richtiges Antivirensoftware kleines Firmennetzwerk

[sepete]

Hi Leute!

Ich wurde vor etwa 3 Wochen Opfer eines Verschlüsselungsvirus in meiner Praxis. Wir haben ein kleines Firmennetzwerk mit einem Server und 3-4 PCs (alles Windowsbasiert). Die EDV-Firma - die uns leider zu wenig abgesichert hat und auch unser Backup nicht gut genug geschützt hat (wurde auch verschlüsselt)- hat uns nun sentinel one empfohlen ... Was hält ihr davon bzw. könnt ihr etwas anderes empfehlen? Ich möchte eig ohne diese Firma weiterarbeiten ...

Danke für eure Tipps!!

MFG
Peter

 

[En3rg1eR1egel]

ich empfehle eher eine mitarbeiterschulung bzgl. it sicherheit

keine software der welt schützt vor ahnungslosen usern, die auf alles klicken was nicht bei drei auf den bäumen ist.
oh eine email mit dem word/excel anhang, gleich mal öffnen...

dazu ein passendes backup, physisch getrennt, sowie passende av-software

 

[rg88]

"sentinel one"? Noch nie gehört.

Grundsätzlich ist aber mal eins festzuhalten: Selber brauchst du da gar nicht anfangen. Ein GUTES Systemhaus muss quasi sein, weil sonst mit absoluter Sicherheit Murks rauskommt.

Zudem: Ein Verschlüsselungstrojaner kommt ja nicht einfach so ins Netzwerk. Da hat ein Mitarbeiter oder der Herr Doktor selbst zuwenig aufgepasst. Ohne brain.exe bringt das alles nichts. Ein Virenscanner kann nur Viren erkennen, die er auch bereits kennt. Spricht: Day-One-Trojaner, wie es die meisten Verschlüßelungstrojaner sind, fallen meist nicht darunter. Die Heuristik scheitert da bei den meisten.
Wer einfach unbekannte Anhänge öffnet, dem bringt das beste AV-Tool nichts.

Das mit der Datensicherung ist natürlich hochgradig fahrlässig. Es ist schlicht keine brauchbare Datensicherung, wenn es nicht getrennt vom restlichen System ist und mit in den Tod gerissen werden kann.
Aber eine gute Lösung kostet eben auch Geld. Wenn man nicht bereit ist das zu bezahlen, bekommt man eben Murks.

Wir haben schon einige Aufträge nicht bekommen, weil bei unserem Sicherungskonzept ein 0er mehr am Ende des Angebots stand. Die meisten haben wir dann nach dem ersten Crash als Kunden bekommen

Grundsätzlich zusammengefasst: Du benötigst ein ganzheitliches Konzept aus Sicherheitssoftware und Mitarbeitereinweisung. Nur dann kann das was werden.

Einfach irgendeine Software kann man aber sowieso nie empfehlen, solange man nicht weiß, welche Software im Einsatz ist. Da gibts viel zu oft Inkompatibilitäten mit spezieller Branchensoftware und dann geht das große Einrichten von Ausnahmen los, welche das Konzept wieder aushöhlen.

-> Der Verschlüsselungstrojaner ist euer Fehler, nicht der der IT-Firma
-> Das unbrauchbare Backup ist Fehler der Firma, außer ihr hab eine teurer Alternative bewusst abgelehnt oder dieses Konzept so explizit in Auftrag gegeben.

 

[SoDaTierchen]

Eine Sicherheitslösung ist kein Garant für Schutz gegen CryptoWare. Hier unnötig viel Geld auszugeben ist der falsche Ansatz. Es kann keinen 100%igen Schutz gegen Malware geben, das liegt in der Natur der Sache.

Punkt 1) Eine Sicherheitslösung SOLLTE vorhanden sein. Allerdings muss man immer nach dem persönlichen Budget gehen, also heißt es vergleichen, Angebote einholen. Je nach Anzahl zu sichernder Geräte unterscheiden sich die Kosten solcher Lösungen gerne Mal. Von Sentinel One habe ich aber noch nie was gehört. Kaspersky und Bitdefender sind so Standard-Empfehlungen, wenn diese bezahlbar sind.

Punkt 2) Eure Backup-Lösung ist unzureichend, wenn diese verschlüsselt werden konnte. Backups immer in verschiedenen Abständen und vor allem: NIEMALS!!! Online aufbewahren. Sichert ihr auf Festplatte? Dann die Platte nur zum Sichern anklemmen, danach immer wieder entfernen. Wir sichern in der Firma auf Band. Das Band lässt sich nicht "random" von irgendwelchen CryptoTrojanern verändern. Man kann natürlich den CryptoTrojaner mit sichern, das wäre dann ungünstig. Und zu den verschiedenen Abständen: Jeden Tag ne Sicherung ist gut, aber blöd, wenn man den Trojaner nicht sofort entdeckt. Gerade bei Unternehmen ohne eigene IT-Abteilung können teils 2 Wochen ins Land gehen, bevor das entdeckt wird. Daher nach Möglichkeit immer mindestens 3 Sicherungen vorhalten. Eine tägliche, eine wöchentliche, eine monatliche.

Um sowas gescheit umzusetzen muss man sich Rituale angewöhnen. Ein Beispiel: Die Sicherung läuft jeden Tag um 2 Uhr nachts als Job los und ist immer gegen 5:30 fertig. Der zuständige Mitarbeiter entfernt also jeden Tag VOR der eigentlichen Arbeit das Sicherungsmedium und steckt es NACH der Arbeit wieder an. Im Falle einer Bandsicherung würde selbiges nur vor Arbeitsbeginn getauscht werden. Und jeden ersten Montag im Monat wird das Monatsmedium, jeden Freitag das Wochenmedium. Es sollte zwingend für jede Sicherung ein eigenes Medium verwendet werden, sonst sind diese unsinnig.

Und Punkt 3) Habt ihr die vorgeschlagenen Sicherheitsmaßnahmen eurer EDV-Firma auch umgesetzt? Falls ja, würde ich ebenfalls versuchen, mich von dem Laden zu lösen. Falls nein: Eine Sicherheitsumgebung ist maximal so gut, wie sie umgesetzt wird. Steckt Mitarbeiter xy den USB-Stick vom Penny-Parkplatz in den Unternehmensserver um die Bilder darauf anzugucken, dann hilft die beste Software nichts.

 

[snaxilian]

So, jetzt wurde der TE aber genug belehrt aber seine Frage nicht beantwortet.

SentinelOne ist von ehemaligen Intel und McAfee Entwicklern gegründet worden und basiert nicht Pattern-basiert sondern es analysiert fortwährend alle möglichen Interaktionen auf deinen Systemen und blockiert so bei ungewöhnlichem Verhalten. Vergleichbar wäre Cylance das wir als PoC bei uns hatten aber von der Konzernleitung aus Kostengründen abgelehnt wurde. Schlug sich aber recht wacker.

Ob und wie nutzbar solche Cloud-based Lösungen sind müsstest du selbst in Erfahrung bringen oder den Hersteller oder deine entsprechende Kammer fragen. Denn es besteht die Möglichkeit, dass sensible und besonders schützenswerte Daten, z.B. von Patienten, so deine Praxis verlassen könnten.

Generell: Was du hier rechts bzw rechts/oben findest taugt, links unten so lala: https://pbs.twimg.com/media/C3fJ6m3WEAAsDD5.jpg

Eine Antivirenlösung ist aber genauso wenig ein Allheilmittel wie eine Firewall. Ja, nicht zu verachten. Nein reicht nicht allein. Informierte bzw sensibilisierte Mitarbeiter, regelmäßige Backups (3-2-1 Regel beachten wenn möglich) bei denen auch regelmäßig getestet wird ob der Restore funktioniert und zwar sowohl einzelne Dateien als auch komplette Systeme und ein Patchmanagement, sprich OS und alle installierten Anwendungen kontinuierlich aktualisieren, sind hilfreich.
Ebenso, leider viel zu selten umgesetzt, gehört eine brauchbare Benutzerverwaltung mit minimal rights principle. Sprich ein Benutzer bekommt nur darauf Zugriffsberechtigung worauf er Zugriff benötigt um seinen Job zu machen. Erfordert aber relativ hohen Einrichtungsaufwand weshalb gerade kleinere Unternehmen darauf verzichten. Beispiel: Empfangspersonal benötigt nur Zugriff auf Kalender sofern in elektronischer Form vorhanden um Termine zu vergeben aber nicht auf Patientendaten.

Eventuell solltest du auch den Wechsel des Systemhauses in Betracht ziehen, klingt ja nicht vertrauenswürdig die Bude...

 

[rg88]

basiert nicht Pattern-basiert sondern es analysiert fortwährend alle möglichen Interaktionen auf deinen Systemen und blockiert so bei ungewöhnlichem Verhalten.

Im Endeffekt ist es auch nichts anderes als eine Heuristik unter anderem Namen.
Dass diese nicht besser funktioniert als bei anderen Tools, sieht man ja am Ergebnis des TEs. Keine Signaturen zur Erkennung und die Software scheitert genauso kläglich wie alle anderen.

 

[snaxilian]

Jup nur dass eben die neueren Heuristiken eine Verhaltensanalyse sind. Ändert im angelernten System ein User selten Daten auf \\server\ordner plötzlich aber viele kann hier der Zugriff entsprechend blockiert werden bzw der User oder Admin muss dies erst bestätigen. Genervter Mitarbeiter klickt aber "die komische Meldung" bei der er sich nicht gemerkt oder gelesen hat was da stand natürlich weg womit wir wieder bei sensibilisiertem Personal sind.
Ich will SentinelOne, Cylance und wie sie nicht noch alle heißen nicht in den Himmel loben aber die Ergebnisse waren auch nicht nur Marketingblabla.

 

[Raijin]

@TE: An deiner Stelle würde ich mich mal bei einigen Systemhäusern melden und explizit das Szenario in einer Arztpraxis erwähnen. Gerade eine Arztpraxis geht mit hochsensiblen persönlichen Daten um, da reicht "der EDV-Fritze von umme Ecke" nicht aus. Ich kenne mich zB sehr wohl mit IT, Netzwerken, Server, etc. aus, aber ums Verrecken würde ich nicht die Verantwortung für eine Arztpraxis übernehmen, weil am Ende bin ich dann der Trottel, der es verbockt hat

Fakt ist aber auch, dass IT-Sicherheit ihren Preis hat. Wenn du dir nun den Aufwand des aktuellen Falls vor Augen führst und die potentiellen Konsequenzen (zB veröffentlichte Patientendaten und daraus folgende Klagen), sieht das vermeintlich teure Angebot des Systemhauses vielleicht doch gar nicht mehr so teuer aus...
Außerdem muss wie meine Vorredner schon geschrieben haben ein ganzheitliches Sicherheitskonzept her. Antivirentools, Firewall und eben auch Schulungen gehen Hand in Hand. Eine Gratwanderung auf Basis eines einzelnen Virenscanners ist nicht zu empfehlen, gerade wenn dein aktueller EDV-Fritze das Backup einfach so nebenher laufen lässt und die Ransomware es gleich mit einkassiert....

 

[rg88]

@Raijin: Wer sich nicht traut eine Arztpraxis zu betreuen, sollte eigentlich dann auch gar keine Geschäftskunden annehmen.
Ich sehe nicht, wieso man ein anderes Gewerbe als weniger sensibel in Punkto Datenschutz und Datensicherheit behandeln sollte.
Es ist mir egal, ob es sich um eine 2-Filialen-Bäckerei, eine Arzt-Praxis, die Stadtwerke oder eine kleiner Automobilzulieferer handelt. Die Grundsicherheit ist immer die selbe.

Bei einem spezielleren Kunden wie dem Automotive-Kunden, wird natürlich eine "bessere" Absicherung eingesetzt, aber das ist hauptäschlich dem geschuldet, dass dieser auch mehr "Offenheit" braucht, sprich Direktanbindungen zum Kunden, die mit einem herkömmlichen, billigerem Konzept Sicherheitslücken rein reissen würden.

Das Intervall der Datensicherung lassen wir uns auch normalerweise nicht diktieren. Nur auf schriftlichem Kundenwunsch wird etwas anderes als eine täglich Sicherung + Wochen- und Monatssicherung eingesetzt. Wir empfehlen auch die Wochensicherung in einem Bankschließfach zu hinterlegen. Die Verwantwortung geben wir aber ab, wenn der Kunde etwas anderes, weniger sicheres wünscht. Ebenso, wenn kein Wartungsvertrag abgeschloßen wird, der eine regelmäßige Sicherungsüberprüfung sicherstellt.
Wie soll man für etwas haften, was man irgendwann einmal einrichtet und nicht regelmäßig überprüfen kann? Da kann ein Dienst abstürzen, irgendein Programm querschießen oder das Sicherungsmedium/Laufwerk defekt sein und niemand merkt es.

Also: Ich Grunde gibt es keine unterschiedlich wichtigen Kunden. (Der Umfang der Sache macht den Preis natürlich höher.) Wenn jemand das nicht bezahlen will, dann muss er zum Ein/Zwei-Mann-Kistenschieber gehen. Ob er dort aber besser aufgehoben ist, bezweifle ich stark.

 

[EvilKnivel1]

Keine Software kann vor der Unwissenheit / Arglosigkeit der eigenen Mitarbeitern schützen. Je nachdem wie gut der Trojaner programmiert ist, kann er von Virenscannern unentdeckt bleiben und somit einen immensen Schaden verursachen.
Wichtiger Punkt: Mitarbeiter für dieses Thema schulen / sensibel machen (wurde ja schon mehrfach erwähnt)
Noch wichtiger: Ein Backup einrichten, welches die gesicherten Files nicht im Netzwerk hält oder eben eine Verschlüsselung durch einen Trojaner unmöglich macht.
Wir z.B. sichern unsere Niederlassungserver einmal am Tag "online" in unserem Rechenzentrum, was eine sehr schnelle Rückspielung von einzelnen Daten möglich macht und von dieser Gesamtsicherung wird jeden Tag noch ein Backup auf Bänder geschrieben. Diese läuft nachts und am nächsten Tag wandern diese Bänder in einen brandsicheren Tresor.
Mag für eine kleine Praxis aber evtl. sein wie mit Kanonen auf Spatzen schießen...
Weiterer Punkt - Auch die Systeme immer aktuell halten (Windows Updates, aktuelle Virenscanner)
Überlegen ob es Sinn macht bei E-Mails bestimmte Anhänge direkt zu blockieren.

 

[Raijin]

@Raijin: Wer sich nicht traut eine Arztpraxis zu betreuen, sollte eigentlich dann auch gar keine Geschäftskunden annehmen.
Ich sehe nicht, wieso man ein anderes Gewerbe als weniger sensibel in Punkto Datenschutz und Datensicherheit behandeln sollte.
Es ist mir egal, ob es sich um eine 2-Filialen-Bäckerei, eine Arzt-Praxis, die Stadtwerke oder eine kleiner Automobilzulieferer handelt. Die Grundsicherheit ist immer die selbe.

Im Prinzip bin ich voll bei dir, aber gerade beim Arzt werden deutlich persönlichere Daten gespeichert als zB beim Bäcker. Patientendaten geben Aufschluß über Krankheiten und andere Dinge, die man nicht unbedingt mit dem Kunden vor/hinter/neben einem beim Bäcker teilen will. Sogesehen hast du aber natürlich Recht, dass man persönliche Daten so oder so adäquat sichern sollte, auch beim Bäcker.

IT-Dienstleister sollten in der Tat sowohl als auch handhaben können, da stimme ich dir zu. Mein Kommentar war eher darauf ausgerichtet, dass ich, der eben kein IT-Dienstleister ist, vielleicht einem kleinen Startup mit unkritischen Daten noch helfen würde, aber von sensiblen Daten (seien es nu Patiendaten, Kontodaten oder was auch immer) die Finger lassen würde. So bin ich zB für die "IT" unseres Hausmeisters in der Wohnanlage "zuständig", auf freiwilliger Basis. Da reden wir aber über Excel-Listen mit Stellplätzen in den Tiefgaragen, etc... Ein Systemhaus muss selbstverständlich beides bedienen können, ohne Frage.

Entscheidend ist am Ende die Gesamtlösung. Von einem professionellen IT-Dienstleister bzw. Systemhaus erwarte ich sowohl Hard- als auch Softwarelösungen und vor allem auch die Schulung des Personals. Denn ich gehe davon aus, dass wir uns alle einig sind, dass alle technischen Maßnahmen sinnlos sind, wenn die Nutzer des Systems (un)wissentlich fahrlässig handeln und Malware Tür und Tor öffnen.. Klar, wenn der Auftraggeber das nicht zahlen will, geht das auf seine Kappe :-/

 

[Kerasto]

Um es mal kurz zu machen:

Wir bieten JEDEM Geschäftskunden Sophos an!

- Sophos Endpoint Advanced (Antivirensoftware)
- Sophos Intercept X (Schutz vor Verschlüsselungstrojanern)

https://www.youtube.com/watch?v=9JfCUUJRjgw&index=2&list=PLam30hlGlohysa36cTZ1-Oi_qtm5SUhkL

Hier mal die Erklärung von Intercept X

Einen 100%-Schutz bekommst Du natürlich nie, dafür müssen auch die Anwender sensibilisiert werden.
Weiterhin würde ich ein bessere Backup-Konzept aufbauen, denn Ärzte sind dazu verpflichtet, alle Patientendaten bis zu 20 Jahre aufzubewahren.

 

[rg88]

Gerade zum Thema Ransomware würde ich Sophos jetzt nicht unbedingt als optimale Lösung hinstellen
Erinnert sich noch wer an WannaCry? https://twitter.com/GossiTheDog/status/863844450065403904/photo/1

 

[Raijin]

Sophos, da klingelt was. Das setzt unsere IT auch ein soweit ich weiß. Ob das gut/schlecht ist, weiß ich nicht, diesbezüglich bin ich nur Anwender

 

[Kerasto]

Gerade zum Thema Ransomware würde ich Sophos jetzt nicht unbedingt als optimale Lösung hinstellen
Erinnert sich noch wer an WannaCry? https://twitter.com/GossiTheDog/status/863844450065403904/photo/1

Gerade bei Intercept X hat sich einiges getan.
Sonst würden wir es nicht anbieten und sogar selbst nutzen

 

[h00bi]

Grundsätzlich zusammengefasst: Du benötigst ein ganzheitliches Konzept aus Sicherheitssoftware und Mitarbeitereinweisung. Nur dann kann das was werden.

This!
Meine Meinung:
Auf einem W10 Client reicht der aktuelle Windows Defender.
Für den Server brauchst du irgendwas anderes. Was? Das was dein Dienstleister anbietet weil er es auch supporten muss falls was schief geht. Also etwas womit er sich auskennt.

Ansonsten auch mal überlegen wie der Mist rein kam. Gff. besserer SPAM Filter, links im Mailprogramm deaktiveren usw.

Ich schicke immer mal wieder eine reminder Mail an alle Kollegen und lobe sie für ihren gewissenhaften Umgang mit dem Thema.