zephyr_p - stock.adobe.com

Tipps zum präventiven Schutz vor Ransomware

Um sich vor Ransomware zu schützen, müssen CISOs ihre Strategien überdenken. Neben Backups und der Netzwerksicherheit sollten sie dabei die Rolle von Zugangsdaten bedenken.

Ransomware hat derzeit Hochkonjunktur. Regelmäßig werden Angriffe bekannt, zuletzt im Zuge einer Schwachstelle in Microsoft Exchange Server, bei der die „DearCry” genannte Malware in die Systeme geschleust wurde (ComputerWeekly.de berichtete). Auch im aktuellen Bericht zur „Lage der IT-Sicherheit in Deutschland 2020” des Bundesamts für Sicherheit in der Informationstechnik (BSI) füllt das Thema Ransomware mehrere Seiten, nicht zuletzt wegen Emotet und der in diesem Kontext verwendeten Ryuk-Ransomware. Schäden, die durch Ransomware entstehen, lassen sich kaum beziffern. Schätzungen gehen in Europa, Kanada und den USA von etwa 300.000 Dollar pro Fall aus. Finanzielle Einbußen entstehen auch, wenn sich Unternehmen entscheiden, nicht auf die Lösegeld-Forderung einzugehen, denn die Wiederherstellung der Systeme ist ein kostspieliges Unterfangen.

Angesichts der steigenden Anzahl solcher Angriffe in der letzten Zeit müssen sich Unternehmen und deren Chief Information Security Officer (CISO) eine Sache verdeutlichen: Es gibt kein Patentrezept zum Schutz vor Ransomware. Das BSI empfiehlt als „wichtigste“ Maßnahme die klassischen Backups. Das ist verständlich, da etwa der Betrieb in vielen Fällen so schnell wie möglich wieder aufgenommen werden muss und man im Fall einer böswilligen Verschlüsselung der Daten mithilfe eines (möglichst aktuellen) Backups zumindest wieder handlungsfähig ist. Doch diese reaktive Maßnahme greift zu kurz und hilft nur bedingt, wenn Angreifer Unternehmensdaten nicht nur verschlüsseln, sondern diese auslesen und damit drohen, Betriebsgeheimnisse zu veröffentlichen.

Schutz auf mehreren Ebenen denken

Der effektivste Schutz gegen Ransomware ist und bleibt eine tiefgreifende, mehrschichtige Verteidigungsstrategie. Dabei sollten verschiedene Ebenen von Sicherheitskontrollen eingerichtet werden. Die wichtigsten Aspekte dabei sind Antimalware-Programme, Stärkung des Nutzerbewusstseins und eine starke Authentifizierung beziehungsweise die strikte Autorisierung von Zugriffen auf Unternehmensressourcen. Nur so lassen sich die drei bekanntesten Angriffsvektoren von Ransomware adäquat adressieren. Warum das so ist, zeigt die separate Betrachtung der einzelnen Ebenen – also Technologie, Prozess und Mitarbeiter:

Bei der Technologieebene ist der Angriffsvektor am offensichtlichsten: Eine Infrastruktur, die nicht regelmäßig Updates und Patches erhält, ist ein beliebtes Ziel für Hacker, denn dort lassen sich Schwachstellen nutzen und Schadsoftware einschleusen. Doch das Thema ist alles andere als trivial. Zero-Day-Attacken lassen sich so beispielsweise nicht verhindern: Für eine nicht erkannte Schwachstelle in einem Programm oder in einer Datenbank kann der Provider auch keinen Sicherheitspatch schreiben. Und selbst N-Day-Attacken, bei denen eine Schwachstelle bereits bekannt ist, sind ein großes Problem – besonders wenn die Anbieter von betroffenen Diensten nicht zeitnah über die Sicherheitslücke informieren. Hierbei kommt neben dem fehlenden Patch erschwerend hinzu, dass sich Informationen über die Schwachstelle (und im schlimmsten Fall auch Anleitungen für Exploits) im Internet verbreiten und so mehr und mehr potenzielle Angreifer anziehen. Welches Ausmaß solche Angriffe haben können, zeigte der Fall WannaCry: Ursprünglich 2017 aufgetreten, soll die Ransomware laut Berichten der Sicherheitsforscher von PreciseSecurity noch in 2019 für über 23 Prozent aller Ransomware-Angriffe verantwortlich gewesen sein.

Auf der Prozessebene wird es schon ein wenig komplizierter. Denn auch wenn IT-Verantwortliche ein entsprechendes Patch-Management betreiben, so kann dieses selbst Ziel von Angriffen werden. Sinnbildlich steht dafür der Vorfall bei SolarWinds. Das Unternehmen, selbst Anbieter für Sicherheitsüberwachungs- und Analyselösungen, wurde durch einen Angriff auf die Lieferkette (Supply-Chain-Attacke) kompromittiert und diente unfreiwillig als Backdoor für das Einschleusen von Schadsoftware. Dieser Fall ist besonders tückisch, da Angriffe auf Drittanbieter-Software für Administratoren kaum als solche erkennbar sind. Dennoch macht er eines deutlich: Unternehmen erleichtern Hackern ihre Arbeit, wenn keine Verifizierung der Quellen von Patches stattfinden und sie Änderungen auf ihren Systemen ungeprüft zulassen. Dies gilt übrigens auch für individuelle Updates durch Mitarbeiter, die etwa Anwendungen auf ihren Computern aktualisieren, ohne über die Quelle des Updates nachzudenken.

Womit wir bei der dritten Ebene wären – der des Menschen selbst in seiner Rolle als Mitarbeiter. Die eben erwähnten eigenständigen Updates durch Mitarbeiter sind dabei nur eines von vielen Problemen. Schatten-IT, ungesicherte Heimnetzwerke oder schlicht die emotionale Verfassung der Mitarbeiter sind eine ständige Bedrohung. Besonders im Kontext des gestiegenen Einsatzes von Home-Office, gepaart mit Unsicherheit der Mitarbeiter in ökonomisch schwierigen Zeiten, macht die Kollegen zu beliebten Zielen für Social Engineering oder Phishing. Ohne entsprechende IT-Sicherheitstrainings fehlt das nötige Maß an Sensibilisierung für die drohenden Gefahren und Angreifer haben ein Füllhorn an Möglichkeiten, um Angestellte dazu zu bewegen, schädliche Programme herunterzuladen oder ihre Login-Daten preiszugeben.

Credentials sind der gemeinsame Nenner im Kampf gegen Ransomware

Gerade in der letzten – oft unterschätzten – Ebene zeigt sich das eigentliche Problem beim Schutz vor Ransomware: Wer Anmeldedaten für ein System in den Händen hält, wird in der Regel als legitimer Nutzer anerkannt. Bei einer schwachen Authentifizierung, also wenn Passwörter als Nachweis für den berechtigten Zugriff ausreichen, nutzen Hacker vielfach Brute-Force-Methoden, um schwache Passwörter mithilfe von automatisierten Programmen und ausreichender Rechenleistung schlichtweg zu erraten. So geschehen etwa bei Dharma, Phobos oder Sodinoki. All diese Ransomware-Varianten haben gemein, dass sie sich über offene Remote Desktop Protocols (RDP) oder mithilfe von Server Exploits und durch die Eingabe von Passwörtern Zugriff auf Unternehmensnetzwerke verschafft haben.

Besonders im Jahr 2020, als Mitarbeiter zu Tausenden ins Home-Office gingen und über RDPs auf Unternehmensressourcen zugriffen, haben diese Arten von Angriffen rapide zugenommen. Ist der RDP-Port einmal gefunden – was nicht besonders schwer ist, denn sie werden von Firmen oft frei ins Internet gestellt – lässt sich der Zugang einfach ins Visier nehmen.

