Was ist RANSOMWARE und was können Sie dagegen tun? (24.04.2019)
Hier eine kurze Darstellung der Bedrohungslage und konkrete Hilfen für die Prävention und die Reaktion im Schadensfall:
Nach jetzigem BSI-Kenntnisstand ist die einzig wirksame Maßnahme zum Schutz vor vollständigem Datenverlust das Anlegen von Backups. Diese müssen regelmäßig angefertigt, stichprobenartig auf ihre Funktion geprüft und unabhängig vom IT-Netz gelagert werden. Informationen zur Datensicherung und zur Erstellung eines entsprechenden Konzepts finden Sie im BSI IT-Grundschutz Baustein CON.3 [2].
Die Notwendigkeit zur separaten Lagerung resultiert insbesondere aus der Erfahrung, dass einige Krypto-Trojaner nicht nur die lokalen Daten ihres Opfers, sondern auch diejenigen Daten verschlüsseln, auf die von dort aus zugegriffen werden kann. Mithilfe durchdachter Netz-Segmentierungen innerhalb des Unternehmens und restriktiv eingesetzter Firewalls können derartige Szenarien abgewendet werden, grundsätzlich sorgt jedoch die Speicherung auf einem externen Datenträger für die höchste Sicherheit. Anregungen zur Erstellung eines Netzkonzeptes finden Sie im BSI IT-Grundschutz Baustein NET.1.1.A3 oder auch NET.1.1.A16 [3].
Eine weiterer Faktor zur Vermeidung eines Ransomware-Ausbruchs im Unternehmensnetz ist die restriktive Vergabe von Benutzerrechten. Durch die Reduzierung von Zugriffsmöglichkeiten auf Verzeichnisebene kann die abteilungsübergreifende Verschlüsselung von Daten in einer Organisation vermieden werden. Weitere Informationen liefert der BSI IT-Grundschutz Baustein APP.2.1.A3 [4].
Um das Risiko einer Infektion mit Schadsoftware im Vorhinein zu minimieren, empfiehlt sich außerdem die regelmäßige Schulung von Mitarbeitern. Insbesondere Abteilungen, in denen häufig E-Mail-Anhänge von unbekannten Absendern geöffnet werden – z. B. in Personalabteilungen eingehende Bewerbungen – gelten als besonders exponiert. Aber auch beim Öffnen von E-Mails vermeintlich bekannter Verfasser sollte stets auf Unregelmäßigkeiten geachtet werden, schließlich könnte sich ein Angreifer z. B. Zugriff auf das Postfach des Absenders verschafft haben. Sind die Mitarbeiter in der Lage, bösartige E-Mails vor dem Öffnen zu erkennen, bedeutet dies einen signifikanten Sicherheitsgewinn für die Unternehmens-IT. Weitere Informationen finden – u. a. zur Erkennung von E-Mail-Angriffen – finden Sie in den Angeboten der Allianz für Cyber-Sicherheit.
Dieses Ziel kann auch durch die Filterung/Markierung von E-Mails mit Anhängen, z. B. ausführbaren Dateien, unterstützt werden.
Generell ist zu beachten, dass E-Mail nicht der einzige Verbreitungsweg für Ransomware ist. Auch Drive-by-Downloads und unzureichend geschützte Netzwerkkomponenten gehören zu den häufig genutzten Methoden. Aufgrund dessen gelten auch hier die gängigen Schutzmaßnahmen für IT-Systeme. Dazu zählen u. a.:
•Sichere Konfiguration der eingesetzten Betriebssysteme: Hier bietet die Allianz für Cyber-Sicherheit auf ihrer Webseite Sicherheitsempfehlungen zu Windows, Apple OS X und Linux an.
•Nutzung von Anti-Viren-Software
•Sichere Konfiguration der eingesetzten Software: z. B. durch Deaktivierung von Makros in Ofice-Produkten und Nutzung der Sandbox von pdf-Readern.
•aktuelle Patchstände der eingesetzten Soft- und Hardware: Prüfen Sie die Webseiten der Hersteller regelmäßig auf Sicherheitsaktualisierungen und spielen Sie diese zeitnah ein.
•Sichere Konfiguration von Netzwerkkomponenten, wie auch deren Fernwartungszugänge.[5]
Bei Fragen zu RANSOMWARE können Sie sich gerne jederzeit an unseren IT-Sicherheitsspezialisten Christian Grund wenden.