Abwehrmaßnahmen für den Public Sector

Ransomware-Angriffe auf Behörden

| Redakteur: Susanne Ehneß

Tipp: Blockieren Sie unbekannte URLs.
Tipp: Blockieren Sie unbekannte URLs. (Bild: jamdesign_Fotolia.com)

Behörden und kommunale Dienstleister haben verstärkt mit Ransomware zu tun und sind dabei häufig überfordert. IT-Security-Anbieter Palo Alto Networks hat 16 Tipps zusammengetragen, die helfen sollen, Netzwerke und Endpunkte auf einen möglichen Ransomware-Angriff vorzubereiten.

„In vielen Fällen bleiben Ransomware-Angriffsversuche ohne Erfolg, da die Sensibilität der potenziellen Opfer gerade in jüngster Zeit zugenommen hat“, erklärt Josip Benkovic, Director Public Sector bei Palo Alto Networks. Dennoch werde immer wieder das von den Cyberkriminellen geforderte Lösegeld gezahlt, damit wertvolle Daten wieder entschlüsselt werden.

„Dies war in Deutschland zuletzt der Fall in der unterfränkischen Gemeinde Dettelsbach, die mit dem Erpresser-Trojaner TeslaCrypt zu tun hatte“, so Benkovic. „Weitere aktuelle Ransomware-Familien wie Locky und KeRanger haben es auch auf Behörden und ähnliche Einrichtungen abgesehen.“

Wie funktioniert Ransomware?

Viele Behörden haben ihre Mitarbeiter bereits dahingehend geschult, Phishing-eMails zu löschen. Ransomware arbeitet mit ähnlichen Social-Engineering-Techniken – und es gelingt immer wieder, dass Benutzer entsprechende Nachrichten öffnen, auf Links oder Anhänge klicken und damit bösartige Software herunterladen. Oft wird dabei die Verbindung selbst verschlüsselt.

Wenn verdächtige Links in eMails nicht entschlüsselt werden, können diese laut Palo Alto Networks von der Sicherheitssoftware nicht erkannt werden. In anderen Fällen werde die Malware auf einer legitimen, zuvor infizierten Website untergebracht und die Verbrecher warten dann, bis jemand die Website besucht.

Ransomware sei schwieriger zu erkennen und zu verhindern als andere Malware. Da die Malware sich schnell ändere, werde die Netzwerksicherheitssoftware oft getäuscht. Selbst gute Sanierungsverfahren griffen oft zu spät, um Datenbestände zu retten, da diese bereits verschlüsselt worden seien.

Es gibt jedoch eine Reihe von Sicherheitsempfehlungen, um zu vermeiden, dass es überhaupt zu einer Malware-Infektion kommt. Entsprechend rät Palo Alto Networks:

Mitarbeiter und Prozesse

  • Aktualisieren Sie Ihre bestehenden Schulungsmaßnahmen, um Mitarbeiter und Auftragnehmer über diese Bedrohungen zu unterrichten, was es zu beachten gilt und wie etwas Verdächtiges gemeldet werden sollte. Das Training sollte möglichst praxisnah sein, um die Bedrohung zu verdeutlichen und das Alarmbewusstsein der Mitarbeiter, wenn sie Phishing-Mails erhalten, zu schulen.
  • Führen Sie stündlich Backups auf kritischen Systemen und tägliche Backups für alle anderen Systeme aus. Etablieren Sie einen angemessenen Backup-Plan für Ihre gesamte Netzwerkumgebung, einschließlich der Daten auf allen Endbenutzer-Systemen.
  • Patch-Prozesse sollten so zeitnah wie möglich umgesetzt werden. Viele Exploits kompromittieren Netzwerke, weil sie es können. Behörden sind oftmals zu langsam bei den Patch-Zyklen. Optimieren Sie diese Prozesse und verkürzen Sie die Patch-Zyklen nach Möglichkeit.
  • Deaktivieren Sie Flash generell, wenn möglich.
  • Schränken Sie „gemountete“ Dateifreigaben so weit wie möglich ein. Dies ist ein oft vergessener Angriffsvektor und hat das Potenzial, den größten Schaden in einer Netzwerkumgebung zu hinterlassen.

Auf der nächsten Seite: technische Maßnahmen auf Netzwerkebene.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44080485 / Endpoint)