Wie man Ransomware verhindert

Wie man Ransomware verhindert

Ransomware ist eine ständig wachsende Bedrohung – aber gute Sicherheitspraktiken, wie regelmäßige Software-Updates, häufige Datensicherungen und E-Mail-Sicherheitsschulungen für Nutzer, können die Wahrscheinlichkeit eines Vorfalls verringern.

Ransomware ist eine Art böswillige Software oder Malware, die Dateien und Daten sperrt und Lösegeld verlangt. Dies geschieht in der Regel, indem der Angreifer die Dateien und Daten verschlüsselt und den Verschlüsselungsschlüssel behält. Ransomware kann auf verschiedene Weise in ein Netzwerk eindringen, von böswilligen E-Mails über die Ausnutzung von Sicherheitslücken bis hin zu Piggybacking mit anderer Malware.

Es gibt keine 100%ig sichere Methode, um das Eindringen von Ransomware in ein Netzwerk zu verhindern, aber die folgenden Schritte können das Risiko eines Angriffs erheblich verringern.

Software regelmäßig aktualisieren

Ein gängiger Mechanismus, mit dem Ransomware in ein Netzwerk eindringen und sich dort verbreiten kann, ist die Ausnutzung von Sicherheitslücken in veralteter Software. Eine „Sicherheitslücke“ ist ein Softwarefehler, den jemand für böswillige Zwecke nutzen kann. Wenn Sicherheitslücken entdeckt werden, geben die Softwarehersteller regelmäßig Korrekturen in Form von Software-Updates heraus. Wenn Sie Ihre Betriebssysteme und Anwendungen nicht regelmäßig aktualisieren, ist das so, als würden Sie die Haustür unverschlossen lassen, sodass Einbrecher ungehindert hinein spazieren können.

Im Mai 2017 nutzte beispielsweise die Ransomware WannaCry die Sicherheitslücke „EternalBlue“, um sich auf mehr als 200.000 Computern zu verbreiten, obwohl Microsoft zuvor einen Patch für die Sicherheitslücke veröffentlicht hatte.

Ransomware-Angriffe nutzen auch Sicherheitslücken aus, um sich innerhalb eines Netzwerks zu verbreiten, wenn sie bereits eingeschleust sind. Die Ransomware Maze beispielsweise sucht nach Sicherheitslücken, sobald sie sich in einem Netzwerk befindet, und infiziert dann so viele Rechner wie möglich über diese Sicherheitslücken.

Um Ransomware und viele andere Arten von Angriffen zu verhindern, sollten Sie Ihre Software so oft wie möglich aktualisieren. Dadurch werden Sicherheitslücken geschlossen, sodass Kriminelle (oder Ransomware-Angreifer) nicht mehr eindringen können.

Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)

Viele Ransomware-Angriffe beginnen mit einer Phishing-Kampagne: Sie verschaffen sich Nutzeranmeldedaten (Benutzername und Kennwort) und verwenden diese dann, um in ein Netzwerk einzudringen und sich darin zu bewegen. In anderen Fällen versuchen es Ransomware-Angreifer mit bekannten Standard-Anmeldedaten, bis sie einen Server oder ein Netzwerk finden, der/das diese Anmeldedaten verwendet, und so Zugang erhalten. ( Maze-Angriffe haben bereits diese Technik verwendet.)

Die Zwei-Faktor-Authentifizierung (2FA) ist ein sicherer Ansatz zur Authentifizierung von Nutzern. Bei der 2FA wird ein zusätzlicher Faktor geprüft, z. B. ein Hardware-Token, den nur der legitime Nutzer besitzt. Selbst wenn es einem Angreifer gelingt, eine Kombination aus Benutzernamen und Kennwort zu stehlen, bekommt er trotzdem keinen Zugang zum Netzwerk.

Interne E-Mails schützen

Es gibt eine Vielzahl von Methoden, mit denen Ransomware-Angriffe Geräte und Netzwerke kompromittieren, aber E-Mail gehört immer noch zu den häufigsten. Viele Ransomware-Angriffe beginnen mit einem Phishing-Angriff, einem Spear-Phishing-Angriff oder einem Trojaner, der in einem böswilligen E-Mail-Anhang versteckt ist.

