fabioberti.it - stock.adobe.com
Auf Phishing- und Ransomware-Angriffe gut vorbereitet sein
Für IT-Abteilungen existieren viele Stellschrauben, die dabei helfen, das Unternehmen besser gegen die sicher erfolgenden Ransomware- und Phishing-Attacken wappnen zu können.
Wenn man im Hinblick auf die Cybersicherheit eine Lehre aus der COVID-19-Pandemie ziehen kann, dann ist es die Bedeutung, wie gut Unternehmen auf Phishing- und Ransomware-Attacken vorbereitet sein sollten. Im Zuge der Krise sind zunehmend Social-Engineering-Attacken auf Mitarbeiter zu verzeichnen, die die Sorgen der Arbeitnehmer ausnutzen, um diese zu Aktionen zu verleiten.
Aber auch ohne die aktuelle Entwicklung mit einer zusätzlichen Angriffswelle, ist es prinzipiell eine ganz gute Idee, das eigene Unternehmen gegenüber Phishing und Ransomware möglichst widerstandsfähig zu machen. Nachfolgend haben wir einige wichtige Aspekte und Abläufe zusammengestellt, auf die IT-Teams dabei achten sollten.
Phishing- und Ransomware-Abwehr im Alltag
Unternehmen haben folgende Möglichkeiten, um sich auf die mit Sicherheit erfolgenden Cyberangriffe in Form von Phishing oder Ransomware vorzubereiten:
Der traditionelle Netzwerkperimeter muss gut gesichert sein und auf eventuelle Schwachstellen, die das Eindringen von Schadsoftware ermöglichen würden, überprüft werden.
Etwaige Versuche, in das Netzwerk einzudringen müssen kontinuierlich analysiert werden, um bei Bedarf Anpassungen am Perimeterschutz vorzunehmen.
Es muss sichergestellt sein, dass alle Sicherheitskomponenten einschließlich Firewalls, IPS (Intrusion Prevention Systeme) und IDS (Intrusion Detection Systeme) sowie DMZs (Demilitarisierte Zone) und natürlich auch alle Systeme und Software auf dem neuesten Stand sind. Das gilt nicht nur für die verwendete Software, sondern auch für die Einstellungen, Richtlinien und Regeln.
Die für die Sicherheit wichtigen Leistungskennzahlen müssen kontinuierlich beobachtet werden. Das kann zum Beispiel die durchschnittliche Zeit bis zu Erkennung eines Angriffs, aber auch die mittlere Zeit zur Lösung eines Problems sein. Es gilt sicherzustellen, dass man mit Vorfällen – die sicher passieren werden – effizient umgehen kann.
Die Sicherheitslösungen müssen sich per Fernzugriff verwalten und steuern lassen. Dies sollte auch immer wieder ausprobiert werden.
Die Regeln, Richtlinien und Parameter der Sicherheitsprodukte müssen regelmäßig aktualisiert und an sich verändernde Situationen angepasst werden.
Alle relevanten Sicherheits-Updates und Patches müssen getestet und installiert werden.
Wie die Technik, so gilt es auch, die Sicherheitsrichtlinien und -verfahren regelmäßig auf den Prüfstand zu stellen. Insbesondere nach erfolgreichen Phishing- oder Ransomware-Angriffen können sich Erkenntnisse ergeben, die eine Aktualisierung notwendig machen.
Alle Mitglieder des Security-Teams müssen regelmäßig geschult werden, und zwar nicht nur auf neuer Technologie, sondern auch in den Prozessen und Richtlinien.
Wichtige Schutzmaßnahmen in Sachen IT-Sicherheit
Äußere Umstände können dafür sorgen, dass der IT- und Geschäftsbetrieb nicht in gewohnter Weise möglich ist. Das IT-Team kann sich durch folgende Maßnahmen vorbereiten:
Es muss sichergestellt sein, dass die verwendete SIEM-Lösung (auch in der Konfiguration) aktuell ist und das Dashboard regelmäßig auf Anomalien hin betrachtet wird.
Es müssen Schlüsselindikatoren bestimmt sein, anhand derer sich schnell erkennen lässt, ob in Sachen IT-Sicherheit alles in gewohntem Maße funktioniert.
Die Geschäftsführung muss kontinuierlich über alle geplanten Maßnahmen in Sachen Cybersicherheit informiert werden, da dies im Falle eines Falles ja nicht unerheblichen Einfluss auf den Geschäftsbetrieb haben kann.
Ports müssen kontinuierlich auf verdächtige Aktivitäten und eine mögliche Ausnutzung durch Schadsoftware überwacht werden.
Es sollten alle Informationsquellen, etwa von Security-Anbietern, genutzt werden, um Informationen über mögliche Bedrohungen rechtzeitig in die eigenen Maßnahmen einfließen lassen zu können.
Es muss sichergestellt werden, dass Backups von allen geschäftskritischen Systemen und Daten durchgeführt werden. Bei einem Sicherheitsvorfall müssen die Daten an mindestens einem anderen Standort als Kopie zur Verfügung stehen.
Nicht nur die Geschäftsdaten, sondern auch die relevanten Daten zur IT-Sicherheit sollten an einem sicheren und auch von der Ferne aus zugänglichen Standort zusätzlich gesichert werden.
Es sollten Routinen aufgesetzt werden, die es erlauben Phishing- und Ransomware-Angriffe nicht nur zu identifizieren, sondern auch zu analysieren.
Alle Mitarbeiter müssen in Sachen Sicherheitsbewusstsein geschult werden, inklusive der Verdeutlichung der Auswirkungen von Sicherheitsvorfällen.
Nicht nur in Krisenzeiten ist es wichtig, dass Disaster-Recovery-Pläne funktionieren. Die Wiederherstellung oder Aufrechterhaltung des Geschäftsbetriebs muss sichergestellt sein. Entsprechende Routinen müssen nicht nur theoretisch, sondern auch in Tests bestehen.
Alle Geräte, die an das Firmennetz angeschlossen sind, müssen identifiziert werden. Potenziell unsichere Geräte sollten entfernt oder sicher gekapselt werden.