Ver­tei­di­gungs­stra­te­gien gegen Ransomware-Angriffe

 
Wer Ran­som­wa­re ein­setzt, will sich auf kri­mi­nel­le Art schnell Geld ver­schaf­fen. Dringt die Schad­soft­ware in die Unter­neh­mens-IT ein, ver­schlüs­selt sie geschäfts­kri­ti­sche Daten und macht die­se unzu­gäng­lich. Die Angrei­fer for­dern im Nach­gang für die Ent­schlüs­se­lung teils beträcht­li­ches Löse­geld. Aus Angst, sen­si­ble Fir­men­da­ten könn­ten ver­öf­fent­licht oder ver­kauft wer­den, zah­len die Opfer oft hohe Löse­geld­sum­men. „Ob die Angrei­fer die Daten nach Zah­lungs­ein­gang wie­der frei­ge­ben, ist jedes Mal ein Glücks­spiel. Betrof­fen sind hier­von vor allem Unter­neh­men aus dem Mit­tel­stand sowie mitt­le­re Orga­ni­sa­tio­nen – ein­schließ­lich Behör­den und Unter­neh­men aus dem Gesundheitssektor2“, weiß Robert Kor­herr, Geschäfts­füh­rer der Pro­Soft, zu berichten.

Gemäß einer Stu­die zu Ransomware3 gaben 70 Pro­zent der befrag­ten deut­schen Unter­neh­men an, dass die wie­der­her­ge­stell­ten Daten teil­wei­se oder ganz beschä­digt waren. 80 Pro­zent der Orga­ni­sa­tio­nen, die Löse­geld bezahlt haben, wer­den ein zwei­tes Mal durch Ran­som­wa­re attackiert.
Dns-Fil­te­ring ist nicht gleich Dns-Fil­te­ring
Unge­wöhn­li­che Dna-Akti­vi­tä­ten sind ein untrüg­li­ches Anzei­chen einer Ran­som­wa­re-Atta­cke. Dns-Fil­ter schüt­zen hier drei­fach: Dri­ve-by-Down­loads akti­ver Inhal­te von gefähr­li­chen Web­sei­ten wer­den häu­fig im Ansatz unter­bun­den. Das Nach­la­den von Mal­wa­re-Kom­po­nen­ten von Com­mand and Con­trol Ser­vern sowie die typi­sche Daten­ex­fil­tra­ti­on vor der eigent­li­chen Daten­ver­schlüs­se­lung auf Ser­ver des Angrei­fers sind eben­falls kon­kre­te Anhalts­punk­te für eine akti­ve Ran­som­wa­re-Pha­se.  Tra­di­tio­nel­le, nach dem Black­lis­ting-Prin­zip arbei­ten­de Dns-Fil­ter müs­sen täg­lich über 200.000 neue Inter­net-Domä­nen erfas­sen und klas­si­fi­zie­ren. Für die Dau­er ab der Erken­nung bis zur Inte­gra­ti­on der IP-Adres­sen von gefähr­li­chen Web­sei­ten in die Black­list ist die IT anfällig.
White­lis­ting bie­tet bei Dns-Fil­tern dage­gen erheb­li­che Vor­tei­le. Ein Whitelist‑Dns-Fil­ter, wie etwa Blue Shield Umbrel­la, eine Ent­wick­lung des öster­rei­chi­schen Hid­den Cham­pions Blue Shield Secu­ri­ty, blo­ckiert zunächst alle unbe­kann­ten Web­sei­ten und ana­ly­siert nur jene, die auch tat­säch­lich auf­ge­ru­fen wer­den. Die ein­ge­setz­ten Algo­rith­men und KI-gestütz­ten Tech­no­lo­gien des cloud­ba­sier­ten Dns-Schutz­schilds ana­ly­sie­ren, erken­nen und blo­ckie­ren Gefah­ren und Ano­ma­lien bei jedem Auf­ruf in Echt­zeit. Erst bei ent­spre­chen­der Qua­li­fi­zie­rung wird die Domain auf die White­list gesetzt. Dabei müs­sen sich die Domains per­ma­nent wei­ter qua­li­fi­zie­ren, um auf der White­list zu blei­ben. Zur Qua­li­fi­ka­ti­on nutzt Blue Shield Umbrel­la Machi­ne Lear­ning aus his­to­ri­schen Daten, eine eigens ent­wi­ckel­te Sand­box und welt­wei­te Koope­ra­tio­nen mit ande­ren Her­stel­lern und Organisationen.

Fern­ge­steu­er­ter Web­brow­ser für höchs­te Internetsicherheit 
Ein ande­res Tool zur Abwehr von Ran­som­wa­re-Angrif­fen stellt das von der Ber­li­ner m‑privacy ent­wi­ckel­te ReCoBS Tight­Ga­te-Pro dar. Die Lösung ver­folgt einen ande­ren Ansatz und schützt vor Ran­som­wa­re, die ver­se­hent­lich bereits her­un­ter­ge­la­den wur­de. Tight­Ga­te Pro arbei­tet dabei wie folgt: Der Web­brow­ser wird nicht mehr auf dem Arbeits­platz­rech­ner aus­ge­führt. Statt­des­sen über­nimmt der dedi­zier­te, in der demi­li­ta­ri­sier­ten Zone auf­ge­stell­te, Tight­Ga­te-Ser­ver die Aus­füh­rung des Brow­sers. Der Arbeits­platz­com­pu­ter erhält ledig­lich die Bild­schirm­aus­ga­be des Brow­sers als Video­da­ten­strom über ein funk­ti­ons­spe­zi­fi­sches Pro­to­koll. Auf­grund die­ser phy­si­schen Tren­nung bleibt selbst der Auf­ruf einer kom­pro­mit­tier­ten Inter­net­sei­te für das inter­ne Netz­werk folgenlos.
Sum­me kom­bi­nier­ter Maß­nah­men bie­tet maxi­ma­len Schutz
Wie jede ande­re Mal­wa­re, gelangt Ran­som­wa­re über die übli­chen Kanä­le wie Phis­hing, Spoo­fing, unge­patch­te Sicher­heits­lü­cken, Dri­ve-by-Down­loads und Schad­soft­ware in akti­ven Inter­net-Inhal­ten ins Unter­neh­mens­netz­werk. Tech­ni­sche Maß­nah­men wie Anti­vi­ren­soft­ware, Log-Manage­ment & SIEM, Fire­walls, Patch-Manage­ment, End­point Detec­tion & Respon­se, Net­work Detec­tion & Respon­se sind eini­ge der Tools, die sich gegen Cyber­an­grif­fe bewährt haben. Sicher schüt­zen wer­den sie jedoch nur, wenn Daten aus unter­schied­li­chen Quel­len kor­re­liert wer­den. Orga­ni­sa­to­ri­sche Maß­nah­men wie Sicher­heits­schu­lun­gen und Ver­hal­tens­re­geln für Mit­ar­bei­ter sind eben­falls eine wirk­sa­me Maß­nah­me, weil eine gewis­se Skep­sis auch gegen Zero-Day Mal­wa­re wir­kungs­voll ist. Wei­te­re Infor­ma­tio­nen gibt Pro­Soft ger­ne unter der Tele­fon­num­mer +49 (0) 8171 405 200 oder per E‑Mail an: info@prosoft.de