Angriffe durch Ransomware – 4 Tipps, wie sich Unternehmen und Organisationen schützen können
von Tina Siering
Weil es so wichtig ist, gehen wir zum Einstieg kurz darauf ein, was Sie nicht tun sollten, wenn es doch einmal passiert – nämlich die Lösegeldforderung der Erpresser tatsächlich zu bezahlen. Zur Erinnerung: Ransomware verschlüsselt Daten und gibt diese nur gegen die Zahlung eines Lösegeldes (meist in einer Kryptowährung) wieder frei. In anderen Fällen kann es sein, dass Daten aus dem Netzwerk entwendet werden. Die Angreifer drohen anschließend damit, diese Daten zu veröffentlichen oder anderen Kriminellen zum Kauf anzubieten. Bei Geschäftsgeheimnissen oder sensiblen Kundendaten kann dies erheblich geschäftsschädigend sein.
Gehen Sie nicht auf die Forderung der Erpresser ein. Sie haben keine Garantie, dass Sie Ihre Daten tatsächlich zurückerhalten und öffnen dadurch nur das Tor für weitere Angriffe, die dann ebenfalls wieder mit einer Lösegeldforderung beglichen werden müssen. Grundsätzlich gilt für alle Unternehmen: Sich in einem unproblematischen oder für Cyberkriminelle uninteressanten Businessumfeld zu wähnen, ist ein Trugschluss – das sichere Refugium gibt es heutzutage schlicht nicht mehr. Wir zeigen Ihnen daher vier Maßnahmen, mit denen Sie sich effektiv gegen Ransomware schützen.
Tipp 1: Einrichtung von Backups und Netzwerksegmentierung
Regelmäßige Backups aller wichtigen Unternehmensdaten nehmen Ransomware schnell den Wind aus den Segeln. Ein Unternehmen ohne Backup-Konzept handelt grob fahrlässig und ist jederzeit in Gefahr, einen Datenverlust zu erleiden. Doch auch wenn eine Datensicherung vorhanden ist, bedeutet das nicht automatisch vollständige Sicherheit. Im Zuge eines Ransomware Angriffs kommt es nämlich immer wieder auch zur Verschlüsselung der Sicherungskopie, der digitale Super-GAU für Unternehmen und Organisationen.
Spiegeln Sie Ihre Daten daher in einem sicheren, vom Netzwerk segmentierten Archiv, ist eine Verschlüsselung der aktiv genutzten Daten praktisch wirkungslos. Zwar verlieren Sie eventuell etwas Zeit, um die Daten aus dem Backup wiederherzustellen – aber das ist noch immer wesentlich besser als eine horrende Lösegeldforderung zu bezahlen. Eine gut konzipierte Backup-Strategie, die alle(!) wichtigen Daten umfasst und jederzeit verfügbar ist, ist ein zentraler Bestandteil jeder IT-Sicherheitsstrategie.
Ebenfalls sinnvoll ist die Segmentierung des hauseigenen Netzwerkes. Indem Sie das Netzwerk in mehrere Subnetzwerke unterteilen, ist eine Abschottung des Datenverkehrs möglich. Nicht jedes Gerät muss zwangsläufig mit jedem anderen Gerät im Netzwerk kommunizieren können. Eine intelligente Einteilung in Subnetzwerke erlaubt die Einrichtung von Sicherheitskontrollen und Services für jeden Netzwerkabschnitt, was die Sicherheit je nach Implementierung deutlich erhöhen kann. Im besten Fall bekommen Angreifer so erst gar keinen Zugriff auf die sensiblen Daten. Denken Sie daran: Bei einem Ransomware Angriff ist das erklärte Ziel der Cyberkriminellen, das Opfer zu erpressen. Dies gelingt nur, wenn die Verschlüsselung der Dateien inklusive der Sicherungskopie erfolgreich ist!
Tipp 2: Mehrfaktor-Authentifizierung für Mitarbeiter
Der Mensch und sein Handeln bedienen oftmals jene Schwachstelle, die den Angreifern die Tür öffnet. Im Bereich des Social Engineering gelingt es Cyberkriminellen beispielsweise durch Phishing immer wieder, Zugang zu Mitarbeiterkonten zu erhalten und so erfolgreich Ransomware, in Form von Erpressungstrojanern (auch Kryptotrojaner genannt), einzuschleusen. Von allen (!) Mitarbeitern zu berücksichtigende Methoden für eine sinnvolle Mehrfaktor-Authentifizierung wirken dem effektiv entgegen.
Bei der Multi-Faktor-Authentifizierung (MFA) sind zwei oder mehr Berechtigungsnachweise erforderlich, um als Anwender Zugang zu einem System zu erhalten. Die Trennung der Kanäle ist das entscheidende Merkmal dieser Authentifizierung. Folgende Merkmale kommen zur Authentifizierung infrage:
- Biometrische Merkmale, wie ein Fingerabdruck, Iris-Scan oder Gesichts-Scan.
- Besitzanzeigende Merkmale (auch digital), wie USB-Tokens, eine Smartphone App oder eine Karte zum Einscannen.
- Merkmale, die auf „geheimem“ Wissen basieren, wie Passwörter oder PIN-Codes.
Wer sich also bei einem Dienst anmelden möchte, muss nun über mindestens zwei Kanäle eine Authentifizierung nachweisen – etwa durch die Eingabe eines Passwortes und die Verbindung eines USB-Sticks. Die bekannteste Form der MFA ist die Zwei-Faktor-Authentifizierung (2FA). Eine Authentifizierung erfolgt dabei z.B. durch die Kombination aus Passwort und Push-TAN, bzw. Sicherheitsabfrage oder PIN und Identifikationskarte. Die weite Verbreitung dieser Authentifizierungsart liegt in ihrer guten Usability, die das Einloggen in geschützte Bereiche absichert, ohne mit großem Zusatzaufwand verbunden zu sein.
Tipp 3: Sensibilisierung der Mitarbeiter
Software und Maschinen sind von sich aus ein relativ geringer Unsicherheitsfaktor, sofern regelmäßige Update-Zyklen eingehalten werden. Angriffe müssen oft erst „vorbereitet“ werden, und häufig genug geschieht dies durch unbeabsichtigte Hilfe von Mitarbeitern im eigenen Haus. Auch heutzutage gelten die altbekannten Mantras nach wie vor: keine Klicks auf unbekannte E-Mail-Anhänge, kein Ausführen unbekannter Dateien, kein Besuch von unsicheren Webseiten.
Ein gutes Mittel gegen Ransomware ist, sie gar nicht erst auf die hauseigenen Systeme zu lassen. Mitarbeiter-Sensibilisierung ist daher die beste Prävention. Bewährte Maßnahmen sind unter anderem:
- Regelmäßige Social Engineering-Schulungen, die Mitarbeiter dafür sensibilisieren, was gefährlich ist und was nicht. Das Aufzeigen potenzieller Schäden ist ein effektives Mittel, um die Folgen zu demonstrieren, die bei fahrlässigem Verhalten drohen.
- Handbücher oder Maßnahmenkataloge funktionieren gut, um Mitarbeitern zu zeigen, wie sie sich beim Kontakt mit Ransomware im ersten Moment zu verhalten haben. Dieses einfache Mittel kann Millionenschäden vorbeugen.
- Schulungen zum Thema „Incident Response Readiness“. Die Voraussetzung für eine permanente Incident Response Readiness eines Unternehmens ist die Entwicklung und Implementierung einer umfassenden Cyber-Abwehrstrategie, die die Fähigkeit zur Erkennung, Abwehr und Eindämmung komplexer Angriffe sicherstellt.
Tipp 4: Angreiferfrüherkennung - Proaktive Maßnahmen gegen Ransomware
Aufgrund der genannten bedrohlichen Ausgangslage existieren zahlreiche IT-Sicherheitslösungen, die gegen Ransomware (und viele andere Formen von Schadsoftware) vorgehen. Log-Management-Lösungen , wie z. B. ein SIEM-System, erfordern in der Regel auf Unternehmensseite hohen Personal- und Kostenaufwand.
Es gibt aber auch deutlich schlankere Lösungen, die von einem kleinen SOC-Team betreut werden können und zu überschaubaren Kosten einen effektiven Schutz vor Ransomware und anderen Cyber Bedrohungen bieten: Zum Beispiel den Active Cyber Defense (ACD)-Service von Allgeier secion. Der 24/7-Threat Hunting- und Incident Response-Service analysiert das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien. Im Regelfall verbringen Angreifer bis zu sechs Monaten unbemerkt im Netzwerk der Zielunternehmen. Diese vorbereitende Phase nutzen sie, um Daten zu sammeln und sich auf andere Systemebenen auszubreiten. Zeit ist also ein kritischer Faktor in der Entdeckung und Ausschaltung von Cyberbedrohungen wie Ransomware. Aus diesem Grund informiert das ACD-Team von Allgeier secion seine Kunden im Fall einer Kompromittierung der Systeme, unmittelbar darüber und gibt konkrete Handlungsempfehlungen, um Schäden durch die Angreifer abzuwenden.
Fazit: Schutz gegen Ransomware ist unersetzlich
Weltweit nehmen die Angriffe mit und der Schaden durch Ransomware weiter zu. Während private Anwender selten im Fadenkreuz stehen, sind diese Angriffe für Unternehmen ein bedeutender Faktor für wirtschaftliche Schäden, die durch Cyberangriffe erfolgen. Viele andere Arten von Schadsoftware können im Nachhinein neutralisiert werden, sodass der ökonomische Einfluss geringer ist – doch Ransomware muss präventiv bekämpft werden. Dies gelingt vor allem durch das frühzeitige Detektieren von Angreiferaktivitäten im eigenen Netzwerk
Backups mit niedrigen Zeitintervallen, Netzwerksicherheit durch Segmentierung und DNS-Authentifizierung, Social Engineering-Schulungen für Mitarbeiter: Die beste Lösung ist ganzheitlich und setzt in allen Bereichen an. Proaktive Sicherheitslösungen wie Active Cyber Defense unterstützen dieses Ziel weiter und sorgen für eine Früherkennung potenzieller Angriffe im firmeninternen Netzwerk. Im Vergleich zu diesen positiven Auswirkungen sind die laufenden Kosten gering, weshalb diese Investition genau richtig sein kann, um Ihr Unternehmen langfristig zu schützen.