
Zaleman - stock.adobe.com
Wie man sich vor Ransomware schützen kann
Bei einem Ransomware-Angriff lernen Unternehmen oft recht schmerzhaft die Lücken ihrer Cyberabwehr kennen. Vorbereitung, Erkennung, Reaktion und Wiederstellung wollen geplant sein.
Die größten Risiken für Unternehmen in Deutschland sind Cybervorfälle und Betriebsunterbrechungen. Das sind die Ergebnisse des Allianz Risk Barometer 2025. Und bei Ransomware-Angriffen kommen diese beiden Risiken zusammen. Grund genug, sich vorbereitendend mit dem Thema Ransomware eingehend auseinander zu setzen.
Verschaffen Sie sich einen Überblick über die vorhandenen Cybersicherheitskontrollen und -prozesse, um sicherzustellen, dass Sie auf den Fall einer Ransomware-Attacke vorbereitet sind. Zur Vorbereitung betrachten wir die Taktiken, Kontrollen, Technologien und Fähigkeiten, mit denen sich jedes Unternehmen gegen die Bedrohung durch Ransomware schützen kann.
Sichere Workloads und Endpunkte
Um einen Ransomware-Angriff zu verhindern, sollten Sie zunächst Ihre Workloads und Endpunkte überprüfen. Diese sind häufig erste Angriffspunkte.
Überprüfen Sie Ihre Sicherheitslösungen für Endgeräte. Diese Tools sollten auf dem neuesten Stand sein und leistungsstarke Funktionen für Prävention, Erkennung und Reaktion bieten.
Die Tools zur Ransomware-Prävention sollten Browser, E-Mail-Clients, PDF-Reader, PowerShell, Visual Basic, Java und die Interaktion mit Dokumenten (zum Beispiel Microsoft Word und Excel) genauestens überprüfen. Diese Tools sollten Sie benachrichtigen, wenn Anzeichen für eine Massenverschlüsselung von Dateien und speicherbasierte Malware vorliegen. Außerdem sollten sie die Verwendung von USB-Sticks und Wechseldatenträgern erkennen und überwachen.
Suchen Sie nach Produkten, die über Funktionen zur Verhinderung von Datenverlusten basierend auf Inhaltstypen verfügen, Bedrohungen aufspüren und Beweise sammeln sowie flexible Warnmeldungen erlauben.
Außerdem benötigen Unternehmen die Integration und Orchestrierung mit anderen Produkten, wie beispielsweise Network Detection and Response (NDR), Extended Detection and Response (XDR) und/oder SIEM.
Als Nächstes sollten IT-Teams das Konfigurationsmanagement- und Patch-Funktionen berücksichtigen. Ransomware nutzt häufig neu aufgetretene Schwachstellen aus, um sich Zugriff zu verschaffen, beispielsweise Fehler im Fernzugriff, Anwendungsfehler oder Sicherheitslücken in Protokollen, darunter auch im Remote Desktop Protocol (RDP). Durch geeignete Patch-Management-Maßnahmen lassen sich diese Risiken minimieren.
Ziehen Sie unbedingt zusätzliche Sicherheitsstrategien bei Endpunkten in Betracht, die zur Prävention und Erkennung von Ransomware beitragen können. Zur Stärkung der Abwehrmaßnahmen etwa Folgendes:
- Lassen Sie Endbenutzer keine wichtigen Dateien auf Endgeräten speichern. Weisen Sie sie nach Möglichkeit auf einen zentralen Dateispeicher oder einen Cloud-basierten Speicher hin.
- Erwägen Sie den Einsatz einer virtuelle Desktop-Infrastruktur (Virtual Desktop Infrastructure, VDI) für kritische Anwendungen und privilegierte Benutzer sowie für bestimmte Anwendungsfälle.
- Wenn möglich, ersetzen Sie VPNs durch Zero-Trust-Netzwerkzugriff (ZTNA), der den gesamten Zugriff vermittelt. Viele dieser Dienste bieten auch Funktionen zur Isolierung von Remote-Browsern, die die Browseraktivitäten in einer Sandbox isolieren.
Ein weiterer wichtiger Bereich, auf den Sie sich bei der Abwehr von Ransomware konzentrieren sollten, ist die Sicherheit von E-Mails und Collaboration-Tools/-diensten. Ransomware wird häufig über E-Mails verbreitet. Die Verbreitung erfolgt auch über SharePoint und ähnliche Collaboration-Dienste oder über Cloud-Speicher-Apps wie Dropbox und OneDrive.
Wenden Sie zunächst die folgenden E-Mail-Sicherheitskontrollen an:
- Weisen Sie die Benutzer darauf hin, die E-Mail-Adressen der Absender sorgfältig zu überprüfen und auf ungewöhnliche Datumsformate oder sprachliche Besonderheiten zu achten.
- Weisen Sie die Benutzer an, keine E-Mails von unbekannten Absendern zu öffnen und nicht auf Links oder Anhänge zu klicken.
- Implementieren Sie Standardprotokolle zur E-Mail-Authentifizierung, um Ihre E-Mail-Domain vor Domain-Fälschungen zu schützen. Beispiele hierfür sind Domain-based Message Authentication, Reporting and Conformance (DMARC), DomainKeys Identified Mail (DKIM) und Sender Policy Framework (SPF).
E-Mail-Sicherheitsgateways/-dienste von führenden Anbietern einsetzen.
Für alle wichtigen Collaboration-Dienste sollten Sie die folgenden Sicherheitsmaßnahmen bestmöglich umsetzen:
- Zugriffskontrollen
- Authentifizierung
- Rollen und Berechtigungen
- Datensicherheit
- Freigabeeinstellungen
- Überwachung
- Malware-Schutz
Es ist nie verkehrt, regelmäßig Berechtigungen und Zugriffsrechte zu überprüfen. Um festzustellen, wo in Cloud-Tools und -Diensten für die Zusammenarbeit übermäßige Berechtigungen aktiviert sind, überprüfen Sie Folgendes:
- Verwaiste Konten
- Gastkonten
- Konten von Drittanbietern
- Nicht übereinstimmende Teammitgliedschaft/Gruppen
Jeder Plan zur Abwehr von Ransomware sollte mit den Kontrollen und Prozessen zur Geschäftskontinuität abgestimmt sein. Achten Sie außerdem darauf, die Testpläne und Zeitpläne für die Geschäftskontinuität und Notfallwiederherstellung (Business Continuity und Disaster-Recovery, BCDR) zu koordinieren: Eine Sicherung ist nur dann wirklich eine Sicherung, wenn sie regelmäßig getestet wird.
Ziehen Sie auch tertiäre Backups in Betracht. Diese replizieren wichtige Daten auf einen externen Datenspeicherdienst, in der Regel in der Cloud. Kurzfristig werden tertiäre/zusätzliche Backups insgesamt 30 bis 90 Tage lang aufbewahrt. Verwenden Sie einen täglichen Zeitplan und vermeiden Sie ständig offene Netzwerkports oder Dienste, die von Ransomware-Angreifern ausgenutzt werden könnten.
Seien Sie bei der Auswahl der zu replizierenden Daten äußerst selektiv. Erwägen Sie, diese Replikationsmaßnahmen mit BCDR-Maßnahmen zu koordinieren, bei denen die Priorisierung von Daten und Anwendungen im Vordergrund steht. Geben Sie Daten Vorrang, die zeitkritisch sind – beispielsweise Finanztransaktionen – oder für die Aufrechterhaltung des Geschäftsbetriebs unerlässlich sind.
Ziehen Sie auch das Air-Gap-Modell in Betracht. Bei Backups bedeutet Air Gapping einfach, dass Backup-Daten offline und physisch getrennt von ihrem Entstehungsort gespeichert werden. Dies kann mit virtuellen Festplatten und Cloud-Speichern erfolgen. Es gibt auch spezielle Cloud-Dienste, die auf Ransomware ausgerichtet sind.
Eine weitere gängige Methode zum Schutz vor Ransomware ist unveränderlicher Speicher. Große Cloud-Anbieter unterstützen mittlerweile die Objektsperrung, auch bekannt als WORM (Write Once, Read Many) oder unveränderlicher Speicher. Implementieren Sie ein Backup, das sich nahtlos in diese Objektsperrfunktion integrieren lässt, um unveränderliche Backups zu erstellen. Einige Backup-Lösungen bieten auch eine richtlinienbasierte Planung für Aufbewahrungsfristen und Migrationen nach Bedarf.
Ihre Backup-Strategie sollte unbedingt der 3-2-1-Backup-Regel folgen. Bei der 3-2-1-Strategie benötigen Sie mindestens Folgendes:
- Drei Kopien Ihrer Daten.
- Zwei Medientypen für Ihre Backups.
- Ein Backup wird an einem externen Standort gespeichert.
Einige gängige 3-2-1-Workflows kombinieren Festplatten mit der Cloud, netzwerkgebundene Speicher mit der Cloud und Festplatten mit Bandlaufwerken.
Prozesse und Verfahren zur Reaktion auf Vorfälle aktualisieren
Jedes Unternehmen muss seine Verfahren und Leitfäden zur Reaktion auf Vorfälle aktualisieren und Ransomware-Szenarien einbeziehen.
Vorbereitung
Erstellen Sie zunächst Ransomware-spezifische Playbooks für eine schnelle Reaktion. Sekunden zählen. Stellen Sie außerdem sicher, dass Sie Playbooks und Pläne für die Reaktion auf Ransomware offline gespeichert haben. Aktualisieren Sie Ihre Kommunikationspläne und berücksichtigen Sie dabei rechtliche Aspekte. Legen Sie gegebenenfalls spezifische Benachrichtigungsanforderungen für Versicherer fest.
Führen Sie unbedingt Ransomware-spezifische Übungen und Tabletop-Szenarien durch und überprüfen Sie, ob die Kontakte zu den Strafverfolgungsbehörden auf dem neuesten Stand sind.
Erkennung und Analyse
Entwickeln Sie Erkennungs-Playbooks, damit Sie wissen, was Sie in verschiedenen Szenarien zu erwarten haben, beispielsweise bei von Benutzern gemeldeten Problemen, Lösegeldforderungen, Warnmeldungen von EDR- oder SIEM-Tools, Bedrohungsinformationen oder Benachrichtigungen von Strafverfolgungsbehörden sowie bei Werbung von Malware-Betreibern, die Zugriff auf Ihre Netzwerke verkaufen.
Es ist wichtig zu wissen, mit welcher Art von Malware Sie es zu tun haben, da Sie so besser verstehen, wie sie sich verhält und wie Sie darauf reagieren müssen. Bestimmen Sie den Umfang der Infektion, den ursprünglichen Infektionsvektor, um eine erneute Infektion zu verhindern, und ob Daten exfiltriert wurden. Dies erfordert Schulungen und kontinuierliche Recherche.
Eindämmung und Beseitigung
Entwickeln Sie Strategien zur Eindämmung und Isolierung, damit Sie schnell handeln können. Zu den gängigen Vorgehensweisen gehören:
- Verwenden Sie Out-of-Band-Kommunikation, da Angreifer E-Mails oder andere Online-Kommunikationsformen überwachen könnten.
- Schalten Sie Dateifreigaben offline.
- Beschränken Sie Remote-Zugriffspunkte wie VPNs, bis der Vorfall unter Kontrolle ist.
- Verwenden Sie die Netzwerkisolierungsfunktion Ihres EDR-Tools, um Systeme zu isolieren.
Weitere Empfehlungen zur Eindämmung und Beseitigung von Ransomware umfassen Folgendes:
- Setzen Sie die Passwörter aller kompromittierten Konten zurück.
- Entfernen Sie mit Malware infizierte E-Mails aus den Postfächern der Benutzer.
- Installieren Sie Betriebssysteme aus vertrauenswürdigen Quellen neu.
- Setzen Sie die Passwörter aller betroffenen Systeme zurück.
- Erwägen Sie eine organisationsweite Zurücksetzung aller Passwörter.
- Entfernen Sie alle Persistenzmechanismen.
- Beheben Sie alle Schwachstellen in Systemen mit Internetverbindung.
Wiederherstellung
Sie können in Betracht ziehen, Systeme mit einem Entschlüsselungscode zu entsperren, der beispielsweise von den Strafverfolgungsbehörden bereitgestellt wird. Manchmal lässt sich eine Entschlüsselungslösung durch Malware-Analyse, bei der es sich im Wesentlichen um einen Reverse-Engineering-Prozess handelt, oder durch Online-Recherchen finden. Aber es empfiehlt sich Daten und Systeme sicherheitshalber aus bekannten, sauberen Backups wiederherstellen, beginnend mit den kritischsten Systemen.
Stellen Sie sicher, dass Sie EDR- und NDR-Signaturen und -Überwachung implementieren. Sie sollten in der Lage sein, Indikatoren für Kompromittierungen (Indicator of Compromise, IOC) zu erkennen und die Taktiken, Techniken und Vorgehensweisen der Angreifer aufzudecken. Ändern Sie abschließend alle zusätzlichen Konto-/Systempasswörter, falls erforderlich.
Aktivitäten nach dem Vorfall
Die letzte Phase der Reaktion auf Vorfälle umfasst die Dokumentation, Kommunikation und Koordination mit einer Vielzahl interner und externer Parteien. Berücksichtigen Sie die während des Vorfalls gewonnenen Erkenntnisse, um Verbesserungspläne zu entwickeln. Bereiten Sie Benachrichtigungen über Datendiebstahl (falls erforderlich) sowie andere gesetzliche Meldepflichten vor.
Aktualisieren Sie technische Kontrollen und Prozesse, um zukünftige Vorfälle zu verhindern. Teilen Sie IOCs mit Strafverfolgungsbehörden und Organisationen zum Informationsaustausch wie dem BSI.
Zusätzliche Überlegungen zur Vorbereitung auf Ransomware
Bei der Vorbereitung und dem Schutz vor Ransomware gibt es nahezu keine Grenzen hinsichtlich der zu berücksichtigenden Kontrollbereiche oder der Arten von Prozessen, die möglicherweise erstellt oder aktualisiert werden müssen. Im Folgenden sind einige wichtige Bereiche aufgeführt, auf die Sie sich konzentrieren sollten:
Intensivieren Sie Schulungen zum Sicherheitsbewusstsein. Wenn Mitarbeiter eine Phishing-Simulation oder einen anderen Test nicht bestehen, sollten Sie dies als Gelegenheit betrachten, diese Personen durch zusätzliche Schulungen zu sensibilisieren. Belohnen Sie diejenigen, die die Tests bestehen oder echte Angriffe erkennen. Führen Sie konkrete Kennzahlen für Schulungen und Tests zum Sicherheitsbewusstsein ein, darunter die Anzahl der Verstöße innerhalb eines bestimmten Zeitraums sowie die Art der festgestellten Verstöße.
Beschränken Sie Berechtigungen und Zugriffsrechte. Achten Sie auf Fälle von übermäßiger Nutzung von Berechtigungen und Fernzugriff auf Daten. Tools wie SolarWinds Permissions Analyzer, BloodHound Enterprise, NTFS Permissions Auditor und Copernic Business Server Search können dabei helfen. Ziehen Sie Tools zur Verwaltung privilegierter Benutzer und Bastion-Hosts in Betracht und prüfen Sie ZTNA-Konzepte und -Produkte, um festzustellen, ob diese die Sicherheitsstrategie Ihres Unternehmens ergänzen könnten.
Ziehen Sie eine Cyberversicherung in Betracht. Rechnen Sie damit, dass ein Versicherungsanbieter Ihre Sicherheitskontrollen und -fähigkeiten intensiv prüfen wird. Dokumentieren Sie Ihr Programm gründlich, idealerweise anhand eines Rahmenwerks, beispielsweise von ISO, BSI oder NIST. Dokumentieren Sie auch alle Aktualisierungen und wichtigen Punkte Ihres Programms aus den letzten 12 bis 18 Monaten.
Suchen Sie nach Versicherern, die klare Angaben zu Zahlungen und Versicherungsschutz machen. Ausschlüsse sind üblich und müssen ausdrücklich verstanden und angegeben werden. Machen Sie sich klar, welche Ereignisse gemeldet werden müssen und welche nicht. Koordinieren Sie Besprechungen mit dem Versicherer, dem CISO und anderen Beteiligten.