Antiviren-Software zum Schutz vor Ransomware … die Definition von Wahnsinn?

Posted by: Alex Kurz  /  16 May 2017 13:54:44 BST

Young man under pressure between two stone walls.jpeg

In Bezug auf den kürzlich erfolgten globalen Ransomware-Angriff hielten wir es für eine gute Idee, diesen Blog vom 18. April aus dem Englischen zu übersetzen und auch hier zu posten.

Die Geschwindigkeit, mit der sich Ransomware verbreitet, ist überwältigend. Das SonicWall Global Response Intelligence Defense (GRID) Network hat 2015 etwa 3,8 Millionen Angriffe verzeichnet. Im vergangenen Jahr stieg diese Zahl auf 638 Millionen Attacken an. Sie haben richtig gelesen – 638 Millionen! Das sind gut 167 Mal so viele Angriffe wie 2015. Wow! Dabei liegen die Gründe für diese Entwicklung auf der Hand. Es ist ein sehr profitables Geschäft! Ransomware ist eine Klasse von Schadprogrammen, die Ihre Daten verschlüsseln und „Lösegeld“ für die Entschlüsselung verlangen. Die moderne Version von „Geld oder Leben!“ sozusagen.

Was ist also die Antwort? Antiviren-Software, Antiviren-Software und noch mehr Antiviren-Software?

Obwohl der Ansatz ganz offensichtlich nicht funktioniert, scheint die Branche auf Bedrohungen mit der stets gleichen Antwort zu reagieren: Antiviren-Scanner bieten den bestmöglichen Schutz vor Ransomware. Vielleicht hier und da etwas anders positioniert und vermarktet, aber im Zentrum steht immer die Antiviren-Software (AV).


Antiviren-Scanner sind seit Jahren allgegenwärtig. AV-Software ist auf nahezu jedem Computer vorinstalliert. Es gibt Server-basierte Versionen, AV-as-a-Service-Modelle und auch die meisten traditionellen Web-Gateways integrieren AV-Systeme. Das Problem ist nur, dass es sich bei den meisten Ransomware-Varianten um spezialisierte und einzigartige Schadsoftware handelt, die von Angriff zu Angriff variiert. Neue Versionen entstehen und verbreiten sich in einer Geschwindigkeit, die es AV-Anbietern unmöglich macht, ihre Systeme schnell genug zu aktualisieren. Traditionelle Antiviren-Software ist gegenüber diesen Angriffen daher praktisch machtlos.

Doch warum ist Antiviren-Software noch immer ein “must have“ bei Webfiltern?

Wir sehen es eins ums andere Mal: AV ist ein fester Bestandteil jedes Pflichtenheftes für Webfilter-Implementationen. Warum das so ist? Weil es schon immer so war. Weil Admins sich daran gewöhnt haben. Weil sie sich ohne AV den Gefahren schutzlos ausgeliefert fühlen würden. Weil es scheint, dass Server-AV, Desktop-AV, Smart Firewalls und was sonst noch so im Einsatz ist, mit der Entwicklung nicht mehr Schritt halten können. Machen wir also weiter wie bisher und setzen einfach noch eine weitere AV-Engine oben drauf?

In Bezug auf Ransomware funktioniert dieser Ansatz ganz eindeutig nicht. Denn wie Albert Einstein einst gesagt hat: „Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten.“

Neue Bedrohungen, neue Ansätze …

Neue Bedrohungen verlangen neue Lösungen. Nehmen wir beispielsweise ein Konzept wie Unified Security, das an Bedrohungen wie Ransomware auf eine grundsätzlich andere Weise herangeht: Schädliche Inhalte werden nicht dadurch identifiziert, dass man sie auf binärer Ebene analysiert (was ohnehin auf dem Desktop geschieht). Stattdessen wird die Tatsache genutzt, dass jede Schadsoftware auf irgendeine Weise verbreitet werden muss.

Um herauszufinden, welche Webseiten für die Verteilung von Ransomware und anderen Schadprogrammen genutzt werden, verwendet unsere Kategorisierungs-Engine statische Analysen, Verhaltensanalysen, Branchen-Feeds Dritter sowie manuell überwachtes Machine-Learning. Erfasst werden nicht nur bekannte dubiose Webseiten. ALLE Webseiten – auch Nachrichtenportale, Anbieter-Websites und andere renommierte Internetauftritte – werden regelmäßig analysiert und bei „schlechtem Verhalten“ gelistet. Anstatt also die immer gleichen Tricks aus dem Ärmel zu schütteln, die schon jeder Desktop-Scanner kennt, schafft CensorNet’s Unified Security Service einen echten Mehrwert: Angriffe werden bereits gestoppt, bevor sie das lokale Netzwerk überhaupt erreichen. In Zukunft wird dieser Ansatz noch um verhaltensgestütztes und autonomes Machine-Learning erweitert werden. Diese Mechanismen erfassen nicht nur Bedrohungen durch Web-Surfen, sondern durchleuchten alle möglichen Einfallspunkte wie Web, E-Mail und Apps.

Auch wenn Sie Antiviren-Software noch nicht loslassen möchten – was hinsichtlich der langen und glücklichen Beziehung mit den jeweiligen Lösungen auch vollkommen verständlich ist – ist es doch wichtig, sich auch mit neuen Ansätzen zu beschäftigen, um Ihr Unternehmen auch weiterhin vor modernen Bedrohungen wie Ransomware zu schützen.

Bleiben zum Abschluss noch die Worte William Shakespeares: „Ist dies schon Wahnsinn, so hat es doch Methode.“ Zumindest mit den richtigen Werkzeugen ist das korrekt.

Topics: Cloud Application Control, Email security, Ransomware, Unified Security Service, Secure Web Gateway