Schutz vor Ransomware verbessern
Der Makro-Trojaner "Locky" infizierte in Deutschland 2016 innerhalb von 24 Stunden 17.000 Rechner. Locky verschlüsselte alle Dateien auf dem Rechner und auf angeschlossenen oder im Netzwerk eingebundenen Speichermedien. Erst gegen die Zahlung eines Lösegelds erhielten die Betroffenen die Möglichkeit, ihre Daten wieder zu entschlüsseln.
Aktuell verbreiten sich Trojaner meist über infizierte Word- oder Excel-Dokumente, die Makros enthalten, oder über ZIP-Dateien, die der Nutzer öffnen soll. Auch andere Dokumenttypen können betroffen sein.
Was können Firmen tun?
Die traurige Wahrheit ist: Einen zu 100% sicheren Schutz gibt es nicht. Die Schadsoftware wird laufend angepasst, gleiches muss für die Sicherheitsmaßnahmen gelten. Niemand kann garantieren, dass einmal hilfreiche Maßnahmen für immer wirken. Soll dies bedeuten, dass man sich die Schutzmaßnahmen gegen Locky sparen kann? Nein. Man sollte sich lediglich nicht in falscher Sicherheit wiegen, weil man einmal etwas unternommen hat.
Administratoren müssen notwendige Sicherheitsmaßnahmen implementieren. Grundsätzlich soll, wenn möglich, die Ausführung von Makros per Richtlinie ausgeschlossen werden. Microsoft bietet Anleitungen, hier beispielsweise für Office 2013.
Auch sollten Angestellte für das Thema sensibilisiert werden. In vielen betroffenen Firmen war den Angestellten, die dem Trojaner Tür und Tor öffneten, nicht klar, dass Locky kursiert.
E-Mail-Sicherheit beginnt auf Exchange Server-Ebene
Um die Sicherheit zu erhöhen, können Sie die Sicherheits-Einstellungen der Exchange Server Toolbox anpassen.
Virenbehaftete E-Mails ablehnen
Mit der Exchange Server Toolbox können erkannte virenbefallene E-Mails abgelehnt werden. Der Empfänger erhält eine E-Mail, die darüber informiert, dass von seinem Rechner aus ein Virus versendet wurde und kann gegebenenfalls Maßnahmen ergreifen.
So gehen Sie vor:
- Öffnen Sie die Konfigurationsoberfläche der Exchange Server Toolbox.
- Navigieren Sie zu "Regeln" > "Ankommend".
- Bearbeiten Sie die vorhandene "Antivirus"-Regel:
- Wählen Sie die Aktion "E-Mail ablehnen" aus.
- Wenn gewünscht, ändern Sie die Fehlernachricht der Aktion, beispielsweise auf "Virus gefunden: [$Virusname$]". Führen Sie hierzu unter "Regelinhalt" einen Doppelklick auf "E-Mail mit Fehlernachricht" aus.
- Speichern Sie Ihre Änderungen.
Office-Anhänge automatisch in Quarantäne verschieben
Ist diese Regel aktiviert, werden Anhänge in den Microsoft Office-Formaten automatisch aus den E-Mails entfernt und an einem sicheren Ort gespeichert. Benötigt der Nutzer eine Datei, so kann der Administrator diese nach Prüfung freigeben.
So gehen Sie vor:
- Öffnen Sie die Konfigurationsoberfläche der Exchange Server Toolbox.
- Navigieren Sie zu "Regeln" > "Ankommend".
- Aktivieren Sie die vorhandene Regel: "Sicherheit: Office-Anhänge entfernen".
- Diese Regel speichert alle gefundenen Office Anhänge unter "C:\ProgramData\JAM Software\Exchange Server Toolbox\BackupMails\EntfernteAnhaenge\[$Date$]\[$MessageID$]".
- Das aktuelle Datum und die Nachrichten-ID der E-Mails werden für die Platzhalter im Pfad eingesetzt.
- An E-Mails wird ein Hinweis auf gelöschte Anhänge und eine Liste der Dateien angehängt.
- Speichern Sie Ihre Änderungen.
Selbstverständlich können Sie auch, wie oben beschrieben, einstellen, dass die E-Mails komplett abgelehnt werden.