Bei einer sogenannten Greylist (brit.), Graylist (USA) oder auch „Greylisting“ handelt es sich um eine äußerst effektive Methode, um den Versand von Spam-E-Mails zu unterdrücken. Im Gegensatz zu einer oder einer Blacklist wird eine Graylist auf dem Mailserver des E-Mail-Empfängers implementiert und erfordert keine Konfiguration seitens des Absenders oder Empfängers. Bei dem Einsatz einer Graylist sollten theoretisch keine legitimen E-Mails verloren gehen. Aus diesem Grund handelt es sich hierbei um eine der am weitesten verbreiteten Methoden zur globalen Bekämpfung von Spam-Email.

Wo kommt eine Graylist zum Einsatz?

Bei einer Firewall oder einem Spam-Filter handelt es sich um ein komplexes Software-System, das mithilfe von Heuristiken und künstlicher Intelligenz versucht, Spam-E-Mails zu identifizieren. Im Gegensatz zu diesen aufwendigen und komplizierten Methoden, wird durch den Einsatz einer Greylist in erster Linie versucht, die Zustellung offensichtlicher Spam-E-Mails zu unterbinden. Da das Graylist-Verfahren auf einer relativ einfachen technologischen Basis aufgebaut ist, ist es in der Ausführung unkompliziert und äußerst ressourcenschonend.

Das Graylist-Verfahren kommt insbesondere bei der Bekämpfung des illegalen Massenversands von Spam zum Einsatz. Im Rahmen des nichtpersonalisierten und massenhaften Versenden von E-Mails kommen in vielen Fällen gestohlene E-Mail-Adressen zum Einsatz. In der Regel erfolgt der Versand von gehackten Computern ahnungsloser Nutzer. Diese gekaperten Rechner werden in ferngesteuerte Bot-Netze eingebunden und werden dazu missbraucht, um massenhaft Spam-Mail zu verschicken.

Obwohl beim massenhaften Spam-Versand die Graylist-Methode oft sehr gute Ergebnisse liefert, ist diese Methode weniger gut für die Bekämpfung von „Unsolicited Commercial E-Mail“ (UCE) geeignet. Hierbei handelt es sich um unerwünschte E-Mails, die einzeln von Unternehmen oder Personen versendet werden. Bei der effektiven Bekämpfung dieser Art von Spam-E-Mails kommen andere Methoden, wie beispielsweise inhaltsbasierte Filter, Firewalls oder sogenannte „Blacklists“, zum Einsatz.

Wie funktioniert eine Greylist?

Greylisting basiert auf der Idee, potenzielle Spam-E-Mails zu identifizieren und auszusortieren, noch bevor sie zugestellt werden. Um Greylisting besser zu verstehen, schauen wir uns im Folgenden an, wie das Verfahren genau funktioniert.

Beim Versenden von E-Mails im World Wide Web kommt das Simple Mail Transfer Protocol (SMTP) zum Einsatz. Das Verfahren läuft nach folgendem Schema ab:

  1. Der Absender verfasst eine E-Mail in einem sogenannten „Mail User Agent“. Dabei kann es sich um ein lokales Programm wie Microsoft Outlook oder um eine Webanwendung wie Gmail handeln.
  2. Der Mail User Agent stellt eine SMTP-Verbindung zum Mail Transfer Agent (MTA) des Absenders her.
  3. Die E-Mail wird von dem Mail Transfer Agent des Absenders zum Mail Transfer Agent des Empfängers weitergeleitet. Falls dieser MTA die E-Mail annimmt, wird sie in das Postfach des Empfängers verlagert.

Graylisting kommt im dritten Schritt zum Einsatz. Folgende Informationen sind dem empfangenden Mail Transfer Agent vor der Annahme der E-Mail bekannt, und zwar:

– E-Mail-Adresse des Absenders

IP-Adresse des Mailservers

– E-Mail-Adresse des Empfängers

Diese Daten sind auch unter dem Namen „Umschlagdaten“ bekannt. Der zuständige Mail Transfer Agent zeichnet die Umschlagdaten jeder eingehenden E-Mail in einer Datei auf, der sogenannten Graylist.

 

Falls eine Kombination von Umschlagsdaten zum ersten Mal auftaucht, dann wird bei Greylistings das Zustellverfahren automatisch mit der Fehlermeldung unterbrochen, dass ein Fehler aufgetreten sei und dass die Zustellung noch einmal initialisiert werden soll. Ein legitimer Mail Transfer Agent wird später einen erneuten Zustellversuch unternehmen, so dass die E-Mail nach einem Zeitintervall akzeptiert wird. Demgegenüber meldet sich ein Mail Transfer Agent, der Spam-Mail verbreitet, nicht ein zweites Mal. Und genau an dieser Stelle kommt die Schutzfunktion einer Greylist zum Einsatz. Da ein zweiter Zustellversuch nicht initialisiert wird, kann die Spam-Mail nicht zugestellt werden.

