WICHTIGE EMPFEHLUNGEN
gut informiert durch EITI AG
Wichtige Empfehlungen zum Einsatz von Informatik
Im April 2016 haben wir mit einem Email an unsere Kunden vor dem Krypto-Trojaner Locky gewarnt und dort schon vermutet, dass Locky als Anfang einer regelrechten Flut von Krypto-Trojanern gelten könnte. Unsere Vermutung hat sich bestätigt und wir haben im April 2017 eine zweite Warnung versendet. Im Februar 2018 ist eine Variante des Amnesia-Trojaners aufgetaucht, der eine bis heute unbekannte Schwachstelle bei Windows-Systemen ausnützt und so alle Sicherheitsvorkehrungen überwinden und dann alle Daten auf dem System und im Netzwerk verschlüsseln kann. Mit Stand vom Juli 2019 breitet sich der Trojaner Emotet in immer intelligenteren Varianten aus.
Heute wollen wir Ihnen das Thema wieder in Erinnerung rufen. Zum Schutz Ihrer Daten.
Lesen Sie hier unsere Empfehlungen zum Einsatz von Informatik und beachten Sie die Link-Sammlung am Ende dieser Seite. Für Fragen dazu stehen wir gerne zur Verfügung.
Einleitung
Die Digitalisierung unserer Gesellschaft wird immer intensiver. Daten werden auf verschiedenen Geräten gespeichert und müssen im Bedarfsfall verfügbar sein. Bis vor rund drei Jahren musste man sich lediglich Gedanken darüber machen, ob und wie Daten gesichert werden sollen oder müssen. Daten Sind bspw. Dokumente, Fotos, Buchhaltung, Dropbox, OneDrive, Email, Kalender, Kontakte und ERP- und CRM-Daten wie Kunden- und Artikelstammdaten samt History und allen Belegtypen. Mit der Digitalisierung haben private und öffentliche Unternehmungen verschiedene Prozesse mit Software abgebildet und teils automatisiert wodurch auch hier immense Daten entstehen, die jederzeit verfügbar sein müssen.
Die Bedrohung durch Krypto-Trojaner
Im Jahr 2015 sind erstmals Viren des Typs „Krypto-Trojaner“ aufgetaucht. In der Umgangssprache und in den Medien ist oft auch die Rede von „Verschlüsselungstrojaner“ oder „Erpressungstrojaner“. Krypto-Trojaner wie Cerber, Torrentlocker, Locky, Amnesia und Sage können bei Systemen die Virenscanner deaktivieren, alle Systeme, alle Datenträger und das ganze Netzwerk mit Serverfreigaben, NAS- und SAN-Speicher auf Daten scannen und im Anschluss alle Daten überall verschlüsseln. Sobald alle Daten verschlüsselt sind erscheint beim auslösenden System die Forderung des Erpressers zur Zahlung einer meist erheblichen Summe meist zwischen 1000 bis 15000 US-$ mittels Bitcoin. Erfüllt man die Forderung bekommt man meist den Freischaltschlüssel mit einem Tool und kann so alle Datenwieder entschlüsseln. Verschlüsselte Daten können ohne den Freischaltschlüssel unmöglich entschlüsselt werden, wenn ein Krypto-Trojaner am Werk war. Entweder man hat ein Backup zur Hand, bezahlt die Forderung oder wartet auf unbestimmte Zeit, bis ein Entschlüsselungstool die Daten entschlüsseln kann.
Sofortmassnahmen bei Verdacht auf Virenbefall
- Schliessen Sie bei Ihrem PC/Notebook sofort alle Programme und fahren Sie den PC/das Notebook herunter. Ziehen Sie notfalls den Stromstecker am PC oder entfernen Sie Akku und Ladekabel beim Notebook.
- Melden Sie Ihren Verdacht unverzüglich der zuständigen Person
- Falls weitere Verdachtsmomente existieren uns den Vorfall; wir analysieren die Situation
Empfehlungen für Backup-Systeme (Datensicherung)
- Im Grundsatz soll beachtet werden, dass Daten täglich gesichert und dazu mehrere Datenträger mit einer Wechselstrategie verwendet werden.
- Bei komplexen System und Anlagen sollen ganze Volumes und/oder Festplatten gesichert werden, damit im Notfall solche Systeme vollständig wiederhergestellt werden können (zwingend nötig bei Befall durch Krypto-Trojaner).
- „Backup to the Cloud“ scheitert meist an der Internetgeschwindigkeit, der im Zeitfenster zu transportierenden Datenmenge oder an den Kosten, die durch eine gewünschte Aufbewahrungszeit entstehen würden. Auch die Erstellung eines Jahres-Backup-Datenträgers ist in der Regel sehr kostenintensiv.
- Achten Sie auf die Aufbewahrungsdauer der Backups. Je grösser der Zieldatenträger, je länger können die Backups in Abhängigkeit der Datenmenge aufbewahrt werden.
- Eine sehr sichere Strategie bieten NAS-Speicher, die vom Rest der Informatik isoliert im Netzwerk betrieben werden können
- Stellen Sie sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie erstellen, nach dem Backup-Vorgang vom NAS bzw. vom Computer trennen.
- NAS müssen zusätzlich auf weitere Datenträger wie USB-Festplatten gesichert werden. Hat das NAS keine USB3- oder eSATA-Anschlüsse soll das NAS ersetzt werden.
- Je nach Backupstrategie oder Aufbewahrungspflichten müssen Jahres-Backup-Datenträger erstellt werden
- Vorhandene Backupstrukturen müssen regelmässig neu beurteilt und mit weiteren, isolierbaren Datenträgern oder mit Cloud Backup ergänzt werden.
- Wechseldatenträger wie USB-Festplatten müssen durch eine beauftragte Person gewechselt werden. Nicht angeschlossene Festplatten müssen ausser Haus aufbewahrt werden. Die Aufbewahrung im hauseigegen Safe ist nur bei sehr Robusten Safe zu verantworten. Fragen Sie dazu Ihren Safe-Hersteller.
Empfohlene sicherheitsrelevante Einstellungen bei PC-Systemen und Notebooks
- Benutzer dürfen an PC-System und Notebooks keine Administratorenrechte haben, wobei softwarebedingte Ausnahmen existieren können
- Benutzer die technisch bedingt lokale Administratorenrechte haben müssen, müssen besonders geschult werden im Umgang mit Email, Internet, Datenschutz und Wechseldatenträgern.
- Benutzer mit lokalen Administratorenrechten müssen besonders vorsichtig mit dem Client umgehen. Software darf nicht ungefragt installiert werden
- Arbeiten Sie nach dem „least privilege“ Prinzip2. Es gilt Mitarbeitenden nur diejenigen Rechte zu gewähren, welche diese für die Ausführung der Ihnen zugetragenen Arbeit benötigen. Mitarbeitende dürfen standardmässig über keine Administratoren-Rechte verfügen.
- Bei Netzwerkumgebungen dürfen Benutzer nicht Mitglied von Domänen-Admins oder Administratoren sein
- Benutzer dürfen keine Administratoren-Kennwörter kennen. IT-Verantwortliche sind hier für die Einhaltung verantwortlich
- Kennwörter für Server und Backup-Storage wie NAS sind streng geheim. Auch interne IT-Zuständige dürfen diese Kennwörter nicht kennen
- Im Windows-Tresor (Systemsteuerung\Anmeldeinformationsverwaltung) dürfen keine Anmeldeinformationen zu Backupspeicherplätzen und anderen sicherheitsrelevanten Geräte gespeichert sein.
- In den Browsern müssen die AddIns des Virenschutz aktiv sein
- Sowohl Betriebssysteme als auch alle auf den Computern installierte Applikationen (z. B. Microsoft Office, Adobe Reader, Adobe Flash, Java Run time JRE etc.) müssen konsequent auf den neuesten Stand gebracht werden.
