Effektiver Schutz vor Ransomware und Datenverlust
Use Cases für den effektiven Einsatz der DriveLock Zero Trust Platform
Bedrohungen und Angriffsstrategien
Die Anzahl an erfolgreichen Cyberangriffen und die Bedrohung, die sich dadurch ergibt, hat in den letzten beiden Jahren deutlich zugenommen. Dafür gibt es verschiedene Gründe:
Lukratives Business Modell:
Angreifer fordern von Unternehmen hohe Beträge, damit diese wieder den Zugriff auf zuvor verschlüsselte Daten erhalten. Inzwischen wird auch mit der Veröffentlichung von Daten gedroht, wird in einer bestimmten Frist kein Lösegeld bezahlt. Es gibt keine exakte Zahl, die angibt, wie viel Geld Angreifer durch Cyberangriffe in den letzten Jahren verdient haben. Aber laut Schätzungen von Experten lag die Gesamtsumme allein in Deutschland in 2020 bei über 200 Milliarden Euro. Dabei ist die durchschnittliche Größe der erzielten Lösegelder eines Ransomware-Angriffs weltweit inzwischen auf über 800.000 US Dollar gestiegen (Quelle: The State of Ransomware 2022, Sophos)
Cyberangriff als professionelle Dienstleistung:
Die neuesten Entwicklungen zeigen ein weiteres Geschäftsmodell: „Ransomware-as-a-Service“. Dabei spezialisieren sich Gruppen von Angreifern auf einen bestimmten Bereich der Angriffskette, was laut BSI zu einer Verschärfung bzw. Potenzierung der Gefahren führt. Der eigentliche Auftraggeber benötigt damit weder technisches Wissen, noch geht er ein besonderes Risiko ein. Die spezialisierten Gruppen erhalten nach erfolgreicher Durchführung ihrer Dienstleistung einen Fixbetrag, normalerweise in Form von digitaler Währung.
Angriffstechnologien werden fortschrittlicher:
Angreifer nutzen immer fortschrittlichere Technologien, um ihre Angriffe durchzuführen, und es wird immer schwieriger, sie aufzuspüren und zu verhindern. Dabei kommen immer häufiger KI-gestützte Werkzeuge und Methoden zum Einsatz. Die zuvor genannte Spezialisierung unterstützt diese Entwicklung.
IT-Sicherheitsteams sind überlastet:
Die IT-Sicherheitsteams sind oft überlastet und haben Schwierigkeiten, mit der ständig wachsenden Bedrohungslage Schritt zu halten. Der Fachkräftemangel verstärkt dieses Problem und Unternehmen finden kein Personal mit dem notwendigen Fachwissen.
Es herrscht ein Mangel an Cybersicherheitsbewusstsein:
Viele Unternehmen und Einzelpersonen haben ein mangelndes Bewusstsein für Cybersicherheit und sind sich nicht bewusst, wie sie sich schützen können. Dabei sind gerade die Mitarbeiterinnen und Mitarbeiter ein wichtiger Faktor, um die Erfolgschancen von Cyberangriffen deutlich zu reduzieren.
Geopolitische Situation:
Die weltweite Zunahme von staatlichen Auseinandersetzungen führt zu einem Anstieg von Cyberangriffen auf kritische Infrastrukturen, Behörden und andere staatliche oder bedeutende Einrichtungen. Dabei zielen die Angreifer darauf ab, die Verfügbarkeit der IT-Systeme zu stören und IT-Infrastrukturen lahmzulegen.
Sehen wir uns die inzwischen fast wöchentlich veröffentlichten Cyberattacken genauer an, wird schnell deutlich, dass Angreifer regelmäßig die gleichen Strategien verwenden, um ihre Ziele zu erreichen:
Social-Engineering:
Dabei werden psychologische Tricks verwendet, um Benutzer dazu zu bringen, vertrauliche Informationen wie zum Beispiel Passwörter direkt oder andere Daten preiszugeben, mit denen die eigentlichen Zugangsdaten erlangt werden können. Aber auch die Neugier oder Hilfsbereitschaft wird ausgenutzt, um zu erreichen, dass zum Beispiel manipulierte USB-Sticks an einen Arbeitsplatzrechner angeschlossen werden.
Phishing:
Phishing umfasst die Verwendung von gefälschten E-Mails, Websites und anderen Online-Methoden, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben oder unerwünschte Software (Ransomware oder Malware) zur Ausführung zu bringen. Auch hier wird auf Psychologie und Social-Engineering Methoden zurückgegriffen. Inzwischen werden täuschend echte Phishing E-Mails mit Hilfe Künstlicher Intelligenz schnell und auf die Zielperson angepasst erstellt.
