Die aktuelle Bedrohungslage ist höher denn je — und mit der zunehmenden Flut an „Ransomware“ haben bösartige Individueen ein lukratives Tool an der Hand mit dem immer mehr Unternehmen erpresst werden. Netzpalaver sprach mit Michael Veit, Sicherheitsexperte bei Sophos, über die Erpressersoftware, ob aktuelle Schutztechnologien dafür noch ausreichend beziehungsweise überholt sind und welche zusätzlichen Schutzmaßnahmen am Endpoint zwingend erforderlich werden.
#netzpalaver: Warum sind traditionelle Sicherheitsmaßnahmen wie Antivirus-Produkte überholt?
Michael Veit: Traditionelle Sicherheitsmaßnahmen wie signaturbasierter Antivirus, Heuristiken oder URL-/Web-Filterung sind nicht überholt, denn damit werden auch heute noch mehr als 95 Prozent der etwa 100 Millionen neuen Viren und Trojaner pro Jahr erkannt und verhindert. Um eine Signatur für einen Schädling bzw. eine Schädlingsfamilie erstellen zu können, werden Exemplare eines Schädlings benötigt. Moderne Schädlinge werden aber oft gezielt erstellt, um einzelne Personen, Personengruppe oder ein Unternehmen anzugreifen und tauchen nicht in der „freien Wildbahn“ auf. Deshalb müssen die traditionellen Schutzmaßnahmen durch moderne Endpoint-Schutztechnologien ergänzt werden, die auf dem Verhalten der Schädlinge im System basieren, indem beispielsweise Infektionstechniken identifiziert oder die Verschlüsselung von Geschäftsdateien erkannt und verhindert wird. Zudem müssen Schutztechnologien am Endpoint und im Netzwerk dynamisch miteinander als System gekoppelt werden.
#netzpalaver: Gilt dies auch für netzwerkzentrische Ansätze wie Firewalls & Co (IDS/IPS) und worin begründet sich bei diesen Systemen die Problematik?
Michael Veit: Sicherheitssysteme dürfen heute vor allem nicht mehr isoliert agieren. Vielmehr müssen Gateway und Endpoint miteinander kommunizieren und automatisch reagieren. Wenn beispielsweise die Firewall von einem Endpoint aus dem internen Netz eine Kommunikation zu einem Botnet-Command&Control-Server feststellt, dann müssen verschiedene Dinge automatisch ablaufen:
- Der offenbar mit einem bisher unbekannten Schädling infizierte Client wird von der Firewall in Netzwerkquarantäne gesteckt, damit er keine weiteren Kommandos empfangen, Schadsoftware nachladen oder vertrauliche Daten an den Angreifer senden kann.
- Die Firewall teilt der Endpoint-Security auf dem infizierten Client Details über die Kommunikation mit, damit das schädliche Programm auf dem Client identifiziert und unschädlich gemacht werden kann.
- Nachdem die Schadsoftware auf dem Client bereinigt wurde, wird der Client automatisch wieder aus der Netzwerkquarantäne entlassen.
Wichtig ist die sofortige, automatische Reaktion der Sicherheitskomponenten, ohne dass Administratoren erst alarmiert werden und manuell Aktionen wie die Eindämmung des infizierten Clients veranlassen müssen. Ansonsten hat der Schädling ein viel zu großes Zeitfenster, in dem er Schaden anrichten kann wie zum Beispiel das Abziehen von Geschäftsdaten oder die Verschlüsselung von Dateien.
#netzpalaver: Worin liegt die besondere Gefahr von Ransomware?
Michael Veit: Ransomware ist hochentwickelte Schadsoftware, die Dateien auf betroffenen Rechnern sowie auf Netzlaufwerken im Unternehmen verschlüsselt. Das Ziel der Angreifer ist die Erpressung einer Lösegeldsumme für den Nachschlüssel; und in der Tat erhält zumindest ein Teil der Firmen nach Zahlung tatsächlich ein Werkzeug zum Entschlüsseln der Dateien.
