• RANSOMWARE UND KRYPTOTROJANER

    Präventive Strategien
    gegen den Datenklau

Wirksamer Schutz vor Ransomware und Kryptotrojanern

„DIE DATEIEN AUF IHREM RECHNER WURDEN VERSCHLÜSSELT! SIE BENÖTIGEN EINE SPEZIELLEN CODE, UM IHRE DATEIEN ZU ENTSCHLÜSSELN. FOLGEN SIE UNSEREN ANWEISUNGEN UND ÜBERWEISEN SIE EUR 500,-. SOLLTEN SIE VERSUCHEN, DIE VERSCHLÜSSELUNG OHNE DIESEN CODE ZU ENTFERNEN, SIND IHRE DATEIEN UNWIEDERBRINGLICH VERLOREN!“ So oder so ähnlich meldet sich Erpressungssoftware, die sich auf einem Computersystem eingenistet hat. Ein Horrorszenario, das durch die weltweite Attacke des Kryptotrojaners WannaCry im Mai 2017 für viele Unternehmen Wirklichkeit wurde.

Als Ransomware (auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner genannt) wird eine Gruppe von Schadprogrammen bezeichnet, die auf infizierten Rechnern Nutzerdaten verschlüsselt und so unzugänglich macht. Für die Entschlüsselung dieser Daten wird ein Lösegeld (engl. ransom) gefordert. Selbst bei sofortiger Zahlung des Lösegeldes kann aber nicht davon ausgegangen werden, dass die betroffenen Daten wiederhergestellt werden können. Das Bundesamt für Sicherheit in der Informatik (BSI) empfiehlt daher, auf keinen Fall die geforderten Summen zu bezahlen, sondern angemessene Vorbereitungen für den Schadensfall zu treffen.

Durch Prävention ist ein wirksamer Schutz vor Ransomware und Kryptotrojanern möglich. Und selbst wenn sich Schadsoftware bereits auf einem Computersystem eingenistet und Dokumente verschlüsselt hat, bestehen Möglichkeiten zur Schadensbegrenzung und Wiederherstellung der betroffenen Dateien.

Bei den im Folgenden aufgeführten Schutzmaßnahmen handelt es sich weniger um alternative Ansätze, als vielmehr um Bausteine einer umfassenden Präventivstrategie, die ihre volle Wirkung bei einem kombinierten Einsatz entfaltet. Gerne beraten wir Sie und unterstützen Sie bei der Implementierung einer individuell auf Ihre Bedürfnisse angepassten Lösung.

Anti-Viren-Software mit Krypto-Schutz
Aktuelle Versionen von Ransomware werden über konventionelle AV-Signaturen von Virenscannern nicht oder nur sehr selten rechtzeitig erkannt. Manche Antiviren-Hersteller bieten daher zusätzliche Module an, die eine Live-Erkennung von voranschreitenden Verschlüsselungen z.B. am File-Server erkennen können. Während des Verschlüsselungs-Vorgangs wird der verursachende Client dann automatisch vom Netz genommen. So kann eine Ausbreitung der Ramsomware über das  Firmennetzwerk unterbunden werden.

Angriffsfläche minimieren
Je weniger Programme installiert sind, die zum Ausführen von unbekanntem Schadcode genutzt  werden können, desto geringer ist die Gefahr eines Angriffs. Besonders wichtig ist in diesem Zusammenhang, dass Browser-Plugins nur dann installiert werden, wenn diese für die tägliche Arbeit zwingend erforderlich sind. Sollte dies der Fall sein, so ist darauf zu achten, dass immer die aktuelle Version installiert ist.

In neueren Office Versionen ist es zusätzlich möglich, geschützte Ansichten zu aktivieren. Potentiell gefährliche Dateien aus dem Internet, von potentiell unsicheren Speicherorten oder aus Mail-Anhängen werden dann in einem speziellen, eingeschränkten Modus geöffnet. Dadurch kann verhindert werden, dass Makros oder ähnliches ausgeführt werden.

Tägliche Datensicherung
Diente die Datensicherung bislang in erster Linie dem Schutz gegen Festplattencrashs, Serverausfälle und versehentliches Löschen von Dateien, so gilt das tägliche Backup heute als wichtigste  Schutzmaßnahme für den Fall einer Ransomware-Attacke.

Damit es bei einem Befall nicht ebenfalls unmittelbar betroffen ist, sollte das Backup-System vom Produktiv-System weitestgehend abgekoppelt sein. Noch sicherer ist eine Auslagerung des Backups in entsprechend geschützte Rechenzentren (wie z.B. das Rechenzentrum Bodensee-Oberschwaben der abakus it AG). So ist sichergestellt, dass im schlimmsten Fall nur ein paar Stunden Arbeitsdaten verloren gehen und nicht Wochen, Monate oder Jahre.

Sensibilisierung der Benutzer
Die beiden wesentlichen Einfallstore für Schadsoftware sind das unbedachte Öffnen von Anhängen in E-Mails sowie der Besuch kompromittierter Web-Seiten im Internet. Es ist daher unerlässlich,  wiederholt kurze Schulungen für die Benutzer zu veranstalten und zu verdeutlichen, welche Gefahren E-Mails und Web-Seiten beinhalten können. Insbesondere E-Mails von unbekannten Absendern bergen – in enthaltenen Links oder Anhängen – die größten Gefahren. Im Zweifelsfall sollte immer der Administrator alarmiert und die E-Mail durch ihn begutachtet werden.

Sollte es dennoch soweit kommen, dass in Folge einer Ransomware-Attacke Ihre Daten verschlüsselt wurden und Sie keinen Zugriff mehr darauf haben, dann heißt es Ruhe zu bewahren. Versuchen Sie nicht, mit den Tätern in Kontakt zu treten und überweisen Sie kein „Lösegeld“. Nehmen Sie umgehend mit uns Kontakt auf. Wir unterstützen Sie auf der Grundlage unserer langjährigen Erfahrung gezielt und kompetent.

  1. Für bestimmte Ransomware (z.B. Locky, CryptoLocker, TeslaCrypt, Rannoh, CoinVault, Bitcryptor, CryptorBit, Petya) wurden bereits Programme zur Abhilfe veröffentlicht. Die Wiederherstellung ist zwar teilweise zeitaufwändig, Datenverluste können aber weitestgehend verhindert werden. Wir identifizieren den Trojaner und ermitteln die geeignete Entschlüsselungssoftware.
  2. Sollte es keine Entschlüsselungssoftware für den Trojaner geben, steht als letzte Option das Zurückspielen eines Backups zur Verfügung. Bevor Sie diesen Schritt in Betracht ziehen, sollten Sie sich davon überzeugen, dass die Schadsoftware auf dem betroffenen Rechner oder System nicht mehr aktiv und vollständig gelöscht ist. Nur so kann sie keinen weiteren Schaden mehr anrichten. Potentielle Einfallstore müssen geschlossen werden, z.B. durch ein Update des Betriebssystems, der eingesetzten AV-Tools, Programme und Plug-Ins, etc. Danach müssen die verschlüsselten Ordner identifiziert und vom Backup zurückgespielt werden.

„Endpoint Protector™ by CoSoSys“ schützt Unternehmensnetze vor Datenverlust und Datendiebstahl
Als Data Loss Prevention Lösung schützt „Endpoint Protector™“ Unternehmensnetze vor Datenverlust und Datendiebstahl über Computerschnittstellen wie USB, browserbasierte Anwendungen und mobile Geräte. Dabei werden sowohl Arbeitsplatzrechner und Thin Clients als auch mobile Endgeräte in die Überwachung einbezogen.

Die Limax 360 GmbH bietet für den Einsatz von „Endpoint Protector™“ flexible, individuell anpassbare und DSGVO-konforme Mietlösungen an. Die Kunden der Limax 360 GmbH können ihre Lizenzen flexibel an wechselnde betriebliche Anforderungen anpassen. Das gilt sowohl für die Zahl der Geräte, die in den Schutz einbezogen werden sollen, als auch für den Umfang der Funktionalität.

„Endpoint Protector ™ by CoSoSys“ enthält die Module

  1. „Device Control“ für die Geräte- und Schnittstellenkontrolle einschließlich USB-Verschlüsselung,
  2. „Content Aware Protection“ für die Inhaltsfilterung,
  3. „eDiscovery“ für die Suche nach unstrukturierten Daten auf den Arbeitsplatzrechnern im Unternehmensnetz sowie
  4. „Mobile Device Management“ für mobile Endgeräte.

Die Limax 360 GmbH bietet „Endpoint Protector™“ seit kurzem zur Miete an. Im Unterschied zum Softwarekauf schont das Mietmodell die Liquidität und ermöglicht den Schutz vor Datenverlust und Datendiebstahl zu kalkulierbaren, laufenden Kosten.

Anders als bei vielen Security as-a-Service-Angeboten, beziehungsweise Cloud-Diensten, wird „Endpoint Protector™“ beim Mietmodell in Form einer virtuellen Appliance ausgeliefert und läuft auf den Servern des Anwenderunternehmens statt auf fremden Systemen. Infolgedessen behalten die Kunden beim On-Premises-Betrieb jederzeit die volle Kontrolle über die DLP-Lösung.

Zudem lässt sich ein Mietmodell als Investitionskosten einfacher den einzelnen Devices und den Kostenstellen zuordnen. Ein weiterer Vorteil der Miete besteht darin, dass Updates bereits im Mietpreis enthalten sind. Das Angebot von „Endpoint Protector ™ by CoSoSys“ und Limax 360 GmbH richtet sich an Unternehmen und Behörden ab 200 Lizenzen.

Wie kann die abakus it AG Ihnen helfen?
Die abakus it AG und die Limax 360 GmbH laden Sie ein zur Live-Online-Demo der Data Loss Prevention Lösung „Endpoint Protector ™ by CoSoSys“

Wir freuen uns, Ihnen Funktionsweise und Leistungsumfang der Data Loss Prevention Lösung „Endpoint Protector™ by CoCoSys“ live in einer Online-Demo vorstellen zu können.

Melden Sie sich jetzt an bei
Herrn Ralf Derichs
Telefon: +49 7529 8310 176
und seien Sie entweder am 28. Juni oder am 12. Juli 2018 mit dabei!