Ransomware-Angriffe sorgen längst nicht mehr für aufsehenerregende Schlagzeilen und Nachrichten über neue Opfer erscheinen tagtäglich. Daher ist es für Unternehmen wichtiger denn je, über eine durchdachte mehrstufige Strategie zum Schutz vor dieser Art von Bedrohung zu verfügen.
Einstiegspunkte für Angreifer schließen
Die meisten Ransomware-Angriffe kommen zustande, wenn Mitarbeiter im Rahmen von Social Engineering schädliche E-Mail-Anhänge öffnen, oder Angreifer sich Fernzugriff auf die Unternehmenssysteme (mittels Passwortlecks, Brute-Force-Methoden oder durch den Erwerb von Zugangsdaten über IABs) verschaffen. In einigen Fällen nutzen sie auch in Serversoftware vorhandene Schwachstellen aus. Ein Großteil der Probleme kann daher folgendermaßen behoben werden:
- Schulen Sie Mitarbeiter in Informationssicherheit und digitaler Hygiene. Wenn Mitarbeiter in der Lage sind, eine Phishing-E-Mail von einer legitimen zu unterscheiden und Passwörter sicher aufbewahren, kann das Ihre Infosec-Abteilungen erheblich entlasten.
- Führen Sie strenge Passwortrichtlinien ein, die schwache und doppelte Passwörter verbieten und die Verwendung eines Passwortmanagers erfordern.
- Wenn möglich, vermeiden Sie den Einsatz von Remote-Desktop-Diensten (wie RDP) in öffentlichen Netzwerken. Richten Sie einen erforderlichen Remote-Zugriff in Einzelfällen nur über einen sicheren VPN-Kanal ein.
- Priorisieren Sie die Installation von Updates auf allen verbundenen Geräten – vor allem Patches für kritische Software (Betriebssysteme, Browser, Office-Suiten, VPN-Clients, Serveranwendungen) und Fixes für Schwachstellen, die eine Remote Code Execution (RCE) und Rechteerweiterung ermöglichen.
Bereiten Sie Ihr Infosec-Team auf jüngste Cyberbedrohungen vor
Nicht nur die Schutztools und -technologien Ihres Infosec-Teams müssen für die heutigen Bedrohungen gerüstet sein. Auch die Experten selbst sollten Zugang zu aktuellen Informationen über die sich stetig verändernde Bedrohungslandschaft haben. Daher empfehlen wir:
- Den Einsatz aktualisierter Threat Intelligence, um Ihre Experten über die neuesten cyberkriminellen Taktiken, Techniken und Verfahren auf dem Laufenden zu halten;
- Die rechtzeitige Aktualisierung von Sicherheitslösungen, damit sie einen umfassenden Schutz vor den Bedrohungen bieten, die in Verbindung mit Ransomware am häufigsten auftreten (Remote-Access-Trojaner (RATs), Exploits, Botnet-Aktivitäten);
- Verwendung von Tools, die nicht nur Malware erkennen, sondern auch verdächtige Aktivitäten in der Infrastruktur des Unternehmens verfolgen (Extended Detection and Response-Lösungen);
- Erwägen Sie die Beauftragung externer Experten (oder die Verwendung von Managed Detection and Response-Lösungen);
- Überwachung des ausgehenden Datenverkehrs, um nicht autorisierte Verbindungen von außerhalb der Unternehmensinfrastruktur zu identifizieren;
- Striktes Monitoring der Verwendung von Skriptsprachen und Tools für Lateral Movement im Unternehmensnetzwerk;
- Informieren Sie sich über aktuelle Ransomware und stellen Sie sicher, dass Ihre Schutztechnologien auf neue Bedrohungen vorbereitet sind.
Strategieentwicklung für erfolgreiche Ransomware-Angriffe
Obwohl es möglich ist, sich ausschließlich auf Technologien zur Erkennung und Bekämpfung von Ransomware zu verlassen, ist es immer besser, einen Plan B zu haben, falls es dennoch zu einem Ransomware-Befall kommt. Beispielsweise könnte ein Insider – vor allem einer mit Administratorrechten – Ihr Sicherheitssystem deaktivieren. Wichtig ist, dass ein möglicher Vorfall Sie nicht überrascht und aus der Bahn wirft, um Ausfallzeiten aufgrund von Cybervorfällen zu vermeiden.
- Erstellen Sie regelmäßige Back-ups Ihrer Daten; vor allem, wenn es sich um geschäftskritische Daten handelt;
- Stellen Sie sicher, dass Sie in einem Notfall schnell auf die oben genannten Back-ups zugreifen können.