Ransomware-Schutz: Security-Tipps für Unternehmen

Ransomware ist Erpressungssoftware. Es gibt viele Möglichkeiten, wie die Angreifer sich den Zugang zu ihrem Netzwerk erschleichen und den Verschlüsselungstrojaner unbemerkt einschleusen können: Gefakte Websites, infizierte Downloads, Mailspam usw. Es muss nur ein einziger unaufmerksamer Mitarbeiter auf einen infizierten E-Mail-Anhang klicken – ohne entsprechenden Schutz breitet sich die Software rasend schnell im gesamten System aus.

Dort geht sie sofort ans Werk und sperrt Ihr Betriebssystem oder verschlüsselt Ihre Daten und hält sie als “digitale Geisel”. In der Hoffnung, einen Totalschaden noch abwenden zu können, zahlen viele Unternehmen horrende Summen Lösegeld.

Während bis vor Kurzem vor allem Großkonzerne vor Angriffen mit Ransomware zitterten, trifft es in den letzten Jahren auch immer mehr Kleine und mittlere Unternehmen. Laut Datto’s Global State of the Channel Ransomware Report zahlten betroffene amerikanische KMU im vergangenen Jahr durchschnittlich knappe 6.000 US-Dollar Lösegeld (pro betroffenem Unternehmen). Das Lösegeld ist allerdings nicht das Problem: Die Schäden, die durch die Ausfallzeiten verursacht wurden, beliefen sich auf satte 250.000 US-Dollar!

Die erschreckende Wahrheit: Falls die Lösegeldzahlung ein Unternehmen nicht ruiniert, können der Verdienstausfall, die Kosten für die Wiederherstellung von Daten und Systemen, sowie der Reputationsverlust selbst gut aufgestellte Firmen in die Insolvenz treiben.

In Österreich treten in den letzten Jahren ebenfalls vermehrt Angriffe aus dem Internet auf. 2018 gingen bei der österreichischen Polizei fast 20.000 Anzeigen wegen Cybercrime ein. Das sind rund 17 Prozent mehr als noch ein Jahr zuvor. 2019 gab es laut Informationen des österreichischen Bundeskriminalamtes einen Cyber-Angriff auf eines der größten heimischen Unternehmen, bei dem letzten Endes vier Millionen Euro Lösegeld in Bitcoin gezahlt wurden (mehr Informationen).

Jüngere Vorfälle betreffen den Salzburger Kranhersteller Palfinger, der im März 2021 Opfer einer Cyber-Erpressung wurde und Lösegeld bezahlte, und die Molkerei Salzburgmilch. Dort kam es Ende Juni zu einem Cyberangriff, durch den sämtliche IT-Systeme ausfielen und die Produktion für mehrere Tage stillstand.

Schon 2018 richteten sich die Hälfte aller Ransomware-Attacken gegen Einrichtungen im Gesundheitswesen. Weltweit für Aufsehen gesorgt hat der Angriff auf die US-amerikanische Krankenhauskette Universal Health Services (UHS) im September 2020. Sämtliche Computersysteme sowie das Telefonnetz waren durch Ryuk-Ransomware lahmgelegt worden. Dieser Angriff verursachte einen Schaden in Höhe von 67 Millionen Dollar.

Auch in Europa nehmen Ransomware-Angriffe auf Gesundheitseinrichtungen zu. 2017 war das Lukaskrankenhaus in Neuss betroffen, wo ein Erpressungstrojaner über einen infizierten E-Mail-Anhang ins System gelangte und binnen kürzester Zeit sämtliche Daten verschlüsselte. Das Krankenhaus brauchte damals einen vollen Monat, um die Systeme wieder herzustellen und zum normalen Betrieb zurückzukehren.

Einen tragischen Ausgang nahm ein Vorfall im September 2020, als eine Patientin in der Uniklinik Düsseldorf abgewiesen werden musste, weil kurz zuvor ein Hacker die dortige IT lahmgelegt hatte. Der Rettungswagen brachte die Patientin zum nächstgelegenen Krankenhaus in Wuppertal, wo sie eine halbe Stunde nach der Einlieferung verstarb.

Der Schutz vor Ransomware ist mit der Installation eines einziges Tools leider nicht erledigt. Genau, wie die Schadsoftware Ihr Unternehmen auf mehreren Ebenen verwunden kann, muss auch der Ransomware-Schutz auf mehreren Ebenen implementiert werden.

Die Maßnahmen reichen von der Sensibilisierung der Mitarbeiter über aktuelle Sicherheitssoftware und Backup-Pläne bis hin zu der Auslagerung von Daten in die Cloud und der Implementierung einer IAM-Software, um die Endpoint Security zu verbessern.

In vielen Fällen gelingt der Angriff mit Ransomware, weil Mitarbeiter des Unternehmens unaufmerksam handeln und z.B. auf einen unbekannten E-Mail-Anhang klicken. Durch Cyber-Security-Trainings können Sie Ihren Mitarbeitern helfen, sich in ihrem Arbeitsalltag sicherheitsorientiert zu verhalten.

Indem Mitarbeiter auf allen Ebenen für die Gefahr durch Phishing, Whaling und Social Engineering sensibilisiert sind, wird es den Angreifern deutlich schwerer fallen, ins System einzusteigen. Sie sollten außerdem darüber nachdenken ein Sicherheitsprotokoll zu implementieren, an dem Ihre Mitarbeiter sich im Bedarfsfall orientieren können.

“Erkennen” ist im Zusammenhang mit Ransomware eigentlich der falsche Begriff. Immerhin ist die Schadsoftware ja spezifisch so programmiert, dass sie möglichst lange unentdeckt bleibt. Manchmal verrät sich eine Infizierung des Systems durch kleine Veränderungen, die den meisten Mitarbeitern aber nicht auffallen würden. Zu diesen können z.B. eine erhöhte CPU-Aktivität oder veränderte Dateinamenserweiterungen zählen.

Schwachstellen gibt es in fast jedem System. Ebenso werden laufend neue Zero Day Exploits entdeckt und für Angriffe genutzt. Aber Sie können das Risiko, zum Ransomware-Opfer zu werden, schon dadurch senken, dass Sie die Software Ihrer Endgeräte immer aktuell halten und die jüngsten Sicherheits-Patches zeitnahe einspielen. Nutzen Sie außerdem die Möglichkeit, Ihre Systeme auf Herz und Nieren zu prüfen, indem Sie einen Schwachstellenscan durchführen.

Für den Fall der Fälle sollten Sie vorsorgen und regelmäßig Sicherungskopien Ihrer Daten anfertigen. Während Privatpersonen und Kleinunternehmen bei Tagesabschluss alle wichtigen Daten auf einer externen Festplatte speichern und diese, bis sie wieder gebraucht wird, vom Netzwerk getrennt aufbewahren können, müssen KMU und Unternehmen im Enterprise-Segment auf andere Lösungen zurückgreifen, um ihre Daten zu sichern.

Viele Malware-Programme sind mittlerweile so effizient, dass es den Hackern gelingt, nicht nur die originalen Dateien, sondern parallel auch Netzwerkspeicher-Laufwerke und Speicherorte in der Cloud zu verschlüsseln. Für Unternehmen, die große Datenmengen sichern müssen, ist es daher ratsam, mehrere Backup-Lösungen auf unterschiedlichen Plattformen zu nutzen und sicherzustellen, dass zu jeder Zeit mindestens eine dieser Plattformen offline ist.

Damit sie immer eine möglichst aktuelle Kopie sämtlicher Daten haben, die aktiv verwendet werden, nutzen viele Unternehmer ein Backup-Speichergerät, auch Backup Storage genannt. Dabei handelt es sich um eine Hardware-Appliance, die mit Software für Datenmanagement und Datendienste gebündelt ist. Die Hardware-Komponente stellt den Speicherplatz über interne Speichermedien zur Verfügung, während die Backup-Software die Richtlinien für das Bewegen der Daten enthält.

Als Speichermedien werden in Unternehmen häufig Festplatten und Band, manchmal auch SSDs (Solid-State-Drives) verwendet. Das Backup-Gerät stellt die Verbindung zu den Speichermedien über die traditionellen Netzwerkprotokolle NFS (Network File System) oder iSCSI (Internet Small Computer System Interface) her. Mehr Informationen über Backup-Speicher-Geräte.

