Ransomware ist eine ständige Bedrohung für Unternehmen und Gesellschaft. Daher gilt es, Angriffe mit Erpressungstrojanern auf allen Ebenen zu bekämpfen. Hardware-basierte Maßnahmen spielen dabei eine wesentliche Rolle, wie eine Studie zeigt.
Auch 35 Jahre nach dem ersten Angriff mit einem Erpressungstrojaner bleibt das Thema Ransomware ein Dauerbrenner. Laut Untersuchungen des Digitalverbands Bitkom verzeichneten 52 Prozent der deutschen Unternehmen innerhalb eines Jahres mindestens eine Ransomware-Attacke. Bei 44 Prozent der betroffenen Unternehmen kam es zu Beeinträchtigungen des Geschäftsbetriebs, 11 Prozent mussten Lösegeld zahlen, um wieder an ihre Daten zu kommen, bei einem Prozent passierte das sogar mehrmals. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) stuft Ransomware in seinem Lagebericht 2023 zur IT-Sicherheit in Deutschland daher als die größte Bedrohung für die Wirtschaft, aber auch für Staat und Verwaltung ein.
Ransomware von heute hat kaum mehr etwas mit den per Diskette verschickten Trojanern der Anfangszeit gemein. Cyberkriminelle passen ihre Strategie kontinuierlich an die technologische Entwicklung an, nutzen moderne Vertriebskonzepte wie Ransomware-as-a-Service und reagieren auf verbesserte Sicherheitsmaßnahmen mit neuen Angriffsmethoden. Wurden früher beispielsweise nur Produktivdaten verschlüsselt, so sucht Ransomware heute auch gezielt nach Backup-Dateien, um diese zu löschen oder ebenfalls zu verschlüsseln. In den vergangenen Jahren ist zudem die „Double-Extortion“-Methode in Mode gekommen. Dabei stehlen die Angreifer zunächst sensible Daten, bevor sie die Laufwerke des Opfers unbrauchbar machen. Selbst wenn die betroffenen Unternehmen ihre Systeme wiederherstellen können, müssen sie unter Umständen Lösegeld zahlen, um die Veröffentlichung der gestohlenen Daten zu verhindern.
Die neueste Masche der Kriminellen ist es, sich die Mühen eines Angriffs gleich ganz zu sparen und den Diebstahl sensibler Informationen nur vorzutäuschen. So boten Ende Januar 2024 Kriminelle Daten von fast 50 Millionen Europcar-Kunden im Darknet an, die sie angeblich gestohlen hatten. Die Daten stellten sich jedoch schnell als falsch heraus. Solche Attacken bringen betroffene Unternehmen dennoch in Erklärungsnot. Schließlich müssen sie beweisen, dass die Daten nicht von ihnen stammen, ohne selbst zu viele Informationen preiszugeben.
Hardware als erste Verteidigungslinie
Ransomware benötigt in der Regel die Hilfe argloser Nutzer, um ein Gerät infizieren zu können. Mit Phishing-Mails und Social Engineering verleiten Angreifer ihre Opfer dazu, auf gefährliche Links zu klicken oder mit Malware verseuchte Anhänge zu öffnen. Herkömmliche signaturbasierte Antivirenlösungen bieten hier nur unzureichenden Schutz, da sie nur bereits bekannte Viren und Trojaner identifizieren können. Laut dem BSI-Lagebericht 2023 kommen jedoch täglich zwischen 150.000 und 450.000 neue Schadsoftware-Varianten hinzu!
Wesentlich effektiver sind EDR-Lösungen (Endpoint Detection and Response), die mit fortschrittlichen, meist auf künstlicher Intelligenz (KI) beruhenden Methoden verdächtige Vorgänge auf einem Rechner erkennen und blockieren können. So lässt sich auch Malware stoppen, deren Signatur noch nicht bekannt ist. Hacker versuchen allerdings, EDR-Systeme wo immer möglich auszutricksen, indem sie beispielsweise Schadcode nur im Arbeitsspeicher (Random Access Memory, RAM) ausführen, die Firmware eines Rechners infizieren, das BIOS manipulieren oder ihre Malware in einer Virtuellen Maschine (VM) verstecken. So verwendet beispielsweise die Ransomware „Ragnar Locker“ die Virtualisierungssoftware VirtualBox, um eine eigene VM auf dem Zielrechner zu installieren und daraus Angriffe zu starten. Die KI-Algorithmen in EDR-Lösungen sind zudem sehr rechenintensiv, was die Leistung des Endgeräts beeinträchtigen kann.
Das in die Intel vPro Plattform integrierte Intel Hardware Shield reduziert das Risiko solcher Angriffe, indem es beispielsweise den Arbeitsspeicher im BIOS gegen Firmware-Attacken sperrt und den Rechner während des Boot-Vorgangs vor Angriffen schützt. Die Intel Threat Detection Technologie (TDT) nutzt zusätzlich eine KI-basierte Anomalieerkennung (Anomalous Behavior Detection, ABD), um das Verhalten von Prozessoren und Arbeitsspeicher zu überwachen. Werden verdächtige Aktionen erkannt, sendet das System diese Informationen an die Antiviren- oder EDR-Lösung. Die hardwarenahe Auswertung von Verschlüsselungsvorgängen oder der Prozessorauslastung ermöglicht zudem eine schnellere und zuverlässigere Erkennung von Ransomware-Angriffen und entlastet die Sicherheitssoftware, was sich positiv auf die Rechnerleistung auswirkt.
Was Intel TDT wirklich leistet
Das Testinstitut SE Labs hat im Auftrag von Intel die Threat Detection Technology auf ihre Wirksamkeit gegen Ransomware-Attacken geprüft und die Ergebnisse in einer Studie veröffentlicht. Die Tester verwendeten handelsübliche Laptops ohne und mit installierter EDR-Software und griffen diese mit einer Vielzahl von Ransomware-Varianten an. Dabei wurden die gleichen Methoden wie bei echten Angriffen verwendet. Die Experten der SE Labs registrierten, ob und wann Intel TDT und/oder die EDR-Software den Angriff erkannten. In einem Teil der Tests wurde die EDR-Lösung deaktiviert, um den Effekt einer vorhandenen, aber nicht funktionierenden EDR-Software auf die Erkennung durch Intel TDT zu prüfen.
In Kombination mit EDR erreichte Intel TDT eine Erkennungsrate von 97 Prozent. War kein EDR installiert, wurden immerhin noch 93 Prozent der Ransomware-Attacken erkannt. Bei inaktiver EDR-Software sank der Wert auf 90 Prozent. Auf den Systemen eines anderen Herstellers konnten dagegen selbst mit EDR nur 73 Prozent aller Ransomware-Varianten erkannt werden.
Neben der Erkennungsrate wurde auch die Genauigkeit der Klassifikation getestet, denn sie spielt für die Nutzerakzeptanz eine wesentliche Rolle. Viele Fehlalarme senken Produktivität und Zufriedenheit und führen im schlimmsten Fall dazu, dass tatsächliche Angriffe ignoriert werden, oder der Anwender die EDR-Lösung ganz abschaltet. Die SE Labs haben deshalb auch untersucht, wie häufig legitime Dateien richtig eingestuft wurden, und aus beiden Variablen einen Gesamtwert (Total Accuracy) errechnet. Er liegt bei Intel TDT plus EDR bei 99 Prozent, ohne EDR bei 97 Prozent und mit inaktivem EDR bei 96 Prozent. Der Wettbewerber erreichte einen Total-Accuracy-Wert von 88 Prozent.
Fazit: Hardware-assisted Security verbessert den Schutz vor Ransomware deutlich
Wie die Tests von SE Labs zeigen, tragen die Security-Funktionen der vPro Plattform signifikant zum Schutz gegen Ransomware bei. Im Vergleich zu einem anderen System stieg die Erkennungsrate in Kombination mit EDR um 24 Prozent. Interessanterweise war der Wert ohne installierte EDR-Lösung mit 93 Prozent höher als mit einem vorhandenen, aber deaktivierten EDR-System (90 Prozent). Dieses Ergebnis deutet darauf hin, dass die Integration der Hardware-assisted Security in die installierte EDR-Lösung eine entscheidende Rolle spielt. Unternehmen sollten deshalb bei der Wahl eines EDR-Produkts darauf achten, dass dieses nahtlos mit Intel TDT zusammenarbeitet.