Ransomware Rechteverwaltung, Whitelists und Sandboxing zur Prävention

Autor / Redakteur: Rainer Richter* / Stephan Augsten

Malware-Angriffe durch Ransomware wie Locky, TeslaCrypt oder Ransom32 werden heiß diskutiert. Für den privaten Nutzer ist die Verschlüsselung ihrer Daten ein GAU, für Unternehmen ist sie existenzbedrohend. Welche Mechanismen können vor einer solchen Attacke schützen?

Firmen zum Thema

Eine Ransomware darf gar nicht erst mit der Verschlüsselung beginnen, der Fokus sollte auf der Prävention liegen.
Eine Ransomware darf gar nicht erst mit der Verschlüsselung beginnen, der Fokus sollte auf der Prävention liegen.
(Bild: Archiv)

Die Ransomware Locky treibt im deutschsprachigen Raum aktuell ihr Unwesen und zeigt, dass die Zeiten schlecht übersetzter Phishing-E-Mails vorbei sind. Die Verbreitungsmethoden von Locky sind so gut, dass teilweise selbst erfahrene Benutzer an die Echtheit der E-Mails mit der angehängten Malware glauben.

Die Gefahr, dass sich Unternehmen mit Ransomware infizieren ist bedrohlicher denn je. Nach der Infektion verschlüsselt die Malware alle wichtigen Daten auf dem System und gibt diese nur gegen eine Bezahlung mit Bitcoins frei. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät davon ab, dieser Forderung nachzugeben.

Häufig lassen sich die Daten nämlich trotz Zahlung nicht entschlüsseln. Aktuelle Ransomware-Versionen entfernen zumeist auch die lokalen Schattenkopien, die Windows im Hintergrund zur Dateisicherung erstellt. Ist dies der Fall, hilft ausschließlich das Rückspielen eines vorher getätigten Backups.

Doch auch mit einem sicheren Backup der Unternehmensdaten sollte man die Malware Gefahr nicht auf die leichte Schulter nehmen. Erste Ransomware-Varianten gehen bereits einen Schritt weiter. Dem Opfer wird mit der Veröffentlichung seiner Daten im Internet gedroht, wenn das gewünschte Lösegeld nicht bezahlt wird.

Wie funktioniert aktuelle Ransomware?

Betrachtet man die Funktionsweise von Locky, so erkennt man die Einfachheit des Aufbaus. Die meisten der mittlerweile 60 Varianten gelangen als gefälschte Rechnung per E-Mail oder Fax-Benachrichtigung auf das System. Öffnet man die angehängte Datei, dann wird im Hintergrund ein Makro ausgeführt. Dieses lädt weiteren Schadcode aus dem Internet und beginnt unbemerkt mit der Verschlüsselung der Nutzerdaten.

Betroffen sind nicht nur lokale Festplatten, sondern auch alle anderen aktuell erreichbaren Speichermedien, wie zum Beispiel Netzwerklaufwerke oder USB-Speicher. Dies ist allerdings keine technische Neuerung. Lediglich die Qualität der Köder in Form täuschend echter E-Mails in guter deutscher Sprache ist eine Weiterentwicklung. Über clever verbreitete Ransomware können Erpresser mit wenig Aufwand eine große Geldmenge erzielen.

Welche Maßnahmen schützen vor einer Infektion?

Die Kombination aus mehreren einfachen Methoden erlaubt einen zuverlässigen Schutz gegen jedwede Malware. Eine von Microsoft veröffentlichte Statistik zeigt, dass das Entfernen von Admin-Rechten eine der effektivsten Maßnahmen zur Abwehr von Malware ist. 2015 waren 85 Prozent aller bekannten Windows-Sicherheitslücken nur von Benutzern mit Administratorrechten ausnutzbar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zum Pflegen von Whitelists. Das Erstellen einer Liste mit vertrauenswürdigen Daten-Quellen stellt die effektivste Maßnahme zur Abwehr von Malware dar. Kann eine Quelle nicht sicher als vertrauenswürdig eingeschätzt werden, ist es empfehlenswert die erhaltenen Daten vorerst in einer abgeschotteten Umgebung zu öffnen. In dieser Sandbox kann die Datei keinen Schaden am Computer anrichten.

Setzt man obige Ansätze um, so lässt sich eine Malware-Infektion aktiv verhindern. Das Vorgehen führt dabei zu keinen Einschränkungen bei der Verwendung von zusätzlichen reaktiven Erkennungstechnologien wie Antivirus-Software, Advanced Threat Detection oder Content-Filtern.

Sicherheit erfordert hohen Verwaltungsaufwand

Bei der Umsetzung und Kombination der Ansätze ist ein durchdachtes Vorgehen geboten. So behebt die Umstellung von Administrator-Konten auf Standardbenutzer-Konten zwar Sicherheitsprobleme, vervielfältigt aber in der Regel den Administrationsaufwand.

Viele Änderungen am System können nur mit solchen Administrator-Konten durchgeführt werden. Ebenso benötigen viele Applikationen erhöhte Rechte bei der Ausführung. Eine flexible Rechteverwaltung kann hier in Unternehmen Abhilfe schaffen.

Whitelists sind meist aufwendig zu erstellen. Alleine die Auflistung der klassischen Office-Anwendungen kann durch Versions- und Sprachunterschiede schnell eine Liste mit mehreren hundert Einträgen füllen. Hinzu kommt der Pflegeaufwand. Fast jede Änderung am System bedarf eine Änderung an der Whitelist.

Sandboxing-Technologien bieten einen sehr guten Schutz gegen Malware, erfordern jedoch oft einen hohen Verwaltungsaufwand. So sind netzwerkbasierte Technologien häufig ungenau, unflexibel und funktionieren nur so lange der Anwender sich im Netzwerk befindet. Mobile Anwender sind zum Beispiel damit nicht geschützt.

Hostbasierte Sandboxing-Lösungen arbeiten primär mit performance-hungriger Virtualisierung. Das Nachrüsten einer Sandbox scheitert auf bestehenden Systemen zumeist an fehlenden Hardware-Ressourcen oder fehlender Kompatibilität. Zudem muss der Hersteller jede Anwendung in die Sandbox integrieren. Dies führt nicht selten dazu, dass für neue oder exotische Software noch keine Implementierung besteht.

Intelligente Verknüpfung der Mechanismen

Im Idealfall lassen sich die genannten Sicherheitsmaßnahmen vereinen. Solche Defense-in-Depth-Ansätze integrieren Privilege-Management-Funktionen, die es gezielt erlauben, Administratorrechte für einzelne Tätigkeiten zu vergeben. Ein Großteil der Schadsoftware kann dadurch nicht mehr ausgeführt werden. Die Programmpakete unterstützen zudem das Erstellen von Regeln für sicher gestaltete Whitelists, sodass Schädlinge keinen Weg in das System finden.

Für Sandboxing sind auf dem Markt Lösungen vorhanden, die direkt auf Windows interne Sicherheitsmechanismen setzen. In dieser können mit geringer Ressourcenauslastung alle unter Windows lauffähigen Anwendungen ohne Integrationsaufwand betrieben werden. Die Sandbox deckt die letzten verbleibenden Angriffsvektoren ab und erlaubt es potenziell gefährliche Inhalte auszuführen.

* Rainer Richter ist Sales Manager Channels Central and Eastern Europe bei Avecto.

(ID:43949610)