Drive-By Infektionen mittels Exploit-Kits:
Exploit-Kits gehören seit mehreren Jahren ebenfalls zu den Infektionsvektoren für Schadsoftware. Gern werden in der ersten Angriffsphase Phishing E-Mails verwendet, um das Opfer auf eine manipulierte Webseite zu führen. Neue Exploits für Schwachstellen in weit verbreiteten Programmen werden in Exploit-Kits integriert und zur Verteilung von Ransomware oder anderen Schadprogramm-Typen verwendet. Auch andere Schwachstellen in nicht aktueller Software wie dem Browser oder dem Flash Player werden ausgenutzt.
Supply Chain Angriff:
Ein Softwarehersteller liefert über seine Lieferkette Software an Wiederverkäufer, Partner und Endkunden aus. Wurde die Original-Software bereits beim Hersteller manipuliert und Schadcode eingebracht, wird diese Schwachstelle an alle nachgelagerten Unternehmen weitergegeben, welche die Software einsetzen. Auch hier besteht der erste Angriffsschritt oft darin, Personen im Unternehmen mit Phishing-E-Mails oder Social-Engineering zu überlisten, damit diese Zugangsdaten preisgeben. Im Idealfall findet der Angreifer dann ein besonders privilegiertes aber schlecht geschütztes Konto mit weitreichenden Befugnissen. Wahrscheinlicher ist es jedoch, dass er mehrere Wochen mit sehr vorsichtigen Einzelschritten zubringt, um sein Ziel unentdeckt zu erreichen. Dabei kommen fortschrittliche Angriffswerkzeuge und speziell an das Ziel angepasste Tools zum Einsatz.
Angriffsbeispiele
Die folgenden Beispiele zeigen deutlich, wie erfolgreich die zuvor beschriebenen Strategien genutzt werden. Dabei sind in den überwiegenden Fällen die gleichen Angriffsmuster und Ursachen zu finden: Es gelingt den Angreifern, Schadsoftware auszuführen oder unbefugt Zugriff auf vertrauliche Informationen zu erhalten.
Supply Chain Angriffe
+++ Hackerangriff auf die IHK: Cyberkriminellen gelang es im August 2022 die IT-Systeme der IHK-GfI, dem bundesweiten IT-Dienstleister für die IHK, zu infiltrieren. Nicht nur im Ruhrgebiet hatten dann seitdem einige Online-Dienste oder die Telefonleitungen und E-Mails regionaler IHK-Standorte nicht mehr funktioniert. Deutschlandweit waren mehrere Industrie- und Handelskammern außer Gefecht gesetzt, erst nach und nach wurden ihre IT-Systeme schrittweise und kontrolliert wieder hochgefahren. Dabei handelt es sich nach Angaben des zuständigen Staatsanwaltes um einen extrem professionell durchgeführten Angriff.
+++ SolarWinds: Im Dezember 2020 wurde bekannt, dass durch eine Sicherheitslücke in der Netzwerkmanagement-Software von SolarWinds mehrere Regierungsbehörden und Unternehmen angegriffen wurden. Der Angriff war auch deshalb so erfolgreich, weil die Angreifer fast keine traditionellen Indikatoren für eine Kompromittierung hinterlassen haben.
+++ CCleaner-Angriff: Im Jahr 2017 wurde bekannt, dass eine beliebte Systemoptimierungssoftware namens CCleaner von Hackern modifiziert wurde, um Schadcode auf den Computern von Millionen von Benutzern zu verbreiten.
Angriffe auf Behörden und Bildungseinrichtungen
Behörden werden immer häufiger ein beliebtes Angriffsziel von Cyber-Kriminellen (Quelle: Behördenspiegel). Die Übeltäter erlangen dabei in den meisten Fällen Zugriff auf sensible Daten, indem sie ahnungslose Behördenmitarbeiter gezielt täuschen: Neun von zehn Cyberangriffen starten mit einer personalisierten Phishing-Mail an Mitarbeiter. Die Angreifer verschlüsseln daraufhin wichtige Behördendaten und verlangen enorme Lösegelder für die Entschlüsselung.
+++ Weitere Uni im Ruhrgebiet von Hackerangriff betroffen: Am 1. Februar 2023 ist die Hochschule Ruhr West in Bottrop und Mülheim Opfer eines Hackerangriffs geworden. Aus Sicherheitsgründen wurden am Mittag alle Systeme vom Netz getrennt. Studierende können deswegen beispielsweise nicht mehr auf die Kursmaterialien auf der Online-Plattform zugreifen.
+++ Angriffe auf Universitäten: Im Januar 2023 werden sowohl die Uni Duisburg-Essen als auch die Hochschule in Hamburg von Cyberkriminellen angegriffen. Dabei werden vertrauliche Daten erbeutet, die inzwischen teilweise im Darknet veröffentlicht wurden.
+++ Cyberangriff auf deutsche Behörden und Einrichtungen: Die Bundesregierung hat im Mai 2022 eine Serie von Cyberangriffen auf deutsche Behörden und Ministerien bestätigt. Es sollen aber keine Schäden entstanden oder Daten abgeflossen sein. Eine russische Gruppe hatte sich zu den Taten bekannt.
+++ Daten des Frauenhofer-Institutes für 2,2 Mio Euro im Darknet angeboten: Nach einem Angriff auf das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) in Halle wurden im Mai 2022 vermutliche Daten aus dem Angriff für 2,2 Mio Euro im Darknet angeboten. Das Institut ging nicht auf die Forderungen ein, der Angriff fand möglicherweise bereits im April 2022 statt.
+++ Cyberkriminelle attackieren die Gemeindeverwaltung Kammeltal: Im Mai 2021 waren sämtliche Rechner im Rathaus von einem Trojaner infiziert, Dokumente wurden verschlüsselt. Nur gegen Bezahlung von Lösegeld gaben Erpresser die vollständigen Daten heraus.
+++ Hacker greifen das Rathaus an: Die Stadtverwaltung Langenhagen wurde im Mai 2020 Ziel eines Hackerangriffs. Die Angreifer hatten eine E-Mail an Mitarbeiter geschickt. Diese wurden so zum Herunterladen von schädlichen Computercodes, die beispielsweise Betriebssysteme befallen oder Computersysteme beschädigen können, bewegt.
Angriffe auf die Industrie
Risiken für industrielle Produktions- und Kontrollsysteme (ICS) resultieren aus Bedrohungen, die aufgrund existierender Schwachstellen dem ICS und damit einem Unternehmen Schaden zufügen können. Die kritischen und am häufigsten auftretenden Bedrohungen für ICS stellt das BSI jährlich zusammen: Auf Platz 1 rangiert das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware (z. B. Bad-USB).
Prominentestes Beispiel: Der sogenannte Stuxnet-Angriff erfolgte über einen Wechseldatenträger (USB-Drop Attack). Er war so invasiv, da er durch Weitergabe über USB-Sticks industrielle Systeme infiltrierte und dabei wiederum dort angesteckte USB-Sticks befallen wurden. Da diese an anderen Systemen wieder benutzt wurden, konnte sich die Schadsoftware großflächig ausbreiten.
+++ T-Mobile, USA: Hacker haben im Januar 2023 in den Vereinigten Staaten die Daten von 37 Millionen Nutzern des Mobilfunkanbieters T-Mobile erbeutet. Offenbar begann der Hackerangriff bereits Ende November. Die Ermittlungen zu der Cyberattacke dauern noch an. Der zum Deutschen Telekom-Konzern gehörende US-Mobilfunkanbieter schloss aber nicht aus, dass durch den Vorfall hohe Kosten entstehen könnten. Es war nicht der erste erfolgreiche Angriff auf das Unternehmen.
+++ Hackerangriff auf Thyssen-Krupp: Nach eigenen Angaben ist die Werkstoffsparte sowie die Konzernleitung im Dezember 2022 Ziel eines Hackerangriffs geworden.
+++ Regionaler Energieversorger Enercity: Einer von Deutschlands größten Energieversorgern hat im November 2022 mit den Folgen eines Cyberangriffs zu kämpfen. Davon betroffen waren auch der Mail- und Telefonverkehr der Firma aus Hannover. Der Hackerangriff hat weiterhin die Verbindung zum Zahlungssystem gekappt und damit wichtige Operationen im Unternehmen eingeschränkt.
+++ Essensdienst Apetito: Die IT-Systeme der Apetito AG, eines großen Essenslieferanten für Seniorenheime, Schulen und Kitas, wurden im Juni 2022 durch einen Cyberangriff lahmgelegt.
+++ Produktion bei Fendt lahmgelegt: Ein Ransomware Cyberangriff legt im Mai 2022 die komplette Produktion beim Traktorenhersteller Fendt lahm. Am Fendt-Stammsitz in Marktoberdorf standen die Bänder nach einer Cyberattacke still.
Angriffe auf Krankenhäuser oder soziale Einrichtungen
+++ Medibank, Australien: Im November 2022 sind nach einem Hackerangriff auf den größten australischen Krankenversicherer Patientendaten im Darknet gefunden worden. Die Kriminellen veröffentlichten Teilinformationen über Abtreibungen und Behandlungen gegen Drogensucht. Die Hacker erpressten die betroffene Krankenversicherung und verlangten nach Angaben des Geschädigten 9,7 Millionen australische Dollar (rund 6,2 Millionen Euro). Die Versicherung lehnte die Zahlung eines Lösegelds für die Rückgabe der gestohlenen Daten aber ab.
