Ransomware-Schutz: Diese 5 Backup-Tipps sollten Sie kennen
Ransomware ist die derzeit am schnellsten wachsende Bedrohung durch Internetkriminalität. Laut dem Sicherheitsanbieter Trustwave übertrafen Ransomware-Angriffe bereits im Jahr 2019 den Diebstahl von Zahlungskartendaten.
Inzwischen hat eine Studie von Sophos herausgefunden, dass die Hälfte der Organisationen 2019 von Ransomware angegriffen wurde und in fast 75 Prozent der Fälle konnten die Angreifer Daten verschlüsseln. Die meisten Organisationen konnten ihre Daten zwar wiederherstellen; dabei nutzen doppelt so viele Firmen mittels eines Backups als durch die Zahlung des Lösegelds. Die Kosten für sie waren weniger als halb so hoch wie für diejenigen, die gezahlt haben.
Der Schlüssel zur Vermeidung von Ransomware-Forderungen liegt also darin, robuste und gut getestete Backups zu haben. Das bedeutet, dass gute, saubere Backups regelmäßig erstellt werden und dass diese gründlich und umfassend sind, möglicherweise auch ein Air Gap integriert wird. Es bedeutet auch, dass Backup-Richtlinien und -Praktiken regelmäßig überprüft und getestet werden sollten.
In diesem Artikel gehen wir auf die fünf wichtigsten Punkte ein, die bei der Datensicherung beachtet werden sollten, damit ein Unternehmen optimal vor Ransomware geschützt ist.
In den letzten Jahren sind Ransomware-Angriffe gezielter und potenziell schädlicher geworden. Cybersicherheitsunternehmen sehen zwar etwas weniger Angriffe, aber laut Sophos ist eine Verlagerung von massenhafter „Spray-and-Pray'“-Desktop-Ransomware zu gezielten Angriffen auf Unternehmen zu beobachten.
Unabhängig vom Ziel besteht Ransomware aus drei Hauptbestandteilen: dem ersten Angriff oder der Übermittlung der Malware-Payload, der Verschlüsselung der Daten des Opfers und der Kommunikation mit dem Angreifer.
Malware nutzt verschiedene Wege, um Organisationen anzugreifen, und Social Engineering spielt eine wichtige Rolle: Etwa ein Drittel der Ransomware-Angriffe stammen von Benutzern, die bösartige Dateien oder E-Mails mit schädlichen Links herunterladen. Aber Ransomware verbreitet sich auch über direkte Angriffe auf Server, Malware-Anhänge an E-Mails und über Cloud-Ressourcen.
Außerdem wird laut dem National Centre for Cyber Security immer mehr Ransomware über ungeschützte RDP-Dienste (Remote Desktop Protocol) oder ungepatchte Remote-Access-Geräte verbreitet.
Sicherheits-Tools wie E-Mail-Filter, Malware-Scans, Firewalls und Netzwerküberwachung können helfen, ebenso wie das Patchen und die Einschränkung der Zugriffsrechte von Netzwerkbenutzern.
Der effektivste Schutz ist jedoch ein robustes Backup-System zum Schutz der Daten.
Backup als Ransomware-Schutz: Die fünf wichtigsten Schritte
1. Überprüfen und aktualisieren Sie Backup-Richtlinien Die beste Verteidigung gegen Malware ist die Möglichkeit, Daten aus sauberen, unkompromittierten Backups wiederherstellen zu können. Selbst wenn ein Unternehmen ein Lösegeld zahlt, gibt es keine Garantie, dass die Angreifer den Entschlüsselungsschlüssel herausgeben. Die Wiederherstellung aus Backups ist zuverlässiger, billiger und erfordert keine Geldübergabe an Kriminelle. Allerdings funktionieren Backups nur, wenn sie robust und umfassend sind. CIOs sollten eine gründliche Prüfung aller Unternehmensdatenstandorte anordnen. Es ist nur allzu leicht, kritische Daten in einem Backup-Plan zu übersehen, egal ob sie auf lokalen Systemen oder in der Cloud gespeichert sind. Dies ist jetzt besonders wichtig, angesichts der Entwicklung hin zur Remote-Arbeit während der Covid-19-Pandemie. Wichtige Fragen hierzu sind unter anderem: Werden die Systeme der Endbenutzer gesichert?
Deckt der Backup-Plan temporäre oder verbraucherorientierte Cloud-Datenspeicher ab? Cloud-Speicher sollten gegen physische Ausfälle resilient sein, aber das schützt nicht vor Ransomware. Die beste Praxis für Backups bleibt die 3-2-1-Regel: Erstellen Sie drei Kopien der Daten, speichern Sie sie auf zwei verschiedenen Medien und bewahren Sie eine Kopie außerhalb des Unternehmens auf. Um sich vor Ransomware zu schützen, sollte das Offsite-Backup vom Unternehmensnetzwerk isoliert werden.
2. Air Gap für Geschäftsdaten Cloud-Speicher ist eine attraktive Technologie zur Speicherung langfristiger Datensicherungen und hat in einigen Bereichen physische Sicherungsmedien wie optische Datenträger, tragbare Festplatten und Bänder ersetzt. Cloud-Speicher schützt Daten vor physischen Störungen wie Hardware- oder Stromausfällen sowie Feuer und Überschwemmungen, aber er schützt nicht automatisch vor Ransomware. Cloud-Speicher sind an zwei Fronten verwundbar: durch Verbindungen zu Kundennetzwerken und weil es sich um gemeinsam genutzte Infrastruktur handelt. Cloud-Anbieter selbst sind auch durch Ransomware-Angriffe gefährdet. Angreifer haben es jetzt gezielt auf Cloud-Dienste abgesehen, da sie kein Passwort mehr benötigen, um Zugriff auf Cloud-Daten zu erhalten. Sie stehlen einfach die Anmeldedaten und löschen oder verschlüsseln die Cloud-Backups eines Unternehmens mit Hilfe eines Man-in-the-Middle-Angriffs. Die Lösung für CISOs besteht darin, Cloud-Backups mit Bändern oder anderen mechanischen Backup-Medien zu ergänzen. Die Cloud kann die Offsite-Kopie sein, aber einen weiteren Datensatz auf Band zu speichern und diese Bänder strikt offline zu halten, ist der zuverlässigste Weg, um Daten gegen eine Ransomware-Attacke abzusichern.
3. Regelmäßige Backups erstellen und Aufbewahrungsrichtlinien überprüfen Es sollte selbstverständlich sein, dass Unternehmen regelmäßig Backups ihrer Daten erstellen. Auch hier sollten CIOs die Richtlinien für die Häufigkeit der Backups überprüfen, insbesondere wie oft die Daten an externen Standorten (einschließlich der Cloud) und auf mechanisch getrennten Medien wie Bändern gesichert werden. Es könnte sein, dass häufigere Backups erforderlich sind. IT-Teams sollten auch überprüfen, wie lange sie ihre Backups aufbewahren, insbesondere ihre Air-Gap-Medien. Ransomware nutzt oft Zeitverzögerungen, um eine Entdeckung zu vermeiden, oder Angriffsschleifen, um scheinbar saubere Systeme anzugreifen. Unternehmen müssen möglicherweise durch mehrere Generationen von Backups zurückgehen, um saubere Kopien zu finden, was eine längere Aufbewahrung und möglicherweise mehrere Kopien erfordert. Die Aufbewahrung separater Backups für kritische Geschäftssysteme sollte die Wiederherstellung ebenfalls erleichtern.
4. Sicherstellen, dass Backups sauber und stabil sind Die Sicherstellung, dass Backups frei von Malware sind, ist schwierig, aber Unternehmen sollten so viel wie möglich tun, um sicherzustellen, dass ihre Backups nicht infiziert sind. Neben strikten Sicherheitsrichtlinien – wie dem schnellstmöglichen Abschalten von Medien – sind aktuelle Malware-Erkennungs-Tools und System-Patches unerlässlich. Für zusätzlichen Schutz sollten Unternehmen WORM-Medien (Write Once Read Many) in Betracht ziehen, beispielsweise optische Festplatten oder als WORM konfigurierte Bänder. Einige Anbieter vermarkten inzwischen Cloud-Speicher im WORM-Format. Datenzugriffskontrollen sind eine weitere Absicherung. Die Verwendung von Tools wie Windows 10 Controlled Folder Access und die Beschränkung des Benutzerzugriffs auf kritische Datenspeicher können die Verbreitung von Ransomware von vornherein verhindern und die Sicherheit von Backups erhöhen.
Wie Sie sich effektiv gegen Ransomware-Angriffe schützen können.
Was passiert bei Ransomware-Angriffen und wie kann man sich davor schützen?
Die Verteidigung gegen sogenannte Ransomware und Krypto-Trojaner zählt heutzutage mit zu den schwierigsten und wichtigsten Aufgaben der IT-Sicherheit. Doch auch 2020 ist sich noch nicht jeder der stetig drohenden Gefahr bewusst. Ebenso wenig der daraus resultierenden Folgen, die ein Befall mit Ransomware mit sich bringen kann.
