Wie kann man sich vor Ransomware schützen?
Gegen Ransomware helfen mehrere Maßnahmen: Lösungen zur Überwachung aller Veränderungen an Dateien, Tools zur Analyse der Logs sowie leistungsfähige Backup- und Recovery-Systeme.
Mit dem verheerenden WannaCry-Ausbruch im Frühjahr 2017 hat die Bedrohung durch Ransomware weitere Aufmerksamkeit erhalten. Als Reaktion auf die zunehmende Gefahr hat unter anderem das amerikanische NIST (National Institute of Standards and Technology) jetzt einen ersten Entwurf seiner Empfehlungen für die Phasen vor und nach einem Befall mit Ransomware veröffentlicht. In ihm gibt das Institut nützliche Tipps, wie sich gelöschte oder beschädigte Daten wiederherstellen lassen.
Ransomware versucht in aller Regel, alle wichtigen Dateien und Dokumente eines Opfers zu verschlüsseln, so dass sie nicht mehr wiederhergestellt werden können. Als wichtigste Gegenmaßnahmen gegen die Erpresser empfiehlt das NIST bestimmte Testverfahren, mit denen sich nicht autorisierte Veränderungen an Dateien erkennen lassen, eine kontinuierliche Analyse der Log-Dateien sowie Backups aller wesentlichen Daten.
Beispielsweise ist die Lösung Tripwire Enterprise in der Lage, unerwünschte Veränderungen in Dateisystemen sowie auf Servern und Desktops automatisch zu erkennen und Gegenmaßnahmen einzuleiten. Das gilt gerade auch für alle Dateien, die gerade von Angreifern modifiziert oder überschrieben werden.
Ein weiteres Werkzeug, das zur Wiederherstellung nach einem Ransomware-Überfall genutzt werden kann, ist der ArcSight Security Enterprise Manager. Die Software sammelt Security-Logs, die für Analysen und Berichte verwendet werden können. Sie kann auch die Protokolldateien auswerten, die durch Tripwire Enterprise erstellt werden.
Diese Testverfahren sowie die Erstellung von Logs liefern umfangreiche Informationen über alle Daten, die durch eine Ransomware verschlüsselt wurden. Mit ihnen lässt sich auch herausfinden, welche Programme dazu verwendet wurden und wer sie eingesetzt hat.
Ein weiteres nützliches Tool zur Wiederherstellung der Geschäftsfähigkeit nach einem Befall mit Ransomware ist Spectrum Protect von IBM. Die Lösung erstellt nicht nur Backups in physischen, virtuellen oder Cloud-Umgebungen, sie spielt die Daten anschließend auch wieder zurück. Wenn ein System wegen der Ransomware nicht mehr funktioniert, können sowohl das Betriebssystem als auch der Spectrum-Protect-Client neu installiert werden, so dass alle Daten inklusive der Systemdateien wieder wie vorher hergestellt werden können.
Häufige Backups erfordern einiges an Ressourcen. Außerdem wird mehr Speicherplatz auf den Servern benötigt. Andererseits wird damit aber verhindert, dass nach einem unerwarteten Befall mit Ransomware eventuell nur veraltete Versionen wichtiger Dateien vorhanden sind, die nicht mehr die aktuellsten Informationen enthalten. Bei jedem Recovery lässt sich immer nur ein bestimmter Zeitraum wiederherstellen. Am schlimmsten ist es jedoch, wenn ein Backup erst nach einer Ransomware-Attacke erfolgte. Dann enthält es nur die verschlüsselten Daten. Es sollten deswegen unbedingt immer mehrere Backup-Versionen aufgehoben werden, so dass im Notfall noch ältere Varianten zur Verfügung stehen.
Nicht enthalten in den Empfehlungen des NIST ist allerdings ein Hinweis auf Schwachstellen in Servern wie Apache Struts. Sie können ebenfalls dazu führen, dass sich eine Bedrohung wie die Cerber-Ransomware auf lokal vernetzten Computern einschleicht.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!