buchachon - Fotolia

Dokumente in der eigenen Cloud zuverlässig schützen

Ransomware kann auch in der Cloud Daten verschlüsseln und selbst SharePoint und OneDrive sind davor nicht sicher. Es gibt aber Gegenmaßnahmen, die wir in diesem Beitrag behandeln.

SharePoint Online und OneDrive sind standardmäßig nicht sicher vor Ransomware-Angriffen. Gelingt es der Malware im Cloud-Speicher Fuß zu fassen, kann die Ransomware problemlos Daten in Bibliotheken und auch im Cloud Storage OneDrive oder OneDrive for Business verschlüsseln. Damit sollten sich Administratoren auseinandersetzen, da ansonsten die Gefahr besteht enormen Schaden im eigenen Unternehmen nicht verhindern zu können.  

SharePoint Online kann erfolgreich angegriffen werden

Das Security-Unternehmen Proofpoint zeigt in einem Blogbeitrag, wie einfach es Ransomware auch im vermeintlich sicheren Cloud-Speicher bei Microsoft hat. 

Übernehmen Angreifer ein Konto eines Benutzers, der Zugriff auf SharePoint Online hat, können sie Ransomware in SharePoint einschleusen. Dabei helfen auch Versionierungen nicht, denn die Ransomware kann problemlos alle Versionen auf 1 reduzieren und diese anschließend verschlüsseln. Dennoch ist die Versionierung in SharePoint ein wichtiger Punkt, um die Daten vor Ransomware zu schützen und sollte daher zum Einsatz kommen. Allerdings ist dieser Schutz keineswegs perfekt, wie das Angriffskonzept von Proofpoint zeigt. 

Abbildung 1: Die Versionierung ist ein wichtiger Schutz gegen Ransomware, aber keinesfalls maximal sicher.
Abbildung 1: Die Versionierung ist ein wichtiger Schutz gegen Ransomware, aber keinesfalls maximal sicher.

In den Einstellungen von SharePoint-Bibliotheken sind bei Bibliothekseinstellungen -> Weitere Bibliothekseinstellungen -> Versionsverwaltungseinstellungen die Optionen zu finden, um Versionen zu aktivieren, die im Notfall bei Ransomware-Befall zur Verfügung stehen. Insgesamt lassen sich bis zu 500 Versionen nutzen. Allerdings kann Ransomware, wie oben bereits beschrieben, die Anzahl der Versionen auf 1 zurücksetzen. 

Backup und lokale Sicherungen sind wesentlicher Bestandteil der Rettung

Um sich vor diesen Cyberangriffen zu schützen, ist das Anlegen lokaler Sicherungen oder Sicherungen der Daten in der Cloud unerlässlich. Gelingt es Ransomware die Daten in den Bibliotheken zu verschlüsseln, lassen sich diese über das Backup wiederherstellen. Hier können Angreifer auch durch Phishing keinen Schaden anrichten. Wichtig ist dabei aber eine korrekt vorgenommene Datensicherung. 

Wir haben uns in den Beiträgen Darauf sollten Sie beim Backup von Microsoft 365 achten und Synology Active Backup for Microsoft 365 und Google Workspace mit diesen Themen bereits auseinandergesetzt. Wichtig ist an dieser Stelle, dass Anwender selbst keinen Zugriff auf die Sicherung erhalten, sondern dass diese physisch von den gesicherten Daten entfernt sind, abgesichert durch Berechtigungen. 

SharePoint Online und Teams sind durch einen internen Virenschutz gesichert

Generell hat Microsoft in SharePoint Online einen Schutz vor Viren integriert. Laden Anwender Dateien auf den Serverhoch, prüft der Server die Datei nach dem Upload (asynchron) nach Malware. Das stellt leider keinen vollständigen Schutz vor Viren dar, sondern nur einen gewissen Grundschutz. Laden Anwender eine Datei aus SharePoint herunter, die der Scanner in SharePoint noch nicht überprüft hat, dann prüft der Dienst die Datei vor dem Download nach Viren. 

Erkennt SharePoint Online einen Virus beim Download, kann der Anwender den Download fortsetzen oder einen Scan mit dem lokalen Virenscanner durchführen. Generell kann es mit der PowerShell verhindert werden, dass Anwender Dateien herunterladen können, bei denen der Virenscanner Malware erkannt hat. Dazu muss der Parameter DisallowInfectedFileDownload des Cmdlets Set-SPOTenant auf $True gesetzt werden. 

Admins können wiederum Get-SPOMalwareFileContent nutzen, um Informationen über verseuchte Dateien herunterzuladen. 

Erweiterter Schutz mit Microsoft 365 Defender

Der Bordmittelschutz in Microsoft 365 reicht nicht aus, um SharePoint Online, Teams oder OneDrive zuverlässig vor Angriffen und Ransomware zu schützen. Microsoft bietet hierzu aber mit Microsoft 365 Defender einen Dienst an, mit dem ein erweiterter Schutz gegen Ransomware erreicht werden kann. Über die Adresse https://security.microsoft.comerreichen Admins den Bereich zur Steuerung des integrierten Virenschutzes, der auch SharePoint Online vor Viren schützt. Der Dienst kann bis zu 90 Tage kostenlos getestet werden. 

Abbildung 2: Microsoft 365 Defender schützt die komplette Microsoft 365-Umgebung, inklusive SharePoint Online vor Ransomware.
Abbildung 2: Microsoft 365 Defender schützt die komplette Microsoft 365-Umgebung, inklusive SharePoint Online vor Ransomware.

Der SharePoint-Papierkorb kann bei Ransomware hilfreich sein

Generell kann der Papierkorb in SharePoint bei Ransomware-Befall hilfreich sein. Abhängig von der Art der Ransomware verschlüsselt die Malware die Dateien über eine Kopie. Die originale Datei wird teilweise gelöscht und ist daher im Papierkorb verfügbar. Daher besteht die Möglichkeit Dateien aus dem Papierkorb der Bibliothek wiederherzustellen. 

Der Papierkorb in SharePoint kann unter Umständen beim Wiederherstellen nach Ransomware-Befall hilfreich sein.
Der Papierkorb in SharePoint kann unter Umständen beim Wiederherstellen nach Ransomware-Befall hilfreich sein.

Dieser Schutz gilt natürlich nicht nur für SharePoint Online, sondern auch für lokal betriebene SharePoint-Server.

Dokumentenarchive in SharePoint nutzen

In SharePoint lassen sich die Dokumente über Aufbewahrungseinstellungen so absichern, dass bestimmte Versionen einer Datei archiviert werden. Das stellt sicher, dass Ransomware diese Versionen nicht ändern kann. Das wiederum ermöglicht die Wiederherstellung der Daten, wenn Ransomware andere Versionen verschlüsselt. Die Konfiguration dazu wird über Richtlinien in SharePoint konfiguriert. Dadurch lassen sich Daten in SharePoint Online und in lokalen betriebenen SharePoint-Servern absichern. 

Erfahren Sie mehr über Backup-Lösungen und Tools

ComputerWeekly.de
Close