Warum Unternehmen heutzutage einen Virenschutz mit EDR benötigen

Home » Informationssicherheit

Um die Cyber-Gefahren heutzutage abzuwehren brauchen Unternehmen eine moderne Endpointsecurity mit EDR – auch sogenannte Next Gen Endpoint Security. EDR steht für Endpoint Detection and Response und bezeichnet eine Software, die verdächtige Aktivitäten aufspürt, analysiert und Ihnen aufzeigt wie Sie angemessen auf die Bedrohung reagieren. Wenn präventive Maßnahmen durchbrochen werden und eine Bedrohung in Ihr Unternehmen eindringt, kommt EDR zum Einsatz und bildet daher einen wichtigen Grundstein in der modernen IT-Security. 

Weiterentwicklung von Schadsoftware erfordert neue Abwehrmaßnahmen 

Die Bedrohungen durch Ransomware, Malware & Co. entwickeln sich kontinuierlich weiter. Die Cyberkriminellen haben sich mittlerweile professionalisiert und agieren wie ein Software-Unternehmen, das ihr Produkt kontinuierlich weiterentwickelt. Bei Ransomware ist es das Ziel der Hacker das geforderte Lösegeld zu erhalten oder bei Nicht-Zahlung die geklauten wertvollen Daten im Darknet zu verkaufen oder als Public-Shaming im Internet frei zugänglich zu machen. Um das Ziel zu erreichen, gehen die Cyberkriminellen in Vorleistung – sie investieren viel Zeit, um Ihre Herausforderung in das auserwählte System einzudringen, zu erreichen.  

Klassische Antivirenprogramme arbeiten seit Aufkommen der ersten Viren mit einer signaturbasierten Erkennung. Bei einer verdächtigen Datei wird der Hashwert, der eine Art „Signatur“ darstellt, mit einer Datenbank abgeglichen. Wenn diese Signatur bereits in der Datenbank vorhanden ist, wird die Bedrohung vom Antivirenprogramm erkannt und es werden Maßnahmen ergriffen. Doch das Vorgehen der Cyberkriminellen hat sich weiterentwickelt. Bei Ransomware greift die signaturbasierte Erkennung nicht, weil der Hashwert bei jedem Angriff modifiziert wird. Heutzutage gibt es auch Schadsoftware, die keine Rückstände auf der Festplatte hinterlässt und nur im Speicher aktiv ist. Somit kommt auch bei der sogenannten Fileless Malware der klassische Antivirenschutz an seine Grenzen.  Außerdem sind die Angriffe heutzutage häufig getarnt, verschachtelt und erstrecken sich über einen längeren Zeitraum.  

Ransomware, Malware & Co. aufspüren dank EDR 

Das Ziel eines jeden Unternehmens ist es natürlich durch präventive Maßnahmen sicherzustellen, dass Bedrohungen erst gar nicht in das Unternehmen eindringen können. Es gibt jedoch eine Vielzahl von Einfallstoren und es reicht eine kleine Schwachstelle, die genutzt wird. EDR setzt ein, wenn Ransomware einen Weg in Ihre IT-Umgebung gefunden hat. Dabei ist das Ziel die Verweildauer so kurz wie möglich zu gestalten. Im Worst Case Szenario bleibt Ransomware nämlich über Tage oder Wochen unerkannt. Um versteckte potenziell unerwünschte Anwendungen (PuA) ausfindig zu machen, wird nach Indicators of Compromise (IOC) gesucht wie z. B. Prozesse, die eine Verbindung über einen anderen Port herstellen als er regulär der Fall ist oder verschleierte Prozesse. Mit Hilfe von Verhaltensanalyse, maschinellem Lernen und statischen sowie dynamischen Erkennungstechnologien wird Ransomware, Malware & Co. aufgespürt. 

Ausbreitung verhindern und Schadensausmaß des Cyberangriffs erkennen 

Wenn eine Schadsoftware ausfindig gemacht wurde, kommt die „Reponse“-Kompetente von EDR zum Einsatz. Es erfolgen automatisierte Maßnahmen um Ihre IT-Umgebung zu schützen und die Ausbreitung zu verhindern, wie z. B. die Isolation des betroffenen Endgerätes vom restlichen Netzwerk. Außerdem werden Ihnen individuelle Maßnahmen vorgeschlagen, um angemessen auf den Cyberangriff zu reagieren.  

Ein weiterer großer Vorteil von EDR ist es, dass Sie nachverfolgen können, wie die Bedrohung in Ihrem System aktiv war. EDR deckt somit einen Bereich auf, der bisher immer eine große Unbekannte war. Dabei sind Unternehmen heutzutage verpflichtet nachzuweisen, dass kein Datendiebstahl stattgefunden hat, um Compliance Vorgaben einzuhalten (z. B. DSGVO oder branchenspezifische Vorgaben wie im Gesundheitswesen). Mit EDR kann diese Frage verlässlich beantwortet werden. Sie erhalten eine volle Transparenz über die Aktivität der Schadsoftware wie z. B. Dateiausführungen, Benutzeranmeldungen oder Änderungen in der Registry und können so das Ausmaß des Cyberangriffs erkennen.  

Um zukünftige Cyberangriffe zu verhindern wird aufgezeigt, welche Schwachstelle der Schadsoftware genutzt hat um in Ihre IT-Landschaft einzudringen. Außerdem werden weitere Maßnahmen vorgeschlagen, um zukünftige Cyberangriffe abzuwehren. 

Wie Sie Ransomware stoppen mit dem Next-Gen-Schutz Sophos Intercept X 

In unserem Webinar am 8. Oktober 2020 erhalten Sie in einer Live-Demo einen Einblick, wie Sie Ransomware stoppen mit Sophos Intercept X. Melden Sie jetzt kostenfrei an. 

Ransomware ist auch unter den Begriffen Erpressungstrojaner, Kryptotrojaner, Verschlüsselungstrojaner oder auch Löselgeldtrojaner bekannt. Über Social Engineering, Spam, Drive-by-Downloads und weitere Einfallstore installiert sich die Schadsoftware auf dem Rechner. Das Ziel ist es, so lange wie möglich unerkannt zu bleiben um möglichst viele Daten zu sammeln, die anschließend verschlüsselt werden. Die Drohung der Cyberkriminellen ist es, dass Unternehmen die Daten erst dann wieder zurückerhalten, wenn sie das geforderte Lösegeld (englisch: ransom) in Bitcoins bezahlen. 

KMUs als Ziel von Cyberkriminellen 

Der Ransomware Report von Datto zeigt auf, dass jedes fünfte KMU bereits von Ransomware betroffen gewesen ist. Dabei sind Unternehmen, die Ihre IT Infrastruktur nicht auslagern, häufiger betroffen. Laut dem Report vom Ponemon Institute ist die größte Herausforderung für Unternehmen der bestehende Personalmangel. Aber auch die begrenzten Budgets und das fehlende interne Wissen stellt KMUs vor Herausforderungen, wenn sie ihr Unternehmen vor Ransomware schützen möchten. Die Cyberkriminellen kennen genau diese Schwachstelle und haben es daher auch häufig auf KMUs abgesehen. 

Finanzielle Auswirkungen von Ransomware Angriffen 

Um wieder Zugriff auf Ihre Daten zu erhalten, müssen Unternehmen durchschnittlich rund 5.000 € Lösegeld zahlen. Die Tendenz ist in den vergangenen Jahren steigend und vor allem Großunternehmen erhalten Lösegeldforderungen, die auch mehrere Millionen Euro betragen können. Nicht nur die Lösegeldforderung trifft Unternehmen. Die durchschnittlichen Kosten für die Ausfallzeiten belaufen sich mit durchschnittlich 121.500 € auf mehr als 24 Mal so hoch wie das geforderte Lösegeld. Darüber hinaus fallen für Unternehmen noch Kosten für die Entdeckung und Untersuchung der Ransomware und die Wiederherstellung der IT-Systeme an. Am schlimmsten trifft Unternehmen aber vor allem der daraus resultierende Imageschaden. 

Zahlung des Lösegelds ist kein Garant 

Jeder vierte Geschädigte sendet den Cyberkriminellen die Lösegeldforderung in Bitcoins zu. Viele Unternehmen sehen in der dieser Option die Möglichkeit den Schaden so gering wie möglich. Die Ausfallzeiten scheinen geringer zu sein und man erhält vermeintlich die Dateien sofort wiederhergestellt. Eine Garantie, dass die Cyberkriminellen nach ihrer Lösegeldzahlung die Daten wiederherstellen haben Unternehmen jedoch nicht. Es gibt bereits eine Vielzahl von Fällen, bei denen die Daten auch nach Zahlung des Lösegelds verschlüsselt bleiben. Außerdem besteht das Risiko für einen erneuten Ransomware Angriff, da man den Cyberkriminellen zeigt, dass man für die Erpressungsversuche anfällig ist. Das BSI spricht Kommunen die Empfehlung aus, das geforderte Lösegeld nicht zu zahlen und die Ransomware Attacke anzuzeigen. 

Soziale Erpressung als neuer Trend im Vorgehen bei Ransomware 

Die Metropole City of Johannesburg wurde im Oktober 2019 von der Ransomware Gruppe „Shadow Kill Hackers“ attackiert. Die Gruppe der Cyberkriminellen behauptete, dass sie Zugriff auf die IT Systeme der Stadt haben und forderten die Bezahlung von einem Lösegeld in Höhe von 4 BTC (umgerechnet circa 30.000 USD). Im Gegensatz zum bisherigen Vorgehen wurden die Daten jedoch nicht verschlüsselt. Dafür wurde ein anderes neues Druckmittel eingesetzt. Wenn das Lösegeld nicht fristgerecht gezahlt, werden die Daten der persönlichen Bewohner im Internet öffentlich zur Verfügung gestellt. Die Stadt ist auf die Lösegeldforderung nicht eingegangen und die Ransomware Gruppe schwieg letztendlich.  

Die Ransomware „Maze“ ist spätestens seit November 2019 in aller Munde. Die Gruppierung veröffentlichte gestohlene Daten nachdem das betroffene Unternehmen die Zahlung verweigert hat. Damit setzten die Akteure rund um Maze ein klares Zeichen von Macht und sozialem Druck und Erpressung.  

Schutz vor Ransomware für KMUs und Großunternehmen 

Neben Awareness Schulungen für Ihre Mitarbeiter gibt es zahlreiche weitere technische und organisatorische Abwehrstrategien um Ihre Unternehmen vor Ransomware zu schützen. In unserem Webinar „Schutz vor Ransomware“ zeigen wir Ihnen mögliche Einfallstore von Cyberkriminellen auf und geben Ihnen praxisnahe Abwehrstrategien mit. Melden Sie sich jetzt kostenfrei an.

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach dem international anerkannten Standard ISO/IEC 27001 ist für kleine und mittelständische Unternehmen meist zu zeitintensiv. Zahlreiche Compliance-Anforderungen müssen eingehalten werden, deren Umsetzung sich aufgrund begrenzter interner Ressourcen schwierig gestaltet. Der Bayerische IT-Sicherheitscluster e. V. hat mit Informations-Sicherheits-Analyse-ISA+ einen Security-Check entwickelt, der KMU einen schlanken Einstieg in die Informationssicherheit bietet.

Lernen Sie die Stärken und Schwächen Ihrer IT-Sicherheit kennen

Der Status Quo der IT-Sicherheit wird mithilfe eines Fragenkatalogs erfasst. Die Analyse umfasst 50 Fragen aus den Bereichen Technik, Organisation und Recht. Sie finden hier den freizugänglichen Fragenkatalog zur ISA+, der auch einige Handlungsempfehlungen enthält. Die Erarbeitung des Fragenkatalogs von ISA+ Informations-Sicherheits-Analyse kann daher auch in Eigenregie erfolgen. Allerdings kann sich dabei die Einstufung des Reifegrads in einer Selbstbewertung als schwierig erweisen. Bei akkreditierten ISA+ Beratern sind durch den neutralen Blick von außen Interessenskonflikte ausgeschlossen und eine objektive Bewertung kann sichergestellt werden. Mit verschiedenen Methoden wie beispielsweise Interviews, Beobachtungen und Kontrollen analysiert der Berater die Frage und bestimmt souverän den Reifegrad.

Handlungsempfehlungen und Zertifizierung „informationssicher“

Nach der Auswertung des ISA+ Fragenkatalogs erhalten Unternehmen einen maßgeschneiderten Fahrplan mit Handlungsempfehlungen. Darin zeigt der ISA+ Berater Prozesse auf, mit denen die IT-Sicherheit gewährleistet oder erhöht wird. Eine Zertifizierung „informationssicher“ nach ISA+ Informations-Sicherheits-Analyse erhalten Unternehmen, wenn 75 % der Anforderungen erfüllt wurden. Die Bescheinigung gilt für ein Jahr.

ISA+ als Ausgangsbasis für zukünftige Weiterentwicklung

Mit der Umsetzung der Maßnahmen, die sich aus ISA+ Informations-Sicherheits-Analyse ergeben haben, erreichen Unternehmen eine gute Basis um Ihre IT-Sicherheit weiterzuentwickeln. Darauf kann man zu einem späteren Zeitpunkt aufbauen, um höhere Zertifizierungen zu erreichen wie z. B. ISO/IEC 27001. Um die IT-Sicherheit in Unternehmen nachhaltig und systematisch zu optimieren, können Unternehmen im Anschluss oder in den darauffolgenden Jahren ein Informationssicherheits-Management-System (ISMS) integrieren. Wer nicht gleich ein ISMS nach ISO/IE27001 implementieren möchte, dem bietet der bayerische IT-Sicherheitscluster e. V. auch hier Abhilfe. Mit ISIS12 wurde ein ISMS für die individuellen Anforderungen von kleinen und mittelständischen Unternehmen entwickelt.

Kontakt und mehr