Zu E-Mail-Sicherheit gehören zwei Schlüsselbereiche:

1. Ausfiltern von E-Mails und E-Mail-Anhängen aus nicht vertrauenswürdigen Quellen
2. Schulung der Benutzer, damit sie nicht auf Links klicken und keine Anhänge von potenziell gefährlichen E-Mails herunterladen oder öffnen

Implementierung von Endpunktsicherheit

Unter Endpunktsicherheit versteht man den Schutz von Geräten wie Laptops, Desktop-Computern, Tablets und Smartphones vor Angriffen. Die Endpunktsicherheit umfasst Folgendes:

• Anti-Malware-Software kann Ransomware auf Geräten erkennen und infizierte Geräte unter Quarantäne stellen, um eine Ausbreitung der Malware zu verhindern. Darüber hinaus verbreiten sich einige Ransomware-Angriffe über bereits vorhandene Malware-Infektionen. So dringt Ryuk Ransomware häufig über Geräte in Netzwerke ein, die bereits mit TrickBot-Malware infiziert sind. Anti-Malware kann helfen, diese Infektionen zu beseitigen, bevor sie zu Ransomware führen. (Allerdings ist Anti-Malware keine große Hilfe, wenn die Ransomware erst einmal aktiviert ist und bereits Dateien und Daten verschlüsselt hat).
• Anwendungskontrolle hindert Nutzer daran, gefälschte oder von Angreifern kompromittierte Anwendungen zu installieren, die Ransomware enthalten.
• Festplattenverschlüsselung hilft zwar nicht, Ransomware anzuhalten, ist aber dennoch ein wichtiger Bestandteil der Endpunktsicherheit, da sie Unbefugte daran hindert, Daten zu stehlen.

Lesen Sie mehr über Endpunktsicherheit.

Backup von Dateien und Daten

Regelmäßige Sicherungskopien von Dateien und Daten sind eine bekannte Best Practice, um sich auf einen möglichen Ransomware-Angriff vorzubereiten. In vielen Fällen kann ein Unternehmen seine Daten aus einem Backup wiederherstellen, anstatt das Lösegeld für die Entschlüsselung zu zahlen oder seine gesamte IT-Infrastruktur von Grund auf neu aufzubauen.

Auch wenn die Sicherung von Daten Ransomware nicht verhindert, kann sie einem Unternehmen helfen, sich schneller von einem Ransomware-Angriff zu erholen. Allerdings kann auch das Backup infiziert werden, es sei denn, es ist vom restlichen Netzwerk abgeschottet.

Verwenden Sie ein Zero Trust-Modell

Viele Unternehmen stellen sich ihre Netzwerke wie eine Burg vor, die von einem Wassergraben umgeben ist. Verteidigungsmaßnahmen, die den Netzwerkperimeter bewachen, wie Firewalls und Intrusion Prevention Systeme (IPS), halten Angreifer fern – so wie ein Burggraben im Mittelalter eindringende Truppen von einer Burg fernhielt.

Unternehmen, die diesen Burg- und Burggraben-Ansatz für die Sicherheit wählen, sind jedoch sehr anfällig für Ransomware-Angriffe. Tatsache ist, dass Angreifer es regelmäßig schaffen, den „Burggraben“ durch eine Vielzahl von Methoden zu durchbrechen, und wenn sie erst einmal drin sind, haben sie praktisch freie Hand, das gesamte Netzwerk zu infizieren und zu verschlüsseln.

Ein besserer Ansatz für Netzwerksicherheit ist die Annahme, dass es sowohl innerhalb als auch außerhalb der „Burg“ Bedrohungen gibt. Diese Philosophie wird Zero Trust genannt.

Zero Trust-Sicherheitsmodelle halten strenge Zugriffskontrollen ein und vertrauen standardmäßig keiner Person oder Maschine, auch nicht Nutzern und Geräten innerhalb des Netzwerkperimeters. Da Zero Trust sowohl Nutzer als auch Geräte kontinuierlich überwacht und regelmäßig neu authentifiziert, kann es die Ausbreitung von Ransomware-Infektionen stoppen, indem es den Netzwerk- und Anwendungszugriff widerruft, sobald eine Infektion entdeckt wird. Zero Trust folgt außerdem dem Prinzip des minimalen Zugangs, sodass es für Ransomware schwierig ist, ihre Privilegien zu erweitern und die Kontrolle über ein Netzwerk zu erlangen.

Cloudflare One ist eine Zero Trust Network-as-a-Service (NaaS)-Plattform. Sie kombiniert Sicherheits- und Netzwerkdienste, um Remote-Nutzer, Büros und Rechenzentren sicher zu verbinden (ein Modell, das als SASE oder Secure Access Service Edge bekannt ist).

Möchten Sie mehr über Ransomware erfahren? Mit diesen Artikeln können Sie tiefer in das Thema eintauchen:

• Was ist Ransomware?
• Was ist Maze-Ransomware?
• Was war der WannaCry-Ransomware-Angriff?
• Was ist Ryuk-Ransomware?