+++ Caritasverband der Erzdiözese München und Freising: Im September 2022 erfolgte ein Ransomware Angriff auf die zentralen IT-Systeme des größten oberbayerischen Sozialverbandes, verbunden mit einer Lösegeldforderung in unveröffentlichter Höhe. Der Verband entschloss sich, nicht auf diese Forderung einzugehen und eine alternative Infrastruktur aufzubauen.
+++ Internationales Rotes Kreuz: Bei einem Cyberangriff auf die Organisation haben Hacker mehr als 500.000 Datensätze mit Informationen über besonders schutzbedürftige Personen erbeutet. Die Hacker hatten es auf ein externes Unternehmen in der Schweiz abgesehen, welches im Auftrag des IKRK Daten speicherte. Diese stammen von rund 60 nationalen Dienststellen des Roten Kreuzes und des Roten Halbmondes.
+++ Die Urologische Klinik in Planegg: Die Klinik ist im Januar 2021 Ziel eines Hacker-Angriffs geworden. Die Täter haben dabei offenbar Einblicke in sensible medizinische Patientendaten bekommen. Die Angreifer nutzten Ransomware. Die Schadprogramme verschlüsselten einige IT-Systeme der Klinik, eine Entschlüsselung sollte nur gegen Zahlung einer unbekannten Summe erfolgen.
+++ Ransomware Angriff auf die Uni-Klinik Düsseldorf: Im September 2020 wurde die Universitätsklinik Düsseldorf Opfer einer Hackerattacke – wohl aus Versehen, aber mit weitreichenden Folgen: Operationen waren nicht mehr möglich, die Notaufnahme musste schließen, möglicherweise kostete der Angriff sogar einem Menschen das Leben. Der Regelbetrieb war wochenlang gestört. Die Hacker übergaben später ohne Lösegeldzahlung den Wiederherstellungsschlüssel.
Abschließend stellt sich die Frage: Wären diese Angriffe zu verhindern gewesen?
Die einfache Antwort darauf lautet: Ja, mit sehr hoher Wahrscheinlichkeit.
Eine mehrschichtige Sicherheitslösung wie die DriveLock Zero Trust Platform enthält verschiedene Sicherheitsmaßnahmen, die einen erfolgreichen Angriff in fast allen diesen Fällen unterbunden hätte. Je nach Angriffstaktik und Ziel der Angreifer gibt es unterschiedliche Use Cases / Anwendungsfälle, auf die wir in den folgenden Abschnitten eingehen.
Den Verlust von vertraulichen Informationen verhindern
Die einzige und zugleich wirksamste Methode, um vertrauliche Daten vor unbefugtem Zugriff oder ungewollter Veröffentlichung zu schützen, ist Verschlüsselung.
Selbst wenn es Angreifern gelingen sollte, unbemerkt in IT-Systeme einzudringen und Dateien zu kopieren, bleibt ihnen der Zugang zu verschlüsselten Dateien bzw. Daten verwehrt. Dadurch wird es zwecklos, eine monetäre Forderung zu erheben, damit die Daten nicht im Darknet oder an anderer Stelle öffentlich gemacht werden. Das Geschäftsmodell der Angreifer funktioniert nicht mehr.
Die Verschlüsselungsfunktionen von DriveLock
DriveLock schützt ihre Arbeitsplätze durch Festplattenverschlüsselung sicher und rechtskonform. Sie können die in Windows integrierte BitLocker Disk Encryption verwenden und einfach sowie zentral durch DriveLock verwalten, unternehmensweit und ohne großen Aufwand. Zusätzlichen Schutz und Multi-Faktor Authentifizierung bietet unsere DriveLock PBA (Pre-Boot Authentification), welche auch in einem vom BSI für VS-Dokumente zugelassenem Produkt verwendet wird.
Unsere File & Folder Encryption Lösung File Protection verschlüsselt einzelne Verzeichnisse und Dateien auf ihrem Rechner oder zentral auf gemeinsam genutzten Netzwerklaufwerken, ohne das Benutzer ihre gewohnten Arbeitsabläufe verändern müssen.
Externe mobile Datenträger wie zum Beispiel USB-Sticks können durch DriveLock automatisch mit unserer eigenen Container-Verschlüsselung Encryption 2-Go oder über das in Windows verfügbare BitLocker To Go verschlüsselt werden.
Den Ransomware Angriff verhindern
Dateibasierte Schadsoftware
Glaubt man der Statistik, dann gilt Antiviren-Software inzwischen als Standard und ist auf so gut wie jedem Arbeitsplatz aktiv. Die schiere Anzahl an erfolgreichen Angriffen zeigt eindrucksvoll, dass dieser Schutzmechanismus inzwischen so gut wie unwirksam geworden ist und andere Lösungen notwendig sind. Laut AV-Test, einem unabhängigen deutschen Testinstitut, welches auf den Test von Antivirus-Software spezialisiert ist, entstehen pro Tag ca. 450.000 unterschiedliche Schadprogramme. Laut BSI waren es schon vor 2020 mehr als 117 Mio. Programme in nur einem Jahr. Die Erkennung von unerwünschten Programmen kann also nicht mehr funktionieren, sonst wären nicht so viele Angriffe erfolgreich.
