Ransomware-Angriffe sind weltweit auf dem Vormarsch, und auch die Schweiz bleibt nicht verschont. In den letzten Jahren haben Hackergruppen zunehmend Organisationen aller Größen in der Schweiz ins Visier genommen – von internationalen Konzernen bis hin zu kleinen und mittelständischen Unternehmen (KMUs). Dabei haben sich die Angriffe weiterentwickelt, sind komplexer und koordinierter geworden. Unternehmen stehen deshalb vor der Herausforderung, nicht nur reaktiv auf Angriffe zu reagieren, sondern proaktiv Schutzmaßnahmen zu implementieren.
In diesem Blog-Beitrag geht es darum, konkrete Maßnahmen aufzuzeigen, mit denen Unternehmen der Bedrohung durch Ransomware begegnen können. Dabei stehen nicht nur technische Lösungen im Fokus, sondern auch Planung, Schulung, Prävention durch Penetrationstests und Incident-Response-Übungen wie Table-Top-Exercises.
Prävention: Der beste Schutz beginnt mit Planung und Training
Eine der wichtigsten Maßnahmen zur Verteidigung gegen Ransomware ist die richtige Planung und Vorbereitung. Unternehmen sollten nicht erst dann handeln, wenn der Angriff bereits stattgefunden hat, sondern sich aktiv auf potenzielle Bedrohungen vorbereiten. Das bedeutet, dass Sicherheitskonzepte, die Reaktionspläne im Falle eines Angriffs, sowie präventive Maßnahmen regelmäßig überprüft und aktualisiert werden müssen.
Ein effektiver Weg, um die Reaktionsfähigkeit eines Unternehmens zu testen, sind Table-Top-Exercises. Dabei handelt es sich um simulierte Übungen, bei denen das Sicherheitsteam mögliche Angriffsszenarien durchgeht, ohne dabei die echten Systeme zu gefährden. Diese Art von Übung hilft dabei, Schwachstellen in der internen Kommunikation und in den Reaktionsabläufen aufzudecken. Das Unternehmen kann so sicherstellen, dass alle Verantwortlichen wissen, welche Schritte im Ernstfall zu unternehmen sind.
Darüber hinaus ist die Schulung der Mitarbeitenden von zentraler Bedeutung. Phishing-E-Mails sind nach wie vor einer der häufigsten Angriffsvektoren für Ransomware. Mitarbeiter müssen deshalb regelmäßig in Bezug auf Cyber-Bedrohungen geschult werden, um verdächtige E-Mails und Links zu erkennen und nicht versehentlich Schadsoftware herunterzuladen. Sicherheitsschulungen sollten in kleinen, regelmäßigen Dosen durchgeführt werden, um das Bewusstsein dauerhaft zu schärfen.
Technische Maßnahmen: Software und Konfiguration
Technische Lösungen sind das Rückgrat jeder Sicherheitsstrategie. Zu den wichtigsten Maßnahmen gehören hier die Implementierung von Sicherheitssoftware, die regelmäßige Aktualisierung von Systemen und die Überprüfung von Zugriffsrechten.
Backups und Datensicherung
Regelmäßige und gut verwaltete Backups sind die erste Verteidigungslinie gegen Ransomware. Unternehmen sollten ihre Daten in einem Zyklus sichern und sicherstellen, dass diese Backups offline und außerhalb des Hauptnetzwerks gespeichert werden, um sie vor Verschlüsselung durch Ransomware zu schützen. Zudem sollte das Backup regelmäßig auf Integrität überprüft werden, um sicherzustellen, dass im Ernstfall alle benötigten Daten wiederhergestellt werden können.
Empfehlung: Unternehmen sollten Tools wie Veeam Backup & Replication oder Microsofts Azure Backup verwenden, um eine automatisierte und sichere Datensicherung zu gewährleisten.
Endpunktschutz und Erkennung
Eine weitere wichtige Komponente ist die Implementierung von EDR-Lösungen (Endpoint Detection and Response), die potenzielle Bedrohungen auf Endgeräten überwachen und erkennen können. Diese Systeme arbeiten in Echtzeit, um verdächtige Aktivitäten wie unerwartete Verschlüsselungsprozesse zu erkennen und automatisch zu blockieren.
Ein Beispiel für eine solche Lösung ist Microsoft Defender for Endpoint, das Unternehmen eine umfassende Sicherheitslösung für Windows-Endpunkte bietet. Es überwacht nicht nur auf Ransomware, sondern auch auf andere Bedrohungen wie Malware, Zero-Day-Exploits und gezielte Angriffe.
Zwei-Faktor-Authentifizierung und Zugriffskontrolle
Die Implementierung einer Zwei-Faktor-Authentifizierung (2FA) auf allen Zugängen – insbesondere bei sensiblen Systemen – erschwert es Angreifern erheblich, sich in das Netzwerk einzuschleichen. Selbst wenn Zugangsdaten gestohlen werden, ist der Zugriff ohne den zweiten Faktor oft nicht möglich.
Empfehlung: Lösungen wie Azure AD Multi-Factor Authentication von Microsoft ermöglichen die einfache Integration von 2FA in bestehende Netzwerke und Applikationen. Dies sollte insbesondere für administrative Zugänge Pflicht sein.
Schwachstellenmanagement und Penetrationstests
Um zu verstehen, wo die größten Schwachstellen im System liegen, sind regelmäßige Penetrationstests unerlässlich. Penetrationstests simulieren reale Angriffe und helfen dabei, Schwachstellen zu identifizieren, bevor Angreifer dies tun. Im Kontext von Ransomware kann ein Penetrationstest aufzeigen, wie sicher Backup-Systeme sind, ob kritische Daten verschlüsselt sind und wie gut die Zugriffsrechte verwaltet werden.
Verschiedene Arten von Penetrationstests sind zu empfehlen:
1. Netzwerk-Penetrationstests überprüfen die Sicherheit von Netzwerken und zeigen Schwachstellen wie offene Ports oder veraltete Software auf, die von Angreifern ausgenutzt werden könnten.
2. Webanwendungs-Penetrationstests fokussieren sich auf Schwachstellen in Webanwendungen, die oft der erste Angriffspunkt sind, um sich Zugang zu Netzwerken zu verschaffen.
3. Social Engineering Tests simulieren Phishing- oder Spear-Phishing-Angriffe, um die Sensibilisierung und Reaktionsfähigkeit der Mitarbeiter zu testen.
Diese Tests sollten von professionellen Sicherheitsunternehmen durchgeführt werden, die auf den neuesten Stand der Technik und Taktiken der Angreifer geschult sind.
Pressearbeit und Krisenkommunikation
Wenn ein Unternehmen von Ransomware betroffen ist, ist nicht nur die technische Reaktion entscheidend, sondern auch die richtige Krisenkommunikation. In der Schweiz haben mehrere Unternehmen bereits erfahren müssen, wie wichtig ein gut vorbereitetes Kommunikationskonzept ist. Die frühzeitige und transparente Information der Öffentlichkeit und der betroffenen Kunden kann viel Schaden von der Reputation eines Unternehmens abwenden.
Ein gutes Beispiel für effektive Krisenkommunikation lieferte der Schweizer Zughersteller Stadler Rail. Nach dem Ransomware-Angriff im Jahr 2020 informierte das Unternehmen sofort die Medien und die Öffentlichkeit über den Vorfall, gab jedoch keine Details zu den Lösegeldforderungen preis. Diese Vorgehensweise half dem Unternehmen, einen kontrollierten Informationsfluss zu gewährleisten und gleichzeitig den rechtlichen Rahmen zu wahren.
Empfehlung: Unternehmen sollten ein Kommunikationskonzept vorbereiten, das für verschiedene Arten von Angriffen und Vorfällen anwendbar ist. Interne und externe Kommunikationswege müssen klar definiert werden, und es sollte ein Krisenteam geben, das mit den Medien und Kunden im Falle eines Vorfalls transparent kommunizieren kann.
Rolle der Behörden: Unterstützung bei einem Angriff
Die Schweizer Behörden, insbesondere das Nationale Zentrum für Cybersicherheit (NCSC), bieten Unterstützung und Beratung bei Ransomware-Angriffen. Während sie in den meisten Fällen keine technische Hilfe bei der Entschlüsselung bieten können, unterstützen sie bei der Analyse des Vorfalls und geben Empfehlungen, wie Unternehmen in der Zukunft besser geschützt werden können. Sie stehen auch im Dialog mit internationalen Behörden und IT-Sicherheitsfirmen, um Bedrohungen zu identifizieren und zu bekämpfen.
Das NCSC rät klar davon ab, Lösegeld zu zahlen, da dies den Angreifern nur weiteren Anreiz bietet, ihre Angriffe fortzusetzen. Stattdessen sollten Unternehmen den Vorfall den Behörden melden und eine Zusammenarbeit mit forensischen Experten anstreben, um den Schaden zu minimieren und zukünftige Angriffe zu verhindern.
Ransomware-Entwicklung und aktuelle Trends
In den letzten Jahren haben sich Ransomware-Gruppen immer stärker organisiert und professionalisiert. Der Trend geht weg von einfachen Angriffen hin zu Ransomware-as-a-Service (RaaS), bei dem weniger erfahrene Kriminelle Ransomware-Kits mieten können. Diese Entwicklung hat die Anzahl der Ransomware-Angriffe stark erhöht, da auch weniger erfahrene Akteure in die Lage versetzt werden, Angriffe durchzuführen.
Eine weitere beunruhigende Entwicklung ist die bereits erwähnte doppelte Erpressung. Hierbei wird nicht nur ein Lösegeld für die Entschlüsselung der Daten gefordert, sondern auch die Drohung ausgesprochen, gestohlene Daten zu veröffentlichen. Dies erhöht den Druck auf die Unternehmen, zu zahlen, auch wenn sie über funktionierende Backups verfügen.
Fazit und Empfehlung
Ransomware bleibt eine der größten Cyber-Bedrohungen für Unternehmen weltweit und in der Schweiz. Um sich effektiv zu schützen, müssen Unternehmen umfassende Präventionsstrategien implementieren, die sowohl technische Lösungen als auch Schulung und Planung umfassen. Regelmäßige Penetrationstests, Table-Top-Exercises und die Implementierung moderner Sicherheitssoftware sind essenziell. Auch die richtige Krisenkommunikation sollte nicht vernachlässigt werden.
Während die Behörden Unternehmen mit Rat und Tat zur Seite stehen, liegt die Verantwortung für den Schutz vor Ransomware in erster Linie bei den Unternehmen selbst. Durch die Kombination von technischen Lösungen und organisatorischen Maßnahmen können die Risiken erheblich reduziert werden.