Was sich hinter dem Begriff Whitelist – auch Positivliste genannt – verbirgt, und wo solche Listen Verwendung finden, wird im folgenden Artikel erläutert.

Eine Whitelist ist eine Auflistung von Objekten, die als erlaubt definiert wurden. So haben zum Beispiel Banken Listen von Korrespondenzinstituten, mit denen sie im internationalen Zahlungsverkehr zusammenarbeiten. Viele Unternehmen führen Berechtigungslisten, zum Beispiel für den Zutritt zu besonders geschützten Räumlichkeiten oder den Zugang zu vertraulichen Informationen. Nur jene Personen, die auf einer solchen Whitelist stehen, haben Zutritt oder Zugang. Oder es werden Aufstellungen geführt, die Produkte enthalten, die in einem Unternehmen verwendet werden dürfen, z.B. bestimmte Hard- oder Software.

Eine Whitelist ist also ein Hilfsmittel, das exklusiv definiert, was erwünscht bzw. erlaubt ist. Was nicht in der Liste enthalten ist, ist verboten bzw. unerwünscht. Die Whitelist gibt somit klare Regeln vor und findet daher oft in Organisationen Anwendung, wo Standardisierung erforderlich ist. Eine Whitelist ist üblicherweise verbindlich. Wer dagegen verstößt, hat mit Konsequenzen zu rechnen.

Vorteile der Whitelist

Eine Whitelist schafft Klarheit und Verbindlichkeit, ohne Spielraum zuzulassen. Dadurch ermöglicht sie eine sehr genaue Steuerung. Da exakt angeführt ist, was erlaubt ist, z.B. welche Software verwendet werden darf, ist gewährleistet, dass genau die festgelegten Qualitätskriterien ohne Abweichung eingehalten werden.

Wie jedes Mittel zur Standardisierung unterstützt die Whitelist die Geschwindigkeit von Entscheidungen, weil die Optionen bereits durch eine Vorauswahl eingegrenzt wurden.

Nachteile der Whitelist

Der Prozess, jene Elemente zu definieren, die es auf die Whitelist schaffen, das sogenannte Whitelisting, ist aufwändig und muss in relativ kurzen Abständen immer aufs Neue wiederholt werden. Dies deshalb, weil sich in der schnelllebigen Zeit Rahmenbedingungen, Umfeld, Produkte, Anforderungen etc. rasch ändern. Vernachlässigt man diesen Aspekt, wird die Whitelist schnell veraltet. Diese Gefahr ist hoch, denn wenn man  immer auf dem letzten Stand sein will, ist die Aktualisierung fast permanent erforderlich. Und das kostet Zeit und Mühe.

 

Durch den Ansatz, nur das zuzulassen, was auf der Liste angeführt ist, ist die Whitelist eher statisch und lässt es nicht zu, flexibel etwas Neues auszuprobieren, das noch keiner Prüfung unterzogen wurde. Sie ist daher bis zu einem gewissen Grad innovationsfeindlich. Das kann dazu führen, dass gar nicht mehr nach Neuem gesucht wird und sich bei Mitarbeitern in einer Organisation Frustration einstellt. Im schlimmsten Fall wird die Liste subtil umgangen.

Unterschiede zur Black List

Oft wird gesagt, die Whitelist sei  das Gegenteil der Blacklist, die auch Negativliste genannt wird. Das greift aber zu kurz, weil die Zugänge grundsätzlich andere sind.

Die Blacklist ist eine Aufstellung von Objekten, die nicht erwünscht sind, sie ist also eine Verbotsliste. Der Grundsatz hier ist: Alles ist erlaubt, was nicht ausdrücklich (durch Aufnahme in die Blacklist) verboten ist. Durch diesen Ansatz ist die Blacklist weniger rigide und weniger punktgenau in der Steuerung als die Whitelist.

Die Negativliste bietet somit mehr Freiheit als die Positivliste. Bei der Blacklist ist es aber erforderlich, genau zu wissen, welche Objekte es gibt (zum Beispiel Hardware), um diese bewerten zu können. Wenn man etwas übersieht und es deswegen nicht in die Liste aufnimmt, ist es nicht verboten. Also ist auch hier eine regelmäßige Sondierung des Umfelds erforderlich.

Die Whitelist in der IT

In der IT gibt es viele Einsatzgebiete für Whitelists. Sie dienen dort im Wesentlichen dazu, Geräte und Systeme vor Bedrohungen zu schützen.

Hier finden Sie einige Beispiele:

In einer Positivliste kann definiert werden, dass nur bestimmte, vom Unternehmen angekaufte und ordentlich lizenzierte Software eingesetzt werden darf. Ebenso kann dies für Hardware erfolgen, die mit dem Unternehmensnetzwerk verbunden werden darf.

Spamfilter arbeiten oft mit Whitelists, in die zur Kommunikation zugelassene IP- oder E-Mail-Adressen eingetragen werden. Nicht zugelassene E-Mails werden dann nicht zugestellt oder in Spam-Ordner geleitet. Werbeblocker verwenden Positivlisten, um Werbung von bestimmten Erstellern zuzulassen.

Oft wird auch der Zugang zu bestimmten Internetinhalten mit Whitelists verwaltet, z.B. bei Kindern und Jugendlichen, die dann nur die definierten Adressen aufrufen können.

Ein besonders wichtiger Anwendungsbereich von Whitelists ist die Konfiguration von Firewalls. Firewalls haben die Aufgabe, Netzwerke, einzelne Bereiche davon oder Geräte vor Bedrohungen zu schützen. Um das zu gewährleisten, prüft eine Firewall ständig den Datenverkehr und erlaubt diesen nur mit jenen Zielen, die in der Whitelist angeführt sind.

Bring Your Own Device (BYOD) ist ein Trend aus den USA, der vor allem in der Arbeitswelt eine Rolle spielt. Vor- und Nachteile für alle Beteiligten werden seit einigen Jahren intensiv diskutiert. Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) kommt hierbei dem Datenschutz eine besondere Bedeutung zu. Die Voraussetzungen für den technisch und rechtlich sicheren Einsatz privater Geräte stellen zunehmend eine Herausforderung dar.

BYOD – Definition und Varianten

Die privaten mobilen Endgeräte oder auch Speichermedien mit- oder einbringen heißt konkret, auf interne Netzwerke von Firmen oder Bildungseinrichtungen und Bibliotheken zuzugreifen. Für Arbeitnehmer ist eine solche Vereinbarung grundsätzlich freiwillig. Dieses Konzept ist ursprünglich als Instrument bekannt, um die Produktivität von Arbeitnehmer zu steigern und dabei gleichzeitig die Kosten auf Arbeitgeberseite zu senken. Hinzu kommt die positive Auswirkung auf den ökologischen Fingerabdruck.

Mit wachsender praktischer Erfahrung hat sich die Auffassung durchgesetzt, dass Kosten und Nutzen sich in etwa die Waage halten. Der Anteil von Smartphones und Tablets steigt stetig an. Die Varianten, wie BYOD in unterschiedlichen Unternehmen gelebt wird, sind vielfältig. Hier einige Beispiele:

– Private Endgeräte werden unabhängig von der Unternehmens-IT betrieben.

– Endgeräte werden von der Unternehmens-IT unterstützt und gewartet.

– Softwarelizenzen des Unternehmens werden dienstlich und privat genutzt.

-Mitarbeiter beteiligen sich an den Kosten für Hard- und Software.

-Ausschließlich separates Gäste-WLAN, das ebenso von Besuchern genutzt wird.

BYOD: Vorteile für Arbeitgeber

In manchen Branchen wie beispielsweise dem Customer Service (Callcenter), entfallen die Kosten für einen kompletten Bildschirmarbeitsplatz. In diesem Bereich kommen auch private Desktop-PCs zum Einsatz. Zumindest jedoch werden mittels BYOD die regelmäßigen Anschaffungskosten für adäquate Hardware reduziert. Teilweise ergibt sich zusätzlich ein Einsparpotenzial im Bereich der Softwarelizenzen.

Mobiles Arbeiten ist ein entscheidender Faktor für die Attraktivität des Arbeitsplatzes und trägt zur Mitarbeiterzufriedenheit bei. Dies wiederum wirkt sich positiv aus auf die Produktivität.

BYOD: Vorteile für Beschäftigte

Egal ob Smartphone oder Notebook, das vertraute Arbeitsgerät stellt einen Wohlfühlfaktor dar. Mobiles Arbeiten verbessert die Vereinbarkeit von Beruf und Familie und ist gerade auch für Pendler attraktiv. Dienstreisende benötigen nur noch jeweils ein Smartphone, Tablet oder Notebook.

BYOD: Nachteile für Arbeitgeber

Die Kosten für die Erarbeitung eines BYOD-Konzeptes sind nicht zu unterschätzen. Die Umsetzung der Datenschutzgrundverordnung allein erfordert einen erheblichen administrativen und technischen Aufwand. Hinzu kommen höhere Wartungskosten. Private Endgeräte stellen immer ein potenzielles Sicherheitsrisiko dar. Ein Angriff auf die IT-Infrastruktur kann existenzbedrohend sein.

BYOD: Nachteile für Beschäftigte

Je nach Unternehmenskonzept erhält der Arbeitgeber Kontroll- und Zugriffsrechte. Durch die uneingeschränkte Erreichbarkeit verschwimmen die Grenzen zwischen Arbeit und Freizeit. Dies führt dazu, dass Arbeitszeiten nicht erfasst und folglich nicht vergütet werden.

