Schutz gegen Ransomware So vermeiden Unternehmen den IT-Super-GAU

Von Robert Drost

Ransomware-Attacken gehören heute zu den gefährlichsten Bedrohungen der IT-Infrastruktur von Unternehmen. Doch niemand ist den Angreifern schutzlos ausgeliefert. Wer sein Unternehmen effektiv schützen will, sollte auf zwei Dinge achten: Angriffe möglichst abzuwehren und die IT-Systeme so gestalten, dass auch eine erfolgreiche Attacke möglichst wenig Schaden anrichtet.

Anbieter zum Thema

Eine wirksame Strategie gegen Ransomware beginnt bei den Basics.
Eine wirksame Strategie gegen Ransomware beginnt bei den Basics.
(© pinkeyes - stock.adobe.com)

Eine E-Mail, eine Softwareschwachstelle, ein ungesicherter Remote-Zugang: Viel braucht es nicht für Cyberkriminelle, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Und plötzlich ist das Unternehmen in seiner Arbeitsfähigkeit und potenziell sogar in seiner Existenz bedroht. Denn nicht erst der Angriff auf den Elektrohandelskonzern MediaMarkt Saturn im November 2021 hat es vor Augen geführt: Eine einzige Attacke kann ein ganzes Unternehmen lahmlegen, und das im schlimmsten Fall dauerhaft. Der Grund heißt RansomwareMalware, die es Kriminellen ermöglicht, die IT-Infrastruktur von Unternehmen zu verschlüsseln und erst nach Zahlung eines Lösegelds wieder freizugeben.

Sie gehören mittlerweile zu den größten Bedrohungen der IT-Sicherheit von Unternehmen. So waren laut dem Jahresreport der CyberEdge Group 2020 weltweit mehr als zwei Drittel aller Unternehmen (69 Prozent) sowie mehr als die Hälfte der deutschen Unternehmen (61 Prozent) von solchen Angriffen betroffen. Die Folgen sind erheblich: Laut Sophos verdoppelte sich der durchschnittliche finanzielle Schaden für Unternehmen durch eine Ransomware-Attacke zwischen 2020 und 2021 auf 1,85 Millionen US-Dollar. Nur acht Prozent der betroffenen Unternehmen konnten nach solchen Angriffen alle ihre Daten wiederherstellen, im Durchschnitt konnten weniger als zwei Drittel (65 Prozent) der Daten gerettet werden.

Wer also die IT-Infrastruktur seines Unternehmens sichern will, muss daher ein Hauptaugenmerk auf die Abwehr von und die Vorbereitung auf Ransomware-Attacken richten. Entsprechende Vorkehrungen zu treffen kann für den Fortbestand von Unternehmen lebenswichtig sein. Dabei gilt es, auf zwei Dinge gleichermaßen zu achten: Zum einen muss die eigene IT-Landschaft so gesichert werden, dass Ransomware-Angriffe möglichst abgewehrt werden können. Zum zweiten geht es aber auch darum, vorbereitet zu sein, wenn das einmal nicht gelingt. Das bedeutet, die Systeme so widerstandsfähig zu gestalten, dass der Schaden so gering wie möglich ist, wenn ein Angriff doch erfolgreich sein sollte.

Angriffe abwehren: Software-Updates sind die Pflicht – es kommt aber auch auf die Kür an

Eine wirksame Strategie gegen Ransomware beginnt bei den Basics: regelmäßige und zeitnahe Softwareupdates, denn Software-Schwachstellen sind nach wie vor ein Haupteinfallstor für Malware jeder Art. Je schneller mögliche Lücken geschlossen werden, desto weniger anfällig ist die IT-Infrastruktur. Ausreichend ist das jedoch nicht, um der wachsenden Bedrohungslage zu begegnen.

Ein wesentlicher potenzieller Schwachpunkt sind Remote-Zugänge: In den meisten Unternehmen verlagert sich immer mehr Arbeit außerhalb der eigenen Räumlichkeiten. Mit der Zunahme von Homeoffice und hybriden Arbeitsmodellen gewinnen Remote-Zugänge zu Unternehmens­netzwerken an Bedeutung. Für Angreifer, die in diese Netzwerke eindringen wollen, sind sie naturgemäß von großem Interesse. Sie zu sichern ist daher ein zentrales Element jeder IT-Sicherheitsstrategie. Dies geschieht beispielsweise über die ausschließliche Nutzung von VPNs in Kombination mit einer Zwei-Faktor-Authentifizierung. Weitere Maßnahmen wie etwa ein Zugriffs-Monitoring können den Schutz weiter erhöhen.

Weiteres zentrales Einfallstor für Malware aller Art ist und bleibt auch die E-Mail. Wer E-Mail-basierte Attacken vermeiden will, sollte einem einfachen Prinzip folgen: Was das Unternehmen nicht erreicht, kann dort auch keinen Schaden anrichten. Spam- und Malware-Filter sollten daher bereits außerhalb der IT-Infrastruktur agieren. Ein Weg ist, eingehende E-Mails zunächst auf Cloud-Server umzuleiten, dort zu filtern und die als unbedenklich bestimmten erst dann ins Unternehmensnetz zuzustellen. Wichtig ist auch die Art der Filterung. Ransomware-Attacken zeichnen sich oft durch ein spezifisches Versandverhalten aus. Dieses zu überprüfen, sollte im Mittelpunkt der Filterung stehen.

Vorbereitet sein: Intakte Kommunikationswege sind im Fall einer Attacke entscheidend

So gut der Schutz auch ist: Unternehmen sollten immer darauf vorbereitet sein, dass eine Attacke doch einmal gelingt. Dabei spielt die Unternehmenskommunikation eine Schlüsselrolle. Aus zwei Gründen: Zum einen ist digitale Kommunikation – von Videokonferenzen über Team-Chats bis zu Collaboration-Plattformen – heute das Herzstück jedes Unternehmens, ohne sie ist es nicht arbeitsfähig. Intern dient sie dazu, die Zusammenarbeit zu gewährleisten, extern, um den Kontakt mit Kunden und Partnern aufrecht zu erhalten. Für den Fall eines Ransomware-Angriffs ist daher eine Failover-Lösung notwendig, auf die im Notfall alle Kommunikationsfunktionen umgeschaltet werden können.

Dies ist aber auch noch aus einem zweiten Grund wichtig: Digitale Kommunikationsmittel sind auch entscheidend, um auf die Notfallsituation reagieren zu können. So werden Kommunikationswege gebraucht, um die Notfall- und Gegenmaßnahmen zu koordinieren und zu kommunizieren. Vom Rest der Unternehmensinfrastruktur unabhängige Kommunikationskanäle müssen daher Kernbestandteil jedes Disaster-Response-Prozesses sein.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zweiter Punkt: Angreifer können nur dann das gesamte Unternehmensnetzwerk lahmlegen, wenn sie auf dieses Zugriff erlangen. Um im Fall einer geglückten Ransomware-Attacke den Schaden möglichst gering zu halten, ist es ratsam, die interne IT-Landschaft auf klar abgegrenzte Bereiche mit unterschiedlichen Zugangsdaten und unabhängiger Infrastruktur aufzuteilen. Das gilt nicht zuletzt für die unternehmensinternen Netzwerke: Eine gute Netzsegmentierung kann den Schaden begrenzen, weil ein Angriff nur die Systeme in unmittelbarer Nachbarschaft betrifft.

Schließlich gewinnen auch regelmäßige Backups bei Angriffen, die darauf abzielen, den Zugang zu den Unternehmensdaten zu blockieren, an zusätzlicher Bedeutung. Da Ransomware-Angriffe zunehmend gezielt auch nach Backup-Systemen suchen, sollte in jedem Fall stets ein aktuelles Offline-Backup zur Verfügung stehen, das nach Erstellung von der IT-Infrastruktur getrennt wird und somit für Angreifer nicht zu erreichen ist. Dabei spielt die Sicherung der Kontaktdaten von Kunden und Partnern als Arbeitsgrundlage des Unternehmens eine Schlüsselrolle. Wichtig ist auch, Prozesse vorzubereiten, die regeln, wie im Angriffsfall die gesicherten Daten zeitnah wiederhergestellt und genutzt werden können.

Über den Autor: Robert Drost ist Regional Director Central and Eastern Europe bei StarLeaf, das 2021 mit StarLeaf Standby die weltweit erste Business-Continuity-Lösung für die Unternehmenskommunikation vorgestellt hat.

(ID:48134566)