IT-Sicherheit-DE
Published in

IT-Sicherheit-DE

Könnten andere Infrastrukturen mittelfristige Lösungen gegen Ransomware anbieten?

Beitragsbild — Locky ransomware von Christaan Colen

Cyber Security ist und bleibt ein Katz- und Mausspiel. Auf jeden Angriff entwickelt jemand eine Verteidigung. Wie ist das bei Ransomware zu betrachten? Hier gibt es zahlreiche Versuche, aber nicht jeder Ansatz schützt in dem Maße, so dass sich die Verantwortlichen in Sicherheit wiegen können. KI gestützte Systeme versuchen die Art und Weise sich Software verhalt einzuordnen, meistens in bedrohlich und nicht bedrohlich.

“Aber Andre, die Firmen haben doch Backups.”

Das höre ich jetzt schon einige Kollegen sagen. Die meisten haben sicherlich Backups, aber die wenigsten wissen, ob ihre Backupprozesse reibungslos funktionieren. Ransomware führt dazu, dass die Arbeit zunächst still steht. Ein nicht funktionierendes Backup ändert leider nichts daran. Das heißt für mich: Wenn die Ransomware schon wütet ist es in jedem Fall teurer, als wenn der Angriff gänzlich verhindert wird.

“Das verhindern kostet aber auch Geld.”

Der Versuch zumindest kostet Geld, denn moderne Endpoint Security Produkte wie Crowdstrike oder SentinelOne gibt es nicht kostenfrei. Sie sind allerdings KI gestützt und damit ein Versuch Ransomware zu verhindern. Laut Aussagen beider Hersteller, ist ihre Software allerdings äußerst effektiv und die Wahrscheinlichkeit, dass Ransomware verhindert wird ist relativ hoch.

Gibt es womöglich noch eine Möglichkeit Ransomware zu verhindern?

Die Welt auf den Kopf stellen

Die schöne bunte Windows Welt ist es, die das Fundament für Ransomware & Co. legt. Selbstverständlich wird Windows in vielen Firmen intern auch großzügig eingesetzt. Das Vertrauen in die eigene Fähigkeit Angriffe abzuwehren ist hoch, während Windows Netzwerke das momentan hochpriorisierte Ziel fast aller Angreifergruppen darstellt.

Wie einige in meinem Netzwerk schon wissen bin ich eine neue Stelle angetreten habe. Dort habe ich eine für mich neue Infrastruktur kennen gelernt, die Ransomware sehr effektiv abwehren kann, mit allen seinen Vor- und Nachteilen selbstverständlich.

Wie könne eine ransomware-resiliente Infrastruktur aufgebaut?

  • Über 80% der Clients sind keine Windows Geräte (bspw. MacOS): Damit würden typische windowsbasierte Angriffe ins Leere laufen. MacOS natürlich nicht.
  • Dezentrale Arbeitsweise ohne eigenes Rechenzentrum: Eigentum verpflichtet, denn wer weder Exchange, noch File Server besitzt muss sich auf tiefer Ebene nicht damit beschäftigen. Der Clouddienst regelt dies.
  • Kein internes Netzwerk: Kein klassisches C-Klasse Netzwerk nach RFC 1918 (192.x, 172.x, 10.x usw.) und damit keine enge Konnektivität zwischen Clients und Servern.

Nachteile

  • Non-Windows kann nicht von jedem bedient werden.
  • Meine Daten liegen in irgendeiner Cloud und ich weiß nicht was mit ihnen passiert und wer darauf Zugriff hat (Datenschutz bspw.)
  • Ich habe keine Kontrolle über die genauen Einstellungen aller Möglichkeiten auf den Systemen.
  • Ich bin monetär abhängig von einem oder mehrerer Cloudanbieter.

Vorteile

  • Ransomware kann auf MacOS in den meisten Fällen nicht ausgeführt werden.
  • Ransomware kann sich nicht auf weitere Unternehmensassets verbreiten, da kein Netzwerk vorhanden ist.
  • Kosten werden eingespart, da keine umfangreiche Infrastruktur durch ein mehrköpfiges Team verwaltet werden muss (Administratoren).
  • Vereinzelte Windows Clients (>20%) können zügig gegen andere Geräte getauscht werden und sind wieder einsatzfähig.
  • Preisliche Flexibilität ist hilfreich beim Wachstum, da nur die Leistung gezahlt, die abgerufen wird (Pay-as-you-go, Pay-per-User etc.).

Fazit

Nur Mut auch etwas anderes zu wagen, kann ich sagen. Natürlich wäre die Umstellung auf solch eine Infrastruktur für die meisten Firmen nicht ohne weiteres möglich und würde große Aufwände mit sich bringen. Im Gegenzug dazu muss sich aber jede Firma die Frage gefallen lassen, wann der Punkt gekommen ist, dass die Kosten ständiger Ransomwareangriffe höher liegen als eine Änderung des IT Fundamentes.

Selbstverständlich ist dies keine Lösung auf ewig. Würden 80% aller IT Geräte in Unternehmen Non-Windows Geräte sein, so wären die Ransomware Hersteller intensiv damit beschäftigt für andere Betriebssysteme Schadsoftware zu entwickeln.

--

--

--

IT Sicherheit ist meist so komplex, dass im Business Alltag keine Zeit bleibt, sich damit im Detail zu befassen. Diese Publication ist für die gedacht, die sich darauf verlassen, dass sie einen kurzen Abriss zu aktuellen Bedrohungen erhalten, den sie auch verstehen.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Andre Fritsche

Andre Fritsche

More from Medium

Deepfence and Lightstream Partner to Deliver Comprehensive Runtime Security for Enterprises…

We Speak CVE Podcast— “Researchers and PSIRTs Working Well Together”

We Speak CVE podcast, episode 13, “Researchers and PSIRTs Working Well Together”

Social responsibility in infosec with Chloé Messdaghi

Why a Carrot Beats a Stick in Cybersecurity Breach Insurance