BKA- und andere Trojahner, automat. Datensicherung

Hi,
ich habe mal eine grundsätzlliche Frage zur Datensicherheit. Ein Bekannter hatte sich den BKA-Trojaner eingefangen, der netterweise auch noch alle .doc, .bmp, .xls etc verschlüsselt hat. Ich hatte ihm mal eine Datensicherung auf eine externe HD eingerichtet, die täglich automatisch im Hintergrund läuft. Nun hat aber die Schadsoftware nicht nur die interne HD verschlüsselt, sondern auch die Daten auf der externen HD.

Wie kann man grundsätzlich 1. verhindern, dass die Datensicherung kompromittiert wird, bei 2. gleichzeitig eingerichteter automatischen Datensicherung? Denn es besteht immer eine direkte Verbindung mit dem Sicherungslaufwerk.

Gruss
Micha

 

Das war dann der Verschlüsselungstrojaner. Ähnliches Erscheinungsbild, aber erheblich aggressiver, ja. Ursache: Mailanhang einer vermeintlichen Rechnung/Mahnung geöffnet oder mit veralteten Plugins durchs Netz gesurft. Schuld, eigene.

Darum macht man Backups auf mehreren Medien wie z.B. DVDs und lässt ext. HDs nicht dauerhaft am PC angeschlossen. Schuld, eigene.

 

Mailanhang war der Auslöser, perfide als Rechnung getarnt. Aber wer öffnet Rechnungen nicht, wo täglich mehrere solcher Mails rechtmässig eingehen? Produkte wie der Spamihilator sind für viele einfach zu "schwierig" (leider!). Das war auch nicht mein Anliegen. Letztlich ist IMMER der User schuld, wenn er sich Malware einhandelt.

Meine Frage war, wie man eine Sicherung bei Anwendern einrichtet, die einerseits weitestgehend automatisch abläuft (wieviele Threads handeln hier von nicht gesicherten Daten) und dennoch eine Infektion der Datensicherung möglichst verhindert. Das Brennen von Daten auf CD´s ist ne Möglichkeit, die von vielen schnell irgendwann wieder vergessen wird.... (jaja, ich weiss, Schuld, eigene, aber leider Realität)

 

Jeder muss ja so sein eigenes Sicheheitskonzept erarbeiten - und autom. Backups auf ein permanent angeschlossenes Sicherheitslaufwerk gehörte z.B. bei mir nie dazu.

Begründung:
Wenn das die Basis für einen sicheren PC
http://de.wikipedia.org/wiki/Härten_(Computer)
ist, also die Verringerung möglicher Angriffsflächen, dann gehört ein externer Datenträger für Sicherheitsbackups m.E. nicht permanent am PC angeschlossen.
Du siehst ja selber, wie das bei einer feindlichen Übernahme des PCs laufen kann.

Permanent angeschlossene externe Datenträger erhöhen die Angriffsflächen, die man dem web präsentiert.

Also sollte man Sicherungskopien auf Externe möglichst nur temporär, nach Arbeits-/Tagesabschluss, machen.
Und wer vorsorglich ist, schaltet dazu seine Internetverbindung AUS.
Und bei einem älteren OS prüft man, ob Autorun auch wirklich permanent geschlossen ist.
http://de.wikipedia.org/wiki/Autorun

Das andocken einer externen HD/USB-Stick/SD-Card,ein Klick auf das Proggi für differenzielle/ inkrementelle Sicherung oder händisch eine Kopie auf den externen Datenträger rüberziehen ist m.E. nicht zuviel verlangt.

 

Bei Acronis True Image ist leider eine Voreinstellung unglücklich gewählt. "Eine neue Vollsicherung überschreibt eine vorhandene".
Besser inkrementell sichern, wenn man Platz sparen will, so dass nur Änderungen gesichert werden. Wenn man einen Schädling mit sichert, kann man so auf eine ältere Sicherung zurückgreifen.

 

Ich weiss, die grösste Gefahr für ein sicheres System ist die eigene Faulheit. Ich entnehme euren Äusserungen, dass eine automatische Sicherung nicht sinnvoll ist. Ich fürchte, dass ich einige Überzeugungsarbeit leisten muss, dieses für Anwender so einfache System wieder umzuswitchen. Und ich weiss auch, dass demnächst wieder welche kommen und sagen, ne aktuelle Datensicherung habe ich nicht.....

Hatte auf ein System gehofft, welches ich noch nicht kenne und für einfache Anwender leicht zu bedienen ist, und vor allem nicht vergessen werden kann!!.

 

Warum liest du so oberflächlich? missiregis schrieb:

Und deshalb kann ein automatisch Backup sinnvoll sein, MUSS aber nicht. Das hängt in erheblichem Maß davon ab, was gesichert wird, in welchen zeitl. Abständen gesichert wird und wie du vorher sicherstellst, dass nicht versehentlich Malware mitgesichert wird.

 

Man muss da eine Balance zwischen Aufwand und Nutzen finden.
Wenn man täglich eine Vollsicherung macht, ist das zwar sicherer als wöchentliche Vollsicherung, aber dafür hat man einen enormen Speicherplatzbedarf. Ein Kompromiss ist wöchentliche Vollsicherung und tägliche inkrementelle bis zur nächsten Vollsicherung. Das geht auch automatisch. Allerdings sollte man Fehlschläge einkalkulieren und ab und zu auch nochmal auf einem anderen Datenträger eine Vollsicherung ablegen. Besonders wichtige Daten kann man nicht genug sichern.

 

@vtr1000,
zu deiner Bemerkung unter #6:
Technik allein kann immer versagen, wenn der Maschinen-Führer für das sichere Bedienen und sichere Führen der Maschine nicht ausreichend qualifiziert ist.

Und wenn der User für die sichere Führung seines PCs eine Hilfestellung braucht weil er nicht ständig an Backups denkt und er auch nicht in der Lage ist sich dieses Datenhandling anzutrainieren, so kannst du unter Windows z.B. den Kalender Rainlendar dafür benutzen.
Zu selbstgewählten Zeiten poppt ein ToDo-Fenster auf mit selbst definierter Aufforderung wie: Backup machen.

Oder man macht das mit einer bat-Datei, die beim Klick auf Runterfahren zuerst autom. eine Fenster mit der Aufforderung "Backup" erscheinen lässt und die Maschine erst nach einer selbstdefinierten Zeit runterfährt, wenn der User nicht eingreifen will.
Da gibt es verschiedene mehr oder weniger elegante Möglichkeiten für eine Erinnerungsstütze. Bis hin zum Zettel mit "Backup" am TFT-Rand ankleben.
Oder es gibt bei win XP/7/8 systeminterne Anwendungen, die man dafür nutzen kann.

Optimal ist natürlich, den sog. BKA-Trojaner zu vermeiden.
Der kommt i.d.R. über Social Engineering per Mail.
Wer also dumpf-triebhaft auf eine Mail mit der Überschrift "Titten-Susi will dich" klickt, braucht sich manchmal hinterher nicht wundern. :-D

 

Ich werde wohl etwas in der Richtung einrichten, allerdings weiss ich aus Erfahrung, das solche Erinnerungen oft ignoriert werden. Wenn selbst Warnungen auf ein nicht aktuelles Virenprogramm schon ignoriert werden...

Zweimal kam der Trojaner als Anhang einer Rechnung, so wie sie heute häufig von Firmen verschickt werden. Hat nicht immer was mit "Susi" zu tun, das wäre zu einfach.

 

na, dann war wohl sein PC nicht optimal eingerichtet/geführt:

"Heute beinhalten Webseiten häufig dynamische Funktionen, die durch clientseitige Technologien wie JavaScript, Java, Adobe Flash oder Ajax realisiert sind.
Diese Techniken erlauben eine ständige Kommunikation zwischen Browser und Server, ohne dass der Benutzer eine Aktion durchführen muss."(wiki)

Auch gegen Drive-By-Downloads gibts ein Rezept. Neben Updates, insbesondere der o.g. Risiko-Anwendungen.
Eine Öffnung von Mails erfolgt z.B. bei mir immer in meinem Standard, also JavaScript default AUS. Automatismen sollten bei web-Kontakt möglichst vermieden werden. Bis hin zu iFRAME dauerhaft AUS.

