Die Zahl und Heftigkeit der Cyber-Attacken steigen ständig. Herkömmliche Prozesse zur Wiederherstellung von Daten und Systemen greifen zu kurz, sobald Backups und Sicherheitsanwendungen zerstört sind. Die folgenden Tipps bilden Leitplanken für die IT-Resilienz.
1. Wirksam vorbereitet sein
Stärken Sie Ihre Cyber-Resilienz gegen Ransomware, indem Sie ein abteilungsübergreifendes Sicherheitsteam einrichten. Ransomware-Angriffe betreffen das gesamte Unternehmen – deshalb müssen alle Beteiligten ihre Rolle kennen. Realistische Übungen, unternehmensweite Richtlinien sowie regelmäßig aktualisierte Strategien für Backups und betriebliche Resilienz sind Pflicht.
2. Proaktiv handeln
Informieren Sie sich über Ransomware-Banden und ihre Tools, Techniken und Verfahren. Schulen Sie alle Mitarbeiter und verpflichten Sie sie, Ransomware-ähnliche Vorgänge zu melden. Das Sicherheitsteam sollte bei Bedarf auch über externe Kanäle kommunizieren können und gegebenenfalls externe Experten einschalten.
3. Angriffsfläche reduzieren
Ermitteln und schließen Sie kritische Sicherheitslücken, insbesondere wenn sie wichtige Systeme betreffen. Zugriffsrechte sollten dem Prinzip der geringsten Berechtigung folgen. Netzwerksegmentierung schränkt die Ausbreitung von Ransomware ein. Sensible Daten sind besonders gut zu sichern.
4. Backups schützen
Nutzen Sie Backup-Systeme, die von der produktiven Umgebung getrennt sind und Daten unveränderlich speichern. Weiteren Schutz bietet Multifaktor-Authentifizierung für Administratoren und rollenbasierte Zugriffskontrolle. Ein Golden Master von kritischen Systemen erleichtert die Wiederherstellung.
5. Ransomware-Schutz verstärken
Identifizieren Sie Sicherheitslücken auf Basis der von Ransomware-Banden genutzten Angriffstechniken. Anomalie-Erkennung im Dateisystem der Endpunkte wie Verschlüsselung oder Löschung von Dateien sowie E-Mail-Gateway-Filter zum Blockieren bösartiger Links und Anhänge erhöhen den Schutz. Zudem sollte auf den Computern ausschließlich autorisierte Software laufen.
6. Ransomware erkennen
Sicherheitsteams sollten Anomalien im Betrieb von Rechenprozessor und Festplatten aufdecken und zudem auf ungewöhnliche Netzwerkprotokolle wie I2P oder TOR achten, die bei Ransomware-Banden zum Einsatz kommen. Eine proaktive Suche erkennt Kompromittierungen sowie Netzwerkverbindungen mit bekannten Ports oder Zielen für Ransomware und Wiper, auch mit Hilfe historischer Daten.
7. Schnell reagieren
Hat ein Angriff stattgefunden, ist schnelles Reagieren gefragt. Suchen Sie nach Staging-Umgebungen zur Datenexfiltration und isolieren Sie infizierte Hosts sämtlicher Netzwerke. Ein Clean Room ermöglicht das Wiederherstellen des letzten Backups und den Einsatz vertrauenswürdiger Tools. Zudem lassen sich damit Anzeichen für ein Fortbestehen des Angriffs, die ausgenutzte Schwachstellen und eine erste Verlustprognose ermitteln.
8. Offen kommunizieren
Kommunizieren Sie mit internen Beteiligten und der Öffentlichkeit, um Gerüchte zu vermeiden. Informieren Sie die betroffenen Personen und die jeweiligen Aufsichtsbehörden in Übereinstimmung mit regulatorischen und rechtlichen Verpflichtungen wie NIS-2 (Network and Information Security Directive) und DORA (Digital Operational Resilience Act), und bei Bedarf zudem Versicherungsgesellschaften, Strafverfolgungsbehörden und das Bundesamt für Sicherheit in der Informationstechnik.
Eine starke Cyber-Resilienz gegen Ransomware liegt im Zusammenspiel von Menschen, Prozessen und Technologie. „Wahre Resilienz geht über das Einführen von Sicherheitstechnologie hinaus“, berichtet James Blake, VP of Cyber Resiliency Strategy beim Security-Spezialisten Cohesity. „Es geht darum, wie diese Lösungen eingesetzt werden, welche Unternehmenskultur vorhanden ist und ob die notwendigen Fähigkeiten und Prozesse bestehen, um sie aufrechtzuerhalten.“ Unternehmen sollten sich an einem Cyber-Resilienz-Reifegradmodell orientieren und regelmäßig Übungen dazu durchführen, um Menschen, Prozesse und Technologien zu optimieren und eine Art Muskelgedächtnis aufzubauen.„Indem sie sich vom Burggraben-Denken lösen, gewinnen Organisationen die Ansätze und Werkzeuge, die sie benötigen, um sich wirksam gegen die ständig wechselnden Methoden der Angreifer zu schützen“, erklärt Blake. Jürgen Frisch
