Abhilfe gegen Kryptotrojaner

Im Jahr 2005 wurde die erste moderne Ransomware namens „Gpcoder“ entdeckt. Brisant wurde das Thema aber erst Anfang 2016, als das Hollywood Presbyterian Medical Center in den USA dem „Locky-Trojaner“ zum Opfer fiel. Die Zahl der jährlich entdeckten Ransomwares steigt seit 2012 enorm an. Im ersten Quartal 2016 existierten bereits um die 14 verschiedene Versionen. Die wohl bekanntesten heißen „Locky“, „Crypto.locker“ und „Hydracrypt“.

Laut Studien, etwa von Intel Security und Bitkom, bestehen in Unternehmen noch immer Sicherheitslücken, über die Viren leicht in die Systeme eindringen können. Da sich Viren ständig verändern, übersehen herkömmliche Antivirensysteme viele „Zero-day Exploits“. Mittels Heuristik-Scans, also Mutmaßungen anhand bekannter Bedrohungen, lassen sich lediglich 70 Prozent der unbekannten Schädlinge herausfiltern. Eingang finden Viren meist als harmlos aussehender E-Mail-Anhang oder über eine infizierte Website.

Sehr unvorteilhaft für die IT-Abteilung ist dabei: Verschlüsselungstrojaner benötigen keinerlei administrative Berechtigungen. Jeder Nutzer kann also erheblichen Schaden für sich und sein Unternehmen anrichten. Bisher ist es nur wenigen Software-Herstellern gelungen, nicht authentifizierten Code oder nicht authentifizierte Programme an der Ausführung zu hindern und somit eine Verschlüsselung Businesskritischer oder gar lebenswichtiger Daten zu vorzubeugen. Es gibt jedoch eine Möglichkeit, wie man sich sehr zuverlässig vor künftigen Kryptotrojanern schützen kann. Das Zauberwort lautet „Trusted Ownership“. Dadurch lassen sich beispielsweise nur Programme ausführen, welche von einem User der Trusted-Owner-Gruppe auf das System gebracht wurden.

Ein Paradebeispiel für das Trusted-Ownership- Prinzip liefert der Application Manager von Appsense, der Bestandteil der Desktopnow-Suite ist. Der Schutz funktioniert so: Die NTFS-Berechtigungen jeder Datei, die ausgeführt werden soll, werden ausgelesen. Wenn der Besitzer nicht Teil einer zuvor festgelegten Gruppe ist, blockt der Application Manager automatisch die Datei-Ausführung. Man kann die Dateien natürlich auf eine „Allow-Liste“ schreiben oder eine „Self-Authorizing“-Regel einführen, um sie dennoch auszuführen. Es lassen sich aber nicht nur ausführbare Dateien blockieren, sondern auch Programminhalte.

Für den Nutzer bleibt der Application Manager völlig transparent. Über eine zentrale Management-Konsole wird ein Agent sowie eine Konfiguration auf jedes Endgerät ausgerollt. Angenommen, ein Nutzer öffnet ein schadhaftes Word-Dokument aus einer E-Mail, welche Makros enthält. Sobald der Nutzer die Freigabe gibt, dieses Makro auszuführen, wird im Hintergrund die Script- Datei mit bösartigem Code durch den Application Manager geblockt.

Das kommt zustande, da jede Datei, die der Nutzer auf das System bringt, sei es mittels E-Mail oder einem USB-Stick, den Nutzer als Besitzer der Datei festlegt. Da die Nutzer aber nicht in der Trusted-Ownership-Liste stehen, wird die Ausführung verhindert. Trotz täglicher Backups, Sensibilisierung der Nutzer und einem stets aktuellen Antivirensystem besteht immer noch kein vollständiger Schutz vor Kryptotrojanern. Das Trusted-Ownership-Prinzip kann diese Lücke jedoch weitestgehend schließen. Dennoch sollte zusätzlich immer ein Security Tool genutzt werden.

Michael Groß, Citrix Consultant, Fritz & Macziol