Handlungsschritte gegen Ransomware

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Maßnahmenkatalog herausgegeben, wie Unternehmen sich präventiv auf einen Ransomware-Angriff vorbereiten. Die Erläuterung der Maßnahmen ist vordergründig für Unternehmen gedacht, die sich bisher wenig mit der Prävention von Ransomware-Angriffen auseinandergesetzt haben. Das BSI erläutert mehrere Vorgehensweisen, von denen nicht etwa eine bestimmte maßgeblich schützt, sondern sich vielmehr eine Vielzahl an Maßnahmen gegenseitig ergänzen und in ihrer Gesamtheit wirksam gegen Angriffe sind.

Das BSI führt in seinem Maßnahmenkatalog grundlegende Fragen auf, die sich Sicherheitsverantwortliche im Zuge einer Absicherung vor Ransomware-Angriffen stellen müssen, darunter:

Sind Backups vorhanden, die nicht mit dem IT-Netzwerk verbunden sind?

Backups sind die beste Absicherung für den Fall, dass Daten von Angreifern gestohlen oder gelöscht werden. Damit Angreifer nicht zusätzlich auf die Backup-Daten zugreifen können, sollten diese Daten außerhalb des aktuellen Standortes verteilt archiviert werden. Sobald also eine Aktualisierung der Daten im Backup abgeschlossen ist, muss die Verbindung zum Netzwerk wieder getrennt werden. So liegt die Datenhoheit allein beim Unternehmen und Angreifer haben keine Möglichkeit mehr, an die Daten zu gelangen.

 

Sind aktuell verfügbare Patches auf allen Geräten aufgespielt?

Es treten regelmäßig Schwachstellen in Geräten auf, parallel dazu werden regelmäßig entsprechende Patches veröffentlicht. Es ist für die Sicherstellung der IT-Sicherheit im Unternehmen fahrlässig, die Geräte nicht regelmäßig zu prüfen und zu patchen. Durchgehendes Patch-Management ist notwendig, um nicht Sicherheitslücken bestehen zu lassen, für die es bereits Patches gibt. Zeitig zu patchen ist der einfachste Weg, die Gerätesicherheit zu gewährleisten. Sollte ein Patch nicht verfügbar oder zur vollständigen Behebung der Schwachstelle nicht ausreichend sein, dann müssen alternative Abhilfemaßnahmen getroffen werden. In beiden Fällen Grundvoraussetzung ist jedoch das Wissen darüber, welche Geräte Schwachstellen beinhalten, und zwar zu jeder Zeit und möglichst schnell, da Zeit hierbei ein kritischer Faktor ist.

Welche Bereiche des IT-Netzes werden von der Abteilung genutzt und sind diese zentral oder dezentral verwaltet?

Grundsätzlich sollten IT-Netze zentral beschafft und verwaltet werden. Es ist auch möglich, diese dezentral zu beziehen, hier sollte jedoch möglichst früh das IT-Sicherheitsteam eingeschaltet werden. IT-Verantwortliche müssen lückenlos in die Verwaltung des Netzwerks eingebunden sein und dieses durchgehend überwachen können. Ihnen darf nichts entgehen – nur bei vollem Überblick über das gesamte Netzwerk können Angriffspunkte frühzeitig erkannt werden, um angemessene Maßnahmen zur Beibehaltung der IT-Sicherheit umzusetzen.

Jörg Vollmer, General Manager, Field Operations DACH bei Qualys

Diese drei Fragen sollten sich Sicherheitsverantwortliche in Unternehmen grundsätzlich stellen. Die Beantwortung geht einher mit Maßnahmen, die in ihrer Durchführung umfassende IT-Sicherheit gewährleisten und eine gute Grundlage zum präventiven Schutz gegen Ransomware-Angriffe bieten. Im Fall eines geglückten Ransomware-Angriffs ist es häufig zu spät, um den entstandenen Schaden zu begrenzen. Unternehmen profitieren daher von entsprechender Cyberhygiene, die das Sicherstellen und Einhalten von Richtlinien und die Verwaltung und Behebung von Schwachstellen umfasst. Risiken sollten zudem priorisiert werden, damit Sicherheitsteams angemessen reagieren können. Dabei unterstützt werden sie am besten durch automatisierte Lösungen, die Netzwerkkonfigurationen, Backups, IT-Inventar, Anwendungszugriff und Patches auf dem aktuellen Stand halten. Wenn alle Geräte im Unternehmensnetzwerk durchgehend überwacht und verwaltet werden, dann wird ein effektiver Schutz vor Ransomware-Angriffen sichergestellt.

Qualys