Wie sich Ransomware-Attacken mit Filesharing-Systemen erfolgreich abwehren lassen

Nürnberg, 1. April 2020 – File-Sharing-Lösungen ermöglichen nicht nur einen effizienten Dateiaustausch. Sie können auch ein äußerst wirksames Verteidigungsmittel gegen Ransomware sein. File-Sharing-Spezialist ownCloud erläutert, wie das geht.

Ransomware ist eine permanente Sicherheitsbedrohung – für Unternehmen und öffentliche Einrichtungen ebenso wie für Privatpersonen. Es vergeht kaum ein Monat ohne Schlagzeilen über Attacken mit dieser Art von Schadsoftware. Eine hervorragende Verteidigung dagegen können Systeme bieten, die man dabei erst einmal gar nicht im Sinn hat: File-Sharing-Lösungen. Um einen effizienten Dateiaustausch zu ermöglichen, halten solche Lösungen Dateien und Dokumente auf zentralen Servern vor und synchronisieren sie mit den Endgeräten der User. Diese zentrale Dateiverwaltung macht sie auch zur idealen Plattform für die Abwehr von Ransomware-Attacken. Dazu müssen sie aber einige spezielle Fähigkeiten mitbringen. ownCloud erläutert, welche:

1. Schwarze Liste führen. In den allermeisten Fällen verändert Ransomware die Endungen der Dateien, die sie verschlüsselt. Das ermöglicht es dem File-Sharing-System, eine schwarze Liste mit Endungen zu führen, die für Ransomware typisch sind – und das Hochladen von Dateien mit solchen Endungen auf die zentralen Server zu blockieren. Dann können verseuchte Dateien keine weiteren infizieren und die Originaldateien bleiben unbeschadet erhalten. Diese schwarze Liste muss unverzüglich aktualisiert werden, sobald neue Ransomware-Endungen bekannt werden.

2. Betroffene Benutzerkonten sperren. Als zusätzliche Sicherheitsschicht sollte die File-Sharing-Lösung Benutzerkonten, die von auffälligen Dateiänderungen betroffen sind, automatisch sperren. Dann ist es nicht mehr möglich, über den Client des betroffenen Endgeräts auf das Konto zuzugreifen, wodurch eine weitere Ausbreitung der Schadsoftware ebenfalls unterbunden wird. Ist das Ransomware-Problem gelöst, sollten sich die Konten vom Administrator oder den betroffenen Usern selbst wieder entsperren lassen.

3. Angriffszeitpunkt ermitteln. Etwa zehn Prozent der Ransomware verändert die Dateiendungen nicht und verhindert so ihre Erkennung durch schwarze Listen. Für diese Fälle benötigt eine File-Sharing-Lösung weitere Funktionen, um die unvermeidbaren Schäden wieder rückgängig zu machen. Dazu zählt ein Scanner, mit dem der Zeitpunkt des Angriffs eindeutig identifiziert werden kann. Das ist die Grundvoraussetzung dafür, betroffene Dateien wiederherstellen zu können.

4. Verschlüsselte Dateien zurücksetzen. Für diese Wiederherstellung benötigt die File-Sharing-Lösung einen „Restorer“, der im Grunde genommen eine Erweiterung ihrer Versionierungsmöglichkeiten darstellt. Der Restorer sollte es erlauben, jede beliebige Datei auf jeden beliebigen Zeitpunkt zurückzusetzen – was im Fall einer Ransomware-Attacke der Zeitpunkt unmittelbar vor dem Angriff wäre. Diese „Roll-Back“-Funktion lässt sich idealerweise auf einzelne Benutzerkonten anwenden, denn dann ist das Einspielen groß angelegter Back-ups überflüssig und Ausfallzeiten werden vermieden.

„Bringt eine File-Sharing-Lösung die richtigen Funktionen mit, kann sie einen umfassenden Schutz gegen Ransomware bieten“, sagt Holger Dyroff, Chief Operating Officer und Managing Director bei ownCloud in Nürnberg. „Dabei kann sie aber logischerweise nur Dateien und Dokumente schützen, die auch auf den zentralen Servern der Lösung vorgehalten und mit den Endgeräten synchronisiert werden. Deshalb sollten Unternehmen idealerweise sämtliche Dateien mit der File-Sharing-Lösung verwalten oder zumindest die wichtigsten und kritischsten davon – auch wenn sie vielleicht gar nicht unbedingt geteilt werden müssen.“