Ransomware
Durch verschiedene Berichte in den Medien wurde in den letzten Tagen die Aufmerksamkeit auf sogenannte „Ransomware“ gelenkt. Diese Art von Schadsoftware wird auch als „Verschlüsselungstrojaner“ oder „Kryptotrojaner“ bezeichnet. Es handelt sich dabei um manipulierte Office-Dokumenten, bei denen in der Regel die eigentliche Schadsoftware über Makros aus dem Internet nachgeladen wird. Die Office-Dokumente fungieren somit als Trojanisches Pferd. Die nachgeladene Schadsoftware beginnt bei Ausführung den Inhalt der lokalen Festplatte und auch eventuell angebundener Netzlaufwerke zu verschlüsseln. Ebenso könnten auf diesem Weg Dateien per Sync-and-Share auch in der Speichercloud der TU verschlüsselt werden. Zur Entschlüsselung dieser Dateien wird Geld in der Form der digitalen Währung Bitcoins gefordert, vergleichbar mit einem Lösegeld. Sonstige Tools zur Entschlüsselung stehen in der Regel nicht zur Verfügung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Zahlung zur Wiederherstellung der PCs ab:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Ransomware.html
Am 18. Februar 2015 wurden E-Mail-Adressen der TU Braunschweig mit gefährlichen E-Mail-Anhängen des Verschlüsselungstrojaners „Locky“ angegriffen. Diese Variante der Verschlüsselungstrojaner hat sich rasant in Deutschland mit über 5000 infizierten Rechnern pro Stunde verbreitet. Im Lauf des Tages haben die E-Mail-Security-Systeme über die Virenbeschreibungen des Herstellers derartige Schad-E-Mails erkannt und nicht weiter zugestellt. Dennoch haben im Vorfeld wahrscheinlich verschiedene Trojaner-E-Mails den Weg in die Postfächer einiger Nutzerinnen und Nutzer gefunden. Auf dem PC sollten Anhänge in E-Mails von unbekannten Personen nicht geöffnet werden. Die Antivirensoftware kann immer nur reaktiv auf derartige Schadsoftware reagieren, sodass diese nur nach einer gewissen Aktualisierungszeit des Virenscanners erkannt wird. Es ist nicht ausgeschlossen, dass es zukünftig zu ähnlichen Sicherheitsvorfällen kommen kann.
Die Standard-Einstellung von Microsoft Office verhindert zwar ein direktes Ausführen von Makros, jedoch werden Nutzerinnen und Nutzer über den Inhalt der gefährlichen Office-Dokumente dazu verleitet die Ausführung von Makros zu gewähren. Es ist also Vorsicht beim Ausführen von Makros geboten, denn in der Regel werden nur in seltenen Fällen Makros in Office-Dokumenten benötigt. Die Einstellungen zur Makro-Sicherheit sollten z.B. in Microsoft Office 2010 unter „Datei“ → „Optionen“ → „Sicherheitscenter“ → Schaltfläche „Einstellungen für das Sicherheitscenter“ → „Einstellungen für Makros“ auf den Wert „Alle Makros mit Benachrichtigung deaktivieren“ oder „Alle Makros ohne Benachrichtigung deaktivieren“ gesetzt sein.
Durch das umsichtige Verhalten der Nutzerinnen und Nutzer ist größerer Schaden von der TU Braunschweig abgewendet worden. Dem Gauß-IT-Zentrum sind sehr wenige Vorfälle gemeldet geworden, in denen der Verschlüsselungstrojaner aktiv war. Auch in Zukunft ist es wichtig, dass die Nutzerinnen und Nutzer aufmerksam sind und Verantwortung im Bereich IT-Sicherheit wahrnehmen.