Krieg ist Krieg und Pest ist Pest : Malware-Trends und -Abwehr – alles wie immer, nur schlimmer?

Nach einigen Jahren, in denen sich unsere regelmäßige Bestandsaufnahme in Sachen Malware eher Detailthemen gewidmet hatte, haben wir heuer wieder einmal einige Experten per E-Mail gefragt, wie es um das Thema steht. Dabei gab es eher wenig Überraschungen. An vielen Stellen sind offenbar bekannte Bedrohungen und Best Practices weiterhin aktuell – doch einige mahnen auch, dass man manches überdenken muss, was sich in der Vergangenheit bewährt hatte.

Bei der Frage nach der derzeit größten Malware-Bedrohung rückt Andreas Marx (AV-TEST) die Masse der Attacken in den Blickpunkt: „Die schiere Zahl der Malware-Angriffe macht es sehr schwer, einzuschätzen, was wirklich relevant ist und welche Angriffe eher ‚Hintergrundrauschen‘ sind. War das jetzt ein gezielter Angriff gegen meine Organisation oder nur ein massenhafter Rundumschlag? Uns sind bisher über 900 Millionen Malware-Samples bekannt – und jede Sekunde kommen 4 bis 5 neue Varianten hinzu, Tendenz: steigend.“ Auf Entspannung sollte man nicht hoffen: „Weniger wird es mit Sicherheit nicht mehr“, prognostiziert Marx.

Ransomware

„Die größte Gefahr geht derzeit nach wie vor von Verschlüsselungstrojanern aus – Daten werden unlesbar oder unbrauchbar gemacht und Unternehmen in der Folge handlungsunfähig“, antwortete uns Rainer Rehm (Zscaler). Wenig Veränderung erwartet hier Jürgen Jakob (Jakobsoftware): „Erpressung von Lösegeldern ist für Cyberkriminelle auch auf absehbare Zeit das primäre Ziel.“

Ein ähnliches Bild zeichnet Liviu Arsene (Bitdefender): „Während Advanced Threats für CISOs derzeit ein Hauptaugenmerk sind, bleibt Ransomware immer noch eine der disruptivsten Arten von Malware. Und zwar einfach wegen der enormen finanziellen Auswirkungen und Rufschädigung, die sie mit wenig Aufwand verursachen kann.“ Die Ransomware-as-a-Service-Industrie habe hochwirksame Tools wie GandCrab entwickelt, mit denen sie Unternehmen jedweder Größe attackiere. „Es ist zu befürchten, dass neue Varianten den Verschlüsselungsprozess noch schneller und zuverlässiger gestalten und neue Infektions- und Bereitstellungsmechanismen nutzen, die effektiv die Sicherheitsmaßnahmen von Unternehmen umgehen. Die Erfolge ermutigen cyberkriminelle Communities zudem, höhere Beträge von Opfern zu erpressen“, mahnt Arsene.

Auch Alexander Vukcevic (Avira)sieht hier weiterhin einen Schwerpunkt: „Obwohl die Häufigkeit von Ransomware-Angriffen auf der Verbraucherseite abgenommen hat, steigen Lösegeld-Angriffe auf Unternehmen und Institutionen immer noch an.“ Nur bei Attacken auf Einzelne hätten sich Kryptominer als profitabler erwiesen und so das Rennen gegen Ransomware gewonnen.

Verschlüsselungstrojaner bald auch im IoT?

Zudem erwartet Vukcevic eine Ausweitung der Attacken im Internet of Things (IoT): „Durch die geringe Sicherheit und die hohe Nachfrage wird dies die Cyberlandschaft verändern – IoT-Malware und -Botnets werden immer stärker. Aktivitäten von IoT-Malware haben sich in letzter Zeit von DDOS-Angriffen hin zu Datendiebstahl, Kryptomining und Spionage entwickelt. Wir gehen davon aus, dass IoT-Malware in naher Zukunft auch Ransomware-Angriffe durchführen wird.“

Gleichauf mit Ransomware sieht Dietmar Schnabel (Check Point) sogenannte Dropper sowie Kryptominer: „Die letzten aktuellen Zahlen deuten jedoch auch auf die Rückkehr von Banking-Trojanern hin“, warnt er. Überdies gehe eine bedeutende Gefahr von Fileless Malware aus, „dateiloser Malware, die in laufende Prozesse eingeschleust und nicht auf der Festplatte gespeichert wird.“

