Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Montag, 11. Dezember 2017

IT-Sicherheit

Eine Frage von Sekunden

Von Uwe Sievers | 22. Juni 2017 | Ausgabe 25

Cyberangriffe wie Wanna Cry fordern Experten technisch und zeitlich heraus. Schutz scheint fast unmöglich, doch künstliche Intelligenz verspricht Abhilfe.

BU Ransomware
Foto: Panthermedia.net/JohanH

Die IT-Security-Branche rüstet auf. Schon jetzt steht fest: Der Erpressungstrojaner Wanna Cry hat bereits Nachfolger gefunden.

Seitdem Wanna Cry weltweit wütete, weiß jeder, was Ransomware ist. Der Erpressungstrojaner soll um die 400 000 Computer infiziert haben und legte so manches Unternehmen lahm. Der spanische Netzbetreiber Telefónica hatte mit der Schadsoftware genauso zu kämpfen, wie das US-Logistikunternehmen Fedex. Nur ein Zufall stoppte die Verbreitung des Schädlings. Ein Sicherheitsforscher fand einen digitalen Notausschalter: Der Schädling verschlüsselte Daten erst, wenn er eine bestimmte Webseite nicht erreichen konnte. Die gab es aber nicht. Die Schadsoftware verrichtete ungehindert ihr bösartiges Werk, bis der Forscher diese Webseite erstellte und registrieren ließ.

Das Ungewöhnliche an diesem Schädling war seine Verbreitungsform. Während Ransomware gewöhnlich über Links in E-Mails und sozialen Netzwerken verbreitet wird, die leichtsinnig angeklickt werden, konnte sich der Trojaner ohne menschliches Zutun verbreiten. Er nutzte einen Windows-Fehler, den die NSA für Spionagezwecke einsetzte und der nicht an die Öffentlichkeit gelangen sollte. Nicht einmal Microsoft wurde informiert, so blieb der Fehler über mehrere Windows-Versionen erhalten.

Erst als eine Hackergruppe digitale Spionagewerkzeuge der NSA erbeutete und im Cyberuntergrund verkaufen wollte, gelangte ein Programm in Umlauf, das die später von Wanna Cry adaptierte Sicherheitslücke einsetzte. Cyberkriminelle hatten es nun leicht: Sie mussten dieses Programm nur modifizieren, um daraus Ransomware zu machen. Microsoft hat allerdings umgehend ein Sicherheits-Update zur Verfügung gestellt.

 Experten rechnen mit Nachahmern. Das ist schon heute klar. Es gab bereits mehrere Versuche. Für die Wirtschaft verheißt das nichts Gutes, denn die klassischen Antiviruslösungen sind für solche Angriffe nicht optimal gewappnet. Ihr Ansatz basiert auf Signaturen. Die Analytiker eines jeden Anbieters müssen zuerst den Schädling in die Hand bekommen, um diesen anschließend ihrer Software bekannt zu machen. Das geschieht mit einer Signatur, durch die schädliche Software eindeutig identifiziert werden kann.

Doch das kostet Zeit: Bei Wanna Cry sollen es rund sieben Stunden gewesen sein, ehe die Signaturen zur Verfügung standen und die Antivirus-Software Angriffe abwehren konnte. Außerdem modifiziert sich moderne Malware beständig selbst, so dass permanent neue Signaturen erforderlich sind. Verständlich, dass die IT-Sicherheitsbranche mit Hochdruck nach Lösungen sucht. Ransomware war das alles beherrschende Thema auf Europas großer IT-Security-Messe Infosecurity in London vor zwei Wochen: kaum ein Hersteller, der nicht Schutz gegen Ransomware versprach.

 Auch die Anbieter klassischer Lösungen haben aufgerüstet. Ihre Produkte beobachten die auf dem PC laufenden Prozesse. Ransomware fällt dadurch auf, dass Dateien der Reihe nach geöffnet und verschlüsselt zurückgeschrieben werden. Das versuchen die Antiviruslösungen zu erkennen, um dann schnell im Hintergrund Kopien von den Dateien anzulegen. Ein Wettlauf gegen die Zeit, dessen Ausgang allzu oft ungewiss ist.

