Filesharing als Waffe gegen Ransomware-Attacken

Ransomware ist eine permanente Sicherheitsbedrohung. Eine hervorragende Verteidigung dagegen sind Filesharing-Lösungen. Um einen effizienten Dateiaustausch zu ermöglichen, halten solche Lösungen Dateien und Dokumente auf zentralen Servern vor und synchronisieren sie mit den Endgeräten der User. Diese zentrale Dateiverwaltung macht sie auch zur idealen Plattform für die Abwehr von Ransomware-Attacken. Dazu müssen sie aber einige spezielle Fähigkeiten mitbringen. File-Sharing-Spezialist ownCloud erläutert, welche:

1. Schwarze Liste führen. In den allermeisten Fällen verändert Ransomware die Endungen der Dateien, die sie verschlüsselt. Das ermöglicht es dem Filesharing-System, eine schwarze Liste mit Endungen zu führen, die für Ransomware typisch sind – und das Hochladen von Dateien mit solchen Endungen auf die zentralen Server zu blockieren. Dann können verseuchte Dateien keine weiteren infizieren und die Originaldateien bleiben unbeschadet erhalten. Diese schwarze Liste muss unverzüglich aktualisiert werden, sobald neue Ransomware-Endungen bekannt werden.
2. Betroffene Benutzerkonten sperren. Als zusätzliche Sicherheitsschicht sollte die File-Sharing-Lösung Benutzerkonten, die von auffälligen Dateiänderungen betroffen sind, automatisch sperren. Dann ist es nicht mehr möglich, über den Client des betroffenen Endgeräts auf das Konto zuzugreifen, wodurch eine weitere Ausbreitung der Schadsoftware ebenfalls unterbunden wird. Ist das Ransomware-Problem gelöst, sollten sich die Konten vom Administrator oder den betroffenen Usern selbst wieder entsperren lassen.
3. Angriffszeitpunkt ermitteln. Etwa zehn Prozent der Ransomware verändert die Dateiendungen nicht und verhindert so ihre Erkennung durch schwarze Listen. Für diese Fälle benötigt eine Filesharing-Lösung weitere Funktionen, um die unvermeidbaren Schäden wieder rückgängig zu machen. Dazu zählt ein Scanner, mit dem der Zeitpunkt des Angriffs eindeutig identifiziert werden kann. Das ist die Grundvoraussetzung dafür, betroffene Dateien wiederherstellen zu können.
4. Verschlüsselte Dateien zurücksetzen. Für diese Wiederherstellung benötigt die Filesharing-Lösung einen «Restorer», der im Grunde genommen eine Erweiterung ihrer Versionierungsmöglichkeiten darstellt. Der Restorer sollte es erlauben, jede beliebige Datei auf jeden beliebigen Zeitpunkt zurückzusetzen – was im Fall einer Ransomware-Attacke der Zeitpunkt unmittelbar vor dem Angriff wäre. Diese «Roll-Back»-Funktion lässt sich idealerweise auf einzelne Benutzerkonten anwenden, denn dann ist das Einspielen gross angelegter Back-ups überflüssig und Ausfallzeiten werden vermieden.

«Bringt eine Filesharing-Lösung die richtigen Funktionen mit, kann sie einen umfassenden Schutz gegen Ransomware bieten», sagt Holger Dyroff, Chief Operating Officer und Managing Director bei ownCloud in Nürnberg. «Dabei kann sie aber logischerweise nur Dateien und Dokumente schützen, die auch auf den zentralen Servern der Lösung vorgehalten und mit den Endgeräten synchronisiert werden. Deshalb sollten Unternehmen idealerweise sämtliche Dateien mit der Filesharing-Lösung verwalten oder zumindest die wichtigsten und kritischsten davon – auch wenn sie vielleicht gar nicht unbedingt geteilt werden müssen.»

Quelle: ownCloud

Siehe auch Artikel «Sicheres Filesharing – fünf Erfolgsfaktoren»