beebright - stock.adobe.com
Sechs Schritte zur Abwehr von Ransomware-Angriffen
Ransomware-Attacken gefährden den Geschäftsbetrieb von Unternehmen und verursachen schnell hohe Kosten. Mit einigen Maßnahmen lassen sich die Risiken deutlich reduzieren.
Angriffe durch Ransomware sorgen schnell für massive Schäden. Dabei sind sie durchaus zu verhindern. Unternehmen mit einer fundierten und sorgfältig ausgearbeiteten Sicherheitsstrategie sind weit weniger anfällig gegen diese Art von Cyberattacken als ihre Wettbewerber.
Im Folgenden finden Sie sechs bewährte Sicherheitspraktiken, mit denen Sie die Verteidigungsmaßnahmen Ihres Unternehmens deutlich stärken und die dabei helfen Ransomware-Angriffe abzuwehren. Auf diese Weise vermeiden Sie, selbst zum Opfer dieser immer häufiger werdenden Attacken zu werden.
Ein mehrstufiges Sicherheitsprogramm aufstellen
Auch Ransomware ist im Grunde eine Malware. Die meisten Ransomware-Angriffe nutzen daher bereits gut bekannte und dokumentierte Methoden, die von aktueller Sicherheitssoftware erkannt und gestoppt werden können. Manche Antimalware-Lösungen verfügen heutzutage sogar bereits über dedizierte Funktionen zur Abwehr von Erpressungstrojanern.
- Firewalls,
- EDR (Endpoint Detection and Response),
- Scannen und Säubern der Endpoints im Unternehmen,
- Analysen des Datenverkehrs im Netzwerk,
- Webfilter,
- Intrusion Detection Systems (IDS),
- Spam- und Phishing-Filter,
- Allow und Block Lists, sowie
- Cloud Access Security Broker.
Darüber hinaus sollten Sie auch das Prinzip der geringsten benötigten Berechtigungen in Ihrem Netzwerk umsetzen, für Multifaktor-Authentifizierungen sorgen sowie VPNs (Virtual Private Networks) und andere Techniken zum Schutz entfernter Mitarbeiter und der von ihnen genutzten Verbindungen nutzen. Außerdem sollte der Einsatz des Remote Desktop Protocols (RDP) gestoppt oder zumindest einschränkt werden. RDP wurde in der Vergangenheit besonders häufig für Ransomware-Angriffe missbraucht. Nicht zuletzt sollten unnötig geöffnete Ports geschlossen werden.
Den Einsatz fortgeschrittener Abwehrmaßnahmen prüfen
Auch wenn die meisten Ransomware-Attacken bereits mit grundlegenden Antimalware-Lösungen abgewehrt werden können, bleibt immer noch das Risiko, dass Kriminelle neuartige Tricks verwenden, um Opfer in die Falle zu locken. Dabei nutzen sie Zero-Day-Lücken, also bislang noch nicht allgemein bekannte Sicherheitslücken. Um einen Zero Day Exploit aufzuspüren, bedarf es modernster Techniken wie:
- Extended Detection and Response (XDR)
- Managed Detction and Response (MDR),
- Sandboxing,
- SIEM (Security Information and Event Management),
- SASE (Secure Access Service Edge),
- Verhaltensanalysen,
- Zero Trust Network Access (ZTNA) und
- Spezielle Lösungen zum Täuschen der Angreifer (Deception).
Über die Gefahren von Social Engineering aufklären
Oft gelangen Erpressungstrojaner über unbeabsichtigte Handlungen der Mitarbeiter in ein Unternehmen ein. So passiert es immer wieder, dass zum Beispiel ein Kollege oder eine Kollegin auf eine gut gemachte Phishing-Mail hereinfällt und auf einen manipulierten Link klickt oder ein infiziertes Attachment auf seinem Rechner öffnet.
Führen Sie daher regelmäßig Cyber-Security-Awareness-Trainings für die Mitarbeiter, Partner und andere Beteiligte durch. Informieren Sie zudem alle gefährdeten Personen über neue Bedrohungen und bekannt gewordene Tricks der Erpresser. Ransomware-spezifische Sensibilisierungsschulungen können dazu beitragen, die Schwere der Bedrohung zu verdeutlichen.
Helfen Sie den Kollegen insbesondere bei folgenden Punkten:
- Wie sie starke Passwörter finden und nutzen,
- wie sie die Absender von E-Mails sorgfältig prüfen,
- welche Anhänge sie öffnen können und was sie lieber vermeiden sollten und
- warum sie nicht auf fragwürdige Links klicken und auch keine verdächtigen Dateien herunterladen sollten.