Welche Risiken gibt es?

Obwohl die Vorteile des Greylist-Verfahrens vielfältig sind, birgt diese Technik zur Spam-Bekämpfung auch einige Risiken:

– Die IP-Adresse des absenden SMTP-Servers darf sich nicht ändern. Falls sich die IP-Adresse des SMTP-Servers während des Zustellvorgangs ändert, werden die zuzustellenden E-Mails fälschlicherweise als Spam gekennzeichnet und automatisch in die Graylist eingetragen.

– Bei falscher Konfiguration oder fehlerhafter Implementation des sendenden SMTP-Servers kann die Zustellung unter Umständen fehlschlagen. Falls der Mail Transfer Agent des Absenders die Aufforderung zur erneuten Zustellung der E-Mail nicht erfüllt, wird die Zustellung der E-Mail automatisch geblockt.

– Spammer können den Greylist-Schutz durch den Einsatz zusätzlicher Ressourcen überwinden. So können Spammer beispielsweise ihre Spam-E-Mails mehrfach verschicken, um das Greylisting auszutricksen. Damit ist jedoch ein viel größerer Aufwand verbunden, sodass sich die Mühe in den meisten Fällen nicht lohnt.

– Der Zeitverzug, der durch die erneute Auslieferung der E-Mail entsteht, kann zu diversen Problemen führen. So können beispielsweise zeitlich begrenzte Inhalte ungültig werden. Zu diesem Problem kommt es oft bei der Zwei-Faktor-Authentifizierung oder der Wiederherstellung eines Passwortes. Da die Bestätigungs-E-Mail von einem unbekannten Absender kommt, wird sie zunächst in die Greylist eingetragen. Bis der Absender die E-Mail erneut versendet, vergeht ein gewisser Zeitraum, sodass der Login-Code oder der Password-Wiederherstellungs-Link eventuell abgelaufen ist.

Unter allen Computerschädlingen, die im World Wide Web verbreitet werden, gehören Keylogger zu der schlimmsten und gefährlichsten Sorte. Warum ist das so? Weil diese Computerschädlinge alles weitergeben, was Sie auf Ihrer Tastatur eingeben. Konkret bedeutet das, dass alle Ihre Passwörter, Suchanfragen, Kreditkarteninformationen und privaten Nachrichten im Detail protokolliert und an Hacker verschickt werden. Im folgenden Artikel beleuchten wir das Thema Keylogger von allen Seiten und gehen auf die Funktionsweise sowie auf möglichen Präventionsmaßnahmen im Detail ein.

Allgemeine Informationen

Bei einem Keylogger handelt es sich um einen softwarebasierten Computerschädling oder um ein hardwarebasiertes Gerät, das die Tastatureingaben aufzeichnet. Die große Gefahr von dieser Art der Malware geht davon aus, da Keylogger in der Lage sind, Daten wie Benutzername und Passwort aufzuzeichnen und unbefugt und unbemerkt an Drittpersonen zu übermitteln. Das stellt eine enorme Bedrohung der Datensicherheit Ihrer Social-Media-Accounts, E-Mail-Konten oder Bankdaten dar. Keylogger werden nicht nur von einzelnen Cyberkriminellen missbraucht, sondern werden ebenso von Nachrichtendiensten und Ermittlungsbehörden genutzt, um an vertrauliche Daten zu kommen.

Der Begriff Keylogger ist englischen Ursprungs und wird oft als Synonym für Spyware verwendet. Bei Spyware handelt es sich jedoch um den übergeordneten Begriff für Schadsoftware, mit der gezielt die Privatdaten des Nutzers ohne Genehmigung ausspioniert werden. Der Begriff Keylogger hingegen ist fokussierter gefasst, da diese ausschließlich die Tastatureingaben des Opfers protokollieren und übermitteln.

Keylogger müssen nicht unbedingt illegaler oder schädlicher Natur sein. Mit einem Keylogger lässt sich beispielsweise das Verhalten eines Nutzers am PC verfolgen und überprüfen. Generell muss das nicht aus kriminellen Beweggründen passieren. So werden Keylogger gerne eingesetzt, um das Nutzerverhalten am Computer für wissenschaftliche Zwecke zu protokollieren. Aus den gesammelten Daten lassen sich wichtige Erkenntnisse zum menschlichen Verhalten am Computer gewinnen. Hardware und softwarebasierte Keylogger müssen also nicht zwingend illegal sein. Sie werden erst dann bedenklich, wenn sie ohne explizite Genehmigung des Anwenders heimlich installiert werden.

Softwarebasierte Keylogger

Softwarebasierte Keylogger werden in der Regel als unauffällige Hintergrundprozesse realisiert, die Tastatureingaben aufzeichnen. Einige Software-Keylogger sind auch in der Lage, Screenshots von der Texteingabe zu erstellen. Die aufgezeichneten Daten werden dann in der Regel online weitergegeben oder auf der Festplatte des Opfers aufbewahrt. Diese Keylogger-Art ist die Bekannteste und lässt sich mit einer guten Antimalware-Lösung und einer Firewall relativ gut bekämpfen. Softwarebasierte Keylogger gibt es in vielen unterschiedlichen Varianten. Einige stellen wir im Folgenden vor:

– Die einfache Software-Basis: Bei dieser primitivsten Variante handelt es sich um ein Computerprogramm, das als Hintergrundprozess die Tastaturbefehle protokolliert.

– Die gefährliche Kernel-Basis: Diese Variante ist besonders gefährlich. Der Keylogger nistet sich direkt im Betriebssystem ein und erlangt Zugriff auf das Root-Konto. Diese Schädlinge sind in der Lage, sich als Treiber zu tarnen und sind äußerst schwer zu entdecken. Antimalware-Software braucht beispielsweise Root-Zugang, um diese Keylogger-Art ausfindig zu machen und erfolgreich zu eliminieren. Ein bekanntes Beispiel für diese Schädlingsart ist der Kernel-basierte Keylogger „Duqu“.

– Form-Grabbing-Basis: Diese Spyware tarnt sich in vielen Fällen als Browser-Plug-In. Nach der erfolgreichen Installation überwacht die Malware Online-Formulare und speichert die entsprechenden Zugangsdaten auf der Festplatte des Opfers ab. Die protokollierten Zugangsdaten werden dann in regelmäßigen Intervallen an den Hacker online übermittelt. Des Weiteren kann sich die Malware Zugriff auf die Browser-Historie verschaffen und so auch archivierte Daten stehlen.

Hardwarebasierte Keylogger

Vielen Internetnutzern ist es gar nicht bewusst, dass auch hardwarebasierte Keylogger existieren. Diese Produkte können beispielsweise in Form eines USB-Sticks realisiert sein, der zwischen der Tastatur und dem USB-Port am Computer gesteckt wird. Solche Spyware-Produkte sind mit einem internen Speicher ausgestattet, auf den die protokollierten Tastatureingaben abgespeichert werden. Die gespeicherten Protokolle kann man später an einem anderen PC auslesen. Hardwarebasierte Spyware-Produkte sind in vielen unterschiedlichen Varianten erhältlich, die teilweise an Gadgets aus Hollywood-Filmen erinnern. Privatnutzer werden mit solchen Produkten selten in Berührung kommen. Einige stellen wir im Folgenden vor:

– Tastaturzusatz: Bei dieser Variante kommt zwischen der Tastatur und dem Computer ein zusätzliches Hardware-Produkt zum Einsatz. Typischerweise wird es direkt am Verbindungskabel installiert. Diese kleinen Spyware-Produkte sind als kleine Steckeraufsätze gestaltet, die mit einem internen Speicher versehen sind und sowohl für USB- als auch für PS2-Anschlüsse erhältlich sind.

– Firmware-Basis: Diese hardwarebasierten Spyware-Produkte sind in der Lage, Tastatureingaben auf BIOS-Ebene zu protokollieren. Dazu wird Root-Zugang und Zugang zur Hardware benötigt. Sie kommen in vielen Fällen auch in Form von Aufsätzen für Chipsätze zum Einsatz.

– Maus und Tastatur-Sniffer: Diese hardwarespezifischen Spyware-Produkte lesen Daten mit, die von einer drahtlosen Maus oder drahtlosen Tastatur zum Zielcomputer übertragen werden. Falls die Verbindung verschlüsselt ist, können die Daten nicht ausgelesen werden.

Wie kann man sich vor Keyloggern schützen?

Virenscanner und gute Firewalls bieten einen guten Schutz vor den meisten Spyware-Produkten. Es werden jedoch kontinuierlich neue Keylogger entwickelt, die von Schutzprogrammen nicht umgehend als Computerschädlinge erkannt werden. Neben Schutzmaßnahmen ist auch das Verhalten des Nutzers am Computer sehr wichtig, wenn man das Risiko, sich mit einem Keylogger zu infizieren, minimieren möchte. Aus diesem Grund sollte die Sicherheitssoftware stets auf dem aktuellen Stand gehalten werden. Außerdem ist es empfehlenswert, bei Anmeldedaten eine Multi-Faktor-Authentifizierung zu benutzen.

Die Abkürzung ISPConfig steht für Internet Service Provider Configuration und bezeichnet ein Werkzeug zur Verwaltung und Konfiguration von Servern. Von einem Webinterface können mehrere Server administriert werden. Die Software ist quelloffen und steht gratis zum Download bereit.

Die Entwicklung von ISPConfig

Das Werkzeug zur Serverkonfiguration wird von einem Unternehmen in Deutschland weiterentwickelt und betreut. Zweimal im Jahr kommt eine neue Version heraus und dazwischen werden Bugfixes zur Verfügung gestellt, wenn das notwendig sein sollte. ISPConfig ist unter der BSD-Lizenz verfügbar und ist in mittlerweile 22 Sprachen übersetzt worden.

