Mit 133 Security-Updates hat Microsoft 2008 einen neuen Rekord beim Schließen von Sicherheitslücken in Betriebssystemen aufgestellt. Windows 7, die lang angekündigte und laut Steve Ballmer "beste Windows-Version aller Zeiten“‚ soll es besser machen und deutlich weniger Angriffsfläche bieten. Acht Jahre nach der Einführung von Windows XP - derzeit das meistgenutzte Betriebssystem der Welt – und zwei Jahre nach der "schmerzvollen“ Erfahrung mit Vista bestätigen viele Experten dem neuen Windows 7 auch ausgereifte Sicherheitsfunktionen. Doch bis das Gros der Anwender das neue Microsoft-Betriebssystem in vollem Umfang nutzen und von den verbesserten Sicherheitsfeatures profitieren kann, wird es noch etwas dauern.
Insbesondere in sensiblen Firmenumgebungen sollten Anwender und Netzadministratoren daher den Sicherheitsrisiken in Windows XP und Vista weiterhin die volle Aufmerksamkeit widmen. In den ersten sechs Monaten 2008 musste Microsft mit 36 Security-Updates insgesamt 58 Sicherheitslücken in seinen Betriebssystemen schließen. In der zweiten Jahreshälfte waren 42 Sicherheits-Updates notwendig, um 97 Schwachstellen zu beheben. Und 2009 sieht die Sicherheitsbilanz für XP und Vista nicht besser aus.
Wichtig ist daher, die Risiken für Windows zu erkennen und einzudämmen. Es handelt sich dabei um naheliegende Gefahren, die auf Anwenderseite jedoch kaum verinnerlicht werden, aber auch um weniger offensichtliche Bedrohungen, die folglich noch weniger Beachtung finden.
Aus denselben Gründen, wie private PC-Anwender Windows nutzen, verwenden auch Unternehmen das populäre Betriebssystem: geringe Kosten und hohe Bedienerfreundlichkeit. Doch gerade aufgrund dieser Vorzüge werden die offensichtlichsten Gefahren häufig übersehen.
Achillesferse Windows-Update
Ein häufig unterschätztes Sicherheitsrisiko sind Windows-Patches und -Updates beziehungsweise deren Nicht-Installation. Die Anfang 2009 rasant ansteigende Infektionsrate durch den Wurm Conficker (auch Downadup oder Kido genannt) verdeutlichte, wie wenig ausgeprägt das Gefahrenbewusstsein unter Anwendern ist, wenn es darum geht, bekannte Sicherheitslücken durch regelmäßiges Aktualisieren des Betriebssystems zu schließen. Erstmals im November 2008 aufgetaucht, nutzte der Schädling die (von Microsoft bereits seit Oktober gepatchte) MS08-067-Sicherheitslücke im "Windows Server Service" aus, um sich über lokale Netze auszubreiten.
Eine Ende Dezember 2008 entdeckte neue Variante des Wurms (Win32.Worm.Downadup.B) wiederum zeigte, dass auch Wechselspeichermedien zu gefährlichen Infektionsmedien werden können: Der Schädling nutzte unter anderem USB-Sticks, um sich zu verbreiten, kopierte sich dann in das Recycler-Verzeichnis des Windows-Papierkorbs und kreierte eine "Autorun.inf"-Datei, um sich auf dem befallenen PC künftig selbst zu starten.
|
Land |
Infektionsanstieg in Prozent Q1/2009 |
|
China |
683,7 |
|
Australien |
473,9 |
|
Indonesien |
339,9 |
|
Indien |
316,7 |
|
Spanien |
280,8 |
|
Philippinen |
264,0 |
|
Thailand |
199,1 |
|
Malaysia |
193,1 |
|
Frankreich |
164,3 |
|
Italien |
116,3 |
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt grundsätzlich das Einspielen neuer Patches, den Einsatz einer Firewall und eines Antivirenprogramms. Angesichts des Trends, dass Malware universelle Verbreitungswege wie Netzfreigaben, Wechseldatenträger oder Server-Dienste nutzt, bleibt dem Anwender hier letztlich keine andere Wahl.