Was passiert bei einem Angriff mit Ransomware?
Noch bis vor einiger Zeit waren die meisten Ransomware-Attacken noch recht unspektakulärer Natur und betrafen vorwiegend Privatanwender oder Selbstständige sowie deren Computer. Die Lösegeldforderungen lagen meistens bei einigen hundert Euro pro Gerät. Diese Vorgehensweise ermöglicht den Tätern ein lukratives Geschäftsmodell – insbesondere – wenn sie davon ausgehen können; leichtes Spiel mit Endnutzern zu haben.
Mittlerweile sind Cyber-Angriffe mit Ransomware vermehrt auf größere Ziele ausgelegt, deren Budget oder dahinter stehende Cyber-Versicherungen weitaus höhere Lösegeldforderungen zulässt. Große Firmen und Konzerne verfügen auf ihrer Hardware über äußerst wichtige und brisante Daten, deren Verlust ein Erliegen des Tagesgeschäfts zur Folge haben kann. Wie die letzten Jahre gezeigt haben, gibt der Erfolg den Cyber-Kriminellen Recht: Viele Unternehmen sind schnell bereit ein tiefes Loch in den Haushalt zu reißen, um Computersysteme und Dateien wieder frei zu bekommen.
Ransomware-Angriffe zielen auf zahlungskräftige Klientel ab
Selbstständige, kleine Unternehmer und Privatanwender fielen meist Ransomware-Derivaten zum Opfer, welche in großer Zahl in Umlauf gebracht worden sind. Phishing-Mails, schädliche Internetseiten und sogenannte Drive-by-Downloads sind nur einige der möglichen Infektionsherde. Inzwischen verzichten die Angreifer auf die massenhafte Verbreitung der Schadprogramme, um möglichst viele kleine Opfer zu erreichen. Stattdessen suchen sich die Ransomware-Erpresser gezielt zahlungskräftige Opfer aus, deren Betrieb ohne funktionierende IT-Infrastruktur zum Erliegen kommt. Daraus lässt sich ableiten, dass diese mehr als nur bereit sind horrende Lösegeldsummen für die Auslöse der Daten, Computersysteme und Server bereitzustellen.
Dieses Vorgehen ist sehr professionell organisiert und auf Gewinnmaximierung ausgerichtet. Angegriffene Organisationen müssen davon ausgehen, dass sie mit empfindlich hohen Lösegeldforderungen konfrontiert werden. Die Erpresser haben sich die Festlegung der geforderten Geldbeträge gut überlegt. Sie wissen genau – oder zumindest können sie es sich ausrechnen – wie viel der Betroffene zu zahlen bereit sein wird, um wieder Zugriff auf seine Systeme zu haben.
Gezielte Angriffe mit Ransomware werden administriert
Vom Grundprinzip her unterscheiden sich massenhafte Angriffe mit Ransomware und gezielte Angriffe mit Ransomware nicht großartig voneinander. Allerdings gibt es technische Unterschiede. Die massenhafte Verbreitung von Ransomware sowie der Vorgang der Erpressung des Lösegelds läuft vorwiegend automatisiert ab. So vergehen in manchen Fällen, von der Sperrung und Verschlüsselung des Systems, bis hin zur eigentlichen Lösegelderpressung, nur wenige Minuten. Bei manchen Derivaten läuft die Prüfung der Bezahlung und die anschließende Freischaltung per Kommunikation mit dem verantwortlichen Server vollkommen autark – ohne menschliches Zutun.
Koordinierte und gezielte Cyber-Angriffe gleichen APTs (Advanced Persitent Threats); also sich unautorisierte Zugriffe auf fremde Netzwerke verschaffen und über lange Zeiträume unbemerkt bleiben. Diese werden in der Regel von einer oder mehreren Personen betreut und gesteuert und nicht von einem automatischen System. Aus diesem Grund gehen diese Angriffe auch wesentlich langsamer vonstatten.
Die dabei zum Einsatz kommenden Werkzeuge unterscheiden sich ebenfalls. Während massenhafte Ransomware-Attacken sich Anwendungen bedienen, welche spezifisch für eine spezielle Art von Angriffsmuster entwickelt wurden, setzen gezielte Cyber-Angriffe mit Erpressungsabsicht auf modularen Schadcode. In der Aufklärung (Reconnaissance-Phase) bedient man sich zwar oftmals noch klassischer Tools. Doch für den eigentlichen Angriff mit Ransomware sowie die Verschlüsselung durch Krypto-Trojaner, wird auf maßgeschneiderte Programmierungen gesetzt. Im Bedarfsfall kann sogar weiterer Schadcode nachgeladen werden, um effektiv auf jegliche Vorkommnisse reagieren zu können.