Was aber sehr wohl funktioniert, ist die Erkennung von erwünschten, d.h. zugelassenen Anwendungen – sogar sehr zuverlässig und einfach. Und genau das macht unsere Application Control durch das sogenannte Application Whitelisting.
Wie funktioniert Application Whitelisting?
Application Whitelisting stellt die Logik von Antiviren-Software auf den Kopf: Sie legen fest, welche Programme (Anwendungen, Softwarebibliotheken, Skripte etc.) gestartet werden dürfen und das System blockt automatisch die Ausführung aller unbekannten Software. So wird das Zero-Trust Prinzip umgesetzt und nur die wirklich benötigten Applikationen dürfen von autorisierten Benutzern in einer zugelassenen Umgebung verwendet werden. Es ist wie auf der Hochzeitsparty: Nur wer auf der Gästeliste steht, wird auch reingelassen.
Wenn nur zugelassene Software und Anwendungen ausgeführt werden dürfen, hat Malware oder Ransomware keine Chance mehr!
Doch DriveLock Application Control kann noch mehr und bietet auch die Möglichkeit, gezielt Anwendungen zu sperren – auf Wunsch auch nur temporär oder für bestimmte Benutzergruppen. Das ist hilfreich, wenn eine Schwachstelle in einer Programmversion oder Software (siehe Supply-Chain Angriff) bekannt wird und verhindert werden soll, dass ein Angreifer diese zu seinem Vorteil ausnutzt.
Wie wird Application Whitelisting mit DriveLock konfiguriert?
Um Application Whitelisting bei Ihnen einzurichten, müssen Sie in der DriveLock Konsole nur wenige Einstellungen in den Richtlinien vornehmen.
Ist die Konfiguration nicht sehr aufwendig?
Nein, die Konfiguration ist einfach. Um den Aufwand für Application Whitelisting mit DriveLock im laufenden Betrieb zu reduzieren und zu vereinfachen, gibt es verschiedene Optionen:
-
Einbindung eines Software-Deployment-Agenten
Sie können Software-Verteilungssysteme, Patch-Management-Systeme und Stand-Alone-Updater in DriveLock Application Control integrieren und als zulässige Installationsquellen definieren. Über diese vertraute Quellen installierte Anwendungen dürfen verwendet werden. Somit reduzieren Sie den administrativen Aufwand signifikant.
-
Einbindung einer vertrauenswürdigen Dateiablage
Um die Anwendungskontrolle weiter zu vereinfachen, können Sie Dateispeicher bzw. -verzeichnisse (zentrale Shares oder lokale Verzeichnisse), aus denen die Anwendungen ausgeführt werden dürfen, als vertrauenswürdige Quelle einstufen. Somit entfällt eine manuelle Konfiguration in diesen Fällen.
-
Temporäre Freischaltung
Das Konfigurieren einer temporären Freischaltung Ihres lokalen Rechners für manuelle Software-Installationen entlastet ihr IT-Fachpersonal. IT-Abteilungen haben die Möglichkeit, Verantwortung an die Mitarbeitenden abzugeben und müssen nicht bei jeder Softwareinstallation hinzugezogen werden. Mitarbeitende können mit entsprechender Berechtigung Software installieren, ohne auf die Bestätigung durch das IT-Team warten zu müssen. Die IT-Verantwortlichen überprüfen anschließend an zentraler Stelle, welche Anwendungen durch Selbstfreigaben installiert und gestartet wurden.
DriveLock Insights
In diesem Video-Interview erklären wir Applikationskontrolle.
Erfahren Sie, wie Sie mit Application Whitelisting zuverlässig die Ausführung unbekannter und unerwünschter Programme verhindert.
Dateilose Angriffstaktiken
Supply-Chain Angriffe zeigen, dass Angreifer neben dateibasierter Schadsoftware immer häufiger systemeigene und schon vorhandene Tools und Skripte nutzen, diese missbrauchen und für ihre Zwecke umfunktionieren. Diese Angriffe lassen sich verhindern, wenn die auf der Whitelist erlaubten Anwendungen inklusive der Windows eigenen Skripte in ihrer Nutzung durch sogenannte Anwendungsberechtigungen eingeschränkt werden.
Welche Methoden nutzen Angreifer, die Anwendungsberechtigungen verhindert hätten?
Laut dem Red Canary Threat Detection Report 2021 wird bei 75% der von ihnen untersuchten Angriffen einer der folgenden drei Programme verwendet: PowerShell, CMD und RunDLL32. Es ist jedoch nicht möglich, die Ausführung dieser Programme grundsätzlich zu verbieten, da sonst Windows selbst nicht mehr funktionieren würde.
Dieses Problem löst DriveLock Application Behavior Control, Bestandteil unserer Applikationskontrolle.
Anwendungsfälle
Alle nachfolgend beschriebenen Anwendungsfälle lassen sich unkompliziert im DriveLock Regelwerk abbilden.
Weitere Infos finden Sie in unserer Online-Dokumentation.
-
Unbefugte Ausführung von PowerShell unterbindenSie verhindern, dass Ihr Browser PowerShell startet und so womöglich Schadsoftware auf den Computer gelangt. Dazu erstellen Sie mit DriveLock eine Regel, die verbietet, dass ihr Browser oder ein von ihm gestarteter Prozess PowerShell ausführt.
-
Den Start von unerwünschten Subsprozessen (Childprozessen) verhindern
Der Missbrauch untergeordneter Prozesse ist eine gängige Malware-Strategie. Malware, die Microsoft Office-Dokumente als Vektor missbraucht, nutzt häufig VBA-Makros und Exploit-Code, um zusätzliche Nutzlasten herunterzuladen und auszuführen. Diese Line-of-Business-Anwendungen können jedoch auch untergeordnete Prozesse für harmlose und notwendige Zwecke starten, wie z.B. das Auslösen einer Eingabeaufforderung oder die Verwendung von PowerShell zur Konfiguration von Registrierungseinstellungen.
Innerhalb der DriveLock Application Control erstellen sie unter Application Behavior Control eine Anwendungsregel. -
Das Laden einer DLL einschränken
Sie legen fest, dass Dynamic Link Libraries (DLLs) nur aus bestimmten Verzeichnissen geladen werden dürfen. Sie wollen dadurch verhindern, dass der Windows Media Player weitere DLLs von Netzlaufwerken lädt.
Mit DriveLock erstellen sie einfach eine Regel dafür. -
Die Ausführung von ungewünschten Skripte unterbinden
Sie unterbinden, dass ihr Browser VB-Skripte (*.vbs) ausführt. Das Einschränken der Ausführung von Skripten ermöglicht Unternehmen ein hohes Maß an Sicherheit. DriveLock bietet Ihnen hierfür einen ganzheitlichen Ansatz und volle Konfigurierbarkeit. Sie können die Ausführung von Skriptdateien anhand
• eines Hashwertes,
• einer digitalen Signatur,
• eines Pfades oder
• eines Dateieigentümers erlauben.
Die Skripte und deren Interpreter können jederzeit erweitert werden. Sie konfigurieren mit DriveLock beispielweise das Whitelisting von .BAT-Dateien. Dies kann nach Belieben mit .CMD-Dateien erweitert werden. Die Vorgehensweise ist für jede Art von Datei, die von einer Anwendung interpretiert wird, wie z. B. PS1, VBS, JS, HTA, JAR usw. gleich. -
Verzeichniszugriff für bestimme Anwendungen einschränken
Sie stellen sicher, dass nur Ihre eigene Bankensoftware Dateien innerhalb eines bestimmten Verzeichnis lesen kann. Für andere Anwendung verbieten Sie den Lesezugriff auf diesen Ordner, denn es wäre möglich, dass Malware über eine Sicherheitslücke im Browser aus diesem Verzeichnis Ihre Bankdaten ausliest.
Konfigurieren Sie dazu eine entsprechende Regel mit DriveLock. -
Schreibzugriff auf bestimme Verzeichnisse unterbinden
Sie legen fest, dass ein bestimmter Browser (Google Crome, Mozilla Firefox) nicht in den Ordner "Dokumente" schreiben darf. Da Sie dies für alle Benutzer und nicht nur für einige Benutzer festlegen, arbeiten Sie hier bei der Regelerstellung mit sog. Platzhaltern.
-
Zugriff auf die Registry einschränken
Sie möchten den Registry-Zugriff für Ihre Bankensoftware aus Anwendungsfall 5 steuern. Kein Problem: Mit DriveLock erstellen Sie zwei Anwendungsberechtigungen, damit nur die Banksoftware.exe die Registry im angegebenen Bereich lesend zugreifen darf. (Bsp.: HKEY_CURRENT_USER\SOFTWARE\Bank Software\)
-
Angriffe anhand von vordefinierten Regeln erkennen
DriveLock bietet Regeln, die auf dem MITRE ATT&CK™-Framework basieren. Dieses Framework ist eine weltweit zugängliche Wissensbasis für Taktiken und Techniken. Die ATT&CK-Wissensbasis dient als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung sowie in der Cybersecurity Produkt- und Service-Community.
Sie können diese vordefinierten Regeln einmalig in ihr Regelwerk importieren. Der Zweck dieser Regeln besteht nicht darin, Aktionen zu blockieren oder zu erlauben, sondern einfach bestimmte Ereignisse auf dem jeweiligen Computer zu melden, die dann von den Ereignisfiltern und Alarmen verarbeitet werden.
Angriffe über Datenträger und externe Geräte
Externe mobile Datenträger werden ebenfalls für Angriffe auf ein Zielsystem verwendet. Dabei muss der Angreifer nicht einmal selbst vor Ort sein. Laut einer Google Research Studie mit dem Titel „Users Really Do Plug in USB Drives They Find” werden 45% aller gefundenen USB-Sticks auch wirklich eingesteckt, um nachzusehen was auf dem Laufwerk enthalten ist. Steht „Confidential“ auf dem Stick, sind es sogar 50%.
Eine der Säulen jeder Zero-Trust-Sicherheitsstrategie ist es, externe Speicherlaufwerke standardmäßig zu verweigern und nur bestimmte Laufwerke bei Bedarf und für autorisierte Benutzer zuzulassen. DriveLock Device Control überwacht und steuert den Datenfluss von Datenträgern, Laufwerken und externen Geräten. Auch hier wird wie beim Application Whitelisting der Ansatz verfolgt, alles zu verweigern, was nicht explizit zugelassen wurde.
Der Zugriff auf externe Laufwerke wird protokolliert und der Zugriff auf Dateien, die gelesen und geschrieben werden, wird ebenfalls überwacht.
Anwendungsfälle
-
Datenverlust oder das Einschleusen von Malware über externe Laufwerke stoppen
Um die Verwendung von externen Laufwerke zu genehmigen, verwenden Sie entweder Regeln für bestimmte Hersteller-/Produkt-IDs oder Regeln für eine sogenannte Laufwerksammlung (Drive Collection).
Mit einer Hersteller-/Produkt-ID-Regel können Sie z.B. Folgendes zulassen:
• Nur Laufwerke eines bestimmten Herstellers
• Ein bestimmtes Produkt eines bestimmten Herstellers
• Ein Laufwerk mit einer spezifischen Hersteller-ID, Produkt-ID und Seriennummer
• Mehrere Laufwerke mit der gleichen Hersteller-ID und Produkt-ID, aber unterschiedlichen Seriennummern
Eine Drive Collection-Regel ist die Genehmigung einer Zusammenstellung von externen Laufwerken mit bestimmten Hersteller-IDs, Produkt-IDs und Seriennummern. -
Den Import von Bilddateien über die USB-Schnittstelle zulassen
Sie geben über die zentrale Richtlinie für externe USB-Laufwerke die Verwendung von USB-Geräten grundsätzlich frei, aktivieren jedoch zusätzlich noch den in Device Control integrierten Dateifilter. Dort legen sie fest, dass nur Dateien von dem externen Medium gelesen werden dürfen und verhindern somit, dass Daten auf dieses Medium gelangen.
Weiter stellen sie den Dateifilter so ein, dass er jede Datei prüft und nur von ihnen zugelassene Dateiformate durchlässt, in diesem Fall nur JPEG- oder PNG-Dateien.
Sie erleichtert die Verwaltung und Zulassung neuer Laufwerke, indem sie diese nur der vorhandenen Collection hinzufügen müssen. -
Bluetooth Devices verwalten und zulassen
Ein Beispiel für die portbasierte Steuerung ist die Steuerung von Bluetooth-Geräten. Sie können z.B. einen Logitech Spotlight Bluetooth-Präsentationsstick auf die Whitelist setzen.
Mit DriveLock sind detaillierte Einstellungen für die Verbindung von Geräten über Bluetooth möglich. So lassen sich zum Beispiel Kopplungen mit neuen Geräten vollständig unterbinden oder auf gewünschte Bluetooth-Dienste wie zum Beispiel Audio-Streaming oder Dienste, die für HID-Geräte wie Stifte und Tastaturen benötigt werden, einschränken. Die Synchronisation von Kontaktdaten oder die Übertragung von Dateien kann somit wirksam unterbunden werden.
Aktivieren Sie zusätzlich den Lernmodus Predictive Whitelisting, um alle Geräte dieses Typs automatisch auf die Whitelist setzen zu lassen, wenn er eingebaut oder angeschlossen ist, sobald der Client-Computer neu gestartet wird. Dadurch werden die integrierten Bluetooth-Controller für diesen Client-Computer ohne manuellen Eingriff zugelassen.
