Datensicherheit
Scareware und Conficker Mit
Scareware-Produkten wie "Antivirus 2009", "Malwarecore", "WinDefender",
"WinSpywareProtect", "XPDefender" oder aber eben "SpywareProtect2009"
verdienen Betrüger viel Geld. Zunächst wird dem Anwender ein kleines
Programm untergejubelt, das nervige Pop-up-Informationen über eine
angebliche Infektion des PCs anzeigt - solange, bis unbedarfte Anwender
weichgekocht sind und Geld für dubiose Antiviren-Produkte zahlen, die
meist mit Namen aufwarten, von denen man glaubt, sie schon einmal gehört
zu haben. Der Conficker Wurm baut ein
Botnetz auf und verteilt sich auf mehreren Kommunikationswegen auf viele
Rechner um anschließend besagte Scareware (Spywareprotect) zu
installieren.
Internetexplorer Hijacker
Ein Browser-Hijacker lenkt den Browser automatisch auf nicht gewünschte
Internetseiten um. Dabei werden Sicherheitslücken im Internetexplorer
ausgenutzt. Der Hijacker setzt eine Reihe von Windows-Registry-Schlüssel
um und verändert dadurch die Browsereigenschaften.
Als Abwehrmaßnahme eignen sich nachfolgende Tools. Diese sollten jedoch
nur von erfahrenen EDV-Administratoren eingesetzt werden, da eine
Fehlbedienung die Funktion Ihres Computers beeinträchtigen kann! Sie
ersetzen im übrigen keine Virenscanner sondern ergänzen diese!
Ad-Aware,
Spybot,
Spywareblaster,
CWShredder und
HijackThis.
Ein neuer sehr agressiver Hijacker leitet die leere Startseite im
Internetexplorer auf eine Art Suchmaske um: about:blank -> ...\sp.html
Der Schädling ist bekannt als "Coolwebsearch oder kurz "CWS". Die oben
aufgeführten Tools eignen sich leider nicht zum Entfernen.
"Merkwürdigerweise" haben wir auch nach Infektionen Popupfenster mit
Werbung für Spykiller2004 gesehen. Diese Software lässt sich zunächst
ohne Probleme installieren und ausführen. Wenn nach dem Scanvorgang der
Clean-Button gedrückt wird, öffnet sich ein Browserfenster auf die
Herstellerseite. Erst nach dem Kauf des Produktes lässt sich
anschließend die von dem Tool erkannte Spyware entfernen. Wir können nur
davon abraten !!!
Wenn das nicht hilft eine mögliche Lösung nur für Experten: Der
CWS-Hijacker arbeitet nach folgendem Prinzip: Zunächst wird eine DLL mit
zufälligem Namen in das Windows\System32-Verzeichnis kopiert und
ausgeführt. Zusätzlich wird ein Registry-Schlüssel erzeugt (ein BHO,
BrowserHelperObject). Mit dem HijackThis Programm und anderen
Spyware-Tools können die entsprechenden Registrey-Keys zwar gelöscht
werden, aber die DLL erzeugt diese sofort oder verzögert erneut. Wir
haben HijackThis ausgeführt um den Dateinamen der DLL heraus zu finden.
In unserem konkreten Fall handelte es sich um die Datei affeo.dll. Zur
Sicherheit haben wir die Datei kopiert (auch geöffnete Dateien können im
Explorer kopiert werden), falls sie doch vom System benötigt wird. Diese
Datei war durch den normaler Explorer (explorer.exe) ständig im Zugriff
und konnte daher mit konventionellen Mitteln nicht gelöscht werden. Wir
haben die Datei mit einem Spezialtool gelöscht. Dieses setzt einen
Registry Key (PendingFileRenameOperations), welches nach einem
Systemstart Dateien löscht oder umbenennt bevor ein Systemprozess darauf
zugreift. Nach dem Neustart erscheint im erneuten HijackThis-Lauf die
DLL als "Filemissing". Und ab dem Moment können die Keys endgültig
gelöscht werden ohne neu zu entstehen. Das Löschtool gibt es hier:
NTREMOVE
Inzwischen gibt es auch Spyware mit vergleichbarer Technik. (z.B.
webrates oder "winad client"). Der Trick liegt darin, das in mehreren
Pfaden Dateien liegen die als Prozess automatisch gestartet werden.
Löscht eine Antispyware die betreffenden Registrykeys oder löscht eine
Datei so werden diese automatisch wieder hergestellt.
Um heraus zu finden welches Programm (genauer welcher Prozess) welche
Dateien geöffnet hat steht das Tool Advanced Process Manipulation zur
Verfügung. Nach der Installation starten und auf den gewünschten Prozess
(z.B. c:\winnt\explorer.exe) klicken. Löschen oder verschieben
verdächtiger Dateien wieder mit NTMOVE. Ein Beispiel: "c:\programme\gemeinsame
dateien\microsoftshared\webfolders\1031\nsextint.dll"
Alternativ kann der Rechner auch mit ERDCommander von CD gestartet
werden. Er ermöglicht das Suchen und Löschen beliebiger Dateien auf dem
PC.
