Mit Virtualisierung gegen Ransomware

26. Juli 2016 - Sie heißen Locky, CryptoWall oder TeslaCrypt und bringen IT-Verantwortliche um den Schlaf. Krypto-Trojaner, besser bekannt unter dem Namen Ransomware, werden von traditionellen Sicherheitssystemen häufig nicht erkannt und richten mitunter erheblichen Schaden an. Unternehmen müssen ihre Sicherheitsarchitektur aktualisieren, um sich vor Erpressungen mit Schadsoftware zu schützen. Virtualisierungstechnologien können dabei eine entscheidende Rolle spielen.

Experten warnen: Weltweit gibt es derzeit einen dramatischen Anstieg von Infektionen mit Verschlüsselungstrojanern und auch die Schweiz bleibt nicht verschont. Die Melde- und Analysestelle Informationssicherung Melani veranstaltete im Mai sogar einen schweizweiten Ransomware Awareness Tag, um auf die Gefahr hinzuweisen. Derzeit kursieren weiterhin unterschiedliche Varianten im Netz.

Dabei funktionieren die verschiedenen Trojaner nahezu identisch: Anwender erhalten eine Phishing-E-Mail mit Anhang oder Download-Link auf eine verseuchte Website. So gelangt die Schadsoftware dann auf die Festplatte, die sie verschlüsselt und den schockierten Besitzer mit einem Ultimatum konfrontiert. Zahlt er bis zu einem bestimmten Zeitpunkt kein „Lösegeld“, werden die Daten unwiederbringlich gelöscht.

Ein Unternehmen hat jetzt zwei Optionen: Bezahlen und hoffen, dass die Daten tatsächlich freigegeben werden. Das könnte Täter allerdings zu einer Wiederholung des Prozederes einladen. Oder aber die betroffenen Systeme werden vom Netz genommen und per Backup wiederhergestellt. Doch auch bei dieser Möglichkeit ist nicht nur der Geschäftsbetrieb in der Regel erheblich gestört, auch der finanzielle Schaden durch die Downtime kann enorm sein. Ganz zu schweigen von einem Imageschaden.


Wo traditionelle Sicherheitsarchitekturen an ihre Grenzen gelangen

Fest steht: Klassische Sicherheitsarchitekturen stossen an ihre Grenzen. Anti-Malware-Software erkennt Krypto-Trojaner häufig nicht. Unternehmen müssen zusätzliche Massnahmen ergreifen, um den neuen Bedrohungen entgegenzuwirken.

Als ersten Schritt empfiehlt es sich dringend, Mitarbeiter für die Risiken von E-Mail-Anhängen oder unbekannten Webseiten zu sensibilisieren. Bei hunderten oder gar tausenden Anwendern lässt es sich allerdings nie ganz vermeiden, dass versehentlich ein verseuchter Link angeklickt wird. Deshalb müssen zusätzliche Sicherheitskonzepte wie beispielsweise Sandboxing oder applikationsspezifische White-Lists greifen. Sie können verhindern, dass Viren auf das Endgerät gelangen. Eine Herausforderung dabei ist es, die Sicherheitslösungen auf unterschiedlichsten Endgeräten einzurichten und auf dem neuesten Stand zu halten.


Bessere Kontrollmöglichkeit bei virtualisierten Anwendungen

Virtualisierungstechnologien können hier Abhilfe schaffen: Die Erfolgswahrscheinlichkeit, Ransomware in einer IT-Umgebung mit virtualisierten Anwendungen abzuwehren, ist deutlich höher. Sicherheitsexperten empfehlen beispielsweise, den E-Mail-Client als virtualisierte Anwendung über das Rechenzentrum bereitzustellen. Dabei macht es keinen Unterschied, um ob es sich um eine Applikation wie Microsoft Outlook oder Browser-basierte Lösungen wie Google Gmail oder Microsoft 365 handelt. IT-Verantwortliche können sicherstellen, dass alle Anwender dieselben Sicherheitseinstellungen erhalten und zusätzliche Schutzmechanismen wie DLP (Data Leakage Protection) und White-Lists aktiviert sind.

Wird die E-Mail-Software vom Client-Rechner entkoppelt, so ist die Sicherheit des Netzwerks nicht mehr vom Schutz des Endgeräts abhängig. Damit kann auch keine Schadsoftware aus einer E-Mail auf die lokale Festplatte gelangen. Es handelt sich schließlich lediglich um Bildschirminformationen, die zwischen den virtualisierten Anwendungen im Rechenzentrum und dem Endgerät des Nutzers über das Netzwerk übertragen werden. Bei Daten wie E-Mail-Anhängen funktioniert das nicht.

Auch Web-Browser sollten den Anwendern als virtualisierte Applikation bereitgestellt werden. Im Rechenzentrum können unterschiedliche Browser genutzt und je nach Sicherheitseinstellungen für jeden Nutzer angepasst werden. Sämtliche Inhalte, die nicht unmittelbar für die jeweilige Web-Anwendung gebraucht werden, werden dann automatisch blockiert. Zudem kann die IT eine automatische Weiterleitung für alle Web-Zugriffe einrichten. Das bedeutet, dass jede URL – egal, ob sie in einer App, einer E-Mail oder einem Dokument ausgeführt wird – über einen sicheren und virtualisierten Browser geöffnet wird.

Granulare Zugriffskontrollen für erhöhte Sicherheitsstandards

Zusätzlich bieten Virtualisierungstechnologien weitere Sicherheitsmassnahmen gegen Ransomware-Attacken. Per Endpunktanalyse lässt sich erkennen, ob das Endgerät über die notwendigen Sicherheitsstandards verfügt. Ist das nicht der Fall, kann das Endgerät auch nicht auf die Anwendungen im Rechenzentrum zugreifen. IT-Verantwortliche können zudem USB-Schnittstellen individuell für jede Anwendung kontrollieren, wodurch das Risiko einer Infektion mit Ransomware über externe Datenträger weiter verringert wird. Ist die komplette Desktop-Umgebung im Unternehmen virtualisiert, lassen sich die PCs an den Arbeitsplätzen durch gehärtete Thin Clients, Zero Clients oder Chromebooks ersetzen.

Fazit

Das unternehmenseigene Netzwerk muss mit unterschiedlichen Mitteln vor Ransomware und Hackerangriffen geschützt werden. Erfahrungsgemäss können traditionelle Sicherheitslösungen den Gefahren durch Krypto-Trojaner nicht Stand halten und sollten durch Virtualisierungstechnologien ergänzt werden. Sie verstärken und vereinfachen die IT-Sicherheit.

Copyright by Swiss IT Media GmbH / 2024