 

Rahmenbedingungen für BYOD

Die rechtlichen Grundvoraussetzungen aber auch die Risiken für beide Seiten erfordern ein Regelwerk, dass die Interessen aller Beteiligten berücksichtigt – ein BYOD-Konzept. Dieses sollte folgende Aspekte behandeln:

Betriebssystem, Firewall und Virenscanner

– Zugriffshürden und Zugriffsbeschränkungen

– Verwendung von Blickschutzfiltern in der Öffentlichkeit

– Trennung von dienstlichen und privaten E-Mail-Konten

Speicherung von Firmendaten auf dem privaten Endgerät

– Zeitliche Zugriffsbeschränkung

Risiken minimieren bei BYOD

Wie umfassend Ihr BYOD-Konzept auch sein mag, ein Restrisiko in Bezug auf die Datensicherheit bleibt immer. Um Ihre sensiblen Firmendaten und alle personenbezogenen Daten bestmöglich zu schützen, gibt es eine Reihe von Möglichkeiten.

Technische Zugriffshürden

Ein sogenannter VPN-Tunnel ermöglicht eine verschlüsselte Verbindung zwischen dem Endgerät und dem Unternehmensserver. Ein Virtual Private Network (VPN) nutzt das Internet als Datenleitung. Mithilfe des VPN-Client auf dem Endgerät und einer zweiten Authentifizierungsmethode wird ein Zugriff Dritter auf Ihre Unternehmensdaten deutlich erschwert. Zusätzlich haben Sie die Möglichkeit, den Zugang auf „Remote-Access“ zu beschränken. Das heißt, Dokumente oder Datensätze können gelesen und bearbeitet aber nicht gespeichert werden.

Verschlüsselte „Container“ bei BYOD

Bei dieser Methode wird der lokale Festplattenspeicher des privaten Endgeräts in zwei Bereiche (Partitionen) geteilt. Somit entstehen aus technischer Sicht zwei separate Festplatten, von denen eine verschlüsselt ist. Verbindungen zum Unternehmensnetzwerk werden ausschließlich über den Container hergestellt.

Mobile Device Management (MDM)

Das Mobile Device Management wird mithilfe einer speziellen Software durchgeführt. Über dieses Tool gelingt es Ihrer Unternehmens-IT, die privaten Endgeräte in die IT-Infrastruktur zu integrieren und zu verwalten. Des Weiteren ermöglicht ein professionelles MDM:

– die Verwaltung von Daten

– das Installieren von Updates

– die Sperrung unsicherer Verbindungen (WLAN)

– die Sperrung unbekannter Apps

Sandboxing

Mithilfe einer Sandbox arbeiten Sie in einer abgeschirmten virtuellen Umgebung. Hierbei werden keine Daten auf dem privaten Gerät gespeichert. Eine Sandbox wird auch als Testumgebung für Software in der Entwicklung eingesetzt.

Wenn Sie sich für diese Lösung entscheiden, ist es unabdingbar, den ganzen Weg zu gehen. Auch der gelegentliche Einsatz privater Endgeräte bedarf technischer Grundvoraussetzungen und klarer Vereinbarungen. Eine einzige E-Mail kann eine signifikante Bedrohung für den Datenschutz und die IT-Sicherheit in Ihrem Unternehmen bedeuten.

Für die Skeptiker bietet „Choose Your Own Device“ (CYOD) eine Alternative. Mit „Own Device“ ist hier jedoch Unternehmens-Equipment gemeint.

Das Bundesamt für Sicherheit in der Informationstechnik ist eine deutsche Bundesbehörde, die Sie bei Fragen zur IT-Sicherheit unterstützt. Während das BSI in Einrichtungen des Staats aktiv Schutzmaßnahmen ergreift, profitieren die Gesellschaft und die Wirtschaft insbesondere von Informationen sowie Handlungsempfehlungen der Behörde. Unternehmen nutzen die Vorgaben und Standards der Organisation, um sich beim Business Continuity Planning auf IT-Notfälle vorzubereiten.

BSI: Förderung der IT-Sicherheit in Staat, Wirtschaft und Gesellschaft

Unter der Aufsicht des Bundesinnenministeriums trägt das BSI mit rund 1.000 Mitarbeitern als Bundesbehörde die Verantwortung für Deutschlands IT-Sicherheit. Durch Fördermaßnahmen erleichtert die Behörde Ihnen einen sicheren Einsatz von Kommunikations- und Informationstechnologie. Diese Hauptaufgabe nimmt das BSI für den Staat, die Wirtschaft und die Gesellschaft wahr. Mit Mindeststandards, Leitlinien und Handlungsempfehlungen entwickelt die Bundesbehörde hierzu klare Kriterien. Darüber hinaus ist das BSI direkt für die IT-Sicherheit der deutschen Bundesverwaltung zuständig. Daher sind die Erkennung und die Abwehr eines Hacker-Angriffs auf Regierungssysteme unmittelbare Pflichten der Behörde. Die Bekämpfung der entdeckten Exploits, Viren und Bedrohungen koordiniert die Organisation im nationalen Cyber-Abwehrzentrum.

Sensibilisierung von Unternehmen und Bürgern durch BSI Informationen

Als IT-Sicherheitsbeauftragter oder einfacher Angestellter in einem Unternehmen profitieren Sie ebenso wie private Verbraucher von den regelmäßigen Empfehlungen zur IT-Sicherheit, die das BSI veröffentlicht. Denn eine zentrale Aufgabe der deutschen Bundesbehörde besteht darin, die Wirtschaft und die Bürger mit Informationen über Sicherheitsschwachstellen zu sensibilisieren. Das BSI macht Sie mit Hinweisen auf ein verbreitetes Exploit, Viren oder sonstige Angriffe durch Hacker frühzeitig auf die Vulnerability von Systemen aufmerksam. Mit diesen Ratschlägen gelingt es IT-Sicherheitsbeauftragten auch, sich beim Business Continuity Planning frühzeitig auf IT-Notfälle vorzubereiten und ohne unnötigen Zeitverlust im Ernstfall zu reagieren. Allgemeine BSI-Empfehlungen helfen Ihnen außerdem zum Beispiel dabei, ein sicheres Passwort anzulegen.

IT-Grundschutz mit Standardschutzmaßnahmen als Empfehlungen zur IT-Sicherheit

Bis 2017 aktualisierte die Bundesbehörde jährliche die sogenannten IT-Grundschutz-Kataloge. Danach ersetzte das BSI die Kataloge mit einem IT-Grundschutz-Kompendium. Wenn Sie verbreitete IT-Systeme nutzen, finden Sie in diesen Veröffentlichungen hilfreiche Empfehlungen mit Standardschutzmaßnahmen. Mit dem IT-Grundschutz veranschaulicht das BSI Methoden zur Steigerung der IT-Sicherheit in Firmen, die teilweise auch für Anfänger umsetzbar sind. Ein IT-Sicherheitsbeauftragter erhält durch das IT-Grundschutz-Kompendium die Möglichkeit, mit umfassenden Maßnahmen ein System gegen Hacker und Exploits weitgehend abzusichern. Insgesamt beinhalten die BSI-Hinweise zum IT-Grundschutz rund 5.000 Seiten. Somit bilden die Informationen eine nützliche Grundlage für den Umgang mit der Vulnerability von Computersystemen und die Verbesserung der Business Continuity.

BSI Zertifizierungen für Unternehmen mit geprüften IT-Produkten und Dienstleistungen

Das BSI gibt Ihnen die Chance, als Unternehmer Zertifizierungen zu erlangen und damit die Durchführung der Maßnahmen zum Schutz vor Hacker-Angriffen oder sonstigen Bedrohungen nachzuweisen. Wichtige Zertifizierungen vergibt die Bundesbehörde beispielsweise für die Umsetzung der Standardmaßnahmen aus dem IT-Grundschutz-Kompendium. Hierzu müssen Sie laut den BSI-Vorgaben einen zertifizierten IT-Grundschutz-Auditor um ein Testat-Verfahren bitten. Dabei wird überprüft, ob ein IT-System die Anforderungen des IT-Grundschutzes erfüllt. Im Anschluss an eine erfolgreiche Prüfung stellt der Auditor ein Testat aus. Das BSI verleiht im Erfolgsfall ein Testat-Logo mit einer befristeten Gültigkeit, das die jeweilige Institution im Zusammenhang mit den geprüften Systemen öffentlich verwenden darf.

Für die Überprüfung von IT-Produkten und Systemen sind vor einer Zertifizierung immer unabhängige Prüfstellen mit einer Anerkennung durch das BSI verantwortlich. Die Bundesbehörde stellt sicher, dass die Produktprüfungen mit einheitlichen Kriterien objektiv und unparteiisch durchgeführt werden. Mit BSI-Zertifikaten haben Sie in einem Unternehmen die Gelegenheit, das Sicherheitsniveau von Ihren Produkten transparent darzustellen.

Wenn Sie ein Verbraucher sind, stellen die Produktzertifizierungen wiederum eine nützliche Entscheidungshilfe dar. Die Zertifikate machen deutlich, ob ein IT-Produkt Ihnen in einem bestimmten Einsatzbereich Sicherheit bietet. Außerdem informieren öffentliche BSI-Hinweise Sie häufig darüber, wie Sie bei der Verwendung von zertifizierten IT-Lösungen die IT-Sicherheit selbst steigern und sich dadurch unter anderem vor einem Exploit oder Hacker-Angriffen schützen.

Kooperation mit Bitkom und Betreibern von kritischen Infrastrukturen

Das BSI kooperiert eng mit dem Branchenverband Bitkom, der für die Telekommunikations- und Informationsbranche in Deutschland zuständig ist. Durch diese Zusammenarbeit ist 2012 auch die Allianz für Cybersicherheit entstanden. Mit Partner-Unternehmen und tausenden Institutionen tauscht das Bündnis Daten über neue Hacker-Methoden aus. Die Allianz für Cybersicherheit ermöglicht dem BSI daher die Bereitstellung zusätzlicher Informationen, von denen Sie als IT-Sicherheitsbeauftragter oder einfacher Unternehmer insbesondere beim Business Continuity Planning profitieren. Zudem unterstützt die Bundesbehörde über das Kooperationsgremium UP KRITIS Betreiber der kritischen IT-Infrastrukturen, die für eine funktionierende Gesellschaft unverzichtbar bleiben. Dabei steht insbesondere die Vulnerability von unentbehrlichen Systemen im Blickpunkt.

Unter dem Begriff WannaCry versteht man eine äußerst potente Schadsoftware, die im Mai 2017 großflächig aufgetreten ist und primär Computer mit den beiden Betriebssystemen Windows 7 und Windows XP befallen hat. WannaCry orientiert sich in der Funktionsweise an einer klassischen Ransomware: Die Schadsoftware verschlüsselt die Festplatten inklusive aller Daten des befallenen Rechners mit einer leistungsstarken Verschlüsselung und fordert von dem Anwender Lösegeld für die Entschlüsselung der Daten. Das Besondere an WannaCry war, dass die Ransomware mit der Funktionalität eines Computerwurms ausgestattet war, wodurch sie sich binnen kürzester Zeit weltweit auf Millionen von Rechnern verbreiten konnte.

Allgemeine Informationen zu WannaCry

Am 12. Mai 2017 wurde eine weltweite massenhafte Infektion von Windowscomputern durch einen neuartigen Computervirus registriert. Innerhalb von nur 24 Stunden waren weltweit mehr als 230.000 Windowsrechner betroffen. Neben vielen privaten Computern, auf denen die beiden Betriebssysteme Windows 7 und Windows XP installiert waren, waren auch viele Unternehmen, Regierungsbehörden, Industrieanlagen sowie kritische Infrastrukturen betroffen. Diese Ransomware wird im Allgemeinen als WannaCry bezeichnet, ist jedoch auch unter folgenden Namen bekannt:

–     WannaCrypt

–     WCrypt

–     WCRY

–     Wana Decryptor 2.0

Ransomware stellt eine spezielle Untergruppe von Schadsoftware dar und kommt im Bereich der Cyberkriminalität schon seit Jahren äußerst erfolgreich zum Einsatz. Während die bisherigen Ransomware-Angriffe in der Regel vereinzelt durchgeführt wurden und vorwiegend einzelne Unternehmen, Organisationen oder Privatpersonen gezielt ins Visier der Hacker genommen wurde, hebt sich WannaCry durch seine aggressive Weiterverbreitung deutlich von den bisherigen Hackerangriffen ab. Neben der reinen Ransomware-Funktionalität kommt im Rahmen von WannaCry auch ein potenter Wurmvirus zum Einsatz. Dieser nutzt gezielt den Windows Exploit „EternalBlue“ in Kombination mit dem Backdoor-Tool „DoublePulsar“, um sich selbständig weiterzuverbreiten.

Funktionsweise von WannaCry

Nachdem WannaCry auf ein anfälliges System kopiert wurde, wird zunächst eine Verbindung zu der sogenannten „Killswitch-URL“ aufgebaut. Falls die Domain nicht aktiv ist, wird der sogenannte Dropper aktiviert, der für die Installation der Ransomware zuständig ist. Danach kreiert die Malware einen Service mit der Bezeichnung „mssecsvc2.0“, der den Displaynamen „Microsoft Security Center 2.0“ erhält. Dieser scannt bei der ersten Gelegenheit zuerst das lokale Netzwerk und danach auch das Internet nach weiteren potenziellen Computern mit der Vulnerability „EternalBlue“. Über diese Funktionalität wird die rasend schnelle Verbreitung der Schadsoftware gewährleistet.

Im nächsten Schritt extrahiert der zuvor aktivierte Dropper die eigentliche WannaCry-Ransomware und führt diese aus. Auch die Ransomware prüft zuerst, ob eine Killswitch-URL vorhanden ist. Nur falls diese nicht gefunden wird, geht es mit dem nächsten Schritt weiter.