Nur schlecht auf diese und weitere Risiken durch Phishing und Ransomware vorbereitete Mitarbeiter setzen ein Unternehmen ungewollt zum Teil erheblichen Gefahren aus. Stellen Sie deswegen sicher, dass die Kollegen wissen, wie sie am besten reagieren, sollte doch einmal eine Ransomware zuschlagen und das Netzwerk infizieren.
Entwickeln Sie zudem einen detaillierten und leicht verständlichen Plan zur Reaktion auf Ransomware-Zwischenfälle, den Ihre Kollegen kennen und sofort umsetzen können.
Sicherheitslücken zeitnah mit Patches schließen
Das zeitnahe Installieren von Patches, die Schwachstellen in den genutzten Anwendungen und Systemen schließen, könnte viele Opfer mit relativ wenig Aufwand vor Infektionen mit Ransomware, Verschwendung von Zeit und unnötigen Kosten bewahren. So hat zum Beispiel die gefürchtete WannaCry-Ransomware im Jahr 2017 eine Sicherheitslücke in älteren Versionen des SMB-Protokolls (Server Message Block) ausgenutzt. Obwohl Microsoft einen Patch gegen diese Lücke bereits im März 2017 veröffentlicht hatte, wurden auch ein paar Monate später noch über 230.0000 Systeme weltweit von diesem Schädling infiziert.
Führen Sie daher ein Programm zum Management Ihrer Patches ein und befolgen Sie dabei die wichtigsten Best Practices. Nur so stellen Sie sicher, dass Sie vorhandene Schwachstellen schnell und effizient schließen.
Wichtige Daten so häufig wie möglich sichern
Die meisten Ransomware-Angriffe zielen darauf ab, den Opfern einen Zugang zu für sie wichtigen Daten zu untersagen. Die Erpresser setzen dabei darauf, dass die betroffenen Unternehmen bereit sind, ein Lösegeld für ihre verschlüsselten Daten zu zahlen. Sorgsam erstellte Backups können dieses Risiko erheblich reduzieren.
Sollte später doch einmal eine Ransomware Ihre Daten verschlüsseln, können Sie sie mit Hilfe der Backups schnell wiederherstellen, ohne das geforderte Lösegeld begleichen zu müssen. Speichern Sie Ihre Datensicherungen aber unbedingt dort, wo sie aus dem Netzwerk nicht erreicht werden können. Trennen Sie dazu die Netzwerkverbindung oder verwenden Sie nicht dauerhaft angeschlossene externe Medien, die nicht von einer Ransomware bei einem Angriff attackiert werden können.
Vergessen Sie aber nicht: Das Einspielen eines Backups bringt Sie möglicherweise zu einem Status zurück, in dem immer noch die Sicherheitslücke in Ihren Systemen vorhanden war, die dann von der Ransomware ausgenutzt wurde. Sorgen Sie daher dafür, dass bei der Wiederherstellung der Daten auch der Angriffsvektor beseitigt wird, der für die Cyberattacke verantwortlich war.
Nicht nur auf Backups setzen
Ransomware entwickelt sich kontinuierlich weiter. Viele Angreifer setzen heute auf eine Kombination von Tricks, um ihre Opfer zu erpressen. So verschlüsseln sie nicht mehr nur Daten, sondern schleusen sie zunehmend auch nach außen. Selbst wenn ein Opfer seine Daten erfolgreich aus einem Backup wiederherstellen kann, bleibt den Erpressern dann immer noch eine alternative Möglichkeit. Sie verlangen dann einfach Geld dafür, die geklauten Daten nicht im Internet zu veröffentlichen. Inzwischen setzen Angreifer auch auf eine dreifache Erpressung, bei der auch Kunden und Partner, die von den Daten betroffen sind, um Lösegeld angegangen werden.
Backups sind wichtig, das ist keine Frage. Sie sind aber nur ein zentrales Element einer umfassenden Strategie zur Verhinderung von Ransomware-Angriffen.
Alle Sicherheitsmaßnahmen auf einen Nenner bringen
Unternehmen, welche die im Artikel beschriebenen Maßnahmen zur Abwehr von Ransomware-Attacken durchführen, sind weit besser auf die nächste Angriffswelle vorbereitet als andere Firmen. Die beschriebenen Sicherheitsmaßnahmen sind auch keine Raketenwissenschaft. In Angesicht der Millionen erfolgreichen Ransomware-Angriffe im vergangenen Jahr sind sie aber immer wichtiger geworden, um ernsthaften Schaden von Unternehmen abzuwehren.