- Die Standard-Software für PDF soll ein Produkt sein, das automatisch Updates erhält. Vorzugsweise sind das die Produkte von Adobe (Adobe Reader, Adobe Acrobat)
- Aktualisieren Sie die Virenschutz-Software auf die neuste Version und kontrollieren Sie die Gültigkeit des Software-Update-Abonnement.
- Aktivieren Sie den Selbstschutz und Kennwortschutz in Ihren Virenschutzprodukten
- Aktivieren Sie die Windows-Firewall und die Benutzerkontensteuerung auf Level Standard
Für Unternehmen empfehlen wir zusätzlich:
- Fördern Sie gegenüber Mitarbeitern, Vorgesetzten und Entscheidungsträgern das Wissen, dass Informatik einem stetigen Wandel unterlegen sein kann und daher Massnahmen auch kurzfristig geändert, intensiviert und umgesetzt werden müssen.
- Schulen Sie die Mitarbeitenden regelmässig intensiv und präzis im Umgang mit der IT-Infrastruktur hinsichtlich der IT-Sicherheit. Entsprechende Verhaltensregeln im Umgang mit dem Internet finden Sie auf folgender Webseite:
Verhaltensregeln: https://www.melani.admin.ch/melani/de/home/schuetzen/verhaltensregeln.html - Öffnen Sie keine verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
- Besuchen Sie keine fragwürdigen Webseiten
- Es dürfen nur Geräte am Netzwerk angeschlossen werden, die über die vorgeschriebenen Sicherheitsvorkehrungen
verfügen und dies auch nur nach Absprache mit der verantwortlichen IT-Person - Auch Android- und iOS-Apple basierende Geräte müssen mit empfohlenen Schutzmassnahmen ausgestattet sein
- Verbieten Sie VPN-Verbindungen von Smartphones zu Servern und Netzwerk
- Home-Office, Remotezugriff, VPN: Datenverbindungen mittels UNC und SMB sollten unbedingt unterbunden werden.
Erlauben Sie für solche Verbindungen nur unbedingt notwendige Ports wie bspw. 3389 für RDP/RDS. - Ersetzen Sie den eigenen Email-Server durch eine hochsichere Cloud basierte Email-Lösung wie Hosted Exchange. Setzen Sie dabei bewusst auf Services von Microsoft. Nur mit einer solchen Lösung haben Sie die maximal mögliche Sicherheit beim Thema Email ! Verzichten Sie auf Drittanbieter mit eigenen Servern; sie haben ein zu hohes Sicherheitsrisiko.
Hosted Exchange kann bei Gemeinden mit SecureEmail, bei Spitex und Pflege mit HIN und bei KMU mit IncaMail gekoppelt werden. Die genannten Systeme stellen sicher, dass Emails nur von Empfängern gelesen werden können, an die sie der Absender gesendet hat und entspricht der Vorgehensweise eine eingeschriebenen Briefes. - Firewall: Installieren Sie die neuste Firmware; unterbinden Sie den Zugriff aus dem Internet; prüfen Sie Regeln und NAT; aktivieren Sie neue kostenlose und kostenpflichtige Schutzfunktionen, die mit der neuen Software-Version der Firewall aktiviert werden können.
- Blockieren Sie den Empfang von gefährlichen Email Anhängen auf Ihrem E-Mail-Gateway (Firewall) mittels entsprechender Zusatzlizenzierung. Zu solchen gefährlichen E-Mail-Anhängen zählen unter anderem:
.js (JavaScript), .jar (Java), .bat (Batch file, .exe (Windows executable), .cpl (Control Panel), .scr (Screensaver)
.com (COM file), .pif (Program Information File), .vbs (Visual Basic Script)
Stellen Sie sicher, dass solche gefährliche E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in verschlüsselten Archive-Dateien (z.B. in einem Passwortgeschützen ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge, welche Makros enthalten). - Alle Server müssen durch Virenschutz geschützt sein
- Verwenden Sie einen Spam-Filter. Es gibt eine Vielzahl Möglichkeiten, Spam E-Mails zu blockieren. Falls Ihr Unternehmen beispielsweise nur in der Schweiz tätig ist wäre es eine Option, E-Mails aus bestimmten Ländern (welche z.B. bekannt für ein hohes Spamaufkommen sind) abzuweisen (Geo-IP: Netzwerkverkehr länderspezifisch unterbinden)
Anmerkung: Zyxel und andere Firewall-Hersteller arbeiten mit Hochdruck an der Impementierung dieser Funktion in ihren Produkten. EITI AG testet zur Zeit die Firmware-Version 4.20 Beta für diverse Zyxel-Produkte, die diese Funktion bereits unterstützt, offiziell jedoch erst Ende 2016 freigegeben wird. - Seien Sie vorsichtig bei der Verwendung von Cloud-Diensten. Sensible Daten sollten nie in der Cloud abgelegt sondern nur lokal gespeichert werden.
- Verschlüsseln Sie wichtige Daten, insbesondere bei der Nutzung von Cloud-Diensten und auf mobilen Geräten.
- Stellen Sie sicher, dass die Verantwortlichkeiten bzgl. IT, insbesondere der IT-Sicherheit, geregelt sind. Dies umfasst beispielsweise an wen sich die Mitarbeitenden wenden sollen, wenn diese Fragen zur IT-Sicherheit haben (z.B. bei Erhalt eines verdächtigen E-Mails) oder wer bei einem IT-Sicherheitsvorfall zu informieren ist.
- Stellen Sie sicher, dass bezüglich IT-Sicherheit die Zuständigkeiten zwischen Ihnen und Ihrem IT-Dienstleister klar geregelt sind. Dies betrifft insbesondere die technischen Massnahmen, wie Backup, Virenschutz, Logfiles. Überprüfen Sie die Einhaltung dieser Massnahmen regelmässig.
- Überprüfen Sie regelmässig Ihre Risiken im Bereich Informationssicherheit und legen Sie diese der Geschäftsleitung vor. Beachten Sie dabei die Abhängigkeit Ihrer Geschäftsprozesse von Ihrer Informatik, beispielsweise welche Auswirkungen es hat, wenn ein bestimmtes System für längere Zeit ausfällt oder wenn eine Datenablage nicht mehr verfügbar ist.
- Definieren Sie eine Passwort-Policy und setzen Sie diese technisch um (z.B.: Passwortwechsel alle 3 Monate, mind. 12 Zeichen mit Buchstaben, Zahlen und Sonderzeichen).
- Nutzen Sie Einschränkungen Ihrer e-Banking-Applikation. Unter Umständen lassen sich nicht benötigte Funktionen in Ihrer e-Banking Applikation abschalten oder einschränken. Sprechen Sie mit Ihrer Bank über entsprechende Möglichkeiten, zum Beispiel über allfällige Länderbeschränkungen.
- Bei den meisten E-Banking-Systemen gibt es die Möglichkeiten von Kollektiv-E-Banking-Verträgen. Hierbei wird eine Zahlung über einen zweiten E-Banking-Vertrag freigegeben. Sprechen Sie mit Ihrer Bank über entsprechende Möglichkeiten. Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden.
- Token-Geräte und Karten müssen getrennt von Benutzername und Kennwort aufbewahrt werden
- Achten Sie bei TAN-Verfahren darauf, dass bei Ihrem Smartphone keine SMS auf dem Sperrbildschirm angezeigt werden
- Schliessen Sie eine Versicherung ab, die sie gegen die Folgen von Datenverlust schützt
Weitergehende Informationen
MELANI - Melde- und Analysestelle der Schweizerischen Eidgenossenschaft
https://www.melani.admin.ch/melani/de/home.html
www.abuse.ch - ransomware tracker (Aktuelle Übersicht über identifizierte Quellen)
https://ransomwaretracker.abuse.ch/tracker/
itproportal.com - Eine der besten Infoquellen über iT-Security
http://www.itproportal.com/security/
Bleeping Computers
http://www.bleepingcomputer.com/
Sage (Krypto-Trojaner)
https://blog.malwarebytes.com/threat-analysis/2017/03/explained-sage-ransomware/