Ransomware

Rechteverwaltung, Whitelists und Sandboxing zur Prävention

| Autor / Redakteur: Rainer Richter* / Stephan Augsten

Eine Ransomware darf gar nicht erst mit der Verschlüsselung beginnen, der Fokus sollte auf der Prävention liegen.
Eine Ransomware darf gar nicht erst mit der Verschlüsselung beginnen, der Fokus sollte auf der Prävention liegen. (Bild: Archiv)

Malware-Angriffe durch Ransomware wie Locky, TeslaCrypt oder Ransom32 werden heiß diskutiert. Für den privaten Nutzer ist die Verschlüsselung ihrer Daten ein GAU, für Unternehmen ist sie existenzbedrohend. Welche Mechanismen können vor einer solchen Attacke schützen?

Die Ransomware Locky treibt im deutschsprachigen Raum aktuell ihr Unwesen und zeigt, dass die Zeiten schlecht übersetzter Phishing-E-Mails vorbei sind. Die Verbreitungsmethoden von Locky sind so gut, dass teilweise selbst erfahrene Benutzer an die Echtheit der E-Mails mit der angehängten Malware glauben.

Die Gefahr, dass sich Unternehmen mit Ransomware infizieren ist bedrohlicher denn je. Nach der Infektion verschlüsselt die Malware alle wichtigen Daten auf dem System und gibt diese nur gegen eine Bezahlung mit Bitcoins frei. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät davon ab, dieser Forderung nachzugeben.

Häufig lassen sich die Daten nämlich trotz Zahlung nicht entschlüsseln. Aktuelle Ransomware-Versionen entfernen zumeist auch die lokalen Schattenkopien, die Windows im Hintergrund zur Dateisicherung erstellt. Ist dies der Fall, hilft ausschließlich das Rückspielen eines vorher getätigten Backups.

Doch auch mit einem sicheren Backup der Unternehmensdaten sollte man die Malware Gefahr nicht auf die leichte Schulter nehmen. Erste Ransomware-Varianten gehen bereits einen Schritt weiter. Dem Opfer wird mit der Veröffentlichung seiner Daten im Internet gedroht, wenn das gewünschte Lösegeld nicht bezahlt wird.

Wie funktioniert aktuelle Ransomware?

Betrachtet man die Funktionsweise von Locky, so erkennt man die Einfachheit des Aufbaus. Die meisten der mittlerweile 60 Varianten gelangen als gefälschte Rechnung per E-Mail oder Fax-Benachrichtigung auf das System. Öffnet man die angehängte Datei, dann wird im Hintergrund ein Makro ausgeführt. Dieses lädt weiteren Schadcode aus dem Internet und beginnt unbemerkt mit der Verschlüsselung der Nutzerdaten.

Betroffen sind nicht nur lokale Festplatten, sondern auch alle anderen aktuell erreichbaren Speichermedien, wie zum Beispiel Netzwerklaufwerke oder USB-Speicher. Dies ist allerdings keine technische Neuerung. Lediglich die Qualität der Köder in Form täuschend echter E-Mails in guter deutscher Sprache ist eine Weiterentwicklung. Über clever verbreitete Ransomware können Erpresser mit wenig Aufwand eine große Geldmenge erzielen.

Welche Maßnahmen schützen vor einer Infektion?

Die Kombination aus mehreren einfachen Methoden erlaubt einen zuverlässigen Schutz gegen jedwede Malware. Eine von Microsoft veröffentlichte Statistik zeigt, dass das Entfernen von Admin-Rechten eine der effektivsten Maßnahmen zur Abwehr von Malware ist. 2015 waren 85 Prozent aller bekannten Windows-Sicherheitslücken nur von Benutzern mit Administratorrechten ausnutzbar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zum Pflegen von Whitelists. Das Erstellen einer Liste mit vertrauenswürdigen Daten-Quellen stellt die effektivste Maßnahme zur Abwehr von Malware dar. Kann eine Quelle nicht sicher als vertrauenswürdig eingeschätzt werden, ist es empfehlenswert die erhaltenen Daten vorerst in einer abgeschotteten Umgebung zu öffnen. In dieser Sandbox kann die Datei keinen Schaden am Computer anrichten.

Setzt man obige Ansätze um, so lässt sich eine Malware-Infektion aktiv verhindern. Das Vorgehen führt dabei zu keinen Einschränkungen bei der Verwendung von zusätzlichen reaktiven Erkennungstechnologien wie Antivirus-Software, Advanced Threat Detection oder Content-Filtern.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43949610 / Endpoint)