beebright - stock.adobe.com
Ransomware-Angriffen per Anwendungskontrolle begegnen
Gänzlich verhindern können Unternehmen Angriffe durch Ransomware nicht. Bezieht die Sicherheitsarchitektur aber diese Angriffe mit ein, lässt sich das Risiko minimieren.
Mit einem Rückgang von Ransomware-Angriffen auf Unternehmen ist nach Meinung zahlreicher IT-Experten auch 2018 nicht zu rechnen. Dafür sind die Herstellungskosten eines neuen, bislang unbekannten Ransomware-Programms für Cyberkriminelle zu niedrig. Auch ist die Chance, solch ein neues Programm unbemerkt vorbei an gängigen Sicherheitsarchitekturen in Netzwerke einzuschleusen, einfach zu groß. Hier werden vor allem kleine und mittlere Unternehmen (KMU) unter den Attacken und der mit diesen verbundenen vorübergehenden Sperrungen ihrer Datenbanken zu leiden haben.
Gänzlich verhindern lassen sich Ransomware-Angriffe nicht. Doch eine Sicherheitsarchitektur, welche auch Ransomware-Attacken miteinbezieht, kann Angriffe erschweren, so dass das Risiko für Unternehmen, Opfer einer Attacke zu werden, deutlich minimiert werden kann. Solch eine Sicherheitsarchitektur benötigt jedoch eine wirksame Schutzkomponente: eine auf die Betriebsabläufe des jeweiligen Unternehmens zugeschnittene Anwendungskontrolle.
In den letzten Jahren hat der Anteil von Ransomware bei Cyberangriffen deutlich zugenommen. Mitarbeiter eines Unternehmens werden hierbei unter Vorspiegelung falscher Tatsachen dazu verleitet, eine Datei – getarnt zum Beispiel als Update – herunterzuladen. Ist die Datei dann auf einen Rechner des Unternehmens gelangt, aktiviert sie sich selbst und verschlüsselt die ihr zugänglichen Datenbanken. Anschließend wird ein Lösegeld für die Entschlüsselung der Daten gefordert. Nun kann auch die Lösegeldzahlung für kleinere KMU schon ein ernstes Problem bedeuten. Weit schwerer wiegen aber die den Angriff begleitenden Ausfallzeiten im Betrieb. Häufig müssen Geschäftsprozesse teilweise oder auch ganz eingestellt werden bis der Schaden behoben ist – mit entsprechenden Folgen für das Verhältnis zu Geschäftspartnern und Kunden.
Ransomware ist eine vergleichsweise kostengünstig herzustellende Malware. Mittlerweile müssen Cyberkriminelle die Software nicht einmal mehr selbst schreiben. Über Ransomware-as-a-Service-Portale kann sie zeitsparend eingekauft und in eine für Antiviren-Programme bislang unbekannte Form transferiert werden. Bis diese dann die Malware in ihr Register aufgenommen haben und entsprechend reagieren können, hat das Programm für die Cyberkriminellen seinen Zweck meist schon erfüllt. Datenbanken wurden verschlüsselt und gegen die Zahlung eines Lösegelds wieder freigegeben.
Die Zukunft der Ransomware-Angriffe
Auch 2017 standen Ransomware-Angriffe wieder lange Zeit im Fokus der Öffentlichkeit. WannaCry, Bad Rabbit und Petya/NonPetya bestimmten über mehrere Wochen die Schlagzeilen. Dabei machten sie nur einen Bruchteil der gesamten Ransomware-Angriffe des Jahres 2017 aus. Alle 40 Sekunden, so der Ransomware Damage Report von Cybersecurity Ventures, kam es 2017 zu einer Ransomware-Attacke. Laut der kürzlich von Datto unter Managed Service Providern (MSP) durchgeführten Umfrage State of the Channel Ransomware Report waren im letzten Jahr weltweit rund fünf Prozent aller KMU Opfer eines solchen Angriffs. Nicht wenige dieser KMU hatten für den Fortbestand des Betriebs existenzbedrohende Ausfallzeiten hinzunehmen. Mit einem Rückgang der Angriffe ist nicht zu rechnen. 99 Prozent der Managed Service Provider gaben an, bis 2019 mit einem deutlichen Anstieg der Angriffe zu rechnen.
Die bereits erwähnte Studie von Cybersecurity Ventures geht für 2019 von Angriffen in einem 14-sekündigen Rhythmus aus. Damit hätte sich die Angriffsrate in nur zwei Jahren um fast 300 Prozent erhöht. Die weltweiten Schäden werden dann von rund fünf Milliarden US-Dollar im Jahr 2017 auf 11,5 Milliarden US-Dollar angestiegen sein. Zum Vergleich: Im Jahr 2015 hatten sie noch bei lediglich 0,3 Milliarden US-Dollar gelegen – ein Plus von rund 3.800 Prozent in nur vier Jahren.
Unternehmen kommen also kaum umhin, sich noch besser als bislang gegen diese Angriffsmethode aufzustellen. Viele haben längst begonnen, die Möglichkeit eines Ransomware-Angriffs bei der Einrichtung ihrer Sicherheitsarchitektur zu berücksichtigen. Doch gehen Studien wie der McAfee Labs 2018 Threat Predictions Report davon aus, dass sich Cyberkriminelle ihre Ziele künftig nur noch genauer auswählen werden, um die Lukrativität ihrer Angriffe aufrecht zu halten. Es ist deshalb für jedes Unternehmen zwingend erforderlich, seine Verteidigung noch besser aufzustellen.
Whitelist: Schutzkomponente gegen Ransomware
Einen 100-prozentigen Schutz vor Ransomware-Attacken gibt es nicht. Bislang lag der Schwerpunkt der Maßnahmen gegen Ransomware-Angriffe deshalb vor allem auf der Begrenzung von Schäden im Fall eines erfolgreichen Angriffs. Zahlreiche automatisierte Backup-Lösungen sind hierzu mittlerweile auf dem Markt erhältlich. Doch findet der Schutz von Ransomware zunehmend auch in Sicherheits-Policies Berücksichtigung. Ein erster wichtiger Schritt ist es, die Betriebs-, Arbeits- und Sicherheitssoftware stets auf dem neuesten Stand zu halten.
Zudem sollten die Mitarbeiter geschult und für Hinweise auf Ransomware-Angriffe sensibilisiert werden. Auch können die Zugriffsrechte der Mitarbeiter auf ein notwendiges Minimum reduziert werden. Und schließlich können persönliche Endgeräte für das Netzwerk gesperrt, eingehende E-Mails gescannt und der gesamte Datenverkehr mit intelligenten Monitoring-Programmen auf Anomalien überwacht werden.
„Ransomware ist eine vergleichsweise kostengünstig herzustellende Malware. Mittlerweile müssen Cyberkriminelle die Software nicht einmal mehr selbst schreiben.“
Sergej Schlotthauer, EgoSecure
Das hilfreichste Mittel, um Angriffe zu unterbinden, ist die Einrichtung einer Applikationskontrolle, die dafür sorgt, dass Schadsoftware gar nicht erst ins Netzwerk gelangen kann. Auf Basis einer Whitelist werden ausschließlich zuvor autorisierte Programme gestartet und Aktualisierungen vorgenommen, alle anderen Applikationen werden nicht ausgeführt. Welche Programme vertrauenswürdig sind, kann einfach und unkompliziert, beispielsweise auf Basis des Herstellers oder einer Signierung, manuell eingestellt werden. Mittlerweile gibt es auch Anwendungskontrollen, die über einen Lernmodus verfügen und sich automatisch aneignen, welche Programme im Unternehmen zur Abwicklung der Geschäftsprozesse benötigt werden. Nur diese können dann von den Mitarbeitern gestartet werden.
Aufgestellt mit einer Sicherheitsarchitektur, die Applikationskontrolle beinhaltet, haben Cyberkriminelle es bedeutend schwerer, Ransomware zu platzieren und werden sich nach lukrativeren Zielen umsehen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
