämtliche Aspekte des Schutzes vor Malware sind wichtig, egal, ob einfache automatische Downloads von Virensignaturen oder umfassende Änderungen der Betriebsrichtlinien. Einige der folgenden Hilfsmittel wurden bereits erwähnt. Sie alle sind jedoch für das Sicherheitsmanagement, die Überwachung und die Berichterstellung von grundlegender Bedeutung:
Network Intrusion Detection (NID). Da es sich beim Umkreisnetzwerk um einen vielen Gefahren ausgesetzten Teil des Netzwerks handelt, ist es äußerst wichtig, dass Netzwerkverwaltungssysteme in der Lage sind, Angriffe schnellstmöglich zu erkennen und bekannt zu geben.
Microsoft Baseline Security Analyzer (MBSA). Verbessern Sie den Sicherheitsmanagementprozess durch Verwendung von MBSA, mit dem häufige fehlerhafte Sicherheitskonfigurationen und fehlende Sicherheitsupdates auf Computersystemen erkannt werden können.
Antivirensignaturscanner. Die meisten Antivirensoftwareprogramme nutzen diese Vorgehensweise, bei der das Ziel (Hostcomputer, Laufwerke oder Dateien) auf Muster untersucht werden, die auf Malware hinweisen könnten.
SMTP-Gatewayscanner. Diese SMTP-basierten E-Mail-Scanlösungen (SMTP = Simple Mail Transfer Protocol) werden normalerweise als „Gateway“-Antivirenlösungen bezeichnet. Sie weisen den Vorteil auf, dass sie sich mit allen SMTP-E-Mail-Diensten verwenden lassen statt an ein bestimmtes E-Mail-Serverprodukt gebunden zu sein.
Protokolldateien. Dateien, die Einzelheiten zu Dateizugriffen enthalten, werden auf einem Server gespeichert. Die Analyse von Protokolldateien kann nützliche Daten über Websitenutzungen liefern.
Ereignisanzeige. Ein Verwaltungstool, das Berichte zu Fehlern und anderen Ereignissen (z. B. Treiberausfälle, Dateifehler, Anmeldungen und Abmeldungen) erstellt.
Microsoft Windows Defender. Dieses Programm schützt Ihren Computer vor Popups, Leistungsbeeinträchtigungen und Sicherheitsbedrohungen, die durch Spyware oder andere unerwünschte Software verursacht werden. Wenn Spyware erkannt wird, empfiehlt der Echtzeitschutz geeignete Maßnahmen. Die neue, rationalisierte Benutzeroberfläche minimiert die Anzahl der Unterbrechungen und hilft Benutzern dabei, produktiv zu arbeiten.
Verwenden Sie dynamischen Schutz in Internet Explorer 7.
Es werden unter anderem auch die folgenden Tools zum Scannen und Anwenden neuer Aktualisierungen und Problembehebungen empfohlen:
Microsoft Windows Server Update Services (WSUS) bietet eine umfassende Lösung für das Updatemanagement in Netzwerken von mittelgroßen Unternehmen.
Microsoft Systems Management Server 2003 SP1 bietet eine umfassende Lösung für die Änderungs- und Konfigurationsverwaltung auf der Microsoft-Plattform und ermöglicht es Unternehmen, relevante Software und Updates Benutzern schnell und kosteneffizient zur Verfügung zu stellen.
Besorgen Sie sich alle neuen Patches, die für Ihr Unternehmen von Bedeutung sind. Sie können sich entsprechende Benachrichtigungen automatisch zustellen lassen, indem Sie die Microsoft Security Bulletins unter https://go.microsoft.com/fwlink/?LinkId=21723 abonnieren.
Schulung der Benutzer
Wie weiter oben in diesem Dokument bereits erwähnt, sollten alle Benutzer über Malware und deren Merkmale, das Ausmaß der potenziellen Bedrohungen, Vermeidungsmaßnahmen, die Art der Verbreitung von Malware sowie die mit Malware verbundenen Risiken informiert werden. Die Benutzerschulung sollte außerdem das Bewusstsein über die Richtlinien und Verfahren vermitteln, die mit der Behandlung von Malwarevorfällen zu tun haben, etwa wie Malware auf einem Computer gefunden werden kann, wie vermutete Infizierungen bekannt zu geben sind und was Benutzer selbst zur Unterstützung von mit der Vorfallslösung beauftragten Personen tun können. Mittelgroße Unternehmen sollten Trainingssitzungen über Strategien für das Management von Malwarerisiken für IT-Personal abhalten, das mit der Malwarevorfallsvorbeugung betraut ist.
Zusammenfassung
Malware stellt ein komplexes und ständig im Wandel befindliches Gebiet der Computertechnologie dar. Unter allen in der Informationstechnologie anzutreffenden Problemen sind nur wenige derart verbreitet und kostspielig wie Malwareangriffe und der zu ihrer Beseitigung nötige Aufwand. Das Verständnis ihrer Funktionsweise und ihrer zeitlichen Entwicklung sowie der von ihnen genutzten Angriffsvektoren kann mittelgroßen Unternehmen dabei helfen, proaktiv mit den Problemen umzugehen und effizientere und effektivere reaktive Prozesse auszuarbeiten. Bei Malware finden derart viele Verfahren zur Erstellung, Verteilung und zur Ausnutzung von Computersystemen Anwendung, dass mitunter kaum vorstellbar ist, wie ein System überhaupt ausreichend gegen solche Angriffe geschützt werden kann. Versteht man jedoch die Herausforderungen und verfügt man über Strategien für das Management von Malwarerisiken, können mittelgroße Unternehmen ihre Systeme und Netzwerkinfrastruktur auf eine Weise verwalten, die die Wahrscheinlichkeit von erfolgreichen Angriffen reduziert.
Anhang A: Gebräuchliche Informationssystemanlagen
Dieser Anhang enthält eine Liste der Informationssystemanlagen, die typischerweise in mittelgroßen Unternehmen unterschiedlicher Form vorhanden sind. Die Liste erhebt keinen Anspruch auf Vollständigkeit und enthält möglicherweise nicht alle Anlagen, die in Ihrer konkreten Unternehmensumgebung vorhanden sind. Sie dient zu Referenzzwecken und als Ausgangspunkt für die Ergreifung von Maßnahmen in mittelgroßen Unternehmen.
Tabelle A.1. Liste gebräuchlicher Informationssystemanlagen
|
Anlagenklasse |
Generelle Beschreibung der Anlage |
Definition der nächsten Stufe (falls erforderlich) |
Anlagenbewertung (5 = höchster Wert) |
|---|---|---|---|
|
Materiell |
Physische Infrastruktur |
Datenzentren |
5 |
|
Materiell |
Physische Infrastruktur |
Server |
3 |
|
Materiell |
Physische Infrastruktur |
Desktopcomputer |
1 |
|
Materiell |
Physische Infrastruktur |
Mobile Computer |
3 |
|
Materiell |
Physische Infrastruktur |
PDAs |
1 |
|
Materiell |
Physische Infrastruktur |
Mobiltelefone |
1 |
|
Materiell |
Physische Infrastruktur |
Serveranwendungssoftware |
1 |
|
Materiell |
Physische Infrastruktur |
Anwendungssoftware für Endbenutzer |
1 |
|
Materiell |
Physische Infrastruktur |
Entwicklungstools |
3 |
|
Materiell |
Physische Infrastruktur |
Router |
3 |
|
Materiell |
Physische Infrastruktur |
Netzwerkswitches |
3 |
|
Materiell |
Physische Infrastruktur |
Faxgeräte |
1 |
|
Materiell |
Physische Infrastruktur |
PBXs |
3 |
|
Materiell |
Physische Infrastruktur |
Wechseldatenträger (Bänder, Disketten, CD-ROMs, DVDs, externe Festplatten, PC-Kartenspeichergeräte, USB-Speichergeräte usw.) |
1 |
|
Materiell |
Physische Infrastruktur |
Stromversorgung |
3 |
|
Materiell |
Physische Infrastruktur |
Unterbrechungsfreie Stromversorgung |
3 |
|
Materiell |
Physische Infrastruktur |
Systeme zur Brandbekämpfung |
3 |
|
Materiell |
Physische Infrastruktur |
Klimaanlagen |
3 |
|
Materiell |
Physische Infrastruktur |
Luftfilterungssysteme |
1 |
|
Materiell |
Physische Infrastruktur |
Andere Umgebungskontrollsysteme |
