Vorgehen gegen Locky & Co.

Unternehmen vor Ransomware schützen

06.06.2016
Von 
Markus Auer Sales Director Central Europe bei BlueVoyant. Davor war er als Regional Sales Manager Central Europe bei ThreatQuotient beschäftigt. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne.
Deutschen Unternehmen mangelt es an Verteidiungsmechanismen gegen Ransomware. Die intelligente Kombination von Sicherheitstools erweist sich als Best-Practice.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte in einem eigens herausgegebenen Bericht fest, dass sich Angriffe mit Verschlüsselungstrojanern in Deutschland vom Oktober 2015 bis Februar 2016 verzehnfacht haben. Weltweit stieg die Zahl der Ransomware-Angriffe laut dem Bericht um das Sechsfache - die Online-Kriminellen nehmen also gerade die Bundesrepublik besonders ins Visier.

Unternehmen in Deutschland: Leichte Beute für Hacker?

Die Vorfälle demonstrieren, wie sich die Bedrohungslandschaft immer weiter verändert. Vor allem die Early-Adopter der digitalen Integration - etwa auf dem Gesundheitssektor - erkennen jetzt, dass sie zu attraktiven Zielen von Cyber-Kriminellen geworden sind. Krankenhäuser und andere Einrichtungen des Gesundheitswesens sind beim Internet der Dinge (IoT) und Bring-Your-Own-Device (BYOD) als Pioniere vorangegangen. Anlagen für Magnetresonanztomographie (MRT), Narkose- und andere Geräte greifen auf Netzwerke zu, um hochsensible Daten auszutauschen und zu verarbeiten. Das Thema Datensicherheit wurde dabei oft vergessen oder spielte eine untergeordnete Rolle. Angesichts des Werts dieser Daten und des geringen Schutzniveaus ist es kein Wunder, dass Ziele im Gesundheitssektor immer häufiger angegriffen werden. Höchstwahrscheinlich wird sich die Situation noch verschlimmern, wenn Unternehmen keine geeigneten Gegenmaßnahmen treffen. Gartner prognostiziert, dass die Zahl der internetfähigen Geräte zwischen 2014 und 2020 von 3,9 Milliarden auf 25 Milliarden ansteigen wird. Der Hauptgrund für diese Expansion ist die Nutzung von IoT-Devices. Die Vermehrung der Geräte vergrößert die Angriffsfläche und macht Unternehmen anfälliger. Die Analysten gehen zudem davon aus, dass sich maßgeschneiderte IoT-Angriffe bis 2018/2019 zu einer gängigen Methode entwickeln werden.

In Deutschland sind die Unternehmen offenbar schlechter auf Hacker-Attacken vorbereitet als in anderen Ländern, und die Sicherheitsvorfälle sind zahlreicher. Frost & Sullivan befragte vor kurzem IT- und Sicherheitsexperten in Großbritannien, den USA und Deutschland zu ihren Erfahrungen mit Sicherheitsverletzungen in den vergangenen 12 Monaten. 83 Prozent aller deutschen Fachkräfte räumten ein, dass sich bei ihnen fünf oder mehr Sicherheitsverletzungen ereignet hatten. Im Vergleich zu den USA (67 Prozent) und Großbritannien (69 Prozent) hinkt Deutschland also bei der Abwehr von Angriffen hinterher. Mehr Geräte, schlecht vorbereitete Sicherheitsabteilungen und der Druck zur Einführung neuer Technologien sind eine gefährliche Mischung. Die jüngsten Malware-Angriffe demonstrieren, dass die Bundesrepublik mit dem Schutz ihrer digitalen Ressourcen Probleme hat. Die globalen Trends werden die Unsicherheit weiter erhöhen und machen eine neue Einstellung zur IT-Sicherheit erforderlich.

IT-Sicherheit: Neue Wege beschreiten

Die deutsche Wirtschaft setzt auf fortschrittliche Technologie, mit starkem Schwerpunkt auf Produktion und verwandte Sektoren. Wie die Diskussion um Industrie 4.0 und vernetzte Fahrzeuge zeigt, strebt Deutschland die Digitalisierung seiner Wirtschaft an, um wettbewerbsfähiger zu werden. Doch wie steht es dabei um die IT-Sicherheit? Laut Gartner fällt es den Unternehmen schwer, ihre Sicherheitsbudgets an das 35-prozentige Wachstum des IoT anzupassen, das bis 2017 erwartet wird. Sie konzentrieren sich demnach zu sehr auf die Ermittlung von Schwachstellen und Exploits, anstatt auf Segmentierung und andere langfristige Maßnahmen zum Schutz des Internet of Things. Aufgrund der Vielzahl von Geräten und Services haben sich immer mehr unkontrollierte Bereiche entwickelt. Organisationen sehen aktuell nur rund 80 Prozent der Geräte in ihren Netzwerken, die restlichen Devices werden nicht durch Sicherheitstools erfasst.

Organisationen müssen wissen, was in ihren Netzwerken vor sich geht. Eine Advanced Threat Detection (ATD) erkennt Bedrohungen auf bekannten Geräten. Nicht-verwaltete Geräte werden dagegen möglicherweise nicht rechtzeitig erkannt. Eine ATD-Lösung erfasst Endpunkte nicht umgehend, sondern erst verspätet. Die Konfiguration wird nur im Rahmen von geplanten Scans geprüft. Wenn Devices Agenten verwenden, müssen sie überprüft werden, sobald ein Endpunkt versucht, sich mit dem Netzwerk zu verbinden. Benötigt wird eine Lösung, die die Geräte automatisch erkennt und klassifiziert und zudem weitere Sicherheitslösungen in Gang setzen kann. Gerade IoT-Geräte unterstützen in der Regel keine Agenten. Angesichts der wachsenden Zahl nicht-standardisierter Geräte in den Netzen reichen 802.1 X-Protokolle alleine nicht mehr aus.

Sobald die Geräte erkannt sind, müssen im nächsten Schritt die Aktionen der bestehenden Sicherheitstools kombiniert werden. Agentenlose IoT-Geräte - beispielsweise medizinische Apparate - müssen in abgetrennte VLANs verlegt werden. In vielen Sektoren sind aktive Sicherheitsmaßnahmen oder die Installation von Patches nicht möglich. Segmentierung ist deshalb wichtig - genau wie auch der Austausch von Informationen zu Schwachstellen und Malware. Um die IT-Abteilungen zu entlasten, sollten automatisch Profile der Geräte erstellt werden.

Schutz vor Locky & Co.: Network Access Control

Aktuelle Network-Access-Control (NAC)-Lösungen sind in der Lage, jedes Gerät im Netzwerk zu sehen und zu überwachen. NAC-Technologien können automatisch Aktionen einleiten und setzen definierte Richtlinien durch, damit die Einhaltung der Vorschriften jederzeit gewährleistet ist. Locky ist ein Beispiel für eine moderne Ransomware, die bereits mehrere Gesundheitseinrichtungen, aber auch andere öffentliche Einrichtungen in Deutschland angegriffen hat. Die Software verschlüsselt die Dateien auf den Computern der Opfer; für die Entschlüsselung wird dann ein Lösegeld in Bitcoins gefordert. Schritt für Schritt betrachtet, sieht die Bekämpfung von Locky mit einer NAC-Lösung folgendermaßen aus:

  • Sobald sich ein Gerät mit dem Netz verbindet, wird es von der NAC-Lösung gescannt. Dabei wird geprüft, ob die Agenten und Virenschutz-Clients funktionieren und ob alle nötigen Patches und Updates installiert sind.

  • Die automatisierte Quarantäne nicht regelkonformer Geräte muss aktiviert sein. Wenn nötig, wird eine On-Demand-Schwachstellenanalyse gestartet. IoT-Geräte, die keine aktiven Sicherheitsmaßnahmen zulassen, können in abgetrennte VLANs verlegt werden.

  • Wenn der Netzwerkverkehr Anomalien aufweist, muss die Kommunikation mit einem Command-and-Control-Server (C&C) blockiert werden. Locky benötigt einen C&C-Server, um den kryptographischen Schlüssel abzuholen, bevor es mit dem Angriff auf die Daten beginnen kann. Die IP-Adressen von Angreifern ändern sich von Minute zu Minute. Um weitere Informationen zu erhalten, sollte die NAC-Lösung ein ATD-Tool anweisen, andere Geräte im Netzwerk zu scannen.

  • Eine automatische Warnung wird an das Security Operation Centre (SOC) gesandt, um es über die Bedrohung zu informieren. Zudem können auch die von einer SIEM-Lösung (Security Information and Event Management) gewonnenen Erkenntnisse integriert werden.

Fazit: Moderne Lösungen und stärkere Integration

Wenn das Internet of Things in der deutschen Wirtschaft künftig eine entscheidende Rolle spielen soll, müssen die IT-Sicherheitsstrategien der Unternehmen entsprechend justiert werden. Die Anzahl der Geräte wird weiter wachsen während die veränderte Bedrohungslandschaft neue Lösungswege für die Sicherheit von Netzwerken erfordert. Die Ransomware-Angriffe der vergangenen Monate erfüllen die Funktion eines Weckrufs: Die gravierenden Folgen solcher Attacken zeigen, dass sich etwas ändern muss.

Es gibt neue Sicherheitslösungen, die es möglich machen, auf jedem Gerät individuell abgestimmte Richtlinien durchzusetzen und automatisch auf Sicherheitsereignisse zu reagieren. Trends wie IoT und BYOD stellen keine Gefahr dar, wenn Unternehmen ihre Sicherheitsarchitektur anpassen und die IT-Security befähigen, eine vollständige Sicht auf die Vorgänge in ihren Netzwerken zu gewinnen. Wenn Unternehmen per se davon ausgehen, dass sie angegriffen werden und ihre Sicherheitskonzepte auf eine stärkere Integration bestehender Sicherheitslösungen ausrichten, haben sie nichts zu befürchten. Die Fähigkeit zu sehen, zu überwachen und zu orchestrieren, verbessert den Schutz gegen Hacker-Angriffe mit Ransomware wie Locky erheblich. (fm)