Locky, Cryptolocker oder Teslacrypt

Ransomware abwehren - denn: Wer zahlt, wird weiter attackiert

07.04.2016
Von Dr. Polster

Risiken rechtzeitig erkennen und handeln

State-of-the Art auf dem globalen IT-Security-Markt sind drei automatisierte IT-Risikoerkennungsmodule, die alle diese Anforderungen erfüllen:

An erster Stelle steht „Advanced Threat Detection“ (ATD), die Analyse von Anhängen grundsätzlich aller eingehender Emails und aller Web-Downloads in „abgeschotteten“ Umgebungen (sogenannte Sandboxen). Wird eine Schadsoftware entdeckt, wird die Email aufgehalten oder der Web-Download gestoppt. Damit ist auch der Ransomware-Angriff von Anfang an erfolgreich abgewehrt.

Das zweite Risikoerkennungsmodul „Network-Based Intrusion Detection“ (NIDS) ermöglicht die Erkennung von auffälligen Aktivitäten im Netzwerk. Im Falle von Ransomware ist das beispielsweise Netzwerkverkehr zu den Command & Control-Servern des Trojaners im Internet. Ist also Ransomware bereits im Netzwerk aktiv und wurde sie durch Nutzer noch nicht bemerkt, wird dies durch NIDS sichtbar gemacht.

Das dritte wichtige Risikoerkennungsmodul, das kontinuierliche "Vulnerability Assessment" (VAS), evaluiert laufend, ob IT-Systeme Verwundbarkeiten aufweisen, also auch, ob die für die Abwehr von Ransomware getroffenen Vorkehrungen effektiv in der gesamten Organisation umgesetzt worden sind. So wird beispielsweise laufend geprüft, ob Aktualisierungen für Betriebssysteme, Browser und andere Anwendungen eingespielt wurden, Administratoren schwache oder Standard-Passwörter verwenden, Fehlkonfigurationen bestehen oder ob Systeme von außen ungewollt erreichbar sind.

Kontinuierliche Schwachstellenanalyse und konsequente Behebung der Lücken schließt viele solcher Einfallstore für Angreifer und verkleinert so ihren Aktionsspielraum.

Ausreichender Schutz ist möglich

Nach derzeitigem Stand der Technik gibt es ausreichend Schutzmöglichkeiten vor Schäden durch Ransomware. Besonders größere Organisationen sollten auf ein Set an automatisierten IT-Risikoerkennungsmodulen zurückgreifen, die Angriffe bereits unschädlich machen, bevor sie auch nur in die Organisation eintreten.

Bei allen Schutzmöglichkeiten ist neben einer fortschrittlichen technischen Komponente die „Ressource Mensch“ von entscheidender Bedeutung: Effektivität ist im Ernstfall nur gegeben, wenn Werkzeuge richtig konfiguriert, jederzeit an ihre jeweilige Umgebung angepasst und ständig weiterentwickelt werden.

Schutz vor Ransomware entsteht nicht durch einmalige Sicherheitsvorkehrungen - genauso wenig wie durch das Zahlen von Lösegeld. (PC-Welt)

Zur Startseite