Ransomware-Attacken - So schützen Sie sich
So kann man sich schützen
Viele Unternehmen sind kaum gegen solche Erpresserviren geschützt. Traditionelle Erkennungsmechanismen basieren mehr oder weniger darauf, Software und Mail-Nachrichten mit Mustern bereits bekannter Bedrohungen zu vergleichen und so Schadsoftware zu erkennen. Laut den Antiviren-Experten von Panda Software gibt es rund 230.000 neue Malware-Exemplare pro Tag – 18 Prozent der neuen Viren werden von traditionellen Antivirenlösungen innerhalb der ersten 24 Stunden nicht entdeckt. Drei Monate später werden noch immer 2 Prozent nicht erkannt.
Ransomware erfordert daher neue Methoden, um das Wettrennen mit den Kriminellen zu gewinnen: „Da die Angreifer neue Schädlingsvarianten typischerweise gegen die gängigen Antivirenlösungen testen und so lange modifizieren, bis eine neue Variante nicht mehr erkannt wird, bieten die klassischen definitionsbasierten Erkennungsverfahren keinen ausreichenden Schutz mehr“, so der Sophos-Experte Michael Veit. „Stattdessen müssen erweiterte, signaturlose Next-Generation-Technologien zur Erkennung neuer Schädlinge eingesetzt werden, wie eine umfangreiche Verhaltenserkennung verdächtiger Aktionen und die Erkennung von Command-&-Control-Netzwerkverkehr. Am Gateway sind Sandboxing-Technologien der wirksamste Schutz.“
Auch nach Ansicht von Candid Wüest von Symantec reichen klassische Antiviren-Tools nicht mehr aus. Seiner Meinung nach ist auch der Begriff Antiviren-Tool nicht mehr zeitgemäss: „Benötigt werden Sicherheitslösungen, die mehrere Schutzstrategien – Antiviren-Mechanismen mit Firewall, Verhaltensanalyse, Reputationsmanagement – integriert verknüpfen, sodass man proaktiv reagieren kann. Umfassende Sicherheitslösungen verhindern Infektionen auf mehreren Ebenen – zum Beispiel, dass der Nutzer eine infizierte E-Mail öffnet und so auf eine infizierte Webseite gelangt oder dass eine Webseite eine Schwachstelle im Browser ausnutzt“, sagt Wüest.
So evaluieren und klassifizieren neue Next-Generation-Sicherheits-Tools – die oftmals in der Cloud laufen – alle Anwendungen auf einem System. Die ständige Überprüfung soll die frühzeitige Identifizierung und Kategorisierung auch neuer Malware ermöglichen. Im Gegensatz zu herkömmlichen Antivirenlösungen, die erkannte Schadprogramme blockieren und davon ausgehen, dass alle anderen Anwendungen sicher sind, lassen neue Lösungen ausschliesslich Anwendungen zu, die als sicher bekannt sind. „Der Einsatz von heuristischen Antiviren-Tools ist eine wirksame Massnahme, um die Ausnutzung von Schwachstellen zu verhindern. Sie analysieren die Eigenschaften und das Verhalten von Dateien, um zu sehen, was sie tun. Schädliche Aktivitäten werden blockiert, um die Ausnutzung von Systemen zu verhindern“, so Rüdiger Trost von F-Secure.
In vielen Fällen lassen sich Ransomware-Angriffe übrigens durch eine aufmerksame Nutzung des Computers vermeiden beziehungsweise die Schäden begrenzen. Forscher der Northeastern University in Boston haben knapp 1400 Fälle von Ransomware unter die Lupe genommen. Das Ergebnis: Eine erhebliche Zahl dieser Angriffe hätte man stoppen können, selbst wenn es sich um Erpresserviren handelte, die Daten verschlüsseln. So äussert sich ein Angriff unter anderem in signifikanten Veränderungen im Dateisystem.
Stets aktuell: „Um ein grösstmögliches Mass an Sicherheit zu garantieren ist Voraussetzung, dass das Betriebssystem sowie die eingesetzten Programme auf den aktuellsten Update-Stand gehalten werden“, erklärt Alexander Vukcevic von Avira. Laut Rüdiger Trost von F-Secure ist Patching ein Eckpfeiler der Sicherheit und wehrt bis zu 80 Prozent der bekannten Bedrohungen ab. Grosse Gefahr geht vor allem von Anwendungen aus, die Inhalte aus dem Internet öffnen, etwa Browser, Mail-Programme, PDF-Betrachter oder Office-Programme. Nicht benötigte Anwendungen sollten grundsätzlich deinstalliert werden – was auf dem System nicht vorhanden ist, kann auch keinen Schaden verursachen.
E-Mails: Nachrichten im HTML-Format sind bei den Nutzern beliebt, da sie viele Darstellungsoptionen bieten. Aber: Mail-Programme nutzen zur Darstellung der HTML-Inhalte dieselben Komponenten und Mechanismen wie Browser – und sind damit eine Schwachstelle. Sie sollten daher so konfiguriert sein, dass sie eingehende Nachrichten nur im Textformat anzeigen. So lassen sich in Textnachrichten zum Beispiel Link-Adressen nicht verschleiern.
Ausserdem sollte bereits serverseitig ein flexibler Spam-Filter eingesetzt werden, der Schadnachrichten zuverlässig erkennt und markiert. Grundsätzlich in die Quarantäne verschoben werden sollten angehängte ausführbare Dateien, verschlüsselte Archive sowie Makros von Office-Dokumenten.
Office-Anwendungen: Viele Erpresserviren setzen bei angehängten Office-Dateien auf Makros, um Daten aus dem Internet zu laden. Daher sollte in Office-Programmen das automatische Ausführen von JavaScript und VBScript deaktiviert werden. Zudem sollten nur signierte Makros genutzt werden.
Segmentierung des Firmennetzes: Aktuelle Epresserviren verbreiten sich nicht innerhalb des Firmennetzwerks – noch nicht. Für künftige Varianten ist das durchaus denkbar. Ähnlich funktionierte die Ende 2008 aufgetauchte Malware Conficker. Durch einen Fehler in einer Netzwerkkomponente von Windows breitete sich der Schädling in Windeseile von einem einzigen Rechner im Unternehmen im gesamten internen Firmennetz aus.
Daher sollte man funktionale Bereiche eines Netzwerks durch eine Firewall abtrennen. So arbeiten zum Beispiel die Arbeitsplatzrechner und die Server in unterschiedlichen Netzwerken. Ein Zugriff auf die jeweiligen Systeme ist nur möglich, wenn es unbedingt sein muss.
Mitarbeiter-Sensibilisierung: Gegenüber allen Daten aus dem Internet sollten die Mitarbeiter Misstrauen hegen. Der gesunde Menschenverstand schützt vor unbedarften Mausklicks. „Der Fokus sollte darauf liegen, die Mitarbeiter ausreichend zu potenziellen Gefahren und Verhaltensweisen zu schulen und regelmässige Backups von allen Dateien auf gesonderten Systemen zu erstellen“, so Candid Wüest von Symantec.