Nachfolgend gewährt sich WannaCry vollen Zugriff auf alle sich auf dem Rechner befindenden Dateien und setzt alle Attribute der Dateien auf „versteckt“. Danach werden alle Dateien mit einem komplexen Verschlüsselungsalgorithmus verschlüsselt und mit der Dateiendung „.WNCRY“ bestückt. Dabei wird in jedem Ordner eine „ReadMe.txt“-Datei erstellt, welche die genauen Anweisungen für die Zahlung des Lösegelds beinhaltet. Zusätzlich wird ein Registry-Eintrag angelegt, der nach Abschluss der Verschlüsselung alle lokalen Backups und Systemstände entfernt.

Zuletzt ersetzt die Schadsoftware das aktuelle Desktop-Hintergrundbild durch eine Benachrichtigung und startet einen Timer und Anweisungen für die Lösegeldzahlung.

Betroffene Unternehmen und Einrichtungen

Der Hackerangriff betraf mehrere global agierende Unternehmen und Organisationen. Nach aktuellem Stand kam es u.a. bei folgenden Einrichtungen und Unternehmen aufgrund einer Infektion mit der Ransomware zu Störungen und Betriebsausfällen:

–     Telefonica (spansicher Telekommunikationskonzern)

–     National Health Service (das staatliche Gesundheitssystem in Großbritannien und Nordirland)

–     Renault (französischer Automobilkonzern)

–     Fedex (weltweit agierendes Logistikunternehmen aus den USA)

–     PetroChina (chinesischer Ölkonzern)

Darüber hinaus waren tausende Computer des russischen Innenministeriums, des Katastrophenschutzministeriums sowie des Telekommunikationskonzerns MegFon betroffen. In Deutschland waren bei der Deutschen Bahn rund 450 Computer mit der Ransomware infiziert, was u.a. zum Ausfall von Anzeigetafeln an vielen Bahnhöfen und Videoüberwachungssystemen deutschlandweit führte.

Schutzmaßnahmen gegen Ransom Software

Neben dem Einspielen aktueller Sicherheitspatches für das Betriebssystem und installierte Anwendungen wird der Einsatz einer guten Sicherheitslösung wie beispielsweise ESET empfohlen. Aber auch ein kostenloser Virenschutz bietet ein ausreichendes Maß an Sicherheit gegen Ransomware-Angriffe. Es sollte jedoch beachtet werden, dass manche Antivirenprogramme den Zugriff auf die Killswitch-URL automatisch blockieren, weil sie den erhöhten Datenverkehr für auffällig erachten. Dies ist kontraproduktiv, da sich die Ransomware aufgrund fehlender Aktivierung des Notausschalters in diesem Fall unkontrolliert weiterverbreitet.

Des Weiteren können durch den Einsatz einer Firewall die TCP-Ports 137, 139, 445, 3389 sowie die UDP-Ports 137 und 138 blockiert werden, um ein Eindringen der zurzeit häufigsten Variante des WannaCry-Schädlings zu unterbinden.

Früher war 3DES eine der bekanntesten und beliebtesten Formen der Verschlüsselung. Der Verschlüsselungsalgorithmus basiert auf dem für die US-Regierung entwickelten DES-Algorithmus, den ab den 1980er-Jahren so gut wie alle Hersteller in ihren Programmen hatten.

3DES – Definition

Bei 3DES handelt es sich um einen Verschlüsselungsalgorithmus. Obwohl es offiziell als Triple Data Encryption Algorithm (3DEA) bekannt ist, wird dieser Verschlüsselungsalgorithmus am häufigsten als 3DES bezeichnet. Dies liegt daran, dass der 3DES-Algorithmus die DES-Verschlüsselung (Data Encryption Standard) dreimal verwendet, um zu sichernde Daten zu verschlüsseln.

DES ist ein Symmetric-Key-Algorithmus, der auf einem Feistel-Netzwerk basiert. Als symmetrische Key-Verschlüsselung wird dabei derselbe Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Das Feistel-Netzwerk macht diese beiden Prozesse nahezu identisch, was zu einem Algorithmus führt, dessen Implementierung effizienter ist.

DES hat sowohl eine 64-Bit-Block- als auch eine Schlüsselgröße, in der Praxis gewährt der Schlüssel jedoch nur 56-Bit-Sicherheit. 3DES wurde aufgrund der geringen Schlüssellänge von DES als sicherere Alternative entwickelt. In 3DES wird der DES-Algorithmus dreimal mit drei Schlüsseln ausgeführt. Er wird jedoch nur als sicher angesehen, wenn drei separate Schlüssel verwendet werden.

Triple DES verschlüsselt die Eingabedaten dreimal. Die drei Schlüssel werden dabei mit k1, k2 und k3 bezeichnet. Diese Technologie ist im Standard von ANSIX9.52 enthalten. Triple DES ist abwärtskompatibel mit regulärem DES.

