IT-Security: Umgang mit suspekten Dateien
Eine der häufigsten Ursachen für die Infektion eines Computers mit Schadsoftware ist der Aufruf einer infizierten Datei durch den Nutzer - z.B. das Ausführen von "Makros" in Microsoft Word-Dateien. Insbesondere mit Schadsoftware infizierte Anhänge von E-Mail-Nachrichten stellen eine große Gefahr dar.
Oft wird in diese E-Mails vorgegeben, es handele sich um eine Bewerbung oder es wird eine Dringlichkeit des Anliegens vorgetäuscht (Rechnung, Account-Sperrung etc.). So gehen heute erfolgreiche Methoden bei Ihrem Täuschungsversuch ganz gezielt vor und verwenden bspw. eine dem Empfänger bekannte Absenderadresse und zitieren eine zurückliegende E-Mail-Kommunikation, um der E-Mail Authentizität zu verleihen und zum Öffnen der angehängten Dateien oder Links zu verleiten.
In bestimmten Situationen warnt das Betriebssystem oder bereits die Anwendung, mit der die Datei empfangen oder geöffnet wird (z.B. E-Mail-Client, Webbrowser), vor potenziell unsicheren Dateien oder eingebetteten Scripten, bevor sie auf der Festplatte gespeichert oder ausgeführt werden. Eine zuverlässige Erkennung ist nicht garantiert und wenn ein Alarm gegeben wird, ist es meistens noch Ihnen überlassen, ob Sie den Dateien doch vertrauen oder sie löschen.
Tipp 1:
Deaktivieren sie die Ausführung potenziell schädlicher Funktionen, soweit Sie diese nicht benötigen. Anleitungen für Microsoft Word und Adobe Acrobat Reader sowie sicherere Alternativen zu diesen Programmen finden Sie unter dieser Webseite.
Tipp 2:
Wenn Sie eine Datei aus unbekannter oder nicht vertrauenswürdiger Herkunft bzw. unerwartet oder unter verdächtigen Umständen erhalten:
a) Überprüfen Sie diese vor dem Öffnen unbedingt noch einmal manuell auf Schadsoftware. Virenschutzprogramme bieten typischerweise die manuelle Inspektion von Datei- und Ordner-Inhalten direkt im Datei-Explorer (vorher auf die Festplatte speichern, aber nicht ausführen) über den Rechtsklick an.
b) Halten Sie Rücksprache mit dem Absender, denn vielleicht verbreitet sich Schadsoftware von dessen Computer selbstständig oder der Absender der E-Mail ist gefälscht.
Tipp 3:
Wenn eine Datei einen sogenannten aktiven Inhalt (z.B. Makros in Word-Dokumenten oder eingebettete Scripte in PDF-Dateien) ausführen möchte und dies auf Ihrem System nicht deaktiviert ist (s. Tipp 1), sollten Sie diese Funktion grundsätzlich nicht zulassen, denn hier können sich Schadfunktionen verbergen. Wenn ein Dokument nur mit diesen Techniken funktionieren soll, ist das sehr verdächtig. Siehe Bild im Anhang.
Tipp 4:
Sind auch nach manuellem Virenscan und Rückfrage beim Absender nicht alle Zweifel beseitigt, kann die verdächtige Datei in einer sog. "Sandbox" geöffnet werden, in der die Schadsoftware auf dem Hostsystem aller Voraussicht nach keinen Schaden anrichten kann. Für eine Verarbeitung auf dem eigenen Produktivsystem oder zur Weiterleitung an einen Dritten bietet es sich dann in dieser Sandbox-Umgebung an, die verdächtige Datei im Zweifel in ein anderes, für die Weiterverarbeitung ebenfalls geeigneten Format zu konvertieren, bei dem die ggf. schädlichen Funktionen der Originaldatei übergangen werden. Empfehlungen finden sich unter dieser Webseite.