Prävention gegen Ransomware

Im vorliegenden Kapitel werden anhand eines Papers des BSI potentielle Schäden, Einflussfaktoren auf das Schadensausmaß und zahlreiche Präventionsmaßnahmen umfassend behandelt. [...]

Tagebuch eines Datenschutz-Beauftragten (c) CW
Tagebuch eines Datenschutz-Beauftragten (c) CW

Aus DSGVO-Sicht ist bei einem geglückten Ransomware-Angriff die Verfügbarkeit der Daten beeinträchtigt und stellt daher eine mögliche Verletzung der DSGVO-Vorgaben dar, wenn auch personenbezogene Daten betroffen sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2021 ein Paper zum Thema „Ransomware: Bedrohungslage, Prävention & Reaktion 2021“ publiziert. Im Folgenden werden die wichtigsten Aussagen zusammen gefasst:

Potentielle Schäden

Das BSI unterscheidet zwischen Eigenschäden, Reputationsschäden und Fremdschäden:

Eigenschäden:

„Zu den Eigenschäden gehören Kosten durch Betriebsbeeinträchtigungen bzw. -unterbrechungen der gesamten Organisation, wenn z. B. eine Produktion oder Dienstleistung in Folge eines Cyber-Angriffs nicht länger aufrechterhalten werden kann. Weiterhin können Kosten der Bereiche Krisenreaktion und -beratung durch Mitarbeiter oder externe Experten auftreten. Forensik und Wiederherstellung verursachen weitere Kosten. Aufgrund gesetzlicher Vorgaben sind weiterhin Kosten für die Benachrichtigung von Betroffenen oder Aufsichtsbehörden sowie Bußgelder möglich.

Reputationsschäden:

„Reputationsschäden ergeben sich für eine Organisation, wenn in Folge eines Angriffs das Ansehen der Organisation sinkt oder Kunden abwandern und so wirtschaftliche Nachteile entstehen (z. B. fallende Aktienkurse). Um die Reputation wieder aufzubauen, muss neu in Werbung, Kundenbindung und Image investiert werden.“

Fremdschäden:

„Fremdschäden treten auf, wenn gesetzliche, vertragliche oder anderweitige Verpflichtungen gegenüber Dritten aufgrund eines Vorfalls nicht oder nicht vollständig erfüllt werden können (Verletzung der Vertraulichkeit, Nichteinhaltung vereinbarter Material-Abnahmen oder Liefertermine sowie Produktmängel). Insbesondere bei Kritischen Infrastrukturen können die Fremdschäden potenziell sehr hoch sein.“

Einflussfaktoren auf das Schadensausmaß

Das BSI zitiert aus einer Umfrage entscheidende Einflussfaktoren für das Schadensausmaß:

  1. Wie schnell ist die Organisation in der Lage, die Störung überhaupt als solche zu identifizieren?
  2. Wie schnell (und sicher) kann die Organisation die Geräte identifizieren, von denen aus die
    Ransomware die Verschlüsselung durchführt?
  3. Wie alt sind die jüngsten, vollständigen und intakten Backups?
  4. Ist das Wiedereinspielen / die Rücksicherung vorbereitet und geübt?
  5. Welche Geräte sind von der Verschlüsselung betroffen?

Veröffentlichung von Daten

Verschiedene Cybercrime-Gruppierungen leiten vor der Verschlüsselung häufig auch noch Daten aus. Diese werden dann teilweise veröffentlicht, um den Druck auf das Opfer zu erhöhen.

Üblicherweise erfolgt eine Bekanntgabe des Opfers auf der jeweiligen Webseite der Täter mit dem Hinweis, wie viele und welche Daten abgeflossen sind. Aber auch direktere Drohungen sind bekannt: So wurden beispielsweise bei einem Angriff auf eine Psychotherapie-Klinik in Finnland den Patienten gedroht, dass Daten zu ihnen veröffentlicht werden, sollte die Klinik nicht bezahlen.

Ein entsprechendes Bedrohungsszenario ist auch mit Geschäftsgeheimnissen denkbar, bei denen Konkurrenten entsprechende Informationen auf keinen Fall erhalten dürfen, etwa Vertragskonditionen.

Präventionsmaßnahmen

  • Grundregeln

Es empfiehlt sich, User durch wiederholte Schulungen (zumindest 2x jährlich) wie folgt zu sensibilisieren:

  • Verdächtige E-Mails sollten nie geöffnet werden.
  • Links und Anhänge in Mails unbekannter Absender sollten nie angeklickt werden.
  • Da Ransomware die Mängel in der Software ausnutzt, ist es wichtig, dass Sie regelmäßig Ihr Betriebssystem sowie alle auf Ihrem Computer installierten Programme aktualisieren.
  • Regelmäßiges zentrales Backup (zumindest 1x täglich). Sofern vom zentralen Backup lokale Daten auf Clients nicht gesichert werden: tägliche Sicherung durch den User auf eine externe Festplatte oder in der Cloud mit anschließendem „Trennen des Zugriffs“ auf das Backup.

In den folgenden Kapiteln werden Maßnahmen vorgestellt, die eine Infektion über Trojaner verhindern können.

Infektionen verhindern

Softwareupdates

Software-Updates sollten unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller eingespielt werden. Im Regelfall erfolgt das über zentrale Softwareverteilung. Damit wird sichergestellt, dass keine Infektionen durch die Ausnutzung bereits behobener Sicherheitslücken erfolgen kann.

Die größte Gefahr besteht hierbei in der Regel für Anwendungen, mit denen Inhalte aus dem Netzwerk/Internet geöffnet werden, wie z. B. Web-Browser, Browser-Plugins, E-Mail-Programme und Office-Suiten.

Angriffsfläche minimieren

Nicht benötigte Software soll generell deinstalliert werden, damit werden die potentiellen Angriffsflächen minimiert. In Web-Browsern sollte insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt werden (z. B. Click-to-Play oder Einschränken auf Intranetseiten). Nicht zwingend benötigte Browser-Plugins (z. B. Flash, Java, Silverlight) sollten entfernt werden.

Ransomware wurde häufig als E-Mail-Anhang in Form von Javascript und VisualBasic-Skripten verteilt. Daher sollte geprüft werden, ob auf die Ausführung von Skripten im Betriebssystem gänzlich verzichtet werden kann. Die Deaktivierung im Betriebssystem verhindert, dass diese Malware ausgeführt wird.

Mittel Anwendungskontrolle kann unter Windows AppLocker oder DeviceGuard eingesetzt werden. Auch die Entkopplung von Browser und Arbeitsplatzcomputer (APC) mittels Remote-Controlled Browser System (ReCoBS),  Surf-VM, uvm. reduziert die Angriffsfläche deutlich.

Behandlung von E-Mails / Spam auf dem Client

Damit HTML-E-Mails im E-Mail-Programm korrekt dargestellt werden können, nutzt der E-Mail-Client die gleichen Mechanismen zur Darstellung wie der Web-Browser. Aufgrund der Größe der Darstellungskomponenten und der Vielzahl an Funktionen, enthalten diese jedoch häufig Schwachstellen, da der umgebende Schutz bei E-Mail-Programmen in der Regel weniger ausgeprägt ist.

Die größte Schutzwirkung bietet in diesem Fall die Darstellung von E-Mails als Textdarstellung (oft als „Nur-Text“ bzw. „reiner Text“ bezeichnet). Ein sicherheitstechnischer Vorteil dieser Darstellung ist, dass Webadressen in der Textdarstellung nicht mehr verschleiert werden können (In einer HTML-E-Mail könnte ein Link mit der Bezeichnung „www.bsi.de“ z. B. in Wahrheit auf die Adresse „www.schadsoftwaredownload.de“ verweisen).

Im Minimum sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden. Somit würden entsprechende, schadhafte nicht mehr ausgeführt werden können. Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden:

  • Vertrauenswürdige Orte für Makros im AD[PG1]  konfigurieren
  • Makros im Client (per Gruppenrichtlinie) deaktivieren
  • JS/VBS: automatisches Ausführen bei Doppelklick verhindern
  • Signierte Makros verwenden: Grundsätzlich sollten in einer Institution nur digital signierte Makros zugelassen werden. Auch kann man durch eine entsprechende Konfiguration das Nachladen von Ransomware durch eine Schadsoftware in einer E-Mail verhindern oder zumindest erschweren:
  • Ausführung von Programmen (per Gruppenrichtlinie) nur aus nicht durch den Benutzer
    beschreibbaren Verzeichnissen (Execution Directory Whitelisting), was die effektivste Maßnahme zum Schutz vor Malware darstellt

Behandlung von E-Mails / Spam auf dem Server

Serverseitige Spamfilter sollten bereits Spams ausgefiltert oder zumindest als Spam kennzeichnet werden. Grundsätzlich sollten folgende Dateien blockiert oder zumindest in Quarantäne verschoben werden. Alle ausführbaren Anhänge, auch wenn diese in Archiven enthalten sind, sind zu blockieren. Exemplarische Beispiele dafür sind:  .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, sowie verschlüsselte Archive / Zip-Dateien.

Des Weiteren kann auch bereits die Annahme von Spams am Mail-Server reduziert werden:

  • Implementierung von SPF (Sender-Policy-Framework) auf dem SMTP-Server helfen, bereits die Annahme von nicht legitimen E-Mails zu reduzieren. Hierbei ist jedoch zu prüfen, ob signifikante Seiteneffekte auftreten, die eigentlich gewünschte E-Mail-Kommunikation unterbinden.
  • Die Annahme von E-Mails mit internem Absender (SMTP- Envelope und From-Header) von Extern sollten abgelehnt werden (Anti-Spoofing).
  • Greylisting verhindert effektiv die Zustellung von E-Mails von den meisten Spam-Bots.

Netzwerklaufwerke

Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind. Die Speicherung von Daten auf lokalen Datenträgern sollte untersagt werden. Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können. Die Zugriffsrechte auf Netzlaufwerke kann nachträglich verändert werden. Dadurch ist eine Verschlüsselung durch einen Ransomware-Trojaner mit Rechten eines Nutzers nicht mehr möglich. Wenn der Angreifer Admin- oder Domain-Admin-Rechte hat, schützt diese Einschränkung kaum.

Netzwerke segmentieren

Mittels Netzsegmentierung können Schäden begrenzt werden, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann. Hierbei ist insbesondere auch die sichere Verwendung von Administrator Accounts (s.o.) notwendig , da ansonsten ein zentraler Bestandteil des Sicherheitskonzepts untergraben wird.

Remote-Zugänge sichern

Der Zugriff von außen sollte abgesichert werden, damit Angreifer keine Möglichkeit haben, Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren.. In der Regel sollten diese immer über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung geschützt werden.

Zusätzlich können auch Monitoring und/oder Quell-IP-Filter die Absicherung unterstützen. Sicherheitsprobleme müssen grundsätzlich zügig behoben werden. Das Einspielen von Patches oder Workarounds hat prompt zu erfolgen.

Penetrationstests können die von außen erreichbare Systeme finden und auf ihre Sicherheit prüfen.

Sicherer Umgang mit Administrator Accounts

Privilegierte Accounts sind ausschließlich für Administratorentätigkeiten gedacht. E-Mails zu lesen bzw. im Internet zu serven, sollte mit diesen Accounts vermieden werden. Das gilt natürlich nicht bei der Aktualisierung von Drivern oder beim Einspielen von Patches. Privilegierte Konten sollten immer über eine Zwei-Faktor-Authentisierung geschützt werden.

Es wird empfohlen, dass jedes System (insbesondere Server und Clients) über ein einzigartiges lokales Administrationskennwort verfügt.

Virenschutz

Bei professioneller Antivirensoftware sollten alle verfügbaren Module konsequent genutzt werden. Die meisten Infektionen mit neuen Varianten von Ransomware werden durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software verhindert.

Black- / Whitelisting-Dienste sollten für Gateways genutzt werden. Damit kann die Verbindung zu bösartigen URLs unterbunden werden. Im Fall eines aufrechten Supportvertrages, sollte in jedem Fall bei seinem AV-Hersteller aktiv nach zusätzlichen Schutzmöglichkeiten und Konfigurationshinweisen nachgefragt werden.

Da nicht nur Windows-Systeme erfolgreich angegriffen werden, sollten unabhängig vom Betriebssystem (sofern verfügbar) professionelle Viren-Schutzprogramme für den Enterprise-Bereich in Unternehmen und Institutionen eingesetzt werden. Nur Enterprise-Produkte bieten ausreichende Konfigurationsmöglichkeiten und die Möglichkeit zur zentralen Administration.

Zusätzlich zu den Signaturupdates sollte immer die neueste Programmversion eingesetzt werden.

Backups / Datensicherungskonzept

Die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann, sind Backups. Im Datensicherungskonzept ist die Periodizität und die Art des Backups festgelegt sein. Üblicherweise werden monatlich oder wöchentlich Full Backups gezogen, an den anderen Tagen werden inkremental Backups erstellt. Je länger das Intervall zwischen den Full Backups ist, umso komplizierter wird ein Restore, da z.B. bei Monatssicherungen neben dem letzten Full Backup u.U. bis zu 30 Incrementals eingespielt werden müssen. In der Praxis ist dies insofern schwierig, da im Regelfall nicht bekannt ist, ab wann die Verschlüsselung begonnen hat. Werden zu viele Incrementals eingespielt, sind vielleicht bereits infizierte Daten dabei.

Schadprogramm-Infektionen versuchen häufig, mit zuvor erlangten Administrationsrechten gezielt nach allen Backups suchen und diese zu verschlüsseln, was aber nur dann gelingt, wenn die Backups auf Disken erfolgt und der Zugriff darauf mit den „Ransomware-Berechtigungen“ möglich ist. Daher wird empfohlen, die Daten in einem Offline-Backup gesichert werden. Offline-Backups können etwa mit getrennten Tapes, in einem getrennten Archiv mit nötigem physischem Zugriff oder auch in einem komplett vom eigenen Netz getrennten Cloud-Speicher erfolgen.

Awareness / Schulungen / Mitarbeitersensibilisierung

Zentrale Themen in Awareness-Kampagnen und in der Schulung von Mitarbeitern sind insbesondere zwei ganz wesentliche Infektionswege für Schadprogramme:

  • Einschleusen durch unbedarftes Öffnen von Anhängen in E-Mails
  • Besuch kompromittierter Web-Seiten im Internet (Drive-By-Exploits)

Ransomware, die in E-Mail-Anhängen verbreitet wird, wird nach dem Öffnen Anhangs die Schadsoftware auf dem Rechner installiert. Damit nimmt die Verschlüsselung seinen Lauf.

Mail-Verbreitung im Unternehmen

Besonders heimtückische Ransomware-Varianten versenden nach der Installation im ersten Schritt E-Mails an alle Adressaten im Adressbuch. Die Empfänger der schadhaften E-Mail kennen den Absender. Es gibt daher keinen offensichtlichen Grund, den Anhang einer vertrauenswürdigen Person nicht zu öffnen.

Daher sollen E-Mails immer vor dem Öffnen eines Anhangs gelesen und auf Echtheit überprüft werden. Anhänge von E-Mails unbekannter Absender dürfen grundsätzlich nicht geöffnet werden.

Links

Oft enthalten E-Mails keine Anhänge, sondern im Text werden Links zu weiterführenden Informationen im Internet angeführt. Durch einen Klick auf den Link öffnet der Browser die entsprechende Seite im Internet. Ransomware kann auch bereits über den einfachen Besuch einer kompromittierten Webseite auf den Rechner gelangen. In diesen Fällen wird die schädliche Software automatisch installiert, dies auch völlig unmerklich für den Nutzer. Diese Angriffe werden als „Drive-by-Download oder Drive-by-Exploit“ bezeichnet.

Andere Varianten motivieren die Besucher einer „verseuchten“ Webseite dazu, eine gefährliche Datei herunterzuladen und zu öffnen. Dabei geben sich Angreifer beispielsweise auch als etablierte Cloud-Dienste aus oder greifen auf diese zurück, um Legitimität zu suggerieren.

Das Gebot der Stunde heißt Vorsicht. Bei Verdacht könnte ein Link oder ein Anhang auf einem separaten Rechner, der nicht im Produktiv-Netzwerk hängt, sondern einen „Privat-Zugang“ (HotSpot) zum Internet hat, ausprobiert werden.

Alternativ sind viele erfolgreiche Varianten des „Social Engineering“, in dem Angreifer eine persönliche Beziehung vortäuschen, Gewinne versprechen, mit günstigen Preisen locken und häufig das Interesse des Nutzers wecken und zu Fehlhandlungen verführen.

Es gelten folgende Regeln:

  • Bleiben Sie wachsam und vorsichtig.
  • Bei merkwürdigen Nachrichten von Freunden oder Geschäftspartnern empfiehlt sich ein Anruf.
  • Vertrauen Sie nicht blind den Meldungen, den Nachrichten, klicken Sie nicht unbedarft auf noch so verlockende Angebote.
  • Prüfen Sie, ob das Format des Anhangs sicher oder doch eine getarnte ausführbare Datei?
  • Sind Sie an einem Informationsangebot einer Internetseite sehr interessiert, haben jedoch Prüfen Sie, on der Absender, der Inhalt und Anhang einer E-Mail plausibel sind.
  • Überprüfen Sie das Impressum und allfällige Telefonkontakte. Gibt es Zweifel an der Integrität, dann kann das mehr Sicherheit verschaffen.

Bitte beachten Sie, dass auch bei der besten Schulung der Mitarbeiter, die Erfolgsrate nur begrenzt ist. Schulungen sollten nie die einzige Schutzmaßnahme sein, es müssen immer auch noch technische und organisatorische Maßnahmen getroffen werden.

Weitergehende Schutzmechanismen

Details zu weiteren Schutzmechanismen finden Sie im Original-Dokument „Ransomware: Bedrohungslage, Prävention & Reaktion 2021“. Im Folgenden werden diese nur aufgezählt:

  • Maßnahmen zur Verhinderung der Ausführung unerwünschter Software wie z.B. „Application Whitelisting“.
  • PowerShell einschränken
  • Erkennung von Ransomwaredateien auf Fileservern mittels File Server Ressource Manager
  • Zentraler Logserver mit Logging Policy
  • Zugriffe auf Ransomware-C2 Server überwachen / blocken
  • Schwachstellenscan und Penetrationstest
  • Planbesprechungen und Übungen

Die Autoren widmen sich dem Thema Ransomware und DSGVO in 3 Teilen:

Teil 1:        Im ersten Kapitel wurden die Funktionsweise und die Arten von Ransomware dargestellt.
Teil 2:Im vorliegenden Kapitel werden anhand eines Papers des BSI potentielle Schäden, Einflussfaktoren und die Veröffentlichung von Daten behandelt.
Teil 3:Im letzten Kapitel werden Beispiele aus der Praxis beleuchtet (erscheint in ca. einer Woche).

Das Tagebuch wird zur Verfügung gestellt von


Mehr Artikel

Oliver Köth, Chief Technology Officer, NTT DATA DACH (c) NTT DATA
News

GenAI-Avatare als Webbereiter für die Zukunft

Der Blick in die Zukunft gleicht oftmals einem Blick in die Glaskugel. Dennoch wollen und müssen Unternehmen wissen, was auf sie zukommt, um sich optimal auf neue Herausforderungen einstellen zu können. Generative KI und damit entwickelte Avatare können dabei helfen, indem sie völlig neue Einblicke ermöglichen. NTT DATA beantwortet die wichtigsten Fragen rund um die Methode. ​ […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*