5 Tipps zur Erhöhung der Netzwerksicherheit – am Beispiel Emotet
Angst – Unbezahlte Rechnungen, Mahnungen, verschobene Termine, Fehler machen. Unwissenheit – Was ist Malware? Wie schütze ich mich gegen Malware? Warum sollte ich nicht jeden Link einfach anklicken?
Die Beispiele für beide Faktoren, die sich die aktuelle Infektionswelle von Emotet zu Nutze macht, können beliebig erweitert werden. Und gerade die Paarung von Angst und Unsicherheit macht Emotet so gefährlich. Sowohl Anwender, als auch IT Verantwortliche sind betroffen. Der Trojaner verbreitet sich über den Einfallsvektor E-Mail. Dabei setzt Emotet auf Outlook-Harvesting und kann somit täuschend echt wirkende Kommunikation erzeugen.
Ist ein System mit dem Trojaner infiziert versucht dieser zunächst, Anmeldeinformationen für das Netzwerk zu ermitteln um sich dann zu verbreiten und weitere Systeme zu infizieren (lateral movement). Dabei wird unter anderem der EternalBlue-Exploit genutzt, dieselbe Schwachstelle, die bereits von WannaCry genutzt wurde.
Anschließend wird Emotet versuchen, sich zu seinen Command & Control Servern zu verbinden um den eigentlichen Schadcode nachzuladen. Ob es sich dabei um Spyware, Ransomware oder sonstige Malware handelt, das Ergebnis ist in den meisten Fällen hoher wirtschaftlicher Schaden.
Was kann man also tun, um sich vor Emotet zu schützen?
1. Endpoint-Schutz
Eine aktuelle Schutzsoftware gegen Malware ist unumgänglich. Neben herkömmlichen Funktionen wie Antivirus und Firewall sollten auch Module zur Verfügung stehen, die das System gegen unbekannte Bedrohungen absichern. Dazu zählen:
– Behavior Monitoring: Analyse der Aktivität von ausführbarem Code auf dem System.
– Predictive Machine Learning: Extraktion von Features unbekannter Dateien, um Übereinstimmungen mit Features bekannten Schadcodes zu finden und Prognosen zur Einstufung der unbekannten Datei (vertrauenswürdig/schädlich) treffen zu können.
– Suspicious Connection Detection: Erkennung von Datenverkehr zu bekannten Command & Control Servern
2. Patch-Management
Malware nutzt immer wieder Schwachstellen im Betriebssystem oder in Anwendungen aus. Diese Schwachstellen müssen geschlossen werden. Oftmals dauert es jedoch einen längeren Zeitraum vom Entdecken einer Schwachstelle bis zur Veröffentlichung eines Patches durch den Hersteller. In diesen Fällen kann virtuelles patchen Abhilfe schaffen. Virtual Patching ist vergleichbar mit einem Pflaster, welches bis zur Heilung einer Wunde angebracht wird, um eine Infektion zu verhindern.
3. Anwender-Awareness
Ein großes Risiko für die Sicherheit des Netzwerkes ist der Faktor Mensch. Ob es nun wirklich die Angst ist, eine Rechnung nicht bezahlt zu haben oder die Unwissenheit, dass Rechnungen in der Regel nicht als Word-Dokumente mit Makros verschickt werden – Netzwerksicherheit schließt die Sensibilisierung und kontinuierlichen Schulung der Anwender ein.
4. Berechtigungskonzept
Nicht jeder Anwender benötigt Zugriff auf sämtliche Daten. Nicht jeder Anwender benötigt Berechtigungen eines lokalen Administrators. Ein abgestuftes Berechtigungskonzept verringert nicht nur das Risiko einer Infektion mit Malware, auch die Verbreitung und Auswirkungen einer Infektion werden eingedämmt. Ein umfassendes Berechtigungskonzept schließt: Lokale Berechtigungen, Netzwerkberechtigungen (NTFS), wechselnde Kennwörter und Internetzugriffe ein. Natürlich müssen diese Punkte auch für die Administratoren des Netzwerks beachtet werden.
5. Netzwerksegmentierung
Die Aufteilung der Netzwerksegmente (Server, Buchhaltung, Produktion, etc.) in VLANs ist gerade in Verbindung mit modernen Intrusion Prevention Systemen sinnvoll. Die Verbreitung von Malware zwischen den Segmenten kann auf diese Weise mit einfachen Mitteln unterbunden werden.