Ransomware ist Schadsoftware, die den Zugriff auf ein Computersystem oder die darauf gespeicherten Daten blockiert, bis das Opfer dem Angreifer einen bestimmten Geldbetrag bezahlt. 2022 gab es weltweit 493.330 Ransomware-Angriffe. Damit ist Ransomware heute eine der größten Cyberbedrohungen für Unternehmen. In diesem Leitfaden werden typische Ransomware-Angriffe und geeignete Schutzmaßnahmen beschrieben.
Wenn Ihnen Ransomware Kopfzerbrechen bereitet, sollten Sie Ihre Daten mit Veeam-Lösungen zum Schutz davor sichern.
Ransomware ist eine zunehmende Gefahr für moderne Unternehmen
Ransomware-Angriffe kommen inzwischen so häufig vor, dass die meisten Menschen zumindest eine ungefähre Vorstellung davon haben, was Ransomware ist. Sie wissen jedoch vielleicht nicht genau, wie solche Attacken ablaufen und warum sie eine ernste Gefahr darstellen. Der Report „Economic and Social Costs of Crime“ der britischen Regierung beziffert die Gesamtkosten von Cyberkriminalität allein in Großbritannien auf „mehrere Milliarden GBP“. Prognosen zufolge werden die Folgekosten insbesondere von Ransomware-Angriffen weltweit bis zum Jahr 2031 auf 265 Mrd. USD ansteigen.
Manche Opfer von Ransomware haben Glück und können ihre Daten entschlüsseln. Für zahlreiche Ransomware-Varianten gibt es jedoch keine Entschlüsselungswerkzeuge, sodass Unternehmen gezwungen sind, ihre Daten nach einem Angriff aus Backups wiederherzustellen. Haben sie keine Backups oder wurden diese ebenfalls attackiert, können die Kosten infolge von Datenverlust und der Zeitaufwand für die Wiederherstellung beträchtlich sein. Unser 2023 Ransomware Trends Report zeigt auf, wie schwerwiegend die Folgen eines Ransomware-Angriffs für Unternehmen sein können.
Strategien für den Schutz vor Ransomware
Für den Schutz vor Ransomware sind verschiedene Strategien erforderlich. Den Anfang machen dabei Best Practices für die Cybersicherheit sowie gezielte Strategien und Technologien zur Erkennung und Abwehr von potenziellen und bereits erfolgten Ransomware-Angriffen.
Mit herkömmlichen Firewalls und Virenschutzprogrammen lassen sich manche Angriffe verhindern. Auch die Schulung Ihrer Mitarbeiter, wie sie Phishing-Mails, schädliche Websites und potenziell gefährliche ausführbare Dateien erkennen können, trägt wesentlich zur Vermeidung von Angriffen bei. Moderne Tools zum Schutz vor Ransomware gehen jedoch noch einen Schritt weiter: Sie überwachen die Aktivitäten im Netzwerk und im Dateisystem, um Anzeichen für einen Angriff wie ungewöhnliche Kommunikationsmuster oder Dateizugriffe und Verschlüsselungen zu identifizieren.
Netzwerkadministratoren können verschiedene Sicherheits- und IT-Tools für den Ransomware-Schutz einsetzen. Der Schutz von Endgeräten, Angriffserkennungssysteme (Intrusion Detection System, IDS) und Systeme zur Angriffsvermeidung (Intrusion Prevention System, IPS) lassen sich mit verhaltensbasierten Analyseverfahren kombinieren, um Angriffe schnell zu erkennen und Folgeschäden zu minimieren.
Keine dieser Strategien ist für sich allein genommen ausreichend, um die unternehmensweiten IT-Systeme vor Ransomware zu schützen. Durch die Kombination von Abwehrtechniken mit passiver Überprüfung und proaktiven Schutzmaßnahmen ist es möglich, die Angriffsfläche zu verringern und die Erfolgswahrscheinlichkeit von Abwehrmaßnahmen im Falle eines Angriffs zu erhöhen.
Wichtige Elemente des Ransomware-Schutzes
Ein effektiver Ransomware-Schutz setzt einen mehrstufigen Ansatz voraus.
Netzwerksicherheit und Monitoring
Firewalls und Angriffserkennungssysteme (IDS) sind die erste Verteidigungslinie. Sie bieten Schutz vor verschiedenen Angriffsarten, nicht nur vor Ransomware. Eine Firewall überprüft eingehende und ausgehende Netzwerkaktivitäten und blockiert Verbindungen, die als unzulässig eingestuft werden.
Unerlaubte Aktivitäten können aus einem Port-Scan bestehen, bei dem ein Angreifer versucht, nach dem Zufallsprinzip eine Verbindung über einen Port herzustellen und so herauszufinden, welche Services auf einem Server ausgeführt werden. Alternativ kann es sich auch um den Versuch handeln, sich mittels Brute-Force-Angriff auf einem Server anzumelden oder einen Denial-of-Service-Angriff auf einem Server auszuführen, indem sehr viele Anfragen nacheinander an den Server gesendet werden.
Ähnlich wie Firewalls können auch Angriffserkennungssysteme schädliche Aktivitäten identifizieren. Sie ergreifen dann auf der Grundlage vordefinierter Regeln bestimmte Maßnahmen. Beispielsweise können sie die Ausführung anderer Tools auslösen oder eine Nachricht an den Systemadministrator senden, damit dieser das Problem analysieren und manuell eingreifen kann.
Der Schutz vor Ransomware ist eine Art Wettrüsten und es genügt nicht, sich ausschließlich auf statische Regeln und Virendefinitionen zu verlassen. Selbst eine heuristische Überprüfung auf Viren garantiert nicht, dass jede Schadsoftware erkannt wird. Sie müssen deshalb Echtzeit-Monitoring und Verhaltensanalysen einsetzen, um veränderte Aktivitätsmuster auf Ihren Systemen zu erkennen. Durch diese Art von Monitoring steigt die Wahrscheinlichkeit, dass verdächtige Aktivitäten aufgedeckt werden.
Mit Echtzeit-Monitoring können Sie erkennen, wenn innerhalb eines kurzen Zeitraums sehr viele Zugriffe auf oder Änderungen an Dateien erfolgen. Sie können außerdem feststellen, wenn längere Zeit nicht verwendete Dateien plötzlich geöffnet werden. Selbst wenn sich herausstellt, dass es sich bei diesen Aktivitäten nicht um Ransomware handelt, könnte ein anderes Sicherheitsproblem (z. B. eine Insider-Bedrohung) die Ursache dafür sein.
Reaktion auf Vorfälle und Wiederherstellung
Sicherheitstools sind nur ein Instrument im Kampf gegen Ransomware. Selbst wenn Sie leistungsfähige Tools implementiert haben, bleibt das Risiko einer Sicherheitsverletzung. Um im Falle eines Angriffs den Schaden möglichst gering halten zu können, benötigen Sie einen klar formulierten und effektiven Notfallplan.
Ein Ransomware-Notfallplan beinhaltet mehrere Schritte:
- Identifizierung der betroffenen Systeme
- Trennung von Geräten vom Netzwerk, sofern möglich
- Gegebenenfalls Ausschalten der betroffenen Geräte
- Überprüfung von Systemprotokollen zur Ermittlung der Angriffsursache
- Identifizierung der Ransomware und Untersuchung, ob weitere Schadsoftware auf dem System vorhanden ist
Je nach Art des Angriffs müssen unterschiedliche Maßnahmen ergriffen werden. Administratoren müssen abwägen, ob sie infizierte Geräte eingeschaltet lassen (wodurch sich der Angriff ausbreiten kann und potenzielle Kosten entstehen) oder das System ausschalten und dadurch mögliche Beweise im flüchtigen Speicher verloren gehen.
Stehen aktuelle Backups zur Verfügung, die nachweislich vor Ransomware geschützt/davon isoliert sind, kann es sinnvoll sein, die infizierten Systeme eingeschaltet zu lassen, jedoch die Verbindung zum WLAN oder LAN zu trennen, um sie zu analysieren.
Ein weiterer wichtiger Aspekt ist die Datenwiederherstellung. Im Idealfall wird der Angriff schnell eingedämmt, sodass er sich nicht weiter ausbreiten kann. Häufig wird Ransomware beispielsweise durch einen gezielten Phishing-Angriff über einen Laptop eines Mitarbeiters in das Netzwerk eingeschleust. Von dort breitet sich die Schadsoftware auf Netzlaufwerke und andere Systeme aus – auf der Suche nach Dateien, die sie auslesen und modifizieren kann.
Durch eine schnelle Identifizierung des Angriffs hat die Schadsoftware weniger Zeit, sich auszubreiten und Laufwerke zu infizieren. Abhängig davon, welches System zuerst infiziert wurde und wie sorgfältig die Zugriffsrechte im Netzwerk konfiguriert wurden, beschränkt sich der Schaden möglicherweise auf das System des Benutzers und einige wenige nicht unternehmenskritische Netzwerkfreigaben.
Ein systematischer Ansatz für die Eindämmung und Wiederherstellung
Systemadministratoren sollten stets bedenken, dass Ransomware auf unterschiedlichste Weise im Netzwerk agieren kann.In manchen Fällen werden lediglich Dateien verschlüsselt, andere schädliche Skripts löschen die Daten des Opfers nach einem bestimmten Zeitraum, wenn das Lösegeld nicht bezahlt wird. Es gibt außerdem besonders gefährliche Ransomware-Varianten, die Dateien nach potenziell wertvollen Daten durchsuchen und diese an den Angreifer senden, der dem Unternehmen mit ihrer Veröffentlichung droht, falls das Lösegeld nicht bezahlt wird.
Datenlecks dieser Art können große Schäden für Unternehmen nach sich ziehen, weshalb bei der Reaktion auf einen Ransomware-Angriff Vorsicht geboten ist. Anstatt umgehend mit der Wiederherstellung von Daten zu beginnen, sollten Sie zunächst in Ruhe alle infizierten Systeme bereinigen. Je nach Schwere des Angriffs kann es effizienter sein, die Daten auf diesen Systemen einfach vollständig zu löschen oder ein Reimaging durchzuführen.
Um das Risiko eines erneuten Angriffs zu minimieren, sollten Sie alle Kennwörter des Systems ändern sowie Firewall-Regeln, Sperrlisten und Antivirenprogramme überprüfen, um sicherzustellen, dass sie auf dem neuesten Stand sind und einwandfrei funktionieren. Schulen Sie Ihre Mitarbeiter zum Thema Phishing und Social-Engineering-Angriffe.
Sobald Sie sicher sind, dass die Schadsoftware vollständig aus dem Netzwerk entfernt wurde, können Sie mit der Wiederherstellung wichtiger Daten aus Backups beginnen. Vergewissern Sie jedoch zunächst, dass die für die Wiederherstellung verwendeten Backups nicht selbst infiziert sind. Wenn der Angriff schnell erkannt wurde, ist dies eher unwahrscheinlich. Wenn Sie jedoch regelmäßig Backups durchführen, könnte das zuletzt erstellte Backup infiziert sein. In diesem Fall müssten Sie ein älteres, auf Cold Storage gespeichertes Backup oder ein extern gespeichertes Backup als Grundlage für die Wiederherstellung verwenden.
Vermeidung von Lösegeldzahlungen
Zwar sorgen einzelne Ransomware-Angriffe auf große Unternehmen, bei denen hohe Lösegelder gefordert werden, immer wieder für Schlagzeilen, doch sind die meisten Attacken opportunistischer Natur. Die Angreifer fordern häufig kleinere Summen zwischen 700 und 1.500 USD – in der Annahme, dass die Opfer relativ geringe Beträge eher zahlen, da sie möglichst schnell wieder auf ihre Dateien zugreifen möchten.
Die häufigsten Methoden für die Bezahlung von Lösegeld sind Kryptowährungen wie Bitcoin, Litecoin oder auch Dogecoin. Diese Token sind deshalb so beliebt, da sie über gängige Tauschbörsen in großem Umfang erhältlich sind und von Opfern daher einfach erworben werden können. Angreifer nutzen außerdem gerne sogenannte „Tumbler“ oder „Mixer“, die verschiedene Transaktionen mit Kryptowährungen miteinander vermischen und so die Herkunft der Coins verschleiern. Dadurch lassen sich diese Coins später einfacher in richtiges Geld umtauschen.
Für einen Geschäftsinhaber unter Zeitdruck, der auf den gefürchteten Sperrbildschirm auf seinem Computer blickt, ist die Versuchung möglicherweise groß, das Lösegeld zu bezahlen. Bevor sich ein Unternehmen jedoch zwischen Datenwiederherstellung und Lösegeldzahlung entscheidet, sollten die jeweiligen Folgen sorgfältig abgewogen werden. Die einzige Garantie, dass Sie nach Zahlung des Lösegelds wieder Zugriff auf Ihre Daten erhalten, ist das Versprechen des Ransomware-Entwicklers – einer Person, die keine Skrupel hat, auf diese Weise Geld zu machen. Und selbst wenn Sie wieder Zugriff auf Ihre Daten erhalten, ist nicht garantiert, dass die installierte Schadsoftware nicht später weiteren Schaden anrichtet, wenn Sie Ihre Systeme nicht bereinigt haben.
Die Zahlung von Lösegeld wirft auch ethische Fragen auf. Kryptowährungen werden häufig für die Bezahlung von Drogen, für Geldwäsche, Menschenhandel und terroristische Aktivitäten verwendet. Wenn Sie Kryptowährungen erwerben, unterstützen Sie indirekt solche Aktivitäten. Zugleich tragen Sie dazu bei, dass Cyberkriminalität ein lohnenswertes Geschäft ist.
In manchen Ländern könnten Lösegeldzahlungen sogar illegal sein, da Sie möglicherweise eine Zahlung an eine Person leisten, gegen die finanzielle Sanktionen verhängt wurden. Auch diesen Aspekt sollten Sie berücksichtigen. Wenn Sie Opfer eines Ransomware-Angriffs wurden und die Zahlung des Lösegelds in Betracht ziehen, sollten Sie sich zuvor rechtlich beraten lassen.
Permanente Verbesserung und kontinuierliches Lernen
Kein Unternehmen gibt gerne zu, Opfer eines Ransomware-Angriffs geworden zu sein. Sie fragen sich vermutlich, wie das passieren konnte und wie Sie den Angriff hätten vermeiden können. Denken Sie stets daran, dass selbst große Unternehmen mit speziellen IT-Teams und entsprechenden Budgets bereits Cyberkriminellen zum Opfer gefallen sind. Versuchen Sie, aus dem Vorfall zu lernen und neue Strategien für den Kampf gegen Ransomware zu entwickeln.
Machen Sie den Angriff öffentlich, wenn dies ohne Verstoß gegen Geheimhaltungsvereinbarungen oder die Offenlegung von Firmendaten möglich ist. So unterstützen Sie andere dabei, daraus zu lernen. Informieren Sie die Öffentlichkeit, wie es zu dem Angriff kam, und stoßen Sie eine Diskussion an, wie Sie (und andere Unternehmen) sich besser schützen können.
Eine weitere Option ist die Simulation von Ransomware-Attacken, um herauszufinden, wie gut Sie darauf vorbereitet sind, und Bereiche zu identifizieren, in denen zusätzliche Schulungen erforderlich sind oder Ihre Angriffserkennungs- und sonstigen Systeme unzureichenden Schutz bieten.
Weitere Aspekte von Ransomware-Angriffen
Zwar geht es in diesem Leitfaden hauptsächlich um den Schutz vor Ransomware, doch gibt es in diesem Zusammenhang weitere Themen:
- Vermeidung von Angriffen bereits im Vorfeld
- Reaktion auf identifizierte Angriffe
- Wiederherstellung von Daten nach einer Attacke
All diese Aspekte müssen bei der Entwicklung einer wirksamen Strategie für den Ransomware-Schutz berücksichtigt werden. Dabei gibt es einige Überschneidungen. Eine gute Strategie für den Schutz vor Ransomware beinhaltet Tools, die auch zur Vermeidung von Angriffen genutzt werden, sowie einen Notfallplan für die rasche Reaktion auf eine Attacke. Es lohnt sich jedoch, die Strategien für die einzelnen Aspekte separat zu entwickeln, um darauf vertrauen zu können, dass Sie zuverlässige Sicherheits- und Backup-Systeme implementiert haben.
Verbesserung des Ransomware-Schutzes
Wenn Sie sich Sorgen über die potenziellen Auswirkungen von Ransomware machen, nutzen Sie die Gelegenheit, Ihre Strategie für den Schutz vor Ransomware auf den Prüfstand zu stellen.
Entwicklung einer umfassenden Strategie
Überprüfen Sie Ihre Maßnahmen zur Gewährleistung der Cybersicherheit und führen Sie eine ausführliche Sicherheitsprüfung durch. Sie können auch Angriffe simulieren, um potenzielle Lücken in Ihren Sicherheitskontrollen zu identifizieren.
Erarbeiten Sie nach dieser Prüfung einen Plan, der Prävention, Schutz, Abwehr und Datenwiederherstellung miteinander verbindet und alle Eventualitäten abdeckt. Übernehmen Sie nicht einfach den Plan eines anderen Unternehmens, sondern stimmen Sie ihn auf Ihre individuellen Anforderungen ab.
Nutzung von Technologien und Zusammenarbeit mit anderen Unternehmen
Ransomware ist heute so verbreitet, dass Sie unter zahlreichen Tools für Monitoring, Angriffserkennung und Bedrohungsanalyse wählen können. Versuchen Sie nicht, eigene Tools zu entwickeln. Nutzen Sie den bereits vorhandenen Erfahrungsschatz und arbeiten Sie mit anderen Unternehmen aus Ihrer Branche zusammen. Gemeinsam können wir im Kampf gegen Ransomware erfolgreich sein.
Ransomware kann jeden treffen
Ransomware ist eine allgegenwärtige, opportunistische Gefahr. Es kann einen einzelnen Anwender ebenso treffen wie ein multinationales Unternehmen. Deshalb ist es so wichtig, dass die für den Schutz von Daten zuständigen Mitarbeiter das Thema Ransomware-Schutz proaktiv angehen.
Durch die Entwicklung einer umfassenden Strategie, die die Aspekte Prävention, Schutz, Abwehr und Wiederherstellung miteinander verbindet, profitieren Sie von einem resilienten Cybersicherheits-Framework, das Sie im Kampf gegen immer neue Ransomware-Bedrohungen wirksam unterstützt.
Wenn Sie sich ausführlich informieren möchten, wie Sie die Daten Ihres Unternehmens schützen, laden Sie unser Whitepaper 7 Best Practices für die Wiederherstellung nach Ransomware-Angriffen herunter.
