Categories: Sicherheit

Ransomware-Angriffe: So lassen sie sich vermeiden

Bis vor einigen Jahren war dieses Wort völlig unbekannt, dann begannen die Übergriffe: gefakte Polizeitrojaner, nun lahmgelegte US-Gasleitungen oder die Stadt Bitterfeld. Stets blockieren die Erpresser die Daten des Opfers und fordern für die Freischaltung Lösegeld. Die Tendenz ist dabei weiterhin steigend. Aber was können Unternehmen dagegen tun?

Abbildung 1: Ransomware hat in den letzten Jahren für große finanzielle Schäden gesorgt – doch wie lassen sich entsprechende Schäden vermeiden? Bildquelle: @ Florian Olivo / Unsplash.com

1. Pentests nutzen

Pentest in die Fachbezeichnung für Penetrationstest. Es handelt sich bei der Vorbeugung um nachgestellte Angriffe, die stets von internen oder externen Quellen aus passieren. Die Pentests sind also mit einem simulierten Elfmeterschießen vergleichbar. Sie kontrollieren Sicherheitsmechanismen und decken Angriffspunkte auf, bevor ein echter Hacker sie finden kann. Natürlich gibt es verschiedene Testverfahren, die jeweils verschiedene Angriffspunkte haben:

– Webanwendungen – der Test fokussiert sich auf die Web-Technologien wie APIs. Über die Berechtigungen ergeben sich wiederum Angriffspunkte, die im Rahmen des Tests ausgelotet werden.

– Infrastrukturen – dieser Test konzentriert sich auf die IT-Infrastrukturen eines Unternehmens. Dazu gehören Serversysteme, WLAN-Netze aber auch die Firewalls.

– Mobile Apps – viele Unternehmen arbeiten mit eigenen Apps. Diese werden in diesem Test auf Herz und Nieren geprüft.

Grundsätzlich setzten Pentests auf verschiedene Prüftechniken:

– QSSTMM – dahinter verbirgt sich die Open Source Security Testing Methodologie Manual. Es gilt als der Standard für die Prüftechnologie. Diese Technik ist frei verfügbar und listet die Sicherheitslücken aus den Bereichen Exposure, Anomaly, Weakness, Concern und Vulnarability auf.

– PTES – der Penetration Testing Execution Standard ist einer der ultimativen Standards. Der Test kann in jedem Umfeld genutzt werden, was ihn unglaublich stark macht. Der Test läuft über sieben Stadien, wobei es für jedes Stadium einen ausführlichen Bericht gibt.

– BSI – das ist der Test vom Bundesamt für Sicherheit und Informationstechnik. Schnittstellen stehen beim Penetrationstest im Vordergrund. Hinzu kommt ein Webcheck.

2. Schwachstellenscans

Hacker greifen dort an, wo sich eine Schwachstelle befindet. Das bekannteste und mittlerweile sichere Beispiel sind die Angriffe des CCC – Chaos Computer Clubs. Mittlerweile hat sich die Gruppe darauf versteift, Schwachstellen von Unternehmen, Anwendungen und Apps sichtbar zu machen, damit das Unternehmen reagieren kann, bevor Betrüger zugreifen. Doch sollte ein Unternehmen niemals auf den CCC warten, bevor es agiert:

– Regelmäßige Scans – das gesamte System sollte regelmäßig auf Schwachstellen hin überprüft werden. Mindestens nach einer Neuinstallation von Systemen oder Programmen muss der Scan erfolgen.

– Behebung – zeigt ein Scan eine Schwachstelle, so darf das Protokoll nicht beiseitegelegt, sondern die Schwachstelle muss behoben werden. In der heutigen Zeit ist das schnelle Handeln wichtig.

– Kontrolle – nach jeder Behebung ist ein weiterer Scan notwendig. Es ist immer denkbar, dass die Behebung einer Schwachstelle zu einer Problematik an anderer Stelle führt.

Die IT-Infrastruktur muss wie ein Lager, eine Produktion oder ein Labor betrachtet werden. Kein Unternehmen würde es akzeptieren, wenn Fremde durch ein offenes Fenster ins Herz des Betriebs einsteigen kann. Eine IT-Schwachstelle ist eben dieses offene Fenster. Doch während Diebe im Lager oder im Labor Unfriede stiften können, sind sie virtuell in der Lage, das ganze Unternehmen in Geiselhaft zu nehmen – oder unbemerkt sämtliche Ergebnisse und Daten abzugreifen. Welche Imageschäden Unternehmen durch abgegriffene Daten oder E-Maillisten erleiden, ist gut bekannt.

3. Back-ups von Daten anfertigen

Ein Sicherheitssystem ist so lange sicher, bis ein Hacker klüger ist und es umgehen kann. Daher ist die Vorsorge der beste Schritt. Rund um die Ransomware nehmen Betrüger Daten nicht nur in Geiselhaft, sie zerstören sie nicht selten. Wie bei einer realen Geiselnahme kann niemand sagen, ob die Geisel wieder freigegeben oder doch nur ihre Leiche übergeben wird. Daher gilt:

– Datenspeicherung – in sehr regelmäßigen Abständen müssen alle Daten sicher und extern gespeichert werden. Vor einiger Zeit war es noch Standard, dass freitags jeweils die Datenkassetten gesichert wurden. Solche Abstände sind auch heute der Mindeststandard.

– Sicherungsort – die Datensicherung darf natürlich nicht im System selbst erfolgen. Wer daheim wichtige Daten sichern möchte, der erstellt nicht einfach eine Petition auf der Festplatte, sondern sichert die Daten extern. Das muss auch im Unternehmen erfolgen.

– Abgrenzung – der sichere Speicherort sollte nie via Intranet oder andere Netzverbindungen mit dem üblichen System verbunden sein. Eine Sicherung, die offline aufbewahrt wird, bietet von außen keinen Angriffspunkt.

4. Mitarbeiterschulung

Viele Angriffe, auch im üblichen Trojanerbereich, rühren von Unwissenheit oder Unerfahrenheit her. Daher ist es sehr wichtig, dass Mitarbeiter beständig geschult werden:

– Onlinesicherheit – auf welche Attribute ist im Internet zu achten? Welche Maßnahmen sind grundsätzlich notwendig und welche dürfen niemals abgeschaltet werden? Einige Mitarbeiter gehen beispielsweise hin und stellen die Internetsecurity aus.

– Umgang mit Daten – hier stehen die E-Mails und Pop-up-Fenster im Vordergrund. Ein falscher Klick und das Unternehmen hat ein Problem. Mitarbeiter müssen geschult werden, damit sie Phishinglinks, gefährliche E-Mails und seltsame Seiten erkennen. Das bedeutet auch, dass der Umgang mit Spam-Nachrichten neu erlernt werden muss.

Ist es möglich, so sollten Mitarbeiter das Internet nur extern nutzen können. Hierfür können neue Profile auf jedem PC angelegt werden, die wiederum einzig den Zugang ins Netz erlauben. Je nach genutzter Software lassen sich auch Intranet und Internet getrennt voneinander verwenden. Zudem sollten Internetverbindungen stets mit einem VPN gesichert sein, damit gesendete Daten nicht zugeordnet werden können.

Abbildung 2: Auch Mitarbeiter sollten geschult werden, um Ransomware-Angriff besser zu erkennen und somit Schaden vom Unternehmen abzuwenden. Bildquelle: @ Michael Geiger / Unsplash.com

Fazit – der Einbruchsschutz findet online statt

Ransomware kann jeden treffen. Kaum jemand hätte es wohl für möglich gehalten, dass die Betrüger gerade Bitterfeld in Geiselhaft nehmen. Dabei ist es ein perfektes Beispiel dafür, dass jeder Betrieb in der Gefahrenzone liegt. Unternehmen sollten sich also gut vorbereiten und ihre eigenen Schwachstellen kennen und ausmerzen. Doch auch abseits der Ransomware lauern Gefahren. Wer erinnert sich noch an die ›Rechnungen‹, die Betrüger vor einigen Jahren an Privatpersonen und Unternehmen versandt haben? Die Rechnung stellten bloße Word-Dokumente dar, also nichts, was üblicherweise auf den Warnlisten steht. Die Schulung der Angestellten ist somit ebenso wichtig wie die Pentests.

Maria Jose Carrasco

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

19 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago