Kurztest Kaspersky PURE 3.0

Ich bin ja weiterhin auf der Suche nach einer guten Alternative für meinen bisherigen Favoriten G DATA AntiVirus. Jetzt habe ich einen Monat lang Kaspersky PURE 3.0 getestet und komme zu dem Ergebnis, dass der russische AntiViren-Spezialist ganz gute Arbeit geleistet hat. Natürlich hat Kaspersky bei der Installation keine Deinstallation anderer AntiVirus-Software durchgeführt, was ich etwas schade finde. Aber dieses Feature ist auch eher ein Nice-To-Have. Die Installation verlief problemlos und ich konnte auch hier auswählen, welche Komponenten ich tatsächlich installiert haben möchte.

Im Betrieb habe ich – abgesehen von den ständigen Meldungen, dass nur eine Testversion installiert sei – sonst so gut wie nichts von dem Virenscanner bemerkt. So soll es ja auch sein. Er soll friedlich und ohne mich am Arbeiten/Spielen zu hindern im Hintergrund laufen. Mit den Standardeinstellungen hatte ich keine Probleme mit der Software, die ich in der Regel verwende. Das heißt, dass ich keine Einstellungen ändern oder Ausnahmen definieren musste. Mein Rechner lief immer flüssig und ohne Einschränkungen beim Surfen.

2014-11-19 17_07_01-Kaspersky PURE 3.0Schädliche Internetseiten (ich hab einfach mal ein paar Links zu Malware-Seiten aufgerufen) werden mit einem entsprechenden Hinweis blockiert. Schädliche Mail-Anhänge werden meist sofort erkannt. Auch Malware, die irgendwo auf der Festplatte abgelegt ist, hat Kaspersky tadellos erkannt.

 

Hierzu muss man allerdings wissen, dass die Standard-Einstellung für das Update der Viren-Definitionen auf „automatisch“ steht. Kaspersky wartet dabei einige Zeit ab, bis es nach dem Hochfahren des Rechners seine Datenbank aktualisiert. Wenn mich nicht alles täuscht, sind das 15 Minuten. Hat man den Rechner also ein paar Tage lang nicht benutzt und öffnet in den ersten 15 Minuten bspw. einen Mail-Anhang, der mit Malware infiziert ist, so ist es gut möglich, dass man sich hier was einfängt. Zu empfehlen ist hier also, dass man die Standardeinstellung des Updates anpasst. Ich habe den Update-Mechanismus auf „stündlich“ gestellt und keine Verzögerung nach Programmstart eingestellt.

2014-11-19 17_16_30-Einstellungen

Erfreulicherweise hat auch die Firewall für keine Probleme gesorgt und das integrierte Backup kann – neben lokalen Medien – auch nach Dropbox sowie auf einen FTP-Server speichern. Die Backup-Methode ist dabei Datei-basiert und differenziell. Für die meisten Endanwender ist das ausreichend, wer sich mehr wünscht, sollte dann aber doch lieber zu Acronis oder einer anderen vergleichbaren Lösung greifen.

Kaspersky PURE 3.0 bietet noch eine Fülle an weiteren nützlichen Werkzeugen. So kann es auf Wunsch alle lokalen Aktivitätsspuren (Dateizugriffslisten, Cookies, Browsercache, Verlauf etc.) löschen oder auch den Rechner von überflüssigen Dateien (bspw. temporäre Dateien) befreien. Mit dem Werkzeug „Sicherer Zahlungsverkehr“ startet Kaspersky den im System eingestellten Standardbrowser in einem sicheren Kontext und ohne die installierten Erweiterungen. So wird das Online-Banking besonders geschützt. Selbstverständlich ist auch ein Werkzeug an Bord, um verschlüsselte Container für sensible Daten zu erstellen. Fehlen darf auch der Passwort-Manager nicht.

Alles in Allem hat Kaspersky mit PURE 3.0 einen soliden und gut durchdachten Security-Allrounder entwickelt, der auf überflüssigen Schnickschnack verzichtet, aber den Benutzer dafür nicht einschränkt oder mit irgendwelchen Problemen konfrontiert.

