Schützen Sie Ihre Daten vor Ransomware-Angriffen

bei

 / 6. October. 2021

Ransomware-Angriffe nehmen rasant zu und stellen eine große Bedrohung sowohl für KMUs als auch für größere Unternehmen dar. Welche enormen Gefahren von Ransomware-Angriffen ausgehen, wurde einer breiten Öffentlichkeit erstmals im Jahr 2017 bewusst. Damals verbreitete eine unbekannte Hackergruppe ein Schadprogramm, das als „WannaCry“ bekannt wurde. Das Schadprogramm pflanzte sich unter Ausnutzung einer Schwachstelle des Betriebssystems Windows über das Internet auf zahlreiche Rechner fort. Innerhalb von Stunden infizierte WannaCry über 230.000 Computer in der ganzen Welt und legte zahlreiche Unternehmen und Einrichtungen lahm. Dabei verursachte die Ransomware etwa vier Milliarden Euro an Schaden [1]. In Deutschland wurde u. a. die Deutsche Bahn in Mitleidenschaft gezogen. Zahlreiche Anzeigetafeln und Fahrkartenautomaten auf etlichen Bahnhöfen zeigten die typische Lösegeldforderung an.

Mittlerweile beherrschen Schlagzeilen über Erpressungsvorfälle unseren Alltag. Vor allem während des Höhepunkts der Corona-Krise im Juni 2020 ist die Zahl der Ransomware-Vorfälle laut einer Studie von Skybox Security [2] nochmal deutlich gestiegen.

25 Tipps zum Schutz vor Ransomware

Der Schutz digitaler Informationen, also die IT-Sicherheit, ist wichtiger denn je. Sie gilt als eine der größten Herausforderungen für das 21. Jahrhundert. Ransomware-Angriffe können für Unternehmen verheerende finanzielle Folgen haben und den Ruf eines Unternehmens enorm schädigen.

Im Folgenden werden vorhandene Möglichkeiten erklärt, wie sich Unternehmen, aber auch Privatpersonen gegen Ransomware schützen können:

Sichere Nutzung von E-Mail

  • Blockieren Sie ausführbare Dateien in E-Mails: Die meisten Ransomware-Varianten verbreiten sich über E-Mail-Anhänge. Dabei kann es sich zum Beispiel um vermeintlich harmlose Word-Dateien handeln. Gelegentlich werden Schadprogramme jedoch auch als ausführbare Dateien verschickt, die über Dateiendungen wie .bat, .cab, .cmd, .exe, .js, .vbs zu erkennen sind. Konfigurieren Sie Ihren Mailserver so, dass derartige Anhänge blockiert werden. Es gibt keinen vertretbaren Grund, ausführbare Dateien per E-Mail zu versenden. Besonders Dateien mit doppelten Dateierweiterungen wie beispielsweise Rechnung.txt.vbs sollten abgelehnt werden. Nichts spricht für den Erhalt oder die Verwendung solcher Dateien.
  • Vorsicht bei Anhängen und Links: Klicken Sie niemals auf Links/Anhänge in E-Mails. Außer Sie sind sich nach eingehender Kontrolle wirklich sicher, dass der Link/Anhangsicher ist. Empfehlenswert ist eine Dienstanweisung, Links/E-Mail-Anhänge erst nach Rücksprache mit dem Absender bzw. nach Vorankündigung zu öffnen. Es reicht nicht, dass man den Absender kennt. Ist der Rechner des Absenders mit einem Schadprogramm infiziert, so könnte eine Mail vom Schadprogramm im Namen des Absendersmit einer schon benutzten Betreff-Zeile verschickt worden sein.
  • Geben Sie Ihre E-Mail-Adresse nicht arglos auf irgendwelchen Webseiten an. Seien Sie skeptisch, wenn die Mailadresse verlangt wird.
  • Nutzen Sie auf Ihrem Mailserver Anti-Spoofing-Technologien wie Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM).

