kaptn - Fotolia

Ransomware mit alternativen Ansätzen begegnen

Die Bedrohung durch Verschlüsselungstrojaner ist für Unternehmen allgegenwärtig. Ein anwendungszentrierter Ansatz kann zusätzlichen Schutz bieten.

Die Zahl der Opfer von Ransomware hat sich in den vergangenen Monaten drastisch erhöht. Vor allem Krankenhäuser und medizinische Einrichtungen werden zunehmend zum Ziel der Angreifer (siehe auch Ein Drittel der Unternehmen von Ransomware betroffen).

Verschlüsselungstrojaner wie Locky, KeRanger, Cryptolocker, CryptoWall oder TeslaCrypt infizieren Rechner oder Netzlaufwerke und verschlüsseln sämtliche Dateien, so dass Anwender keinen Zugriff mehr auf diese Daten haben. Die Opfer werden im Anschluss aufgefordert, eine Geldsumme in Form von Bitcoins zu zahlen, damit die Angreifer die Dateien entschlüsseln und wieder zugänglich machen.

Bei einem Befall von Verschlüsselungstrojanern sind vor allem sensible Geschäftsabläufe wie E-Mail-Services oder die Gehaltsabrechnung betroffen. Das gilt auch für patientensensible Prozesse wie elektronische Patientenakten, CT-Scans oder Laborergebnisse. Haben Krankenhäuser und medizinische Einrichtungen keinen Zugriff mehr auf ihre Daten, muss wieder mit Stift und Papier gearbeitet werden und Fehler schleichen sich ein. Hacker setzen so auch das Leben der Patienten aufs Spiel, vor allem, wenn Patienten abgewiesen und in andere Krankenhäuser verlegt werden müssen.

Ransomware wurde durch ein effektives Lösegeldmodell und die verschiedenen Angriffskanäle wie Phishing-E-Mails, infizierte Dokumente und Websites so erfolgreich (siehe auch Ransomware: Die Malware-as-a-Service-Infrastruktur dahinter). Die Hacker gehen dabei ein recht geringes Risiko ein, da sie die Daten lediglich verschlüsseln und nicht an kriminelle Organisationen weiterverkaufen. Stattdessen werden die Opfer erpresst, um wieder Zugang zu ihren Daten und Netzwerken zu bekommen.

Hacker und kriminelle Organisationen haben heutzutage ihre eigenen Tricks, um solche Transaktionen reibungslos über die Bühne zu bringen. Opfer können ihre Daten mit Hilfe von Self-Service-Systemen und durch die Nutzung eines Chat-Supports schneller wiederherstellen. Sie werden dabei Schritt für Schritt durch den Zahlungsprozess geleitet. Um ihnen den Ernst der Situation deutlich zu machen, wird ein Countdown aktiviert, der den Opfern klarmacht, dass die Daten sich innerhalb von zwei bis drei Tagen nicht mehr herstellen lassen. Für gewöhnlich ist die Privatsphäre der Patienten und Mitarbeiterdaten aber nicht gefährdet.

Es gibt trotz allem ab und zu Vorfälle von verschlüsselten Daten, bei denen den Geschädigten damit gedroht wurde, die Daten zu zerstören, sollten sie nicht auf die Lösegeldforderungen eingehen. Opfer müssen jedoch mindestens damit rechnen, dass ihre Daten beschädigt werden, sollten sie versuchen, die Systeme herunterzufahren, um die Ausbreitung des Trojaners zu stoppen. Die Entschlüsselung der Daten kann private Nutzer einige 100 Euro kosten. Unternehmen hingegen müssen mit sechsstelligen Beträgen rechnen.

Traditionelle Maßnahmen gegen Ransomware

Der traditionelle Ansatz, die eigenen Daten vor Ransomware-Angriffen zu schützen, stützt sich unter anderem auf die Aufklärung der End-User bei Malware-Angriffen, die über Social Engineering ihren Lauf nehmen. Zum traditionellen Ansatz gehören:

  • Das Bewusstsein für Phishing-Versuche und andere Attacken zu schärfen;
  • Keine Hyperlinks von unbekannten und nicht vertrauenswürdigen Quellen anzuklicken;
  • Keine Software oder angebliche Updates von unbekannten Sites zu installieren;
  • Laufende Antivirus- und Antimalware-Lösungen, um Ransomware Payloads aufzuspüren;
  • Regelmäßige Daten-Backups;
  • Bitcoins verfügbar zu haben, falls die oben genannten Maßnahmen scheitern.

Ransomware mit Virtualisierung begegnen

Während der traditionelle Ansatz eher einer Verteidigungsstrategie gleicht, fehlen einige Praktiken und Verfahren, die Ransomware-Attacken durchkreuzen. Virtualisierung kann als Rahmen dienen, einen neuen Weg bei der Bekämpfung von Ramsomware einzuschlagen. Dazu gehört ein eher anwendungszentrierter Sicherheitsansatz:

  • Nutzung der E-Mail-Clients und Browser in isolierten Umgebungen (Sandboxing) für E-Mail-Clients und Browser;
  • Verstärkte Sicherheit für das Betriebssystem und kritische Anwendungen;
  • Nutzung von einmaligen Browser-Sessions für alle Webzugriffe und Hyperlinks;
  • Anwendungsspezifische und kontextbezogene Sicherheitskonfigurierungen;
  • Aktive Inhalte standardmäßig blockieren und nur pro Anwendung zulassen;
  • Whitelisting von ausschließlich vertrauenswürdigen Domains und Services, die von spezifischen Anwendung gefordert werden.

Warum sind diese Methoden heute noch nicht überall im Einsatz, um Unternehmen, sensible Daten und Nutzer zu schützen? Weil sie für jeden Endpunkt installiert und bereitgestellt werden müssen und das ist leichter gesagt als getan. Durch den Einsatz von Virtualisierung können Ransomware-Attacken durch folgende Maßnahmen auf ein überschaubares Maß reduziert werden.

„Virtualisierung bietet einen starken Rahmen für die Implementierung von Sicherheitsmaßnahmen über jeden Endpunkt und jeden Anwendungsfall hinweg.“

Jürgen Huber, Citrix

xxx

Festlegung eines virtualisierten, gesicherten E-Mail Clients in einer Sandbox-Umgebung. Dieser Client kann ein traditioneller nativer Client, wie beispielsweise Microsoft Outlook oder ein webbasierter E-Mail-Service wie Google Gmail oder Microsoft Office 365 sein. Die Festlegung eines einheitlichen Mail Clients stellt sicher, dass alle nötigen Sicherheitseinstellungen ordnungsgemäß konfiguriert und für alle Nutzer und Anwendungsfälle identisch sind. Antivirus, DLP (Data Leakage Protection), Whitelistening und andere Technologien sind in der E-Mail-Anwendung integriert und dementsprechend nicht Endpunkt-abhängig oder -begrenzt. Des weiteren werden durch den Einsatz von Virtualisierungs-Technologien nur die Pixel, die die E-Mail-Anwendung repräsentieren an den Endpunkt gesendet und keine E-Mail-Nachrichten, Anhänge oder Daten.

Festlegung eines virtualisierten, gesicherten Browsers in einer Sandbox-Umgebung. Es können verschiedene Browser, wie beispielsweise der Internet Explorer oder Google Chrome festgelegt werden. Jeder Browser wird dabei speziell nach den Sicherheitsansprüchen und den Anwendungsfällen jeder einzelnen App konfiguriert. Irrelevante Einstellungen, unnötige aktive Inhalte und ungewünschte Funktionen werden blockiert. Der virtualisierte Browser hält zudem sensible Daten vom Endpunkt fern. Diese Browserinstanz hat keinen Zugriff auf andere Anwendungen, den Endpunkt, File Shares oder andere sensible Quellen. Die Überwachung der Inhalte, Whitelistening und andere Sicherheitsmaßnahmen können in den Sandbox-Browser integriert werden.

Endpoint-Kontrollen stellen sicher, dass benötigte Antivirenprogramme, Firewalls, Betriebssysteme, Patches und andere Sicherheitsmaßnahmen auf Windows- und Mac-Endgeräten verfügbar sind. USB-Firewalling sorgt dafür, dass der Einsatz von USB-Sticks und anderen peripheren Geräten pro Anwendung verwaltet werden kann. Thin und Zero Clients, Chromebooks und andere sicherheitsstarke Endgeräte lassen sich ebenfalls gut mit virtuellen Anwendungen und Desktops nutzen.

Das Marienhaus Klinikum Eifel gilt als ein gutes Beispiel für eine entsprechende Umsetzung. Der Klinikverbund vertraut auf eine virtuelle Desktop-Infrastruktur mit Thin Clients. Mitarbeiter erhalten dadurch alle wichtigen IT-Anwendungen und den Zugriff auf sämtliche benötigten Daten und Applikationen. Die Virtualisierungstechnologie fördert darüber hinaus neue Workflows wie digitale mobile Visiten und das Arbeiten an verschiedenen Standorten. Positiver Nebeneffekt: Die Bereiche Medizin, Pflege und Verwaltung werden stärker miteinander vernetzt und der sichere Datenaustausch beschleunigt – davon profitieren vor allem die Patienten.

Virtualisierung bietet einen starken Rahmen für die Implementierung von Sicherheitsmaßnahmen über jeden Endpunkt und jeden Anwendungsfall hinweg, Mitarbeiternutzung, BYOD und Drittzugänge eingeschlossen. Auf diese Weise können gefährliche Attacken wie Ransomware besser abgewehrt werden, als mit dem traditionellen Ansatz. Auch wenn keine Strategie zu 100 Prozent sicher ist, können Krankenhäuser und medizinische Einrichtungen sich durch den Einsatz eines virtualisierten und erweiterten Sicherheitsrahmens das Lösegeld sparen.

Über den Autor:
Jürgen Huber ist seit 2014 Director Enterprise Sales bei Citrix. Er verfügt über mehr als 20 Jahre Erfahrung in der IT-Branche und war vor seinem Wechsel zu Citrix bereits in verschiedenen Führungspositionen tätig – unter anderem bei EMC Deutschland und CA Technologies Deutschland.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Best Practices: Ransomware verhindern oder eindämmen.

Ransomware im Fokus der Sicherheitsverantwortlichen.

Ransomware: Die Malware-as-a-Service-Infrastruktur dahinter.

Ransomware und Makroviren: Microsoft Windows und Office schützen.

 

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close