Home
Cyber Blog
Gefahr Ransomware
Ransomware

Gefahr Ransomware

Gefahr Ransomware

So schützen Sie sich. Mit Massnahmenplan.

Ransomware bringt Cyberkriminellen schnelles Geld. Die Gefahr, selbst betroffen zu sein, wächst. Laien können einen grossen Teil des Risikos aber mit einfachen Mitteln einschränken.

Ransomware ist ein schnell wachsender Markt. Ein Angriff schleust ein Programm auf fremde Rechner und verschlüsselt dort sämtliche Dateien. Für die Entschlüsselung fordern die Angreifer Lösegeld. Der Trend hat seinen Zenit noch nicht erreicht. Betroffen sind Privatpersonen, KMUs und auch Grossfirmen.

Grossfirmen verfügen über Spezialisten, die ihre IT vor Ransomware schützen können. Privatpersonen und KMU hingegen bleiben oft ungeschützt, weil Budgets für die IT-Security fehlen. Das macht sie zu einfachen Angriffszielen – zu «low hanging fruits».

Einfache Mittel gegen die grössten Gefahren

Das müsste nicht sein. Denn die grössten Risiken lassen sich mit einfachen Mitteln eliminieren. Es ist eine 80/20-Situation: Mit kleinem Aufwand kann das Risiko um rund 80 Prozent reduziert werden. Damit sind die einfachsten Schlupflöcher gestopft und ein guter Teil der Ransomware-Angriffe kann abgewehrt werden.

Angreifer wägen Aufwand und Ertrag ab

Ransomware-Angriffe zielen auf schnelles Geld. Cyberkriminelle setzen sie flächendeckend ein und nutzen einfache, bekannte Lücken. Dafür sind sogenannte Zero-Day-Exploits (Lücken, die noch unbekannt sind und für welche es noch keinen Schutz gibt) viel zu teuer. Zudem gibt es mehr als genug Systeme, die alte bekannte Lücken aufweisen.

So kommt Ransomware auf ein System

Es gibt nur wenige Vektoren, über die Ransomware auf ein System kommt:

  • Webbrowser (meist via Drive-by-Download oder Strategic Web Compromise, auch Watering Hole genannt)
  • Phishing-Emails
  • Ausnützen von Lücken auf Systemen , die vom Internet aus erreichbar sind.

Entsprechend gibt es Massnahmen, um die grössten Lücken zu schliessen. Sie gliedern sich in zwei Gruppen:

1. Basics:
Dringende Massnahmen gegen Ransomware, für Laien umsetzbar.

Die erste Massnahmengruppe können auch Organisationen ohne IT-Security-Spezialisten umsetzen. Oft reicht es, die Massnahmen einmal aufzusetzen. Und es sind Aufgaben, die System-Administratoren ohne aktuelles IT-Security-Wissen umsetzen können.

  • Notfallplan erstellen und üben
  • Offensiv patchen: Systeme immer auf den neusten Stand halten – Ransomware-Angreifer nutzen meist bekannte Lücken
  • Offline-Backups einrichten, durchführen und testen. Wenn das Backup auf einem Netzlaufwerk liegt, das gemountet ist, wird es meist auch mitverschlüsselt.
  • Berechtigungen auf ein Minimum beschränken. Lokale Admin-Berechtigungen sollten die wenigsten Mitarbeiter haben und diese auch nur selten verwenden.
  • Flash deaktivieren oder deinstallieren. Es gibt keinen Grund mehr, Flash zu verwenden.
  • Bestimmte Dateitypen wie .js, .wsf, .doc (siehe nächster Punkt) nicht mehr zulassen.
  • MS Office Dokumente mit Makros nicht zulassen. Dateien mit dem Suffix «.doc» gar nicht zulassen und von der Firewall abfangen lassen. Bei .docx können keine Makros eingebettet werden.
  • Endpunkt-Schutzsoftware betreiben
  • E-Mails auf Malware scannen
  • Schreibrecht auf die Registry gesamthaft verhindern oder auf einzelne Keys beschränken
  • Das Ausführen von vssadmin.exe und wmic.exe verhindern. Im täglichen Betrieb werden die Programme nicht gebraucht.

2. Advanced:
Für Organisationen mit IT-Security-Wissen oder Einkauf der Massnahme als Dienstleistung.

Die zweite Massnahmengruppe richtet sich an Organisationen mit dediziertem IT-Security-Personal. Sie erfordern spezielles Wissen, kontinuierliches Überwachen und Nachjustierungen. Diese Aufgaben können eigene Mitarbeiter oder ein Managed Security Service übernehmen (MSS, das Betreiben der Sicherheitsinfrastruktur durch einen externen Dienstleister).

  • Asset Management betreiben. Patchen kann man nur, was man kennt. Siehe dazu auch Blogartikel Log Management.
  • Vulnerability Scanner einrichten und betreiben.
  • Zentrales Logmanagement etablieren. So können Sie Vorfälle erkennen und nachvollziehen. Die Anbindung an ein SIEM macht Sinn.
    Siehe dazu auch  "Zielbild für ein Cyber Defense Framework"
  • Das Ausführen von Programmen auf bestimmte Verzeichnisse beschränken.
  • Speziell für Ransom32: .js Dateien ab einer bestimmten Grösse abfangen. Mit 15 MB anfangen und nachjustieren.
  • Honeypots, Honeyfiles und Honeydirectories einrichten.

Nicht jede Massnahme kann in jedem Umfeld umgesetzt werden. Zum Beispiel sind bei manchen grossen Organisationen MS-Office-Makros nicht wegzudenken. Wer eine Massnahme nicht umsetzt, sollte die möglichen Schäden dabei aber in Erwägung ziehen. Denn die Angriffe sind allgegenwärtig.