Was uns wirklich gefährdet

Habe ich mich in den letzten Wochen ausführlich – geradehin in epischer Breite – über die Versprechungen der Schlangenölbranche ausgelassen.
Schimpfte ich wie ein Rohrspatz über die Risiken, denen wir uns durch den Einsatz von AV-Software aussetzen.
Führte nachgerade schonungslos aus, wer das wahre und größte Risiko der Preisgabe unserer digitalen Identität sind:
Wir selbst.

So schließe ich heute meine Reihe über Schlangenöl und die Bedrohungen, denen wir uns dadurch aussetzen, ab.
Und zwar mit einem warnenden Paukenschlag:
Was uns wirklich gefährdet

Vor einem Zero-Day kann dich keine Software schützen

Zero-Days, also Bedrohungen, die noch niemand entdeckt bzw. als Gefahr kategorisiert hat, sind die panzerbrechende, uranangereicherte Munition, mit der u.a. Cyberkriminelle uns bedrohen.
Und damit meine ich staatliche Dienste, die in vollkommen verantwortunsloser Weise solche Zero-Day-Exploits horten.
Zum einen ist das eine Gefahr für uns alle, da diese Dienste ihre gesammelten Zero-Days gegen uns, unsere Privatsphäre und damit gegen unsere Freiheit einsetzen können – ich sage an dieser Stelle nur Staatstrojaner.

Zum anderen gefährden uns Dienste, da dieser Hort toxischer Lücken in Software durchaus in die (noch) falsch(eren) Hände von Kriminellen anderer Art gelangen können – hier sage ich nur CIA-Leaks.

Durch einen Zero-Day-Exploit haben Angreifer die Möglichkeit, Schadsoftware auf einem Zielsystem zu deponieren, ohne dass eine vorhandene Schlangenöllösung auch nur den Hauch einer Ahnung hat, dass das vermeintlich geschützte System kompromittiert wurde.
Klassisch unter dem Radar durch.
Zero-Day-Exploits sind quasi die Stealth-Bomber der Informationstechnologie.
Erst wenn der Einschlag kommt, weiß der Anwender, dass er angegriffen wurde.
Oder erst viel später, meistens sogar sehr viel später (und auf jeden Fall zu spät).
Das hängt natürlich ganz von den Zielen der Schadsoftware ab.
Ein Beispiel für den erfolgreichen Einsatz eines Zero-Day-Exploits ist die WannaCry-Ransomware, die es auch aufgrund ihrer publikumswirksamen Auswirkungen in die allgemeinen und klassischen Medien geschafft hat.

Daher meine Handlungsanweisung für diesen Fall:

Ganz frei nach Kant:
Klicke so, dass du ständig die Verantwortung für deine Klicks übernehmen kannst.
Wisse, wohin der besuchte Link dich führt.

Verschlüsselt und verraten

Ransomware ist aktuell nicht nur die Schadsoftware mit der höchsten Verbreitung, sie ist auch eine der Formen von Malware, die Schlangenöl nicht erkennt.
Die große Verbreitung von Ransomware liegt nicht daran, dass die betroffenen Systeme etwa kein Schlangenöl eingesetzt hätten, sondern daran, dass die meisten dieser Systeme keine aktuellen Systemupdates eingespielt hatten.
Die meisten dieser betroffenen Systeme – so ist meine feste Überzeugung – waren sehr wohl durch AV-Software geschützt.
Gleichwohl, es hat nichts genützt.

Denn – und auch an dieser Stelle verweise ich wieder auf WannaCry – Ransomware nutzt ungepatche Lücken in Computersystemen durch Zero-Day-Exploits.
Und diese können von AV-Lösungen einfach nicht erkannt werden.
Ransomware ist ein mittlerweile ein riesiger Markt – und es sind schon längst keine Script-Kiddies mehr, denen wir uns als Gegner gegenüber sehen.
Sondern es ist ein hoch professionalisierter krimineller Wirtschaftszweig, der sich inzwischen sogar die Bewertungssystematik des klassischen Online-Handels zueigen gemacht hat.

Ableitung aus diesen Erkenntnisse:

Habe stets ein aktuelles Backup deiner Daten verfügbar.

Wer nicht up-to-date ist, handelt fahrlässig

“Kein Backup, kein Mitleid!”

Dieses Bonmot der Sys-Admin-Community bringt es treffend auf den Punkt.
Ich formuliere es – passend für diesen Abschnitt – um:

“Kein aktuelles System, kein Mitleid.”

Der technisch wichtigste Schutz vor unbekannten Gefahren ist schlicht und einfach ein aktuelles System.
Das zu bewerkstelligen ist auch wirklich keine Raketenwissenschaft.
Mittlerweile unterstützen uns alle Betriebssysteme dabei, die entsprechenden Geräte aktuell zu halten.
Es ist eben so ähnlich wie bei des Deutschen liebstem Kind:
Dem heiligen Blechle.
Das Auto unserer Wahl nörgelt, warnt und blinkt ja auch in aller Regelmäßigkeit, will unsere Aufmerksamkeit und äussert den Wunsch nach Inspektion, Wischwasser und sonstwas. (Erinnert uns doch irgendwie an die Tamagotchis – wisst Ihr noch?)
Und dem kommen wir doch gerne nach.
Und genauso verhält es sich mit unseren Computersystemen.
Die machen uns ganz selbsttätig darauf aufmerksam, dass sie umsorgt und aktualisiert sein wollen.
Kommen wir diesem doch bitte auch gleich nach.
Es ist kein Aufwand, weder zeitlich noch mental.
Verschieben wir es nicht.
Sobald wir den Wunsch des Betriebssystems nach Update bekommen leisten wir dem Folge.
Ohne Aufschub.
Sofort.
Dieser einfache Klick kann uns eine sehr große Menge Ärger und Ungemach sparen.

Daher mein Aufruf:

Brüder zur Sonne, zum Update!
Daten wir up, sobald es etwas zum updaten gibt.

Jetzt ist aber auch wieder genug des unreflektierten Folgeleistens bei computergenerierten Anweisungen.
Ein weiteres, großes Risiko ist das reflexhafte Klicken auf jeden Link, der uns in einer E-Mail entgegenspringt.
Wir klicken einfach nicht auf jeden Link, der uns in einer E-Mail erreicht – möglicherweise sogar noch vollkommen unkommentiert.

Das tun wir einfach nicht.

Wir wurden doch alle als Kinder umfangreich auf die Gefahren hingewiesen, die von fremden Menschen ausgehen, die uns entweder etwas schenken wollen, oder uns einfach “das süße Kaninchen in ihrem Garten” zeigen wollen.
Sind wir doch alle, oder?
Haben wir etwas angenommen? Nein!
Sind wir mitgegangen? Nein!!
Also.
Ist doch genau das gleiche hier.
Ein Link ist nichts anderes als das Angebot, etwas geschenkt zu bekommen oder ein süßes Kaninchen in dem unheimlichen, überwucherten Garten vor oder hinter der heruntergekommenen und halb verfallenen Villa am Stadtrand gezeigt zu bekommen.
Das nehmen wir nicht an, dieses Angebot.
Zumindest prüfen wir sehr kritisch, ob der entsprechende Link dahin führt, wo er vorgibt hinzuführen.
Das ist bei Plain-Text-Mails einfacher als bei HTML-Mails – aber es geht in allen Fällen.
Wir müssen schlicht und ergreifend unseren gesunden Menschenverstand wieder stärker schulen und ein gerüttelt Maß an Mißtrauen kultivieren.

Deshalb an dieser Stelle alle im Chor:

Wir klicken nicht reflexartig auf alle Links, die uns unter den Mauszeiger kommen.

Nicht öffnen!

Wenn es tickt, ölig riecht und eine ungleichmäßige Gewichtsverteilung hat – dann machen wir ein Paket doch auch nicht auf!

Warum sollte dies bei Anhängen von E-Mails anders sein?
Gut, die riechen eher nicht ölig (die olfaktorische E-Mail ist uns bisher zum Glück erspart geblieben), aber ein unerwarteter Anhang ist die digitale Analogie dazu.
Wenn wir den Absender nicht kennen, können wir die E-Mail mit Anhang schon gleich unbesehen und unbesorgt löschen.
Wenn es etwas wichtiges ist dann kommt es wieder.
Und selbst wenn wir den Absender kennen, muss schon ein triftiger Grund vorliegen, um den Anhang öffnen.
Und dieser triftige Grund ist die Ankündigung des Anhangs (aus einer früheren Mail oder einem persönlichen Gespräch).

Fragen wir lieber nach – auf einem anderen Kanal bitte! – ob der Anhang wirklich authentisch ist.
Denn insbesondere unaufgefordert zugesandte Anhänge – wie z.B. Bewerbungsunterlagen – waren in der Vergangenheit (und sind es aktuell immer noch) tickende Briefbomben. Sie wirken zumeist wahnsinnig echt und verleiten die ansprochenen Personen in aller Regel zum Öffnen.

Darum:

Nichts öffnen, was wir nicht angefordert haben - es könnte ein Drache in dem Paket hocken.