Allgemeine Schutzmaßnahmen

  • Zum Schutz der Verfügbarkeit und der Integrität wichtiger Daten sollten regelmäßig Datensicherungen erstellt werden. Bei einer Ransomware-Infektion besteht ein hohes Risiko für Datenverluste, da die Gefahr besteht, dass die vom Trojaner verschlüsselten Dateien nicht wiederhergestellt werden können.
  • Deaktivieren Sie nach Möglichkeit Makros in Office-Dateien. Makros sind kleine Unterprogramme, mit denen sie in den großen Office-Paketen vollständige Programme entwickeln können (z. B. eine automatisierte Lagerverwaltung). Das Problem: Makro-Programm haben genug Rechte, um Schadsoftware einzuschleusen. Viele bekannte Erpressungstrojaner haben so bereits den Weg in Unternehmen, Schulen, Universitäten, Krankenhäusern und sonstigen Einrichtungen gefunden.
  • Aktualisieren bzw. patchen Sie Ihre Software regelmäßig: Nicht gepatchte Programme werden von Hackern häufig für Cyberangriffe genutzt. So hatte sich WannaCry, eine der größten Ransomware-Wellen überhaupt, über die Sicherheitslücke namens „Eternal Blue“ verbreitet – einen Monat, nachdem diese Lücke gepatcht worden war. Ohne dieses fahrlässig langsame Patch-Management hätte man den Schaden deutlich reduzieren können. Trend Micro Research fand in einer aktuellen Studie [3] heraus, dass es im Durchschnitt beinahe 51 Tage dauert, bis ein Unternehmen neue Schwachstellen patcht.
  • Einige Angreifer nutzen .VBS-Dateien (VBScript), um Erpressersoftware zu installieren. Deaktivieren Sie die COM-basierte Laufzeitumgebung „Windows ScriptHost“, wenn Sie dieses Feature nicht benötigen.
  • Wenn Sie PowerShell nicht nutzen, deaktivieren Sie es. Windows PowerShell ist ein Framework zur Aufgabenautomatisierung. Es besteht aus einem Kommandozeileninterpreter und einer Skriptsprache.Kriminelle nutzen PowerShell häufig, um Ransomware aus dem Speicher auszuführen und so die Erkennung durch Antivirenlösungen zu umgehen.
  • Eine gewisse Gefahr geht von aktiven Inhalten aus, da diese client-seitig im Browser auf dem Rechner des Benutzers ausgeführt werden. Dies gilt besonders für die Verwendung von Java aber in geringerem Umfang auch für die Script-Sprache JavaScript. Man hat zwar versucht, durch die Eigenschaften der Sprachen Sicherheitsgefahren auszuschließen, aber zum einen ist dies nicht vollständig möglich, zum anderen werden gelegentlich auch Fehler bei der Implementierung der Sprachen gefunden, die Sicherheitslöcher bieten. Man sollte daher die Ausführung von JavaScript und Java deaktivieren und diese nur bei Bedarf auf vertrauenswürdigen Internetseitenvorübergehend aktivieren.
  • Deaktivieren Sie ungenutzte Funkverbindungen. Immer wieder werden z. B. kritische Sicherheitslücken in Bluetooth-Anwendungen entdeckt.
  • Deaktivieren Sie das Windows-Remote Desktop Protocol (RDP) zum Schutz vor RDP-Exploits. Ransomware-Varianten wie beispielsweise Cryptolocker/Filecoder nutzen RDP als Einfallstor [4].
  • Lassen Sie im Windows-Explorer alle Dateierweiterungen anzeigen. Jede Datei, die eine doppelte Dateierweiterung wie beispielsweise „foto.jpg.exe“ enthält, sollte als verdächtig betrachtet werden.
  • Verwenden Sie eine moderne Antivirus-Software.
  • Arbeiten Sie nicht mit Administrator-Rechten. Denn einmal mit Admin-Rechten gestartet, können Schadprogramme sofort die Systemkontrolle übernehmen.
  • Nutzen Sie sichere Passwörter: Egal ob es der Zugang zum Betriebssystem, zu einem Anwendungsprogramm, zu einer Web–GUI oder dem E–Mail–Client ist, überall legitimiert man sich mit einem Passwort. Ein gutes Passwort:
  • ist mindestens 10 Zeichen lang. Je länger das Passwort desto besser.
  • beinhaltet Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • ist in keinem Wörterbuch zu finden.
  • enthält keine alphabetischen Buchstabenfolgen / einprägsamen Tastaturpfade.
  • basiert nicht auf persönliche Daten.
  • ist für jedes Konto einzigartig. Das Gleiche gilt auch für die benutzten Benutzernamen / E-Mail-Adressen. Mit der Verwendung unterschiedlicher Benutzernamen / E-Mail-Adressen steigt die Sicherheit der einzelnen Konten deutlich. Ein Angreifer weiß nie genau, welcher Benutzername bzw. welche E-Mail-Adresse bei der einzelnen Anmeldung verwendet wurde. Tipp: Nutzen Sie „catch all“ E-Mail-Adressen. Mit einem Catch-All-E-Mail-Account werden alle E-Mails, die an Ihre Domain gesendet werden an Ihr Postfach weitergeleitet – egal was vor dem @-Zeichen steht. Dadurch können Sie beliebig viele Aliase dynamisch nutzen. Bei Anbieter A registrieren Sie sichdann z.B. mit anbieter-a-49385@meinedomain.de, bei Anbieter B mit anbieter-b-38274@meinedomain.de.
  • Wenn möglich, sichern Sie all Ihre Zugänge mit der sogenannten Zwei-Faktor-Authentifizierung (2FA) ab.
  • Speichern Sie sensible und vertrauliche Daten unbedingt verschlüsselt.
  • „AutoRun“ ist eine Windows-Funktion, mit der Benutzer Wechseldatenträger wie USB-Sticks und CDs sofort ausführen können. Malware-Autoren können diese Funktion nutzen, um Ransomware zu verbreiten. Sie sollten diese Funktion auf allen Arbeitsstationen deaktivieren.

