Schutz vor Ransomware – So beugen Sie einer Infektion vor
Der Schutz Ihrer bedeutenden Dateien und Daten in der sich ständig weiterentwickelnden Ransomware-Landschaft erfordert einen ganzheitlichen Ansatz für die Cybersicherheit. Die Zahl der Ransomware-Angriffe steigt im Jahresvergleich deutlich, wobei die Vorfälle, die für Schlagzeilen sorgen, in Umfang und Ausmaß kontinuierlich zunehmen. Dabei zählt Deutschland zu den Top 5 der Länder der meisten Ransomware-Attacken. Deshalb sollten Unternehmen Ransomware Schutz 2022 zweifellos auf ihrer Agenda haben.
Längst ist Ransomware zum Geschäftsmodell geworden – die Cyberkriminellen werden immer dreister, ihre Angriffe werden immer raffinierter und die Lösegeldzahlungen immer höher. Dabei ist keine Branche davon ausgenommen. In der Zwischenzeit sind die gängigen Anti-Malware- und Anti-Ransomware-Tools in der sich dynamisch entwickelnden Bedrohungslage schlichtweg nicht mehr ausreichend zur Verteidigung. In diesem Artikel erklären wir Ihnen, was Ransomware ist, sowie die Best Practices und Arten für den Schutz vor Ransomware.
Was ist Ransomware?
Ransomware ist eine Art von Malware, die damit droht, die Daten des Opfers zu verschlüsseln und den Zugriff damit dauerhaft zu sperren, wenn kein Lösegeld gezahlt wird. Während einige einfache Formen von Ransomware das System so sperren können, dass es für eine fachkundige Person nicht allzu schwierig ist, den Schaden rückgängig zu machen, verwendet fortgeschrittenere Malware eine Technik, die als kryptovirale Erpressung bezeichnet wird. Sie verschlüsselt die Dateien des Opfers, so dass sie nicht mehr zugänglich sind, und verlangt eine Lösegeldzahlung, um sie zu entschlüsseln. In letzter Zeit wird dieser Angriff außerdem immer häufiger um die Drohung der Veröffentlichung aller Firmendaten erweitert. Bei einem professionell durchgeführten kryptoviralen Erpressungsangriff ist die Wiederherstellung der Dateien ohne den Entschlüsselungsschlüssel aufgrund der technisch darunter liegenden Kryptographie ein unlösbares Problem. Außerdem werden digitale Kryptowährungen wie Bitcoin, PaysafeCards oder andere digitale Zahlungsmittel für die Lösegelder verwendet, was die Fahndung und Verfolgung der Täter erschwert. Unabhängig der Fahndung stellt der durch Ransomware entstehende Schaden jedoch oft eine existenzbedrohende Lage für Unternehmen dar. In den USA gab es zeitweise Versicherungen, um sich gegen den durch Ransomware entstehenden Schaden absichern zu können. Diese wurden aber wieder eingestellt, da sie für die Versicherungen ein finanzielles Desaster waren. Diese Tatsache zeigt das Ausmaß der Bedrohungslage.
Was ist Ransomware-Schutz?
Der Schutz vor Ransomware bezieht sich auf die Sicherheitsvorkehrungen und bewährten Praktiken, die Unternehmen zur Abwehr von Ransomware-Angriffen einsetzen können. Ransomware ist eine Form der organisierten Cyber-Kriminalität, bei der Angreifer heimlich Software auf dem Computer eines Opfers installieren, die den Zugriff auf den Computer und die darin enthaltenen Daten blockieren kann, so dass die Benutzer erst nach Zahlung eines Lösegelds wieder Zugriff erhalten. Der Schutz vor Ransomware umfasst sowohl Lösungen zur Verhinderung von Ransomware als auch zur Abschwächung der Auswirkungen eines erfolgreichen Angriffs. Da Ransomware am häufigsten über Angriffe per E-Mail verbreitet wird, konzentrieren sich viele Lösungen zum Schutz vor Ransomware auf die Abwehr der Phishing Mails durch Awareness Schulungen (Mitarbeiter schwächstes Glied).
Im Enterprise Kontext kann Schutz primär durch sog. Immutable Backups hergestellt werden, die unveränderbare Abbilder der Server sind.
Ransomware-Schutz in Windows 10 (zukünftig Windows 11)
Windows 10 verfügt über eine eigene Antivirus-Lösung – Windows Defender, die standardmäßig aktiviert ist, wenn Sie einen neuen PC einrichten. Dies bietet einen einfachen Schutz gegen gängige Malware-Bedrohungen, die sich im Umlauf befinden. Zum nachhaltigen und umfassenden Schutz vor aktuellen Bedrohungen und Malware, reicht dieser als singuläres Sicherheitslayer und -produkt allerdings nicht aus.
Der Windows Defender oder Windows Security schützt Windows 11 auch vor Ransomware. Es ist wichtig, dass Sie wissen, wie Sie den Schutz vor Ransomware in Windows 11 aktivieren. Denn selbst wenn Sie den Malware- und Virenschutz aktivieren, können Windows 11-Verzeichnisse immer noch für Ransomware anfällig sein, wenn Sie den Zugriff nicht kontrollieren.
Um Dateien vor Ransomware in Windows 11 zu schützen, führen Sie die folgenden Schritte aus:
Öffnen Sie die Einstellungen. Wählen Sie Datenschutz und Sicherheit. Klicken Sie auf Windows-Sicherheit. Klicken Sie auf die Schaltfläche Windows-Sicherheit öffnen. Wählen Sie Viren- und Bedrohungsschutz. Klicken Sie auf Ransomware-Schutz verwalten. Aktivieren Sie den Kippschalter Überwachter Ordnerzugriff. Klicken Sie auf Geschützte Ordner. Klicken Sie auf die Schaltfläche Geschützten Ordner hinzufügen. Wählen Sie den Ordner aus.
Nachdem Sie die obigen Schritte ausgeführt haben, kontrolliert Windows 11 den Zugriff auf die im Ransomware-Schutz aufgeführten Ordner.
Es gibt auch einen eigenen Ransomware-Schutz in Windows 10, der dabei hilft Bilder, Videos, Arbeitsdokumente und andere Dateien von einer Ransomware-Infektion zu schützen. Der Ransomware-Schutz in Windows 10 muss manuell aktiviert werden.
Der Ransomware-Schutz von Windows 10 umfasst zwei Hauptkomponenten:
Überwachter Ordnerzugriff: Sie können bestimmte Ordner angeben, die überwacht werden müssen, und Änderungen an den darin enthaltenen Dateien verhindern. Dadurch wird verhindert, dass alle Programme, außer denen, die Sie zulassen, Änderungen an den Dateien in den überwachten Ordnern vornehmen. Dies schützt ihre Dateien davor, von Ransomware verschlüsselt zu werden.
Ransomware Data Recovery – synchronisiert automatisch Ihre regulären Datenordner in Ihrem Microsoft OneDrive-Konto, um die Dateien zu sichern. Ransomware-Zielpersonen, die diese Funktion aktiviert haben, können OneDrive nutzen, um alle Dateien wiederherzustellen, die von Ransomware verschlüsselt wurden.
Um den Ransomware-Schutz in Windows 10 zu aktivieren, geben Sie „Ransomware-Schutz“ in die Windows-Suchleiste ein, oder klicken Sie auf Einstellungen > Update & Sicherheit, klicken Sie auf Windows-Sicherheit öffnen, klicken Sie auf Viren- und Bedrohungsschutz, scrollen Sie dann nach unten und klicken Sie auf Ransomware-Schutz verwalten und aktivieren den Ransomware-Schutz in Windows 10.
In diesem Zusammenhang muss erwähnt werden, dass diese Funktion nur einen sehr grundlegenden Schutz bietet. Auf Grund der schnellen Weiterentwicklung und zunehmenden Aggressivität von Ransomware, ist ein professioneller Schutz, über den von Windows 10 mitgelieferten hinaus entscheidend.
