Moderne Enterprise-Firewalls

Keine Angst vor verschlüsselter Malware

Verschlüsselte Malware kann Unternehmen gefährlich werden, warnt Sven Janssen von Sonicwall. Daher sollten sie Firewalls und Intrusion-Prevention-Systeme nutzen, die diese entschlüsseln können.

Sven Janssen, Sonicwall

Sven Janssen, Regional Director, Central Europe Sonicwall

IT-DIRECTOR: Herr Janssen, aus welchen Gründen konnten die jüngsten Ransomware-Attacken Petya und Wanna Cry so erfolgreich verlaufen?
S. Janssen:
Hauptgrund ist das nach wie vor mangelnde Sicherheitsbewusstsein, denn befallen waren vor allem ungepachte Systeme. Das zeigt, wie wichtig es ist, immer das neueste Windows-Patch herunterzuladen und regelmäßig Updates gegen Sicherheitslücken einzuspielen – insbesondere, wenn man mit einer älteren Betriebssystemversion arbeitet. Zudem öffnen User trotz aller Warnungen immer noch unbedacht E-Mail-Anhänge und ermöglichen so die Verbreitung von Malware.

IT-DIRECTOR: Welche Sicherheitslücken – über die Schwachstellen in Windows-Betriebssystemen hinaus – nutzen die Angreifer weiterhin für Ransomware-Attacken aus?
S. Janssen:
Da sind zum einen unzureichende Firewalls. Entscheidend ist, eine Enterprise-Firewall zu wählen, die auf die eigenen Anforderungen zugeschnitten ist und den gesamten Datenverkehr unabhängig von der Dateigröße prüfen kann. Angesichts der schnellen Zunahme von SSL-verschlüsseltem Verkehr besteht – wie wir in unserem diesjährigen Sicherheitsbericht festgestellt haben – immer das Risiko, verschlüsselte Malware herunterzuladen, die herkömmliche Firewalls nicht erkennen können. Daher gilt es unbedingt sicherzustellen, dass die Firewall bzw. das Intrusion Prevention System verschlüsselten Verkehr entschlüsselt und prüft. Ransomware hat sich zudem inzwischen auch auf Android-Geräte ausgedehnt; hinzu kommen also die Sicherheitslücken in Android.

IT-DIRECTOR: Welche Höhe betragen die Lösegelder in der Regel?
S. Janssen:
Das geforderte Lösegeld beträgt für Privatnutzer in der Regel bis zu rund 500 Euro. Bei Unternehmen können die Forderungen mehrere tausend Euro erreichen. Gefordert wird der Betrag meist in der Währung Bitcoin.

IT-DIRECTOR: Wie sollten Nutzer und Firmenverantwortliche reagieren, wenn sie Opfer von Erpresser-Software werden?
S. Janssen:
Wichtigste Sofortmaßnahme ist immer, infizierte Rechner umgehend vom Netzwerk zu trennen und herunterzufahren, um eine weitere Ausbreitung zu verhindern. Dann sollte die IT prüfen, ob Backups der betroffenen Rechner vorliegen und versuchen, die Daten wiederherzustellen. Bei der Entfernung der Malware können spezielle Tools von Sicherheitsanbietern helfen – das funktioniert allerdings nicht immer. Um die Täter zu identifizieren, sollten auf jeden Fall auch die Strafverfolgungsbehörden eingebunden werden.

IT-DIRECTOR: Was passiert, wenn das geforderte Lösegeld gezahlt wird? Was, wenn nicht?
S. Janssen:
Das Dilemma ist die Unsicherheit, ob bei Zahlung die infizierten Daten tatsächlich wieder freigegeben werden. Und selbst wenn, hat der Angreifer höchstwahrscheinlich eine Kopie der Daten. Erfolgt keine Zahlung, kann versucht werden, die Daten mittels spezieller Software wiederherzustellen.

IT-DIRECTOR: Mittlerweile hört man immer wieder von „Ransomware as a Service“. Was genau steckt dahinter?
S. Janssen:
Bei „Ransomware-as-a-Service“ handelt es sich um ein neues Geschäftsmodell: Professionelle Hacker bieten Ransomware zum Bezug an und ermöglichen es so auch Kriminellen ohne technisches Know-how, Computer anzugreifen. Kriminelle müssen die Erpresser-Software also nicht mehr selbst entwickeln, sondern sie können sie fertig beziehen und unmittelbar einsetzen.

IT-DIRECTOR: Wo und von wem kann man „Ransomware as a Service“ beziehen? Und ab welchem Preis ist man dabei?
S. Janssen:
„Ransomware as a Service“ lässt sich im Darknet beziehen. Die Bezahlung entspricht dann meist einem bestimmten Prozentsatz des erpressten Geldbetrags.

IT-DIRECTOR: Welche Maßnahmen sollten die Verantwortlichen in den Unternehmen in die Wege leiten, um künftig vor Ransomware-Attacken gefeit zu sein?
S. Janssen:
Um optimal geschützt zu sein, muss die IT alle Systeme konsequent auf dem neuesten Stand halten. Das heißt: aktuelle Systeme einsetzen, die neuesten Updates und Patches einspielen sowie Daten regelmäßig sichern und die Systemwiederherstellung aktivieren. Ebenfalls wichtig: Zugriffsrechte festlegen, das Netzwerk segmentieren und kritische Anwendungen sowie Geräte auf einem separaten Netzwerk oder virtuellen LAN isolieren. Zudem müssen Unternehmensverantwortliche die Mitarbeiter kontinuierlich für Sicherheitsrisiken sensibilisieren und schulen.

IT-DIRECTOR: Oder anders gefragt: Wie sieht eine IT-Landschaft aus, die einem erfolgreichen Ransomware-Angriff standhalten und kritische Applikationen und Daten schnell wiederherstellen kann?
S. Janssen:
Eine optimale IT-Landschaft verfügt über aktuelle Betriebssystem-Versionen und das neueste Windows-Patch, eine Firewall der nächsten Generation mit aktuellem Sicherheits-Gateway, eine mehrstufige Netzwerk-Sandbox, um verdächtige Dateien im Netzwerk zu untersuchen, Bedrohungen zu erkennen und zu stoppen, eine E-Mail-Sicherheitslösung, die nicht nur Spyware und Spam herausfiltert, sondern auch alle Anhänge prüft, sowie einer aktuellen Backup- und Datenwiederherstellungslösung, die regelmäßig kritisch überprüft wird.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok