Blog
Blog von ISPIN

Mittelstand im Fadenkreuz: 10 Massnahmen gegen Ransomware


Erstellt von Reto Zeidler, CMSO

Cyberattacken stehen auf der Tagesordnung. Jedes Unternehmen kann es treffen. Während grosse Organisationen längst vorbereitet sind, scheinen kleine und mittlere Unternehmen mit ihren geringeren Budgets und Personalkapazitäten dem Risiko häufig schutzlos ausgeliefert. Doch das ist nicht so. Mit diesen 10 Massnahmen schützen sich KMU vor Ransomware und auch anderen Security-Angriffen.

Ransomware ist eine massive Gefahr für Unternehmen. Eine Gefahr, die zunimmt. Allein im ersten Quartal dieses Jahres wurde in der Schweiz eine Steigerung der Vorfälle von 118 Prozent registriert, wobei zunehmend kleinere und mittlere Unternehmen zu Opfern der Attacken werden. Der Grund dafür ist naheliegend: Viele kleinere und mittlere Unternehmen sind mangelhaft vorbereitet, wie die Meldestelle Informationssicherheit des Bundes (Melani) in ihrem letzten Halbjahresbericht festhält, das betrifft insbesondere:

  • Schwächen bei der Erkennung und Abwehr von Ransomware Attacken. 
  • Fehlendes Know-how für den richtigen Umgang mit Cyberrisiken.

Die Ransomware-Wellen der jüngsten Zeit zeigen die zunehmende Professionalisierung der Cyberkriminalität. Ein Beispiel dafür ist der Trojaner Emotet. Ursprünglich entwickelt als eBanking Trojaner wurde er 2014 in Umlauf gebracht. Emotet wurde zunächst eingesetzt, um eBanking Benutzerinformationen zu stehlen. Die Malware wurde seither zu einer eigentlichen Plattform weiterentwickelt, welche über ein eigenes Botnet eine ganze Palette von Malware verteilen kann. Die Spannweite reicht dabei vom Ausspionieren von Passwörtern bis hin zur Übernahme ganzer Rechner und, seit 2017, auch für Ransomware. Emotet steht auch exemplarisch dafür, wie sich Cyberkriminalität zu einer eigentlichen Industrie entwickelt hat und heute nach Schätzungen weltweit rund 1.5 Billionen USD "umsetzt". Wobei der volkswirtschaftliche Schaden nach Schätzungen des WEF für 2021 sogar auf 6 Billionen USD prognostiziert wird.

Sind KMU dem Cyberrisiko hilflos ausgeliefert?

Grosse Unternehmen haben längst auf diese Veränderungen der Bedrohungslage reagiert und haben Ihre ihre Cybersecurity-Organisationen massiv ausgebaut. Aber heisst das nun kleinere und mittlere Unternehmen sind dieser Entwicklung mit ihren begrenzten Ressourcen wehrlos ausgeliefert? 

Es trifft definitiv nicht zu, dass nur grosse Unternehmen oder Banken in der Lage sind, sich vor solchen Angriffen zu schützen. Tatsächlich folgen Cyberattacken allgemein, und besonders Ransomware, einer kommerziellen Logik. Attraktiv sind in erster Linie leichte Opfer. Grundsätzlich kann jede Organisation, unabhängig von Grösse und Geschäftsfeld, von Ransomware Attacken betroffen sein. Ob und wie sich diese Attacken auswirken, hängt jedoch entscheidend davon ab, wie eine Organisation darauf vorbereitet ist. Dabei geht es nicht primär um Technologien, sondern vielmehr um Grundsätze, deren Einhaltung die Angriffsfläche von Organisationen massiv reduzieren können - nicht nur gegen Ransomware, sondern gegen Cyberrisiken insgesamt.

10 effiziente Massnahmen gegen Cyberbedrohungen

1 Bewusstsein über die eigene Verwundbarkeit

Damit eine Cyberattacke erfolgreich ist (d. h. Schaden anrichten kann), braucht es immer mehrere Faktoren:

  • Zunächst einmal eine latente Gefahr, genannt Threat.
  • Eine Schwachstelle (Vulnerability).
  • Eine Möglichkeit für einen Angreifer, diese Schwachstelle auszunutzen (Exposure). 

Im Fall von Ransomware heissen die Schwachstellen Mensch, (Betriebs-)Systeme und Anwendungen. Das Exposure ist primär über das Internet, eMail und interne Netzwerke gegeben. Der Erfolg einer Cybersecurity-Strategie misst sich daran, wie es ihr gelingt, die Verwundbarkeiten zu erkennen und so gering wie möglich zu halten. Dort, wo das nur eingeschränkt möglich ist, gilt es, das Exposure dieser Verwundbarkeiten zu reduzieren. Ein gutes Beispiel dafür ist der Faktor Mensch. Diese Verwundbarkeit lässt sich kaum eliminieren. Hingegen kann das Exposure durch Security Awareness-Massnahmen deutlich reduziert werden.

2 Tote leben am längsten: Legacy Systeme

In so manchen Organisationen trifft man veraltete Betriebssysteme an. Die Gründe dafür mögen vielfältig sein. Tatsache ist, dass auch ein grosser Teil der Malware, wie auch die meisten der derzeit aktiven Ransomware-Familien, solche veralteten Betriebssysteme mögen, allen voran Microsoft Windows. 2017 tobten die beiden WannaCry- und NotPetya- Wellen über den Globus. Der Grund war eine (bereits im Vorfeld bekannte) Schwachstelle im ebenfalls bereits damals veralteten Windows SMB Service. Es ist also ratsam, seine Betriebssystemflotte auf aktuellem Stand zu halten. In Fällen, wo das nicht möglich ist, sollte man sich der Gefahr bewusst sein und ihr durch verstärkte Überwachungsmassnahmen und administrative Einschränkungen Rechnung tragen.

3 Bulletproof: System Hardening

Ein weiterer, entscheidender Faktor, welcher Ransomware signifikant begünstigt (oder verhindern kann), ist die Angriffsfläche innerhalb eines Netzwerkes. Schlecht konfigurierte Systeme, offene Ports und ungenutzte, aber aktive Services können durch unerwünschte "Gäste" ausgenutzt werden. Es ist wichtig zu verstehen, dass kein Betriebssystem von Haus aus sicher ist. In der Regel muss es entsprechend seiner Bestimmung und nach entsprechenden Empfehlungen des Herstellers angepasst werden. Dieser Vorgang wird auch als System Hardening bezeichnet.

4 Firewalls sind gegen Ransomware wirkungslos

Nach wie vor verlassen sich viele Unternehmen auf klassische Firewalls sowie auf Antivirus-Programme. Spätestens mit dem Auftauchen von Advanced Threats (zu denen auch Ransomware zählt) ist dieses Konzept überholt. Das Problem dabei ist, dass sich Advanced Threats zunächst auf legitimem Weg (meistens mit Hilfe eines Menschen) in eine Organisation schleichen, um dort ihre destruktive Bestimmung zu entfalten. Genau genommen kommen diese Threats also von innen und nicht von aussen.

5 Ransomware liebt flache Netzwerkhierarchien

Nicht nur Ransomware, sondern auch Hacker lieben flache Netzwerkhierarchien. Diese erlauben ihnen, sich mehr oder minder ungehindert von System zu System "zu hangeln". Dieser als Lateral Movement bekannte Vorgang ist notwendig, um einen Angriff überhaupt erfolgreich durchführen zu können. Es ist daher ratsam, die Netzwerkarchitektur so zu gestalten, dass sensible Bereiche getrennt sind. Im Zusammenhang mit Ransomware gilt das besonders für die Trennung von Client- und Serversystemen.

6 Online Backups sind praktisch, aber…

In vielen Ransomware-Fällen bleiben betroffenen Organisationen nur zwei Möglichkeiten:

  • Bezahlen und hoffen, dass die Täter den Kryptoschlüssel liefern.
  • Oder das letzte Backup wiederherstellen. 

Mit der Verfügbarkeit von günstigem Speicherplatz in der Cloud haben sich Online Backups in den letzten Jahren weit verbreitet. Dabei werden die Backups direkt online gespeichert. Der Vorteil ist, dass die Daten bei Bedarf rasch verfügbar sind und das umständliche Hantieren mit den teureren Backup-Tapes entfällt. Nicht wenige Unternehmen verzichten heute ganz auf Offline-Backups. Was zunächst vernünftig klingt, hat sich in nicht wenigen Ransomware-Fällen als fatal erwiesen. Insbesondere dort, wo das Backup die einzige Möglichkeit war, die verschlüsselten Daten wiederherzustellen.

7 Benutzerverwaltung unter Kontrolle

Der einfachste Weg, eine verschlossene Tür zu öffnen, ist der Besitz des Schlüssels. In der digitalen Welt sind Benutzernamen und Passwörter dieser Schlüssel. Daher haben viele Cyberattacken zunächst das Ziel, an diese Informationen zu kommen. Schwache Passwörter, ein sorgloser Umgang mit Benutzerkonten und Berechtigungen bilden eine willkommene Angriffsfläche für Angreifer. Durch die Verwendung von Multifactor Authentication (MFA) wird diese Angriffsfläche praktisch eliminiert. Der Aufwand für diese Massnahme ist in der Regel verhältnismässig gering. Zudem werden die Aufwände, im Zusammenhang mit einem umfassenderen Identity Access Management, durch die Vereinfachung bei der Verwaltung von Benutzeraccounts und Berechtigungen mehr als wett gemacht. In Kombination mit Single Sign On (SSO) wird die Massnahme sicherer und einfacher.

8 Verzögern und Verhindern sind nicht das gleiche

Ein physikalisches Schloss kann einen unbefugten Zugang verzögern, aber nicht unbedingt verhindern. So ist es auch in der digitalen Welt. Ein entschlossener Angreifer wird mit genügend Zeit und einer unbegrenzten Anzahl von Einbruchsversuchen früher oder später jede Sicherheitsmassnahme umgehen. Wer einen Angriff wirklich verhindern will, benötigt eine regelmässige Überwachung, die erkennt, dass ein solcher Angriff stattfindet und erlaubt, entsprechende Massnahmen zu ergreifen.

9 Security Awareness ist eine der wirtschaftlichsten Massnamen

Der überwiegende Teil der Cyberattacken, insbesondere auch Ransomware, ist auf eine menschliche Interaktion angewiesen, um zum Ziel zu gelangen. Das macht den Menschen zu einem kritischen Faktor in der Verteidigungskette. Er ist also, je nach Betrachtungsweise, das grösste Risiko oder der wichtigste Verbündete in der Abwehr. Das hängt primär davon ab, inwiefern die Benutzer mit den Risiken im täglichen Umgang mit Informationen vertraut sind und sich an entsprechende Regeln halten. Regelmässiges Awareness-Training gehört nicht nur zu den wirksamsten, sondern auch zu den kosteneffizientesten Security-Massnahmen.

10 Vorsorge ist gut

Die Erfahrung zeigt, dass ein Grossteil des Schadens im Falle eines Cyber-Incidents davon abhängt, wie rasch ein Unternehmen auf den Angriff reagieren kann. Das ist unabhängig davon, über welche präventiven Massnahmen eine Organisation gegen Ransomware und andere Cyberrisiken verfügt. Eine gute Security-Strategie beschäftigt sich deshalb auch immer mit dem Worst Case-Szenario: einem ernsthaften Zwischenfall, der Informationen, Reputation oder sogar die Existenz eines Unternehmens gefährden kann. Das Krisenmanagement im Worst Case-Fall folgt völlig anderen Regeln. Es ist daher wichtig, dass sich alle involvierten Stellen mit relevanten Szenarien auseinandersetzen, um so rasches, überlegtes und zielgerichtetes Handeln zu gewährleisten. Incident Response-Pläne helfen dabei, vorausgesetzt sie werden laufend aktualisiert und regelmässig trainiert.

Zusammen. Sicher.

Cyberrisiken sind die Kehrseite der Digitalisierung. Sie werden uns auch in Zukunft beschäftigen. Das sie bestimmten Gesetzmässigkeiten folgen, hat jede Organisation, unabhängig von Grösse und Geschäftsfeld, die Möglichkeit, durch angemessene und zielgerichtete Massnahmen ihre Resilienz gegenüber diesen Risiken optimal einzustellen. Jedes Unternehmen sollte auf maximalen Schutz setzen. Welche Strategien und Massnahmen dabei im Einzelfall die optimalen sind, gilt es zu erarbeiten. 

Bei Cybersecurity ist der Massanzug die bessere Wahl vor der Stangenware. Diesen gibt es auch für kleine und mittlere Unternehmen.
Kontaktieren Sie uns via info@ispin.ch oder +41 44 838 3111. Unsere Experten unterstützen Sie gerne.
 

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top