Bromium: Virenscanner sind die falsche Abwehr gegen Ransomware

Heilbronn, 21. Juni 2016 – Ransomware boomt, auch in Deutschland. Herkömmliche Maßnahmen reichen aber nicht aus, um sie abzuwehren, weil sie die Schadsoftware oft zu spät erkennen. Unternehmen sollten einen besseren Weg gehen, betont Sicherheitssoftware-Anbieter Bromium: weg von der Erkennung, hin zur Isolierung.

Ransomware ist mittlerweile eine der größten, wenn nicht die größte Sicherheitsbedrohung für Konsumenten und Unternehmen: Einige Experten haben 2016 bereits als “Jahr der Ransomware” deklariert. Kein Wunder, denn für Hacker ist der neue Bedrohungstrend besonders einträglich: die Lösegelder, die sie für die Freigabe von geblockten Daten verlangen, ist eine direkte Monetarisierung ihrer Taten, ganz ohne Umwege und viel schneller als Datenklau oder Industriespionage. Die Bezahlung per Kryptowährung macht sie zudem unauffindbar – paradiesische Zustände also für die Betrüger.

Wohl deshalb hat sich die Anzahl der Ransomware-Familien innerhalb der letzten drei Jahre versechsfacht, so der Bromium 2015 Threat Report. “In den nächsten ein bis zwei Jahren sind noch sehr viel mehr Ransomware-Varianten zu erwarten”, erklärt Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn, “und sie werden auch noch heimtückischer wirken, indem sie zum Beispiel Backups infizieren oder Daten einfach unwiederbringlich löschen. Das ist gerade für Unternehmen eine gigantische Bedrohung – und auch teuer.”

Die Schadsoftware, die typischerweise per Link oder E-Mail-Dateianhang auf Endpoint-Rechner gelangt, ist durch klassische Maßnahmen wie Virenscanner, Firewalls oder Intrusion-Prevention-Systeme nicht zuverlässig abzuwehren, weil diese Lösungen auf die Erkennung der eingeschleusten Malware angewiesen sind, etwa durch Signaturen, Verhaltensanalysen oder heuristische Methoden. Zwischen Infizierung und Erkennung liegt aber meist eine größere Zeitspanne, weil die Anbieter der Systeme nicht in der Lage sind, Abwehrmaßnahmen in Echtzeit zu entwickeln. “Während dieser zeitlichen Lücke kann alles passieren”, erklärt Koehler, “und auch wenn die Ransomware erkannt wird, heißt das noch lange nicht, dass die Abwehr zuverlässig ist.” Er plädiert für eine alternative Herangehensweise: “Was wäre, wenn es völlig egal ist, ob Ransomware auf einem Rechner ausgeführt wird oder nicht?”

Bromium geht genau diesen Weg: die Micro-Virtualisierungstechnologie des Softwareherstellers isoliert jegliche Aktivität eines Anwenders vollständig vom Rest des Systems. Ob Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts: jede dieser Aktivitäten wird innerhalb einer Hardware-isolierten Micro-VM gekapselt. Was darin passiert, ist völlig unerheblich und hat keinerlei Einfluss auf Gerät oder Betriebssystem – es kann also auch beliebig viel Schadsoftware ausgeführt werden. Mit dem Schließen eines Dokuments oder dem Verlassen einer Webseite verschwindet auch die Micro-VM inklusive sämtlicher Inhalte, also auch der möglichen Ransomware.

“Mit unserem Lösungsansatz haben wir einen Paradigmenwechsel in der Endpunkt-Sicherheit eingeleitet: nicht die unzuverlässige Erkennung von Ransomware steht im Vordergrund, sondern der elegante Schutz vor deren Auswirkungen”, so Koehler. “Damit umgehen wir das Problem herkömmlicher Sicherheitslösungen, die keinen zuverlässigen Schutz bieten können, weil sie mit der dynamischen Weiterentwicklung von Ransomware strukturbedingt nicht Schritt halten können.”