2187362

Ransomware abwehren - denn: Wer zahlt, wird weiter attackiert

31.03.2016 | 10:14 Uhr |

Das erste Quartal 2016 steht im Zeichen der Ransomware-Angriffe wie Locky, Cryptolocker, Cryptowall oder Teslacrypt. Vorrangige Ziele: Krankenhäuser, Stadtverwaltungen und Industrieunternehmen. Institutionen in Deutschland, Österreich, den USA und Kanada sind besonders stark betroffen. Präventive Maßnahmen helfen, Angriffe abzuwehren oder den Schaden zumindest zu begrenzen.

Ein Klick auf einen ungefährlich wirkenden, aber infizierten Link oder das Öffnen eines mit Schadsoftware verseuchten Anhangs einer Email reicht, um Angreifern die Verschlüsselung aller Daten am PC und darüber hinaus im gesamten Netzwerk sowie auf eingebundenen Cloud-Diensten zu ermöglichen.

Oftmals zahlen Institutionen die von den Erpressern geforderten Beträge, um schnellstmöglich ihre Daten zurück zu bekommen, normale Betriebsabläufe wiederherzustellen und weitreichendere Finanz- oder Imageschäden abzuwenden.

Doch wer zahlt, kauft sich nicht dauerhaft frei. Zahlungswillige Opfer werden von Angreifern auch ein zweites und drittes Mal heimgesucht.

Man lässt es also besser gar nicht erst zu einem erfolgreichen Angriff kommen oder ist alternativ auf einen Angriffsfall so gut vorbereitet, dass man mit Sicherheit behaupten kann, Schadenspotenziale so weit eingedämmt zu haben, dass sie vernachlässigbar sind.

Entwickeln Sie eine effektive Sicherheits-Strategie

Wichtige grundsätzliche Präventionsmaßnahmen, die jeder Organisation dienen, umfassen beispielsweise schnellstmögliches Einspielen von Updates und Patches von Softwareherstellern genauso wie konsequentes Deinstallieren nicht benötigter Software.

Ein zentraler und immer aktueller Überblick des Administrators ist dazu erforderlich. Aufgrund seiner vielschichtigen Zugriffsrechte bedarf es gleichzeitig aber auch besonderer Sicherheitsvorkehrungen für seine Rolle, denn für eine weite Verbreitung von Schadsoftware in einem Netzwerk sind genau diese Rechte notwendig.

Die sehr eingeschränkte Vergabe von Administratorenrechten, die Verwendung sehr starker Passwörter zum Log-in für Administratoren, die Verwendung von 2-Faktor-Authentifizierung bei externen VPN-Zugängen, die besondere Sicherung und der auf das Notwendigste eingeschränkte Einsatz der Administratoren-Accounts sowie die gleichzeitige, möglichst weitgehende Rechteeinschränkung anderer Nutzer können das Schadensausmaß im Angriffsfall erheblich mindern.

Gleiches gilt für Backups mit durchdachter Strategie und Offline-Backups sowie das regelmäßige Testen von Wiederherstellungsroutinen.

Auch auf der Ebene der einzelnen Nutzer gibt es - neben der laufenden Förderung von Awareness bei allen Mitarbeitern - weitere präventive Maßnahmemöglichkeiten:

Die Ausführung aktiver Inhalte in Web-Browsern kann eingeschränkt und nicht zwingend benötigte Browser-Plug-ins sollten entfernt werden. Auf die Ausführung von Skripten im Betriebssystem kann unter Umständen gänzlich verzichtet werden Das verhindert beispielsweise versehentliches Ausführen eines schadhaften Anhangs in Emails. Für Serverlandschaften gilt es, das Blockieren von Dateien wie ausführbaren Anhängen, verschlüsselten Archiven sowie MS-Office-Dokument-Makros einzurichten.

