Strategie gegen Ransomware
Gerüstet für Erpresser
Viele Unternehmen fühlen sich gut gewappnet für Ransomware-Angriffe. Aber sie sollten das gut hinterfragen und sich nicht auf dem Status quo ausruhen, denn die Folgen solcher Angriffe können gravierend sein. Angreifer und Verteidiger befinden sich im ständigen Katz-und-Maus-Spiel. Zu einer umfassenden Strategie zur Abwehr von Ransomware und ähnlichen Angriffen gehören neben der Prävention die Vorfallbehandlung und Notfallpläne.
Ein kurzer Faktencheck: Ransomware ist Schadsoftware, die meist per E-Mail verbreitet wird. Sie versteckt sich in Anhängen und Links, die zu speziell erstellten Websites führen. Einmal aktiviert, sperrt sie den Zugriff auf Geräte oder verschlüsselt die darauf befindlichen Daten. Die Angreifer fordern für die Freigabe Lösegeld (englisch „ransom“), das meist in Bitcoins zu zahlen ist. Oft aber sind die Daten, die in die Hände der Kriminellen fallen, unwiederbringlich verloren.
Einfach den PC verschlüsseln war gestern – moderne Ransomware versucht, Schaden auf verschiedenen Ebenen zu verursachen. Emotet zum Beispiel lauert im Hintergrund, sucht sich selbst Verbreitungswege und kann sogar die Verbreiter kontaktieren. Das Programm verschlüsselt erst, wenn sicher ist, dass das Opfer den größtmöglichen Schaden erleidet. Die Wiederherstellung aus einem Backup kann helfen, aber die Datenmengen sind so groß, dass Unternehmen sie häufig nur online sichern. Offline-Medien, zum Beispiel Bänder, sind kaum noch im Einsatz und ihre Funktion auch oft nicht überprüft. Hacker kennen das und versuchen, Backups unbrauchbar zu machen: Bleibt ein Angriff über Tage und Wochen unbemerkt, ist das Backup eventuell längst befallen. Entweder lassen sich die Daten gar nicht oder nur mit großem Aufwand und unvollständig zurückspielen. Bei einer einfachen Wiederherstellung besteht zudem das Risiko, dass die Zerstörung wieder von vorne anfängt. Cybervorfälle erfordern deshalb ein strategisches Vorgehen: Prävention, Behandlung von Vorfällen, Wiederherstellung des Normalbetriebs, Analyse des Vorfalls, Anpassung und Weiterentwicklung der Sicherheitskonzepte und Prozesse.
Zur Prävention ist die gesamte IT-Architektur so aufzubauen, dass eine Infektion sich nicht ungehindert ausbreiten kann. Netzwerksegmentierung ist hier unumgänglich. Per Segmentierung kann die IT den Datenfluss zwischen den Netzwerkbereichen gezielt kontrollieren. Ein ausgefeiltes Monitoring ist ein weiterer wichtiger Baustein zur Früherkennung von Angriffen. Virenscanner reichen nicht aus, da Schadsoftware die Erkennung unterwandern kann. Auch auf die Meldungen betroffener Mitarbeiter zu warten ist keine Option: Bis diese eintreffen, kann das System schon infiziert sein. Das Monitoring sollte alle Systeme und Dienste überwachen, die für geschäftskritische Prozesse relevant sind. Es sollte die Abhängigkeiten zwischen Sensoren zur Event-Auslösung wo immer möglich aggregieren, denn das verbessert die Meldungen. Man sollte sicherstellen, dass alle Systeme im Normalbetrieb auf „grün“ stehen, also ohne Warnung. Sonst verlässt sich niemand mehr auf diese Anzeige. Dann sollte man jede Unregelmäßigkeit beachten: Kontaktaufnahme mit bekannten C&C-Servern (Command and Control, die „Steuersysteme“ der Angreifer), auffällige Zugriffe auf Storage-Systeme oder Active Directory etc.
Das IT-Team sollte das Monitoring aktuell und vollständig halten und regelmäßig hinterfragen, ob die beobachteten und überwachten Systeme und Sensoren ausreichen. Server, Clients, Netzwerkkomponenten, Virenschutz, Anwendungen – gibt es vielleicht neue Systeme und Angriffsvektoren? Wenn möglich, sollten zentrale Monitoring- und Alarmierungslösungen zum Einsatz kommen. Niemand kann permanent auf die verschiedenen Logs der Firewall, Server und Virenschutzsysteme starren und dabei die Übersicht bewahren. Auch eine Alarmierungs- oder Meldungsflut aus verschiedenen Systemen während eines Vorfalls ist nicht zielführend. Die Zahl der Tools zur Überwachung und Alarmierung ist so gering wie möglich zu halten, um effizient zu sein. Denn jede überflüssige oder sich unnötig wiederholende Meldung birgt die Gefahr der Desensibilisierung.
- Gerüstet für Erpresser
- Für den Notfall üben
Lesen Sie mehr zum Thema
