Sicherheit: BSI lässt zwei Windows 7-Systeme gegeneinander antreten

Kommentieren | Drucken | RSS

• Login für Bewertung

Nun hat das BSI seine eigenen Empfehlungen zur Cyber-Sicherheit für Windows 7 unter realen Bedingungen eines Drive-by-Angriffs überprüft. Um Unterschiede zwischen der BSI-Konfiguration und einer veralteten Konfiguration zu verdeutlichen, wurden dabei jeweils Vergleichssysteme auf Basis von Windows 7 erstellt.

Als Testszenario zur Prüfung der Wirksamkeit sollen 100 tagesaktuelle URLs abgerufen werden, über die zum Untersuchungszeitraum Drive-by-Angriffe durchgeführt werden. Drive-by-Angriffe sind eine aktuell sehr verbreitete Methode, um Schadprogramme ohne Kenntnis des Anwenders und ohne Nutzerinteraktion zu installieren und auszuführen. In der Regel genügt ein Besuch einer Webseite, um das System mit Schadsoftware zu infizieren.

Die Konfiguration

In den Empfehlungen zur Cyber-Sicherheit für Windows 7 werden zahlreiche Einstellungen sowie Software-Empfehlungen und -Alternativen beschrieben. Diese mussten im Vorfeld der Untersuchung auf eine sinnvolle Auswahl an Softwarekomponenten beschränkt werden. Mit Ausnahme des Betriebssystems selbst wurde die Auswahl auf kostenlose Produkte/Software beschränkt. Als Virenschutzprogramm auf den Windows 7 Systemen wird das kostenlose Microsoft Security Essentials eingesetzt.

Im Unterschied zu den Konfigurationen nach BSI-Empfehlung lag der Fokus bei den veralteten Systemen darauf, eine Konfiguration zu wählen, die der eines normalen Nutzers von Windows 7 in der Wirklichkeit entspricht.

Hier eine Übersicht der jeweiligen Konfigurationen:

Der Angriff

Die Auswahl der URLs, von denen Drive-by-Angriffe ausgehen, erfolgte zufällig auf Basis tagesaktueller Erkenntnisse. Die verwendeten URLs wurden erst im Untersuchungszeitraum definiert, da diese in der Regel nur für einen begrenzten Zeitraum aktiv Schadsoftware über Drive-by-Exploits verteilen. Durch diese Vorgehensweise wurde die zum Zeitpunkt der Untersuchung vorherrschende Bedrohungslage mit berücksichtigt.

Die folgende Tabelle zeigt eine Auflistung nach Art des jeweiligen Angriffstools. Dabei ist zu beachten, dass eine URL auch mehreren Typen von Angriffstools zugeordnet werden kann.

Ergebnis und Fazit

Die folgende Tabelle zeigt eine Übersicht der Gesamtergebnisse für die getesteten Konfigurationen. Die Ergebnisse sind in vier unterschiedliche Kategorien eingeteilt:

Ein veraltetes Windows 7 System ohne BSI-Empfehlungen konnte nur etwa die Hälfte (51) dieser Angriffe abwehren. Zusätzlich wurden 10 Angriffe durch das installierte Virenschutzprogramm Microsoft Security Essentials detektiert und die Infektion im Anschluss unterbunden, in 3 Fällen erfolgte lediglich ein Download. Im Vergleich dazu wurde das Windows 7-System nach BSI-Empfehlungen in keinem Fall erfolgreich infiziert.

Zu Vergleichszwecken wurde noch ein Testsystem mit einer veralteten Windows XP Installation (Administrator-Benutzerkonto, kein aktueller Patch-Stand, Virenschutz nicht installiert, Browser Internet Explorer 6, etc.) den Drive-by-Angriffen ausgesetzt. Hier gab es 88 erfolgreiche Infektionen, 2 Downloads ohne Infektion und nur in 10 Fällen keinen erfolgreichen Angriff.

Die Ergebnisse zeigen, dass die BSI-Empfehlungen für Windows 7 die Sicherheit gegen Drive-by-Angriffe signifikant gegenüber einer veralteten Windows 7-Installation erhöht. Es konnte gezeigt werden, in welchem Ausmaß ein aktueller Patch-Stand für Betriebssystem und Anwendungen, das Deaktivieren unnötiger Erweiterungen im Browser sowie die Verwendung eines Browsers mit einer guten Sandbox-Technik, zum Beispiel Google Chrome, die meisten Angriffe abwehren und sogar Angriffsversuche aufgrund der Konfiguration unterbleiben.

Zur vollständigen Analyse: "Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 – Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe"