Springe zum Hauptinhalt

Effektiver Schutz vor Ransomware und Datenverlust

Use Cases für den effektiven Einsatz der DriveLock Zero Trust Platform

 

Bedrohungen und Angriffsstrategien


Die Anzahl an erfolgreichen Cyberangriffen und die Bedrohung, die sich dadurch ergibt, hat in den letzten beiden Jahren deutlich zugenommen. Dafür gibt es verschiedene Gründe:

Lukratives Business Modell:

Angreifer fordern von Unternehmen hohe Beträge, damit diese wieder den Zugriff auf zuvor verschlüsselte Daten erhalten. Inzwischen wird auch mit der Veröffentlichung von Daten gedroht, wird in einer bestimmten Frist kein Lösegeld bezahlt. Es gibt keine exakte Zahl, die angibt, wie viel Geld Angreifer durch Cyberangriffe in den letzten Jahren verdient haben. Aber laut Schätzungen von Experten lag die Gesamtsumme allein in Deutschland in 2020 bei über 200 Milliarden Euro. Dabei ist die durchschnittliche Größe der erzielten Lösegelder eines Ransomware-Angriffs weltweit inzwischen auf über 800.000 US Dollar gestiegen. (Quelle: The State of Ransomware 2022, Sophos)

Cyberangriffe als professionelle Dienstleistung:

Die neuesten Entwicklungen zeigen ein weiteres Geschäftsmodell: „Ransomware-as-a-Service“. Dabei spezialisieren sich Gruppen von Angreifern auf einen bestimmten Bereich der Angriffskette, was laut BSI zu einer Verschärfung bzw. Potenzierung der Gefahren führt. Der eigentliche Auftraggeber benötigt damit weder technisches Wissen, noch geht er ein besonderes Risiko ein. Die spezialisierten Gruppen erhalten nach erfolgreicher Durchführung ihrer Dienstleistung einen Fixbetrag, normalerweise in Form von digitaler Währung.

Angriffstechnologien werden fortschrittlicher:

Angreifer nutzen immer fortschrittlichere Technologien, um ihre Angriffe durchzuführen, und es wird immer schwieriger, sie aufzuspüren und zu verhindern. Dabei kommen immer häufiger KI-gestützte Werkzeuge und Methoden zum Einsatz. Die zuvor genannte Spezialisierung unterstützt diese Entwicklung.

IT-Sicherheitsteams sind überlastet:

Die IT-Sicherheitsteams sind oft überlastet und haben Schwierigkeiten, mit der ständig wachsenden Bedrohungslage Schritt zu halten. Der Fachkräftemangel verstärkt dieses Problem und Unternehmen finden kein Personal mit dem notwendigen Fachwissen.

Es herrscht ein Mangel an Cyber­sicherheits­bewusstsein:

Viele Unternehmen und Einzelpersonen haben ein mangelndes Bewusstsein für Cybersicherheit und sind sich nicht bewusst, wie sie sich schützen können. Dabei sind gerade die Mitarbeiterinnen und Mitarbeiter ein wichtiger Faktor, um die Erfolgschancen von Cyberangriffen deutlich zu reduzieren.

Geopolitische Situation:

Die weltweite Zunahme von staatlichen Auseinandersetzungen führt zu einem Anstieg von Cyberangriffen auf kritische Infrastrukturen, Behörden und andere staatliche oder bedeutende Einrichtungen. Dabei zielen die Angreifer darauf ab, die Verfügbarkeit der IT-Systeme zu stören und IT-Infrastrukturen lahmzulegen.

Sehen wir uns die inzwischen fast wöchentlich veröffentlichten Cyberattacken genauer an, wird schnell deutlich, dass Angreifer regelmäßig die gleichen Strategien verwenden, um ihre Ziele zu erreichen:

Social Engineering

Dabei werden psychologische Tricks verwendet, um Benutzer dazu zu bringen, vertrauliche Informationen wie zum Beispiel Passwörter direkt oder andere Daten preiszugeben, mit denen die eigentlichen Zugangsdaten erlangt werden können. Aber auch die Neugier oder Hilfsbereitschaft wird ausgenutzt, um zu erreichen, dass zum Beispiel manipulierte USB-Sticks an einen Arbeitsplatzrechner angeschlossen werden.

Phishing

Phishing umfasst die Verwendung von gefälschten E-Mails, Websites und anderen Online-Methoden, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben oder unerwünschte Software (Ransomware oder Malware) zur Ausführung zu bringen. Auch hier wird auf Psychologie und Social-Engineering Methoden zurückgegriffen. Inzwischen werden täuschend echte Phishing E-Mails mit Hilfe Künstlicher Intelligenz schnell und auf die Zielperson angepasst erstellt.

Drive-By Infektionen mittels Exploit-Kits

Exploit-Kits gehören seit mehreren Jahren ebenfalls zu den Infektionsvektoren für Schadsoftware. Gern werden in der ersten Angriffsphase Phishing E-Mails verwendet, um das Opfer auf eine manipulierte Webseite zu führen. Neue Exploits für Schwachstellen in weit verbreiteten Programmen werden in Exploit-Kits integriert und zur Verteilung von Ransomware oder anderen Schadprogramm-Typen verwendet. Auch andere Schwachstellen in nicht aktueller Software wie dem Browser oder dem Flash Player werden ausgenutzt.

Supply Chain Angriff

Ein Softwarehersteller liefert über seine Lieferkette Software an Wiederverkäufer, Partner und Endkunden aus. Wurde die Original-Software bereits beim Hersteller manipuliert und Schadcode eingebracht, wird diese Schwachstelle an alle nachgelagerten Unternehmen weitergegeben, welche die Software einsetzen. Auch hier besteht der erste Angriffsschritt oft darin, Personen im Unternehmen mit Phishing-E-Mails oder Social-Engineering zu überlisten, damit diese Zugangsdaten preisgeben. Im Idealfall findet der Angreifer dann ein besonders privilegiertes aber schlecht geschütztes Konto mit weitreichenden Befugnissen. Wahrscheinlicher ist es jedoch, dass er mehrere Wochen mit sehr vorsichtigen Einzelschritten zubringt, um sein Ziel unentdeckt zu erreichen. Dabei kommen fortschrittliche Angriffswerkzeuge und speziell an das Ziel angepasste Tools zum Einsatz.

 

Angriffsbeispiele


Die folgenden Beispiele zeigen deutlich, wie erfolgreich die zuvor beschriebenen Strategien genutzt werden. Dabei sind in den überwiegenden Fällen die gleichen Angriffsmuster und Ursachen zu finden: Es gelingt den Angreifern, Schadsoftware auszuführen oder unbefugt Zugriff auf vertrauliche Informationen zu erhalten.

Supply Chain Angriffe

Cyberkriminellen gelang es im August 2022 die IT-Systeme der IHK-GfI, dem bundesweiten IT-Dienstleister für die IHK, zu infiltrieren. Nicht nur im Ruhrgebiet hatten dann seitdem einige Online-Dienste oder die Telefonleitungen und E-Mails regionaler IHK-Standorte nicht mehr funktioniert. Deutschlandweit waren mehrere Industrie- und Handelskammern außer Gefecht gesetzt, erst nach und nach wurden ihre IT-Systeme schrittweise und kontrolliert wieder hochgefahren. Dabei handelt es sich nach Angaben des zuständigen Staatsanwaltes um einen extrem professionell durchgeführten Angriff.

Im Dezember 2020 wurde bekannt, dass durch eine Sicherheitslücke in der Netzwerkmanagement-Software von SolarWinds mehrere Regierungsbehörden und Unternehmen angegriffen wurden. Der Angriff war auch deshalb so erfolgreich, weil die Angreifer fast keine traditionellen Indikatoren für eine Kompromittierung hinterlassen haben.

Im Jahr 2017 wurde bekannt, dass eine beliebte Systemoptimierungssoftware namens CCleaner von Hackern modifiziert wurde, um Schadcode auf den Computern von Millionen von Benutzern zu verbreiten.

Angriffe auf Behörden und Bildungseinrichtungen


Behörden werden immer häufiger ein beliebtes Angriffsziel von Cyber-Kriminellen (Quelle: Behördenspiegel). Die Übeltäter erlangen dabei in den meisten Fällen Zugriff auf sensible Daten, indem sie ahnungslose Behördenmitarbeiter gezielt täuschen: Neun von zehn Cyberangriffen starten mit einer personalisierten Phishing-Mail an Mitarbeiter. Die Angreifer verschlüsseln daraufhin wichtige Behördendaten und verlangen enorme Lösegelder für die Entschlüsselung.

Weitere Uni im Ruhrgebiet von Hackerangriff betroffen:

Am 1. Februar 2023 ist die Hochschule Ruhr West in Bottrop und Mülheim Opfer eines Hackerangriffs geworden. Aus Sicherheitsgründen wurden am Mittag alle Systeme vom Netz getrennt. Studierende können deswegen beispielsweise nicht mehr auf die Kursmaterialien auf der Online-Plattform zugreifen.

Angriffe auf Universitäten:

Im Januar 2023 werden sowohl die Uni Duisburg-Essen als auch die Hochschule in Hamburg von Cyberkriminellen angegriffen. Dabei werden vertrauliche Daten erbeutet, die inzwischen teilweise im Darknet veröffentlicht wurden.

Cyberangriff auf deutsche Behörden und Einrichtungen:

Die Bundesregierung hat im Mai 2022 eine Serie von Cyberangriffen auf deutsche Behörden und Ministerien bestätigt. Es sollen aber keine Schäden entstanden oder Daten abgeflossen sein. Eine russische Gruppe hatte sich zu den Taten bekannt.

Daten des Frauenhofer-Institutes für 2,2 Mio Euro im Darknet angeboten:

Nach einem Angriff auf das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) in Halle wurden im Mai 2022 vermutliche Daten aus dem Angriff für 2,2 Mio Euro im Darknet angeboten. Das Institut ging nicht auf die Forderungen ein, der Angriff fand möglicherweise bereits im April 2022 statt.

Cyberkriminelle attackieren die Gemeindeverwaltung Kammeltal:

Im Mai 2021 waren sämtliche Rechner im Rathaus von einem Trojaner infiziert, Dokumente wurden verschlüsselt. Nur gegen Bezahlung von Lösegeld gaben Erpresser die vollständigen Daten heraus.

Hacker greifen das Rathaus an:

Die Stadtverwaltung Langenhagen wurde im Mai 2020 Ziel eines Hackerangriffs. Die Angreifer hatten eine E-Mail an Mitarbeiter geschickt. Diese wurden so zum Herunterladen von schädlichen Computercodes, die beispielsweise Betriebssysteme befallen oder Computersysteme beschädigen können, bewegt.

 

ANGRIFFE AUF DIE INDUSTRIE


Risiken für industrielle Produktions- und Kontrollsysteme (ICS) resultieren aus Bedrohungen, die aufgrund existierender Schwachstellen dem ICS und damit einem Unternehmen Schaden zufügen können. Die kritischen und am häufigsten auftretenden Bedrohungen für ICS stellt das BSI jährlich zusammen: Auf Platz 1 rangiert das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware (z. B. Bad-USB).

Prominentestes Beispiel: Der sogenannte Stuxnet-Angriff erfolgte über einen Wechseldatenträger (USB-Drop Attack). Er war so invasiv, da er durch Weitergabe über USB-Sticks industrielle Systeme infiltrierte und dabei wiederum dort angesteckte USB-Sticks befallen wurden. Da diese an anderen Systemen wieder benutzt wurden, konnte sich die Schadsoftware großflächig ausbreiten.

 

Angriffe auf Krankenhäuser oder soziale Einrichtungen

Abschließend stellt sich die Frage: Wären diese Angriffe zu verhindern gewesen?

Die einfache Antwort darauf lautet: Ja, mit sehr hoher Wahrscheinlichkeit.

Eine mehrschichtige Sicherheitslösung wie die DriveLock Zero Trust Platform enthält verschiedene Sicherheitsmaßnahmen, die einen erfolgreichen Angriff in fast allen diesen Fällen unterbunden hätte. Je nach Angriffstaktik und Ziel der Angreifer gibt es unterschiedliche Use Cases / Anwendungsfälle, auf die wir in den folgenden Abschnitten eingehen.

Den Verlust von vertraulichen Informationen verhindern


Die einzige und zugleich wirksamste Methode, um vertrauliche Daten vor unbefugtem Zugriff oder ungewollter Veröffentlichung zu schützen, ist Verschlüsselung.

Selbst wenn es Angreifern gelingen sollte, unbemerkt in IT-Systeme einzudringen und Dateien zu kopieren, bleibt ihnen der Zugang zu verschlüsselten Dateien bzw. Daten verwehrt. Dadurch wird es zwecklos, eine monetäre Forderung zu erheben, damit die Daten nicht im Darknet oder an anderer Stelle öffentlich gemacht werden. Das Geschäftsmodell der Angreifer funktioniert nicht mehr.

 

Die Verschlüsselungsfunktionen von DriveLock


DriveLock schützt ihre Arbeitsplätze durch Festplattenverschlüsselung sicher und rechtskonform. Sie können die in Windows integrierte BitLocker Disk Encryption verwenden und einfach sowie zentral durch DriveLock verwalten, unternehmensweit und ohne großen Aufwand. Zusätzlichen Schutz und Multi-Faktor Authentifizierung bietet unsere DriveLock PBA (Pre-Boot Authentification), welche auch in einem vom BSI für VS-Dokumente zugelassenem Produkt verwendet wird.

Unsere File & Folder Encryption Lösung File Protection verschlüsselt einzelne Verzeichnisse und Dateien auf ihrem Rechner oder zentral auf gemeinsam genutzten Netzwerklaufwerken, ohne das Benutzer ihre gewohnten Arbeitsabläufe verändern müssen. Externe mobile Datenträger wie zum Beispiel USB-Sticks können durch DriveLock automatisch mit unserer eigenen Container-Verschlüsselung Encryption 2-Go oder über das in Windows verfügbare BitLocker To Go verschlüsselt werden.

 

Den Ransomware-Angriff verhindern

Dateibasierte Schadsoftware

Glaubt man der Statistik, dann gilt Antiviren-Software inzwischen als Standard und ist auf so gut wie jedem Arbeitsplatz aktiv. Die schiere Anzahl an erfolgreichen Angriffen zeigt eindrucksvoll, dass dieser Schutzmechanismus inzwischen so gut wie unwirksam geworden ist und andere Lösungen notwendig sind. Laut AV-Test, einem unabhängigen deutschen Testinstitut, welches auf den Test von Antivirus-Software spezialisiert ist, entstehen pro Tag ca. 450.000 unterschiedliche Schadprogramme. Laut BSI waren es schon vor 2020 mehr als 117 Mio. Programme in nur einem Jahr. Die Erkennung von unerwünschten Programmen kann also nicht mehr funktionieren, sonst wären nicht so viele Angriffe erfolgreich.

Was aber sehr wohl funktioniert, ist die Erkennung von erwünschten, d.h. zugelassenen Anwendungen – sogar sehr zuverlässig und einfach. Und genau das macht unsere Application Control durch das sogenannte Application Whitelisting.

Wie funktioniert Application Whitelisting?

Application Whitelisting stellt die Logik von Antiviren-Software auf den Kopf: Sie legen fest, welche Programme (Anwendungen, Softwarebibliotheken, Skripte etc.) gestartet werden dürfen und das System blockt automatisch die Ausführung aller unbekannten Software. So wird das Zero-Trust Prinzip umgesetzt und nur die wirklich benötigten Applikationen dürfen von autorisierten Benutzern in einer zugelassenen Umgebung verwendet werden. Es ist wie auf der Hochzeitsparty: Nur wer auf der Gästeliste steht, wird auch reingelassen.

Wenn nur zugelassene Software und Anwendungen ausgeführt werden dürfen, hat Malware oder Ransomware keine Chance mehr!

Doch DriveLock Application Control kann noch mehr und bietet auch die Möglichkeit, gezielt Anwendungen zu sperren – auf Wunsch auch nur temporär oder für bestimmte Benutzergruppen. Das ist hilfreich, wenn eine Schwachstelle in einer Programmversion oder Software (siehe Supply-Chain Angriff) bekannt wird und verhindert werden soll, dass ein Angreifer diese zu seinem Vorteil ausnutzt.

Wie wird Application Whitelisting mit DriveLock konfiguriert?

Die DriveLock-Konsole bietet eine benutzerfreundliche Oberfläche für Administratoren, um Richtlinien für das Whitelisting von Anwendungen zu konfigurieren. Sobald diese Richtlinien eingerichtet sind, können nur noch die vom Administrator freigegebenen Anwendungen auf dem System ausgeführt werden. Dies kann dazu beitragen, das Risiko von Malware-Infektionen und anderen Sicherheitsverstößen erheblich zu verringern.

Um den Aufwand für das Application Whitelisting mit DriveLock im laufenden Betrieb weiter zu vereinfachen und zu reduzieren, stehen verschiedene Optionen zur Verfügung. So können Administratoren beispielsweise automatische Updates für die Whitelist einrichten, die sicherstellen, dass die Liste der zugelassenen Anwendungen immer aktuell ist. Darüber hinaus können sie Warnmeldungen einrichten, die sie benachrichtigen, wenn eine nicht zugelassene Anwendung versucht, auf dem System zu laufen.

DriveLock Insights

In diesem Video-Interview erklären wir Applikationskontrolle.

Erfahren Sie, wie Sie mit Application Whitelisting zuverlässig die Ausführung unbekannter und unerwünschter Programme verhindert.

Jetzt ansehen

DL_Öffentliche_Sektor_Lösung
 

Dateilose Angriffstaktiken

Laut dem Red Canary Threat Detection Report 2021 wird bei 75% der von ihnen untersuchten Angriffen einer der folgenden drei Programme verwendet: PowerShell, CMD und RunDLL32. Es ist jedoch nicht möglich, die Ausführung dieser Programme grundsätzlich zu verbieten, da sonst Windows selbst nicht mehr funktionieren würde.

Dieses Problem löst DriveLock Application Behavior Control, Bestandteil unserer Applikationskontrolle.

Anwendungsfälle

Alle nachfolgend beschriebenen Anwendungsfälle lassen sich unkompliziert im DriveLock Regelwerk abbilden. Weitere Infos finden Sie in unserer Online-Dokumentation.

 

Angriffe über Datenträger und externe Geräte

Externe mobile Datenträger werden ebenfalls für Angriffe auf ein Zielsystem verwendet. Dabei muss der Angreifer nicht einmal selbst vor Ort sein. Laut einer Google Research Studie mit dem Titel „Users Really Do Plug in USB Drives They Find” werden 45% aller gefundenen USB-Sticks auch wirklich eingesteckt, um nachzusehen was auf dem Laufwerk enthalten ist. Steht „Confidential“ auf dem Stick, sind es sogar 50%.

Eine der Säulen jeder Zero-Trust-Sicherheitsstrategie ist es, externe Speicherlaufwerke standardmäßig zu verweigern und nur bestimmte Laufwerke bei Bedarf und für autorisierte Benutzer zuzulassen. DriveLock Device Control überwacht und steuert den Datenfluss von Datenträgern, Laufwerken und externen Geräten. Auch hier wird wie beim Application Whitelisting der Ansatz verfolgt, alles zu verweigern, was nicht explizit zugelassen wurde.

Der Zugriff auf externe Laufwerke wird protokolliert und der Zugriff auf Dateien, die gelesen und geschrieben werden, wird ebenfalls überwacht.

Anwendungsfälle

 

Das Sicherheitsbewusstsein stärken

Anlassbezogene Security Awareness Hinweise sind gerade in Zeiten mit Home-Office sehr wichtig, wenn Benutzer getrennt voneinander arbeiten und bei zweifelhaften E-Mails nicht direkt bei Ihren Kollegen oder der IT nachfragen.

Anwendungsfälle

Weiterführende Informationen

DriveLock Aplication Control und DriveLock Device Control schützen Systeme und Geräte zuverlässig vor Schadsoftware.

Videos und Podcasts

Interviews mit unseren Experten rund um IT Security.


Jetzt ansehen

Bibliothek

Whitepaper, Flyer, E-Books und Studien.


Jetzt anfordern

Events

Lernen Sie uns auf einem Event in Ihrer Nähe oder online kennen.


Eventkalendar

DriveLock erhält von Teletrust das IT Security Siegel - made in Germany DriveLock ist Leader im Bereich Data Leakage Loss Prevention in Deutschland PUR_S_2024_Award_Endpoint_Protection_quer PUR_S_2024_Award_Vulnerability_Management_quer microsoft-gold-partner-845x680-1 Mitglied TeleTrust Mitglied bitkom Mitgliedschaft ACS DsiN Mitglied DriveLock erhält von Teletrust das IT Security Siegel - made in EU DriveLock mit seiner Endpoint Protection Platform gewinnt den InfoSec Award des Cyber Defense Magazine Techconsult: Professional User Rating Security Solutions 2022- DriveLock als Champion in Lösungsbereich Endpoint Protection BDSV Mitglied ECSO Updated logo
 

Bleiben Sie auf dem Laufenden mit dem DriveLock Newsletter

 

Melden Sie sich hier für den DriveLock News-Service an: