Neuer Ransomware-Schutz von Windows 10: Sind Sie sicher?

Neuer Ransomware-Schutz von Windows 10: Sind Sie sicher?

windows-10-ransomware-protection-not-enough-blog

Emsisoft befasst sich schon seit Jahren mit dem Schutz vor Ransomware und hat seine Software entsprechend immer weiter verbessert. Heute dürfen wir sie stolz als eines der besten Produkte der Branche bezeichnen – nicht nur, wenn es um den Schutz vor kriminellen Verschlüsselungstaktiken geht.

Leider verlassen sich immer noch zu viele Computeranwender allein auf den von Windows bereitgestellten Schutz. Obwohl Microsoft in den vergangenen Jahren viele Verbesserungen an seinen Sicherheitsprodukten vorgenommen hat, ist Windows Defender noch lange keine perfekte Lösung. In einer kürzlich von AV-TEST durchgeführten Bewertung von 18 Sicherheitsprodukten für Windows 10 landete die Software aufgrund seiner unzureichenden Schutzfunktion und Leistung auf dem letzten Platz.

Es ist jedoch schön zu sehen, dass Microsoft das Thema Sicherheit mit seinem neuesten Fall Creators Update aktiver angeht. So gibt es beispielsweise eine spezielle Funktion zum Schutz vor Ransomware.

Doch taugt sie auch etwas? Wie schlägt sie sich im Vergleich zu dem Anti-Ransomware-Modul von Emsisoft? Noch wichtiger jedoch ist die Frage, ob sie Ihren Computer ausreichend schützen kann.

Finden wir es heraus.

Was genau macht der neue Ransomware-Schutz von Windows?

what-does-windows-protection-do

Das Fall Creators Update kommt mit einer Reihe von Sicherheitsverbesserungen, die die Architektur von Windows 10 straffen sollen. Dazu gehört die Entfernung (zumindest aus sauberen Windows-10-Installationen) des erschreckend anfälligen SMBv1-Protokolls. Es hatte Anfang des Jahres die Masseninfektionen mit WannaCry und Petya ermöglicht.

Um ähnlich verheerende Cyberangriffe zu vermeiden, hat Microsoft jetzt den überwachten Ordnerzugriff eingeführt. Diese brandneue Funktion ist im Grunde die Antwort des Konzerns auf die zunehmende Bedrohung durch Ransomware.

Der überwachte Ordnerzugriff ist eine neue Komponente von Windows Defender. Wie der Name schon andeutet, soll er Anwendungen davon abhalten, unerwünschte Änderungen an bestimmten Ordnern vorzunehmen. Ist die Funktion aktiviert, dürfen nur zulässige Anwendungen Windows-Systemdateien und -ordner bearbeiten – theoretisch zumindest. Auf diese Weise sollen wichtige Daten im Falle einer Ransomware-Infektion geschützt bleiben.

Das klingt an sich sehr nützlich. Der Großteil unserer Anwender kann den überwachten Ordnerzugriff allerdings unbesorgt deaktiviert lassen. Weshalb? Weil Emsisoft Anti-Malware einen erheblich besseren Schutz vor Ransomware bietet (darauf gehen wir gleich noch näher ein). Darüber hinaus muss Windows Defender aktiviert sein, damit der überwachte Ordnerzugriff funktioniert. Wir raten jedoch generell davon ab, zwei Antivirus-Produkte gleichzeitig zu verwenden. Falls Sie die Funktion dennoch aus irgendwelchen Gründen zusätzlich zu Emsisoft Anti-Malware nutzen möchten, gehen Sie wie folgt vor:

  1. Öffnen Sie das Startmenü.
  2. Geben Sie „Emsisoft Anti-Malware“ ein.
  3. Öffnen Sie die Anwendung.
  4. Klicken Sie auf „Einstellungen“.
  5. Deaktivieren Sie im Bereich „Windows-Integration“ die Option Integration in Windows-Sicherheitscenter aktivieren

Dadurch wird Windows Defender wieder aktiviert und Sie erhalten Zugriff auf den überwachten Ordnerzugriff. Beachten Sie, dass Emsisoft Anti-Malware weiterhin uneingeschränkt funktioniert und Sie wie gewohnt schützt, auch wenn das Programm nicht mehr im Windows Defender Security Center angezeigt wird. Wie bereits erwähnt, ist es jedoch weder nötig noch zu empfehlen, beide Lösungen zu aktivieren.

Standardmäßig ist der überwachte Ordnerzugriff deaktiviert. Gehen Sie zum Aktivieren wie folgt vor:

  1. Öffnen Sie das Startmenü.
  2. Geben Sie „Windows Defender Security Center“ ein und öffnen Sie die App.
  3. Wählen Sie Viren- & Bedrohungsschutz.
  4. Klicken Sie auf Einstellungen für Viren- & Bedrohungsschutz.
  5. Scrollen Sie nach unten bis zum Bereich Überwachter Ordnerzugriff.
  6. Klicken Sie auf den Ein-/Ausschalter, um die Funktion zu aktivieren.

Sobald die Funktion aktiviert ist, wird Ihnen die Option Geschützte Ordner angezeigt, über die Sie festlegen können, welche Ordner geschützt werden sollen (z. B. Ordner mit wichtigen Bildern, Dokumenten und anderen persönlichen Dateien). Windows-Systemordner sind dabei standardmäßig geschützt. Über die zweite Option App durch überwachten Ordnerzugriff zulassen können Sie eine Liste der vertrauenswürdigen Programme einrichten, die Dateien in den geschützten Ordnern ändern dürfen.

Wo liegt der Unterschied zu Emsisoft?

what-does-emsisoft-anti-ransomware-do

Stellen Sie sich vor, Sie sind ein auf Sicherheit bedachter Hausbesitzer in einer besonders miesen Gegend. Sie wissen genau, dass es früher oder später zu einem Einbruch kommen wird. Also deponieren Sie alle wichtigen Gegenstände in einem absolut sicheren Safe, den nur Personen öffnen können, die Ihre Erlaubnis haben. Alles außerhalb des Safes ist natürlich weiter der Gefahr ausgesetzt, beschädigt oder gestohlen zu werden. Aber immerhin ist ihr wertvollstes Gut vor einem Einbruch geschützt.

So in etwa lässt sich der überwachte Ordnerzugriff beschreiben. Er hält Verbrecher nicht davon ab, einzubrechen oder sich an ihrem Eigentum zu schaffen zu machen. Er bietet Ihnen jedoch einen geschützten Bereich für Ihre wichtigsten Besitztümer, in den die Kriminellen nicht hineinkommen.

Bleiben wir bei dem Vergleich und stellen Sie sich nun vor, Sie möchten eine vorausschauendere Sicherheitslösung. Anstatt nur einen Safe zu kaufen, lassen Sie Scheinwerfer und Sicherheitskameras um Ihr Haus aufstellen. Das Sicherheitssystem überwacht nun automatisch Ihr Grundstück und kann intelligent zwischen harmlosen Eindringlingen (etwa die Nachbarkatze in der Auffahrt) und verdächtigen Bewegungen (jemand schleicht um Ihre Fenster) unterscheiden. Es ist so weit ausgereift, dass es nicht erst auf eine kriminelle Handlung warten muss, um zu reagieren. Etwaige Verbrecher werden aufgehalten, bevor ihre langen Finger an Ihr Eigentum gelangen.

Emsisoft geht bei Ransomware wie im zweiten Beispiel vor. Die erweiterte Verhaltensanalyse und das Anti-Ransomware-Modul überwachen ununterbrochen alle aktiven Programme. Dabei wird auf Verhaltensmuster geachtet, die auf einen Ransomware-Angriff hindeuten. Eine verdächtige Anwendung wird dann gestoppt, bevor Dateien verschlüsselt werden. Auf diese Weise kann Emsisoft Anti-Malware Ransomware-Angriffe vorbeugen – sowohl bei bekannten als auch bei unbekannten Bedrohungen. Im Gegensatz dazu erkennen andere Anti-Ransomware-Produkte nur Schädlinge mit bekannten Signaturen. Ihr Schutz tritt also erst in Aktion, nachdem die Dateien verschlüsselt wurden.

Oder einfach gesagt: Emsisoft Anti-Malware ist dem überwachten Ordnerzugriff beim Schutz des Computers vor Ransomware weit überlegen. Sollten Sie Emsisoft Anti-Malware bereits auf Ihrem Rechner nutzen, können Sie sowohl Windows Defender als auch den überwachten Ordnerzugriff unbesorgt deaktiviert lassen.

Wenn Sie mehr Einblick erhalten möchten, wie Emsisoft mit Ransomware umgeht, sehen Sie sich das folgende YouTube-Video von Malware Geek an:

Reicht Windows, um Sie vor Ransomware zu schützen?

Kurz gesagt: nein. Mit dem überwachten Ordnerzugriff kann – abgesehen von den festgelegten Ausnahmen – kein Programm auf die Dateien in den geschützten Ordnern zugreifen, sie bearbeiten oder ändern. Also, selbst wenn Ihr Computer mit Ransomware infiziert ist, sind Ihre Systemdateien und wichtigen Daten vor Verschlüsselung und anderen Schäden geschützt. Klingt nach einer sehr zuverlässigen Strategie, nicht wahr? Der überwachte Ordnerzugriff bietet jedoch nur einen grundlegenden Schutz, da dieses Vorgehen à la „alles oder nichts“ einige Mängel hat.

1. Ransomware wird nicht wirklich bekämpft.

Eine der größten Schwächen des überwachten Ordnerzugriffs ist, dass Ransomware nicht aktiv daran gehindert wird, den Computer zu infizieren und zu kontrollieren. Stattdessen werden lediglich die wichtigen Daten für Kriminelle unzugänglich gemacht.

2. Es gibt immer noch Lösegeldforderungen.

Bei Befall mit einer Ransomware sind Ihre geschützten Ordner zwar sicher, doch was passiert mit Dateien in ungeschützten Ordnern? Logisch: Sie werden verschlüsselt. Selbst wenn einige Ihrer Dateien geschützt sind, wird der Rechner dennoch unbrauchbar gemacht. Das ist für Unternehmer und Privatanwender gleichermaßen schädigend. Ihnen werden zudem weiter Erpressungsmeldungen und Lösegeldforderungen der Kriminellen angezeigt. Manch einer mag dann in der Tat versucht sein, durch Zahlung wieder Zugriff auf seinen Computer zu erlangen.

3. Es gibt möglicherweise Kompatibilitätsprobleme (allerdings nicht mit Emsisoft).

Der überwachte Ordnerzugriff ist keine eigenständige Funktion. Zu seiner Nutzung muss der Echtzeitschutz von Windows Defender aktiviert sein. Das Problem dabei? Laut Rob Lefferts, Director of Program Management für Windows Enterprise and Security, funktioniert Windows Defender problemlos bei 95 % der Windows-10-Computer, auf denen Drittanbieter-Antivirensoftware installiert ist. Bei den restlichen 5 % der Anwender können jedoch immer noch Kompatibilitätsprobleme auftreten, wenn der überwachte Ordnerzugriff in Kombination mit anderen Antivirus-Anwendungen eingesetzt wird.

Ein Schritt in die richtige Richtung

Ehre, wem Ehre gebührt: Der überwachte Ordnerzugriff ist definitiv ein Schritt in die richtige Richtung. Es tut gut zu sehen, dass Microsoft erkannt hat, wie schädlich Ransomware ist, und nun die richtigen Maßnahmen ergriffen werden, um Anwender zu schützen, die allein auf das Windows Defender Security Center vertrauen. Es ist jedoch noch lange keine optimale Anti-Ransomware-Lösung. Das liegt hauptsächlich daran, dass Programme lediglich daran gehindert werden, geschützte Dateien zu ändern, anstatt aktiv gegen Ransomware vorzugehen. Daher sollte der überwachte Ordnerzugriff eher als ein Instrument zum Datenschutz gesehen werden und nicht als eine umfangreiche Sicherheitsfunktion zum Schutz vor Ransomware.

Fazit: Der überwachte Ordnerzugriff mag eine nützliche zusätzliche Sicherheitsfunktion und als alleiniger Schutz immer noch besser als nichts sein. Er ist jedoch kein Ersatz zu einer bewährten Anti-Ransomware-Software wie Emsisoft Anti-Malware und man sollte sich unbedingt seiner Mängel bewusst sein.

Werden Sie den überwachten Ordnerzugriff aktivieren? Sagen Sie uns, weshalb oder weshalb nicht in den Kommentaren.

CTA_ransomware_EAM_Download

Wir wünschen eine grandiose (Malware-freie) Zeit.

  • Markus

    Privat werde ich den überwachten Ordnerzugriff nicht aktivieren. Da vertraue ich auf EmsiSoft. Geschäftlich ist er wohl auch kaum ein Thema, da hier McAfee eingesetzt wird.
    Windows Defender ist also in beiden Fällen – zumindest bisher – keine Alternative.

  • Dao Humanyu

    Wieso ist Emsisoft so selten bei AV-Test dabei?
    Wäre doch auch mal interessant zu sehen, wie Emsisoft abschneidet.