3DES ist vorteilhaft, da es eine erheblich größere Schlüssellänge hatals die meisten anderen Verschlüsselungsmodi. Der DES-Algorithmus wurde jedoch durch den Advanced Encryption Standard des National Institute of Standards and Technology (NIST) ersetzt. Somit gilt 3DES nun als veraltet. Software, die für ihre Kompatibilität und Flexibilität bekannt ist, kann problemlos für die Triple-DES-Integration konvertiert werden. Daher ist diese Form der Verschlüsselung möglicherweise nicht annähernd so veraltet, wie von NIST angenommen.

Die Geschichte der 3DES-Verschlüsselung

Da 3DES von DES abgeleitet ist, ist es am besten, zuerst den früheren Standard, DES, zu erklären. In den 1970er-Jahren suchte das National Bureau of Standards (NBS – inzwischen in NIST umbenannt) nach einem Algorithmus, der als Standard zur Verschlüsselung sensibler, aber nicht klassifizierter Regierungsinformationen verwendet werden konnte.

Die NBS akzeptierte Vorschläge für einen Standard, der ihren Anforderungen entsprach, aber keiner der Kandidaten aus der ursprünglichen Runde setzte sich durch. Es wurden weitere Einsendungen entgegengenommen, und diesmal schickte IBM einen von seinem Team entwickelten Algorithmus durch. Die Vorlage wurde von der Luzifer-Chiffre abgeleitet, die Horst Feistel entworfen hatte.

1975 wurde der IBM-Algorithmus von der NBS als vorgeschlagener Datenverschlüsselungsstandard veröffentlicht. Die Öffentlichkeit wurde gebeten, sich zu dem Entwurf zu äußern, der einige Kritik hervorrief. Einige prominente Kryptografen behaupteten zum Beispiel, die Schlüssellänge sei zu kurz.

Zu der Zeit dachten viele in der kryptografischen Community, dass die National Security Agency (NSA) das Projekt sabotiert und sich eine Hintertür eingebaut hatte, so dass es die einzige Agency sein würde, die DES brechen könnte. Dieser Verdacht konnte jedoch nie bewiesen werden.

Trotz der anfänglichen Fragen zur Sicherheit des Algorithmus und zur Beteiligung der NSA wurde der IBM-Algorithmus 1976 als Datenverschlüsselungsstandard anerkannt. Er wurde 1977 veröffentlicht und 1983, 1988 und 1993 als Standard bestätigt. Die Notwendigkeit eines neuen Algorithmus wurde mit der Weiterentwicklung der Technologie und der Zunahme potenzieller Angriffe verstärkt.

3DES in der heutigen Zeit

Verschiedene Hackerangriffe zeigten, dass es weniger schwierig war, den Algorithmus zu brechen, als bisher angenommen. Im Jahr 1998 war Distributed.net in der Lage, DES innerhalb von 39 Tagen zu knacken.

Anfang 1999 hatte die Electronic Frontier Foundation mit Deep Crack die Zeit auf etwas mehr als 22 Stunden verkürzt.

Ein neuer Algorithmus wurde dringend benötigt. Dies war ein Problem, da es mehrere Jahre dauern würde, bis sich NIST mit dem Algorithmus, der zum Ersatzstandard wurde, dem Advanced Encryption Standard (AES), befasste.

Während die Verschlüsselung mit AES beschlossen wurde, wurde 3DES als Notlösung vorgeschlagen. Dabei wird der DES-Algorithmus dreimal mit drei separaten Schlüsseln ausgeführt. 1999 wurde DES erneut bestätigt, jedoch mit 3DES als idealem Algorithmus. Normales DES war nur in wenigen Anwendungen zulässig.

3DES entwickelte sich zu einem weit verbreiteten Verschlüsselungsalgorithmus, derheutzutage aufgrund seines hohen Ressourcenverbrauchs und seiner Sicherheitsbeschränkungen in den meisten Anwendungsfällen durch AES ersetzt wurde.

Schadsoftware und heimtückische Websites erkennen Sie nicht mit dem bloßen Auge. Auch Angriffe von Hackern können nicht einfach so und ohne eine im Hintergrund laufende Unterstützung abgewehrt werden. Hier kommt der Virenscanner ins Spiel, der sich auf jedem PC und Smartphone befinden und neben der Firewall zusätzlich vor Eindringlingen auf einem Computer oder dem Server schützen soll.

Definition Virenscanner

Grundsätzlich werden Virenscanner in drei verschiedene Arten, abhängig von ihrer Funktion unterteilt. Es gibt manuelle Scanner, Echtzeitscanner und Onlineprogramme zur Aufspürung und Unschädlichmachung von Schadware. Jeder Virenscanner dient unabhängig seiner häufig implementierten Zusatzfunktionen dazu, Würmer, Trojaner und Viren aufzuspüren und diese in die Quarantäne zu verschieben oder durch Löschung unschädlich zu machen. Antivirus-Programme sperren Hacker aus und sind neben der Firewall essenzielle Schutzmechanismen für die sensiblen Daten auf Servern und Computern. Der Begriff Virenscanner ergibt sich aus der Funktion des Programms, das bestenfalls automatisch im Hintergrund läuft und den PC kontinuierlich nach Schadware scannt.

