Viele Unternehmen denken, ihre Datensicherung schütze sie gegen Ransomware. Die verlockend einfache Logik dahinter: Wenn man alle Daten wiederherstellen kann, ist man nicht erpressbar. Von Ali Carl Gülerman, CEO und General Manager, Radar Cyber Security.
Das ist aber zu kurz gedacht: Denn auch bei erfolgreicher Wiederherstellung nach einem Angriff können sensible Informationen wie Kundendaten oder geistiges Eigentum gestohlen worden sein. Zudem bleibt die Angriffsgefahr bestehen: Hacker können sich weiterhin im Netzwerk befinden oder sich durch die Installation einer Hintertür erneut Zugang verschaffen. In einigen Fällen dient Ransomware Cyberkriminellen als reines Ablenkungsmanöver, um beispielsweise Spionagesoftware ins Unternehmensnetzwerk einzuschleusen. So kann der Schaden eines Ransomware-Angriffs, selbst wenn die Daten fast ohne Downtime wieder hergestellt sind, beträchtlich bis existenziell bleiben.
Die Frage ist deshalb nicht allein, welche Malware die Angreifer in einem Unternehmen platzieren, sondern, wie sie das Unternehmen infiltriert haben. Denn konnte Ransomware in das Netzwerk eindringen, existieren offensichtlich Lücken in der Abwehr. Und diese gilt es nachhaltig zu schließen.
Umfassende Strategie gegen Cyberangriffe
Produkte, Prozesse und Experten
Unternehmen, die Infiltrationen durch Angreifer verhindern wollen, benötigen die richtigen Produkte, Prozesse und Sicherheitsexperten. Im Folgenden deshalb zunächst grundlegende Best Practices, um Vorsorge zu treffen:
1. Die wichtigsten Unternehmensdaten und Assets identifizieren
Ob geistiges Eigentum, Geschäftsgeheimnisse, Anmeldeinformationen oder Kundendaten: Hierauf haben es Angreifer abgesehen. Unternehmen müssen deshalb ihre sensibelsten Daten identifizieren und genau wissen, wo sich diese befinden. Nach der Klassifikation der Daten sollten sie gekennzeichnet und mit Zugriffsbeschränkungen versehen werden. Wenn die Verantwortlichen genau wissen, welche ihrer Daten besonders wertvoll sind, können sie diese gezielt gegen Angriffe schützen.
2. Mitarbeiter gegen Social Engineering schulen
Mitarbeiter aufzuklären und zu sensibilisieren, ist eine der wichtigsten Maßnahmen für die Unternehmenssicherheit. Immer noch ist E-Mail-Phishing die häufigste Methode, um Ransomware zu verbreiten. Daher ist es wichtig, dass Mitarbeiter wissen, woran sie Phishing-Versuche erkennen können. Unternehmen müssen einfache Prozesse definieren, mit dem die Mitarbeiter diese an die Security-Verantwortlichen des Unternehmens melden können.
3. Sicherheitstechnologien
E-Mail-Sicherheitsfilter, Antiviren-Software und Firewalls tragen dazu bei, bekannte, verbreitete Malware-Stämme zu blockieren. Weiterhin sollten Unternehmen Endpoint Detection and Response (EDR)- und Advanced Threat Protection (ATP)-Lösungen einsetzen, um das Erkennen und Blockieren von Ransomware zu optimieren.
4. Betriebssysteme und Anwendungen auf dem neuesten Stand halten
Ungepatchte Betriebssysteme und Applikationen sind leichte Beute für Angreifer und ein Brückenkopf für weitere Attacken. Deshalb müssen Unternehmen darauf achten, dass ihre Betriebssysteme und Software stets mit den neuesten Updates gepatcht sind.
5. Deaktivieren von Makros
Eine Reihe von Ransomware-Stämmen wird als Microsoft Office-Anhänge versendet. Wenn ein Benutzer den Anhang öffnet, wird er aufgefordert, Makros zu aktivieren, um den Inhalt des Dokuments zu sehen. Sobald der Nutzer Makros aktiviert, wird die eigentliche Ransomware-Nutzlast heruntergeladen und ausgeführt. Deshalb müssen Makros standardmäßig deaktiviert sein, und Mitarbeiter informiert werden, dass eine Aufforderung zur Aktivierung von Makros ein Warnsignal ist.
6. Zugriffsrechte verwalten
Benutzer sollten nur über so viele Zugriffsrechte verfügen, wie sie zur Erfüllung ihrer Aufgaben benötigen. Administrative Rechte sollten so weit wie möglich eingeschränkt sein. Zudem sollte sichergestellt werden, dass administrative Benutzer alle Aktionen, die erhöhte Rechte benötigen, bestätigen müssen.
7. Netzwerke segmentieren
Netzwerk-Segmentierung sorgt für Schadensbegrenzung im Fall einer Ransomware-Infektion. Denn hierdurch wird verhindert, dass sich die Schadware im gesamten Unternehmensnetzwerk ausbreitet.
