Prävention und Wiederherstellung

Best Practices nach einem Ransomware-Angriff

| Autor / Redakteur: Florian Malecki / Peter Schmitz

Ransomware ein extrem lukratives Geschäft für Cyberkriminelle und es gibt keine Anzeichen dafür, dass dieser Trend zurückgehen würde.
Ransomware ein extrem lukratives Geschäft für Cyberkriminelle und es gibt keine Anzeichen dafür, dass dieser Trend zurückgehen würde. (Bild: Pixabay / CC0)

Verschlüsselungs-Trojaner beziehungsweise Ransomware sind heute vielen ein Begriff und den meisten wird allein beim Gedanken daran Angst und Bange. Das BSI hatte bereits 2016 von einer zehnfach höheren Ransomware-Detektionsrate in Deutschland berichtet und unter anderem das Backup als eine der wichtigsten Schutzmaßnahmen genannt. Doch die große Angriffswelle sollte noch folgen.

Der WannaCry-Angriff im Mai 2017, der weltweit hunderttausende an Windows-Computer infizierte, rüttelte die Öffentlichkeit auf und schaffte ein neues Bewusstsein für die zerstörerischen Fähigkeiten von Ransomware. Eine große Anzahl an Computer-Nutzern und Unternehmen sahen sich mit der Aufforderung nach Lösegeldzahlungen in Bitcoins konfrontiert. Erst nach einer Zahlung sollen die verschlüsselten Daten von den Cyber-Kriminellen wieder freigeschaltet werden. Soweit die Theorie. In der Realität funktioniert das aber nicht immer ganz so leicht und so ist bei vielen Computer-Nutzern neben den Daten auch das Lösegeld einfach verschwunden.

Heute ist Ransomware ein lukratives Geschäft für Cyber-Kriminelle und es gibt keine Anzeichen dafür, dass dieser Trend abebbt. Für Unternehmen besteht deshalb ein hohes Risiko, sich irgendwann mit Lösegeldforderungen auseinandersetzen zu müssen, sofern nicht bereits geschehen.

Diverse Faktoren haben zu einem dramatischen Anstieg von erfolgreichen Ransomware-Angriffen mit Lösegeldforderungen geführt:

  • Das „Ransomware-Business“ hat sich professionalisiert. Zunehmend werden Sicherheitslücken gefunden und genutzt, um die Angriffe erfolgreicher zu gestalten.
  • Die Anonymität von Bitcoin hat die Investitionen in die Krypto-Währung vorangetrieben und sie ist ideal, um Lösegeldforderungen an die Opfer zu stellen.
  • Computer werden länger eingesetzt als je zuvor, was zur Folge hat, dass bei vielen die neuesten Sicherheits- und Betriebssystem-Updates fehlen, obwohl diese viele Angriffe abwehren könnten. IT-Experten zögern oft, ältere Computer zu patchen, da Updates die Systeme zusätzlich verlangsamen können.
  • Die meisten Ransomware-Angriffe erfolgen per E-Mail, und viele Mitarbeiter sind nicht ausreichend geschult, um einen bösartigen E-Mail-Anhang zu erkennen.

Angriffe vereiteln

Der effektivste Weg, um Lösegeldzahlungen zu vermeiden, ist die regelmäßige Sicherung der wichtigsten Daten. Denn anspruchsvolle Ransomware-Angriffe verschlüsseln sowohl Dateien als auch Wiederherstellungspunkte von Windows.

Das Sichern von kritischen Daten macht es einfach, diese wiederherzustellen. Gleichzeitig ist diese Strategie die beste Verteidigung. Für Unternehmen, die keinen Backup-Plan haben, eignet sich eine hochwertige Backup- und Restore-Lösung. Bei der Durchführung der regelmäßigen Backups müssen allerdings einige wichtige Aspekte beachtet werden:

  • Aktualisierung der gesamten Software gemäß eines regelmäßigen Wartungsplans. Wenn eine Workstation oder ein Server für eine Aktualisierung zu alt sind, sollten diese außer Betrieb genommen werden. Die wenigen Aufgaben, die ein alter Rechner noch ausführen kann, rechtfertigen nicht das Risiko, das er für alle Rechner im Netzwerk darstellt.
  • Beschränkung der Administratorkonten auf wenige Personen in der Organisation und das Erstellen von Benutzerkonten für jeden Mitarbeiter auf jeder einzelnen Arbeitsstation. Dabei dürfen Anwender nicht als Administrator an Rechner angemeldet sein, denn Ransomware ist für den Zugang zu Netzwerkbereichen entwickelt, die üblicher Weise nur über Administratorkonten zugänglich sind.
  • Überprüfen von Backups. Backups sind nur dann ein wirksamer Schutz, wenn sie auch funktionieren. Selbst wenn ein Backup ordnungsgemäß wiederhergestellt ist, enthält es oft nicht alle kritischen Dateien. Die einzige Möglichkeit, um sich zu vergewissern, ist die Überprüfung der Backups durch Testen des Datenwiederherstellungsprozesses.
  • Mitarbeiterschulungen werden bei neuen Mitarbeitern oft vergessen und auch Folgeschulungen gibt es viel zu wenige. Keinesfalls darf man davon ausgehen, dass Mitarbeiter technisch versiert genug sind, um Malware in E-Mails zu erkennen. Regelmäßiges Training braucht Zeit und Ressourcen, kann aber neben dem Backup einen wichtigen Beitrag dazu leisten, Lösegeldforderungen zu vermeiden.

Reaktion auf Angriffe

Wenn ein Unternehmen vermutet, dass eine Infizierung durch Ransomware erfolgt ist, sollten folgende Schritte durchgeführt werden:

  • Sofortige Erstellung eines Snapshots des Systems mit anschließendem Herunterfahren. Ein Snapshot sichert auch den Systemspeicher, was bei der Entschlüsselung helfen kann und weitere Informationen über den Angriff liefert. Viele Fachleute empfehlen lediglich eine Quarantäne von infizierten Computern, doch es ist sicherer, alle Geräte herunterzufahren, um die Verbreitung der Ransomware zu verhindern.
  • Blockieren des Remote Desktop Protocol (RDP) auf Netzwerkebene. Es sollten alle E-Mail-Anhänge blockiert werden, bis der Ursprung des Angriffs vollständig geklärt ist.
  • Bewerten des Schadens und des Eintrittspunkts. Hier kommt das Backup ins Spiel. Ein betroffenes Unternehmen muss möglichst nahe bis kurz vor die Infizierung des Systems in den Backup-Plan zurückkehren. Der Schlüssel, um den geregelten Geschäftsbetrieb wieder zum Laufen zu bringen, ist ein zuverlässiges Backup.

Was aber tun, wenn kein Backup existiert? Die IT-Abteilung muss den Wert der verschlüsselten Daten einschätzen und die nächsten Schritte entscheiden. Lohnt es sich, einen Sicherheits- oder Ransomware-Experten zu engagieren? Oder sollte man einfach nur das Lösegeld bezahlen und hoffen, dass die Daten wieder entschlüsselt werden? Doch Vorsicht: Diebe erhöhen oft das Lösegeld, je länger sie warten müssen. Und auch nach erfolgter Zahlung besteht natürlich keine Garantie, dass der Entschlüsselungscode zugeschickt wird, oder dass der Code funktioniert und somit die Daten wieder auftauchen. Dem „Ehrenkodex“ dieser Kriminellen zu trauen, kann sich vielfach als vergeblich herausstellen.

Lösegeldangriffe via Ransomware sind so gesehen das perfekte Verbrechen. Cyber-Kriminelle „gewinnen“ immer, selbst wenn nur eines von tausend Unternehmen beschließt, das Lösegeld zu zahlen. Dabei macht es die Anonymität für Behörden fast unmöglich, die Täter aufzuspüren. Die Kriminellen ziehen einfach weiter – immer auf der Suche nach neuen Opfern.

Eines wissen wir mit Sicherheit: Die Angriffe gehen weiter und sie werden sich weiterentwickeln, während Unternehmen lernen, sie zu bekämpfen. Daher ist der Schutz von Daten unerlässlich.

Über den Autor: Florian Malecki ist International Product Marketing Director bei StorageCraft.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45598603 / Malware)