Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.05.2009

Windows – wo die Gefahren lauern

Harald Phillip
Die Zahl der Online-Attacken steigt – vor allem auf Windows-Umgebungen: Nicht nur Security-Experten melden eine dramatische Zunahme, auch Microsoft stellte 2008 einen neuen Rekord beim Schließen von Sicherheitslücken auf.

Windows 7, die lang angekündigte und laut Steve Ballmer "beste Windows-Version aller Zeiten‚Äù, ruft Befürworter und Kritiker gleichermaßen auf den Plan. Acht Jahre nach der Einführung von Windows XP - derzeit das meistgenutzte Betriebssystem der Welt – und zwei Jahre nach der "schmerzvollen‚Äù Erfahrung mit Vista sagen viele Experten dem kommenden OS nach ersten Tests jedoch eine mögliche Erfolgsstory voraus. Bis das Gros der Nutzer das neue Microsoft-Betriebssystem in vollem Umfang nutzen und von den verbesserten Sicherheitsbedingungen profitieren kann, wird es aber noch etwas dauern.

Insbesondere in sensiblen Firmenumgebungen sollten Anwender und Netzadministratoren daher zunächst den Sicherheitsrisiken für die aktuellen Windows-Versionen ihre Aufmerksamkeit widmen. Während Microsoft in den ersten sechs Monaten 2008 mit 36 Security-Updates insgesamt 58 Sicherheitslücken in seinen Betriebssystemen schließen musste, waren in der zweiten Jahreshälfte 42 Sicherheits-Updates notwendig, um 97 Schwachstellen zu beheben.

Wichtig ist daher, die Risiken für Windows zu erkennen und einzudämmen. Es handelt sich dabei um naheliegende Gefahren, die auf Anwenderseite jedoch kaum verinnerlicht werden, aber auch um weniger offensichtliche Bedrohungen, die folglich noch weniger Beachtung finden.

Aus denselben Gründen, wie private PC-Anwender Windows nutzen, verwenden auch Unternehmen das populäre Betriebssystem: geringe Kosten und hohe Bedienerfreundlichkeit. Doch gerade aufgrund dieser Vorzüge werden die offensichtlichsten Gefahren häufig übersehen.

Achillesferse Windows-Update

Ein häufig unterschätztes Sicherheitsrisiko sind Windows-Patches und -Updates beziehungsweise deren Nicht-Installation. Die Anfang 2009 rasant ansteigende Infektionsrate durch den Wurm Conficker (auch Downadup oder Kido genannt) verdeutlichte, wie wenig ausgeprägt das Gefahrenbewusstsein unter Anwendern ist, wenn es darum geht, bekannte Sicherheitslücken durch regelmäßiges Aktualisieren des Betriebssystems zu schließen. Erstmals im November 2008 aufgetaucht, nutzte der Schädling die (von Microsoft bereits seit Oktober gepatchte) MS08-067-Sicherheitslücke im "Windows Server Service" aus, um sich über lokale Netze auszubreiten.

Eine Ende Dezember 2008 entdeckte neue Variante des Wurms (Win32.Worm.Downadup.B) wiederum zeigte, dass auch Wechselspeichermedien zu gefährlichen Infektionsmedien werden können: Der Schädling nutzte unter anderem USB-Sticks, um sich zu verbreiten, kopierte sich dann in das Recycler-Verzeichnis des Windows-Papierkorbs und kreierte eine "Autorun.inf"-Datei, um sich auf dem befallenen PC künftig selbst zu starten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt grundsätzlich das Einspielen neuer Patches, den Einsatz einer Firewall und eines Antivirenprogramms. Angesichts des Trends, dass Malware universelle Verbreitungswege wie Netzfreigaben, Wechseldatenträger oder Server-Dienste nutzt, bleibt dem Anwender hier letztlich keine andere Wahl.

"Eingebaute" Sicherheitslücken

Durch diverse Applikationen, die Microsoft mit seinen Betriebssystemen bündelt, entstehen systemimmanente Schwachstellen (Built-in Vulnerabilities). So wurde beispielsweise der Windows Media Player zum Opfer – oder besser zum Instrument - für die Verbreitung eines der produktivsten Malware-Vertreter: Im April belegte der Schädling "Trojan.Wimad.Gen.1" mit 5,68 Prozent den dritten Platz des monatlich erscheinenden "E-Threat Landscape Report" von BitDefender. Sein Bruder "Trojan.Downloader.WMA.Wimad.N", der im Dezember 2008 auf dem fünften Rang landete, war immerhin für 3,14 Prozent aller weltweit infizierten Systeme verantwortlich. In der Regel via E-Mail verbreitet und als 3,5 MB großes WMA-Sound-File von populären Künstlern getarnt, öffnet der Trojaner einen Web-Browser, um einen angeblich benötigten Codec herunterzuladen. In Wirklichkeit handelt es sich dabei um den Zusatz "Adware.PlayMp3z.A".