Verschlüsselungstrojaner wie WannaCry und Petya können sich selbstständig von Computer zu Computer über das Netzwerk ausbreiten. Das macht sie so gefährlich und den Ransomware-Schutz so schwierig. Es ist also essentiell für Unternehmen, die Sicherheitskopien ihrer Daten isoliert zu verwalten. Da die Datensicherung in Offline-Trägern aber sehr viel physischen Speicherplatz erfordert, entscheiden sich manche Unternehmen dafür, das Netzwerk zu segmentieren.

Ist ein Netzwerk ordnungsgemäß segmentiert, verfügen die Endgeräte nämlich nur über jene Konnektivität, die für die jeweilige betriebliche Nutzung tatsächlich erforderlich ist. Denken Sie sich die Segmentierung als die Schotts riesiger Passagierschiffe, die bei Unfällen auf See verhindern, dass das Schiff untergeht. Mehr Informationen über Netzwerksegmentierung zur Abmilderung von Ransomware-Attacken.

Für Unternehmen ist es sinnvoll, neben einem ausgereiften Konzept für Cybersecurity (ISMS, Information Security Management System) auch in eine professionelle Backup- und Recovery-Lösung zu investieren. Eine sehr bekannte Lösung, die Unternehmen im Enterprise-Segment Ausfallsicherheit bei Ransomware-Angriffen verspricht, ist z.B. NetBackup 9 von VERITAS.

Tools bzw. Software, die vor Angriffen mit Ransomware schützen, sind so programmiert, dass sie Angriffe früh erkennen und stoppen, bevor die Malware zu Ihren Daten vordringen kann. Dabei gehen sie anders vor als klassische Virenscanner, welche die Signaturdatenbanken nach infizierten Einträgen absuchen.

Anti-Ransomware-Tools setzen entweder an den Schwachstellen und Sicherheitslücken im Betriebssystem und/oder Anwendungssoftware an, oder sie spüren die Ransomware anhand ihres spezifischen Verhaltens im System auf. Dabei greifen sie auf folgende Technologien bzw. Strategien zurück:

Darüber hinaus legen die Tools bei Bedarf temporäre Kopien von Dateien an und nutzen unter Umständen cloudbasierte Datenbanken, um Sicherheitslücken im Netzwerk zu umgehen. Falls Sie mehr über Anti Ransomware Tools erfahren möchten, legen wir Ihnen diese Virenschutz-Übersicht von Computerbild.de ans Herz.

Natürlich sind Ihre Daten ohne entsprechenden Ransomware-Schutz auch in der Cloud nicht sicher vor Angriffen. Entgegen vieler Befürchtungen sind Schwachstellen in Cloud-basierten Architekturen allerdings weniger leicht auszunutzen als Sicherheitslücken in on-Prem-Systemen. Außerdem versetzen die Cloud-Speicherlösungen Sie in die Lage, ältere Versionen Ihrer Daten wiederherzustellen, wenn die aktuellen Versionen durch einen Trojaner verschlüsselt wurden.

Der Ransomware-Schutz ist ein nie endendes Katz- und Mausspiel zwischen Hackern und Herstellern von Security-Software. Werden die einen besser, sind es die anderen kurze Zeit später auch. Und die Realität zeigt leider, dass selbst Unternehmen gehackt werden, deren Systeme aktuell sind, und die alle empfohlenen Tools installiert haben.

In den meisten Unternehmen ohne etabliertes Benutzer-/Rechtekonzept verfügen die Mitarbeiter über mehr Berechtigungen für Systeme und Anwendungen, als sie eigentlich benötigen. Anstatt die Rechte auf Basis des Least-Privilege-Prinzips auf das Notwendigste zu beschränken, setzt der IT-Admin die Rechte auf Zuruf, wenn sie benötigt werden.

So erhalten Mitarbeiter laufend neue Rechte, z.B. wenn sie die Abteilung wechseln oder zu einem Projekt hinzugezogen werden. Es denkt jedoch niemand daran, die Rechte entziehen, wenn sie nicht mehr benötigt werden. Dieser Privilege Creep wird noch verstärkt, wenn in Unternehmen die Praxis des sog. “Referenz Users” herrscht.

