Effiziente Schutzsoftware macht Unternehmen zu Fort Knox

Im vergangenen Jahr war eine der Top-Bedrohungen die sogenannte Ransomware. Nach Ausführung dieser Malware werden Daten verschlüsselt und anschließend Lösegeld für die Entschlüsselung gefordert. Dabei macht der Angreifer keinen Unterschied zwischen Privatanwendern oder Unternehmen. Werden jedoch geschäftskritische Unternehmensdaten chiffriert, scheint die Schadensdimension weitaus höher. In dem Fall ist die Reputation des Admins noch das kleinste Problem, wenn ihm unterstellt wird, er habe sich über dubiose Webseiten, wie Erotik-Homepages, infiziert. Auch wenn dies immer wieder behauptet wird, entspricht das nicht der Realität: Ransomware, beispielsweise der 2014 entdeckte TorrentLocker, verbreitet sich über Spam-Mails. Inzwischen versenden die Erpresser personalisierte E-Mails, die auf den ersten Blick nicht verdächtig erscheinen. Darin werden die Empfänger aufgefordert, die Datei im Anhang zu öffnen, wo sich in der Regel scheinbar überfällige Zahlungserinnerungen, Tracking-Daten von Paketen oder unbezahlte Strafzettel wegen Geschwindigkeitsüberschreitungen finden. Typisch für diese E-Mails ist, dass sie vermehrt Unternehmens- und Regierungswebseiten von den Ländern der Empfänger nachbilden.

Daten haben einen hohen Preis

Ist die Datei einmal geöffnet, führt sich der Schadcode auf dem Gerät aus. Im Fall TorrentLocker forderten die Angreifer im Dezember Summen von bis zu 1.100 Euro in der Kryptowährung Bitcoins von den Opfern. Bei diesem Angriff wurden über 280 Millionen Dokumente in Zielländern Europas, darunter auch Deutschland, sowie in Kanada, Australien und Neuseeland verschlüsselt. 570 von 40.000 der Betroffenen haben das Lösegeld bezahlt. Keine gute Quote möchte man meinen, doch die Angreifer erbeuteten insgesamt knapp 470.000 Euro in Bitcoins.

Ransomware bedeutet nicht nur für den jeweiligen Nutzer ein finanzielles Risiko. Ist eine ganze Firmen-IT befallen, ließe sich ohne weiteres ein Unternehmen erpressen. Darüber hinaus ist es durchaus denkbar, dass sie der „Türöffner“ für andere Aktionen ist, mit dem Ziel, vertrauliche Daten abzugreifen. Aus diesem Grund steht die Aufklärung der Mitarbeiter im Mittelpunkt, denn nur dadurch lässt sich das Risiko einer Infizierung reduzieren und eine gute Vertrauensbasis im Falle eines Falls aufbauen.

Bei Ransomware ist nicht nur ein Betriebssystem Gefahren ausgesetzt. 2014 machte sich neben TorrentLocker auch der Android-Erpresser-Trojaner Android/Simplocker einen Namen. Erstmals im Juni entdeckt, wurde er als erster Filecoder für das Android-Betriebssystem bekannt. Bei der Absicherung einer IT-Infrastruktur sollten dementsprechend alle gängigen Plattformen abgedeckt werden.

Wenn der Rechner zum Zombie wird

Eine weitere Bedrohung für Unternehmen bilden so genannte Botnets. Dabei handelt es sich um eine Gruppe von automatisierten Programmen, auch Bots genannt, die ein Netzwerk aus infizierten Computern schaffen. Sie werden von einem so genannten Botmaster ferngesteuert und so zu willenlosen Zombies. Ohne Wissen der Nutzer setzen Kriminelle Botnets für verschiedene Zwecke ein: Wird ihr Computer Teil eines Botnets, kann er unter anderem darauf programmiert werden, Spam zu versenden oder so viele Anfragen an eine Webseite zu stellen, bis diese zusammenbricht. Sie benutzen dieses Netzwerk, um an Bankinformationen von Nutzern zu gelangen oder spionieren ihre Opfer aus, um sie zu erpressen. Für Unternehmen ist die Schadensdimension weitaus höher als für Privatanwender, weswegen sie zu einem beliebten Angriffsziel wortwörtlich „mutieren“.

