Während das Wettrüsten im Bereich der Cybersicherheit weitergeht, hat sich Ransomware zu einem ernstzunehmenden Gegner für Unternehmen jeder Größe entwickelt. Diese bösartigen Angriffe können Betriebe lahmlegen, sensible Daten gefährden und zu schweren finanziellen Verlusten führen. Da die Häufigkeit und Raffinesse von Ransomware-Angriffen weiter zunehmen, ist es unerlässlich, proaktiv robuste Cybersicherheitsmaßnahmen zum Schutz der betrieblichen digitalen Ressourcen zu implementieren.

Ransomware-Angriffe haben sich längst von isolierten IT-Sicherheitsvorfällen zu ausgewachsenen Krisen entwickelt. In der Vergangenheit konnten die IT- und Sicherheitsteams einen Ransomware-Angriff intern als eine weitere Cyber-Bedrohung behandeln. Die heutige Ransomware ist jedoch viel ausgefeilter, aggressiver und kann den Geschäftsbetrieb massiv beeinträchtigen.

Die Einführung von Anti-Ransomware-Taktiken ist demnach entscheidend, um häufige Angriffe zu überstehen, Kosten zu senken und das Vertrauen bei Geschäftspartnern zu erhalten. Daher sollte jedes Unternehmen die besten Praktiken zum Schutz vor Ransomware kennen und umsetzen, unabhängig von Größe, Branche oder Standort.

Grundlegende Strategien und bewährte Verfahren für den Schutz vor Ransomware

Eine optimale Best Practice zum Schutz vor Ransomware lässt sich in vier Kategorien einteilen: Prävention, Erkennung, Reaktion und Resilienz. Für jede Kategorie gibt es entsprechende Tools und Taktiken.

1. Vorbeugung

Bei der Vorbeugung und Eindämmung von Ransomware geht es vor allem darum, so viele Schwachstellen in der Angriffsfläche zu beseitigen wie möglich.

Die wichtigste Best Practice zur Verringerung des Risikos, Opfer von Ransomware zu werden, ist die Einführung von Zero Trust. Dabei ist das Prinzip der geringsten Privilegien ein wichtiger Schritt auf diesem Weg

Selbst wenn ein Angreifer Anmeldedaten stehlen und sich Zugang verschaffen sollte, sind seine Bewegungen blockiert. Der Schaden, den er anrichten kann, wird auf diese Weise deutlich begrenzt.

Viele Ransomware-Angriffe gelangen über Anmeldeinformationen und Workstations in die IT-Umgebung In einem typischen Szenario klickt ein Benutzer auf einen Link in einer Phishing-E-Mail und lädt unwissentlich Malware herunter.

Um das Risiko dieses Szenarios zu verringern, besteht die beste Praxis zum Schutz vor Ransomware darin, lokale privilegierte Konten von Workstations zu entfernen oder zu deaktivieren und die Ausführung von Anwendungen und Skripten mithilfe von Erlaubnis- und Ablehnungslisten zu beschränken. Alternativ können auch Reputations-Feeds verwendet werden, um festzustellen, ob eine Anwendung als bösartig bekannt ist.

Zusätzlich zu den oben genannten Maßnahmen für die Verwaltung des privilegierten Zugriffs (Privileged Access Management, PAM) sollten alle Systeme mit den neuesten Updates versorgt sind.

Auch sollte sich die Unternehmensführung darüber im Klaren sein, dass Ransomware-Prävention nicht nur Aufgabe der IT- oder Sicherheitsteams ist. Vielmehr muss jeder Mitarbeiter die bewährten Sicherheitsverfahren kennen, um Ransomware zu verhindern. Schulungen zum Sicherheitsbewusstsein helfen den Mitarbeitern beispielsweise, die roten Fahnen von Phishing-E-Mails zu erkennen, damit sie gar nicht erst auf diese Links klicken!

2. Erkennung

Hat ein Angreifer einen Weg gefunden, die Ransomware-Schutzmaßnahmen zu umgehen, obwohl alle bewährten Verfahren befolgt wurde, ist es nicht ganz einfach diese zu erkennen. Ransomware-Angriffe sind zunehmend gut getarnt. Dennoch gibt es Warnzeichen, die auf Ransomware hindeuten. So können privilegierte Analysen (UEBA) auf ein anormales Benutzerverhalten hinweisen. Und auch wenn Systeme deutlich langsamer werden oder anderweitige Probleme haben bzw. verursachen, sollten die Alarmglocken angehen.

3. Reaktion

Je schneller Unternehmen auf  Ransomware reagieren, desto wahrscheinlicher ist es, dass sie einen Angriff abwehren und den Schaden begrenzen können.

Erhärtet sich beispielsweise in den Anwendungskontrollen der Verdacht, dass eine Anwendung oder ein Skript bösartig ist, kann es in einer Sandbox untergebracht werden, um es weiter zu bewerten, oder seine Reputation zu überprüfen.

Verhält sich ein privilegierter Benutzer auffällig, können sofort die Anforderungen für die Multi-Faktor-Authentifizierung (MFA) verschärft, die Anmeldedaten rotiert oder sogar der Zugang entzogen werden.

Darüber hinaus empfiehlt es sich, zu dokumentieren, wie auf einen Ransomware Angriff reagiert werden soll. Mit einem Reaktionsplan für Cybervorfälle  und der Durchführung von Trockenübungen können im Falle eines akuten Ransomware-Angriffs Verwirrung und Verzögerungen vermieden werden.

4. Widerstandsfähigkeit

Die letzte Kategorie der bewährten Verfahren zum Schutz vor Ransomware – die Widerstandsfähigkeit – ist wohl die wichtigste und für manche Unternehmen auch die am schwierigsten zu erreichende. Widerstandsfähigkeit bedeutet, dass Betriebe selbst dann, wenn sie Opfer eines Ransomware-Angriffs werden, keinen größeren Schaden erleiden.

So können beispielsweise regelmäßige Backups Datenverluste im Falle eines Ransomware-Angriffs verhindern und sind der Schlüssel zur Cyber-Resilienz. Und wenn genau festgestellt werden kann, wann und wo ein Ransomware-Angriff stattgefunden hat, können IT-Teams die Daten von diesem Zeitpunkt an wiederherstellen, ohne sich Gedanken darüber machen zu müssen, dass die Malware erneut in ihre Systeme eingeschleust wird.

Wichtig in diesem Zusammenhang ist es jedoch, zu bedenken, dass Cyber-Kriminelle es zunehmend auf Backups abgesehen haben. Daten sollten daher immer an mehreren Orten gespeichert sein.

Zusätzlich zu den Sicherheitstools und -praktiken ist die Cyberversicherung zu einer bewährten Praxis geworden, die Unternehmen einführen sollten. Die Cyberversicherung überträgt das finanzielle Risiko eines Ransomware-Angriffs wie ein Sicherheitsnetz. Solange Unternehmen die von den Versicherungsunternehmen geforderten Best Practices für den Ransomware-Schutz befolgen, können sie den Schaden eines Angriffs wahrscheinlich revidieren.

Ransomware-Praktiken auf Unternehmen zuschneiden

So wie sich die Strategien für Ransomware-Angriffe weiterentwickeln, so entwickeln sich auch die Empfehlungen für bewährte Verfahren zum Schutz vor Ransomware.

Neben den oben beschriebenen grundlegenden Best Practices sollte sich jedes Unternehmen auf Schutzmaßnahmen konzentrieren, die auf seine spezifische IT-Umgebung abgestimmt sind. Welche Verfahren letztlich angewendet werden, ist von der Branche und den jeweiligen Geschäftsprozessen abhängig. Im Gesundheitswesen, wo mit sensiblen personenbezogenen Daten gearbeitet wird, müssen beispielsweise andere Ransomware-Praktiken angewendet werden als in Firmen  einer nicht regulierten Branche.

Daher sollte sich die Führungsebene zunächst folgende Fragen stellen: Was sind unsere wertvollsten Vermögenswerte? Welche Angriffsszenarien würden dazu führen, dass unser Betrieb zum Erliegen kommt? Welche Angriffe wirken sich am negativsten auf unsere Kunden aus? Bei der Festlegung der Ransomware-Praktiken sollten die so identifizierten Punkte vorrangig behandelt werden.