Für alle Windows 7 User heißt es bald Abschied nehmen. Das Support-Ende rückt in greifbare Nähe und auch mit den Updates ist Mitte Januar 2020 dann Schluss!
Trotz seit Jahren andauernder Versuche seitens Microsoft, die Nutzer dazu zu bewegen auf Windows 10 umzusteigen, ist Windows 7 bis jetzt die am weitesten verbreitete Windows-Version. Zumindest im Firmenumfeld. (Für uns ein No-go, weil ja schon jetzt ein „Security-Albtraum“…).
Anfang Januar 2020 werden dann einige wieder aus allen Wolken fallen, wenn es heißt: „Windows 7 steht vor dem Aus – keine Updates mehr! Was nun?“ Damit das unseren Kunden nicht passiert, machen wir jetzt schon darauf aufmerksam.
Technisch gesehen ist Win7 schon lange veraltet – vielen ist das aber ja egal, solange das System noch einigermaßen zuverlässig läuft. Auch wenn wir persönlich die Nutzung solch alter Software früher schon bedenklich finden: Am 14. Januar wird dann wirklich das allerletzte Update eingespielt. Sich dann erst Gedanken über einen Wechsel zu machen, ist einfach zu spät.
Extended Security Updates (ESU) gibt es für die Versionen Windows 7 Professional und Enterprise, falls der Anwender eine Volumenlizenz besitzt – und bereit ist, dafür zahlen! Die Preise berechnen sich aus der Geräteanzahl und sollen jährlich steigen. Ob sich das wirklich rentiert, muss dann wohl jeder selbst wissen…
Einfach zum Nachdenken:
Windows 8, 8.1 und alle Versionen von Windows 10 sind ja nicht komplett neu erfunden. Das bedeutet, wenn eine Sicherheitslücke in sagen wir Windows 10 bekannt und kurz darauf gefixt wird, ist es sehr wahrscheinlich, dass die gleich oder eine sehr ähnliche Lücke auch in Windows 7 besteht. Und dort wird sie dann nicht mehr gefixt. Darauf freuen sich die Cyber-Gangster dann schon sehr und senden Stunden später ihre angepassten Malware-Bomben aus.
Die 2 Support-Phasen
Unterschieden wird grundsätzlich zwischen „Mainstream“- und „Extended“-Support: Beim regulären Mainstream-Support werden in den ersten 5 Jahren sowohl Sicherheitslücken geschlossen, als auch Fehler behoben. Nach dieser grundlegenden Support-Phase folgt dann der Extended-Support, bei dem nur mehr Sicherheitslücken beseitigt werden.
Der Mainstream-Support bei Windows 7 endete bereits am 13. Januar 2015. Und wie erwähnt, endet die Extended-Support Phase für das OS Anfang nächsten Jahres. Am 14. Januar 2020 ist für Updates dann endgültig Ende im Gelände.
Was ist mit Windows 8 und 10?
Durch das Windows-8.1-Update werden für Win8 noch bis zum 10. Januar 2023 neue Updates installiert – danach ist anzunehmen, dass die Sicherheit auch hier deutlich sinken wird.
Langfristig empfehlen wir einen Umstieg auf Windows 10. Nicht nur zwecks Sicherheit und verlängertem Support – auch die Tatsache, dass die Nutzer theoretisch Updates auf ewig zum Nulltarif bekommen spricht dafür. Voraussetzung dafür ist natürlich, die Hardware kommt mit den folgenden Windows-Versionen klar…
Die Betrugsmasche – auch „Tech Support Scam“ genannt – die über einen angeblichen Anruf von Microsoft erfolgt, ist jetzt auch in Österreich angekommen. Nun hat uns auch einer unserer eigenen Kunden den Vorfall gemeldet…
Einer aufmerksamen Kundin ist es neulich merkwürdig vorgekommen, dass sie von einem Microsoft-Mitarbeiter mit starkem indischen Akzent, sowie schlechtem Englisch angerufen wurde (unter einer österreichischen Nummer wohlgemerkt). Dieser meldete ihr ein technisches Problem mit ihrem PC. Sie solle doch zu Ihrem Computer gehen und er würde das per Fernwartung für Sie reparieren. Als Außenstehender riecht man den Braten schon – zumindest jetzt beim Lesen. ;) Was dieser natürlich in Wirklichkeit vorhatte: Ihren Computer mit einem Verschlüsselungstrojaner zu infizieren und sie anschließend mit Bitcoins etc. zu erpressen.
