Home > Solutions > Micro-Virtualisierung – Wie sich Versorger und andere Unternehmen gegen Attacken durch Ransomware wehren können

Micro-Virtualisierung – Wie sich Versorger und andere Unternehmen gegen Attacken durch Ransomware wehren können

/
06.06.2019
Jochen Koehler, Regional VP Sales Europe bei Bromium
Jochen Koehler, Regional VP Sales Europe bei Bromium, rät zur Micro-Virtualisierung, um sich vor Cyber-Angriffen durch Ransonware zu schützen. (Bild: Bromium)

Auch Betreiber kritischer Infrastrukturen sind im Visier von Erpressern und Saboteuren

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyber-Angriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig. Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium.

Ransomware ist eine perfide Kryptografie-Anwendung: Die Software verschlüsselt Daten und fordert für deren Entschlüsselung ein Lösegeld. Jüngstes Opfer einer solchen Attacke ist Baltimore, die amerikanische Stadt befindet sich seit Mai im Ausnahmezustand: Cyber-Kriminelle haben rund 10.000 Rechner in Ämtern und städtischen Einrichtungen mit »Robin Hood« infiziert, der Verschlüsselungstrojaner blockiert den Zugriff auf die Computer. Weitere Teile der Infrastruktur wurden vorsichtshalber abgeschaltet, um die Verbreitung der Erpressersoftware zu verhindern. Seitdem ist das städtische E-Mail-System lahmgelegt, es können keine Rechnungen mehr verschickt oder Grundstückverkäufe abgewickelt werden, auch das Gesundheitswesen funktioniert nur eingeschränkt. Während Robin Hood, Held englischer Balladen, als Vorkämpfer für soziale Gerechtigkeit gilt, der den Reichen nimmt und den Armen gibt, geht es den Cyber-Kriminellen nur um ihren eigenen Profit. Sie erpressen die Stadt mit Lösegeldforderungen, die in der Währung Bitcoin gezahlt werden sollen. Der Bürgermeister will allerdings nicht auf die Forderungen eingehen. »Gut so, denn es gibt keine Garantie dafür, dass nach Zahlung die betroffenen Daten oder Geräte tatsächlich wieder freigegeben werden«, erklärt Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Im Gegenteil: Wer Zahlungsbereitschaft signalisiere, werde oftmals mit noch höheren Geldforderungen erpresst.

Eine von Microsoft längst geschlossene Sicherheitslücke wird zum Einfallstor für Hacker

Für den Angriff auf Baltimore haben die Täter laut einem Bericht der New York Times das NSA-Tool »EternalBlue« genutzt. EternalBlue ist der Name eines Fehlers in der Programmierung von Windows-Betriebssystemen, den der amerikanische Auslandsgeheimdienst jahrelang für eigene Zwecke ausgenutzt hat. 2016 kamen der NSA ihr eigenes Einbruchswerkzeug wie auch andere Spionageprogramme aber abhanden und wurde von einer Gruppe anonymer Hacker, die sich »The Shadow Brokers« nannten, stückweise veröffentlicht. Seitdem wurden die Tools immer wieder für Angriffe genutzt, das vielleicht bekannteste Beispiel ist der Verschlüsselungstrojaner »WannaCry«, der im Mai 2017 mehr als 300.000 Rechner in rund 150 Ländern infizierte. In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen.

»Dass Hacker ein gestohlenes NSA-Tool einsetzen, ist die eine Sache. Die größere Frage ist doch: Wie kann es sein, dass Städte, Behörden, aber auch Unternehmen ihre Systeme bis jetzt noch nicht gegen diese Schwachstelle abgesichert haben?«, betont Jochen Koehler. Microsoft hat bereits im April 2017 Updates für die betroffenen Windows-Versionen zur Verfügung gestellt. »Die Sicherheitslücke ist also längst geschlossen und trotzdem konnten Hacker zwei Jahre später die Stadt Baltimore verwaltungstechnisch lahmlegen.« Die Gründe dafür sind unterschiedlich: Bequemlichkeit, fehlende Kapazitäten oder eine über die Zeit gewachsene und dadurch unübersichtlich gewordene IT-Infrastruktur. Auch die Administratoren in Baltimore kämpfen offenbar mit einem Gewirr an Software, veralteten Servern und Netzwerken, die über die Stadt verstreut sind.

Mit Micro-Virtualisierung die Angreifer ins Leere laufen lassen

»Nun muss man ehrlicherweise zugeben, selbst ein perfekt umgesetztes Vulnerability Patch Management bietet angesichts der horrenden Zahl potenzieller Sicherheitslücken keinen hundertprozentigen Schutz«, so Koehler weiter. »Das liegt schon in der Tatsache begründet, dass herkömmliche Lösungen nur bekannten Schadcode aufspüren können. Vielmehr sollten Unternehmen deshalb darüber nachdenken, die Angreifer ins Leere laufen zu lassen.« Möglich wird das durch Applikations-Isolation mittels Micro-Virtualisierung. Einzelne Tasks wie eine Browser-Abfrage oder das Öffnen eines E-Mail-Anhangs finden in einer eigenen Micro-Virtual Machine (VM) statt – strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Damit bleiben mögliche Schädigungen immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu, alt oder aggressiv das Schadprogramm ist. Zudem wird die VM nach dem Beenden einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, einfach gelöscht.

Der aktuelle Ransomware-Angriff zeigt, wie verwundbar digitale Systeme sind. Nehmen Cyber-Kriminelle kritische Infrastrukturen ins Visier, geht es oftmals nicht mehr darum, Geld zu erpressen, sondern zu sabotieren: den Strom auszuschalten, die Wasserversorgung zu manipulieren, die Kommunikation zu stören. Die Folgen sind dramatisch. »Viel zu verlieren haben aber auch ganz normale Unternehmen: Steht der Geschäftsbetrieb über einen längeren Zeitraum still, weil man nicht mehr auf wichtige Daten zugreifen kann, ist im schlimmstenfalls die Existenz zerstört«, erklärt Koehler. »Auf keinem Fall sollte man sich in Sicherheit wiegen, nach dem Motto ‚mir passiert schon nichts’. Jedem kann sein ganz eigenes ‚Baltimore’ drohen.« 

Über Bromium

Bromium, mit Hauptsitz in Cupertino im Silicon Valley, ist der Pionier bei der Applikationsisolation mittels Micro-Virtualisierung. Anders als bei herkömmlichen Lösungen ist Bromium nicht auf die Erkennung von Schadcode angewiesen, sondern verhindert dessen Auswirkungen: Malware jeglicher Art, egal ob aus dem Web, aus E-Mails oder USB-Geräten, bleibt ungefährlich, weil jeder Anwender-Task in einer Hardware-isolierten Micro-VM ausgeführt wird. Damit schließt Bromium aus, dass das Betriebssystem kompromittiert wird. Zu den Kunden gehören Behörden und Unternehmen unterschiedlichster Branchen. In Deutschland ist Bromium mit einer Niederlassung in Heilbronn vertreten.

Weitere Informationen unter www.bromium.com.

 

Das könnte Sie auch interessieren
Energiekunden
Andreas Lange, CURSOR Software AG: „KI wird den Begriff ‚Smarte Kundenbeziehungen‘ neu definieren“
SAP-Store
cortility-Produkte jetzt auch im SAP-Store erhältlich
NIS2-Richtlinie
Der Countdown für die NIS2-Richtline läuft
Dr. Markus Probst
Dr. Markus Probst neuer Geschäftsbereichsleiter der KISTERS AG

Kommentar schreiben

Koordination

Gerhard Großjohann
energie.blog-Redaktion

E-Mail schreiben