builderall

In Fürstenfeldbruck wurde das örtliche Klinikum durch eine Malware, die offenbar per eMail empfangen wurde, lahmgelegt. Gut eine Woche musste die Klinik ohne das Computernetzwerk auskommen, wie der Münchner Merkur meldete. 450 Computer waren nicht einsatzbereit und mussten überprüft werden. Wahrscheinlich verbreitete sich die Schadsoftware durch einen eMail Anhang, der geöffnet wurde.

Wie konnte es dazu kommen?

Selbstverständlich hatte das Klinikum eine Sicherheitssoftware im Einsatz, also wie konnte es trotz Antiviren Programm zu dieser Katastrophe kommen? Da wir die IT Umgebung und das Sicherheitskonzept des Klinikums nicht kennen, stellen wir keine Mutmaßungen zum Vorgang im Klinikum an, dies wäre unfair und anmaßend. Einige grundlegende Gefahren und Schwachstellen in vielen Unternehmen können wir allerdings ansprechen.

eMail Sicherheit:

Die eMail ist eine Schwachstelle in vielen Unternehmen und wird bevorzugt von Kriminellen als Einfallstor genutzt. SPAM- & Viren-eMails sehen immer öfter täuschend echt aus, so dass sie nicht auf den ersten Blick als solche erkannt werden.

Neben einem eingesetzten eMail SPAM- & Virenfilter ist es wichtig, die Mitarbeiter durch regemäßige Schulungen zu sensibilisieren. Dies kann aber nicht bedeuten, die Verantwortung, eine schadhafte eMail zu erkennen, auf Mitarbeiter abzuwälzen.

Wir empfehlen:

  1. Einen vorgeschalteten mehrstufigen cloudbasierten eMail SPAM- & Virenfilter. Eine gute derartige Schutzschicht fängt bereits bis zu 99,99 % der Viren ab und zwar bevor diese das eMail System des Unternehmens bzw. das Postfach des Users erreichen.
  2. Der User darf keinen Zugriff auf als schädlich eingestufte eMails erhalten. Eine Freigabe, für den Fall, dass eine eMail fälschlich als Viren-eMail eingestuft wurde, darf nur über die IT bzw. den Managed Service Provider erfolgen.
  3. Regelmäßige Schulungen der Mitarbeiter zur Sensibilisierung der eMail Sicherheit.
  4. Zusätzlich sollte eine Schutzsoftware zum Einsatz kommen, die das Ausführen unbekannter und schadhafter Software verhindert.

AntiViren Programme:

Funktionierten die klassischen AntiViren-Programme früher lediglich nach dem Blacklist-Prinzip, so werden die heutigen AntiViren Lösungen um viele weitere Module zur Erkennung von Schadsoftware erweitert.

Bei dem Blacklisting wurde simple formuliert in eine Liste (Virensignaturen) geschaut, ob das auszuführende Programm dort gelistet wurde, war dies der Fall, wurde das Programm blockiert, ansonsten wurde es ausgeführt.

Heute gibt es zusätzlich viele weitere heuristische Module, Machine-Learning etc. bei denen überprüft wird, ob ein Programm verdächtige Aktionen ausführen will, wenn dies erkannt wird, wird das Programm blockiert.

Ein Beispiel, das den Wettlauf zwischen Cyberkriminellen und Security Software Hersteller zeigt, ist das ?Sandboxing?, bei dem es sich um einen isolierten Bereich handelt, in dem eine unbekannte Software getestet wird, um zu sehen, ob sie sich abnormal verhält. Dieser vielfach gepriesene Weg ist ein sehr guter Ansatz, allerding mit einer Schwäche, denn zwischenzeitlich haben es einige Cyberkriminelle geschafft, Sandboxing zu überlisten.

67 % der Unternehmen in Deutschland wurden laut einer IDC Studie* in den letzten 24 Monaten Opfer von Cyberkriminellen.

Laut 2016 Data Breach Investigations Report geschehen 93 Prozent der Cyberangriffe innerhalb von Minuten nachdem die Schadsoftware erstmals aufgetreten ist.

?Die Technologien, die von traditionellen Antivirenlösungen genutzt werden (Signaturdateien, Heuristik), sind rein reaktiv. 18 Prozent der neuentwickelten Malware-Exemplare werden von traditionellen, blacklist-basierten Antivirenlösungen innerhalb der ersten 24 Stunden nicht entdeckt. Drei Monate später sind zwei Prozent dieser Schadcodes immer noch unerkannt.?**

Dies erklärt vielleicht, warum so viele Unternehmen trotz Endpoint Protection von Malware Attacken betroffen sind. Wie sonst würde sich der Erfolg von Ransomware Angriffen begründen?

Unsere Empfehlung:

  1. Setzen Sie eine Security Lösung ein, die Endpoint Protection mit einer Kontrolle aller laufenden Prozesse kombiniert und nur bekannte und als unschädlich eingestufte Software / Prozesse ausführen lässt. Jeder unbekannte oder als schädlich bekannte Prozess wird an der Ausführung gehindert.

Wir empfehlen Adaptive Defense bzw. Adaptive Defense 360 von Panda Security

Beispiel: Ein Mitarbeiter erhält mit einer eMail im Anhang eine neue noch unbekannte Malware und will diesen Anhang (und damit die Malware) öffnen. Die Security Lösung überwacht alle Prozesse und merkt, es soll ein Programm gestartet werden. Bei der Überprüfung stellt sie fest, dass zu startende Programm ist unbekannt und verhindert aus diesem Grund die Ausführung.

Der Vorteil einer derartigen Lösung liegt darin, dass unbekannte Programme und Prozesse so lange an der Ausführung gehindert werden, bis eindeutig feststeht, ob es sich um eine gut- oder bösartige Software handelt. Stellt sich heraus, das Programm ist unbedenklich, wird es freigeben ansonsten bleibt es gesperrt.

Um dies sicher zu beurteilen werden 100 % der Prozesse klassifiziert, sollte bei der maschinellen Analyse nicht 100% sichergestellt werden können, dass der Prozess ungefährlich ist, erfolgt die Klassifizierung manuell im Labor durch einen Malware Experten.

Sie setzen mit Adaptive Defense bzw. Adaptive Defense 360 von Panda Security nicht nur eine Software Lösung zur Sicherheit ein, sondern einen Managed Service.

Online BackUp:

Wenn wir schon über Sicherheitskonzepte und Verhinderung von Ausfallzeiten sprechen, müssen wir auf das Online BackUp zu sprechen kommen. Ein sicheres, verfügbares und leicht wiederherzustellendes BackUp ist Ihr ?Auffangnetz?.

Warum Online BackUp?

Unsere Gegenfrage wäre, wie stellen Sie sicher, dass ein lokales BackUp nicht durch Ransomware verschlüsselt bzw. durch andere Schadsoftware in Mitleidenschaft gezogen wird? Es sprechen noch viele weitere Gründe für Auslagerung eines BackUp in ein modernes hochsicheres deutsches Rechenzentrum, auf die wir an dieser Stelle nicht eingehen, um den Rahmen nicht zu sprengen.

Unsere Empfehlung:

  1. Setzen Sie ein Online BackUp für Server und Workstations ein. Der Server mag zwar die wichtigen Daten beherbergen, aber gearbeitet wird auf den Workstations. Es ist also wichtig beide Systeme im Notfall wiederherstellten zu können, um Ausfallzeiten zu minimieren.
  2. Das Online BackUp sollte in einem deutschen zertifizierten Rechenzentrum erfolgen, natürlich sicher verschlüsselt und State-Of-The-Art sein
  3. Es müssen einfache und schnelle Möglichkeiten für eine Wiederherstellung (Recovery) zur Verfügung stehen.

Beratung:

Sicherheitskonzepte sollten immer individuell an den Bedarf des Unternehmens angepasst werden. Wir haben uns auf die Betreuung und Managed Service Konzepte für den Klein- und Mittelstand konzentriert.

Überprüfen Sie jetzt mit uns Ihr Sicherheitskonzept, damit Sie ohne Angst vor Malware und Schadsoftware arbeiten und sich auf Ihr Geschäft konzentrieren können.

*Quelle: zdnet

** Panda Security "Panda Security Guide zum Schutz vor Cyber-Erpressung"