Zero Trust: Best Practices gegen Ransomware

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. [...]

Martin Kulendik ist Regional Sales Director DACH bei Centrify. (c) Centrify
Martin Kulendik ist Regional Sales Director DACH bei Centrify. (c) Centrify

Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung von Dateien und Ordnern auf lokalen Festplatten, verbundenen lokalen Speicherorten und gegebenenfalls anderen Computerknoten, die sich im selben Netzwerk befinden.

Die Infektion bleibt in der Regel unbemerkt, bis entweder der Zugriff auf Daten verweigert oder eine Nachricht an das Opfer gesendet wird, die Lösegeld im Austausch gegen einen Decryption-Key fordert. Doch den Forderungen der Erpresser sollten Unternehmen keinesfalls nachzukommen, denn eine Entschlüsselung der Daten ist dadurch nicht garantiert: Die Ransomware-Variante GermanWiper beispielsweise überschreibt Dateien endgültig mit Nullen, statt sie wiederherstellbar zu verschlüsseln, wodurch sie permanent zerstört sind. Darüber hinaus ermutigt eine Lösegeldzahlung Kriminelle, das Unternehmen zukünftig erneut anzugreifen.

Grundlegende Best Practices zur Prävention

Die Auswirkungen eines Ransomware-Angriffs können verheerend sein: Vom Verlust vertraulicher, unternehmenskritischer Daten über finanzielle Einbußen durch Störungen der Geschäftsprozesse bis hin zu hohen Reputationsschäden. Im Folgenden daher einige grundlegende Maßnahmen, um das Risiko für Ransomware-Angriffe einzudämmen:

  • Erstellung einer Whitelist für Anwendungen: Dadurch können nur bestimmte Programme auf einem Computer ausgeführt werden. Die Maßnahme sollte auch das Deaktivieren von Macro-Skripten aus Microsoft Office-Dateien beinhalten, die per E-Mail übertragen werden.
  • Regelmäßige Datensicherung: Dies muss in einer nicht verbundenen Umgebung geschehen, und die Integrität der Backups sollte regelmäßig überprüft werden.
  • Sicherheitsschulungen: Mitarbeiter sollten umfassend über die Risiken von Ransomware aufgeklärt und darin geschult werden, wie man Spear-Phishing-Angriffe erkennt.
  • Regemäßige Aktualisierung der Antiviren- und Antimalwareprogramme mit den neuesten Signaturen

Zero Trust-Ansatz gegen Malware-Angriffe und Kontenmissbrauch

Neben der Befolgung grundlegender Sicherheitsmaßnahmen, können Unternehmen zudem durch die Implementierung einer Privileged Access Management-Lösung (PAM) mit Zero-Trust-Ansatz sowohl die heutige Hauptursache für Sicherheitsverstöße – den Missbrauch privilegierter Konten und Anmeldedaten – verhindern, als auch die Auswirkungen eines Ransomware-Angriffs minimieren. Denn hierdurch wird Malware an der Ausführung gehindert oder zumindest ihre Verbreitung über das Netzwerk eingeschränkt. Zu den Schutzmechanismen gehören:

Aufbau einer sicheren Admin-Umgebung

Verbindet sich beispielweise ein Administrator mit Servern, gilt es, während dieser Sitzung eine Malware-Infektion zu verhindern. Deshalb darf der Zugang nur von einer sauberen Quelle aus erfolgen. PAM mit Zero-Trust-Ansatz verhindert hier den Zugriff von Benutzerarbeitsplätzen, die auch Zugang zum Internet und zu E-Mails haben, da diese besonders anfällig für Malware-Infektionen sind. Stattdessen wird der Zugriff nur über gesicherte privilegierte Administratorkonsolen gewährt, wie etwa eine administrative Jump Box.

Sicherung des Fernzugriffs

Eine gut konzipierte Zero-Trust-Privilege-Admin-Umgebung ermöglicht es Mitarbeitern nicht nur, rund um die Uhr sicher aus der Ferne auf Ressourcen zuzugreifen; sie eignet sich auch für ausgelagerte IT- oder Entwickler-Teams, da sie den Bedarf an einem VPN reduziert und die gesamte Transport-Sicherheit zwischen den Gateways sicherer Clients und verteilter Server-Konnektoren übernimmt. Ohne angemessenen Schutz kann sich Ransomware im Netzwerk verbreiten, sobald sich ein infizierter Endbenutzer per VPN verbindet.

Zoneneinteilung für privilegierte Zugriffe

Durch die Einteilung von Systemen und Organisationseinheiten in Zonen kann sich Ransomware zwar noch verbreiten, jedoch nicht auf Systemen, die eine zusätzliche Benutzerverifizierung erfordern. PAM mit Zero-Trust-Ansatz erlaubt eine benutzerspezifische Steuerung privilegierter Zugriffe auf Systeme. Die Zone, in der sich ein Nutzer befindet, ist somit die einzige Reichweite der Ransomware, solange sich ein Schutzmechanismus zwischen Nutzer und dessen Zugriff auf eine weitere Zone befindet. Dieser Zugriff wird über die PAM-Lösung gesteuert und durch Multi-Faktor-Authentifizierung (MFA) auf Legitimität überprüft. Ohne eine MFA-Response kann die Ransomware nicht ins nächste System überspringen.

Minimierung der Angriffsfläche

Ransomware benötigt nicht immer Privilegien, doch wenn es der Schadware gelingt, erweiterte Berechtigungen zu erlangen, sind ihre Auswirkungen umso größer. Durch Absicherung gemeinsam genutzter lokaler Konten, können Unternehmen die Angriffsfläche minimieren. PAM-Lösungen mit Zero Trust-Ansatz verwalten diese von mehreren Usern verwendeten Alternate-Administrator-Konten und Dienst-Konten und bieten einen Just-in-time-Zugriff für MFA-autorisierte Benutzer. Hierbei werden erforderliche Privilegien nur für einen begrenzten Zeitraum und/oder einen begrenzten Bereich vergeben, der für die jeweilige Aufgabe nötig ist.

Einschränkung der Privilegien

PAM mit Zero-Trust-Ansatz ermöglicht zudem eine detaillierte Kontrolle darüber, welchen Zugriff ein privilegierter Benutzer hat und welche Befehle er ausführen darf. Hierdurch wird auch für Schadware die Möglichkeit, Dateien zu installieren oder Berechtigungen zu erhöhen, eingegrenzt.

Ransomware bleibt eine Bedrohung für sensible Daten und für die Geschäftskontinuität von Unternehmen. Durch einen mehrschichtigen Ansatz aus Security-Best-Practices und Technologien mit Zero-Trust-Ansatz können die Auswirkungen der Erpressungssoftware jedoch erheblich eingeschränkt werden.

*Martin Kulendik ist Regional Sales Director DACH bei Centrify.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*