Wer meinen Beiträgen folgt, merkt schnell, dass ich mich außerstande sehe, an Microsoft Windows in Sachen Sicherheit ein gutes Haar zu lassen. Aber trotz all der Schwächen dieses Systems gilt auch hier, ebenso wie überall sonst, dass die größte Schwachstelle in der Regel die Person ist, die vor dem Bildschirm sitzt.
Befragung zum Umgang mit Dokumenten-Anhängen
Die Firma Glasswall hat in einem Whitepaper (englisch, Download leider nicht mehr möglich) die Ergebnisse einer Befragung von rund 1000 Büroangestellten in Firmen in den USA und Großbritannien vorgestellt. Thema der Befragung war der Umgang mit Dokumenten, die als Anhang einer E-Mail empfangen werden, im Zusammenhang mit der Cyber-Sicherheit des jeweiligen Unternehmens.
Die Ergebnisse sind -leider erwartungsgemäß- erschütternd: selbst Anwender von EDV in einem beruflichen Umfeld erweisen sich als unzureichend geschult und zu sorglos. Dies setzt die Unternehmen großen Risiken aus, da ein entsprechend präpariertes Dokument aus dem Anhang einer E-Mail beim Öffnen bereits großen Schaden nicht nur auf dem Computer des betreffenden Angestellten, sondern im gesamten Netzwerk der Firma anrichten kann.
Der Report ist zwar auf mittlere bis größere Firmen ausgerichtet, aber die Ergebnisse lassen sich sicher auch auf den privaten Sektor übertragen. Ich würde sogar vermuten, dass Sorglosigkeit, Unkenntnis und damit das Risiko, zum Opfer eines erfolgreichen Angriffs zu werden, hier noch wesentlich größer sind.
Zahlen aus dem Glasswall-Report
- 94% aller Angriffe auf die Unternehmens-IT erfolgen über präparierte Dokumente, die als E-Mail-Anhang an Personal der Firma gesendet werden.
- 62% der Befragten prüfen nicht die Legitimität ihnen übersendeter Dokumente vor dem Öffnen.
- 15% der Befragten öffnen ohne Prüfung jedes Dokument, auch wenn es nicht von einem bekannten Absender stammt.
- 83% der Befragten öffnen ohne weitere Prüfung Dokumente, die von bekannten Absendern stammen.
- 77% melden suspekte Dokumente nach dem Öffnen. 51% (USA) bzw. 35% (GB) halten eine solche Meldung für unwichtig, 16% halten Sicherheitsaspekte sogar grundsätzlich nicht für einen Teil ihrer Aufgaben.
- Nur ein gutes Drittel der Unternehmen hat eine den Angestellten bekannte Richtlinie für den Umgang mit übersendeten Dokumenten.
- 11% der Befragten befürchten keinerlei Angriffe.
- 15% gaben an, Angriffe nicht erkennen zu können.
Diese Zahlen zeigen, auch wenn die Situation sich in Deutschland anders darstellen kann, dass gerade Firmen ein sehr großes Risiko eingehen. Nur wenige Firmen schulen Mitarbeiter ausreichend und es ist nicht davon auszugehen, dass Mitarbeiter notwendiges Fachwissen selbst mitbringen.
Gefährliche Dokumente
Die meisten Dokumente, die für Angriffe auf IT-Strukturen und deren Daten per E-Mail-Anhang verteilt werden, sind Microsoft Office-Dokumente (Word, Excel, PowerPoint) und PDF-Dokumente. In der Regel geben diese Dokumente vor, Rechnungen, Anfragen, Lieferdokumente oder ähnliches zu sein. MS Office-Dokumente sind dabei meist mit eingebetteten Makros ausgestattet, die beim Öffnen ausgeführt werden sollen. Sie laden dann in der Regel die eigentliche Schadsoftware aus dem Internet herunter und installieren sie. Aber auch ohne Makros können MS Office-Dokumente eine Gefahr darstellen.
PDF-Dokumente können ebenfalls aktive Elemente (JavaScript) enthalten, die beim Ausführen im Acrobat Reader Schadcode laden können, oder sie dienen dem Phishing von Zugangsdaten.
Softwarelösungen wie Virenscanner schützen nur verhältnismäßig selten vor solchen Angriffen. Wesentlich wichtiger ist die Schulung der Mitarbeiter, die auch regelmäßig ergänzt und erneuert werden sollte.
Bekanntheit mit dem Absender der E-Mail ist für sich genommen noch keine Garantie für ein ungefährliches Dokument, da es sich um einen Täuschungsversuch handeln kann. Nicht selten erhalten Buchhaltungen in Firmen z.B. vermeintliche E-Mails der Geschäftsführung, in denen verlangt wird, größere Summen ins Ausland zu überweisen. Die notwendigen Daten zur Vortäuschung einer Identität lassen sich oft ohne großen Aufwand ermitteln. Die Tatsache, dass viele Firmen sich keine Mühe geben, auch nur grundlegende formelle Mindestanforderungen an ihre eigenen E-Mails zu stellen, tut ihr Übriges.
Grundsätzlich kann immerhin davon ausgegangen werden, dass der eigentliche Schadcode auf Windows abzielt – auf anderen Systemen ist die Wahrscheinlichkeit, dass der Schadcode ausgeführt werden kann und sein Ziel erreicht, äußerst gering. Dennoch kann man nicht behaupten, dass vergleichbare Angriffe auf anderen Betriebssystemen nicht möglich sind, insbesondere dann, wenn es sich um einen gezielten Angriff auf ein bestimmtes Unternehmen oder eine Organisation handelt.
