StartSchützenRansomware-Angriffe: Vorsorge, Reaktion und Nachsorge

Ransomware-Angriffe: Vorsorge, Reaktion und Nachsorge

Wir haben weitere wertvolle Ressourcen zum Thema Ransomware-Angriffe: 

Webinar: Ransomware: Prevention, Response, and Recovery [in engl. Sprache]

Produktseite: Policies & Insights für Microsoft Office 365

Produktseite: Cloud Backup-Lösung für Microsoft Office 365, Salesforce®, Dynamics 365 und Google Workspace

Ransomware-Case-Study: Walls Construction 

eBook: Handbuch zur Minimierung von Kollaborationsrisiken


Während Organisationen damit beschäftigt sind, sich an die neue Realität der Telearbeit anzupassen, haben Ransomware-Angriffe Hochkonjunktur. Nie war evidenter, dass IT-Administratoren robuste Sicherheitsrichtlinien und ‑verfahren implementieren müssen, um sich auf derartige Angriffe vorzubereiten.

Um Admins bei der Vorbereitung auf diese wachsende Bedrohung zu unterstützen, haben sich einige der Top-Sicherheitsexperten von AvePoint zusammengesetzt, um in dem Webinar „Ransomware: Prevention, Response, and Recovery“ das Thema Ransomware von allen Seiten zu beleuchten. Die vollständige Aufzeichnung steht Ihnen hier zur Verfügung (kostenfrei!). Im vorliegenden Beitrag haben wir das Expertengespräch außerdem für Sie zusammengefasst.

Unsere Vortragenden (AvePoint-Sicherheitsteam):

Dana Simberkoff: Chief Risk, Privacy, and Information Security Officer

Henry Feliu: Manager, Information Technology

Alex Varvel: IT Administrator

James Nankervis: Information Security and Privacy Analyst

Was ist Ransomware?

Ransomware ist eine bestimmte Art von Malware aus der Welt der Kryptoviren. Bei einem Ransomware-Angriff wird dem Opfer damit gedroht, persönliche Daten öffentlich zu machen und den Zugriff darauf so lange zu blockieren, bis ein Lösegeld gezahlt wird. Leider nehmen derartige Angriffe in der letzten Zeit immer mehr zu.

Heutzutage wird üblicherweise zwischen zwei Arten von Ransomware unterschieden:

  1. Locker-Ransomware
  2. Krypto-Ransomware

Kombiniert werden diese Angriffe häufig mit Datendiebstahl und Erpressungstechniken. Ein Beispiel hierfür ist die Ransomware Babuk, mit der die Metropolitan Police in Washington DC letztes Jahr angegriffen wurde.

Die Herausforderung für Organisationen

Insbesondere seit Beginn der Pandemie häufen sich die Ransomware-Angriffe. Zielscheibe sind immer öfter Endnutzer, denn um all die harte Arbeit zu umgehen, die Sie in Ihre Netzwerkinfrastruktur und Ihre Sicherheitsmechanismen gesteckt haben, reicht zu Hause schon ein Anwender, der ein eigenes Gerät nutzt, über das er weiterhin alle Zugriffsmöglichkeiten hat.

Deshalb ist es so wichtig, sich über Ransomware auf dem Laufenden zu halten und ihre Funktionsweise zu verstehen, denn die Kosten, die sie verursacht, steigen.

Steigende Kosten durch Ransomware

Durch Cyberkriminalität im Allgemeinen wurden 2021 schätzungsweise Kosten in Höhe von 6 Billionen USD verursacht. Auch bei Ransomware ziehen die Preise an: Betrug die durchschnittliche Lösegeldforderung bei solchen Angriffen 2018 noch 5.000 USD, so waren es vor einem Jahr 200.000 USD. Im vergangenen Jahr wurde die Rekord-Lösegeldsumme von 40 Millionen USD ausbezahlt.

Und doch wäre es zu kurz gegriffen, die entstehenden Ausgaben im Zusammenhang mit Ransomware nur an den Lösegeldforderungen zu messen. Neben dem Lösegeld müssen Sie in die Rechnung auch den Produktivitätsausfall, die IT-Kosten, die Anwaltskosten für die rechtlichen Schritte zur Klärung des Falls, neue Tools zur Verhinderung weiterer Angriffe sowie zusätzliche Berichterstattungs- und Überwachungsdienste einbeziehen. Es ist also gar nicht so einfach, zu ermitteln, welche Beträge Sie für den Fall einer Infektion mit Ransomware tatsächlich zurücklegen sollten.