Al Lakhani, IDEE

„Unternehmen sollten sich nicht auf der Backup-Strategie ausruhen, sondern Maßnahmen ergreifen, um Ransomware-Angriffen eine starke, tiefgreifende und mehrschichtige Verteidigungsstrategie entgegenzusetzen.“

Al Lakhani, IDEE

Wer nun glaubt, dass sich ein solches Problem durch den Einsatz von VPNs einfach lösen lässt, dem muss klar sein, dass auch solche Systeme angreifbar sind, denn selbst VPNs basieren auf bestimmten IP-Adressen sowie Credentials – und diese können sich Hacker beschaffen.

Drei Tipps für die Ransomware-Prävention

Um sein Unternehmen präventiv vor Ransomware zu schützen, sollten CISOs ihr Augenmerk daher auf eine starke Authentifizierung legen und dafür:

  1. Eine Multifaktor-Authentifizierung (MFA) implementieren, um Mitarbeiter unabhängig von Ihrem Standort als legitime Nutzer zu identifizieren. Viele Softwareanbieter setzen in Zukunft ohnehin eine MFA voraus, etwa Salesforce. Und auch Microsoft spricht regelmäßig eine entsprechende Empfehlung aus. Dieses Momentum sollten Unternehmen nutzen, um Anwendungen durchgängig abzusichern. Wichtig ist dabei die Art des MFA. Denn etwa Recovery-Schwachstellen im MFA sind ein häufiges Ziel für Angreifer. So lassen sich beispielsweise Magic-Links oder PIN-SMS abfangen und für Angriffe verwenden. Die Lösung sollte daher im besten Fall auf Passwörter verzichten und stattdessen auf passwortlose MFA – zum Beispiel auf Grundlage biometrischer Merkmale – setzen.
  2. RDPs einsetzen, die durch VPNs vor Unbefugten verborgen werden. Bei beiden gilt, dass das regelmäßige Update Pflicht ist. VPNs geraten zunehmend ins Visier und sollten deshalb streng auf ihre Aktualität hin überwacht werden. Um hier insgesamt den Überblick zu behalten, empfiehlt sich die Inventarisierung der gesamten Unternehmensumgebung sowie die Identifizierung kritischer Assets, um diese im Zweifelsfall am Patch-Day zu priorisieren. Zudem empfiehlt es sich, auch die VPNs selbst durch MFA abzusichern.
  3. Das Risikobewusstsein beziehungsweise die Sensibilität erhöhen. Neben technischen Maßnahmen sind Fortbildungen zur Verbesserung des Sicherheitsbewusstseins Ob es nun der Mitarbeiter ist, der eine vermeintliche E-Mail-Aufforderung des Chefs bekommt, oder der IT-Mitarbeiter, der ungewöhnliche Netzwerkaktivitäten entdeckt: Ein breites Verständnis der Bedrohungslandschaft und ein ausgeprägtes Risikobewusstsein sind das nötige Basiswissen für eine effektive Risikominderung. Dazu muss Cybersicherheit Teil der Unternehmenskultur werden, gerade wenn der Großteil der Belegschaft remote arbeitet.

Fazit

Viele Unternehmen waren nicht darauf vorbereitet, plötzlich den Großteil ihrer Mitarbeiter aus der Ferne arbeiten zu lassen. Hacker haben das erkannt und in Ransomware eine einfache und lukrative Möglichkeit entdeckt, um davon zu profitieren. Mittlerweile sind Hacker-Foren voll mit entsprechenden Anleitungen und einer geschlossenen Schwachstelle folgt bald die nächste verwundbare. Unternehmen sollten sich daher nicht auf der Backup-Strategie ausruhen, sondern aktiv Maßnahmen ergreifen, um Ransomware-Angriffen eine starke, tiefgreifende und mehrschichtige Verteidigungsstrategie entgegenzusetzen. 

Über den Autor:

Al Lakhani ist Gründer und Geschäftsführer der Münchner IDEE GmbH. IDEE bietet Authentifizierungs-, Autorisierungs- und Verifizierungslösungen an. Mit fast 20 Jahren Erfahrung im Bereich Cyberforensik ist Al Lakhani Experte auf dem Gebiet der Cyberkriminalität und Datenforensik sowie im Blockchain-Umfeld.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close