Ungewolltes Cryptomining verhindern - so geht‘s
Um zu verhindern, dass Ihr Unternehmen zur Kryptowährungs-Goldgrube für kriminelle Hacker wird, sollten Sie folgende Schritte initiieren:
Integrieren Sie die Bedrohung durch Cryptojacking in Ihr Security Awareness Training. Dabei sollten Sie den Fokus insbesondere auf Phishing-Taktiken legen, über die die Cryptomining-Scripts auf den Rechnern platziert werden. Das könnte Sie unter Umständen schützen, wenn technische Lösungen versagen.
Experte Vaystikh gibt an dieser Stelle allerdings zu bedenken: "Ein Awareness-Training wird bei automatisiertem Cryptojacking, das über den Besuch legitimer Webseiten angestoßen wird, nichts bringen. Schließlich kann man den Usern auch gar nicht genau sagen, welche Webseiten sie nicht besuchen sollten."
Statten Sie Webbrowser mit Adblockern oder Anti-Cryptomining-Erweiterungen aus. Weil Cryptojacking oft über den Internet Browser vonstatten geht, kann die Installation von Adblockern ein wirksames Mittel dagegen sein. Einige Adblocker können Cryptominer-Skripte bereits ganz gezielt aufspüren. Darüber hinaus empfehlen sich auch Browser Tools wie No Coin oder MinerBlock.
Halten Sie Ihre Webfilter Tools auf dem neuesten Stand. Wenn Sie eine Website identifiziert haben, über die Cryptojacking Scripts ausgeliefert werden, sollte diese künftig auch für sämtliche Nutzer nicht mehr abrufbar sein.
Halten Sie Browser-Erweiterungen auf dem neuesten Stand. Einige Cyberkriminelle verbreiten ihre Cryptominer auch über schadhafte Browser-Addons oder verseuchen legitime Erweiterungen.
Nutzen Sie Mobile Device Management (MDM) für eine bessere Kontrolle. BYOD-Richtlinien stellen eine Herausforderung dar, wenn es darum geht, Cryptomining wider Willen zu unterbinden. MDM-Lösungen können dabei helfen, Apps und Erweiterungen auf den Devices der User zu managen, sind aber in der Regel auf Großunternehmen ausgerichtet. Vielen kleinen Firmen fehlt hierfür das nötige Kleingeld. Mobile Endgeräte sind für die kriminellen Hacker ohnehin weniger interessant, da ihre Rechenkraft in der Regel (noch) zu gering ausfällt, um lukrativ zu sein.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Wie Sie Cryptojacking erkennen können
Ähnlich wie Ransomware kann Cryptojacking auch Unternehmen treffen, deren IT-Systeme in Sachen Sicherheit gut im Saft stehen. Das Aufspüren einer ungewollten Kryptowährungs-Gewinnung kann sehr diffizil sein, insbesondere wenn nur wenige Systeme kompromittiert wurden. Ihr Endpunkt-Schutz kann gegen Cryptojacking nichts ausrichten, wie Marc Laliberte weiß: "Cryptominer sind in der Lage, sich vor signaturbasierten Detection Tools zu verbergen. Antivirus-Lösungen für Desktop-Computer werden nichts erkennen."
Das können Sie tun, um Cryptojacking auf die Spur zu kommen:
Trainieren Sie Ihren Help Desk auf Cryptojacking-Warnzeichen. Manchmal ist der erste Hinweis auf einen eingeschleusten Cryptominer ein Anstieg der Beschwerden über mangelnde Rechner-Performance. Zumindest sollten in diesem Fall die Alarmglocken schrillen und weitere Untersuchungen angestoßen werden. Andere Warnsignale, nach denen der Help Desk Ausschau halten sollte: Überhitzte Systeme, CPU- oder Kühlsystem-Fehler.
Rollen Sie eine Network-Monitoring-Lösung aus. Nicht wenige Experten - darunter auch SecBI-CTO Vaystikh - sind davon überzeugt, dass Cryptojacking in einem Unternehmensnetzwerk deutlich leichter festzustellen ist, als im privaten Bereich. Mit einer Network-Monitoring-Lösung (die in vielen Unternehmen vorhanden ist) seien die heimlichen Kryptowährungs-Schürfer nämlich relativ leicht zu entdecken, während die meisten Endpoint-Lösungen für Kosnumenten dazu nicht in der Lage wären. Dennoch haben nur wenige Unternehmen mit Netzwerk-Monitoring-Tools auch die nötigen Fähigkeiten, um die richtigen und wichtigen Infos aus der Datenanalyse ziehen zu können.
- Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG:
"Unternehmen dürfen die Komplexität von Security Automation nicht unterschätzen. Zudem setzen viele Unternehmen zu komplizierte Automatisierungslösungen ein – mit der Folge, dass Nutzer bei der praktischen Anwendung Probleme haben." - Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG:
Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG: "Es ist geradezu erschreckend, welch geringen Stellenwert IT-Fachleute dem Thema Patch-Management einräumen. Dadurch erhöht sich die Gefahr erheblich, dass Hacker bekannte Sicherheitslücken für ihre Zwecke ausnutzen können." - Mike Hart, Vice President Central and Eastern Europe bei FireEye:
"Nach unseren Erfahrungswerten für den Raum Europa, Mittlerer Osten und Afrika können sich Angreifer im Durchschnitt 106 Tage lang unbemerkt in einem Netzwerk bewegen." - Mike Hart, Vice President Central and Eastern Europe bei FireEye:
"Ein betroffenes Unternehmen weiß normalerweise nicht, wie lange ein Angreifer bereits Zugang zu seinen IT-Systemen hat. Daher ist Threat Intelligence unverzichtbar, um Attacken möglichst frühzeitig zu erkennen." - Matthias Straub, Director Consulting für Deutschland und Österreich, NTT Security (Germany):
"Das Automatisieren von IT-Sicherheitsprozessen und der Einsatz entsprechender Lösungen kann maßgeblich dazu beitragen, die Reaktion auf Angriffe erheblich zu reduzieren." - Matthias Straub, Director Consulting für Deutschland und Österreich, NTT Security (Germany):
"IoT wird die Angriffsfläche in Unternehmen und öffentlichen Einrichtungen deutlich erhöhen. Wichtig ist es daher, dass die Nutzer von den Anbietern von IoT-Lösungen fordern, dass diese IT-Sicherheit in ihre Lösungen integrieren." - Unternehmen setzen auf Security Automation:
An die 83 Prozent der Unternehmen und Organisationen in Deutschland setzen laut der Studie von IDG Research Security-Automation-Lösungen ein oder wollen dies tun. - Vorteile von IT Security Automation:
Zwei Drittel der Unternehmen erhoffen sich von automatisierten Prozessen im Bereich IT-Sicherheit eine kürzere Reaktionszeit bei Angriffen. - Problem Reaktionszeiten:
Die Automatisierung von IT-Sicherheitsfunktionen kann nach Einschätzung von IT-Fachleuten nachhaltig dazu beitragen, Bedrohungen schneller zu erkennen und auszuschalten. - Noch Luft nach oben:
IT-Abteilungen betrachten Security Automation als wichtiges Hilfsmittel im Kampf gegen Cyber-Bedrohungen. Dennoch bevorzugen viele Unternehmen derzeit noch konventionelle Maßnahmen, etwa eine bessere Schulung der Mitarbeiter.
Crpytojacking-Angriffe: Das tun Sie im Ernstfall
Sollten Sie nun feststellen, dass auch in Ihrem Unternehmensnetzwerk fleißig - und ungewollt - Bitcoin, Monero, Zcash und Co. geschürft werden, sind folgende Maßnahmen zu empfehlen:
Blockieren Sie Skripte, die über Webseiten ausgeliefert werden. Geht es um Javascript-Angriffe, die im Browser stattfinden, ist die Lösung einfach: Schließen Sie das Browser-Tab, in dem das Skript läuft. Die betreffende URL sollte von der IT-Abteilung umgehend blockiert werden. Um künftigen Cryptojacking-Angriffen vorzubeugen, sollten Sie zudem über den Einsatz von Anti-Cryptomining-Tools nachdenken.
Aktualisieren Sie Ihre Browser-Erweiterungen. Wenn der Browser bereits infiziert ist, bringt das Schließen des Fensters natürlich wenig. Bringen Sie also alle Erweiterungen auf den neuesten Stand und deinstallieren Sie solche, die infiziert sind oder die sie nicht brauchen.
Lernen Sie aus Ihren Fehlern. Nutzen Sie die gemachten Erfahrungen, um nachvollziehen zu können, wie die Cyberkriminellen Ihre Systeme kompromittieren konnten. Bringen Sie Ihre Schulungen für die User, den Helpdesk und die IT auf Vordermann, um Cryptojacking-Versuche besser und schneller erkennen und entsprechend reagieren zu können.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.