Interview mit Avecto: Adminrechte entziehen hilft bei Ransomware

speicherguide.de-Interview mit Michael Frauen von Avecto Deutschland: »Die Verantwortlichen erhöhen den Schutz eines Systems gegen Ransomware-Angriffe auf über 90 Prozent, indem sie den Mitarbeitern die Administrationsrechte entziehen.«

Die Risiken, dass ein Unternehmen bei seiner Digitalisierung scheitert, sind extrem hoch. Als besonders schwer zu kontrollieren gelten Gefahren rund um Hackerangriffe und Mängel bei der IT-Security. Insbesondere die Arbeit mit digitalen Dokumenten und Inhalten aus dem Internet ist hochriskant. Dabei ist es wichtig zu verstehen, dass das neueste Betriebssystem nicht automatisch das sicherste ist. Und auch der Umkehrschluss ist nicht richtig. Denn je länger ein Betriebssystem läuft, desto unsicherer und angreifbarer wird es. speicherguide.de sprach mit Michael Frauen, Vice President bei Avecto.

  Digitale Dokumente sind in großen Teilen der Wirtschaft die wichtigste Arbeitsgrundlage. Doch von digitalen Dokumenten geht auch ein großes Risiko aus. Das zeigte der Angriff mit der Ransomware »Wannacry« oder jüngst »Petya/NotPetya«, die Hacker in digitalen Dokumenten versteckt hatten. Wie hoch sehen Sie das Risiko, dass eine identische oder ähnliche Attacke einen vergleichbaren Schaden anrichtet?

Michael Frauen, Vice President DACH, AvectoFrauen: Das Risiko ist nach wie vor sehr hoch. Ein Grund ist, dass in vielen Unternehmen die Verantwortlichen ihre Mitarbeiter immer noch mit Administrationsrechten ausstatten. Wir sehen bei Hackern eine bestimmte Strategie: Sie suchen sich so gut wie immer die Ziele aus, bei denen sie über den Zugang zu Administrationsrechten maximalen Schaden anrichten können. Etwa in dem sie umfangreichen Zugriff auf Dateien und Archive, Applikationen oder kritische Betriebssystemfunktionen erlangen. Finden sie diese Administrationsrechte nicht, können sie relativ wenig Schaden anrichten. Diesen Zusammenhang haben wir in unserem »Microsoft Vulnerability Report« nachgewiesen: Die Verantwortlichen erhöhen den Schutz eines Systems auf über 90 Prozent, indem sie den Mitarbeitern die Administrationsrechte entziehen.

  Welche Auswirkungen hat es, wenn die IT-Verantwortlichen ihren Kollegen die Administrationsrecht entziehen?

Frauen: Viele Verantwortliche denken, dass mehr Sicherheit gleichzeitig die Produktivität einschränkt. Denn Administrationsrechte werden schon für die einfachsten Tätigkeiten benötigen: Zum Beispiel für das Verstellen der Uhrzeit, dem Installieren eines Drucker-Treibers oder einer Anwendung. Auf Grund der Hackerangriffe haben nun viele Behörden und Konzerne neue Richtlinien erstellt, nach denen Mitarbeiter keine Administrationsrechte mehr bekommen. Das führt häufig eben genau dazu, dass die Mitarbeiter in ihrer Produktivität eingeschränkt werden – und die Zahl der Anrufe beim Helpdesk explodieren.
Wir bei Avecto umgehen mit »Defendpoint« dieses Problem elegant. Die Sicherheit ist auf der höchsten Stufe, gleichzeitig ist die Produktivität eben nicht eingeschränkt. Denn Avecto verfolgt einen proaktiven Ansatz. Wenn der Mitarbeiter keine Administrationsrechte hat, ist der Computer hochgeschützt. Durch unsere Lösung erhöhen wir die Produktivität, indem wir die Rechtevergabe vom Benutzer auf die Applikationsebene verschieben.

  Bei wem liegt die Verantwortung für die Sicherheit der per se unsicheren Systeme? Beim Hersteller? Beim Anwender? Oder vielleicht bei dem IT-Sicherheitshersteller?

Frauen: Die Verantwortung liegt bei dem Anwender-Unternehmen. Die IT-Verantwortlichen haben sicherzustellen, dass ihre Infrastruktur geschützt ist. Sie müssen sich an Richtlinien halten. Für die Finanzindustrie etwa die Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin. Die Infrastruktur zu schützen ist nicht die Aufgabe eines Security- oder Software-Anbieters. Microsoft und andere Hersteller haben Sicherheitsmechanismen vorgesehen, die zum Schutz beitragen. Aber die können nur vor den bekannten Risiken schützen. Die Analysten sagen zu Recht, wenn sich Unternehmen nur vor bekannten Gefahren schützen, liegt deren Schutz gerade einmal bei 45 bis 50 Prozent. Es ist klar – was man nicht kennt, kann man nicht abwehren. Deshalb ist der zusätzliche Schutz mit einer Software mit proaktivem Ansatz so wichtig.

  Wie aufwändig ist ein Projekt mit Avecto?

Frauen: Der Aufwand ist relativ niedrig. Unser größter Referenz-Kunde ist eine Bank in den USA, die rund 450.000 Mitarbeiter hat. Zur Verwaltung des Avecto-Systems benötigen sie vier Mitarbeiterstunden pro Monat, also um zu pflegen und zu verwalten. Auch das Deployment ist mit relativ kleinem Aufwand machbar. Die Kunden erhalten Out-of-the-Box die notwendigen Policies mit den wichtigsten Schutzmechanismen und können sofort ihre Systeme absichern.
Wir empfehlen den Unternehmen nicht von Anfang an den höchsten Schutz anzustreben. Die IT-Abteilung sollte beobachten und lernen, wie die Kollegen arbeiten, welche Applikationen sie einsetzen und auf welche Probleme sie stoßen. Nach und nach können die Verantwortlichen dann – sehr individuell auf die einzelnen Anwendergruppen bezogen – das Regelwerk verfeinern und justieren. Mit unserer Out-of-the-Box-Policy kommen die Anwender vom Start weg im Vergleich zu vorher auf einen mehr als 70 Prozent höheren Schutz. Und in den folgenden Wochen werden die Verantwortlichen diesen Schutz durch individuelle Anpassungen noch einmal deutlich erhöhen können.

  Die Angriffe der Hacker mit Hilfe von Ransomware in Datenbanken und Archiven ist bekannt und ausführlich beschrieben. Bei der jüngsten Attacke wurden allerdings auch Produktionssysteme lahmgelegt. Die Angriffe trafen Videokamerasysteme, Anzeigensysteme, Geldautomaten. Wie springt der Funke aus den E-Mail-Fächern der Mitarbeiter in die Produktion über, und wie können die Anwender ihre Produktionssysteme schützen?

Frauen: Das ist ein sehr unterschätztes Thema, viele IT-Abteilungen sehen nicht, dass es auch in der Produktionsumgebung Angriffsmöglichkeiten gibt, die die Hacker ausnutzen. Aber in jedem Unternehmen bringen Mitarbeiter USB-Sticks mit zur Arbeit, die potentiell infiziert sein können. Über Wartungsschnittstellen verbinden sich die Maschinen mit dem Internet und es gibt Einstellungen für Administrationsrechte, die auf das Internet ausgeweitet sind. Dies sind mögliche Wege, auf denen Schadsoftware in die Produktionsabteilung gelangen.
Moderne Ransomware ist hoch effizient, unterscheidet bei einem automatisierten Angriff aber nicht immer zwischen Zielen und kann daher einiges an Kolateralschaden anrichten. Der File-Server, die Anzeigetafel oder der Steuerungsserver für eine Fabrikationsstraße sind hier oft gleichwertige Ziele des Schädlings. Für die Malware gibt es keine Exoten. Daher setzen auch viele unserer Kunden aus der Finanzbranche unsere Lösung in Geldautomaten ein. Denn auch dort laufen – zum Teil völlig veraltete – Microsoft-Betriebssysteme mit der gesamten Funktionsbreite und sämtlichen Administrationsrechten. Das ist ein Albtraum für Sicherheitsverantwortliche.

  Ist es möglich, Produktion und Büros mit Hilfe einer Art digitalen Wand voneinander zu trennen?

Frauen: In der Regel arbeiten hier zwei verschiedene Netzwerke. Die meisten Unternehmen denken, dass das Netzwerk für die Produktion keine Verbindung nach außen hat. Das ist aber nicht richtig. Schädlinge gelangen auf verschiedenen Wegen auch in die Produktion.
Wir bauen keine Firewalls! Vielmehr ist unser Ansatz auch hier, proaktiv das Ausführen von Schadsoftware zu verhindern. Ich hatte ja schon die Geldautomaten angesprochen. Kein Geldautomat auf der Welt muss irgendeine Applikation aus dem Internet oder aus einer E-Mail ausführen. Trotzdem haben die Hersteller der Geldautomaten keinen Schutz eingebaut, der dieses Ausführen von Schadsoftware oder Applikationen verhindert. Diese Aufgabe übernimmt jetzt in vielen Geldautomaten Avecto-Software. Sie blockiert in der Produktionsumgebung alle Programme, die eine Maschine – etwa der Geldautomat – nicht für seine Aufgaben benötigt.

  Technologie ist der eine Teil des Weges zur Digitalisierung. Der zweite Teil ist die Kultur im Unternehmen. Was müssen die Verantwortlichen neu und anders organisieren, damit die Mitarbeiter den Weg mitgehen und nicht in die digitalen Fallen der Hacker treten?

Frauen: Entscheidend ist natürlich die Aufklärungsarbeit. Kommunikation ist wichtig, Awareness erzeugen, und die Mitarbeiter damit sensibel für die Angriffe der Hacker zu machen. Die Verantwortlichen müssen die Mitarbeiter schulen. Schon ein wenig Aufmerksamkeit kann einen erheblichen Gewinn an Sicherheit bringen. Etwa, dass die Mitarbeiter sich genau anschauen, wer schreibt mir eine Mail? Passt die Absenderadresse zu dem Text der E-Mail? Zeigen Links auf die korrekten Zieladressen? Macht es Sinn, dass gerade ich diese E-Mail bekommen habe?
Andererseits werden die Hacker immer besser. Die E-Mails, die sie für ihre Angriffe nutzen, sehen inzwischen täuschend echt aus. Ein normaler Mitarbeiter hat hier mittlerweile große Probleme diese als schädlich zu erkennen. Bestehen Zweifel an der Echtheit, sollte man lieber sichergehen und die potentiell schädlichen Anhänge einer E-Mails löschen, um sich und das Unternehmen zu schützen.

  Viele digitale Dokumente und Mails werden heute überhaupt nicht mehr von Menschen geöffnet und gelesen, sondern von Robotern oder automatisierten Systemen. Wie hoch ist das Risiko, dass eines dieser Systeme auf einen gefährlichen Link »klickt« und damit das Unternehmen an Hacker ausliefert?

Frauen: Wenn die Unternehmen den Robotern erlauben, Anhänge zu öffnen oder auf Links zu klicken, dann ist das eine große Gefahr. Die IT-Abteilungen sollten dies nicht erlauben. Da sollte immer ein Mensch die Entscheidung übernehmen. Denn Roboter haben es schwer mit der Erkennung, ob eine E-Mail gefährlich ist und können nicht entscheiden, ob eine Mail besser nicht geöffnet werden sollte.

.