Wie man Mitarbeiter zur Abwendung von Ransomware schult

Warum Ransomware-Schulungen wichtig sind

Die Mitarbeiter sind zwar das schwächste Glied eines Unternehmens, aber sie sind auch die erste Verteidigungslinie gegen Ransomware und andere Malware-Angriffe. Unternehmen sollten daher, wenn noch nicht geschehen, bestehende Schulungen zum Sicherheitsbewusstsein, um spezifische Trainings zum Thema Ransomware ergänzen oder gesonderte Schulungen durchführen. Ist es wichtig, dass sich die Belegschaft ihrer Bedeutung bei der Schadensbegrenzung bewusst ist. Ergänzen Sie bestehende Schulungen zum Sicherheitsbewusstsein mit Ransomware-spezifischen Anleitungen oder veranstalten Sie separate Schulungssitzungen zu Ransomware, um die Schwere der Bedrohung und die Rolle der Mitarbeiter bei der Schadensbegrenzung zu verdeutlichen. Es ist wichtig, diesen letzten Teil - die Bedeutung des Menschen bei der Prävention - zu wiederholen, um eine starke Sicherheitskultur und eine Belegschaft aufzubauen, die erkennt, dass ihre Mitglieder wichtige Teile der Cybersicherheit sind.

Mitarbeiter, die die Warnzeichen eines Angriffs erkennen und Präventionsmaßnahmen umsetzen können, tragen wesentlich dazu bei, eine Kultur des Sicherheitsbewusstseins aufzubauen und bösartige Akteure und Malware aus dem Netzwerk fernzuhalten. Geschulte Benutzer helfen dem Unternehmen, die finanziellen, rechtlichen und rufschädigenden Kosten eines Ransomware-Angriffs zu vermeiden.

Was eine Ransomware-Schulung beinhalten sollte

Bevor Sie die Schulungen mit Informationen überfrachten, sollten Sie sicherstellen, dass die Mitarbeiter die Grundlagen von Ransomware verstehen. Das Thema ist wahrscheinlich für niemanden gänzlich neu, da es immer wieder in den Schlagzeilen auftaucht. Dennoch sollten Sie darauf eingehen, was Ransomware ist, und die wichtige Rolle der Mitarbeiter bei der Erkennung und Eindämmung von Ransomware betonen.

Sobald die Mitarbeiter im Rahmen ihrer laufenden Cybersicherheitsschulung mit dem Konzept von Ransomware vertraut sind, sollten Sie sich eingehender mit den Einzelheiten befassen, einschließlich der Arten von Ransomware-Angriffen und Angriffsvektoren, der Anzeichen einer Ransomware-Infektion und der Reaktion auf einen möglichen Ransomware-Angriff.

Arten von Ransomware-Angriffen und Angriffsvektoren

Es gibt mehrere Arten von Ransomware. Die Unterschiede zu kennen, ist für Mitarbeiter vielleicht nicht so wichtig wie das Verständnis der beabsichtigten Folgen von Ransomware-Angriffen: Datenverschlüsselung, Datenverlust und Datenexfiltration - und eine potenziell taufwendige und langwierige Wiederherstellung der Daten.

Dennoch kann es von Vorteil sein, die verschiedenen Arten von Ransomware zu kennen, mit denen Benutzer konfrontiert werden können - auch wenn sie in der Regel alle unter demselben Deckmantel auftreten. Zu den Arten von Ransomware gehören Locker, Crypto, Scareware, Erpresser-Malware, Wiper Malware, doppelte Erpressung, dreifache Erpressung und Ransomware as a Service (RaaS).

Noch wichtiger ist, dass die Mitarbeiter wissen, wie Angreifer in Unternehmen eindringen. Auf diese Weise verstehen sie besser, worauf sie achten müssen und wie sie dies verhindern können. Die drei wichtigsten Ransomware-Angriffsvektoren sind wie folgt:

• Social Engineering und Phishing. Angreifer nutzen scheinbar harmlose E-Mails mit bösartigen Links oder Anhängen, um Benutzer dazu zu verleiten, versehentlich Malware herunterzuladen. Zu den Arten von Social-Engineering- und Phishing-Angriffen gehören Smishing, Vishing, Spear Phishing und Watering-Hole-Angriffe.
• Remote Desktop Protocol (RDP) und Missbrauch von Anmeldeinformationen. Angreifer verwenden legitime Anmeldedaten - in der Regel aus Brute-Force- oder Credential-Stuffing-Angriffen oder aus dem Dark Web - um sich bei Unternehmenssystemen anzumelden, oft über RDP, ein Protokoll, das den Fernzugriff ermöglicht.
• Softwareschwachstellen. Angreifer nutzen ungepatchte oder unsichere Softwareversionen aus, um sich Zugang zum Netzwerk eines Unternehmens zu verschaffen.

Ransomware kann auch über Drive-by-Downloads, Malvertising, Wechseldatenträger wie USB-Geräte und raubkopierte Software in Systeme eindringen.

Anzeichen für eine Ransomware-Infektion

Anwender sollten darin geschult werden, die Warnzeichen für einen bevorstehenden Ransomware-Angriff zu erkennen. Dazu könnte gehören, dass sie vermehrt Phishing-E-Mails erhalten oder gewarnt werden, dass jemand versucht, ihre Passwörter zu ändern.

Einige Anzeichen einer Infektion sind offensichtlich. Ein Popup-Fenster, das den Benutzer darüber informiert, dass das Gerät gesperrt ist, spricht zum Beispiel für sich. Andere Anzeichen sind nicht ganz so eindeutig, wie zum Beispiel eine Verschlechterung der Geräteleistung. Unerwartet können unbekannte Dateien oder Programme auf einem Gerät erscheinen, auf deren Inhalt plötzlich nicht mehr zugegriffen werden kann oder deren Dateinamen verschlüsselt sind. Das Auftauchen legitimer, aber zuvor deinstallierter Software ist ein weiteres Warnzeichen. Böswillige Akteure verwenden oft legitime Programme, einschließlich Port- oder Netzwerkscanner, um den besten Weg zur weiteren Infiltration eines Zielsystems zu finden.

Weisen Sie die Benutzer darauf hin, verdächtige E-Mails, Dateien, Programme oder Geräteverhalten an die IT-Abteilung oder die Geschäftsführung zu melden.

Wie man auf einen möglichen Ransomware-Angriff reagiert

Weisen Sie Ihre Mitarbeiter an, ihr(e) Gerät(e) bei jedem Hinweis auf einen möglichen Ransomware-Angriff vom Internet zu trennen. Dadurch kann verhindert werden, dass sich die Malware auf andere Geräte ausbreitet. Vergewissern Sie sich, dass Remote-Mitarbeiter wissen, dass andere Geräte in ihrem Heimnetzwerk ebenfalls infiziert sein könnten. Ebenso sollten die Mitarbeiter in den Büros wissen, dass alle Geräte im Unternehmensnetzwerk gefährdet sein könnten.

Raten Sie den Mitarbeitern, sich so schnell wie möglich mit ihrem Vorgesetzten, dem Sicherheitsteam, dem IT-Team oder einem anderen für die Reaktion auf Vorfälle zuständigen Team in Verbindung zu setzen. Ermutigen Sie sie, jede fragwürdige Geräte- oder Systemaktivität sowie jede Kommunikation von einem vermeintlichen Angreifer zu melden. Betonen Sie, dass es immer besser ist, auf Nummer sicher zu gehen.

Auch wenn Mitarbeiter in der Regel nicht das Hauptziel eines Ransomware-Angriffs sind, sollten sie dennoch geschult werden, was zu tun ist, wenn sie jemals eine Lösegeldforderung von einer Ransomware-Gruppe erhalten. Sagen Sie den Mitarbeitern, dass sie niemals mit den Angreifern verhandeln oder in einen Dialog treten sollen.

Bewährte Verfahren zur Ransomware-Prävention

Die Vorbeugung gegen Ransomware hat zwei Aspekte. Befolgen Sie aus Sicht der Endbenutzer diese bewährten Verfahren:

• Seien Sie wachsam gegenüber Phishing- und Social-Engineering-Betrug, einschließlich E-Mails, Textnachrichten, Nachrichten in sozialen Medien und Nachrichten auf Collaboration-Plattformen.
• Überprüfen Sie immer die E-Mail-Adresse des Absenders. Klicken Sie niemals auf Links oder laden Sie keine Dateien von unbekannten Personen herunter. Seien Sie auch vorsichtig bei Nachrichten von unbekannten Telefonnummern.
• Achten Sie auf manipulierte URLs. Klicken Sie nicht auf Links in E-Mails und fügen Sie sie nicht durch Kopieren und Einfügen ein. Wenn Sie mit dem Mauszeiger über einen Link fahren, können Sie erkennen, ob er legitim ist, aber manche Angreifer fälschen auch den Linktext, so dass dies nicht immer zuverlässig ist.
• Verwenden Sie niemals Wechseldatenträger, wie zum Beispiel einen USB-Stick, wenn seine Herkunft unbekannt ist oder er zu irgendeinem Zeitpunkt in falsche Hände geraten sein könnte.
• Speichern und sichern Sie häufig Daten. Fertigen Sie Backups an.
• Verwenden Sie starke Passwörter und Multifaktor-Authentifizierung.

Aus Unternehmensperspektive sollten Sie die folgenden Best Practices zur Ransomware-Prävention befolgen:

• Führen Sie ein umfassendes Sicherheitsprogramm ein. Dieses sollte Antimalware- und Antivirensoftware sowie Firewalls, Webfilter, E-Mail-Sicherheitsfilter, Anwendungs- und Website-Allowlists oder -Blocklists und andere Sicherheitswerkzeuge und -prozesse umfassen.
• Nutzen Sie fortschrittliche Schutztechnologien. Dazu gehören unter anderem XDR (Extended Detection and Response), MDR (Managed Detection and Response), Analyse des Benutzer- und Unternehmensverhaltens (UEBA) und Zero-Trust-Sicherheit.
• Regelmäßige Aktualisierung. Halten Sie alle Anwendungen, Betriebssysteme, Geräte, Dienste, Server und Infrastrukturen gepatcht und auf dem neuesten Stand.
• Machen Sie regelmäßig Backups. Sichern Sie Ihre Daten regelmäßig, um den Zugriff darauf sicherzustellen, falls ein Angreifer sie sperrt und verschlüsselt.

Und natürlich sollten Sie Ihre Mitarbeiter regelmäßig in Sachen Ransomware schulen. Die Durchführung von Ransomware-Tabletop-Übungen ist für die Systemwiederherstellung und andere IT- und Sicherheitsmitarbeiter von entscheidender Bedeutung. Aber die Einbeziehung aller Mitarbeiter in regelmäßige Schulungen zur Erkennung und Vorbeugung von Ransomware ist eine der besten Methoden, um die menschliche Abwehr zu stärken.

Im Einklang mit den bewährten Verfahren zur Sensibilisierung für Cybersicherheit und Cyberhygiene sollten die Schulungen auf die Mitarbeiter, ihre Rolle im Unternehmen, ihren Wissensstand im Bereich Cybersicherheit und ihren Lernstil zugeschnitten sein.

Die Durchführung von Phishing- und Ransomware-Simulationen kann ebenfalls ein nützlicher Bestandteil eines Ransomware-Sensibilisierungsprogramms sein, damit die Mitarbeiter einen Vorfall in einem realen Szenario erleben und üben können, wie sie darauf reagieren.

Um die Mitarbeiter zwischen den Schulungen über Ransomware auf dem Laufenden zu halten, können Sie Newsletter oder E-Mails über die neuesten Ransomware-Nachrichten und passende Tipps versenden.

Mit Ransomware ist heute jedes Unternehmen konfrontiert. Wenn die Mitarbeiter wissen, was zu tun ist, wenn sie mit dieser Bedrohung konfrontiert werden, kann dies die Auswirkungen eines Angriffs erheblich verringern.