Die Absicherung unserer Endgeräte ist keine Kür – sondern Pflicht.
Während in der Vergangenheit viele klassische Antivirus-Lösungen im Einsatz waren, reichen diese für die heutige komplexe Bedrohungslage nicht mehr aus.
Gängige Antivirus-Lösungen basieren meist auf Signatur- und Heuristik-Prüfungen, die bekannte Malware-Muster erkennen. Moderne Ransomware hingegen nutzt jedoch immer häufiger polymorphe und dateilose Techniken: Der Schadcode wird bei Ausführung in den Arbeitsspeicher injiziert, ohne dass eine ausführbare Datei auf der Festplatte abliegt, oder er verschlüsselt sich selbständig und verändert kontinuierlich seine Signatur. Zusätzlich setzen Angreifer zunehmend auf Zero-Day-Exploits und gezielte Social-Engineering-Tricks, die noch keine Erkennungsmuster in Antivirus-Tools hinterlegt haben. Selbst wenn ein Antivirus-Update zeitnah ausgerollt wird, liegt die Dunkelzeit („Window of Exposure“) bereits hinter den
Angreifern: In dieser Phase kann Ransomware unbemerkt ausgeführt werden, Dateien verschlüsseln und Netzwerke infizieren, bevor ein Signatur-Update überhaupt greift.
An dieser Stelle setzt Endpoint Protection mit der Technologie Microsoft Defender for Endpoint (MDE) an: Statt sich ausschließlich auf statische Signaturen zu verlassen, kombiniert MDE verhaltensbasierte Analysen, Machine Learning und Cloud-gestützte Sandboxing-Mechanismen, um auch unbekannte und dateilose Bedrohungen frühzeitig zu erkennen und zu stoppen. Auch Netzwerkverbindungen werden bei MDE überwacht, um maliziöse Verbindungen nach außen zu erkennen und zu unterbrechen. Damit lässt sich Ransomware bereits in der frühen Phase der Ausführung erkennen, automatisch isolieren und nachhaltig eliminieren.
