Gib Er­pres­sern kei­ne Chan­ce

Im­mer häu ger wer­den An­wen­der Op­fer von Er­pres­sern. Schüt­zen Sie Ih­re Da­ten rich­tig, dann ist der Er­pres­ser um­sonst bei Ih­nen ein­ge­bro­chen!

PC Magazin - - Personal Computing - WOLF HOSBACH

E rpres­sungs­tro­ja­ner ( Ran­som­ware) be­deu­ten seit dem Blas­ter-Wurm die größ­te Ge­fahr für die Rech­ner von Pri­vat­an­wen­dern. Ei­ne Viel­zahl von Bö­se­wich­ten spe­zia­li­siert sich dar­auf, denn es lässt sich schnell viel Geld mit Er­pres­sung ver­die­nen. So­wohl or­ga­ni­sier­te Ban­den als auch Ein­zel­tä­ter sind im Ge­schäft, und die ent­spre­chen­den di­gi­ta­len Ta­tin­stru­men­te las­sen sich kur­zer­hand im In­ter­net zu­sam­menkli­cken. Die Er­pres­sungs­gel­der lie­gen oft zwi­schen 1 bis 40 Bit­co­ins, je nach­dem wie wich­tig der Er­pres­ser die Da­ten ein­schätzt. Das Bit­co­in un­ter­liegt star­ken Schwan­kun­gen und liegt der­zeit bei 750 bis 1.000 Eu­ro. Laut ei­ner Um­fra­ge von Kas­per­s­ky zahlt ein Drit­tel der Op­fer, ein Fünf­tel von die­sen Zah­len­den be­kommt je­doch kei­nen Schlüs­sel. Oft lohnt es sich für die Op­fer, ei­ne Zeit­lang zu war­ten, denn bei vie­len Tro­ja­nern ge­lingt über kurz oder lang der kryp­to­lo­gi­sche Bruch (jüngst Tes­lac­rypt 3). Aber Lo­cky bei­spiels­wei­se ist noch nicht be­siegt. Der bes­te Schutz ist, sich erst gar kei­nen Tro­ja­ner ein­zu­fan­gen, und falls dies doch ge­sche­hen soll­te, ihm we­nig An­griffs äche zu bie­ten. Hier gel­ten erst ein­mal alle all­ge­mei­nen Si­cher­heits­hin­wei­se: Zeit­nah alle Up­dates für alle An­wen­dun­gen ein­spie­len und ei­ne In­ter­net Se­cu­ri­ty Sui­te be­trei­ben. Zwei wei­te­re Re­geln gel­ten eben­so ganz all­ge­mein, ha­ben aber im Hin­blick auf Er­pres­sungs­tro­ja­ner noch an Ge­wicht ge­won­nen:

Backup und Nut­zer­rech­te ein­schrän­ken. Dar­um soll es im Fol­gen­den ge­hen:

TIPP1: Backup

Der klas­si­sche Tro­ja­ner ist lei­se und ar­bei­tet für sei­nen dunk­len Herrn still im Bot­netz: Er ver­sen­det Spam, be­tei­ligt sich an ge­mein­sa­men Atta­cken oder schöpft Bit­co­ins. Da­bei soll er vom PC-Be­sit­zer mög­lichst spät ent­deckt wer­den, um lan­ge und pro­duk­tiv im Ein­satz zu sein. – Mit Ran­som­ware ist al­les an­ders: Die Gat­tung hat es qua­si auf die schnells­te, ra­di­kals­te und best­mög­li­che Ver­nich­tung Ih­rer Da­ten ab­ge­se­hen – mit mo­derns­ten kryp­to­lo­gi­schen Me­tho­den. Des­we­gen gibt es kaum et­was Ent­waff­nen­de­res ge­gen Ran­som­ware als ein gut gep eg­tes Backup. Der Er­pres­ser ver­nich­tet so­zu­sa­gen nicht das gut ge­schütz­te Ori­gi­nal, son­dern die bil­li­ge, of­fen her­um­lie­gen­de Ko­pie. Soll er doch. Wich­tig ist, dass Sie das Backup-Me­di­um phy­si­ka­lisch vom Rech­ner ge­trennt la­gern: als USB-Plat­te oder als ei­ge­nen, nicht ge­moun­te­ten Be­reich in der NAS. Fer­ner soll­ten Sie ei­ne Backup-Me­tho­de mit Ver­sio­nie­rung wäh­len, so­dass Sie nicht aus Ver­se­hen mit dem Backup ei­ne be­schä­dig­te Ko­pie auf ein gu­tes Ori­gi­nal ko­pie­ren. Emp­feh­lens­wer­te Pro­gram­me sind Per­so­nal Backup ( per­so­nal-backup.rath­lev-ho­me.de, Free­ware) oder As­ham­poo Backup Pro 10 ( bit.ly/2j1leNb, nicht die Vor­gän­ger­ver­si­on!, Preis: 40 Eu­ro).

TIPP2: Nut­zer-Ac­counts an­le­gen

Nur we­ni­ge Tro­ja­ner er­rin­gen Root-Rech­te auf ei­nem Rech­ner. Ge­ra­de bei Tools wie Ran­som­ware, die auf ei­ne brei­te Streu­ung aus sind, lohnt sich der Auf­wand für den Tä­ter nicht. Er nimmt dann lie­ber das nächs­te Op­fer in An­griff. Ein­fach hat er es da­her nur, wenn Sie eh mit Root-Rech­ten bei Win­dows ar­bei­ten, denn dann steht dem Ein­dring­ling al­les of­fen: Sie selbst ha­ben ihn mit durch Tür her­ein­ge­nom­men! Le­gen Sie al­so zu­erst ei­nen ein­fa­chen Nut­zer-Ac­count für sich selbst an: Ab Win 8 über Ein­stel­lun­gen/ Kon­ten. Hier wech­seln Sie zu Familie und wei­te­rer Be­nut­zer. Win­dows ab Ver­si­on 8 ver­sucht nun krampf­haft, ein Li­ve-Kon­to an­zu­le­gen. Das um­ge­hen Sie mit Ich ken­ne die An­meldein­for­ma­tio­nen für die­se Per­son nicht und Be­nut­zer oh­ne Mi­cro­sof­tKon­to hin­zu­fü­gen. Ar­bei­ten Sie künf­tig nur noch mit die­sem Ac­count, das hat kaum Nach­tei­le. Nur sel­ten, zum Bei­spiel bei ei­ner In­stal­la­ti­on, brau­chen Sie Ad­min-Rech­te und müs­sen als ein­fa­cher An­wen­der dann in ei­nem Dia­log das Ad­min-Pass­wort nach­rei­chen. Der Si­cher­heits­ge­winn hin­ge­gen ist er­heb­lich. Ein Tro­ja­ner kann nicht auf Win­dows oder die Da­ten an­de­rer An­wen­der zu­grei­fen, so­fern Sie für die­se eben­falls ei­ge­ne Ac­counts ein­ge­rich­tet ha­ben, was rat­sam ist.

TIPP3: Wich­ti­ge Da­ten tren­nen

Nun dröseln Sie die Da­ten­struk­tu­ren Ih­rer an­de­ren Nut­zer auf. Die Da­ten in de­ren Ei­ge­nen Da­tei­en sind au­to­ma­tisch mit den rich­ti­gen Rech­ten ver­se­hen. An­ders, wenn Sie Da­ten auf ei­ner ei­ge­nen Par­ti­ti­on oder ei­nem Lauf­werk aus­ge­la­gert ha­ben ( was auch durch­aus rat­sam ist). Auf die­se Da­ten ha­ben bei Win­dows dann stan­dard­mä­ßig alle „au­then­ti zier­ten“Nut­zer vol­len Zu­griff, al­so alle, die sich re­gu­lär an­ge­mel­det ha­ben. Ent­zie­hen Sie dem Lauf­werk zu­erst die all­ge­mei­nen Schreib­rech­te: Kli­cken Sie im Ar­beits­platz mit der rech­ten Maus­tas­te auf das Lauf­werk und wäh­len Sie Ei­gen­schaf­ten/Si­cher­heit – Sie se­hen ei­ne Lis­te al­ler zu­ge­ord­ne­ten Nut­zer, meist: Au­then­ti zier­te Be­nut­zer (mit Schreib­rech­ten) Sys­tem (Voll­zu­griff) Ad­mi­nis­tra­to­ren (Voll­zu­griff) Be­nut­zer (oh­ne Schreib­rech­te) Kli­cken Sie nun Be­ar­bei­ten, wäh­len Sie Au­then­ti zier­te Be­nut­zer und ent­fer­nen Sie das Häk­chen bei Schrei­ben in der Spal­te Zu­las­sen (die Spal­te Ver­wei­gern ist mäch­ti­ger und über­schreibt alle Rech­te, das kann zu Pro­ble­men füh­ren). Die Rech­te­ver­ga­be gilt nun für alle Un­ter­ord­ner (Ver­er­bung). Nun wei­sen Sie Ih­ren Nut­zern ein­zeln Rech­te für de­ren Ord­ner (und au­to­ma­tisch de­ren Un­ter­ord­ner) zu. Wäh­len Sie zum Bei­spiel den Un­ter­ord­ner Da­ten von Ali­ce, ge­hen Sie vor wie oben: Ei­gen­schaf­ten/Si­cher­heit/Be­ar­bei­ten und wäh­len Sie nun Hin­zu­fü­gen. Ins un­te­re Feld schrei­ben Sie den Kon­to­na­men, den Sie pri­vi­le­gie­ren wol­len, et­wa Ali­ce. Nun kön­nen Sie für Ali­ce ein­zel­ne Rech­te zu­fü­gen: Schrei­ben. Ein Ord­ner kann na­tür­li­che meh­re­re Nut­zer ha­ben, mit dif­fe­ren­zier­ten Rech­ten, oder auch Nut­zer­grup­pen (Letz­te­res nur ab Win­dows-Pro-Ver­si­on). Sinn­voll ist auch ein Aus­tausch­ord­ner, in den alle au­then­ti zier­ten Nut­zer schrei­ben dür­fen. Durch die ge­naue Auf­split­tung der Rech­te ist der Da­ten­aus­fall bei ei­ner Ran­som­ware-Atta­cke auf ei­nen Nut­zer be­grenzt. Das Cha­so bleibt im Kin­der­zim­mer.

TIPP4: Al­te Da­ten schüt­zen

Für die Op­fer ei­nes Er­pres­ser­an­griffs ist der är­ger­lichs­te Ver­lust nicht der der ak­tu­el­len Da­ten (die oft in Cloud-Di­ens­ten ver­viel­fäl­tigt sind), son­dern meist der der al­ten Fo­tos. Nicht um­sonst at­ta­ckie­ren Er­pres­ser mit Vor­lie­be *.jpg. Ei­ne schüt­zen­de Stra­te­gie da­ge­gen ist nun, den Nut­zern Schreib­rech­te für al­te Da­ten kom­plett zu ent­zie­hen, denn al­te Fo­tos wer­den nicht mehr be­ar­bei­tet, son­dern nur noch an­ge­guckt. Le­gen Sie al­so ei­nen Ar­chiv-Ord­ner an und ent­zie­hen Sie al­len au­then­ti zier­ten Nut­zer wie oben be­schrie­ben die Schreib­rech­te dar­auf. Liegt der Ord­ner in Ih­rem Da­ten­lauf­werk und ha­ben Sie die­sem die ent­spre­chen­den Rech­te be­reits ent­zo­gen, so ist die Ar­beit schon ge­tan, so­lan­ge Sie dem Ord­ner kei­ne an­de­ren Nut­zer zu­wei­sen und so­lan­ge Sie selbst nicht mit Ad­min-Rech­ten am PC sit­zen. Alle Nut­zer au­ßer Ad­mins dür­fen so nur le­sen, was auch für die Ran­som­ware gilt. Er­wei­ter­te Rech­te brau­chen Sie im­mer nur kurz, um Bil­der ins Ar­chiv zu schie­ben. Log­gen Sie sich da­für kurz­fris­tig mit dem Ad­min-Ac­count ein, las­sen Sie wäh­rend­des­sen aber den Brow­ser zu und ma­chen Sie kei­ne Mail auf.

TIPP5: Hard­ware tren­nen

Noch ist ein Pro­blem nicht ge­löst: Ein be­son­ders ag­gres­si­ver (aber sel­te­ner) Tro­ja­ner er­ringt Root-Rech­te auf Ih­rem Rech­ner, dann nutzt al­les Bis­he­ri­ge nichts, da er als Ad­min agiert. Dem ent­ge­hen Sie, in­dem Sie die Da­ten auf ei­nen an­de­ren Rech­ner schreib­ge­schützt aus­la­gern: ei­nen Heim­ser­ver oder ei­ne NAS. Wenn Sie ei­nen an­de­ren Win­dows-Rech­ner (oh­ne In­ter­net­an­schluss) als Ar­chiv nut­zen, ak­ti­vie­ren Sie dort die Da­ten­frei­ga­be – al­ler­dings nicht die Frei­ga­be von Bi­b­lio­the­ken (Bil­der, Fil­me, Do­ku­men­te etc.)! Denn die­se Frei­ga- ben sind au­to­ma­tisch mit Schreib­rech­ten ver­se­hen. Ge­ben Sie ge­zielt ei­nen Ord­ner frei (zum Bei­spiel Me­di­en), in­dem Sie mit der rech­ten Maus­tas­te draufkli­cken und wäh­len: Ei­gen­schaf­ten/Frei­ga­be/Er­wei­ter­te Frei­ga­be. Set­zen Sie ein Häk­chen bei Die­sen Ord­ner frei­ge­ben und wäh­len Sie dann Be­rech­ti­gun­gen. Dort be­stim­men Sie Je­der: Le­sen (nicht Schrei­ben). Sie nden den Ord­ner auf dem Cli­ent dann im Ex­plo­rer un­ter Netz­werk/Ser­ver­na­me/ Me­di­en. Am ein­fachs­ten ist es, ihn dau­er­haft per Netz­lauf­werk ein­zu­rich­ten. Kein Nut­zer auf dem Cli­ent – auch kein Ad­min – hat nun Schreib­rech­te dar­auf. Wol­len Sie aber Fo­tos ins Ar­chiv auf den Ser­ver schie­ben, be­nö­ti­gen Sie dort wie­der ei­nen pri­vi­le­gier­ten Nut­zer, den Sie im­mer nur kurz­fris­tig ver­bin­den: Klap­pe auf, Da­ten rein, Klap­pe zu. Le­gen Sie auf dem Ser­ver ein ent­spre­chen­des Nut­zer­kon­to (aber oh­ne Ad­min-Rech­te) an, et­wa Ar­chi­var. Den Ar­chi­var pri­vi­le­gie­ren Sie nun für Ih­ren Me­di­en-Ord­ner: Rech­te Maus­tas­te Ei­gen­schaf­ten/Frei­ga­be/Er­wei­ter­te Frei­ga­be/ Be­rech­ti­gung/Hin­zu­fü­gen. Hier tra­gen Sie un­ten Ar­chi­var ein und set­zen ein Häk­chen bei Voll­zu­griff. Auf dem Cli­ent-PC su­chen Sie im Netz­werk Ser­ver und Ord­ner. Kli­cken Sie mit der rech­ten Maus­tas­te dar­auf (nicht öff­nen) und wäh­len Sie Netz­lauf­werk ver­bin­den. Das Häk­chen bei Ver­bin­dung bei An­mel­dung wie­der­her­stel­len kommt weg, sonst hat der nächs­te Tro­ja­ner leich­tes Spiel. Da­für wäh­len Sie Ver­bin­dung mit an­de­ren An­meldein­for­ma­tio­nen her­stel­len . Nun öff­net sich ein klei­nes Lo­gin-Fens­ter. Hier mel­den Sie sich als Ar­chi­var mit des­sen Zu­gangs­da­ten vom Ser­ver an, und – Voi­là! – nun ha­ben Sie Schreib­zu­griff zum Ko­pie­ren neuer Bil­der auf den Ser­ver. Nach ge­ta­ner Ar­beit tren­nen Sie das Lauf­werk. Auf der NAS gibt es eben­falls ein­fa­che Mög­lich­kei­ten, Ord­ner nur le­send an­zu­bie­ten be­zie­hungs­wei­se Nut­zern die Rech­te zu be­gren­zen. Das Vor­ge­hen ist meist ein­fa­cher als un­ter Win­dows.

Fa­zit

Vie­le An­wen­der ge­ben sich zu­frie­den da­mit, ih­re Rech­ner ab­zu­si­chern, qua­si die Haus­tü­re ab­zu­sper­ren – ver­schlie­ßen Sie im Hin­blick auf Er­pres­ser aber auch den Schrank mit den Wert­sa­chen! Über­le­gen Sie sich ei­ne Nut­zer­rech­te- und ei­ne Backup-Stra­te­gie. Ein­mal ein­ge­rich­tet sind das dann Selbst­läu­fer. whs

Ein re­gel­mä­ßi­ges, am bes­ten ver­sio­nier­tes Backup schützt vor sämt­li­chen Atta­cken, in­klu­si­ve Er­pres­sungs­tro­ja­nern.

Ty­pi­sche Rech­te­struk­tur un­ter Win­dows: der au­then­ti zier­te Be­nut­zer hat im Nor­mal­fall Le­se- und Schreib­rech­te.

In­dem Sie ver­schie­de­ne Nicht-Ad­min-Kon­ten an­le­gen, mi­ni­mie­ren Sie das Ri­si­ko für alle Da­ten.

Log­gen Sie sich mit an­de­ren An­meldein­for­ma­tio­nen beim Ser­ver ein und lö­schen Sie un­be­dingt das Häk­chen bei Ver­bin­dung bei An­mel­dung wie­der­her­stel­len.

Bi­b­lio­the­ken soll­ten Sie nicht im Heim­netz zur Ver­fü­gung stel­len, denn die­se ha­ben stan­dard­mä­ßig Schreib­rech­te.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.