Active Protection

Acronis Cyber Protect Home Office verwendet die Acronis Active Protection-Technologie, um Ihre Dateien vor Schadsoftware in Echtzeit zu schützen.

Active Protection überprüft Ihren Computer, während Sie wie gewohnt weiterarbeiten können. Zusätzlich zu Ihren Dateien schützt Acronis Active Protection außerdem die Applikationsdateien von Acronis Cyber Protect Home Office, Ihre Backups sowie die MBRs (Master Boot Records) Ihrer Festplattenlaufwerke.

Active Protection besteht aus mehreren Schutzstufen, die Sie unabhängig voneinander aktivieren können:

  • Anti-Ransomware Protection
  • Echtzeitschutz
  • Webfilter

Anti-Ransomware Protection

Ransomware verschlüsselt Dateien und verlangt ein Lösegeld für die Bereitstellung des Codierungsschlüssels. Cryptomining-Malware führt mathematische Berechnungen im Hintergrund durch, um digitale Crypto-Währungen zu 'schürfen', und stiehlt auf diese Weise Rechenleistung und Netzwerkressourcen von Ihrer Maschine.

Wenn der Antiransomware Protection Service eingeschaltet ist, überwacht er in Echtzeit die auf Ihrem Computer laufenden Prozesse. Wenn der Service erkennt, dass ein fremder Prozess versucht, Ihre Dateien zu verschlüsseln oder Ihren Computer zum Krypto-Mining zu verwenden (digitales Schürfen von Krypto-Währungen), werden Sie vom Service informiert und gefragt, ob der Prozess seine Aktivität fortsetzen darf oder Sie ihn blockieren möchten.

Klicken Sie auf Vertrauen, wenn Sie dem Prozess erlauben wollen, seine Aktivität fortzusetzen. Falls Sie sich nicht sicher sind, ob der Prozess sicher und zulässig ist, empfehlen wir, auf Quarantäne zu klicken. Danach wird der Prozess in die Quarantäne verschoben und jede seiner Aktivitäten blockiert.

Sollten Sie einen Prozess blockiert haben, so empfehlen wir, dass Sie anschließend Ihre Dateien darauf überprüfen, ob diese verschlüsselt oder irgendwie beschädigt wurden. Wenn sie das tatsächlich sind, können Sie auf Geänderte Dateien wiederherstellen klicken. Acronis Cyber Protect Home Office wird die nachfolgenden Speicherorte nach den neuesten Dateiversionen zur Wiederherstellung durchsuchen.

  • Temporärer Dateikopien, die zuvor bei der Prozess-Verifizierung erstellt wurden
  • Lokale Backups
  • Cloud Backups

Wenn Acronis Cyber Protect Home Office eine gute temporäre Kopie findet, wird die ursprüngliche Datei mithilfe dieser Kopie wiederhergestellt. Wenn die temporäre Dateikopien für die Wiederherstellung nicht geeignet sein sollten, sucht Acronis Cyber Protect Home Office lokal und in der Cloud nach Backup-Kopien, vergleicht die Erstellungszeiten der an beiden Orten gefundenen Kopien und wird dann Ihre Datei von der letzten verfügbaren, unbeschädigten Kopie wiederherstellen.

Acronis Cyber Protect Home Office unterstützt keine Dateiwiederherstellung aus kennwortgeschützten Backups.

Wenn Sie Acronis Cyber Protect Home Office so konfigurieren wollen, dass Dateien nach dem Blockieren eines Prozesses automatisch wiederhergestellt werden, müssen Sie das Kontrollkästchen Dateien automatisch wiederherstellen, wenn ein Prozess blockiert wurde in den Active Protection-Einstellungen aktivieren. Siehe den Abschnitt 'Active Protection konfigurieren'.

Echtzeitschutz

Wenn der Echtzeitschutz aktiviert ist, überprüft dieser kontinuierlich alle Dateien, mit denen Sie interagieren, um Ihre Maschine in Echtzeit vor verdächtigen Aktivitäten, Viren und anderen bösartigen Bedrohungen zu schützen.

Der Echtzeitschutz umfasst folgende zusätzliche Schutzoptionen:

  • Verhaltensanalyse – Active Protection verwendet eine verhaltensbasierte Heuristik, um bösartige Prozesse zu erkennen. Die Funktion vergleicht die von einem Prozess ausgeführten Aktionsketten (z.B. Ereignisse im Dateisystem) mit Aktionsketten, die in einer Referenzdatenbank mit bekannten schädlichen Verhaltensmustern gespeichert sind. Mit diesem Ansatz kann Active Protection auch neue (bisher unbekannte) Malware anhand typischer Verhaltensmuster als Schadsoftware erkennen.