Maßnahmen auf Netzwerkebene

  • Unterteilen Sie Computernetzwerke in kleinere, separate Subnetzwerke, um die Verbreitung von Ransomware einzugrenzen. Vor allem Industrieanlagen und IoT-Geräte sollten in einzelne Bereiche unterteilt bzw. segmentiert werden.
  • Ein wichtiges Werkzeug zur Hacker-Abwehr sind Firewalls. Eine Firewall gehört selbst in kleineren Unternehmen zum unverzichtbaren Standard, wenn es um eine Anbindung an das Internet geht.
  • Cyberkriminelle nutzen immer öfter das TOR-Netzwerk für die Command and Control (C&C)-Kommunikation, wodurch sich ist das Aufspüren der C&C-Infrastruktur als deutlich schwerer erweist. Blockieren Sie bekannte IP-Adressen von Entry- und Exit-Nodes sowie Tor-Bridges. Blockieren Sie außerdem Anwendungen, die sich mit .onion-Domänen verbinden möchten.

Organisatorische Maßnahmen

  • Schulungsmaßnahmen: Eine wichtige Grundvoraussetzung für den Schutz des eigenen Systems und der Arbeit mit dem System besteht darin, dass ein Benutzer ein allgemeines Verständnis für die dabei vorhandenen Sicherheitsprobleme entwickelt. Er soll Sicherheit nicht als Hemmschuh verstehen, sondern als Bestandteil seiner Arbeit, der ihn und die beteiligten Komponenten schützt. Regelmäßige Schulungsmaßnahmen zum Thema IT-Sicherheit helfen den Mitarbeitern, am Ball zu bleiben.
  • Berechtigungsmanagement: Wenn es um den geschützten Zugang zu Computer-Systemen geht, ist ein gutes Berechtigungsmanagements-Konzept das A und O: Kommt ein Mitarbeiter neu ins Unternehmen, dann muss er in allen möglichen Systemen registriert und mit geeigneten Rechten ausgestattet werden. Diese Rechte können sich ändern und erfordern somit einen ständigen Managementprozess. Beim Verlassen stehen entsprechend viele Sperrungen an. Falsche Rechtevergabe und verspätetes Sperren steigern das IT-Risiko enorm. Es gilt die gesamte Berechtigungsstruktur im Auge zu behalten.
  • IT-Notfallpläne: Unternehmen müssen bereits vor dem Eintritt von IT-Notfällen planen, wie sie mit solchen Situationen umgehen (Verantwortlichkeiten, Maßnahmenlisten…). Dadurch lassen sich Ausfallzeiten verkürzen und Schäden minimieren.

In der Praxis finden sich leider mehr als genug Unternehmen/Benutzer, die lediglich eine Antivirus-Software und eine Firewall nutzen und glauben, adäquat geschützt zu sein. Manche der in diesem Artikel beschriebenen Schutzmaßnahmen mögen einem möglicherweise etwas lästig oder unnötig erscheinen, aber mit einer Antivirus-Software und einer Firewall allein ist dem Schutz vor Ransomware definitiv nicht genüge getan! Das Problem dabei ist, dass man vom Gegenteil möglicherweise erst überzeugt wird, wenn schon ein Schaden eingetreten ist.

Quellen und Referenzen

[1] https://t3n.de/news/ransomware-reloaded-wannacry-1240246/

[2] https://www.skyboxsecurity.com/trends-report/

[3] https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/trends-and-shifts-in-the-underground-n-day-exploit-market

[4] https://www.zdnet.de/88382240/ransomware-attackiert-vpn-und-rdp/

 

Über den Autor / die Autorin:


rene-hifinger

René Hifinger ist seit mehr als 15 Jahren in der IT-Sicherheit tätig - als Entwickler und Berater. Über das Internetportal bleib-Virenfrei.de veröffentlicht er regelmäßig Malware-Blocklisten, aktuelle Sicherheitshinweise und IT-Sicherheitstipps.