Datenschutz und IT-Sicherheit in Zeiten von Homeoffice und Remote Desktops Ransomware in drei Schritten bekämpfen

Anbieter zum Thema

Arvato Systems

Cohesity GmbH

Keeper Security EMEA Ltd.

Homeoffice und mobile Arbeit waren schon vor dem Coronavirus ein wichtiges Thema. Heute jedoch erleben Technologien wie SaaS-Suiten, Videokonferenztools und Remote Desktops eine neue Hochzeit – mit einigen negativen Nebenwirkungen, vor allem, wenn es um die IT-Sicherheit geht.

Kaum eine Bedrohung erhält derzeit so viel Aufmerksamkeit wie Ransomware: Mit der steigenden Raffinesse der Ransomware-Technologie und der zunehmenden Angriffsfläche vieler Unternehmen nehmen sowohl Attacken wie auch die Höhe der Lösegelder zu. Ende 2019 verlangten Erpresser im Schnitt 190.000 US-Dollar für die Freigabe von Unternehmensdaten – doch auch Fälle im Millionenbereich sind keine Seltenheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sprach zuletzt von einem Schaden von 40 Millionen Euro bei einem einzigen Unternehmen.

Was tun, wenn es doch passiert?

Die Zahl der Ransomware-Angriffe nimmt stetig weiter zu. Laut der Veeam Ransomware-Kundenumfrage 2020 sind die wichtigsten Infektionsquellen für Ransomware Spam-E-Mails (60 Prozent im Jahr 2020 gegenüber 48 Prozent im Jahr 2018), und zwar meist ausgehend von einem oder mehreren Endgeräten (weltweit 57 Prozent). Dennoch sehen laut dem Veeam Data Protection Trends Report 2020 nur 32 Prozent der DACH-Unternehmen Cyberkriminalität als das höchste Risiko für ihre IT an obwohl Unternehmen weiterhin zunehmend auf hybride Arbeitsmodelle setzen. Beide Faktoren sorgen für zusätzliche Einfallstore für Angreifer und eine zunehmend belastete IT-Abteilung.

Ransomware lässt sich wirksam bekämpfen – mit der richtigen Strategie. Zunächst ist es jedoch wichtig, das Risiko zu erkennen und anzuerkennen, dass auch das eigene Unternehmen betroffen sein kann. Kriminelle suchen nach Schwachstellen und greifen Behörden ebenso an wie Krankenhäuser, SaaS-Dienstleister ebenso wie kleine und mittlere Unternehmen. Der folgende Dreischritt hilft, sich gegen die Angreifer effektiv zu wehren.

Schritt 1: Wappnen

Der erste Schritt zur Resilienz besteht darin, den Gegner und seine Methoden zu kennen. Ransomware-Attacken nutzen im Regelfall einen oder mehrere Angriffsvektoren: Remote Desktop Protocol (RDP) oder andere Remote-Zugangsmethoden; Phishing-Attacken und Social Engineering; sowie Schwachstellen im System selbst, die nicht rechtzeitig geschlossen wurden.

Für alle drei Angriffsvektoren gibt es bereits Best Practices: RDP-Server lassen sich mit Backup-Komponenten isolieren; Phishing-Attacken können mit einer Mischung aus Mitarbeiter-Training und Self-Assessment-Tools besser erkannt und abgewendet werden; und eine regelmäßige unternehmensweite Update-Policy sorgt dafür, dass kritische Systeme und Software immer auf dem neusten Stand sind. Dazu gehören Betriebssysteme, Cloud-Appliances, Datenbanken und Firmware.

Jede IT-Sicherheits-Strategie beinhaltet Training. Ransomware ist hier keine Ausnahme. Mitarbeiter und vor allem die verantwortlichen IT-Teams sollten rechtzeitig lernen, wie der Ernstfall abläuft, welche Tools und Verfahren zur Verfügung stehen. So sammeln die Teams Erfahrung im Rahmen des definierten Prozesses und werden den Maßnahmen im Notfall vertrauen können.

Schritt 2: Verteidigen

Das Ziel eines typischen Ransomware-Angriffs ist es, den Zugang zum System zu blockieren und Lösegeld zu fordern, um dann den Zugriff nach Bezahlung wieder freizugeben. Dieses Schema kann nur funktionieren, wenn die Angreifer entweder die Business Continuity gefährden oder wertvolle Daten stehlen. Die beste Verteidigung ist daher eine starke Backup-Infrastruktur und ein System, das die Server schützt. Ein Ansatzpunkt sind dabei Shared Accounts, die allen Nutzern Zugang zum Server ermöglichen; sie sollten auf ein Minimum reduziert werden. Stattdessen gilt es, einzelne Tasks, die für viele Nutzer relevant sind, per Multifaktorauthentifizierung zugänglich zu machen.

Backups sollten nicht nur auf den Servern selbst gespeichert werden, sondern auch auf Air-Gap-Geräten, die mit keinem Rechner oder Netzwerk verbunden sind. Diese Geräte sollten außerdem keine weiteren Schreibrechte vergeben und sogenannte „Immutable Copies“ speichern – also unveränderliche Backups, die nur abgerufen und nicht geändert werden können.

Diese beiden Ansätze gepaart mit der Veeam 3-2-1 Backup Regel sorgen für eine wirksame Verteidigung gegen Ransomware, gegen Insider sowie gegen Lösch-Unfälle. Diese Regel besagt, dass es von wichtigen Daten mindestens drei Kopien geben sollte, auf mindestens zwei verschiedenen Medien, von denen mindestens eine Kopie off-site gelagert wird.

Als eine weitere Abwehrtaktik können die Backups zudem verschlüsselt werden. Dies ist für sich allein genommen kein Allheilmittel, doch die Verschlüsselung ist eine weitere Schutzschicht, die Angreifer erst durchdringen müssen. Dies schreckt bereits viele Angreifer ab, die es auf leichte Beute abgesehen haben.

Schritt 3: Aufbauen

Wie gut die Vorbereitung auch sein mag, es ist eine Frage des „wann“ und nicht „ob“ ein Angriff stattfinden wird. Unternehmen sollten sich daher auch darauf vorbereiten, wie sie mit einem erfolgreichen Angriff umgehen. Dies beginnt bereits bei den Abläufen: Was sind die ersten Schritte, nachdem die Attacke bemerkt wurde? Wer verantwortet den Prozess im Unternehmen? Diese Fragen sollten klar beantwortet sein, damit es in der Hitze des Gefechts nicht zu Entscheidungsfehlern kommt, die sorgsam angelegte Backups am Ende angreifbar machen.

Kommunikation ist hier der zentrale Faktor. Wichtige Kontakte sollten im Vorfeld in einer Notfall-Liste zusammengefasst werden: Security, Incident Response, Identity Management. Diese Kontakte können Mitarbeiter, IT-Teams oder auch externe Ressourcen sein. Die Kontakte sollten dabei auf mehreren Kanälen erreichbar sein, da im Notfall etwa die Kommunikation über den Unternehmensserver nicht mehr funktionieren könnte. Kontaktlisten müssen offline zugänglich sein und mehrere Möglichkeiten der Kontaktaufnahme auflisten: Telefonnummer, Messenger-ID, etc.

Wenn klar ist, wer verantwortlich ist, lässt sich der Wiederaufbau geordnet durchführen. Dazu ist es essenziell, entsprechende Freigaben vorzubereiten. Dies ist umso wichtiger, als die Entscheidungen in einem Ransomware-Fall durchaus auf den Verlust der Unternehmensdaten hinauslaufen können – ein bewusster Verlust oder die Aufgabe gewisser Assets kann sich gegebenenfalls lohnen.

Wenn es dann soweit ist, den Wiederaufbau der Systeme zu starten, muss die IT sich im Klaren sein, welche Optionen ihnen zur Verfügung stehen und welche Auswirkungen diese haben. Hier ist es entscheidend, Best Practices implementiert zu haben – etwa einen Virus-Scan der Backups durchzuführen, bevor es eingespielt wird. Nach dem Einspielen der Backups bietet es sich an, eine systemweite Änderung aller Passwörter zu erzwingen, um ein Wiederauftreten der Gefahr zu minimieren.

Fazit des Autors

Unternehmen setzen heute vermehrt auf hybride Arbeitsmodelle. Technologien wie RDP und andere Remote-Access-Technologien vergrößern dabei die Angriffsfläche, was Ransomware-Angreifer gerne ausnutzen. Doch Unternehmen können sich effektiv schützen und ihre Resilienz erhöhen.

Dazu sind drei Schritte nötig: Sicherheitstraining und die möglichst weitgehende Isolation wichtiger Systeme; eine zuverlässige Backup-Infrastruktur nach der Veeam 3-2-1 Backup Regel; und klare Notfallpläne sowie IT-Teams, die den Wiederaufbau regelmäßig üben. Mit diesen drei Schritten können Unternehmen sich schon heute gegen Angriffe von morgen wappnen – und ihre Business Continuity sichern.

* Der Autor Rick Vanover ist Senior Director of Product Strategy für die Veeam Software Group.

(ID:47096046)