Interview mit dem Netzwerkspezialisten Christian Rößner„Auf keinen Fall auf irgendwelche Links klicken“
ALSFELD (ls). Die Stadt Alsfeld hat ein anonymes Erpresser-Schreiben bekommen und daraufhin ihre Server ausgeschaltet. Seit Montag ist die Verwaltung offline. Was könnte passiert sein? Was sind Viren, Malware, Trojaner und Ransomware – und vor allem: Wie kann man sich davor schützen? Ein Gespräch mit Netzwerkspezialist Christian Rößner.
Es war die Nachricht an diesem Donnerstag: Die Alsfelder Stadtverwaltung musste ihre Server herunterfahren. Vorausgegangen war ein anonymes, verdächtiges Schreiben, in dem die Stadt aufgefordert wurde, einen bestimmten Betrag in Bitcoins zu zahlen, damit die Daten wieder freigeben werden – die nämlich wurden verschlüsselt. Ob es sich um einen gezielten Angriff oder eine Schadsoftware wie einen Trojaner oder ein Virus handelt, ist bislang ungeklärt. Die Generalstaatsanwaltschaft ermittelt. Unterdessen hofft die Stadt darauf, die Server in der kommenden Woche wiederhochzufahren.
Der Alsfelder Informatiker Christian Rößner ist ein Netwerkspezialist und ein Devop, also ein Software-Entwickler und Administrator in einem. Sein Steckenpferd: Spezialsoftwaren für Mailserver mit besonderem Blick auf die Datenkontrolle und -sicherheit. Seit 22 Jahren arbeitet der 45-Jährige als IT-Spezialist in dem Gebiet. Im Interview mit Oberhessen-live erklärt er, wie schnell man auf Viren-Mails reinfallen kann, wie gut getarnt diese sind und wie man erkennt, ob eine Mail seriös ist oder nicht.
Interview mit Netzwerkspezialist Christian Rößner
Netzwerkexperte Christian Rößner. Foto: Photography Zabel
Oberhessen-live: Herr Rößner, bei Hackern denkt man an Menschen, die aktiv in sein Computersystem eindringen. Haben wir es hier mit Hackern zu tun?
Christian Rößner: Man muss erst einmal differenzieren. Das eine sind Angreifer, die erst einmal alles angreifen und überall nach einer Schwachstelle suchen. Das wäre auf den Mailbereich bezogen eine Ransomware. Das heißt, dabei wird versucht, irgendein potentielles Opfer zu finden, was hoffentlich meine Schadsoftware aufmacht, damit sie Schaden anrichten kann. Dann kann ich meine Erpressung starten und sagen: Wenn du deine Daten wiederhaben willst, dann überweist du mir einen bestimmten Betrag auf mein Konto, damit ich es wieder repariere kann. Das andere wäre ein gezielter Hack. Also jemand sitzt aktiv vor dem Computer und greift ein Unternehmen an. Letzteres ist in kleineren Unternehmen oftmals nicht der Fall. Es gibt zwar Wirtschaftsspionage, aber auf kleinerer Ebene ist das meist eher nicht der Fall.
Heißt die meisten Angriffe, mit denen man als Laie zu tun hat, sind willkürliche Schadsoftwaren?
Ganz genau. Das sind willkürlich gestreute Angriffe. Zum Teil laufen dabei irgendwelche Programme im Internet, die schauen, wo sie die Schadsoftware bei potentiellen Opfern unterbringen können. Das ist als würde man eine Angel in einen Teich werfen. Man kennt den Fisch nicht, den man am Ende vielleicht dran hat. Es ist also nicht der gezielte weiße Hai, den man angelt, sondern Hauptsache, es beißt irgendjemand an.
Wie verläuft ein solcher Angriff über eine Ransomware, wie kann man sich das vorstellen?
Man muss zunächst erst einmal gucken, was für eine Art Angriff stattgefunden hat. Es gibt ganz viele verschiedene. Spam beispielsweise kann man auch als eine Art Angriff klassifizieren, auch wenn es sich dabei um einen ganz harmlosen Angriff handelt, bei dem ich jemanden nur Werbung auf das Auge drücke. Wenn ich eine Schadsoftware drauf bringe, also eine Malware, Viren oder Ransomware, ist das wieder etwas anders. Ein gutes Beispiel sind solche Mails, die einen Anhang haben, den das potentielle Opfer anklickt. Das ist oft eine sogenannte Ransomware. Das heißt: Es wird ein Anhang drangehängt, der recht harmlos aussieht und beispielsweise „Rechnung.pdf“ heißt. Das ist ein Name, der besonders in Unternehmen erst einmal recht wahrscheinlich klingt. Dabei kann man oft nicht sofort sehen, ob es wirklich eine Rechnung ist oder etwas, das eine Schadsoftware beinhaltet.
Im Grunde genommen ist das oft ein Programm, das sich von selbst installiert und anfängt, alle Dokumente auf der Maschine zu verschlüsseln. Oft startet der Computer dann neu und wenn der Angreifer kreativ war, erscheint vielleicht noch ein Totenkopf und direkt die Mitteilung, dass deine Daten und Dokumente verschlüsselt wurden und der Hinweis, dass wenn du deine Daten wieder haben möchtest, du einen gewissen Betrag bezahlen musst. Das findet dann natürlich nicht in Euro statt, sondern in Kryptowährungen wie Bitcoins. Da sollte man wissen, dass man auch bei solchen Erpressungs-Trojanern, so heißt das dann, niemals die Garantie hat, dass die Daten auch entschlüsselt werden oder ob der Angreifer kassiert und ihm deine Daten dann egal sind. Wenn man also auf diese Daten angewiesen ist, kann man ganz schnell in die Bredouille kommen.
Ransomware wäre das eine. Was gibt es noch für Möglichkeiten eines Angriffs?
Malware ist erst einmal der allgemeine Begriff für Schadsoftware. Es gibt also im Internet ziemlich viele verschiedene Begriffe für ein und dasselbe. Zu Malware gehören neben Ransomware auch Viren oder Trojaner, die sehr bekannt sein dürften. Der Name kommt natürlich vom Trojanischen Pferd. Es gibt also eine Schadsoftware, die auf einen Computer gepackt wird und der Computer dann dafür missbraucht wird, andere Angriffe zu starten. Es muss also nicht immer Ransomware sein, die Daten verschlüsselt.
Es kann auch sein, dass ein Hacker gezielt nach einem schlecht geschützten Server sucht, den er sich dann zu eigen machen kann. Von dort aus kann er dann viele andere infizierte Computer steuern. Der Schadsoftware auf den Computern (Bots) teilt er dann mit, dass sie alle auf diesen einen Server hören. Der Server ist dann der Boss, der sagt wo es lang geht. Die vielen anderen Computer sind dann passiv und warten auf Kommandos des Servers.
Auf diese Weise kann man viele Anfragen gleichzeitig an einen Internetdienst – zum Beispiel eine Website eines Unternehmens – starten. Der angegriffene Server kann immer nur eine bestimmte Menge bearbeiten und wenn sehr viele Anfragen kommen, wird er langsam und irgendwann kann der Dienst die Anfragen nicht mehr beantworten und der Server schaltet sich ab. Das ist auch eine Art der Erpressung, die man tun kann: Man legt einen Dienst lahm. Die Angriffsfläche im Internet ist hoch und so gibt es verschiedene Möglichkeiten Schadsoftware zu verteilen. Meist passiert das durch Mail oder wenn man Internetseiten manipuliert. Das sind eigentlich die größten Felder, durch die man sich Schadsoftware holen kann.
Gilt das für Privatpersonen genauso wie für Unternehmen?
Absolut. Besonders das Letzte ist für Angriffe gegenüber Privatpersonen interessant, die meist viel schlechter geschützt sind als Unternehmen. Viele haben noch ein altes Betriebssystem und entweder kein oder ein altes Virenschutzprogramm. Aber die Wahrscheinlichkeit, dass man Computer im Internet findet, die ein altes Betriebsprogramm haben, was vom Hersteller nicht mehr mit neuen Sicherheitsaktualisierungen bespielt wird, ist sehr hoch. Und die haben dann ein erhöhtes Risiko, sich eine Schadsoftware einzufangen.
Wie kann man sich als Privatperson dann am besten schützen?
Ich nehme jetzt hier die Bereiche Email und Webbrowser, hier liegt bei Privatpersonen glaube ich das größte Gefahrenpotential. Das erste ist immer eine aktuelle Virensoftware. Einfach mal schauen und sich einlesen, welche Virensoftware gut abgeschnitten hat. Das wäre der Minimalschutz, würde ich sagen. Im Browser kann man auch AdBlocker verwenden, dann schützt man sich davor, Viren durch Werbung einzufangen. Im Mailbereich klinkt sich die Antiviren-Software auch rein. Aber man muss sagen, dass man mittlerweile eine hohe Anzahl an Viren hat, die im Internet kursieren und die Anzahl wächst täglich.
Da kann es immer sein, dass auch eine Mail mit Schadsoftware durchkommt. Selbst bei der besten Absicht hat man da keine genaue Kontrolle drüber. Im Großen und Ganzen heißt es hier einfach: Ein offenes Auge haben, merkwürdige Mails direkt löschen, beim vermeintlichen Absender anfragen, was es mit der Mail auf sich hat und vor allem, auf keine unseriösen Anhänge oder Links in Mails klicken – schon gar nicht, wenn es offene Dateien sind, die im Anhang mitgesendet werden.
Wo genau liegt der Unterschied zwischen Unternehmen und Privatpersonen?
Das ist im Bereich des Schutzes. Während Unternehmen mit Filtern arbeiten können und zentral am Eingang eines Servers mehrere verschiedene Virenscanner andocken kann, die bereits vor dem Server scannen ehe die Mail überhaupt reinkommt. Da kann man gleichzeitig mehrere Scanner parallel laufen lassen, was man als Privatperson leider nicht kann, denn dort können sich verschiedene Virenscanner gegenseitig ausspielen und der Computer wird langsam.
Alsfelds Bürgermeister Stephan Paule im Interview zu dem „Cyberangriff“ bei der Alsfelder Stadtverwaltung. Hier geht es zum entsprechenden Artikel dazu.Was kann man als Unternehmen noch alles tun, um sich zu schützen?
Auch für Unternehmen gilt: Ein gut funktionierendes Anti-Viren-Programm. Wichtig ist aber auch, dass Exchange-Server nicht direkt ins Internet gestellt werden, das halte ich für hochgradig gefährlich. Man kann einen solchen Server verwenden, keine Frage, aber nicht an der Front. Da würde ich einen anderen Server als Filter dazwischenschalten. Der überprüft dann auf Schadsoftware und leitet erst nach der Überprüfung weiter an den Exchange-Server. Hier gibt es unterschiedliche Filter-Softwares, die auf verschiedene Weise prüfen können.
Eine andere Möglichkeit ist es, die Mail erst gar nicht am Server ankommen zu lassen. Diese Mails kommen von anderen Servern, die eine IP-Adresse haben. Um sich vor so etwas zu schützen kann man sogenannte Sperrlisten kaufen, auf denen verdächtige IP-Adressen sind. Diese Listen werden immer aktualisiert und größere Anbieter, in deren Namen vermehrt Spammails verschickt werden, geben auffällig gewordene Adressen an diese Sperrlisten weiter. Es gibt auch Softwares, die die Mails auf ihre standardisierten RFC-Normen untersuchen, denn auch Mails haben bestimmte Normen wie sie auszusehen haben. Schlechte werden dann gar nicht angenommen.
Als Letztes bleibt zu sagen, dass man Dateianhänge genauer untersuchen lässt. Da kann man beispielsweise sagen, dass ausführbare Dateien, also beispielsweise „.exe-Dateien“ gar nicht erst angenommen werden.
Was aber tun, wenn das Kind bereits in den Brunnen gefallen ist?
Idealerweise gibt es Back-Ups, das sollte eigentlich jedes Unternehmen haben. Das ist eine wichtige Strategie bei der Datensicherheit. Wenn man also feststellt, dass man einen Trojaner oder eine andere Schadsoftware auf dem Rechner oder dem Server hat, dann kann man im Idealfall sagen: Alle Maschinen aus und die Back-Ups von vor einer Stunde drauf spielen.
