Ransomware

Sicherheitsparadoxon: Schutz oder Produktivität

Von Christin Hohmeier · 2018

Kriminelle haben mit Ransomware-Attacken die Wirtschaft um viele hundert Millionen Euro erpresst. Jetzt ist es an der Zeit Gegenmaßnahmen zu ergreifen. Finanzunternehmen sind aufgrund von Regularien dazu verpflichtet, lokale Administrationsrechte zu entfernen. Das könnte ein Vorbild für die gesamte Wirtschaft sein.

IT-Verantwortliche sollten die Administrationsrechte auf den Geräten entfernen und damit den Schutz erhöhen.

Lange galten die Mitarbeiterinnen und Mitarbeiter als Verursacher und Schuldige, wenn Organisationen Opfer von Ransomware-Angriffen wurden. Doch die eigentlichen Risiken liegen nicht bei einzelnen Personen, sondern vielmehr im Design von Betriebssystemen und Anwendungen. Denn grundsätzlich stehen alle Geräte den Angreifern offen. Es muss ihnen lediglich gelingen, dass ein Mitarbeiter auf ein eingeschmuggeltes Malware-Programm klickt. Das ist den kriminellen Hackern in den vergangenen Jahren offensichtlich millionenfach gelungen. Und sie haben immer neue Methoden erfunden, die Angegriffenen zu täuschen. 

Grafik zu Cyber-Versicherungen. Quelle: Hiscox Forrester Research, 2016
Quelle: Hiscox Forrester Research, 2016

Dringend geboten: Adminrechte entziehen

Gleichzeitig müssen sich die IT-Hersteller dafür kritisieren lassen, dass sie kaum etwas unternommen haben, um ihr hochriskantes Produktdesign zu verbessern. Das Resultat ist, dass bis heute Millionen Geräte – vom Server über PCs, von Geldautomaten über Produktionsmaschinen bis hin zu Smartphones – den Angreifern ausgeliefert sind. Hintergrund ist, dass alle Arbeitsplatzgeräte über sogenannte Administrationsrechte verfügen. Grundsätzlich kann also jede Person auf jedem Gerät jedes Programm starten. Im Umkehrschluss heißt dies aber auch, dass die Verantwortlichen den Schutz ihrer Organisation um einen Schlag um mehr als 90 Prozent erhöhen, wenn sie den Nutzern der Geräte diese Administrationsrechte entziehen. Diesen Zusammenhang hat unter anderem auch die Bundesanstalt für Finanzdienstleistungsaufsicht erkannt. Banken und Versicherungen haben die Vorgabe erhalten, alle nicht für die jeweiligen Tätigkeiten bentigten Administrationsrechte für alle Beschäftigten abzuschaffen. 

Ransomware: Sicherheit bremst die Prozesse 

Das ist nicht so einfach, wie es zunächst klingt. Während diese Maßnahme den Schutz einer Organisation erhöht, leidet gleichzeitig deren Produktivtät. Mitarbeiterinnen und Mitarbeiter können viele bisher selbstverständliche Prozesse und Programme nicht mehr ausführen. Folge: Die Produktivität sinkt, die Kosten steigen. Die Kunst bei der Verteidigung des Unternehmens ist es des-halb, die Administrationsrechte zwar wie empfohlen abzuschaffen, aber trotzdem innerhalb der Arbeitsprozesse die notwendigen Programme zur Verfügung zu stellen. Um das Paradoxon zwischen Sicherheit der Geräte und der Produktivität der Mitarbeiter aufzulösen, brauchen Unternehmen neue Konzepte bei der Gestaltung der Rechte an den Arbeitsplätzen. Da von den großen Herstellern in den nächsten Monaten keine Lösung zu erwarten ist, sind spezialisierte Anbieter gefragt, den Schutz der Arbeitsplätze zu garantieren.

Wussten Sie schon, dass …

... die Administrationsrechte auf Servern vielen verschiedenen Personen offen stehen? Deshalb ist es für Kriminelle einfach, Programme auf den Server zu legen und ausführen zu lassen. Offensichtlich ändern sich deren Angriffsmuster – während die Kriminellen bislang Server sperrten und Lösegeldzahlungen erpressten, nutzen sie immer öfter die Server zum virtuellen Gelddrucken. Nach dem Start beginnen die eingeschmuggelten Programme Kryptowährungen zu „schürfen“. Die gewonnenen Beträge werden automatisiert an die Angreifer übertragen.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)