Digitale Pandemie Maßnahmen gegen Ransomware-Attacken

Von Paul Arndt

Ransomware hat sich als digitale Pandemie zu einem ernsthaften Risiko für Unternehmen auf der ganzen Welt entwickelt. Ihr Einsatz ist inzwischen ein florierendes Geschäft, das auch durch technisch weniger versierte Cyberkriminelle betrieben wird.

Anbieter zum Thema

Jede IT-Organisation sollte sich auf Ransomware-Angriffe einstellen und vorbereiten.
Jede IT-Organisation sollte sich auf Ransomware-Angriffe einstellen und vorbereiten.
(© zephyr_p - stock.adobe.com)

Ransomware-Angriffe verursachen weltweit Kosten im zweistelligen Milliarden-Dollar-Bereich. Eine typische Attacke beginnt an einem einzigen Punkt in der IT-Infrastruktur eines Unternehmens. Hat die Ransomware sich erfolgreich auf einem ersten System aktivieren können, ist ihre zweite Aufgabe – neben der Verschlüsslung aller erreichbarer Daten – das Infizieren möglichst vieler anderer Systeme. Dazu werden oftmals bekannte Schwachstellen von verbreiteten Softwarepaketen oder Benutzerinformationen genutzt.

Verteidigungsstrategie gegen Ransomware.
Verteidigungsstrategie gegen Ransomware.
(Bild: Ginkgo Cybersecurity)

Eine erfolgreiche Verteidigungsstrategie gegen Ransomware sollte daher das Konzept „Defense in Depth“ aufgreifen und auf drei Ebenen wirksam sein:

  • 1. Schutz: Verhindern von Infektionen
  • 2. Begrenzung: Begrenzung der Ausbreitung von Infektionen
  • 3. Wiederherstellung: Minimierung von Schäden

Neun Maßnahmen, um gezielten Ransomware-Attacken widerstehen zu können

1. Ebene: Schutz

Die Basis einer erfolgreichen Verteidigung gegen Ransomware muss die Schutzebene bilden.

Awareness Training

Die schwächte Komponente innerhalb einer IT-Organisation ist meist nicht die Technik, sondern der Mensch. Viele Ransomware-Vorfälle beginnen mit Angriffen, die man als „Social Engineering“ bezeichnet. Dabei wird versucht, einen Benutzer durch Täuschung dazu zu bringen, bewusst gegen Sicherheitsrichtlinien zu verstoßen, also etwa einer Person, ohne die nötige Legitimation, Zutritt zu einem bestimmten Bereich zu ermöglichen. Solche Angriffe lassen sich nur durch Schulung und Sensibilisierung der Benutzer verhindern.

Endpoint Protection

Die Sensibilisierung von Mitarbeitern für das Thema IT-Sicherheit kann nur eine Komponente im Kampf gegen Ransomware sein. Eine weitere Komponente zur Abwehr solcher Angriffe ist der Einsatz sogenannter Endpoint-Protection-Software. Oftmals immer noch gleichgesetzt mit Antiviren-Software, leisten moderne Lösungen in diesem Bereich deutlich mehr. Neben dem Schutz vor Malware aller Art bieten diese Lösungen auch Firewall-Funktionalitäten zum Einschränken von Netzwerkzugriffen und Data Loss Prevention (DLP) Funktionen zum Schutz vor Datenlecks.

Patch Management

Neben unvorsichtigen Benutzern sind Fehler in Softwarepaketen ein häufiges Einfallstor für Ransomware. Verfügbare sicherheitsrelevante Aktualisierungen von Software, sogenannte Patches, müssen daher schnellstmöglich auf alle betroffenen Systeme ausgerollt werden. Studien zeigen, dass bis zu 57 Prozent der IT-Sicherheitsvorfälle auf ein schlechtes Patch-Management zurückgeführt werden können.

Privileged Access Management

In einer gut geführte IT-Organisation ist die Kompromittierung von Konten mit normalen Benutzerrechten ein Problem, dass ausschließlich den betroffenen Benutzer betrifft. Deutlich größere Auswirkungen hat sie bei Konten mit privilegierten Rechten, also beispielsweise Administratorkonten. Die Kompromittierung eines solches Accounts lässt sich in vielen Untersuchungen von IT-Sicherheitsvorfällen als entscheidender Schritt für einen erfolgreichen Angriff identifizieren. Privileged Access Management (PAM) ist ein Konzept zur Kontrolle und Überwachung aller privilegierten Benutzerkonten und Aktivitäten in einer IT-Umgebung.