Wie sieht die Benutzung von ISPConfig aus?

Die Software läuft auf verschiedenen Linux-Distributionen und ist selbst in der Programmiersprache PHP geschrieben. Der Programmcode kann gratis heruntergeladen werden, für die mit 400 Seiten umfangreiche Bedienungsanleitung wird ein geringer einstelliger Betrag verrechnet. Diese Einnahmen dienen der Weiterentwicklung des Werkzeugs, Spenden werden darüberhinaus auch angenommen.

ISPConfig ist für die Verwaltung eines oder mehrerer Server geeignet, wobei auch die Kontrolle über eine Multi-Server Umgebung von einem Webinterface erfolgt. Ob es sich um physische Server oder um virtuelle Maschinen handelt spielt keine Rolle. Für den Support steht ein Forum zur Verfügung, außerdem gibt es eine große und aktive Community von Nutzern.

Funktionen von ISPConfig

ISPConfig ist ein Werkzeug mit web-basierter Benutzeroberfläche, mit dem Server administriert und konfiguriert werden können. Diese Server bieten Dienste an wie HTTP, FTP, Bind, E-mail mit den Protokollen POP3 und IMAP, die Datenbank MySQL und auch Firewalls.

Die Benutzung ist in vier Ebenen für verschiedene Typen von Nutzern gegliedert.

  1. Auf der obersten Ebene arbeiten Administratoren von Servern, die neben eigenem Webspace auch die Aktivitäten von Resellern verwalten. Diese Ebene wird zum Beispiel von ISPs verwendet.
  2. Die zweite Ebene steht den Resellern selbst zur Verfügung, die das Angebot für ihre Kunden verwalten.
  3. Ebene 3 wird von diesen Kunden zur Administration ihres Webspace, ihrer Subdomains und ihrer E-Mail eingesetzt.
  4. Die unterste Ebene stellt die Verwaltung von E-Mail Konten durch Benutzer dar.

 

Für die ersten drei Ebenen steht auf der Webseite von ISPConfig eine Demo-Funktion zur Verfügung. Dort sind die meisten Features zum Ausprobieren zu finden, natürlich mit Ausnahme sicherheitskritischer Funktionen wie dem Wechsel der Demo-Passwörter.

Erweiterungen von ISPConfig

Rechnungserstellung

Nachdem Reseller das Werkzeug zur Verwaltung der Aktivitäten ihrer Kunden einsetzen, lag die Einbindung von kommerziellen Funktionen in das Werkzeug nahe. Dafür ist zum Einen die Erfassung der Daten über die Kundenaktivitäten erforderlich. Diese Daten müssen dann in Rechnungen übersetzt und in geeigneter Form in sie übernommen werden.

Scanner für Malware

Webserver sind natürliche und oft  Ziele von Hackern. Ob für die eigene Organisation oder als Reseller für andere Kunden, ein Administrator muss sich auch um die Sicherheit seiner Server kümmern. Dafür steht eine Erweiterung von ISPConfig zur Verfügung, die Malware nach Signaturen und nach Heuristik herausfiltert. Außerdem kann diese Erweiterung veraltete Versionen von CMS Systeme erkennen, was ein mindestens ebenso großes Sicherheitsrisiko darstellt. Ältere Versionen fehlen entsprechende Patches und deshalb sind sie Einfallstore für Angreifer.

Übertragung von Konfigurationsdaten

Einmal konfigurierte Server verfügen über Einstellungen, die Sie oft auf andere Server übertragen möchten, ohne sie aufwendig von Hand noch einmal eingeben zu müssen. Ein Beispiel ist der Ersatz eines Servers durch ein neueres Modell, auf das auch die Konfigurationsdaten überspielt werden sollen. Die entsprechende Erweiterung von ISPConfig ermöglicht solche Übertragungen problemlos. Dasselbe gilt auch dann, wenn die Möglichkeiten zur Multi-Server Verwaltung zum ersten Mal in Anspruch genommen werden. Dann müssen die Konfigurationen von einzelnen Servern zusammengefasst werden, was diese Erweiterung ebenfalls ermöglicht.

Natürlich kann es aber auch sein, dass Sie bisher andere Werkzeuge für die Verwaltung Ihrer Server verwendet haben und nun zu ISPConfig wechseln möchten. Die entsprechenden Konfigurationsdateien lassen sich aus vielen dieser Alternativprodukte in ISPConfig übernehmen.

Microsoft System Center Configuration Manager (SCCM) verschafft Arbeitnehmern die Freiheit, ortsunabhängig mit dem Gerät ihrer Wahl zu arbeiten. Darüber hinaus bietet SCCM die Möglichkeit, PCs und Server zu verwalten, Konfigurations- und Sicherheitsrichtlinien festzulegen, den Systemstatus zu überwachen und Software stets aktuell zu halten.

Als fester Bestandteil der System Center Suite handelt es sich bei System Center Configuration Manager (SCCM beziehungsweise ConfigMgr) – seit Version 1910 Microsoft Endpoint Configuration Manager (ECM) -um ein Software-Produkt aus dem Hause Microsoft. Frühere Versionen (Systems Management Server, kurz SMS) wurden von SCCM abgelöst. Systems Management bedeutet im IT-Bereich die zentrale Verwaltung von Hard- und Software innerhalb eines Betriebes. Es bildet die Obermenge des Client-Managements. SCCM bietet den Vorteil, dass bestimmte Prozesse für eine sehr hohe Anzahl von Clients komplett automatisiert werden können. SCCM ermöglicht es Ihnen nicht nur, Ihr komplettes System zu verwalten, sondern auch Geräte, Einstellungen, Energie und Softwareupdates zu verwalten sowie Clients zu integrieren und zu überwachen. Möglich macht es die Installation eines Configuration Manager Clients, der als Dienst auf dem System des Endgeräts läuft. Mittels der Client-Push-Installation der Client-Agent auf jedem beliebigen PC installiert werden, ohne dass eine manuelle Installation vonnöten ist. Ziel ist es, die Agents stets selbst am Client arbeiten zu lassen. Ihre Ergebnisse werden dem SCCM-Server anschließend automatisch zur Verfügung gestellt. Der Server speichert sämtliche Ergebnisse in der dafür vorgesehenen SCCM-Datenbank. Über ein Status-System werden Sie als Administrator fortlaufend mit Details zu allen auf dem Client ablaufenden Vorgängen versorgt.

SCCM im Detail

SCCM sowie praktisch jedes Software-Deployment-Tool ermöglicht es Ihnen, folgende Aufgaben vollkommen automatisiert für eine sehr große Anzahl von Notebooks und PCs durchzuführen:

Inventarisierung

Mittels einer Softwareinventarisierung lässt sich herausfinden, auf welchen Geräten eine bestimmte, lizenzpflichtige Software installiert ist. Über WMI sowie weitere Schnittstellen lassen sich zahlreiche Konfigurationsparametern ausgelesen und anschließend an den Server übermitteln. Dabei werden nicht nur Hardware-, sondern auch Betriebssystemkonfiguration und gegenwärtig installierte Software ermittelt. Systemdateien werden inklusive Versionsnummer und Datum der Datei inventarisiert. Die inventarisierten Daten bilden die Basis für Auswertungen mithilfe des SMS Reporting Services. Des Weiteren erleichtert eine Inventarisierung die Verteilung der Software. Schließlich kann eine neue Software-Version ausschließlich an die Clients verteilt werden, auf denen die ältere Version bereits installiert ist.

Reporting

Die SCCM-Datenbank enthält unzählige Konfigurationsparameter aller Clients. Mittels Reporting lassen aufbereiten und als Auswertung zur Verfügung stellen. Voraussetzung dafür ist ein Internet Information Server, also ein Web-Server, der den gewählten Report als ASP-Seite darstellen kann. Hyperlinks ermöglichen es, weitere Reports aufzurufen, was für ein hohes Maß an Benutzerfreundlichkeit sorgt. Eine sehr große Auswahl an Reports, die nach Belieben um eigene Auswertungen ergänzt werden können, steht sofort nach der Installation von SCCM zur Verfügung.

Lizenzüberwachung

Mithilfe der Lizenzüberwachung beziehungsweise des Software Meterings wird die Verwendung von Anwendungen überwacht. Als Administrator werden Sie rechtzeitig über Lizenzüberschreitungen informiert, da mittels Reporting regelmäßig ermittelt wird, welche Anwendungen auf wie vielen Geräten genutzt werden.

Softwareverteilung

Die Softwareverteilung umfasst die Bereiche Betriebs-, Software- und Updateinstallation. SCCM ermöglicht Ihnen das vollautomatisierte Installieren eines Betriebssystems – Ganz ohne manuelle Aktion des Benutzers. Die Softwareinstallation verschafft Ihnen wiederum die Gelegenheit, Programme auf beliebige Organisationseinheiten zu verteilen. Dazu zählen beispielsweise Virenscanner, die jedem Client zur Verfügung gestellt werden. Ein weiterer Vorteil: Clients können in Collections zusammengefasst und manuell oder dynamisch via SQL-Abfrage ausgestattet werden.

Antischad-Software-Management

Microsofts Endpoint Protection verwaltet Richtlinien für Antischadsoftware sowie die Windows-Firewall für Clientcomputer. Voraussetzung für die Verwaltung der Clients in der Configuration Manager-Hierarchie ist eine Lizenz für die Verwendung von Endpoint Protection. In Kombination mit dem Configuration Manager ergibt sich der Vorteil, dass sich sowohl Antischad-Software, als auch die Windows-Firewall auf den Client-Computern jederzeit verwalten und überwachen lassen. Dies umfasst unter anderem das Aktivieren und Deaktivieren der Firewall, als auch das Blockieren eingehender Verbindungen oder bestimmter Programme.

Remote Control

Bei Remote Control handelt es ich um ein praktisches Tool, das es Ihnen ermöglicht, sich aus der Ferne auf einen beliebigen PC aufzuschalten. Dem Benutzer kann so Hilfestellung geboten werden, ohne dass Sie direkt vor Ort sein müssen. Der Remote Control-Agent leitet den Bildschirm des Benutzers weiter, so dass die eigentliche Sitzung nicht unterbrochen wird.

System-Update-(Patch-)Management

Das Patch Management beschäftigt sich mit der Beschaffung und der Installation wichtiger Software-, Treiber- und System-Updates. Automatisiertes Patch-Management, wie es SCCM bietet, prüft Schwachstellen und hält Sie über sämtliche verfügbare Updates auf dem Laufenden. Als Systemadministrator können Sie Patches und Updates anschließend individuell oder automatisch in die Systemumgebung der Clients einpflegen.

Vor- und Nachteile von SCCM – Gibt es Alternativen?

SCCM bietet zweifelsohne den Vorteil, dass es unzählige Software-Produkte gibt, die sich ohne Probleme auf allen Clients automatisch verteilen und aktuell halten lassen. Dazu zählen beispielsweise populäre Programme wie Office, aber auch andere ERP– und CRM-Software. Größter Nachteil der mächtigen Software ist allerdings, dass ihre Einführung Zeit und Aufwand erfordert. Des Weiteren fallen, wie bei fast allen Microsoft-Produkten, Lizenzkosten an. Falls Sie nach einer Alternative suchen, werden Sie bei baramundi fündig. Ebenso zu empfehlen ist OPSI, das vom Mainzer Unternehmen UIB entwickelt wurde. Installation und Betrieb von OPSI setzen eine statische Server-IP-Adresse sowie eine SQL-Datenbank voraus. Die Installation erfolgt durch das Herunterladen eines Repositories. Anschließend müssen zwei OPSI-Pakete installiert werden, die ihrerseits mehrere Software-Pakete mit sich bringen.

Unter dem Begriff WannaCry versteht man eine äußerst potente Schadsoftware, die im Mai 2017 großflächig aufgetreten ist und primär Computer mit den beiden Betriebssystemen Windows 7 und Windows XP befallen hat. WannaCry orientiert sich in der Funktionsweise an einer klassischen Ransomware: Die Schadsoftware verschlüsselt die Festplatten inklusive aller Daten des befallenen Rechners mit einer leistungsstarken Verschlüsselung und fordert von dem Anwender Lösegeld für die Entschlüsselung der Daten. Das Besondere an WannaCry war, dass die Ransomware mit der Funktionalität eines Computerwurms ausgestattet war, wodurch sie sich binnen kürzester Zeit weltweit auf Millionen von Rechnern verbreiten konnte.

Allgemeine Informationen zu WannaCry

Am 12. Mai 2017 wurde eine weltweite massenhafte Infektion von Windowscomputern durch einen neuartigen Computervirus registriert. Innerhalb von nur 24 Stunden waren weltweit mehr als 230.000 Windowsrechner betroffen. Neben vielen privaten Computern, auf denen die beiden Betriebssysteme Windows 7 und Windows XP installiert waren, waren auch viele Unternehmen, Regierungsbehörden, Industrieanlagen sowie kritische Infrastrukturen betroffen. Diese Ransomware wird im Allgemeinen als WannaCry bezeichnet, ist jedoch auch unter folgenden Namen bekannt:

–     WannaCrypt

–     WCrypt

–     WCRY

–     Wana Decryptor 2.0

Ransomware stellt eine spezielle Untergruppe von Schadsoftware dar und kommt im Bereich der Cyberkriminalität schon seit Jahren äußerst erfolgreich zum Einsatz. Während die bisherigen Ransomware-Angriffe in der Regel vereinzelt durchgeführt wurden und vorwiegend einzelne Unternehmen, Organisationen oder Privatpersonen gezielt ins Visier der Hacker genommen wurde, hebt sich WannaCry durch seine aggressive Weiterverbreitung deutlich von den bisherigen Hackerangriffen ab. Neben der reinen Ransomware-Funktionalität kommt im Rahmen von WannaCry auch ein potenter Wurmvirus zum Einsatz. Dieser nutzt gezielt den Windows Exploit „EternalBlue“ in Kombination mit dem Backdoor-Tool „DoublePulsar“, um sich selbständig weiterzuverbreiten.