Microsofts Media Player ist aber nur ein Beispiel dafür, wie Cyberkriminelle Windows-Applikationen nutzen, um Malware zu verbreiten. Dabei gilt: Nicht nur ausführbare Dateien beherbergen Schadsoftware, vielmehr kann jede Software, sei sie von Microsoft oder Drittanbietern, Malware enthalten und von Hackern dazu missbraucht werden, Schadcode in Systeme zu schleusen. Abhilfe schafft hier nur die permanente Überwachung aller Dateien und Applikationen, die auf einem System laufen.

IE – ein Leckerbissen für Malware-Autoren

Auch bei dem Microsoft-Browser Internet Explorer (IE) handelt es sich um eine in Windows integrierte Anwendung, die von Malware-Programmierern gern missbraucht wird, um Windows-Systeme zu infiltrieren. Ein Beispiel hierfür ist der Wurm "Packer.Malware.NSAnti.1", der sowohl über infizierte Web-Seiten als auch über autorun.inf-Files via Wechselmedien verbreitet wurde. NSAnti korrumpiert Verhaltensweisen des IE und stiehlt so Nutzernamen und Passwörter für Online-Spiele wie Silkroad Online oder Lineage. Ein weiterer Schädling, der den Microsoft-Browser für seine Zwecke einspannt, ist der "Trojan.Exploit.ANOP". Der Javascript-Trojaner schleust über iFrame- oder ActiveX-Schwachstellen weitere Schadsoftware in Windows-Umgebungen ein.

Background-Services – die Leiche im Keller

In der Standardeinstellung aktiviert Windows beim Start einige Services, die selten gebraucht werden, jedoch potenzielle Sicherheitslücken darstellen und zudem unnötig Ressourcen verschwenden. Ein Beispiel: Die Windows XP Media Center Edition aktiviert standardmäßig den Remote Desktop – eine Schwachstelle, die es Angreifern ermöglicht, einen kompletten Systemcrash zu verursachen.

File Permissions – der Teufel im Detail

Sicherheitsrisiken birgt auch Microsofts Windows-Datei-Management-System – vor allem in Firmennetzen: Die meisten Dateien und Ordner erben die Berechtigungsmerkmale ihrer Stammordner. Wird beispielsweise ein Ordner verschoben, übernimmt dieser automatisch auch dessen neue Eigenschaften. Einerseits kann dieser Mechanismus helfen, via Dateiverschiebung von einem Ordner in den anderen auf einfache Weise mehrere Zugriffsberechtigungen zu ändern. Doch kann eine solche Aktion auch zur Feuerprobe avancieren, wenn viele Dateien und Ordner von einem System auf das andere übertragen werden. Der Berechtigungsstatus sensibler Dateien sollte daher vor dem Verschieben sorgfältig geprüft werden.

Angriffsziel Windows-Client

Im Vergleich zu Windows-Servern, die hinsichtlich Sicherheit und Abwehrstrategien unter der Aufsicht von Netzadministratoren stehen, sind Windows-Clients schwerer zu verwalten und zu schützen. Verantwortlich dafür ist neben der ungleich höheren Anzahl ihre Flexibilität. Die vielen Windows-basierenden Notebooks, Netbooks und anderen mobilen Geräte mit all ihren Konfigurationsmöglichkeiten und bestehenden Accounts, die zudem von verschiedenen Nutzern in unterschiedlichen Bereichen genutzt werden, bergen eine Fülle potenzieller Sicherheitslücken. Darüber hinaus lassen sich Windows-Clients leicht als Zugangstor zu sensiblem Datengut missbrauchen, das in der Regel verhältnismäßig sicher auf dem Server liegt. So ist es fast unmöglich, eine mobile Festplatte zwecks Datendiebstahl an einen Server anzuschließen. Einfacher ist es, sich über einen Client Zugang zum Server zu verschaffen, um sensible Daten auf einen USB-Stick zu kopieren und dabei eine ganze Reihe von Sicherheitsmaßnahmen zu umgehen. Aus diesem Grund greifen Hacker mit Vorliebe Windows-Clients an.

Client-Security-Lösungen können hier helfen, über zentral gemanagte Features wie Antivirus, Firewall und Antispam vor Bedrohungen wie Viren, Spyware, Rootkits oder Spam sowohl auf Client- als auch auf Server-Ebene zu schützen.

