Bundesheer Bundesheer Hoheitszeichen

Bundesheer auf Twitter

Angriff aus dem Cyberspace! (III)

Absicherungsmaßnahmen gegen bösartige Software

Gegen bösartige Software sind Absicherungs- und Gegenmaßnahmen, beginnend von der Festlegung einer Sicherheitsstrategie bis zu konkreten Einzelmaßnahmen, zwingend erforderlich. Dazu gibt es im Intranet des Bundesministeriums für Landesverteidigung (BMLV) auch Unterstützung zur Selbsthilfe für die Bereiche der Elektronischen Abwehr und IKT-Sicherheit, erstellt durch das Abwehramt.

Zahlreiche Maßnahmen sind in der Informations- und Kommunikationstechnik-Welt (IKT-Welt) des Österreichischen Bundesheeres bereits umgesetzt. Dennoch scheint es unverzichtbar - wenn man Sicherheit grundsätzlich als dauerhaften Prozess versteht - fortlaufend die eigenen Maßnahmen zu überprüfen und anzupassen, insbesondere in einer Phase, in der die IKT-Systeme durch Neuerungen für das Bundesministerium für Landesverteidigung nochmals deutlich an Bedeutung gewinnen.

Grundsätzliche Schutzmaßnahmen

Es muss zwischen zwei grundsätzlichen Schutzmaßnahmen unterschieden werden:

- jenen, die von jedem Anwender selbst gesetzt werden können, und - jenen, welche nur durch qualifiziertes Personal mit entsprechend spezieller Ausbildung ergriffen werden können.

In jedem Fall gilt die ungeteilte Verantwortung der Kommandanten und Leiter aller Ebenen für die IKT-Sicherheit in ihrem Zuständigkeitsbereich. Die Kommandanten und Leiter werden vom Fachpersonal aus dem Führungsgrundgebiet 6 und dem Kommando Führungsunterstützung beraten und steuern die Ausbildung ihrer PC-User, sorgen für Sensibilität und Aufmerksamkeit durch laufende Kaderfortbildung und überwachen den IKT-Betrieb durch Dienstaufsicht und Kontrolle. Besonderes Augenmerk ist bei der Dienstaufsicht auf Mitarbeiter mit besonderen Rechten im IKT-System zu richten. Dazu zählen Leitbediener ebenso wie Sicherheitsadministratoren und IT-Sicherheitsbeauftragte.

Bei Verstößen gegen Sicherheitsvorschriften oder bei Sicherheitsvorfällen sind unverzüglich Maßnahmen zur Aufklärung einzuleiten. Bei der Aufklärung von IKT-Sicherheitsvorfällen muss das IKT-Fachpersonal aus dem G6-/S6-Bereich und den Servicezentren des Kommandos Führungsunterstützung eng mit dem G2-/S2-Bereich zusammenarbeiten.

Bei schwerwiegenden Verstößen ist während der Erstellung der "Besonderen Vorfalls-Meldung" (BV)-Meldung auch immer das Abwehramt einzubinden. Bei nachrichtendienstlichen Verdachtsmomenten, Verdacht auf Spionage, Sabotage oder subversiven Aktivitäten ist das Abwehramt direkt einzubinden.

Vorbeugende Absicherungsmaßnahmen

Diese Maßnahmen gelten für alle Systeme, unabhängig davon, ob das jeweilige Gerät im "Stand-Alone-Betrieb" mit Internet-Anschluss oder vernetzt innerhalb eines Netzwerkes installiert ist. Vorbeugende Maßnahmen sollen gröbere Schäden an den IKT-Systemen hintanhalten und nach einem allfälligen Schaden die rasche Wiederaufnahme des geordneten Betriebes ermöglichen.

Zu den vorbeugenden Maßnahmen gehören:

- Regelmäßige Datensicherung und die sichere Aufbewahrung von Datenträgern; - Virenschutzsoftware/Firewall wöchentlich aktualisieren und alle ein- und ausgehenden Datenträger mit aktuellen Viren-Scannern auf Viren überprüfen; ausgehende Datenträger mit Schreibschutz versehen; vorinstallierte Neugeräte und gewartete Geräte auf Viren überprüfen; ebenso Programme über andere Datenkanäle (z. B. Mailbox) bei Ein- und Ausgang auf Viren überprüfen; - bei MS-WORD und MS-EXCEL die Funktion "Makro-Viren-Schutz" aktivieren (unter "Menü Extra/Optionen/Allgemein"); - keine CD/DVD aus unbekannten Quellen benutzen; - die eigene Software auf aktuellem Stand halten; - regelmäßig die eigenen Sicherheitseinstellungen überprüfen; - verdächtige Dateien sollten mit dem Programm "Wordpad" oder "Wordview" betrachtet werden; - allfällige Makro-Warnmeldungen nicht deaktivieren; - für den Notfall eine Diskette (ZIP oder anderes Medium) zur Sicherung des Datenbestandes erstellen; - mehrere Partitionen (logische Laufwerke) im Rechner einrichten; - Computer und Datenträger vor unbefugter Benutzung schützen; - Verfahrensweise bei Verdacht des Virenbefalls vorher klären; - Daten verschlüsseln (mit z. B. PGP-Disk); - Schreibschutz bei allen Disketten setzen, auf die nicht geschrieben werden muss (dies gilt insbesondere für die meisten Programmdisketten); - Boot-Reihenfolge im "CMOS-RAM" auf C, A: einstellen. (ist bei den Stand-Alone-Internet-PCs des BMLV voreingestellt); - Sicherheitsinformationen über neue Lücken und "Patches" der Hersteller beachten (z. B.: www.microsoft.com/austria/security).

Verbreitungsschutz vor bösartiger Software über E-Mail und Downloads

Wie im Teil I (Heft 2/04) beschrieben, ist das Internet der Hauptverbreitungsweg für bösartige Software. Die im BMLV als "Insellösungen" (Stand-Alone-PC; kleine Netzwerke) eingerichteten Internetarbeitsplätze sind allen aufgezeigten Gefahren aus dem Internet ausgesetzt. Vorbeugend ist eine Reihe von Absicherungen auf den Internet-PCs installiert. Darüber hinaus sind die Rechner grundsätzlich nur als Recherche- und "Post"-Station zu verwenden, und es darf darauf keinerlei sonstige Verarbeitung oder Speicherung von Daten vorgenommen werden. Dennoch ist Vorsicht geboten, insbesondere wenn Daten aus dem Internet (E-Mails, Downloads) in das 3. VE-Netz eingebracht werden müssen.

Merke!

- Bei E-Mails immer misstrauisch bleiben!

- Nur E-Mails von vertrauenswürdigen Absendern öffnen!

- Keine Anhänge öffnen, die Sie nicht erwarten!

- Da eine E-Mail im HTML-Format auch aktive Inhalte mit Schadensfunktionen enthalten kann, keine E-Mails im HTML-Format von unbekannten Absendern entgegennehmen und auch nicht versenden; - keine Dateien von unbekannten Adressaten auf den PC laden; solche Dateien nur nach telefonischer Rücksprache öffnen; - keine unbekannten Programme aus dem Internet downloaden; - offensichtlich sinnlose E-Mails ("Spam") wie z. B. Gewinn-, Sexangebote und Witze sofort ungeöffnet löschen; - Absender und E-Mails auf Plausibilität prüfen; - Vorsicht bei mehreren E-Mails mit gleichem Betreff; - das Anklicken von E-Mail-Anhängen ist immer mit Gefahren verbunden!

Kein Doppelklick bei:

- ausführbaren Dateien (*.com, *.exe, *.pic), - Script-Sprachen (*.vbs, *.bat), - Bildschirmschonern (*.scr), - Office-Dateien (*.doc, *.xls, *.ppt) auch mit Vorsicht betrachten.

Zusätzlich unbedingt:

- regelmäßig Sicherheits-Updates durchführen; - Viren-Scanner und Trojaner-Scanner wöchentlich updaten; - automatische Vorschau deaktivieren (z. B.: bei "Outlook Express"); - auf Mail-Clients (E-Mail-Verwaltungsprogramme) verzichten; - eventuell Autostart-Ordner am Mail-Client entfernen.

Verhalten bei Downloads

Daten und Programme aus dem Internet stellen die größte Gefahr für den Import bösartiger Software dar. Auch Text-, Tabellen- und Präsentationsdateien können Makro-Viren enthalten.

Programme sollten nur von den Originalseiten der Hersteller heruntergeladen werden. Unbekannte, anonyme Homepages und Provider sind mit besonderer Vorsicht zu genießen.

Die Dateigröße und die allfällig angegebene Prüfsumme sollten nach einem Download immer überprüft werden. Abweichungen (Dateigröße, Prüfsumme) sind ein Hinweis auf bösartige Software. Solche Dateien sollten sofort gelöscht werden.

Die Überprüfung mit einem aktuellen Viren-Schutzprogramm vor der Installation ist Pflicht. Komprimierte Dateien sollen zuerst immer auf Viren geprüft und dann erst entpackt werden. Eigene Entpackungsprogramme müssen so eingestellt werden, dass sie komprimierte Dateien nicht automatisch starten.

Umgang mit bösartiger Software

Es ist ein Zeichen für das Wirken bösartiger Software, wenn der Computer ungewohnt langsam arbeitet oder bestimmte Anwendungen sich nicht oder nur mehr fehlerhaft starten lassen. Wenn die Internetverbindung ungewohnt langsam ist, die Verbindung sich selbst aufbaut, das Modem ständig Datenfluss anzeigt oder wenn man im Ordner "Gesendete Objekte" E-Mails findet, die man nicht gesendet hat, dann sollte man an das Vorhandensein von bösartiger Software denken. Im Task-Manager können dann alle aktiven Programme kontrolliert werden.

Informationen zu Viren und Würmern bieten alle großen Hersteller von Viren-Scannern auf ihren Hompages an (z. B.: www.kapersky.com; www.ikarus-software.at). Bei neuen Viren werden meist rasch Programmaktualisierungen mit den erforderlichen Installationsschritten zur Verfügung gestellt.

Den Usern muss frühzeitig klargemacht werden, wer in der Organisation tatsächlich autorisiert ist, vor bösartiger Software zu warnen. Grundsätzlich sind solche Warnungen nur durch das Führungsgrundgebiet 6, das Kommando Führungsunterstützung und das Abwehramt auszugeben. Wenn ein verdächtiges E-Mail eintrifft, kann man im Internet bei diversen Hoax-Listen Nachschau halten, z. B. auf der Seite "www.tu.berlin.de/www/software/hoax.shtml".

Vor Passwortknackern schützt ein gut gewähltes Passwort. Ein solches können auch leistungsfähige Computer nicht knacken. (Siehe Infoblatt des Abwehramtes zur "Passwortgestaltung").

Gegen die Verunstaltung der eigenen Homepage (Tagging) kann man sich durch Schutzmaßnahmen zur Sicherstellung der Integrität absichern. Das bedarf der Beiziehung von Fachleuten mit entsprechenden Spezialkenntnissen.

Gegen Spam schützen Spamfilter und Anti-Spam-Programme. Vorsorglich sollte die eigene E-Mail-Adresse nur zur Kommunikation mit vertrauenswürdigen Partnern genutzt werden, für alle anderen Aktivitäten sollten temporär genutzte Adressen bei kostenlosen E-Mail-Zugangsanbietern eingerichtet werden. Wenn der Werbemüll überhand nimmt, deaktiviert man die Adresse wieder. Weiters sollte man die eigene E-Mail-Adresse nicht an öffentlich einsehbaren Stellen wie den Teilnehmerverzeichnissen von Universitäten oder Providern hinterlassen. Das eigene E-Mail-Programm sollte so konfiguriert sein, dass es nicht automatisch eine Empfangsbestätigung retourniert.

Abhilfe gegen Dialer (Einwahl-Programme) wird durch ständige Kontrolle der Standardverbindung, durch Sperrung nicht erwünschter Einwahl- und Verbindungsnummern und durch Installation eines "Antidialer"-Programmes geschaffen.

Schutz vor Rootkits und Spionagesoftware

Zum Schutz gelten alle Regeln, die bei E-Mail und Download beschrieben wurden. Handelsübliche Viren-Scanner erkennen zum Teil auch Trojaner. Darüber hinaus benötigt man eine Software zur Integritätsprüfung und die Unterstützung eines Fachmannes. Diese Software erstellt einen digitalen Schnappschuss des Systems und macht auf Veränderungen aufmerksam. Zur Absicherung gegen Spionagesoftware braucht man spezielle Software zum Erkennen von Spyware, mit der regelmäßig Scans durchgeführt werden müssen. Diese Programme zur Abwehr von Spionagesoftware hinken wie die Viren-Scanner immer der Entwicklung hinterher.

Elektronische Abwehr

"Die Elektronische Abwehr bezweckt den Schutz von Einrichtungen des Bundesheeres und der Heeresverwaltung, insbesondere von Fernmelde- und Datenverarbeitungseinrichtungen, Räumlichkeiten sowie Gefechtsständen vor elektronischen Spionage- und Sabotagebestrebungen gegnerischer Dienste und ist vor allem eine begleitende Maßnahme des militärischen Sicherheitsdienstes im technischen Bereich" (Auszug aus: "Grundsätzliche Weisung" zur Elektronischen Abwehr).

Trotz aller Absicherungsmaßnahmen müssen gefährdete Objekte von Zeit zu Zeit mit technischen Mitteln durch die Elektronische Abwehr überprüft werden. Dabei werden die betroffenen IKT-Anlagen einem IT-Sicherheitsaudit unterzogen. Beim Audit werden personelle, technische (Hardware, Software u. a.), infrastrukturelle, organisatorische und administrative Absicherungsmaßnahmen nach einem umfangreichen Katalog einer gründlichen Revision unterzogen. Im Ergebnisbericht erhalten die überprüften Dienststellen einen umfassenden Lagebericht mit einer Beschreibung der eventuell vorgefundenen Schwachstellen sowie der sich daraus ergebenden Risiken und Gefahren. Detaillierte Vorschläge zur Verbesserung der Absicherungsmaßnahmen werden zur Verfügung gestellt.

Dabei sollte den betroffenen Kommandanten und Leitern bewusst sein, dass das Ergebnis eines IT-Sicherheitsaudits nur eine "Momentaufnahme" darstellt. Sichere IKT-Anlagen können am nächsteTag schon wieder unsicher sein, wenn nicht gleichzeitig vorbeugende Absicherungsmaßnamen getroffen werden.

Schutz vor bösartiger Software

Zum Schutz vor bösartiger Software sollte jedenfalls eine Firewall und Software zur Abwehr von Viren, Spionageprogrammen, Trojanern und Dialern eingesetzt werden. Vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und von Microsoft werden derzeit, für die private Nutzung kostenlos, empfohlen:

http://www.bsi.bund.de/ Bundesamt für Sicherheit in der Informationstechnik - ausführliche Informationen zur IT-Sicherheit.

http://www.bsi-fuer-buerger.de/toolbox/tools.htm BSI - Sicherheits-CD-ROM/Software.

Spybot-Search & Destroy http://www.safer-networking.org/ spürt die meisten derzeit verbreiteten Spyware-Tools auf.

Kerio Personal Firewall (deutsch) http://www.kerio.com ist insgesamt eine gute Personal-Firewall.

Ad-Aware 6181 http:www.lavasoft.de/ und http://www.microsoft.com/germany/ms/security/sicherheits-cd.mspx spürt die meisten derzeit verbreiteten Spyware-Tools auf.

Information zu Hoaxes und Trojanern: http:/www.tu-berlin.de/www/ sowie software/hoax.shtml und http://www.trojaner-info.de Bei diesen Programmen handelt es sich um eine Auswahl mit Aktualität zum Zeitpunkt der Erstellung des Artikels (Mai 04). Durch die rasche Weiterentwicklung am Softwaremarkt kann daher kein Anspruch auf Vollzähligkeit und Aktualität gewährleistet werden. Updates sind der Homepage des jeweiligen Anbieters zu entnehmen. Die Verwendung der angeführten Programme obliegt der Eigenverantwortung des jeweiligen Benutzers. Die Nutzung erfolgt ausschließlich auf eigene Gefahr. Für Fehler und Schäden wird keinerlei Haftung übernommen.

Virusverdacht - Was ist zu tun?

- Keine Panik! Bei Verdacht auf Virus-Befall Arbeit wie gewohnt beenden.

- Computer ausschalten.

- Unerfahrene Anwender sollten die Fachleute des S6-/G6-Bereiches oder der Servicezentren des Kommandos Führungsunterstützung (KdoFüU) zu Rate ziehen.

- Von virenfreier, schreibgeschützter System-Diskette booten.

- Mit aktuellem Viren-Suchprogramm die Festplatte untersuchen und dabei ein Protokoll erzeugen. Dabei sollte das Virus lokalisiert und für eine weitere Untersuchung auf eine entsprechend beschriftete Diskette gespeichert werden.

- Datensicherung durchführen (falls nicht vorhanden).

- Das Virus gemäß Anleitung des Viren-Scanners von der Festplatte entfernen (Unterstützung eines Fachmannes beiziehen!).

- Mit Viren-Suchprogramm die Festplatte erneut überprüfen.

- Alle anderen Datenträger (Disketten, CD-ROM, Wechselplatten) auf Virenbefall untersuchen, Viren entfernen.

- Versuchen, die Quelle der Viren-Infektion festzustellen - wenn erfolgreich, anschließend:

- unverzüglich Meldung an den IT-Sicherheitsbeauftragten absetzen; bei Daten-Disketten: Ersteller der Diskette informieren.

- Andere User sind durch autorisierte Dienstellen zu warnen (bei Disketten-Austausch: Ersteller der Diskette informieren).

Virusverdacht - Was ist zu tun?

- Keine Panik! Bei Verdacht auf Virus-Befall Arbeit wie gewohnt beenden.

- Computer ausschalten.

- Unerfahrene Anwender sollten die Fachleute des S6-/G6-Bereiches oder der Servicezentren des Kommandos Führungsunterstützung (KdoFüU) zu Rate ziehen.

- Von virenfreier, schreibgeschützter System-Diskette booten.

- Mit aktuellem Viren-Suchprogramm die Festplatte untersuchen und dabei ein Protokoll erzeugen. Dabei sollte das Virus lokalisiert und für eine weitere Untersuchung auf eine entsprechend beschriftete Diskette gespeichert werden.

- Datensicherung durchführen (falls nicht vorhanden).

- Das Virus gemäß Anleitung des Viren-Scanners von der Festplatte entfernen (Unterstützung eines Fachmannes beiziehen!).

- Mit Viren-Suchprogramm die Festplatte erneut überprüfen.

- Alle anderen Datenträger (Disketten, CD-ROM, Wechselplatten) auf Virenbefall untersuchen, Viren entfernen.

- Versuchen, die Quelle der Viren-Infektion festzustellen - wenn erfolgreich, anschließend:

- unverzüglich Meldung an den IT-Sicherheitsbeauftragten absetzen; bei Daten-Disketten: Ersteller der Diskette informieren.

- Andere User sind durch autorisierte Dienstellen zu warnen (bei Disketten-Austausch: Ersteller der Diskette informieren).

___________________________________ ___________________________________

Sicherheitsaudits

IKT-Sicherheitsaudits und forensische Datensicherungen werden unmittelbar durch die "Elektronische Abwehr" des Abwehramtes wahrgenommen. Das IKT-Sicherheitsaudit ist ein Verfahren zur routinemäßigen Überprüfung der Maßnahmen. Forensische Datensicherung ist ein Verfahren zur korrekten Datensicherung und Datenanalyse bei Sicherheitsvorfällen. Diese Methode muss immer dann angewandt werden, wenn in der Folge eines Vorfalles mit einem Verfahren nach dem Heeresdisziplinargesetz (HDG) oder der Strafprozessordnung zu rechnen ist.

___________________________________ ___________________________________ Autor: Oberst dG Walter J. Unger, Jahrgang 1959. Ausmusterung 1982, Waffengattung Infanterie; Absolvent des 12. Generalstabskurses; seit 1991 Verwendungen in der Zentralstelle und im unmittelbar nachgeordneten Bereich, 1999 bis 2000 Truppenverwendung als Kommandant des Panzerabwehrbataillons 1, derzeit Leiter der Abteilung für Elektronische Abwehr im Abwehramt.

Eigentümer und Herausgeber: Bundesministerium für Landesverteidigung | Roßauer Lände 1, 1090 Wien
Impressum | Kontakt | Datenschutz | Barrierefreiheit

Hinweisgeberstelle