Für Thomas Uhlemann (ESET Deutschland) sind Verschlüsselungstrojaner zwar immer noch die auffälligste und lästigste Bedrohung – die größere Gefahr seien jedoch Dropper und Backdoors sowie das Ausnutzen von Javascript und Powershell für dateilose Attacken: „Einerseits sind manche Antimalware-Tools, wie etwa der Windows Defender, immer noch nicht in der Lage, den Arbeitsspeicher (RAM) komplett und in Echtzeit zu überprüfen – so haben dateilose Angriffe leichtes Spiel. Andererseits können per E-Mail-Anhang oder infizierte Webseiten verteilte Tools beliebige Schadsoftware nachladen, etwa Ransomware sowie Keylogger und andere Spionagetools“, erläutert Uhlemann.

Auch Avira sehe „einen Anstieg der Nutzung legaler Betriebssystem- und Administratorwerkzeuge, um in Systeme einzudringen“, unterstreicht Vukcevic – es sei „sehr schwierig, zwischen legitimer und illegaler Nutzung dieser Software zu unterscheiden. Wir glauben, dass diese Technik in Zukunft weiter an Bedeutung gewinnen wird.“

Problemfeld Patches

Zwischen Technik und Organisation unterscheidet Richard Werner (Trend Micro): „Technisch wird die nächste Bedrohung den Bereich der dateilosen Angriffe umfassen und steigende Zahlen bei Attacken auf IoT und Industrieanlagen hervorrufen. Organisatorisch ist die größte Gefahr allerdings, dass Unternehmen IT-Sicherheit wie ‚normale‘ IT handhaben.“ Beispielsweise würden Versionssprünge oft und lange verzögert und teilweise dem drei- bis fünfjährigen Lebenszyklus von Hardware angepasst: „Damit sind Unternehmen häufig nicht mit der neuesten Security-Technologie ausgestattet, obwohl der Hersteller ihres Vertrauens eigentlich in der Lage wäre, sie vor sämtlichen Angriffen zu schützen. Darüber hinaus werden IT-Sicherheitstools oft taktisch erworben – man wartet ab, bis etwas passiert, und reagiert erst dann“, bedauert Werner.

Michael Veit (Sophos) beklagt ebenfalls Verzögerungen beim Updaten und Patchen von Systemen: „Das Zeitfenster von der Bekanntgabe der Veröffentlichung eines Patches bis zum Einspielen nutzen Angreifer gezielt aus.“ Heikel seien zudem IoT-Systeme, auf denen weder Updates eingespielt werden noch Sicherheitssoftware laufe.

Im Umfeld der Patchzyklen haben noch viele weitere Antworten die derzeit größten Versäumnisse und Fehler gesehen, die (durchaus auch sicherheitsbewusste) Unternehmen, Behörden und sonstige Organisationen machen. Christian Funk (Kaspersky Lab) gibt sich diplomatisch: „Ein effektives Patch-Management für besonders exponierte oder kritische Systeme kann je nach Komplexität und Heterogenität bestehender Infrastrukturen eine große Herausforderung darstellen. Eine schnelle Reaktion auf kritische Schwachstellen, bevor diese ausgenutzt werden, ist hierbei entscheidend.“

Deutlicher wird Rehm (Zscaler): „Bestehende Systeme sind angreifbar, weil sie nicht gepatcht werden – und das bezieht sich auf alle internetfähigen Systeme.“ Besonders wichtig sei dies naturgemäß bei kritischen Systemen: „Da ein Ausfall während der Patch-Phase nicht kompensiert werden kann, werden kritische Systeme nicht aktualisiert – ein Versäumnis, das sich als folgenschwer erweisen kann.“ Unternehmen müssten daher unbedingt ein Backup-System zur Hand haben, um auch bei kritischen Systemen beruhigt notwendige Patches einspielen zu können. „Für Systeme, die nicht gepatcht werden können, müssen Notfallszenarien zur Hand sein, die ein System vor Fremdzugriff schützen. Da beispielsweise zertifizierte Systeme nicht verändert werden dürfen, muss man in diesen Fällen nach anderen Maßnahmen forschen, um sie abzusichern.“

In Mängeln liegen meist auch Chancen – so kommentierte Vukcevic (Avira): „Alle Systeme und Server gepatcht zu halten, ist eine der größten Chancen, die den IT-Gesundheitszustand jeder Organisation, Firma oder öffentlichen Einrichtung verbessern kann. Entledigen Sie sich der Software, die keine Updates oder Support mehr erhält!“

Arsene (Bitdefender) ergänzt: „Sicherheit beginnt damit, dass man weiß, was man schützen will. Doch vielen Organisationen gelingt es nicht, ein ordentliches Asset Management zu betreiben, das jederzeit auf aktuellem Stand ist. Nur mit einer korrekten Liste der Geräte und Betriebssystemversionen in der gesamten Infrastruktur kann man diese sichern und mit Sicherheitspatches auf dem neuesten Stand halten.“ Ansätze wie Bring-your-own-Device (BYOD), Clouddienste, Software-as-a-Service (SaaS), Virtualisierung, mobile Geräte und das IoT vergrößern die Angriffsfläche dabei noch: „Ein einzelnes verwundbares und nicht verwaltetes Objekt reicht als Brückenkopf für Angreifer, von dem aus sie in die Infrastruktur eines Unternehmens eintauchen. Aus diesem Grund ist die Verknüpfung der Daten aus der Bestandsverwaltung mit einem System lebenswichtig, das Unternehmen einen umfassenden Überblick darüber gibt, was verwaltet wird und was nicht.“

Veränderungen und Beständigkeit

Vor einer schleichenden Unterhöhlung von Sicherheitsmechanismen warnt Stefan Strobel (cirosec): „Es gibt mehrere Faktoren, die dazu führen, dass klassischer Malwareschutz immer unwirksamer wird und dass auch Kampagnen zur Sensibilisierung der Mitarbeiter immer weniger Effekt zeigen. Einerseits gibt es schon lange Zielgruppen wie die Personalabteilung, deren Aufgabe es ist, Bewerbungen von unbekannten Absendern zu öffnen und zu lesen – Empfehlungen, solche Mails nicht zu öffnen, gehen hier am Problem vorbei. Und andererseits werden Phishing-Mails immer besser und man kann heute keinem Mitarbeiter mehr einen Vorwurf machen, der eine E-Mail von einem vermeintlich bekannten Absender öffnet, die echt aussieht und sich auf einen bekannten Kontext bezieht.“

Klassische signaturbasierte Anti-Viren-(AV)-Mechanismen seien heute kaum noch in der Lage, einen überzeugenden Schutz bereitzustellen, da sich Malware zu schnell und zu häufig ändere, um rechtzeitig die nötigen Updates von Signaturlisten auf alle Systeme zu übertragen. „Deshalb haben fast alle etablierten AV-Hersteller ihre Lösungen um Komponenten erweitert, die ergänzend zu den Signaturverfahren eine Abfrage von Hashwerten oder eine Bewertung von Dateien durch KI-Mechanismen in der Cloud ermöglichen. Leider haben aber viele Organisationen mit der Nutzung solcher Cloud-Services ein ‚Problem‘ – das führt dazu, dass ihre AV-Systeme quasi mit angezogener Handbremse laufen“, kommentiert Strobel.

„Die Hersteller entwickeln neue Dienste zur Gefahrenabwehr in der Cloud. Beispielsweise kann eine Link-Prüfung auf dahinterliegende Bedrohungen deutlich tiefer gehen und schneller Ergebnisse liefern – wird die Linkprüfung bei jedem Aufruf erneut durchgeführt, kann solch ein Clouddienst die Sicherheit eines Links immer sicherstellen. Das ist nötig, da Malwareschreiber Links ständig verändern, etwa in jeder einzelnen E-Mail einen eigenen vergeben, um so die klassischen Einmalprüfungen zu unterwandern“, erklärt Jakob (Jakobsoftware). Ähnliche Verbesserungen seien bei der E-Mail-Analyse und anderen Cloud-Sicherheitsdiensten möglich.