Obrigkeitshörigkeit kostet Millionen

Unkritisches Verhalten – gepaart mit einer restriktiven und rigiden Hierarchie – sind ein ideales Ökosystem für ein weiteres virtuelles Angriffsszenario, bei dem Schlangenöl keinerlei Schutz bietet.
In einem derartigen von Angst, Gleichgültigkeit, Obrigkeitshörigkeit und Unkenntnis verseuchten Umfeld können Angriffe wie der CEO-Fraud aufblühen und ihre kriminellen Blüten treiben.
Bei dieser Form des Internetbetrugs wird eine gefälschte E-Mail – vermeintlich vom Geschäftsführer (eben dem CEO) – an einen zumeist hochrangigen Mitarbeiter mit Finanzkompetenz geschickt.
Diese Mail formuliert die Anweisung, ganz kurzfristig und unter Umgehung sämtlicher gängiger Prozesse, unauffällig eine größere Menge Geldes an eines der unauffälligen Konten in einem ganz vertrauenswürdigen Land zu überweisen.
Dringend, weil das Wohl der Firma, der freien Welt und ganz besonders die Sicherheit des Jobs des Mail-Empfängers davon abhängen.
Und, ach ja, noch nebenbei, natürlich bleibt die ganze Transaktion vertraulich zwischen den Mail-Parteien.
Geht ja üblicherweise nur um ein paar Millionen Dollar.

Und da dies eben in einem Umfeld von Befehl und Gehorsam stattfindet und die Mails wirklich authentisch wirken – bis auf die klare Aushebelung jeglicher Vernunft und Ordnung – sind diese CEO Frauds sehr erfolgreich.

Was bleibt mir da zu empfehlen?

Stärken wir unser Rückgrat.
Fragen wir lieber einmal mehr nach als später den Schaden zu haben.
Wird uns für eine solche - durchaus berechtigte - Rückfrage der Kopf abgerissen, wäre für mich zumindest eines klargestellt:
Das ist sicherlich keine Umgebung, in der ich weiterhin freiwillig arbeiten will.

“If you don’t like how things are, change it! You’re not a tree.”

Unsere Handlungen bestimmen unsere Privatsphäre

Das größte Risiko sind aber letztlich wir selbst.
Es hilft alles nichts, wir sind schlussendlich selbst für unser Wohl und Wehe verantwortlich.
Wir können alles auf externe Faktoren schieben:

  • die schlechte Schutzsoftware
  • die bösen Cyber-Kriminellen
  • das schlechte Betriebssystem
  • die gemeinen Geheimdienste
  • und, und, und…

Wenn wir eine Ausrede finden wollen – finden wir sie.
Wenn wir eine Lösung finden wollen – finden wir auch einen Weg.

Wir sollten bei unserem eigenen Verhalten beginnen.
Wir können immer entscheiden, wie wir handeln wollen.
Und sobald wir dies erkennen und entsprechend Verantwortung für unser Handeln übernehmen, ist das der erste Schritt zurück zur Souveränität über unsere Daten und unsere Privatsphäre.

Deshalb:

Beginnen wir damit, Verantwortung für unser eigenes Handeln zu übernehmen.

Was also können wir tun, Lone Ranger?

Zunächst – Optimistisch bleiben.
Denken wir uns erst einmal:

“This too will pass.”

Echt, die Welt geht davon (noch) nicht unter.
Es klingt alles furchtbar dramatisch, aber wir haben schon anderes überstanden.
Modern Talking zum Beispiel.
Ne, Ernst beiseite – hier nochmal kurz zusammengefasst, was wir tun können, um nicht in die Cyber-Cyber-Falle zu tappen:

  • Backups haben – und den Restore-Fall testen!
  • das System aktuell halten
  • erst denken, dann klicken
  • keine suspekten Anhänge öffnen (und rückversichere dich im Zweifel beim Absender)
  • hab ein Rückgrat, sei kritisch und frag lieber einmal mehr nach als einmal zu wenig
  • übernimm Verantwortung für deine eigenen Handlungen

TL;DR

  • Was Schlangenöl nicht kennt, kann dir trotzdem schaden: Vor einem Zero-Day kann dich keine Software schützen
  • Ransomware: Verschlüsselt und verraten
  • Updates: Wer nicht up-to-date ist handelt fahrlässig
  • Trügerische Verweise: Links, zwo-drei-vier!
  • Der Anhang, das gefährliche Wesen: Nicht öffnen!
  • Es ist nicht alles Chef, was danach aussieht: Obrigkeitshörigkeit kostet Millionen
  • Wir sind unser größter Schutz: Unsere Handlungen bestimmen unsere Privatsphäre
  • Ending on a positive Note: Was also können wir tun, Lone Ranger?

Das Ende einer langen Reise:
Schlangenöl in epischer Breite – mit hilfreichen Tipps und Handreichungen.
Und bei Fragen – immer her damit

Fragen? Anmerkungen?

teilen + spenden