Auch wenn seit dem Auftreten von WannaCrypt bereits viel über den Cyber-Schädling geschrieben wurde, kommt man kaum umhin, ihn in einem Security-Blog als Paradebeispiel anzuführen: Eine bislang unbekannte Malware missbraucht eine (an sich längst bekannte, mit Update zu schließende) Sicherheitslücke und macht damit weltweit Schlagzeilen. Denn infolge der Malware-Infektion standen bei einem Autobauer die Bänder sowie bei einem Logistiker die Paketbeförderung still und bei der Deutschen Bahn fielen die Fahrkartenautomaten und Displays an den Bahnsteigen aus.

Es soll hier gar nicht um die möglichen Versäumnisse der betroffenen Unternehmen in Sachen Patch-Management gehen. Sondern darum, dass Malware - ob nun gezielt eingeschleust oder per Gießkanne verteilt wie WannaCrypt - ganz offensichtlich eine echte Gefahr ist für den Geschäftsbetrieb (durch Verschlüsselung von Daten per Ransomware) ist beziehungsweise für den künftigen Geschäftserfolg (durch Diebstahl von geistigem Eigentum per Trojaner).

Was aber bleibt Unternehmen, um ihre Netzwerke vor Attacken wie WannaCrypt & Co. zu schützen? Es ist zweifelsohne anzunehmen, dass die betroffenen Organisationen Antivirensoftware und Firewalls im Einsatz hatten - die Malware aber dennoch durchkam. Doch wenn schon große Unternehmen wie die deutsche Bahn sich dem Cyber-Schädling gegenüber machtlos zeigten - wie können sich dann KMU wirksam vor derlei Gefahren schützen?

Analyse in der Sandkiste

In der Tat gibt es längst technische Mittel, auch unbekannte Schädlinge auszusperren. In vielen Köpfen herrscht noch der Gedanke, dass Antivirensoftware ausschließlich per Signaturdatenbank auf die Jagd nach Schadsoftware geht. Was nicht in der Datenbank hinterlegt ist, kommt unbemerkt an dem Sicherheitsdetektor vorbei. Dieser Gedanke ist jedoch überholt. Stand der Technik sind vielmehr Komponenten, die ihre eigenen Signaturen erstellen und im Netzwerk verteilen können. Diese modernen Schutzsysteme untersuchen alle unbekannten Dateien in sogenannten Sandboxen und beobachten das Verhalten der fraglichen Software. Benimmt sie sich auffällig, wird sie abgefangen und gelöscht.

Komplett wird der Schutz aber erst, wenn auch der ein- und ausgehende Datenverkehr untersucht wird - ein Job für Firewalls. Nachdem Schädlinge heute aber überwiegend verschlüsselt mit ihren Command & Control-Servern kommunizieren und oft auch von per TLS (https) geschützten Servern einfliegen, bleiben herkömmliche Firewalls blind. Es gilt also, den verschlüsselten Datenverkehr an der Netzwerkgrenze zu entschlüsseln, um den Inhalt auf Schad-Code oder abgegriffene Daten zu untersuchen. Diese Funktion ist zwar schon seit Jahren üblich und bekannt, wird aber noch in zu wenigen Netzwerken eingesetzt. Das macht es den Angreifern unnötig leicht, die Schadsoftware einzuschleusen und später die gewünschten Daten unbemerkt nach draußen zu befördern.

Überforderung ist nicht die Ausnahme - sondern der Normalzustand

Viele der heute schon eingesetzten Antivirenlösungen bringen eine Funktion mit, die Webseiten vor dem ersten Kontakt durch einen Client auf deren Reputation hin prüfen. Von schlecht beleumundeten Seiten nimmt der Client dann keine Daten entgegen. Die zur Prüfung notwendigen Angaben stammen aus einer ständig vom Hersteller erweiterten Datenbank, die auf einem Server im lokalen Netzwerk liegt; andernfalls würden sämtliche Clients bei jedem Aufruf einer URL auf die Cloud zugreifen und so die Bandbreite überflüssig belasten. Obwohl diese Reputationsprüfung seit einigen Jahren zum Standardrepertoire gängiger kommerzieller Antivirensoftware gehört, aktivieren sie viele IT-Administratoren nicht.

Der Grund dafür liegt in der Überlastung der IT-Mitarbeiter insbesondere in kleinen und mittleren Unternehmen. Sie müssen nicht nur die IT-Infrastruktur betreiben, sondern auch den Überblick über die Angriffsmethoden und die passenden Verteidigungsmaßnahmen behalten. Letzteres natürlich abgestimmt auf die kritischen Prozesse im Unternehmen. Andernfalls würde Geld ausgegeben für Lösungen, die im konkreten Fall weniger nutzen als sie kosten.

Für mittelständische und kleinere Unternehmen ist es daher an der Zeit, sich einen vertrauenswürdigen Berater an die Seite zu holen. Dieser "Trusted Advisor" prüft nicht nur, welche ungenutzten Funktionen bereits vorhandener Antivirensoftware sich freischalten lassen. Er geht auch längst fällige Maßnahmen wie die Installation des erwähnten SSL-Interception-Proxys an.

Natürlich können Dienstleister über ein solches Assessment hinaus auch den Betrieb der jeweiligen Komponenten als Managed Service übernehmen. Wichtig dabei ist, dass die Auftraggeber diesen Posten mit einkalkulieren und das Budget nicht auf die Anschaffungs- und Installationskosten der jeweiligen Lösung beschränken.

Mehr Sicherheit durch breites Know-how in der Belegschaft

Oftmals übersehen wird bei der Kalkulation auch, Geld für Schulungsmaßnahmen zu budgetieren - und zwar Schulungen nicht nur der IT-Mitarbeitern, sondern der ganzen Belegschaft. Awareness-Trainings, die die Mitarbeiter regelmäßig mit den gängigen Social-Engineering- und sonstigen Angriffstechniken vertraut machen, gehören inzwischen genau wie Virenscanner und Firewall zum erforderlichen Repertoire. Andernfalls kommt es immer wieder zu Klicks auf verseuchte E-Mail-Anhänge - so wie im Fall der Deutschen Bahn, die sich WannaCrypt sehr wahrscheinlich auf diesem Weg ins Netzwerk holte. Ohne Schulungen wissen die Mitarbeiter überdies nicht, welche Möglichkeiten Angreifer aus verseuchten PDF- oder Word-Dokumenten schöpfen können.

Um die gesamte Belegschaft trotz beschränkter Ressourcen stets auf dem aktuellen Wissensstand zu halten, kann die IT-Abteilung nicht alleine auf Präsenzschulungen bauen - das wäre zu aufwendig - sondern muss eine E-Learning-Plattform etablieren. Dienstleister wie auch Anwenderunternehmen bestücken die Plattform mit den unternehmensspezifischen Inhalten, mit denen Anwender im eigenen Tempo lernen können - Lernzielkontrollen inklusive.

Die Kombination aus Technologie (moderner AV-Lösung, SSL-Interception-Proxy) und Wissen (Awareness-Schulungen) ist es, mit der gerade KMU Gefahren wie Ransomware aus dem Netzwerk fern- und die Produktivität aufrechterhalten können.