Kapitel 5 – Praxisbeispiel

Malware erkennen: Live-Simulation

Ein sicheres, praxisnahes Beispiel: Wie erkennt man Schadsoftware und wie reagiert man richtig – ohne echte Gefahr.

🛡

100% sicher – Keine echte Malware!

Dieses Beispiel verwendet die EICAR-Testdatei – einen standardisierten Test-String, der von allen Antivirus-Programmen als «Bedrohung» erkannt wird, aber absolut harmlos ist. Sie wurde von der European Institute for Computer Antivirus Research (EICAR) genau fuer diesen Zweck entwickelt.

🎬 Szenario

Das Szenario: Verdaechtige Datei im Download-Ordner

Stell dir vor: Du findest eine unbekannte Datei in deinem Download-Ordner. Was tust du?

09:14 Uhr

📨 Verdaechtige E-Mail erhalten

Ein Mitarbeiter erhaelt eine E-Mail mit dem Betreff «Rechnung_Q4_2024.pdf». Der Absender sieht aus wie ein bekannter Lieferant, aber die Domain ist leicht anders: lieferant-gmbh.net statt lieferant-gmbh.de.

09:15 Uhr

📥 Datei heruntergeladen

Der Mitarbeiter laedt den Anhang herunter. Die Datei heisst Rechnung_Q4_2024.pdf.exe – die doppelte Endung ist ein klassisches Zeichen fuer Malware!

09:15 Uhr

🛡 Antivirus schlaegt an!

Windows Defender erkennt die Datei sofort und blockiert die Ausfuehrung. Eine Benachrichtigung erscheint.

09:16 Uhr

👥 Mitarbeiter meldet den Vorfall

Der Mitarbeiter meldet den Vorfall an die IT-Abteilung – genau richtig!

🔬 Methode

Die EICAR-Testdatei: Sicher testen

So kannst du selbst testen, ob dein Antivirus korrekt funktioniert – ganz ohne Risiko.

Was ist EICAR?

Die EICAR-Testdatei ist ein 68 Zeichen langer String, den jedes Antivirus-Programm weltweit erkennen muss. Sie ist vollkommen harmlos – es ist nur ein Text, kein Code, der Schaden anrichten kann.

EICAR Test-String
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

💡 So testest du es selbst:

1. Oeffne einen Texteditor (Notepad)
2. Kopiere den obigen String
3. Speichere als eicar_test.txt
4. Dein Antivirus sollte sofort reagieren!

Falls nicht → dein Schutz funktioniert nicht richtig.

Erwartete Reaktion

🛡

Windows-Sicherheit

Bedrohung gefunden

Bedrohung blockiert
DOS/EICAR_Test_File

Schweregrad: Niedrig
Status: Quarantaene
Datei: C:\Users\...\Downloads\eicar_test.txt

Entfernen Details

So (oder aehnlich) sollte die Meldung deines Antivirus aussehen.

💻 Interaktiv

Scan-Simulation starten

Klicke auf den Button, um eine realistische Scan-Simulation zu erleben. Keine Dateien werden wirklich gescannt – es ist eine reine Visualisierung.

🛡 SimShield Security Scan

Simulierter Virenscanner v4.2.1

Fortschritt 0%
Klicke «Scan starten» um die Simulation zu beginnen...
🚨 Reaktionsplan

Wenn Malware erkannt wird: So reagierst du richtig

Ein klarer Ablauf ist entscheidend. Panik hilft nicht – System und Struktur schon.

1

🛑 STOPP – Nichts mehr anklicken!

Keine Dateien mehr oeffnen, keine Programme starten. Je weniger du tust, desto weniger Schaden kann entstehen. Ruhe bewahren.

2

🔌 Netzwerkverbindung trennen

Ziehe das Netzwerkkabel oder deaktiviere WLAN. Dies verhindert, dass sich die Malware im Netzwerk ausbreitet oder Daten nach aussen sendet.

Schnell-Isolation (physisch am besten)
# Oder per Befehl (wenn noetig):
PS> Disable-NetAdapter -Name "Ethernet" -Confirm:$false
PS> Disable-NetAdapter -Name "Wi-Fi" -Confirm:$false
3

📞 IT-Abteilung sofort informieren

Melde den Vorfall mit folgenden Informationen:

  • Was hast du gesehen? (Fehlermeldung, AV-Warnung)
  • Was hast du vorher gemacht? (E-Mail geoeffnet, USB eingesteckt)
  • Welches Geraet ist betroffen? (Name/Nummer)
  • Wann ist es passiert?
4

🔎 Analyse durch IT

Die IT-Abteilung wird:

  • Den AV-Log pruefen und die Bedrohung identifizieren
  • Manuellen Scan durchfuehren (Vollscan)
  • Hash der Datei auf VirusTotal pruefen
  • Event-Logs auf verdaechtige Aktivitaet prufen
  • Andere Systeme im Netzwerk ueberpruefen
Analyse-Befehle
# Defender-Log pruefen
PS> Get-MpThreatDetection | Sort-Object InitialDetectionTime -Descending | Select -First 5

# Datei-Hash berechnen (fuer VirusTotal)
PS> Get-FileHash "C:\Users\...\Downloads\verdaechtige_datei.exe" -Algorithm SHA256

# Aktive Netzwerkverbindungen pruefen
PS> Get-NetTCPConnection | Where-Object State -eq "Established" | Sort-Object RemotePort
5

✓ Bereinigung & Wiederherstellung

Je nach Schwere des Vorfalls:

Leicht

AV hat blockiert, kein Schaden. Datei entfernen, Passwoerter aendern, Monitoring erhoehen.

Mittel

Malware war aktiv. Vollscan, Bereinigung mit Malwarebytes, alle Passwoerter aendern, 2 Wochen Monitoring.

Schwer

Ransomware / Datenverlust. System komplett neu aufsetzen, Backup einspielen, forensische Analyse.

6

📝 Dokumentation & Lessons Learned

Dokumentiere den gesamten Vorfall:

  • Was ist passiert? (Timeline)
  • Wie wurde es erkannt?
  • Was war die Reaktion? (korrekt oder verbesserungswuerdig)
  • Welche Massnahmen wurden ergriffen?
  • Was muss verbessert werden? (Schulung, Konfiguration, Policy)
👁 Erkennung

Woran erkenne ich Malware im Alltag?

💻

System-Symptome

  • PC ploetzlich extrem langsam
  • Unbekannte Programme starten automatisch
  • Festplatte arbeitet staendig (ohne Grund)
  • Task-Manager zeigt unbekannte Prozesse
  • Antivirus deaktiviert sich selbst
🌐

Netzwerk-Symptome

  • Unerklaerlich hoher Netzwerkverkehr
  • Browser leitet auf unbekannte Seiten um
  • Pop-ups trotz Adblocker
  • DNS-Anfragen an verdaechtige Domains
  • Verbindungen zu unbekannten IPs
🗃

Datei-Symptome

  • Dateien verschwinden oder sind verschluesselt
  • Neue, unbekannte Dateien tauchen auf
  • Dateiendungen haben sich geaendert
  • Desktop-Hintergrund wurde geaendert
  • Loesegeld-Nachricht erscheint
📋 Zusammenfassung

Notfallkarte: Ausdrucken & aufhaengen!

🚨 Incident Response Kurzanleitung

🛑

1. STOPPEN

Nichts anklicken.
Ruhe bewahren.

🔌

2. ISOLIEREN

Netzwerk trennen.
Kabel ziehen / WLAN aus.

📞

3. MELDEN

IT-Abteilung anrufen.
Was, wann, welches Geraet.

IT-Hotline: [Nummer eintragen]  |  E-Mail: [it-security@firma.ch]  |  Ticket: [System-URL eintragen]

🏠 Zurueck zur Uebersicht