"Eingebaute" Sicherheitslücken
Durch diverse Applikationen, die Microsoft mit seinen Betriebssystemen bündelt, entstehen systemimmanente Schwachstellen (Built-in Vulnerabilities). So wurde beispielsweise der Windows Media Player zum Opfer – oder besser zum Instrument - für die Verbreitung eines der produktivsten Malware-Vertreter: Im April 2009 belegte der Schädling "Trojan.Wimad.Gen.1" mit 5,68 Prozent den dritten Platz des monatlich erscheinenden "E-Threat Landscape Report" von BitDefender.
Sein Bruder "Trojan.Downloader.WMA.Wimad.N", der im Dezember 2008 auf dem fünften Rang landete, war immerhin für 3,14 Prozent aller weltweit infizierten Systeme verantwortlich. In der Regel via E-Mail verbreitet und als 3,5 MB großes WMA-Sound-File von populären Künstlern getarnt, öffnet der Trojaner einen Web-Browser, um einen angeblich benötigten Codec herunterzuladen. In Wirklichkeit handelt es sich dabei um den Zusatz "Adware.PlayMp3z.A".
Microsofts Media Player ist aber nur ein Beispiel dafür, wie Cyberkriminelle Windows-Applikationen nutzen, um Malware zu verbreiten. Dabei gilt: Nicht nur ausführbare Dateien beherbergen Schadsoftware, vielmehr kann jede Software, sei sie von Microsoft oder Drittanbietern, Malware enthalten und von Hackern dazu missbraucht werden, Schadcode in Systeme zu schleusen. Abhilfe schafft hier nur die permanente Überwachung aller Dateien und Applikationen, die auf einem System laufen.
IE – ein Leckerbissen für Malware-Autoren
Auch bei dem Microsoft-Browser Internet Explorer (IE) handelt es sich um eine in Windows integrierte Anwendung, die von Malware-Programmierern gern missbraucht wird, um Windows-Systeme zu infiltrieren. Ein Beispiel hierfür ist der Wurm "Packer.Malware.NSAnti.1", der sowohl über infizierte Web-Seiten als auch über autorun.inf-Files via Wechselmedien verbreitet wurde. NSAnti korrumpiert Verhaltensweisen des IE und stiehlt so Nutzernamen und Passwörter für Online-Spiele wie Silkroad Online oder Lineage.
Ein weiterer Schädling, der den Microsoft-Browser für seine Zwecke einspannt, ist der "Trojan.Exploit.ANOP". Der Javascript-Trojaner schleust über iFrame- oder ActiveX-Schwachstellen weitere Schadsoftware in Windows-Umgebungen ein.
Background-Services – die Leiche im Keller
In der Standardeinstellung aktiviert Windows beim Start einige Services, die selten gebraucht werden, jedoch potenzielle Sicherheitslücken darstellen und zudem unnötig Ressourcen verschwenden. Ein Beispiel: Die Windows XP Media Center Edition aktiviert standardmäßig den Remote Desktop – eine Schwachstelle, die es Angreifern ermöglicht, einen kompletten Systemcrash zu verursachen.
File Permissions – der Teufel im Detail
Sicherheitsrisiken birgt auch Microsofts Windows-Datei-Management-System – vor allem in Firmennetzen: Die meisten Dateien und Ordner erben die Berechtigungsmerkmale ihrer Stammordner. Wird beispielsweise ein Ordner verschoben, übernimmt dieser automatisch auch dessen neue Eigenschaften. Einerseits kann dieser Mechanismus helfen, via Dateiverschiebung von einem Ordner in den anderen auf einfache Weise mehrere Zugriffsberechtigungen zu ändern. Doch kann eine solche Aktion auch zur Feuerprobe avancieren, wenn viele Dateien und Ordner von einem System auf das andere übertragen werden. Der Berechtigungsstatus sensibler Dateien sollte daher vor dem Verschieben sorgfältig geprüft werden.
Angriffsziel Windows-Client
Im Vergleich zu Windows-Servern, die hinsichtlich Sicherheit und Abwehrstrategien unter der Aufsicht von Netzadministratoren stehen, sind Windows-Clients schwerer zu verwalten und zu schützen. Verantwortlich dafür ist neben der ungleich höheren Anzahl ihre Flexibilität. Die vielen Windows-basierenden Notebooks, Netbooks und anderen mobilen Geräte mit all ihren Konfigurationsmöglichkeiten und bestehenden Accounts, die zudem von verschiedenen Nutzern in unterschiedlichen Bereichen genutzt werden, bergen eine Fülle potenzieller Sicherheitslücken.
