Information et éducation par et pour la communauté SAP

Neue Ansätze beim Schutz vor Ransomware

Attacken wie WannaCry haben gezeigt, dass herkömmliche Schutzmaßnahmen oft unzulänglich sind. Zur Erhöhung der Sicherheit sollten die Benutzerrechteverwaltung und die Applikationskontrolle stärker in den Fokus rücken.
Michael Kleist, CyberArk
5 octobre 2017
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Klar ist, dass traditionelle Sicherheitsansätze, die auf der Nutzung von Antivirensoftware oder Malware-Scannern basieren, für die Ransomware-Abwehr unzureichend sind.

Solche Lösungen versuchen, unter Verwendung von Signaturen Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen.

Genau an diesem Punkt zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Mal­ware-Erkennung angewiesen sind, können sie oftmals keine zuverlässige Sicherheit vor der wachsenden Anzahl neuer, bisher unbekannter Ransomware bieten.

Unternehmen müssen zusätzliche Maßnahmen ergreifen, gängig sind etwa Blacklisting von Anwendungen, Whitelisting von Anwendungen, Greylisting von Anwendungen sowie Least-Privilege-Kontrolle.

Beim Blacklisting können Unternehmen die Ausführung von Malware in ihrer Umgebung verhindern. Beim Schutz vor Ransomware ist diese Methode kaum sinnvoll einsetzbar.

Das Whitelisting von Anwendungen ist naturgemäß zu 100 Prozent wirksam im Kampf gegen Ransomware, da bei diesem Verfahren alle Anwendungen blockiert werden, die nicht explizit vertrauenswürdig sind.

Obwohl Ransomware-Angriffe mit dieser Eindämmungsstrategie äußerst wirksam verhindert werden können, ist auch sie in der Praxis nur schwer umzusetzen.

Im Gegensatz zur Blacklist ist die Erstellung und Verwaltung einer Whitelist sehr zeitaufwändig, da nicht nur alle eingesetzten Applikationen berücksichtigt werden müssen, sondern vor allem auch die Updates der Applikationen.

Schließlich kann die Aktualisierung den Prüfwert – etwa einen Hash – der zugelassenen Anwendung derart ändern, dass sie sich vom Eintrag in der Whitelist unterscheidet und das Programm folglich nicht mehr startet.

Eine weitere Möglichkeit bietet das Greylisting von Anwendungen. Es erlaubt Unternehmen, die Ausführung bekannter Malware auf Blacklists in ihren Umgebungen zu verhindern und gleichzeitig die Berechtigungen für alle Anwendungen zu begrenzen, die nicht explizit vertrauenswürdig oder unbekannt sind.

Diese Einstufung kann anhand von verschiedenen Parametern erfolgen, die ein Administrator zentral hinterlegt. Das Greylisting-Verfahren bietet also mehr Flexibilität als das Whitelisting und kann dazu dienen, Aktionen unbekannter Anwendungen wie das Herstellen einer Internetverbindung, den Zugang zum Netzwerk oder das Lesen, Schreiben und Ändern von Dateien zu verhindern.

Durch die Beschränkung der Berechtigungen ist Ransomware in aller Regel auch nicht in der Lage, Dateien aufzurufen und zu verschlüsseln. Nicht zuletzt ist die Least-Privilege-Kontrolle zu nennen, die nicht nur eine Sicherheitsroutine, sondern auch eines der „Zehn unveränderlichen Gesetze zur Sicherheit“ von Microsoft ist.

Ransomware stellt sich für Angreifer momentan als sehr zuverlässige und geeignete Methode dar, Unternehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder – in der Hoffnung, die Daten wiederzubekommen – eine Zahlung zu leisten.

Die klassischen Sicherheits­lösungen wie Antivirensoftware sind bei der Abwehr von Ransomware nicht effektiv, deshalb sind zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die Analyse verschiedener Optionen zeigt, dass auch Blacklisting und Whitelisting allein keine geeigneten Mittel sind, als effizient erweisen sich vor allem der Least-Privilege-Ansatz und Anwendungskontrolle.

Ein erster Schritt ist der Entzug lokaler Administratorrechte, denn CyberArk-Untersuchungen haben ergeben, dass eine große Anzahl moderner Malware für eine reibungslose Funktionsweise solche Rechte erfordert.

Allerdings ist diese Maßnahme nicht ausreichend. Ebenso wichtig ist eine Anwendungssteuerung mit Greylisting. Mit der Kombination von Least-Privilege-Ansatz und Applikationskontrolle besteht ein wirksamer Schutzschild gegen Verschlüsselung durch Schadsoftware, und zwar ohne Beeinträchtigung der Benutzerproduktivität.

avatar
Michael Kleist, CyberArk

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.