Best Practices für den Ransomware Schutz
Im Rahmen der gesamtheitlichen IT-Security vermeiden Sie es, unerwartete und nicht verifizierte E-Mails zu öffnen oder auf darin eingebettete Links zu klicken, da dies den Installationsprozess der Ransomware starten kann.
Sichern Sie Ihre wichtigen Dateien unveränderbar (Immutable Backup) nach der 3-2-1-0 Backup-Regel für Backup & Recovery: Erstellen Sie drei Sicherungskopien auf zwei verschiedenen Medien, wobei sich eine der Sicherungen an einem separaten Ort befindet – Off-Site und Offline. Der langjährige Industriestandard für Backups folgt der 3-2-1 Regel. Dabei wird jedoch der im Ernstfall relevanteste Faktor außen vorgelassen – die Wiederherstellbarkeit.
Halten Sie Software wie das Betriebssystem, den Browser und Plug-ins immer auf dem neuesten Stand. Nur so können Sie sicherzustellen, dass Ihre Anwendungen aktuell sind und über die neuesten Schutzmechanismen gegen neue Sicherheitslücken verfügen. Das Ausnutzen von Zero Day Sicherheitslücken in Programmen ist eine der beliebtesten Methoden von Cyberkriminellen. Eine zentrale Patch-Verwaltung hilft Ihnen, die Software auf all Ihren Clients auf dem neuesten Stand zu halten und damit Malware so wenig Angriffsfläche wie möglich zu bieten.
Schulen Sie Ihre Mitarbeiter regelmäßig mit Security Awareness Trainings zum Sicherheitsbewusstsein: Fast die Hälfte aller Cyberangriffe nutzen Menschen vor ihren Computern als Einfallstor aus. Deshalb wird es für Unternehmen in Zukunft immer wichtiger, die Mitarbeiter für die Gefahren der Cyber-Kriminalität zu sensibilisieren und ihr Selbstbewusstsein im Umgang mit Mails zur Identifizierung von Phishing zu stärken. In speziellen Schulungen zur Sicherheitssensibilisierung lernen sie, vorsichtig zu sein, wie bösartige Mails identifiziert werden können und potenziell gefährliche Dateien und Prozesse als solche zu erkennen.
Machen Sie Services und Server nicht ohne weiteren Sicherheitsschutz übers Internet erreichbar. Der größte globale Ransomware-Angriff – WannaCry – erfolgte durch öffentlich übers Internet erreichbare Datei-Freigaben (SMB), was es Angreifern erlaubte unauthentifiziert eine Schwachstelle innerhalb des Protokolls auszunutzen und arbiträren Code auf den jeweiligen Servern auszuführen. Nutzen Sie Identity Proxies, Always-On-VPNs oder Zero Trust-Architekturen als weiteres Sicherheitslayer, um Dienste von außen erreichbar zu machen.
Härten Sie Ihren Active Directory Domain Administrator. Setzen Sie ein Passwort, das mindestens 12 Zeichen lang ist und verwenden Sie den Domain Administrator nicht zum Troubleshooting auf eventuell kompromittierten Geräten. Prüfen Sie außerdem Ihre Domain Administratoren-Gruppe auf eventuelle Fehlkonfigurationen.
Segmentieren Sie Ihr Netzwerk und Infrastruktur in logische Netzwerksegmente. Mikrosegmentierung hilft Ihnen dabei die laterale Bewegung von Angreifern zu verhindern und damit die Auswirkungen eines erfolgreichen Angriffs einzuschränken.
Sophos Intercept X schützt Endpoints (Endpoint Security) und Server mit der CryptoGuard-Technologie. Diese verhindert die unberechtigte lokale und Remote-Verschlüsselung von Dateien durch schädliche Software. Die Daten werden dann in ihrem ursprünglichen Zustand wiederhergestellt, so dass keine Ransomware erforderlich ist. Beim Einsatz von Intercept X zusammen mit der Sophos Firewall können Sie Ihre Security synchronisieren und Ihr Remote-Desktop-Protokoll sperren. So bleiben Sie vor gezielten Ransomware-Angriffen geschützt.
