Sehr erschreckend sind die Ergebnisse der von Sophos veröffentlichen Ransomare-Studie „The State of Ransomware 2022„: 2021 sind 67% der befragten Organisationen in Deutschland von Ransomare befallen worden (Seite 12 der Studie). Deutschland liegt damit ungefähr im weltweiten Durchschnitt (66%). Die Folgen der Angriffe waren dramatisch: 65% der Angriffe führten zu einer Verschlüsselung der Daten, knapp die Hälfte der Opfer (46%) zahlte Lösegeld.

Eine Lösegeldzahlung – ethische und moralische Aspekte außer Acht gelassen – führte nur zu 4% zur kompletten Wiederherstellung, durchschnittlich konnten 61% der verbrecherisch verschlüsselten Daten nach einer Lösegeldzahlung wiederhergestellt werden.

Versicherungen

In den letzten Jahren boten spezielle Cyber-Versicherungen einen gewissen Schutz vor den Angriffsfolgen. Inzwischen werden solche Versicherungen jedoch von den Versicherungsgesellschaften gar nicht mehr oder nur zu horrenden Prämien angeboten. Gegen ein „fast sicheres Ereignis“, das ein Ransomwarebefall heutzutage bildet, kann man sich nicht versichern. Abgesehen fordern Versicherungsgesellschaften verständlicher- und richtigerweise inzwischen sehr umfassende Schutzmaßnahmen.

Wie vor Ransomware und den Ransomwareangriffsfolgen schützen

Ein 100%iger Schutz vor Ransomware ist technisch nicht möglich, zumindest dann nicht, wenn man mit der IT arbeiten möchte. Primär sind zwei Aspekte relevant: die Technik und das Benutzy. Es wird immer Zero-Day-Sicherheitslücken geben, die rein technische Einfallstore liefern. Vor allem sind wir, die Benutzys, jedoch Menschen und machen, wie auch die Programmierys, die Programmierfehler machen, Bedienfehler. Durch geschickte Formulierungen schaffen es die Angreifys, Benutzys zu Handlungen zu bringen und die Ransomware zu aktivieren. Ein Schutz hiergegen mittels Technik ist nur durch eine Verhinderung der Arbeitsfähigkeit möglich.

Schutz 1: Aktuelle Patche

Sicherheitslücken in Software ist eines der größten Sicherheitsrisiken. Aus diesem Grunde sollten Updates, die Sicherheitslücken beheben, schnellstens, jedoch nach Überlegung, eingespielt werden. Die Problematik für ein Administraty, das die Updates einspielt, bildet immer die „goldene Regel“: „Never change a running system.“ Jedes Update birgt auch das Risiko, dass durch das Update störende Folgen auftreten, das System ggf. gar nicht mehr funktioniert. Das Administraty muss also immer den Sicherheitsgewinn gegen das Angriffsrisiko abwägen und den Updatezeitpunkt passend wählen, ggf. „Fallback-Systeme“ bereithalten.

Schutz 2: Nur die IT nutzbar machen, die wirklich benötigt wird

Technische Schutzmöglichkeiten bilden einen Baustein. Wenn ein Benutzy keine Makros in Office-Programmen braucht, dann verbiete man technisch die Makro-Nutzung durch diesen Benutzy. Es wird andere Benutzys geben, die Makros brauchen. Aber zumindest die Nutzys, die Makros nicht brauchen, sind vor einem falschen „Makro-Klick“ geschützt. Gleiches gilt für andere Programme: Bei jedem Arbeitsplatz kann überlegt werden, welche Programme benötigt werden. Eine Schutzmaßnahme ist, nur diese Programme zur Benutzung freizugeben (Application-Whitelisting). Ein solches Vorgehen bedeutet Aufwand: Die Prozesse der Benutzys sind zu analysieren und die Whitelists sind zu pflegen. Aber der Schutz steigt. Bei der Gelegenheit: Wir unterstützen Sie gerne bei der Umsetzung eines solchen Whitelisting-Systems.

Schutz 3: Sensibilisierung

Die Aufmerksamkeit und Sensibilität der Menschen, der Benutzys ist ein unverzichtbarer Bestandteil des Schutzes vor Ransomware. Mitarbeitys müssen geschult sein, an welchen Kriterien Sie Ransomware und Phishing-Angriffe erkennen können. Und weil die Methoden der Angreifer immer perfider werden, ist eine regelmäßige Weiterbildung notwendig. Bewährt hat sich eine regelmäßige Angriffssimulation in Verbindung mit einer Schulung und einem Belohnungssystem.

Firmenspezifische Phishing-Simulationen zum Awareness-Training sind übrigens schon in wenigen Stunden umgesetzt und damit insbesondere durch den Aha-Effekt relativ preiswert.

Ein sehr wichtiger Bestandteil von Awareness-Schulungen ist es, die Mitarbeitys „mitzunehmen“ und sie nicht nur über die Technik und die Erkennung, sondern auch über die Risiken und möglichen Angriffsfolgen – auch für ihren jeweiligen Arbeitsplatz – aufzuklären. Es ist erschreckend, dass Mitarbeitys nach wie vor unbekannte USB-Sticks, die sie gefunden haben, eher in den Firmenrechner stecken als in den privaten PC.

Schutz 4: Das sichere Backup

Das sichere Backup ist DER Schutz vor Ransomware. Wenn eine Organisation ein aktuelles Backup hat, welches garantiert alle aktuellen Daten enthält und dieses Backup in kurzer Zeit zurückspielen kann, dann kann sie einem Ransomwarebefall sehr gelassen entgegen sehen. Doch der Teufel steckt im Detail:

  • Ist das Backup so organisiert, dass es nicht auch bei einem Angriff mit verschlüsselt wird?
  • Ist sicher gestellt, dass nicht über eine gewisse Zeit schon verschlüsselte Dateien gesichert wurden? Gibt es dann ein Backup mit den unveränderten, unverschlüsselten Dateien – auch wenn der Ransomwaretrojaner ggf. schon Monate im Hintergrund „gewütet“ hat?
  • Ist das Backup kurzfristig wieder rückspielbar? Heutige Datenmengen sind groß und es dauert eine erhebliche Zeit, mehrere TB an Daten wieder aufzusetzen.
  • Gibt es einen Notfallplan, ist vorgeplant und geübt, wie vorzugehen ist? Oder rennen im Befallsfall alle panisch und vom Aktionismus angetrieben durch die Organisation?

Schutz 5: So helfen wir Ihnen

Als Organisationsleitung brauchen Sie eine Lösung für die Ransomwaregefahr, als IT-Abteilung haben Sie „noch eine Baustelle mehr“. In beiden Fällen sind wir der richtige Ansprechpartner und unterstützen Sie und haben Lösungen:

  • Wir analysieren Ihre IT-Sicherheitssituation und geben Ihnen eine erste Sicherheitsberatung.
  • Wir erstellen für Sie ein Backupkonzept bzw. prüfen Ihr schon vorhandenen Backupkonzept gegen. Vier Augen sehen mehr als zwei Augen.
  • Wir stellen Ihnen mit unserem sicheren Backupsystem eine Backuplösung, die es Ihnen ermöglicht, auf „uralte“ und damit sicher ransomwarefreie Daten zuzugreifen.
  • Wir analysieren Ihre Prozesse und bauen mit Ihnen ein Application-White-Listing-System auf.
  • Wir organisieren und betrieben mit Ihnen oder für Sie das Patch-Management.
  • Wir führen für Ihre Organisation zugeschnittene Phishing-Simulationen durch – wie viele Ihre Kolleginnen und Kollegen (Kollegys), Mitarbeiterinnen und Mitarbeiter (Mitarbeitys) fallen hinein?
  • Und wir haben die passenden, aktuellen Awareness-Schulungen.

Von Dr. Martin H. Ludwig

Dr. Martin H. Ludwig ist Geschäftsführer der ima GmbH, leidenschaftlicher IT-ler und Datenschutzexperte. Wenn er Zeit findet, schreibt er über IT-Probleme oder -Besonderheiten im Blog.

Schreibe einen Kommentar