Schneller Schutz vor Ransomware und Erpressung

Hinweis

Dieser Leitfaden wird jeweils aktualisiert, sobald neue Informationen verfügbar sind.

Die Abwehr von Ransomware- und Erpressungsangriffen hat für Organisationen eine hohe Dringlichkeit, da diese Art von Angriffen mit gravierenden Auswirkungen verbunden und die Wahrscheinlichkeit hoch ist, dass dieser Fall für Organisationen eintritt.

Ein Ransomware-Angriff ist eine Art von Erpressungsangriff, bei dem Dateien und Ordner verschlüsselt werden und so der Zugriff auf wichtige Dateien verhindert wird. Ransomware wird von Kriminellen genutzt, um von ihren Opfern Geld zu erpressen. Das Geld wird normalerweise in Form von Kryptowährungen gefordert, um einen Schlüssel für die Entschlüsselung zu erhalten. Darüber hinaus nutzen Kriminelle Ransomware häufig, um Geld von Opfern mit der Drohung zu erpressen, dass vertrauliche Daten sonst im Darknet oder im öffentlichen Internet veröffentlicht werden.

In der Anfangszeit der Ransomware-Angriffe wurde meist Schadsoftware genutzt, die per Phishing oder zwischen Geräten verbreitet wurde. Bei den heutigen von Menschen durchgeführten Ransomware-Angriffen nutzt eine Gruppe aktiver Angreifer ihre menschliche Intelligenz, um eine Organisation anzugreifen, anstatt nur ein oder mehrere Geräte. Diese Personen verwenden ihr Wissen in Bezug auf häufige Fehlkonfigurationen und Sicherheitslücken von Systemen und Sicherheitseinrichtungen, um die Organisation zu infiltrieren, sich im Unternehmensnetzwerk zu bewegen und sich dabei an die Umgebung anzupassen und vorhandene Schwächen auszunutzen.

Diese Angriffe können schwerwiegende Folgen für den Geschäftsbetrieb haben und sind schwer zu bereinigen, da eine vollständige Beseitigung der Angreifer erforderlich ist, um sich vor zukünftigen Angriffen zu schützen. Im Gegensatz zur anfänglichen Ransomware, die nur eine Beseitigung der Schadsoftware erfordert hat, kann von Menschen gesteuerte Ransomware auch nach dem ersten Auftreten eine Bedrohung für Ihren Geschäftsbetrieb darstellen.

Professionalität von Ransomware- und Erpressungsangriffen

Zu den wichtigsten technischen Verfahren dieser von Menschen gesteuerten Ransomware-Angriffe gehören normalerweise der Diebstahl von Anmeldeinformationen und die Seitwärtsbewegung. Dies kann zur Bereitstellung von Ransomware-Payloads auf vielen wichtigen Ressourcen führen, um die Zahlung des Lösegelds (Ransom) zu erzwingen. Das Modell der Angreifer ist häufig sehr effektiv und hochgradig optimiert, z. B. mit einer Zerstörung oder Verschlüsselung von Sicherungen, Netzwerk- und Unternehmensdokumentation und anderen Artefakten, die der Organisation eine Wiederherstellung ermöglichen würden, ohne das Lösegeld zu zahlen.

Darüber hinaus werden bei diesen Angriffen professionelle Geschäftsmodelle eingesetzt, bei denen die Angreifer die Höhe des Lösegelds anhand der folgenden Punkte festlegen: interne Finanzdaten des Unternehmens, Höhe des Cyberversicherungsschutzes und häufig auch durch das Unternehmen an Regulierungsbehörden zu zahlende Strafgebühren.

Gliederung des Leitfadens für diese Lösung

Dieser Leitfaden enthält eine konkrete Anleitung, wie Sie Ihre Organisation bestmöglich auf viele Formen von Ransomware- und Erpressungsangriffen vorbereiten können.

Damit Sie besser verstehen, wie Sie Ihre Organisation vor Ransomware schützen können, ist dieser Leitfaden in Phasen mit unterschiedlicher Priorität unterteilt. Für jede Phase ist ein eigener Artikel vorhanden. Durch die gewählte Reihenfolge der Prioritäten soll sichergestellt werden, dass Sie das Risiko in jeder Phase so schnell wie möglich reduzieren. Hierbei wird davon ausgegangen, dass eine hohe Dringlichkeit besteht und die Maßnahmen Vorrang vor den üblichen Sicherheits- und IT-Prioritäten haben, um diese schwerwiegenden Angriffe zu verhindern oder zu entschärfen.

Drei Phasen als Schutz vor Ransomware

Wichtiger Hinweis: Dieser Leitfaden ist in Phasen mit unterschiedlicher Priorität unterteilt, die Sie in der vorgegebenen Reihenfolge durcharbeiten sollten. Gehen Sie wie folgt vor, um diesen Leitfaden am besten an Ihre Situation anzupassen:

  1. Einhalten der empfohlenen Prioritäten

    Verwenden Sie die Phasen als ersten Plan für die Aufgaben, die zuerst, dann als Nächstes und zu späteren Zeitpunkten durchgeführt werden müssen, damit die Schritte mit den größten Auswirkungen zuerst abgearbeitet werden können. Diese Empfehlungen wurden mithilfe des Zero Trust-Prinzips bei Annahme einer Sicherheitsverletzung priorisiert. Dabei liegt der Schwerpunkt auf der Minimierung des Geschäftsrisikos, indem davon ausgegangen wird, dass die Angreifer erfolgreich über eine oder mehrere Methoden Zugriff auf Ihre Umgebung erlangen können.

  2. Achten auf Proaktivität und Flexibilität (ohne wichtige Aufgaben zu überspringen)

    Gehen Sie die Checklisten für die Implementierung für alle Abschnitte aller drei Phasen durch, um zu ermitteln, ob Bereiche und Aufgaben vorhanden sind, die Sie schnell früher erledigen können (z. B. bereits bestehender Zugriff auf einen Clouddienst, der noch nicht genutzt wurde, aber schnell und einfach konfiguriert werden kann). Achten Sie beim Durchgehen des gesamten Plans genau darauf, dass durch diese späteren Bereiche und Aufgaben die Durchführung von kritischen Maßnahmen, z. B. Sicherungen und privilegierter Zugriff, nicht verzögert wird!

  3. Paralleles Ausführen von Schritten

    Es kann überwältigend erscheinen, wenn alles auf einmal durchgeführt werden soll, aber die parallele Ausführung einiger Schritte bietet sich immer an. Die Mitglieder verschiedener Teams können zur gleichen Zeit an Aufgaben arbeiten (z. B. Sicherungsteam, Endpunktteam, Identitätsteam), während gleichzeitig die Phasen der Prioritätsreihenfolge abgearbeitet werden.

Die Punkte in den Implementierungsprüflisten sind in der empfohlenen Priorisierungsreihenfolge aufgeführt, nicht in der Reihenfolge der technischen Abhängigkeiten. Nutzen Sie die Prüflisten, um Ihre vorhandene Konfiguration je nach Bedarf zu bestätigen und zu ändern, und setzen Sie sie so ein, wie dies für Ihre Organisation am besten geeignet ist. Beispielsweise kann es sein, dass Sie unter dem wichtigsten Sicherungselement einige Systeme sichern, die aber nicht offline oder unveränderlich sind. Es kann auch sein, dass Sie nicht alle Wiederherstellungsverfahren des Unternehmens testen, oder Sie verfügen ggf. nicht über Sicherungen kritischer Geschäftssysteme oder IT-Systeme, z. B. AD DS-Domänencontroller (Active Directory Domain Services).

Hinweis

Eine zusätzliche Zusammenfassung dieses Prozesses finden Sie im Beitrag 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021) des Blogs zur Microsoft-Sicherheit.

Phase 1. Vorbereiten des Wiederherstellungsplans

In dieser Phase soll der monetäre Anreiz für Ransomware-Angreifer minimiert werden, indem Folgendes durchgeführt wird:

  • Deutliches Erschweren des Zugriffs auf und der Störung von Systemen oder der Verschlüsselung/Beschädigung von wichtigen Daten der Organisation
  • Vereinfachen des Verfahrens für Ihre Organisation, mit dem nach einem Angriff die Wiederherstellung durchgeführt werden kann, ohne das Lösegeld zu zahlen

Hinweis

Die Wiederherstellung von vielen oder allen Unternehmenssystemen ist keine leichte Aufgabe. Aber die Alternative, bei der Angreifer Geld für einen Wiederherstellungsschlüssel erhalten und dann die von den Angreifern genutzten Tools für die Wiederherstellung der Systeme und Daten genutzt werden müssen, ist die deutlich schlechtere Option.

Phase 2. Begrenzen des Schadensumfangs

Erzielen Sie eine deutliche Erhöhung des Aufwands, der von Angreifern betrieben werden muss, um Zugriff auf mehrere unternehmenskritische Systeme über Rollen mit privilegiertem Zugriff zu erhalten. Indem Sie es für Angreifer erschweren, privilegierten Zugriff zu erhalten, können diese weniger leicht von einem Angriff auf Ihre Organisation profitieren. Dies erhöht die Wahrscheinlichkeit, dass sie aufgeben und sich andere Ziele suchen.

Phase 3 Erschweren des Zugangs

Diese letzte Gruppe von Aufgaben ist wichtig, um Eindringversuche zu erschweren. Die Durchführung dauert aber einige Zeit und ist Teil des weiteren Ausbaus der Sicherheitsmaßnahmen. Das Ziel dieser Phase besteht darin, den Aufwand für Angreifer deutlich zu erhöhen, der an den üblichen Angriffspunkten betrieben werden muss, um Zugang zu Ihren lokalen oder Cloudinfrastrukturen zu erhalten. Hierfür müssen viele Aufgaben erledigt werden. Daher ist es wichtig, Ihre Arbeit an dieser Stelle basierend darauf zu priorisieren, wie schnell Sie diese Aufgaben mit Ihren derzeitigen Ressourcen abarbeiten können.

Viele davon sind zwar bekannt bzw. schnell umzusetzen, aber es ist von entscheidender Bedeutung, dass Ihre Arbeit in Phase 3 Ihre Fortschritte in den Phasen 1 und 2 nicht ausbremst!

Auf einen Blick

Eine Übersicht über die Phasen und ihre Implementierungsprüflisten als Schutzstufen gegen Ransomwareangreifer finden Sie auch auf dem Poster Schützen Ihrer Organisation vor Ransomware.

Poster „Schützen Ihrer Organisation vor Ransomware“

Nächster Schritt

Phase 1. Vorbereiten des Wiederherstellungsplans

Beginnen Sie mit Phase 1, um Ihre Organisation auf die Wiederherstellung nach einem Angriff vorzubereiten, ohne das Lösegeld bezahlen zu müssen.

Zusätzliche Ressourcen zu Ransomware

Wichtige Informationen von Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Cloud App Security:

Blogbeiträge des Microsoft-Sicherheitsteams: