Bollwerke gegen Erpresser-Angriffe
Schutzmaßnahmen gegen Ransomware
von Jürgen Mauerer - 24.03.2022
Firmen können sich grundsätzlich mit mehreren Maßnahmen vor Ransomware-Angriffen schützen. Das wichtigste Mittel sind Security-Awareness-Schulungen. Ziel ist es dabei, die Mitarbeiter über Richtlinien und aktuelle Bedrohungen sowie den Umgang damit aufzuklären und sie für Risiken zu sensibilisieren. Die All for One Group nutzt dazu ein eigenes Schulungsprogramm mit regelmäßigen Trainings auf der E-Learning-Plattform Success Factors. Hinzu kommen anlassbezogene Schulungen, wenn beispielsweise häufig Phishing-Mails im Unternehmen ankommen.
„Wir fangen technisch im Vorfeld schon 99,9 Prozent der Mails ab, die etwa Makros oder EXE-Dateien enthalten oder prüfen sie in isolierten Sandboxes. Und für die wenigen Phishing-Mails, die in die Postfächer gelangen, ist es wichtig, dass Mitarbeiter sie erkennen, melden und vor allem wissen, dass sie nicht auf einen Link klicken dürfen. Dafür sind die regelmäßigen Schulungen unabdingbar“, sagt Group Information Security Officer Axel Krämer.
Ein weiterer wichtiger Punkt in der Security-Strategie der All for One Group ist das Schwachstellen- und Patch-Management. So hat das Unternehmen diverse Newsletter etwa des CERT-Bund oder auch wichtiger Hersteller mit Informationen über potenzielle Schwachstellen abonniert. „Zudem scannen wir unsere Systeme regelmäßig auf Schwachstellen und schließen diese durch ausgefeilte Patch-Mechanismen. Auf Betriebssystemebene erfolgt das Aufspielen der Patches auch bei unseren Kunden automatisiert, im Regelfall mindestens im Monatsrhythmus“, so Axel Krämer. „Und wir legen großen Wert auf regelmäßige Backups inklusive Snapshots in redundanten Rechenzentren mit restriktivem Zugang und Read-only-Prinzip.“
Zentrale Bedeutung des Backups
Pflicht für jede Ransomware-Strategie sind auch regelmäßige Backups auf getrennten, offline genutzten Speichermedien. Damit gewährleisten Firmen, dass sie im Fall einer tatsächlichen Ransomware-Infektion keine Daten verlieren und ihr System einfach wiederherstellen können. „Dazu benötigen Firmen als Basis zunächst eine komplette Übersicht ihrer Daten und müssen diese nach Schutzklassen klassifizieren, beispielsweise normal, hoch, sehr hoch. Daten mit den Schutzklassen hoch und sehr hoch müssen natürlich in kürzeren Rhythmen gesichert werden als weniger sensible Daten“, erklärt Frank Schwaak, Field CTO EMEA beim Backup- und Security-Spezialisten Rubrik.
Er sieht in der Unveränderbarkeit von Backups den alles entscheidenden Faktor, damit Firmen sich schnell von einem Ransomware-Angriff erholen können. Unveränderbarkeit von Daten-Backups bedeutet laut Frank Schwaak, dass die Sicherungsdaten nicht manipuliert, überschrieben oder gelöscht werden können. Ist das nicht der Fall, dann ist die Gefahr groß, dass im Ernstfall kein brauchbares Backup zur Verfügung steht. „Damit ein Backup wirklich unveränderlich ist, muss es von anderen Systemen isoliert sein. Und Firmen sollten darauf achten, dass nur sehr wenige Personen auf das Backup zugreifen dürfen, am besten nicht einmal Administratoren“, so Frank Schwaak weiter.
Außerdem sollten Backup-Daten nicht für externe Clients zugänglich sein und durch starke Authentifizierung gesichert sein. Standardprotokolle für das Schreiben auf Backup-Speicher wie NFS (Network File System) und SMB (Server Message Block) seien aufgrund ihrer relativ schwachen Authentifizierungsmechanismen zu vermeiden, fordert Frank Schwaak.
„Wir raten Firmen zudem, die Daten beim Einlesen des Backups mit einem Fingerabdruck zu versehen und die Fingerabdrücke zusammen mit den Daten zu speichern. Wenn das nicht erfolgt, können die gesicherten Daten im Fall einer Wiederherstellung nicht validiert werden. Damit steigt das Risiko, etwa wenn verlorene Produktionsdaten ersetzt werden, ohne dass der Ersatz verifiziert wird“, sagt Frank Schwaak.
Seiner Meinung nach ist auch die Cluster-Kommunikation sehr wichtig. Werden die Mitglieder und alle Prozesse eines Speicher-Clusters nur über eine Netzwerk-Whitelist statt über TLS (Transport Layer Security) als vertrauenswürdig eingestuft, kann Ransomware laut Schwaak die Kommunikation abfangen und Zugriff auf die Backup-Daten erhalten. Daher sei eine Zero-Trust-Architektur für Backup Systeme unumgänglich.