Foto: Fritz & Macziol

Trusted Ownership

Abhilfe gegen Kryptotrojaner

Seit mehreren Jahren treiben Ransomwares und Kryptotrojaner ihr Unwesen. Sie dringen heimlich in Systeme ein, verschlüsseln Daten und erpressen Lösegeld. Herkömmliche Antivirensysteme stehen der Gefahr oft machtlos gegenüber. Aber ein wirkungsvolles Gegenmittel steht bereit: das Trusted-Ownership-Prinzip.

Im Jahr 2005 wurde die erste moderne Ransomware namens „Gpcoder“ entdeckt. Brisant wurde das Thema aber erst Anfang 2016, als das Hollywood Presbyterian Medical Center in den USA dem „Locky-Trojaner“ zum Opfer fiel. Die Zahl der jährlich entdeckten Ransomwares steigt seit 2012 enorm an. Im ersten Quartal 2016 existierten bereits um die 14 verschiedene Versionen. Die wohl bekanntesten heißen „Locky“, „Crypto.locker“ und „Hydracrypt“.

Erheblicher Schaden möglich

Laut Studien, etwa von Intel Security und Bitkom, bestehen in Unternehmen noch immer Sicherheitslücken, über die Viren leicht in die Systeme eindringen können. Da sich Viren ständig verändern, übersehen herkömmliche Antivirensysteme viele „Zero-day Exploits“. Mittels Heuristik-Scans, also Mutmaßungen anhand bekannter Bedrohungen, lassen sich lediglich 70 Prozent der unbekannten Schädlinge herausfiltern. Eingang finden Viren meist als harmlos aussehender E-Mail-Anhang oder über eine infizierte Website.

Sehr unvorteilhaft für die IT-Abteilung ist dabei: Verschlüsselungstrojaner benötigen keinerlei administrative Berechtigungen. Jeder Nutzer kann also erheblichen Schaden für sich und sein Unternehmen anrichten. Bisher ist es nur wenigen Software-Herstellern gelungen, nicht authentifizierten Code oder nicht authentifizierte Programme an der Ausführung zu hindern und somit eine Verschlüsselung Businesskritischer oder gar lebenswichtiger Daten zu vorzubeugen. Es gibt jedoch eine Möglichkeit, wie man sich sehr zuverlässig vor künftigen Kryptotrojanern schützen kann. Das Zauberwort lautet „Trusted Ownership“. Dadurch lassen sich beispielsweise nur Programme ausführen, welche von einem User der Trusted-Owner-Gruppe auf das System gebracht wurden.

Ein Paradebeispiel für das Trusted-Ownership- Prinzip liefert der Application Manager von Appsense, der Bestandteil der Desktopnow-Suite ist. Der Schutz funktioniert so: Die NTFS-Berechtigungen jeder Datei, die ausgeführt werden soll, werden ausgelesen. Wenn der Besitzer nicht Teil einer zuvor festgelegten Gruppe ist, blockt der Application Manager automatisch die Datei-Ausführung. Man kann die Dateien natürlich auf eine „Allow-Liste“ schreiben oder eine „Self-Authorizing“-Regel einführen, um sie dennoch auszuführen. Es lassen sich aber nicht nur ausführbare Dateien blockieren, sondern auch Programminhalte.

Lücken schließen

Für den Nutzer bleibt der Application Manager völlig transparent. Über eine zentrale Management-Konsole wird ein Agent sowie eine Konfiguration auf jedes Endgerät ausgerollt. Angenommen, ein Nutzer öffnet ein schadhaftes Word-Dokument aus einer E-Mail, welche Makros enthält. Sobald der Nutzer die Freigabe gibt, dieses Makro auszuführen, wird im Hintergrund die Script- Datei mit bösartigem Code durch den Application Manager geblockt.

Das kommt zustande, da jede Datei, die der Nutzer auf das System bringt, sei es mittels E-Mail oder einem USB-Stick, den Nutzer als Besitzer der Datei festlegt. Da die Nutzer aber nicht in der Trusted-Ownership-Liste stehen, wird die Ausführung verhindert. Trotz täglicher Backups, Sensibilisierung der Nutzer und einem stets aktuellen Antivirensystem besteht immer noch kein vollständiger Schutz vor Kryptotrojanern. Das Trusted-Ownership-Prinzip kann diese Lücke jedoch weitestgehend schließen. Dennoch sollte zusätzlich immer ein Security Tool genutzt werden.

Michael Groß, Citrix Consultant, Fritz & Macziol

Foto: Trend Micro

Ransomware

Niemals auf Cyber-Erpresser eingehen!

Ransomware und kein Ende – immer wieder gibt es Nachrichten zu neuen Varianten der Erpresser-Software und deren Opfern. Sicherheitsexperte Udo Schneider vom IT-Sicherheitsanbieter Trend Micro erklärt in einem Kommentar, wie man darauf richtig reagiert.

Foto: Kaspersky Lab ZAO/ securelist.com

Operation Roter Oktober

Cyberspionage-Angriffe auf Regierungen

Kaspersky Lab hat Details über eine Cyberspionage-Kampagne veröffentlicht, die sich seit mindestens fünf Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern richtet.

Foto: Pixaby

Malware legt Klinik lahm

Handarbeit statt Hightech

IT-Verantwortliche von Krankenhäusern sollten dringend auf Backups achten - oder Bitcoins kaufen, um Erpresser schnell auszahlen zu können. Denn aktuelle Vorfälle zeigen: Auf Krankenhäuser spezialisierte Schädlinge testen die Aufmerksamkeit des Personals.