Die steigende Anzahl von Angriffen und ihre Auswirkungen am Aktienmarkt

Nicht nur die Kurve der Kosten, sondern auch die Kurve der Anzahl der Angriffe geht nach oben. Im vergangenen Quartal wurden beinahe so viele Angriffe verzeichnet wie im gesamten Jahr 2020 – das ist eine ganze Menge für eine Zeitspanne von gerade einmal drei Monaten!

Die Angriffe richten sich dabei nicht nur gegen eine steigende Anzahl von Einzelpersonen, sondern immer häufiger sind anstelle von kleineren Einzelgeräten große Unternehmen und Organisationen betroffen.

In einer Untersuchung der New Yorker Börse wurde kürzlich festgestellt, dass die Aktien von betroffenen Unternehmen unmittelbar nach einem Angriff um durchschnittlich 22 % einbrechen. Dies wird als weiterer Grund für den Aufwärtstrend bei Ransomware-Angriffen angesehen: Ziel der Angreifer könnte neben dem Lösegeld auch sein, der Organisation durch die Einflussnahme auf ihren Aktienkurs einen Markenschaden zuzufügen.

Sicherheitsfachleute sollten sich des Themas also umgehend annehmen und es genau im Blick behalten.

Häufig genutzte Angriffsvektoren

Im Folgenden stellen wir Ihnen die drei Angriffsvektoren vor, die am häufigsten eingesetzt werden:

  1. Phishing: Dies ist die am weitesten verbreitete Angriffsart, die sich immer wieder auch gegen größere Organisationen richtet. Als Einfallstor werden häufig Anwender mit vielen Rechten wie Führungskräfte genutzt.

Um dieses Risiko zu mindern, sollten Sie in Ihrer Organisation unbedingt Sensibilisierungskampagnen und Schulungen zum Thema Phishing durchführen. Denn wie bereits erwähnt, mögen unsere Netzwerke und Sicherheitsmechanismen zwar einen großen Anteil solcher Angriffe wirksam abwehren, doch wenn Anwender etwas ausführen, können die Angreifer an all unseren Türen und Blockaden einfach vorbei spazieren.

  1. Remotedesktopprotokoll (RDP). Nun da immer mehr Menschen von zu Hause aus arbeiten, müssen wir dafür sorgen, dass diese offenen Dienste zum Internet usw. durch entsprechende Kontrollen gesichert sind.
  2. Software-Schwachstellen. Hier kommt es auf ein gutes Anbieterbewertungsprogramm und auf hochwertige Enterprise-Risk-Management-Tools zur Überprüfung der Einhaltung in Ihrer Organisation an. Extrem wichtig ist außerdem eine vernünftige Patch-Richtlinie, damit Ihre Systeme immer auf den neuesten Stand gebracht werden, wenn Schwachstellen aufgedeckt wurden.

Vorkehrungen gegen Ransomware: Technologische Best Practices

Aus einem proaktiven Blickwinkel heraus bilden Richtlinien und Verfahren einen der zentralen Bereiche, deren Möglichkeiten Sie unbedingt ausschöpfen sollten. Organisationen sollten sicherstellen, dass ihnen diesbezüglich alle erforderlichen Elemente zur Verfügung stehen.

Nachstehend sind einige Richtlinien aufgeführt, die Sie erstellen, definieren, anpassen, beständig erweitern und im Zusammenspiel mit Ihrer Incident-Management-Richtlinie einsetzen sollten:

  • Geschäftskontinuitätsplan und Notfallwiederherstellungsplan. Es ist ratsam, den eigenen Geschäftskontinuitätsplan (Business Continuity Plan, BCP) und Notfallwiederherstellungsplan (Disaster Recovery Plan) regelmäßig zu überprüfen. Dazu sollten Sie mindestens einmal im Jahr Tests durchführen – sei es in Form von Tabletop-Übungen oder Simulationstests –, um genau abzustecken, welche einzelnen Schritte zum Erkennen, Erfassen, Lokalisieren und Beheben potenzieller Schwachstellen im Netzwerk oder etwaiger Sicherheitsverstöße zu ergreifen sind.
  • Richtlinie für das Patch-Management. Mit einer solchen Richtlinie soll sichergestellt werden, dass jedes Gerät im Netzwerk beispielsweise entsprechend den Vorgaben des Betriebssystemanbieters oder anderer Anbieter mit Patches versorgt wird. Diese Sicherheits-Patches sollten beständig aktualisiert werden, damit etwaige Schwachstellen schnell gefunden werden.
  • Richtlinien zum Härten von Geräten oder Netzwerken. Sie sollten sich mit der Möglichkeit befassen, Dienste zu deaktivieren oder abzuschalten, die als Vektor für böswillige Sicherheitsverstöße oder Angriffe genutzt werden können.

Diese Aspekte sollten Sie jährlich oder auch häufiger überprüfen. Zudem empfiehlt es sich, sie zu verbessern, auszubauen und ihre Bereitstellung effizienter zu gestalten.

Vorkehrungen gegen Ransomware: Geschäftliche Best Practices

Auf der Führungsebene gilt es viele verschiedene Aspekte zu berücksichtigen. Der erste lautet: „Gut geplant ist halb gewonnen.“

C-Level-Führungskräfte wie CISOs und CIOs sollten mit ihren Führungsteams unbedingt der Tatsache ins Auge blicken, dass es in jedem Unternehmen diese eine Person gibt, die alles anklickt, und entsprechende Pläne für diesen Fall aufstellen. Fangen Sie nicht erst dann an zu planen, wenn Sie sich den Computervirus bereits eingefangen haben.

Sie sollten diese Themen proaktiv in Ihrem Führungsteam besprechen, Ihre Strategie festlegen und ein Vorfallreaktionsteam einrichten, damit klar geregelt ist, wer im Fall der Fälle welche Aufgaben hat, wer hinzugezogen werden muss und wie die Kommunikation abläuft, insbesondere wenn Ihre Systeme kompromiert wurden.

Sorgen Sie dafür, dass Ihnen verschiedene Kanäle zur Kommunikation und Kontaktaufnahme offenstehen. Kommunikation ist entscheidend. Machen Sie sich bewusst, dass Personen, Prozesse und Technologien ineinandergreifen müssen.

Technologien sind nur dann hilfreich, wenn sie korrekt eingesetzt werden und Ihre Endnutzer und geschäftlichen Anwender wissen, was zu tun und was zu unterlassen ist. Wir als Technologieprofis müssen dafür sorgen, dass es für die Mitarbeitenden leichter ist, richtig statt falsch zu handeln.

Der Wert von Backups

Ein weiterer wichtiger Aspekt, den Sie berücksichtigen sollten, ist das Thema Backup und Wiederherstellung. Die genaue Ausgestaltung hängt natürlich von der jeweiligen Organisation ab, da es in jeder Firma oder Einheit verschiedene geschäftliche Beweggründe und Anforderungen gibt, eine wöchentliche Vollsicherung mit täglichen inkrementellen Backups ist aber sicherlich von großem Vorteil.

Im Grunde geht es darum, die zwischen dem Angriff und Ihrem neuesten Backup verstrichene Zeit möglichst kurz zu halten, damit Sie sich keine Sorgen um Datenverluste und die Geschäftskontinuität machen müssen.

Wir werden angegriffen! Was jetzt?

Entscheidend sind eine gute Vorfallreaktions- oder Incident-Management-Richtlinie und eine Weisungskette oder ein Team, das in der Lage ist, die verschiedenen Szenarien bei einem Angriff zügig durchzugehen.

Sie sollten wissen, wen Sie informieren müssen, wenn es in Ihrer Organisation zu einem Sicherheitsverstoß oder einer ungewöhnlichen Aktivität kommt. Üblicherweise ist dies eine Führungskraft, die den Vorfall dann entlang der Weisungskette weitergeben oder ihren zuständigen Teammitgliedern entsprechende Anweisungen geben kann (z. B. dem IT- oder dem Sicherheitsteam). Auf diese Weise können die Best Practices umgesetzt werden.

Anschließend sollten sich die Teamleiter mit der betroffenen Person in Verbindung setzen, um diese bei den nächsten Schritten zu unterstützen, also dem Entfernen des Geräts aus dem Netzwerk, dem Auswerten der erfassten Lebenszyklusstationen des Geräts und dem Zusammentragen sämtlicher Informationen, die der Person dabei helfen können, den Ablauf der Geschehnisse so genau wie möglich nachzuvollziehen. Steckt ein böswilliger Angriff dahinter? Handelt es sich lediglich um ein Versehen oder ein unerwartetes Ereignis?

Sie sollten sich den Ansatz „Vorsorge ist besser als Nachsorge“ zu eigen machen.

Der Schlüssel zu einer guten Strategie

Zunächst sollten Sie in irgendeiner Weise dafür gesorgt haben, dass die Daten in Ihrer Umgebung geschützt werden. Lassen Sie sich beim Schutz der innerhalb Ihrer Organisation gespeicherten Daten von einer seriösen Antiviren- oder Anti-Malware-Lösung unterstützen.

Zudem sollten wir uns in Erinnerung rufen, dass wir nur schützen, was wir schätzen, und nur verbessern können, was wir auch messen können. Der Schlüssel zu einer guten Strategie ist also zum einen das Wissen darum, welche Daten vorliegen, wo sie vorliegen, worin sie bestehen und wer auf sie zugreifen kann, und zum anderen das Vorhandensein eindeutig definierter Container für Speicherverfahren, mit denen Daten sicher transportiert, intern genutzt und intern wie extern geteilt werden können, sodass Sie genau wissen, wo sich die Daten befinden.

Sie können sich dieses Wissen fast wie ein Röntgenbild oder eine Karte der Daten in Ihrer Organisation vorstellen. Wenn dann ein bestimmter Anwender oder ein bestimmtes Gerät kompromittiert wird, können Sie schnell nachvollziehen, wie sich der Vorfall auf das Gerät, aber auch auf alle Bereiche, auf die der Anwender Zugriff hatte, auswirken wird.

Es ist nicht möglich, alles vor jedem und jeder zu schützen, Sie sollten sich aber strategisch überlegen, welche Ebenen Sie innerhalb Ihres Perimeters einziehen können, um sicherzustellen, dass sich Vorfälle nicht über den betroffenen Bereich hinaus auswirken.

Erschaffung einer sicherheitsorientierten Organisation

Ich denke, den meisten ist klar, dass die Mitarbeitenden und „unschuldigen Beteiligten“ tendenziell das schwächste Glied in der Kette sind, weil Mitarbeitende ohne angemessene Schulungen und hinreichende technologische Unterstützung dazu neigen, sich die Arbeit so leicht wie möglich zu machen.

Ich sage deshalb immer allen bei AvePoint, dass Sicherheit die Aufgabe jedes und jeder Einzelnen ist. Schulungen und Sensibilisierung sind für die effiziente Zusammenarbeit mit Ihren Mitarbeitenden ohne Frage von kritischer Bedeutung. Glücklicherweise haben wir meiner Einschätzung nach aus kultureller Sicht einen Stand erreicht, bei dem Ransomware ein derart großes Thema ist, dass den Verbrauchern klar ist, worum es sich handelt und welche Auswirkungen Ransomware für die Menschen haben kann.

Wichtig ist aber auch, dass Sie mit eindeutigen Prozessen regeln, was wann zu passieren hat. Wie bereits erwähnt, benötigen Sie für die Eventualität eines schädlichen Vorfalls ein klar definiertes Vorgehen für das Melden solcher Vorfälle.

Nicht zuletzt sollten Sie dafür sorgen, dass Ihre Mitarbeitenden nicht versuchen, sich selbst als Retter zu betätigen. In manchen Fällen richten Mitarbeitende bei dem Versuch, ein Problem selbst zu lösen, noch größeren Schaden an. Vorfälle sollten aber nicht nur zügig gemeldet, sondern auch eingedämmt werden. Das bedeutet, dass eine klar definierte Weisungskette vorgegeben sein sollte, entlang derer diese Vorfälle bei ihrem Auftreten sofort gemeldet und eskaliert werden. So können Sie schnellstmöglich Schadensbegrenzung betreiben und Ihre Verluste in Grenzen halten. Diese Prozesse müssen in Form von unmissverständlichen, einfach zu befolgenden Schritt-für-Schritt-Anweisungen dokumentiert werden.

All diese Rädchen miteinander zu verzahnen, ist schließlich die Aufgabe von Technologien: Nutzen Sie diese, um Richtlinien z. B. für den Zugriff mit geringstmöglichen Rechten einzurichten (Least-Privileged-Prinzip) und um die Handlungsoptionen zu begrenzen, die sich Außenstehenden mit den Anmeldeinformationen eines Insiders eröffnen, welche Eskalationsrechte sie damit vergeben können und auf welche Arten von Systemen sie zugreifen können. Ziel ist es, bewährte Vorgehensweisen einzusetzen, um Geräte zu trennen und das Netzwerk zu segmentieren und in einzelne Perimeter zu unterteilen.

Was Sie JETZT tun können

Wenn Sie sich fragen, was Sie bereits jetzt tun können, so halte ich die Einrichtung einer angemessenen Backup-Lösung mit häufigen Sicherungen für die richtige Antwort. Insbesondere sollten Sie dafür sorgen, dass die Wiederherstellung mithilfe des Backups gelingt. Daten regelmäßig zu sichern, ist super, die Backups helfen Ihnen aber wenig, wenn sie sich nicht zur Wiederherstellung der Daten eignen. Dies ist ein Punkt, den Organisationen aus meiner Sicht in Angriff nehmen und auch regelmäßig testen sollten.

Auf unserer Website haben wir einige Case Studies von Kunden von AvePoint zusammengestellt, denen es gelungen ist, einen Ransomware-Angriff abzuwehren. Durch den Einsatz einiger unserer Backup-Software und ‑Verfahren konnten sie ihre Geschäftstätigkeit während der Ransomware-Angriffe fortsetzen.

Was Sie in den nächsten 30 Tagen in Angriff nehmen sollten, ist die Planung mit Blick auf die Transparenz und die Klassifizierung Ihrer Daten.

Rufen Sie sich in Erinnerung, dass es nicht möglich sein wird, alle Daten vor jedem und jeder Einzelnen zu schützen, Sie werden also entscheiden müssen, was Ihnen am wichtigsten ist und welche Bereiche Ihres Geschäfts zwingend handlungsfähig bleiben müssen, damit Sie den Betrieb aufrechterhalten können. Konzentrieren Sie sich zunächst auf diese Bereiche.

Mittelfristig – innerhalb der nächsten drei Monate – sollten Sie sich mit den Perimeterkontrollen und den Möglichkeiten des Einbaus von Abwehrmechanismen auf verschiedenen Ebenen in Ihrem Netzwerk befassen. Dies ist besonders wichtig, da viele Unternehmen derzeit mit Remote-, cloudbasierten oder vollständig hybriden Umgebungen arbeiten. Die Daten sind überall und von vielen verschiedenen Endpunkten aus zugänglich, die Kontrollen müssen also wohldurchdacht und auf diese Art von Arbeitsumgebung abgestimmt sein.

Und schließlich: Transparenz

Sich die eigenen Inhalte im Detail ansehen zu können – wer hat Zugriff, wie werden die Daten genutzt – und die Informationen sogar mit Tags versehen zu können, ist äußerst hilfreich. Dazu können Sie Tools wie Policies & Insights nutzen. Ein solches Maß an Transparenz ist auch insofern nützlich, als Sie damit besser einschätzen können, welche Daten im Falle eines Sicherheitsverstoßes wiederhergestellt oder getrennt werden müssen.

Ein datenorientierter Audit- und Datenschutzansatz („Data-Centric Audit and Protection“) empfiehlt sich auch in Bezug auf das Automatisieren der Schritte zum Erfassen, zum Klassifizieren und zum Ablegen Ihrer Daten am vorgesehenen Speicherort und mit den vorgesehenen Kontrollen für diese Gruppe.

Eine weitere Ebene ist die Governance, deren Zweck es ist, sicherzustellen, dass alle Beteiligten in automatisierten Vorgängen die Informationen abrufen können, die sie benötigen, und dass das Teilen und gemeinsame Arbeiten an diesen Informationen an den vorgesehenen Orten erfolgt. Dies ist wichtig, um zu verhindern, dass eine unkontrollierte Verbreitung stattfindet und Informationen anderen Abteilungen gegenüber offengelegt werden.

Dass der Zeitfaktor ausschlaggebend ist, dürfte allen klar sein. Je schneller Sie auf eine Schwachstelle oder einen Angriff reagieren können, desto geringer werden die Schäden ausfallen.


Bleiben Sie über die neuesten Ressourcen von AvePoint auf dem Laufenden und abonnieren Sie unseren Blog!

More Stories