Anwendungsbereiche von Virus-Scannern

Ein Antivirus-Programm ist für Heimanwender ebenso wichtig wie für Firmen. Viren oder Mal- und Spyware gefährden die Funktionalität Ihres Computers und stellen die digitale Sicherheit durch das Ausspähen und Abgreifen von Daten in Frage. In den letzten Jahren haben sich immer mehr Virenscanner-Hersteller darauf konzentriert, künstliche Intelligenz einzubauen und auf diesem Weg die Entdeckung und Unschädlichmachung von Schadware zu beschleunigen. Noch vor einigen Jahren brauchte ein Virenprogramm bis zur Lösungsfindung meist einige Tage, was in der heutigen schnelllebigen Zeit unverhältnismäßig wäre. Ältere Scanner beschäftigten sich mit der Suche nach bekannten „Verhaltensmustern“ von Websites und nahmen die Einordnung in sicher und unsicher anhand dieser Faktoren vor.

Heute arbeitet der Virenscanner mit Analysen, die sich nicht auf bekannte Muster, sondern auf das tatsächliche Verhalten einer Website oder Software in Echtzeit beziehen. Schadware, aber auch Sicherheitslücken und Bugs werden aufgespürt und können nach der Verschiebung ins Quarantäneverzeichnis entfernt werden.

Die verschiedenen Begrifflichkeiten im Zusammenhang mit Virenscannern

Wenn Sie sich intensiv mit Virenscannern beschäftigen, wird Ihnen der Begriff Vulnerability häufiger vor Augen geführt. Die Bezeichnung wird in verschiedenen Bereichen verwendet und steht für die Wunde, beziehungsweise die Verwundbarkeit. PC-Technik und Serverschutz mit geringer Vulnerabilität, also mit einem minimalen Verwundungsrisiko bieten Ihnen die beste und der Datenschutzgrundverordnung entsprechende Sicherheit. Im Kontext zu Sicherheitslücken taucht der Begriff Exploit auf. Exploits sind kleine Programme von Hackern. Sie spüren Schwachstellen in Software und auf Computern auf. Für einen effektiven Rundumschutz sollte Ihr Antivirus-Programm daher nicht nur konventionelle Schadware aufspüren, sondern sich vollumfänglich für die Sicherheit im Internet und die Sicherheit Ihrer Daten einsetzen lassen. Beim effektiven Schutz für Unternehmen muss man auf komplexere und geräteübergreifende Lösungen setzen.

Antivirus-Lösungen für Firmen

Zwei essenzielle Faktoren spielen bei der Entscheidung für einen Virenscanner eine übergeordnete Rolle. In größeren Firmen werden Programme bevorzugt, die man unkompliziert zentral installieren und auf gleichem Weg verwaltet. Dabei sollte der Virenscanner kostenlos und äußerst effektiv sein. Die Einzelinstallation und Updates über jeden einzelnen Computer wären zu aufwendig. Sie würden obendrein innerhalb des Systems Lücken und damit die Gefahr von Eindringlichen von außen begünstigen. Zentrale Lösungen mit Management-Option sind für Firmenkunden die beste Lösung. Es gibt verschiedene renommierte Hersteller von Antivirus-Software, die kostenlose Komplettlösungen für Unternehmen anbieten.

Bei ESET nennt sich die Lösung ESET Remote Administrator (kurz ERA) und ist eine kostenlose Möglichkeit für Firmen, sich umfassend vor Schadware und den damit verbundenen Sicherheitsrisiken und Kosten zu schützen. Die Ausrichtung des Managements hängt davon ab, wie viele Geräte Sie mit einem Virenscanner überwachen und von Sicherheitsrisiken befreien möchten.

Der Virenscanner muss zum Risiko passen

Bei der Auswahl eines Virenscanners sollten Sie als gewerblicher Anwender mit Kompetenz und einer realistischen Einschätzung Ihrer Risiken vorgehen. Fakt ist, dass ein Scanner für Trojaner und Würmer heute nicht mehr ausreicht und mehr Schadware durchlässt als stoppt. Da die Kombination von Scanner häufig zu Kompatibilitätsproblemen führt, sollten Sie sich für eine Software entscheiden. Arbeiten Sie mit sensiblen Daten im Kundenverkehr, ist ein besonders umfangreicher Schutz notwendig. Wenn Sie sich für einen Virenscanner entscheiden, prüfen Sie vorab die Updates für die stetige Aktualisierung und Anpassung auf neue Risiken.