“Wer sich bei Cyber-Attacken auf andere verlässt, der ist verlassen!“

Whitelisting als probates Mittel gegen Ransom-Ware

Die Ransom-Ware „WannaCrypt“ war ein weiterer, heftiger Warnschuss bezüglich der Bedeutung der IT-Sicherheit. Microsoft nimmt sogar die Regierungen in die Pflicht und wählt einen drastischen Vergleich: Ein solcher Cyberangriff habe ein ähnliches Gefährdungspotenzial wie der Diebstahl von „Tomahawk“-Marschflugkörper.

„Microsoft schlägt eine Art Genfer Konvention vor, um die Vorratshaltung von Cyber-Waffen zu beenden“, erklärt Bjørn Søland, technischer Experte bei Nexus. „Die Idee ist gut. Aber die Umsetzung wird Jahre dauern – sofern sie überhaupt umgesetzt wird. Aber schon heute gibt es ein probates Mittel gegen Cyber-Attacken. Es heißt Whitelisting„, erklärt Søland.

„Die Ransom-Ware WannaCrypt hat die Schwachstelle herkömmlicher Sicherheitslösungen gnadenlos ausgenutzt. In diesem Fall kam einiges zusammen. Die Schwachstelle war längst bekannt, trotzdem wurde die Sicherheitslücke von Regierungsstellen bewusst unter Verschluss gehalten“, erläutert Søland.

Nicht nur auf Sicherheits-Patches verlassen

„Die NSA wusste von der Sicherheitslücke, hat sie aber nicht gemeldet. Dann ist sie der NSA gestohlen worden und das Unglück nahm seinen Lauf. Ein Patch wurde zwar relativ zügig veröffentlicht, aber der Schaden war längst angerichtet.“

„Unternehmen, die auf den Betrieb ihrer Systeme angewiesen sind, sollten sich nicht alleine auf die Bereitstellung von Sicherheits-Patches verlassen. Sie können ihre kritischen Systeme schützen, indem sie eine sogenannte Whitelisting-Lösung einsetzen“, erklärt Søland.

Beim Whitelisting wird definiert, welche Anwendungen auf einem Gerät oder System laufen dürfen. Antivirensoftware muss ständig Ausschau halten nach Hunderttausenden von bekannten Gefahren.

Vertrauenswürdige Identitäten auch für Software

Whitelisting ist wesentlich schneller: Hier wird lediglich eine übersichtliche Liste zugelassener Anwendungen abglichen. Nur wenn eine Datei zu einer zugelassenen Anwendung gehört, wird ihre Ausführung zugelassen.

Die Whitelisting-Lösung Nexus SE46 besteht aus zwei Komponenten:

  • SE46 Software ID Agent
  • SE46 Software ID Certificate Studio

Der Agent wird auf dem zu schützenden System installiert und verhindert das Ausführen von unbekannten Anwendungen und Skripten.

Freigegebene Anwendungen erhalten ein Zertifikat. Anhand dieser elektronischen Identität können Programme eindeutig identifiziert werden. Besitzt eine Anwendung keine gültige elektronische Identität, kann sie nicht gestartet werden.

„Heutzutage ist es nicht praktikabel, alle digitalen Systeme auf eine Whitelist zu setzen. Deshalb muss zunächst muss eine Infrastruktur aufgebaut werden, um eine vertrauenswürdige Whitelist aufzusetzen, die innerhalb des Unternehmens geteilt werden kann. Aber sämtliche kritischen Systeme, auf denen nicht regelmäßig Software installiert werden muss, sollten sofort mit Whitelisting geschützt werden. WannaCrypt hat es gnadenlos gezeigt: Wer sich bei Cyber-Attacken auf andere verlässt, der ist verlassen“, erklärt Bjørn Søland.

Published 15/5 2017

News and Blog