Funktionsweise von WannaCry

Nachdem WannaCry auf ein anfälliges System kopiert wurde, wird zunächst eine Verbindung zu der sogenannten „Killswitch-URL“ aufgebaut. Falls die Domain nicht aktiv ist, wird der sogenannte Dropper aktiviert, der für die Installation der Ransomware zuständig ist. Danach kreiert die Malware einen Service mit der Bezeichnung „mssecsvc2.0“, der den Displaynamen „Microsoft Security Center 2.0“ erhält. Dieser scannt bei der ersten Gelegenheit zuerst das lokale Netzwerk und danach auch das Internet nach weiteren potenziellen Computern mit der Vulnerability „EternalBlue“. Über diese Funktionalität wird die rasend schnelle Verbreitung der Schadsoftware gewährleistet.

Im nächsten Schritt extrahiert der zuvor aktivierte Dropper die eigentliche WannaCry-Ransomware und führt diese aus. Auch die Ransomware prüft zuerst, ob eine Killswitch-URL vorhanden ist. Nur falls diese nicht gefunden wird, geht es mit dem nächsten Schritt weiter.

Nachfolgend gewährt sich WannaCry vollen Zugriff auf alle sich auf dem Rechner befindenden Dateien und setzt alle Attribute der Dateien auf „versteckt“. Danach werden alle Dateien mit einem komplexen Verschlüsselungsalgorithmus verschlüsselt und mit der Dateiendung „.WNCRY“ bestückt. Dabei wird in jedem Ordner eine „ReadMe.txt“-Datei erstellt, welche die genauen Anweisungen für die Zahlung des Lösegelds beinhaltet. Zusätzlich wird ein Registry-Eintrag angelegt, der nach Abschluss der Verschlüsselung alle lokalen Backups und Systemstände entfernt.

Zuletzt ersetzt die Schadsoftware das aktuelle Desktop-Hintergrundbild durch eine Benachrichtigung und startet einen Timer und Anweisungen für die Lösegeldzahlung.

Betroffene Unternehmen und Einrichtungen

Der Hackerangriff betraf mehrere global agierende Unternehmen und Organisationen. Nach aktuellem Stand kam es u.a. bei folgenden Einrichtungen und Unternehmen aufgrund einer Infektion mit der Ransomware zu Störungen und Betriebsausfällen:

–     Telefonica (spansicher Telekommunikationskonzern)

–     National Health Service (das staatliche Gesundheitssystem in Großbritannien und Nordirland)

–     Renault (französischer Automobilkonzern)

–     Fedex (weltweit agierendes Logistikunternehmen aus den USA)

–     PetroChina (chinesischer Ölkonzern)

Darüber hinaus waren tausende Computer des russischen Innenministeriums, des Katastrophenschutzministeriums sowie des Telekommunikationskonzerns MegFon betroffen. In Deutschland waren bei der Deutschen Bahn rund 450 Computer mit der Ransomware infiziert, was u.a. zum Ausfall von Anzeigetafeln an vielen Bahnhöfen und Videoüberwachungssystemen deutschlandweit führte.

Schutzmaßnahmen gegen Ransom Software

Neben dem Einspielen aktueller Sicherheitspatches für das Betriebssystem und installierte Anwendungen wird der Einsatz einer guten Sicherheitslösung wie beispielsweise ESET empfohlen. Aber auch ein kostenloser Virenschutz bietet ein ausreichendes Maß an Sicherheit gegen Ransomware-Angriffe. Es sollte jedoch beachtet werden, dass manche Antivirenprogramme den Zugriff auf die Killswitch-URL automatisch blockieren, weil sie den erhöhten Datenverkehr für auffällig erachten. Dies ist kontraproduktiv, da sich die Ransomware aufgrund fehlender Aktivierung des Notausschalters in diesem Fall unkontrolliert weiterverbreitet.

Des Weiteren können durch den Einsatz einer Firewall die TCP-Ports 137, 139, 445, 3389 sowie die UDP-Ports 137 und 138 blockiert werden, um ein Eindringen der zurzeit häufigsten Variante des WannaCry-Schädlings zu unterbinden.

Früher war 3DES eine der bekanntesten und beliebtesten Formen der Verschlüsselung. Der Verschlüsselungsalgorithmus basiert auf dem für die US-Regierung entwickelten DES-Algorithmus, den ab den 1980er-Jahren so gut wie alle Hersteller in ihren Programmen hatten.

3DES – Definition

Bei 3DES handelt es sich um einen Verschlüsselungsalgorithmus. Obwohl es offiziell als Triple Data Encryption Algorithm (3DEA) bekannt ist, wird dieser Verschlüsselungsalgorithmus am häufigsten als 3DES bezeichnet. Dies liegt daran, dass der 3DES-Algorithmus die DES-Verschlüsselung (Data Encryption Standard) dreimal verwendet, um zu sichernde Daten zu verschlüsseln.

DES ist ein Symmetric-Key-Algorithmus, der auf einem Feistel-Netzwerk basiert. Als symmetrische Key-Verschlüsselung wird dabei derselbe Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Das Feistel-Netzwerk macht diese beiden Prozesse nahezu identisch, was zu einem Algorithmus führt, dessen Implementierung effizienter ist.

DES hat sowohl eine 64-Bit-Block- als auch eine Schlüsselgröße, in der Praxis gewährt der Schlüssel jedoch nur 56-Bit-Sicherheit. 3DES wurde aufgrund der geringen Schlüssellänge von DES als sicherere Alternative entwickelt. In 3DES wird der DES-Algorithmus dreimal mit drei Schlüsseln ausgeführt. Er wird jedoch nur als sicher angesehen, wenn drei separate Schlüssel verwendet werden.

Triple DES verschlüsselt die Eingabedaten dreimal. Die drei Schlüssel werden dabei mit k1, k2 und k3 bezeichnet. Diese Technologie ist im Standard von ANSIX9.52 enthalten. Triple DES ist abwärtskompatibel mit regulärem DES.

3DES ist vorteilhaft, da es eine erheblich größere Schlüssellänge hatals die meisten anderen Verschlüsselungsmodi. Der DES-Algorithmus wurde jedoch durch den Advanced Encryption Standard des National Institute of Standards and Technology (NIST) ersetzt. Somit gilt 3DES nun als veraltet. Software, die für ihre Kompatibilität und Flexibilität bekannt ist, kann problemlos für die Triple-DES-Integration konvertiert werden. Daher ist diese Form der Verschlüsselung möglicherweise nicht annähernd so veraltet, wie von NIST angenommen.

Die Geschichte der 3DES-Verschlüsselung

Da 3DES von DES abgeleitet ist, ist es am besten, zuerst den früheren Standard, DES, zu erklären. In den 1970er-Jahren suchte das National Bureau of Standards (NBS – inzwischen in NIST umbenannt) nach einem Algorithmus, der als Standard zur Verschlüsselung sensibler, aber nicht klassifizierter Regierungsinformationen verwendet werden konnte.

Die NBS akzeptierte Vorschläge für einen Standard, der ihren Anforderungen entsprach, aber keiner der Kandidaten aus der ursprünglichen Runde setzte sich durch. Es wurden weitere Einsendungen entgegengenommen, und diesmal schickte IBM einen von seinem Team entwickelten Algorithmus durch. Die Vorlage wurde von der Luzifer-Chiffre abgeleitet, die Horst Feistel entworfen hatte.

1975 wurde der IBM-Algorithmus von der NBS als vorgeschlagener Datenverschlüsselungsstandard veröffentlicht. Die Öffentlichkeit wurde gebeten, sich zu dem Entwurf zu äußern, der einige Kritik hervorrief. Einige prominente Kryptografen behaupteten zum Beispiel, die Schlüssellänge sei zu kurz.

Zu der Zeit dachten viele in der kryptografischen Community, dass die National Security Agency (NSA) das Projekt sabotiert und sich eine Hintertür eingebaut hatte, so dass es die einzige Agency sein würde, die DES brechen könnte. Dieser Verdacht konnte jedoch nie bewiesen werden.

Trotz der anfänglichen Fragen zur Sicherheit des Algorithmus und zur Beteiligung der NSA wurde der IBM-Algorithmus 1976 als Datenverschlüsselungsstandard anerkannt. Er wurde 1977 veröffentlicht und 1983, 1988 und 1993 als Standard bestätigt. Die Notwendigkeit eines neuen Algorithmus wurde mit der Weiterentwicklung der Technologie und der Zunahme potenzieller Angriffe verstärkt.

3DES in der heutigen Zeit

Verschiedene Hackerangriffe zeigten, dass es weniger schwierig war, den Algorithmus zu brechen, als bisher angenommen. Im Jahr 1998 war Distributed.net in der Lage, DES innerhalb von 39 Tagen zu knacken.

Anfang 1999 hatte die Electronic Frontier Foundation mit Deep Crack die Zeit auf etwas mehr als 22 Stunden verkürzt.

Ein neuer Algorithmus wurde dringend benötigt. Dies war ein Problem, da es mehrere Jahre dauern würde, bis sich NIST mit dem Algorithmus, der zum Ersatzstandard wurde, dem Advanced Encryption Standard (AES), befasste.

Während die Verschlüsselung mit AES beschlossen wurde, wurde 3DES als Notlösung vorgeschlagen. Dabei wird der DES-Algorithmus dreimal mit drei separaten Schlüsseln ausgeführt. 1999 wurde DES erneut bestätigt, jedoch mit 3DES als idealem Algorithmus. Normales DES war nur in wenigen Anwendungen zulässig.

3DES entwickelte sich zu einem weit verbreiteten Verschlüsselungsalgorithmus, derheutzutage aufgrund seines hohen Ressourcenverbrauchs und seiner Sicherheitsbeschränkungen in den meisten Anwendungsfällen durch AES ersetzt wurde.