Was ist ein Ransomware-Schutz?

By 30. August 2022Januar 17th, 2023IT Security Blog
Ransomware

 

Der Begriff Ransomware findet sich in vielen Schlagzeilen wieder, wenn es um Angriffe auf Computer und ganze Netzwerke geht. Es ist sicherlich nicht die häufigste Art von Sicherheitsvorfällen, wenn sie jedoch zuschlägt, dann wird es heftig. Ransomware verschlüsselt Daten auf Rechnern und verhindert die weitere Nutzung durch den Anwender. Wir sprechen hier auch von Verschlüsselungstrojaner oder Krypto-Trojaner, die sich auf die Rechner schummeln. Die „Entführer“ der Daten verlangen oft ein hohes Lösegeld, damit diese entschlüsselt und wieder lesbar werden. Es ist aber nicht immer sichergestellt, daß nach dessen Zahlung auch entschlüsselt wird.

Wie kann man sich dagegen schützen…

…und was verbirgt sich hinter dem Begriff „Ransomware-Schutz“ der momentan bei vielen Sicherheitsprodukten in den Vordergrund gestellt wird?

Ransomware-Erkennung ist ein Bestandteil in Anti-Malware-Programmen, wie auch der klassische Virenscanner. Hier wird oft einfach davon ausgegangen, dass Schadsoftware auf den Rechner geladen wird, die Schaden anrichten soll, diese aber einfach von den Programmen unschädlich gemacht wird. Leider sind moderne Malware-Implementierungen komplexer. Sie bestehen aus vielen Bestandteilen, die jede für sich über einen gewissen Zeitraum auf einen Rechner kommen können. Da sind alle Virenschutzprogramme schon seit Jahren auch bei „normaler Malware“ gefordert. Aktuelle Malware setzt sehr oft auf regulären Bausteinen auf, wie Programme, die auf einem Rechner vorhanden sind, wie auch Windows-Funktionen. Alle Bausteine rechtzeitig zu blocken, ist schon schwer. Gänzlich ausgeschlossen ist eine Entscheidung, ob ein „ZIP-Programm“ nun vom Benutzer gewollt, oder von einem anderen Prozess ungewollt ausgeführt wird.

Halten wir an dieser Stelle aber fest: Der klassische Endpoint-Schutz, die bewährten Virenschutzprogramme filtern schon eine Menge weg.

Was kann man also noch tun?

Hier greift das, was in den Meldungen als Ransomware-Schutz bezeichnet wird. Ransomware verschlüsselt Dateien. Das nicht auf einen Schlag, sondern nach und nach. Es besteht also Hoffnung, den Angriff zu unterbinden, wenn man ihn schnell genug erkennt.

Da knüpft die einfachste Art des Schutzes an: Es werden regelmäßige Backups der Daten auf externen Speichermedien angelegt, welches nur temporär zur Datenübertragung mit dem Hauptsystem verbunden ist. So erfolgt keine Verschlüsselung der Sicherungsdaten.

Langmeier-Backup bietet als Zusatzprogramm einen weiteren Schutz an. Nach Aktivierung und Konfiguration legt es versteckt im Dateisystem einige Dateien an und überwacht diese. Sollten sich diese Dateien ändern, wird Alarm geschlagen. So kann reagiert werden, bevor alle Daten verschlüsselt sind.

Ob das Backupprogramm da nun einen Hintergrundprozess installiert, der in kürzen Abständen prüft, oder ob man das einer recht unsicheren manuellen Ausführung des Backupprogrammes überlässt, ist noch ein anderes Thema. Ob diese „Honeypots“ am Anfang des Angriffs oder am Ende angegriffen werden, ist natürlich auch eher Zufall.

Virenschutzprogramme greifen per se tiefer in die Dateiverwaltung ein. Hier kann man einen Hintergrund-Scan noch weiter verfeinern:

  • Welche Verzeichnisse sind besonders schützenswert?
  • Welche Programme greifen darauf zu?
  • Werden die Prozesse manuell gestartet oder von einem anderen Prozess?

 

In den AVAST Business Security Lösungen beobachtet der Ransomware-Schutz Ordner. Diese Liste an Standard-Verzeichnisse kann der Administrator beispielsweise erweitern oder einstellen, dass dort nur bestimmte Dateitypen beobachtet werden. Weiter werden Anwendungen danach eingestuft, ob sie vertrauenswürdig sind. Nur diese dürfen zugreifen. Avast stellt eine auf den neuesten Stand gehaltene Liste von Anwendungen bereit, die verifiziert wurden und von vertrauenswürdigen Anbietern stammen. Selbstverständlich ist die Liste anpassbar.

Mein Fazit:

Ransomware-Schutz bietet einen mehr oder weniger detailreichen Ansatz, ungewollte Veränderungen am Dateisystem live zu erkennen. Das kann auf dem lokalen Dateisystem recht gut implementiert werden. Netzlaufwerke und eventuell auch Cloudlaufwerke sind da schon schwerer zu fassen. Hersteller entwickeln und implementieren Ransomware-Schutz mit verschiedenen Ansätzen. Wichtig ist es, schon zu Beginn die Verschlüsselung zu erkennen und den Prozess möglichst zu stoppen. Ransomware-Schutz ist kein Ersatz für etablierte Methoden. Aber ein weiterer Baustein, um den Computer sicherer zu machen. Wir sollten also nicht darauf verzichten, aber auch nicht unser Hab und Gut darauf verwetten.