Welche Arten von Ransomware-Schutz gibt es?
Lösungen für den Schutz vor Ransomware umfassen:
Schulungen zum Sicherheitsbewusstsein, die den Benutzern helfen, Phishing-E-Mails besser zu erkennen und zu wissen, was zu tun ist, wenn sie auf einen Angriff stoßen.
Zuverlässige Backup-Lösungen, mit denen sich Daten nach einem erfolgreichen Angriff schnell und zuverlässig wiederherstellen lassen.
Anti-Malware- und Anti-Spam-Lösungen, die bekannte Formen von E-Mail-Angriffen wie Phishing, die häufig für Ransomware-Angriffe verwendet werden, erkennen und blockieren können.
Zwei-Faktor-Authentifizierung, die es Angreifern schwerer machen, mit gestohlenen Anmeldeinformationen auf Netzwerke zuzugreifen und Ransomware zu installieren.
Anti-Ransomware-Lösungen, die den E-Mail- und Web-Verkehr auf Anzeichen von Angriffen untersuchen, bei denen keine Malware zum Einsatz kommt, sondern die Empfänger durch Imitation und Social Engineering dazu verleitet werden, auf einen bösartigen Link zu klicken, eine schädliche Website zu besuchen oder Anmeldedaten preiszugeben, die zu einem Ransomware-Angriff führen können. Diese Dienste bieten einen starken Ransomware-Schutz gegen neue und aufkommende Arten von Angriffen.
Continuity-Lösungen, die Benutzern während und nach einem Angriff weiterhin Zugriff auf alle Unternehmens-Services wie E-Mails und Dateien gewähren und so die Auswirkungen von Ransomware auf die Produktivität minimieren.
DNS-Authentifizierungsdienste, die SPF, DKIM und DMARC verwenden, um potenzielle Fälschungen von Mail-Absendern zu erkennen, die häufig Teil von Ransomware-Angriffen sind.
Dienste zum dynamischen Scannen und Filtern von E-Mails, die Benutzer durch Simulierung in einer Sandbox daran hindern können, auf einen gefährlichen Link zu klicken oder einen schädlichen Anhang zu öffnen.
Wie schult man Mitarbeiter in Sachen Ransomware-Schutz?
Da menschliche Fehler eine der Hauptursachen für Ransomware-Angriffe sind, ist die Schulung des Sicherheitsbewusstseins ein wichtiger Bestandteil des Ransomware-Schutzes. Eine wirksame Schulung zur Sensibilisierung des Sicherheitsbewusstseins kann Mitarbeitern Wissen und bewährte Verfahren vermitteln, die ihnen helfen, das Öffnen verdächtiger E-Mails und Anhänge, das Klicken auf bösartige Links oder den Besuch zweifelhafter Websites zu vermeiden. Diese Art des Ransomware-Schutzes kann die Mitarbeiter auch dazu befähigen, zweimal nachzuprüfen, bevor sie vertrauliche Informationen weitergeben oder andere Maßnahmen ergreifen, die dem Unternehmen oder ihnen selbst schaden könnten.
Was sind die Vorteile von Ransomware-Schutz?
Ransomware-Schutzlösungen können Unternehmen dabei helfen, die verheerenden und teils unternehmensbedrohenden Auswirkungen eines Ransomware-Angriffs zu vermeiden. Abgesehen von den Daten, die unwiederbringlich verloren gehen können, kann ein erfolgreicher Ransomware-Angriff leicht zu einer tage- oder wochenlangen Unterbrechung des Geschäftsbetriebs führen, was die Produktivität erheblich beeinträchtigt und den Ruf nachhaltig schädigt. Durch die Implementierung von Best Practices und Lösungen zum Schutz vor Ransomware können Unternehmen Ransomware-Angriffe besser verhindern und gleichzeitig die Folgen erfolgreicher Angriffe minimieren.
Fazit
Der Schutz vor Ransomware ist ein wesentlicher Bestandteil der Sicherheitsmaßnahmen für kleine und große Organisationen. Bei einem Ransomware-Angriff greifen Hacker auf sensible Daten des Unternehmens zu und kompromittieren die Sicherheit eines Unternehmens nachhaltig. Dabei schränken sie den Zugriff auf Daten oder Systeme ein, indem sie die Zahlung eines Lösegelds verlangen, um die Einschränkung aufzuheben oder die Daten nicht zu veröffentlichen. Hacker starten einen Ransomware-Angriff oft per E-Mail, indem sie Benutzer dazu verleiten, auf einen schädlichen Link zu klicken oder einen bösartigen Anhang zu öffnen, der Malware auf ein Computersystem überträgt, von dem aus sie ihren Angriff dann starten.
Ein wirksamer Schutz vor Ransomware erfordert sowohl Sensibilisierung der Mitarbeiter, Technologien zur Erkennung von Ransomware als auch leistungsstarke Backup-Konzepte, die die Unveränderbarkeit der Backups sicherstellen und Archivierungslösungen. IT-Lösungen zur E-Mail-Archivierung ermöglichen im Falle eines Angriffs den Zugriff auf archivierte E-Mails.
Für Unternehmen, die einen hervorragenden Ransomware-Schutz suchen, bieten wir fachkundige Beratung und eine Komplettlösung zur Abwehr dieser wachsenden Bedrohung. Als Anbieter für IT-Services für Unternehmen helfen wir Ihnen gerne weiter. Kontaktieren Sie uns einfach!
Schützen Sie sich vor Verschlüsselungs-Ransomware
Backups wiederherstellen Selbst wenn Ihre Geräte von einem Ransomware-Angriff betroffen sind, können Sie Ihre Daten und Anwendungen von einem NAS oder externen Speicherort wiederherstellen.
Holen Sie Ihre Dateien und Ordner zurück Stellen Sie mit Snapshot Replication den Zugriff auf LUNs und gemeinsame Ordner auf dem primären NAS schnell wieder her oder übergeben Sie in Sekundenschnelle zu einem zweiten NAS. Frühere Versionen der auf Computern gespeicherten Dateien können mit dem Synology Drive Client vom NAS wiederhergestellt werden.
Holen Sie Ihr System zurück Sollte eines Ihrer Endgeräte von Ransomware befallen worden sein, können Sie mit Active Backup for Business PCs, Server und virtuelle Maschinen aus Sicherungsdaten auf Ihrem NAS zu einem früheren sauberen Zustand wiederherstellen. Ebenso kann mit Hyper Backup Ihr NAS vollständig aus einer externen Sicherung wiederhergestellt werden.
So schützen Sie Ihre Hyperscale-Umgebung vor Ransomware-Angriffen
Im Gegensatz zu herkömmlichen On-Premises-Infrastrukturen ist die Angriffsfläche von Hyperscale- und Multi-Cloud-Umgebungen deutlich größer. Dadurch wird die Sicherung von Cloud-Infrastrukturen zu einer besonderen Herausforderung. Um sich erfolgreich vor Angriffen zu schützen, müssen Unternehmen einen proaktiveren Ansatz verfolgen. Die folgenden Szenarien verdeutlichen dies:
Social Engineering
Viele Ransomware-Attacken beginnen mit einem sogenannten Social-Engineering-Angriff, indem Cyberkriminelle das Vertrauen von Endanwendern ausnutzen und sie dazu verleiten, eine Aktion auszuführen, z. B. auf einen Link zu klicken, der einen entsprechenden Prozess in Gang setzt.
