Prävention, Reaktion und Recovery...
Im Beitrag verraten wir Ihnen 5 Tipps zum Schutz vor Ransomware: So begegnen Sie einem Ransomware-Angriff richtig!
Im Beitrag verraten wir Ihnen 5 Tipps zum Schutz vor Ransomware: So begegnen Sie einem Ransomware-Angriff richtig!
Wird ein Unternehmen von Cyberkriminellen attackiert, nutzen die Angreifer häufig Ransomware: Mit dieser Unterkategorie von Malware (zu Deutsch: Schadsoftware) werden Daten verschlüsselt und für ihre Herausgabe Lösegeld verlangt. Aktuellen Umfragen zufolge ist Ransomware seit Jahren die Cyber-Bedrohung Nr. 1.
Cyberkriminelle wählen ihre Opfer meist nicht gezielt aus. Automatisierte Tools suchen im Internet nach Organisationen mit ausnutzbaren Schwachstellen. Je einfacher die Cyberkriminellen Ransomware bei einem Unternehmen einschleusen können, desto wahrscheinlicher ist ein Angriff. Mittelstand Heute gibt fünf Tipps, wie Sie Ihr Unternehmen vor Ransomware schützen können.
Ein effektiver Ransomware-Schutz setzt präventiv an. Cyberkriminelle zu stoppen, bevor sie Schaden anrichten, ist der Königsweg. Häufig verschaffen sich Hacker über gestohlene Identitäten Zugriff zu Firmennetzwerken. Dieser Angriffsvektor lässt sich beispielsweise mit Privileged Access Management (PAM) beschränken. Dabei werden privilegierte Nutzerkonten, die über umfangreiche Berechtigungen verfügen, besonders geschützt. Das kann unter anderem über eine Multifaktor-Authentifizierung erfolgen.
Wirksam ist auch eine Zero-Trust-Strategie. Damit kann die Bewegungsfreiheit eines Angreifers im System eingeschränkt und der angerichtete Schaden begrenzt werden. Jeder Nutzer muss sich bei allen Anfragen erneut authentifizieren, das früher übliche Paradigma, dass eine einmalige Anmeldung nie wieder kontrolliert wurde, ist nicht mehr zeitgemäß. Durch diese Maßnahmen haben es Cyberkriminelle einerseits schwerer in Systeme einzudringen, andererseits können sie im System weniger Schaden anrichten, da ihnen Zugriffe verwehrt werden.
Ein Recovery-Plan muss Teil der Prävention sein. Wenn der Angriff bereits läuft oder erfolgreich war, ist es zu spät. Zuerst gilt es, die wichtigsten Assets zu identifizieren. Daten, die für den Betrieb essenziell sind, sollten bei einer Backup-Strategie priorisiert werden. Damit die Wiederherstellung funktioniert, müssen die Backups offline gelagert und besonders geschützt werden. Sonst verschlüsselt die Ransomware-Software die Backups gleich mit. Wichtig ist auch, die Backups regelmäßig zu testen. Tritt der Ernstfall ein, muss die Wiederherstellung der Daten möglichst reibungslos funktionieren.
Backups lassen sich einfach über Cloud-Dienste abwickeln. Unternehmen sind dort flexibel, was das Speichervolumen angeht. Außerdem bieten Cloud-Dienste wie Microsoft Azure umfangreiche Sicherheitspakete wie Azure Backup an. Dabei haben Gastnutzer oder eben auch Angreifer keinen direkten Zugriff auf die Backup-Snapshots in der Cloud. Zusätzlich zur Sicherung scannt ein Monitoring-Service die Kopien und löst bei ungewöhnlichen Aktivitäten Alarm aus. Darüber hinaus sind Firmen gut beraten, für die wichtigsten Daten ein physisch vom System getrenntes Backup einzurichten: zum Beispiel auf einem Server, der nicht mit dem Internet oder dem restlichen Firmennetzwerk verbunden ist.
Eine Standardmaßnahme, die nicht nur bei der Ransomware-Prävention hilft, sondern alle Arten von Cyber-Angriffen erschwert, sind Updates. Softwareanbieter bieten inzwischen regelmäßig und meist auch zeitnah Updates und Patches für Schwachstellen und Sicherheitslücken in ihren Programmen an. Anwender müssen diese Hilfestellung aber auch nutzen. Wie wichtig das im Ernstfall sein kann, zeigt der Fall Wanna Cry: Wanna Cry gilt als einer der schwerwiegendsten Ransomware-Angriffe aller Zeiten. Der Schaden belief sich nach Schätzungen auf über vier Milliarden Dollar. Die Ransomware nutzte eine Sicherheitslücke in Microsoft Windows, für die Microsoft schon einen Monat vor der Attacke einen Patch veröffentlicht hatte. Viele Unternehmen hatten ihn jedoch noch nicht installiert.
Auch mit der besten Prävention ist ein erfolgreicher Ransomware-Angriff nicht ausgeschlossen. Unternehmen sollten neben der präventiven auch eine reaktive Strategie vorhalten. Aktuell wird Human Operated Ransomware beliebter. Die Angreifer hoffen nicht nur darauf, dass ein Mitarbeiter unbeabsichtigt einen Ransomware-Link in einer Mail ausführt, sondern verschaffen sich aktiv über ausnutzbare Schwachstellen Zugriff auf das Firmennetzwerk. Dort verschlüsseln und stehlen sie gezielt Daten.
Für einen Einbruch in das System gibt es einige Indizien – zum Beispiel von der Norm abweichende Aktivitäten im Netzwerkverkehr und in der CPU-Last von Servern und Arbeitsplätzen. Verschlüsselung ist sehr rechenaufwändig und treibt die CPU-Auslastung nach oben. Viele Anti-Malware Tools suchen gezielt nach solchen Abweichungen nach oben. Versucht ein Nutzer auf Daten und Bereiche zuzugreifen oder Dokumente zu bearbeiten, für die er keine Berechtigungen besitzt, sollten die fehlgeschlagenen Zugriffe protokolliert werden und eine Warnung auslösen. Ein weiterer Indikator sind Versuche, wichtige Prozesse abrupt zu beenden. So stoppt Ransomware meist alle im Hintergrund laufenden Programme, die Backups oder Snapshots anlegen, oder Dateien auf andere Art schützen und replizieren.
Dienstleister mit Security-Services im Portfolio bieten häufig Lösungen wie Security Information and Event Management (SIEM) oder Extended Detection and Response (XDR) an, mit denen sich die Vorgänge im lokalen Netz, in der Cloud und auf den Endgeräten überwachen lassen. Mit den gesammelten Events wie beispielsweise stark steigende CPU-Lasten, können Zusammenhänge und Aktionen erkannt werden, die als Einzelmeldung gar nicht auffallen würden. Bis zu einem gewissen Grad können die Tools auch eigenständig reagieren und Aktivitäten der Angreifer stoppen.
Eine Schadsoftware arbeitet immer in einem Rechtekontext. Hat ein Mitarbeiter unbewusst die Infektion ausgelöst, kann die Ransomware dessen Berechtigungen nutzen. Verfügt der Mitarbeiter über einen privilegierten Account, hat auch die Ransomware privilegierte Rechte. Ein System für Identitätsmanagement wie Microsoft PIM für Azure AD oder ein Privileged Access Management (PAM) System verhindert, dass Nutzer ständig mit erweiterten Rechten arbeiten (Least-Privilege-Konzept) und reduziert die Angriffsfläche, wenn dieser Benutzeraccount kompromittiert wird.
Auch die Trennung von Netzen in isolierte Bereiche, das so genannte Segmentieren, gehört wie Least-Privilege zu den Eckpfeilern des Zero Trust-Ansatzes. Segmentierung beschränkt die bösartigen Aktivitäten des Angreifers auf einen möglichst kleinen Bereich, der Rest des Netzwerks bleibt funktionsfähig. Unterstützung bei dieser und bei anderen Abwehrmaßnahmen bieten spezialisierte IT-Sicherheitsdienstleister. Sie helfen dabei, die richtigen Segmentierungsgrenzen zu setzen und die Übergänge zu schützen.
Was aber tun, wenn eine Ransomware-Attacke erfolgreich war? Wie erholen Sie sich davon? Im ersten Schritt geht es darum, die Malware vollständig aus dem System zu entfernen. Dazu bietet es sich ebenfalls an, einen IT-Dienstleister mit Security-Fokus hinzuzuziehen.
Es kann außerdem hilfreich sein, die bei der Attacke eingesetzte Schadsoftware zu analysieren. In vielen Fällen ist es zwar unrealistisch, die verschlüsselten Daten selbstständig oder mit Hilfe von Security-Experten zu entschlüsseln: Allerdings besteht bei älterer oder häufig genutzter Ransomware die Chance, dass ein Entschlüsselungs-Werkzeug greift.
Der Lösegeldforderung nachzukommen mag für manches Unternehmen verlockend wirken und als Alternative in Frage kommen: Davon ist jedoch abzusehen. Wer Lösegeld zahlt, bestätigt die Hacker nur in ihrem Glauben, dass sich mit Ransomware schnelles Geld verdienen lässt und finanziert weitere Angriffe. Zudem gibt es keine Garantie, dass die Angreifer die Daten jemals entschlüsseln. Bei der Angriffsserie mit der Malware Cryptolocker in den Jahren 2013 und 2014 gaben beispielsweise einige Opfer an, die digitalen Schlüssel für ihre Daten trotz Zahlung des Lösegelds nie erhalten zu haben.
In einigen Ländern ist die Zahlung von Ransom mittlerweile sogar verboten. Die Zahl der Ransomware-Angriffe ist in den letzten Jahren gestiegen. Phänomene wie Human Operated Ransomware und Ransomware-as-a-Service (RaaS) verstärken diesen Trend. Denn, wenn Ransomware als Dienstleistung angeboten wird, kann sie im Grunde jeder einsetzen. Solchen Szenarien vorzubeugen und Strategien für den Ernstfall aufzustellen, ist für jedes Unternehmen relevant. Deswegen gibt es keinen schlechten Zeitpunkt, an einer guten Ransomware-Strategie zu arbeiten.
Quelle Aufmacherbild: Andrey Popov/stock.adobe.com