System Sicherheit

In den frühen Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von zum Beispiel Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Somit bleibt der Begriff der Computersicherheit bzw. Systemsicherheit wandelbar.

Hardwaresicherheit

Im Zeitalter von Internet der Dinge (Internet of Things, IoT) und von fast überall verbundener Hardware / Geräte mit irgendeinem Netzwerk ist die Hardwaresicherheit ein wichtiges Thema bei der Gesamtsicherheit in der IT und von Produktionsstätten. Es sollen nicht nur die Betriebssysteme und deren Software geschützt werden, sondern die dazugehörige Hardware. Die Schnittstelle zwischen der Hardware und Betriebssystem ist die Firmware oder BIOS/UEFI, welche es gilt zu schützen und aktuell zu halten. Da in den letzten Jahren das Bewusstsein für die Sicherheit in der IT enorm gewachsen ist, wird es immer schwieriger für Angreifer aus der Ferne Angriffe erfolgreich durchzuführen. Dadurch verändert sich auch das Angriffsverhalten. Um an Daten zu gelangen werden diese IoT und mobilen Geräte immer mehr versucht über den physischen Zugang zu kontrollieren, das heisst auf der Hardwareebene durch BIOS/UEFI oder die Entwendung des Gerätes. Bei der Entwendung eines Gerätes kommt zusätzlich zum BIOS/UEFI Schutz auch noch die Verschlüsselung der Harddisk. Auch verändern sich die Arbeitsprozesse in den Firmen, immer mehr wird Orts- und Geräteunabhängig gearbeitet, das bedingt, dass die mobilen Geräte (Handy, Notebook, Tablet etc.) Überhand nehmen gegenüber den Desktop PCs. Diese Geräte bewegen sich die meiste Zeit nicht innerhalb der Firmengelände, somit ist es wichtig nicht die Kontrolle über diese Geräte zu verlieren. «Mobile Device Management» finden immer mehr Verbreitung, welche auf die mobilen Geräte aus der Ferne zugreifen und Funktionen ausführen wie Aktualisierung, Sperrung, Löschung etc. auch auf BIOS/UEFI Ebene.

BIOS/UEFI

BIOS ist die Vorgängerversion von UEFI und praktisch inexistent auf dem Markt, solche Geräte sollten aus Sicherheitsgründen nicht mehr betrieben werden. Deswegen konzentrieren wir uns auf UEFI («Unified Extensible Firmware Interface”, englisch für «Vereinheitlichte erweiterbare Firmware-Schnittstelle») die Schnittstelle zwischen der Firmware und dem Betriebssystem und ist für den Bootvorgang des Computers zuständig.

Das UEFI unterstützt einen sogenannten Secure-Boot-Mechanismus, welchen den Start von Anwendungen auf konkret erlaubte Dateien beschränkt. In einer speziellen Datenbank des UEFI wird der Bootloader eines Betriebssystems kontrolliert ob dieser mit einem Schlüssel signiert worden ist.

Der Inhalt der DB (Datenbank) entscheidet also bei aktiviertem UEFI Secure Boot technisch darüber, welche Software auf dem Gerät starten darf. Nur wenn zu einem Programm auch ein Eintrag in der DB existiert, darf dieses ausgeführt werden. Unbekannte Programme werden somit ebenfalls nicht ausgeführt.

Firmware

Firmware (englisch firm für fest) ist die grundlegende Betriebssoftware welche meistens einem Flashspeicher (EPROM, ROM etc.) gespeichert wird. Verwendet wird eine Firmware heute in sehr vielen elektronischen Geräten TV, Digitalkamera, CNC-Fräsen, Steuergeräten z.B. von Autos (ABS, ESP etc.), Klimaanlagen, Heizungen, Router, Switches, interne/externe Speichergeräte, Dockingstation, Sicherheitschips (TPM), Computergeräten und so weiter. Diese Firmware kann durch Lücken in der Programmierung genauso kompromittiert werden wie eine andere Software auch (UEFI, Betriebssystem, Apps etc.).

Genau diese Firmware sollte genau wie ein Betriebssystem aktuell gehalten werden. Kann vom Hardwarehersteller bezogen werden und meisten direkt aus dem Betriebssystem aktualisiert werden, manchmal auch mit einem externen Gerät (USB-Stick etc.).

Computerviren und Malware

Benutzer von PC, Mac, Smartphone und Tablet sind ständig der Bedrohung durch neue Computerviren und Malware-Varianten ausgesetzt. Um sich hiervor zu schützen, müssen Sie Ihren Gegner kennen. Im Folgenden finden Sie die wichtigsten Arten von Malware und ihre potenziellen Auswirkungen.

Der Begriff „Malware“ – ein Zusammenschluss der Wörter „Malicious“ (schädlich) und „Software“ – wird heute verwendet, um schädliche Programme jeder Art auf Computern oder mobilen Geräten zu beschreiben. Diese Programme werden ohne Zustimmung des Benutzers installiert und können eine Reihe unangenehmer Folgen haben. So können sie beispielsweise die Systemleistung reduzieren, innerhalb Ihres Systems nach persönlichen Daten suchen, Informationen löschen oder sogar den Betrieb computergesteuerter Hardware beeinträchtigen. Hacker entwickeln immer raffiniertere Methoden, um in Systeme einzudringen, und sorgen so für eine wahre Flut auf dem Malware-Markt.

Viren

Aus technischer Sicht ist die Funktionsweise eines Computervirus die gleiche wie bei einem Grippevirus, welcher sich von Wirt zu Wirt selbst repliziert. Da der Computervirus die Ressourcen des infizierten Wirtcomputers nutzt und kompromittiert (unberechtigt in ein Computersystem eindringen und dort gespeicherte Daten ausspähen oder manipulieren) ist von Hardwareschäden über Datenverlust (Passwörter, Dokumente etc.) bis zu harmloseren Störungen ist bei einem Computervirus ziemlich alles möglich.

Dies gilt es normalerweise zu verhindern, die Frage bleibt mit welchen Mitteln und Aufwand.

Als erstes zählt hier die Vorsicht des Benutzers im Umgang mit Email und deren Anhängen, Links etc., SMS, Websites und deren Downloads, Links, sowie auch auf den sozialen Netzwerken. Die Benutzer sollten auch hier Ihren gesunden Menschenverstand benutzen und nicht jeden Link anklicken, Anhang öffnen, Meldungen über «Hilfe – Ihr PC ist infiziert» genau hinterfragen.

Auch sollten Mythen (alte Sagen, Geschichten) hinterfragt werden, wie z.B. «auf einem MAC Computer braucht es keinen Virenschutz». Das MAC OS macht ungefähr 10 % der Desktop Betriebssysteme aus und somit für Programmierer von Schadsoftware nicht von grossem Interesse.

Ein Computervirus ist eine Schadsoftware, deren Arten es einige gibt und diese nur ein Gesichtspunkt von allen Bedrohungsmöglichkeiten ist. Herkömmliche AntiVirus-Software kann nicht vor allen Bedrohungen schützen. Mehr umfassende Sicherheits-Software (Security-Suite) schützt in verschiedenen Bereichen.

Was muss eine Antiviren Software oder vielmehr eine Security-Suite können;

Verschiedene Schutzfunktionen / -mechanismen unterstützt werden:

  • Manuelle / Geplante Scans

  • Echtzeit Scanner

  • Online Scanner

  • Offline Scanner

  • Phishing Schutz

  • Spam Schutz

  • Cloud Technik

  • Spyware Schutz

  • Adware Schutz

  • Ransomeware Schutz

  • Viren, Würmer, Trojaner Schutz

Automatische Aktualisierung (Lokal/Internet).

Löschen und Isolieren von verdächtigen Dateien.

Aufbau eines Computervirus

Es sind mehrere Faktoren beteiligt wie «erfolgreich» ein Computervirus ist. Ein wichtiger Teil bei einem Computervirus, ist jener welcher für die Vermehrung zuständig ist, das heisst für die Verbreitung. Doch genau so wichtig sind die Teile welche die Dateien infizieren und wie unentdeckt der Virus bleiben kann.

Computerviren haben viele unterschiedliche Formen, daher ist es nur schwer möglich, zu beschreiben, wie ein Virus grundsätzlich aufgebaut ist. Der einzige nötige Bestandteil, der aus einem Computerprogramm per Definition einen Computervirus macht, ist die Vermehrungsroutine.

Die folgende Erklärung ist keineswegs ein Standard für alle Viren. Manche Viren können mehr Funktionen haben, andere wiederum weniger.

· Entschlüsselungsroutine

Dieser Teil sorgt bei verschlüsselten Viren dafür, dass die verschlüsselten Daten wieder zur Ausführung gebracht werden können. Nicht alle Viren besitzen diesen Teil, da nicht alle verschlüsselt sind. Oft wird die Entschlüsselungsroutine der Viren von Antiviren-Herstellern dazu benutzt, das Virus zu identifizieren, da dieser Teil oft klarer erkennbar ist als der Rest des Virus.

· Vermehrungsteil

Dieser Programmteil sorgt für die Vermehrung des Virus. Es ist der einzige Teil, den jedes Virus hat (Definition).

· Erkennungsteil

Im Erkennungsteil wird geprüft, ob die Infektion eines Programms oder Systembereichs bereits erfolgt ist. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil ist in fast allen nicht-überschreibenden Computerviren vorhanden.

· Schadensteil

Im Verhältnis zur Zahl der Computerviren haben nur sehr wenige einen Schadensteil (Payload). Der Schadensteil ist der Grund für die Angst vieler Menschen vor Computerviren.

· Bedingungsteil

Der Bedingungsteil ist dafür verantwortlich, dass der Schadensteil ausgeführt wird. Er ist in den meisten Computerviren mit einem Schadensteil enthalten. Viren ohne Bedingungsteil führen den Schadensteil entweder bei jeder Aktivierung oder – in ganz seltenen Fällen – niemals aus. Der Bedingungsteil (Trigger) kann zum Beispiel das Payload an einem bestimmten Datum ausführen oder bei bestimmten Systemvoraussetzungen (Anzahl der Dateien, Grösse des freien Speicherplatzes usw.) oder einfach zufällig.

· Tarnungsteil

Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann das Virus zum Beispiel verschlüsseln oder ihm eine andere Form geben (Polymorphismus, Metamorphismus). Dieser Teil dient zum Schutz des Virus vor der Erkennung durch Anti-Viren-Software. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollständig erkannt werden können (zum Beispiel: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).

Welche unterschiedlichen Viren gibt es?

Dateiviren Infizieren ausführbare Programmbibliotheken des Betriebssystems oder ausführbare Dateien.

Bootsektorviren Bevor das Betriebssystem fertig geladen ist, wird der Bootvirus aktiv und ist eine der ältesten Viren (1995), befällt den MBR (Master Boot Record) von bootfähigen Medien.

Makroviren Ein Makro ist ein Teil eines Programmes und kann in einem Dokument eingebettet sein, somit kein eigenständiges Programm. Somit auch nur mit der Ausführung des Benutzers aktiv werden.

Skriptviren Ein Skript ein Schritt für Schritt Programm welches der entsprechenden Programmiersprache ausgeführt wird. Meistens im Umfeld von HTML, XML, PHP, Perl, JavaScript etc.

Die bekannteste Gruppe von elektronischen Schädlingen ist der Computervirus. Dies sind Computerprogramme welche schädliche Dinge am Gerät ausrichten, wie Soft- & Hardware verändern, zerstören und verbreiten sich vom infizierten Rechner aus weiter. Zuvor nistet der Virus sich in eine normale Datei (Word, PDF, Programmdatei / -bibliothek, Skripte, Bootsektor etc.) und wartet dann auf das Ausführen dieser infizierten Datei. Heute wird meistens eine Mischform der verschiedenen Virenkategorien eingesetzt.

Würmer Verbreiten sich im Gegensatz zu Viren nicht erst bei der Ausführung der infizierten Datei, sondern versuchen aktiv in andere Systeme einzudringen. Sie benutzen Netzwerkdienste, die Standartpasswörter oder gar kein Passwort benutzen, die Programmfehler beinhalten, Anwenderprogramme welche Netzwerkdienste nutzen z.B. eMail-Clients.

Rootkits Anmeldevorgänge zu verstecken um Daten, Tastaturanschläge, Mausklicks, Passwörter und Netzwerkverbindungen abzugreifen ist die Hauptfunktionalität der Rootkits.

Trojaner Wie der treffende Name schon sagt, ähnlich wie Rootkits, werden versteckt unerwünschte Daten ausspähen, Überwachen von Datenverehr, Fernsteuerung von Rechner, Benutzen von Ressourcen, Anzeige von unerwünschter Werbung etc. im Hintergrund ausgeführt.

Ransomware

Ransomware (ransom engl.=Lösegeld) sind Schadprogramme welche unterschiedlich genannt werden, Erpressungstrojaner / -software, Krypto- oder Verschlüsselungstrojaner. Diese Schadprogramme werden benutzt, um den Zugriff auf die Daten des Computerbesitzers und die Benutzung des ganzen Computer-systems zu verhindern. In den meisten Fällen werden die Daten auf dem Computer verschlüsselt und oder den Zugriff auf diese verhindert. Für Entschlüsselung oder den Zugriff wird ein Lösegeld gefordert.

Spyware

Mit Spyware (spy engl.=der Spion) werden ohne Wissen und oder Zustimmung Daten des Benutzers an Dritte gesendet um danach über Werbeeinblendungen verschiedene Produkte anzubieten.

Botnet

Sogenannte Bots (automatisiertes Schadprogramme) in einer Gruppe nennt man Botnetz (Botnet). Die Bots (engl.=Roboter, Abkürzung=bot) nutzen auf vernetzten Rechnern und nutzen die lokalen Ressourcen wie Netzwerkverbindung, Daten etc. ohne das Einverständnis des Benutzers. Diese Netze und deren Daten werden verkauft zum Beispiel für Spamversand.

Ablauf Botnet

Ablauf der Entstehung und Verwendung von Botnetzen: (1) Infizierung ungeschützter Computer (2) Eingliederung in das Botnet (3) Botnetbetreiber verkauft Dienste des Botnets (4) Ausnutzung des Botnets, etwa für den Versand von Spam

Phishing

Phishing (fishing engl.=Angeln) sind Versuche über verschiedene Kanäle (Websiten, Emails etc.) persönliche oder geschäftliche Daten eines Benutzers oder Firma zu gelangen. Dies ist Identitätsdiebstahl, mit dem Ziel der gefischten Passwörter, PIN etc. eine Kontoplünderung zu machen.

Phising Levels

Level 0: Benutzer erhält vertraute E-Mail mit Formularfeldern zur Eingabe seiner persönlichen Daten. Level 1: Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die nicht dem Original gleicht. Level 2: Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die dem Original gleicht. Level 3: Benutzer erhält vertraute E-Mail, die zu einer gefälschten Seite führt, die dem Original gleicht und die GUI nachbildet. Level 4: Benutzer erhält vertraute E-Mail, die Malware (z.B. Trojaner, Würmer, Viren) enthält.

Spam

Spam / Junk (junk engl.=Müll) sind unerwünschte Nachrichten welche massenhaft übertragen (auf dem elektronischen Weg) werden. Wer kennt sie nicht die uns täglich angeblich «Lottogewinne» bescheren.

Junk Email

SPAM war ursprünglich ein Markenname für Dosenfleisch, der bereits 1936 entstanden ist aus SPiced hAM, fälschlicherweise auch Spiced Pork And Meat/hAM oder Specially Prepared Assorted Meat genannt. Während der Rationierung im Krieg war Spam eines der wenigen Nahrungsmittel, die in Grossbritannien praktisch überall und unbeschränkt erhältlich waren. Die Omnipräsenz dieses Fleisches, ähnlich wie später die unerwünschten Botschaften (zum Beispiel als E-Mails), förderte die Entwicklung des Begriffs.

SPAM

Als Synonym für eine unnötig häufige Verwendung und Wiederholung wurde der Begriff durch den Spam-Sketch der englischen Comedyserie Monty Python’s Flying Circus geprägt: In einem Café besteht die Speisekarte fast ausschliesslich aus Gerichten mit Spam. Mehrfach stimmt eine Gruppe Wikinger lauthals ein Lied an, dessen Text fast nur aus dem Wort Spam besteht, wodurch jedes normale Gespräch unmöglich wird. In die Texte eines Touristen und eines Nachrichtensprechers schleicht sich zunehmend das Wort ein, und im Abspann der Episode wimmelt es unpassend von "spam" und vereinzelt anderen Nahrungsmitteln (z. B. Graham spam spam spam Chapman).

Und manchmal wird man selber zum «Spamer».

Send Send
PreviousIT SecurityNextLaborumgebung

Last updated