print logo

Was Unternehmen gegen Ransomware tun können und sollten

Damit die Erpresser-Software für Ihr Unternehmen 2018 keine Rolle spielt, sind einige Verhaltensregeln einzuhalten.
Thomas Ehrlich | 15.12.2017
© Thomas Ehrlich
 
Zweifelsohne war 2017 das Jahr der Ransomware. Von WannaCry über Petya/NotPetya bis hin zu BadRabbit forderten Erpressungstrojaner die Sicherheitsverantwortlichen der Unternehmen weltweit heraus und brachten zum Teil wirtschaftliche Abläufe gehörig durcheinander. Von ausgefallenen Anzeigetafeln in Bahnhöfen bis hin zu stehenden Fließbändern reichten dabei die Auswirkungen. Und es ist zu befürchten, dass auch 2018 Cyberkriminelle an diesem, aus ihrer Sicht erfolgreichen Geschäftsmodell, festhalten werden.

Aber Unternehmen sind dem nicht hilflos ausgeliefert. Es gibt ein paar Verhaltensregeln und erprobte Verfahren, um einen Ransomware-Angriff, wenn er schon nicht gänzlich zu verhindern ist, deutlich zu entschärfen und die Effekte gering zu halten. Die meisten dieser Tipps gelten übrigens nicht nur für die Erpresser-Malware, sondern sorgen allgemein für ein deutlich höheres Sicherheits-Niveau des Unternehmens. Was also sollten Unternehmen jetzt tun?

Etablieren Sie eine solide Sicherheitspraxis mit grundsätzlichen Routinen, wie regelmäßige Updates und Backups: WannaCry und Petya/NotPetya nutzten bekannte Lücken, für die bereits Patches verfügbar waren. Und auch BadRabbit hätte durch Browser und Standard-Sicherheitssoftware auf dem neuesten Stand keine Chance gehabt.

Machen Sie sich ein Bild von Ihrem Netzwerk: Finden Sie heraus, wo die kritischen Stellen bzw. Komponenten und vor allem die kritischen, sensiblen Daten liegen. Dies setzt die Prioritäten beim Aufbau einer entsprechenden Sicherheitsstrategie.

Verringern Sie Ihre Angriffsfläche durch die Reduzierung von Zugriffsrechten nach dem need-to-know-Prinzip sowie die Identifizierung veralteter, nicht mehr genutzter und falsch konfigurierter Konten: Hacker nutzen gerne „Geister-Konten“, da sie sich auf diese Weise in aller Ruhe „unter dem Radar“ im Netzwerk bewegen, gegebenenfalls Nutzerrechte erweitern und auf (sensible) Daten zugreifen können. Generell gilt: Je weitreichendere Zugriffsrechte ein Nutzer hat, desto größer ist der Schaden, sollte er durch Ransomware infiziert werden.

Überwachen Sie den Zugriff auf die wichtigsten und sensibelsten Daten: Durch intelligente Nutzeranalyse kann abnormales Verhalten erkannt und ein entsprechender Alarm ausgelöst werden.

Automatisieren Sie die Sperrung und Isolierung infizierter Konten: Dadurch verlieren Sie keine wertvolle Zeit und können den Schaden gering halten. Denken Sie daran: Hacker haben keine Bürozeiten und greifen auch außerhalb der Ihren an.

Richten Sie ein umfassendes Notfall- und Recovery-Verfahren ein und testen Sie es kontinuierlich: So wie Rettungsmannschaften wie Sanitäter und Polizisten regelmäßig für den Ernstfall trainieren, sollte dies auch Ihre IT-Abteilung tun, um dann bei Bedarf schnell, sicher und routiniert die richtigen Maßnahmen zu treffen. Auch Schwachstellen in den eigenen Prozessen lassen sich so identifizieren und beheben.