3 |
|
Materiell |
Intranetdaten |
Quellcode |
5 |
|
Materiell |
Intranetdaten |
Personaldaten |
5 |
|
Materiell |
Intranetdaten |
Finanzdaten |
5 |
|
Materiell |
Intranetdaten |
Marketingdaten |
5 |
|
Materiell |
Intranetdaten |
Mitarbeiterkennwörter |
5 |
|
Materiell |
Intranetdaten |
Private kryptografische Schlüssel von Mitarbeitern |
5 |
|
Materiell |
Intranetdaten |
Kryptografische Schlüssel für Computersysteme |
5 |
|
Materiell |
Intranetdaten |
Smartcards |
5 |
|
Materiell |
Intranetdaten |
Geistiges Eigentum |
5 |
|
Materiell |
Intranetdaten |
Daten für gesetzliche Anforderungen (GLBA, HIPAA, CA SB1386, EU-Datenschutzrichtlinie usw.) |
5 |
|
Materiell |
Intranetdaten |
Sozialversicherungsnummern von US-amerikanischen Mitarbeiten |
5 |
|
Materiell |
Intranetdaten |
Führerscheinnummern von Mitarbeitern |
5 |
|
Materiell |
Intranetdaten |
Strategische Pläne |
3 |
|
Materiell |
Intranetdaten |
Verbraucherkreditauskünfte von Kunden |
5 |
|
Materiell |
Intranetdaten |
Medizinische Daten von Kunden |
5 |
|
Materiell |
Intranetdaten |
Biometriedaten von Mitarbeitern |
5 |
|
Materiell |
Intranetdaten |
Geschäftskontaktdaten von Mitarbeitern |
1 |
|
Materiell |
Intranetdaten |
Private Kontaktdaten von Mitarbeitern |
3 |
|
Materiell |
Intranetdaten |
Bestellungsdaten |
5 |
|
Materiell |
Intranetdaten |
Netzwerkinfrastrukturentwurf |
3 |
|
Materiell |
Intranetdaten |
Interne Websites |
3 |
|
Materiell |
Intranetdaten |
Ethnografische Daten von Mitarbeitern |
3 |
|
Materiell |
Extranetdaten |
Vertragsdaten von Partnern |
5 |
|
Materiell |
Extranetdaten |
Finanzdaten von Partnern |
5 |
|
Materiell |
Extranetdaten |
Kontaktdaten von Partnern |
3 |
|
Materiell |
Extranetdaten |
Partner-Zusammenarbeitsanwendung |
3 |
|
Materiell |
Extranetdaten |
Kryptografische Schlüssel von Partnern |
5 |
|
Materiell |
Extranetdaten |
Kreditauskünfte von Partnern |
3 |
|
Materiell |
Extranetdaten |
Bestellungsdaten von Partnern |
3 |
|
Materiell |
Extranetdaten |
Vertragsdaten von Lieferanten |
5 |
|
Materiell |
Extranetdaten |
Finanzdaten von Lieferanten |
5 |
|
Materiell |
Extranetdaten |
Kontaktdaten von Lieferanten |
3 |
|
Materiell |
Extranetdaten |
Lieferanten-Zusammenarbeitsanwendung |
3 |
|
Materiell |
Extranetdaten |
Kryptografische Schlüssel von Lieferanten |
5 |
|
Materiell |
Extranetdaten |
Kreditauskünfte von Lieferanten |
3 |
|
Materiell |
Extranetdaten |
Bestellungsdaten von Lieferanten |
3 |
|
Materiell |
Internetdaten |
Website-Verkaufsanwendung |
5 |
|
Materiell |
Internetdaten |
Website-Marketingdaten |
3 |
|
Materiell |
Internetdaten |
Kreditkartenangaben des Kunden |
5 |
|
Materiell |
Internetdaten |
Kontaktdaten des Kunden |
3 |
|
Materiell |
Internetdaten |
Öffentliche kryptografische Schlüssel |
1 |
|
Materiell |
Internetdaten |
Presseveröffentlichungen |
1 |
|
Materiell |
Internetdaten |
Whitepapers |
1 |
|
Materiell |
Internetdaten |
Produktdokumentation |
1 |
|
Materiell |
Internetdaten |
Trainingsmaterialien |
3 |
|
Immateriell |
Ruf |
|
5 |
|
Immateriell |
Wohlwollen |
|
3 |
|
Immateriell |
Mitarbeitermoral |
|
3 |
|
Immateriell |
Produktivität der Mitarbeiter |