Spätestens im letzten Jahr wurde uns vor Augen geführt, welche weitreichenden Ausmaße ein solches Szenario haben kann: Bei der „Operation Windigo“ übernahmen Angreifer die Kontrolle über mehr als 10.000 Unix- und Linux-Server. Mindestens 35 Millionen Spam-Nachrichten wurden dabei an E-Mail-Konten gesendet, die neben verstopften Posteingängen vor allem die Computersysteme immens beeinträchtigten. Zugang verschafften sich die Angreifer über E-Mails mit Malware, ähnlich wie bei Ransomware. Auch über manipulierte Webseiten konnten sich User infizieren. Wurde eine solche Fake-Seite aufgerufen, nutzte die Schadsoftware Lücken im Betriebssystem oder in einem Programm, wie Webbrowser, aus, um das Gerät zu kontrollieren.

Unternehmen und Privatanwender können sich vor dieser Bedrohung schützen, wenn sie bei der Auswahl ihrer Antivirensoftware auf eine integrierte Botnet-Erkennung achten. Sie überprüft unter anderem die Kommunikation auf schädliche Muster und gleicht die Empfängerseite mit einer Blacklist ab. Erkennt die Funktion einen Schadcode, beispielsweise beim Versenden von Daten, bei dem der Empfänger als System in einem Botnet identifiziert wird, blockiert sie den Datenverkehr und informiert umgehend den Nutzer oder Administrator.

Schwache Passwörter sind leichte Beute

Eine weitere, sehr empfehlenswerte Schutzmaßnahme ist zudem die Zwei-Faktor-Authentifizierung (2FA). Auch wenn Passwörter eine klassische Maßnahme für die Verbesserung der Datensicherheit darstellen, sind sie allein nicht das Nonplusultra. Wollen Unternehmen starken Schutz bei der Absicherung ihrer IT, sind sie mit der Nutzung einer Zwei-Faktor-Authentifizierung (2FA) gut beraten. Die 2FA richtet neben dem klassischen Benutzernamen und Passwort einen zweiten, externen Faktor ein, der für ein Login nötig ist. Zum Beispiel in Form eines PIN-Codes, der auf den Telefonen oder Tablets von Nutzern bereitgestellt wird. Durch die doppelte Identifizierung wird sichergestellt, dass der Anwender auch wirklich der ist, der er vorgibt zu sein. Das schützt die Geräte von Mitarbeitern vor unerlaubten Zugriffen auf Netzwerke, Dienste und Daten.

Eine weitere Möglichkeit sind sogenannte Dongles, beispielsweise in Form eines USB-Sticks, die Zugriff auf Daten oder das Firmennetz gewähren. Auch durch Token, also kleine Geräte, die einen zeitlich begrenzten Code generieren, kann die Sicherheit erheblich erhöht werden. Bei beiden Methoden sollte beachtet werden, dass die Kosten für Anschaffung und Betrieb proportional mit der Anzahl an Geräten steigen: Je mehr Computer und mobile Endgeräte, desto teurer wird es. Zudem geht diese Art von Hardware schnell mal verloren. Besonders für große Unternehmen rechnet sich daher eine Authentifizierungsmethode via Software. Denn neben den geringeren Anschaffungskosten ist auch die Administration durch eine Software-Lösung einfacher. Sie macht eine unkomplizierte Verwaltung der Zugänge zu den firmeneigenen Netzwerken oder Diensten durch den IT-Administrator möglich. Das rasche Hinzufügen von neuen Accounts und die Überwachung von Zugriffsrechten sind hier ohne weiteres und unkompliziert möglich.

Eine gute Absicherung der IT bedarf einiger Komponenten, die über einen einfachen Virenschutz hinausgehen. Behält man die Anforderungen bei der Auswahl einer Security-Software im Kopf, schützt das Unternehmen Fileserver sowie Endgeräte und schont zudem die Ressourcen seiner Mitarbeiter und Systeme. (ak)

Autor: Thomas Uhlemann, Security Specialist bei ESET.

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags