Ransomware-Leitfaden für kleine und mittelgroße Unternehmen

VERHINDERN

Um künftige Ransomware-Angriffe zu verhindern, solltest du die folgenden Präventionsmaßnahmen ergreifen

1. MFA installieren

• Verwende die Multi-Faktor-Authentifizierung wann immer möglich. Verwende beim Fernzugriff immer die Multi-Faktor-Authentifizierung.
• Die meisten Multi-Faktor-Authentifizierungstools kombinieren dein Passwort mit Dingen, die du hast (Smartphone, Ausweis, ID-Karte) oder die du bist (Fingerabdruck). Die Verwendung mehrerer Elemente zur Authentifizierung verringert das Risiko eines Hackerangriffs. Wie das geht, erfährst du hier.
• MFA ist ein Muss für deine Konten, denn es bietet eine zusätzliche Sicherheitsebene und ist insgesamt eine der besten Schutzmaßnahmen, die du haben kannst.

2. Stellen Sie die kontinuierliche Aktualisierung Ihrer Systeme sicher

• Halten Sie Ihre Betriebssysteme, Software und Sicherheitslösungen auf dem neuesten Stand, um deren Anfälligkeit für Angriffe zu verringern. Tun Sie dies, indem Sie alle Patches installieren und nach möglichen Schwachstellen suchen. Ihr IT-Partner kann und muss dafür verantwortlich gemacht werden, dass Ihre Systeme stets dem neuesten Stand entsprechen. Selbst ein vollständig gepatchtes System bietet keinen 100%igen Schutz, es kann jedoch dazu beitragen, dass ein Angriff abgewehrt wird.
• Die meiste Software, die von Unternehmen genutzt wird, wird regelmäßig vom Hersteller aktualisiert. Diese Updates können Patches enthalten, die den Schutz der Software vor neuen Bedrohungen verbessern sollen. 
  Jedes Unternehmen sollte einen Mitarbeiter benennen, der für die Aktualisierung der Software zuständig ist. Indem wir die Anzahl der Personen, die an der Aktualisierung des Systems beteiligt sind, reduzieren, verringern wir die Anzahl der potenziellen Angriffsvektoren für Cyberkriminelle. 
• Monatliche Aktualisierungen sind ein Muss und ein schrittweiser Ansatz (Testphase, dann in Produktion gehen) ist eine gute Sache. 
  Du musst auch ein Inventar deiner Ressourcen haben: eine klare Vorstellung davon, was in deinem Netzwerk vorhanden ist.

Registriere deine Organisation bei Safeonweb@work, um Warnungen zu erhalten und über Schwachstellen zu berichten.

3. Backups erstellen

• Backups sind unerlässlich, um Dateien nach einem Vorfall mit Ransomware wiederherstellen zu können. Die Sicherung aller wichtigen Dateien und Systeme ist einer der besten Schutzmaßnahmen gegen Ransomware. Wenn du entscheiden musst, wie viele Backups möglich sind, überlege, welche Daten für dein Unternehmen am wichtigsten sind.
• Alle Daten können bis zum letzten Backup wiederhergestellt werden. Backup-Dateien sollten getestet werden, um sicherzustellen, dass die Daten vollständig und unbeschädigt sind. Diese Analyse ist unerlässlich!
• Wende die 3 zu 1 Regel an: 2 verschiedene Sicherungen vor Ort und eine an einem anderen Standort. Eine dieser Sicherungskopien muss die "Offline"-Kopie sein.
• Begrenze die Anzahl der Nutzer, die auf dein Backup zugreifen können. Je weniger es sind, desto besser.

4. Unterrichte deine Mitarbeiter/innen

• Bringe deinen Mitarbeitern bei, wie sie Phishing erkennen können, z. B. indem sie verdächtige E-Mails und Links meiden. Diese Mails sind oft der Weg, wie dein Unternehmen kompromittiert wird. Mehr Informationen dazu findest du auf safeonweb.be.
• Richte ein Qualitätsprogramm für Cybersicherheitstraining und -bewusstsein ein. 
• Führe regelmäßig Phishing-Tests durch und kläre die Nutzer/innen auf. Kläre die Nutzer/innen darüber auf, wie wichtig es ist, nicht auf alles und jedes zu klicken und wie man Spam- und Phishing-E-Mails erkennt. 
• Bilde dein IT-Personal fortlaufend weiter.

5. Rechteverwaltung

• Beschränke administrative Rechte und Freigaben.
• Angemessene Nachverfolgung von Anmeldeinformationen: Jeder Mitarbeiter, jeder Auftragnehmer und jeder Zugang zu Systemen ist ein potenzieller Angriffspunkt für böswillige Akteure. Personalwechsel, die Nichtaktualisierung von Passwörtern und unangemessene Beschränkungen sind allesamt potenzielle Vektoren, die ein böswilliger Akteur ausnutzen kann, um ein Computersystem zu kompromittieren.
• Aktiviere das Betriebssystem, um Dateierweiterungen anzuzeigen.
• Deaktiviere AutoPlay.
• Blockiere USB-Speicher.
• Installiere eine Werbeblocker-Software am Netzwerkrand.

