Ransomware verhindern: 10 Maßnahmen, die Sie treffen können
Ransomware ist ohne Zweifel die größte IT-Bedrohung der Gegenwart. Täglich werden Organisationen zum Ziel neuer Ransomware-Varianten, die versuchen in ihr Netzwerk einzudringen und dort Daten zu verschlüsseln. Ransomware scheint allgegenwärtig und unaufhaltbar. Doch es gibt Maßnahmen, mit denen Sie Ransomware-Angriffe stoppen können. tenfold erklärt, wie Sie sich absichern können.
Was ist Ransomware?
Ransomware ist eine Art von Schadsoftware, die Daten verschlüsselt um ein Lösegeld zu fordern (Verschlüsselungstrojaner). Betroffene werden dabei meist doppelt erpresst (Double Extortion): Einerseits sollen sie für die Entschlüsselung der Daten zahlen, andererseits wird mit dem Leak gestohlener Daten gedroht. Um ihre Opfer unter Druck zu setzen, geben Ransomware-Gangs erfolgreiche Angriffe oft öffentlich bekannt.
Es soll der Eindruck entstehen, dass nur das Zahlen des Lösegelds den Verlust wichtiger Daten und den Image-Schaden durch die Veröffentlichung sensibler Informationen verhindern kann. Tatsächlich ist das Bezahlen der Erpresser keine gute Idee. Dafür gibt es zwei Gründe:
Auch wenn das Lösegeld bezahlt wird, lassen sich verschlüsselte Daten oft nicht wiederherstellen. Ransomware-Gangs sind Cyberkriminelle und keine IT-Dienstleister.
Die Lösegeld-Zahlung finanziert weitere Angriffe durch die Kriminellen. Solange Ransomware-Angriffe ein profitables Geschäft für Hacker darstellt wird Ransomware ein Problem bleiben.
Ransomware existiert bereits seit den 90ern, hat sich in den letzten Jahren jedoch zu einem massiven Problem entwickelt. Experten sehen mehrere Gründe für den rasanten Ransomware-Anstieg, darunter etwa die Verbreitung von Kryptowährungen wie Bitcoin, die einen nicht nachvollziehbaren Zahlungsweg für Lösegeldforderungen bieten.
Wie dringt Ransomware in ein Netzwerk ein?
Bevor Ransomware im großen Stil Dateien verschlüsselt, muss sie zunächst das Netzwerk infiltrieren und sich darin unbemerkt ausbreiten. Nach dem Einbruch ins System folgen daher meist einige Wochen Ruhe, während denen der Trojaner das Netzwerk ausspäht und heimlich weitere Geräte infiziert. Meist macht sich Ransomware erst dann bemerkbar, wenn sie den größtmöglichen Schaden anrichten kann.
In den meisten Fällen gelangt Ransomware dabei auf einem von zwei Wegen ins System:
Ungepatchte Schwachstellen: Wenn Organisationen es verabsäumen, Sicherheitslücken zu schließen, nutzen Angreifer diese aus um Schadcode auf Geräten auszuführen, Session Tokens zu stehlen oder ähnliches. Besonders gefährlich sind hierbei Zero Day Schwachstellen, für die noch kein Sicherheitspatch existiert. Firmen müssen sich auf dem Laufenden halten und verfügbare Updates so schnell wie möglich einspielen. Gibt es keinen Fix für eine Sicherheitslücke, muss auf andere Strategien wie das Abschalten betroffener Dienste zurückgegriffen werden.
Kompromittierte Konten: Die häufigste Art, wie Ransomware in ein Netzwerk gelangt, ist über Angriffe auf Endanwender wie Phishing, Social Engineering oder infizierte E-Mail-Anhänge. Mehrstufige Authentifizierung, Phishing-Filter und Trainings für Mitarbeiter helfen das Risiko für diese Attacken zu senken. Allerdings sollten sich Firmen auch auf den schlimmsten Fall vorbereiten, indem sie den Zugriff einzelner Konten beschränken. So lässt sich der Schaden durch ein kompromittiertes Konto minimieren.
Wie erkennt man einen Ransomware-Angriff?
Wird Ransomware schnell erkannt lässt sich die Ausbreitung im System im besten Fall verhindern. Deshalb ist es wichtig, sich mit den Warnsignalen für Ransomware-Attacken vertraut zu machen.
Frühzeichen für einen möglichen Angriff sind etwa die Zunahme verdächtiger Emails und blockierter Anmeldungen. Das vermehrte Auftreten dieser Versuche kann ein Zeichen dafür sein, dass die Organisation zum Ziel einer Hackerbande geworden ist.
Ist Ransomware bereits im System, kann diese mitunter über verdächtigen Netzwerktraffic oder Zugriffsversuche auf andere Systeme erkannt werden. Auch das Vorhandensein des AD-Scanning-Tools Bloodhound oder der Hacking-Software Mimikatz weist darauf hin, dass ein Angriff im Gange ist. Mehr über diese Hacker-Tools.
Geht der Angriff in die letzte Phase über, klagen User oft über einen langsamen PC oder nicht funktionierende Anwendungen, während wichtige Systemdateien im Hintergrund verschlüsselt werden. Plötzlich tauchen Kopien der Dateien mit seltsamen Dateiendungen auf. Zuletzt macht sich der Trojaner durch die Lösegeldforderung bemerkbar, die als TXT-Datei abgelegt oder über eine Weiterleitung im Browser zu finden sein kann.
Kann man Ransomware auch entschlüsseln ohne zu bezahlen?
Ransomware ist ein ständiger Wettlauf. Kriminelle suchen nach neuen Sicherheitslücken, um ihre Schadsoftware in Systeme einzuschleusen. Gleichzeitig analysieren Security-Experten neue Ransomwareprogramme, um ein Gegenmittel dafür zu finden. Im Idealfall gelingt es dabei, den Mechanismus der Verschlüsselung zu identifizieren und rückgängig zu machen.
Für viele Ransomware-Arten gibt es inzwischen kostenlose Tools zur Entschlüsselung. Das Europol-Projekt No More Ransom hilft Ihnen dabei herauszufinden, von welcher Ransomware Sie betroffen sind und ob diese entschlüsselt werden kann.
Ransomware verhindern: 10 Best Practice Tipps
Fast täglich sorgen Ransomware-Angriffe für Schlagzeilen und kostspielige IT-Ausfälle. Die Schadsoftware scheint allgegenwärtig und unaufhaltsam. Doch dieser Eindruck trügt: Trotz der starken Zunahme von Ransomware gibt es wirksame Maßnahmen, mit denen Unternehmen das Risiko für einen erfolgreichen Angriff senken und die möglichen Folgen von Ransomware minimieren können.
Wir haben einige der wichtigsten Best Practices zum Schutz vor Ransomware für Sie aufgelistet. Aber Achtung: Diese Liste hat keinen Anspruch auf Vollständigkeit. Beachten Sie daher auch die Empfehlungen offizieller Stellen und Tipps anderer Cybersecurity-Experten.
Weitere Empfehlungen gegen Ransomware:
Grundlegende Cyberhygiene
Ordnung in der eigenen IT zu halten trägt auch dazu bei, das Risiko für einen Ransomware-Angriff zu senken. Zur Cyberhygiene gehört etwa das regelmäßige Aufräumen des Active Directory, damit Angreifer keine inaktiven Konten oder überflüssigen Admin-Rechte ausnutzen können. Darüber hinaus müssen Sicherheitsupdates auf allen Endgeräten eingespielt werden (Patch Management).
Sichere Authentifizierung
Kompromittierte Konten stellen ein beliebtes Einfallstor für Hacker dar. Entsprechend helfen Maßnahmen gegen betrügerische Logins dabei, das eigene Netzwerk vor Angriffen zu schützen. Sichere Passwörter sind dabei ein absolutes Muss, aber Passwörter allein reichen nicht aus.
Multifaktor-Authentifizierung in Verbindung mit Maßnahmen wie bedingtem Zugriff und risikobasierten Kontrollen bilden die Basis für sichere Anmeldungen. Statt anfälliger Techniken wie SMS-Codes sollten Firmen dabei auf Phishing-resistente Verfahren zurückgreifen. Zum Beispiel hilft der Einsatz von Authenticator Apps und Number Matching dabei, MFA Fatigue Angriffe zu verhindern.
E-Mail-Sicherheit
Schadlinks und infizierte E-Mail-Anhänge sind ein weiterer gängiger Angriffspfad bei Ransomware-Attacken. Das Risiko, dass Mitarbeiter einer böswilligen E-Mail zum Opfer fallen, lässt sich durch Phishing-Filter, das Blockieren von Makros und die Nur-Text-Darstellung von Nachrichten senken.
Auch die besten Sicherheitstools können jedoch nicht verhindern, dass User falsch reagieren, wenn sie eine verdächtige E-Mail in ihrem Posteingang sehen. Schulen Sie also Ihre User im Erkennen betrügerischer Nachrichten, etwa durch IT-Sicherheitstrainings und regelmäßige Phishing-Tests.
Abhärtung von Endpunkten
Die Abhärtung von Systemeinstellungen, Geräteeinstellungen und Netzwerkeinstellungen verhindert, dass Hacker unsichere Konfigurationen ausnutzen. Auf der Netzwerkebene gilt es etwa, nicht benötigte Ports und Protokolle zu blockieren sowie Firewall-Regeln und -Einstellungen auf dem laufenden Stand zu halten.
Innerhalb der Domain müssen Unternehmen die Best Practices der Active Directory Sicherheit beachten und z.B. die Zahl und Nutzung von Admin-Konten beschränken. Geräteeinstellungen lassen sich über Gruppenrichtlinienobjekte steuern, um z.B. Browserrichtlinien und den Remotezugriff auf Geräte zu verwalten. Nähere Informationen zur Abhärtung von Endpunkten.
Least Privilege Zugriff
Um die Ausbreitung von Ransomware im System zu verhindern, sollte jedes Konto nur Zugriffsrechte erhalten, die zur Erfüllung seiner Aufgaben unbedingt erforderlich sind. Diese Beschränkung des Zugriffs wird auch als Least Privilege Prinzip bezeichnet und bildet gemeinsam mit laufenden Kontrollen die Basis moderner Zero Trust Sicherheit.
Die Einhaltung von Least Privilege Zugriff lässt sich am einfachsten über rollenbasierte Zugriffssteuerung und die automatische Provisionierung von Benutzerkonten gewährleisten. Die Automatisierung des User Lifecycle stellt sicher, dass Benutzer nur vorgesehene Rechte erhalten und diese auch automatisch wieder verlieren, wenn sich ihre Rolle ändert.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Access Reviews
Neben der automatischen Benutzerverwaltung ist auch die regelmäßige Überprüfung und Rezertifizierung von Berechtigungen notwendig, um Sicherheitslücken durch überflüssige Konten und Rechte zu schließen. Im Geschäftsalltag erhalten Benutzer laufend zusätzliche Rechte für kurzfristige Projekte oder Vertretungen. Regelmäßige Audits stellen sicher, dass diese Zusatzrechte zeitnah entfernt werden, sobald ein User sie nicht mehr benötigt.
IT-Sicherheits-Zertifizierung
Etablierte Sicherheitsstandards wie ISO 27001, der BSI IT Grundschutz oder NIST CSF bieten eine geprüfte Herangehensweise zum Aufbau eines ganzheitlichen IT-Sicherheitsprogramms. IT-Praktiker stehen Zertifikaten teils skeptisch gegenüber: Letzten Endes sind diese nur ein Stück Papier, das alleine keine Sicherheit gewährleistet.
Der Prozess der Zertifizierung ist jedoch eine gute Quelle für Expertenwissen, kann in den eigenen Sicherheitsmaßnahmen Lücken aufdecken und dabei helfen, Informationssicherheit zum fixen Bestandteil des Geschäftsalltags zu machen. Ein offizielles Zertifikat kann zudem einen Anreiz für die Geschäftsführung darstellen, um von dem Investment in Cybersicherheit zu überzeugen.
Cybersicherheits-Schulungen
Durch Methoden wie Phishing und Social Engineering sind Ransomware-Angriffe häufig gegen Endanwender gerichtet. Daher ist das Wissen um Angriffstechniken, gute Sicherheitspraktiken und die richtige Reaktion auf verdächtige Nachrichten ein wichtiger Schutz gegen derartige Attacken.
Schulungen für Cybersicherheit sollten alle Angestellten erhalten, und nicht nur bestimmte Geschäftsbereiche. Dieses Training muss Mitarbeitende nicht nur darüber aufklären, wie sie einen möglichen Angriff erkennen, sondern auch an welche Ansprechpartner sie sich im Notfall wenden können.
Sichere Backups
Ein vollständiges Backup wichtiger Daten und Systeme erlaubt es im Idealfall, verschlüsselte Informationen wiederherzustellen. Ransomware-Gangs ist dies bewusst, weshalb die Schadsoftware Backups gezielt angreift. Eine vom Netzwerk getrennte Kopie hilft dabei, die Verschlüsselung zu verhindern.
Experten empfehlen beim Thema Backups die 3-2-1 Regel: Drei Kopien der eigenen Daten auf zwei Medientypen, von denen eine Kopie extern gelagert wird. Das Anlegen von Backups genügt jedoch nicht: Backups müssen auch regelmäßig getestet werden. Andernfalls erweisen sie sich im schlimmsten Fall als nutzlos.
IT-Notfallplan
Auch die beste Vorbereitung bietet keine hundertprozentige Sicherheit. Firmen müssen daher nicht nur planen, wie sie Ransomware-Angriffe verhindern. Es stellt sich auch die Frage, wie sie mit einem erfolgreichen Angriff umgehen. Es gilt, sich für das Worst-Case-Szenario zu rüsten.
Ein IT-Notfallplan hilft dabei, Aufgaben, Rollen und Verantwortungen während einer IT-Krise im Vorfeld zu definieren. Welche Schritte sind notwendig, um das eigene Netzwerk herunterzufahren, den Angreifer zu isolieren, Schadcode zu bereinigen und die IT wiederherzustellen? Wer ist wofür verantwortlich? Wie läuft die Kommunikation des Notfallteams ab, wenn die üblichen Dienste ausfallen?
Tipps für den Aufbau eines Notfallplans bietet z.B. der Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle des BSI.
tenfold: Mit No-Code IAM Zugriffsrechte managen
Wie man an dieser Auflistung klar erkennt, müssen Unternehmen, die Ransomware verhindern wollen, sich mit vielen unterschiedlichen Themen beschäftigen. Gleichzeitig darf Informationssicherheit jedoch nicht zu Lasten des Kerngeschäfts gehen. Firmen brauchen also effiziente Lösungen, die ihnen helfen das eigene Netzwerk zu schützen, ohne das Budget oder IT-Team übermäßig zu belasten.
Genau das macht tenfold zur idealen IAM-Lösung: Während traditionelle IAM-Systeme monatelange Vorarbeiten und aufwändiges Scripting erfordern, ist unsere innovative No-Code IAM Lösung in wenigen Wochen startklar. IAM war noch nie so einfach: Dank sofort einsatzbereiter Plugins für Systeme wie Active Directory, Microsoft 365 oder SAP ERP lassen sich Anwendungen mühelos anbinden.
Kaum zu glauben, wie leicht Benutzer- und Berechtigungsmanagement mit tenfold von der Hand geht? Überzeugen Sie sich selbst: Unser Demo-Video zeigt tenfold im Einsatz.
Erleben Sie tenfold in Aktion: Unser Produkt-Demo zeigt alle Funktionen!