Zum Inhalt springen

Geschrieben von Robert Schäfer:

Es ist eine Sorge, die viele Unternehmen, Verbände und sogar Kommunen umtreibt: Angriffe durch Kriminelle auf ihr IT-System. Und neben den klassischen „Einbrüchen“, Datenvandalismus und Datendiebstahl hat in den letzten Monaten vor allem ein Szenario an Bedeutung gewonnen: Ransomware.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit längerem vor der Gefahr: „Bei einem Ransomware-Angriff werden die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten gedroht, um das Opfer zusätzlich unter Druck zu setzen.“ Für die Erpressten ist das oft eine Katastrophe. Das BSI rät daher zur Vorsorge.

 

Patches und Updates: 

Die Ausnutzung einer, in der Regel bereits vom Hersteller behobenen, Schwachstelle in einem Softwareprogramm gehört zu den drei häufigsten Einfallstoren von Ransomware-Gruppen. Unternehmen sollten daher stets darauf achten, ihre gesamte IT auf dem aktuellen Stand zu halten.


Remote Zugänge: 

Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren. Daher muss der Zugriff von außen abgesichert werden.


E-Mails und Makros: 

Die Darstellung von E-Mails sollte möglichst als Textdarstellung erfolgen, mindestens jedoch die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.


Ausführen von Programmen: 

Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird. Mit einer „Application Whitelist“ können nur festgelegte Programme gestartet werden. Weniger aufwändige Möglichkeiten sind das „Application Directory Whitelisting“ oder das „Execution Directory Whitelisting“.


Virenschutz: 

Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt. Die meisten Infektionen mit neuen Varianten von Ransomware werden durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt.


Administrator Accounts: 

Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden.


Netzwerk segmentieren: 

Eine saubere Netzsegmentierung hilft Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann.


Backups und Datensicherungskonzept: 

Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann. Die Daten müssen in einem Offline-Backup gesichert werden.


Netzlaufwerke: 

Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind. Wichtige Dokumente sollten nie nur lokal abgelegt werden.

Notfallplan: 

Für das Worst-Case Szenario – alle Systeme im Netzwerk sind verschlüsselt und ein Erpressungsschreiben liegt vor – sollte eine Notfallplanung existieren und die Prozesse zur Reaktion und Wiederherstellung geschäftskritischer Systeme in regelmäßigen Abständen geübt werden. Insbesondere müssen vorab die geschäftskritischen Systeme identifiziert werden und alternative Kommunikationsmöglichkeiten vorbereitet sein.


Doch selbst bei Einhaltung aller BSI-Vorgaben stellt das Worst-Case Szenario für viele Unternehmen einen echten Einschnitt da. Alle Prozesse kommen von jetzt auf gleich zum Erliegen, Onlineshops sind auf einmal offline, oft ist sogar die Kommunikation mit Mitarbeitern im Home Office oder den Kunden unterbrochen.
Hier bietet etwa das Bissendorfer Unternehmen „CloudDesign“ eine neue Möglichkeit an, um die schlimmsten Folgen zu mildern. Grundsätzlich unterstützen die Fachleute Unternehmen beim Aufbau sicherer IT-Systeme, wobei unter anderem große, sichere Cloud-Systeme zum Einsatz kommen. Aber wenn größere lokale Systeme zum Einsatz kommen, bleiben Risiken. „Selbst wenn alle Backups ordentlich gesichert wurden, ist das keine Garantie, dass das Unternehmen schnell wieder am Netz ist “, sagt Thorsten Treidel, Geschäftsführer des Bissendorfer Unternehmens. „Oft genug sind die Eindringlinge schon seit Monaten im System. Dann sind auch die entsprechenden Backups infiziert.“ Für Fachleute ist die Situation klar: „Alles, was der Kunde hat, ist rot“, sagt Treidel und meint damit „potenziell infiziert und aus Sicherheitsgründen nicht einsetzbar.“


Dann hilft nur der Neuaufbau aller Systeme und das kann dauern. „In so einem Fall können wir mit einem ’Rechenzentrum vor Ort’ helfen“, so Treidel. Das etwa 380 000 Euro teure System ist von außen wenig eindrucksvoll, erinnert eher an eine große Kiste auf Rädern. Im Inneren ist jedoch Technik vom Allerfeinsten verbaut. 40 Terabyte Speicherplatz, zwei leistungsstarke Server, ein Switch und eine Firewall bringen alles mit, um im betroffenen Unternehmen ein eigenes, unabhängiges Netzwerk aufzubauen.


„Unser System bildet dann die grüne Umgebung, die sofort genutzt werden kann“, so Treidel. 50 bis 60 virtuelle Server kann das mobile Rechenzentrum zur Verfügung stellen und so schnell wieder Kommunikation und funktionierende Arbeitsumgebungen herstellen, während die lokale Hardware wiederhergestellt wird.