Ressourcen > Sicherheit – Glossar > Was ist Ransomware-Schutz

Was ist Ransomware-Schutz?

Der Schutz vor Ransomware umfasst Tools, Technologien und Strategien, die die Übertragung und Ausführung von Ransomware verhindern sollen. Dabei handelt es sich um schädliche Software, die von Cyberkriminellen verbreitet wird, um Unternehmen am Zugriff auf ihre Daten, Infrastruktur und Netzwerke zu hindern. Für die Entsperrung der Ressourcen wird ein Lösegeld gefordert, das zumeist in einer Kryptowährung gezahlt werden muss.

Die ersten Ransomware-Angriffe fanden bereits vor über 30 Jahren statt. Spätestens seit 2015 rückt diese Taktik der Bedrohung und Erpressung von Unternehmen aber zunehmend in den Brennpunkt. Im Juni 2015 warnte das US-amerikanische Federal Bureau of Investigation (FBI) vor einer Ransomware-Variante namens CryptoWall, die bereits Verluste in Höhe von über 18 Mio. USD verursacht hatte. Herkömmliche Strategien zur Angriffsabwehr haben angesichts der Findigkeit der Cyberkriminellen bei der laufenden Weiterentwicklung ihrer Taktiken versagt, und Ransomware-Angriffe sorgen weiterhin weltweit für Schlagzeilen.

Moderne Technologien zur Ransomware-Abwehr sind hochgradig effektiv und einfach zu implementieren. Ein angemessener Schutz der User, Anwendungen und vertraulichen Daten vor Ransomware beginnt mit der Umstellung auf eine moderne, Cloud-native Sicherheitsstrategie.

 

Der effektive Schutz von Netzwerk und Infrastruktur vor aktuellen und zukünftigen Bedrohungen setzt eine dreigleisige Strategie zur Abwehr von Ransomware voraus:

  • KI-basierte Sandbox zur Quarantäne und zum Untersuchen verdächtiger Inhalte
  • Überprüfung des gesamten SSL/TLS-verschlüsselten Traffics
  • durchgängig aktive Schutzmechanismen zur Sicherung von Verbindungen außerhalb des Netzwerks

Im Kampf gegen Ransomware setzt sich zunehmend das Prinzip der Früherkennung durch, um Angriffe schon im Vorfeld zu blockieren. Zeitgemäße Technologie-Lösungen tragen diesem Prinzip Rechnung. Wie das konkret in der Praxis aussieht, wird nachstehend erläutert. Zunächst sollen einige allgemeine Fakten zum Thema Ransomware beleuchtet werden.

 

Wie laufen Ransomware-Angriffe ab?

Zumeist wird Ransomware auf den gleichen Wegen in ein System eingeschleust wie viele anderen Arten von Malware: indem ein User einen infizierten E-Mail-Anhang herunterlädt, unwissentlich auf einen schädlichen Link zugreift oder eine kompromittierte Website aufruft. Im nächsten Schritt werden meist wichtige Dateien oder Daten verschlüsselt bzw. das gesamte System gesperrt. Dann fordert der Angreifer ein Lösegeld, das häufig in Bitcoin oder einer anderen Kryptowährung gezahlt werden soll. Im Gegenzug erhält das Erpressungsopfer einen Schlüssel zur Entsperrung des Systems bzw. der verschlüsselten Dateien. So sieht das Grundprinzip aus. Es gibt mehrere Untertypen von Ransomware, die zu unterschiedlichen Zwecken eingesetzt werden.

 

Untertypen von Ransomware

1) Krypto-Ransomware

Diese wohl bekannteste Variante der Ransomware verschlüsselt die in einem System gespeicherten Dateien und Daten, sodass sie für das Unternehmen unbrauchbar sind. Zu ihrer Entschlüsselung ist ein Schlüssel erforderlich, der sich im Besitz des Angreifers befindet. Ebenso wie die Locker-Variante ist Krypto-Ransomware besonders wirkungsvoll, wenn sie gegen Organisationen eingesetzt wird, die sich keine Ausfallzeiten leisten können.

 

2) Locker-Ransomware

Bei Angriffen mit Locker-Ransomware wird der Unternehmensbetrieb nicht durch Verschlüsselung von Dateien, sondern durch Sperrung des gesamten Systems gestört. Häufig wird anstatt des Anmeldebildschirms ein Sperrbildschirm mit der Lösegeldforderung angezeigt.

 

3) Leakware

Diese Variante wird auch als Doxware bezeichnet und sowohl gegen Einzelpersonen als auch gegen Organisationen eingesetzt. Bei Verweigerung der Lösegeldzahlung drohen die Angreifer mit der Veröffentlichung sensibler Daten online bzw. mit ihrem Verkauf an Dritte. Leakware gelangt in der Regel über E-Mail-Phishing ins Unternehmensnetzwerk.

 

4) Scareware

Scareware-Angreifer säen Panik und Verunsicherung mit Warnungen vor einem vermeintlichen Problem auf dem Gerät des Users. Das Opfer wird im Anschluss z. B. für die Entfernung fiktiver Malware zur Kasse gebeten.

 

5) Ransomware-as-a-Service

RaaS-Anbieter verkaufen anderen Cyberkriminellen Lizenzen zur Nutzung vorgefertigter Ransomware. In der Regel erfolgt der komplette Ransomware-Angriff quasi ohne Zutun des „Kunden“ automatisch durch die Software.

 

Gegen welche Ziele richten sich Ransomware-Angriffe?

Ransomware – das gilt übergreifend für sämtliche Varianten – ist unter anderem deswegen so gefährlich, weil sie gängige Sicherheitslösungen wie Virenschutzprogramme oder User-Authentifizierung unterlaufen kann. Davon abgesehen sind bestimmte Arten von Organisationen besonders anfällig für Angriffe: solche, die sich keine Ausfallzeiten leisten können – entweder aus Kostengründen oder weil sie systemrelevante Leistungen erbringen –, ebenso wie solche mit umfangreichen Beständen an sensiblen Daten. Entsprechend zählen das Gesundheits- und Bildungswesen, die IT-Branche und das verarbeitende Gewerbe zu den am stärksten betroffenen Sektoren.

 

Wie schützt man sich vor Ransomware?

Im Kampf gegen Ransomware steht eine Vielzahl von Sicherheitslösungen zur Auswahl, die Tools zu ihrer Erkennung und Behebung bieten. Teilweise handelt es sich dabei um speziell entwickelte Lösungen mit spezifischen Funktionen, andererseits um Bestandteile breiterer Angebote zur Bedrohungsabwehr.

Der Cloud-native Ransomware-Schutz von Zscaler unterstützt Organisationen mit drei Kernfunktionen zur effektiven Abwehr von Ransomware:

  • KI-basierte Sandbox zur Quarantäne und zum Untersuchen verdächtiger Inhalte
  • Überprüfung des gesamten SSL/TLS-verschlüsselten Traffics
  • durchgängig aktiver Schutz von Verbindungen außerhalb des Netzwerks

Nachstehend werden die jeweiligen Vorteile und Anwendungsfälle kurz erläutert.

 

KI-basierte Sandbox-Quarantäne

Heutige Ransomware-Angriffe werden gezielt für ihre vorgesehenen Opfer entwickelt. Verhindern lassen sie sich nur durch effektive Maßnahmen zur Blockierung von neuen Stämmen und Zero-Day-Bedrohungen, bevor sie Schaden anrichten können. Veraltete, sogenannte „Passthrough“-Ansätze zum Schutz vor Ransomware basieren auf einer Out-of-Band-Analyse unbekannter Dateien, die zeitgleich mit der Weiterleitung an den User erfolgt. Wenn die Datei als schädlich eingestuft wird, wird zwar eine Warnmeldung ausgegeben – jedoch erst, nachdem sie ihr Ziel bereits erreicht hat. Entsprechend hoch ist das Infektionsrisiko.

In einer KI-gestützten Sandbox-Quarantäne, die auf einer Cloud-nativen Proxy-Architektur basiert, können Dateien vor der Zustellung unter Quarantäne gestellt und vollständig analysiert werden. Das Risiko von Patient-Zero-Infektionen wird damit praktisch ausgeschlossen. Anders als bei veralteten Passthrough-Ansätzen werden verdächtige oder unbekannte Dateien garantiert zur Analyse abgefangen, bevor sie in die IT-Umgebung des Unternehmens gelangen können.

Zusätzlich zum Funktionsumfang herkömmlicher Lösungen zur Abwehr von Malware bietet eine Cloud-native, KI-gestützte Lösung wie Zscaler Cloud Sandbox eine Reihe weiterer Vorteile:

  • komplette Kontrolle über Quarantänemaßnahmen durch granulare Richtlinien für verschiedene Gruppen, User und Inhaltstypen
  • Echtzeit-Sicherheitsbeurteilungen für unbekannte Dateien durch Einsatz von maschinellem Lernen und der Zscaler Zero Trust Exchange als weltweit größter Sicherheitsplattform für die Cloud
  • schnelle, sichere Dateidownloads, wobei als schädlich eingestufte Dateien in die Quarantäne verschoben werden

Prinzipiell verhindert die Zscaler Cloud Sandbox Ransomware-Angriffe durch Abfangen unbekannter oder schädlicher Dateien, sodass sie gar nicht erst ins Unternehmensnetzwerk gelangen.

 

Überprüfung des gesamten verschlüsselten Traffics

Heutzutage werden bis zu 90 Prozent des gesamten Internet-Traffics verschlüsselt. Cyberkriminelle machen sich diese Entwicklung zunutze und verstecken ihrerseits Ransomware und anderen Schadcode in verschlüsselten Dateien. Entsprechend setzt eine umfassende Ransomware-Abwehr voraus, dass der gesamte verschlüsselte Traffic überprüft wird. Nur so lassen sich Risiken effektiv reduzieren. Mit Legacy-Technologien lässt sich eine vollständige SSL-Überprüfung jedoch nur schwer bewerkstelligen. Zum Entschlüsseln, Überprüfen und Wiederverschlüsseln sind hohe Rechenleistungen erforderlich. Die Mehrzahl der Appliances – Next-Generation Firewalls bilden hier keine Ausnahme – verfügt nicht über die erforderlichen Kapazitäten, um dies ohne beträchtliche Leistungsabfälle zu bewältigen. Auch die VM in der Cloud schafft hier keine Abhilfe, da sie durch die Überprüfung des SSL-Traffics genauso überfordert ist wie herkömmliche physische Appliances.

Welche Alternativen bieten sich also an, die leistungsfähig genug sind, um den gesamten SSL/TLS-Traffic zu überprüfen?

Eine Cloud-native Proxy-Architektur, wie Zscaler sie bereitstellt, ermöglicht Unternehmen die Überprüfung des gesamten SSL-verschlüsselten Traffics auch bei hohen Datenvolumen – ohne Beeinträchtigung der Performance und ohne Erweiterung der Verarbeitungskapazität kostspieliger Appliances. Mithilfe einer globalen Cloud, die in über 150 Rechenzentren auf sechs Kontinenten bereitgestellt wird, kann der SSL-Traffic gründlich auf versteckte Ransomware-Bedrohungen untersucht werden, ohne dass es zu Leistungsabfällen kommt – selbst bei dramatischer Zunahme der Bandbreite auf User-Seite.

Im Ergebnis werden dadurch Sicherheitslücken geschlossen, die entstehen, weil Ransomware in verschlüsseltem Traffic versteckt wird und sich daher schwierig erkennen bzw. analysieren lässt.

 

Durchgängig aktive Sicherung von Verbindungen außerhalb des Netzwerks

Vielen Organisationen fällt es schwer, auch außerhalb des Netzwerks stets Ransomware-Angriffen zu schützen. Unter heutigen Vorzeichen sind zur Sicherung des Netzwerks durchgängig aktive Schutzmechanismen erforderlich. Konkret bedeutet das, dass die Sicherheitsrichtlinien des Unternehmens auch dann durchgesetzt werden, wenn User unter Umgehung des VPN über Privatgeräte und private oder öffentliche WLAN-Netzwerke auf Unternehmensressourcen zugreifen. Mit Legacy-Konzepten, die auf die Bereitstellung von Sicherheitstechnologien im Rechenzentrum bzw. an regionalen Gateways setzen, lassen sich Richtlinien nur innerhalb des Netzwerks durchsetzen. Ransomware-Angreifer haben somit leichtes Spiel und können User ins Visier nehmen, die von den Sicherheitskontrollen des Unternehmens nicht erfasst werden.

Im Funktionsumfang der Zscaler-Lösung ist sowohl eine KI-basierte Sandbox-Quarantäne als auch die komplette Überprüfung des SSL-Traffics inbegriffen – für alle User, Standorte und Geräte. Unabhängig vom Netzwerk wird für sämtliche Verbindungen ein identisches Schutzniveau zur Erkennung und Blockierung bekannter und unbekannter Bedrohungen gewährleistet. Dadurch werden Unternehmen zuverlässig vor Patient-Zero-Infektionen mit neuartiger Ransomware geschützt. 

Dieser Ansatz zur Abwehr von Ransomware beginnt mit dem Schutz von User-Verbindungen durch die Zscaler Zero Trust Exchange. User, die außerhalb des Netzwerks arbeiten, installieren einfach Zscaler Client Connector als schlanken Endgeräte-Agent auf dem Laptop oder Mobilgerät. Durch konsistente Richtliniendurchsetzung und Zugriffskontrollen wird ein identisches Schutzniveau gewährleistet wie für User in der Unternehmenszentrale. Zscaler Client Connector unterstützt Android, iOS, macOS und Windows.

Datenblatt zum Zscaler Client Connector

 

Ransomware-Schutz als dringende Priorität

Sicherheitsexperten und Medien sind sich einig: Ransomware wird nicht von der Bildfläche verschwinden. Mit Lösungen, die durch unübertroffene Skalierbarkeit und hervorragende Anwendererfahrungen überzeugen, hat Zscaler bereits Tausende von Organisationen bei der erfolgreichen Abwehr von Ransomware und anderen Cyberangriffen unterstützt.

Weitere Ressourcen zum Thema: