Gefahr für Unternehmen

IT-Sicherheit in der Ransomware-Ära

Ransomware-Attacken stellen eine zunehmende Gefahr für Unternehmen dar und haben gezeigt, dass herkömmliche Schutzmaßnahmen unzulänglich sind. Zur Erhöhung der Sicherheit müssen laut Michael Kleist, Regional Director DACH bei Cyberark, vor allem die Benutzerrechteverwaltung und die Applikationskontrolle auf den Endgeräten stärker in den Fokus rücken.

Michael Kleist, Regional Director DACH bei Cyberark

„Die Integration neuer Schutzmaßnahmen ist natürlich mit Kosten und Zeitaufwand verbunden“, so Michael Kleist, Regional Director DACH bei Cyberark, im Interview.

IT-DIRECTOR: Herr Kleist, inwieweit haben die Ransomware-Attacken des letzten Jahres die Großunternehmen „wachgerüttelt“? Nehmen sie die Angriffe ernst oder gehen sie zu locker mit dem Thema um?
M. Kleist:
Kurz gesagt, kennen wir hierauf nicht wirklich die Antwort, bis sich der nächste Wanna-Cry-Fall ereignet. Die Attacken des letzten Jahres haben aber in aller Deutlichkeit gezeigt, dass vor allem die Endpunkte richtig geschützt werden müssen – um genau zu sein mit einer Benutzerrechteverwaltung und Applikationskontrolle. Nur so kann verhindert werden, dass ein infizierter PC Ransomware erfolgreich ausführt und auch an andere PCs im Netzwerk verteilt.

IT-DIRECTOR: Wie sehen die Folgen solcher Erpressungs-Trojaner für die betroffenen Unternehmen konkret aus?
M. Kleist:
Konsequenzen sind der zeitweilige oder dauerhafte Verlust vertraulicher Informationen, die Unterbrechung des Geschäftsbetriebs und die Kosten, die durch die Wiederherstellung von Systemen und Dateien entstehen. Zudem besteht für ein Unternehmen die Gefahr eines Imageverlusts. Hier entstehen also schnell sehr große materielle und immaterielle Schäden.

IT-DIRECTOR: Sollte Ihrer Meinung nach Lösegeld gezahlt werden oder nicht?
M. Kleist:
Unserer Meinung nach sollte eine Zahlung nicht in Betracht gezogen werden. Eine Zahlung garantiert nicht, dass die verschlüsselten Dateien wieder entschlüsselt werden. Sie garantiert nur, dass der Angreifer das Geld des Opfers erhält. Zudem bedeutet eine Entschlüsselung von Dateien nicht unbedingt, dass auch die Malware-Infektion selbst beseitigt wird.

IT-DIRECTOR: Inwieweit können herkömmliche Schutzmaßnahmen wie Firewalls und Antivirenprogramme solche Ransomware-Angriffe abwehren?
M. Kleist:
Traditionelle Abwehrmaßnahmen zum Perimeterschutz wie Antivirus-Lösungen sind nicht ausreichend, um Ransomware zu blockieren, wenn sie Schadcode nicht erkennen. Erschwerend kommt hinzu, dass Ransomware im Unterschied zu herkömmlicher Malware nicht immer administrative Zugriffsprivilegien benötigt, stattdessen reichen Standardrechte für das Lesen, Schreiben und Editieren von Dateien, die nahezu jeder Mitarbeiter im Unternehmen besitzt. Und ein Punkt macht das Ganze noch schlimmer: Sobald Ransomware ein System infiziert hat, kann sie sich im Netzwerk ausbreiten und bei entsprechender „payload“ auch die Zugangsdaten anderer Systeme stehlen und wiederverwenden, um einen weiteren Angriff durchzuführen.

IT-DIRECTOR: Welche Schutzmaßnahmen erachten Sie als sinnvoller und warum?
M. Kleist:
Wie wir z.B. bei Wanna Cry gesehen haben, ist ein regelmäßiges Patchen von Systemen ein absolutes Muss, um zu verhindern, dass Ransomware existierende Schwachstellen ausnutzt. Darüber hinaus sind Least-Privilege-Kontrolle und eine intelligente Applikationskontrolle effiziente Maßnahmen, um die Verschlüsselung von Dateien durch Ransomware zu unterbinden. Ein Greylisting ist dabei ein sehr effektiver und gut handhabbarer Weg dazu. Vor allem aber ist es auch unverzichtbar, Hackern einen Zugriff auf administrative Zugangsdaten unmöglich zu machen, damit nicht die gesamte Infrastruktur übernommen wird.

IT-DIRECTOR: Mit welchem Aufwand sind die Planung und Integration entsprechender Schutzmaßnahmen verbunden?
M. Kleist:
Die Integration neuer Schutzmaßnahmen ist natürlich mit Kosten und Zeitaufwand verbunden. Zudem erfordert die Nutzung neuer Technologien zum effizienten Schutz des Endpunktes vor modernen Attacken eventuell Mitarbeiterschulungen. Der Aufwand sollte allerdings immer in Relation zu den Risiken gesehen werden, die mit herkömmlichen Sicherheitslösungen nicht gelöst sind. Diese Lücke ist mehr als deutlich zutage getreten.

IT-DIRECTOR: Wie schätzen Sie die Cyberkriminalität für 2018 ein? Womit müssen Unternehmen rechnen?
M. Kleist:
Schon 2017 sind Unternehmen bei der Abwehr von Cyberangriffen zunehmend ins Hintertreffen geraten. Man muss nur die Sicherheitsvorfälle bei Yahoo! und Uber betrachten, die dazu geführt haben, dass das Darknet mit Milliarden von Zugangsdaten für die potentiell missbräuchliche Nutzung überschwemmt wurde. Für 2018 erwarten wir, dass bei Unternehmen in stärkerem Maße Automation sowie Hybrid-Cloud- und DevOps-Umgebungen zum Einsatz kommen.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Die Folge ist eine wachsende Anzahl verwendeter privilegierter Zugangsdaten, die mit Personen, Services oder Applikationen verbunden sind und unweigerlich zusätzliche lukrative Ziele für Angreifer darstellen. Zu solchen – bisher vielfach nur unzureichend berücksichtigten und gesicherten – Zugangsdaten gehören etwa Service-Accounts, API-Keys, SSH-Keys und eingebettete Passwörter.

Bildquelle: Cyberark

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok