Schutz vor Ransomware: Verschlüsselungstrojanern vorbeugen

Die Bedrohungslage durch Ransomware hat sich in den vergangenen Jahren deutlich verschärft. Aufgrund eines hohen Leidensdrucks der Opfer zahlen diese nicht selten horrende Lösegelder – ob die verschlüsselten Daten dann jedoch wieder entschlüsselt werden, bleibt offen. Anstatt dieses Worst Case-Szenario abzuwarten, können Nutzende auch vorbeugen, indem ein Schutz vor Ransomware aufgebaut wird. Wie es funktionieren kann, Verschlüsselungstrojanern vorzubeugen, zeigen wir im heutigen Beitrag auf. Darüber hinaus gehen wir auf die drei Ebenen zum effektiven Schutz vor Ransomware ein.

Ransomware: Wer ist betroffen?

Es sind erschreckende Zahlen: Der Branchenverband bitkom zeigte im August 2021 in einer Pressemeldung auf, dass jährlich mehr als 220 Milliarden Euro Schaden in der deutschen Wirtschaft durch Angriffe entstehen. Neun von zehn Unternehmen waren 2020/ 2021 von Angriffen betroffen – also 88 Prozent! Als Haupttreiber dieses Anstiegs konnte der bitkom Erpressungsvorfälle ausmachen, die „mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen“ verbunden seien – meist als „unmittelbare Folge von Ransomware-Angriffen“. Gegenüber den Vorjahren 2018/ 2019 sei der Schaden durch Ransomware um sagenhafte 358 Prozent gestiegen!

Betroffen von Ransomware-Angriffen ist jedes Unternehmen, wie Achim Berg als Bitkom-Präsident erklärte: „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen.“ In der Selbstwahrnehmung sehen sich besonders Betreibende kritischer Infrastrukturen (KRITIS) als gefährdet: 52 Prozent erwarten laut dieser bitkom-Umfrage eine Zunahme von Angriffen aufs Unternehmen. Doch auch mittlere Unternehmen sind sich der Gefahren bewusst: 50 Prozent erwarten hier eine Zunahme der Cyberkriminalität. Dabei messen die Unternehmen gerade der Ransomware eine große Gefahr zu: 96 Prozent denken, derartige Attacken seien bedrohlich.

Genauso wie die Größe einer Organisation für die Wahrscheinlichkeit eines Ransomware-Angriffs eine untergeordnete Rolle spielt, ist die Gefahr auch unabhängig von verwendeten Geräten vorhanden: Macs sind genauso gefährdet wie Windows-Geräte, iPhones, iPads oder Android-Devices.

Schutz vor Ransomware: So gehen Sie es an

Um einen effektiven Schutz vor Ransomware aufzubauen, gilt es, die gesamte Organisation zu begutachten: Mit dem „Defense in Depth“-Ansatz werden mehrere Sicherheitsmaßnahmen koordiniert eingesetzt, um die Organisation ganzheitlich zu schützen. Denn typischerweise beginnen Attacken an einem Punkt der IT-Infrastruktur. Konnte sich die Ransomware auf diesem ersten System aktivieren, beginnt der Teufelskreis: Daten werden verschlüsselt und möglichst viele andere Systeme ebenfalls infiziert. Zum Verbreiten der Ransomware in weiteren Systemen werden entweder bekannte Schwachstellen in verbreiteter Software genutzt oder die auf den Systemen gespeicherten Nutzerinformationen.

