Die Angriffsmethoden von Cyberkriminellen halten mit den weiterentwickelten Tech-nologien und aktuellsten Sicherheitssystemen Schritt. Dateilose Malware-Angriffe, die effektiver als herkömmliche Malware und schwerer zu erkennen sind, stellen für die IT-Teams von mittelständischen Unternehmen zunehmend ein schwerwiegendes Sicherheitsproblem dar. Denn diese Angriffsmethode erfreut sich immer größerer Beliebtheit: Im Jahr 2017 wurden bei 77 Prozent der Angriffe auf US-Unternehmen dateilose Angriffsmethoden oder Exploits eingesetzt. Doch warum ist dateilose Malware ein solch großes Problem? Und wie können sich mittelständische Unternehmen schützen?
Einfach gesagt, handelt es sich bei dateiloser Malware um eine Art von Malware, die keine spezielle, von Software zum Endgeräteschutz identifizierbare Datei installieren muss, um wirksam zu werden. Stattdessen werden im Rahmen eines Angriffs bösartige Skripte eingefügt, die sich an Prozesse anhängen, die bereits auf einem Computersystem ausgeführt werden. Aufgrund der Platzierung im RAM des Systems hinterlassen die Skripte nur kurzzeitig Spuren, die sehr schwer zu verfolgen sind.
„Process Doppelgänging“ ist eine beliebte Methode, bei der schädlicher Code in Systeme eingeschleust wird. In diesen Fällen werden bösartige Codes an System-Tools wie PowerShell und Windows Management Instrumentation angehängt. Da diese Tools in der Regel nicht gescannt werden, kann der Zugriff auf das System und das weitere Netzwerk unerkannt erfolgen. Folglich beschränkt sich der Umgang mit solchen Angriffen auch nicht mehr einfach auf die Identifizierung und Entfernung einer bösartigen Instanz, da auf diese Weise die Ausführung wichtiger Systemprozesse behindert werden könnte.
Die Erfolgsquote von dateilosen Angriffen ist bis zu zehn Mal höher als bei dateibasierten Angriffen, und ihr Auftreten nimmt zu. Auch wenn dies alarmierend klingt, ist der Schutz vor dateiloser Malware keineswegs unmöglich.
Schutz vor dateiloser Malware
Einige Antiviren-Programme sind dazu in der Lage, dateilose Malware nach einer Infektion zu erkennen und zu stoppen – Vorsorge ist allerdings in jedem Fall die bessere Alternative. Anders ausgedrückt: Der wirksamste Netzwerkschutz besteht darin, Angriffe im Vorfeld abzuwehren.
Starke Endgerätesicherheit
Dabei darf nicht vergessen werden, dass diese Angriffe nach wie vor Zugriff auf das System benötigen, um Malware überhaupt einzuschleusen. Angesichts dieser Tatsache ergibt sich als erster und wichtigster Schritt bei der Malware-Prävention die regelmäßige Implementierung von Sicherheitsupdates und die Notwendigkeit, auf eine starke Endgerätesicherheit zu achten.
Wie auch bei allen sonstigen Sicherheitsmaßnahmen bleiben die Aus- und Weiterbildung der Mitarbeiter von entscheidender Bedeutung. Nur so kann sichergestellt werden, dass die Abwehrmaßnahmen korrekt eingesetzt werden, dass Geräte gepatcht werden und die Passwörter sicher sind.
Mitarbeiterschulungen
Bedenkt man, dass vermutlich fast die Hälfte aller Sicherheitsvorfälle von Mitarbeitern verursacht werden, gehört die Durchführung von Mitarbeiterschulungen sicherlich zu den wirksamsten Maßnahmen bei der Abwehr von Angriffen jeglicher Art. Die Vermittlung eines Verantwortungsgefühls, die Sensibilisierung für Gefahren und das Selbstvertrauen, schnell auf verdächtige Aktivitäten reagieren zu können, tragen erheblich zur Verbesserung der Unternehmenssicherheit bei.
Die Schulungen sollten durch regelmäßig aktualisierte Sicherheitsrichtlinien ergänzt werden, die die persönliche Verantwortung, die Nutzung privater Geräte am Arbeitsplatz und einen Prozess zur Erfassung potenzieller Probleme beinhalten. Umfassende Sicherheitsrichtlinien müssen sowohl für die breite Belegschaft als auch für IT-Spezialisten aufgesetzt werden.
Während Richtlinienerstellung, Änderungen an der Sicherheitssoftware und die Verfolgung von Anomalien durch Spezialisten erfolgt, liegt die Verantwortung für Passwörter, Geräte und mobile Arbeit bei allen Mitarbeitern. Ohne Schulungen und die Unterstützung des Personals könnte selbst das leistungsfähigste Sicherheitssystem von einem ungeschützten Gerät ohne starkes Passwort sabotiert werden.
Thomas Hefner, Senior Sales Manager DACH bei Avast Business
Quelle: Avast
Nicht signierte Makros deaktivieren
Das Potenzial für einen dateilosen Angriff lässt sich minimieren, wenn mit Ausnahme des wichtigsten unsicheren Codes auf dem System alle anderen Codes deaktiviert werden. So nützlich Makros auch sein mögen – auf ein Minimum reduziert, haben schädliche Codes dadurch weniger Möglichkeiten, sich anzuhängen. Makros, die unerlässlich sind, sollten genehmigt und digital signiert werden, damit unerwünschter oder verdächtiger Code leichter identifiziert und deaktiviert werden kann.
Mit einem vergleichbaren Prozess für Anwendungen lässt sich sicherstellen, dass Mitarbeitern ohne Administratorrechte nur die wichtigsten Tools zur Verfügung stehen. Wenn nicht benötigte Anwendungen nicht ausgeführt werden, kann dateifreier Malware-Code auch keine Befehle durchführen.
Obwohl kaum zu erkennen, kann dateifreie Malware dennoch identifiziert werden, wenn man weiß, wonach man Ausschau halten muss. Auch wenn keine Dateien zu erkennen sind, sorgt die regelmäßige Überwachung der Systeme und die Erkennung von Anomalien in Standardsituationen wie einem plötzlichen Anstieg der CPU-Auslastung dafür, wachsam zu bleiben. Durch die Beobachtung der Datenübertragungsraten können Verantwortliche verdächtige Aktivitäten gut erkennen.
Dadurch lassen sich zwar keine Angriffe verhindern, allerdings können potenzielle Schäden, die durch die Verbreitung von Malware im Netzwerk verursacht werden, abgeschwächt werden.
Schutz durch mehrstufige Sicherheitsrichtlinien
Ein Bewusstsein und eine offensive Haltung hinsichtlich entstehender Gefahren zu entwickeln, ist der Schlüssel zum Schutz von mittelständischen Unternehmen vor Datenlecks. Durch mehrstufige Sicherheitsrichtlinien werden Unternehmen, die Mitarbeiter sowie die Kunden geschützt.
Die Cybersicherheitslage ist vielfältig und ändert sich fortlaufend. Die Strategien von Cyberkriminellen halten mit der Entwicklung von Technologien und aktuellen Sicherheitslösungen Schritt. Deswegen wird es auch in Zukunft keine einfache, universelle Lösung für die Datensicherheit geben. Durch die Umsetzung einer regelmäßig optimierten Strategie, die Mitarbeiterschulungen, Endgerätesicherheit und Zugriffsbeschränkung auf einige wenige Konten beinhaltet, können mittelständische Unternehmen jedoch ihr Risiko minimieren, Opfer eines Angriffs zu werden.
