Endpunktsicherheit, Netzwerkisolation und Quarantäne

Strategien gegen Ransomware

| Autor / Redakteur: Mark Crosbie* / Peter Schmitz

Ransomware ist eine alltägliche Bedrohung in deutschen Unternehmen. Mangels richtiger Vorkehrungen sind die Kosten der Datenwiederherstellung oft höher als das verlangte Lösegeld.
Ransomware ist eine alltägliche Bedrohung in deutschen Unternehmen. Mangels richtiger Vorkehrungen sind die Kosten der Datenwiederherstellung oft höher als das verlangte Lösegeld. (Bild: PeteLinforth - Pixabay / CC0)

Ransomware-Attacken gehören in deutschen IT-Abteilungen mittlerweile zum Alltag. Um sie abwehren und im Ernstfall die Folgen eindämmen zu können, müssen sich Unternehmen den neuen Anforderungen stellen, sagt Mark Crosbie von Dropbox.

Teslacrypt, Locky, Padcrypt und Torrentlocker – die Angriffe durch Ransomware in Deutschland haben sich laut einem Bericht des Bundesamt für Sicherheit in der Informationstechnik (BSI) von Oktober 2015 bis Februar 2016 mehr als verzehnfacht.

Dabei verschaffen sich Hacker aus der Ferne Zugang zu den Computern und Konten unwissender Nutzer und verlangen Geld für die Rückgabe der Daten in unbeschädigtem Zustand. Die Angreifer gehen immer raffinierter vor und nehmen häufiger auch Unternehmen ins Visier.

Im Juli 2016 veröffentlichte Symantec einen Report, dem zufolge etwa 43 Prozent der Nutzer, die zwischen Januar 2015 und April 2016 Opfer von Ransomware wurden, Mitarbeiter von Unternehmen waren. Am häufigsten betroffen waren mit 31 Prozent der weltweit verzeichneten Vorfälle Unternehmen in den USA. Ebenfalls in den Top 10 vertreten waren Italien, Japan, die Niederlande, Deutschland, Großbritannien, Kanada, Belgien, Indien und Australien.

Anonymisierte Zahlungsabwicklung

In den meisten Fällen erfolgt der Angriff durch Spam-E-Mails, die Hacker an mehrere Adressen versenden. Die Empfänger sollen dazu verleitet werden, interessant erscheinende E-Mail-Anhänge zu öffnen. Diese Anhänge sind oft als Rechnungen, gescannte Dokumente oder Bestellbestätigungen getarnt. Häufig verwenden die Kriminellen bekannte Unternehmensnamen und -adressen, die damit die Wahrscheinlichkeit erhöhen von Nutzern als „echt“ erkannt und geöffnet zu werden.

Angriffe mit Ransomware verlaufen oft erfolgreich, weil sie auf die Opfer einen hohen psychologischen Druck ausüben: Die Kosten der Datenwiederherstellung wären oft höher als das verlangte Lösegeld, also willigen die Opfer in die Zahlung ein. Natürlich garantiert die Zahlung nicht, dass die Ransomware die gestohlenen Dateien tatsächlich wiederherstellt. Und auch die Verfolgung der Täter ist bislang schwierig, denn die Verbreitung von Bitcoin und Kryptowährungen macht anonyme Zahlungen möglich, deren Empfänger nur sehr schwer zurückzuverfolgen sind.

Ransomware auf dem Vormarsch

Aus dem BSI-Bericht geht auch hervor, dass die Bedrohung durch Ransomware seit September 2015 wesentlich zugenommen hat. So sind laut Cyber Threat Alliance alleine durch die Ransomware Cryptowall finanzielle Verluste in Höhe von 325 Millionen US-Dollar entstanden.

Es gibt jedoch zahlreiche weitere Varianten wie Teslacrypt, Locky, Padcrypt und Torrentlocker. Ob Unternehmen die infizierten Arbeits-Tools ihrer Mitarbeiter retten können, hängt im Wesentlichen von den Antworten auf diese Fragen ab:

  • Wie schnell wird der Angriff erkannt? Die betroffenen Nutzer wissen meist nicht sofort, was gerade geschieht, werden aber stutzig, wenn Tools nicht mehr wie gewohnt funktionieren. Oft werden Unternehmen erst auf den Angriff aufmerksam, wenn sich die IT-Support-Anfragen zum selben Problem häufen. Dann ist es jedoch schon zu spät.
  • Wie schnell können die betroffenen Geräte ermittelt werden? Dies ist oft nicht leicht, wenn das Unternehmen verschiedene Infrastrukturen nutzt. Endpunktsicherheit und Gerätequarantänen sind von unschätzbarem Wert, wenn es um das Auffinden infizierter Geräte und um deren Isolation vom Netzwerk geht.
  • Wie alt sind die vorhandenen Backups? Snapshots und Backups auf Festplatte sind oft sehr neu und daher mit relativ hoher Wahrscheinlichkeit ebenfalls infiziert. Möglicherweise schlägt die Ransomware direkt nach Abschluss eines Backups zu.
  • Ist die IT-Abteilung mit der Wiederherstellung von Daten aus Backups vertraut und kann diese schnell durchführen?