Das „Defense in Depth“-Konzept – also „Verteidigung in der Tiefe“ – inkludiert drei Ebenen: Mit der Schutz-Ebene sollen Infektionen grundsätzlich verhindert werden. Die Begrenzungs-Ebene soll vor Ausbreitung schützen und mit der dritten Ebene, der Wiederherstellung, lassen sich Schäden minimieren. Die Tipps, die wir Ihnen im Folgenden geben, gehen auf diese drei Ebenen ein:

Awareness-Training zum Schutz vor Ransomware

Schulen Sie Ihre Mitarbeitenden. Dieser Punkt ist essentiell, denn: Ausschließlich dann, wenn Ihr Team in der Lage ist, Angriffe als solche zu erkennen, besteht die Möglichkeit zu handeln. Mitarbeiter-Sensibilisierungen sorgen dafür, dass Ihre Mitarbeitenden immer auf dem Laufenden sind und die aktuelle Bedrohungslage kennen. Wenn Ihre Angestellten wissen, dass sie Links in E-Mails nicht einfach anklicken oder Anhänge öffnen sollten, ist ihre Organisation bereits ein Stück weit sicherer. Punkte wie diese können Sie auch in Ihrer Sicherheitsleitlinie ansprechen. Ihre Mitarbeitenden müssen auch wissen, dass das Nutzen unbekannter USB-Sticks oder anderer Speichermedien tabu sein sollte, dass ausschließlich seriöse und bekannte Download-Quellen genutzt werden und dass bei Popup-Installationsaufforderungen Vorsicht angeraten ist.

Endpoint Protection

Endpoint-Protection-Software ist eine weitere Ebene im Schutz vor Ransomware. Diese wird zuweilen mit Antiviren-Software gleichgesetzt, kann jedoch mehr: Neben klassischem Malware-Schutz gibt es auch Firewall-Funktionalitäten. Somit lassen sich Netzwerkzugriffe einschränken und es existiert mit Data Loss Prevention-Funktionen Schutz vor Datenlecks. In öffentlichen WLAN-Netzen, aber auch für die Verbindung vom Home-Office zum Unternehmensnetzwerk sollten VPN-Dienste genutzt werden.

Patch Management

Wie oben erwähnt, gehört es zum Schutz vor Ransomware, eine Ausbreitung über Software-Schwachstellen zu verhindern. Mit dem richtigen Patch-Management gelingt dies: Halten Sie alle Programme – sowohl Software auf stationären Rechnern und Notebooks als auch Apps auf Mobilgeräten – stets aktuell. Dasselbe gilt für Ihr Betriebssystem und Browser-Plugins. Überprüfen Sie auch regelmäßig, welche Plugins, Apps und Software genutzt wird und deinstallieren Sie nicht verwendete Programme. Denn: Je mehr Programme Sie verwenden, umso höher die Angriffsfläche, da mehr Schwachstellen und Fehlkonfigurationen durch Angreifende ausgenutzt werden könnten.

Access Management

Das Zugriffsmanagement ist ein weiterer Baustein im Schutz vor Ransomware. Denn: Kommen Cyberkriminelle in Kenntnis von Zugangsdaten, ist die Verbreitung von Ransomware spielend leicht möglich. Deshalb ist es mehr als sinnvoll, auf Multifaktor-Authentifizierung zu setzen. Selbst wenn Cyberkriminelle Ihre Zugangsdaten erbeuten können, bleibt Ihr Account durch einen zweiten oder gar dritten Faktor für Unbefugte gesperrt. Weitere Informationen dazu erhalten Sie in unserem Beitrag „Authentisieren, authentifizieren & autorisieren: Multi-Faktor-Authentifizierung“. Bedenken Sie bitte, dass auch Remote-Zugänge gesichert gehören.

Das Segmentieren des Netzwerks ist ebenfalls ein guter Schutz vor Ransomware: Große Netzwerke werden durch die Netzwerk-Segmentierung in kleinere Umgebungen heruntergebrochen. In der Folge gelingt es, Angreifende bzw. Bedrohungen zu stoppen und am Ausbreiten im Netz zu hindern. Denn die jeweilige Bedrohung betrifft ausschließlich das jeweilige Netzwerk-Segment; Angreifende können nicht ohne Weiteres in andere Segmente vordringen.

Weiterer Schutz vor Ransomware

Neben diesen Punkten ist es außerdem sinnvoll, regelmäßig Backups anzulegen. Diese Backups lagern Sie außerhalb Ihres Unternehmensnetzwerks, damit Sie es im Falle einer Systemverschlüsselung durch Ransomware unbeschadet vorhalten können. Verwenden Sie außerdem aktuelle Sicherheitslösungen. In vielen neuen Produkten finden Sie auch Schutz vor Ransomware.

Was, wenn Ransomware Fuß fassen konnte?

Die eben genannten Punkte dienen alle der Prävention. Was aber tun, wenn das Kind bereits in den Brunnen gefallen ist bzw. die Ransomware bereits Fuß fassen konnte? Zunächst ist es wichtig, auf eine sichere Netzwerkinfrastruktur zu setzen. Denn so lassen sich etwaig infizierte Systeme leicht trennen, sodass die Gefahr einer systemweiten Infektion gedämpft wird. Trennen Sie infizierte Systeme umgehend vom Netz. Um betroffene Systeme identifizieren zu können, können die Logdaten ausgewertet werden, anhand derer das Erkennen von Zugriffen auf beispielsweise Netzwerklaufwerke möglich wird.

Der Einsatz von „Intrusion Detection Systems“ ist als aktive Maßnahme ebenfalls angeraten; so lassen sich Angriffe auf System- sowie Netzebene erkennen. Genauso sinnvoll kann das SIEM-Konzept („Security Information and Event Management“) sein: Angriffe lassen sich oftmals erst durch das Kombinieren verschiedener Ereignisse erkennen. SIEM-Systeme können Daten aus unterschiedlichen Quellen aggregieren und diese in Kontext zueinander setzen; beispielsweise werden Meldungen sowie Logfiles aus verschiedenen Systemen gesammelt und ausgewertet. Dies kann helfen, Angriffe, verdächtige Ereignisse oder gefährliche Trends in Echtzeit zu erkennen.

Schutz vor Ransomware: Nach der System-Bereinigung

Haben Sie nach einem erfolgreichen Ransomware-Angriff Ihr System bereinigen können, spielen Sie nun Ihre sicheren Backups ein. Das ist auch dann wichtig, wenn es Ihnen gelungen ist, den Ransomware-Angriff frühzeitig zu stoppen, denn Daten einzelner Nutzenden oder Systeme sind auch dann zuweilen nicht mehr verfügbar.

Damit Sie in Ihrer Organisation IT-Sicherheitsvorfälle routiniert bewältigen können, hilft das Incident Response Management (IRM; Vorfallreaktions-Management). Treffen Sie die entsprechenden Vorbereitungen, damit Ihr Sicherheitsteam schon im Vorfeld einen Plan ausarbeiten kann, der sämtliche Aktionen und Verantwortlichkeiten definiert. Benennen Sie diese Verantwortlichen, planen Sie die Vorgehensweise im Falle eines Angriffs und stellen Sie ggf. notwendige Materialien bereit. Dokumentieren Sie Ihre Vorbereitungen in einem Incident Response-Plan. Das Ziel des Incident Response Managements ist, Sicherheitsvorfälle identifizieren zu können, aber auch, etwaige Situationen unter Kontrolle zu bringen, verursachte Schäden begrenzen und Zeit sowie Kosten zur Wiederherstellung reduzieren zu können. In Planspielen können Sie Ihren Incident Response-Plan testen, um das IRM zu optimieren, falls Ihnen Probleme auffallen.

Effektiver Schutz vor Ransomware mit drei Ebenen

Die Zahlen vom bitkom, aber auch viele andere Studien zeigen es: Ransomware ist eine Gefahr, vor der sich niemand verstecken kann – kleine, mittlere und große Unternehmen sind unabhängig von verwendeten Systemen alle betroffen. Ein Verstecken ist auch unnötig, denn mit umfassenden Sicherheitsmaßnahmen gelingt es, einen effektiven Schutz vor Ransomware aufzubauen. Dazu müssen die Ebenen Schutz, Begrenzung und Wiederherstellung einbezogen werden. Je besser Ihre Strategien und Vorbereitungen ausfallen, umso geringer ist das Risiko eines erfolgreichen Angriffs auf Ihre Organisation.