REAGIEREN

Um auf einen aktuellen Ransomware-Angriff zu reagieren, solltest du folgende Maßnahmen ergreifen.

Schau dir unseren Leitfaden an Wie man auf einen Ransomware-Angriff reagiert - 12 Schritte

1. Bestimmen und bestätigen Sie das Ausmaß des Ransomware-Angriffs

• Der Neuaufbau der Systeme ist dabei NICHT der erste Schritt. Beurteilen Sie das Ausmaß des Ransomware-Angriffs, indem Sie sich darauf konzentrieren, welche Daten verschlüsselt bzw. potenziell vom Eindringling entwendet wurden.
• Die Beantwortung dieser Frage ist entscheidend für Ihre Antwort. Versuchen Sie zu dokumentieren, welche Daten sich auf den verschlüsselten Rechnern befanden, und identifizieren Sie solche Daten, die gestohlen worden sein könnten.

2. Isolieren Sie betroffene Geräte so weit wie möglich, um eine weitere Verbreitung zu verhindern.

Wenn Ransomware zuschlägt, ist es wichtig, die betroffenen Anlagen so weit wie möglich zu isolieren, um eine weitere Verbreitung zu verhindern. Gehen Sie davon aus, dass die Angreifer bereits tief in Ihre Umgebung eingedrungen waren,, bevor der Ransomware-Angriff durchgeführt wurde.
Isolieren Sie zunächst die infizierten Geräte und entfernen Sie sie aus dem Netzwerk. Ziehen Sie die Netzwerkkabel ab, und beenden Sie die Netzwerkverbindungen (einschließlich der WLAN-Netze). Wenn Ihr Netzwerk dies zulässt und ordnungsgemäß segmentiert ist, können Sie das infizierte Netzwerksegment auch abtrennen.

• Schalten Sie die infizierten Geräte NICHT aus und vermeiden Sie es, die Systeme herunterzufahren. Möglicherweise ist darauf noch Malware installiert, die nicht aktiviert ist. Ein laufendes System kann auch hilfreich sein, wenn Sie einen Dienstleister mit der Durchführung der Überprüfungen beauftragen.
• Beginnen Sie mit dem Neuaufbau der Systeme erst dann, wenn das Ausmaß des Angriffs bekannt ist, d. h. die eingesetzte Methode, der Zeitpunkt und die betroffenen Systeme.

3. Bewerten Sie die Integrität Ihrer Backups

Vergewissern Sie sich, dass die Angreifer nicht auch die Integrität Ihrer Datensicherungssysteme kompromittiert haben.
Überprüfen Sie Ihre Sicherungsdateien, um zu gewährleisten, dass diese nicht betroffen sind, bevor Sie sie zum Neuaufbau Ihrer Umgebung verwenden.

4. Starten Sie Ihre Incident Response

• Wenn Sie über eine interne IT-Abteilung verfügen, kann diese sich um die Lösung des Problems kümmern.
  Andernfalls sollten Sie sich von einem  externen IT-Notdienstleister bei der Beurteilung des Schadensumfangs unterstützen lassen.
  Angesichts der Kosten eines derartigen Vorgehens in Notfällen, sollten Sie prüfen, ob diese Maßnahmen von Ihrer Versicherung gedeckt sind.
• Das Zentrum für Cybersicherheit Belgien (ZCB) rät dringend von der Zahlung eines Lösegelds ab.
  Es kann Situationen geben, in denen die Zahlung als einzig verbleibende Option erscheint. Bitte bedenken Sie, dass die Angreifer höchstwahrscheinlich ein finanzielles Interesse verfolgen. Dabei bewerten sie alle Möglichkeiten, um noch mehr Geld von Ihrer Organisation abzupressen.
• Seien Sie vorsichtig im Umgang mit den Übeltätern: Die Einschaltung eines professionellen Unterhändlers ist kein Allheilmittel. Denken Sie daran, dass es keine Garantie dafür gibt, nach der Zahlung des Lösegelds tatsächlich wieder auf Ihr IT-System zugreifen zu können.

5. Informieren Sie die Behörden

Erstatten Sie Anzeige bei Ihrer örtlichen Polizeidienststelle. Und informieren Sie die Datenschutzbehörde, wenn es einen Hinweis auf einen Datendiebstahl gibt. Die Anzeige eines möglichen Verlusts personenbezogener Daten ist gesetzlich vorgeschrieben und muss vorrangig erfolgen.