Maßnahmenkatalog Ransomware des BSI
Hilfestellung gegen Erpressungstrojaner
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat einen „Maßnahmenkatalog Ransomware“ vorgestellt. Er soll bei der Vorbereitung auf einen Ransomware-Angriff helfen. Dazu fasst er auf Basis der Erfahrungen, die das BSI bei der Ransomware-Fallbearbeitung gewonnen hat, die erforderlichen Präventionsmaßnahmen zusammen. Das Arbeitspapier richtet sich an Unternehmen und Behörden, die sich – trotz diverser spektakulärer Fälle und häufiger Medienberichterstattung – mit dem Thema noch nicht oder nur ansatzweise auseinandergesetzt haben.
Eingangs beschäftigt sich das Dokument mit den wichtigsten Fragen für die Geschäftsführung oder Amtsleitung. Die folgenen Kapitel beschreiben im Überblick die grundlegenden technischen Maßnahmen zur Vorbeugung von Ransomware-Vorfällen. Die Ratschläge reichen von Backups bis zu einer Auflistung erforderlicher Maßnahmen auf Server-Seite (Umgang mit E-Mails, Schwachstellen-Management, Port-Freigabe, Fernzugriffe, Umgang mit Administratorenkonten etc.) und Client-Seite (Updates, Umgang mit Makros, Anwendungskontrolle, Virenschutz etc.).
Danach umreißt das Arbeitspapier organisatorische Schritte und Prozesse, um sich auf den Ernstfall vorzubereiten, ebenso wie weiterreichende technische Schutzmaßnahmen (zentrales Logging, Härtung von Systemen, Netzwerksegmentierung, Anomalie-Erkennung etc.). Abschließend gibt eine tabellarische Aufstellung den groben Überblick über Nutzen und Aufwand. Diese Tabelle enthält nützlicherweise auch Angaben dazu, wo sich schnelle Erfolge („Quick Wins“) erzielen lassen: unter anderem durch Backups, aktives Schwachstellen-Management, das Deaktivieren oder Einschränken von Makros sowie durch die Freigabe ausschließlich der erforderlichen Dienste und Ports.
Das BSI betont, dass das Arbeitspapier keinesfalls eine systematische Herangehensweise an das Thema Informationssicherheit ersetzen kann, wie sie das Bundesamt in seinem IT-Grundschutz beschrieben hat: Das Ransomware-Arbeitspapier führe lediglich punktuelle Maßnahmen auf; hingegen biete nur eine ganzheitliche Herangehensweise angemessenen Schutz vor fortschrittlichen Angriffen.
Außerdem warnt das BSI, gegen Ransomware gebe es nicht „die eine“ Maßnahme, die hilft, um sich vor Produktionsausfall oder Datenverlust zu schützen. Vielmehr müsse eine Vielzahl von Maßnahmen innerhalb eines mehrstufigen Verteidigungsansatzes (Defense in Depth) ineinandergreifen. Nur dies ermögliche es einem Unternehmen oder einer Behörde, ausreichend viele Stellen zu etablieren, an denen sich ein Angriff erkennen und dann stoppen lässt.
Des Weiteren legt das BSI im Arbeitspapier dar: „Die Beschreibung ‚Höhere Gewalt’ trifft in aller Regel nicht auf Ransomware zu. Etwas anderes mag in seltenen Einzelfällen bislang unbekannter, neu entwickelter Ransomware gelten.“ Mit entsprechenden Maßnahmen könne man Ransomware-Angriffe aber durchaus verhindern oder zumindest die Eintrittswahrscheinlichkeit eines großen Vorfalls erheblich senken und die Auswirkungen eindämmen.
„Wir begrüßen die Initiative des Bundesamtes für Sicherheit in der Informationstechnik, eine Sammlung von Best Practices zur Verfügung zu stellen, und legen jedem nahe, den Katalog zu studieren“, kommentierte Stefan Maith, Team Leader Public Sector beim Security-Anbieter Check Point. Denn Ransomware sei eine sehr gefährliche Bedrohung geworden, die weit um sich greife und weiterhin stark im Fokus sein werde: „In Deutschland stehen, wie unsere jüngste Top Malware für den Februar 2022 zeigte, mit den berüchtigten Bot-Netzen Emotet und Trickbot zwei Lieferanten für Malware oben in der Bedrohungsliste, die dafür bekannt sind, Ransomware gerne zu verbreiten“, so Maith.
Der „Maßnahmenkatalog Ransomware“ des BSI steht hier zum Download zur Verfügung.
Lesen Sie mehr zum Thema
