Ransomware: Wer zahlt, macht einen Fehler
Ransomware zählt aktuell zu den umfassendsten und gefährlichsten Cyberbedrohungen. Um die Risiken zu minimieren, sollten Unternehmen elementare Sicherheitsmaßnahmen ergreifen.
Neue Ransomware-Angriffe können sich schnell im gesamten Unternehmen ausbreiten und damit Geschäftsabläufe unterbrechen und die Produktivität massiv beeinträchtigen. Das Forschungsunternehmen Cybersecurity Ventures prognostiziert, dass die jährlichen globalen Kosten aufgrund von Ransomware bei Unternehmen im Jahr 2021 20 Milliarden US-Dollar übersteigen werden.
Doch Unternehmen sind der Ransomware-Gefahr keineswegs hilflos ausgeliefert. Es gibt einige Maßnahmen, die die Sicherheitsrisiken entscheidend minimeren und die Verschlüsselung von Dateien verhindern: etwa der Entzug lokaler Administratorenrechte zusammen mit der Etablierung von Richtlinien zur Anwendungssteuerung.
Dabei sollte auch klar sein, dass es keine Alternative ist, dass Ransomware-Risiko zu ignorieren und bei einem Angriff eine Lösegeldzahlung in Betracht zu ziehen. Nahezu alle Strafverfolgungsbehörden und Sicherheitsexperten raten davon ab – und auch Cyberversicherungen übernehmen die Kosten inzwischen oft nicht mehr.
Laut FBI garantiert die Zahlung eines geforderten Lösegelds nicht, dass der Zugriff auf die verschlüsselten Daten wiederhergestellt wird. Einige Opfer, die Lösegeld zahlen, erhalten von den Angreifern trotzdem keinen Schlüssel. Manche werden um zusätzliches Geld erpresst, nachdem das erste Lösegeld gezahlt wurde. Es kommt sogar vor, dass Opfer zu einem späteren Zeitpunkt erneut von demselben Cyberkriminellen angegriffen werden.
Ransomware-Angriffe vermeiden oder eindämmen
Folgende Sicherheitsmaßnahmen sollten Unternehmen ergreifen, um die Risiken und Folgen von Ransomware-Angriffen zu begrenzen:
Nutzung von Virenschutzprogrammen und EDR-Tools (Endpoint Detection and Response): Sie blockieren bekannte Ransomware-Varianten bereits am Eintrittspunkt (Blacklisting).
Entzug der lokalen Administratorrechte von Standardbenutzerkonten: Die Verringerung der Angriffsflächen verhindert die Ausbreitung von Ransomware im Unternehmen.
„Unternehmen sollten immer auch eine Risikoanalyse durchführen und alle Endpunkte und Server lokalisieren, die vertrauliche oder wertvolle Dateien enthalten“
Michael Kleist, Cyberark
Umsetzung eines Least-Privilege- und Just-In-Time-Konzepts: Die Vergabe von kontextbezogenen Rechten vermeidet eine dauerhafte Rechteansammlung und schützt vor der Ransomware-Ausbreitung.
Nutzung des Application Greylisting: Mit der Kontrolle von Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, können bislang unbekannte Ransomware-Varianten proaktiv abgewehrt werden. Mithilfe von Greylisting können Unternehmen die Berechtigungen zum Lesen, Schreiben und Ändern bei unbekannten Anwendungen einschränken, um Ransomware am Verschlüsseln von Daten zu hindern. Greylisting kann auch zum Blockieren des Zugriffs auf Netzlaufwerke verwendet werden; dadurch kann die Verbreitung von Angriffen im gesamten Unternehmen verhindert werden.
Regelmäßige Erstellung von Sicherungskopien aller Server und Rechner des Unternehmens: Datensicherungen können Ransomware zwar nicht verhindern, unterstützen aber bei der Wiederherstellung von Daten. Viele Experten empfehlen eine Datensicherung in der Cloud, um sich vor komplexen Ransomware-Angriffen zu schützen, bei denen lokale Sicherungsdateien erkannt und gelöscht oder ebenfalls verschlüsselt werden.
Darüber hinaus sollten Unternehmen immer auch eine Risikoanalyse durchführen und alle Endpunkte und Server lokalisieren, die vertrauliche oder wertvolle Dateien enthalten. Dabei können auch diejenigen Dateitypen oder Verzeichnisse auf den Endpunkten ermittelt werden, die die wichtigsten Informationen enthalten – etwa .xlsx, .pptx und .pdf oder bestimmte Datenverzeichnisse von Anwendungen. Auf dieser Bewertungsbasis ist es dann möglich, effektive Greylisting-Richtlinien zu erstellen, um diese Dateitypen vor unbekannten Anwendungen und damit auch vor Ransomware zu schützen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.