Ein Mann wurde Opfer eines Ransomware-Angriffs

Prävention, Reaktion und Recovery... Schutz vor Ransomware: So schützen Sie Ihr Unternehmen!

Im Beitrag verraten wir Ihnen 5 Tipps zum Schutz vor Ransomware: So begegnen Sie einem Ransomware-Angriff richtig!  

Wird ein Unternehmen von Cyberkriminellen attackiert, nutzen die Angreifer häufig Ransomware: Mit dieser Unterkategorie von Malware (zu Deutsch: Schadsoftware) werden Daten verschlüsselt und für ihre Herausgabe Lösegeld verlangt. Aktuellen Umfragen zufolge ist Ransomware seit Jahren die Cyber-Bedrohung Nr. 1.

Cyberkriminelle wählen ihre Opfer meist nicht gezielt aus. Automatisierte Tools suchen im Internet nach Organisationen mit ausnutzbaren Schwachstellen. Je einfacher die Cyberkriminellen Ransomware bei einem Unternehmen einschleusen können, desto wahrscheinlicher ist ein Angriff. Mittelstand Heute gibt fünf Tipps, wie Sie Ihr Unternehmen vor Ransomware schützen können.

  1. Prävention ist der erste Schritt beim Ransomware-Schutz
  2. Die Backup-Strategie: Eine Lebensversicherung für Ransomware-Attacken
  3. Indizien für einen Ransomware-Angriff
  4. Ransomware: Die Infektion einschränken
  5. Den Recovery-Plan umsetzen

1. Prävention ist der erste Schritt beim Ransomware-Schutz

Ein effektiver Ransomware-Schutz setzt präventiv an. Cyberkriminelle zu stoppen, bevor sie Schaden anrichten, ist der Königsweg. Häufig verschaffen sich Hacker über gestohlene Identitäten Zugriff zu Firmennetzwerken. Dieser Angriffsvektor lässt sich beispielsweise mit Privileged Access Management (PAM) beschränken. Dabei werden privilegierte Nutzerkonten, die über umfangreiche Berechtigungen verfügen, besonders geschützt. Das kann unter anderem über eine Multifaktor-Authentifizierung erfolgen.

Zum Thema
Ein Schlüsselbund liegt auf einem Tisch
Technologie einfach erklärt Privileged Access Management (PAM) – Was bedeutet das?
jetzt artikel lesen

Wirksam ist auch eine Zero-Trust-Strategie. Damit kann die Bewegungsfreiheit eines Angreifers im System eingeschränkt und der angerichtete Schaden begrenzt werden. Jeder Nutzer muss sich bei allen Anfragen erneut authentifizieren, das früher übliche Paradigma, dass eine einmalige Anmeldung nie wieder kontrolliert wurde, ist nicht mehr zeitgemäß. Durch diese Maßnahmen haben es Cyberkriminelle einerseits schwerer in Systeme einzudringen, andererseits können sie im System weniger Schaden anrichten, da ihnen Zugriffe verwehrt werden.

Ein Recovery-Plan muss Teil der Prävention sein. Wenn der Angriff bereits läuft oder erfolgreich war, ist es zu spät. Zuerst gilt es, die wichtigsten Assets zu identifizieren. Daten, die für den Betrieb essenziell sind, sollten bei einer Backup-Strategie priorisiert werden. Damit die Wiederherstellung funktioniert, müssen die Backups offline gelagert und besonders geschützt werden. Sonst verschlüsselt die Ransomware-Software die Backups gleich mit. Wichtig ist auch, die Backups regelmäßig zu testen. Tritt der Ernstfall ein, muss die Wiederherstellung der Daten möglichst reibungslos funktionieren.

