psdesign1 - Fotolia

Die Tools gegen Ransomware richtig einsetzen und konfigurieren

Viele Unternehmen setzen bereits heute die richtigen Werkzeuge zum Schutz vor Ransomware ein. Diese sind meist nur falsch konfiguriert.

Für Kriminelle ist Ransomware eine erfolgversprechende Methode, um schnell reich zu werden. Für die Opfer, selbst für diejenigen, die nicht zahlen, verursacht Ransomware dagegen vor allem Kosten. Die Ursache dafür sind indirekte Aufwendungen, die durch Ausfallzeiten, benötigte Systemwiederherstellungen, Analysen des Vorfalls und Reaktionen darauf sowie durch Auditing entstehen.

Ransomware entwickelt sich kontinuierlich weiter. Längst schon geht es den Crimeware-Programmierern nicht mehr nur um die Verschlüsselung von Dateien. Es gibt bereits Vorfälle, bei denen gezielt E-Commerce-Webseiten angegriffen wurden, bei denen dann die kompletten Festplatten verschlüsselt wurden. Es ist deswegen an der Zeit, nun über Werkzeuge gegen Ransomware nachzudenken, die verhindern können, dass Ihre Systeme und Ihre Daten in Geiselhaft genommen werden.

Wie sich Ransomware vermeiden lässt

Bei Ransomware handelt es sich prinzipiell natürlich auch um Malware. Deswegen treffen hier auch die üblichen Sicherheitsempfehlungen zu, die häufig zum Schutz gegen anderen Schadcode gegeben werden: Verwenden Sie Tools zum System-Management, um Ihre Systeme auf einem aktuellen Stand zu halten, insbesondere die riskanteren Anwendungen wie Microsoft Office und Adobe Reader. Deinstallieren Sie Software, die aus Security-Sicht häufig für Ärger sorgt. Bekannte Beispiele dafür sind Flash und Java. Sie sollten nur dann behalten werden, wenn diese für die Tätigkeiten der Mitarbeiter wirklich unabdingbar sind. Schützen Sie darüber hinaus die Endgeräte der Anwender mit Software zur Endpoint Security und Ihre E-Mail-Dienste mit einem E-Mail-Security-Gateway.

Diese Sicherheitstipps führen aber auch zu einer wichtigen Frage: Wenn wir diese Empfehlungen bereits alle umsetzen, warum gibt es dann immer noch so viel Ransomware? Die Antwort liegt, wie so oft, in der Umsetzung. Viele dieser gängigen Lösungen zum Schutz vor den Kriminellen wurden vor fünf oder zehn Jahren eingerichtet und konfiguriert. Seitdem wurden sie nur noch selten angefasst. Die meisten Hersteller haben jedoch mittlerweile hilfreiche Funktionen hinzugefügt, die von den Anwendern in den Unternehmen aber oft noch nicht genutzt werden.

Um ein besseres Verständnis für den richtigen Einsatz der Lösungen zu gewinnen, nehmen wir im Folgenden Anwendungen zum System-Management, zur Endpoint Security und zur E-Mail-Security unter die Lupe und beschreiben, wie sie funktionieren. Wir zeigen dann, was neu ist und welche Funktionen besonders wichtig sind, um Ransomware zu vermeiden.

Wie ein effektiver Schutz vor Ransomware funktioniert

Tools zum System-Management verhindern das Eindringen von Ransomware, indem sie dafür sorgen, dass alle Systeme und Anwendungen kontinuierlich gepatcht und aktualisiert werden. Wenn Patch-Fehler auftreten, sollten diese sofort gründlich untersucht und die Probleme schnellstmöglich gelöst werden. Sich nur auf eine Gruppenrichtlinie in Windows-Update zu verlassen, reicht nicht mehr zum Schutz aus. System-Management-Software, die das Patchen der Endpoints automatisiert, ist eine wesentliche Voraussetzung, um die Kontrolle über die installierte Software zu behalten. Mit mehr als einem Dutzend verfügbarer Tools in verschiedenen Preisklassen, gibt es hier für jedes Unternehmen das passende Produkt.

Software zur Endpoint Security blockiert nicht nur den Download von Ransomware, sondern auch, dass diese ausgeführt wird. Aber das ist nur ein Teil ihrer Möglichkeiten. Die meisten Endpoint-Security-Produkte verfügen über eingebaute Firewalls und Anti-Malware-Funktionen, die sich von IT-Managern ebenfalls dazu einsetzen lassen, Desktop-Rechner und mobile Endgeräte zu schützen. Weil diese Anwendungen auf dem Desktop selbst aktiv sind, haben sie auch mehr Möglichkeiten, Malware zu erkennen als eine Appliance im Netzwerk. Diese hat nur einen begrenzten Zugriff auf die Aktivitäten auf den Clients.

Die häufigste Eintrittspforte für Ransomware, um sich auf den Rechnern der Anwender einzunisten, sind E-Mails. E-Mail-Security-Gateways sind ein wichtiger Bestandteil einer Strategie zum Schutz vor Phishing-Mails. Diese Mails führen oft zu Ransomware-Angriffen. Außerdem sorgen die Gateways dafür, dass Malware-Attachments ausgefiltert werden, die an eingehenden Nachrichten hängen.

Neue Funktionen zum Schutz vor Ransomware

Bei Tools zum System-Management geht es nicht mehr nur ums Patchen. Sie sichern die Desktops mit weiteren Funktionen. So gewähren sie einen Überblick über die auf den Clients installierten Anwendungen. Außerdem kann damit leicht überflüssige oder nicht mehr genutzte Software entfernt werden. Wenn bekannte Schwachstellen vorhanden sind, können System-Management-Tools außerdem dazu verwendet werden, die Konfigurationen individuell anzupassen. So lassen sich daraus entstehende Gefahren begrenzen. Ein Beispiel dafür sind interne Scripting-Sprachen in vielen Anwendungen, die von Angreifern als Angriffsvektor missbraucht werden können. Ein besonders wichtiges Feature ist außerdem, die immer wieder benötigten Ausnahmen sauber und übersichtlich verwalten zu können: So lässt sich die Angriffsfläche deutlich verkleinern, wenn unsichere Konfigurationen oder Software-Versionen nur bei den jeweiligen Nutzern erlaubt sind, die sie aus geschäftlichen Gründen wirklich benötigen.

Lösungen zur Endpoint Security sind ebenfalls ein großes Stück weitergekommen, seit sie um Firewalls und Anti-Malware-Tools erweitert wurden. So ist das Whitelisting von Anwendungen eine hervorragende Strategie, um Altsysteme wie Server oder abgeriegelte Workstations vor Ransomware zu schützen. Viele Endpoint-Security-Suiten enthalten bereits Whitelists und Blacklists als Basis-Funktionen. Das Filtern von URLs kann auf den Desktops ebenfalls aktiviert werden, um bekannte böswillige Webseiten zu blockieren, über die Ransomware verbreitet wird. Verhaltensbasierte Verteidigungsmechanismen können zudem dafür sorgen, neue Ransomware zu stoppen, bevor sie Schaden anrichten kann. Funktionen zur Kontrolle der Desktops, wie das Verbot des Ausführens heruntergeladener Dateien, sollten von IT-Managern noch einmal überprüft werden. Vielen von ihnen dürfte nicht bekannt sein, welche neuen Funktionen ihr Endpoint-Security-Hersteller in der Vergangenheit hinzugefügt hat.

Schritte, um das Risiko einer Infektion mit Ransomware zu reduzieren

Der beste Weg, um eine Ransomware-Attacke zu überstehen, ist sich nicht darum zu kümmern, ob man getroffen wird oder nicht. Hier sind ein paar Maßnahmen, die Sie bis zu diesem Punkt bringen:

  • Sorgen Sie für eine solide Backup-Strategie.
  • Verhindern Sie, dass Mitarbeiter wichtige Informationen auf lokalen Festplatten speichern. Falls doch einmal eine Ransomware zuschlägt, können Sie dann alle wesentlichen Daten aus den Unternehmens-Backups wiederherstellen.
  • Ersetzen Sie Netzwerkfreigaben mit modernen Collaboration-Tools, so dass Ransomware nicht mehr als eine kleine Zahl von Dateien beschädigen kann.
  • Schulen Sie Ihre Kollegen gründlich. Wenn Sie dafür sorgen, dass die Belegschaft den IT-Teams vertraut und merkt, dass auf ihre Fragen eingegangen wird, werden Phishing-Angriffe und Ransomware nur geringe Auswirkungen haben.

