Illustration: Absmeier, Kellepics

Viele Unternehmen denken, ihre Datensicherung schütze sie gegen Ransomware. Die verlockend einfache Logik dahinter: Wenn man alle Daten wiederherstellen kann, ist man nicht erpressbar. Das ist aber zu kurz gedacht: Denn auch bei erfolgreicher Wiederherstellung nach einem Angriff können sensible Informationen wie Kundendaten oder geistiges Eigentum gestohlen worden sein.

Zudem bleibt die Angriffsgefahr bestehen: Hacker können sich weiterhin im Netzwerk befinden oder sich durch die Installation einer Hintertür erneut Zugang verschaffen. In einigen Fällen dient Ransomware Cyberkriminellen als reines Ablenkungsmanöver, um beispielsweise Spionagesoftware ins Unternehmensnetzwerk einzuschleusen. So kann der Schaden eines Ransomware-Angriffs, selbst wenn die Daten fast ohne Downtime wieder hergestellt sind, beträchtlich bis existenziell bleiben.

Die Frage ist deshalb nicht allein, welche Malware die Angreifer in einem Unternehmen platzieren, sondern, wie sie das Unternehmen infiltriert haben. Denn konnte Ransomware in das Netzwerk eindringen, existieren offensichtlich Lücken in der Abwehr. Und diese gilt es nachhaltig zu schließen.

Umfassende Strategie gegen Cyberangriffe: Produkte, Prozesse und Experten

Unternehmen, die Infiltrationen durch Angreifer verhindern wollen, benötigen die richtigen Produkte, Prozesse und Sicherheitsexperten. Im Folgenden deshalb zunächst grundlegende Best Practices, um Vorsorge zu treffen:

1. Die wichtigsten Unternehmensdaten und Assets identifizieren: Ob geistiges Eigentum, Geschäftsgeheimnisse, Anmeldeinformationen oder Kundendaten: Hierauf haben es Angreifer abgesehen. Unternehmen müssen deshalb ihre sensibelsten Daten identifizieren und genau wissen, wo sich diese befinden. Nach der Klassifikation der Daten sollten sie gekennzeichnet und mit Zugriffsbeschränkungen versehen werden. Wenn die Verantwortlichen genau wissen, welche ihrer Daten besonders wertvoll sind, können sie diese gezielt gegen Angriffe schützen.

2. Mitarbeiter gegen Social Engineering schulen: Mitarbeiter aufzuklären und zu sensibilisieren, ist eine der wichtigsten Maßnahmen für die Unternehmenssicherheit. Immer noch ist E-Mail-Phishing die häufigste Methode, um Ransomware zu verbreiten. Daher ist es wichtig, dass Mitarbeiter wissen, woran sie Phishing-Versuche erkennen können. Unternehmen müssen einfache Prozesse definieren, mit dem die Mitarbeiter diese an die Security-Verantwortlichen des Unternehmens melden können.

3. Sicherheitstechnologien: E-Mail-Sicherheitsfilter, Antiviren-Software und Firewalls tragen dazu bei, bekannte, verbreitete Malware-Stämme zu blockieren. Weiterhin sollten Unternehmen Endpoint Detection and Response (EDR)- und Advanced Threat Protection (ATP)-Lösungen einsetzen, um das Erkennen und Blockieren von Ransomware zu optimieren.

4. Betriebssysteme und Anwendungen auf dem neuesten Stand halten: Ungepatchte Betriebssysteme und Applikationen sind leichte Beute für Angreifer und ein Brückenkopf für weitere Attacken. Deshalb müssen Unternehmen darauf achten, dass ihre Betriebssysteme und Software stets mit den neuesten Updates gepatcht sind.

5. Deaktivieren von Makros: Eine Reihe von Ransomware-Stämmen wird als Microsoft Office-Anhänge versendet. Wenn ein Benutzer den Anhang öffnet, wird er aufgefordert, Makros zu aktivieren, um den Inhalt des Dokuments zu sehen. Sobald der Nutzer Makros aktiviert, wird die eigentliche Ransomware-Nutzlast heruntergeladen und ausgeführt. Deshalb müssen Makros standardmäßig deaktiviert sein, und Mitarbeiter informiert werden, dass eine Aufforderung zur Aktivierung von Makros ein Warnsignal ist.

6. Zugriffsrechte verwalten: Benutzer sollten nur über so viele Zugriffsrechte verfügen, wie sie zur Erfüllung ihrer Aufgaben benötigen. Administrative Rechte sollten so weit wie möglich eingeschränkt sein. Zudem sollte sichergestellt werden, dass administrative Benutzer alle Aktionen, die erhöhte Rechte benötigen, bestätigen müssen.

7. Netzwerke segmentieren: Netzwerk-Segmentierung sorgt für Schadensbegrenzung im Fall einer Ransomware-Infektion. Denn hierdurch wird verhindert, dass sich die Schadware im gesamten Unternehmensnetzwerk ausbreitet.

8. Penetrationstests: Penetrationstests bieten Unternehmen die Möglichkeit, Schwachstellen im System zu finden und diese zu beheben, bevor sie durch Angreifer ausgenutzt werden können. Penetrationstests sollten mindestens einmal pro Jahr durchgeführt werden. Auch wenn eine größere Änderung am Unternehmensnetzwerk vorgenommen wird, wie etwa der Wechsel des Betriebssystems oder das Hinzufügen eines neuen Servers, kann ein Penetrationstest sinnvoll sein.

9. Backup als letztes Auffangnetz: Regelmäßig durchgeführte und auf ihre Funktionsfähigkeit getestete Backups sind ein notwendiger Teil der Sicherheitsarchitektur. Sie tragen zudem dazu bei, Geschäftsabläufe verfügbar zu halten. Beim Backup empfiehlt sich die bekannte 3-2-1-Strategie: Diese empfiehlt drei Kopien der zu schützenden Daten auf zwei verschiedenen Arten von Speichermedien. Eine der Kopien befindet sich dabei offsite oder offline. Backups sind aber immer nur das letzte Auffangnetz, wenn bereits alles andere schiefgelaufen ist, und stellen allein keinesfalls eine befriedigende Sicherheitsstrategie dar.

10. Den Ernstfall üben: Unternehmen sollten einen simulierten Ransomware-Vorfall durchführen und die Wiederherstellungsprozesse üben. Dabei geht es nicht zuletzt darum zu ermitteln, wie viel Zeit die Organisation braucht, bis sie wieder voll einsatzfähig ist. Diese Übungen zeigen Verantwortlichen, worauf sie sich konzentrieren müssen, um ihre Wiederherstellungsprozesse zu verbessern. Oft vergessen: Die Vorbereitung auf den Ernstfall erfordert auch die Entwicklung einer internen und externen Kommunikationsstrategie. Wer im Notfall klar kommuniziert, wird als verlässlicher Partner und Lieferant wahrgenommen.

24/7-Sicherheitswächter stärken die Cyber-Resilienz

Beim Schutz vor Cyberattacken mangelt es heutzutage in den meisten Organisationen vor allem an Personal und Expertise. Für eine umfassende Prävention gegen solche Angriffe, inklusive Ransomware, und schnelle Reaktion sollten Unternehmen deshalb ein eigenes Cyber Defense Center oder CDC as a Service in Betracht ziehen, da sie hierdurch ihre Cyber-Resilienz massiv stärken können. Jede Minute werden Tausende von Cyberbedrohungen geschaffen. Technologie kann viele der bekannten Bedrohungen herausfiltern. Aber nur ein Cyber Defense Center mit 24/7-Service hilft Unternehmen, die riesige Anzahl von Warnungen, neuen Bedrohungen und Anomalien zu analysieren, die die technische Sicherheitsinfrastruktur identifiziert.

Ein Cyber Defense Center – auch als Security Operations Center (SOC) bekannt – verbindet IT-Sicherheitsexperten, Prozesse und Technologien. Im CDC untersuchen geschulte Experten Internetverkehr, Netzwerke, Desktops, Server, Endgeräte, Datenbanken, Anwendungen und andere IT-Systeme kontinuierlich auf Anzeichen für einen Sicherheitsvorfall. Das CDC ist als Security-Kommandozentrale eines Unternehmens damit für die kontinuierliche Überwachung, Analyse und Optimierung der Sicherheitslage verantwortlich, um Angriffe schnell zu erkennen und im Fall eines Sicherheitsverstoßes angemessene Gegenmaßnahmen einzuleiten.

Ransomware wird für Unternehmen eine der größten Sicherheitsrisiken bleiben. Eine Maßnahme allein genügt nicht, um sich zu schützen. Doch mit einem mehrschichtigen Ansatz aus kontinuierlichen Mitarbeitertrainings, robusten Prozessen, um die Geschäftskontinuität zu gewährleisten, modernen Technologien und professioneller Hilfe durch Sicherheitsexperten lassen sich die Risiken und möglichen Konsequenzen erpresserischer Attacken deutlich abschwächen.

Ali Carl Gülerman, CEO und General Manager, Radar Cyber Security