Sicherheitslücken auf dem Vormarsch: Ein heißer August 2012

Im vergangenen Monat gab es zahlreiche, großenteils kritische, Sicherheitslücken an der Internetfront zu stopfen. Immer häufiger kommt Malware heute ganz nebenbei über den Webbrowser auf den heimischen Rechner – oder den am Arbeitsplatz. Per E-Mail wird Schadsoftware nur noch selten verteilt, allerdings nimmt hier auch die Qualität der Angriffe weiterhin zu. Mittlerweile kommen Phishing-Mails mit passablem Deutsch daher und weisen auch immer bessere “Trefferquoten” auf: Weitaus öfter als früher geben die E-Mails vor, von auch in Deutschland tätigen Firmen wie DHL, Amazon oder der Postbank zu stammen, was so manchen Anwender dazu verleitet, den anscheinend harmlosen Anhang doch zu öffnen. Selbst aktuelle Virenscanner erkennen diese Schädlinge nur selten, da die Intervalle zwischen neuen Versionen der Malware immer kürzer werden. Da hilft in erster Linie ein waches Auge und gesunde Skepsis gegenüber Anhängen in E-Mails.

Doch auch beim Besuch ganz normaler Websites droht Unheil: Derzeit sind Exploits im Umlauf, die selbst auf einem vollständig auf dem neuesten Stand befindlichen System erfolgreich Schadcode abladen und ausführen können. Die bestmögliche Absicherung besteht im Moment aus folgenden Schritten:

  1. Windows aktualisieren
  2. Browser aktualisieren
  3. Sämtliche Plugins im Browser aktualisieren, insbesondere Flash, Shockwave, AIR und Adobe Reader
  4. Java aktualisieren
  5. Java-Plugins im Browser deaktivieren

Oracle arbeitet derzeit an der Behebung einiger kritischer Lücken, die sich bis in die aktuellste Version ziehen. In Firefox und Chrome lässt sich das Java-Plugin recht einfach deaktivieren, während beim Internet Explorer dafür einige Hürden zu überwinden sind. Mein Tipp: Bis auf weiteres nur mit Firefox, Chrome oder Opera surfen und den IE nur dann nutzen, wenn es gar nicht anders geht – am besten gar nicht.

Neben diesen “üblichen Verdächtigen” gibt es noch reichlich weitere mögliche Einfallstore. Die gängigsten davon lassen sich bequem mit der kostenlosen Software Secunia PSI überwachen. Das Programm läuft unauffällig im Hintergrund und überprüft turnusmäßig ob die ihm bekannten Programme (derzeit über 3.000) installiert sind, und falls ja, auch in der aktuellsten Version vorliegen. Angesichts der Flut von Updates im August eine willkommene Hilfe, nicht den Überblick zu verlieren. Übrigens: Auch wenn die Website leider nur in Englisch verfügbar ist – das Programm selbst bietet beim Start verschiedene Sprachen zur Auswahl, darunter auch Deutsch.

Es hagelt wichtige Updates

Heute “darf” der sicherheitsbewusste User wieder einen ganzen Stapel wichtige Updates einspielen. Neben dem monatlichen Pflaster-Paket für Windows gibt es auch von Adobe diverse Updates für Flash Player, Adobe Reader, Acrobat und Shockwave. Einige der gestopften Lücken werden bereits für Angriffe ausgenutzt, daher sollte jeder seinen Computer so bald wie möglich auf den neuesten Stand bringen.

Bei Adobe Reader und Acrobat lassen sich die Updates ganz einfach einspielen, indem man im Hauptmenü den Punkt “Hilfe” anklickt und dann “Nach Updates suchen” wählt – der Rest ist praktisch selbsterklärend. Für Flash Player und Shockwave Plugin führt der einfachste Weg über die Downloads auf der Adobe Website – sofern nicht über die automatischen Updates für den Flash Player zumindest dieser schon aktualisiert worden ist.

Auch Google hat bereits reagiert und eine neue Version von Google Chrome veröffentlich, bei der die Lücken ebenfalls gestopft sind.

Never change a running system?!

Der Spruch “Never change a running system” hält sich auch heute noch hartnäckig, nicht nur bei Computerlaien. Bedauerlicherweise wird er selbst von Profis immer wieder gerne eingeworfen, wenn es um die Aktualisierung bestehender Systeme und Installationen geht. Dabei ist diese Empfehlung nicht nur unter dem Aspekt der Sicherheit mehr als schlecht: Die breite Masse aller Malware versucht Sicherheitslücken auszunutzen, die schon längst behoben sind. Das gilt für Programme auf dem eigenen PC ebenso wie für Web-Anwendungen, die auf einem Webserver beheimatet sind. Fehlende Updates erhöhen also das Infektionsrisiko drastisch, ohne wirklichen Nutzen zu bringen.

Klar ist: Ständig auf dem Laufenden zu bleiben ist mühsam – fast jeden Tag gibt es Updates für das eine oder andere Programm. Der Zeitbedarf, um alles im Auge zu behalten, steigt mit jeder zusätzlichen Software. Trotzdem ist es wichtig, vorhandene Updates möglichst zeitnah einzuspielen, denn durch diese eigentlich simple Maßnahme reduziert sich die Angriffsfläche für Schadsoftware ganz erheblich.

Nicht immer ist das Update dabei so reibungslos wie die meisten Windows-Updates, die mit zwei Mausklicks abgenickt und installiert sind. Gerade bei Web-Anwendungen werden häufig individuelle Anpasungen durchgeführt, die beim Update wegfallen würden. Hier ist Umsicht und Erfahrung beim Update gefragt, daher lohnt es sich schnell, einen Fachmann mit dem Update zu beauftragen.

Um den heimischen PC auf dem neuesten Stand zu halten, gibt es von diversen Anbietern Software, die anhand einer Datenbank veraltete Programmversionen erkennt und Updates anbietet. Kostenlos ist beispielsweise der Secunia Personal Software Inspector erhältlich, der nicht nur die gängigen Einfallstore für Schadsoftware kennt.

Die Pfade, auf denen eine erfolgreiche Infektion letztendlich zustande kommt, werden dabei immer verschlungener und kreativer. Im Gegensatz zu früheren Jahren zielen die meisten Angriffe inzwischen nicht mehr auf die Browser selbst ab, sondern auf Sicherheitslücken in Plugins wie Flashplayer, Java oder Adobe Reader. Selbst das Windows Help System wurde schon als Sprungbrett für den Einbruch genutzt – oft erfolgt der Angriff also aus einer völlig unerwarteten Richtung. Ein Paradebeispiel dafür: Eine Sicherheitslücke, bei der die Anzeige eines manipulierten Bildes durch den Windows Explorer zur Infektion des Systems führt – ganz ohne Zutun des Benutzers. Solche gravierenden Lücken treten immer wieder auf, dieses Jahr wurde beim Hackwettbewerb “pwn2own” beispielsweise ein Angriff auf Google Chrome demonstriert – der Aufruf der präparierten Website führte trotz der eingebauten Sandbox ohne Zutun des Nutzers zur Infektion des Systems.

Fazit: Einen ultimativen Schutz vor Malware gibt es nicht, allerdings lässt sich durch konsequentes Einspielen von Updates die Angriffsfläche für Schadsoftware stark reduzieren. In einem gut konstruierten Sicherheitskonzept stellt dies jedoch nur einen der Bausteine dar, aus denen ein wirksamer Wall gegen Infektionen und Schadsoftware besteht. Weiterhin unverzichtbar bleibt ein wacher Verstand, denn aller Schutztechnik sind deutliche Grenzen gesetzt. Der beste Virenscanner nutzt nur wenig, wenn die Schadsoftware vom ahnungslosen Anwender “durchgewunken” wird.