Untertitel: Mein Security Albtraum und was ich daraus gelernt habe

 

Dienstag klopfte an meiner Inbox das Grauen(tm) an:

  
Falls sich der geneigte Leser jetzt denkt “na und?”, dann weise ich mal auf den Absender dieser EMail hin… Und nein, ich hatte nicht mit mir selbst gemailt. Ich sah diese EMail unterwegs an meinem Handy und kam vor Schreck so richtig auf Betriebstemperatur…

Was mich verstörte waren die möglichen Ursachen und Konsequenzen. Hier mal ein paar Fragen, die mir durch den Sinn gingen:

• War jemand an meinem (ungelockten) Rechner?
• Wer?
• Gab es geheime Dokumente, die man dort hätte einsehen können?
• Falls niemand an meinem Rechner war, hat dann vielleicht – was ja noch schlimmer wäre – jemand mein Passwort geknackt?
• Welche EMails waren in meiner Inbox, wie “geheim” waren die?
• Gab es “Passwortbestätigungsmails” in meiner Inbox?
• Welche Seiten und Systeme habe ich so konfiguriert, dass sie von meinem Rechner aus einfach erreichbar sind (sprich: ohne Passworteingabe)
• Könnte jemand Software auf meinem Rechner installiert haben?
• Wurden weitere Mails als diese eine geschrieben?

All diese Fragen und noch mehr gingen mir durch den Sinn, fieberhafte Schadensbegrenzung begann.

Als erstes galt es herauszufinden, ob diese EMail tatsächlich von meinem Mailaccount aus verschickt worden war und nicht etwa eine Fakemail war. Ein Blick in “Gesendete Objekte” klärte auf. Dann mobilisierte ich telefonisch einen Kollegen und bat ihn, meinen Rechner zu checken. Der war gelockt, lief aber. Ich bat ihn das Gerät komplett auszuschalten. Grund: Es hätte ja durchaus jemand Software installieren können, die lokal läuft, bevor er das Gerät lockte.

Als grundsätzliche Annahme muss gelten, dass ein Rechner, der einmal kompromittiert wurde, egal ob physikalisch oder per Software, nicht mehr vertrauenswürdig ist. Ich legte das System also still bis ich ihn neu installieren konnte.

Danach änderte ich mein Domänenpasswort von meinem anderen Rechner aus.

Der nächste Schritt dann war, das Outlook Regelwerk zu sichten. Ein potentieller “Scherzbold” hätte leicht die Möglichkeit gehabt, sich Regeln zum Weiterleiten, Löschen oder sogar zur Fernsteuerung meines PCs einzurichten. Bei der Gelegenheit durchsuchte ich den Ordner “Gesendete Objekte” und “Gelöschte Objekte” auch nach weiteren potentiell gesendeten EMails. Es gab keine. (vorsichtiges Aufatmen meinerseits, natürlich ist es in Outlook sehr leicht seine Spuren zu verwischen, aber immerhin…)

Allerdings gab es etwas anderes: In meiner Inbox befanden sich ein paar Passwortbestätigungen, die teilweise auch das jeweils eingesetzte Passwort enthielten. Es ist eine Unart mancher Portale, Mails mit IDs und Passworten zu verschicken und auch in meinem Mailfundus waren einige übrig. Ganz besonder übel wird das, wenn man dazu tendiert, Passworte im Web mehrfach zu verwenden oder ein System zum Erzeugen seiner Mails verwendet. Ergo: die Mails in meiner Inbox waren potentiell geeignet, Rückschlüsse auf die Systematik zu ziehen, mit der ich manche Passworte generiere.

Eine Welle von Passwortänderungen begann also :-)

Das Ganze dauerte ungefähr eine Stunde, dann hatte ich einen Status erreicht bei dem ich halbwegs beruhigt den nächsten Tag abwarten konnte bis ich wieder im Büro sein würde um den Rechner neu aufzusetzen.

Gesagt getan.

1 Tag später betrat ich das Büro und installierte den Rechner neu.

Und übrigens – das war besonders fies – ich ging eigentlich die ganze Zeit davon aus, dass es ein Kollege gewesen war, der mich foppen wollte. Aber durfte ich das als gesichert annehmen? Nö. Also war ich in Zugzwang…

 

- kaum war der Rechner neu aufgesetzt, klärte auch ein frisch eintreffender Kollege die Sache auf -

Es ist wirklich wunderbar, humorvolle Kollegen zu haben. Ich wünsche jedem eine Umgebung in der die täglichen Mitstreiter zu auflockernden Späßen bereit sind. Ich arbeite in so einer Umgebung und bin wirklich dankbar dafür. Meistens.

Was war nun geschehen?

Rückblende - Etwa 30h vor der Neuinstallation:
Kollege Uwe B. aus H. betritt das Büro. Auf der Suche nach mir entdeckt er einen verwaisten Arbeitsplatz und meinen zurückgelassenen Zweitlaptop. Letzterer leider nicht gelockt (Asche auf mein Haupt!) und auch nicht “bildschirmgeschont” (Asche auf mein Haupt und aufs Haupt unserer IT-Abteilung die das Setup-Image und die Grouppolicies gehäkelt hat).

Stattdessen sieht er direkt Outlook ins EMail-verschmierte Gesicht… Mein Kollege ist humorvoll, also überlegt er sich was er mit meinem ungelockten, ihm schutzlos ausgelieferten Rechner kurz anstellen könnte um mich zu erschrecken. Andere Systemsprache? Fieser Hintergrund? Uwe weiss was Besseres: Er entscheidet sich für eine EMail… Den Rest der Story kennen wir.

 

Was habe ich nun daraus gelernt?
Dass man locken sollte wusste ich schließlich schon vorher und normalerweise denke ich auch dran. In diesem speziellen Fall passierte mir ein Versehen. Die schnellste Methode, den Rechner zu sperren ist übrigens, gleichzeitig die Windows-Taste und “L” zu drücken…

Folgende Massnahmen können zusätzlich schützen:

1. Den Bildschirmschoner aktivieren und die Option “On Resume, display logon screen” aktivieren:
    
   
2. Eine interessante Möglichkeit sind Gadgets und Tools die den Rechner automatisch locken wenn man sich von ihm entfernt. Unter http://www.netzwelt.de/news/79874-ausprobiert-windows-sperren-handy.html gibts einen Test zu dem Tool “Phoenix Freeze”, dass mit einem Handy und Bluetooth funktioniert. Per Signalstärke wird bestimmt wie weit das Handy vom Rechner entfernt ist und unter einem bestimmten Level wird der Rechner gelockt.
   
3. Den Rechner im Energieprofil herunterfahren lassen wenn er eine gegebene Zeit nicht benutzt wurde. Hat den selben Effekt wie der Bildschirmschoner mit dem zusätzlichen Vorteil, dass auch Bitlocker Schutz besteht und Strom gespart wird.
   
4. Bitlocker aktivieren, Externe Festplatten verschlüsseln.

Hat jemand weitere Ideen?

 

Jetzt ist es ja mal schiefgegangen. Was muss man mindestens tun? (Kleine Liste ohne Anspruch auf Vollständigkeit, Feedback willkommen :-))

1. Den betroffenen Rechner sofort vom Netz trennen, am Besten ausschalten
2. Mailausgang, Mailregeln, Inhalte der Mails prüfen
3. Ggf. vorhandene Logs von Chat-Programmen, Filetools oder das Windows Log sichten um Aktivitäten zu bemerken.
4. Passworte ändern!
5. sich testweise auf Portalen anmelden, die Bezahlungen (PayPal? EBay?) oder Identitätsklau (Xing? Facebook? Twitter?) ermöglichen. Sicherstellen, dass keine “Regeln” und Weiterleitungen definiert sind. Passworte ändern!
6. Rechner neu installieren, einmal kompromittiert “gehört” er dem Nutzer nicht mehr!
   

Natürlich gibt es viele zusätzlichen Massnahmen konfiguratorischer Art, die die Sicherheit eines Systems bestimmen. Mir ging es hier um Schadensbegrenzung und die grundlegende Vorbeugung. Gelernt habe ich aus diesem Geschehen etwas, dass ich schon vorher wusste: Das Haupt-Sicherheitsproblem sitzt oft *vor* dem Rechner. Und auch das Wissen um die Massnahmen schützt vor Fehler nicht. Wenn denn dann doch der Ernstfall eintritt, bleibt nur, Passworte zu ändern, den Rechner neu aufzusetzen und eine gute Backupstrategie…

Ich werde für meinen Teil jetzt wieder mehr darauf achten, den Rechner abzusperren wenn ich gehe… Und regelmässig bei Uwe vorbeischauen ob sein Rechner herrenlos ist :-)