Krypto-Trojanern den Riegel vorschieben

Obwohl in den meisten Unternehmen umfangreiche Sicherheitsmechanismen im Einsatz sind, sind Infektionen mit Ransomware weltweit an der Tagesordnung. Die Gründe für den Erfolg der Cyber-Kriminellen sind vor allem die perfide Art der Angriffe sowie die Situation in den betroffenen Unternehmen.

Hochprofessionell agierende Produzenten der Krypto-Trojaner haben Ransomware auf ein neues Level gehoben. Dazu gehört unter anderem, dass nach Zahlung der Erpressungssumme in der Regel tatsächlich ein Werkzeug zur Entschlüsselung bereitgestellt wird. Geschicktes Social Engineering, um den Nutzer zum Ausführen der Installationsroutine des Trojaners zu bewegen, tut ein Übriges, um die Welle anschwellen zu lassen. Dabei werden oftmals Technologien zur Infektion genutzt, die in vielen Unternehmen zugelassen sind und in denen bösartiger Code leicht verschleiert werden kann, wie etwa Microsoft Office Makros, JavaScript, VBScript, CHM, Flash oder Java. Zudem sind die Schädlinge technologisch immer fortgeschrittener und so unter anderem durch Verschleierungsmechanismen auf dem infizierten System schwerer zu identifizieren. Diverse redundante Kommunikationsmechanismen und Public Key-Verschlüsselungsverfahren sorgen zudem dafür, ein für Infektionen nutzbares Entschlüsselungswerkzeug zu verhindern.

Aber auch auf Unternehmensseite liegt einiges im Argen: Häufig mangelhafte Backup-Konzepte plus das Manko, dass Updates oder Patches für Betriebssysteme und Anwendungen nicht zeitnah eingespielt werden, machen es den Cyberkriminellen einfach. Weitere Schwachstellen sind ein mangelhaftes Benutzer-/Rechtekonzept bei dem Nutzer oftmals mehr Dateirechte auf Netzlaufwerken haben, als für ihre Aufgabe eigentlich notwendig ist, sowie die mangelhafte Schulung der Benutzer („Welche Dokumente von wem darf ich öffnen?“, “Wie ist die Prozedur, wenn ein vom Typ eigentlich gesperrtes Dokument empfangen werden muss?“, „Wie erkenne ich eine Phishing-E-Mail?“) und das falsche Einrichten oder völlige Fehlen von Sicherheitssystemen wie Virenscanner, Firewall, IPS oder E-Mail-/Web-Gateways. Die Liste der To-Dos ist lang, aber was sollten Unternehmen, neben einer langfristig ausgelegten, sorgfältig geplanten IT-Sicherheitsstrategie, sofort machen?

Backups offline/offsite: Ein Backup-Konzept muss berücksichtigen, dass nicht nur der Ausfall einer Hardware abgesichert ist (Stichwort: RAID1 ersetzt kein Backup) sondern auch der Online-Zugriff auf Sicherungen beispielsweise durch Verschlüsselungstrojaner auf Admin-Rechnern nicht möglich ist. Backups sollten zudem offsite, also auch räumlich getrennt aufbewahrt werden, um vor Umweltschäden (Feuer, Löschmitteln) geschützt zu sein.

Keine Adminrechte oder Rechte, die nicht benötigt werden: Jeder Benutzer sollte immer nur mit den Rechten arbeiten, die zur Erfüllung seiner Aufgabe notwendig sind. Es gibt nur sehr wenige bis keine Gründe, warum ein Mitarbeiter beim Arbeiten mit seinen Geschäftsanwendungen als Administrator angemeldet sein sollte oder warum dieser Mitarbeiter auf Netzlaufwerke zugreifen darf, die er nicht (mehr) zur Erfüllung seiner Aufgaben benötigt.

Patches und Updates einspielen: Nicht aktuelle Anwendungen und Betriebssysteme waren und sind der primäre Weg, über den Rechner mit Schadsoftware infiziert zu werden. Ein zentrales Update- und Patchmanagement muss für das zeitnahe Einspielen der Updates und Patches sorgen. Dies darf nicht dem Benutzer überlassen werden (der etwa bei Benachrichtigungen des lokalen Adobe- oder Java-Updaters wiederholt auf „Später erinnern“ klicken kann).

Office-Makros per Gruppenrichtlinie deaktivieren: In einer Active Directory-Umgebung können Office-Makros per Gruppenrichtlinie zentral deaktiviert werden. Für die Mitarbeiter, die aufgrund ihrer Tätigkeit, zum Beispiel in der Buchhaltung oder im Vertrieb, diese Funktionalität benötigen, kann diese Funktion ebenso zentral freigeschaltet werden.

Endpoint-Virenschutz richtig konfigurieren: Der Virenscanner sollte nach den empfohlenen „Best Practices“ konfiguriert werden.

E-Mail-Gateway richtig konfigurieren: Zunächst muss auf dem E-Mail-Gateway ein Virenscan sowie ein Spam-Scan von allen ein- und ausgehenden E-Mails eingerichtet sein, konfiguriert nach den Best Practices des Herstellers. Wenn das E-Mail-Gateway eine Sandboxing-Technologie zur Analyse von Anhängen bereitstellt, sollte diese aktiviert sein. Die Konfigurieration des  E-Mail-Gateways sollte außerdem verbieten, dass ausführbare Anhänge von aus dem Internet eingehenden E-Mails durchgelassen werden. Das gilt für Office-Dokumente, VBS, JavaScript, Java, ActiveX, CHM. Sophos empfiehlt konkret die Quarantäne von Dateitypen, die typischerweise folgende Endungen haben (.ade, .adp, .bas, .bat, .chm, .cla, .class, .cmd, .com, .cpl, .exe, .hlp, .hta, .inf, .ins, .js, .jse, .lnk, .msc, .msi, .mst, .ocx, .pcd, .pif, .reg, .scr, .sct, .shb, .shs, .url, .vb, .vbs, .vbe, .wsf, .wsh, und .wsc). Wichtig ist auch, dass unverschlüsselte Archive nach diesen Dateien gescannt und gegebenenfalls die Archive in Quarantäne gestellt werden.

Web-Gateway konfigurieren: Man sollte alle Downloads auf Viren scannen und bekannte Webadressen und Mechanismen zur Kommunikation mit Command & Control-Servern blocken. In jedem Fall sollten SSL-Verbindungen gescannt werden. Wenn das Web-Gateway eine Sandboxing-Technologie zur Analyse von Downloads bereitstellt, empfiehlt es sich, diese zu aktivieren.

Firewall/Intrusion Prevention System konfigurieren: Ein dediziertes oder in eine Firewall/UTM integriertes IPS sollte so konfiguriert sein, dass die Command & Control-Kommunikation blockiert wird.

Bewusstsein/Schulung der Mitarbeiter: Alle technischen Maßnahmen bringen wenig, wenn die Mitarbeiter sich nicht der potenziellen Gefahren bewusst sind und nicht wissen, wie sie sich in bestimmten Situationen zu verhalten haben. Als Sofortmaßnahme müssen die Mitarbeiter geschult werden, die bei ihrer täglichen Arbeit mit solchen Sicherheitsgefahren und -maßnahmen konfrontiert sind: „Wie erkenne ich eine Phishing-E-Mail?“, „Wie kann ich, obwohl Office-Dokumente in E-Mails gesperrt sind, trotzdem mit meinen Geschäftspartnern Daten austauschen?“.

Michael Veit ist IT-Security-Experte bei Sophos

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Krypto-Trojanern den Riegel vorschieben
2. Next-Gen Security gegen Ransomware und Zero-Day-Threats

Lesen Sie mehr zum Thema

Weitere Artikel zu Sophos GmbH Fort Malakoff Park

Cybersicherheitslösungen für MSPs

Sophos und Pax8 kooperieren für optimiertes Sicherheitsmanagement

Sophos-Umfrage beim Security-Personal

Cybersicherheit? Absolut simpel, meint der Chef

Sophos-Studie

Ransomware-Angriffe im Gesundheitswesen auf Vier-Jahres-Hoch

Fernwartung als Einfallstor

Ransomware-Attacke nutzt Remote-Access-Programm

MSSP auf Wachstumskurs

Indevis kooperiert mit Sophos, Pentera und Google/Mandiant

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn