Os Computerei

Blog von Oliver Braun vom IT-Service.berlin

...zum IT-Service.berlin 

Viren­scan­ner sind wich­tig. Sie ergän­zen den Schutz vor schäd­li­cher Soft­ware und sind somit für den behut­sa­men Com­pu­te­ris­ten eine not­wen­di­ge Ergänzung.

Sie erset­zen aber nicht den gesun­den Men­schen­ver­stand. Miss­trau­en gegen­über durch das Inter­net ein­ge­hen­den Nach­rich­ten bleibt uner­läss­lich, zum Bei­spiel gegen­über E‑Mails.

Ger­ne wird zum Bei­spiel ver­sucht, Com­pu­ter mit Viren zu infi­zie­ren, indem eine Nach­richt ver­schickt wird, die angeb­lich von bekann­ten Absen­dern wie DHL, 1&1, der Tele­kom oder amazon.de stammt. Ange­hängt ist eine vor­geb­lich wich­ti­ge Nach­richt als PDF-Datei. Dies kann eine Ver­sand­in­for­ma­ti­on oder eine Rech­nung sein.

Mit dem Öff­nen des Anhan­ges erfolgt die Infek­ti­on. An die­ser Stel­le wer­den Sicher­heits­lü­cken im PDF-View­er benutzt (der ver­brei­tets­te PDF-View­er ist der Ado­be Rea­der). Übri­gens ist dies der Grund, wes­halb man den PDF-View­er stets aktu­ell hal­ten und die Updates hier­für sofort instal­lie­ren sollte.

Nach dem Ver­sand die­ser schäd­li­chen Anhän­ge durch Viren­au­toren wer­den die Viren dann irgend­wann von Anti­vi­rus­spe­zia­lis­ten ent­deckt und die Daten­ban­ken der Anti­vi­rus­pro­gram­me aktua­li­siert, so dass die Schutz­soft­ware die Gefahr erken­nen. Aber bis es so weit ist, gibt es eine Lücke im Virenschutz!

Gute Viren­scan­ner haben zwar eine „Ver­hal­tens­er­ken­nung” ein­ge­baut. Sie erken­nen die Schad­soft­ware nicht anhand der Viren­da­ten­bank mit ihrer Lis­te an Viren, aber dem Anti­vi­rus­pro­gramm kann auf­fal­len, dass sich da ein Pro­gramm „selt­sam” ver­hält und ver­sucht, „merk­wür­di­ge” oder „unge­wöhn­li­che” Din­ge zu tun.

Dar­auf soll­te man sich aber nicht ver­las­sen! Schau­en Sie sich ein­mal die­ses Bei­spiel an:

Hier sehen Sie eine E‑Mail, die angeb­lich von Voda­fone kommt und der angeb­lich eine Rech­nung ange­hängt ist:

Etwa vier Stun­den nach dem Erhalt der Nach­richt habe ich den Anhang durch diver­se Viren­scan­ner prü­fen las­sen; nur 4 von 44 Scan­nern haben ihn anhand ihrer Signa­tur­da­ten­bank als schäd­lich erkannt, näm­lich Kas­pers­ky, Trend­Mi­cro und McAfee:

Hät­te ich also den Anhang zu die­sem Zeit­punkt geöff­net, wäre mein Com­pu­ter mög­li­cher­wei­se infi­ziert wor­den. Natür­lich hät­te es sein kön­nen, dass die Ver­hal­tens­er­ken­nung mei­nes Anti­vi­rus­pro­gram­mes eine Infek­ti­on noch ver­hin­dert hät­te, oder dass das Virus eine Sicher­heits­lü­cke in mei­nem Com­pu­ter hät­te nut­zen wol­len, die es nicht mehr gibt – dank der Win­dows-Updates oder dank der Updates mei­nes Ado­be Rea­ders. Auf die­sen Ver­such möch­te ich es aber nicht ankom­men lassen!

Bei einer zwei­ten Prü­fung elf Tage spä­ter sieht das Bild so aus:

Immer­hin 24 von 46 Anti­vi­rus­pro­gram­me erken­nen jetzt, dass es sich um eine PDF-Datei mit einem ein­ge­bau­ten Virus han­delt. Von den ins­ge­samt 46 Schutz­pro­gram­me sind vie­le recht exo­tisch; fast alle in Deutsch­land ver­brei­te­ten Pro­gram­me iden­ti­fi­zie­ren den Schäd­ling nun.

Die­ses Bei­spiel zeigt deut­lich, dass beim Erhalt einer E‑Mail mit einem schäd­li­chen Anhang ein Viren­schutz­pro­gramm nur wenig Schutz bie­tet. Von dem Zeit­punkt, zu dem die­se E‑Mail ver­sandt wur­de, bis zu dem Zeit­punkt, ab dem Viren­scan­ner den Schäd­ling „ken­nen”, ver­ge­hen immer Stun­den, manch­mal Tage. Bei guten Viren­scan­nern ist die zeit­li­che Lücke klei­ner, aber sie ist vorhanden!

Nun war ich aber zu kei­nem Zeit­punkt durch die­sen E‑Mail-Schäd­ling gefähr­det. Ich habe näm­lich kein Voda­fone-Han­dy und auch kei­nen Voda­fone-Tele­fon­an­schluss. War­um soll­te ich also eine Rech­nung öff­nen, die mir – angeb­lich – Voda­fone zusendet?

Der wirk­sams­te Schutz­me­cha­nis­mus ist eigent­lich ganz einfach:

  1. Eine E‑Mail trifft ein mit einem Anhang, den man nicht erwar­tet hat. Zum Bei­spiel eine DHL-Ver­sand­be­stä­ti­gung, obwohl man kein Paket ver­schickt hat. Oder eine Rech­nung von der Tele­kom, obwohl man dort gar kei­nen Tele­fon­an­schluss hat. In einem sol­che Fall ist höchs­te Vor­sicht gebo­ten. Ent­we­der Sie löschen die E‑Mail, ohne den Anhang zu öff­nen, oder Sie fra­gen einen Fach­mann um Rat.
  2. Schwie­ri­ger ist es, wenn es sich bei­spiels­wei­se um eine Rech­nung han­delt, die Sie erwar­ten. Zum Bei­spiel eine Rech­nung von 1&1, wenn Sie einen 1&1‑Internetanschluss haben. Des­halb schrei­ben die Absen­der in die­sen Fäl­len eine ein­deu­ti­ge Ken­nung in die E‑Mail-Nach­richt sel­ber, zum Bei­spiel Ihre Kun­den­num­mer. Die­se soll­ten Sie mit Ihren Unter­la­gen ver­glei­chen, bevor Sie den Anhang öff­nen: Wenn die Num­mer stimmt, stammt die Nach­richt mit aller­größ­ter Wahr­schein­lich­keit wirk­lich von dem Absen­der. Und dann kön­nen Sie auch den Anhang öffnen.

PS: Einen ähn­li­chen Fall schil­dert Hei­se online hier: http://www.heise.de/security/meldung/Viren-in-vermeintlichen-Rechnungen-von-ImmobilienScout24-1784597.html