Es ist unglaublich: Einem Bericht von heiseSecurity zufolge, klicken Nutzer – trotz aller Warnungen –  auf Links, die sie per Facebook-Nachricht oder Email erhalten. Ebenso versuchen sie Dateien auf gefundenen USB-Sticks zu öffnen. Gleich zwei Studien kommen zu diesen Ergebnissen. Doch Vorsicht: Hinter solchen unbekannten Quellen können sich leicht Computerviren und Trojaner verstecken. Einmal geklickt, verbreitet sich die Schadenssoftware schnell auf dem ganzen PC. Häufig nervig, teuer und manche Daten sind für immer weg. Daher besser zweimal prüfen und so Ärger vermeiden.

Wie Sie sich vor unsichtbaren Angreifern aus dem Netz schützen, darüber informieren wir bei unseren Vorträgen. Ab Herbst bietet die PCFeuerwehr Hamburg neue Termine an. Die finden Sie hier im Blog oder in unserem Newsletter.

PC-Feuerwehr gibt Tipps wie man das Schlimmste verhindern kann

Hamburg, 2. November 2009. Ein IT-Ausfall ist gerade für Unternehmen oft mit erheblichen Kosten verbunden, längere Ausfälle können sogar existenzbedrohend sein. Denn die Informationstechnologie bildet die Basis der meisten Unternehmenstätigkeiten und kaum ein Geschäft wird heute noch ohne IT-Unterstützung abgewickelt. Trotzdem ist ein entsprechendes Risikobewusstsein gerade bei mittelständischen Unternehmen nur schwach ausgeprägt, weiß Michael Kittlitz, Geschäftsführer der PC-Feuerwehr, aus der täglichen Praxis seines deutschlandweit tätigen PC-Notdienstes zu berichten. Die PC-Feuerwehr gibt deswegen Tipps, wie das Schlimmste verhindert werden kann.

Es gibt vielfältige Ursachen, die zu einem Komplettausfall der Firmen-IT führen können. Viren oder Würmer sind nur zwei mögliche Gründe. Auch unzureichende Wartung, mangelnde Leistungskapazitäten, Fehler an Soft- und Hardware, Stromausfälle oder menschliches Fehlverhalten bedrohen die Rechnersysteme. Der erste Schritt, um sein System zu sichern, ist die Durchführung einer Gefahrenanalyse. „Nur wer die konkreten Gefahren für sein System kennt, kann sich auch davor schützen“, gibt Kittlitz zu Bedenken. Aus einer Gefahrenanalyse ergibt sich dann der konkrete Schutzbedarf.

Gute Vorbereitung für Ernstfall ist entscheidend
Das A und O in Punkto IT-Sicherheit ist immer eine gute Vorbereitung für den Ernstfall. Oft werden gerade bei kleinen und mittelständischen Unternehmen die ersten Stunden nach einem IT-Ausfall damit verbracht, die gesamten Zugangsdaten wie Administrator- oder Router-Passwort, Lizenzkeys für Microsoft-Office, Windows oder die Buchhaltungssoftware zu suchen. Teilweise müssen diese erst bestellt werden und kommen aus Sicherheitsgründen dann per Post – da kann es dann mehrere Tage dauern, bis wieder alles läuft, weiß Kittlitz.

Zudem muss im Notfall bekannt sein, wo sich der Router und die Telekommunikations-Anlage befinden, wer einen Schlüssel zu diesen Räumen hat und welche Dienste über welchen Server laufen. Die PC-Feuerwehr rät seinen Kunden mindestens einmal im Jahr ein Sicherheitsaudit durchzuführen, in dem all diese Informationen rund um die IT-Anlage dokumentiert werden.

Doppelt hält besser
Ein zentraler Punkt im IT-Schutz sind auch redundante Serversysteme. Hier werden von Systemen automatisch Kopien erstellt. Die Dublette übernimmt dann im Fehlerfall die Aufgaben des eigentlichen Systems. Zu jeder Firmen-IT sollte zudem ein – den Bedürfnissen des Unternehmens entsprechend angepasstes – Backup-System gehören. Je nach Datenmenge bieten sich hierfür Magnetbänder, DVD-Rohlinge, externe Festplatten oder ein Online-Backup an. Unabhängig vom Speichermedium gilt: Backups sollten regelmäßig durchgeführt werden und die so gespeicherten Daten sicher – und mindestens einmal im Monat auch außerhalb des Bürogebäudes – gelagert werden.

Wenn all das gegeben ist, ist bei einem Ausfall schon 90 Prozent gerettet.

Haben Sie gerade folgende oder eine ähnliche eMail in Ihrem Postfach gefunden?

Sehr geehrte Damen und Herren,

Ihre Email „[email protected]“ wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 27 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Falls das der Fall ist, dann lachen Sie einmal über die lustige Behauptung und klicken Sie entspannt auf ‚löschen‘. In dem Anhang der Datei ‚sperrung.zip‚ oder ‚hinweis.zip‘ findet sich wieder einmal ein bösartiges Programm, das Ihren PC infizieren möchte.

