Was ist RANSOMWARE und was können Sie dagegen tun? (24.04.2019)

Hier eine kurze Darstellung der Bedrohungslage und konkrete Hilfen für die Prävention und die Reaktion im Schadensfall:

Nach jetzigem BSI-Kenntnisstand ist die einzig wirksame Maßnahme zum Schutz vor vollständigem Datenverlust das Anlegen von Backups. Diese müssen regelmäßig ange­fertigt, stichprobenartig auf ihre Funktion geprüft und unabhängig vom IT-Netz gelagert werden. Informationen zur Datensicherung und zur Erstellung eines entsprechenden Konzepts finden Sie im BSI IT-Grundschutz Baustein CON.3 [2].

Die Notwendigkeit zur separaten Lagerung resultiert insbesondere aus der Erfahrung, dass ei­nige Krypto-Trojaner nicht nur die lokalen Daten ihres Opfers, sondern auch diejenigen Daten verschlüsseln, auf die von dort aus zugegriffen werden kann. Mithilfe durchdachter Netz-Seg­mentierungen innerhalb des Unternehmens und restriktiv eingesetzter Firewalls können der­artige Szenarien abgewendet werden, grundsätzlich sorgt jedoch die Speicherung auf einem externen Datenträger für die höchste Sicherheit. Anregungen zur Erstellung eines Netzkonzep­tes finden Sie im BSI IT-Grundschutz Baustein NET.1.1.A3 oder auch NET.1.1.A16 [3].

Eine weiterer Faktor zur Vermeidung eines Ransomware-Ausbruchs im Unternehmensnetz ist die restriktive Vergabe von Benutzerrechten. Durch die Reduzierung von Zugriffsmöglichkei­ten auf Verzeichnisebene kann die abteilungsübergreifende Verschlüsselung von Daten in ei­ner Organisation vermieden werden. Weitere Informationen liefert der BSI IT-Grundschutz Baustein APP.2.1.A3 [4].

Um das Risiko einer Infektion mit Schadsoftware im Vorhinein zu minimieren, empfiehlt sich außerdem die regelmäßige Schulung von Mitarbeitern. Insbesondere Abteilungen, in denen häufig E-Mail-Anhänge von unbekannten Absendern geöffnet werden – z. B. in Personalabtei­lungen eingehende Bewerbungen – gelten als besonders exponiert. Aber auch beim Öffnen von E-Mails vermeintlich bekannter Verfasser sollte stets auf Unregelmäßigkeiten geachtet werden, schließlich könnte sich ein Angreifer z. B. Zugriff auf das Postfach des Absenders ver­schafft haben. Sind die Mitarbeiter in der Lage, bösartige E-Mails vor dem Öffnen zu erkennen, bedeutet dies einen signifikanten Sicherheitsgewinn für die Unternehmens-IT. Weitere Infor­mationen finden – u. a. zur Erkennung von E-Mail-Angriffen – finden Sie in den Angeboten der Allianz für Cyber-Sicherheit.

Dieses Ziel kann auch durch die Filterung/Markierung von E-Mails mit Anhängen, z. B. aus­führbaren Dateien, unterstützt werden.

Generell ist zu beachten, dass E-Mail nicht der einzige Verbreitungsweg für Ransomware ist. Auch Drive-by-Downloads und unzureichend geschützte Netzwerkkomponenten gehören zu den häufig genutzten Methoden. Aufgrund dessen gelten auch hier die gängigen Schutzmaß­nahmen für IT-Systeme. Dazu zählen u. a.:

•Sichere Konfiguration der eingesetzten Betriebssysteme: Hier bietet die Allianz für Cyber-Sicherheit auf ihrer Webseite Sicherheitsempfehlungen zu Windows, Apple OS X und Linux an.

•Nutzung von Anti-Viren-Software

•Sichere Konfiguration der eingesetzten Software: z. B. durch Deaktivierung von Makros in Ofice-Produkten und Nutzung der Sandbox von pdf-Readern.

•aktuelle Patchstände der eingesetzten Soft- und Hardware: Prüfen Sie die Webseiten der Hersteller regelmäßig auf Sicherheitsaktualisierungen und spielen Sie diese zeitnah ein.

•Sichere Konfiguration von Netzwerkkomponenten, wie auch deren Fernwartungszugänge.[5]

Bei Fragen zu RANSOMWARE können Sie sich gerne jederzeit an unseren IT-Sicherheitsspezialisten Christian Grund wenden.