DE102019129253B4 - Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten - Google Patents

Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten Download PDF

Info

Publication number
DE102019129253B4
DE102019129253B4 DE102019129253.0A DE102019129253A DE102019129253B4 DE 102019129253 B4 DE102019129253 B4 DE 102019129253B4 DE 102019129253 A DE102019129253 A DE 102019129253A DE 102019129253 B4 DE102019129253 B4 DE 102019129253B4
Authority
DE
Germany
Prior art keywords
message
computer system
module
malware
bios
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102019129253.0A
Other languages
English (en)
Other versions
DE102019129253A1 (de
Inventor
gleich Patentinhaber Erfinder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE102019129253.0A priority Critical patent/DE102019129253B4/de
Publication of DE102019129253A1 publication Critical patent/DE102019129253A1/de
Application granted granted Critical
Publication of DE102019129253B4 publication Critical patent/DE102019129253B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/18Commands or executable codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Abstract

Verfahren zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten (1), wie E-Mails, über ein öffentlich zugängliches Netzwerk (2) auf eine mit dem Netzwerk (2) verbundene Datenverarbeitungseinheit (3) mit den folgenden, mit einem Computer-System (10) auszuführenden Schritten:a. Vorprüfung der elektronischen Nachricht (1) auf bekannte Schadsoftware, insbesondere Viren,b. bei negativem Ergebnis der Vorprüfung Weiterleitung zu wenigstens einer Hauptprüfung der elektronischen Nachricht (1) mit Analyse der Nachricht (1) auf wiederholten Empfang und/oder auf Schadsoftware im Text der Nachricht (1) und/oder auf Schadsoftware in den Anhängen der Nachricht (1),c. bei positivem Ergebnis der Hauptprüfung erfolgt ein Zurückhalten der Nachricht (1) und ein Weiterleiten eines Prüfprotokolls (9) an den Anwender und bei negativem Ergebnis der Hauptprüfung der elektronischen Nachricht (1) erfolgt eine Weiterleitung der Nachricht (1) an den Anwender zusammen mit dem Prüfprotokoll (9),d. bei der Hauptprüfung mit Analyse auf Schadsoftware werden im Text der Nachricht (1) ausführbare Bestandteile, insbesondere Hyperlinks oder ausführbare Dateien, ausgeführt und in den Anhängen der Nachricht (1) werden die Anhänge geöffnet und ausgeführt und das Computer-System (10) wird auf Veränderungen, insbesondere mittels Checksummenvergleich, geprüft, wobei alle Betriebssystem-Dateien und die BIOS-Dateien auf Veränderungen geprüft werden.

Description

  • Die Erfindung betrifft ein Verfahren zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten nach dem Oberbegriff des Anspruchs 1.
  • Ferner betrifft die Erfindung ein Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten gemäß dem Oberbegriff des Anspruchs 8.
  • Computer-Systeme werden im Allgemeinen sowohl im privaten Umfeld, als auch in Betrieben und Unternehmen eingesetzt. Heutzutage sind nicht nur die betrieblich genutzten Computer-System sondern auch die privat eingesetzten Computer im zunehmenden Maße Angriffen von sogenannter Schadsoftware ausgesetzt. Derartige Schadsoftware kann beispielsweise mittels elektronischer Nachrichten, wie E-Mails, auf das Computer-System gelangen und dort entsprechende Schäden anrichten.
  • Beispielsweise kann durch eine Überlastung des Computer-Systems eine Nutzung von Diensten oder Inhalten blockiert werden. Nutzer können dann nicht mehr auf angebotene Dienste oder Daten zugreifen. Solche auch als DoS-Angriff (Denial of Service) bezeichnete Dienstverweigerungs- oder Dienstblockadeangriffe können einen erheblichen wirtschaftlichen Schaden anrichten.
  • Darüber hinaus nimmt auch die Anzahl von unerwünscht beim Anwender, das heißt beim Empfänger eingehenden E-Mails, insbesondere von Werbe-E-Mails, sogenannten Spam- Mails, kontinuierlich zu. Für den Empfänger ist das wegen eventuell mitgeschickter Viren gefährlich, wobei selbst die Spam-Mails ohne Viren lästig sind, da der Empfänger einen erhöhten Zeit- und damit Kostenaufwand für die Sichtung und das Aussortieren der E-Mails aufwenden muss.
  • Ferner kann sich beispielweise eine Schadsoftware, etwa in Form eines Computervirus, „selbstständig“ auf einem Computer-System installieren, ohne dass der Benutzer bzw. Anwender dies bemerkt. Ferngesteuert oder zu einem vorgegebenen Zeitpunkt kann sich die Schadsoftware auf den betroffenen Computer-Systemen entfalten und dort großen Schaden anrichten.
  • Um den Empfänger vor der Flut solch unerwünschten Spam-Mails zumindest in gewissem Maße zu schützen, wurden statistisch arbeitende Filter entwickelt, die Spam-Mails und/oder Viren erkennen.
  • Der Nachteil der bekannten Verfahren liegt darin, dass Absender derartiger unerwünschter E-Mail die Spam-Mails ohne großen Aufwand an jede neue Filtergeneration anpassen können, so dass diese dann doch ungefiltert zum Empfänger gelangen. Zum anderen besteht bei den bekannten Filtern die Gefahr, dass auch erwünschte E-Mails versehentlich aussortiert und gelöscht werden. Zudem ist der Empfänger darauf angewiesen, seine Filterversion ständig zu erneuern.
  • Darüber hinaus basieren bekannten Verfahren zur Bekämpfung von Schadsoftware, wie Trojaner, Viren, Malware oder Phishing, entweder auf einer Erkennung der entsprechenden Algorithmen oder anderen Erkennungs-Prozessen, die eine „neue“ Viren- bzw. Schadsoftware-Attacke nicht erkennen, weil die vom Angreifer verwendeten Algorithmen oder Strukturen (noch) nicht bekannt sind.
  • Zwar sind mittlerweile Services und Softwarelösungen zur Analyse von E-Mails nebst Anhängen auf schädliche Inhalte bekannt. Hierbei handelt es allerdings um mächtige und komplexe Softwarelösungen, die für den Einzelanwender, aber auch für kleine und mittelgroße Betriebe weder einsetzbar noch bezahlbar sind. Außerdem sind sie auf dem Anwender-PC/Laptop nicht installierbar.
  • Denn bei bekannten Lösungen werden die E-Mails und Datenpakete oftmals in einer Cloud oder auf anderen „außer-Haus-Speichermedien“, also extern, zwischengespeichert und von dort aus in die IT-Prozess-Umgebungen der Dienstleister übernommen, um dann dort analysiert werden zu können.
  • Dies bedeutet auch, dass beispielsweise Behörden, Rechts- und Patentanwälte, Notare, Ärzte oder dergleichen als Erzeuger und Verarbeiter von hochsensiblen Daten, diese Services nicht in Anspruch nehmen können oder wollen, weil sie ihre Daten auf keinen Fall „außer Haus“ geben und extern verarbeiten lassen wollen bzw. dürfen.
  • Der Einsatz dieser mächtigen und komplexen Lösungen setzt in der Regel einen hohen IT-Sachverstand und die Betreuung durch Systemadministratoren voraus. Einzelanwender, aber auch Behörden, Kanzleien, Arztpraxen oder kleine und mittelgroße Unternehmen verfügen in der Regel nicht über das notwendige IT-Wissen. Kleine und mittelgroße Betriebe lassen ihre Systeme in den meisten Fällen von IT-Service-Unternehmen betreuen, wobei diese Unternehmen ihre Services reaktionsorientiert und gegen entsprechende Bezahlung zur Verfügung stellen.
  • Aus der DE10 2006 026 637 A1 ist beispielsweise ein Verfahren und ein System zur Filterung elektronischer Nachrichten, wie E-Mails, SMS, bekannt.
  • Aus der WO 03/017613 A1 ist ein Verfahren zur Erkennung und Abwehr von Angriffen auf Serversystem von Netzwerk-Diensteanbietern und -betreibern mittels eines in ein Computer-Netzwerk einzubindendes elektronisches Gerätes bekannt.
  • Die US 6,901,519 B1 betrifft ein System und ein Verfahren zum Erkennen und Aufheben der Auswirkungen von Computerviren aus Nachrichten und Anhängen, die per E-Mail über ein Netzwerk übermittelt werden. Alle E-Mails und Anhänge werden durch verschiedene Konvertierungszustände geleitet, und in ein nicht ausführbares Format konvertiert.
  • Aus der US 2005 / 0 251 862 A1 ist ein Sicherheitssystem zur Abwehr von Viren in Computern und Computernetzwerken bekannt, dessen Sicherheitssystem zum Weiterleiten von Nachrichten angepasst ist. Das Sicherheitssystem enthält ein erstes Subsystem zum Erkennen unbekannter Viren.
  • Die US 2008 / 0 134 336 A1 betrifft ebenfalls ein Verfahren zum Erkennen einer böswilligen Nachricht.
  • Aus der US 2018/0091453 A1 ist ein Verfahren zur Bestimmung eines Sicherheitsrisikos einer Nachricht bekannt, wobei basierend auf dem anfänglichen Risiko bestimmt werden soll, ob die elektronische Nachricht modifiziert werden soll. Die modifizierte elektronische Nachricht kann an einen beabsichtigten Empfänger der elektronischen Nachricht geliefert werden. Ferner umfasst das Verfahren ein automatisches Durchführen einer Sekundärcomputersicherheitsrisikobewertung der elektronischen Nachricht. Basierend auf der Sekundärcomputersicherheitsrisikobewertung soll die modifizierte Nachricht aktualisiert werden.
  • Die Druckschrift US 2011/0314546 A1 lehrt, potenziell schädliche URL in einer virtuellen Umgebung zu öffnen.
  • In der Druckschrift US 2006/0021029 A1 wird beschrieben, einen Anhang in einer virtuellen Maschine (VM) oder einer Sandbox-VM zu öffnen und innerhalb dieser virtuellen Umgebung Veränderungen von Systemdateien zu überwachen. Es werden somit ausschließlich schädliche Auswirkungen in einer virtuellen Umgebung untersucht.
  • Die DE 102 41 974 B4 betrifft die Sicherheit bei netzwerkbasierten Datenübertragungen und insbesondere Sicherheitsaspekte bei Datenübertragungen zwischen wenigstens zwei Netzwerken, auch unter Berücksichtigung von Datenübertragungen innerhalb eines Netzwerks, die zur Übertragung in ein anderes Netzwerk vorgesehen sind.
  • Ein Netzwerksystem gemäß US 2002/0069356 A1 ist mit einem integrierten Sicherheits-Gateway zum Integrieren von virtuellen privaten Netzwerk-, Firewall- und Netzwerküberwachungsfunktionen verbunden. Ein Duplikat eines empfangenen Pakets wird einem damit verbundenen oder darin enthaltenen Netzwerküberwachungssystem bereitgestellt, um alle Arten von Einbrüchen und Angriffen auf ein virtuelles privates Netzwerk und das integrierte Sicherheitsgateway selbst zu erkennen.
  • Die Aufgaben der vorliegenden Erfindung liegen nunmehr darin, ein Verfahren und ein Computer-System zur effektiven Abwehr von Schadsoftware durch elektronische Nachrichten zu schaffen, das die bisher bekannten Verfahren ersetzt, wobei das Verfahren für Anwender insofern komfortabel ist, als ihnen besonderer Verwaltungsaufwand, insbesondere eine zusätzliche Konfiguration von spezieller Hard- oder Software auf dem Datenverarbeitungssystem des Anwenders, erspart bleibt.
  • Diese Aufgabe wird gelöst mit einem Verfahren zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten nach Anspruch 1.
  • Diese Aufgabe wird ebenfalls gelöst mit einem Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten nach Anspruch 8.
  • Die Erfindung betrifft ein Verfahren zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten, wie E-Mails, über ein öffentlich zugängliches Netzwerk auf eine mit dem Netzwerk verbundene Datenverarbeitungseinheit mit den folgenden, insbesondere mit einem Computer-System auszuführenden, Schritten:
    1. a. Vorprüfung der elektronischen Nachricht auf bekannte Schadsoftware, insbesondere Viren,
    2. b. bei negativem Ergebnis der Vorprüfung Weiterleitung zu wenigstens einer Hauptprüfung der elektronischen Nachricht mit Analyse der Nachricht auf wiederholten Empfang und/oder auf Schadsoftware im Text der Nachricht und/oder auf Schadsoftware in den Anhängen der Nachricht,
    3. c. bei positivem Ergebnis der Hauptprüfung erfolgt ein Zurückhalten der Nachricht und ein Weiterleiten eines Prüfprotokolls an den Anwender und bei negativem Ergebnis der Hauptprüfung der elektronischen Nachricht erfolgt eine Weiterleitung der Nachricht an den Anwender zusammen mit dem Prüfprotokoll.
  • Zweck des Verfahrens bzw. des Computer-Systems zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten ist es, die IT-Infrastruktur des Anwenders zu schützen. Zur IT-Infrastruktur zählen auch die Daten des Anwenders und die Software der IT-Infrastruktur, wie beispielsweise Systemdateien, Systemkomponenten, BIOS oder dergleichen.
  • Das erfindungsgemäße Computer-System besteht aus einer kombinierten Hard- und Software. Insbesondere kann das Computer-System als Personal Computer (PC), USB-Stick, Single-Board-Computer oder Chip-Lösung ausgebildet sein.
  • Das erfindungsgemäße Verfahren bzw. das Computer-System schützt die IT-Infrastruktur des Anwenders vor Angriffen, die mittels einer E-Mail, deren Textinhalten, deren Anhänge oder dort eingebetteten Links, erfolgen. Es erkennt Angriffe auf jegliche Systemdateien, dem Betriebssystem des Computer-Systems und auf das BIOS der IT-Infrastruktur des Anwenders und wehrt sie nachhaltig ab, bevor diese sich auf der IT-Infrastruktur des Anwenders entfalten können. Das Anwendersystem bleibt erfindungsgemäß unberührt und von den Attacken befreit.
  • Das erfindungsgemäße Computer-System benötigt für die Erkennung und Abwehr von Schadsoftware keine externe Cloud-, d.h. „außer-Haus-Speicherlandschaft“. Auch sind keine speziellen IT-System-Administratoren notwendig. Denn das erfindungsgemäße Computer-System arbeitet vollautomatisch und ist autark.
  • Der Anwender wird grundsätzlich nach den erfolgten Prüfungsvorgängen mittels eines Prüfprotokolls entsprechend informiert. Das Prüfprotokoll enthält beispielsweise die relevanten Daten der E-Mail bzw. der Datenpakete, Prüfungsergebnisse und Informationen über die vom Computer-System ausgeführten Handlungen. Somit verbleibt die Entscheidungsgewalt einer möglichen, weitergehenden Vorgehensweise, wie beispielsweise die Einschaltung von Strafverfolgungsbehörden oder Dergleichen beim Anwender.
  • Das Computer-System schließt für den Einzelanwender, kleine und mittelgroße Unternehmen und für die Erzeuger und Verarbeiter hochsensibler Daten, wie etwa Behörden, Anwälte, Notare oder Ärzte, die bestehenden Sicherheitslücken effizient und effektiv.
  • Erfindungsgemäß werden bei der Hauptprüfung mit Analyse auf Schadsoftware im Text der Nachricht ausführbare Bestandteile, insbesondere Hyperlinks oder ausführbare Dateien, ausgeführt und das Computer-System wird auf Veränderungen, insbesondere mittels Checksummenvergleich, geprüft. Erfindungsgemäß ist alternativ oder zusätzlich vorgesehen, dass bei der Hauptprüfung mit Analyse auf Schadsoftware in den Anhängen der Nachricht die Anhänge geöffnet und/oder ausgeführt werden und das Computer-System auf Veränderungen, insbesondere mittels Checksummenvergleich, geprüft wird.
  • Mit anderen Worten werden alle eingehenden E-Mails und Datenpakete geöffnet und geprüft und sämtliche Inhalte auf Angriffe geprüft. Nach erfolgter Überprüfung der E-Mail nebst Inhalten und Anhängen wird beispielsweise mittels Prüfsummen- oder anderer Vergleichs- und Prüfverfahren festgestellt, ob es zu Veränderungen innerhalb der Systemdateien, Registry und/oder des BIOS des Computer-Systems gekommen ist. Hierbei werden alle Betriebssystem-Dateien und die BIOS-Dateien auf Veränderungen geprüft. Für den Fall, dass Veränderungen festgestellt werden, ist die E-Mail „infiziert“. Sie wird dann als „invalid flag“ bzw. „invalid“ gekennzeichnet und nicht an den Anwender weitergeleitet. Die derart gekennzeichneten E-Mails werden in Datenbanken, sogenannten „black-lists“, gespeichert.
  • Der Anwender, d.h. der Empfänger der E-Mail, wird benachrichtigt und ihm wird das Prüfprotokoll zur Verfügung gestellt. Dagegen werden ihm die Daten, beispielsweise Anhänge der E-Mail, nicht übermittelt. Denn diese könnten in der Datenverarbeitungseinrichtung des Anwenders erheblichen Schaden anrichten.
  • Mit anderen Worten wird bei einem positiven Ergebnis der Vorprüfung, insbesondere bei einer Detektion von Viren in der elektronischen Nachricht, diese zurückgehalten und ein Prüfprotokoll an den Anwender übermittelt.
  • Gemäß einer Weiterbildung der Erfindung ist vorgesehen, dass eine Kopie der Nachricht zusammen mit einem der Kopie zugeordneten Identifikationskennzeichen (ID) angelegt wird.
  • Die eingehende (Ursprungs-) E-Mail wird als Kopie bis zum Ende aller Prüfungen vorgehalten, da durch das Öffnen der Links oder der Anhänge möglicherweise ein Angriff auf die ursprüngliche E-Mail selbst vorgenommen werden könnte. Das Prüfprotokoll enthält alle relevanten Daten der ursprünglichen E-Mail. Aus diesem Grund werden die E-Mail und die (infizierte) E-Mail sowie die Kopie nicht mehr benötigt.
  • Vor Weitergabe des Prüfprotokolls an den Anwender am Ende der Prüfungen erfolgt ein sogenannter „Soll-Ist-Vergleich“ der eingegangenen E-Mail mit der Kopie. Stellt sich heraus, dass die eingegangene Ursprungsmail zur Kopie unterschiedlich ist, wird die Kopie zur Nutzung weiterer Maßnahmen „eingefroren“ und das Prüfprotokoll enthält einen entsprechenden Hinweis.
  • Bei der Hauptprüfung mit Analyse auf wiederholten Empfang der Nachricht kann die Kopie der Nachricht mit einer Liste von Identifikationskennzeichen von bereits im Computer-System abgelegten Nachrichten abgeglichen und bei positivem Ergebnis ein entsprechendes Prüfprotokoll an den Anwender ausgegeben werden. Der Vorteil liegt darin, dass bei Erkennung einer gewissen Anzahl, beispielsweise 30 Wiederholungen, der Empfang der Nachricht von diesem Absender und gleichem Inhalt grundsätzlich gestoppt wird. Wenn ein solcher Angriff erfolgt, wird die Nachricht mit der Kennung „multiple“ versehen und in der „black list“ gespeichert. Startet der Absender einen weiteren Angriff in der gleichen Form, wird die Nachricht aufgrund von Absendergleichheit und/oder Inhaltsgleichheit abgewiesen. Der Zahlenwert dient auch dazu, dass eine versehentlich mehrfach vom Absender versendete Nachricht nicht unbedingt ein DoS-Angriff darstellen muss und ggf. herausgefiltert werden kann.
  • Nach einer weiteren vorteilhaften Ausgestaltung der Erfindung werden die Veränderungen im Computer-System durch Abgleich, insbesondere mittels Checksummenvergleich, von mehreren im Computer-System parallel betriebenen Betriebssystemen und/oder Firmware-Modulen bzw. BIOS-Systemen ermittelt, wobei die elektronische Nachricht auf wenigstens einem Betriebssystem und/oder einem Firmware-Modul bzw. BIOS-System Veränderungen bewirken kann und wenigstens ein anderes Betriebssystem und/oder wenigstens ein anderes Firmware-Modul bzw. BIOS-Systeme isoliert betrieben wird, so dass die zu prüfende elektronische Nachricht auf dieses keine Veränderungen bewirken kann.
  • Es kann vorgesehen sein, dass eine Kopie der geprüften Nachricht mit deren Identifikationsnummer gespeichert und/oder das Computer-System zum Ausführen des Verfahrens, insbesondere die Systemdateien und/oder BIOS-Dateien, in den Ausgangszustand vor Beginn der Prüfung bzw. des Abwehr-Verfahrens zurückgesetzt wird.
  • Gemäß einem eigenständigen Gedanken der Erfindung ist ein Computer-System vorgesehen zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten, wie E-Mails, über ein öffentlich zugängliches Netzwerk auf eine mit dem Netzwerk verbundene Datenverarbeitungseinheit, wobei das Computer-System mit dem Netzwerk und der Datenverarbeitungseinheit verbunden ist und
    1. a. ein Scanmodul zum Prüfen der elektronischen Nachricht auf bekannte Schadsoftware, insbesondere Viren, aufweist,
    2. b. welches wenigstens einem Prüfmodul zur Analyse der Nachricht auf wiederholten Empfang und/oder auf Schadsoftware im Text der Nachricht und/oder auf Schadsoftware in den Anhängen der Nachricht vorgeschaltet ist, mit
    3. c. einem Weiterleitungsmodul zum Weiterleiten der geprüften Nachricht und/oder eines Prüfprotokoll an einen Anwender.
  • Gemäß einer ersten vorteilhaften Ausgestaltung der Erfindung ist ein Speichermodul zum Speichern der Prüfergebnisse und Prüfprotokolle zusammen mit einem Identifikationskennzeichen zu der elektronischen Nachricht vorgesehen. Die Speicherung der Prüfergebnisse und der Prüfprotokolle dient unter anderem der Erstellung einer sogenannten periodischen „Summary“. Hier wird der Anwender über die Anzahl und Art der Angriffe periodisch, beispielsweise täglich informiert. Außerdem handelt es sich um die Möglichkeit einer späteren Identifizierung einer Nachricht.
  • Es kann ein Wiederherstellungsmodul zum Zurücksetzen des Computer-Systems auf den Ausgangszustand vor Beginn der Prüfung der elektronischen Nachricht vorgesehen sein. Bei den eingesetzten Anwendersystemen kann nicht stets davon ausgegangen werden, dass das Anwendersystem und das Computer-System ununterbrochen in Betrieb sind. Deshalb wird bei jeder Inbetriebnahme, d.h. beim Einschalten, das Computersystem „zurückgesetzt“ um zu gewährleisten, dass auf jeden Fall und zu Beginn des Betriebs das Computersystem „gesund“ und in seinem Ursprungszustand ist. Außerdem kann das Wiederherstellungsmodul dazu genutzt werden, den Ursprungszustand des Computer-Systems nach allen erfolgten Prüfungen und Erstellung des Prüfprotokolls wieder herzustellen, wenn Veränderungen von Systemdateien etc. durch Angriffe erkannt wurden.
  • Gemäß einer Weiterbildung der Erfindung weist das Computer-System mehrere im Computer-System parallel betriebene Betriebssysteme und/oder mehrere im Computer-System parallel betriebene Firmware-Module, insbesondere BIOS oder Unified Extensible Firmware Interface (kurz UEFI), auf, wobei die elektronische Nachricht auf wenigstens einem Betriebssystem und/oder einem Firmware-Modul bzw. BIOS-System Veränderungen bewirken kann und wenigstens ein anderes Betriebssystem und/oder wenigstens ein anderes Firmware-Modul bzw. BIOS-System isoliert betrieben wird, so dass die zu prüfende elektronische Nachricht auf dieses weitere Modul bzw. System keine Veränderungen bewirken kann.
  • Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung ist das Computer-System zwischen dem Netzwerk und der Datenverarbeitungseinheit angeordnet. Auf diese Weise wird sichergestellt, dass sämtliche, aus dem Netzwerk übermittelten elektronischen Nachrichten zunächst das Computer-System erreichen und dort analysiert werden. Es gelangen keine ungeprüften elektronischen Nachrichten auf die Datenverarbeitungseinheit des Anwenders.
  • In einer Weiterbildung der Erfindung ist das Prüfmodul dazu ausgebildet, eine Kopie der Nachricht zusammen mit einem der Kopie zugeordneten Identifikationskennzeichen anzulegen und eine Kopie der Nachricht mit einer Liste von Identifikationskennzeichen von bereits abgelegten Nachrichten abzugleichen und bei positivem Ergebnis ein Prüfprotokoll an den Anwender auszugeben.
  • Gemäß einer weiteren Variante der Erfindung ist vorgesehen, dass bei negativem Ergebnis der Prüfung auf Schadsoftware das Weiterleitungsmodul die Nachricht an den Anwender zusammen mit einem Prüfprotokoll weiterleitet und die gespeicherte Kopie der Nachricht löscht.
  • Erfindungsgemäß ist das Prüfmodul dazu ausgebildet, ausführbare Bestandteile der elektronischen Nachricht, insbesondere Hyperlinks oder ausführbare Dateien, auszuführen und das Computer-System auf Veränderungen, insbesondere des Betriebssystems und/oder des Firmware-Moduls bzw. BIOS-Systems, zu überprüfen.
  • Es kann ferner vorgesehen sein, dass das Prüfmodul dazu ausgebildet ist, Schadsoftware in den Anhängen der Nachricht zu öffnen und/oder auszuführen und das Computer-System auf Veränderungen, insbesondere des Betriebssystems und/oder des Firmware-Moduls bzw. BIOS-Systems, zu überprüfen.
  • Gemäß einer Weiterbildung der Erfindung ist ein Wiederherstellungsmodul zum Löschen der Kopie der elektronischen Nachricht im Computer-System und/oder zum Zurücksetzen der Systemdateien und/oder BIOS-Dateien des Computer-Systems in den Ausgangszustand vor Beginn der Prüfung bzw. des Abwehr-Verfahrens vorgesehen. Auf diese Weise wird das Computer-System stets von unnötigen Daten befreit und „sauber“ gehalten.
  • Eine weitere vorteilhafte Ausgestaltung der Erfindung sieht ein Fernwartungsmodul für einen Zugriff auf das Computer-System über das Netzwerk zu Wartungszwecken vor.
  • Das Fernwartungsmodul kann extern, beispielsweise beim Betreiber des Prüfverfahrens installiert sein. Bei der Inbetriebnahme des Computer-Systems wird die IP-Adresse automatisch vergeben, es sei denn, der Anwender nutzt eine feste IP-Adresse. Das Computer-System meldet sich nach der Inbetriebnahme automatisch beim Fernwartungsmodul unter der Angabe der anwenderspezifischen Daten, beispielsweise einer Kundennummer, Password oder dergleichen und der gültigen IP-Adresse an. Somit ist das Fernwartungsmodul in der Lage mit dem Computer-System zu kommunizieren. Das Computer-System kann vom Fernwartungsmodul für den Betrieb „freigeschaltet“ werden.
  • Vor der Freischaltung überprüft das Fernwartungsmodul die im Computer-System laufenden Betriebssysteme, Firmware und BIOS-Dateien auf Vollständigkeit und deren Zustand mittels Checksummenvergleich und/oder anderer Prüfverfahren. Erst nach diesen Prüfungsvorgängen und der Erkennung des „gesunden“ Zustands erfolgt die Freischaltung des Computer-Systems. Kann das Computer-System nach einem erfolgten Angriff die infizierte/n Datei/en nicht selbständig zurücksetzen, beispielsweise mittels Wiederherstellungsmodul im Computer-System, wird der Empfang weiterer Nachrichten gestoppt und das Fernwartungsmodul wird vom Computer-System automatisch benachrichtigt.
  • Mit der Benachrichtigung werden auch entsprechende Prüfungsergebnisse und das Prüfprotokoll an das Fernwartungsmodul übermittelt. Durch das Fernwartungsmodul können die infizierte/n Datei/en im Computer-System eliminiert und durch die Ursprungsdatei/en ersetzt werden.
  • Ist die Ersetzung der Dateien mittels Fernwartung aufgrund eines massiven Angriffs nicht möglich, kann der Anwender telefonisch informiert und die Hardware durch Einsatz eines Technikers ausgetauscht werden.
  • Außerdem kann das Fernwartungsmodul periodisch und automatisch an alle angemeldeten Computer-Systeme die Updates der Prüfungssoftware sowie alle sicherheitsrelevanten Updates des Betriebssystems, Firmware und BIOS-Dateien übertragen.
  • Weitere Ziele, Vorteile, Merkmale und Anwendungsmöglichkeiten der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels anhand der Zeichnung. Dabei bilden alle beschriebenen und/oder bildlich dargestellten Merkmale für sich oder in beliebiger sinnvoller Kombination den Gegenstand der vorliegenden Erfindung, auch unabhängig von ihrer Zusammenfassung in den Ansprüchen oder deren Rückbeziehung.
  • Dabei zeigen zum Teil schematisch:
    • 1 ein erfindungsgemäßes Computer-System, welches zwischen einem Netzwerk und einer Datenverarbeitungseinheit angeordnet ist und
    • 2 eine Detailansicht des Computer-Systems gemäß 1.
  • Gleiche oder gleichwirkende Bauteile werden in den nachfolgend dargestellten Figuren der Zeichnung anhand einer Ausführungsform mit Bezugszeichen versehen, um die Lesbarkeit zu verbessern.
  • Aus 1 und der Detailansicht gemäß 2 geht ein Verfahren und ein Computer-System 10 hervor zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten 1, wie E-Mails, über ein öffentlich zugängliches Netzwerk 2 auf eine mit dem Netzwerk 2 verbundene Datenverarbeitungseinheit (DV-Einheit) 3 eines Anwenders mit den folgenden, insbesondere mit dem Computer-System 10 auszuführenden, Schritten:
    1. a. Vorprüfung der elektronischen Nachricht 1 auf bekannte Schadsoftware, insbesondere Viren, mittels eines in 2 dargestellten Scanmoduls 4,
    2. b. bei negativem Ergebnis der Vorprüfung Weiterleitung zu wenigstens einer Hauptprüfung der elektronischen Nachricht 1 mit einem Prüfmodul 5 zur Analyse der elektronischen Nachricht 1 auf wiederholten Empfang und/oder auf Schadsoftware im Text der Nachricht 1 und/oder auf Schadsoftware in den Anhängen der Nachricht 1,
    3. c. bei positivem Ergebnis der Hauptprüfung erfolgt ein Zurückhalten der elektronischen Nachricht 1 und ein Weiterleiten eines Prüfprotokolls 9 mittels eines Weiterleitungsmoduls (6) an den Anwender und bei negativem Ergebnis der Hauptprüfung der elektronischen Nachricht 1 erfolgt eine Weiterleitung der Nachricht 1 mittels Weiterleitungsmodul (6) an den Anwender zusammen mit dem Prüfprotokoll 9.
  • Die Überprüfung der IT-Infrastruktur, d.h. der Datenverarbeitungseinheit (DV) 3 des Anwenders beginnt nach jedem Boot-Vorgang der DV-Einheit 3 und nach Einschalten des Computer-Systems 10.
  • Das Scanmodul 4 kann beispielsweise ein Virenscanner sein, der eine erste Überprüfung der elektronischen Nachricht 1, beispielsweis der E-Mails, auf Viren etc. übernimmt. Erkennt der Virenscanner 4 keine Viren etc., so wird die Nachricht 1 zur weiteren Überprüfung an das Computer-System 10 übergeben und den weiteren, entsprechenden Prüfungsverfahren unterzogen.
  • Es kann ferner ein BIOS-Scanner aktiviert werden, der nach Schadsoftware im kompletten BIOS im Computer-System 10 sucht und diese eliminiert.
  • Obwohl diese Art von Angriffen in der Regel nicht auf Einzelanwender oder beispielsweise kleine oder mittelgroße Unternehmen abzielen, könnte während des laufenden Betriebs Schadsoftware zwischen dem Boot- und Systembereich der DV-Einheit 3 eingebracht worden sein, die erst nach einem erneuten Boot der DV-Einheit 3 wirksam wird. Dieser Angriff wird durch den Einsatz eines Boot-Scanners erkannt und in der Regel auch behoben. Alternativ oder zusätzlich kann eine Fernwartung mittels Fernwartungsmodul 15 und/oder Techniker-Einsatz veranlasst werden. Darüber hinaus kann das Computer-System 10 vom Fernwartungsmodul 15 für den Betrieb „freigeschaltet“ werden, nachdem das Fernwartungsmodul 15 die im Computer-System 10 laufenden Betriebssysteme, Firmware und BIOS-Dateien auf Vollständigkeit und deren Zustand mittels Checksummenvergleich und/oder anderer Prüfverfahren überprüft. Für den Fall, dass das Computer-System 10 nach einem erfolgten Angriff die infizierte/n Datei/en nicht selbständig zurücksetzen kann, wird der Empfang weiterer Nachrichten 1 gestoppt und das Fernwartungsmodul 15 wird vom Computer-System 10 automatisch benachrichtigt.
  • Innerhalb des erfindungsgemäßen Computer-Systems 10 befinden sich keinerlei Anwenderdaten, wie Passwörter, Zugriffsinformationen auf andere Internetseiten oder dergleichen. Es werden lediglich die E-Mail-Adresse und Eingang in das Anwendersystem inkl. den dazugehörigen Passwörtern zu Verfügung gestellt und im Computer-System 10 in einem Speichermodul 7 abgelegt.
  • Das Prüfmodul 5 ist dazu ausgebildet, eine Kopie 11 der Nachricht 1 zusammen mit einem der Kopie 11 zugeordneten Identifikationskennzeichen 12 im Speichermodul 7 anzulegen und eine Kopie 11 der Nachricht 1 mit einer Liste von Identifikationskennzeichen 12 von bereits abgelegten Nachrichten 1 abzugleichen und bei positivem Ergebnis das entsprechende Prüfprotokoll 9 an den Anwender auszugeben.
  • Bei negativem Ergebnis der Prüfung auf Schadsoftware leitet das Weiterleitungsmodul 6 die Nachricht 1 an den Anwender zusammen mit einem Prüfprotokoll 9 weiter und löscht die gespeicherte Kopie 11 der Nachricht 1.
  • Die eingehende (Ursprungs-) E-Mail 1 wird als Kopie 11 bis zum Ende aller Prüfungen vorgehalten, da durch das Öffnen der Links oder der Anhänge möglicherweise ein Angriff auf die ursprüngliche E-Mail 1 selbst vorgenommen werden könnte. Das Prüfprotokoll 9 enthält alle relevanten Daten der ursprünglichen E-Mail 1. Aus diesem Grund werden die E-Mail 1 und die (infizierte) E-Mail sowie die Kopie 11 nicht mehr benötigt.
  • Vor Weitergabe des Prüfprotokolls 9 an den Anwender am Ende der Prüfungen erfolgt ein sogenannter „Soll-Ist-Vergleich“ der eingegangenen E-Mail 1 mit der Kopie 11. Stellt sich heraus, dass die eingegangene Ursprungsmail 1 zur Kopie 11 unterschiedlich ist, wird die Kopie 11 zur Nutzung weiterer Maßnahmen „eingefroren“ und das Prüfprotokoll 9 enthält einen entsprechenden Hinweis.
  • Ferner ist das Prüfmodul 5 dazu ausgebildet, ausführbare Bestandteile der elektronischen Nachricht 1, insbesondere Hyperlinks oder Dateien, auszuführen und das Computer-System 10 auf Veränderungen, insbesondere des Betriebssystems 13 und/oder des Firmware-Moduls 14 bzw. BIOS-Systems, zu überprüfen.
  • Darüber hinaus ist das Prüfmodul 5 dazu ausgebildet, Schadsoftware in den Anhängen der Nachricht 1 zu öffnen und/oder auszuführen und das Computer-System 10 auf Veränderungen, insbesondere des Betriebssystems 13 und/oder des Firmware-Moduls 14 bzw. BIOS-Systems, zu überprüfen.
  • Das Speichermodul 7 ist zum Speichern der Prüfergebnisse und Prüfprotokolle 9 zusammen mit einem Identifikationskennzeichen 12 zu der elektronischen Nachricht 1 vorgesehen. Wie erwähnt, wird der elektronischen Nachricht 1 ein internes Identifikationskennzeichen 12 zzgl. einer laufenden Nummer zugewiesen, über das ein wiederholter Empfang der gleichen elektronischen Nachricht ausgeschlossen werden kann. Über diese Maßnahme wird ein möglicher DoS bzw. DDoS-Angriff im Vorfeld erkannt. Die Ergebnisse des jeweiligen Scanvorgangs werden mittels Speichermodul 7 in einer Datenbank gespeichert und mit den Ergebnissen des vorherigen Scans verglichen. Bei Unstimmigkeiten wird die Schadsoftware entfernt und die Reparatur der Firmware 14 bzw. des BIOS gewährleistet.
  • Ein Wiederherstellungsmodul 8 ist zum Zurücksetzen des Computer-Systems 10 auf den Ausgangszustand vor Beginn der Prüfung der Nachricht 1 vorgesehen.
  • Gemäß 1 kann das Computer-System 10 mehrere im Computer-System 10 parallel betriebene Betriebssysteme 13 und/oder mehrere im Computer-System 10 parallel betriebene Firmware-Module 14, insbesondere BIOS oder Unified Extensible Firmware Interface (kurz UEFI), aufweisen, wobei die elektronische Nachricht 1 auf wenigstens einem Betriebssystem 13 und/oder einem Firmware-Modul 14 bzw. BIOS-System Veränderungen bewirken kann und wenigstens ein anderes Betriebssystem 13 und/oder wenigstens ein anderes Firmware-Modul 14 bzw. BIOS-Systeme isoliert betrieben wird, so dass die zu prüfende elektronische Nachricht 1 auf dieses keine Veränderungen bewirken kann.
  • Wie aus 1 und 2 weiter hervorgeht, ist das Computer-System 10 zwischen dem Netzwerk 2 und der Datenverarbeitungseinheit (DV-Einheit) 3 angeordnet.
  • Ein Wiederherstellungsmodul 8 ist zum Löschen der Kopie 11 der elektronischen Nachricht 1 im Computer-System 10 und/oder zum Zurücksetzen der Systemdateien und/oder BIOS-Dateien des Computer-Systems 10 in den Ausgangszustand vor Beginn der Prüfung bzw. des Abwehr-Verfahrens vorgesehen.
  • Das Computer-System 10 kann als Personal Computer (PC), USB-Stick, Single-Board-Computer oder Chip-Lösung ausgebildet sein.
  • Nachfolgend wird das Verfahren zur Abwehr eines Angriffes von Schadsoftware näher erläutert.
  • Wie erwähnt, besteht das Computer-System 10 aus einer bzw. mehreren Hardware-Einheit/en sowie einer Software.
  • Die Software des Computer-Systems 10 absolviert und kontrolliert die Funktionen der Prüfprozesse, der einzelnen Komponenten bzw. Module und den Datenfluss innerhalb des Computer-Systems 10. Das Computer-System 10 stellt die einzige Schnittstelle zwischen IT-Infrastruktur des Anwenders und dem Netzwerk, beispielsweise dem Internet, dar.
  • Das Computer-System 10 bildet ein autarkes System und kann, ohne Veränderung der Hard- und Software des Anwenders/Adressaten, in die bestehende Anwenderumgebung eingebracht werden. Lediglich die Modifizierung der (sekundären) E-Mail-Adresse wird vom Anwendersystem zugelassen.
  • Das der Systemumgebung des Anwenders vorgeschaltete Computer-System 10 verhindert die direkte Zustellung von elektronischen Nachrichten, insbesondere E-Mails 1 an den Anwender, und kann nicht umgangen werden.
  • Das Computer-System 10 wird dem/den Empfangsgerät/en 3 des Anwenders vorgeschaltet und empfängt und überprüft sämtliche eingehenden E-Mails 1 bzw. die Inhalte der eingehenden Datenpakete auf Schadsoftware, wie z.B. Trojaner, Phishing-Software, Spyware, Malware etc. und deren möglichen Auswirkungen auf die nachgeschalteten Systeme.
  • Im vorliegenden Ausführungsbeispiel weist das Computer-System 10 wenigstens folgende Komponenten auf. Ein anwendereigenes oder vom Anwender bereitgestelltes Virenschutzprogramm, ein BIOS 1 (Aktives BIOS) und BIOS 2 (Vergleichs-BIOS, Kopie), ein erstes Betriebssystem 13 (Aktives Betriebssystem) sowie ein zweites Betriebssystem 13 (Vergleichs-Betriebssystem, Kopie), eine E-Mail-Anwendung (primäres E-Mail-System), eine Analyse-Software inkl. Funktionstest-Software.
  • Zunächst wird sichergestellt, dass die Verbindung zum Internet/Intranet ausschließlich über das Computer-System 10 und nicht dagegen über die zu schützende IT-Infrastruktur, d.h. die DV-Einheit 3, erfolgt. Auf diese Weise durchläuft sämtlicher Datenverkehr vom Netzwerk das Computer-System 10 bevor er an die DV-Einheit 3 gelangt.
  • In dem Computer-System 10 befinden sich mindestens ein aktives BIOS und ein aktives Betriebssystem 13 sowie eine zweite gesicherte, d.h. „gesunde“ und nicht beschreibbare Version einer vollständigen Systemsoftware, insbesondere Systemdateien oder BIOS.
  • In dem Computer-System 10 wird die originale E-Mail-Anwendung als primäre E-Mail-Anwendung genutzt. Auf dem Anwendersystem ist eine zweite E-Mail-Anwendung als Kopie der originalen E-Mail-Anwendung installiert, welche als sekundäre E-Mail-Anwendung bezeichnet wird. Der Empfang aller E-Mails ist ausschließlich der primären E-Mail-Anwendung vorbehalten.
  • Diese Änderung der E-Mail-Adresse und/oder des/der Passwortes/Passwörter für das E-Mail-Postfach stellt sicher, dass von der sekundären E-Mail-Anwendung, d. h. vom Anwendersystem, E-Mails 1 nicht direkt empfangen werden können. Der Empfang aller E-Mails 1 ist ausschließlich der primären E-Mail-Anwendung vorbehalten.
  • Im Gegenzug werden die zur Versendung bestimmten E-Mails 1 an das Computer-System 10 geroutet und dort mit den originalen Absenderdaten der primären E-Mail-Anwendung versehen und dann an den jeweiligen Empfänger verschickt. Der Adressat erkennt nicht, dass die ihm zugestellte E-Mail unter der sekundären Absenderadresse erstellt worden ist, sondern erkennt ausschließlich die - ihm bekannte - primäre Absenderadresse.
  • Wesentlich ist, dass der Eingang aller E-Mails 1 ausschließlich im Computer-System 10 erfolgt.
  • Ferner wird jeder E-Mail 1 eine interne ID-Nummer 12, d.h. eine interne Kennung mit einer laufenden Nummer, zugewiesen und in einer gesicherten Datei im Speichermodul 7 gespeichert.
  • Das Computer-System 10 führt Links, ausführbare Dateien und Anhänge der E-Mail 1 explizit aus bzw. öffnet diese. Dadurch können Attacken durch das Computer-System 10 bewusst ausgelöst und analysiert werden.
  • Das Ergebnis dieser Attacken schlägt sich somit zwangsweise im aktiven Betriebssystem 13 oder im aktiven BIOS im Computer-System 10, nicht dagegen in der DV-Einheit 3 des Anwenders nieder, indem das Computer-System 10 die zerstörerische Wirkung der Schadsoftware in den aktiven Bereichen des Computer-Systems 10 absichtlich entfalten lässt.
  • Prüfung durch Virenscanner auf Attacken
  • Jede eingehende E-Mail 1 wird zunächst von einem Scanmodul 4, beispielsweise einem Virenscanner geprüft. Erkennt der Virenscanner 4 bereits Viren, so wird diese E-Mail 1 vom weiteren Datenverkehr ausgeschlossen. Die befallene E-Mail 1 kann dann entsprechend behandelt werden.
  • Die infizierte E-Mail wird jedoch weiterhin im Computer-System 10 vorgehalten und dort, versehen mit der Identifikationsnummer (ID-Nummer) 12 und einem sogenannten „invalid flag“ gekennzeichnet und in einer Datenbank des Speichermoduls 7 gespeichert. Diese Datenbank kann auch als „black-list“ bezeichnet werden.
  • Danach wird die infizierte E-Mail 1 gelöscht.
  • Jede eingehende E-Mail 1 wird im Vorfeld der weiteren Verarbeitung mit den Informationen in den „black-lists“ verglichen. Für den Fall, dass eine gleiche oder gleichartige E-Mail 1 erneut empfangen wird, aber vom Scanmodul 4 nicht als infizierte E-Mail 1 erkannt wird, kann das Computer-System 10 erkennen, dass es sich um eine infizierte E-Mail 1 handeln könnte. Wiederholte Sendungen von E-Mails 1 mit gleichem oder ähnlichem Inhalt können somit im Vorfeld bereits erkannt werden und der weiteren Verarbeitung durch das Computer-System 10 zugeführt werden.
  • Der Anwender wird darüber hinaus vom Computer-System 10 per Prüfprotokoll 9 über alle Aktivitäten und über die Inhalte der E-Mail 1 umfassend informiert und kann bei dem Ergebnis „invalid-flag“, d.h. bei einer befallenen E-Mail, falls gewünscht bzw. erforderlich, entsprechende Maßnahmen anstoßen, um ggf. Behörden etc. zur Strafverfolgung zu informieren.
  • Hat das Scanmodul 4 keine Viren oder dergleichen erkannt, wird die E-Mail 1 nach Speicherung der relevanten Daten in dem Speichermodul 7 der weiteren Prüfung durch das Computer-System 10 unterzogen.
  • Prüfung auf wiederholten Empfang von E-Mails 1 mit gleichem Inhalt
  • Bei der Prüfung der E-Mails 1 mittels Prüfmodul 5 wird die elektronische Nachricht 1 auf wiederholten Empfang geprüft. Bei bereits gespeicherter ID-Nummer 12 liegt eine Wiederholung des Empfangs der E-Mail 1 vor und die laufende Nummer kann beispielsweise um den Wert „1“ erhöht werden. Erreicht die laufende Nummer beispielsweise einen Wert größer als 30, kann davon ausgegangen werden, dass ein DoS/DDoS-vergleichbarer Angriff vorliegt. Daraufhin kann die Absenderadresse der E-Mail 1 blockiert werden. Von diesem Absender werden ab diesem Zeitpunkt keine E-Mails 1 mehr empfangen. Die E-Mail 1 wird mit der Bezeichnung „multiple“ gekennzeichnet und in der Datenbank des Speichermoduls 7 gespeichert.
  • Der Anwender wird darüber hinaus vom Computer-System 10 per Prüfprotokoll 9 über alle Aktivitäten und über die Inhalte der E-Mail 1 umfassend informiert und kann bei dem Ergebnis „multiple“, falls gewünscht bzw. erforderlich, entsprechende Maßnahmen anstoßen.
  • Textprüfung und Prüfung auf Links in der E-Mail 1
  • Nach Viren- und Wiederholungsprüfung erfolgt die Prüfung des Textes der E-Mail 1 auf versteckte Schadsoftware und verdächtige Dateiendungen, ebenfalls mittels Prüfmodul 5. Sind Auffälligkeiten dieser Art vorhanden oder führen beispielsweise Hyperlinks in der E-Mail 1 zu Eingabeaufforderungen, werden die Dateien bzw. Links explizit ausgeführt, um zu erkennen, ob es sich um einen Angriff mit Schadsoftwareinhalt auf die DV-Einheit 3 des Anwenders handelt.
  • Zu diesem Zweck öffnet das Computer-System 10 jegliche, im Text der E-Mail 1 genannten Dateien und jeglichen implementierten Hyperlink und führt sie in der aktiven Computer-System 10-Umgebung aus. Bei einer, durch die Öffnung und Verarbeitung ausgelösten Attacke muss zwangsläufig in den aktiven Computer-System- 10 bzw. BIOS-Bereichen eine Veränderung erfolgt sein.
  • Die gesamten aktiven System- und BIOS-Dateien können mittels Checksummenvergleich und anderen, hoch effizienten Vergleichsverfahren mit den vorhandenen „geschlossenen, gesicherten, gesunden“ und nicht beschreibbare Dateien verglichen werden und es wird festgestellt, ob es sich um eine mit „invalid flag“ gekennzeichnete E-Mail 1 handelt.
  • Eine solche E-Mail 1 wird keinesfalls in dem empfangenen Umfang an den Anwender ausgeliefert.
  • Die infizierte E-Mail 1 wird jedoch weiterhin in dem Computer-System 10 vorgehalten und dort mit „invalid flag“ gekennzeichnet und in der Datenbank des Speichermoduls 7 („black list“) gespeichert.
  • Der Anwender wird darüber hinaus vom Computer-System 10 per Prüfprotokoll 9 über alle Aktivitäten und über die Inhalte der E-Mail 1 informiert.
  • Hat das Computer-System 10 keine Attacke erkannt, wird die E-Mail 1 nach Speicherung der relevanten Daten der weiteren Prüfung mittels Prüfmodul 5 unterzogen.
  • Prüfung der Attachements mittels Prüfmodul 5
  • Das Prüfmodul 5 des Computer-Systems 10 öffnet die vorhandenen Anhänge der E-Mail 1 und prüft sie auf verdächtige Dateiendungen. Für den Fall, dass ausführbare Dateien vorliegen, werden diese ausgeführt.
  • Ergibt es sich, dass diese erkannten Ausführungsdateien auf Systemdateien bzw. das BIOS usw. der DV-Einheit 3 zugreifen wollen, wird, wenn möglich, der Zugriff bereits im Vorfeld blockiert.
  • Können diese Zugriffe nicht erkannt werden, so ist eine Blockade dieser Zugriffe nicht möglich. Dann wird vom Computer-System 10 die Veränderung des Systems, d. h. des Computer-Systems 10, nicht dagegen der DV-Einheit 3 des Anwenders, durch diese Angriffe explizit zugelassen. Es müssen dann zwangsläufig in den, für die Attacken „offenen“ Systemdateien und/oder die „offenen“ BIOS-Dateien usw. Veränderungen stattgefunden haben.
  • Alle „offenen“ Systemdateien und und/oder die „offenen“ BIOS-Dateien werden mittels Checksummen-Vergleich mit den vorhandenen „geschlossenen, gesicherten, gesunden“ und nicht beschreibbaren Dateien verglichen. Das Computer-System 10 kennzeichnet diese E-Mail 1 dann mit „invaild flag“.
  • Die E-Mail 1 wird keinesfalls in dem empfangenen Umfang an den Anwender ausgeliefert.
  • Hat das Computer-System 10 diese Tatsache festgestellt, wird die E-Mail 1 nach Speicherung der relevanten Daten in einer Datenbank, den „blacklists“, gelöscht.
  • Der Anwender wird darüber vom Computer-System 10 per Prüfprotokoll 9 informiert.
  • Auslieferung der E-Mail an den Anwender
  • Erst wenn vom Computer-System 10 erkannt wurde, dass keine Viren, Angriffe im Text und/oder im Anhang der E-Mail 1 vorhanden sind, wird die E-Mail 1 inklusive einem Prüfprotokoll 9 mittels Weiterleitungsmodul 6 an den Anwender ausgeliefert und die gespeicherte und geprüfte Kopie 16 der nicht infizierten E-Mail 1 in allen relevanten Dateien der Computer-System 10 gelöscht. le Inhalte der eingegangenen, infizierten E-Mails 1 werden im Computer-System 10 gespeichert. Speicherkriterien sind die ID-Nummer 12 und alle Informationssegmente.
  • Sämtliche Ergebnisse der vorgenommenen Prüfungen werden in Prüfdateien gespeichert und in Prüfprotokollen 9 niedergelegt.
  • Die infizierten Systemdateien und BIOS-Dateien usw. werden mittels Wiederherstellungsmodul 8 „zurückgesetzt“, d.h. mittels Formatierung gelöscht und durch die vorhandenen, „gesunden“ Dateien wiederhergestellt.
  • Beschädigte BIOS- /und/oder Systemdateien werden nach erfolgter Abarbeitung aller Prüfungen und entsprechend aller abgeschlossener Aktivitäten gelöscht/formatiert und sofort neu aufgebaut. Sie werden vom Computer-System 10 durch die Ursprungsdatei, d.h. die „gesunde Datei“ ersetzt.
  • Bei hohem E-Mail-Aufkommen ist der Parallel-Betrieb von mehreren Computer-Systemen 10 problemlos möglich.

Claims (17)

  1. Verfahren zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten (1), wie E-Mails, über ein öffentlich zugängliches Netzwerk (2) auf eine mit dem Netzwerk (2) verbundene Datenverarbeitungseinheit (3) mit den folgenden, mit einem Computer-System (10) auszuführenden Schritten: a. Vorprüfung der elektronischen Nachricht (1) auf bekannte Schadsoftware, insbesondere Viren, b. bei negativem Ergebnis der Vorprüfung Weiterleitung zu wenigstens einer Hauptprüfung der elektronischen Nachricht (1) mit Analyse der Nachricht (1) auf wiederholten Empfang und/oder auf Schadsoftware im Text der Nachricht (1) und/oder auf Schadsoftware in den Anhängen der Nachricht (1), c. bei positivem Ergebnis der Hauptprüfung erfolgt ein Zurückhalten der Nachricht (1) und ein Weiterleiten eines Prüfprotokolls (9) an den Anwender und bei negativem Ergebnis der Hauptprüfung der elektronischen Nachricht (1) erfolgt eine Weiterleitung der Nachricht (1) an den Anwender zusammen mit dem Prüfprotokoll (9), d. bei der Hauptprüfung mit Analyse auf Schadsoftware werden im Text der Nachricht (1) ausführbare Bestandteile, insbesondere Hyperlinks oder ausführbare Dateien, ausgeführt und in den Anhängen der Nachricht (1) werden die Anhänge geöffnet und ausgeführt und das Computer-System (10) wird auf Veränderungen, insbesondere mittels Checksummenvergleich, geprüft, wobei alle Betriebssystem-Dateien und die BIOS-Dateien auf Veränderungen geprüft werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei einem positiven Ergebnis der Vorprüfung, insbesondere bei einer Detektion von Viren in der Nachricht (1), diese zurückgehalten und ein Prüfprotokoll (9) an den Anwender übermittelt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass eine Kopie (11) der Nachricht (1) zusammen mit einem der Kopie (11) zugeordneten Identifikationskennzeichen (12) angelegt wird.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass bei der Hauptprüfung mit Analyse auf wiederholten Empfang der Nachricht (1) die Kopie (11) der Nachricht (1) mit einer Liste von Identifikationskennzeichen (12) von bereits im Computer-System (10) abgelegten Nachrichten (1) abgeglichen und bei positivem Ergebnis ein Prüfprotokoll (9) an den Anwender ausgegeben wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Computer-System (10) mittels Checksummenvergleich auf Veränderungen geprüft wird.
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Veränderungen im Computer-System (10) durch Abgleich, insbesondere mittels Checksummenvergleich, von mehreren im Computer-System (10) parallel betriebenen Betriebssystemen (13) und/oder Firmware-Modulen (14) bzw. BIOS-Systemen ermittelt werden, wobei die elektronische Nachricht (1) auf wenigstens einem Betriebssystem (13) und/oder einem Firmware-Modul (14) bzw. BIOS-System Veränderungen bewirken kann und wenigstens ein anderes Betriebssystem (13) und/oder wenigstens ein anderes Firmware-Modul (14) bzw. BIOS-Systeme isoliert betrieben wird, so dass die zu prüfende elektronische Nachricht (1) auf dieses keine Veränderungen bewirken kann.
  7. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass eine Kopie (16) der geprüften Nachricht (1) mit deren Identifikationsnummer (12) gespeichert und/oder das Computer-System (10) zum Ausführen des Verfahrens, insbesondere die Systemdateien und/oder BIOS-Dateien, in den Ausgangszustand vor Beginn der Prüfung bzw. des Abwehr-Verfahrens zurückgesetzt wird.
  8. Computer-System (10) zum Ausführen des Verfahrens nach einem der vorherigen Ansprüche, zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten (1), wie E-Mails, über ein öffentlich zugängliches Netzwerk (2) auf eine mit dem Netzwerk (2) verbundene Datenverarbeitungseinheit (3), wobei das Computer-System (10) mit dem Netzwerk (2) und der Datenverarbeitungseinheit (3) verbunden ist und a. ein Scanmodul (4) zum Prüfen der elektronischen Nachricht (1) auf bekannte Schadsoftware, insbesondere Viren, aufweist, b. welches wenigstens einem Prüfmodul (5) zur Analyse der Nachricht (1) auf wiederholten Empfang und/oder auf Schadsoftware im Text der Nachricht (1) und/oder auf Schadsoftware in den Anhängen der Nachricht (1) vorgeschaltet ist, wobei das Prüfmodul (5) dazu ausgebildet ist, ausführbare Bestandteile der elektronischen Nachricht (1), insbesondere Hyperlinks oder ausführbare Dateien, auszuführen und das Computer-System (10) auf Veränderungen des Betriebssystems (13) und/oder des Firmware-Moduls (14) bzw. BIOS-Systems zu überprüfen und mit c. einem Weiterleitungsmodul (6) zum Weiterleiten der geprüften Nachricht (1) und/oder eines Prüfprotokoll (9) an einen Anwender, wobei d. das Prüfmodul (5) dazu ausgebildet ist, Schadsoftware in den Anhängen der Nachricht (1) zu öffnen und auszuführen und das Computer-System (10) auf Veränderungen des Betriebssystems (13) und des Firmware-Moduls (14) bzw. BIOS-Systems zu überprüfen.
  9. Computer-System (10) nach Anspruch 8, dadurch gekennzeichnet, dass ein Speichermodul (7) zum Speichern der Prüfergebnisse und Prüfprotokolle zusammen mit einem Identifikationskennzeichen (12) zu der elektronischen Nachricht (1) vorgesehen ist.
  10. Computer-System (10) nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass ein Wiederherstellungsmodul (8) zum Zurücksetzen des Computer-Systems (10) auf den Ausgangszustand vor Beginn der Prüfung der Nachricht (1) vorgesehen ist.
  11. Computer-System (10) nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass es mehrere im Computer-System (10) parallel betriebene Betriebssysteme (13) und/oder mehrere im Computer-System (10) parallel betriebene Firmware-Module (14), insbesondere BIOS oder Unified Extensible Firmware Interface (kurz UEFI), aufweist, wobei die elektronische Nachricht (1) auf wenigstens einem Betriebssystem (13) und/oder einem Firmware-Modul (14) bzw. BIOS-System Veränderungen bewirken kann und wenigstens ein anderes Betriebssystem (13) und/oder wenigstens ein anderes Firmware-Modul (14) bzw. BIOS-Systeme isoliert betrieben wird, so dass die zu prüfende elektronische Nachricht (1) auf dieses keine Veränderungen bewirken kann.
  12. Computer-System (10) nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass es zwischen dem Netzwerk (2) und der Datenverarbeitungseinheit (3) angeordnet ist.
  13. Computer-System (10) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Prüfmodul (5) dazu ausgebildet ist, eine Kopie (11) der Nachricht (1) zusammen mit einem der Kopie (11) zugeordneten Identifikationskennzeichen (12) anzulegen und eine Kopie (11) der Nachricht (1) mit einer Liste von Identifikationskennzeichen (12) von bereits abgelegten Nachrichten (1) abzugleichen und bei positivem Ergebnis ein Prüfprotokoll (9) an den Anwender auszugeben.
  14. Computer-System (10) nach Anspruch 13, dadurch gekennzeichnet, dass bei negativem Ergebnis der Prüfung auf Schadsoftware das Weiterleitungsmodul (6) die Nachricht (1) an den Anwender zusammen mit einem Prüfprotokoll (9) weiterleitet und die gespeicherte Kopie (11) der Nachricht (1) löscht.
  15. Computer-System (10) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein Wiederherstellungsmodul (8) zum Löschen der Kopie (11) der elektronischen Nachricht (1) im Computer-System (10) und/oder zum Zurücksetzen der Systemdateien und/oder BIOS-Dateien des Computer-Systems (10) in den Ausgangszustand vor Beginn der Prüfung bzw. des Abwehr-Verfahrens vorgesehen ist.
  16. Computer-System (10) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein Fernwartungsmodul (15) für einen Zugriff auf das Computer-System (10) über das Netzwerk (2) zu Wartungszwecken vorgesehen ist.
  17. Computer-System (10) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass es als Personal Computer (PC), USB-Stick, Single-Board-Computer oder Chip-Lösung ausgebildet ist.
DE102019129253.0A 2019-10-30 2019-10-30 Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten Active DE102019129253B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019129253.0A DE102019129253B4 (de) 2019-10-30 2019-10-30 Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019129253.0A DE102019129253B4 (de) 2019-10-30 2019-10-30 Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten

Publications (2)

Publication Number Publication Date
DE102019129253A1 DE102019129253A1 (de) 2021-05-06
DE102019129253B4 true DE102019129253B4 (de) 2023-02-09

Family

ID=75485198

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019129253.0A Active DE102019129253B4 (de) 2019-10-30 2019-10-30 Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten

Country Status (1)

Country Link
DE (1) DE102019129253B4 (de)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069356A1 (en) 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus
WO2003017613A1 (de) 2001-08-07 2003-02-27 Ip-Online Gmbh Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US20050251862A1 (en) 2002-09-12 2005-11-10 Jarmo Talvitie Security arrangement, method and apparatus for repelling computer viruses and isolating data
DE10241974B4 (de) 2002-09-11 2006-01-05 Kämper, Peter Überwachung von Datenübertragungen
US20060021029A1 (en) 2004-06-29 2006-01-26 Brickell Ernie F Method of improving computer security through sandboxing
DE102006026637A1 (de) 2006-06-08 2007-12-13 Deutsche Telekom Ag Verfahren und System zur Filterung elektronischer Nachrichten
US20080134336A1 (en) 2004-07-13 2008-06-05 Mailfrontier, Inc. Analyzing traffic patterns to detect infectious messages
US20110314546A1 (en) 2004-04-01 2011-12-22 Ashar Aziz Electronic Message Analysis for Malware Detection
US20180091453A1 (en) 2016-09-26 2018-03-29 Agari Data, Inc. Multi-level security analysis and intermediate delivery of an electronic message

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020069356A1 (en) 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
WO2003017613A1 (de) 2001-08-07 2003-02-27 Ip-Online Gmbh Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
DE10241974B4 (de) 2002-09-11 2006-01-05 Kämper, Peter Überwachung von Datenübertragungen
US20050251862A1 (en) 2002-09-12 2005-11-10 Jarmo Talvitie Security arrangement, method and apparatus for repelling computer viruses and isolating data
US20110314546A1 (en) 2004-04-01 2011-12-22 Ashar Aziz Electronic Message Analysis for Malware Detection
US20060021029A1 (en) 2004-06-29 2006-01-26 Brickell Ernie F Method of improving computer security through sandboxing
US20080134336A1 (en) 2004-07-13 2008-06-05 Mailfrontier, Inc. Analyzing traffic patterns to detect infectious messages
DE102006026637A1 (de) 2006-06-08 2007-12-13 Deutsche Telekom Ag Verfahren und System zur Filterung elektronischer Nachrichten
US20180091453A1 (en) 2016-09-26 2018-03-29 Agari Data, Inc. Multi-level security analysis and intermediate delivery of an electronic message

Also Published As

Publication number Publication date
DE102019129253A1 (de) 2021-05-06

Similar Documents

Publication Publication Date Title
DE60132833T2 (de) Computersystemschutz
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE102011056502A1 (de) Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE60122033T2 (de) Schutz von Computernetzen gegen böswillige Inhalte
CN105959250A (zh) 网络攻击黑名单管理方法及装置
Shrivastava et al. Network forensics: Today and tomorrow
Razumov et al. Developing of algorithm of HTTP FLOOD DDoS protection
DE10241974B4 (de) Überwachung von Datenübertragungen
Shahriar et al. OCL fault injection-based detection of LDAP query injection vulnerabilities
DE102019129253B4 (de) Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten
EP2987301B1 (de) Überwachung der funktionalität einer netzwerkfiltereinrichtung
Lamis A forensic approach to incident response
DE19734585C2 (de) Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen
DE202019106018U1 (de) Computer-System zur Abwehr eines Angriffs von Schadsoftware durch elektronische Nachrichten
Mate et al. Network Forensic Tool--Concept and Architecture
DE102005046935B4 (de) Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Zuweisen einer Schutzvorrichtung
EP1820293A2 (de) Systeme und verfahren zur implementierung von protokolldurchsetzungsregeln
DE102012208290A1 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
CN112422501A (zh) 正反向隧道防护方法、装置、设备及存储介质
Sato et al. An Evaluation on Feasibility of a Communication Classifying System
Kakade et al. JAVA based honeypot: Intrusion detection system

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final