Laut dem Application Protection Report 2021 von F5 Labs ist Ransomware eine der größten Gefahren für die Datensicherheit. Hier sind 10 Tipps für Unternehmen, welche aktuellen Sicherheitsmaßnahmen sie umsetzen sollten.
1. Multifaktor-Authentifizierung
Herkömmliche Passwörter reichen nicht mehr: Für den Zugriff auf alle Systeme mit wichtigen Daten sollte Multifaktor-Authentifizierung (MFA) erforderlich sein. Lässt sich MFA nicht überall einrichten, sollte sie zunächst bei allen administrativen Konten zum Einsatz kommen. Die nächste Priorität hat der Fernzugriff. Anschließend ist MFA für E-Mails einzuführen, wobei die meisten großen Plattformen MFA unterstützen. Viele Single-Sign-On-Tools helfen dabei, nach nur einer Anmeldung auf verschiedene Anwendungen zuzugreifen – und damit auch Legacy-Systeme zu schützen.
2. Solide Passwörter
Wo MFA nicht möglich ist, sind benutzerfreundliche Richtlinien für solide Passwörter durchzusetzen. Unternehmen sollten die von Nutzern gewählten Passwörter regelmäßig anhand eines Wörterbuchs sowie mit standardmäßigen, gestohlenen und bekannten Passwörtern überprüfen. Es sind lange Passwörter mit Sonderzeichen vorzuschreiben. Bei falschen Eingaben sollten keine Hinweise auf das Zurücksetzen von Passwörtern gegeben werden, die Cyberkriminelle auf die richtige Spur bringen könnten. Zudem sind abgelaufene oder ungültige Anmeldedaten sofort zu sperren.
3. Zugriffe beschränken
Insbesondere für Admin-Konten ist das Prinzip der geringsten Privilegien anzuwenden. Bei größeren IT-Abteilungen lassen sich die Rechte nach Region, Zeitzone oder Zuständigkeitsbereich aufteilen. Administratoren sollten parallel ein nicht privilegiertes Konto für alltägliche Zwecke wie das Lesen von E-Mails, das Surfen im Internet oder die Nutzung von Office-Anwendungen besitzen. Klickt ein Administrator hier versehentlich auf eine Phishing-E-Mail mit Ransomware, bleiben die Auswirkungen beschränkt.
Die Rechte sind aber auch für alle Nutzer und Systeme zu begrenzen. Zum Beispiel benötigen Webserver Rechte für ihren eigenen Dienst und die Dateiverzeichnisse, aber nicht für das gesamte Netzwerk. Oder ein Backup-Server lässt sich so einrichten, dass er nur Lesezugriff auf die Hauptdomäne hat, damit er Dateien für die Sicherung kopieren kann. Zudem sind allgemeine Nutzerkonten mit den Personaldaten abzugleichen, damit nur die richtigen Personen auf relevante Daten Zugang erhalten.
4. Protokolle überwachen
Angreifer werden versuchen, ihre Spuren zu verwischen. Daher sollte das Monitoring-System Alarm geben, wenn Protokolle gelöscht, manipuliert oder verhindert werden. Es sind auch Meldungen ratsam, wenn ein Administratorkonto erstellt wird oder in kurzer Zeit viele Anmeldungen fehlschlagen.
5. Netzwerksegmentierung
Firewalls können Malware-Infektionen auf bestimmte Nutzungssegmente, Systeme oder Vertrauensstufen beschränken. Falls interne Firewalls nicht realisierbar sind, lassen sich virtuelle LANs einrichten. Ein Remote-Management-System sollte entweder Zugang zum Internet oder zum internen Netzwerk haben, aber nicht beides gleichzeitig. Auch die Zugriffsrechte von administrativen Schnittstellen sind durch Netzwerkregeln einzuschränken.
6. Infrastruktur und Anwendungen patchen
Die Netzwerkgeräte und Firewalls zur Verwaltung der Netzwerksegmentierung müssen regelmäßig gepatcht werden. Gleiches gilt für sämtliche Systeme und Anwendungen, die im Unternehmen zum Einsatz kommen. Sonst werden Hacker die Sicherheitslücken ausnutzen.
7. Backups schützen
Bei einem Ransomware-Befall müssen Unternehmen alle Live-Daten löschen und diese über Backups wiederherstellen. Das wissen auch Cyberkriminelle. Daher beschädigen sie zunehmend die Backup-Systeme, bevor sie die eigentliche Ransomware aktivieren. Vor dieser Methode schützt die 3-2-1-Backup-Strategie. Das bedeutet, dass Unternehmen drei Sicherungskopien anlegen, zwei davon auf verschiedenen Medien und eine extern. Dabei sind auch System-Images, Anwendungssoftware oder Konfigurationen zu sichern.
8. Recovery-Prozess testen
Die Prozesse für Backup und Recovery sollten auf Vollständigkeit und Geschwindigkeit getestet werden. Ein paar Dateien wiederherstellen geht schnell, doch wie lange dauert der Prozess für Hunderte von Terabytes? Wer Daten online sichert, sollte auch Bandbreite und Kosten prüfen. Einige Cloud-Anbieter verlangen für das Herunterladen von Daten wesentlich höhere Gebühren als für das Hochladen.
9. Unveränderliche Backups
Viele Backup-Systeme bieten inzwischen unveränderliche Speicheroptionen an. So lässt sich eine erstellte Sicherungsdatei nicht mehr überschreiben, manipulieren oder löschen. Die Sperre kann zeitlich befristet sein, um rechtliche Anforderungen an manipulationssichere Protokolle und Datenschutz zu erfüllen.
10. Defense in depth
Keine Sicherheitsmaßnahme kann einen hundertprozentigen Schutz vor Ransomware bieten. Daher sollten Unternehmen eine Defense-in-depth-Strategie verfolgen. Dazu schalten sie mehrere Security-Maßnahmen hintereinander, die auf unterschiedliche Weise wirken. Dies erhöht die Kosten des Angriffs, da Cyberkriminelle mehrere verschiedene Methoden umgehen müssen.
Welche Schutzmaßnahmen in welchen Fällen eingesetzt werden sollten, hängt von der Geschäftstätigkeit, der technologischen Infrastruktur, der Kultur und den Risiken ab. Wichtig ist hier im ersten Schritt eine Analyse der möglichen Bedrohungen für das Unternehmen. Im zweiten Schritt sind die besonders schützenswerten Systeme und Daten zu ermitteln. Anschließend folgt das Festlegen der überschneidenden Kontrollen, um so viele Gefahren wie möglich zu beseitigen. Und selbst wenn jede Maßnahme nur zu 80 Prozent wirkt, wehren drei hintereinander rund 99 Prozent der Angriffe ab.
www.f5.com/de