{"id":18964,"date":"2021-05-27T11:52:00","date_gmt":"2021-05-27T09:52:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18964"},"modified":"2021-06-01T11:03:47","modified_gmt":"2021-06-01T09:03:47","slug":"ransomware-ihnen-bleiben-fuenf-minuten","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18964","title":{"rendered":"Ransomware: Ihnen bleiben f\u00fcnf Minuten"},"content":{"rendered":"\n

Autor\/Redakteur: Michael Scheffler, Country Manager DACH von Varonis Systems<\/a>\/gg<\/p>\n\n\n\n

Bei jedem Notfall ist die Zeit ein kritischer Faktor. Dies gilt selbstverst\u00e4ndlich auch f\u00fcr Ransomware-Angriffe: Wenn die Malware ein IT-Netzwerk infiziert, bleibt nur wenig Zeit zu reagieren \u2013 nach Meinung zahlreicher Security-Spezialisten rund f\u00fcnf Minuten. Bei dieser Geschwindigkeit ist es nahezu unm\u00f6glich, die Ausbreitung von Ransomware in einem IT-System mit manuellen Methoden abzuwehren.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Varonis Systems<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Bedenkt man zudem, dass alle 40 Sekunden ein Unternehmen zum Opfer dieser Attacken wird, sollten Sicherheitsverantwortliche fest davon ausgehen, dass auch ihr Unternehmen fr\u00fcher oder sp\u00e4ter angegriffen wird. Deshalb sollten, nein m\u00fcssen sie beizeiten Ma\u00dfnahmen ergreifen, um einen Ransomware-Anschlag mit so geringem Schaden wie m\u00f6glich zu \u00fcberstehen. Gr\u00fcndliche Vorbereitung und Automatisierung sind dabei unerl\u00e4sslich. Folgt man diesen f\u00fcnf Schritten, hat man gute Chancen, einen Ransomware-Angriff innerhalb der besagten f\u00fcnf Minuten zu erkennen und zu stoppen.<\/p>\n\n\n\n

Setzen Sie auf eine vielschichtige Verteidigung<\/strong><\/p>\n\n\n\n

Ransomware hat sich seit WannaCry weiterentwickelt. Setzten Cyberkriminelle fr\u00fcher auf breite, ungezielte Kampagnen nach dem Gie\u00dfkannen-Prinzip, w\u00e4hlen sie heute ihre Opfer in aller Regel gezielt aus. Im Wesentlichen ist die Cyber Kill Chain gleichgeblieben, bis auf ein kleines, aber wesentliches Detail: Die Angreifer stehlen jetzt die Daten, bevor sie sie auf den Systemen ihrer Opfer verschl\u00fcsseln.<\/p>\n\n\n\n

Ein typischer Angriff sieht dann in etwa so aus: In einem ersten Schritt platzieren die Angreifer einen einfachen, nicht auffindbaren Code in der IT-Infrastruktur des Opfers, mit dem sie Aufkl\u00e4rung betreiben, also feststellen, welche Sicherheitsprodukte im Einsatz sind. Diese Informationen werden automatisch an die Kommando- und Kontrollzentrale des Angreifers zur\u00fcckgeleitet, die entsprechend weitere Malware an das angegriffene System sendet, um die Sicherheitsma\u00dfnahmen des Opfers zu neutralisieren. In der n\u00e4chsten Phase werden sensible Daten gesucht und exfiltriert. Schlie\u00dflich wird die eigentliche Ransomware injiziert, um s\u00e4mtliche Daten zu verschl\u00fcsseln.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Varonis Systems<\/figcaption><\/figure>\n\n\n\n

