In den letzten Monaten haben Ransomware-Angriffe gegen Unternehmen deutlich zugenommen. Im Rahmen eines Ransomware-Angriffes gelangen Angreifer in das interne Netzwerk eines Unternehmen, verbleiben dort einige Zeit lang und ziehen Daten des Unternehmens ab. Haben die Angreifer genügend sensible Daten gesammelt, führen Sie ein Tool aus, um große Datenmengen des Unternehmens zu verschlüsseln und damit für das Unternehmen unbrauchbar zu machen. Betroffene Unternehmen finden nach einem erfolgten Ransomware-Angriff oft eine Notiz auf den Systemen, in der eine Lösegeldforderung der Angreifer zur Entschlüsselung der Daten aufgeführt ist.
Bezahlt werden soll in Bitcoin, einer Währung, die anonyme Transaktionen erlaubt. Gegen Zahlung des Lösegelds, so das Versprechen der Angreifer, erhalten die attackierten Unternehmen eine Software zum Entschlüsseln der Daten. Kommen Unternehmen der Lösegeldforderung nicht nach, bleiben aber nicht nur die Daten verschlüsselt, sondern die Angreifer drohen seit einigen Jahren zusätzlich damit, die Daten im DarkNet zu veröffentlichen. Eine umfassende Bereinigung oder sogar ein Neuaufbau des Unternehmensnetzwerkes bleibt, nachdem Fremde das interne Netzwerk betreten und ggf. Hintertüren installiert haben, den Unternehmen in keinem Fall erspart. Sollten Sie in Ihrem Unternehmen bisher nur wenig zur Abwehr von Ransomware-Angriffen unternommen haben, sollten Sie jetzt tätig werden. Bereits mit wenigen, effektiven Maßnahmen lässt sich das Risiko von Ransomware-Angriffen deutlich reduzieren.
Eine der ersten Fragestellungen, vor der Unternehmen nach einem Ransomware-Angriff stehen, ist, ob die Datensicherungen ebenfalls durch die Angreifer verschlüsselt oder sogar gelöscht wurden. Die Angreifer legen für gewöhnlich einen besonderen Fokus auf die Datensicherungen. Schaffen es die Angreifer, diese zu löschen, steigt die Bereitschaft der betroffenen Firmen deutlich, die Lösegelder zu zahlen. Sind die Datensicherungen hingegen unversehrt, kann das Unternehmen die betroffenen Systeme aus den BackUps wiederherstellen und ist somit nicht auf die Entschlüsselungsoftware der Angreifer angewiesen, um seine Geschäftsaktivitäten wieder zeitnah aufnehmen zu können.
Eine hohe Priorität sollten Sie in Ihrer Organisation daher dem Thema BackUps, insbesondere den Offline-Sicherungen, widmen. Viele Unternehmen führen heute zwar regelmäßig Datensicherungen der geschäftskritischen Applikationen und Datenbanken durch, speichern diese aber im gleichen Netzwerk wie die Systeme selbst. Sollte es ein Angreifer in das Netzwerk des Unternehmens schaffen, so ist es sehr wahrscheinlich, dass er gezielt nach den BackUps suchen wird. Sollten diese dann gut zugänglich im gleichen Netzwerk bereitstehen, wird er diese mit einer hohen Wahrscheinlichkeit verschlüsseln oder sogar vollständig löschen.
Indem Sie Ihre BackUps offline sichern, hindern Sie Angreifer vor einer Verschlüsselung oder Löschung der Sicherungen. Sorgen Sie zudem dafür, dass Sie aus dem Offline-BackUp Ihre Daten auch schnell wiederherstellen können. Es bringt Ihnen nur wenig, wenn Sie ihre Daten zwar offline, aber auf einem sehr langsamen Medium speichern. Wenn Sie die Daten wiederherstellen müssen, um Ihre kritischen Geschäftsaktivitäten wieder aufnehmen zu können, kostet Sie die notwendige Zeit für den Restore bares Geld. Eine Alternative zum Offline-BackUp kann auch die Datensicherung in einer von Ihrem Netzwerk losgelösten Cloud-Umgebung sein. Stellen Sie dabei sicher, dass die zur Verfügung stehende Bandbreite ausreicht, um die Daten schnell wiederherstellen zu können.
Um Ihre Unternehmensdaten verschlüsseln zu können, benötigen die Angreifer Zugriff auf ihr Unternehmensnetzwerk. Legen Sie daher einen starken Fokus auf die sichere Authentifizierung Ihrer Benutzer. Gerade in Zeiten von vermehrten Phishing-Attacken sind die Zugangsdaten Ihrer Benutzer einer besonders großen Gefahr ausgesetzt. Trotz einer hohen Sensibilisierung ihrer Mitarbeiter werden Sie nicht garantieren können, dass einer ihrer Mitarbeiter nicht Opfer einer Phishing-Attacke wird. Nicht zuletzt ist das auch eine Erkenntnis, die viele Unternehmen beim Durchführen von Phishing-Simulationen unter der eigenen Belegschaft erlangen.
Um der steigenden Gefahr von kompromittierten Accounts durch Abfluss der Zugangsdaten zu begegnen, sollten Sie in Ihrem Unternehmen eine Multi-Faktor-Authentifizierung (MFA) einführen. Bei einer MFA verfügen Ihre Mitarbeiter neben einem Kennwort (ein Faktor, bei dem die Mitarbeiter etwas wissen müssen) über mindestens einen zweiten Faktor, zum Beispiel einen Hardware-Token (etwas, was Ihre Mitarbeiter besitzen müssen). In besonders sicheren Umgebungen können zudem biometrische Merkmale als zweiter oder sogar dritter Faktor herangezogen werden (z.B. Fingerabdruck- oder Iris-Scan).
Sollte ein Mitarbeiter seine Zugangsdaten für seinen Account durch z.B. Phishing versehentlich einer Tätergruppe bereitstellen, benötigen diese für eine Kompromittierung den zweiten Faktor. Dieser befindet sich allerdings weiterhin bei Ihrem Mitarbeiter, zum Beispiel in Form eines Hardware-Tokens oder eines biometrischen Merkmals. Eine deutlich höhere Accountsicherheit ist die Schlussfolgerung. Allerdings darf nicht unerwähnt bleiben, dass es bereits erfolgreiche Angriffe trotz MFA gab. Hier haben die Angreifer es z.B. durch professionelle Social-Engineering-Attacken geschafft, den Mitarbeitern auch den zweiten Faktor für die Authentifizierung am System zu entlocken. Auf die Sensibilität Ihrer Mitarbeitern sind Sie dementsprechend weiterhin angewiesen.
Für den Fall, dass es die Angreifer trotz sicherer Authentifizierungsmethoden in Ihr Netzwerk schaffen, sollten Sie durch eine Netzwerksegmentierung die Schadenshöhe des Ransomware-Angriffs beschränken. Sie erreichen dies, indem Sie ihr internes Netzwerk in einzelne Netzwerksegmente unterteilen. Diese Netzwerksegmente werden durch Firewalls voneinander getrennt. Ein Ransomware-Angriff beschränkt sich im besten Fall dann lediglich auf ein Netzsegment und die darin befindlichen Systeme. Die übrigen, durch die Firewall geschützten Netzsegmente, beispielsweise für BackUps, bleiben unversehrt.
Unterteilen Sie Ihr Netzwerk anhand der Schutzbedarfe Ihrer Systeme und der Notwendigkeit von Komponenten, miteinander zu kommunizieren. Haben Sie dabei immer im Hinterkopf, dass Ihr Unternehmen im besten Fall auch dann Umsatz generieren kann, wenn Sie ein Netzsegment einer Ransomware-Attacke opfern müssen. Für Netzsegmente, in denen Sie besonders schützenswerte Systeme betreiben, sollten Sie zudem zusätzliche Sicherheitsmaßnahmen einführen. Beschränken Sie die Kommunikation der Netzsegmente untereinander auf ein absolutes Mindestmaß, indem Sie die Firewalls entsprechend restriktiv konfigurieren und keine veralteten Protokolle einsetzen.
Viele Unternehmen setzen derart viele Softwareprodukte ein, dass Sie diesen selbst kaum noch Herr werden. Das liegt nicht zuletzt daran, dass jede Software auch nach der initialen Installation und Inbetriebnahme entsprechend viel Aufmerksam in der Wartung benötigt. Ein wesentlicher Teil stellt dabei der Umgang mit Sicherheitsaktualisierungen dar, welche die Hersteller für Ihre Produkte regelmäßig bereitstellen. Ein Unternehmen, dass kein Patch Management in der IT betreibt und damit sicherstellt, dass die Sicherheitsaktualisierungen zeitnah nach der Veröffentlichung eingespielt werden, ist einer besonders großen Gefahr durch Ransomware ausgesetzt.
Gerade Sicherheitslücken, wie beispielsweise vor Kurzem in Microsofts Mailserver Exchange, machen es Angreifern besonders leicht, IT-Systeme des Unternehmens zu kompromittieren. Von kompromittierten Maschinen aus verschaffen sich die Angreifer dann Zugriff auf weitere Server im Netzwerk. Vorsorgen können Sie durch das Verankern eines Patch-Prozesses in Ihrer Organisation. Definieren Sie die prozessualen Abläufe, wie Ihre Mitarbeiter Sicherheitsaktualisierungen für Produkte zeitnah einspielen können. In der Praxis hat es sich bewährt, hierfür den Industriestandard CVSS zur Bewertung von Schwachstellen als Absprungbasis für den Prozess zu nutzen. So können Sie zum Beispiel für besonders kritische Schwachstellen einen Prozess zum Einspielen von Sicherheitsupdates etablieren, der ein beschleunigtes Einspielen ermöglicht.