Tipps zur Abwehr von Ransomware-Attacken

Schutz kommunaler IT-Systeme vor Cyberangriffen

| Autor / Redakteur: Thomas Ehrlich* / Ira Zahorsky

Mit fünf einfach umzusetzenden Maßnahmen kann man Ransomware-Attacken einen Riegel vorschieben.
Mit fünf einfach umzusetzenden Maßnahmen kann man Ransomware-Attacken einen Riegel vorschieben. (© Rawf8 - stock.adobe.com)

Was haben das schweizerische Uster, das unterfränkische Dettelbach und die US-Großstadt Baltimore gemeinsam? Sie alle wurden in jüngster Zeit Opfer von Ransomware-Angriffen.

Dettelbach ist die erste Stadtverwaltung Deutschlands, die das geforderte Lösegeld zahlte. Und während in Uster nur einzelne Datensätze verschlüsselt wurden und innerhalb weniger Tage die Dienstleistungen wieder wie gewohnt ablaufen konnten, ist der Schaden in Baltimore noch gar nicht absehbar. Auch vier Wochen nach der Infektion funktionieren etliche Systeme noch nicht, der Schaden wird wohl über 16 Millionen Euro betragen. Öffentliche Verwaltungen sind – wie auch Unternehmen und Privatanwender – nur einen Klick von einer Ransomware-Infektion entfernt. Und es kann wirklich jeden, sei er noch so technikaffin und gut geschult, treffen, wie die Malware-Infektion des IT-Verlags Heise zeigt.

Folgende fünf Schritte sollten IT-Sicherheitsverantwortliche in Betracht ziehen, damit sie nicht zum Opfer von Erpressersoftware werden. Im Übrigen können diese Maßnahmen nicht nur vor den meist recht simpel gestrickten Ransomware-Angriffen schützen, sondern insgesamt das Sicherheitsniveau der Systeme erhöhen.

1. Stellen Sie Dateien in den Mittelpunkt Ihrer Sicherheitsstrategie!

Bei Ransomware-Angriffen werden nicht Datenbanken verschlüsselt, sondern Dateien, die in den infizierten Dateisystemen gespeichert sind. Und diese unstrukturierten Dateien finden sich nahezu überall, auf lokalen Rechnern oder auf File- und Mail-Servern. Und diese Dateien sind dynamisch: sie werden kopiert, gespeichert, geteilt. All dies führt dazu, dass die meisten Organisationen den Überblick und die Kontrolle darüber verloren haben, wo welche (auch sensiblen) Daten gespeichert sind.

Aber auch die Kontrolle darüber, wer auf diese Dateien zugreifen darf, ist nicht immer vorhanden. So hat der Datenrisiko-Report 2019 gezeigt, dass durchschnittlich 22 Prozent der gespeicherten Dateien für jeden Mitarbeiter zugänglich sind. Im Falle eines Ransomware-Angriffs bedeutet dies: Egal welches Konto infiziert wird, diese 22 Prozent der Dateien können verschlüsselt werden. Deswegen sollten die Zugriffsrechte strikt nach dem need-to-know-Prinzip gewährt (und durchgesetzt) werden. Nur wer für seine Arbeit tatsächlich Zugriff benötigt, erhält ihn auch. Allein durch diese Maßnahme werden das Potenzial und Ausmaß einer Ransomware-Attacke deutlich reduziert.

2. Setzen Sie starke Passwörter ein!

Netzwerksicherheit bedeutete einst Firewalls und Spamfilter, die für die meisten Angreifer heute ein Kinderspiel sind. Angreifer müssen nur ein Konto kompromittieren, um in einem Netzwerk Fuß zu fassen. Von dort aus können sie sich bewegen und ihre Netzwerkberechtigungen ausweiten. Wenn Mitarbeiter- oder Abteilungs-Logins monate- oder sogar jahrelang unverändert bleiben, haben Hacker die Zeit, Brute-Force-Angriffe durchzuführen, um Passwörter zu knacken und Zugriff zu erhalten. Setzen Sie Kennwortrichtlinien durch, die lange Kennwörter erfordern, da kürzere viel einfacher zu knacken sind und so das Netzwerk gefährden.

3. Entfernen Sie Konten von ehemaligen Mitarbeitern und Partnern!

Auch in Kommunen wechseln Mitarbeiter ihre Position, bekommen andere Aufgaben, Mitarbeiter scheiden aus, neue kommen hinzu. Während die Einbindung neuer Nutzer offensichtlich einfach ist, verliert man bei den Abgängen leider oftmals den Überblick. So wird in Deutschland knapp jedes vierte Nutzerkonto zwar nicht mehr benötigt, ist aber nicht deaktiviert.

Gerade diese Accounts sind für Angreifer ideal: Ihre Nutzung fällt in aller Regel nicht weiter auf. Zum einen gibt es ja keinen aktiven Nutzer, der sich über vermeintlich von ihm selbst durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit bestimmten Berechtigungen. Für Kriminelle sind sie perfekt, um sich in aller Ruhe und ohne Alarm auszulösen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Ihr Schadenspotenzial ist also dabei weit größer als durch einen „einfachen“ Ransomware-Angriff, denn je nach Zugriffsrechten können hierbei auch Daten unauffällig entwendet werden.

Zudem ist es mittels Social Engineering auch gar nicht so schwer, entsprechende Nutzer zu identifizieren. Das Augenmerk liegt hier auf Mitarbeitern, die das Unternehmen verlassen haben. Das mag ein wenig Zeit für Recherche in Anspruch nehmen, lohnt sich aus der Sicht der Kriminellen aber auf alle Fälle.

4. Orientieren Sie sich an Regelwerken!

Das NIST Cybersecurity Framework wurde ursprünglich als reproduzierbarer, konsistenter und messbarer Ansatz zum Schutz kritischer Infrastrukturen konzipiert. Es kann jedoch auch als Leitfaden für den Schutz der Daten verwendet werden. So wie das Framework IT- und Sicherheitspersonal bei der Verwaltung und Verteidigung von kritischen Systemen und Anwendungen unterstützt, kann es dieselben Teams bei der Vorbereitung auf Sicherheitsereignisse unterstützen, die auf Ihre Daten abzielen. Mit dem NIST Cybersecurity Framework als Leitfaden können Sie einen Ansatz entwickeln, der den Schutz der kritischen Informationen Ihrer Behörde in den Vordergrund stellt.

5. Achten Sie auf Ihre Sicherheitshygiene und seien Sie wachsam!

Vergessen Sie bei allen Initiativen nicht die Grundlagen der IT-Sicherheit, etwa abteilungsübergreifende System-Backups und regelmäßige Updates und Patches. Gerade diese Routine-Arbeiten werden im Alltag leider allzu oft vergessen. Zudem sollten Sie in der Lage sein, auf Warnmeldungen und ungewöhnliche Aktivitäten in Echtzeit reagieren zu können, auch außerhalb der Geschäftszeiten und an Feiertagen. Denn die Angreifer wissen, wann sie weniger wahrscheinlich erkannt werden.

Ransomware hat sicherlich nicht mehr die Aufmerksamkeit wie zu Zeiten von WannaCry und NotPetya. Aber die Gefahr ist nach wie vor akut. So sieht der 2019 Verizon Data Breach Investigations Report Krypto-Trojaner immer noch als eine der größten Bedrohungen an. Höchste Zeit also, zu handeln.

Hier können Sie den Datenrisiko-Report 2019 von Varonis kostenfrei als pdf in Englischer Sprache herunterladen.

* Der Autor, Thomas Ehrlich, ist Country Manager DACH bei Varonis Systems.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46018271 / Standards & Technologie)