Logo Increase Your Skills
Kontakt

Nie wieder Schadcode durch E-Mail-Anhänge?

IT-Sicherheit
28.08.2020
Profilbild Mann
Autor:in
Hannes Hartung

Gehören Phishingangriffe mit schädlichen Office-Anhängen, wie z. B. manipulierten Excel-Dateien, nun bald der Vergangenheit an? 

Durch das Testen von Dateien in sogenannten Sandboxes war es bisher schon möglich, Dateien auszuführen und zu schauen, ob diese schädliche Auswirkungen haben. Durch den Ausbau des aus Windows 10 bekannten Schutzmechanismus Application Guard ist es nun auch in Office 365 möglich, verdächtige Dokumente und Dateien isoliert zu öffnen. Ähnlich wie in anderen Sandbox-Systemen wird die Datei dann in einem von der restlichen Systemumgebung abgeschotteten Bereich ausgeführt und es können potentiell schädliche Auswirkungen im Vakuum betrachtet werden.

Was ist eine Auftragsverarbeitung?

Eine Auftragsverarbeitung liegt im Wesentlichen dann vor, wenn ein Unternehmen („Auftragsverarbeiter“¹ vgl. Art. 4 Nr. 8 DS-GVO) personenbezogene Daten im Auftrag eines anderen Unternehmens („Verantwortlicher“, vgl. Art. 4 Nr. 7 DS-GVO) verarbeitet. Charakteristisch für die Auftragsverarbeitung ist, dass der Auftragsverarbeiter gegenüber dem Verantwortlichen bei der Datenverarbeitung weisungsgebunden ist, aber gleichzeitig nicht in die Organisationsstruktur des Verantwortlichen eingebunden, also rechtlich eigenständig, ist. Der Verantwortliche gibt Zweck und Mittel der Datenverarbeitung vor und bleibt weiterhin für die Datenverarbeitung verantwortlich. Der Auftragsverarbeiter wiederum agiert quasi als „verlängerter Arm“ des Verantwortlichen und führt dessen ausgelagerte Tätigkeiten aus. Mit der beauftragten Datenverarbeitung verfolgt der Auftragsverarbeiter in der Regel keinen eigenen Verarbeitungszweck. Die DS-GVO trägt dieser Form der arbeitsteiligen Zusammenarbeit durch die Auftragsverarbeitung in Art. 28 DS-GVO Rechnung. Grundsätzlich muss eine Einwilligung der Betroffenen oder eine gesetzliche Erlaubnisnorm vorliegen, wenn personenbezogene Daten an Dritte weitergegeben werden. Auftragsverarbeiter sind jedoch nach der DS-GVO keine „Dritten“, sodass aus der Sicht des Verantwortlichen keine gesonderte Erlaubnisnorm zur Weitergabe der Daten (abgesehen von Art. 28 DS-GVO) vorhanden sein muss. Auftragsverarbeiter und Verantwortlicher bilden nach außen gegenüber den Betroffenen eine rechtliche Einheit. Typische Auftragsverarbeitungen sind zum Beispiel das Hosten von Daten durch Cloud-Dienstleistungsunternehmen, die Datenträgerentsorgung oder Newsletter-/Callcenter-Dienstleistungen.
In der Praxis lässt sich jedoch gar nicht so leicht bestimmen, wann eine Auftragsverarbeitung nun konkret vorliegt und wann nicht. Dies hat zuletzt die Problematik um „Steuerberater“ und „Google Analytics“ gezeigt.

Derzeit ist die Funktion allerdings erst in der Beta-Version verfügbar und muss installiert werden. Dazu existiert eine Anleitung von Microsoft, welche Sie unter folgendem Link abrufen können:
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide
 

Schutz aktivieren

Sind alle in der Anleitung beschriebenen Voraussetzungen erfüllt, können Administrator:innen die Sicherheitsfunktion in mehreren Schritten aktivieren. Nach dem Download und der Installation des Paketes „Application Guard“ für Office 365 wird der Eintrag „KB4559004 Issue 001 Preview“ im Gruppenrichtlinien-Manager im Bereich der administrativen Vorlagen sichtbar und muss aktiviert werden. Danach kann die Funktion „Microsoft Defender Application Guard“ im Bereich der Windows-Features eingeschaltet werden. Alle weiteren Infos zur Einrichtung werden von Microsoft in folgendem Artikel beschrieben:

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide

Wenn man nun z. B. ein Word-Dokument öffnet, erscheint oben rechts der Bereich „File opened in Application Guard“.

Office 365 ag confirm

In der Taskbar wird dies sichtbar, da die Datei mit einem Schutzschild gekennzeichnet ist.

Sandbox-Systeme

Eine Sandbox ist ein vom Rest der Systemumgebung abgeschotteter Bereich, in welchem Software ausgeführt werden kann. Damit können Funktionsweisen von Software getestet und Malware kann in einem geschützten Bereich analysiert werden. 

Vorteile sind:

  • Bessere Kontrolle
  • Es können nicht unbemerkt Ressourcen auf das Grundsystem nachgeladen oder verändert werden
  • Gleichzeitig in verschiedenen Umgebungen ausgeführte Programme nehmen aufeinander keinen Einfluss
  • Datenzugriff auf das Hostsystem ist ausgeschlossen 

Automatisierte Malware-Analysen mithilfe von Sandbox-Systemen sind allerdings nichts Neues und werden immer noch viel zu selten eingesetzt. Eine einfache Möglichkeit ist die Einrichtung des Open Source Analysesystems „Cuckoo“¹. Mithilfe solcher Systeme können unter anderem:

  • Verdächtige Files (Executables, Office-Dokumente, E-Mails, PDF-Dateien)
  • Netzwerk-Traffic
  • Memory

analysiert werden. Somit kann eine Datei vor der Ausführung auf dem eigenen PC oder Notebook vorher in einer isolierten Umgebung ausgeführt werden. Wenn dies in Zukunft direkt in der OfficeSuite möglich ist, wäre dies eine riesen Arbeitserleichterung und würde vielen Angreifenden zunächst ein wenig Schießpulver stehlen. In der Vergangenheit berichteten wir bereits über beispielsweise Verschlüsselungstrojaner. Diese Trojaner verbreiteten sich sehr häufig über schädliche Anhänge. Dies wäre dann in Zukunft nicht mehr so einfach möglich. 

¹Cuckoo Sandbox: leading open source automated malware analysis system, [online] https://cuckoosandbox.org/ [25.08.2020].