Artikel
Ein Ransomware-Angriff auf einem Laptop
Besser die Methoden kennen! Was ist Ransomware? Funktion, Verbreitung, Arten
jetzt artikel lesen

2. Die Backup-Strategie: Eine Lebensversicherung für Ransomware-Attacken

Backups lassen sich einfach über Cloud-Dienste abwickeln. Unternehmen sind dort flexibel, was das Speichervolumen angeht. Außerdem bieten Cloud-Dienste wie Microsoft Azure umfangreiche Sicherheitspakete wie Azure Backup an. Dabei haben Gastnutzer oder eben auch Angreifer keinen direkten Zugriff auf die Backup-Snapshots in der Cloud. Zusätzlich zur Sicherung scannt ein Monitoring-Service die Kopien und löst bei ungewöhnlichen Aktivitäten Alarm aus. Darüber hinaus sind Firmen gut beraten, für die wichtigsten Daten ein physisch vom System getrenntes Backup einzurichten: zum Beispiel auf einem Server, der nicht mit dem Internet oder dem restlichen Firmennetzwerk verbunden ist.

Eine Standardmaßnahme, die nicht nur bei der Ransomware-Prävention hilft, sondern alle Arten von Cyber-Angriffen erschwert, sind Updates. Softwareanbieter bieten inzwischen regelmäßig und meist auch zeitnah Updates und Patches für Schwachstellen und Sicherheitslücken in ihren Programmen an. Anwender müssen diese Hilfestellung aber auch nutzen. Wie wichtig das im Ernstfall sein kann, zeigt der Fall Wanna Cry: Wanna Cry gilt als einer der schwerwiegendsten Ransomware-Angriffe aller Zeiten. Der Schaden belief sich nach Schätzungen auf über vier Milliarden Dollar. Die Ransomware nutzte eine Sicherheitslücke in Microsoft Windows, für die Microsoft schon einen Monat vor der Attacke einen Patch veröffentlicht hatte. Viele Unternehmen hatten ihn jedoch noch nicht installiert.

Empfehlung
Katalog Noch mehr Informationen zum Thema Schutz vor Ransomware?

Für tiefergehende Informationen zum Thema Ransomware-Schutz können Sie auf den Maßnahmenkatalog Ransomware des Bundesamts für Sicherheit in der Informationstechnik (BSI) zurückgreifen.

Jetzt lesen

3. Indizien für einen Ransomware-Angriff

Auch mit der besten Prävention ist ein erfolgreicher Ransomware-Angriff nicht ausgeschlossen. Unternehmen sollten neben der präventiven auch eine reaktive Strategie vorhalten. Aktuell wird Human Operated Ransomware beliebter. Die Angreifer hoffen nicht nur darauf, dass ein Mitarbeiter unbeabsichtigt einen Ransomware-Link in einer Mail ausführt, sondern verschaffen sich aktiv über ausnutzbare Schwachstellen Zugriff auf das Firmennetzwerk. Dort verschlüsseln und stehlen sie gezielt Daten.

Für einen Einbruch in das System gibt es einige Indizien – zum Beispiel von der Norm abweichende Aktivitäten im Netzwerkverkehr und in der CPU-Last von Servern und Arbeitsplätzen. Verschlüsselung ist sehr rechenaufwändig und treibt die CPU-Auslastung nach oben. Viele Anti-Malware Tools suchen gezielt nach solchen Abweichungen nach oben. Versucht ein Nutzer auf Daten und Bereiche zuzugreifen oder Dokumente zu bearbeiten, für die er keine Berechtigungen besitzt, sollten die fehlgeschlagenen Zugriffe protokolliert werden und eine Warnung auslösen. Ein weiterer Indikator sind Versuche, wichtige Prozesse abrupt zu beenden. So stoppt Ransomware meist alle im Hintergrund laufenden Programme, die Backups oder Snapshots anlegen, oder Dateien auf andere Art schützen und replizieren.

Dienstleister mit Security-Services im Portfolio bieten häufig Lösungen wie Security Information and Event Management (SIEM) oder Extended Detection and Response (XDR) an, mit denen sich die Vorgänge im lokalen Netz, in der Cloud und auf den Endgeräten überwachen lassen. Mit den gesammelten Events wie beispielsweise stark steigende CPU-Lasten, können Zusammenhänge und Aktionen erkannt werden, die als Einzelmeldung gar nicht auffallen würden. Bis zu einem gewissen Grad können die Tools auch eigenständig reagieren und Aktivitäten der Angreifer stoppen.

4. Ransomware: Die Infektion einschränken

Eine Schadsoftware arbeitet immer in einem Rechtekontext. Hat ein Mitarbeiter unbewusst die Infektion ausgelöst, kann die Ransomware dessen Berechtigungen nutzen. Verfügt der Mitarbeiter über einen privilegierten Account, hat auch die Ransomware privilegierte Rechte. Ein System für Identitätsmanagement wie Microsoft PIM für Azure AD oder ein Privileged Access Management (PAM) System verhindert, dass Nutzer ständig mit erweiterten Rechten arbeiten (Least-Privilege-Konzept) und reduziert die Angriffsfläche, wenn dieser Benutzeraccount kompromittiert wird.

Auch die Trennung von Netzen in isolierte Bereiche, das so genannte Segmentieren, gehört wie Least-Privilege zu den Eckpfeilern des Zero Trust-Ansatzes. Segmentierung beschränkt die bösartigen Aktivitäten des Angreifers auf einen möglichst kleinen Bereich, der Rest des Netzwerks bleibt funktionsfähig. Unterstützung bei dieser und bei anderen Abwehrmaßnahmen bieten spezialisierte IT-Sicherheitsdienstleister. Sie helfen dabei, die richtigen Segmentierungsgrenzen zu setzen und die Übergänge zu schützen.

Lesetipp
Ein Business Man stemmt bei Regenfall seinen Regenschirm gegen den Wind
Machen Sie Ihr Unternehmen resilienter! Cyber Resilience: 5 Tipps für eine robuste Cybersecurity
jetzt artikel lesen

5. Den Recovery-Plan umsetzen

Was aber tun, wenn eine Ransomware-Attacke erfolgreich war? Wie erholen Sie sich davon? Im ersten Schritt geht es darum, die Malware vollständig aus dem System zu entfernen. Dazu bietet es sich ebenfalls an, einen IT-Dienstleister mit Security-Fokus hinzuzuziehen.

Es kann außerdem hilfreich sein, die bei der Attacke eingesetzte Schadsoftware zu analysieren. In vielen Fällen ist es zwar unrealistisch, die verschlüsselten Daten selbstständig oder mit Hilfe von Security-Experten zu entschlüsseln: Allerdings besteht bei älterer oder häufig genutzter Ransomware die Chance, dass ein Entschlüsselungs-Werkzeug greift. 

Der Lösegeldforderung nachzukommen mag für manches Unternehmen verlockend wirken und als Alternative in Frage kommen: Davon ist jedoch abzusehen. Wer Lösegeld zahlt, bestätigt die Hacker nur in ihrem Glauben, dass sich mit Ransomware schnelles Geld verdienen lässt und finanziert weitere Angriffe. Zudem gibt es keine Garantie, dass die Angreifer die Daten jemals entschlüsseln. Bei der Angriffsserie mit der Malware Cryptolocker in den Jahren 2013 und 2014 gaben beispielsweise einige Opfer an, die digitalen Schlüssel für ihre Daten trotz Zahlung des Lösegelds nie erhalten zu haben.

In einigen Ländern ist die Zahlung von Ransom mittlerweile sogar verboten. Die Zahl der Ransomware-Angriffe ist in den letzten Jahren gestiegen. Phänomene wie Human Operated Ransomware und Ransomware-as-a-Service (RaaS) verstärken diesen Trend. Denn, wenn Ransomware als Dienstleistung angeboten wird, kann sie im Grunde jeder einsetzen. Solchen Szenarien vorzubeugen und Strategien für den Ernstfall aufzustellen, ist für jedes Unternehmen relevant. Deswegen gibt es keinen schlechten Zeitpunkt, an einer guten Ransomware-Strategie zu arbeiten.

WEBSESSION-SERIE
Cybersecurity: Wirksamer Schutz durch Microsoft Security-Lösungen

In dieser kostenlosen Websession-Serie erfahren Sie, wie Sie Ihre Endpunkte, Kommunikation und Identitäten effektiv u.a. vor Ransomware schützen sowie schon heute von KI in der Cybersecurity profitieren.

Websession-Replay in Kürze hier abrufbar!

Quelle Aufmacherbild: Andrey Popov/stock.adobe.com