Schutz vor Ransomware - Wie Virtualisierung helfen kann

Sicherheitsexperten verzeichnen seit Ende letzten Jahres weltweit einen dramatischen Anstieg von Infektionen mit Verschlüsselungstrojanern. Alleine in Deutschland hat sich nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Anzahl der Vorfälle verzehnfacht. Derzeit kursieren weiterhin unterschiedliche Varianten der gefährlichen Ransomware in Netz.

Die Funktionsweise der verschiedenen Verschlüsselungstrojaner ist dabei nahezu identisch. Über eine Phishing-E-Mail mit einem Attachment oder einen Download-Link auf einer verseuchten Webseite gelangt die Schadsoftware auf den Rechner eines unvorsichtigen Anwenders. Dort verschlüsselt sie die Daten auf der lokalen Festplatte und gibt diese nur gegen Zahlung eines Lösegelds wieder frei. Zudem droht die Schadsoftware damit, die verschlüsselten Daten unwiederbringlich zu löschen, wenn die Zahlung nicht bis zu einem bestimmten Zeitpunkt erfolgt.

Ein Unternehmen, dessen Netzwerk von Verschlüsselungstrojanern befallen ist, hat nun zwei Möglichkeiten: Die geforderte Summe zu bezahlen und zu hoffen, dass die verschlüsselten Daten tatsächlich freigegeben werden (und sich der Vorgang nicht wiederholt). Oder die betroffenen Systeme aus dem Netz zu nehmen und vom Backup wiederherzustellen. Beide Varianten beeinträchtigen den Geschäftsbetrieb in der Regel erheblich und verursachen dadurch oft enormen finanziellen Schaden. Der Image-Schaden, wenn wie in einigen Fällen das gesamte Netzwerk für Tage heruntergefahren muss, ist zudem beträchtlich.

Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.

Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.

Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.

Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.

Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.

Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.

Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.

Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.

Traditionelle Sicherheitsarchitekturen stoßen an ihre Grenzen

Die zahlreichen Vorfälle in den vergangenen Monaten zeigen, dass traditionelle Sicherheitsarchitekturen den immer raffinierteren Angriffen von Hackern und Cyberkriminellen nicht mehr gewachsen sind. Vorhandene Anti-Malware-Software kann Krypto-Trojaner häufig nicht erkennen und abwehren. Unternehmen müssen daher zusätzliche Maßnahmen ergreifen, um ihr Netzwerk vor der neuen Bedrohung zu schützen.

Die Sensibilisierung der Mitarbeiter für die Risiken von E-Mail-Attachments oder unbekannten Webseiten spielt dabei eine wichtige Rolle. In Organisationen mit hunderten oder tausenden von Anwendern lässt sich aber alleine dadurch kaum vermeiden, dass nicht doch einmal versehentlich ein verseuchter Link angeklickt wird. Daher ist es notwendig, zusätzliche Sicherheitslösungen zu implementieren. Security-Technologien wie Sandboxing oder applikationsspezifische Whitelists können verhindern, dass potentiell schadhafter Code auf dem Endgerät ausgeführt wird. Die Herausforderung ist dabei jedoch, die Sicherheitslösungen auf allen Endgeräten einzurichten und aktuell zu halten.

Virtualisierte Anwendungen lassen sich besser kontrollieren

An dieser Stelle kommen nun Virtualisierungstechnologien ins Spiel. In einer IT-Umgebung mit virtualisierten Anwendungen und/oder Desktops gibt es mehrere Möglichkeiten, die Gefahren durch Ransomware in den Griff zu bekommen.

Viele Sicherheitsexperten empfehlen beispielsweise, den E-Mail-Client als virtualisierte Anwendung über das Rechenzentrum bereitzustellen - ganz gleich, ob es sich dabei um eine Windows-Applikation wie Microsoft Outlook oder eine Browser-basierte Lösung wie Google Gmail oder Microsoft Office 365 handelt. Die IT-Organisation kann damit sicherstellen, dass alle Anwender mit denselben Security-Einstellungen arbeiten und zusätzliche Schutzmaßnahmen wie DLP (Data Leakage Protection) und Whitelists aktiv sind.

Durch die Entkopplung der E-Mail-Software vom Client-Rechner hängt die Sicherheit des Netzwerks nicht davon ab, wie gut das Endgerät vor Gefahren geschützt ist. Umgekehrt kann auch keine Schadsoftware aus einer E-Mail auf die lokale Festplatte gelangen. Zwischen der virtualisierten Anwendung im Rechenzentrum und dem Endgerät des Benutzers werden nur Bildschirminformationen über das Netzwerk übertragen - keine Kommunikationsdaten wie zum Beispiel E-Mail-Attachments.

Web-Browser sollten den Anwendern ebenfalls als virtualisierte Applikationen zur Verfügung gestellt werden. Die IT-Organisation kann im Rechenzentrum unterschiedliche Browservarianten wie Internet Explorer, Chrome und Firefox für die genutzten Web-Anwendungen betreiben und die Sicherheitseinstellungen individuell anpassen. So können beispielsweise alle aktiven Inhalte geblockt werden, die nicht unmittelbar für die Ausführung der jeweiligen Web-Anwendung erforderlich sind.

Durch die Virtualisierung der Web-Browsers werden ebenfalls die sensiblen Anwendungsdaten vom Endgerät ferngehalten. Zudem kann die IT-Organisation eine automatische Weiterleitung für alle Web-Zugriffe einrichten. Jede URL, die der Anwender anklickt - ganz gleich ob in einer E-Mail, einem Office-Dokument oder einer Social Media App - wird dann in dem abgesicherten virtualisierten Browser geöffnet.

Mehr Sicherheit am Endpunkt durch granulare Zugriffskontrolle

Darüber hinaus bieten Anwendungs- und Desktop-Virtualisierung weitere Möglichkeiten, die Gefahren einer Ransomware-Attacke zu minimieren. Über eine Endpunktanalyse lässt sich automatisch überprüfen, ob das Endgerät über die notwendigen Sicherheitsmerkmale verfügt - erst dann erhält es Zugriff auf die virtualisierten Anwendungen im Rechenzentrum. Zudem haben Administratoren die Möglichkeit, die Nutzung von USB-Schnittstellen anwendungsspezifisch zu kontrollieren. Dies verringert das Risiko von Infektionen über externe Datenträger. Wenn schließlich die komplette Desktop-Umgebung ins Rechenzentrum verlagert wird, kann die IT-Abteilung die PCs an den Arbeitsplätzen durch gehärtete Thin Clients, Zero Clients oder Chromebooks ersetzen.

Fazit

IT-Organisationen müssen unterschiedliche Maßnahmen ergreifen, um ihr Netzwerk vor den Gefahren durch Ransomware zu schützen. Traditionelle Security-Lösungen alleine reichen dafür nicht mehr aus. Virtualisierungstechnologien können eine wichtige Rolle bei der Abwehr von Krypto-Trojanern spielen - und gleichzeitig dabei helfen, das Management der IT-Sicherheit zu vereinfachen. (mb)