Ransomware stellt eine zunehmende Gefahr für Unternehmen und öffentliche Institutionen dar. Attacken wie WannaCry haben gezeigt, dass herkömmliche Schutzmaßnahmen unzulänglich sind. Zur Erhöhung der Sicherheit müssen vor allem die Benutzerrechteverwaltung und die Applikationskontrolle stärker in den Fokus rücken.
Klar ist, dass traditionelle Sicherheitsansätze, die auf der Nutzung von Antivirensoftware oder Malware-Scannern basieren, für die Ransomware-Abwehr unzureichend sind. Solche Lösungen versuchen, unter Verwendung von Signaturen Angriffe zu erkennen. Wird ein Schädling erkannt, blockiert ihn die Schutzsoftware und verhindert so den Zugriff auf Systemressourcen. Genau an diesem Punkt zeigt sich der gravierende Nachteil dieser Lösungen: Weil sie auf die Malware-Erkennung angewiesen sind, können sie oftmals keine zuverlässige Sicherheit vor der wachsenden Anzahl neuer, bisher unbekannter Ransomware bieten.
Folglich muss ein Unternehmen zusätzliche Maßnahmen ergreifen. Gängige Optionen sind etwa
- Blacklisting von Anwendungen
- Whitelisting von Anwendungen
- Greylisting von Anwendungen
- Least-Privilege-Kontrolle
Mit einem Blacklisting-Ansatz können Unternehmen die Ausführung von Malware in ihrer Umgebung verhindern. Während hiermit ältere Versionen von Malware erkannt und blockiert werden können, ist diese Methode beim Schutz vor Ransomware kaum sinnvoll einsetzbar. Jeden Tag werden Tausende von neuen Ransomware-Versionen veröffentlicht, sodass die kontinuierliche Anpassung von Blacklists ein Ding der Unmöglichkeit ist.
Whitelisting blockiert Anwendungen
Das Whitelisting von Anwendungen ist naturgemäß zu 100 Prozent wirksam im Kampf gegen Ransomware, da bei diesem Verfahren alle Anwendungen blockiert werden, die nicht explizit vertrauenswürdig sind. Obwohl Ransomware-Angriffe mit dieser Eindämmungsstrategie äußerst wirksam verhindert werden können, ist auch sie in der Praxis nur schwer umzusetzen. Für ein effektives Whitelisting von Anwendungen müssen IT-Teams genau wissen, welche Anwendungen und Anwendungsversionen jeder einzelne Benutzer und jedes System im Unternehmen braucht, und jede einzelne Anwendungsversion muss explizit auf die Whitelist gesetzt werden. Im Gegensatz zur Blacklist ist die Erstellung und Verwaltung einer Whitelist damit sehr zeitaufwändig, da nicht nur alle eingesetzten Applikationen berücksichtigt werden müssen, sondern vor allem auch die Updates der Applikationen. Schließlich kann die Aktualisierung den Prüfwert – zum Beispiel einen Hash – der zugelassenen Anwendung derart ändern, dass sie sich vom Eintrag in der Whitelist unterscheidet und das Programm folglich nicht mehr startet.
Eine weitere Möglichkeit bietet das Greylisting von Anwendungen. Dieser Ansatz erlaubt es Unternehmen, die Ausführung bekannter Malware auf Blacklists in ihren Umgebungen zu verhindern und gleichzeitig die Berechtigungen für alle Anwendungen zu begrenzen, die nicht explizit vertrauenswürdig oder unbekannt sind. Diese Einstufung kann anhand von verschiedenen Parametern erfolgen, die ein Administrator zentral hinterlegt – etwa Zertifikate von Software-Herstellern, Hashsummen von Programmen oder aber zuverlässig identifizierbare Quellen wie bestimmte Server, Softwareverteilungsdienste oder Programmordner im Unternehmensnetzwerk. Das Greylisting-Verfahren bietet also mehr Flexibilität als das Whitelisting und kann dazu dienen, Aktionen unbekannter Anwendungen wie das Herstellen einer Internetverbindung, den Zugang zum Netzwerk oder das Lesen, Schreiben und Ändern von Dateien zu verhindern. Durch die Beschränkung der Berechtigungen ist Ransomware in aller Regel auch nicht in der Lage, Dateien aufzurufen und zu verschlüsseln.
Least-Privilege-Kontrolle ist mehr als nur Sicherheitsroutine
Nicht zuletzt ist die Least-Privilege-Kontrolle zu nennen, die nicht nur eine Sicherheitsroutine, sondern auch eines der „Zehn unveränderlichen Gesetze zur Sicherheit“ von Microsoft ist. Vor allem in der Windows-Welt ist dieser Aspekt von hoher Relevanz. So ist es keine Seltenheit, dass auch normale Anwender mit Windows-Rechner gleichzeitig Administratorenrechte oder zumindest weitreichende Benutzerrechte erhalten. Dafür gibt es mehrere Gründe, etwa die Entlastung der IT, die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig sind, oder schlicht „Hoheitsansprüche“ der Endanwender über das eigene Gerät. Werden mehr Privilegien als nötig vergeben, entsteht eine große, unübersichtliche und häufig genutzte Angriffsfläche. Erlangt ein Angreifer Zugriff auf einen Rechner, an dem ein Domänen-Administrator angemeldet ist oder war, kann er die Zugangsdaten für den Domänen-Account entwenden und so auf alle Ressourcen, Rechte und Privilegien des entsprechenden Kontos für die gesamte Domäne zugreifen. Auf diese Weise können Angreifer schrittweise ins Zentrum eines Unternehmens vordringen und eine breit angelegte Ransomware-Attacke mit dem Ziel der kompletten Übernahme des Firmen-Netzwerks starten. Folglich sollten Unternehmen und öffentliche Institutionen eine Lösung einsetzen, die die Umsetzung flexibler Least-Privilege-Richtlinien für Fach- und administrative Anwender unterstützt. Zum einen sollte sie dabei die Einschränkung der Privilegien auf das notwendige Mindestmaß und zum anderen die bedarfsabhängige, und wenn notwendig nur temporäre und aufgabenbezogene Vergabe von Rechten ermöglichen.
Ransomware stellt sich für Angreifer momentan als sehr zuverlässige und geeignete Methode dar, Unternehmen vor das Dilemma zu stellen, die gekaperten Daten abzuschreiben oder – in der Hoffnung die Daten wiederzubekommen – eine Zahlung zu leisten. Die klassischen Sicherheitslösungen wie Antivirensoftware sind bei der Abwehr von Ransomware nicht effektiv, deshalb sind zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die Analyse verschiedener Optionen zeigt, dass auch Blacklisting und Whitelisting allein keine geeigneten Mittel sind, als effizient erweisen sich vor allem Least-Privilege-Ansatz und Anwendungskontrolle.
Schutzschild gegen Schadsoftware
Ein erster Schritt ist der Entzug lokaler Administratorrechte, denn CyberArk-Untersuchungen haben ergeben, dass eine große Anzahl moderner Malware für eine reibungslose Funktionsweise solche Rechte erfordert. Allerdings ist diese Maßnahme nicht ausreichend. Ebenso wichtig ist eine Anwendungssteuerung mit Greylisting. Mit der Kombination von Least-Privilege-Ansatz und Applikationskontrolle besteht ein wirksamer Schutzschild gegen Verschlüsselung durch Schadsoftware, und zwar ohne Beeinträchtigung der Benutzerproduktivität.