Darüber hinaus ist der generelle Einsatz von - immer aktuell gehaltenen - Antivirenprogrammen weiterhin nötig. Jedoch sollte man sich bewusst sein, dass diese Programme einerseits neueste Schadsoftware in vielen Fällen nicht identifizieren oder andererseits durch ihre ständige Anpassungsnotwendigkeit an die jeweilige Umgebung in vielerlei Hinsicht falsch konfiguriert sein können und damit ihre Schutzaufgabe verfehlen.

Cerber: Ransomware nimmt Office-365-Nutzer ins Visier

Wenn auch zahlreiche Präventionsmaßnahmen getroffen werden und IT-Security-Teams versuchen, ständig „am Ball zu bleiben“, bleibt bei größeren Organisationen – ab ca. 200 Mitarbeitern als Richtwert - weiterhin ein erhebliches Unsicherheitspotenzial.

Die Unübersichtlichkeit der IT-Landschaft und die kaum im notwendigen Umfang sicherbare Awareness bei allen Mitarbeitern erfordern umfassendere, durch starke Automatisierung unterstützte und vor allem der aktuellen Gefahrenlage laufend angepasste Sicherheitsmaßnahmen.

Risiken rechtzeitig erkennen und handeln

State-of-the Art auf dem globalen IT-Security-Markt sind drei automatisierte IT-Risikoerkennungsmodule, die alle diese Anforderungen erfüllen:

An erster Stelle steht „Advanced Threat Detection“ (ATD), die Analyse von Anhängen grundsätzlich aller eingehender Emails und aller Web-Downloads in „abgeschotteten“ Umgebungen (sogenannte Sandboxen). Wird eine Schadsoftware entdeckt, wird die Email aufgehalten oder der Web-Download gestoppt. Damit ist auch der Ransomware-Angriff von Anfang an erfolgreich abgewehrt.

Auch Mac-User sind nicht sicher vor Ransomware

Das zweite Risikoerkennungsmodul „Network-Based Intrusion Detection“ (NIDS) ermöglicht die Erkennung von auffälligen Aktivitäten im Netzwerk. Im Falle von Ransomware ist das beispielsweise Netzwerkverkehr zu den Command & Control-Servern des Trojaners im Internet. Ist also Ransomware bereits im Netzwerk aktiv und wurde sie durch Nutzer noch nicht bemerkt, wird dies durch NIDS sichtbar gemacht.

Das dritte wichtige Risikoerkennungsmodul, das kontinuierliche "Vulnerability Assessment" (VAS), evaluiert laufend, ob IT-Systeme Verwundbarkeiten aufweisen, also auch, ob die für die Abwehr von Ransomware getroffenen Vorkehrungen effektiv in der gesamten Organisation umgesetzt worden sind. So wird beispielsweise laufend geprüft, ob Aktualisierungen für Betriebssysteme, Browser und andere Anwendungen eingespielt wurden, Administratoren schwache oder Standard-Passwörter verwenden, Fehlkonfigurationen bestehen oder ob Systeme von außen ungewollt erreichbar sind.

Kontinuierliche Schwachstellenanalyse und konsequente Behebung der Lücken schließt viele solcher Einfallstore für Angreifer und verkleinert so ihren Aktionsspielraum.

Ausreichender Schutz ist möglich

Nach derzeitigem Stand der Technik gibt es ausreichend Schutzmöglichkeiten vor Schäden durch Ransomware. Besonders größere Organisationen sollten auf ein Set an automatisierten IT-Risikoerkennungsmodulen zurückgreifen, die Angriffe bereits unschädlich machen, bevor sie auch nur in die Organisation eintreten.

Bei allen Schutzmöglichkeiten ist neben einer fortschrittlichen technischen Komponente die „Ressource Mensch“ von entscheidender Bedeutung: Effektivität ist im Ernstfall nur gegeben, wenn Werkzeuge richtig konfiguriert, jederzeit an ihre jeweilige Umgebung angepasst und ständig weiterentwickelt werden.

Schutz vor Ransomware entsteht nicht durch einmalige Sicherheitsvorkehrungen - genauso wenig wie durch das Zahlen von Lösegeld.

0 Kommentare zu diesem Artikel
2187362