M 2.224 Vorbeugung gegen Trojanische Pferde
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Ein Trojanisches Pferd ist ein Programm mit einer Schadensfunktion, das in ein anderes Programm verdeckt eingebettet ist. Trojanische Pferde werden verbreitet, indem sie in möglichst "attraktive" Wirtsprogramme integriert werden, die dann beispielsweise zum Download angeboten oder als Anhang an E-Mails verschickt werden. Neben unmittelbaren Schäden können über Trojanische Pferde Informationen nicht nur über den einzelnen Rechner, sondern auch über das lokale Netzwerk ausspäht werden.
Es ist schwierig, sich gegen Trojanische Pferde zu schützen, da diese in vielerlei Dateien versteckt sein können. Daher ist es wichtig, alle Benutzer immer wieder über die Problematik Trojanischer Pferde aufzuklären. Wichtige Verhaltensregeln sind aus diesem Grunde:
-
Daten und Programme, die aus dem Internet abgerufen werden, stellen einen Hauptverbreitungsweg für Computer-Viren und Trojanische Pferde dar, um Benutzerdaten auszuspähen, weiterzuleiten, zu verändern oder zu löschen. Aber nicht nur Programme im eigentlichen Sinn, sondern auch Office-Dokumente (Text-, Tabellen- und Präsentations-Dateien) können über Makros Viren und Trojanische Pferde enthalten.
Es sollten keine Programme aus unbekannter Quelle installiert werden (siehe auch M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software).
Viele Daten und Programme sind über verschiedene Quellen verfügbar, z. B. über Mirror-Server im Internet oder über CD-ROMs von Zeitschriften. Daten und Programme sollten nur von vertrauenswürdigen Seiten geladen werden, also insbesondere von den Originalseiten des Erstellers. - Es sollten keine E-Mail-Anhänge oder andere Dateien von Kommunikationspartnern geöffnet werden, wenn diese nicht erwartet wurden oder merkwürdige Namen tragen. Im Zweifelsfall sollte bei diesen nachgefragt werden, ob sie die Nachrichten wirklich geschickt haben.
Hinweis: Eingehende E-Mail ist das größte Einfalltor für Computer-Viren und Trojanische Pferde. Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern ist zu prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde. - Die Angabe der Größe von Dateien, sowie einer evtl. auch angegebenen Prüfsumme, sollte nach einem Download immer überprüft werden. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten, dass unzulässige Veränderungen vorgenommen worden sind. Daher sollten solche Dateien sofort gelöscht werden.
- Beim Austausch von E-Mails sollten möglichst Digitale Signaturen eingesetzt werden, um die Echtheit und Korrektheit der E-Mail-Inhalte überprüfen zu können (M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen).
- Alle von Dritten erhaltenen Dateien und Programme sollten vor der Aktivierung mit aktuellem Virenscanner überprüft werden. Diese überprüfen auch, ob (bekannte) Trojanische Pferde vorhanden sind (siehe dazu auch Baustein B 1.6 Computer-Viren-Schutzkonzept).
- Grundsätzlich sollten alle Programme vor Installation und Freigabe auf Testsystemen überprüft werden (M 4.65 Test neuer Hard- und Software).
- Bei CERTs bzw. anderen sicherheitsbezogenen Informationsdiensten sollte regelmäßig recherchiert werden, ob eingesetzte Programme dahingehend aufgefallen sind, dass sie Daten vom IT-System des Benutzers ohne dessen Wissen übertragen (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems). Neben einigen Office-Programmen und freier Zusatzsoftware sind hier auch Programmbibliotheken aufgefallen, die Nutzerinformationen an Dritte weitergegeben haben, ohne das dies den Programmierern, die sie eingesetzt hatten, bekannt gewesen wäre.
- Bei der Installation von Programmen sollten die Programmhinweise und Nutzungsbedingungen sorgfältig durchgelesen werden. Oftmals wird in diesen sogar (mehr oder weniger deutlich) darauf hingewiesen, dass bei deren Nutzung Benutzer- oder Systemdaten erhoben und weitergegeben werden.
- Trojanische Pferde können auch in aktive Inhalte von WWW-Seiten (Java, JavaScript und besonders ActiveX) eingebettet sein, da sie zusammen mit WWW-Seiten geladen werden, häufig ohne das es der Benutzer bemerkt. Ein gewisser Schutz kann aber schon dadurch erreicht werden, dass sichergestellt wird, dass - besonders zu den Zeiten, zu denen man online arbeitet - nur Prozesse und Programme laufen, die wirklich notwendig sind und so die zusätzlichen Aktivitäten des Rechners oder der Festplatte bemerkt werden. Weiterhin können die Einstellmöglichkeiten des verwendeten Internet Browsers konsequent ausgenutzt werden, so dass beispielsweise aktive Inhalte gar nicht erst auf den eigenen Rechner geladen werden können.
- Trojanische Pferde verfolgen häufig den Zweck, Passwörter oder andere Zugangsdaten auszuspähen. Daher sollten Passwörter nie auf den IT-Systemen abgespeichert werden.
Darüber hinaus bietet es sich an, die genutzten Speichermedien regelmäßige auf unerwartete Veränderungen (neue oder veränderte Dateien, ungewöhnliches Verhalten) zu kontrollieren.