Die Betrugsmasche: Aus alt mach neu!
Die Form des Telefonbetrugs ist eigentlich nicht neu. Schon 2014 haben Verbraucher und Unternehmen mit den Fake-Anrufen von falschen Microsoft-Mitarbeitern zu kämpfen gehabt. Nach einer kurzen Ruhephase, gehen die Abzock-Anrufe der vermeintlichen Support-Mitarbeiter in die nächste Runde:
Betrüger geben sich als Microsoft-Mitarbeiter aus und bringen ahnungslose Menschen um ihr Geld. Meistens (wie in unserem aktuellen Fall) erhalten die Empfänger vom Fake-Anrufer eine Viruswarnung und werden dazu aufgefordert, völlig überflüssige Hilfsmaßnahmen anzunehmen bzw. sich per Fernwartung helfen zu lassen.
Es ist natürlich vorprogrammiert, dass der Rechner danach mit Schad-Software infiziert ist.
Oftmals entpuppt sich das Fernwartungsprogramm selbst schon als gefährlicher Trojaner. Noch dreister: Für die vorgetäuschte Viren-Bereinigung wird dann auch noch Geld verlangt. Mit diesem Trick haben die Kriminellen laut einer Studie schon Millionen verdient. Die Meldung unserer Kundin ist leider kein Einzelfall. Anfangs haben sich die Vorfälle eher in den USA und Kanada ereignet. Der Support-Betrug dürfte sich allerdings nun auch auf Deutschland und Österreich konzentrieren.
Gegenmaßnahmen
Seitens Microsoft gab es aber zum Glück auch schon Gegeninitiativen, nachdem monatlich bis zu 11.000 Beschwerden von Betrugsopfern eingegangen sind. In Zusammenarbeit mit örtlichen Sicherheitsbehörden hat Microsoft in Neu-Delhi 16 Callcenter durchsuchen lassen. Die indische Hauptstadt ist bisher der Herd dieser Betrugsanrufe gewesen. Insgesamt gab es dort über 50 Festnahmen.
Wie wehrt man sich am besten?
Am besten sofort auflegen! Mitarbeiter von Microsoft rufen im Normalfall keine Kunden ungefragt an – genauso wenig fragen diese einfach so nach Telefonnummern oder fordern dazu auf, gefälschte Kundendienstnummern des Windows-Herstellers anzurufen. Auf offizielle Support-Anfragen, antwortet Microsoft fast ausschließlich per E-Mail.
Für alle, die – weil überrumpelt – doch auf einen dieser Anrufe reagiert haben:
Internetverbindung trennen: So kann der Anrufer nicht mehr auf Ihren PC zugreifen und weiteren Schaden anrichten.
PC ausschalten: Um ganz sicher zu gehen, fahren Sie Ihren PC herunter.
Jede installierte Software sofort löschen, alle übermittelten Passwörter ändern und das Gerät mit einem zuverlässigen Virenschutzprogramm untersuchen!
Natürlich schadet es auch nicht, den Betrugsversuch bei der örtlichen Polizei zur Anzeige zu bringen.
klenner.at’s persönlicher Geheimtipp:
Zum Glück hat uns die Kundin rechtzeitig angerufen, sodass wir das vor dem nächsten Anruf gleich aufklären konnten. Was wir ihr empfohlen haben: Diesem Menschen dezent mitzuteilen, dass da nun Anzeige erstattet wird. Falls das nichts helfen und sie weiterhin Anrufe bekommen sollte, haben wir ihr noch unseren äußerst effektiven Geheimtipp ans Herz gelegt:
Man besorge sich eine Trillerpfeife
Man blase mit vollster Inbrunst hinein – den Telefonhörer halte man dabei so nah wie möglich
Man warte auf den schmerzerfüllten Schrei am anderen Ende der Leitung
Warum es wichtig ist, seine Mitarbeiter öfter mal zu hinterfragen
Im Zuge unserer Mitarbeiter-Suche in den letzten Monaten haben wir uns auch Gedanken darüber gemacht, was wir NICHT mehr wollen. Gleichzeitig kamen die Fragen auf: „Was für Mitarbeiter suchen wir eigentlich? Welche Persönlichkeiten wollen wir im Team haben und welche Arbeitsmoral sollen Sie an den Tag legen?“ Die reine Qualifikation macht noch lang keinen Mitarbeiter, da waren wir uns einig.
Die meisten Mitarbeiter werden wegen ihrer Qualifikation eingestellt und aufgrund ihrer Persönlichkeit gefeuert!
Zumindest war das neulich in einem Artikel zu lesen und aus Erfahrung können das die meisten von uns sicher bestätigen. Die tägliche und generelle Einstellung zur Arbeit, zu den Kollegen sowie die Identifikation mit dem eigenen Unternehmen sind maßgeblich für die Personalentscheidung. Das wird leider allzu häufig vergessen. Oft hängt es nämlich genau von diesen Faktoren ab, die die Leistung und Motivation eines Mitarbeiters bestimmen.
Was hilft ein Top Lebenslauf, wenn Jemand keine Lust hat in einem bestimmten Unternehmen zu sein, mit den Kollegen nicht klar kommt oder seinen Beruf nicht gern ausübt – vielleicht von der Persönlichkeit gar nicht dafür geeignet ist?!
klenner.at ist irgendwann mal auf das folgende Video gestoßen und fand es äußerst anschaulich bezüglich der unterschiedlichen Mitarbeiter-Arten, die häufig in Unternehmen anzutreffen sind. Es regt doch ein wenig zum analysieren und reflektieren an.
Wir finden, dass gerade Vorgesetzte und Geschäftsführer häufiger mal darüber nachdenken sollten, welche Mitarbeiter das Team wirklich bereichern und stärken bzw. wer den Erfolg des Unternehmens eher bremst. Und mit Erfolg sind nicht nur schwarze Zahlen gemeint!
Die unterschiedlichen Arten von Mitarbeitern – ein kurzer Überblick:
klenner.at News
Ab sofort könnt ihr euch für unseren Newsletter anmelden, den wir höchstens 1x pro Monat aussenden. Darin enthalten? Die neuesten Infos aus der IT Welt, unsere wichtigsten Blog-Beiträge, Infos über eure Produkte bei uns und natürlich best-of klenner.at :) Ihr könnt euch die Themengebiete, über die ihr Infos erhalten möchtet natürlich vorher aussuchen!
Großes allgemeines Umsetzungs-Defizit: Jedes dritte Unternehmen noch nicht im Ansatz auf die DSGVO vorbereitet
Da es voraussichtlich weiterhin Thema bleiben wird – vor allem wohl nach Einführung – wollen wir nun auch mal einen kleinen Beitrag zur DSGVO bringen. Man muss ja dem Trend folgen…
DSGVO – gut gemeint, aber…
Ab Ende Mai ist es soweit: Die besorgniserregende Datenschutz-Grundverordnung tritt in Kraft und wird große Auswirkungen in Form eines EU-weit geltenden Datenschutzrechts haben. Die Absicht dahinter mag ja positiv sein: Ein besserer Schutz der persönlichen Daten in Zeiten von wachsender Digitalisierung, Social Media wie Facebook, WhatsApp etc. Soweit sogut.
Für uns Unternehmen ist das alles eine reine Tortur bzgl. Verwaltungsarbeit, wenn jedes noch so kleine Detail in Form von Verarbeitungsverzeichnissen (vorher: Verfahrensverzeichnis) festgehalten werden muss. Außerdem zählen ja nicht nur die Kundendaten zu den personenbezogenen Daten. Da gibt es ja noch die Mitarbeiter und alle Geschäftspartner, sowie Personen, mit denen man schon lange nichts mehr zu tun hat. Der Anwendungsbereich der DSGVO ist enorm, weil selbst IP-Adressen zu schützen sind.
„Brauchen wir eigentlich Verfahrens-Verzeichnisse für unsere Verfahrens-Verzeichnisse??!“ (klenner.at)
Es besteht nun bald (oder eigentlich schon jetzt) ein gewaltiger Mehraufwand, da alle Prozesse und Verträge genauestens durchleuchtet, oder komplett neu organisiert, sowie umfassend dokumentiert werden müssen. Die neuen Dokumentations- und Transparenzpflichten verlangen das. Man muss sogar festhalten WIE man personenbezogene Daten erhebt. Und die paar Ausnahmen, die in der Verordnung gemacht werden, betreffen praktisch fast niemanden…
Angesichts der Dimension die das „Projekt DSGVO“ angenommen hat, ist die Zeit bis zum 25. Mai 2018 mehr als knapp bemessen. Besonders problematisch ist es oft für die kleineren KMUs unter uns, die nichtmal genügend Manpower haben, um das alles innerhalb kürzester Zeit umzusetzen.