Schön wäre es noch, wenn ich tatsächlich Rückmeldung für eingereichte Viren unter http://newvirus.kaspersky.com bekommen würde. Bisher jedenfalls habe ich von meinen Einreichungen noch nichts gehört. Und schön wäre auch, wenn Kaspersky auch dort HTTPS verwenden würde, statt den Datenversand unverschlüsselt durchzuführen.

[Update 22.11.2014] Inzwischen habe ich auf meine erste Einreichung eine Antwort erhalten. Schade, dass es knapp zwei Wochen gedauert hat.

Die Leistung eines Systemadministrators

Heute ist, wie jeden letzten Freitag im Juli, der Tag des Systemadministrators. Und obwohl es diesen speziellen Feiertag für meine Berufsgruppe schon seit 14 Jahren gibt, wissen es immer noch nur wenige Leute. Dieser Tag ist dazu gedacht, seinem/n Systemadministrator/en Danke zu sagen für alles, was er geleistet hat.

Manchen Leuten hingegen kommt gar nicht in den Sinn, dem Admin den Dank auszusprechen. Einige sind sogar der Meinung, dass eher der Admin dankbar dafür sein sollte, dass er überhaupt einen Arbeitslohn erhält, da seine Leistung ja überhaupt nicht im Verhältnis zu seinem Lohn stehe.

Ich sehe das anders. Natürlich, ich bin ja auch Admin. Ich finde, wir Admins bekommen – zumindest teilweise – zu wenig für die Leistung bezahlt. Es mag Admins geben, die sich jeden Monat nen neuen Porsche kaufen können, aber das ist die Ausnahme. Und ja, es gibt auch Admins, die eher unfähig sind und somit auch mit dem Durchschnittsgehalt deutlich überbezahlt sind. Aber auch das ist eher die Ausnahme.

Doch wie berechnet man eigentlich die Leistung eines Admins? (Ich gehe mal vom „klassischen“ Mix aus Admin und Helpdesk aus, wie es in kleinen und mittelständischen Unternehmen am ehesten anzutreffen ist.) Schließlich ist so einer doch nur ne Kostenstelle. Er beschafft neue Hardware und neue Software und erklärt den Kollegen, wie sie bunt statt schwarz-weiß drucken können. Und ansonsten verbieten sie einem ständig nur die Nutzung von irgendwelchen Programmen und Pornoseiten oder sind nur am Meckern, wenn man mal eigenmächtig was „optimiert“ hat. Sie produzieren nichts, sie bringen keinen Gewinn ein, sie kosten einfach nur und sitzen in ihrem Kämmerlein und drehen Däumchen.

Zumindest habe ich das Gefühl, dass Admins oftmals so wahrgenommen werden.

Man bemerkt Admins nur, wenn mal was NICHT funktioniert. So ist das eben mit der selektiven Wahrnehmung. Während ein Arbeiter am Fließband daran gemessen werden kann, wie viele Kugelschreiber er zusammengeschraubt hat, während ein Vertriebler daran gemessen werden kann, wie viele Produkte er verkauft hat, während das Marketing daran gemessen werden kann, wie stark der Umsatz gestiegen ist (und dazu noch die ganzen hübschen Marketing-Medien wie Bilder, Videos, Präsentationen etc.), kann ein Admin offenbar nur danach gemessen werden, wie häufig es Probleme mit der IT gab. Dann heißt es gleich: was für ein unfähiger Admin, wofür bezahlen wir den denn? (Wie schon gesagt, auch solche gibt es, aber ich halte es eher für die Ausnahme.) Und wenn es gar keine Probleme gab, dann heißt es: der macht doch eh nix, wofür wird der eigentlich bezahlt?

Und da genau liegt doch der Hund begraben. Der Admin arbeitet „im Verborgenen“ und kümmert sich drum, dass der Arbeitsalltag weitgehend unproblematisch für die Angestellten abläuft. Das heißt: niemand bemerkt es, weil alles gut ist. Ich frage mich manchmal, wie sich ein Angestellter – oder auch eine Führungskraft – die Arbeit eines Admins vorstellt. Soll er den ganzen Tag durch die Büros wuseln und Kabel verlegen? Irgendwann sind doch alle Kabel verlegt – im besten Fall müssen doch gar keine neuen Kabel verlegt werden. Oder sollen Admins abwechselnd an einem Tag Kabel verlegen (so sinnlos sie auch sein mögen) und am nächsten Tag die Kabel wieder entfernen?

Besser ist doch, dass der Admin – in welcher Form auch immer – alle Systeme im Blick hat und bei Unregelmäßigkeiten sofort reagieren kann. Ich gebe zu, ich gucke mir auch Katzenbilder und unsinnige Sachen im Internet an. Es gibt am Tag mehrmals Momente, da hab ich nichts Besseres zu tun. Aber es gibt jeden Tag irgendwas zu machen – und sei es nur, den Spamfilter zu justieren, damit die Kollegen nicht merken, dass es überhaupt ein Spamproblem gibt.

An Beispielen mangelt es mir nicht. Ich kann hier zwar nur für mich selbst sprechen, denke aber, dass es bei anderen Admins in anderen Firmen ähnlich ist. Die Spamfilter hab ich ja schon erwähnt. Man guckt sich dabei die Log-Dateien an, was durch den Spamfilter gerutscht ist und definiert dann nach eigenem Gutdünken, wie man zukünftig solchen Spam vermeiden kann. Dabei kann man bspw. strikt nach Keywords filtern, muss aber auch im Hinterkopf haben, dass manche Keywords auch in legitimen Mails vorhanden sein können. So habe ich erst kürzlich den Fehler gemacht, dass ich das Wort „Qualitat“ gefiltert habe (irgendwelche dubiosen Finanzagenten sollten angeworben werden und da der Versender aus dem Ausland kommt, gibt es keine Umlaute). Das erschien mir sinnvoll. Allerdings habe ich dabei nicht bedacht, dass dieser Begriff auch im Wort „qualitativ“ vorkommt. Und schon wurde eine legitime Mail vom Spamfilter abgewiesen.

Ich muss Passwörter zurücksetzen, weil Mac- und Linux-Nutzer ihre Passwörter nicht selbst am Active Directory ändern können. Accounts müssen entsperrt werden, weil Nutzer ihr Passwort mehrfach falsch eingegeben haben (oder bei einem Passwortwechsel vergessen wurde, auch das WLAN-Passwort im Smartphone zu ändern). Neue Benutzer müssen eingerichtet werden, wenn neue Kollegen kommen. Und Accounts ausgeschiedener Mitarbeiter muss ich entsprechend deaktivieren. Software-Updates müssen verteilt werden, damit sich niemand über Sicherheitslücken irgendwelche Schadsoftware einfängt. Die AntiVirus-Lösung muss überwacht werden (und per Mail ankommende Viren, die noch nicht erkannt werden, eingesendet werden). Und wenn doch mal ein Virus seinen Weg auf einen Rechner geschafft hat, muss ich den betroffenen Rechner säubern. Die Firewall muss überwacht werden, um Angriffe zu erkennen, Schadsoftware im eigenen Netzwerk zu entdecken oder einfach nur Verbindungsprobleme zu analysieren. Im Allgemeinen muss die IT-Sicherheit gewährleistet werden. Dazu gehört, einschlägige Medien regelmäßig zu lesen (ich nehme hier Heise, Golem und Winfuture) und ggf. Gegenmaßnahmen zu ergreifen (wie beim Heartbleed-Problem Anfang April 2014). Ich muss die Drucker überwachen (kleinere Defekte und Papierstau beheben, Papier auffüllen, Toner und andere Verbrauchsmaterialien tauschen). Ich muss den Zustand der Server überwachen, wie die Prozessor- und Speicherauslastung ist, wie die Festplattenauslastung ist, ob wichtige Updates für Dienste bereit stehen. Wenn Bedarf besteht, muss ich neue PCs oder Macs bestellen und einrichten. Die Telefonanlage verwaltet sich nicht von selbst und auch Netzwerkdosen müssen gepatcht werden, wenn eine (wieder) in Betrieb genommen wird. Zu meinen Aufgaben gehört außerdem das Planen der Arbeitsplatzverteilung, wenn neue Mitarbeiter kommen oder sich neue Teams bilden. Ich muss neue Dienste, die den Kollegen Erleichterung bei ihrer täglichen Arbeit bringen, evaluieren und installieren. Ich muss das Backup im Auge haben und prüfen, wer eine wichtige Datei gelöscht oder zumindest verändert hat. Die Konferenzräume müssen regelmäßig geprüft werden, ob alle Kabel, Adapter und Geräte vorhanden und einsatzbereit sind. Mitarbeiter müssen ständig und wiederholt auf Gefahren hingewiesen werden (es kommt leider hin und wieder mal vor, dass eine Rechnung.pdf.exe ausgeführt wird) oder darin ermuntert werden, bei Problemen erstmal einen Neustart durchzuführen.

