Sicherheitsempfehlungen zu E-Mail-Anhängen

Jeder kennt die Situation: Eine E-Mail mit einer angehängten Datei landet im Posteingang.

In einer optimalen Welt kein Problem, anklicken, anschauen, vielleicht ausdrucken, oder wegsortieren. Dummerweise befinden wir uns leider nicht in einer solchen Welt, denn speziell in letzter Zeit werden vermehrt wieder E-Mail's mit Anängen verschickt, deren Inhalt, falls angeklickt, doch ziemliches Chaos anrichten kann. Stichworte wie locky oder Petya sind nur die bekannteren jüngsten Exemplare eines Malwaretyps, die als Ransomware bekannt geworden sind.

Sie alle haben gemein, daß sie als Trojaner im Anhang einer regulären E-Mail auf den Rechner des Anwenders gelangen. Automatisch werden diese Plagen normalerweise nicht aktiv. Es liegt am Anwender die sogenannte Payload den aktiven Teil des bösartigen Anhanges zu starten. Das geschieht häufig schon durch simples anklicken. Der Trojaner landet im Word und startet von dort aus dann ein Hintergrundprogramm mittels eines Word-Makros, welches dann seine Schadroutine ablaufen läßt.

Die üblichen Schadroutinen sind eher darauf ausgelegt, Dateien zu löschen oder Botnetzwerk-Komponenten zu installieren, die wiederum als Sprungbrett für weitere Attacken im Internet dienen.

Ransomware ist keine neue Erfindung. Diese tauchten in den letzten Jahren immer wieder einmal auf. Inzwischen haben sie sich aber recht weit entwickelt.

Sie verschlüsseln bei Aktivierung die Daten des Nutzers und verlangen nach Abschluss ein Lösegeld, um auf diese wieder zugreifen zu können. Im Falle von Locky geht das sogar über die persönlichen Daten des Nutzers hinaus. Locky verschlüsselt eigentlich alles auf das er Schreibzugriff hat, d.h. lokale Festplatten, angehängte USB-Platten oder USB-Sticks und natürlich auch gerade verbundene Netzlaufwerke. Letzteres sind dann meist auch gemeinsame Netzlaufwerke die von Arbeitsgruppen oder sogar vom ganzen Institut genutzt werden.

Die Auswirkungen sind meist umgehend bemerkbar. Der Zugriff auf wichtige Dokumente und Dateien schlägt fehl. Nichts geht mehr. Was nun, ist die Frage?

Als erstes, keine Panik! Sämtliche Maßnahmen die sicherstellen sollten, das sowas nicht passiert, waren vergebens. Die gute Nachricht? Es kann jetzt kaum noch schlimmer werden ;)

Folgendes ist zu klären:

Letzteres ist leicht gesagt. Heutzutage sind E-Mails mit angehängter Schadsoftware raffiniert verpackt und häufig auf den ersten Blick nicht einfach zu entlarven. Es gibt natürlich trotzdem ein paar Hinweise auf die der Anwender achten kann um potentielle Schadmail zu erkennen:

Präventionsmaßnahmen

Um wichtige Daten nach einem Befall durch einen Krypto-Trojaner wiederherstellen zu können benötigt man Backups (= Sicherungen) der Daten. Die Verschlüsselung der meisten Krypto-Trojanern lässt sich nicht wieder entschlüsseln, so dass die Daten nur dann wieder in einen lesbaren Zustand versetzt werden können, wenn man Backups der Daten besitzt.

Aus diesem Grunde empfiehlt das Rechenzentrum wichtige Daten auf den Netzlaufwerken des Rechenzentrums (z.B. \\nas.tu-clausthal.de\windows-home$) zu speichern. Von den Daten der Netzlaufwerke werden in regelmäßigen Abständen Sicherungen in Form von Snapshots angefertigt, so dass im Ernstfall ggf. eine Sicherung, die vor dem Befall durch den Krypto-Trojaner angefertigt wurde, wiederhergestellt werden kann.

Des Weiteren wird empfohlen sogenannte Offline-Backups anzufertigen. Daten, die exis­ten­zi­ell wichtig sind, sollten ggf. zusätzlich z.B. auf einer USB-Festplatte oder einem USB-Stick gesichert werden. Das USB-Speichermedium sollte nicht dauerhaft am Rechner angeschlossen bleiben.