Erneut setzen die Versender auf den bekannten und dennoch leider immer noch wirksamen Schock-Effekt. Schon die falschen Umlaute sollten jeden Internetnutzer sofort aufmerksam werden lassen.
Technisch kann übrigens höchstens der tatsächliche eigene Provider einem die eMail-Adresse abschalten. Und der wird Ihnen sicherlich nicht in dieser Form schreiben oder mit einem werkwürdigen Absender. Wenn sowas überhaupt zutrifft, dann wird dieser vorher anrufen, sich eindeutig, freundlich und nachvollziehbar authentifizieren und Ihnen dann höflich mitteilen, dass es ein Problem mit Ihrer Mailbox gibt oder sich per Briefpost melden. Üblicherweise schaltet einem sowieso kein Provider die Mailbox einfach so ab.

Eine dummdreiste Behauptung die auch noch eine ZIP-Datei oder eine andere gepackte Datei im Anhang mitsendet ist ein eindeutiges Indiz für Schadsoftware.

Also – bitte fallen Sie auch auf diesen Trick nicht herein.

Seit gestern Abend kursieren wieder bösartige eMails im Internet, die im Anhang die Datei RECHNUNG.ZIP haben. Wer die ZIP-Datei öffnet, findet zwei Dateien in dem Ordern ‚RECHNUNG‘:

rechnung.txt.lnk – die jedoch im Windowsexplorer nur als rechnung.txt angezeigt wird und
zertifikat.ssl

Wer sich jetzt von dem Betreff und der Text der eMail hat einschüchtern lassen oder emotional aufgeregt ist, hat gute Chancen sich den Trojaner einzufangen, denn nur einige Antivirenprogramme erkennen den Trojaner bisher. Unser Test hat ergeben, dass AntiVir diesen derzeit noch nicht erkennt und Dr. Web dies erst seit heute Vormittag kann. Andere Produkte von Herstellen wie ClamAV, Command, Kaspersky und Sophos sollen ihn ebenfalls bereits erkennen.

Wie immer ist bei merkwürdigen und unbekannten Absenderadressen und vorallem .ZIP-Dateien im Anhang höchste Vorsicht geboten. Auffällig sind auch die falschen deutschen Sonderzeichen, die durch ‚ue‘, ‚ae‘, etc ersetzt werden. Ein deutliches Indiz für einen Virus oder Trojaner in der eMail. Am Besten läßt man solche eMails zunächst entweder ein paar Tage liegen, damit die Antivirenhersteller eine Chance haben die bösartige eMail zu erkennen und einen dann zu warnen oder löscht diese eMail gleich.

Die eMail selbst lautet:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.950849253860 ist erfolgt
Es wurden 8070.48 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH
….

Im Betreff stehen dabei verschiedenste Anganben wie z.B.:
TESCHINKASSO
Auflistung der Kosten
1 Rate
Ratenzahlung
Abbuchung
Amtsgericht
Amtsgericht Koeln
Srayfriends Anmeldung

Update I: Nachdem vor diesen Viren gewarnt wird, gibt es jetzt zusätzlich auch den Mißbrauch von StayFriends mit folgender eMail:

…vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice entschieden. 295,96- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB’s innerhalb von 7 Tagen schriftlich zulaessig!
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt.

Update II: Inzwischen gibt es eine dritte Welle die aber genau in die gleiche Kerbe zu schlagen versucht, hier der eMail-Text:

Sehr geehrte Damen und Herren,

Usenet GmbH – usenext.de
69,85 EUR

Beate Uhse GmbH  beate-uhse.de
35,59 EUR

bisherige Mahnkosten unserer Mandanten:
68,17 EUR

vorgerichtliche Inkassogebuehren:
52,92 EUR

noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
226,64 EUR

bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!

Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.

Diesmal heißt die Datei im Anhang: Anhang.zip in der wiederum der Trojaner steckt und scheinbar wieder in einer leicht anderen Version, denn weder Dr. Web noch Antivir erkennen ihn derzeit bei unseren ersten Tests.

Update III: Kaum haben die Antivirenhersteller die Signaturen angepaßt, so daß die auch die bösartigen eMails der zweiten Welle zuverlässig erkannt werden, ändern die Angreifer Ihre Dateinamen und den Code des Trojaners. Jetzt heißt die Datei Mahnung.zip die den Schadcode enthält. Wir werden sehen, wie lange dieses Katz- und Mausspiel noch andauern wird.
Eine so exzessive und massenweise eMail-Flut dieser Art hat es lange nicht gegeben.

Unser Rat: Lassen Sie sich nicht von solchen eMails einschüchtern oder aufregen! Die Beträge varieren und sind in der Regel mit Absicht sehr hoch angesetzt. Ebenso wird das Thema Erotik genutzt. Beides nur um Sie dazu zu verleiten diese sofort und ohne Nachzudenken zu öffnen und somit die sonst üblichen Bedenken in der Aufregung zu vergessen und jegliche Vorsicht zu mißachten. Genau darauf zielen diese eMail stets ab. Lassen Sie sich bitte nicht reinlegen!

P.S. Wie Spiegel Online berichtet, warnt sogar die Polizei Köln vor diesen eMails, die leider auch schon einige Opfer gefunden hat, wie wir aus unseren Aufträgen am Freitag und am Wochenende wissen.