Im Verhältnis zu Schädlingen, die Geschäftsdaten wie Entwicklungs- oder Kundendaten stehlen und beispielsweise. an die Konkurrenz weiterleiten, ist Ransomware sogar vergleichsweise harmlos – sofern ein Unternehmen seine Hausaufgaben in Bezug auf Backup gemacht hat. Denn um die verschlüsselten Dateien wiederherzustellen wird lediglich ein zeitnahes Backup dieser Dateien benötigt. Aber obwohl ein funktionierendes, zeitnahes Backup zu den absoluten Basisanforderungen an die Unternehmens-IT zählt, haben viele von ihnen das in der Vergangenheit offenbar nicht beherzigt und wurden deshalb von Ransomware geschädigt und teilweise in ihrer Geschäftstätigkeit stark eingeschränkt. Neben einem ungenügenden Backup-Konzept waren oft auch andere Systeme im Unternehmen wie das E-Mail-System nicht sicher konfiguriert, wodurch die Ransomware in vielen Fällen ins Unternehmen gelangte.
Die Ransomware hat also vor allem aufgedeckt, dass Mindestanforderungen an den sicheren Betrieb der IT in vielen Unternehmen drastisch vernachlässigt wurden.
#netzpalaver: Mit welcher Technologie/Technologie-Mix wird in den End-Point-Protection-Produkten Ransomware entgegengewirkt?
Michael Veit: Auf einem Endpoint muss eine intelligente Kombination von Technologien eingesetzt werden. Eine klassische Endpoint-Security-Lösungen mit Virenscanner, Webfilter, Applikationskontrolle und Schnittstellenkontrolle ist unabdingbar, damit werden über 95 Prozent der heutigen Schädlinge erkannt und verhindert. Für die restlichen 5 Prozent, die sehr hoch entwickelten Bedrohungen wie Ransomware, sind aber zusätzliche Erkennungstechnologien notwendig.
Mit „Intercept X“ stellt Sophos eine Lösung zur Verfügung, die zusätzlich zur klassischen Endpoint-Security installiert wird und die zuverlässig gegen Ransomware schützt. Intercept-X schützt das System dabei auf mehreren Ebenen. Zum einen werden Techniken zur Infektion des Systems erkannt und verhindert, und zum anderen wird Ransomware über das Verhalten identifiziert, das heißt sobald ein Programm Dateien verschlüsselt, wird dies unterbunden und die Orginal-Dateien werden wiederhergestellt.
Intercept-X kann über die zentrale Konfigurationskonsole von Sophos verwaltet werden und gliedert sich in das Synchronized-Security-Konzept mit der Sophos-Heartbeat-Technologie nahtlos ein. Es lässt sich aber auch solitär und zusätzlich zu Security-Lösungen anderer Hersteller installieren.
#netzpalaver: Können End-Point-Protection-Systeme AV-Systeme sowie Firewalls und Co. wirklich komplett ersetzen?
Michael Veit: In der Vergangenheit lag bei der IT-Sicherheit oft ein Schwerpunkt auf Netzwerksicherheitssystemen, die das unsichere Internet vom sicheren Intranet trennen. Mit mobilen Mitarbeitern, die Notebooks im Außendienst oder im Homeffice nutzen, mit Terminal-Servern und mit der geschäftlichen Nutzung von Smartphones und Tablets ist diese starre Trennung nicht mehr vorhanden.
Insbesondere Firewalls sind aber weiterhin notwendig, um beispielsweise Serversysteme sowohl vom Internet als auch von den Workstation-Netzen vor netzwerkbasierten Angriffen abzuschirmen und nur den Zugriff durch autorisierte Dienste und Benutzer zu gewährleisten.
Bei Schadsoftware wie Ransomware ist der Endpoint der Ort, an dem heute der maximale Schutz gewährleistet werden muss. Ein moderner Schädling wie Ransomware wird im Zweifelsfall nicht vom E-Mail- oder Web-Gateway über eine Virensignatur erkannt, sondern erst auf dem Endpoint durch sein Verhalten entlarvt und gestoppt – beispielsweise sobald er anfängt, Dateien zu verschlüsseln oder mit dem Server des Angreifers zu kommunizieren, um Daten zu übertragen oder Programmcode nachzuladen.
#netzpalaver: Wie sollten Sicherheitsverantwortliche unter den genannten Aspekten im Unternehmen heute vorgehen, um eine bestmögliche Security in puncto Cybercrime zu gewährleisten?
Michael Veit: Eine moderne Sicherheitsarchitektur muss in mehreren Schichten aufgebaut sein. Dazu gehört als erste Verteidigungslinie die klassische Netzwerksicherheit mit Firewall, IPS, E-Mail- und Web-Gateway-Systemen; an dieser Stelle sollten auch Technologien wie Sandboxing-Systeme als erste Stufe zur Erkennung moderner Schadsoftware eingesetzt werden.
Die zweite Verteidigungslinie ist der Schutz der Endpoints, mit denen die Benutzer arbeiten – also Windows, Mac oder Smartphone/Tablet. Hier müssen neben der klassischen auch moderne Endpoint-Security Schutztechnologien wie Intercept-X eingesetzt werden.
Diese Verteidigungslinien werden in vielen Unternehmen mit dem Best-of-Breed-Ansatz abgesichert, sprich es werden Lösungen unterschiedlicher Hersteller eingesetzt.
Der Nachteil dieses Ansatzes ist, dass die Sicherheitslösungen nicht miteinander kommunizieren und beispielsweise Informationen über Sicherheitsvorfälle austauschen.
Um modernen Bedrohungen zu begegnen, müssen Sicherheitssystem miteinander kommunizieren und automatisch reagieren. Diese Vernetzung und automatische Reaktion ist demnach die finale Verteidigungslinie.
Es macht es aus folgenden Gründen Sinn, eine vernetzte Security einzusetzen:
- Erstens steigert man durch die intelligente Vernetzung das Sicherheits-Level im gesamten Unternehmen erheblich.
Angriffe werden besser erkannt, werden wesentlich effizienter abgewehrt und sollte dennoch eine Attacke Erfolg haben, können sich die vernetzten Security-Systeme sehr schnell selbstständig reagieren und die Malware isolieren. Bei einer manuellen Reaktion auf einen Angriff vergehen im besten Fall Stunden, bis die Reaktion angestoßen wird und dann kann es bereits zu spät sein.
- Zweitens erleichtert die intelligent vernetzte Security den Administrationsaufwand erheblich. Über die zentrale Sophos-Administrationsoberfläche von Sophos können Administratoren sehr schnell existierende oder neue Geräte im Netzwerk verwalten und die bekommen eine konsolidierte Sicht über den „Gesundheitszustand“ der gesamten Infrastruktur.
#netzpalaver: Was sind die USP ihrer End-Point-Protection-Lösung?
Michael Veit: Sophos-Intercept-X als Lösung zum Schutz vor Ransomware und anderer moderner Malware unterscheidet sich von anderen Lösungen dadurch, dass wir millionenfach bewährte Technologie einsetzen, die
- zusätzlich zu einer bestehenden Endpoint-Security installiert wird,
- minimale Performanceanforderungen hat,
- unbekannte Malware aufgrund von Infektionstechniken erkennt und verhindert,
- Ransomware zuverlässig erkennt und verhindert und verschlüsselte Dateien wiederherstellt,
- über eine Art „Flugdatenschreiber“ eine Analyse des Angriffs ermöglicht, um Infektionswege und betroffene interne Systeme zu erkennen und daraus Konsequenzen für zukünftige Sicherheitsmaßnahmen abzuleiten sowie
- über die „Security Heartbeat“-Technologie im Rahmen von Synchronized-Security mit anderen Sophos Netzerk- und Verschlüsselungskomponenten kommuniziert, damit betroffene Clients bei Infektionen automatisch isoliert werden können und das Netzwerk in einen sicheren Zustand gebracht wird.
Verwaltet wird Intercept-X über das zentrale Sophos-Central-Management, worüber optional außerdem die klassische Endpoint-Security, Server-Security, Mobile-Security, WLAN-, E-Mai-l Security, Web-Security und Verschlüsselung verwaltet werden können.
