Was haben Sie den gestern gemacht? „Nichts besonderes“ lautet die Antwort des Anwenders.
Solche Dialoge kennen sicher alle, die in der IT tätig sind und tatsächlich sind sich die Kunden oft gar nicht bewußt, was unbemerkt geschehen ist.
So auch einer meiner Kunden, der an einen sonnigen Tag noch einmal vor dem Feierabend nach einer schönen „Location“ gesucht hat, um den Tag ausklingen zu lassen.
Am folgenden Arbeitstag bemerkte er die typischen Anzeichen eines Cyberangriffes mit dem Ziel, die Daten zu verschlüsseln. Es war ein großer Glücksfall für das Unternehmen, dass der Laptop noch nicht am Netzwerk angeschlossen wurde.
Die nachfolgende, forensische Untersuchung zeigte mir dann, was geschehen war.
Bei seiner Suche über google hatte der Kunde die eine oder andere Seite geöffnet. Tatsächlich unbemerkt wurde dabei über ein sog. „Script“ der Initialzünder für den Angriff in Sekundenbruchteilen heruntergeladen.
Von da an spielte es keine Rolle, dass er schon längst auf anderen Seiten weitergesucht hat.
Im Hintergrund vervollständigte sich das Programm und führte den Auftrag aus.
So etwas nennt man einen „Drive-by-Download“, weil man nicht mit Absicht ein gefährliches Programm heruntergeladen hat. Es reichte der kurze Besuch einer infizierten Webseite.
Moderne Webseiten arbeiten intensiv mit sog. „Scripten“, die meist in „JavaScript“ (zum Wikipedia Eintrag…) geschrieben wurden. Das sind im Grunde kleine Programme, die bestimmte Dinge automatisieren.
So werden darüber z.B. die Inhalte einer Webseite angeordnet aber auch das „Senden und Empfangen von Daten, ohne dass der Browser die Seite neu laden muss„.
Schaut man sich den Quelltext einer Webseite genauer an, so findet man darin manchmal direkte Hinweise:
<script src=“https://cdn.prod.www.spiegel.de/public/shared/generated/js/commons.xxxxxxxxxxxxxxxxxxx.js“></script>
Aber auch unsichtbar und über andere Seiten können Scripte geladen werden.
Für den Anwender ist das ein permanentes Risiko – es reicht der Besuch einer Seite und schon ist man infiziert.
Es gibt diverse Möglichkeiten, um das zu vermeiden.
Ich selbst verwende z.B. den Firefox Browser mit einem „AddIn“ mit dem Namen „NoScript“.
Man sieht an dem „Halteverbot-Schild“ oben rechts eine Zahl. Das sind die automatisch blockierten Scripte. NoScript ist zunächst so eingestellt, dass es alle Scripte auf Webseiten blockiert.
Erlaubt man nun schrittweise das Laden und Ausführen von Scripten bestimmter „Anbieter“, so zeigt sich erst das Problem.
Ich finde es schon ein wenig „bedenklich“, wenn man sieht, wieviele fremde Anbieter auf einmal aktiv werden könnten. Und natürlich werde ich diese nicht einfach so berechtigen.
Wenn auch nur einer von Hackern erfolgreich infiltriert wurde, dann wäre mein Computer gefährdet.
Es ist diese Transparenz, die ich am NoScript mag. Ich selbst kann entscheiden, ob und welche Funktionen ich freigeben möchte.
Wobei – um sich einfach nur „spiegel.de“ anzuschauen, bedarf es meist keiner Freigaben. Netterweise funktioniert alles auch so.
Ein angenehmer Nebeneffekt ist die Tatsache, dass auch meine „Privatsphäre“ dadurch besser geschützt wird.