Vorsicht mit Admin-Rechten

Eine Hauptursache für den Erfolg von Zero-Day-Angriffen ist die in vielen Unternehmen sorglose Vergabe von Rechten. So besitzen unnötig viele Windows-Clients administrative Rechte. Die Gefahr: Einerseits kann der Anwender versehentlich oder aus Nachlässigkeit Dateien und Verzeichnisse ändern oder löschen, die die Funktion des Gesamtsystems beeinträchtigen. Andererseits erleichtert es ein mit administrativen Rechten ausgestatteter Windows-Client Hackern, ihn mit Schadsoftware zu infizieren. Auf den Punkt gebracht: Nicht nur dem Anwender werden umfassende Rechte eingeräumt, sondern auch dem Angreifer. Nach einer aktuellen Untersuchung der auf Priviledge-Management spezialisierten Beyond Trust Corporation können sich Unternehmen, deren Nutzer lediglich über Standardrechte verfügen, besser gegen Malware und Zero-Day-Threats schützen. Laut Studie enthalten 92 Prozent der von Microsoft als kritisch eingestuften Security Bulletins genau diese Empfehlung. Ein weiteres Ergebnis: Das von 94 Prozent der Office-, 89 Prozent der Internet-Explorer- und 53 Prozent der Windows-Schwachstellen ausgehende Risiko ist für Firmen, die bei Windows-Clients auf administrative Rechte verzichten, geringer.

Die Gefahr lauert in fremden Netzen

Die Bedeutung sorgfältiger Rechtevergabe oder Datei- und Druckerfreigaben wird vor allem deutlich, wenn Windows-Clients in ungesicherten WLAN-Umgebungen wie Flughäfen, Bahnhöfen oder Hotels genutzt werden: Sind Datei- und Druckerfreigaben nicht deaktiviert, können Dritte die auf dem Client enthaltenen Dokumente offen einsehen. Daher ist es ratsam, darüber hinaus Verschlüsselungsmethoden zu verwenden, die sowohl den Zugang zu Daten als auch den Diebstahl der Informationen verhindern. Ein SSL/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) kann hier Sicherheit bieten und auch die Integrität von Daten für die Web-basierende Kommunikation (Corporate E-Mail) gewährleisten.

Kombinierte Gegenwehr

Ein Fünftel der Erdbevölkerung (rund 1,35 Milliarden Menschen) ist heutzutage mit dem Internet verbunden - und im Schnitt mit täglich 2000 neuen Viren, monatlich 50.000 Phishing-Attacken und jährlich mit mehr als einer Million entwendeten PCs konfrontiert. Gut 80 Prozent dieser E-Threats richten sich explizit gegen Windows-Systeme. Doch lassen sich die Risiken eindämmen - mit einer Kombination aus regelmäßigen System-Updates, dem richtigen Umgang mit sensiblen Daten sowie zuverlässigen Schutzlösungen. (kf)

Was im laufenden Jahr droht

Das Hauptrisiko für Windows ist und bleibt der globale Erfolg der Microsoft-Betriebssysteme: Ihre Verbreitung macht sie zur attraktiven Zielscheibe für Cyber-Kriminelle.

Folgende Entwicklungen sind laut dem "Emerging Cyber Threat Report 2009" des Georgia Institute of Technology in diesem Jahr zu erwarten:

  • Das Aufkommen an Schadsoftware wird aufgrund raffinierter Verbreitungswege - schlecht konfigurierte Web-Seiten, Social-Networking-Portale, gefälschte Web-Seiten – weiter zunehmen.

  • Die Zahl der in Botnetze involvierten Rechner wird um 15 Prozent steigen. Die Folgen: Diebstahl von Informationen, Denial-of-Service-Angriffe (DoS), Spam-Versand sowie DNS-Spoofing.

  • Der Cyber-Krieg wird sich weiter verschärfen. Die Gründe: die kostengünstigen Angriffsmöglichkeiten, der Mangel an Verteidigungsmaßnahmen auf Anwenderseite, die schwierige strafrechtliche Verfolgung sowie fehlende Regularien zwischen den Nationen.

  • Bedrohungen für Voice-over-IP-Geräte (DoS-Angriffe und Telefon-Spam).

  • Mobile Geräte wie PDAs und Mobiltelefone werden durch Bots infiziert.

  • Angriffe auf Mobilfunknetze.

Weltweiter Conficker-Befall

Die zehn Länder mit den meisten Infektionen

Infektionsanstieg von Januar bis März 2009

China 683,7

Australien 473,9

Indonesien 339,9

Indien 316,7

Spanien 280,8

Philippinen 264,0

Thailand 199,1

Malaysia 193,1

Frankreich 164,3

Italien 116,3

Angaben in Prozent; Quelle: BitDefender Die von Conficker am stärksten betroffenen Länder im ersten Quartal 2009: Ende März entsprach die Menge der weltweit befallenen Geräte der Einwohnerzahl von Belgien.