Applikationskontrolle und Malware

Whitelisting als Waffe gegen Ransomware

| Autor / Redakteur: Sergej Schlotthauer / Peter Schmitz

Wirklichen Schutz gegen Ransomware bietet nur eine Applikationskontrolle unter Zuhilfenahme einer sogenannten Whitelist.
Wirklichen Schutz gegen Ransomware bietet nur eine Applikationskontrolle unter Zuhilfenahme einer sogenannten Whitelist. (Bild: Pixabay / CC0)

Fast jedes dritte deutsche Unternehmen war schon einmal Opfer eines Ransomware-Angriffs und oft wird dann nur Schadensbegrenzung betrieben. Dabei gibt es schon lange ein Tool, mit dem Angriffe bereits im Vorfeld gestoppt werden können: Applikationskontrolle unter Verwendung des Whitelist-Verfahrens. Überraschenderweise wird das im Zuge von Ransomware-Abwehr nur selten genannt.

Weltweit sind Ransomware-Attacken auf dem Vormarsch. Auch deutsche Unternehmen sind betroffen. Beispielsweise gab es Ende 2017 Angriffe der neuen Ransomware Bad Rabbit auf ukrainische und russische Unternehmen und Behörden, bei denen auch deutsche Unternehmen betroffen waren. Cyberkriminelle hatten mehrere von Mitarbeitern der Angriffsziele stark frequentierte Webseiten gehackt und für einen Watering-Hole-Angriff präpariert. Mitarbeiter, die die präparierten Webseiten besuchten, wurden auf ein angebliches Flash Player-Update hingewiesen. Stimmten sie dem „Update“ zu und starteten anschließend den „aktualisierten“ Player, war ihr Rechner infiziert. Ihre Daten waren nun verschlüsselt und dem Zugriff ihres Arbeitgebers entzogen.

Umgerechnet rund 250 Euro wurden von den betroffenen Unternehmen und Behörden für die Entschlüsselung der Daten eines jeden infizierten Rechners verlangt. Darüber, ob Bad Rabbit das Zeug hat, auch für deutsche Unternehmen und Behörden zu einer ernsten Bedrohung zu werden, gehen die Meinungen in IT-Sicherheitskreisen derzeit noch weit auseinander. Einigkeit herrscht aber bereits heute in einem Punkt: das Risiko, Opfer eines Ransomware-Angriffs zu werden wächst – auch und gerade für deutsche Unternehmen.

Was tun gegen Ransomware?

Sicherheitskonzepte gegen Malware

Was tun gegen Ransomware?

27.11.17 - Mit WannaCry, NotPetya und BadRabbit gab es 2017 bereits drei große Angriffswellen mit Ransomware. Unternehmen brauchen zum Schutz vor Malware die richtigen organisatorischen Maßnahmen und technischen Hilfsmittel. lesen

Mindestens ein Drittel aller Unternehmen war bereits Opfer

Im Fall von Bad Rabbit erfolgte die Infizierung über eine Webseite. Doch stellt diese Methode bei Ransomware-Angriffen eher eine Randerscheinung dar. So kam eine Studie von Osterman Research (pdf) kürzlich zu dem Ergebnis, dass Ransomware-Angriffe auf deutsche Unternehmen nur zu 18 Prozent über eine Manipulierung externer Webseiten erfolgen. Weit häufiger, zu 52 Prozent, werden E-Mail-Anhänge und in E-Mails eingetragene Links für einen Angriff genutzt. Das Risiko, Opfer eines Ransomware-Angriffs zu werden ist groß – auch wenn Ransomware lediglich ein Prozent der derzeit weltweit in Umlauf befindlichen Schadsoftware ausmacht. Die Osterman-Untersuchung ergab, dass von 175 befragten deutschen KMUs bereits 34 Prozent mindestens einmal Opfer eines Ransomware-Angriffs gewesen sind.

Erhebliche Schäden durch Beeinträchtigung der Geschäftstätigkeit

Die durch einen Ransomware-Angriff verursachten betriebs- und volkswirtschaftlichen Schäden sind immens. So gehen laut einer aktuellen IBM-Studie rund 70 Prozent der US-amerikanischen Unternehmen auf die Lösegeldforderungen der Angreifer ein. Für deutsche Unternehmen konnte eine Trend Micro-Studie mit rund 61 Prozent einen ähnlich hohen Wert feststellen. Wichtiger noch als der Verlust des Lösegeldes wiegt in den meisten Fällen aber der Verlust der Daten und die vorübergehende Einschränkung oder gar Einstellung der Geschäftstätigkeit. Fast alle betroffenen Unternehmen haben laut der Osterman-Untersuchung Ausfallzeiten zu verzeichnen gehabt, 21 Prozent der betroffenen Unternehmen mussten ihre Geschäftstätigkeit vorübergehend sogar ganz einstellen. Gerade deutsche Unternehmen sehen sich hier erheblichen Risiken ausgesetzt. Laut einer kürzlich veröffentlichten Symantec-Untersuchung zählen sie mittlerweile zu den weltweit beliebtesten Angriffszielen von Ransomware-Attacken.

Derzeitige Schutzmaßnahmen helfen nur den Schaden zu begrenzen

Bislang gestaltete sich der Schutz vor Ransomware-Angriffen als schwierig. Antiviren-Programme können nur Malware aufspüren, deren Signaturen sich bereits in ihrem Virenverzeichnis befinden. Da Ransomware aber meist gezielt für einen Angriff programmiert und zum Einsatz gebracht wird, liegen den Antiviren-Programmen noch keine Daten über sie vor. Schulungen für Mitarbeiter, die diese auf die Gefahren von Ransomware und die Angriffstechniken der Cyberkriminellen hinweisen, können präventiv helfen, doch bieten auch sie letztlich keine Sicherheit. Schließlich werden von Experten noch regelmäßige Backups und ein effektives Risikomanagement ins Feld geführt. Doch kann beides allenfalls helfen, den bereits angerichteten Schaden zu begrenzen. Wirklichen Schutz bieten auch sie nicht.

Applikationskontrolle mit Whitelisting

Wirklichen Schutz bietet nur die Einrichtung einer Applikationskontrolle unter Zuhilfenahme einer sogenannten Whitelist. Sie sorgt im Unternehmensnetzwerk dafür, dass Nutzer nur autorisierte Programme und Programmaktualisierungen starten können. Im Gegensatz zu einem Antivirenprogramm kann das Kontrollprogramm Unternehmensnetzwerke auch vor bislang unbekannten Malware-Angriffen schützen, da es ausschließlich die auf der Whitelist aufgeführten Programme freigibt.

Das Risiko, Opfer eines Ransomware-Angriffs zu werden, kann über ein effektives Applikationskontrollprogramm deshalb deutlich minimiert werden. Dennoch zeigt unsere Erfahrung, dass Applikationskontrolle bis jetzt nur selten eingesetzt wird. Viele Anwender denken, dass die Pflege dieses Tools sehr aufwendig ist, da erst definiert werden muss, welche Programme jeder Benutzer verwendet. In Wirklichkeit stellt dies aber kein Problem dar, schließlich ist die Applikationskontrolle mit einem Lernmodus ausgestattet. Innerhalb von wenigen Wochen lässt sich so einrichten, welche Produkte von welcher Nutzergruppe tatsächlich benötigt werden. Zudem kann festgelegt werden, dass automatisch alle Anwendungen, die über eine Softwareverteilung installiert wurden, auch ausgeführt werden dürfen, andere Anwendungen werden geblockt. Diese vertrauenswürdigen Anwendungen können auch anhand einer Liste bestimmter Hersteller (etwa Microsoft, SAP, Adobe etc.) definiert werden, sodass ausschließlich von diesen Herstellern signierte Software ausgeführt werden darf. Zusätzliche Ausnahmeregelungen können problemlos hinzugefügt werden. Zusammengefasst lässt sich festhalten, dass die Applikationskontrolle den stärksten Schutz gegen Ransomware sowie gegen die meisten Viren bietet. Dabei ist die Einführung einer modernen und durchdachten Applikationskontrolle sicherlich kein Hexenwerk, lässt sich die Einrichtung der Whitelist doch innerhalb weniger Stunden durchführen.

Über den Autor: Sergej Schlotthauer ist CEO von EgoSecure.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45121650 / Endpoint)