8. Penetrationstests
Penetrationstests bieten Unternehmen die Möglichkeit, Schwachstellen im System zu finden und diese zu beheben, bevor sie durch Angreifer ausgenutzt werden können. Penetrationstests sollten mindestens einmal pro Jahr durchgeführt werden. Auch wenn eine größere Änderung am Unternehmensnetzwerk vorgenommen wird, wie etwa der Wechsel des Betriebssystems oder das Hinzufügen eines neuen Servers, kann ein Penetrationstest sinnvoll sein.
9. Backup als letztes Auffangnetz
Regelmäßig durchgeführte und auf ihre Funktionsfähigkeit getestete Backups sind ein notwendiger Teil der Sicherheitsarchitektur. Sie tragen zudem dazu bei, Geschäftsabläufe verfügbar zu halten. Beim Backup empfiehlt sich die bekannte 3-2-1-Strategie: Diese empfiehlt drei Kopien der zu schützenden Daten auf zwei verschiedenen Arten von Speichermedien. Eine der Kopien befindet sich dabei offsite oder offline. Backups sind aber immer nur das letzte Auffangnetz, wenn bereits alles andere schiefgelaufen ist, und stellen allein keinesfalls eine befriedigende Sicherheitsstrategie dar.
10. Den Ernstfall üben
Unternehmen sollten einen simulierten Ransomware-Vorfall durchführen und die Wiederherstellungsprozesse üben. Dabei geht es nicht zuletzt darum zu ermitteln, wie viel Zeit die Organisation braucht, bis sie wieder voll einsatzfähig ist. Diese Übungen zeigen Verantwortlichen, worauf sie sich konzentrieren müssen, um ihre Wiederherstellungsprozesse zu verbessern. Oft vergessen: Die Vorbereitung auf den Ernstfall erfordert auch die Entwicklung einer internen und externen Kommunikationsstrategie. Wer im Notfall klar kommuniziert, wird als verlässlicher Partner und Lieferant wahrgenommen.
24/7-Sicherheitswächter stärken die Cyber-Resilienz
Radar Cyber Security, Ali Carl Gülerman, CEO und General Manager (Bild: Radar Cyber Security).
Beim Schutz vor Cyberattacken mangelt es heutzutage in den meisten Organisationen vor allem an Personal und Expertise. Für eine umfassende Prävention gegen solche Angriffe, inklusive Ransomware, und schnelle Reaktion sollten Unternehmen deshalb ein eigenes Cyber Defense Center oder CDC as a Service in Betracht ziehen, da sie hierdurch ihre Cyber-Resilienz massiv stärken können. Jede Minute werden Tausende von Cyberbedrohungen geschaffen. Technologie kann viele der bekannten Bedrohungen herausfiltern. Aber nur ein Cyber Defense Center mit 24/7-Service hilft Unternehmen, die riesige Anzahl von Warnungen, neuen Bedrohungen und Anomalien zu analysieren, die die technische Sicherheitsinfrastruktur identifiziert.
Cyber Defense Center oder SOC
Ein Cyber Defense Center – auch als Security Operations Center (SOC) bekannt – verbindet IT-Sicherheitsexperten, Prozesse und Technologien. Im CDC untersuchen geschulte Experten Internetverkehr, Netzwerke, Desktops, Server, Endgeräte, Datenbanken, Anwendungen und andere IT-Systeme kontinuierlich auf Anzeichen für einen Sicherheitsvorfall. Das CDC ist als Security-Kommandozentrale eines Unternehmens damit für die kontinuierliche Überwachung, Analyse und Optimierung der Sicherheitslage verantwortlich, um Angriffe schnell zu erkennen und im Fall eines Sicherheitsverstoßes angemessene Gegenmaßnahmen einzuleiten.
Ransomware wird für Unternehmen eine der größten Sicherheitsrisiken bleiben. Eine Maßnahme allein genügt nicht, um sich zu schützen. Doch mit einem mehrschichtigen Ansatz aus kontinuierlichen Mitarbeitertrainings, robusten Prozessen, um die Geschäftskontinuität zu gewährleisten, modernen Technologien und professioneller Hilfe durch Sicherheitsexperten lassen sich die Risiken und möglichen Konsequenzen erpresserischer Attacken deutlich abschwächen.
Mehr bei RadarCS.com
Über Radar Cyber Security
Radar Cyber Security betreibt im Herzen Wiens eines der größten Cyber Defense Center Europas auf Basis der eigenentwickelten Cyber Detection Platform Technologie. Angetrieben von der starken Kombination aus menschlicher Expertise und Erfahrung, gepaart mit den letzten technologischen Entwicklungen aus zehn Jahren Forschungs- und Entwicklungsarbeit, vereint das Unternehmen in seinen Produkten RADAR Services und RADAR Solutions umfassende Lösungen für die Herausforderungen in Bezug auf IT- und OT-Security. Kern ist die Best-of-Breed Cyber Detection Platform, die RADAR Platform, welche mit Orchestration, Automation und Response täglich die Infrastruktur von Marktführern in allen Branchen sowie im öffentlichen Dienst überwacht. Verfolgt wird dabei ein holistischer Ansatz, der sowohl IT- als auch OT-Landschaften von Unternehmen und Behörden abdeckt. Das macht Radar Cyber Security zu einem einzigartigen Cyber Security Know-how Hub inmitten Europas.