Blended Threats – dynamisch und komplex

Veit (Sophos) betont den großen Aufwand, den Angreifer betreiben, damit Schadsoftware von Schutzmechanismen nicht erkannt wird: „Seit Mai 2019 kommt verstärkt die Malware ‚Megacortex‘ zum Einsatz. Diese wird für jedes Opfer individuell erstellt und zeigt das schädliche Verhalten nur, wenn sie mit einem Passwort und innerhalb eines Zeitfensters von drei Stunden ausgeführt wird“. Sogenannte Blended Threats, die gleichermaßen automatisierte wie manuelle Komponenten umfassen, seien eine enorme Bedrohung: „Die Angreifer nutzen automatisierte Werkzeuge, um zunächst Einfalls- und Verbreitungswege für die Malware im Unternehmen zu identifizieren. Dann greifen sie manuell ein, um zum Beispiel durch Passwortdiebstahl oder Exploits eine Rechteausweitung für Verschlüsselung, Datendiebstahl und Erpressung zu erreichen.“

Ähnlich argumentiert Egon Kando (Exabeam): „Nach wie vor bauen fast alle Angriffe auf Unternehmen auf dem Diebstahl der Identitäten interner Mitarbeiter auf. Dabei besteht der erste Schritt darin, eine gezielte Malware zu platzieren, die es schafft, Benutzername und Passwort auszuspähen und nach außen zu übertragen. Mit einer gestohlenen Identität haben Angreifer leichtes Spiel, da sie sich anschließend völlig legitim im Unternehmensnetz bewegen können.“ Die Tools, mit denen Cyberkriminelle Identitäten stehlen wollen, würden dabei immer besser: „Es ist zu erwarten, dass Phishing- und Social-Engineering-Angriffe so gut werden, dass sie selbst von Experten nur schwer erkannt werden können“, fürchtet Kando.

„Nach wie vor sehen wir Spear-Phishing-Angriffe gegen Unternehmen und Organisationen als große Gefahr, da sich die meisten zielgerichteten Attacken dieser Methodik bedienen“, sagt auch Funk (Kaspersky Lab):

„Der Grund hierfür liegt in der Freizügigkeit vieler Personen auf sozialen Netzwerken wie Facebook oder Instagram – aber auch im Falle von LinkedIn und Twitter können mit relativ geringem Aufwand legitim aussehende E-Mails in krimineller Absicht gestaltet und für Spear-Phishing-Szenarien missbraucht werden.“

Rehm (Zscaler) warnt davor, dass in der nahen Zukunft Angreifer noch stärker im Verborgenen agieren könnten und ihr Wirken nicht etwa durch Lösegeldforderungen preisgeben: „Daten werden dann manipuliert, ohne dass die Betroffenen merken, dass beispielsweise Ziffern in Bilanzen oder Abrechnungssystemen verändert wurden. Einnahmen ziehen die Cyberkriminellen dann nicht aus einer Erpressung, sondern aus den Folgen, welche die Manipulation beispielsweise auf den Börsenkurs haben kann.“

Künstliche Intelligenz

Künstliche Intelligenz (KI) verheißt nicht nur der Abwehr neue Chancen, auch die „Bösen“ nutzen ihre Möglichkeiten. Uhlemann (ESET) berichtet: „Aktuell und auch zukünftig werden wir eine Zunahme KI-gestützter Attacken sehen, die über die entsprechend platzierten Backdoors und Dropper die ‚bestmögliche‘ und ständig wechselnde Malware verteilen können.“

Doch wo Schatten ist, muss es auch Licht geben. Helge Husemann (Malwarebytes) betont: „Machine Learning ist im Securityumfeld ein aktuelles Trendthema und die Branche arbeitet derzeit mit Hochdruck an solchen Lösungen. Gerade hier wird in kommender Zeit noch mehr in Bewegung geraten und es werden sich weitere Optionen für eine bessere Abwehr von Malware ergeben.“

Kando (Exabeam) ergänzt: „Auch wenn ein Angriff anfangs unentdeckt bleibt, hinterlässt eine Malware immer Spuren. Fast immer ist dieses Verhalten eindeutig anders als das von legitimen Usern und Softwares. Log-Informationen in Unternehmensnetzwerken sind somit für den Schutz vor Malware Gold wert – gepaart mit verhaltensbasierter Analyse, stellen sie eine unglaublich effiziente Möglichkeit dar, verdächtiges Verhalten im Netzwerk zu erkennen. Diese gigantische Menge an Logdaten kann natürlich nicht manuell bearbeitet werden. Doch im Zeitalter von ‚Big Data‘, künstlicher Intelligenz und maschinellem Lernen kann eine verhaltensbasierte Analyse eine höchst effiziente Möglichkeit für die Abwehr darstellen, Abweichungen und riskantes Verhalten im Netzwerk frühzeitig aufzudecken.“ Großes Potenzial sehe man auch bei der Automatisierung von Aktionen zur Eindämmung oder dem Stopp einer Malware-Ausführung – Stichwort „Security Orchestration, Automation and Response“ (SOAR).

„Man muss die vielen Einzelinformationen (von der Firewall bis zum Virenschutz und dem Netzwerk-Management) zusammenführen, um ein besseres Bild potenzieller Angriffe und Angreifer zu erhalten“, sagt auch Marx (AV-TEST). „Es geht nicht darum, ob man einen ‚normalen‘ Virenscanner einsetzt oder ein ‚Next-Generation‘-Antivirus-Produkt mit künstlicher Intelligenz und maschinellem Lernen. Beide sind effektiv – in Rahmen ihrer Möglichkeiten. Letzten Endes geht es darum, dass sie nur ein kleiner Teil des Komplettpakets sind und sein können – sie ‚sehen‘ halt nicht alles.“

Das große Ganze sehen

Den zweiten Schritt vor dem ersten zu gehen, sieht Kando (Exabeam) als einen verbreiteten Fehler an: „Nicht selten beschäftigen sich Unternehmen mit der Automatisierung von Aktionen im Incident Response, ohne vorher eine Lösung zu haben, die das Gesamtbild eines Vorfalls zusammenfügt. Die Reaktion fällt folglich lückenhaft aus, denn man kann nicht auf etwas reagieren, das man nicht kennt.“

Schnabel (Check Point) erläutert: „Threat-Intelligence-Feeds werden täglich mit Bedrohungsdaten aus der ganzen Welt gefüttert. Selbstlernende Erkennungssysteme reagieren automatisiert mit der Unterstützung des maschinellen Lernens auf sich veränderndes Verhalten von Cyberangriffen.“ Eine zentrale Plattform zur Verwaltung von Geräten und Netzwerken, über die Bedrohungen erkannt und behoben werden, gehöre zu den wegweisenden technischen Entwicklungen der letzten Jahre.

„Es geht um zwei Dinge: Die Angriffskosten für Cyberkriminelle zu erhöhen und ihre Erfolgsaussichten zu verringern. Dazu tragen neueste Sicherheitstechnik und die Schulung der Mitarbeiter im Erkennen potenzieller Bedrohungen bei. Eine effektive Strategie erfordert ein komplettes Sicherheitsnetz – also Lösungen mit vielen Sicherheitsebenen und dazu den Einsatz von Erkennungs- und Reaktionstechnologie (EDR) über die gesamte Infrastruktur hinweg. Machine-Learning und Automatisierung spielen eine entscheidende Rolle, um die Fähigkeiten jeder der Sicherheitsschichten zu erweitern und SOC-Teams bei der Priorisierung von Warnungen zu unterstützen – denn Sicherheit muss bezahlbar bleiben“, betont Arsene (Bitdefender).

Und auch Veit (Sophos) empfiehlt Ganzheitlichkeit: „Der verbreitete Best-of-Breed-Ansatz mit voneinander unabhängigen Sicherheitslösungen (typischerweise von verschiedenen Herstellern) wird durch ‚Sicherheit-als-System‘ ersetzt. Hierbei können Sicherheitskomponenten miteinander kommunizieren, Bedrohungen besser erkennen und bei Gefahr automatisch reagieren. Mit einer Endpoint-Detection-and-Response-(EDR)-Lösung lassen sich Informationen von allen Komponenten einsammeln, um den Angriff zu analysieren und festzustellen, ob Daten abgeflossen sind oder nicht.“

Schwachstellen und Perspektiven

Eine fehlende Sichtbarkeit von Vorgängen im Netzwerk und das Unterschätzen der Bedeutung von Bedrohungsprävention sieht auch Schnabel (Check Point) als Probleme – dazu komme „die Vernachlässigung von Investitionen in Security-Awareness-Trainings, um Mitarbeiter bei der Erkennung von Phishing-E-Mails und CEO-Fraud zu schulen.“

Husemann (Malwarebytes) beklagt ebenfalls eine unzureichende Aus- und Weiterbildung. Ein weiterer Punkt sei, dass es vor allem großen Unternehmen nicht immer gelinge, zusätzliche Mitarbeiter einzustellen und das IT-Security-Team zu vergrößern, um Sicherheitslösungen auch professionell verwalten zu können.

Für Werner (Trend Micro) ist der weltweit beklagte Fachkräftemangel allerdings auch ein Symptom einer „gewachsenen, taktischen Aufsplitterung“ – so benötige jeder Teilbereich eigene Spezialisten. Außerdem vertrauten viele Unternehmen noch veralteten Richtlinien: „In den frühen 2000ern wurde die ‚Zwei-Engine-Strategie‘ empfohlen, also Lösungen von (mindestens) zwei Herstellern. Diese durchaus sinnvolle Empfehlung verliert allerdings dann ihren Wert, wenn durch den erhöhten Aufwand im Management dieser Lösungen eine Arbeitsbelastung entsteht, die dank Fachkräftemangel nicht mehr bewältigt werden kann.“

Umgekehrt bestehe eine große Chance darin, auf strategische IT-Security umzustellen: „Hierzu wird das Security-Konzept neu durchdacht und ausgerichtet. Neben klassischem ‚Schützen‘ werden auch die Bereiche ‚Vorbeugen‘, ‚Erkennung‘ sowie ‚Reaktion‘ betrachtet. Durch Konsolidierung und Automatisierung von Aufgaben können dabei Ressourcen entlastet und sogar Kosten gesenkt werden.“

„In den meisten Fällen kauft man zwar teure und leistungsfähige Sicherheitsprodukte, aber oft als Insellösungen, und man investiert zu wenig in die eigenen Mitarbeiter, um diese Lösungen auch effektiv einsetzen zu können“, klagt auch Marx (AV-TEST). Die Unmengen an Daten gezielt und gewissenhaft auszuwerten, zu priorisieren und zu interpretieren bleibe aber Aufgabe des Menschen: „Daher sind Schulungen und die Expertise der Mitarbeiter extrem wichtig. Viele IT-Abteilungen laufen schon seit Langem am Limit und Sicherheit ist nur eines von vielen Themen“ – so „spare“ man oft an der falschen Stelle.

Vernachlässigte Menschen und Systeme

Jakob (Jakobsoftware) mahnt: „Der größte Schwachpunkt in der IT-Sicherheit ist immer noch der Mensch. Unternehmen sind gut beraten, den Mitarbeitern regelmäßig die Grundregeln für sicheres Arbeiten in Erinnerung zu rufen.“ Uhlemann (ESET) ergänzt, dass es dabei gelte, alle ins Boot zu holen: „Vom Chef bis zum Reinigungspersonal müssen alle Mitarbeiter eines Unternehmens zu jeder Zeit bestmöglich über mögliche Gefahren und Konsequenzen ihres Verhalt aufgeklärt sein. Regelmäßige Informationsveranstaltungen, Trainings und Notfallübungen sind ein immer wichtiger werdender Grundpfeiler.“

Mangelndes Sicherheitsbewusstsein sieht auch Funk (Kaspersky Lab) als kritisch an, aber: „Des Weiteren sollten Mitarbeiter durch die Unternehmensverantwortlichen dahingehend instruiert und bestärkt worden sein, schnellstens einen Administrator oder Sicherheitsbeauftragten zu benachrichtigen, wenn etwa eine mögliche Spear-Phishing-E-Mail mit potenziell schädlichem Anhang geöffnet wurde – ohne berufliche Folgen befürchten zu müssen!“ Denn eine möglichst schnelle Reaktion auf Vorfälle sei maßgeblich für die Sicherheit eines Unternehmens.

„Das größte Versäumnis bei vielen Organisationen ist aber ein mangelhaftes Rechtemanagement“, sagt Veit (Sophos): „Teilweise besitzen Anwender sogar Administratorenrechte auf ihrem Rechner – die meisten Angriffe (z. B. per Phishing-Mail) laufen mit den Rechten des betroffenen Anwenders ab.“

Und Strobel (cirosec) warnt: „Leider lassen sich Organisationen zu oft von Herstellern blenden, die versprechen, dass ihr Produkt die Lösung des Malware-Problems wäre. Darüber vergessen sie dann die oft wirksamere Konfiguration von vorhandenen Bordmitteln ihrer Umgebung. Denn moderne Betriebssysteme bringen immer mehr Schutzmaßnahmen mit, die es Malware schwerer machen, Schaden anzurichten.“ Viele solche Funktionen müssten jedoch erst aktiviert und konfiguriert werden, aber das lohne sich: „Ein sicher konfiguriertes Endgerät reduziert das Risiko einer Malware-Infektion drastisch.“