|
3 |
|
IT-Dienste |
Messaging |
E-Mail/Terminplanung (z. B. Microsoft Exchange) |
3 |
|
IT-Dienste |
Messaging |
Instant Messaging |
1 |
|
IT-Dienste |
Messaging |
Microsoft Outlook® Web Access (OWA) |
1 |
|
IT-Dienste |
Infrastrukturkern |
Active Directory®-Verzeichnisdienst |
3 |
|
IT-Dienste |
Infrastrukturkern |
DNS (Domain Name System) |
3 |
|
IT-Dienste |
Infrastrukturkern |
DHCP (Dynamic Host Configuration Protocol) |
3 |
|
IT-Dienste |
Infrastrukturkern |
Unternehmensverwaltungstools |
3 |
|
IT-Dienste |
Infrastrukturkern |
Dateifreigabe |
3 |
|
IT-Dienste |
Infrastrukturkern |
Speicherung |
3 |
|
IT-Dienste |
Infrastrukturkern |
Remotezugriff per Einwahl |
3 |
|
IT-Dienste |
Infrastrukturkern |
Telefonie |
3 |
|
IT-Dienste |
Infrastrukturkern |
VPN-Zugriff |
3 |
|
IT-Dienste |
Infrastrukturkern |
Microsoft Windows® Internet Naming Service (WINS) |
1 |
|
IT-Dienste |
Andere Infrastruktur |
Collaboration-Dienste (z. B. Microsoft SharePoint®) |
|
Anhang B: Häufige Bedrohungen
Dieser Anhang enthält eine Liste der Bedrohungen, denen sich mittelgroße Unternehmen ausgesetzt sehen. Diese Liste erhebt keinen Anspruch auf Vollständigkeit, und da sie statisch ist, bleibt sie nicht immer auf dem neuesten Stand. Sie dient zu Referenzzwecken und als Ausgangspunkt für die Ergreifung von Maßnahmen in Ihrem Unternehmen.
Tabelle B.1. Liste häufiger Bedrohungen
|
Generelle Beschreibung der Bedrohung |
Konkretes Beispiel |
|---|---|
|
Katastrophales Ereignis |
Brand |
|
Katastrophales Ereignis |
Überschwemmung |
|
Katastrophales Ereignis |
Erdbeben |
|
Katastrophales Ereignis |
Schwerer Sturm |
|
Katastrophales Ereignis |
Terrorangriff |
|
Katastrophales Ereignis |
Unruhen/Ausschreitungen |
|
Katastrophales Ereignis |
Erdrutsch |
|
Katastrophales Ereignis |
Lawine |
|
Katastrophales Ereignis |
Industrieunfall |
|
Mechanisches Versagen |
Stromausfall |
|
Mechanisches Versagen |
Hardwarefehler |
|
Mechanisches Versagen |
Netzwerkausfall |
|
Mechanisches Versagen |
Versagen der Umgebungskontrollsysteme |
|
Mechanisches Versagen |
Konstruktionsunfall |
|
Nicht böswillige Person |
Uninformierter Mitarbeiter |
|
Nicht böswillige Person |
Uninformierter Benutzer |
|
Böswillige Person |
Hacker, Cracker |
|
Böswillige Person |
Computerstraftäter |
|
Böswillige Person |
Industriespionage |
|
Böswillige Person |
Spionage im Regierungsauftrag |
|
Böswillige Person |
Social Engineering |
|
Böswillige Person |
Aktueller Mitarbeiter mit unlauteren Absichten |
|
Böswillige Person |
Ehemaliger Mitarbeiter mit unlauteren Absichten |
|
Böswillige Person |
Terrorist |
|
Böswillige Person |
Nachlässiger Mitarbeiter |
|
Böswillige Person |
Unehrlicher Mitarbeiter (bestochen oder erpresst) |
|
Böswillige Person |
Bösartiger mobiler Code |
Anhang C: Sicherheitsrisiken
Dieser Anhang enthält eine Liste der Sicherheitsrisiken, denen mittelgroße Unternehmen ausgesetzt sein können. Diese Liste erhebt keinen Anspruch auf Vollständigkeit, und da sie statisch ist, bleibt sie nicht immer auf dem neuesten Stand. Sie dient zu Referenzzwecken und als Ausgangspunkt für die Ergreifung von Maßnahmen in Ihrem Unternehmen.
Tabelle C.1. Liste der Sicherheitsrisiken
|
Generelle Sicherheitsrisikoklasse |
Kurzbeschreibung des Sicherheitsrisikos |
Konkretes Beispiel (sofern zutreffend) |
|---|---|---|
|
Physisch |
Nicht abgeschlossene Türen |
|
|
Physisch |
Unbewachter Zugang zu Computereinrichtungen |
|
|
Physisch |
Ungenügende Systeme zur Brandbekämpfung |
|
|
Physisch |
Mangelhaft entworfene Gebäude |
|
|
Physisch |
Mangelhaft konstruierte Gebäude |
|
|
Physisch |
Brennbare Materialien bei der Konstruktion verwendet |
|
|
Physisch |
Brennbare Materialien bei der Endverarbeitung verwendet |
|
|
Physisch |
Nicht geschlossene Fenster |
|
|
Physisch |
Wände anfällig für physische Angriffe |
|
|
Physisch |
Innenwände schließen den Raum nicht vollständig an der Decke und am Boden ab |
|
|
Natürlich |
Gebäude befindet sich in einem erdbebengefährdeten Gebiet |
|
|
Natürlich |
Gebäude befindet sich in einem flutgefährdeten Gebiet |
|
|
Natürlich |
Gebäude befindet sich in einem lawinengefährdeten Gebiet |
|
|
Hardware |
Fehlende Patches |
|
|
Hardware |
Veraltete Firmware |
|
|
Hardware |
Inkorrekt konfigurierte Systeme |
|
|
Hardware |
Systeme nicht physisch gesichert |
|
|
Hardware |
Managementprotokolle über öffentliche Schnittstellen zulässig |
|
|
Software |
Veraltete Antivirensoftware |
|
|
Software |
Fehlende Patches |
|
|
Software |
Mangelhaft geschriebene Anwendungen |
Standortübergreifendes Scripting |
|
Software |
Mangelhaft geschriebene Anwendungen |
SQL-Injektion |
|
Software |
Mangelhaft geschriebene Anwendungen |
Codeschwächen, z. B. Pufferüberlauf |
|
Software |
Absichtlich eingebaute Schwachstellen |
Hintertüren von Lieferanten für die Verwaltung oder Systemwiederherstellung |
|
Software |
Absichtlich eingebaute Schwachstellen |
Spyware, z. B. Keylogger |
|
Software |
Absichtlich eingebaute Schwachstellen |
Trojanische Pferde |
|
Software |
Absichtlich eingebaute Schwachstellen |
|
|
Software |
Konfigurationsfehler |
Uneinheitliche Konfigurationen infolge manueller Bereitstellung |
|
Software |
Konfigurationsfehler |
Nicht abgesicherte Systeme |
|
Software |
Konfigurationsfehler |
Ungeprüfte Systeme |
|
Software |
Konfigurationsfehler |
Unüberwachte Systeme |
|
Medien |
Elektrische Störung |
|
|
Kommunikation |
Unverschlüsselte Netzwerkprotokolle |
|
|
Kommunikation |
Verbindungen zu mehreren Netzwerken |
|
|
Kommunikation |
Unnötige Protokolle zugelassen |
|
|
Kommunikation |
Keine Filterung zwischen Netzwerksegmenten |
|
|
Menschlich |
Unzureichend definierte Verfahren |
Unzureichende Vorbereitung auf Vorfallsreaktionen |
|
Menschlich |
Unzureichend definierte Verfahren |
Manuelle Bereitstellung |
|
Menschlich |
Unzureichend definierte Verfahren |
Unzureichende Wiederherstellungspläne für den Notfall |
|
Menschlich |
Unzureichend definierte Verfahren |
Tests auf Produktionssystemen |
|
Menschlich |
Unzureichend definierte Verfahren |
Sicherheitsverletzungen nicht gemeldet |
|
Menschlich |
Unzureichend definierte Verfahren |
Unzureichende Änderungssteuerung |
|
Menschlich |
Gestohlene Anmeldeinformationen |
|
Referenzen
-
www.microsoft.com/technet/security/topics/serversecurity/avdind_3.mspx#EBKAE
Survey of Security Risk Management Practices (Überblick über Sicherheitsrisikomanagementpraktiken; in englischer Sprache)
www.microsoft.com/technet/security/topics/complianceandpolicies/secrisk/srsgch02.mspx
Beurteilungen von Antivirensoftware (in englischer Sprache)
Leitfaden zum Sicherheitsrisikomanagement
www.microsoft.com/technet/security/topics/complianceandpolicies/secrisk/default.mspx
Leitfaden zur erfolgreichen Virenabwehr
www.microsoft.com/technet/security/topics/serversecurity/avdind_0.mspx
Download
Dokument „Strategien für das Management von Malwarerisiken“ herunterladen