Man weiß dann vielleicht sogar schon woher der Angriff kam und dann kann man an dieser Stelle den Stand wiederherstellen, der vor einer Stunde war. Das ist wie als würde man eine Kassette zurückspulen. Vor allem sollte man dabei die komplette Maschine absichern und dann noch Schnappschüsse, sogenannte Snapshots, vom Dateisystem herstellen. Da sollte man aber auch immer mal überprüfen, ob das mit den Back-Ups auch klappt – und das in regelmäßigen Abständen. Das ist zwingend notwendig.
Kurz und knapp zusammengefasst: Was würden Sie raten?
Man sollte ein offenes Auge haben und im Umgang mit Mails lieber etwas skeptischer sein. Wenn die Mail im Inhalt schon merkwürdig ist und dann noch ein eigenartiger Anhang dabei ist, dann sollte man lieber eine Mail mehr löschen oder direkt beim vermeintlichen Absender anrufen und nachfragen. Manchmal ist es nicht so leicht den Unterschied zu merken – besonders bei Phishing-Mails. Diese Mails sehen täuschend echt aus – sind es aber meist nicht. Das zu erkennen ist oft nicht leicht.
Wenn man sich trotzdem nicht sicher ist, dann kann man immer noch in die Metadaten, also in den Quelltext der Mail schauen. Dort sieht man dann woher die Mail wirklich kommt. Ist das zu schwierig: Einfach direkt anrufen und nachfragen – und auf keinen Fall auf irgendwelche Links klicken und keiner Zahlungsaufforderung folgen. Die goldene Regel: Ein seriöses Unternehmen fordert nicht dazu auf, sich mit Bankdaten irgendwo zu registrieren und Bankdaten per Link zu ändern. Das macht kein Unternehmen und auch keine Bank.
Auch interessant:
Ein Beispiel: Vor ziemlich genau einem Jahr bekam ich eine Email, angeblich von einem mir persönlich bekannten Kreistagsabgeordneten der CDU. Inhalt war, in korrektem Deutsch, ein Hinweis, sich doch einen Link zu einem Video mit Äußerungen von Gerd Landsberg, dem Geschäftsführer des Städte- und Gemeindebundes anzuschauen.
Einziger Hinweis darauf, dass etwas nichts stimmen könnte, war die Liste der verarbeitenden Mailserver – statt des zu erwartenden T-Online Mailservers wurde die Mail über den Mailserver des „Mashpee Wampanoag Tribe“ verschickt. Dem eher nur geringfügig technikaffinen Mitglied unseres Kreistages war das eher nicht zuzutrauen, und eine telefonische Nachfrage bestätigte den Verdacht, dass die Mail nicht von ihm kam.
Im Laufe der Jahre sind bei mir Dutzende Mails angekommen, aus denen klar erkenntlich ist, das die Adressdatenbank des vermeintlichen Absenders in fremde Hände geriet und dann für gut gemachte Angriffmails verwendet wurde. Wer nicht genau weiß, auf was er achten muss, fällt irgendwann doch auf eine solche Mail herein.
Weil ihr nettes Interview leider wenig konkrete Tips enthielt, hier mal eine Lösungsansatz für wesentlich sichereres Surfen: Man verwende BitBox, eine Software, die im Auftrag des BSI erstellt wurde. Idee: Der Broswer läuft in einer virtuellen Maschine, eventuelle Schäden bleiben auf diese beschränkt. Hier ein Wikipedia-Link zu mehr Informationen https://de.wikipedia.org/wiki/BitBox
PDFs sind ein Sicherheitsrisiko, auf den allermeisten Systemen sind die Standardbetrachter unsicher oder zumindest unsicher konfiguriert. Nur ein Beispiel: PDFs können eine „OpenAction“ definieren und eingebetteten ausführbaren Code enthalten. Ein angesagter PDF Reader macht dann meist auch das, was ihm von diesem Code befohlen wird – und sei es die Löschung aller Daten des Systems …
Ein praktisch sichere Möglicheit, wenn man ein verdächtiges PDF trotzdem anschauen muß: Man verwende Ghostscript zur Inspektion, zur Übersetzung in einzelne Grafikseiten oder direkt zum Ausdrucken, am besten in einer virtuellen Maschine.