Die Angriff-Szenarien auf Netzwerke und IT-Systeme werden in den letzten Jahren immer intelligenter und böswilliger. Alleine im Jahr 2021 haben zahlreiche Exploits und Sicherheitslücken dafür gesorgt, dass Systeme kompromittiert wurden – zum Beispiel Exchange Server und LOG4J um nur die bekanntesten zu nennen.

Opticom wird oft als Expertenfirma zu Rate gezogen, wenn ein Ausbruch von Malware bereits stattgefunden hat, um möglicherweise noch Schaden zu begrenzen und zu retten, was möglich ist.

So haben wir auch im Jahr 2021 wieder miterlebt, wie ein Unternehmen komplett arbeitsunfähig gemacht wurde, alle Server vernichtet waren und die Produktion fast 2 Wochen komplett angehalten werden musste. Die IT-Abteilung mussten dabei zusehen, ohne eine Möglichkeit des Eingreifens zu haben, wie eine neuartige Malware – bis dato unbekannt – das Unternehmen konzernweit verschlüsselt und völlig lahmgelegt hat.

So etwas möchten wir gerne bei Ihnen verhindern – daher haben wir Ihnen diesen Beitrag erstellt.

Überblick über die aktuelle Verteilung der Bedrohungen:

Aktuell findet ein professioneller Viren-/Malware-Schutz etwa 90% der Bedrohungen (Stufe 1). Diese Arten von Schadsoftware sind heutzutage aber meist einfach nur „lästige Kleinigkeiten“ von Hobby-Programmieren und Bastlern.

Interessant wird es bei Stufe 2: Erweiterter Schutz. Hier geht es gezielt darum, Sie zu erpressen und dem Unternehmen Schaden hinzuzufügen. Diese Angriffe sind gestreut – oft aber auch gezielt ausgerichtet und von Experten vorbereitet. Um diese Angriffe zu erkennen und abzuwehren benötigen Sie einen erweiterten Bedrohungsschutz mit einem EDR-System, sowie Patch-Management und dem schließen von Sicherheitslücken, was heute weitestgehend automatisiert ablaufen kann.

Der Vollständigkeit wegen möchte ich noch die Stufe 3 erwähnen. Hier geht es um hochintelligente gezielte Angriffe auf genau Ihr Unternehmen. So ein Angriff wird lange vorbereitet, erfordert den Kauf und die Nutzung von sogenannten Zero-Day-Exploits (also aktuell noch nicht offiziell bekannten Sicherheitslücken), die von Hackergruppen für solch einen Angriff teuer – meist im Darknet – gekauft und ausgenutzt werden. Hierfür gibt es keinen automatisierten Schutzmechanismus.

Wie laufen Angriffe der Stufe 2 heute meisten ab?

Erst in Stufe c) wird der Schadcode erkennbar – bis aber nun Signaturen/Bases der AV-Programm-Hersteller vorliegen und somit der klassische Virenscanner eine Chance hat zu reagieren ist der Schaden riesig und meist irreversibel. Auch die Datensicherung hilft hier nur bedingt, da der Schadcode über Wochen/Monate bereits mitgesichert wurde und nach Widerherstellung sofort erneut tätig wird.

Wie kann ich mich nun davor bestmöglich schützen?

Sie als Unternehmen benötigen einen Malware-Schutz – der mehrstufig ist und intelligent mit aktuellen Sicherheitstechnologien arbeitet. Wir arbeiten hier seit Jahren erfolgreich mit Kaspersky Labs zusammen und möchten Ihnen hier einmal die Möglichkeiten des Kaspersky Security Centers in Bezug auf EDR-Funktionalität vorstellen.

Der Schutz, der auf den Geräten (Workstations und Server) läuft geht heutzutage bei modernen Schutz-Systemen weit über den Basis-Schutz heraus als erweiterte Schutzfunktionen und Sicherheitskontrollen bietet. Hierbei unterscheiden diese sich funktional erheblich von den günstigen oder freien Versionen, die Sie im Internet teilweise kostenlos laden können. All das sorgt aber meist nur dafür, dass bekannte Bedrohungen oder auffällige Verhaltensweisen geblockt und eingedämmt werden.

Hinzu kommt das Zeitnahe schließen von Sicherheitslücken. Hier bietet die Kaspersky Advanced Lizenz einen völligen Automatismus, der planbar auf Workstations und Servern die CVE-Sicherheitslücken von Drittherstellern und auf Wunsch auch die von Microsoft (sofern Sie keinen WSUS einsetzen) – schließt.

Was leistet ein EDR-System zusätzlich?

Kommen wir nun zu dem letzten Punkt – dem EDR-System (Endpoint Detection and Response), was ebenfalls im Kaspersky Security-Center integriert ist und lediglich per Lizenz aktiviert wird. Das EDR System überwacht alle Aktivitäten auf einer Workstation oder einem Server.

Wenn ein Benutzer (wie in unserem Beispiel) eine bösartige aktuell noch unbekannte Datei öffnet, dann erkennt die EDR, dass ungewöhnliche Prozesse und Aktivitäten auf dem System ablaufen.

Diese Prozesse und Aktivitäten zeichnet das System auf und visualisiert diese in einer Baumstruktur, sodass der Administrator oder Ihr Systemhaus nachverfolgen kann, was die Datei angerichtet hat, ob dauerhafte Schäden verursacht wurden und ob dringender Handlungsbedarf besteht. Dies alles geschieht in einer übersichtlichen Web-Oberfläche auf dem Kaspersky Security Server.

Aber das EDR-System leistet an dieser Stelle noch mehr:

(klicken Sie auf die Lupe für detaillierte Erläuterungen)

Unsere Erfahrungen zeigen, dass es meistens nicht länger als 24 Stunden braucht, bis nach der Einführung eines EDR-Systems der erste Vorfall erkannt wird, der ohne EDR unentdeckt im System schlummern würde.

Zusätzlich ist bei diesem System die Integration in ein Monitoring-/Überwachungssystem nahtlos möglich. Hier schlägt dann ein Sensor sofort an, wenn auf irgendeinem Gerät in Ihrem Netzwerk eine Bedrohung gefunden wurde. So können Sie sich direkt per Push-Alarm, eMail oder SMS benachrichtigen lassen und dann entweder selbst oder mit Ihrem IT-Systemhaus zusammen auf Ursachenforschung gehen.

Die Kaspersky Endpoint Detection and Response – Technologie erhalten Sie als zusätzliche Option in Ihrer onpremise Kaspersky Security Center Installation (mehr dazu hier) oder voll gemanagt und von unseren Sicherheitsexperten überwacht direkt aus unsererm RZ als Kaspersky.HOSTED-365

Bei Fragen zum Thema Sicherheit wenden Sie sich gerne an Ihr opticom IT-Systemhaus.

Hinweis: Die hier erläuterten Sicherheitsfunktionen erfordern die Lizenzierung mit Kaspersky Advanced / EDR optimum Lizenzen und sind nicht Bestandteil der Standard-Lizenz.