:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Best Practices Prävention und Wiederherstellung nach einem Ransomware-Angriff
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Verschlüsselungs-Trojaner beziehungsweise Ransomware sind heute vielen ein Begriff und den meisten wird allein beim Gedanken daran Angst und Bange. Das BSI hatte bereits 2016 von einer zehnfach höheren Ransomware-Detektionsrate in Deutschland berichtet und unter anderem das Backup als eine der wichtigsten Schutzmaßnahmen genannt. Doch die große Angriffswelle sollte noch folgen.
Der WannaCry-Angriff im Mai 2017, der weltweit hunderttausende an Windows-Computer infizierte, rüttelte die Öffentlichkeit auf und schuf ein neues Bewusstsein für die zerstörerischen Fähigkeiten von Ransomware. Eine große Anzahl an Computer-Nutzern und Unternehmen sahen sich mit der Aufforderung nach Lösegeldzahlungen in Bitcoins konfrontiert. Erst nach einer Zahlung sollen die verschlüsselten Daten von den Cyber-Kriminellen wieder freigeschaltet werden. Soweit die Theorie. In der Realität funktioniert das aber nicht immer ganz so leicht und so ist bei vielen Computer-Nutzern neben den Daten auch das Lösegeld einfach verschwunden.
Heute ist Ransomware ein lukratives Geschäft für Cyber-Kriminelle und es gibt keine Anzeichen dafür, dass dieser Trend abebbt. Für Unternehmen besteht deshalb ein hohes Risiko, sich irgendwann mit Lösegeldforderungen auseinandersetzen zu müssen, sofern nicht bereits geschehen.
Diverse Faktoren haben zu einem dramatischen Anstieg von erfolgreichen Ransomware-Angriffen mit Lösegeldforderungen geführt:
- Das „Ransomware-Business“ hat sich professionalisiert. Zunehmend werden Sicherheitslücken gefunden und genutzt, um die Angriffe erfolgreicher zu gestalten.
- Die Anonymität von Bitcoin hat die Investitionen in die Krypto-Währung vorangetrieben und sie ist ideal, um Lösegeldforderungen an die Opfer zu stellen.
- Computer werden länger eingesetzt als je zuvor, was zur Folge hat, dass bei vielen die neuesten Sicherheits- und Betriebssystem-Updates fehlen, obwohl diese viele Angriffe abwehren könnten. IT-Experten zögern oft, ältere Computer zu patchen, da Updates die Systeme zusätzlich verlangsamen können.
- Die meisten Ransomware-Angriffe erfolgen per E-Mail, und viele Mitarbeiter sind nicht ausreichend geschult, um einen bösartigen E-Mail-Anhang zu erkennen.
Angriffe vereiteln
Der effektivste Weg, um Lösegeldzahlungen zu vermeiden, ist die regelmäßige Sicherung der wichtigsten Daten. Denn anspruchsvolle Ransomware-Angriffe verschlüsseln sowohl Dateien als auch Wiederherstellungspunkte von Windows.
Das Sichern von kritischen Daten macht es einfach, diese wiederherzustellen. Gleichzeitig ist diese Strategie die beste Verteidigung. Für Unternehmen, die keinen Backup-Plan haben, eignet sich eine hochwertige Backup- und Restore-Lösung. Bei der Durchführung der regelmäßigen Backups müssen allerdings einige wichtige Aspekte beachtet werden:
- Aktualisierung der gesamten Software gemäß eines regelmäßigen Wartungsplans. Wenn eine Workstation oder ein Server für eine Aktualisierung zu alt sind, sollten diese außer Betrieb genommen werden. Die wenigen Aufgaben, die ein alter Rechner noch ausführen kann, rechtfertigen nicht das Risiko, das er für alle Rechner im Netzwerk darstellt.
- Beschränkung der Administratorkonten auf wenige Personen in der Organisation und das Erstellen von Benutzerkonten für jeden Mitarbeiter auf jeder einzelnen Arbeitsstation. Dabei dürfen Anwender nicht als Administrator an Rechner angemeldet sein, denn Ransomware ist für den Zugang zu Netzwerkbereichen entwickelt, die üblicher Weise nur über Administratorkonten zugänglich sind.
- Überprüfen von Backups. Backups sind nur dann ein wirksamer Schutz, wenn sie auch funktionieren. Selbst wenn ein Backup ordnungsgemäß wiederhergestellt ist, enthält es oft nicht alle kritischen Dateien. Die einzige Möglichkeit, um sich zu vergewissern, ist die Überprüfung der Backups durch Testen des Datenwiederherstellungsprozesses.
- Mitarbeiterschulungen werden bei neuen Mitarbeitern oft vergessen und auch Folgeschulungen gibt es viel zu wenige. Keinesfalls darf man davon ausgehen, dass Mitarbeiter technisch versiert genug sind, um Malware in E-Mails zu erkennen. Regelmäßiges Training braucht Zeit und Ressourcen, kann aber neben dem Backup einen wichtigen Beitrag dazu leisten, Lösegeldforderungen zu vermeiden.
Reaktion auf Angriffe
Wenn ein Unternehmen vermutet, dass eine Infizierung durch Ransomware erfolgt ist, sollten folgende Schritte durchgeführt werden:
- Sofortige Erstellung eines Snapshots des Systems mit anschließendem Herunterfahren. Ein Snapshot sichert auch den Systemspeicher, was bei der Entschlüsselung helfen kann und weitere Informationen über den Angriff liefert. Viele Fachleute empfehlen lediglich eine Quarantäne von infizierten Computern, doch es ist sicherer, alle Geräte herunterzufahren, um die Verbreitung der Ransomware zu verhindern.
- Blockieren des Remote Desktop Protocol (RDP) auf Netzwerkebene. Es sollten alle E-Mail-Anhänge blockiert werden, bis der Ursprung des Angriffs vollständig geklärt ist.
- Bewerten des Schadens und des Eintrittspunkts. Hier kommt das Backup ins Spiel. Ein betroffenes Unternehmen muss möglichst nahe bis kurz vor die Infizierung des Systems in den Backup-Plan zurückkehren. Der Schlüssel, um den geregelten Geschäftsbetrieb wieder zum Laufen zu bringen, ist ein zuverlässiges Backup.
Was aber tun, wenn kein Backup existiert? Die IT-Abteilung muss den Wert der verschlüsselten Daten einschätzen und die nächsten Schritte entscheiden. Lohnt es sich, einen Sicherheits- oder Ransomware-Experten zu engagieren? Oder sollte man einfach nur das Lösegeld bezahlen und hoffen, dass die Daten wieder entschlüsselt werden? Doch Vorsicht: Diebe erhöhen oft das Lösegeld, je länger sie warten müssen. Und auch nach erfolgter Zahlung besteht natürlich keine Garantie, dass der Entschlüsselungscode zugeschickt wird, oder dass der Code funktioniert und somit die Daten wieder auftauchen. Dem „Ehrenkodex“ dieser Kriminellen zu trauen, kann sich vielfach als vergeblich herausstellen.
Lösegeldangriffe via Ransomware sind so gesehen das perfekte Verbrechen. Cyber-Kriminelle „gewinnen“ immer, selbst wenn nur eines von tausend Unternehmen beschließt, das Lösegeld zu zahlen. Dabei macht es die Anonymität für Behörden fast unmöglich, die Täter aufzuspüren. Die Kriminellen ziehen einfach weiter – immer auf der Suche nach neuen Opfern.
Eines wissen wir mit Sicherheit: Die Angriffe gehen weiter und sie werden sich weiterentwickeln, während Unternehmen lernen, sie zu bekämpfen. Daher ist der Schutz von Daten unerlässlich.
Über den Autor: Florian Malecki ist International Product Marketing Director bei StorageCraft (Arcserve).
(ID:48733397)
:quality(80)/p7i.vogel.de/wcms/7b/16/7b16a005383b5f4bb0df5eee0f26264f/0104873857.jpeg "Sind Cyber-Versicherungen verantwortlich für einen Kreislauf, der dazu führt, dass die Anzahl der Ransomware-Attacken immer weiter zunimmt? (Bild: Inna - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")