NDR

Cybersecurity: Eine schnelle Erkennung von möglichen Angriffen ist entscheidend

, München, Vectra | Autor: Herbert Wieler

Cybersecurity: Eine schnelle Erkennung von möglichen Angriffen ist entscheidend

Ransomware-Angriffe mittels NDR und KI erkennen

Den ersten Trojaner wurde 1989 auf einer Diskette an Forschungseinrichtungen rund um den Globus verschickt. Seitdem sind Softwareangriffe mit erpresserischem Hintergrund für viele Unternehmen zur Normalität geworden. Schädliche Computersoftware, oft getarnt als völlig harmlose Programme, hat bei Privatanwendern, Unternehmen und Regierungsbehörden Schäden in Milliardenhöhe verursacht. Während Trojaner, Würmer und andere Malware den Betroffenen erheblichen Schaden zufügen, arbeitet Ransomware noch heimtückischer als andere Malware. Das liegt an ihrer effektiven Tarnung und erpresserischen Natur. Wer sich Ransomware einfängt, muss in der Regel mit einem digitalen Totalverlust rechnen.

Was dem menschlichen Auge entgeht, lässt sich mittels künstlicher Intelligenz erkennen und bekämpfen. Aber wie kann man sich vor Ransomware schützen? Und wie kann KI dabei helfen, digitale Eindringlinge schnell und in Echtzeit zu lokalisieren und unschädlich zu machen? Vectra AI, Experte für KI/ML-basierte Malware-Erkennung, erläutert, welche Methoden helfen können Ransomware frühzeitig zu identifizieren und Schäden einzudämmen.

Ransomware – ein Wettlauf mit der Zeit

Im Wesentlichen ähnelt der Einschleusungsprozess von Ransomware dem von anderer Malware: Die Angreifer verschaffen sich über eine Schwachstelle im Netzwerk Zugang zu Computern und Servern. Sobald sich die Ransomware im Netzwerk etabliert hat, beginnt ein Wettlauf mit der Zeit. Die Betroffenen haben die Aufgabe, den Schaden so schnell wie möglich einzudämmen, wenn sie nicht Lösegeld für die Wiederbeschaffung ihrer Daten zahlen wollen. Heutzutage akzeptieren die Ransomware-Erpresser auch Zahlungen in Form von Bitcoin, wie es WannaCry demonstriert hat.

Besonders ärgerlich für Netzwerkadministratoren sind die irreversiblen Schäden, die durch eine Ransomware-Infektion entstehen. Daher wird ein Ransomware-Angriff oft als eine große digitale Katastrophe betrachtet. Allein im Jahr 2020 entstand durch Datendiebstahl, Spionage und Sabotage ein Schaden von über 220 Milliarden Euro. So gaben fast 88 Prozent der Unternehmen in Deutschland an, bereits Ziel eines Cyberangriffs gewesen zu sein. Ein wirksamer Schutz vor Ransomware ist für jedes Unternehmen unerlässlich und eine Herausforderung für die IT-Abteilung. Das gilt auch für jede Privatperson, denn in letzter Zeit zielen immer mehr Ransomware-Angriffe auf private Systeme.

Ein wesentlicher Faktor, der die Abwehr von Ransomware so schwierig macht, ist die Art und Weise, wie sich die Malware Zugang zum System verschafft. Nicht selten verstecken sich die Programme hinter relativ harmlosen Namen oder in E-Mail-Anhängen. Auf ihrem Weg zur Infizierung wichtiger Dateien umgeht die Ransomware in der Regel jeglichen Malware-Schutz. Den Benutzern die Schuld dafür zu geben, dass sie E-Mails öffnen und auf Anhänge klicken, ist daher ziemlich kurzsichtig.

Cyberkriminelle werden immer geschickter in ihrem Handwerk. Neben gefälschten E-Mails gibt es inzwischen zahlreiche Möglichkeiten, wie Ransomware in das eigene Netzwerk eindringen kann. Innovative Technologien wie NFC scheinen auf den ersten Blick ein großer Fortschritt zu sein, aber sie stellen auch einen weiteren Einstiegspunkt für Malware dar. Bislang gibt es keine wirklich wirksame Möglichkeit, das Eindringen von Ransomware zu verhindern. Stattdessen sind die Nutzer darauf angewiesen, auf eine Infektion zu reagieren.

Wie sollen Endnutzer und Administratoren den Überblick behalten? Bislang verlief der Kampf gegen die Cyberkriminalität nach einem recht einheitlichen Muster: Angreifer erstellen eine neue Malware und setzen sie ein. Die Sicherheitsteams bemerken die verdächtigen Aktivitäten und isolieren die fraglichen Dateien. Anschließend entwickeln die Sicherheitsexperten in der IT-Abteilung ein wirksames Gegenmittel gegen die digitale Plage. Das Ergebnis ist in der Regel eine neue Regel oder Richtlinie, die in die Firewall eingebaut wird.

Dieses Katz-und-Maus-Spiel gibt es nun schon seit mehr als drei Jahrzehnten. Doch was wäre, wenn KI-gestützte Systeme diese Angriffe im Voraus erkennen könnten? Was wäre, wenn automatisierte Anti-Ransomware-Tools die Malware bereits in einem frühen Stadium entlarven und effektiv bekämpfen könnten – noch bevor sie Schaden anrichten kann?

Wie NDR bösartige Ransomware-Angriffe entlarvt

Genau das ist der Ansatz der NDR-Technologie . Network Detection and Response (NDR) ist eine hocheffektive Cybersicherheitslösung, die automatisch nach unbefugten oder verdächtigen Netzwerkzugriffen sucht. Um dies zu erreichen, nutzt das NDR-Programm maschinelles Lernen. Dabei beobachtet es die Aktivitäten und prüft, ob sie mit dem üblichen Verhaltensmuster des Netzwerks übereinstimmen.

Die Vorteile für Netzbetreiber und Administratoren liegen auf der Hand. Je weniger Zeit sie in die aktive Suche nach Datenlecks oder Schlupflöchern investieren müssen, desto besser. Ist der Schaden erst einmal da, ist die Behebung nicht nur arbeitsintensiv, sondern kostet auch Geld – und Nerven. Genau diesen Teil der Arbeit soll in Zukunft eine KI-basierte NDR-Software übernehmen, um IT-Sicherheitsbeauftragte und Administratoren zu entlasten.

Mit der richtigen Konfiguration kann NDR einen effektiven Schutz vor Ransomware bieten. Oft werden die unerlaubten Zugriffe sofort nach ihrem Auftreten erkannt. Dazu nutzt die Software die Verhaltensmuster aus der Datenbank: Erscheint eine Aktivität verdächtig, beobachtet die NDR-Software die folgenden Schritte mit wachsamem Auge. Sobald ein potenziell bösartiges Verhalten erkannt wird, schlägt die Software Alarm: entweder durch eine Benachrichtigung des Nutzers oder durch die automatische Isolierung der fragwürdigen Gäste.