Os Computerei

Blog von Oliver Braun vom IT-Service.berlin

...zum IT-Service.berlin 

Viren­scan­ner sind wichtig. Sie ergänzen den Schutz vor schädlich­er Soft­ware und sind somit für den behut­samen Com­put­er­is­ten eine notwendi­ge Ergänzung.

Sie erset­zen aber nicht den gesun­den Men­schen­ver­stand. Mis­strauen gegenüber durch das Inter­net einge­hen­den Nachricht­en bleibt uner­lässlich, zum Beispiel gegenüber E‑Mails.

Gerne wird zum Beispiel ver­sucht, Com­put­er mit Viren zu infizieren, indem eine Nachricht ver­schickt wird, die ange­blich von bekan­nten Absendern wie DHL, 1&1, der Telekom oder amazon.de stammt. Ange­hängt ist eine vorge­blich wichtige Nachricht als PDF-Datei. Dies kann eine Ver­sand­in­for­ma­tion oder eine Rech­nung sein.

Mit dem Öff­nen des Anhanges erfol­gt die Infek­tion. An dieser Stelle wer­den Sicher­heit­slück­en im PDF-View­er benutzt (der ver­bre­it­et­ste PDF-View­er ist der Adobe Read­er). Übri­gens ist dies der Grund, weshalb man den PDF-View­er stets aktuell hal­ten und die Updates hier­für sofort instal­lieren sollte.

Nach dem Ver­sand dieser schädlichen Anhänge durch Vire­nau­toren wer­den die Viren dann irgend­wann von Antivirusspezial­is­ten ent­deckt und die Daten­banken der Antivirus­pro­gramme aktu­al­isiert, so dass die Schutz­soft­ware die Gefahr erken­nen. Aber bis es so weit ist, gibt es eine Lücke im Viren­schutz!

Gute Viren­scan­ner haben zwar eine “Ver­hal­tenserken­nung” einge­baut. Sie erken­nen die Schad­soft­ware nicht anhand der Viren­daten­bank mit ihrer Liste an Viren, aber dem Antivirus­pro­gramm kann auf­fall­en, dass sich da ein Pro­gramm “selt­sam” ver­hält und ver­sucht, “merk­würdi­ge” oder “ungewöhn­liche” Dinge zu tun.

Darauf sollte man sich aber nicht ver­lassen! Schauen Sie sich ein­mal dieses Beispiel an:

Hier sehen Sie eine E‑Mail, die ange­blich von Voda­fone kommt und der ange­blich eine Rech­nung ange­hängt ist:

Etwa vier Stun­den nach dem Erhalt der Nachricht habe ich den Anhang durch diverse Viren­scan­ner prüfen lassen; nur 4 von 44 Scan­nern haben ihn anhand ihrer Sig­natur­daten­bank als schädlich erkan­nt, näm­lich Kasper­sky, Trend­Mi­cro und McAfee:

Hätte ich also den Anhang zu diesem Zeit­punkt geöffnet, wäre mein Com­put­er möglicher­weise infiziert wor­den. Natür­lich hätte es sein kön­nen, dass die Ver­hal­tenserken­nung meines Antivirus­pro­grammes eine Infek­tion noch ver­hin­dert hätte, oder dass das Virus eine Sicher­heit­slücke in meinem Com­put­er hätte nutzen wollen, die es nicht mehr gibt — dank der Win­dows-Updates oder dank der Updates meines Adobe Read­ers. Auf diesen Ver­such möchte ich es aber nicht ankom­men lassen!

Bei ein­er zweit­en Prü­fung elf Tage später sieht das Bild so aus:

Immer­hin 24 von 46 Antivirus­pro­gramme erken­nen jet­zt, dass es sich um eine PDF-Datei mit einem einge­baut­en Virus han­delt. Von den ins­ge­samt 46 Schutzpro­gramme sind viele recht exo­tisch; fast alle in Deutsch­land ver­bre­it­eten Pro­gramme iden­ti­fizieren den Schädling nun.

Dieses Beispiel zeigt deut­lich, dass beim Erhalt ein­er E‑Mail mit einem schädlichen Anhang ein Viren­schutzpro­gramm nur wenig Schutz bietet. Von dem Zeit­punkt, zu dem diese E‑Mail ver­sandt wurde, bis zu dem Zeit­punkt, ab dem Viren­scan­ner den Schädling “ken­nen”, verge­hen immer Stun­den, manch­mal Tage. Bei guten Viren­scan­nern ist die zeitliche Lücke klein­er, aber sie ist vorhan­den!

Nun war ich aber zu keinem Zeit­punkt durch diesen E‑Mail-Schädling gefährdet. Ich habe näm­lich kein Voda­fone-Handy und auch keinen Voda­fone-Tele­fo­nan­schluss. Warum sollte ich also eine Rech­nung öff­nen, die mir — ange­blich — Voda­fone zusendet?

Der wirk­sam­ste Schutzmech­a­nis­mus ist eigentlich ganz ein­fach:

  1. Eine E‑Mail trifft ein mit einem Anhang, den man nicht erwartet hat. Zum Beispiel eine DHL-Ver­sandbestä­ti­gung, obwohl man kein Paket ver­schickt hat. Oder eine Rech­nung von der Telekom, obwohl man dort gar keinen Tele­fo­nan­schluss hat. In einem solche Fall ist höch­ste Vor­sicht geboten. Entwed­er Sie löschen die E‑Mail, ohne den Anhang zu öff­nen, oder Sie fra­gen einen Fach­mann um Rat.
  2. Schwieriger ist es, wenn es sich beispiel­sweise um eine Rech­nung han­delt, die Sie erwarten. Zum Beispiel eine Rech­nung von 1&1, wenn Sie einen 1&1‑Internetanschluss haben. Deshalb schreiben die Absender in diesen Fällen eine ein­deutige Ken­nung in die E‑Mail-Nachricht sel­ber, zum Beispiel Ihre Kun­den­num­mer. Diese soll­ten Sie mit Ihren Unter­la­gen ver­gle­ichen, bevor Sie den Anhang öff­nen: Wenn die Num­mer stimmt, stammt die Nachricht mit aller­größter Wahrschein­lichkeit wirk­lich von dem Absender. Und dann kön­nen Sie auch den Anhang öff­nen.

PS: Einen ähn­lichen Fall schildert Heise online hier: http://www.heise.de/security/meldung/Viren-in-vermeintlichen-Rechnungen-von-ImmobilienScout24-1784597.html