Darüber hinaus lassen sich Windows-Clients leicht als Zugangstor zu sensiblem Datengut missbrauchen, das in der Regel verhältnismäßig sicher auf dem Server liegt. So ist es fast unmöglich, eine mobile Festplatte zum Datendiebstahl an einen Server anzuschließen. Einfacher ist es, sich über einen Client Zugang zum Server zu verschaffen, um sensible Daten auf einen USB-Stick zu kopieren und dabei eine ganze Reihe von Sicherheitsmaßnahmen zu umgehen. Aus diesem Grund greifen Hacker mit Vorliebe Windows-Clients an.
Client-Security-Lösungen können hier helfen, über zentral gemanagte Features wie Antivirus, Firewall und Antispam vor Bedrohungen wie Viren, Spyware, Rootkits oder Spam sowohl auf Client- als auch auf Server-Ebene zu schützen.
Vorsicht mit Admin-Rechten
Eine Hauptursache für den Erfolg von Zero-Day-Angriffen ist die in vielen Unternehmen sorglose Vergabe von Rechten. So besitzen unnötig viele Windows-Clients administrative Rechte. Die Gefahr: Einerseits kann der Anwender versehentlich oder aus Nachlässigkeit Dateien und Verzeichnisse ändern oder löschen, die die Funktion des Gesamtsystems beeinträchtigen. Andererseits erleichtert es ein mit administrativen Rechten ausgestatteter Windows-Client Hackern, ihn mit Schadsoftware zu infizieren. Auf den Punkt gebracht: Nicht nur dem Anwender werden umfassende Rechte eingeräumt, sondern auch dem Angreifer.
Nach einer aktuellen Untersuchung der auf Priviledge-Management spezialisierten Beyond Trust Corporation können sich Unternehmen, deren Nutzer lediglich über Standardrechte verfügen, besser gegen Malware und Zero-Day-Threats schützen. Laut Studie enthalten 92 Prozent der von Microsoft als kritisch eingestuften Security Bulletins genau diese Empfehlung. Ein weiteres Ergebnis: Das von 94 Prozent der Office-, 89 Prozent der Internet-Explorer- und 53 Prozent der Windows-Schwachstellen ausgehende Risiko ist für Firmen, die bei Windows-Clients auf administrative Rechte verzichten, geringer.
Die Bedeutung sorgfältiger Rechtevergabe oder Datei- und Druckerfreigaben wird vor allem deutlich, wenn Windows-Clients in ungesicherten WLAN-Umgebungen wie Flughäfen, Bahnhöfen oder Hotels genutzt werden: Sind Datei- und Druckerfreigaben nicht deaktiviert, können Dritte die auf dem Client enthaltenen Dokumente offen einsehen. Daher ist es ratsam, darüber hinaus Verschlüsselungsmethoden zu verwenden, die sowohl den Zugang zu Daten als auch den Diebstahl der Informationen verhindern. Ein SSL/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) kann hier Sicherheit bieten und auch die Integrität von Daten für die Web-basierende Kommunikation (Corporate E-Mail) gewährleisten.
Fazit
Ein Fünftel der Erdbevölkerung (rund 1,35 Milliarden Menschen) ist heutzutage mit dem Internet verbunden - und im Schnitt mit täglich 2000 neuen Viren, monatlich 50.000 Phishing-Attacken und jährlich mit mehr als einer Million entwendeten PCs konfrontiert. Gut 80 Prozent dieser E-Threats richten sich explizit gegen Windows-Systeme. Auch die Anzahl der Zombie-PCs in Botnetzen steigt jährlich um 15 Prozent.
Doch lassen sich die Risiken eindämmen - mit einer Kombination aus regelmäßigen System-Updates, dem richtigen Umgang mit sensiblen Daten sowie zuverlässigen Schutzlösungen. (ala)
Diesen Beitrag haben wir von unserer Schwesterpublikation Computerwoche übernommen.