Schutz vor Ransomware

Ransomware hat nur dann die von den Angreifern gewünschte Wirkung, wenn die Unternehmensdaten tatsächlich verloren gehen können. Verfügt das Unternehmen über ein aktuelles Backup seiner Daten, ist Ransomware nicht mehr gefährlich – Schäden können durch eine einfache Wiederherstellung der Daten behoben werden.

Dabei ist jedoch entscheidend, wie oft Unternehmen Backups ihrer Daten erstellen. In der Regel sichern Backup-Lösungen die Dateien maximal einmal pro Stunde, sodass im Ernstfall die Arbeit einer Stunde verloren geht. Alternativ hierzu bietet die Synchronisierung von Unternehmensdateien in der Cloud den Vorteil, dass stets aktuelle Kopien aller Dateien vorhanden sind.

Wird die Cloud-Synchronisierung um eine Verlaufsfunktion ergänzt, können Unternehmen die Dateien zudem gezielt auf den Zeitpunkt zurücksetzen, zu dem noch keine Infektion vorhanden war. Bei Dropbox können Nutzer ihre Dateien beispielsweise anhand des Versionsverlaufs auf die letzte unverschlüsselte Version zurücksetzen.

Wichtig ist zudem die Redundanz bei der Datenspeicherung. Redundanz kann beispielsweise durch das Verschieben der Unternehmensdaten in die Cloud eines entsprechenden Anbieters erzielt werden.

Verhindern der Infektion

Endpunktsicherheit bleibt ein wichtiger Faktor, um das anfängliche Eindringen des Infektionsvektors in ein Unternehmenssystem zu verhindern. Dies ist für Unternehmen bislang oft noch problematisch: Entweder sie verfügen über keine oder nur mangelnde Endpunktsicherheit wie Antivirensoftware oder die entsprechenden Lösungen sind nicht auf dem neuesten Stand. Ebenfalls wichtig sind Informationen für Mitarbeiter zum Vermeiden von Infektionen durch Malware in E-Mails. Ransomware kann nur dann Schaden anrichten, wenn sie in die Unternehmenssysteme und das Unternehmensnetzwerk gelangt. Leider geschieht dies immer noch am häufigsten durch unbedachte Handlungen von Nutzern.

Eindämmen der Ausbreitung

Viele Unternehmen nutzen „einfache“ Netzwerke, in denen alle Systeme untereinander Verbindungen herstellen können. So kann sich Ransomware schnell von einem System zum nächsten verbreiten. Unternehmen mit dieser Art Netzwerk benötigen Virenscanner besonders dringend, damit Ransomware beim Durchqueren des Netzwerks frühzeitig erkannt und isoliert wird.

Eine Netzwerkisolation verschafft dem Unternehmen Zeit, die Ransomware zu finden und zu beseitigen, ohne massive Datenverluste zu riskieren. Unterteilte Netzwerke haben den Vorteil, dass sie durch ihre Struktur die Verbreitung der Malware ausbremsen, sodass den betroffenen Unternehmen mehr Zeit für die Reaktion bleibt.

IT-Abteilungen, insbesondere in Unternehmen mit „einfachen“ Netzwerken, sollten auf geeignete Quarantänefunktionen achten. Wenn infizierte Systeme – in der Regel Computer von Mitarbeitern – schnell offline genommen werden, können sie keine weiteren Systeme im Netzwerk infizieren.

Daten im Mittelpunkt

Ransomware zielt als einzige Malware auf Daten ab. Als Schutzmaßnahme ist daher ein datenorientierter Sicherheitsansatz gefragt. Ransomware ist nicht mehr gefährlich, wenn Dateien schnell wiederhergestellt und Schäden rückgängig gemacht werden können.

Unternehmen sollten auf kontinuierliche Backups setzen. Diese in der Regel über die Cloud bereitgestellten Lösungen sorgen für eine zuverlässige Dateisynchronisierung und bieten die Möglichkeit, Dateien auf eine bestimmte Version zurückzusetzen.

Mit zuverlässiger Endpunktsicherheit, Netzwerkisolation und der Möglichkeit, infizierte Systeme unter Quarantäne zu stellen, kann ein Unternehmen rechtzeitig auf Ransomware reagieren und den Angriff stoppen. Dann sind die Unternehmensdaten im Ernstfall schnell wieder online und die Nutzer können weiter produktiv arbeiten.

Dieser Beitrag wurde von unserem Schwesterportal Security-Insider übernommen.

* Mark Crosbie ist Head of Trust & Security EMEA bei Dropbox.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44431157 / Notfallplanung)