Privilege Creep macht es den Angreifern zwar nicht leichter, ins System zu gelangen. Aber je mehr Berechtigungen ein gehacktes User-Konto hat, desto katastrophaler sind die Folgen, die durch Ransomware entstehen.

Das Least-Privilege-Prinzip (PoLP) sieht vor, dass jedes Benutzerkonto im Unternehmen exakt auf den Tätigkeitbereich des Users zugeschnittene Zugriffsrechte und Berechtigungen erhält. Nicht weniger, aber vor allem nicht mehr. Als wichtiger Bestandteil der Endpunktsicherheit oder Endpoint Security sorgt das PoLP u.a. dafür, dass Schadsoftware wie Trojaner oder Keylogger sich nicht unbegrenzt im System ausbreiten können:

Es gibt viele Tools, mit deren Hilfe Sie das PoLP umsetzen können. Die Frage ist allerdings, wie viel Zeit Sie für den manuellen Aufwand investieren können, und wie hoch sie die operationelle Disziplin in Ihrem Unternehmen einschätzen, die für die erfolgreiche Umsetzung erforderlich ist.

tenfold Access Management teilt die Berechtigungen in Ihrem Unternehmen automatisch nach PoLP zu. Darüber hinaus unterstützt die Software Sie bei der Bereinigung Ihrer Fileserver, damit Sie jederzeit wissen, wer im Unternehmen Zugriff auf sensible Daten hat.

Die Notwendigkeit eines Konzeptes für Benutzer-/Rechtemanagement betont auch das Whitepaper Sofortmaßnahmen gegen Krypto-Trojaner von Sophos. Dort heißt es, dass ein erfolgreicher Angriff mit Ransomware u.a. dadurch ermöglicht wird, dass Benutzer mehr Dateirechte auf Netzlaufwerken haben, als für ihre Aufgabe notwendig sind.

tenfold garantiert die Umsetzung des PoLP durch eine rollenbasierte Zugriffssteuerung (RBAC). Dadurch werden die benötigten Rechte vollautomatisch und quer durch alle Systeme (Active Directory, Exchange, SAP usw.) zugeordnet und auch rechtzeitig wieder entzogen. Eine regelmäßige Rezertifizierung aller Rechte durch die jeweiligen Data Owner stellt zudem sicher, dass nirgends unerwünschte Sonderberechtigungen existieren.

Eine Software für Identity und Access Management ist ein wichtiger Baustein für Ihren Ransomware-Schutz. Sie ist als Maßnahme allerdings nicht ausreichend, um die katastrophalen Folgen eines Angriffs abzuwenden. Erfolgt eine Attacke mit Malware wie WannaCry, so schützt auch das Least-Privilege-Prinzip nicht mehr vor einer Verbreitung des Schadcodes.

Am besten schützen Sie Ihre Daten vor Übergriffen, wenn:

Ist der Trojaner erst ins System eingedrungen und hat die Daten verschlüsselt, ist guter Rat teuer. In diesem Fall gibt es eigentlich nur drei Möglichkeiten: Sie können das Lösegeld zahlen, wovon Experten jedoch nachdrücklich abraten, Sie können versuchen, die Schadsoftware von Ihrem PC bzw. aus Ihrem Netzwerk zu entfernen, und Sie können Tabula rasa machen und sämtliche Geräte auf ihre Werkseinstellungen zurücksetzen.

Alle drei Lösungen kosten sehr viel Geld und sehr viele Nerven. Und es ist nicht gesagt, dass sie funktionieren. Denn wer weiß, ob die Angreifer nach der Zahlung nicht noch weitere Forderungen stellen? Und wer garantiert Ihnen, dass der Schadcode wirklich zu 100 Prozent entfernt wurde?

Cyberversicherungen können zwar den Angriff nicht verhindern, aber sie mindern die finanziellen Folgeschäden erheblich. Aus diesem Grund sind sie ein wichtiger Bestandteil eines umfassenden Ransomware-Schutzes. Da nach einem Angriff jede Minute zählt, leistet die Versicherung mehr als “nur” finanzielle Hilfe. Eine Standard-Cyberversicherung deckt folgendes ab: