Thomas Ehrlich

ist Country Manager DACH und Osteuropa bei Varonis.

Ransomware ist eine weltweite Bedrohung

Nur wer wirklich Zugriff auf bestimmte Dateien benötigt, sollte diesen auch bekommen. Thomas Ehrlich von Varonis erklärt, wie sich die Auswirkungen von Schädlingen minimieren lassen.

Während der letztjährige Verizon Data Breach Investigations Report (DBIR) Ransomware noch als hochfrequente Belästigung mit geringem Schadpotenzial bewertete, ist diese Bedrohung nunmehr von Platz 22 auf Platz 5 der Malware-Rangliste gestiegen. Diese Neubewertung war längst überfällig: Ransomware ist mittlerweile ein Milliardengeschäft mit mehr als 100.000 Infektionen pro Tag, und durch Malware-as-a-Service ist es nun auch weniger versierten Hackern möglich, ein Stück von dem gigantischen Kuchen zu erhalten.

Ransomware wurde – nicht zuletzt “dank” WannaCry und Petya – zum Vorstands-Thema und verursacht neben Produktionsausfällen und -störungen oftmals auch Datenverluste.

Twitter-Nutzer haben die Ransomware auch bei Rechnern der Deutschen Bahn entdeckt - hier in Wiesbaden (Screenshot: silicon.de bei Twitter)
Nutzer veröffentlichten bei Twitter zahlreiche Fotos die zeigen, dass die Ransomware WannaCry auch bei Rechnern der Deutschen Bahn zugeschlagen hat (Screenshot: silicon.de bei Twitter)

Natürlich ist es wichtig, die Mitarbeiter zu schulen, regelmäßige Backups durchzuführen und die Systeme durch Patches und Updates auf dem neusten Stand zu halten. Aber dennoch: Selbst die aktuellsten Systeme bleiben verwundbar, sei es durch Zero-Day-Exploits oder durch Mitarbeiter, die auf falsche E-Mails hereinfallen oder – völlig ohne jegliches Fehlverhalten – einer drive-by-Infektion zum Opfer fallen. Fakt ist: Malware gelangt hinter die Verteidigungslinien von Endpoint Security und Malware-Erkennung.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Die Gründe hierfür sind vielfältig: Neben den gerade angesprochenen Punkten liegt es vor allem daran, dass die meisten “klassischen” Security-Lösungen signatur-basiert arbeiten und somit nur vor bekannter Malware schützen können. Auch wenn eine neue Infektion schnell identifiziert und analysiert wird, um die Kunden vor genau dieser Bedrohung zu schützen, können in der Zwischenzeit reichlich Systeme befallen werden und – mindestens genauso schlimm – die Malware-Entwickler einfach neue Varianten herstellen, womit dieser Zyklus von neuem startet.

Größeres Schadpotenzial durch Ransomware-as-a-Service

Und die Bedrohung wird weiter steigen, denn Ransomware wird zum Problem auf immer mehr Plattformen. Waren zunächst Windows-Systeme betroffen, legte beispielsweise jüngst Erebus etwa Linux-Installationen lahm. Gleichzeitig wird aber auch das Geschäftsmodell erweitert: Mit Ransomware-as-a-Service (RaaS) bieten nun Cyberkriminelle Dienstleistungen an, inzwischen sogar für das bislang einigermaßen verschont gebliebene MacOS.

Diese “Demokratisierung” der Malware bedeutet nicht nur, dass den Unternehmen nun eine deutlich größere Anzahl an Angreifern gegenübersteht und man von häufigeren Attacken ausgehen kann. Vielmehr wird die Professionalisierung dieses Geschäftsfelds – analog zu den legitimen as-a-Service-Modellen – zu einem  Wettbewerb um die besten Services und das beste Produkt führen. Die (bislang oft eher mäßige) Qualität der Krypto-Trojaner wird steigen und zu immer ausgefeilteren und schwerer abzuwehrenden Angriffen führen.

Daten effektiver schützen

Deshalb ist es von größter Bedeutung, die Zugriffsrechte zu reduzieren und das spezifische Verhalten jedes einzelnen Nutzers zu überwachen, um die Auswirkungen eines Angriffs zu minimieren. In unserem kürzlich veröffentlichten Datenrisiko-Report konnten wir sehen, dass generell zu viele Nutzer in Unternehmen zu weitreichenden Zugriff auf Dateien haben, den sie eigentlich gar nicht benötigen. Durchschnittlich sind 20 Prozent der Ordner in einem Unternehmen für jeden Mitarbeiter zugänglich. Stellen Sie sich vor, was passiert, wenn Ransomware 20 Prozent Ihrer Dateien verschlüsselt!

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Es empfiehlt sich, die Rechtevergabe im Unternehmen nach dem “need to know”-Prinzip zu gestalten: Nur derjenige, der für seine Arbeit tatsächlich Zugriff auf die entsprechenden Daten benötigt, erhält ihn auch.

Dies darf aber nicht als einmalige Aktion betrachtet werden. Vielmehr muss kontinuierlich geprüft werden, ob sich die Anforderungen der Mitarbeiter geändert haben, etwa wenn sie andere Rollen (durch Versetzung oder Beförderung) im Unternehmen bekleiden. Wenn also jemand vom Vertrieb in die Marketingabteilung wechselt, müssen die Zugriffsrechte entsprechend angepasst werden und stets auf dem aktuellen Stand sein.

Umfrage

Würden Sie nach einer Ransomware-Attacke Lösegeld bezahlen?

Ergebnisse

Loading ... Loading ...

Allein durch die Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe wird das Risiko schon deutlich reduziert. Gleichwohl sollte darüber hinaus das Nutzerverhalten mittels intelligenter Verhaltensanalysen (UBA) überwacht werden, da man nur das bekämpfen kann, was man auch sieht. In diesem Fall ist dies abnormales Verhalten, das erkannt wird und den Verantwortlichen so ermöglicht, entsprechende Gegenmaßnahmen (auch automatisiert) einzuleiten.

So wie es Cerber mittels Dropbox hinter den Perimeter geschafft hat, werden auch zukünftige Ransomware-Varianten unsere äußeren Verteidigungslinien überwinden. Wenn Zugriffsrechte minimiert und das Nutzerverhalten analysiert wird, ist es aber möglich, das Abfließen von Daten zu identifizieren und zu stoppen. So können auch Zero-Day-Ransomware-Angriffen erkannt und abgewehrt werden.