Locky, CryptoWall, TeslaCrypt & Co.

Schutz vor Ransomware - Wie Virtualisierung helfen kann

Stefan Volmari ist Director Systems Engineering in Zentral und Osteuropa bei Citrix Systems.
Um sich in Zukunft vor der sogenannten Ransomware zu schützen, müssen Unternehmen ihre Sicherheitsarchitektur weiterentwickeln. Virtualisierungstechnologien können dabei eine Schlüsselrolle spielen.
Foto: Carlos Amarillo - shutterstock.com

Sicherheitsexperten verzeichnen seit Ende letzten Jahres weltweit einen dramatischen Anstieg von Infektionen mit Verschlüsselungstrojanern. Alleine in Deutschland hat sich nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Anzahl der Vorfälle verzehnfacht. Derzeit kursieren weiterhin unterschiedliche Varianten der gefährlichen Ransomware in Netz.

Die Funktionsweise der verschiedenen Verschlüsselungstrojaner ist dabei nahezu identisch. Über eine Phishing-E-Mail mit einem Attachment oder einen Download-Link auf einer verseuchten Webseite gelangt die Schadsoftware auf den Rechner eines unvorsichtigen Anwenders. Dort verschlüsselt sie die Daten auf der lokalen Festplatte und gibt diese nur gegen Zahlung eines Lösegelds wieder frei. Zudem droht die Schadsoftware damit, die verschlüsselten Daten unwiederbringlich zu löschen, wenn die Zahlung nicht bis zu einem bestimmten Zeitpunkt erfolgt.

Ein Unternehmen, dessen Netzwerk von Verschlüsselungstrojanern befallen ist, hat nun zwei Möglichkeiten: Die geforderte Summe zu bezahlen und zu hoffen, dass die verschlüsselten Daten tatsächlich freigegeben werden (und sich der Vorgang nicht wiederholt). Oder die betroffenen Systeme aus dem Netz zu nehmen und vom Backup wiederherzustellen. Beide Varianten beeinträchtigen den Geschäftsbetrieb in der Regel erheblich und verursachen dadurch oft enormen finanziellen Schaden. Der Image-Schaden, wenn wie in einigen Fällen das gesamte Netzwerk für Tage heruntergefahren muss, ist zudem beträchtlich.

Traditionelle Sicherheitsarchitekturen stoßen an ihre Grenzen

Die zahlreichen Vorfälle in den vergangenen Monaten zeigen, dass traditionelle Sicherheitsarchitekturen den immer raffinierteren Angriffen von Hackern und Cyberkriminellen nicht mehr gewachsen sind. Vorhandene Anti-Malware-Software kann Krypto-Trojaner häufig nicht erkennen und abwehren. Unternehmen müssen daher zusätzliche Maßnahmen ergreifen, um ihr Netzwerk vor der neuen Bedrohung zu schützen.

Die Sensibilisierung der Mitarbeiter für die Risiken von E-Mail-Attachments oder unbekannten Webseiten spielt dabei eine wichtige Rolle. In Organisationen mit hunderten oder tausenden von Anwendern lässt sich aber alleine dadurch kaum vermeiden, dass nicht doch einmal versehentlich ein verseuchter Link angeklickt wird. Daher ist es notwendig, zusätzliche Sicherheitslösungen zu implementieren. Security-Technologien wie Sandboxing oder applikationsspezifische Whitelists können verhindern, dass potentiell schadhafter Code auf dem Endgerät ausgeführt wird. Die Herausforderung ist dabei jedoch, die Sicherheitslösungen auf allen Endgeräten einzurichten und aktuell zu halten.

Virtualisierte Anwendungen lassen sich besser kontrollieren

An dieser Stelle kommen nun Virtualisierungstechnologien ins Spiel. In einer IT-Umgebung mit virtualisierten Anwendungen und/oder Desktops gibt es mehrere Möglichkeiten, die Gefahren durch Ransomware in den Griff zu bekommen.

Viele Sicherheitsexperten empfehlen beispielsweise, den E-Mail-Client als virtualisierte Anwendung über das Rechenzentrum bereitzustellen - ganz gleich, ob es sich dabei um eine Windows-Applikation wie Microsoft Outlook oder eine Browser-basierte Lösung wie Google Gmail oder Microsoft Office 365 handelt. Die IT-Organisation kann damit sicherstellen, dass alle Anwender mit denselben Security-Einstellungen arbeiten und zusätzliche Schutzmaßnahmen wie DLP (Data Leakage Protection) und Whitelists aktiv sind.

Durch die Entkopplung der E-Mail-Software vom Client-Rechner hängt die Sicherheit des Netzwerks nicht davon ab, wie gut das Endgerät vor Gefahren geschützt ist. Umgekehrt kann auch keine Schadsoftware aus einer E-Mail auf die lokale Festplatte gelangen. Zwischen der virtualisierten Anwendung im Rechenzentrum und dem Endgerät des Benutzers werden nur Bildschirminformationen über das Netzwerk übertragen - keine Kommunikationsdaten wie zum Beispiel E-Mail-Attachments.

Web-Browser sollten den Anwendern ebenfalls als virtualisierte Applikationen zur Verfügung gestellt werden. Die IT-Organisation kann im Rechenzentrum unterschiedliche Browservarianten wie Internet Explorer, Chrome und Firefox für die genutzten Web-Anwendungen betreiben und die Sicherheitseinstellungen individuell anpassen. So können beispielsweise alle aktiven Inhalte geblockt werden, die nicht unmittelbar für die Ausführung der jeweiligen Web-Anwendung erforderlich sind.

Durch die Virtualisierung der Web-Browsers werden ebenfalls die sensiblen Anwendungsdaten vom Endgerät ferngehalten. Zudem kann die IT-Organisation eine automatische Weiterleitung für alle Web-Zugriffe einrichten. Jede URL, die der Anwender anklickt - ganz gleich ob in einer E-Mail, einem Office-Dokument oder einer Social Media App - wird dann in dem abgesicherten virtualisierten Browser geöffnet.

Mehr Sicherheit am Endpunkt durch granulare Zugriffskontrolle

Darüber hinaus bieten Anwendungs- und Desktop-Virtualisierung weitere Möglichkeiten, die Gefahren einer Ransomware-Attacke zu minimieren. Über eine Endpunktanalyse lässt sich automatisch überprüfen, ob das Endgerät über die notwendigen Sicherheitsmerkmale verfügt - erst dann erhält es Zugriff auf die virtualisierten Anwendungen im Rechenzentrum. Zudem haben Administratoren die Möglichkeit, die Nutzung von USB-Schnittstellen anwendungsspezifisch zu kontrollieren. Dies verringert das Risiko von Infektionen über externe Datenträger. Wenn schließlich die komplette Desktop-Umgebung ins Rechenzentrum verlagert wird, kann die IT-Abteilung die PCs an den Arbeitsplätzen durch gehärtete Thin Clients, Zero Clients oder Chromebooks ersetzen.

Fazit

IT-Organisationen müssen unterschiedliche Maßnahmen ergreifen, um ihr Netzwerk vor den Gefahren durch Ransomware zu schützen. Traditionelle Security-Lösungen alleine reichen dafür nicht mehr aus. Virtualisierungstechnologien können eine wichtige Rolle bei der Abwehr von Krypto-Trojanern spielen - und gleichzeitig dabei helfen, das Management der IT-Sicherheit zu vereinfachen. (mb)