Ausgehenden Traffic analysieren
Eine andere Technik fokussiert nicht so sehr das eingehende Objekt, sondern die ausgehende Kommunikation. Die Ursprungsidee ist hier, dass Malware regelmäßig Kontakt zu einem Command-and-Control-Server (C&C-Server oder auch C2-Server) aufbaut, um dort entweder ausgespähte Daten abzuliefern, sich selbst zu aktualisieren oder Befehle abzuholen. Malware verwendet dafür oft DNS Tunneling. Das DNS-Protokoll ist für die Auflösung von Namen, beispielsweise aus URLs zu IP-Adressen, zuständig. Bei einem DNS Tunnel wird die ausgehende Kommunikation in DNS-Abfragen versteckt und die IP-Adresse der Antwort enthält die eingehenden Daten. Da die meisten Unternehmen die Auflösung von externen Namen im internen Netz erlauben, kann somit ein ungehinderter Datenaustausch erfolgen, der von klassischer Sicherheitstechnik in der Regel weder bemerkt noch behindert wird.
Ebenso kann die Kommunikation zwischen dem Schadcode im internen Netz und dem externen C&C-Server über HTTPS, sprich mittels verschlüsselter HTTP-Kommunikation, erfolgen.
Spezialisierte Sicherheitsprodukte versuchen, genau diese versteckte Kommunikation anhand ihrer speziellen Eigenschaften zu erkennen. Die häufige Änderung des Host-Anteils einer Namensauflösung, die Herkunft und das Alter der angefragten Domäne, die Menge der übermittelten Daten und viele weitere Details fließen dabei in eine Bewertung ein.
Bekannte Hersteller, die diese Technik implementiert haben, sind FireEye und Damballa, wobei letzterer hier seinen Schwerpunkt setzt.
Verhaltensanalyse
Neben der Analyse von eingehender und ausgehender Kommunikation kann man auch versuchen, Malware an seinem tatsächlichen Verhalten auf den Endgeräten zu erkennen. Zwar wird dafür zusätzliche Software auf den Arbeitsplatz-PCs der Mitarbeiter benötigt, zugleich ist die Erkennung jedoch genauer und weniger fehleranfällig. Die tatsächlichen Manipulationen und das Verhalten von Malware lassen sich direkt erfassen und bewerten. Entsprechende Produkte klinken sich typischerweise in den Betriebssystem-Kern des Endgeräts ein und überwachen dort jegliche Kommunikation und Systemänderung von Programmen. Malware, die sich in das System einnistet, Daten extrahiert oder weitere Komponenten nachlädt, ist auf diese Weise recht zuverlässig aufzuspüren.
Die größte Hürde beim Einsatz solcher Sicherheitssysteme ist der Einsatz eines weiteren Software-Agenten auf den Arbeitsplatz-PCs der Mitarbeiter. Das Verteilen der Software schreckt viele Unternehmen ab und macht Systeme, die nur an zentraler Stelle im Netzwerk angeschlossen werden müssen, scheinbar attraktiver. Wird jedoch auch der spätere Betriebsaufwand berücksichtigt, so relativiert sich der vermeintliche Vorteil einer netzwerkbasierten Lösung schnell. Bedingt durch die ungenaue Erkennung im Netz, kommt es immer wieder zu Alarmen, die dann mit hohem Aufwand auf den Endgeräten verifiziert werden müssen. Allein dafür wünschen sich die Betriebsverantwortlichen bald eine zusätzliche Analysekomponente auf allen Endgeräten. Diesen Weg hätte man jedoch auch von Anfang an gehen können.
- Hacker auf dem Server
Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse. - Hacker auf dem Server
Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser. - Hacker auf dem Server
Auch zum Entfernen von Rootkits gibt es eigene Programme. - Hacker auf dem Server
Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden. - Hacker auf dem Server
SmartSniff bietet einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer. - Hacker auf dem Server
Mit dem kostenlosen Microsoft Network Monitor können Sie den Datenverkehr in Netzwerken verfolgen. Dabei muss es sich nicht immer um Microsoft-Netzwerke handeln. - Hacker auf dem Server
Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen. - Hacker auf dem Server
Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an. - Hacker auf dem Server
Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an. - Hacker auf dem Server
Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick, zur Sicherheit der Benutzerkonten.
Direkt auf dem Endgerät
Noch effektiver sind Lösungen, die auf dem Endgerät verteilt werden und nicht nur Malware erkennen und Alarm auslösen, sondern auch eine Kompromittierung des betroffenen Endgeräts verhindern. Dadurch sinkt der Aufwand im späteren Betrieb deutlich. Das erreichte Sicherheitsniveau ist zudem höher als bei einer Erkennungskomponente im Netz. Um dies zu erreichen, existieren mehrere technische Varianten am Markt: Sandboxing, Mikrovirtualisierung und Exploit Mitigation beziehungsweise Host Intrusion Prevention (HIPS).
Sandboxing auf Endgeräten und Host IPS sind keine neuen Ideen. Bereits vor etwa 15 Jahren brachten Aladdin mit seinem eSafe-Enterprise-Produkt und Finjan mit seinem Surfin Shield Sandbox-System Lösungen auf den Markt, die sich in das Betriebssystem einklinkt, um Schadcode daran zu hindern, sich in das System einzunisten oder auf sensible Daten zuzugreifen. Einige Jahre später kam mit dem StormWatch-Produkt von Okena ein erstes bekannteres Host-IPS-Produkt auf den Markt.
Keines der Produkte hat bis heute überlebt, denn die Hersteller waren offensichtlich ihrer Zeit voraus und der Markt war noch nicht bereit für derartige Lösungsansätze. Auch die damals verwendeten Betriebssysteme auf PC-Arbeitsplätzen waren Teil des Problems. Das Einklinken von Virenscannern, Personal Firewalls, VPN-Clients und ähnlichen Agenten in ein 32-Bit Windows XP führte nicht selten zu Kompatibilitätsproblemen und Systemabstürzen. Für die Hersteller von Sicherheitslösungen ist es heute einfacher, denn Windows 7 oder Windows 8.1 sind an dieser Stelle anders strukturiert.
Aladdin ist inzwischen in SafeNet aufgegangen und die eSafe-Produktlinie ist verschwunden. Die Finjan-Produkte wurden 2009 von M86 gekauft und M86 wurde wiederum 2012 von Trustwave übernommen. Okena wurde von Cisco gekauft - das Unternehmen machte aus dem StormWatch-Produkt den Cisco Security Agent und stellte ihn ein paar Jahre später ein.
- Windows-Updates korrekt installieren
Nach der Installation von Windows 8.1 müssen Sie unter Umständen mehrere hundert MByte an Patches installieren, teilweise weit über 1 GByte. Achten Sie daher auf eine schnelle Internetleitung und bringen Sie Zeit mit. Viele Patches bauen aufeinander auf. Das heißt, Sie müssen immer wieder erneut nach neuen Updates suchen, bis wirklich alle Updates installiert sind. Am Ende kommt irgendwann einmal die Aktualisierung zu Windows 8.1 Update 1. Diese ist am leichtesten an ihrer Größe von etwa 900 MByte zu erkennen. Aber auch nach dieser Installation findet Windows 8.1 teilweise weitere Updates. Erst wenn alle Updates installiert sind, und der Rechner auch nach dem Neustart keine neuen Aktualisierungen mehr findet, ist der Rechner (zunächst) aktuell. Bei diesem Vorgang werden häufig auch Treiber installiert, die im System noch fehlen. Die Windows-Update-Installation finden Sie über wuapp auf der Startseite. Lassen Sie über diesen Weg immer auch die optionalen Updates installieren. Hier verstecken sich oft auch Treiber-Updates. - Treiber aktualisieren
Wenn alle Updates installiert sind, überprüfen Sie im Geräte-Manager ob für alle Geräte Treiber installiert wurden. Dazu starten Sie den Geräte-Manager durch die Eingabe von devmgmt.msc auf der Startseite. Treiber finden Sie entweder auf der CD, die beim Rechner dabei ist oder aktueller im Internet auf Seiten wie treiber.de. - Treiber mit Hilfe von Tools aktualisieren
Empfehlenswert ist in diesem Zusammenhang auch das Tool Slimdrivers. Die Freeware scannt den Rechner und ermöglicht den Download der neusten Treiber direkt beim Hersteller. Der Autor dieses Textes verwendet das Tool übrigens bei jeder Neuinstallation. Nachdem Sie alle Treiber installiert und aktualisiert haben, können Sie das Tool aus dem Autostart-Bereich des Rechners entfernen oder deinstallieren. - Virenschutz einrichten
Setzen Sie keinen professionellen Virenschutz ein, können Sie auch eine kostenlose Lösung installieren. Verlassen Sie sich allerdings nicht auf den Windows Defender in Windows 8.1. Dieser stellt nur einen rudimentären Grundschutz dar. Eine sehr gute und kostenlose Alternative ist AVG Antivirus Free 2015. Das Tool schützt Rechner zuverlässig vor Angriffen, ist schnell installiert und lässt sich so einrichten, dass es sich automatisch aktualisiert, ohne Anwender mit ständigen Meldungen zu nerven. Der Schutz ist wesentlich besser als Windows Defender. Bei Stiftung Wartentest und anderen Tests hat das Produkt sehr gut abgeschnitten. - Startseite aufräumen
Auf der Startseite können Sie per Drag&Drop eigene Gruppen erstellen und diese benennen. Nicht notwendige Programme können Sie über das Kontextmenü von der Startseite entfernen und wichtige Programme in den Vordergrund holen. Dadurch können Sie wesentlich effizienter mit dem Rechner arbeiten und nervige Programme verschwinden von der Startseite. Ordnen Sie die Programme so an, wie Sie diese benötigen und aktivieren Sie die Live Tiles, die notwendig sind.<br> Vor allem wenn Sie Rechner für Bekannte und Kollegen einrichten, können Sie diesen das Leben leichter machen, indem Sie nervige und verwirrende Apps aus der Startseite verbannen und wichtige Apps wie den Desktop vergrößert darstellen. - OneDrive und Synchronisierung einrichten
Arbeiten Sie mit einem Microsoft-Konto, wird automatisch auch OneDrive aktiviert. Über diesen Weg können Sie wichtige Daten sichern lassen und in die Cloud hochladen. Über die Charmsbar (Windows-Taste+C) und dem Aufrufen der PC-Einstellungen, erreichen Sie den Bereich OneDrive. Hier sollten Sie Einstellungen so anpassen, dass diese für Sie oder den entsprechenden Anwender passend sind. Über das Kontextmenü von OneDrive im Windows-Explorer erreichen Sie die Einstellungen für den lokalen Pfad von OneDrive. Auf der Registerkarte Pfad legen Sie fest, welcher lokaler Ordner auf dem Rechner mit dem Cloudspeicher synchronisiert werden soll. <br> Wenn Sie Backups in diesem Verzeichnis ablegen, werden diese zu OneDrive synchronisiert. Sollen die Daten sicher in der Cloud abgelegt werden, können Sie diese mit 7-Zip vor der Übertragung verschlüsseln lassen. Alternativ verwenden Sie kostenlose Tools wie Boxcryptor oder Cloudfogger. Passen Sie also alle Einstellungen in der Charmsbar und dem Explorer so an, wie Sie OneDrive nutzen wollen. Wollen Sie weitere Möglichkeiten zur Einrichtung von OneDrive erhalten, laden Sie sich den Client für OneDrive und OneDrive for Business herunter. Da alle Office-365-Abonnenten unbegrenzten Speicherplatz in OneDrive erhalten, sollten Sie diese Einstellungen und Möglichkeiten auf jeden Fall berücksichtigen. - Einstellungen für Taskbar und Desktop-Boot anpassen
In Windows 8.1 erreichen Sie über das Kontextmenü der Taskbar die Registerkarten Navigation und Taskleiste. Passen Sie hier die Einstellungen für den Desktop-Boot und die Verwendung des Desktops und der Taskbar an die Bedürfnisse des Anwenders an. Hier können Sie zum Beispiel einrichten, dass Windows 8.1 automatisch in den Desktop startet. Außerdem können Sie die PowerShell in das Kontextmenü der Startfläche einbinden und das Hintergrundbild des Desktops auf der Startseite aktivieren. Dadurch wirkt die Startseite transparent, was die Übersicht erhöht. - Browser anpassen – Chrome oder Firefox installieren
Installieren Sie auf dem Rechner einen alternativen Browser zum Internet Explorer. Diese sind häufig schneller, sicherer und bieten auch mehr Möglichkeiten für Add-Ins. Manchmal empfiehlt es sich schon aus Kompatibilitäts- oder Komfortgründen mehrere Browser am Start zu haben. Zudem gibt es für Chrome und Firefox oft sehr nützliche Add-Ins, die für den Internet Explorer nicht in der Vielfalt verfügbar sind.<br> Wollen Anwender den Internet Explorer nutzen, steht dieser weiterhin zur Verfügung, aber eben auch andere Browser, die teilweise deutlich besser sind. Vor allem für unbedarfte Anwender können Sie durch die Add-Ins das Internet-Erlebnis deutlich verbessern und teils auch die Sicherheit des Rechners erhöhen. - Zeitsynchronisierung einstellen
Windows 7/8.1 synchronisiert seine Zeit mit einem Server bei Microsoft. Auf deutschen Rechnern führt das leider oft zu Problemen bei der Zeitumstellung zur Sommer und Winterzeit. Dazu kommt, dass es in Deutschland schlicht und ergreifend besser ist, wenn Sie einen deutschen Zeitserver verwenden. Dann klappt es auch mit der Zeitumstellung und die Zeit ist immer korrekt, da der Zeitserver auch in der gleichen Zeitzone betrieben wird. Idealerweise sollten Sie hier einen deutschen Zeitserver verwenden, zum Beispiel von der technischen Universität Braunschweig. - Notwendige Anwendungen installieren
Sie sollten auf Rechnern möglichst ein Programm für das Packen und Entpacken von Archiven, ein Bildbetrachtungsprogramm und einen PDF-Reader installieren. Hier bieten sich die folgenden Tools an:<br> • 7-Zip<br> • Irfan View – für Irfan gibt es noch PlugIns, die so ziemlich jedes Bildformat öffnen<br> • Foxit PDF-Reader– Foxit ist sehr viel schlanker, schneller und ressourcenschonender als Adobe Acrobat Reader. - Nochmal alle Updates installieren
Haben Sie alle Programme installiert, sollten Sie am Ende noch einmal Windows-Updates installieren lassen. Vor allem wenn Sie andere Microsoft-Programme, wie Microsoft Office einsetzen, erhalten Sie über Windows-Update noch weitere Aktualisierungen, häufig ebenfalls in mehreren Wellen. Sie sollten am Ende der Einrichtung daher solange nach Updates suchen, bis keines mehr angezeigt wird. Stellen Sie auch sicher, dass in der Windows-Update-Steuerung, die Sie mit wuapp starten, die Option Updates für andere Microsoft-Produkte bereitstellen, wenn ein Windows-Update bereitgestellt wird. Diese Option finden Sie über Einstellungen ändern. Achten Sie auch hier darauf, dass bei allen Updates der Haken zur Installation gesetzt ist, und lassen Sie auch die optionalen Updates installieren.