 

Zum Rest deiner Aussagen FULL ACK, aber hier eine kleine Korrektur:

Ransomware vom Typ BKA-/GEMA-/GVU-Trojaner kommt überwiegend per Drive-by, extrem selten per Mail. WAS überwiegend per Mail und dafür seltener per Drive-by kommt, ist der Verschlüsselungstrojaner. Da der aber eine ähnlich gebaute Bildschirmwarnung anzeigt und ebenfalls auf UKASH/PAYSAFE als elektr. Zahlungsmethoden setzt, kann das vom Laien leicht verwechselt oder vermischt werden.

 

Weil die Malware keine Grenzen kennt zwischen internen und externen Datenträgern.

Dann handelt es sich aber hierbei um keine Datensicherung! Ein Backup ist nur dann ein solches, wenn entsprechende Rahmenbedingungen bestehen. Beispiel:

-> http://de.wikipedia.org/wiki/Datensicherung

Und da dies hier nicht gegeben ist, und andere Datenkopien nicht vorliegen, liegt letztlich auch keine Datensicherung vor.

Denn abseits von Malwareinfektionen ist die externe Platte in diesem Fall dennoch permanent mit dem Produktivsystem verbunden, somit könnte die externe Platte auch bei Überspannungsschäden in Mitleidenschaft gezogen werden.

Indem man nur Rechnungen öffnet, und keine Programme (hier wahrscheinlich mit Endung "exe"), die lediglich im Gewand einer Rechnung daherkommen. Dies setzt zwingendermaßen Basiswissen voraus. Möchte man sich dieses nicht aneignen, werden sich solche oder ähnliche Vorfälle künftig schlicht wiederholen.

Wobei bei einem verstärkten Rechnungsaufkommen am lokalen PC ohnehin nochmals zusätzlich besondere Vorsicht geboten ist, denn man steht sich selbst und jenen gegenüber, die mit diesen Rechnungen in Verbindung stehen, eigentlich in einer besonderen Verantwortung bzw. hat einer besonderen Sorgfaltspflicht nachzukommen (Stichwort "Auslesen sensibler Daten aus sensiblen Dokumenten"). Und ja, Rechnungen sind in dieser Hinsicht sensible Dokumente.

Es würde bereits reichen, dass man vermeintliche Rechnungen, die jedoch in Form einer "Programmdatei" daherkommen, nicht ausführt.

Keine, bei der ein Permanentzugriff auf die gesicherten Daten vom jeweiligen System aus möglich ist. Was der User kann, kann die Malware dann auch. Und noch mehr (weil die Malware in der Regel mehr Ressourcen ausnutzt als der User selbst).

Wenn die Daten wirklich wichtig sind, dann vergisst man es (v.a. in Verbindung mit einer bereits genannten kalendarischen Erinnerungsfunktion) nicht.

So ist es. Also wird, wenn sich künftig eine Verbesserung ergeben soll, genau an diesem Punkt angesetzt werden müssen, und zwar als erstes.

So wie sie hier in diesem konkreten Fall und unter den geschilderten Voraussetzungen ergfolgte, war sie nicht sinnvoll. Wenn allerdings Grundsicherungen auf anderen Speichermedien vorliegen, kann man durchaus auch den Komfort einer automatischen Hintergrundkopie wichtiger Daten nutzen -- nur stellen sie halt derart eng und dauerhaft mit dem System verbunden kein wirkliches Backup dar, das heutigen Anforderungen wegen entsprechender Malware genügen würde.

Das ist allerdings gerade jetzt am wenigsten nachzuvollziehen, weil doch alle Daten, auch auf der externen, verschlüsselt wurden. Wenn es danach nun schwierig wäre, und man müsste noch "Überzeugungsarbeit" leisten, dann kann keine einzige der verschlüsselten Dateien auch nur annähernd wichtig gewesen sein.

Dann sind die Daten halt im Zweifel weg. Und wenn es dann nichts ausmacht, waren sie auch nicht hinreichend wichtig.

Schlaraffenland.

Wobei selbst das AntiVirenprogramm im entscheidenden Moment nicht zwingend hilft. Wenn die wesentlichen Hinweise ignoriert werden, kannst Du wenig machen. Dann hilft anderweitig nur Lernen aus Fehlern. Oder halt nicht.

Das ist aber schon so ein altes Muster, die Sache der gefälschten Rechnungen mit Malware im Anhang. Hier hilft nur etwas Grundwissen, das man sich mal anzueignen versucht.