Ransomware hat sich als globale digitale Pandemie zu einem ernsthaften Risiko für Unternehmen auf der ganzen Welt entwickelt. Ihr Einsatz ist inzwischen ein florierendes Geschäft, das durch die Nutzung von existierenden Frameworks auch durch weniger technisch versierte Kriminelle betrieben wird. Dem fühlen sich viele Unternehmen schutzlos ausgeliefert. Doch das muss nicht so sein.
Ransomware-Angriffe verursachen weltweit Kosten im zweistelligen Milliarden-Dollar-Bereich. Eine typische Attacke beginnt an einem einzigen Punkt in der IT-Infrastruktur eines Unternehmens. Hat die Ransomware sich erfolgreich auf einem ersten System aktivieren können, dann ist ihre zweite Funktion – neben der Verschlüsslung aller erreichbarer Daten – das Infizieren möglichst vieler anderer Systeme. Dazu werden oftmals bekannte Schwachstellen von verbreiteten Softwarepaketen oder aber auf Systemen gespeicherte Benutzerinformationen genutzt. Jede IT-Organisation muss sich darauf einstellen, Ziel eines solchen Angriffes zu werden.
Eine erfolgreiche Verteidigungsstrategie gegen Ransomware sollte daher das Konzept „Defense in Depth“ aufgreifen und auf drei Ebenen wirksam sein:
- 1. Schutz: Verhindern von Infektionen
- 2. Begrenzung: Begrenzung der Ausbreitung von Infektionen
- 3. Wiederherstellung: Minimierung von Schäden
Neun Maßnahmen, um gezielten Ransomware-Attacken widerstehen zu können
1. Ebene: Schutz
Die Basis einer erfolgreichen Verteidigung gegen Ransomware muss die Schutz-Ebene bilden.
Awareness Training
Die schwächte Komponente innerhalb einer IT-Organisation ist meist nicht die Technik, sondern die Menschen, die diese nutzen. Viele Ransomware-Vorfälle beginnen mit Angriffen, die man als „Social Engineering“ bezeichnet. Dabei wird versucht, einen Benutzer durch Täuschung dazu zu bringen, bewusst gegen Sicherheitsrichtlinien zu verstoßen, also z.B. einer Person ohne die nötige Legitimation, Zutritt zu einem Bereich zu ermöglichen. Solche Angriffe lassen sich nur durch Schulung und Sensibilisierung der Benutzer verhindern.
Endpoint Protection
Die Sensibilisierung von Mitarbeitern für das Thema IT-Sicherheit kann nur eine Komponente im Kampf gegen Ransomware sein. Eine weitere Komponente zur Abwehr dieser Angriffe ist der Einsatz sogenannter Endpoint-Protection-Software. Oftmals immer noch gleichgesetzt mit Antiviren-Software, leisten moderne Lösungen in diesem Bereich deutlich mehr. Neben dem Schutz vor Malware aller Art bieten diese Lösungen auch Firewall-Funktionalitäten zum Einschränken von Netzwerkzugriffen und Data Loss Prevention (DLP) Funktionen zum Schutz vor Datenlecks.
Neben unvorsichtigen Benutzern sind Fehler in Softwarepaketen ein häufiges Einfallstor für Ransomware. Verfügbare sicherheitsrelevante Aktualisierungen von Software, sogenannte Patches, müssen daher schnellstmöglich auf alle betroffenen Systeme ausgerollt werden. Studien zeigen, dass bis zu 57 Prozent der IT-Sicherheitsvorfälle auf ein schlechtes Patch-Management zurückgeführt werden können.
In einer gut geführte IT-Organisation ist die Kompromittierung von Konten mit normalen Benutzerrechten ein Problem, dass ausschließlich den betroffenen Benutzer betrifft. Deutlich größere Auswirkungen hat sie bei Konten mit privilegierten Rechten, also z. B. Administratorkonten. Die Kompromittierung eines solches Accounts lässt sich in vielen Untersuchungen von IT-Sicherheitsvorfällen als entscheidender Schritt für einen erfolgreichen Angriffidentifizieren. Privileged Access Management (PAM) ist ein Konzept zur Kontrolle und Überwachung aller privilegierten Benutzerkonten und Aktivitäten in einer IT-Umgebung.
2. Ebene: Begrenzung
Infektionen mit Ransomware vollständig verhindern zu können ist illusorisch. Einzelne Systeme werden immer wieder befallen werden. Die Verhinderung der Ausbreitung dieser Schadprogramme ist deshalb die zweite Ebene, auf der eine erfolgreiche Verteidigung basieren sollte.
Secure Network Architecture
Wurde ein System erst einmal von Ransomware befallen, dann werden andere Systeme in der Regel über das Netzwerk infiziert. Eine wichtige Maßnahme, um die Ausbreitung von Ransomware zu verhindern, ist die Implementierung einer sicheren Netzwerkinfrastruktur. Dabei sollte das Netzwerk in unterschiedliche Zonen unterteilt werden und Kommunikation zwischen diesen Zonen nur auf definierten Datenverkehr beschränkt werden.
Intrusion Detection Systems
Um die Ausbreitung von Ransomware zu verhindern sind nicht nur passive Maßnahmen, wie eine sichere Netzwerkarchitektur nützlich, sondern auch aktive, wie der Einsatz von „Intrusion Detection Systems“. Diese Systeme erkennen Angriffe sowohl auf System-, als auch auf Netzebene.
Aufklappen für Details zu Ihrer Einwilligung
Security Information and Event Management
Das Konzept des Security Information and Event Managements (SIEM) setzt an einer Schwachstelle komplexer IT-Architekturen an. Unzählige Systeme generieren Daten. Aber oft lassen sich Angriffe erst durch die Kombination von verschiedenen Ereignissen erkennen. Solche Systeme aggregieren Daten aus verschiedenen Quellen und können diese in Kontext zueinander setzten und so Angriffe erkennen.
3. Ebene: Wiederherstellung
Auch wenn ein erfolgreicher Ransomware Angriff frühzeitig gestoppt wurde, sind dennoch die Daten einzelner Nutzer oder Systeme nicht mehr verfügbar. Die Fähigkeit zur Wiederherstellung bildet deshalb die dritte Ebene.
Data Backup and Restore
Das Thema Datensicherung ist durch Ransomware noch einmal bedeutender geworden. Leider versagen einige häufig genutzte Techniken zur Datensicherung beim Schutz gegen Ransomware. Datensicherungslösungen sind oft so konzipiert, dass sie vor Datenverlust durch ein lokales Ereignis schützen sollen. Etwa einem Brand oder einer Überschwemmung. Ransomware-Angriffe sind aber nicht auf einen physischen Standort begrenzt. Alle Technologien zur Datensicherung, die Daten zwischen unterschiedlichen Standorten über permanente Verbindungen sichern, können im Fall eines Ransomware-Angriffs versagen und sollten an diese neue Bedrohung angepasst werden.
Incident Response Management
Das Incident Response Management dient dazu, IT-Sicherheits-Vorfälle professionell und routiniert bewältigen zu können. Um dies zu erreichen, müssen Vorbereitungen getroffen werden. Es müssen zum Beispiel Verantwortliche benannt, Vorgehensweisen geplant und ggf. nötiges Material bereitgestellt und alles in einen Incident-Response-Plan dokumentiert werden.
Fazit
Ransomware wird auf absehbare Zeit ein Problem bleiben. Da leider alle Strategien zur Vermeidung von erfolgreichen Angriffen und zur Verhinderung einer Ausbreitung scheitern können, ist die Verfolgung eines „Defense in depth“ Ansatzes, wie er hier beschrieben wurde, unabdingbar.
Über den Autor: Paul Arndt ist Managing Director der 2020 gegründeten Ginkgo Cybersecurity GmbH, ein auf IT-Sicherheit spezialisiertes Beratungshaus und Tochterunternehmen der Ginkgo Management GmbH. In dieser Funktion berät er Kunden unterschiedlichster Branchen national und international zu den Themen Cybersecurity. Bereits seit seinem Informatik-Studium an der Technischen Universität Darmstadt beschäftigt Arndt sich mit dem Thema IT-Sicherheit. Vor seinem Start bei Ginkgo war der gebürtige Frankfurter in unterschiedlichen Positionen für die internationale Technologieberatung Invensity GmbH tätig – zuletzt als Leiter des Bereichs Cybersicherheit und Datenschutz.