IT-Manager sollten sich außerdem mit den Endpoint-Security-Funktionen in Windows 10 befassen. Microsoft hat viel Aufwand darin gesteckt, das Betriebssystem mit neuen Funktionen wie Code-Integrity-Checks, Device Guard und virtualisierten Sicherheitsmaßnahmen zu härten. Sie erschweren es den Angreifern, Malware auf den Desktops einzuschleusen. Ein Umstieg auf Windows 10 erhöht die Hürden für Angreifer und sorgt für sich allein schon für mehr Schutz.

Was früher als „Anti-Spam” bezeichnet wurde, nennt sich heute „E-Mail-Security”. Dabei handelt es sich aber um mehr als nur um eine Änderung des Namens. Funktionen, um Malware zu blockieren, sind ein großer Teil der Neuigkeiten. Einfaches Scannen nach Malware wurde ersetzt durch einen verbesserten Schutz auf Basis von Richtlinien. So ist es jetzt möglich, tief in den angehängten Dateien nach Spyware oder Malware zu suchen, passwortgeschützte Attachments automatisch zu blockieren und eine „Zero Hour”-Erkennung auf Basis von Reputationsdiensten und Datei-Charakteristika durchzuführen. Darüber hinaus lassen sich jetzt Sandboxing-Systeme und -Dienste nutzen, um Malware auch dann aufzuspüren, wenn signaturbasierte Lösungen versagen.

E-Mail-Security-Gateways und eigenständige Lösungen zum E-Mail-Schutz haben ebenfalls neue Funktionen bekommen. Dadurch lassen sich insbesondere Phishing-Angriffe durch die Validierung von eingehenden E-Mails erkennen und gefälschte Mails leichter aussortieren. Manche Anwendungen nutzen jetzt existierende, aber wenig genutzte Protokolle zum Schutz von E-Mails wie DMARC (Domain-based Message Authentication, Reporting and Conformance), DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework). Andere greifen auf anspruchsvolle Analysen der Sendemuster zurück.

Fazit

McAfee hat bereits 2016 als „Das Jahr der Ransomware” ausgerufen und berichtet, dass es einem einzelnen Ransomware-Autor gelungen sein soll, mehr als 121 Millionen US-Dollar an Lösegeldern von Opfern rund um die Welt zu erpressen. IT-Manager, die Schaden durch Ransomware vermeiden wollen, müssen ihre Sicherheitsstrategie deswegen vom Anfang bis zum Ende durchplanen und dabei auf ein komplettes Set an Werkzeugen zurückgreifen, das sie dabei unterstützen kann.

Kernstück dieser Strategie sind dabei technische Maßnahmen: Das Reduzieren der Angriffsfläche sowie das Blockieren von Phishing-Angriffen und von Malware auf dem Desktop. Drei Lösungen, die Sie dabei unterstützen können, befinden sich bereits im Arsenal der meisten Organisationen: Tools zum System-Management und zum Patchen, Endpoint-Security-Suiten und E-Mail-Security-Gateways.

IT-Manager sollten alle diese bereits eingesetzten Lösungen erneut sorgfältig evaluieren, um sicherzustellen, dass die Schutzmechanismen wirklich ausgereizt werden. So finden Sie auch heraus, ob eine der eingesetzten Lösungen gegen ein anderes Produkt ausgetauscht werden sollte, das den aktuellen Anforderungen besser entspricht.

Nutzen Sie Tools zum System-Management, wenn keine oder zu wenig Patches eingespielt werden und überflüssige Software installiert ist. Wenn Malware weiterhin auf die Desktops gelangt, kontrollieren Sie, ob Ihre Software zum Schutz vor Ransomware ersetzt werden sollte oder ob Konfigurationen aktualisiert werden müssen. Prüfen Sie außerdem, was mit den vorhandenen Anwendungen noch unternommen werden kann, wenn Ransomware weiterhin über Phishing-Angriffe und unerwünschte Dateianhänge durch das E-Mail-Security-Gateway ins Unternehmen gelangt – oder sehen Sie sich nach einer besseren Lösung um.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ransomware mit alternativen Ansätzen begegnen

Best Practices: Ransomware verhindern oder eindämmen

Office 365: Viren- und Spamschutz richtig konfigurieren

Wieviel Zeitaufwand ist fürs Patchen und Updaten gerechtfertigt?

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Sicherheitsbedrohungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close