Grunds\u00e4tzlich kann Antiviren-Software in die erste Phase, also vor einer Eskalation, den Angriff stoppen. Allerdings ist sie nur in der Lage, bekannte Angriffe zu unterbinden, sei es durch bereits benutzten Code oder aufgrund von Nutzer-Blacklists. Selbstverst\u00e4ndlich wissen dies die meisten Cyberkriminellen und entwickeln ihre Malware st\u00e4ndig weiter, um einer Erkennung zu entgehen. Eine umfassende, vielschichtige Abwehr hingegen sch\u00fctzt die Perimeterabwehr und erkennt abnormales Verhalten, das auf Malware zur\u00fcckzuf\u00fchren ist. Hierbei werden oftmals Elemente des maschinellen Lernens eingesetzt, um auff\u00e4lliges Verhalten schnell zu identifizieren und zu stoppen. Einen \u00e4hnlichen Ansatz verfolgen Banken und Kreditkartenunternehmen schon seit etlichen Jahren, um Missbrauch zu verhindern. Sie wissen recht pr\u00e4zise, welches Verhalten f\u00fcr ihre Kunden \u201enormal\u201c ist. Sobald das System eine verd\u00e4chtige Aktivit\u00e4t auf dem Konto entdeckt, wird es gesperrt und der Kontoinhaber wird aufgefordert zu \u00fcberpr\u00fcfen, ob er die Transaktion durchgef\u00fchrt hat. Ganz \u00e4hnlich ist bei Ransomware zu verfahren: Sobald sie entdeckt wurde, besteht der erste Schritt darin, ihre weitere Verbreitung zu stoppen, also den betroffenen Rechner zu sperren und ihn vom Netzwerk zu trennen. Nach der Isolierung kann ein Security-\u201eReinigungsteam\u201c den infizierten Bereich untersuchen und die Malware entfernen.<\/p>\n\n\n\n\n\n\n\n

Achten Sie auf Anzeichen einer lateralen Bewegung<\/strong><\/p>\n\n\n\n

Eine verd\u00e4chtige laterale Bewegung ist ein deutliches Zeichen daf\u00fcr, dass eine nicht autorisierte Person Zugang zu einem Netzwerk hat. Angreifer bewegen sich durch die Systeme auf der Suche nach wertvollen Informationen, die sie (durch Diebstahl und\/oder Korrumpierung) monetarisieren k\u00f6nnen. Um \u00fcberhaupt erkennen zu k\u00f6nnen, ob etwas verd\u00e4chtig, also abnormal ist, muss man zun\u00e4chst wissen, wie sich alle Nutzer beziehungsweise Konten in einem Netzwerk normalerweise verhalten. Kommt es hier zu Diskrepanzen, sollten die Alarmglocken klingeln.<\/p>\n\n\n\n

Voraussetzung hierf\u00fcr ist, dass alle Konten im Netzwerk identifiziert und ihre \u00fcblichen Aktivit\u00e4ten protokolliert werden. Diese Informationen umfassen beispielsweise, zu welchen Zeiten von welchem Rechner aus auf ein Konto und auf welche Ressourcen normalerweise zugegriffen wird. Diese Daten bilden das \u201eNormalverhalten\u201c. Kommt es zu Abweichungen, k\u00f6nnen die Sicherheitsteams dann auf alles Ungew\u00f6hnliche reagieren, indem sie zum Beispiel ein Konto vor\u00fcbergehend sperren oder den Kontoinhaber kontaktieren, um zu \u00fcberpr\u00fcfen, ob es sich tats\u00e4chlich um den legitimen Nutzer handelt.<\/p>\n\n\n\n

Begrenzen Sie den Zugriff nach dem Least Privilege-Modell<\/strong><\/p>\n\n\n\n

Es ist eigentlich ganz logisch: Ransomware kann nur die Daten verschl\u00fcsseln, auf die das kompromittierte Konto Zugriff hat. Gem\u00e4\u00df dem Least Privilege-Ansatz erh\u00e4lt jeder Mitarbeiter nur den Zugriff, den er auch tats\u00e4chlich f\u00fcr seine Arbeit ben\u00f6tigt. Leider wird dieses Modell zu selten umgesetzt: Der Data Risk Report<\/a> hat gezeigt, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens f\u00fcr jeden Mitarbeiter zug\u00e4nglich sind und in jedem zweiten Unternehmen alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen k\u00f6nnen. Ein Ransomware-Angriff hat dann eine entsprechend verheerende Wirkung.<\/p>\n\n\n\n

In diesem Zusammenhang werden oftmals IT-Konten \u00fcbersehen. Idealerweise sollten etwa IT-Administratoren \u00fcber zwei getrennte Konten verf\u00fcgen: eines f\u00fcr die Verwaltung des IT-Netzwerks und ein weiteres f\u00fcr allt\u00e4gliche Arbeitsfunktionen wie das Beantworten von E-Mails. Wenn der Administrator eine b\u00f6swillige E-Mail unter Verwendung seines \u201eAlltags-Kontos\u201c \u00f6ffnet, wird so das Potenzial f\u00fcr die Verbreitung von Malware begrenzt. Benutzt er hingegen nur ein Konto, k\u00f6nnte sich die Malware auf s\u00e4mtliche betreute Rechner verteilen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Varonis Systems<\/figcaption><\/figure>\n\n\n\n

\u00dcberwachen Sie Datei-Aktivit\u00e4ten<\/strong><\/p>\n\n\n\n

Die \u00dcberwachung des E-Mail-Verkehrs sowie der Webnutzung der Mitarbeiter ist seit geraumer Zeit bei vielen Unternehmen gang und g\u00e4be. Leichtfertiges Online-Verhalten oder unvorsichtige Mail-Aktivit\u00e4ten wie das Klicken auf einen Phishing-Link k\u00f6nnen der Ausl\u00f6ser f\u00fcr einen mehrstufigen Angriff sein, der auch Ransomware einschlie\u00dft. \u00dcberwacht man diese zwei Angriffsvektoren, ist man in der Lage, vieles, was das IT-Netzwerk gef\u00e4hrden k\u00f6nnte, schnell im Keim zu ersticken. Gleichwohl wenden nur wenige Unternehmen diese Art von Wachsamkeit auch auf ihre sensiblen Daten an. Unternehmen sollten protokollieren, wer wann auf welche Daten zugreift und was er mit ihnen macht. Dies dient nicht dem Zweck einer \u00dcberwachung der Arbeitsleistung, sondern ausschlie\u00dflich der Sicherheit: Auf diese Weise wird nicht nur sichergestellt, dass die Mitarbeiter nicht unbefugt Dateien ansehen, verschieben, kopieren oder ver\u00e4ndern, sondern gleichzeitig ein wertvollen Audit-Trail im Falle eines Angriffs erm\u00f6glicht. Anhand dieser Informationen kann das IT-Sicherheitsteam nachvollziehen, welche Daten kompromittiert oder verschl\u00fcsselt wurden, und Ma\u00dfnahmen ergreifen, um ihre Wiederherstellung nach dem Angriff sicherzustellen.<\/p>\n\n\n\n

Es empfiehlt sich zudem, veraltete und nicht mehr ben\u00f6tigte Daten (stale data) zu entfernen, also zum Beispiel Informationen \u00fcber Kunden und Mitarbeiter, die schon l\u00e4nger nicht mehr mit dem Unternehmen in Verbindung stehen. Diese Daten haben zwar f\u00fcr das Unternehmen keinen Wert mehr, sind f\u00fcr Angreifer aber dennoch durchaus interessant. In einem durchschnittlichen Unternehmen ist bis zur H\u00e4lfte der Daten veraltet, was zu gro\u00dfen Problemen bei der \u00dcberwachung und einer potenziellen Offenlegung f\u00fchrt. Herauszufinden, welche Daten noch genutzt werden und welche gel\u00f6scht beziehungsweise archiviert werden k\u00f6nnen, ist angesichts der schieren Menge nicht manuell durchf\u00fchrbar. Aber auch hier hilft Automation: Unternehmen sollten hierf\u00fcr Tools einsetzen, die automatisch solche Daten identifizieren und dann ebenfalls automatisch entsprechend der jeweiligen Aufbewahrungsrichtlinien l\u00f6schen oder ins Archiv verschieben \u2013 und damit die Angriffsfl\u00e4che deutlich reduzieren.<\/p>\n\n\n\n

Schaffen Sie Transparenz in die lokale und Cloud-Infrastruktur<\/strong><\/p>\n\n\n\n

Die Nutzung von Cloud-Anwendungen und -Datenspeichern bringt Unternehmen zahlreiche Vorteile, er\u00f6ffnet aber auch neue Angriffspunkte, die es zu \u00fcberwachen gilt. Zumal Angriffe auf und \u00fcber die Cloud bei Cyberkriminellen immer mehr an Beliebtheit gewinnen: Die Cloud ist immer verf\u00fcgbar, h\u00e4ufig schwach gesch\u00fctzt oder mangelhaft konfiguriert. Dar\u00fcber hinaus erm\u00f6glicht sie eine leichtere Verbreitung von Ransomware: Wurde beispielsweise ein Microsoft 365-Konto kompromittiert, ist es f\u00fcr Angreifer relativ einfach und erfolgsversprechend, b\u00f6sartige Links innerhalb des Unternehmens zu verteilen. Da diese Nachricht aus einer scheinbar vertrauensw\u00fcrdigen Quelle stammt, ist die Wahrscheinlichkeit recht hoch, dass die Nachricht von den Empf\u00e4ngern auch ge\u00f6ffnet beziehungsweise der Link angeklickt wird.<\/p>\n\n\n\n

Die hybride Nutzung von lokalen und Cloud-Infrastrukturen f\u00fchrt dazu, dass viele Unternehmen separate Sicherheitsl\u00f6sungen einsetzen. Folglich sind sie nicht in der Lage, von einem Ort aus einen vollst\u00e4ndigen \u00dcberblick \u00fcber das Netzwerk zu haben. Dies macht es schwierig, genau zu \u00fcberwachen, was in diesen Umgebungen vor sich geht. Eine konsolidierte Ansicht hingegen erm\u00f6glicht den Sicherheitsverantwortlichen, schnell und einfach alles zu erkennen, was darauf hindeuten k\u00f6nnte, dass ein Angriff stattfindet. Je mehr Informationen aus unterschiedlichen Quellen in Zusammenhang gebracht werden, desto klarer wird das Bild und desto pr\u00e4ziser lassen sich Angriffe erkennen und unterbinden.<\/p>\n\n\n\n

M\u00fcssen wir uns mit Ransomware abfinden? Auf absehbare Zeit bestimmt. Sind wir Ransomware schutzlos ausgeliefert? Auf keinen Fall. Unternehmen sollten davon ausgehen, dass sie irgendwann Opfer einer solchen Attacke werden. Die f\u00fcnf genannten Schritte k\u00f6nnen bei der Vorbereitung hierauf helfen und daf\u00fcr sorgen, dass der Angriff schnell erkannt und schnell gestoppt wird. Die Ransomware hat sich in den letzten Jahren weiterentwickelt. Jetzt ist es an den Unternehmen, ihre Sicherheitsstrategie an diese Bedrohung anzupassen. Um gegen Ransomware zu bestehen, kommt es vor allem auf eine schnelle Reaktion an. Eine umfassende Vorbereitung kann hier zusammen mit automatisierten Sicherheitswerkzeugen den entscheidenden Unterschied ausmachen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bei jedem Notfall ist die Zeit ein kritischer Faktor. Dies gilt selbstverst\u00e4ndlich auch f\u00fcr Ransomware-Angriffe: Wenn die Malware ein IT-Netzwerk infiziert, bleibt nur wenig Zeit zu reagieren \u2013 nach Meinung zahlreicher Security-Spezialisten rund f\u00fcnf Minuten. Bei dieser Geschwindigkeit ist es nahezu unm\u00f6glich, die Ausbreitung von Ransomware in einem IT-System mit manuellen Methoden abzuwehren.<\/p>\n","protected":false},"author":1,"featured_media":18966,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[438,14911,5432,10061,6267,9571],"class_list":["post-18964","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-antivirus","tag-laterale-bewegung","tag-ransomware","tag-varonis","tag-verschlusselung","tag-wannacry"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18964"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18964\/revisions"}],"predecessor-version":[{"id":19028,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18964\/revisions\/19028"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18966"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18964"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}