Ransomware verhindern: 10 Maßnahmen, die Sie treffen können

Ransomware ist eine Art von Schadsoftware, die Daten verschlüsselt um ein Lösegeld zu fordern (Verschlüsselungstrojaner). Betroffene werden dabei meist doppelt erpresst (Double Extortion): Einerseits sollen sie für die Entschlüsselung der Daten zahlen, andererseits wird mit dem Leak gestohlener Daten gedroht. Um ihre Opfer unter Druck zu setzen, geben Ransomware-Gangs erfolgreiche Angriffe oft öffentlich bekannt.

Es soll der Eindruck entstehen, dass nur das Zahlen des Lösegelds den Verlust wichtiger Daten und den Image-Schaden durch die Veröffentlichung sensibler Informationen verhindern kann. Tatsächlich ist das Bezahlen der Erpresser keine gute Idee. Dafür gibt es zwei Gründe:

Bevor Ransomware im großen Stil Dateien verschlüsselt, muss sie zunächst das Netzwerk infiltrieren und sich darin unbemerkt ausbreiten. Nach dem Einbruch ins System folgen daher meist einige Wochen Ruhe, während denen der Trojaner das Netzwerk ausspäht und heimlich weitere Geräte infiziert. Meist macht sich Ransomware erst dann bemerkbar, wenn sie den größtmöglichen Schaden anrichten kann.

In den meisten Fällen gelangt Ransomware dabei auf einem von zwei Wegen ins System:

Wird Ransomware schnell erkannt lässt sich die Ausbreitung im System im besten Fall verhindern. Deshalb ist es wichtig, sich mit den Warnsignalen für Ransomware-Attacken vertraut zu machen.

Frühzeichen für einen möglichen Angriff sind etwa die Zunahme verdächtiger Emails und blockierter Anmeldungen. Das vermehrte Auftreten dieser Versuche kann ein Zeichen dafür sein, dass die Organisation zum Ziel einer Hackerbande geworden ist.

Ist Ransomware bereits im System, kann diese mitunter über verdächtigen Netzwerktraffic oder Zugriffsversuche auf andere Systeme erkannt werden. Auch das Vorhandensein des AD-Scanning-Tools Bloodhound oder der Hacking-Software Mimikatz weist darauf hin, dass ein Angriff im Gange ist. Mehr über diese Hacker-Tools.

Geht der Angriff in die letzte Phase über, klagen User oft über einen langsamen PC oder nicht funktionierende Anwendungen, während wichtige Systemdateien im Hintergrund verschlüsselt werden. Plötzlich tauchen Kopien der Dateien mit seltsamen Dateiendungen auf. Zuletzt macht sich der Trojaner durch die Lösegeldforderung bemerkbar, die als TXT-Datei abgelegt oder über eine Weiterleitung im Browser zu finden sein kann.

Ransomware ist ein ständiger Wettlauf. Kriminelle suchen nach neuen Sicherheitslücken, um ihre Schadsoftware in Systeme einzuschleusen. Gleichzeitig analysieren Security-Experten neue Ransomwareprogramme, um ein Gegenmittel dafür zu finden. Im Idealfall gelingt es dabei, den Mechanismus der Verschlüsselung zu identifizieren und rückgängig zu machen.

Fast täglich sorgen Ransomware-Angriffe für Schlagzeilen und kostspielige IT-Ausfälle. Die Schadsoftware scheint allgegenwärtig und unaufhaltsam. Doch dieser Eindruck trügt: Trotz der starken Zunahme von Ransomware gibt es wirksame Maßnahmen, mit denen Unternehmen das Risiko für einen erfolgreichen Angriff senken und die möglichen Folgen von Ransomware minimieren können.

Wir haben einige der wichtigsten Best Practices zum Schutz vor Ransomware für Sie aufgelistet. Aber Achtung: Diese Liste hat keinen Anspruch auf Vollständigkeit. Beachten Sie daher auch die Empfehlungen offizieller Stellen und Tipps anderer Cybersecurity-Experten.

Weitere Empfehlungen gegen Ransomware:

Ordnung in der eigenen IT zu halten trägt auch dazu bei, das Risiko für einen Ransomware-Angriff zu senken. Zur Cyberhygiene gehört etwa das regelmäßige Aufräumen des Active Directory, damit Angreifer keine inaktiven Konten oder überflüssigen Admin-Rechte ausnutzen können. Darüber hinaus müssen Sicherheitsupdates auf allen Endgeräten eingespielt werden (Patch Management).

Kompromittierte Konten stellen ein beliebtes Einfallstor für Hacker dar. Entsprechend helfen Maßnahmen gegen betrügerische Logins dabei, das eigene Netzwerk vor Angriffen zu schützen. Sichere Passwörter sind dabei ein absolutes Muss, aber Passwörter allein reichen nicht aus.

Multifaktor-Authentifizierung in Verbindung mit Maßnahmen wie bedingtem Zugriff und risikobasierten Kontrollen bilden die Basis für sichere Anmeldungen. Statt anfälliger Techniken wie SMS-Codes sollten Firmen dabei auf Phishing-resistente Verfahren zurückgreifen. Zum Beispiel hilft der Einsatz von Authenticator Apps und Number Matching dabei, MFA Fatigue Angriffe zu verhindern.

Schadlinks und infizierte E-Mail-Anhänge sind ein weiterer gängiger Angriffspfad bei Ransomware-Attacken. Das Risiko, dass Mitarbeiter einer böswilligen E-Mail zum Opfer fallen, lässt sich durch Phishing-Filter, das Blockieren von Makros und die Nur-Text-Darstellung von Nachrichten senken.

Auch die besten Sicherheitstools können jedoch nicht verhindern, dass User falsch reagieren, wenn sie eine verdächtige E-Mail in ihrem Posteingang sehen. Schulen Sie also Ihre User im Erkennen betrügerischer Nachrichten, etwa durch IT-Sicherheitstrainings und regelmäßige Phishing-Tests.

Die Abhärtung von Systemeinstellungen, Geräteeinstellungen und Netzwerkeinstellungen verhindert, dass Hacker unsichere Konfigurationen ausnutzen. Auf der Netzwerkebene gilt es etwa, nicht benötigte Ports und Protokolle zu blockieren sowie Firewall-Regeln und -Einstellungen auf dem laufenden Stand zu halten.

Innerhalb der Domain müssen Unternehmen die Best Practices der Active Directory Sicherheit beachten und z.B. die Zahl und Nutzung von Admin-Konten beschränken. Geräteeinstellungen lassen sich über Gruppenrichtlinienobjekte steuern, um z.B. Browserrichtlinien und den Remotezugriff auf Geräte zu verwalten. Nähere Informationen zur Abhärtung von Endpunkten.

Um die Ausbreitung von Ransomware im System zu verhindern, sollte jedes Konto nur Zugriffsrechte erhalten, die zur Erfüllung seiner Aufgaben unbedingt erforderlich sind. Diese Beschränkung des Zugriffs wird auch als Least Privilege Prinzip bezeichnet und bildet gemeinsam mit laufenden Kontrollen die Basis moderner Zero Trust Sicherheit.

Die Einhaltung von Least Privilege Zugriff lässt sich am einfachsten über rollenbasierte Zugriffssteuerung und die automatische Provisionierung von Benutzerkonten gewährleisten. Die Automatisierung des User Lifecycle stellt sicher, dass Benutzer nur vorgesehene Rechte erhalten und diese auch automatisch wieder verlieren, wenn sich ihre Rolle ändert.

Neben der automatischen Benutzerverwaltung ist auch die regelmäßige Überprüfung und Rezertifizierung von Berechtigungen notwendig, um Sicherheitslücken durch überflüssige Konten und Rechte zu schließen. Im Geschäftsalltag erhalten Benutzer laufend zusätzliche Rechte für kurzfristige Projekte oder Vertretungen. Regelmäßige Audits stellen sicher, dass diese Zusatzrechte zeitnah entfernt werden, sobald ein User sie nicht mehr benötigt.

Etablierte Sicherheitsstandards wie ISO 27001, der BSI IT Grundschutz oder NIST CSF bieten eine geprüfte Herangehensweise zum Aufbau eines ganzheitlichen IT-Sicherheitsprogramms. IT-Praktiker stehen Zertifikaten teils skeptisch gegenüber: Letzten Endes sind diese nur ein Stück Papier, das alleine keine Sicherheit gewährleistet.

Der Prozess der Zertifizierung ist jedoch eine gute Quelle für Expertenwissen, kann in den eigenen Sicherheitsmaßnahmen Lücken aufdecken und dabei helfen, Informationssicherheit zum fixen Bestandteil des Geschäftsalltags zu machen. Ein offizielles Zertifikat kann zudem einen Anreiz für die Geschäftsführung darstellen, um von dem Investment in Cybersicherheit zu überzeugen.

Durch Methoden wie Phishing und Social Engineering sind Ransomware-Angriffe häufig gegen Endanwender gerichtet. Daher ist das Wissen um Angriffstechniken, gute Sicherheitspraktiken und die richtige Reaktion auf verdächtige Nachrichten ein wichtiger Schutz gegen derartige Attacken.

Schulungen für Cybersicherheit sollten alle Angestellten erhalten, und nicht nur bestimmte Geschäftsbereiche. Dieses Training muss Mitarbeitende nicht nur darüber aufklären, wie sie einen möglichen Angriff erkennen, sondern auch an welche Ansprechpartner sie sich im Notfall wenden können.

Ein vollständiges Backup wichtiger Daten und Systeme erlaubt es im Idealfall, verschlüsselte Informationen wiederherzustellen. Ransomware-Gangs ist dies bewusst, weshalb die Schadsoftware Backups gezielt angreift. Eine vom Netzwerk getrennte Kopie hilft dabei, die Verschlüsselung zu verhindern.

Experten empfehlen beim Thema Backups die 3-2-1 Regel: Drei Kopien der eigenen Daten auf zwei Medientypen, von denen eine Kopie extern gelagert wird. Das Anlegen von Backups genügt jedoch nicht: Backups müssen auch regelmäßig getestet werden. Andernfalls erweisen sie sich im schlimmsten Fall als nutzlos.

Auch die beste Vorbereitung bietet keine hundertprozentige Sicherheit. Firmen müssen daher nicht nur planen, wie sie Ransomware-Angriffe verhindern. Es stellt sich auch die Frage, wie sie mit einem erfolgreichen Angriff umgehen. Es gilt, sich für das Worst-Case-Szenario zu rüsten.

Ein IT-Notfallplan hilft dabei, Aufgaben, Rollen und Verantwortungen während einer IT-Krise im Vorfeld zu definieren. Welche Schritte sind notwendig, um das eigene Netzwerk herunterzufahren, den Angreifer zu isolieren, Schadcode zu bereinigen und die IT wiederherzustellen? Wer ist wofür verantwortlich? Wie läuft die Kommunikation des Notfallteams ab, wenn die üblichen Dienste ausfallen?

Wie man an dieser Auflistung klar erkennt, müssen Unternehmen, die Ransomware verhindern wollen, sich mit vielen unterschiedlichen Themen beschäftigen. Gleichzeitig darf Informationssicherheit jedoch nicht zu Lasten des Kerngeschäfts gehen. Firmen brauchen also effiziente Lösungen, die ihnen helfen das eigene Netzwerk zu schützen, ohne das Budget oder IT-Team übermäßig zu belasten.

Genau das macht tenfold zur idealen IAM-Lösung: Während traditionelle IAM-Systeme monatelange Vorarbeiten und aufwändiges Scripting erfordern, ist unsere innovative No-Code IAM Lösung in wenigen Wochen startklar. IAM war noch nie so einfach: Dank sofort einsatzbereiter Plugins für Systeme wie Active Directory, Microsoft 365 oder SAP ERP lassen sich Anwendungen mühelos anbinden.

Kaum zu glauben, wie leicht Benutzer- und Berechtigungsmanagement mit tenfold von der Hand geht? Überzeugen Sie sich selbst: Unser Demo-Video zeigt tenfold im Einsatz.