Geben Sie Erpressungstrojanern keine Chance! Handeln Sie proaktiv, indem Sie bewährte Schutzmaßnahmen ergreifen. Wir geben Ihnen hier konkrete Tipps, wie Sie Ransomware abwehren.
Erfolgreiche Ransomware-Angriffe können extrem teuer werden
40 Millionen Dollar zahlte CNA Financial, Garmin angeblich 10 Millionen und Brenntag zirka 4,4 Millionen. Wofür? Als Lösegeld, damit ihre IT-Systeme wieder entschlüsselt wurden. Denn Cyber-Gangster hatten diese über Ransomware infiltriert und “gekapert”.
Über eine Milliarde Euro Lösegeld wurde 2023 insgesamt weltweit an Cyberkriminelle bezahlt – das fand der “Crypto Crime Report” von Chainanalysis heraus. Kein Wunder, denn 11 Prozent der betroffenen Unternehmen, so eine Bitkom-Analyse, bezahlte bei Ransomware-Attacken die geforderten Summen der Erpresser.
Zu den immensen Lösegeldern kommen jeweils noch Hunderttausende bis Millionen von Dollar oder Euro für die Beseitigung der durch die Ransomware-Angriffe verursachten Schäden. Zu diesen Schäden zählen nicht nur technische Maßnahmen, sondern auch der Reputationsverlust der betroffenen Unternehmen.
Und: Teilweise waren erfolgreiche Angriffe wochenlang in den Medien, Kunden stornierten Aufträge oder Interessenten wurden erst gar nicht zu Kunden. Es gibt auch Fälle, in denen börsennotierte Unternehmen die vorgeschriebenen Geschäftsberichte nicht veröffentlichen konnten und deshalb ein Delisting hinnehmen mussten.
Schlimmer noch: Immer mehr Unternehmen rutschen durch einen erfolgreichen Ransomware-Angriff in den Konkurs. So geschehen bei Swisswindows, Cloud Nordic und Prophete.
Wie groß ist die Gefahr von Ransomware-Angriffen?
Leider sind geglückte Ransomware-Attacken keine Ausnahme, sondern mittlerweile die Regel. Start-ups, mittelständische Unternehmen, Konzerne, Vereine, Privatpersonen, NGOs, Behörden, Regierungen – Cyberkriminelle machen vor nichts und niemandem Halt.
Warum sollten sie auch? Das “Geschäft” ist einfach: Viele IT-Systeme sind oft nur minimal geschützt und die am Ende sehr Gewinne hoch.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinem “Lagebericht zur IT-Sicherheit in Deutschland 2023” dazu ganz plakativ:
“Ransomware ist und bleibt die größte Bedrohung”
Was sind die typischen Angriffsvektoren bei Ransomware?
Locky, Petya, WannaCry, CryptoLocker, Emotet … die Liste mit bekannten Ransomware-Varianten ist lang und wird immer länger. Um erfolgreich zu sein, denken sich die Entwickler stets neue Methoden aus. Beliebte “Einfallstore” sind zum Beispiel:
E-Mails
Die Angreifer verschicken (meist massenhaft) E-Mails, in denen sie die Empfänger dazu auffordern, einen Anhang zu öffnen oder auf einen Link zu klicken. Geschieht das, wird der Erpressungstrojaner geöffnet und aktiviert.
Drive-By
Bereits der Besuch einer infizierten Webseite kann dazu führen, dass Ransomware in ein System eingeschleust wird. Die Infektion erfolgt quasi im Vorbeigehen (engl. “drive-by”). Die Schadsoftware nutzt dabei Schwachstellen im Browser oder in Schnittstellen aus. Daher auch der Name Drive-By-Exploit.
Server
Betreiben Unternehmen eigene Server oder Cloud-Infrastrukturen, so sind diese eine beliebte Angriffsfläche für Cyber-Kriminelle. Diese suchen nach Sicherheitslücken, um Ransomware und andere Formen von Malware ins System einzuschleusen.
Es gibt keinen Stillstand!
Ransomware wird kontinuierlich weiterentwickelt. So sind derzeit Tools wie WormGPT total “in”. Mit diesen KI-basierten Programmen lassen sich leicht personalisierte Fake-Mails oder Quellcode für neue Malware generieren.
Dazu kommt noch die Bedrohung durch polymorphe und metamorphe Malware. Diese “Biester” verändern eigenständig kontinuierlich ihren Code (beispielsweise durch Code Permutation oder Code Shrinking), um schlechter oder gar nicht von Security Suiten erkannt zu werden.
immer besseren KI-Systemen auch die Bedrohung durch Ransomware und Co. deutlich zunehmen wird. Proaktiver Schutz und richtiges Handeln nach einer Infektion sind daher wichtiger denn je.
Schutz vor Ransomware: Was hilft?
Ransomware ist wie echte Viren und Bakterien allgegenwärtig. Damit die digitalen Bazillen ihre Wirkung nicht entfalten können, müssen Sie Ihre IT-Systeme vom Einzelplatzrechner bis zur Cloud-Infrastruktur richtig schützen.
Dazu gibt es folgende technische und organisatorische Maßnahmen:
Misstrauen
Seien Sie und Ihre Kollegen stets misstrauisch, wenn Sie eine E-Mail erhalten. Viele mit Ransomware verseuchten Nachrichten lassen sich leicht erkennen, da sie beispielsweise von einem unbekannten Absender stammen oder auffällige Schreibfehler beinhalten. Doch in Zeiten von ChatGPT, WormGPT und dergleichen wird die Qualität der Fake-Mails rasant besser.
Schulungen
Wie erkennt man eine Ransomware-Mail? Warum darf man niemals USB-Sticks von Fremden benutzen? Welche Websites sollte man nicht besuchen? Diese und ähnliche Fragen werden in Sicherheitsfortbildungen geklärt. Sie dienen dazu, die Mitarbeiter für das Thema Malware und IT-Security zu sensibiliseren.
Updates
Die meisten Angreifer nutzen Sicherheitslücken aus, die teilweise seit Jahren bekannt sind. Oder sie stürzen sich auf eine Schwachstelle, die kürzlich entdeckt wurde. In beiden Fällen ist das Updaten aller Betriebssysteme und Applikationen ein wirksamer Schutz.
Logins
Ein System mit einem Passwort wie “123456” oder “hallo” zu sichern, ist keine gute Idee. Ebenso schlecht ist es, wenn mehrere oder gar alle Nutzer die vollen Admin-Rechte haben. Damit Angreifer es nicht so leicht haben, müssen alle Logins so weit wie möglich gesichert und die Rechte deutlich beschnitten werden. Das geschieht über komplizierte Passwörter und eine Zwei- oder Multi-Faktor-Authentifizierung.
Systemcheck
Jede IT-Abteilung muss regelmäßig überprüfen, ob alle Systeme auf dem Stand der Technik sind. Das gilt nicht nur für die eigene, sondern auch für fremde Hard- und Software. Haben Sie beispielsweise eine BYOD-Politik (Bring Your Own Device), müssen restriktiv veraltete und/oder unsichere Geräte verboten werden.
Security-Lösungen
Von Anti-Malware-Suiten über Vulnerability Scanner bis hin zu MDR/XDR-Solutions: Es gibt eine Vielzahl an Möglichkeiten, um Ransomware und andere Malware-Varianten zu erkennen und unschädlich zu machen. Diese sind aber nur wirkungsvoll, wenn sie stets “up to date” sind und professionell betreut werden.
Extrem wichtig: Systemhärtung!
Systemhärtung (englisch: System Hardening) zielt darauf ab, einzelne Anwendungen, Betriebssysteme und ganze IT-Landschaften widerstandsfähiger und damit sicherer zu machen.
Ein wichtiger Bestandteil des “Härtens” ist das Deaktivieren von unsicheren Einstellungen und das Deinstallieren von nicht benötigten Programmen. Denn alles, was als unnötig und/oder unsicher angesehen wird, kann eine Angriffsfläche für Ransomware darstellen.
Schließen Sie im übertragenen Sinne alle Türen und Fenster, um es den “Cybergangstern” zu erschweren, in Ihr Haus einzudringen!
Das bedeutet: Systemhärtung ist im Gegensatz zu Anti-Malware-Suiten und ähnlichen Lösungen keine Maßnahme aus dem Bereich “Detection & Response”, sondern aus dem Bereich “Protection”.
Denn mit einer sicheren Konfiguration schließen Sie präventiv eine Vielzahl von Sicherheitslücken und reduzieren deutlich die potenziellen Angriffsflächen!
Was ist, wenn Ransomware in die Systeme gelangt?
Bei der professionellen “Härtung” werden Systeme so konfiguriert, dass erfolgreiche Angriffe ins Leere laufen. Dabei spielt es keine Rolle, ob Cyberkriminelle mit Ransomware oder anderen Maßnahmen versuchen, Zugang und Kontrolle zu erlangen.
Hier ein Videobeispiel, wie durch Systemhärtung mit dem Enforce Administrator die Malware Mimikatz ihren Schrecken verliert.
Auch Datenspionage wie das Auslesen der Telemetriedaten unter Windows kann durch OS Hardening reduziert werden.
Haben Sie den richtigen Schutz gegen Verschlüsselungstrojaner?
Die sichere Konfiguration von Systemen gegen Malware ist keine geheime Wissenschaft. Behörden und Organisationen wie BSI, DISA und CIS geben seit Jahren Empfehlungen und Ratgeber heraus, die Sie kostenfrei nutzen können.
Ob Ihre Systeme die – teils sehr hohen – Hardening-Anforderungen erfüllen, finden Sie mit dem AuditTAP heraus. Das Open-Source-Tool führt einen schnellen Check durch und erstellt einen Report.
Wenn Sie wissen, wo in Ihrem System Schwachstellen sind, die Sie mit einer Konfiguration beheben können, sollten Sie diese so schnell wie möglich schließen. Dazu müssen in der Regel hunderte oder gar tausende von Einstellungen pro System vorgenommen und ständig überwacht werden – ein extremer Aufwand!
Eine einfache Lösung ist hierfür der Enforce Administrator. Mit diesem Hardening-Tool können Sie mit überschaubaren Aufwand Ihre ganze Systemlandschaft härten und den Stand der Härtung automatisiert überwachen. Kommt es zu Veränderungen, beispielsweise durch eine Ransomware, nimmt der Enforce Administrator diese proaktiv zurück.
Wollen Sie mehr darüber erfahren, wie Systemhärtung zu einem besseren Schutz gegen Ransomware beiträgt? Oder möchten Sie wissen, wie Sie Ihre IT-System richtig härten können? Unser Team ist gerne für Sie da!
💬 Melden Sie sich bei Sie uns!
Bilder: Freepik, Bitkom