Grundlagen einer erfolgreichen Abwehr

Ransomware-Angriffe verhindern

LANline-Cartoon Security
© Wolfgang Traub

Ransomware-Angriffe sind zu einem massiven Problem für fast jede Branche und Unternehmen jeder Größe geworden. In den vergangenen Monaten haben Kriminelle Unternehmen und Einrichtungen wie Schulen, Logistikfirmen, Gesundheitsorganisationen oder medizinische Forschungsinstitute ins Visier genommen. Angesichts der Auswirkungen, die diese Angriffe auf Unternehmen aller Art haben können, sollten Sicherheitsexperten ihre Systeme, Netzwerke und Software auf den neuesten Stand bringen.

Ransomware – Malware, die Daten zu Erpressungszwecken als Geiseln nimmt – hat als Angriffsmethode das Potenzial, schwere Schäden zu verursachen. Phishing-E-Mails sind eine gängige Verbreitungsmethode, aber Ransomware lässt sich auch mittels Drive-by-Downloads verbreiten, wenn ein Benutzer eine infizierte Website besucht. Fortschrittliche Angriffe benötigen nur wenige Sekunden, um Endgeräte zu kompromittieren, Ransomware-Angreifer gelangen damit in kürzester Zeit in Systeme und die IT-Infrastruktur von Unternehmen. Deshalb ist es so wichtig, dass Unternehmen darauf vorbereitet sind. Da die Angriffe immer raffinierter ausfallen, gehen die Auswirkungen von Ransomware mittlerweile über finanziellen Verluste und den Produktivitätsverlust durch System- ausfälle hinaus.

Jedes Unternehmen kann ins Visier solcher Angreifer geraten. Doch kein Unternehmen möchte vor der Wahl stehen, sich zwischen der Zahlung eines Lösegelds oder dem Verlust wichtiger Daten zu entscheiden. Die beste Option besteht deshalb darin, diese Entscheidung gar nicht erst treffen zu müssen. Dieser Ansatz erfordert ein mehrschichtiges Sicherheitsmodell, das Netzwerk-, Endpunkt-, Anwendungs- und Rechenzentrumskontrollen umfasst, unterstützt durch die Versorgung mit globalen Bedrohungsdaten. Vor diesem Hintergrund sind acht essenzielle Faktoren zu beachten, damit Unternehmen Ransomware-Angriffe vermeiden können:

1. E-Mail-Gateway-Sicherheit und Sandboxing: E-Mail ist nach wie vor eine der beliebtesten Angriffsmöglichkeiten für Bedrohungsakteure. Eine sichere E-Mail-Gateway-Lösung bietet auf mehreren Ebenen fortschrittlichen Schutz vor dem gesamten Spektrum der E-Mail-Bedrohungen. Sandboxing liefert eine zusätzliche Schutzebene. Dabei untersucht das System jede E-Mail, die den E-Mail-Filter passiert hat und noch unbekannte Links, Absender oder Dateitypen enthält, bevor sie schließlich das Netzwerk oder den E-Mail-Server erreicht.

2. Web-Applikations-Firewalls: Eine Web Application Firewall (WAF) trägt zum Schutz von Web-Anwendungen bei, indem sie den HTTP-Datenverkehr zu und von einem Web-Dienst filtert und überwacht. Sie ist ein wichtiges Sicherheitselement, da sie als erste Verteidigungslinie gegen Cyberangriffe fungiert. Wenn Unternehmen neue digitale Projekte einführen, erweitern sie damit häufig gleichzeitig ihre Angriffsfläche für weitere Bedrohungen. Neue Web-Anwendungen und Programmierschnittstellen (APIs) sind aufgrund von Schwachstellen im Web-Server, Server-Plugins oder anderen Problemen gefährlichem Datenverkehr ausgesetzt. Eine WAF hilft dabei, diese Anwendungen und die Inhalte, auf die sie zugreifen, sicher zu halten.

3. Austausch von Bedrohungsdaten: Unternehmen müssen über verwertbare Echtzeit-Informationen verfügen, um unbemerkte Bedrohungen abwehren zu können. Diese Informationen sollten regelmäßig zwischen den verschiedenen Sicherheits-ebenen und -produkten innerhalb einer Umgebung ausgetauscht werden, um eine proaktive Verteidigung zu gewährleisten. Zudem erfolgt dieser Informationsaustausch im Idealfall auch mit einer größeren Cybersicherheits-Community außerhalb eines Unternehmens, zum Beispiel mit CERTs (Computer Emergency Response Teams), ISACs (Information Sharing and Analysis Centers) oder Branchenverbänden wie der Cyber Threat Alliance auf internationaler Ebene. Ein schneller Austausch ist der beste Weg, um schnell auf Angriffe zu reagieren und die Cyber-Kill-Chain zu unterbrechen, bevor sie mutiert oder sich auf andere Systeme oder Unternehmen ausweitet.

4. Schutz von Endgeräten: Herkömmliche Antivirentechniken leisten nicht immer gute Arbeit: Da Bedrohungen sich ständig weiterentwickeln, können sie in der Regel nicht mithalten. Unternehmen sollten sicherstellen, dass sie ihre Endgeräte mittels einer EDR-Lösung (Endpoint Detection and Response) und anderen Techniken angemessen schützen. In der aktuellen Bedrohungslage benötigen fortschrittliche Angriffe in der Regel Minuten oder gar nur Sekunden, um Endgeräte zu kompromittieren. EDR-Tools der ersten Generation können da einfach nicht mithalten, da die Lage eine manuelle Auswertung und Reaktion erfordert. Zudem sind sie nicht nur zu langsam, sondern generieren auch eine große Anzahl von Alerts, die die ohnehin schon überlasteten Security-Teams zusätzlich belasten. Darüber hinaus können veraltete Sicherheits-Tools die Kosten für den Sicherheitsbetrieb in die Höhe treiben und die Netzwerkprozesse und -funktionen verlangsamen. Im Gegensatz dazu bieten EDR-Lösungen der aktuellen Generation Echtzeit-Bedrohungsdaten, Transparenz, Analyse, Verwaltung und Schutz für Endgeräte – vor wie auch nach einer Infektion, um sich vor Ransomware zu schützen. Diese EDR-Lösungen erkennen und entschärfen potenzielle Bedrohungen in Echtzeit Damit reduzieren sie die Angriffsfläche, verhindern Malware-Infektionen und automatisieren gleichzeitig Reaktions- und Abhilfemaßnahmen mit anpassbaren Playbooks.

Relevante Anbieter


  1. Ransomware-Angriffe verhindern
  2. Essenzielle Faktoren - Teil 2

Verwandte Artikel

Fortinet GmbH

Fortinet

Anti-Ransomware