15. Dezember 2020 Christian Vogt*

10 Wege, sich vor Ransomware zu schützen

Ransomware ruft bei vielen Unternehmen Sorge hervor. Doch mit sorgfältigen Vorkehrungen lassen sich sowohl das Risiko einer Infizierung erheblich senken als auch die Folgen für das Unternehmen im Falle eines Angriffs minimieren. [...]

Ransomware: Die virtuelle Lösegeld-Epressung steht bei Kriminellen derzeit hoch im Kurs (c) pixabay.com

Ransomware ist eine Malware, die Geräte, Netzwerke und Rechenzentren infiziert und den Zugriff für Benutzer sperrt. Um die Systeme wieder freizuschalten, erpressen die Angreifer ein Lösegeld. Die Schadsoftware kann auf verschiedenen Wegen in das System gelangen, wobei Web-basierte Malware Anfang 2020 den traditionelleren Vektor der E-Mail-Zustellung verdrängt hat. Eine weitere Strategie ist der Drive-by-Download: Ruft ein Benutzer eine infizierte Website auf, wird die Malware ohne sein Wissen heruntergeladen und installiert. Nicht nur Geräte, sondern auch Webbrowser sind also die Hauptziele von Cyber-Kriminellen. Gerade jetzt, wo Angreifer auch weiterhin Beschäftigte an entfernten Standorten ins Visier nehmen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Im Zusammenhang mit der weltweiten Pandemie waren zudem COVID-19-bezogene Nachrichten und Anhänge, die in einer Reihe verschiedener Ransomware-Kampagnen als Köder eingesetzt wurden, zu beobachten. Im ersten Halbjahr 2020 stieg zudem die Nutzung von Ransomware-as-a-Service (RaaS) und weiteren Varianten der Malware an. Das deutet darauf hin, dass Ransomware weiterhin eine große Bedrohung darstellen wird.

Ransomware basiert generell auf einer von verschiedenen existierenden Vorgehensweisen:

  • Crypto-Ransomware infiziert ein Betriebssystem und verhindert das Booten des betroffenen Geräts.
  • Andere Versionen verschlüsseln Laufwerke oder mehrere Dateien oder Dateinamen.
  • Einige besonders bösartige Versionen sind mit einem Timer ausgestattet, der nacheinander Dateien löscht, bis das Lösegeld gezahlt wird.
  • Eine neue Technik, bei der Phishing-E-Mails in einen aktiven E-Mail-Thread eingefügt werden, um so die Wahrscheinlichkeit zu erhöhen, dass der Thread angeklickt wird, ist das Spear Phishing. Wenn das Ziel ein Mitglied der Geschäftsführung ist, spricht man von „Whale Phishing“.

Allen Strategien ist gemeinsam, dass ein Lösegeld bezahlt werden muss, bevor das gesperrte oder verschlüsselte System die Dateien oder Daten wieder entsperrt beziehungsweise freigibt.

Aktiv werden gegen Ransomware

Hier ist eine Liste mit zehn Ratschlägen, um Unternehmen vor Ransomware zu schützen:

  1. Erstellung eines Backup- und Recovery-Plans, um die Systeme regelmäßig zu sichern und Backups offline auf einem separaten Gerät zu speichern.
  2. Einsatz von professionellen E-Mail- und Websicherheits-Tools, die Anhänge, Websites und Dateien auf Malware untersuchen und potenziell gefährliche Werbung und Social-Media-Seiten ohne Relevanz für das Unternehmen blockieren. Diese Tools sollten Sandbox-Funktionen umfassen, damit neue oder unbekannte Dateien in einer sicheren Umgebung ausgeführt und analysiert werden können.
  3. Betriebssysteme, Geräte und Software müssen immer gepatcht werden und aktuell sein. Bei Remote-Arbeitsplätzen kann es schwierig sein, Nutzer zur Anwendung von Patches zu bewegen. Dies ist jedoch essenziell, um Ransomware zu stoppen.
  4. Antivirusprogramme, IPS und Antimalware-Tools für Geräte und Netzwerk sollten immer mit dem neuesten Update laufen.
  5. Nutzung von Anwendungs-Whitelists, die verhindern, dass unerlaubte Anwendungen heruntergeladen und ausgeführt werden.
  6. Segmentierung, also das Netzwerk Netzwerks in Sicherheitszonen unterteilen, damit ein infizierter Bereich nicht ohne Weiteres auf einen anderen übergreifen kann.
  7. Erstellung und Einhaltung von Zugriffsrechten, damit so wenig Benutzer wie möglich geschäftskritische Anwendungen, Daten und Services infizieren können. Unternehmen sollten umdenken und ein Zero-Trust-Modell einführen – also erst einmal niemandem vertrauen und Zugriffsrechte auf kritische Assets streng reglementieren.
  8. Umsetzung einer ByoD-Sicherheitsrichtlinie, mit der Geräte, die bestimmten Sicherheitsstandards nicht entsprechen, geprüft und blockiert werden (keinen Client oder keine Antimalware installiert, veralteter Antivirus, Betriebssystem benötigt kritische Patches, etc.).
  9. Einsatz von forensischen Analysetools, um nach einem Angriff zu prüfen, a) wo die Infizierung herkam, b) wie lang die Malware sich in der Umgebung befunden hat, c) ob sie vollständig auf allen Geräten eliminiert wurde, und d) Gewährleistung dass sie nicht wiederkehren kann.
  10. In Sicherheitsfragen ist auf Mitarbeiter wenig Verlass. Es ist überaus wichtig, das Sicherheitsbewusstsein von Mitarbeitern ständig zu schulen und zu verbessern, damit sie nicht unbedacht Dateien herunterladen, auf E-Mail-Anhänge klicken oder Weblinks in E-Mails folgen. Dennoch ist der „Faktor Mensch“ das schwächste Glied in jeder Sicherheitskette. Dabei ist zu beachten, dass es für viele Mitarbeiter zum Arbeitsalltag gehört, Anhänge zu öffnen und im Internet nach relevanten Informationen zu suchen. Außerdem sind Phishing-Angriffe sehr überzeugend geworden und besonders hervorzuheben ist, dass Studien zur Folge Anwender der Ansicht sind, dass Sicherheit die Aufgabe von anderen ist.
Wie Sie Bitcoin für Lösegeldzahlungen kaufen

Was, wenn es doch passiert?

Im besten Fall besteht ein aktuelles Backup, so dass das Gerät formatiert und mit einer sauberen Version neu geladen werden kann. Nachfolgend eine Liste, mit den Dingen, die darüber hinaus beachtet werden müssen:

1. Straftat anzeigen

Mit einer Online-Suche findet man schnell die Webseite, auf der Cyberangriffe für das jeweilige Land gemeldet werden können. Für Europa stellt Europol hier eine Seite zur Verfügung.

2. Bezahlen des Lösegelds ist keine Garantie

Die Zahlung des Lösegelds stellt keine Garantie dafür dar, dass die Dateien wirklich freigegeben werden. Sicher ist nur, dass die Straftäter das Geld ihres Opfers und in einigen Fällen darüber hinaus auch noch ihre Kontoinformationen erhalten. Außerdem bedeutet die Entschlüsselung der Dateien nicht automatisch, dass die Malware deinstalliert wurde.

3. Experten aufsuchen

Viele Anbieter von Betriebssystemen, Software und Sicherheitslösungen haben Experten unter ihren Mitarbeitern, die Unternehmen beraten können, falls ihr System mit Ransomware infiziert werden sollte. Es gibt außerdem externe Forensikexperten, die dabei helfen können, das System wieder herzustellen.

4. Einen Plan B haben

Was soll man tun, wenn die Computersysteme oder das Netzwerk nicht mehr verfügbar sind? Gibt es einen Failover-Plan? Gibt es eine Möglichkeit, den Betrieb – wenn auch nur mit Einschränkungen – aufrechtzuerhalten, während die Systeme repariert werden? Wie hoch sind die Kosten pro Stunde, in der die Systeme nicht verfügbar sind? Entspricht das IT-Sicherheitsbudget diesen Kosten? Unternehmen sollten diese Fragestellungen unbedingt in ihren Sicherheitsrichtlinien berücksichtigen.

Fazit

Der Markt für Cyberkriminalität generiert Milliardenumsätze. Ebenso wie Unternehmen sind Cyberkriminelle hoch motiviert, immer neue Einkunftsquellen zu finden. Sie setzen auf Täuschung, Erpressung, Angriffe, Bedrohungen und Lockmittel, um Zugriff auf kritische Daten und Ressourcen zu erhalten.

Ransomware ist nichts Neues. Neu ist die wachsende Anzahl von Angriffen und die mehr und mehr durchdachten Strategien, die die Entwicklung immer neuer und unerwarteter Möglichkeiten der Ausbeutung von Einzelpersonen und Unternehmen beschleunigen. Es ist heute wichtiger als jemals zuvor, dass Sicherheit ein integraler Bestandteil der Geschäftsprozesse ist. Unternehmen sollten unbedingt mit Sicherheitsexperten zusammenarbeiten, die wissen, dass es zur Abwehr eine durchdachte Sicherheitslösung bedarf. Benötigt wird ein System mit hoch integrierten und automatisierten Technologien, das nur in Kombination mit effektiven Richtlinien und einer Lebenszyklusstrategie in der Form von Vorkehrungen, Schutz, Erkennung, Reaktion und Lernen wirksam ist.

Die Sicherheitslösungen müssen ihre Informationen teilen, um Bedrohungen überall in Ihrer verteilten Umgebung zu erkennen und effizient darauf reagieren zu können. Sie müssen diese Lösungen in Ihr Netzwerk weben, um zeitgleich zu Weiterentwicklung und Wachstum einen umfassenden Schutz zu gewährleisten und sich dynamisch an neue Bedrohungen anpassen können. 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

*Christian Vogt ist seit Anfang 2020 Vice President DACH bei Fortinet. In dieser Rolle verantwortet er das Gesamtgeschäft des Cybersecurity-Spezialisten in Deutschland, Österreich und der Schweiz. Nach 15 Jahren als Senior Regional Director Germany übernimmt Christian Vogt die Position als VP DACH mit dem Ziel, Fortinets Position im deutschsprachigen Raum weiter zu stärken und auszubauen. Er verfügt über langjährige Leadership-Erfahrung und Expertise im Umgang mit großen und strategischen Kunden und Partnern im Markt für Sicherheits- und Netzwerktechnologie sowie in der Telekommunikationsbranche. Er studierte Betriebswirtschaft in Deutschland und den USA und hatte vor seinem Eintritt bei Fortinet 2006 unter anderem Positionen bei Cable & Wireless Deutschland, Inktomi und Oracle inne.


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*