Neue Ansätze beim Schutz vor Ransomware
Klar ist, dass traditionelle Sicherheitsansätze, die auf der Nutzung von Antivirensoftware oder Malware-Scannern basieren, für die Ransomware-Abwehr unzureichend sind.
Solche Lösungen versuchen, unter Verwendung von Signaturen Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen.
Genau an diesem Punkt zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Malware-Erkennung angewiesen sind, können sie oftmals keine zuverlässige Sicherheit vor der wachsenden Anzahl neuer, bisher unbekannter Ransomware bieten.
Unternehmen müssen zusätzliche Maßnahmen ergreifen, gängig sind etwa Blacklisting von Anwendungen, Whitelisting von Anwendungen, Greylisting von Anwendungen sowie Least-Privilege-Kontrolle.
Beim Blacklisting können Unternehmen die Ausführung von Malware in ihrer Umgebung verhindern. Beim Schutz vor Ransomware ist diese Methode kaum sinnvoll einsetzbar.
Das Whitelisting von Anwendungen ist naturgemäß zu 100 Prozent wirksam im Kampf gegen Ransomware, da bei diesem Verfahren alle Anwendungen blockiert werden, die nicht explizit vertrauenswürdig sind.
Obwohl Ransomware-Angriffe mit dieser Eindämmungsstrategie äußerst wirksam verhindert werden können, ist auch sie in der Praxis nur schwer umzusetzen.
Im Gegensatz zur Blacklist ist die Erstellung und Verwaltung einer Whitelist sehr zeitaufwändig, da nicht nur alle eingesetzten Applikationen berücksichtigt werden müssen, sondern vor allem auch die Updates der Applikationen.
Schließlich kann die Aktualisierung den Prüfwert – etwa einen Hash – der zugelassenen Anwendung derart ändern, dass sie sich vom Eintrag in der Whitelist unterscheidet und das Programm folglich nicht mehr startet.
Eine weitere Möglichkeit bietet das Greylisting von Anwendungen. Es erlaubt Unternehmen, die Ausführung bekannter Malware auf Blacklists in ihren Umgebungen zu verhindern und gleichzeitig die Berechtigungen für alle Anwendungen zu begrenzen, die nicht explizit vertrauenswürdig oder unbekannt sind.
Diese Einstufung kann anhand von verschiedenen Parametern erfolgen, die ein Administrator zentral hinterlegt. Das Greylisting-Verfahren bietet also mehr Flexibilität als das Whitelisting und kann dazu dienen, Aktionen unbekannter Anwendungen wie das Herstellen einer Internetverbindung, den Zugang zum Netzwerk oder das Lesen, Schreiben und Ändern von Dateien zu verhindern.
Durch die Beschränkung der Berechtigungen ist Ransomware in aller Regel auch nicht in der Lage, Dateien aufzurufen und zu verschlüsseln. Nicht zuletzt ist die Least-Privilege-Kontrolle zu nennen, die nicht nur eine Sicherheitsroutine, sondern auch eines der „Zehn unveränderlichen Gesetze zur Sicherheit“ von Microsoft ist.
Ransomware stellt sich für Angreifer momentan als sehr zuverlässige und geeignete Methode dar, Unternehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder – in der Hoffnung, die Daten wiederzubekommen – eine Zahlung zu leisten.
Die klassischen Sicherheitslösungen wie Antivirensoftware sind bei der Abwehr von Ransomware nicht effektiv, deshalb sind zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die Analyse verschiedener Optionen zeigt, dass auch Blacklisting und Whitelisting allein keine geeigneten Mittel sind, als effizient erweisen sich vor allem der Least-Privilege-Ansatz und Anwendungskontrolle.
Ein erster Schritt ist der Entzug lokaler Administratorrechte, denn CyberArk-Untersuchungen haben ergeben, dass eine große Anzahl moderner Malware für eine reibungslose Funktionsweise solche Rechte erfordert.
Allerdings ist diese Maßnahme nicht ausreichend. Ebenso wichtig ist eine Anwendungssteuerung mit Greylisting. Mit der Kombination von Least-Privilege-Ansatz und Applikationskontrolle besteht ein wirksamer Schutzschild gegen Verschlüsselung durch Schadsoftware, und zwar ohne Beeinträchtigung der Benutzerproduktivität.
