Ressourcen > Sicherheit – Glossar > Was ist Ransomware-Schutz

Was ist Ransomware-Schutz?

Was ist Ransomware-Schutz?

Der Schutz vor Ransomware umfasst Tools, Technologien und Strategien, die die Übertragung und Ausführung von Ransomware verhindern sollen. Dabei handelt es sich um schädliche Software, die von Cyberkriminellen verbreitet wird, um Unternehmen am Zugriff auf ihre Daten, Infrastrukturen und Netzwerke zu hindern. Für die Entsperrung der Ressourcen wird ein Lösegeld gefordert, das zumeist in einer Kryptowährung gezahlt werden muss.

Die ersten Ransomware-Angriffe fanden bereits vor über 30 Jahren statt. Spätestens seit 2015 rückt diese Erpressungstaktik, die den Kriminellen oft massive Gewinne einbringt, zunehmend in den Brennpunkt. Im Juni 2015 warnte das US-amerikanische Federal Bureau of Investigation (FBI) vor einer Ransomware-Variante namens CryptoWall, die bereits Verluste in Höhe von über 18 Mio. USD (ca. 15 Mio. Euro) verursacht hatte. Herkömmliche Strategien zur Angriffsabwehr haben angesichts der Findigkeit der Cyberkriminellen bei der laufenden Weiterentwicklung ihrer Taktiken versagt, und Ransomware-Angriffe sorgen weiterhin weltweit für Schlagzeilen.

Inzwischen gibt es Ansätze zum Schutz vor Ransomware, die nicht nur hochgradig effektiv sind, sondern sich auch einfach implementieren lassen. Ein angemessener Schutz der User, Anwendungen und vertraulichen Daten vor Ransomware beginnt mit der Umstellung auf eine Cloud-native Sicherheitsstrategie.

Eine Strategie zur Abwehr von Ransomware, die effektiven Schutz des Netzwerks und der Infrastruktur vor den häufigsten Bedrohungen der Gegenwart bietet, muss folgende Funktionen und Tools beinhalten:

  • KI-basierte Sandbox zum Abfangen und Untersuchen verdächtiger Inhalte
  • Überprüfung des gesamten SSL/TLS-verschlüsselten Traffics
  • Durchgängig aktive Schutzmechanismen zur Sicherung von Verbindungen außerhalb des Netzwerks

Im Kampf gegen Ransomware setzt sich zunehmend das Prinzip der Früherkennung durch, damit Angriffe blockiert werden können, bevor sie das Netzwerk infizieren. Zeitgemäße Technologie-Lösungen tragen diesem Prinzip Rechnung.

 

Ransomware-Schutz mit KI-basierter Sandbox-Quarantäne

Heutige Ransomware-Angriffe werden gezielt für ihre vorgesehenen Opfer entwickelt. Sie lassen sich also nur verhindern, indem vollkommen neuartige Zero-Day-Bedrohungen erkannt und blockiert werden, bevor sie Schaden anrichten können. Veraltete, sogenannte „Passthrough“-Ansätze zum Schutz vor Ransomware basieren auf einer Out-of-Band-Analyse unbekannter Dateien, die zeitgleich mit der Weiterleitung an den User erfolgt. Im Fall, dass die Datei als schädlich eingestuft wird, wird zwar eine Warnmeldung ausgegeben – jedoch erst, nachdem sie ihr Ziel bereits erreicht hat. Entsprechend hoch ist das Infektionsrisiko.

In einer KI-gestützten Sandbox, die auf einer Cloud-nativen Proxy-Architektur basiert, können Dateien vor der Weiterleitung isoliert und vollständig analysiert werden. Das Risiko von Patient-Zero-Infektionen wird damit praktisch ausgeschlossen. Anders als bei Passthrough-Ansätzen werden verdächtige oder unbekannte Dateien zur Analyse abgefangen und gelangen nicht in die IT-Umgebung des Unternehmens.

Darüber hinaus bietet eine Cloud-native, KI-gestützte Lösung wie Zscaler Cloud Sandbox eine Reihe weiterer Vorteile:

  • Komplette Kontrolle über Quarantänemaßnahmen durch granulare Richtlinien für verschiedene Gruppen, User und Inhaltstypen
  • Echtzeit-Sicherheitsbeurteilungen für unbekannte Dateien durch Einsatz von Machine Learning und der Zscaler Zero Trust Exchange als weltweit größter Sicherheitsplattform für die Cloud
  • Schnelle, sichere Datei-Downloads; als schädlich eingestufte Dateien werden in die Quarantäne verschoben

Prinzipiell verhindert die Zscaler Cloud Sandbox Ransomware-Angriffe, indem sie unbekannte oder schädliche Dateien abfängt, sodass sie nicht ins Unternehmensnetzwerk gelangen. 

 

Ransomware-Schutz durch Überprüfen des verschlüsselten Traffics

Inzwischen werden bis zu 90 Prozent des gesamten Internet-Traffics verschlüsselt. Cyberkriminelle machen sich diese Entwicklung zunutze und verstecken ihrerseits Ransomware und anderen Schadcode in verschlüsselten Dateien. Entsprechend setzt eine umfassende Ransomware-Abwehr voraus, dass der gesamte verschlüsselte Traffic überprüft wird. Nur so lassen sich Risiken effektiv reduzieren. Mit Legacy-Technologien lässt sich dies jedoch kaum bewerkstelligen. Zum Entschlüsseln, Überprüfen und Wiederverschlüsseln sind hohe Rechenleistungen erforderlich. Die Mehrzahl der Appliances – Next-Generation Firewalls bilden hier keine Ausnahme – verfügt nicht über die erforderlichen Kapazitäten, um dies ohne beträchtliche Leistungsabfälle zu bewältigen. Auch die VM in der Cloud schafft hier keine Abhilfe, da sie durch die Überprüfung des SSL-Traffics genauso überfordert ist wie herkömmliche physische Appliances.

Welche Alternativen bieten sich also an, die leistungsfähig genug sind, um den gesamten SSL/TLS-Traffic zu überprüfen?

Eine Cloud-native Proxy-Architektur, wie Zscaler sie bereitstellt, ermöglicht Unternehmen die Überprüfung des gesamten SSL-verschlüsselten Traffics auch bei hohen Datenvolumen – ohne Beeinträchtigung der Leistung und ohne Erweiterung der Verarbeitungskapazität kostspieliger Appliances. Mithilfe einer globalen Cloud, die in über 150 Rechenzentren auf sechs Kontinenten bereitgestellt wird, kann der SSL-Traffic gründlich auf versteckte Ransomware-Bedrohungen untersucht werden, ohne dass es zu Leistungsabfällen kommt – selbst bei dramatischer Zunahme der Bandbreite auf User-Seite. 

Im Ergebnis werden dadurch Sicherheitslücken geschlossen, die entstehen, weil Ransomware in verschlüsseltem Traffic versteckt wird und sich daher schwierig erkennen bzw. analysieren lässt.

 

Ransomware-Schutz durch Richtliniendurchsetzung außerhalb des Netzwerks

Die Notwendigkeit, Verbindungen auch außerhalb des Netzwerks zu sichern, erschwert die effektive Abwehr von Ransomware-Angriffen zusätzlich. Unter heutigen Vorzeichen sind zur Sicherung des Netzwerks durchgängig aktive Schutzmechanismen erforderlich. Konkret bedeutet das, dass die Sicherheitsrichtlinien des Unternehmens auch dann durchgesetzt werden, wenn User unter Umgehung des VPN über Privatgeräte und private oder öffentliche WLAN-Netzwerke auf Unternehmensressourcen zugreifen. Mit Legacy-Konzepten, die auf die Bereitstellung von Sicherheitstechnologien im Rechenzentrum bzw. an regionalen Gateways setzen, lassen sich Sicherheitsrichtlinien nur innerhalb des Netzwerks durchsetzen. Ransomware-Angreifer haben somit leichtes Spiel und können User ins Visier nehmen, die von den Sicherheitskontrollen des Unternehmens nicht erfasst werden.

Im Funktionsumfang der Zscaler-Lösung ist sowohl eine KI-basierte Sandbox-Quarantäne als auch die komplette Überprüfung des SSL-Traffics inbegriffen – für alle User, Standorte und Geräte. Unabhängig vom Netzwerk wird für sämtliche Verbindungen ein identisches Schutzniveau zur Erkennung und Blockierung bekannter und unbekannter Bedrohungen gewährleistet. Dadurch werden Unternehmen zuverlässig vor Patient-Zero-Infektionen mit neuartiger Ransomware geschützt.

Dieser Ansatz zur Abwehr von Ransomware beginnt mit der Sicherung von User-Verbindungen durch die Zscaler Zero Trust Exchange. User, die außerhalb des Netzwerks arbeiten, installieren einfach Zscaler Client Connector als ressourcenschonenden Endgerät-Agent auf dem Laptop oder Mobilgerät. Durch konsistente Richtliniendurchsetzung und Zugriffskontrollen wird dasselbe Schutzniveau gewährleistet wie für User in der Unternehmenszentrale.

 

Ransomware-Schutz als dringende Priorität

Sicherheitsexperten und Medien sind sich einig: Ransomware wird vorerst nicht von der Bildfläche verschwinden.

Mit Lösungen, die durch unübertroffene Skalierbarkeit und hervorragende Anwendererfahrungen überzeugen, hat Zscaler bereits tausenden Kunden geholfen, Ransomware und unzählige andere Sicherheitsangriffe von ihren Netzwerken fernzuhalten.

Weitere Ressourcen zur Implementierung einer effektiven Ransomware-Abwehr im Rahmen der IT-Sicherheitsstrategie: