Nachbericht It-sa 2016, Teil 1
Vielfältige Tools gegen Ransomware
Auf der It-sa versammelten sich dieses Jahr laut Veranstalter 490 Aussteller und über 10.000 Besucher - ein deutliches Plus gegenüber dem Vorjahr (428 Aussteller, 9.000 Besucher). Im Fokus standen diesmal der Schutz vor Malware (insbesondere Ransomware), der Schutz der "Industrie 4.0", Virtualisierungs- und Cloud-Sicherheit, die Abwehr von DDoS-Angriffen, aber auch Spezialthemen wie Incident Response.
Neben einer Keynote des Facebook-Herausforderers Max Schrems und einem Kongress mit 15 Vortragsreihen gab es in der Nürnberger Messehalle 12 eine Fülle von Security-Angeboten zu bestaunen, vor allem zur Abwehr von Angriffen und Malware. Stark an Brisanz gewonnen hat das Thema Malware durch eine Welle von Ransomware (Erpressersoftware), auch im Unternehmenskontext: Nachdem Kriminelle in den letzten Jahren wahllos Konsumenten durch Verschlüsselung mit Schlüsselübergabe nur gegen Lösegeld erpressten, gehen sie nun gezielter vor. So gab es letzthin etwa diverse Ransomware-Angriffe auf Kliniken, verfügen diese doch stets über wertvolle (Patienten-)Daten, aber zu selten über IT-Security gemäß Stand der Technik. Fachleute stellten auf der It-sa gegenüber LANline wiederholt fest, dass offenbar das organisierte Verbrechen in diesen Markt eingestiegen ist. Ransomware as a Service gebe es bereits, mit zunehmend gezielten Ransomware-Angriffen etwa mittels Spearphishing sei zu rechnen.
Zur Abwehr von Erpressersoftware bietet Malwarebytes laut Justin Dolly, Chief Security Officer und CIO des Anbieters, seit Kurzem ein Anti-Ransomware-Tool. Dieses nutze zwar Blacklists und Signaturen, verstehe aber das typische Ransomware-Verhalten unabhängig von den Signaturen und halte den jeweiligen Prozess bei Erkennung sofort an. Danach lasse sich die zugehörige Software entfernen. Das Geschäftsrisiko für Unternehmen beschränke sich damit auf die wenigen Dateien, die bis zum Stopp des Prozesses verschlüsselt wurden. Hier helfe nur die Wiederherstellung aus dem Backup.
Diesem Problem begegnet Sophos? Anti-Ransomware-Lösung Intercept X mit einer ebenfalls signaturlos arbeitenden Software, die allerdings zuerst Schattenkopien der Dateien anlegt (unabhängig von Microsofts Shadow Copies, die oft ebenfalls Ziel von Ransomware sind). Erkennt Intercept X einen Ransomware-Angriff, etwa weil mehrere Dateien schnell verändert werden, beendet die Software laut Sophos? Technology Evangelist Michael Veit den Prozess und stellt die Dateien aus dem Schattenbereich wieder her. Den Ereignisbaum sende Intercept X an das Sophos Central zur Auswertung, Prozesse und Kommunikation logge das Tool für eine spätere forensische Analyse mit. Eine grafische Darstellung der Abläufe mittels Sophos Central erleichtere die Ursachenanalyse.
Einen anderen Weg wählt Check Point: Dessen Lösung Sandblast stellt E-Mail-Anhänge (Haupteinfallstor der Erpresser) zeitverzögert zu. Während der Dateiuntersuchung in der Sandbox erhält der Nutzer nur eine Viewer-Version ohne Macros, dafür mit Hinweis, dass der Scan gerade noch läuft. Auch Check Points Agent erzeugt sicherheitshalber Schattenkopien für das Wiederherstellen verschlüsselter Dokumente. Zudem gibt es zur Phishing-Abwehr ein Browser Plug-in, das Eingabefelder und Zertifikate von Web-Seiten prüft und gegebenenfalls die Felder blockt.
Bitdefender hat seine Unternehmenslösung Gravityzone ebenfalls um neue Funktionen zum Schutz vor Erpressern erweitert: Die Funktion "Ransomware Vaccine" gaukelt laut Hersteller einem neuen Schadprogramm vor, das entsprechende Gerät sei bereits von Ransomware befallen und verschlüsselt. Viele Varianten von Ransomware testen dies laut Bitdefender vor einem Infektionsversuch und brechen dann den Installationsvorgang ab. Somit "immunisiere" dieser Trick das Gerät. Zudem gibt es bei Bitdefender neue Anti-Exploit-Funktionen und eine Integration in VMware NSX.
Die Bitdefender-Engine nutzt auch Egosecure zur Content-Filterung und -Analyse. Egosecure erweitert dies allerdings zu einer umfassenden Endpoint-Security-Suite. Diese umfasst neben USB-Port-Kontrolle die Verschlüsselung von E-Mails (via Seppmail) sowie von Geräten, Dateien und Ordnern einschließlich passender Apps für IOS und Android. Hinzu gesellt sich eine Mehr-Faktor-Authentifizierung mittels Yubikey sowie ein zentrales Management mit der hauseigenen Lösung Insight.
Der finnische Security-Spezialist F-Secure bietet neben seinen Consumer Tools auch Lösungen für Unternehmensnetze bis hin zur Full Protection Suite sowie passende Dienstleistungen. Das Modul Endpoint Protection deckt dabei alles vom Server (inklusive E-Mail- und Linux-Server) über PCs bis zu Mobilgeräten und virtuellen Umgebungen ab. Neu sind die Angebote Radar zur Anomalieerkennung und der Rapid Detection Service (RDS) durch F-Secures Experten. Der Protection Service for Business ist laut Hersteller nun in Echtzeit verwaltbar.
Auch G Data bietet inzwischen Anti-Ransomware-Technik, die signaturunabhängig und in Echtzeit arbeitet. G Data nutzt eine verhaltensbasierte Erkennung (etwa hohe Zugriffsfrequenz auf der Festplatte) und erstellt daraus einen Scoring-Wert. Seit Anfang 2016 verfügt der Anbieter zudem über einen Consulting-Geschäftsbereich namens "G Data Advanced Analytics", laut seinem Geschäftsführer Michael Zimmer im Aufbau begriffen und deshalb bislang nur im Raum Bochum tätig. Dieses Jahr habe man aufgrund von Ransomware aus dem Business-Umfeld viele Anfragen zu Incident Response erhalten.
Teil 2 dieses It-sa-Nachberichts folgt in Kürze.
Lesen Sie mehr zum Thema