  • Exploit-Prävention – Active Protection analysiert das Verhalten aller Prozesse, die auf einer Maschine laufen, und erkennt dabei nicht ordnungsgemäße Aktivitäten. Die Funktion verhindert, dass sich infizierte Prozesse ausbreiten und die Schwachstellen/Sicherheitslücken von anderen Programmen ausnutzen, die auf dem System installiert sind. Active Protection verwendet mehrere Methoden zur Exploit-Prävention:

    • Die Memory Protection erkennt und verhindert verdächtige Modifikationen der Ausführungsrechte von Arbeitsspeicherseiten (Memory Pages). Solche Modifikationen der Speicherseiten-Eigenschaften werden von schädlichen Prozessen vorgenommen, um die Ausführung von Shellcodes aus nicht ausführbaren Speicherbereichen (wie „Stack“ und „Heaps“) zu ermöglichen.
    • Die Privilege Escalation Protection erkennt und verhindert Versuche zur „Rechteausweitung“ (auch Privilegien-Erweiterung oder -Eskalation genannt), die von einem nicht autorisierten Code oder einer nicht autorisierten Applikation unternommen werden. Rechteausweitungstechniken werden von bösartigen Software-Codes verwendet, um vollen Zugriff auf eine angegriffene Maschine zu erhalten und dort dann kritische und sensible Tasks auszuführen. Nicht autorisierter Code darf normalerweise nicht auf kritische Systemressourcen zugreifen oder Systemeinstellungen ändern.
    • Die Code Injection Protection erkennt und verhindert, dass bösartiger Software-Code in Remote-Prozesse eingeschleust („injiziert“) wird. Code-Injektion-Techniken werden verwendet, um die böswillige Absicht einer Applikation hinter vermeintlich sauberen oder ungefährlichen Prozessen zu verbergen, um so der Erkennung durch Antimalware-Produkte zu entgehen.

Für Sie können folgende Scanning-Varianten wählen:

  • Eine Erkennung Bei Zugriff (intelligent) (Smart On-Access Detection) bedeutet, dass das Programm im Hintergrund läuft und dabei das System Ihrer Maschine aktiv und kontinuierlich auf Viren und andere bösartige Bedrohungen scannt. Dies erfolgt während gesamten Betriebszeit Ihres Systems. Malware wird sowohl bei der Ausführung einer Datei als auch bei verschiedenen Aktionen mit einer Datei (etwa, wenn diese zum Lesen/Bearbeiten geöffnet wird) erkannt.
  • Eine Erkennung bei Ausführung (On-Execution Detection) bedeutet, dass nur ausführbare Dateien gescannt werden – und zwar im Augenblick ihrer Ausführung. So wird sichergestellt, dass diese Dateien sauber sind und Ihre Maschine oder deren Daten nicht beschädigen können. Das Kopieren einer infizierten Datei wird jedoch nicht erkannt.

Sie können die Ergebnisse der Echtzeitschutz-Prüfungen auf der Registerkarte Aktivität des Protection Dashboard einsehen.

Webfilter

Malware wird häufig über bösartige oder infizierte Websites verbreitet und verwendet dafür eine Angriffsmethode, die auch Drive-by-Download-Infektion genannt wird.

Die Webfilterung ermöglicht Ihnen, sich vor potenziell schädlichen Websites und nicht vertrauenswürdigen Webressourcen zu schützen. Dafür wird der Zugriff auf die entsprechenden Websites blockiert, wenn Sie versuchen, diese zu öffnen. Um festzustellen, welche Websites möglicherweise schädlich sind, verwendet die Webfilterung die Schutz-Update-Datenbank. Die Webfilter-Datenbank enthält auch Informationen über Websites, die Scam- und Phishing-URLs enthalten. Sie können die in dieser Datenbank definierten Regeln ändern, indem Sie Ausnahmen für die Webfilterliste konfigurieren.

Die Webfilterung hat zwei Betriebsmodi:

  • Vollständig blockieren – der Zugriff auf die Website wird komplett gesperrt.
  • Nur benachrichtigen – es wird eine Benachrichtigung angezeigt, aber die Benutzer können dennoch auf die Website zugreifen.