Auch sonstige Probleme und Wehwehchen im Büroalltag sind (unfreiwillig) zu meinen Aufgaben geworden. Ist der Geschirrspüler kaputt oder muss eine Glühbirne gewechselt werden, bin ich der erste Ansprechpartner, weil das ja mit nem Schalter bedient wird. Manche glauben sogar, dass ich neues Klopapier auf die Toiletten bringen muss.

Ich könnte vermutlich ein dickes Buch darüber schreiben, was ein Admin alles zu tun hat. Und manchmal wird ein Admin auch für Arbeiten eingespannt, die normalerweise nicht in seine Stellenbeschreibung passen. Ja, man könnte sich weigern, solche Aufgaben durchzuführen, weil die Stellenbeschreibung solche Hausmeisterarbeiten nicht umfasst. Aber wozu die Diskussion?

Anders herum fühlt man sich manchmal ein bisschen verarscht. So kommt es auch schon vor, dass jemand ohne Ahnung, aber mit Macht (Kunden, Geschäftsführer etc.), dem Admin irgendwelche Lösungen für Problemstellungen diktiert. Da kann man sich noch so mit Händen und Füßen gegen wehren, meistens bleibt einem nichts anderes übrig, als die „Lösung“ umzusetzen und zu demonstrieren, dass es nicht funktioniert. Ein „ich habs dir doch gesagt“ hilft da übrigens nicht. Letztendlich heißt es trotzdem, dass es die Unzulänglichkeit des Admins ist.

GDATA Fehlalarm (winlogon.exe)

Heute Morgen, als ich mein Thunderbird zum E-Mails-Abrufen im Büro öffnete, hatte ich es schon vermutet. Nun bestätigt Heise meinen Verdacht, dass der angebliche Virenfund in der winlogon.exe, der mir sogleich von GDATA AntiVirus gemeldet wurde, nur ein Fehlalarm war. Nachdem ich meine Arbeitskollegen davon unterrichtet hatte, mit dem Hinweis, dass sie auf keinen Fall die Datei desinfizieren oder löschen lassen, sondern nur den Zugriff darauf verbieten sollten, habe ich direkt auch noch eine Mail an GDATA gesendet, um sie von dem Vorfall zu unterrichten.

In der Datei winlogon.exe (sie befindet sich unter C:\Windows\System32) wird fälschlicherweise ein Trojaner vermutet: „Trojan.Generic.1423603“. Wer die Datei gelöscht hat, muss sie manuell über die Wiederherstellungskonsole zurück kopieren. Auf der Festplatte sollte eine Kopie der winlogon.exe im Ordner C:\Windows\ServicePackFiles\i386 liegen. Ist dieser Ordner nicht vorhanden, muss die Datei von der Windows-CD zurück auf die Festplatte kopiert werden. Dabei ist aber zu beachten, dass es sich um eine Windows-CD handelt, die dasselbe ServicePack enthält, wie die aktuelle Windows-Installation. Die Dateibefindet sich im Ordner i386 auf der CD. Mit dem Befehl expand winlogon.ex_ C:\Windows\System32, den man von dort ausführt, wird die Datei wiederhergestellt.

Neben GDATA AntiVirus war auch BitDefender von dem Problem betroffen. Inzwischen sind fehlerfreie Signaturen veröffentlicht worden.

Merke: Wenn Dein Virenscanner einen Virus findet, prüfe IMMER nach, welche Datei betroffen ist. Gegebenenfalls sollte die verdächtige Datei zusätzlich online bei einem Virenscanner-Dienst wie Jotti geprüft werden.

Software-Stream.de: Gefälschter Firefox manipuliert Computer

Vor einigen Tagen wurde dem Verbraucherschutzverein Antispam e.V. ein Link zugespielt, der ganz neue Ausmaße der kriminellen Energien von Abzockern aufzeigt. Unter dem URL der-firefox-3.de, der zu dem Abzocknetzwerk der Firma „ontheRoad Networx“ aus Rostock gehört, befindet sich ein angeblicher Download des Firefox 3.1. Lädt man diese Setup-Datei jedoch herunter und versucht damit, den Firefox zu installieren, werden persönliche Daten abgefragt, die später zu Rechnungs- und Mahnungszusendungen verwendet werden sollen. Um Geschädigte davon abzuhalten, sich im Internet über diese Abzocke zu informieren, manipuliert diese Setup-Datei die in Windows-Systemen zur Auflösung von URLs eingesetzte hosts-Datei und „erdet“ die Domains etlicher Verbraucherschutzseiten auf den lokalen PC, so dass diese unerreichbar werden.

Die hosts-Datei befindet sich im Windows-Systemverzeichnis. Also bspw. C:\Windows\System32\drivers\etc\hosts (sie hat keine Dateiendung). Vorbeugender Schutz gegen solche Manipulationen kann das Setzen eines Schreibschutzes auf die hosts-Datei sein. Von dem oben genannten Szenario sind Windows 95/98/ME und XP Systeme betroffen. Ebenfalls ist zu erwarten, dass auch Windows Server 2003 anfällig ist. Unter Windows 2000 führt der Versuch, die hosts-Datei zu manipulieren, in der Regel zu einem Absturz des schädlichen Programmes aufgrund eines Programmierfehlers. Unter Windows-Vista funktionierte das Manipulieren der hosts-Datei, nach bisherigen Erkenntnissen, auch nicht.

Um die hosts-Datei zu reinigen, genügt es, den Windows-internen Texteditor (mit Administratorrechten) zu starten und die schlechten Einträge heraus zu löschen. Dazu geht man wie folgt vor. Klicke auf „Start“ -> „Ausführen“ und gibt ein:

notepad „%windir%\system32\drivers\etc\hosts“

Nach einigen mit dem Raute-Symbol (#) angeführten Kommentaren sollte dort die Zeile 127.0.0.1 localhost stehen. Alle übrigen Einträge, die mit 127.0.0.1 beginnen und worauf eine Domain einer „gutartigen“ Seite folgt (bspw. antispam.de, computerbetrug.de, protecus.de) sollten gelöscht werden. Anschließend speichert man die Datei und die Manipulationen sind wieder gelöscht.

Der Anbieter dieser Setup-Datei, die nach Eingabe der persönlichen Daten und Manipulation der hosts-Datei vom Originalserver herunter lädt, um das Originalprogramm zu installieren, stellt auf seiner Seite software-stream.de noch weitere OpenSource-Software und Shareware bzw. frei verfügbare Demo-Versionen zur Verfügung. Bei manchen Dateien ist das vorherige Anmelden direkt auf der Webseite notwendig, bei anderen wird auch das Prinzip des oben genannten „Installers“ genutzt.

Mein Rat an dieser Stelle ist es, sich solche Software nur von den Original-Quellen (also direkt beim Hersteller und bei den vom Hersteller verlinkten Quellen) herunter zu laden. Ein weiterer Rat, der sich auch mit dem Rat der Verbraucherschutzvereine deckt, ist es, Rechnungen von Abzockern nicht zu bezahlen, so lang man beim angeblichen Vertragsschluss nicht hinreichend über die Modalitäten hingewiesen wurde (bspw. Kosten versteckt auf der Seite angebracht oder in den AGB versteckt).

Die Verbraucherschutzvereine Antispam.de und Computerbetrug.de haben eine gemeinsame Presseerklärung zum Thema veröffentlicht.

Die Firewall-Legende

Das Konzept bei Software-Firewalls ist es, unerwünschtes Eindringen in den PC softwareseitig zu unterbinden. Aber auch das heimliche „nach Haus telefonieren“ von irgendwelcher Software (sei es eine Malware oder auch ein harmloses Programm) soll damit verhindert werden.

Das Problem dabei ist, dass es eben softwareseitig passiert. Software neigt zu höherem Fehlerpotential als Hardware. In der Vergangenheit hat sich gezeigt, dass Malware (Viren, Würmer, Trojaner und andere Schadsoftware) durchaus solche Sicherheitssoftware umgehen können, wobei mitunter Fehler in der jeweiligen Software ausgenutzt werden. Das wiederum führt zu dem Problem, weil diese Sicherheitssoftware mit Administrator- oder Systemrechten ausgeführt wird, dass die Malware in der Lage ist, sich auch unter einem eingeschränkten Benutzerkonto die Rechte der Sicherheitssoftware zu Nutze zu machen und somit mit Administrator- oder Systemrechten aktiv zu werden. Dasselbe gilt auch für Eindringlinge, die Fehler in der Software ausnutzen können. Somit besteht in der Theorie ein höheres Risiko, wenn man solche „Firewalls“ einsetzt, als wenn man darauf verzichten würde.
Diese Argumentation hat aber auch den kleinen aber nicht zu verachtenden Haken, dass ein nicht durch eine solche Firewall geschütztes System vermutlich dem gleichen Risiko ausgesetzt ist. Dagegen könnte man allerdings noch halten, dass der Angreifer durch eine installierte Firewall noch einen zusätzlichen Angriffspunkt erhält, den er alternativ zum Ausnutzen von irgendwelchen Schwachstellen in Windows ausnutzen könnte, was ihm ggf. sogar seine Arbeit erleichtert, wenn die „Firewall“ ein „Haufen Dreck“ ist 😉

Ich meine, dass in eigentlich allen Routern jedoch eine mehr oder weniger gute Firewall integriert ist, so dass man sich eine Software-Firewall quasi sparen kann, weil Eindringlinge bereits beim Zugang ins Netzwerk aufgehalten werden.
Ich selbst habe mir einmal eine kostenlose Firewall installiert (PC Tools Firewall Plus), um einer Viren-Infektion auf die Schliche zu kommen (habe bemerkt, dass ein Prozess versuchte, Daten ins Internet zu schicken bzw. aus dem Internet zu holen). Aber nur um eben die Software auf meinem Rechner zu überwachen. Nachdem die Firewall ihren Dienst verrichtet hat, habe ich sie wieder deinstalliert. Den Schutz vor Angreifern von außerhalb meines Netzwerkes überlasse ich dann doch lieber der Firewall in meinem Router.

Ein weiterer Nachteil von Software-Firewalls ist, dass sie manche Benutzer, die keine Ahnung von Netzwerken haben, durch „spartanische“ Meldungen verunsichern. Die Erfahrung hat gezeigt, dass manche Benutzer einfach unreflektiert die Meldungen der Firewall wegklicken und quasi alles zulassen, was irgendwie raustelefonieren möchte, anstatt die Meldungen zu prüfen und nachzuforschen, warum welches Programm den Zugang zum Internet benötigt. Manche wiederum sind so paranoid, dass sie alles, was unerwartet eine Verbindung ins Internet aufbauen möchte, sperren und sich dann später beklagen, dass sie gar nicht mehr ins Internet kommen. Dann vermuten auch noch etliche, dass jede Meldung irgendetwas Schlimmes zu bedeuten habe und fragen, überzeugt davon, dass sie Opfer von Hackerangriffen werden, in sämtlichen Foren nach, was sie tun sollen. Wenn man dann als Experte behauptet, dass es sich um völlig normale Vorgänge handelt und nichts gefährliches dabei sei, wird einem trotzdem erst geglaubt, wenn drei oder vier weitere Experten die Aussage des ersten untermauern.

Und den Empfehlungen, die die Softwarefirewalls hin und wieder mal geben, kann man auch nicht immer trauen. Manchmal verbirgt sich hinter einem Programm, das auf die Firewall-Software gutartig wirkt, nämlich doch eine schadhafte Anwendung – und natürlich auch umgekehrt.