9. März 2022 Wolfgang Fiala und Peter Gelber*

Checklist gegen Ransomware-Angriffe im Unternehmen

Ransomware kann schwere finanzielle und rufschädigende Folgen haben. Mit diesen 11 Schritten machen Sie ihr Unternehmen sicher. [...]

(c) pixabay

In den letzten Jahren hat ein Aufstieg der Ransomware-Angriffe Millionen auf der ganzen Welt zu Opfern hungriger Hacker gemacht. Mittlerweile werden pro Jahr Millionen von Dollar an Lösegeld erpresst und die Unternehmen haben Gewinne in beträchtlicher Höhe verloren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das BSI hat 2021 ein Paper zum Thema „Ransomware: Bedrohungslage, Prävention & Reaktion 2021“ publiziert. Im Folgenden werden die wichtigsten Aussagen zusammen gefasst.

1. Softwareupdates

Software-Updates sollten unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller eingespielt werden. Im Regelfall erfolgt das über zentrale Softwareverteilung. Damit wird sichergestellt, dass keine Infektionen durch die Ausnutzung bereits behobener Sicherheitslücken erfolgen kann.

Die größte Gefahr besteht hierbei in der Regel für Anwendungen, mit denen Inhalte aus dem Netzwerk/Internet geöffnet werden, wie z. B. Web-Browser, Browser-Plugins, E-Mail-Programme und Office-Suiten.

2. Angriffsfläche minimieren

Nicht benötigte Software soll generell deinstalliert werden, damit werden die potentiellen Angriffsflächen minimiert. In Web-Browsern sollte insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt werden (z. B. Click-to-Play oder Einschränken auf Intranetseiten). Nicht zwingend benötigte Browser-Plugins (z. B. Flash, Java, Silverlight) sollten entfernt werden.

Ransomware wurde häufig als E-Mail-Anhang in Form von Javascript und VisualBasic-Skripten verteilt. Daher sollte geprüft werden, ob auf die Ausführung von Skripten im Betriebssystem gänzlich verzichtet werden kann. Die Deaktivierung im Betriebssystem verhindert, dass diese Malware ausgeführt wird.

Mittel Anwendungskontrolle kann unter Windows AppLocker oder DeviceGuard eingesetzt werden. Auch die Entkopplung von Browser und Arbeitsplatzcomputer (APC) mittels Remote-Controlled Browser System (ReCoBS), Surf-VM, uvm. reduziert die Angriffsfläche deutlich.

3. Behandlung von E-Mails / Spam auf dem Client

Damit HTML-E-Mails im E-Mail-Programm korrekt dargestellt werden können, nutzt der E-Mail-Client die gleichen Mechanismen zur Darstellung wie der Web-Browser. Aufgrund der Größe der Darstellungskomponenten und der Vielzahl an Funktionen, enthalten diese jedoch häufig Schwachstellen, da der umgebende Schutz bei E-Mail-Programmen in der Regel weniger ausgeprägt ist.

Die größte Schutzwirkung bietet in diesem Fall die Darstellung von E-Mails als Textdarstellung (oft als „Nur-Text“ bzw. „reiner Text“ bezeichnet). Ein sicherheitstechnischer Vorteil dieser Darstellung ist, dass Webadressen in der Textdarstellung nicht mehr verschleiert werden können (In einer HTML-E-Mail könnte ein Link mit der Bezeichnung „www.bsi.de“ z. B. in Wahrheit auf die Adresse „www.schadsoftwaredownload.de“ verweisen).

Im Minimum sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden. Somit würden entsprechende, schadhafte nicht mehr ausgeführt werden können. Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden:

  • Vertrauenswürdige Orte für Makros im AD konfigurieren
  • Makros im Client (per Gruppenrichtlinie) deaktivieren
  • JS/VBS: automatisches Ausführen bei Doppelklick verhindern
  • Signierte Makros verwenden: Grundsätzlich sollten in einer Institution nur digital signierte Makros zugelassen werden. Auch kann man durch eine entsprechende Konfiguration das Nachladen von Ransomware durch eine Schadsoftware in einer E-Mail verhindern oder zumindest erschweren:
  • Ausführung von Programmen (per Gruppenrichtlinie) nur aus nicht durch den Benutzer beschreibbaren Verzeichnissen (Execution Directory Whitelisting), was die effektivste Maßnahme zum Schutz vor Malware darstellt

4. Behandlung von E-Mails / Spam auf dem Server

Serverseitige Spamfilter sollten bereits Spams ausgefiltert oder zumindest als Spam kennzeichnet werden. Grundsätzlich sollten folgende Dateien blockiert oder zumindest in Quarantäne verschoben werden. Alle ausführbaren Anhänge, auch wenn diese in Archiven enthalten sind, sind zu blockieren. Exemplarische Beispiele dafür sind: .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, sowie verschlüsselte Archive / Zip-Dateien.

Des Weiteren kann auch bereits die Annahme von Spams am Mail-Server reduziert werden:

  • Implementierung von SPF (Sender-Policy-Framework) auf dem SMTP-Server helfen, bereits die Annahme von nicht legitimen E-Mails zu reduzieren. Hierbei ist jedoch zu prüfen, ob sig-nifikante Seiteneffekte auftreten, die eigentlich gewünschte E-Mail-Kommunikation unter-binden.
  • Die Annahme von E-Mails mit internem Absender (SMTP- Envelope und From-Header) von Extern sollten abgelehnt werden (Anti-Spoofing).
  • Greylisting verhindert effektiv die Zustellung von E-Mails von den meisten Spam-Bots.

5. Netzwerklaufwerke

Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind. Die Speicherung von Daten auf lokalen Datenträgern sollte untersagt werden. Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können. Die Zugriffsrechte auf Netzlaufwerke kann nachträglich verändert werden. Dadurch ist eine Verschlüsselung durch einen Ransomware-Trojaner mit Rechten eines Nutzers nicht mehr möglich. Wenn der Angreifer Admin- oder Domain-Admin-Rechte hat, schützt diese Einschränkung kaum.

6. Netzwerke segmentieren

Mittels Netzsegmentierung können Schäden begrenzt werden, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann. Hierbei ist insbesondere auch die sichere Verwendung von Administrator Accounts (s.o.) notwendig , da ansonsten ein zentraler Bestandteil des Sicherheitskonzepts untergraben wird.

7. Remote-Zugänge sichern

Der Zugriff von außen sollte abgesichert werden, damit Angreifer keine Möglichkeit haben, Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren. In der Regel sollten diese immer über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung geschützt werden.

Zusätzlich können auch Monitoring und/oder Quell-IP-Filter die Absicherung unterstützen. Si-cherheitsprobleme müssen grundsätzlich zügig behoben werden. Das Einspielen von Patches oder Workarounds hat prompt zu erfolgen.

Penetrationstests können die von außen erreichbare Systeme finden und auf ihre Sicherheit prüfen.

8. Sicherer Umgang mit Administrator Accounts

Privilegierte Accounts sind ausschließlich für Administratorentätigkeiten gedacht. E-Mails zu lesen bzw. im Internet zu surfen, sollte mit diesen Accounts vermieden werden. Das gilt natürlich nicht bei der Aktualisierung von Drivern oder beim Einspielen von Patches. Privilegierte Konten sollten immer über eine Zwei-Faktor-Authentisierung geschützt werden.

Es wird empfohlen, dass jedes System (insbesondere Server und Clients) über ein einzigartiges lokales Administrationskennwort verfügt.

9. Virenschutz

Bei professioneller Antivirensoftware sollten alle verfügbaren Module konsequent genutzt werden. Die meisten Infektionen mit neuen Varianten von Ransomware werden durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software verhindert.

Black- / Whitelisting-Dienste sollten für Gateways genutzt werden. Damit kann die Verbindung zu bösartigen URLs unterbunden werden. Im Fall eines aufrechten Supportvertrages, sollte in jedem Fall bei seinem AV-Hersteller aktiv nach zusätzlichen Schutzmöglichkeiten und Konfigurationshinweisen nachgefragt werden.

Da nicht nur Windows-Systeme erfolgreich angegriffen werden, sollten unabhängig vom Betriebssystem (sofern verfügbar) professionelle Viren-Schutzprogramme für den Enterprise-Bereich in Unternehmen und Institutionen eingesetzt werden. Nur Enterprise-Produkte bieten ausreichende Konfigurationsmöglichkeiten und die Möglichkeit zur zentralen Administration. Zusätzlich zu den Signaturupdates sollte immer die neueste Programmversion eingesetzt werden.

10. Backups / Datensicherungskonzept

Die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann, sind Backups. Im Datensicherungskonzept ist die Periodizität und die Art des Backups festgelegt sein. Üblicherweise werden monatlich oder wöchentlich Full Backups gezogen, an den anderen Tagen werden inkremental Backups erstellt. Je länger das Intervall zwischen den Full Backups ist, umso komplizierter wird ein Restore, da z.B. bei Monatssicherungen neben dem letzten Full Backup u.U. bis zu 30 Incrementals eingespielt werden müssen. In der Praxis ist dies insofern schwierig, da im Regelfall nicht bekannt ist, ab wann die Verschlüsselung begonnen hat. Werden zu viele Incrementals eingespielt, sind vielleicht bereits infizierte Daten dabei.

Schadprogramm-Infektionen versuchen häufig, mit zuvor erlangten Administrationsrechten gezielt nach allen Backups suchen und diese zu verschlüsseln, was aber nur dann gelingt, wenn die Backups auf Disken erfolgt und der Zugriff darauf mit den „Ransomware-Berechtigungen“ möglich ist. Daher wird empfohlen, die Daten in einem Offline-Backup gesichert werden. Offline-Backups können etwa mit getrennten Tapes, in einem getrennten Archiv mit nötigem physischem Zugriff oder auch in einem komplett vom eigenen Netz getrennten Cloud-Speicher erfolgen.

11. Awareness / Schulungen / Mitarbeitersensibilisierung

Zentrale Themen in Awareness-Kampagnen und in der Schulung von Mitarbeitern sind insbesondere zwei ganz wesentliche Infektionswege für Schadprogramme:

  • Einschleusen durch unbedarftes Öffnen von Anhängen in E-Mails
  • Besuch kompromittierter Web-Seiten im Internet (Drive-By-Exploits)

Ransomware, die in E-Mail-Anhängen verbreitet wird, wird nach dem Öffnen Anhangs die Schad-software auf dem Rechner installiert. Damit nimmt die Verschlüsselung seinen Lauf.

Mail-Verbreitung im Unternehmen

Besonders heimtückische Ransomware-Varianten versenden nach der Installation im ersten Schritt E-Mails an alle Adressaten im Adressbuch. Die Empfänger der schadhaften E-Mail kennen den Absender. Es gibt daher keinen offensichtlichen Grund, den Anhang einer vertrauenswürdigen Person nicht zu öffnen.

Daher sollen E-Mails immer vor dem Öffnen eines Anhangs gelesen und auf Echtheit überprüft werden. Anhänge von E-Mails unbekannter Absender dürfen grundsätzlich nicht geöffnet werden.

Links

Oft enthalten E-Mails keine Anhänge, sondern im Text werden Links zu weiterführenden Informationen im Internet angeführt. Durch einen Klick auf den Link öffnet der Browser die entsprechende Seite im Internet. Ransomware kann auch bereits über den einfachen Besuch einer kompromittierten Webseite auf den Rechner gelangen. In diesen Fällen wird die schädliche Software

automatisch installiert, dies auch völlig unmerklich für den Nutzer. Diese Angriffe werden als „Drive-by-Download oder Drive-by-Exploit“ bezeichnet.

Andere Varianten motivieren die Besucher einer „verseuchten“ Webseite dazu, eine gefährliche Datei herunterzuladen und zu öffnen. Dabei geben sich Angreifer beispielsweise auch als etablierte Cloud-Dienste aus oder greifen auf diese zurück, um Legitimität zu suggerieren.

Das Gebot der Stunde heißt Vorsicht. Bei Verdacht könnte ein Link oder ein Anhang auf einem separaten Rechner, der nicht im Produktiv-Netzwerk hängt, sondern einen „Privat-Zugang“ (Hot-Spot) zum Internet hat, ausprobiert werden.

Alternativ sind viele erfolgreiche Varianten des „Social Engineering“, in dem Angreifer eine persönliche Beziehung vortäuschen, Gewinne versprechen, mit günstigen Preisen locken und häufig das Interesse des Nutzers wecken und zu Fehlhandlungen verführen.

Es gelten folgende Regeln:

  • Bleiben Sie wachsam und vorsichtig.
  • Bei merkwürdigen Nachrichten von Freunden oder Geschäftspartnern empfiehlt sich ein Anruf.
  • Vertrauen Sie nicht blind den Meldungen, den Nachrichten, klicken Sie nicht unbedarft auf noch so verlockende Angebote.
  • Prüfen Sie, ob das Format des Anhangs sicher oder doch eine getarnte ausführbare Datei?
  • Sind Sie an einem Informationsangebot einer Internetseite sehr interessiert, haben jedoch Prüfen Sie, on der Absender, der Inhalt und Anhang einer E-Mail plausibel sind.
  • Überprüfen Sie das Impressum und allfällige Telefonkontakte. Gibt es Zweifel an der Integrität, dann kann das mehr Sicherheit verschaffen.

Bitte beachten Sie, dass auch bei der besten Schulung der Mitarbeiter, die Erfolgsrate nur begrenzt ist. Schulungen sollten nie die einzige Schutzmaßnahme sein, es müssen immer auch noch technische und organisatorische Maßnahmen getroffen werden.

* Die Autoren sind Gründer der DSGVO-ZT GmbH


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*