Datensicherheit

Ransomware als Warnisgnal

| Autor / Redakteur: Thomas Ehrlich / Peter Schmitz

Man kann Ransomware-Angriffe als eine Art Warnsignal sehen, vergleichbar mit dem Kanarienvogel, den Bergarbeiter in die Grube zum Schutz vor giftigen Gasen mitnahmen.
Man kann Ransomware-Angriffe als eine Art Warnsignal sehen, vergleichbar mit dem Kanarienvogel, den Bergarbeiter in die Grube zum Schutz vor giftigen Gasen mitnahmen. (Bild: Pixabay / CC0)

Ransomware ist zweifelsohne eines der Top-Themen des Jahres in Sachen IT-Sicherheit. Kaum eine Woche vergeht, in der nicht irgendeine Welle der Erpressersoftware für Schlagzeilen und Überstunden bei den Administratoren sorgt. IT-Verantwortliche vertrauen darauf, dass AV- und Endpunkt-Lösungen Ransomware stoppen können, sehen aber immer wieder, dass diese Verteidigung durchbrochen wird.

Ransomware ist überall. Es ist also nicht verwunderlich, dass 76 Prozent der Befragten einer Umfrage der Information Security Media Group Erpressersoftware als eine der Hauptbedrohungen für ihre Unternehmen ansehen. Gleichzeitig besteht aber eine enorme Diskrepanz zwischen der Wahrnehmung der Gefahr und der tatsächlichen Umsetzung einer Strategie zu ihrer Eindämmung oder Bekämpfung.

So waren 83 Prozent der Befragten zuversichtlich, dass die eingesetzten Endpoint-Security-Lösungen Ransomware erkennen würde, bevor sie sich im Unternehmensnetzwerk ausbreitet und kritische File-Shares infiziert. Allerdings glauben nur 21 Prozent, dass ihre Anti-Malware-Software wirklich komplett alle Bedrohungen abwehrt. Für 44 Prozent sind die Nutzer das schwächste Glied der Sicherheits-Kette in Bezug auf Ransomware, aber nur 37 Prozent derjenigen, die bereits angegriffen wurden, haben daraufhin ihre Zugriffsrechte angepasst um die Auswirkungen zukünftiger Attacken zu reduzieren und nur eine ähnlich hohe Anzahl (36 Prozent) hat ihre Erkennungs- und Recovery-Prozesse verbessert.

IT-Verantwortliche vertrauen immer noch darauf, dass AV- und Endpunkt-Lösungen Ransomware stoppen können, sehen aber gleichzeitig, dass diese Verteidigungslinie oftmals durchbrochen wird.

Die Grenzen klassischer Lösungen

Warum aber sind Endpoint-Security-Lösungen nicht in der Lage, Unternehmen effektiv vor solchen Bedrohungen zu schützen? Wie alle signatur-basierten Lösungen (etwa „klassische“ Antiviren-Programme) schützt auch Endpoint-Security-Software nur vor bekannter Malware. Schon ganz einfach zu programmierende Varianten werden so nicht erkannt – von neuen, fortschrittlichen Angriffen ganz abgesehen. Es muss also immer erst eine Infektion auftreten, die identifiziert und analysiert werden muss, um dann andere vor genau dieser Bedrohung zu schützen. In der Zwischenzeit können nicht nur andere infiziert werden, sondern die Malware-Entwickler einfache Varianten herstellen, um diesen Ablauf – letztlich ein Katz-und-Maus-Spiel – von neuem zu starten. Darüber hinaus sind Endpunkt-Lösungen immer an ein Gerät, Nutzer oder Prozess gebunden und verfügen über keine anti-heuristischen oder Debugging-Techniken.

Danke für die Warnung

Ransomware ist aber nicht etwa deswegen in aller Munde, weil sie so schlau und ausgefeilt ist, sondern weil sie vor allem lautstark auf sich aufmerksam macht. Genau davon lebt sie ja: dass die Betroffenen von dem Angriff erfahren und entsprechend das Lösegeld bezahlen.

Nach einem Angriff sollten sich IT-Verantwortliche folgende Fragen stellen: Welche User wurden infiziert? Was wurde alles verschlüsselt? Wann hat der Angriff begonnen? Ist er wirklich vorbei? Kann ein Angriff nochmals stattfinden? Sind wir sicher? Wahrscheinlich sind es diese und ähnliche Fragen, die auch von der Geschäftsführung gestellt werden. Und wenn man schon bei der Beantwortung dieser Fragen Schwierigkeiten hat, sollte man sich überlegen, was alles möglicherweise unentdeckt geblieben ist.

Gefahr aus dem Inneren

Gerade Insider können zur Bedrohung werden: Etwa Administratoren, die ihre Rechte missbrauchen und geistiges Eigentum und Unternehmensinterna stehlen, möglicherweise über Monate und Jahre hinweg. Das Schlimme ist, dass Sie nicht wissen, welche Daten Ihr Mitarbeiter kopiert hat, bevor er gekündigt und zu einem Mitbewerber gewechselt ist. Sie wissen auch nicht, was der verärgerte Admin gelöscht hat, bevor er entlassen wurde (genau dieses Szenario hat sich erst kürzlich beim niederländischen Hostingprovider Verelox abgespielt). Und Sie haben wahrscheinlich auch Schwierigkeiten herauszufinden, was gerade in diesem Moment auf Ihrem Dateisystem passiert.

All diese Bedrohungen machen nicht mit einem bunten Pop-up-Fenster wie bei Ransomware auf sich aufmerksam, sondern geschehen meist unbemerkt. Das klingt nicht nur erschreckend – es ist erschreckend. Opfer eines Ransomware-Angriffs zu sein und alle seine wichtigen Daten verschlüsselt zu wissen ist fürchterlich. Aber Datenschutzverletzungen von Insidern sind wahre Tsunamis, die Crypto-Trojaner wie einen Nieselregen wirken lassen. Und Insider müssen dabei nicht einmal böswillig handeln: Trotz aller Schulung handeln sie manchmal fahrlässig, eine Gefahr die mit der Anzahl der Mitarbeiter steigt. Darüber hinaus ist mittlerweile nicht einmal mehr zwingend ein Fehlverhalten der Nutzer notwendig, etwa bei drive-by-Infektionen. Es scheint fast ein Axiom zu sein: Mit großer Wahrscheinlichkeit fängt sich irgendwann irgendein Mitarbeiter irgendwie Schadsoftware ein. Deshalb sollte man Ransomware-Angriffe als eine Art Warnsignal sehen, vergleichbar mit dem Kanarienvogel, den Bergarbeiter in die Grube zum Schutz vor giftigen Gasen mitnahmen.

Datensicherheit

Was haben nun die meisten Insider-Angriffe mit Ransomware zu tun? Der gemeinsame Nenner ist das Ziel, auf das sie es abgesehen haben: die Daten. Insofern ist es sinnvoll, gerade hier anzusetzen und seine Sicherheitsstrategie entsprechend anzupassen, indem man die Daten ins Zentrum dieser Strategie stellt. Bedenkt man noch, dass auf File Shares 10- bis 1.000-mal so viele Daten wie auf Laptops oder Workstations gespeichert sind, erscheint es umso sinnvoller, eine Art weiteren Perimeter um die Daten aufzubauen. Es geht dabei jedoch nicht um eine weitere Insel-Lösung für eine weitere Angriffsart, sondern vielmehr um einen neuen Ansatz.

Der erste Schritt ist dabei die Reduzierung der Zugriffsrechte, um das Risiko deutlich zu minimieren. Wird ein Nutzer mit exzessiven Zugriffsrechten infiziert, werden eben alle Daten, auf die er zugreifen kann, verschlüsselt. Eine kürzlich durchgeführte repräsentative Umfrage ergab, dass in fast jedem zweiten Unternehmen die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien hat. Generell sollte die Rechtevergabe nach dem Need-to-know-Prinzip erfolgen: Wer benötigt für seine Arbeit wirklich Zugriff auf diese Daten? Um diesen Ansatz wirkungsvoll umzusetzen, muss man kontinuierlich prüfen, ob sich an diesen Notwendigkeiten etwas geändert hat, da sich die Aufgaben und entsprechend die Rollen in Unternehmen oftmals verändern.

Wird so auf recht einfache Weise das Risiko schon minimiert, sollte in einem nächsten Schritt das Nutzerverhalten mittels intelligenter Verhaltensanalysen (UBA) überwacht werden. Auf diese Weise wird auffälliges Verhalten erkannt und entsprechende Gegenmaßnahmen können (automatisiert) eingeleitet werden. So ist es nicht nur möglich, das Abfließen von Daten zu identifizieren und zu stoppen, auch können Zero-Day-Ransomware-Angriffen erkannt und abgewehrt werden.

Über den Autor: Thomas Ehrlich ist Country Manager DACH bei Varonis.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44897255 / Malware)