Woche 20: Patchday – dank regelmässigen Updates sicherer digital unterwegs

21.05.2024 - Die Firma Microsoft, Herstellerin des weit verbreiteten Windows-Betriebssystems sowie der bekannten Office-Umgebung, veröffentlicht einmal im Monat Patches (Aktualisierungen) für seine Produkte. Andere Software-Hersteller haben einen eigenen Rhythmus, allen gemeinsam ist aber, dass diese Aktualisierungen ernst genommen werden sollten. Denn die Patches helfen zum einen, die Funktionalität oder die Leistung einer Software zu verbessern, aber vor allem dienen sie dazu, die Sicherheit von Produkten zu erhöhen und die Benutzerinnen und Benutzer so vor potenziellen Angriffen zu schützen.

Der digitale Alltag funktioniert dank verschiedensten Softwares und Betriebssysteme, die allesamt komplexe Systeme sind. Bereits während des Entwicklungsprozesses können sich Fehler einschleichen, die unbeabsichtigte Sicherheitslücken hinterlassen. Zusätzlich dazu können auch neue Bedrohungen oder Schwachstellen entdeckt werden, nachdem die Software bereits auf dem Markt ist. Diese Sicherheitslücken können von Cyberkriminellen für ihre Zwecke ausgenutzt werden. Daher bieten Hersteller Patches an, um Lücken zu schliessen, die Sicherheit der Software zu erhöhen und die Benutzer vor potenziellen Bedrohungen zu schützen.

Zero Day

Am 14. Mai 2024 hat die Software-Herstellerin Microsoft unter anderem einen Patch für eine Betriebssystemkomponente veröffentlicht, welche eine sogenannte «Zero Day»-Schwachstelle behebt. «Zero Day» bedeutet, dass die Schwachstelle bereits vor der Verfügbarkeit der Aktualisierung öffentlich bekannt war oder gar durch Cyberkriminelle ausgenutzt wurde.

In diesem konkreten Fall haben Sicherheitsforschende von anderen Firmen Microsoft auf die Schwachstelle aufmerksam gemacht. Sie haben herausgefunden, dass die bekannte «Qakbot» Schadsoftware in letzter Zeit genau diese Lücke verwendet, um sich auf dem Zielsystem einzunisten. (https://securelist.com/cve-2024-30051/112618/).

Die «Qakbot» Schadsoftware (auch «Qbot» oder «Quakbot» genannt), die auch in der Schweiz verteilt wurde beziehungsweise wird, dient häufig als erste Stufe für den nachfolgenden Einsatz von Ransomware, welche enormen Schaden anrichten kann. Das BACS hat vor «Qakbot» bereits mehrmals gewarnt: 

Betroffen von der Schwachstelle sind sowohl die aktuellen Desktop-Versionen von Windows 10 und Windows 11 (ältere Versionen werden nicht mehr unterstützt und sollten keinesfalls mehr eingesetzt werden), sowie auch Server-Versionen von Windows.

Aktualisierung der Systeme

Die Desktop-Produkte von Microsoft für Privatbenutzer sind per Voreinstellung so konfiguriert, dass die Aktualisierungen automatisch heruntergeladen und installiert werden. Dies ist auch das vom BACS empfohlene Vorgehen. Die Aktualisierungen (Patches) werden von Microsoft üblicherweise am 2. Dienstag jedes Monats bereitgestellt. Deshalb hat sich dafür der inoffizielle Name «Patch Tuesday» eingebürgert.

Auf Desktop-Systemen von Firmen und auf Servern wird die automatische Aktualisierung häufig deaktiviert, weil dieser Prozess nach vorgängigen internen Tests zentral gesteuert wird. Dennoch sollten auch hier die Patches in einem Wartungsfenster möglichst zeitnah eingespielt werden.

Die Empfehlung für regelmässige Updates gilt natürlich nicht nur für Microsoft-Produkte. Andere Hersteller bieten ebenfalls Aktualisierungen an, teils regelmässig, teils auch nur nach Bedarf.

Dasselbe gilt für andere Betriebssysteme. Zwar hält sich der Glaube, dass
z. B. Linux und MacOS von Apple viel sicherer seien, immer noch hartnäckig. Dem ist aber längst nicht mehr so. Auch hier sollten zur Verfügung gestellte Aktualisierungen zeitnah eingespielt werden, sofern es nicht automatisch geschieht.

Gezielte Entwicklung von Schadsoftware

Nicht immer verwenden Entwickler von Schadsoftware solche «Zero Day» Schwachstellen. Im Gegenteil: es ist eher die Ausnahme. Denn Cyberkriminelle agieren nach dem Prinzip, mit möglichst geringem Aufwand einen grossen Gewinn zu erzielen. Vielfach setzen Sie auf die «Schwachstelle Mensch»: sie gehen davon aus, dass einzelne Empfänger den bösartigen Anhang öffnen und das schädliche Programm installieren.

Manchmal laden sich die Cyberkriminellen die Patches auch gleich bei der Veröffentlichung herunter, mit dem Zweck, die Unterschiede zur Vorgängerversion zu analysieren. So finden sie heraus, ob Schwachstellen, die ihnen bisher unbekannt waren, bereinigt worden sind. Diese Erkenntnisse fliessen in die Entwicklung der Schadsoftware ein, im Wissen, dass nicht alle Benutzer ihre Software rasch genug aktualisieren. Damit halten die Cyberkriminellen ihren Entwicklungsaufwand gering.

Empfehlungen

  • Grundsätzlich ist nur der Einsatz von Betriebssystemen und Anwendungsprogrammen empfohlen, welche vom Hersteller noch unterstützt und gepflegt werden. Es ist bekannt, dass gerade auf privaten Rechnern häufig nach wie vor Windows 7 oder noch ältere Versionen laufen. Davon ist dringend abzuraten, und es ist davon auszugehen, dass viele dieser ungepflegten Geräte mit Schadsoftware infiziert sind.
  • Die vom jeweiligen Hersteller des Betriebssystems oder der Anwendungsprogramme zur Verfügung gestellten Aktualisierungen (Patches) sollten zeitnah eingespielt werden.
  • Idealerweise erfolgt die Aktualisierung automatisch, sobald Patches bereitstehen.
  • Richten Sie auf Ihrem System Benutzerkonten ohne Administratoren-Rechte ein. Arbeiten Sie nicht standardmässig als Administrator.
  • Setzen Sie eine aktuelle Antiviren-Software ein, aber im Bewusstsein, dass diese nicht alle Gefahren erkennen kann.
  • Seien Sie vorsichtig beim Öffnen von Dokumenten aus unbekannten Quellen, vertrauen Sie nicht darauf, dass die Antiviren-Software alles erkennt.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 21.05.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_20.html