Die Ransomware-Attacken der letzten Monate haben klar gezeigt, dass herkömmliche Sicherheitsmassnahmen nicht mehr ausreichen. Klassische Sicherheitsstrategien müssen überdacht und neue Lösungen implementiert werden. Entscheidend ist vor allem eine zuverlässige Sicherung aller Endgeräte.
Die bei Unternehmen in aller Regel vorhandenen Schutzmassnahmen wie Firewalls, Spam- und Virenschutz sind nicht in der Lage, fortschrittliche Schadprogramme zu erkennen und unschädlich zu machen. Deutlich haben das die Ransomware-Angriffe der jüngsten Vergangenheit gezeigt, die zunehmend professioneller geworden sind. So sind zum Beispiel E-Mails mit Ransomware an Unternehmen, die als Bewerbungen getarnt sind, kaum noch von legitimen E-Mails zu unterscheiden. Ausserdem haben es Cyber-Kriminelle heute leicht, problemlos neue Ransomware zu erzeugen, da mittlerweile Toolboxen im Internet kursieren, die es auch Laien ermöglichen, entsprechenden Schadcode automatisiert ohne grössere Programmierkenntnisse zu erzeugen.
Neue Ansätze
Der grösste Unterschied von heutiger Ransomware zu Computerviren und Trojanern der Vergangenheit liegt im «Geschäftsmodell». Während es früher Cyber-Kriminelle ebenfalls bereits erfolgreich geschafft haben, ihren Schadcode über das Internet auf Unternehmens-PCs zu bringen, war es für sie schwieriger, daraus einen finanziellen Profit zu ziehen. Ursprünglich richteten Computerviren vor allem Schaden an, ohne den Verursachern einen entsprechenden Nutzen zu bescheren. Im Laufe der Zeit haben die Kriminellen verschiedene Ansätze verfolgt, tatsächlich kommerzielle Vorteile aus der Verbreitung von Schadcode zu ziehen. Ein Beispiel sind Viren, die Botnetze aufbauen, um dann indirekt über den Versand von Spam-Mails Geld zu verdienen. Ransomware bietet den Cyber-Angreifern nun aber die Chance, ohne Umwege mit relativ geringem Risiko und im grossen Stil an das Geld der Betroffenen zu kommen. Dies wurde vor allem über anonymisierte Zahlungsmethoden wie bei der Kryptowährung Bitcoin möglich.
Luft nach oben bei Problemanalyse
Ein Grund für den häufigen Erfolg von Ransomware-Attacken ist auch, dass die Erpresser nicht nur grosse Unternehmen adressieren, die in der Lage sind, grössere Geldbeträge zu zahlen. Mit verhältnismässig geringen Forderungen im dreistelligen Bereich kann eine Zahlung der Lösegeldsumme auch für betroffene kleine oder mittlere Unternehmen «attraktiv» sein. NTT Security empfiehlt allerdings, nicht auf die Forderungen der Erpresser einzugehen. Zum einen wird damit deren Geschäftsmodell die Grundlage entzogen, und zum anderen ist es auch bei einer Zahlung nicht gesichert, dass sich dann die verlorenen Daten wiederherstellen lassen.
Prinzipiell sollte sich jedes Unternehmen mit der Ransomware-Bedrohung auseinandersetzen. Leider sind technische Massnahmen, um sich gegen unbekannten oder zielgerichteten Schadcode wie Ransomware zu schützen, noch nicht flächendeckend bei Unternehmen und Behörden im Einsatz. Viele überarbeiten aber ihre Sicherheitsstrategie und sind gerade dabei, entsprechende Lösungen einzuführen.
Zwei Schritte
Erster Schritt bei der Umsetzung von Sicherheitsmassnahmen sollte die Sensibilisierung der Mitarbeiter sein: Eine moderne Sicherheitsstrategie funktioniert nur, wenn die Mitarbeiter entsprechend geschult sind und sie auf potenzielle Bedrohungen hingewiesen und zu einem verantwortungsbewussten Umgang mit Daten aufgefordert werden. Im Hinblick auf den Trainingseffekt sollten durchaus auch simulierte Angriffstests in Betracht gezogen werden, die Social-Engineering-Verfahren einbeziehen, also zielgerichtete Angriffe auf Basis ausgespähter individueller Informationen von Mitarbeitern.
Zweiter Schritt ist die Implementierung adäquater Sicherheitsmassnahmen. Und hier müssen vor allem die einzelnen Endgeräte der Mitarbeiter stärker in das Sicherheitskonzept eingebunden werden. Da sich die herkömmliche signaturbasierte Malware-Abwehr auf Client-Ebene als unzureichend erwiesen hat, sollten zusätzliche Massnahmen in Form von «Sicherheits-Gateways» ergriffen werden. Hier bieten sich zum Beispiel Sandboxing- oder Code-Analyse-Verfahren zur Erkennung unbekannter Schadprogramme an. Ein Beispiel ist die Threat-Prevention-Lösung SandBlast von Check Point, die eine Bedrohungserkennung auf CPU-Ebene bietet. Auch Lösungen aus dem Bereich des maschinellen Lernens, wie sie der Cyber-Security-Spezialist Cy-lance anbietet, nutzen Unternehmen zunehmend. Damit verhindern sie Malware-Angriffe oder Advanced Persistent Threats proaktiv. Dieser proaktive Malware-Schutz und nicht die reaktive Schadcode-Detektion steht ebenfalls bei einer Lösung des Endpoint-Security-Spezialisten Bromium im Vordergrund. Sie basiert auf einer Micro-Virtualisierungstechnologie, mit der alle potenziell gefährlichen Anwenderaktivitäten isoliert werden. Mit der Implementierung und Nutzung solcher Sicherheitslösungen laufen auch fortschrittliche Ransomware-Attacken ins Leere.
Weitere Informationen:
www.nttcomsecurity.ch