Begriffsdefinition Datensicherheit
Unter dem Oberbegriff Datensicherheit verstehen sich alle Maßnahmen, die
den Verlust oder die Inkonsistenz von Daten verhindern bzw. ein
Wiederherstellen ermöglichen. Außerdem müssen Daten vor unberechtigtem
Zugriff geschützt sein.
Bedeutung der Datensicherheit in Ihrem Unternehmen
Um notwendige Sicherungsmaßnahmen abzuschätzen sollten Sie folgende
Überlegungen anstellen:
- Wie hoch muss die Verfügbarkeit Ihrer EDV sein?
- Wie lange können Sie ohne EDV sinnvoll arbeiten?
- Für welchen Zeitraum können Daten manuell restauriert werden?
- Welchen finanziellen Wert haben Ihre Daten?
Was ist ein fehlertolerantes System?
Ein System das trotz Ausfall von Hardwarekomponenten oder
Softwareabstürzen korrekt weiter arbeitet und die durch den Fehler
entstandenen Datenverlusten korrigier oder zumindest konsistente
Datenbestände sicherstellt.
Softwaremäßige Fehlertoleranz
Um Hardwarefehler bei Datenträgern zu erkennen und direkte Auswirkungen
auf Daten zu vermeiden gibt es eine Reihe von Softwaretechnologien:
- Hotfixing (Reservebereiche auf Festplatten als Ersatz für defekte
Sektoren)
- Disk-Mirroring (Plattenspiegelung)
- Software-Array (Diskarray-Technik in Software implementiert)
- Read-After-Write-Verify (Prüflesen, ob Daten korrekt geschrieben
wurden)
- Transaction-Tracking (Transaktionsorientierte Datenverarbeitung)
Hardwaremäßige Fehlertoleranz
- Diskarrays (Verhalten sich wie eine große ausfallsichere Festplatte)
- Cluster (Ganze Rechnersysteme werden redundant betrieben)
Datensicherung (Backup)
Bei einer Datensicherung werden Daten und Programme von Festplatten auf
Magnetbänder (Cartridges) oder optische Datenträger kopiert. Um höhere
Datenvolumen sichern zu können, werden verschiedene
Kompressionsverfahren eingesetzt. Reicht die Kapazität eines
Datenträgers nicht aus, werden mehrere zu einem Datenträgersatz zusammen
gefasst.
Eine Datensicherung ist aus folgenden Gründen notwendig:
Schutz vor Datenverlust (verursacht durch technische Defekte,
Virenbefall, Fehlbedienung und Manipulation).
Wiederherstellung von Konfigurationen / installierte Programme nach
Defekten oder Hardwareumstellungen.
Aus Sicherheitsgründen sollten immer mehrere Generationen von Medien
vorgehalten werden. Wichtig ist dabei die Feuer- und diebstahlsichere
Aufbewahrung. Was nützt Ihnen die beste Datensicherung im Brandfall,
wenn die Bänder offen neben Ihrem Server liegen!
Sicherungsstrategie
Eine Datensicherung muss an die jeweilige Situation in einem Unternehmen
angepasst werden. Dabei gibt es folgende Verfahren:
Vollsicherung: Dabei wird der gesamte Datenbestand gesichert. Vorteil:
Im Störfall kann schnell eine komplette Rücksicherung (Restore)
durchgeführt werden. Nachteil: Lange Sicherungszeit und hoher
Kapazitätsbedarf.
Inkrementelle Sicherung: Dabei werden nur Daten gesichert, die sich seit
dem letzten Backup verändert haben. Vorteil: Kurze Sicherungszeiten und
niedriger Kapazitätsbedarf. Nachteil: Bei einer Rücksicherung sind
mehrere Bänder notwendig, die in der richtigen Reihenfolge eingelegt
werden müssen.
Außerdem muss festgelegt werden, was genau gesichert wird. Komplette
Rechnersysteme (also auch installierte Programme) oder nur
Anwendungsdaten. Besonders bei größeren Installationen ist auch wichtig,
dass die einzelnen Benutzerrechte (Trustees) auf Verzeichnisse und
Dateien korrekt mitgesichert werden.
Archivierung
Im Gegensatz zur Datensicherung ist die Aufgabe einer Archivierung,
Daten über einen sehr langen Zeitraum verfügbar zu halten. Außerdem
müssen die enormen Datenmengen durch Indexsysteme sinnvoll verwaltet
werden, um ein leichtes und schnelles auffinden bestimmter Informationen
ermöglichen.
Die Problematik bei der Archivierung liegt in den Datenträgern,
Sicherungsgeräten und Betriebssoftware. Fallen ein Streamer oder
Sicherungsmedien zur Datensicherung aus, werden sie einfach durch Neue
ersetzt. Bei der Archivierung muss aber sichergestellt sein, dass Daten
auch noch nach 10 Jahren lesbar sind. Auch neue Softwareversionen müssen
abwärtskompatibel sein um Archive zu verwalten, die mit älterer Software
aufgezeichnet wurde.
Nur
LTO- und Jaguar-Bänder (IBM) sind für echte Langzeitarchivierung
geeignet. Festplatten sind ungeeignet weil Lager und Leseköpfe
"fest sitzen" können wenn die Platte lange nicht betrieben wird! Es
hilft also nichts, Platten in den Tresor zu legen!
Wenn sich die Daten sinnvoll in Blöcken unter 700MB aufteilen lassen,
empfehlen wir das Brennen auf CD-R wobei nur Markenrohlinge verwendet
werden sollten. Die Medien dürfen nicht beschriftet oder etikettiert
werden und sollten einzeln in Cases aufbewahrt werden. Lagerung im
Dunkeln zwischen 10° und 20° Celcius und trocken (20% bis maximal 50%
relative Luftfeuchte). Wiederbeschreibbare Medien (CD-RW) sind
ungeeignet!
Datenschutz / Zugriffsrechte
Ein wichtiger Aspekt in einem Netzwerk ist die Vergabe von
Zugriffsrechten auf Daten. Die größten Schäden in Unternehmen entstehen
nicht durch Hardwareausfälle oder Eindringlinge sondern durch
Bedienfehler (versehentliches Löschen von Daten) oder (un-)bewusste
Manipulation durch Mitarbeiter. Daher sollten jedem Mitarbeiter nur die
Rechte eingeräumt werden, die er für seine Arbeit benötigt. Unabhängig
von seiner Position!
Besonders bewusst oder unbewusst fehlerhaft veränderte Daten erweisen
sich als sehr gefährlich, da sie oft lange Zeit nicht bemerkt werden.
Hier hilft nur ein Backup oder besser eine Archivierung von bestimmten
Datenbestände (Snapshots) um bei Bedarf vergleichen zu können.
In kritischen Bereichen wie Buchhaltung oder Konstruktion verwaltet eine
Software die Daten Revisionssicher. Nachdem ein Monatsabschluss fertig
gestellt wurde oder ein Werkstück fertig konstruiert ist, wird der Stand
schreibgeschützt abgelegt.. Eine nachträgliche Änderung ist nicht
möglich. Soll beispielsweise das Werkstück noch einmal verändert werden,
wird eine neue Revision (Kopie) angelegt mit der weiter gearbeitet wird.
So lassen sich alle Änderungen genau verfolgen.
Rechtliches zur Datenhaltung (Abgabenordnung §§ 145 - 147)
Steuerrelevante Daten müssen seit dem 1.1.2002 zehn Jahre lang
maschinell auswertbar vorgehalten werden (entsprechend dem BMF-Schreiben
vom 16.7.2001). Dies bedeutet, dass eine Firma nicht nur die Daten,
sondern auch Betriebsmittel (Programme und Rechner) lauffähig für
Betriebsprüfungen zur Verfügung stellen muss. Wird ein System abgelöst,
müssen die Daten in die neue EDV übernommen werden. Alternativ müsste
ein altes System weiter betrieben werden was aber unpraktikabel ist
(Stichwort Bedienung, Wartung???).
Unmittelbarer Datenzugriff:
Die Finanzverwaltung darf bei einer Betriebsprüfung
unmittelbar auf die im Unternehmen eingesetzte Hard- und Software
zugreifen.
Mittelbarer Datenzugriff:
Die Finanzverwaltung kann verlangen, dass die
Unternehmen die gespeicherten Daten nach entsprechenden Vorgaben durch
eigene, mit DV-Systemen vertraute Personen auswerten und zur Verfügung
stellen.
Datenüberlassung in elektronischer Form:
Auf Verlangen sind
die gespeicherten Daten der Finanzverwaltung auf einem maschinell
lesbaren Datenträger zur Auswertung auf verwaltungseigenen DV- Systemen
zu überlassen.
Rechtliches bei Datenverlusten nach Wartungsarbeiten
Sobald ein Auftraggeber auf Rückfrage eine Datensicherung bestätigt,
dürfen sich IT-Unternehmen darauf verlassen! Zusätzliche
Überprüfungspflichten vor Beginn von Reparaturarbeiten treffen sie nur
bei ernsthaften und erkennbaren Zweifeln an der Zuverlässigkeit der
Datensicherung. Dies hat das Oberlandesgericht (OLG) Hamm (Az. 13 U
133/03) jüngst entschieden und die Klage eines Unternehmens wegen
Verlustes wichtiger Daten abgewiesen. Des weiteren hat das Gericht
geurteilt, dass Auftraggeber bei anstehenden Wartungsarbeiten an ihren
EDV-Anlagen zur Sicherung tagesaktueller Daten direkt nach Feierabend
und zur wöchentlichen Vollsicherung aller Daten verpflichtet sind.
|