Noch schlimmer gestaltet sich die Situation für diejenigen Unternehmen, die sich bisher noch gar nicht damit auseinandergesetzt haben – in deren Haut wir nicht stecken möchten. klenner.at hat auch schon einiges unternommen, um für die DSGVO sogut es eben geht gewappnet zu sein und in keine großen Fettnäpfchen zu tappen, sollte die Verordnung wirklich mit aller Härte durchgeboxt werden. Man weiß es ja leider nicht. Bei unzureichender Datensicherheit drohen Bußgelder bis zu 4% des gesamten weltweiten Jahresumsatzes.
Aber wie immer wollen wir auf Nummer Sicher gehen – und das nicht nur bzgl. Virenschutz oder Backups!
Datenschutz von vornherein
Hier sind die „TOMS“ (den technischen und organisatorischen Maßnahmen) wichtig, die dem Stand der Technik entsprechen müssen. Dazu gehört u.a. die Belastbarkeit der IT-Systeme. Damit hängt auch die Entwicklung von neuen Produkten, Diensten und Anwendungen zusammen, die mit den Datenschutz-Grundsätzen übereinstimmen müssen („privacy by design“). Software soll nur noch soviel Daten erheben, wie es zur Zweckerfüllung notwendig ist (Daten-Minimierung).
Interne Kommunikation im B2B – Datenschutz fängt bei den Mitarbeitern an
Die Wahl der Systeme und Anwendungen gilt es also zu beachten. Aber was heißt das? Oft kommunizieren Mitarbeiter über eine breite Palette an Lösungen, welche eigentlich nicht für den professionellen bzw. geschäftlichen Einsatz konzipiert sind. Gerade für Mitarbeiter, die keinen festen Arbeitsplatz haben oder oft unterwegs sind, sind Facebook, Whatsapp etc. willkommene Hilfsmittel im Arbeitsalltag. Einige von euch werden das sicher auch kennen.
Für die vertrauliche, interne Kommunikation muss in Zukunft definitiv eine andere Lösung gefunden werden, da hier keine Datensicherheit gewährleistet werden kann. Whatsapp und Co. Übermitteln laufend Daten zwischen Sender- und Empfängergeräten. Dabei gelangen Adressbücher, Statusanzeigen und Infos über das Nutzerverhalten direkt an Server in den USA. Das ist so ziemlich das Gegenteil von dem, was die DSGVO im Sinne hat.
Bei den gängigen Social Media Tools fehlen oft MDM (Mobile Device Management) Optionen oder Schnittstellen für entsprechende Integrationslösungen. Kurz gesagt: Ab Ende Mai sollten Mitarbeiter solche Anwendungen besser nicht mehr geschäftlich nutzen und am besten erst gar nicht auf dem Smartphone haben, insofern Sie darauf geschäftliche Daten verwalten. Arbeitgeber sollten daher über Firmen-Handys nachdenken.
Wenn man nicht ernsthaft ins Visier der Datenschützer geraten will, empfiehlt es sich als Alternative unternehmensinterne Kommunikationsplattformen einzusetzen. Es gibt professionelle Mitarbeiter-Apps, die die gesamte interne Kommunikation in einer datenschutzkonformen Anwendung bündelt, externe Systeme integriert und die Kommunikation aus privaten Social-Media-Kanälen ins Unternehmen personalisiert zurückholt.
Anforderungen an eine datenschutzkonforme Mitarbeiter-App bzw. die interne Kommunikation findet ihr unter diesem Link.Eine gute Übersicht bzw. die empfohlene Herangehensweise für Unternehmen bei diesem Thema ist in diesem Artikel von SearchSecurity beschrieben.
Die Entwicklung von Patches läuft auf Hochtouren, seit die beiden neusten Angriffsszenarien Meltdown und Spectre entdeckt wurden: Diese werden durch Sicherheitslücken bzw. Hardware-Bugs in allen Geräten möglich gemacht, die in den letzten 20 Jahren hergestellt wurden.
Forscher haben vor kurzem Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Dadurch können Angreifer mit Schadcode alle Daten, die der Computer im Speicher verarbeitet auslesen – Passwörter, genauso wie Zugangscodes. Die Fülle an Angriffsmöglichkeiten wurde von drei Projektgruppen entdeckt. Durch den Fehler lässt sich Speicher auslesen, auf die ein User-Prozess gar nicht zugreifen dürfte (sog. Bruch der Memory Isolation).