2. Ebene: Begrenzung

Die Idee, Ransomware-Infektionen vollständig verhindern zu können, ist illusorisch. Einzelne Systeme werden immer wieder angegriffen. Die Verhinderung der Ausbreitung von Ransomware ist deshalb die zweite Ebene, auf der eine erfolgreiche Verteidigung basieren sollte.

Secure Network Architecture

Wurde ein System erst einmal von Ransomware befallen, werden andere Systeme in der Regel über das Netzwerk infiziert. Eine wichtige Maßnahme, um die Ausbreitung von Ransomware zu verhindern, ist die Implementierung einer sicheren Netzwerkinfrastruktur. Dabei sollte das Netzwerk in unterschiedliche Zonen unterteilt werden und Kommunikation zwischen diesen Zonen nur auf definierten Datenverkehr beschränkt werden.

Intrusion Detection Systems

Um die Ausbreitung von Ransomware zu verhindern, sind nicht nur passive Maßnahmen, wie eine sichere Netzwerkarchitektur nützlich, sondern auch aktive, wie der Einsatz von „Intrusion Detection Systems“. Diese Systeme erkennen Angriffe sowohl auf System-, als auch auf Netzebene.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Security Information and Event Management

Das Konzept des Security Information and Event Managements (SIEM) setzt an einer Schwachstelle komplexer IT-Architekturen an. Unzählige Systeme generieren Daten. Aber oft lassen sich Angriffe erst durch die Kombination von verschiedenen Ereignissen erkennen. Solche Systeme aggregieren Daten aus verschiedenen Quellen und können diese in Kontext zueinander setzten und so Angriffe erkennen.

3. Ebene: Wiederherstellung

Auch wenn ein erfolgreicher Ransomware Angriff frühzeitig gestoppt wurde, sind dennoch die Daten einzelner Nutzer oder Systeme nicht mehr verfügbar. Die Fähigkeit zur Wiederherstellung bildet deshalb die dritte Ebene.

Data Backup and Restore

Das Thema Datensicherung ist durch Ransomware noch einmal bedeutender geworden. Leider versagen viele der genutzten Techniken zur Datensicherung beim Schutz gegen Ransomware. Datensicherungslösungen sind oft so konzipiert, dass sie vor Datenverlust durch ein lokales Ereignis schützen sollen. Etwa einem Brand oder einer Überschwemmung. Ransomware-Angriffe sind aber nicht auf einen physischen Standort begrenzt. Alle Technologien zur Datensicherung, die Daten zwischen unterschiedlichen Standorten über permanente Verbindungen sichern, können im Fall eines Ransomware-Angriffs versagen und sollten an diese neue Bedrohung angepasst werden.

Incident Response Management

Das Incident Response Management dient dazu, IT-Sicherheits-Vorfälle professionell und routiniert bewältigen zu können. Um dies zu erreichen, müssen Vorbereitungen getroffen werden. Es müssen zum Beispiel Verantwortliche benannt, Vorgehensweisen geplant und gegebenenfalls nötiges Material bereitgestellt und alles in einem Incident-Response-Plan dokumentiert werden.

Fazit

Ransomware wird auf absehbare Zeit ein Problem bleiben. Da leider alle Strategien zur Vermeidung erfolgreicher Angriffen und zur Verhinderung einer Ausbreitung scheitern können, ist die Verfolgung eines „Defense in depth“ Ansatzes, wie er hier beschrieben wurde, unabdingbar.

Über den Autor: Paul Arndt ist Managing Director der 2020 gegründeten Ginkgo Cybersecurity GmbH, ein auf IT-Sicherheit spezialisiertes Beratungshaus und Tochterunternehmen der Ginkgo Management GmbH. In dieser Funktion berät er Kunden unterschiedlichster Branchen national und international zu den Themen Cybersecurity. Bereits seit seinem Informatik-Studium an der Technischen Universität Darmstadt beschäftigt Arndt sich mit dem Thema IT-Sicherheit. Vor seinem Start bei Ginkgo war der gebürtige Frankfurter in unterschiedlichen Positionen für die internationale Technologieberatung Invensity GmbH tätig – zuletzt als Leiter des Bereichs Cybersicherheit und Datenschutz.

(ID:47930258)