-
Angriffe über Bad-USB Sticks unterbinden
Stellen Sie sich vor, Sie würden ein scheinbar harmloses USB-Laufwerk an den Computer einstecken und damit im Hintergrund eine Schadsoftware installieren, die Dokumente kopiert, Passwörter stiehlt oder andere Angriffe durchführt. All dies lässt sich mit zuvor gelernten Tasteneingaben bewerkstelligen. Wenn Sie direkt vor diesem Computer sitzen, über ein fotografisches Gedächtnis verfügen und einige ausgeklügelte Skripte bzw. Tools haben, bräuchten Sie nur wenige Minuten. Ein Bad-USB Gerät kann genau das, in Sekunden. Es gibt sich einfach als Tastatur aus und injiziert Tastatureingaben, als ob ein Benutzer auf der Tastatur tippen würde. So werden Befehle automatisch ausgeführt und Programme gestartet, die den eigentlichen Angriff durchführen.
DriveLock Device Control kontrolliert diese sog. Human Interface Devices (HIDs) durch Geräte-Whitelisting. Es erlaubt den Zugriff auf neu angeschlossene HIDs nur dann, wenn der Benutzer eine angezeigte Nutzungsrichtlinie akzeptiert, nachdem er sich mit seinem Domänenpasswort authentifiziert hat.
Zusammen mit der Application Control bietet DriveLock so einen effektiven Schutz vor diesen heimlichen Angriffen. -
Externe Wechseldatenträger verschlüsseln
Zusätzlich zur Device Control bietet DriveLock eine zuverlässige Verschlüsselung externer Laufwerke. Mit Encryption 2-Go haben Sie die Wahl, Ihre Daten auf Wechseldatenträgern entweder mit einer Container-Verschlüsselung oder mit einer ordnerbasierten Verschlüsselung zu schützen. Optional können sie dafür auch die in Windows integrierte Datenverschlüsselung BitLocker To Go verwenden.
Damit stellen Sie sicher, dass Ihre vertrauenswürdigen Daten auch dann geschützt sind, wenn sie über mobile Speichermedien wie USB-Laufwerke das Unternehmen verlassen. Gleichzeitig erfüllen Sie die gesetzlichen Anforderungen zum Schutz der Vertraulichkeit und Integrität ihrer Daten.
Encryption 2-Go bietet ein vollwertiges Verschlüsselungsmanagement-Tool für externe Medien:
• Verschlüsselung von Dateien auf externen Speichermedien (USB-Sticks und externe Festplatten)
• Erzwungene Verschlüsselung gemäß Unternehmensrichtlinien
• Konfigurierbare Benutzerauswahldialoge beim Einstecken von externen Laufwerken
Das Sicherheitsbewusstsein stärken
Anlassbezogene Security Awareness Hinweise sind gerade in Zeiten mit Home-Office sehr wichtig, wenn Benutzer getrennt voneinander arbeiten und bei zweifelhaften E-Mails nicht direkt bei Ihren Kollegen oder der IT nachfragen.
Anwendungsfälle
-
Security-Awareness-Kampagne beim Start von Outlook anzeigen
Wird eine neue Applikation gestartet, überprüft DriveLock, ob es sich um eine sichere Anwendung handelt, zeigt bei Bedarf eine kurze Security-Kampagne zum Thema „Umgang mit neuen Anwendungen“ an und gibt so wichtige Sicherheitshinweise.
Um alle 14 Tage bei jedem Outlook-Start einer Person eine bestimmte Security-Awareness-Kampagne anzuzeigen, erstellen sie eine Dateieigenschaftsregel und fügen dort die Ausführung der Kampagne hinzu. -
Security-Awareness-Kampagne kurz nach dem Login anzeigen
Alle E-Learning Plattformen haben ein Problem gemeinsam: Eine Benutzerin oder ein Benutzer muss selbst tätig werden und über die Plattform den dort angebotenen Inhalt abrufen. Das geschieht oft nur nach wiederholter Aufforderung bzw. nach Androhung von erzieherischen Maßnahmen.
Mit DriveLock lösen sie dieses Problem auf einfache Weise. Optisch ansprechende und didaktisch aufbereitete Multimedia-Kampagnen werden kurz nach dem Login automatisch gestartet und in einem eigenen Fenster angezeigt.Dabei stehen unterschiedliche Formate in verschiedene Längen zur Verfügung – vom kurzen Micro-Learning bis hin zu ausführlichen Trainings und dazu passenden Tests.
Das DriveLock Operations Center bietet eine zentrale Auswertung und Konfiguration dieser Security Awareness Trainings und sie erhalten einen schnellen Überblick über die durchgeführten Schulungen.
Weitere Ressourcen
Datensicherheit mit dem Zero Trust Modell
Verwandte Themen
Bleiben Sie auf dem Laufenden mit dem DriveLock Newsletter
Melden Sie sich hier für den DriveLock News-Service an: