Information und Bildungsarbeit von und für die SAP-Community

Neue Ansätze beim Schutz vor Ransomware

Attacken wie WannaCry haben gezeigt, dass herkömmliche Schutzmaßnahmen oft unzulänglich sind. Zur Erhöhung der Sicherheit sollten die Benutzerrechteverwaltung und die Applikationskontrolle stärker in den Fokus rücken.
Michael Kleist, CyberArk
5. Oktober 2017
It-Security
avatar

Klar ist, dass traditionelle Sicherheitsansätze, die auf der Nutzung von Antivirensoftware oder Malware-Scannern basieren, für die Ransomware-Abwehr unzureichend sind.

Solche Lösungen versuchen, unter Verwendung von Signaturen Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen.

Genau an diesem Punkt zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Mal­ware-Erkennung angewiesen sind, können sie oftmals keine zuverlässige Sicherheit vor der wachsenden Anzahl neuer, bisher unbekannter Ransomware bieten.

Unternehmen müssen zusätzliche Maßnahmen ergreifen, gängig sind etwa Blacklisting von Anwendungen, Whitelisting von Anwendungen, Greylisting von Anwendungen sowie Least-Privilege-Kontrolle.

Beim Blacklisting können Unternehmen die Ausführung von Malware in ihrer Umgebung verhindern. Beim Schutz vor Ransomware ist diese Methode kaum sinnvoll einsetzbar.

Das Whitelisting von Anwendungen ist naturgemäß zu 100 Prozent wirksam im Kampf gegen Ransomware, da bei diesem Verfahren alle Anwendungen blockiert werden, die nicht explizit vertrauenswürdig sind.

Obwohl Ransomware-Angriffe mit dieser Eindämmungsstrategie äußerst wirksam verhindert werden können, ist auch sie in der Praxis nur schwer umzusetzen.

Im Gegensatz zur Blacklist ist die Erstellung und Verwaltung einer Whitelist sehr zeitaufwändig, da nicht nur alle eingesetzten Applikationen berücksichtigt werden müssen, sondern vor allem auch die Updates der Applikationen.

Schließlich kann die Aktualisierung den Prüfwert – etwa einen Hash – der zugelassenen Anwendung derart ändern, dass sie sich vom Eintrag in der Whitelist unterscheidet und das Programm folglich nicht mehr startet.

Eine weitere Möglichkeit bietet das Greylisting von Anwendungen. Es erlaubt Unternehmen, die Ausführung bekannter Malware auf Blacklists in ihren Umgebungen zu verhindern und gleichzeitig die Berechtigungen für alle Anwendungen zu begrenzen, die nicht explizit vertrauenswürdig oder unbekannt sind.

Diese Einstufung kann anhand von verschiedenen Parametern erfolgen, die ein Administrator zentral hinterlegt. Das Greylisting-Verfahren bietet also mehr Flexibilität als das Whitelisting und kann dazu dienen, Aktionen unbekannter Anwendungen wie das Herstellen einer Internetverbindung, den Zugang zum Netzwerk oder das Lesen, Schreiben und Ändern von Dateien zu verhindern.

Durch die Beschränkung der Berechtigungen ist Ransomware in aller Regel auch nicht in der Lage, Dateien aufzurufen und zu verschlüsseln. Nicht zuletzt ist die Least-Privilege-Kontrolle zu nennen, die nicht nur eine Sicherheitsroutine, sondern auch eines der „Zehn unveränderlichen Gesetze zur Sicherheit“ von Microsoft ist.

Ransomware stellt sich für Angreifer momentan als sehr zuverlässige und geeignete Methode dar, Unternehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder – in der Hoffnung, die Daten wiederzubekommen – eine Zahlung zu leisten.

Die klassischen Sicherheits­lösungen wie Antivirensoftware sind bei der Abwehr von Ransomware nicht effektiv, deshalb sind zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die Analyse verschiedener Optionen zeigt, dass auch Blacklisting und Whitelisting allein keine geeigneten Mittel sind, als effizient erweisen sich vor allem der Least-Privilege-Ansatz und Anwendungskontrolle.

Ein erster Schritt ist der Entzug lokaler Administratorrechte, denn CyberArk-Untersuchungen haben ergeben, dass eine große Anzahl moderner Malware für eine reibungslose Funktionsweise solche Rechte erfordert.

Allerdings ist diese Maßnahme nicht ausreichend. Ebenso wichtig ist eine Anwendungssteuerung mit Greylisting. Mit der Kombination von Least-Privilege-Ansatz und Applikationskontrolle besteht ein wirksamer Schutzschild gegen Verschlüsselung durch Schadsoftware, und zwar ohne Beeinträchtigung der Benutzerproduktivität.

avatar
Michael Kleist, CyberArk

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.