Statt also auf die Ergebnisse der Analytiker zu warten, versuchen andere Anbieter, Software mit Analysefähigkeiten auszustatten. Sie setzen dazu auf künstliche Intelligenz (KI), insbesondere auf maschinelles Lernen. Beispielsweise analysiert die Software von Vectra oder Cylance automatisch den Datenverkehr im Netzwerk, um Auffälligkeiten zu entdecken. Das könnte etwa ein Nutzer sein, der sich nachts von einem PC einer anderen Abteilung einloggt und Dateien ins Internet sendet. Auch Ransomware verhält sich wie erwähnt auffällig, wenn massenhaft Dateien verschlüsselt werden. Doch dann ist es gewöhnlich schon zu spät.

Deswegen konzentrieren sich neue KI-Verfahren auf eine Erkennung im Vorfeld. „Erste Ransomware, die wie Wanna Cry arbeitet, haben wir bereits im Februar gesehen“, erklärt Luke Richards, Sicherheitsforscher beim kalifornischen Sicherheitsunternehmen Vectra. Dessen System versucht, Ransomware in frühen Phasen zu diagnostizieren, also etwa bereits während des Eindringens.

Nach der Infiltration folgt zumeist eine Phase der Erkundung. Die Schadsoftware analysiert das Netzwerk und prüft, welche Netzlaufwerke es erreichen kann. „Auch in dieser Phase zeigt Ransomware ein typisches Muster“, weiß Richards. Doch einfache Schädlinge kommen schon mal ohne diese Phase aus und verschlüsseln einfach drauflos. Andere versuchen, ihr Verhalten zu verschleiern. Dann könnten andere Methoden weiterhelfen.

Anders als die meisten selbstlernenden Systeme gehen Cybereason und Sentinelone vor. Deren Produkte lernen auch, aber sie konzentrieren sich nicht auf regulären Netzverkehr und Nutzerverhalten, sondern auf Malware. Durch spezielle Lernmethoden werden sie darauf geimpft, Prozesse zu identifizieren, wissen aber manchmal nicht, ob es sich um gutmütige Software handelt.

So geht ein Back-up-Prozess anfangs ähnlich vor wie Ransomware. Falscher Alarm ist daher häufiger die Folge. Die eingesetzte Technik führt allerdings zu besonders schnellen Resultaten: „Wir können in Echtzeit reagieren“, erklärt Niall Sheffield, Techniker des kalifornischen Unternehmens Sentinelone. „Wenn ein Rechner infiziert wird, sind alle anderen im Netz innerhalb von 30 s geschützt“, ergänzt er im Gespräch mit den VDI nachrichten. Sheffield räumt ein: Lediglich auf dem zuerst infizierten PC könnten ein paar Dateien verloren gehen, bevor die Abwehr zuschlage. Dafür setze man aber unter Windows das von Microsoft mitgelieferte Shadow-Copy-Back-up ein, wodurch solche Dateien schnell wieder hergestellt werden könnten.

Die Methode scheint erfolgreich: „Keiner unserer Kunden war von Wanna Cry betroffen“, berichtet Sheffield stolz. Dazu zählen durchaus bekannte Namen wie Netflix oder Wallmart. Letzterer mit rund 500 000 PCs.

Sentinelone sei sich seiner Fähigkeiten so sicher, dass man eine Garantie dafür gebe und im Schadensfall für die Folgekosten des Kunden aufkäme, erklärt Dom Gemski, der bei dem erst 2013 gegründeten Unternehmen für den Vertrieb in Großbritannien zuständig ist. Sollten sich diese Ansätze in der Praxis bewähren, könnten sie das Ende der Bedrohung durch Ransomware einleiten.

stellenangebote

mehr