Ransomware-Schutz: Security-Tipps für Unternehmen

Ein Schreckgespenst geht um im World Wide Web – das Schreckgespenst der Ransomware! ‘Ransom’ ist Englisch für ‘Lösegeld’. Und genau darauf sind die Angreifer aus: Die Software sperrt die Computersysteme und/oder verschlüsselt die Daten. Solange, bis das verzweifelte Unternehmen ein Lösegeld für die Freigabe zahlt. Weltweit gehen die durch Ransomware verursachten Schäden in die Milliarden. Wir schauen uns an, wie Ransomware-Schutz funktioniert, und welche Rolle Identity und Access Management dabei spielen kann.

Ransomware-Schutz – was ist das?

Ransomware ist Erpressungssoftware. Es gibt viele Möglichkeiten, wie die Angreifer sich den Zugang zu ihrem Netzwerk erschleichen und den Verschlüsselungstrojaner unbemerkt einschleusen können: Gefakte Websites, infizierte Downloads, Mailspam usw. Es muss nur ein einziger unaufmerksamer Mitarbeiter auf einen infizierten E-Mail-Anhang klicken – ohne entsprechenden Schutz breitet sich die Software rasend schnell im gesamten System aus.

Dort geht sie sofort ans Werk und sperrt Ihr Betriebssystem oder verschlüsselt Ihre Daten und hält sie als “digitale Geisel”. In der Hoffnung, einen Totalschaden noch abwenden zu können, zahlen viele Unternehmen horrende Summen Lösegeld.

Ransomware-Schutz setzt auf mehreren Ebenen an und reicht von der Sensibilisierung der Mitarbeiter über Anti-Ransomware-Tools bis hin zur Implementierung eines geregelten Zugriffs- und Rechtemanagementsystems.

KMU werden zum Ziel für Ransomware

Während bis vor Kurzem vor allem Großkonzerne vor Angriffen mit Ransomware zitterten, trifft es in den letzten Jahren auch immer mehr Kleine und mittlere Unternehmen. Laut Datto’s Global State of the Channel Ransomware Report zahlten betroffene amerikanische KMU im vergangenen Jahr durchschnittlich knappe 6.000 US-Dollar Lösegeld (pro betroffenem Unternehmen). Das Lösegeld ist allerdings nicht das Problem: Die Schäden, die durch die Ausfallzeiten verursacht wurden, beliefen sich auf satte 250.000 US-Dollar!

Die erschreckende Wahrheit: Falls die Lösegeldzahlung ein Unternehmen nicht ruiniert, können der Verdienstausfall, die Kosten für die Wiederherstellung von Daten und Systemen, sowie der Reputationsverlust selbst gut aufgestellte Firmen in die Insolvenz treiben.

Code mit Ransomware auf einem Computerbildschirm. Ransomware-Schutz.
Angriffe mit Ransomware können Unternehmen ohne Schutzmaßnahmen in den finanziellen Ruin treiben. Adobe Stock, (c) James Thew

Ransomware lässt Österreichs KMU zittern

In Österreich treten in den letzten Jahren ebenfalls vermehrt Angriffe aus dem Internet auf. 2018 gingen bei der österreichischen Polizei fast 20.000 Anzeigen wegen Cybercrime ein. Das sind rund 17 Prozent mehr als noch ein Jahr zuvor. 2019 gab es laut Informationen des österreichischen Bundeskriminalamtes einen Cyber-Angriff auf eines der größten heimischen Unternehmen, bei dem letzten Endes vier Millionen Euro Lösegeld in Bitcoin gezahlt wurden (mehr Informationen).

Jüngere Vorfälle betreffen den Salzburger Kranhersteller Palfinger, der im März 2021 Opfer einer Cyber-Erpressung wurde und Lösegeld bezahlte, und die Molkerei Salzburgmilch. Dort kam es Ende Juni zu einem Cyberangriff, durch den sämtliche IT-Systeme ausfielen und die Produktion für mehrere Tage stillstand.

Attacken im Gesundheitssektor nehmen zu

Schon 2018 richteten sich die Hälfte aller Ransomware-Attacken gegen Einrichtungen im Gesundheitswesen. Weltweit für Aufsehen gesorgt hat der Angriff auf die US-amerikanische Krankenhauskette Universal Health Services (UHS) im September 2020. Sämtliche Computersysteme sowie das Telefonnetz waren durch Ryuk-Ransomware lahmgelegt worden. Dieser Angriff verursachte einen Schaden in Höhe von 67 Millionen Dollar.

Krankenschwester an einem PC im Krankenhaus.
Ransomware-Schutz wird vor allem im Gesundheitsumfeld immer wichtiger. Foto: (c) auremar

Ransomware legt deutsche Kliniken lahm

Auch in Europa nehmen Ransomware-Angriffe auf Gesundheitseinrichtungen zu. 2017 war das Lukaskrankenhaus in Neuss betroffen, wo ein Erpressungstrojaner über einen infizierten E-Mail-Anhang ins System gelangte und binnen kürzester Zeit sämtliche Daten verschlüsselte. Das Krankenhaus brauchte damals einen vollen Monat, um die Systeme wieder herzustellen und zum normalen Betrieb zurückzukehren.

Einen tragischen Ausgang nahm ein Vorfall im September 2020, als eine Patientin in der Uniklinik Düsseldorf abgewiesen werden musste, weil kurz zuvor ein Hacker die dortige IT lahmgelegt hatte. Der Rettungswagen brachte die Patientin zum nächstgelegenen Krankenhaus in Wuppertal, wo sie eine halbe Stunde nach der Einlieferung verstarb.

Wie funktioniert Ransomware-Schutz?

Der Schutz vor Ransomware ist mit der Installation eines einziges Tools leider nicht erledigt. Genau, wie die Schadsoftware Ihr Unternehmen auf mehreren Ebenen verwunden kann, muss auch der Ransomware-Schutz auf mehreren Ebenen implementiert werden.

Die Maßnahmen reichen von der Sensibilisierung der Mitarbeiter über aktuelle Sicherheitssoftware und Backup-Pläne bis hin zu der Auslagerung von Daten in die Cloud und der Implementierung einer IAM-Software, um die Endpoint Security zu verbessern.

1

Mitarbeiter für Risiko durch Ransomware sensibilisieren

In vielen Fällen gelingt der Angriff mit Ransomware, weil Mitarbeiter des Unternehmens unaufmerksam handeln und z.B. auf einen unbekannten E-Mail-Anhang klicken. Durch Cyber-Security-Trainings können Sie Ihren Mitarbeitern helfen, sich in ihrem Arbeitsalltag sicherheitsorientiert zu verhalten.

Indem Mitarbeiter auf allen Ebenen für die Gefahr durch Phishing, Whaling und Social Engineering sensibilisiert sind, wird es den Angreifern deutlich schwerer fallen, ins System einzusteigen. Sie sollten außerdem darüber nachdenken ein Sicherheitsprotokoll zu implementieren, an dem Ihre Mitarbeiter sich im Bedarfsfall orientieren können.

Mitarbeiter, dessen PC von Malware infiziert wurde, weil er keinen Ransomware-Schutz installiert hatte.
Ransomware-Schutz bedeutet auch, Zugriffsrechte zu beschränken, um die Ausbreitung zu stoppen. Foto: (c) zephyr_p

Wie erkenne ich Ransomware?

“Erkennen” ist im Zusammenhang mit Ransomware eigentlich der falsche Begriff. Immerhin ist die Schadsoftware ja spezifisch so programmiert, dass sie möglichst lange unentdeckt bleibt. Manchmal verrät sich eine Infizierung des Systems durch kleine Veränderungen, die den meisten Mitarbeitern aber nicht auffallen würden. Zu diesen können z.B. eine erhöhte CPU-Aktivität oder veränderte Dateinamenserweiterungen zählen.

2

Systeme up-to-date halten

Schwachstellen gibt es in fast jedem System. Ebenso werden laufend neue Zero Day Exploits entdeckt und für Angriffe genutzt. Aber Sie können das Risiko, zum Ransomware-Opfer zu werden, schon dadurch senken, dass Sie die Software Ihrer Endgeräte immer aktuell halten und die jüngsten Sicherheits-Patches zeitnahe einspielen. Nutzen Sie außerdem die Möglichkeit, Ihre Systeme auf Herz und Nieren zu prüfen, indem Sie einen Schwachstellenscan durchführen.

3

Daten sichern (Sicherungskopien und Backups)

Für den Fall der Fälle sollten Sie vorsorgen und regelmäßig Sicherungskopien Ihrer Daten anfertigen. Während Privatpersonen und Kleinunternehmen bei Tagesabschluss alle wichtigen Daten auf einer externen Festplatte speichern und diese, bis sie wieder gebraucht wird, vom Netzwerk getrennt aufbewahren können, müssen KMU und Unternehmen im Enterprise-Segment auf andere Lösungen zurückgreifen, um ihre Daten zu sichern.

Sicherheitskopien auf mehreren Plattformen

Viele Malware-Programme sind mittlerweile so effizient, dass es den Hackern gelingt, nicht nur die originalen Dateien, sondern parallel auch Netzwerkspeicher-Laufwerke und Speicherorte in der Cloud zu verschlüsseln. Für Unternehmen, die große Datenmengen sichern müssen, ist es daher ratsam, mehrere Backup-Lösungen auf unterschiedlichen Plattformen zu nutzen und sicherzustellen, dass zu jeder Zeit mindestens eine dieser Plattformen offline ist.

Daten in die Cloud auslagern für Ransomware-Schutz.
Für den Schutz vor Ransomware kann es sinnvoll sein, Daten auf mehreren Plattformen zu verteilen. Foto: (c) phonlamaiphoto

Backup-Speichergeräte

Damit sie immer eine möglichst aktuelle Kopie sämtlicher Daten haben, die aktiv verwendet werden, nutzen viele Unternehmer ein Backup-Speichergerät, auch Backup Storage genannt. Dabei handelt es sich um eine Hardware-Appliance, die mit Software für Datenmanagement und Datendienste gebündelt ist. Die Hardware-Komponente stellt den Speicherplatz über interne Speichermedien zur Verfügung, während die Backup-Software die Richtlinien für das Bewegen der Daten enthält.

Als Speichermedien werden in Unternehmen häufig Festplatten und Band, manchmal auch SSDs (Solid-State-Drives) verwendet. Das Backup-Gerät stellt die Verbindung zu den Speichermedien über die traditionellen Netzwerkprotokolle NFS (Network File System) oder iSCSI (Internet Small Computer System Interface) her. Mehr Informationen über Backup-Speicher-Geräte.

Achtung! Auch Backup Storage bietet keinen hundertprozentigen Ransomware-Schutz, denn es hat schon Angriffe gegeben, bei denen auch die Backups infiziert wurden.

Netzwerk segmentieren

Verschlüsselungstrojaner wie WannaCry und Petya können sich selbstständig von Computer zu Computer über das Netzwerk ausbreiten. Das macht sie so gefährlich und den Ransomware-Schutz so schwierig. Es ist also essentiell für Unternehmen, die Sicherheitskopien ihrer Daten isoliert zu verwalten. Da die Datensicherung in Offline-Trägern aber sehr viel physischen Speicherplatz erfordert, entscheiden sich manche Unternehmen dafür, das Netzwerk zu segmentieren.

Ist ein Netzwerk ordnungsgemäß segmentiert, verfügen die Endgeräte nämlich nur über jene Konnektivität, die für die jeweilige betriebliche Nutzung tatsächlich erforderlich ist. Denken Sie sich die Segmentierung als die Schotts riesiger Passagierschiffe, die bei Unfällen auf See verhindern, dass das Schiff untergeht. Mehr Informationen über Netzwerksegmentierung zur Abmilderung von Ransomware-Attacken.

Backup- und Recovery-Lösungen für Unternehmen

Für Unternehmen ist es sinnvoll, neben einem ausgereiften Konzept für Cybersecurity (ISMS, Information Security Management System) auch in eine professionelle Backup- und Recovery-Lösung zu investieren. Eine sehr bekannte Lösung, die Unternehmen im Enterprise-Segment Ausfallsicherheit bei Ransomware-Angriffen verspricht, ist z.B. NetBackup 9 von VERITAS.

4

Anti-Ransomware-Tools

Tools bzw. Software, die vor Angriffen mit Ransomware schützen, sind so programmiert, dass sie Angriffe früh erkennen und stoppen, bevor die Malware zu Ihren Daten vordringen kann. Dabei gehen sie anders vor als klassische Virenscanner, welche die Signaturdatenbanken nach infizierten Einträgen absuchen.

Anti-Ransomware-Tools setzen entweder an den Schwachstellen und Sicherheitslücken im Betriebssystem und/oder Anwendungssoftware an, oder sie spüren die Ransomware anhand ihres spezifischen Verhaltens im System auf. Dabei greifen sie auf folgende Technologien bzw. Strategien zurück:

Darüber hinaus legen die Tools bei Bedarf temporäre Kopien von Dateien an und nutzen unter Umständen cloudbasierte Datenbanken, um Sicherheitslücken im Netzwerk zu umgehen. Falls Sie mehr über Anti Ransomware Tools erfahren möchten, legen wir Ihnen diese Virenschutz-Übersicht von Computerbild.de ans Herz.

Achtung!

Anti-Ransomware-Tools ersetzen ein ausgereiftes Konzept für Cybersecurity nicht, sie ergänzen es lediglich.

5

Daten in die Cloud umsiedeln

Natürlich sind Ihre Daten ohne entsprechenden Ransomware-Schutz auch in der Cloud nicht sicher vor Angriffen. Entgegen vieler Befürchtungen sind Schwachstellen in Cloud-basierten Architekturen allerdings weniger leicht auszunutzen als Sicherheitslücken in on-Prem-Systemen. Außerdem versetzen die Cloud-Speicherlösungen Sie in die Lage, ältere Versionen Ihrer Daten wiederherzustellen, wenn die aktuellen Versionen durch einen Trojaner verschlüsselt wurden.

6

Ransomware-Schutz durch Berechtigungsmanagement

Der Ransomware-Schutz ist ein nie endendes Katz- und Mausspiel zwischen Hackern und Herstellern von Security-Software. Werden die einen besser, sind es die anderen kurze Zeit später auch. Und die Realität zeigt leider, dass selbst Unternehmen gehackt werden, deren Systeme aktuell sind, und die alle empfohlenen Tools installiert haben.

Aus diesem Grund sollten Sie sicherstellen, dass Schadsoftware, die einmal ins System gelangt ist, sich trotzdem nicht unbegrenzt ausbreiten kann. Diese Art von Ransomware-Schutz bietet Ihnen eine Software für Identity und Access Management (kurz IAM).

Sicherheitslücke Privilege Creep

In den meisten Unternehmen ohne etabliertes Benutzer-/Rechtekonzept verfügen die Mitarbeiter über mehr Berechtigungen für Systeme und Anwendungen, als sie eigentlich benötigen. Anstatt die Rechte auf Basis des Least-Privilege-Prinzips auf das Notwendigste zu beschränken, setzt der IT-Admin die Rechte auf Zuruf, wenn sie benötigt werden.

So erhalten Mitarbeiter laufend neue Rechte, z.B. wenn sie die Abteilung wechseln oder zu einem Projekt hinzugezogen werden. Es denkt jedoch niemand daran, die Rechte entziehen, wenn sie nicht mehr benötigt werden. Dieser Privilege Creep wird noch verstärkt, wenn in Unternehmen die Praxis des sog. “Referenz Users” herrscht.

Privilege Creep macht es den Angreifern zwar nicht leichter, ins System zu gelangen. Aber je mehr Berechtigungen ein gehacktes User-Konto hat, desto katastrophaler sind die Folgen, die durch Ransomware entstehen.

Zugriffsrechte beschränken, Endpunkte absichern

Das Least-Privilege-Prinzip (PoLP) sieht vor, dass jedes Benutzerkonto im Unternehmen exakt auf den Tätigkeitbereich des Users zugeschnittene Zugriffsrechte und Berechtigungen erhält. Nicht weniger, aber vor allem nicht mehr. Als wichtiger Bestandteil der Endpunktsicherheit oder Endpoint Security sorgt das PoLP u.a. dafür, dass Schadsoftware wie Trojaner oder Keylogger sich nicht unbegrenzt im System ausbreiten können:

Indem Sie die Zugriffsberechtigungen Ihrer Mitarbeiter auf das Notwendigste einschränken, beschränken Sie zugleich auch die Fortbewegungsmöglichkeit von Ransomware!

Es gibt viele Tools, mit deren Hilfe Sie das PoLP umsetzen können. Die Frage ist allerdings, wie viel Zeit Sie für den manuellen Aufwand investieren können, und wie hoch sie die operationelle Disziplin in Ihrem Unternehmen einschätzen, die für die erfolgreiche Umsetzung erforderlich ist.

tenfold Access Management teilt die Berechtigungen in Ihrem Unternehmen automatisch nach PoLP zu. Darüber hinaus unterstützt die Software Sie bei der Bereinigung Ihrer Fileserver, damit Sie jederzeit wissen, wer im Unternehmen Zugriff auf sensible Daten hat.

Ransomware-Schutz durch tenfold Access Management

Die Notwendigkeit eines Konzeptes für Benutzer-/Rechtemanagement betont auch das Whitepaper Sofortmaßnahmen gegen Krypto-Trojaner von Sophos. Dort heißt es, dass ein erfolgreicher Angriff mit Ransomware u.a. dadurch ermöglicht wird, dass Benutzer mehr Dateirechte auf Netzlaufwerken haben, als für ihre Aufgabe notwendig sind.

tenfold garantiert die Umsetzung des PoLP durch eine rollenbasierte Zugriffssteuerung (RBAC). Dadurch werden die benötigten Rechte vollautomatisch und quer durch alle Systeme (Active Directory, Exchange, SAP usw.) zugeordnet und auch rechtzeitig wieder entzogen. Eine regelmäßige Rezertifizierung aller Rechte durch die jeweiligen Data Owner stellt zudem sicher, dass nirgends unerwünschte Sonderberechtigungen existieren.

Warum tenfold?

Was macht tenfold zur besten IAM Software für mittelständische Organisationen?

Hundertprozentige Sicherheit gibt es nicht

Eine Software für Identity und Access Management ist ein wichtiger Baustein für Ihren Ransomware-Schutz. Sie ist als Maßnahme allerdings nicht ausreichend, um die katastrophalen Folgen eines Angriffs abzuwenden. Erfolgt eine Attacke mit Malware wie WannaCry, so schützt auch das Least-Privilege-Prinzip nicht mehr vor einer Verbreitung des Schadcodes.

WannaCry verbreitet sich nämlich über das Netzwerk und nutzt systematisch Sicherheitslücken in allen verbundenen Programmen, Geräten und Anwendungen aus, um Zugriff zu erlangen. Mehr Informationen über die Verbreitung der Ransomware WannaCry.

Am besten schützen Sie Ihre Daten vor Übergriffen, wenn:

  • 1

    Sie sicherstellen, dass sämtliche Systeme aktuell und mit den notwendigen Sicherheits-Patches ausgestattet sind.

  • 2

    die Zugriffsrechte aller Mitarbeiter auf das Notwendigste beschränkt sind.

  • 3

    Ihre Mitarbeiter für die Gefahr durch Ransomware sensibilisiert sind und auf ein Verhaltensprotokoll zurückgreifen können.

  • 4

    Ihr Unternehmen über eine sichere Backup-Lösung verfügt.

  • 5

    ein Anti-Ransomware-Tool Ihre Systeme regelmäßig nach Auffälligkeiten scannt.

Ransomware bereinigen

Ist der Trojaner erst ins System eingedrungen und hat die Daten verschlüsselt, ist guter Rat teuer. In diesem Fall gibt es eigentlich nur drei Möglichkeiten: Sie können das Lösegeld zahlen, wovon Experten jedoch nachdrücklich abraten, Sie können versuchen, die Schadsoftware von Ihrem PC bzw. aus Ihrem Netzwerk zu entfernen, und Sie können Tabula rasa machen und sämtliche Geräte auf ihre Werkseinstellungen zurücksetzen.

Alle drei Lösungen kosten sehr viel Geld und sehr viele Nerven. Und es ist nicht gesagt, dass sie funktionieren. Denn wer weiß, ob die Angreifer nach der Zahlung nicht noch weitere Forderungen stellen? Und wer garantiert Ihnen, dass der Schadcode wirklich zu 100 Prozent entfernt wurde?

Rückendeckung durch Cyberversicherung

Cyberversicherungen können zwar den Angriff nicht verhindern, aber sie mindern die finanziellen Folgeschäden erheblich. Aus diesem Grund sind sie ein wichtiger Bestandteil eines umfassenden Ransomware-Schutzes. Da nach einem Angriff jede Minute zählt, leistet die Versicherung mehr als “nur” finanzielle Hilfe. Eine Standard-Cyberversicherung deckt folgendes ab:

  • Eigenschäden: Die Versicherung zahlt einen Tagessatz, der für die entgangenen Gewinne entschädigt und die laufenden Kosten deckt. Außerdem übernimmt sie die Kosten für die Rekonstruktion der Daten und die Wiederherstellung der Systeme.

  • Drittschäden: Die Versicherung deckt Drittschäden und ersetzt betroffenen Kunden den entstandenen Schaden, wehrt unberechtigte Forderungen ab (Rechtsbeistand) und ersetzt auch Ansprüche, die nicht durch, sondern infolge eines Angriffs auftreten (z.B. Verzögerungen in der Belieferung von Kunden).

  • Serviceleistungen: Zusätzliche Serviceleistungen des Versicherers können, je nach Vereinbarung, z.B. eine IT-forensische Untersuchung (wichtig für die Beweisführung vor Gericht), Rechtberatung und Krisen-PR umfassen.

Whitepaper

Identity und Access Management Software: Produkte im Vergleich

Finden Sie heraus, welche Kategorien von IAM Software am Markt erhältlich sind und welches Produkt optimal auf Ihre Bedürfnisse abgestimmt ist.

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.