Diese Methode ist gerade in Zeiten der Unsicherheit sehr beliebt. Ein Bericht von INTERPOL aus dem Jahr 2020 stellte fest, dass Cyberkriminelle die Angst der Menschen vor COVID-19 als Teil ihrer Angriffe nutzten. Aufgrund fehlender Informationen zu COVID-19 waren viele Menschen besonders anfällig für Social-Engineering-Angriffe. Dies ist jedoch nicht die einzige Art und Weise, wie Social Engineering funktioniert – Cyberkriminelle geben sich bspw. als Ihr Chef aus, der Ihnen einen Geschenkgutschein für Mitarbeiter schickt, oder als Bauunternehmer, der versucht, Ihr Klimaanlagensystem reparieren.
Und auch dann, wenn Mitarbeiter in Sachen Mal- und Ransomware geschult sind, kann es trotzdem vorkommen, dass ihr Vertrauen und ihre Gutgläubigkeit durch Social-Engineering-Attacken ausgenutzt werden oder sie eine mögliche Bedrohung nicht melden, auch wenn sie es besser wissen sollten.
Executable Ransomware
Bei Executable Ransomware, zu Deutsch „ausführbarer“ Ransomware, löst der Endanwender, der auf einen Link oder ein Dokument klickt, einen Schadcode aus, der eine Datei auf die Festplatte überträgt. Das ist das, was man normalerweise unter einem sogenannten Trojaner versteht. Ein typisches Beispiel für diese Art von Ransomware ist auch der "Fake Anti-Virus"-Trojaner. In diesem Fall werden die Endanwender benachrichtigt, dass auf ihrem Computer eine Bedrohung erkannt wurde, und aufgefordert, im Internet nach "Antivirus" zu suchen, um die Bedrohung zu beheben. Daraufhin finden sie ggf. "kostenlose" Software online, laden sie herunter und installieren diese.
Bedauerlicherweise laden sie dann aber Ransomware herunter, die sich nach der Installation automatisch aktiviert. Anschließend wird der Trojaner auf ihren Computer geladen, und zwar in der Regel an einem versteckten Ort. Von dort aus kann es ein paar Minuten oder ein paar Monate dauern, bis sich die Ransomware in ihrem Netzwerk verbreitet. Auf das Signal des Angreifers hin, wird die Ransomware ausgeführt.
Fileless Attacks
Fileless, also „dateilose“ Ransomware installiert sich in normalerweise nativen, sicheren Systemtools. Wenn der Anwender auf einen Link oder ein Dokument klickt, lädt er einen Ransomware-Code herunter. Im Gegensatz zum Trojaner ist es jedoch nicht erforderlich, die Ransomware zu installieren, damit sie sich auf das Gerät auswirken kann. Bei einem Fileless-Angriff verwendet der Schadcode eine systemeigene Skriptsprache, z. B. Makros, oder schreibt sich in den Speicher des Geräts. So kann eine fremde Tabellenkalkulation, die ein Makro verwendet, um eine Reihe von Aktionen zu replizieren, oder eine PDF-Datei, die Formatierungscode enthält, schnell gefährlich werden.
Da bei Fileless-Angriffen keine Daten auf eine Festplatte geschrieben werden müssen, sind sie in Hyperscale-Infrastrukturen immer häufiger anzutreffen. Sie verstecken sich in völlig legitimen Anwendungen wie Microsoft Word, sodass praktisch jede webbasierte Anwendung, jeder Speicherort und jede Datenbank angegriffen werden kann. Unerkannt bettet die Fileless-Malware ihren Code in eine zentrale Quelle ein, z. B. in ein Betriebssystem, auf dem ein Server läuft. Von dort aus kann sie unerkannt bleiben, bis sie einen Großteil der Daten Ihres Unternehmens verschlüsselt und exportiert.
Besonders beunruhigend ist, dass Fileless-Ransomware kaum forensische Beweise hinterlässt, da sie nichts auf einem Gerät speichert. Daher haben es Security-Analysten während des Untersuchungs- und Wiederherstellungsprozesses schwer, sie zu finden und zu entfernen.