von Sonja Meindl
Ransomware, sprich Verschlüsselungstrojaner, waren dieses Jahr eine echte Plage: Locky, Cerber, Goldeneye oder ImageGate haben bewiesen, dass es jeden treffen kann, egal ob Verwaltung, Spital, KMU oder Produktionsunternehmen. Diese «Erpressungstrojaner» verschlüsseln die Dateien ihrer Opfer und machen sie unbrauchbar. Betroffene sollen ein Lösegeld in Form von Bitcoins zahlen, damit die Dateien wieder entschlüsselt werden. Wir gehen davon aus, dass Ransomware immer wichtiger und 2017 ein ähnliches Problem darstellen wird wie DDoS-Angriffe.
Unserem aktuellen Sicherheitsbericht zufolge kommt es stündlich 971 Mal zum Download von Malware in Unternehmensnetzwerke. Das bedeutet statistisch, dass neun Mal so viele Malware heruntergeladen wurde wie vor 12 Monaten. Die traditionelle Methode, sich vor solchen Infektionen zu schützen, ist das Abgleichen des ins Netzwerk eingehenden Datenverkehrs mit einer regelmässig aktualisierten Datenbank bekannter Malware – das ist die Basis jeder signaturbasierten Antivirus-Lösung. Lange Zeit war diese Methode sehr erfolgreich, und noch immer ist sie ein wesentlicher Bestandteil des unternehmensweiten Cybersicherheitsansatzes – doch jetzt muss sie durch weitere Massnahmen verstärkt werden.
Dafür gibt es gleich mehrere Gründe. Erstens werden Cyberkriminelle immer versierter, wenn es darum geht, bestehende Malware so zu ‚optimieren‘, dass sie Signaturbanken umgehen kann. Zweitens werden manche Malware-Arten, insbesondere Ransomware, zunächst über in Dokumente eingebettete Makros eingeschleust. Diese sind klein und harmlos genug, um der Erkennung zu entgehen. Sobald sie dann im Netzwerk aktiviert wurden, laden sie die echte Ransomware-Payload herunter – was die neue Ransomware zu einer besonders heimtückischen Bedrohung macht. Deshalb müssen auch KMU herkömmliche Antivirus-Produkte durch ausgefeiltere Techniken verstärken, die verdächtigen Datenverkehr auf Basis seines Verhaltens und seines Ursprungs blockieren und nicht nach Bedrohungen suchen, die bereits bekannt sind.
Wir empfehlen gegen Angriffe mit unbekannter Malware eine Kombination aus advanced Sandboxing und Threat Extraction. Erweitertes Sandboxing ist nicht signaturbasiert: Mithilfe der Erkennung auf CPU-Ebene, die es ermöglicht, alle in die Malware eingebauten Umgehungstechniken zu durchschauen und potentielle Infektionen zu blockieren, werden eingehende Dateien auf verdächtige Elemente geprüft. Threat Extraction beruht auf einem einfachen Grundsatz: Der Grossteil der Malware wird über E-Mail, durch angehängte Word-Dokumente, PDFs oder Excel-Tabellen verbreitet. Vom Sicherheitsstandpunkt aus betrachtet, ist es das Beste, davon auszugehen, dass alle E-Mail-Anhänge infiziert sind – und darum alle potentiellen Bedrohungen aus ihnen zu entfernen, bevor sie an Nutzer weitergeleitet werden. Dies dauert nur wenige Sekunden und der Nutzer hat sofort Zugriff auf die gewünschten Informationen. In der Kombination verhindern diese Techniken fast alle am Markt vorhandenen Infektionen.
Weitere Informationen:
www.checkpoint.com
