SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

RansomwareErpressungstrojaner wie Locky treiben derzeit ihr Unwesen auf etlichen PCs. Das Geschäftsmodell der Hacker ist denkbar einfach. Locky verschlüsselt Dateien auf dem Rechner, und die Entschlüsselung der Dateien wird wiederum nur gegen Zahlung eines Lösegeldes (engl. „ransom“) angeboten.

Soweit so gut, nur ob nach einer solchen Zahlung auch wirklich entschlüsselt wird, kann nicht garantiert werden. Demzufolge ist die beste Strategie gegen Ransomware wie Locky, sich gar nicht erst zu in zieren. Wie man das macht bzw. wie einem das mit einer vernünftigen Wahrscheinlichkeit gelingt, wurde schon in vielen Blogs und Artikeln beschrieben. Stichwort „nur das anklicken, was man kennt“, „Anti-Virus installieren und aktuell halten“, „Betriebssystem auf möglichst aktuellen Patchlevel halten“, etc.

Dieser Artikel beschreibt eine andere Möglichkeit, sich vor Malware wie Locky zu schützen.

Die Security-Software DriveLock vom deutschen Software Spezialisten CenterTools Software SE enthält unter anderem das Modul „Application Control“. Hiermit lassen sich einzelne Applikationen oder Prozesse proaktiv und somit *vor* deren Ausführung erkennen und blockieren. DriveLocks Application Control lässt sich im Whitelist und Blacklist Modus betreiben.

Wie der Name schon verrät werden im Blacklist Modus alle Applikationen oder Prozesse ausgeführt außer denjenigen, die explizit auf der Blacklist stehen. Ein Blacklistansatz ist bei einer Malware wie Locky wenig erfolgsversprechend, denn erstens einmal weiß man nicht, was genau zu blocken ist und zweitens gelingt das natürlich frühestens nach erstmaligem Auftreten der besagten Malware.

Zu empfehlen ist somit der Ansatz via Whitelist. Hier werden prinzipiell alle Applikationen oder Prozesse geblockt, außer denjenigen, die gesondert auf der Whitelist stehen. Die Crux liegt aber auch hier im Detail, denn man kann offensichtlich nicht alles blockieren, ohne den PC zu „bricken“, also funktionsunfähig zu machen. Und natürlich muss eine solche Whitelist auch gepflegt werden. DriveLock bietet hier sehr feingranulare, aber gleichzeitig einfach benutzbare Mechanismen an.

DriveLock Application Control erlaubt es etwa zu definieren, dass nur Applikationen, die von sog. Trusted Vendors wie Microsoft, Adobe, VMware, etc. digital signiert sind, ausgeführt werden dürfen. Zudem ist es einfach möglich, die zur installierten Windows-Version gehörenden Binaries und Prozesse zu enablen. Des Weiteren gibt es eine Lösung von DriveLock, die einen konkreten PC oder einen Referenz-PC im Unternehmen scannt und somit eine initiale Whitelist erstellt oder eine Existierende modifiziert.

Als Fazit lässt sich sagen, dass die Granularität, Flexibilität , aber vor allem die Einfachheit, mit der sich DriveLock Application Control Whitelists automatisiert erstellen und warten lassen, den Unterschied ausmacht. Ein Windows PC mit DriveLock Application Control und einer aktuellen Whitelist reduziert das Risiko ungemein, dass eine Ransomware wie Locky ausgeführt wird.

Thomas ReichertThomas Reichert

 

GRID LIST
Tb W190 H80 Crop Int 5432ffa496aad4fc3d07ed53b63df31e

Warum IT- und OT-Netzwerke einen einheitlichen Sicherheitsansatz benötigen

Mit der steigenden Verbreitung von Produktionsnetzwerken,wächst auch der Bedarf an…
Tb W190 H80 Crop Int C3ad42b7c8d7e07e83500eac0c996009

IT-Sicherheit auf der Rennstrecke

Mehr als die Hälfte der Unternehmen in Deutschland (rund 53 Prozent) sind in den…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

SonicWall mit neuer Technologie: Real-Time Deep Memory Inspection

SonicWall hat mit einer neuen Capture Cloud Engine hunderte Malware-Varianten…
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

DriveLock Managed Endpoint Protection

Cyberangriffe beschränken sich schon lange nicht mehr auf das Netzwerk und die…
Tb W190 H80 Crop Int A605e9036e052c4e524e16631e127d63

Endian UTM Mercury 50: Skalierbare Netzwerksicherheit für den Remote-Einsatz

Endian UTM Mercury 50 gestattet für ein kleines Budget Hochleistungsdurchsatz und…
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security