Besonders gefährdet sind Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webseiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.
„Meltdown“ betrifft hauptsächlich Intel, ARM und AMD Prozessoren. Software-Patches können hier zwar die Angriffsfläche verringern, aber den Fehler nicht gänzlich beheben. Zusätzlich zu den Betriebssystem-Updates müssen auch BIOS Updates der jeweiligen Computer- bzw. Motherboard-Hersteller eingebracht werden. Bei Markengeräten und jüngeren PCs jetzt kein großes Problem, aber zig-Millionen Noname- und Supermarkt PCs in technisch nicht versierten Haushalten stellen eine riesige Gefahr dar. Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.
Ob Ihre Geräte davon betroffen sind?
Mit größter Wahrscheinlichkeit Ja! Die anfälligen Prozessoren sind in so ziemlich allen Geräten verbaut – von PCs, Laptops und Smartphones, bis hin zu Tablets und Streaming-Boxen.
Auch ein Antivirus-Programm kann hier keinen Hunderprozentigen Schutz gewährleisten.
Grundsätzlich sind aktuelle, als auch ältere Prozessoren für mindestens eins der Angriffsszenarien anfällig. Eine ausführliche Auflistung finden Sie hier. Einer der wenigen Prozessoren, die als nicht betroffen gelten ist der Prozessor des Raspberry Pi.
Wie kann man sich schützen?
Für alle Benutzer von Windows- betriebenen PCs oder Laptops ist es hilfreich die letzten Windows 10 – und BIOS Updates von Dell, HP, Lenovo, oder der anderen Hardware Herstellern sicherzustellen. Microsoft hat bereits Patches zur Verfügung gestellt, die zumindest eine Ausnutzung der Sicherheitslücken schwerer machen sollen. Auch andere Betriebssystemhersteller rollen bereits Updates aus. Am besten schnellstmöglich installieren!Updates diverser Hersteller, sowie Infos dazu finden Sie hier. Die Liste wird laufend aktualisiert.
Nochmal zusammengefasst Willy’s 10 Punkte Liste:
Immer das aktuellste Betriebssystem mit den aktuellsten Updates und Patches verwenden
Auch alle Anwendungssoftware wie Browser, PDF Reader, Grafikprogramme auf den neuesten Stand bringen
Das BIOS des Computer aktualisieren. Wer es nicht selber kann soll sich Hilfe holen.
Unbedingt für jeden genutzten Dienst ein eigenes Passwort anlegen, nie das gleiche Passwort für mehrere Dinge verwenden
Das EMail-Passwort ist das Wichtigste. Hier ein starkes Passwort verwenden. Wer dieses ergaunert hat, kann sich über „Passwort zurücksetzen“ andere Dienste freischalten lassen
Verwenden Sie ein gutes und aktuelles Antivirenprogramm. Die Updates für dieses müssen automatisch und zumindest stündlich aktualisiert werden.
Wenn es sich um Firmengeräte handelt, schützen Sie sich durch eine richtige Hardware-Firewall. Diese (wenn sie eine aktuelle ist) schützt Sie auch vor Viren und Angriffen, in dem sie den Datenverkehr direkt am Internetanschluss kontrolliert und ggf. blockiert.
Sobald alle Updates (auch das BIOS) installiert sind, die Passwörter wechseln. Man kann nie wissen, ob sie nicht schon ausgespäht worden sind
Geben Sie acht, worauf Sie klicken. Wenn Ihnen etwas komisch vorkommt, schauen Sie genau oder kontaktieren Sie den Absender.
Wenn Ihr Handy keine Updates mehr erhält, tauschen Sie es aus. Es gibt sehr gute Geräte um unter € 300,-, diese kann man wieder ein paar Jahre nutzen
Wie geht’s jetzt weiter?
In einem Artikel von futurezone heißt es: Ein komplett neues Chip-Design werde es nicht von heute auf morgen geben. Das wird noch viele Jahre dauern…
Auch noch wichtig! Wenn Sie eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, in der Sie gebeten werden, den von ihnen, AMD und Intel entwickelten Sicherheitspatch zu installieren: Auf KEINEN Fall installieren, sondern die Mail sofort löschen!Dabei handelt es sich um eine Fake-Mail, die gerade in Umlauf ist und die auf eine Fake-Website führt – mit einem als Sicherheitspatch getarnten Windows-Trojaner!
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Vorlieben
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiken
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