Wie reagiert man auf Ransomware-Angriffe?
Schritt eins: Vorbereitung
Aktuelle Updates und Patches
Da bekanntermaßen die Ausnutzung von Sicherheitslücken die Infektion mit Malware begünstigt, ist der erste Schritt zur Prävention von Ransomware-Angriffen eine aggressive Patch- und Update-Strategie zur Absicherung der potenziellen Zielsysteme.
Vermeidung von Hardware über die man zu wenig Kontrolle hat
Unauthentifizierte Angreifer können beispielsweise Citrix ADC und Netscaler Gateway-Systeme über einen Exploit der gravierenden Sicherheitslücke CVE-2019-19781 ausnutzen und aus großer Entfernung ihre Angriffe durchführen. Dadurch lässt sich mit recht geringem Aufwand eigener Code platzieren und ausführen. Bereits im Dezember 2019 ist die Schwachstelle bekannt geworden, welche aber bisher nur einen provisorischen Fix erhalten hatte. Durch diese verhältnismäßig einfach ausnutzbare Schwachstelle steigt das Risiko von Malware-Infektion und Ransomware-Angriffen für Organisationen, welche Citrix im Einsatz haben, erheblich an. #shitrix ist entstanden.
Geschützte Sicherheitskopien
Sicherheitskopien und deren Schutz sind ebenfalls von sehr großer Bedeutung. Das hohe Risiko von Ransomware bei groß angelegten Cyber-Angriffen auf Firmen resultiert daraus, dass die Angreifer Backup-Dateien und Datensicherungssysteme zerstören und die tagtäglich genutzten Dateien und Systeme verschlüsselt werden. Im Hinblick auf diese Gefahr sollten entsprechende Dokumente, Datenbankensysteme etc. in eng getakteter Abfolge an Orte kopiert werden, die für die Eindringlinge schwer bis gar nicht zu erreichen sind (z.B. Tapes oder Offline-Storage-Backups). Dabei sollte auch überprüft und getestet werden, ob sich die Daten ohne großen Aufwand aus den Backups wiederherstellen lassen. Permanent verbundene Netzwerklaufwerke (NAS) und auch Cloud-Speicher sind nicht komplett sicher, denn das Risiko, dass verschlüsselte Dateien automatisch dorthin gesichert werden und dadurch bestehende Backups überschreiben, ist immens.
Vorfallreaktionspläne
Es sollten spezifische Vorfallsreaktionspläne (Incident-Response-Plan, auch: IRP) für Ransomware-Attacken entwickelt werden. Um sich auf gezielte Angriffe mit Krypto-Trojanern vorzubereiten, welche große Teile von Unternehmen lahmlegen könnten. Der Reaktionsplan sollte detailliert beschreiben, was Personen zu tun haben, sobald der Verdacht einer Netzwerk-Infiltration oder eine Ransomware-Attacke vorliegt. Nur auf diese Weise ist eine schnelle Reaktion umsetzbar. Für die Abwehr von Ransomware ist jede Sekunde entscheidend, welche dem IT-Sicherheits-Team bleibt, um die Verschlüsselung durch Krypto-Programme zu unterbinden oder zu unterbrechen.
„Awareness“ schaffen
Diesem Aspekt gebührt besonders hohe Priorität: Umfassende Sensibilisierungsmaßnahmen und Schulungen („Awareness“-Training) für die Anwender sind eine unumgängliche wie auch effektive Schutzmaßnahme, um sich gegen potenzielle Angriffe zu wappnen. Dadurch wird das Risiko reduziert, dass Angestellte auf Phishing-Mails - insbesondere Spear-Phishing-Mails - hereinfallen und damit die Malware ins firmeninterne Netzwerk holen. Viele Cyber-Angriffe setzen dabei auf Social-Engineering-Taktiken. Die Mitarbeiter sollten sich der Gefahr bewusst sein und lernen, wie eine verdächtige Nachricht enttarnt werden kann, um einer Infektion entgegen wirken zu können.
Security by Design
So banal es vielleicht auch klingen mag, eine durchdachte Netzwerktopologie, bei der Anwender nur soweit Zugriffe haben als sie es für den Arbeitsalltag benötigen, hilft in vielen Fällen vor einer massenhaften Ausbreitung und weitreichenden Vernichtungen. Ausreichend starke Passwörter für Logins auf Samba-Shares oder Administrationskonten setzen wir in diesem Umfeld selbstredend voraus.
Schritt zwei: Erkennung
Organisationen können den potenziellen Schaden, welchen ein Angriff mit Ransomware verursachen könnte, minimieren, wenn die Malware früh genug entdeckt werden kann. Network-Intrusion-Detection-Systeme (NIDS) haben während der Infektions- und Exploitphase die Möglichkeit Signaturen sowie IOCs (Indicators of compromise) auszumachen. Mithilfe von Threat Intelligence hat IDS die Möglichkeit, um die Aktivität von Ransomware im Netzwerk aufzuspüren, zu stoppen oder zumindest eine Warnung an die IT-Sicherheitsbeauftragten zu senden.
Namhafte IDS-Anbieter haben zahlreiche Erkennungsmuster in ihre Systeme integriert, mit deren Hilfe Netzwerk-Anomalien aufgedeckt werden können. Diese Aktivitäts-Muster können sich je nach Ransomware und Ransomware-Version unterscheiden. Aus dem Grund ist es notwendig mehrere Verteidigungslinien aufzubauen. Trotzdem sind die Signaturen ein guter Ansatz, da somit die in den meisten Unternehmen eingesetzten Systeme zur Abwehr mit einbezogen werden.
Ausführbare E-Mail-Anhänge stoppen
Generell sind alle Tools hilfreich, welche Attachments und Executables in Phishing-E-Mails ausfindig machen können, um Ransomware den Zugang zum Unternehmens-Netzwerk zu verwehren. Mit derartigen Schutzmaßnahmen existiert schon einmal eine grundlegende und automatisierte Verteidigung.
Anwendungsdaten und temporäre Dateien überwachen
Mit der Tatsache, dass Ransomware zumeist aus den Verzeichnisordnern %appdata% oder %temp% startet, liefert einen weiteren Hebelpunkt: Die Überwachung dieser Ordner sowie darin ausgeführter Anwendungen und Programme ermöglicht es Ransomware zu entdecken, bevor diese die Gelegenheit hat Dateien zu verschlüsseln. Wie schon in der Exploit-Phase kann man über Netzwerk-Regeln die Ausführung sowie Verbreitung von Malware wie Ransomware visualisieren.
Vssadmin-Befehle beaufsichtigen
Angriffe auf Backups und der Versuch die Datensicherungen zu zerstören erlauben es ebenfalls die Ransomware-Aktivitäten aufzudecken, bevor die Verschlüsselung gestartet werden kann. Die Ausführung von „vssadmin“-Kommandos sollte dabei besondere Beachtung finden und nach Möglichkeit mit einem Alarm verknüpft werden. So haben Verantwortliche eine reelle Chance rechtzeitig einzugreifen und gefährdete Computer und Netzwerklaufwerke vor der Ransomware-Verschlüsselung zu schützen.
Registry-Einträge und Dateiendungen kontrollieren
Auch die Überwachung der Kommunikation des Command-and-Control Servers (C&C) ist eine Möglichkeit, um anhand von Netzwerk-Signaturen, der Vergabe von Dateinamen und Änderungen in der Registry zu erkennen, dass beispielsweise der zu Beginn der Verschlüsselungsphase erforderliche Schlüsselaustausch erfolgt. Die Ransomware Locky fiel dadurch auf, dass immer mehr Dateien mit der Dateierweiterung .locky auftauchten. So konnte der Befall mit dem Krypto-Trojaner bemerkt werden.
Leider benutzen viele Krypto-Trojaner mittlerweile einzigartige Dateierweiterungen, die von Befall zu Befall unterschiedlich sind. Zudem ist die Umbenennung der verschlüsselten Dateien durch die Ransomware in der Regel ein recht später Schritt, der ziemlich zum Ende des Krypto-Angriffs erfolgt. Dennoch können die Indikatoren bereits ausreichen, um das Ausmaß des Angriffs eingrenzen zu können – wenn der Angriff schon nicht verhindert werden kann.
Schritt drei: Eindämmung
Ist bereits ein Gerät der Ransomware zum Opfer gefallen, so gibt es nach wie vor die Möglichkeit den Angriff auf dieses Umfeld zu beschränken, um den Angriff auf Dateien im Netzwerk zu verhindern.
Endpoint-Security-Systeme, die ausführbare Dateien erkennen und die Prozesse stoppen können, sind ein guter Ansatz für eine Eingrenzung von Ransomware-Attacken. Wird schadhafte Malware entdeckt, so wird die Netzwerk-Verbindung unmittelbar getrennt und die Schadsoftware ist auf dem jeweiligen System isoliert, sodass sie keine Dateien im Netzwerk verschlüsseln kann.
Schritt vier: Ransomware / Malware Entfernung
Ist der Ransomware-Angriff identifiziert und eingedämmt worden, ist es unabdingbar die Malware sowie etwaige Spuren zu entfernen. Es empfiehlt sich betroffene Systeme zu ersetzten, anstatt diese nur zu „säubern“, da sich diverse Malware überaus gut in den Tiefen der Hardware zu verstecken weiß. Möglicherweise wurden bereits Router oder Drucker infiziert, in dem sich die Dateien verstecken, um für den Fall einer Entdeckung vor einer effektiven Bereinigung sicher zu sein und im Anschluss das Netzwerk erneut zu infizieren.
Wann immer man sich für eine Säuberungsaktion entschließt, anstatt für das Ersetzen kompletter Hardware, sollte im Nachhinein eine penible Überwachung auf IOC und Signaturen erfolgen, um ein wiederholtes Aufkommen der Ransomware-Infektion schnellstmöglich zu unterbinden.
Schritt fünf: Netzwerke, Systeme und Daten wiederherstellen
Die Wiederherstellung umfasst zunächst einmal das Wiedereinspielen von Datensicherungen und Backups der zerstörten und verschlüsselten Dateien. Für ein Unternehmen, das auf umfassende und geprüfte Sicherheitskopien zurückgreifen kann, kann ein Krypto-Angriff mit Ransomware nahezu folgenlos bleiben. Es ersetzt die befallenen Geräte oder säubert sie und rekonstruiert den Datenbestand aus den Backups. Dabei wird man eine kurzzeitige Unterbrechung bei den IT-Anwendungen in Kauf nehmen müssen. Es ist recht unwahrscheinlich, dass die Attacke unter derartigen Voraussetzungen zu einem tagelangen Problemzustand wird - auch wenn es in dieser Hinsicht bereits Fälle gegeben hat, bei denen z. B. NotPetya einen internationalen Logistikkonzern beinahe vollständig lahm gelegt hat. Zehn Tage lang arbeitete das Unternehmen vollkommen analog, bis die IT-Infrastruktur wieder online war.
Wie ist es zu dem Ransomware-Befall gekommen?
Bei jedem Cyber-Angriff lohnt sich eine genauere Beleuchtung, wie die Infektion stattgefunden hat. Waren es Phishing-E-Mails oder web-basierte Angriffs-Kits? Wenn es ein web-basierter Angriff gewesen ist, wie wurde der verantwortliche Anwender auf die Internetseite gelockt? Wenn man herausfinden kann, wie Ransomware in die Systeme und ins Netzwerk gelangen konnte, dann lassen sich mit diesen Erkenntnissen Abwehr- und Erkennungsmethoden maßgeblich optimieren und Schwachstellen für die Zukunft minimieren.
Die Bedrohung durch Ransomware verschwindet nicht
Ransomware-Angriffe gegen KMUs, Konzerne, Behörden und öffentliche Einrichtungen sowie Krankenhäuser stellen eine Gefahr dar, welche trotz ihrer Häufigkeit erst die Spitze des Eisbergs des potenziell Möglichen bildet. Aufgrund der Attraktivität solcher Angriffe und der damit erzielten Erfolge werden Täter zunehmend häufiger darauf setzen. Und die Angriffe werden sukzessive an Schlagkräftigkeit und Gefährlichkeit dazu gewinnen, sodass noch gewaltigere Schäden, mit noch höheren Kosten die Folge sein werden.
Die Wenigsten sind auf derartige Ransomware-Angriffe vorbereitet - egal, ob groß oder klein. Die kaum absehbaren Folgen stellen einen weitaus kritischeren Verlust dar, als die Bezahlung der geforderten Lösegeldsumme: Imageverlust, Produktivitätseinbußen, eingeschränkte Geschäftsfähigkeit, beeinträchtigte Kundeninteraktion, Datenverlust und Datendiebstahl oder die Veröffentlichung brisanter Daten. Die erfolgreiche Abwehr eines Ransomware-Angriffs hängt davon ab, wie gut man darauf vorbereitet ist, die Indizien für das Treiben von Krypto-Trojanern oder anderer Malware zu erkennen und verdächtige Aktivitäten zeitnahe zu stoppen.
Besser auf Ransomware vorbereitet sein
Es ist immer empfehlenswert auf den Extremfall vorbereitet zu sein, der niemals eintritt, anstatt beim Eintreten des Extremfall diesem schutzlos ausgeliefert zu sein. Oder mit einfacheren Worten: Vorsicht ist besser als Nachsicht.
Schutz vor Schadsoftware und Ransomware in Microsoft 365 - Microsoft Service Assurance
Inhaltsverzeichnis
Schutz vor Schadsoftware und Ransomware in Microsoft 365
Artikel
10/19/2022
12 Minuten Lesedauer
5 Mitwirkende Feedback
In diesem Artikel
Schützen von Kundendaten vor Schadsoftware
Schadsoftware besteht aus Viren, Spyware und anderer Schadsoftware. Microsoft 365 enthält Schutzmechanismen, um zu verhindern, dass Schadsoftware von einem Client oder einem Microsoft 365-Server in Microsoft 365 eingeführt wird. Die Verwendung von Schadsoftware ist ein Hauptmechanismus zum Schutz von Microsoft 365-Ressourcen vor Schadsoftware. Die Antischadsoftware erkennt und verhindert, dass Computerviren, Schadsoftware, Rootkits, Würmer und andere schadhafte Software in beliebige Dienstsysteme eingeführt werden. Antischadsoftware bietet sowohl präventive als auch detektierte Kontrolle über Schadsoftware.
Jede an Ort und Stelle installierte Antischadsoftwarelösung verfolgt die Version der Software und welche Signaturen ausgeführt werden. Der automatische Download und die Anwendung von Signaturupdates mindestens täglich von der Virendefinitionswebsite des Anbieters wird zentral durch das entsprechende Anti-Malware-Tool für jedes Serviceteam verwaltet. Die folgenden Funktionen werden zentral vom entsprechenden Anti-Malware-Tool auf jedem Endpunkt für jedes Serviceteam verwaltet:
Automatische Scans der Umgebung
Regelmäßige Überprüfungen des Dateisystems (mindestens wöchentlich)
Echtzeitscans von Dateien beim Herunterladen, Öffnen oder Ausführen
Automatisches Herunterladen und Anwendung von Signaturupdates mindestens täglich von der Virendefinitionswebsite des Anbieters
Warnung, Bereinigung und Entschärfung erkannter Schadsoftware
Wenn Antischadsoftware-Tools Schadsoftware erkennen, blockieren sie die Schadsoftware und generieren eine Warnung an die Mitarbeiter des Microsoft 365-Serviceteams, an Microsoft 365 Security und/oder an das Sicherheits- und Complianceteam der Microsoft-Organisation, die unsere Rechenzentren betreibt. Das empfangende Personal initiiert den Vorfallreaktionsprozess. Vorfälle werden nachverfolgt und behoben, und die Analyse nach der Analyse wird durchgeführt.
Exchange Online Protection gegen Schadsoftware
Alle E-Mail-Nachrichten für Exchange Online durchlaufen Exchange Online Protection (EOP), die alle E-Mail- und E-Mail-Anlagen in Echtzeit isoliert und überprüft, sowohl auf Viren als auch auf andere Schadsoftware. Administratoren müssen die Filtertechnologien nicht einrichten oder verwalten. sie sind standardmäßig aktiviert. Administratoren können jedoch unternehmensspezifische Filteranpassungen über das Exchange Admin Center vornehmen.
Mithilfe von mehreren Antischadsoftwaremodulen bietet EOP einen mehrstufigen Schutz, der jegliche bekannte Schadsoftware abwehrt. Nachrichten, die über den Dienst transportiert werden, werden auf Schadsoftware (einschließlich Viren und Spyware) überprüft. Sobald Schadsoftware erkannt wird, wird die Nachricht gelöscht. Wenn eine infizierte Nachricht gelöscht und nicht übermittelt wird, können auch Benachrichtigungen an Absender oder Administratoren gesendet werden. Sie können auch infizierte Anlagen durch entweder Standard- oder benutzerdefinierte Nachrichten ersetzen, die die Empfänger über erkannte Schadsoftware informieren.
Im Folgenden finden Sie Informationen zum Schutz vor Schadsoftware:
Mehrschichtige Schutzmaßnahmen gegen Schadsoftware – Mehrere Antischadsoftware-Scanmodule, die in EOP verwendet werden, tragen zum Schutz vor bekannten und unbekannten Bedrohungen bei. Diese Module beinhalten leistungsstarke heuristische Erkennungsfunktionen, um bereits frühzeitig Schutz bei Schadsoftwareausbrüchen zu bieten. Durch den Einsatz mehrerer Module kann deutlich mehr Schutz bereitgestellt werden als mit nur einem einzigen Antischadsoftwaremodul.
– Mehrere Antischadsoftware-Scanmodule, die in EOP verwendet werden, tragen zum Schutz vor bekannten und unbekannten Bedrohungen bei. Diese Module beinhalten leistungsstarke heuristische Erkennungsfunktionen, um bereits frühzeitig Schutz bei Schadsoftwareausbrüchen zu bieten. Durch den Einsatz mehrerer Module kann deutlich mehr Schutz bereitgestellt werden als mit nur einem einzigen Antischadsoftwaremodul. Echtzeit-Bedrohungsantwort – Während einiger Ausbrüche hat das Antischadsoftware-Team möglicherweise genügend Informationen über einen Virus oder eine andere Form von Schadsoftware, um komplexe Richtlinienregeln zu schreiben, die die Bedrohung erkennen, noch bevor eine Definition von einem der vom Dienst verwendeten Engines verfügbar ist. Diese Regeln werden alle zwei Stunden im globalen Netzwerk veröffentlicht, um Ihrer Organisation eine zusätzliche Schutzebene gegen Angriffe bereitzustellen.
– Während einiger Ausbrüche hat das Antischadsoftware-Team möglicherweise genügend Informationen über einen Virus oder eine andere Form von Schadsoftware, um komplexe Richtlinienregeln zu schreiben, die die Bedrohung erkennen, noch bevor eine Definition von einem der vom Dienst verwendeten Engines verfügbar ist. Diese Regeln werden alle zwei Stunden im globalen Netzwerk veröffentlicht, um Ihrer Organisation eine zusätzliche Schutzebene gegen Angriffe bereitzustellen. Schnelle Bereitstellung von Antischadsoftwaredefinitionen – Das Antischadsoftware-Team unterhält enge Beziehungen zu Partnern, die Antischadsoftwaremodule entwickeln. Dadurch erhält und integriert der Dienst Schadsoftwaredefinitionen und Patches, bevor diese veröffentlicht werden. Durch unsere Verbindungen zu diesen Partnern sind wir zudem häufig in der Lage, selbst Maßnahmen zu entwickeln. Der Dienst prüft stündlich auf aktualisierte Definitionen für sämtliche Antischadsoftwaremodule.
Microsoft Defender für Office 365
Microsoft Defender for Office 365 ist ein E-Mail-Filterdienst, der zusätzlichen Schutz vor bestimmten Arten von erweiterten Bedrohungen bietet, einschließlich Schadsoftware und Viren. Exchange Online Protection verwendet derzeit einen robusten und mehrschichtigen Virenschutz, der von mehreren Modulen gegen bekannte Schadsoftware und Viren unterstützt wird. Microsoft Defender for Office 365 erweitert diesen Schutz durch ein Feature namens "Sichere Anlagen", das vor unbekannter Schadsoftware und Viren schützt, und bietet einen besseren Zero-Day-Schutz, um Ihr Messaging-System zu schützen. Alle Nachrichten und Anlagen, die nicht über eine bekannte Viren-/Schadsoftwaresignatur verfügen, werden an eine spezielle Hypervisorumgebung weitergeleitet, in der eine Verhaltensanalyse mithilfe einer Vielzahl von Machine Learning- und Analysetechniken durchgeführt wird, um böswillige Absichten zu erkennen. Wenn keine verdächtige Aktivität ermittelt wird, wird die Nachricht für die Übermittlung an das Postfach freigegeben.
Exchange Online Protection überprüft auch jede Nachricht während der Übertragung in Microsoft 365 und bietet Zeit für den Zustellungsschutz, wodurch böswillige Links in einer Nachricht blockiert werden. Angreifer versuchen manchmal, böswillige URLs mit scheinbar sicheren Links auszublenden, die von einem Weiterleitungsdienst nach dem Empfang der Nachricht zu unsicheren Websites umgeleitet werden. Sichere Links schützen Ihre Benutzer proaktiv, wenn sie einen solchen Link auswählen. Dieser Schutz bleibt bei jedem Auswählen des Links erhalten, und bösartige Links werden dynamisch blockiert, während auf gute Links zugegriffen werden kann.
Microsoft Defender for Office 365 bietet außerdem umfangreiche Berichts- und Nachverfolgungsfunktionen, sodass Sie wichtige Einblicke in die Zielgruppe Ihrer Organisation und die Kategorie der Angriffe erhalten können, denen Sie gegenüberstehen. Mit der Berichts- und Nachrichtenablaufverfolgung können Sie Nachrichten untersuchen, die aufgrund eines unbekannten Virus oder einer unbekannten Schadsoftware blockiert wurden, während die URL-Ablaufverfolgungsfunktion es Ihnen ermöglicht, einzelne bösartige Links in den Nachrichten nachzuverfolgen, auf die geklickt wurde.
Weitere Informationen zu Microsoft Defender for Office 365 finden Sie unter Exchange Online Protection und Microsoft Defender for Office 365.
SharePoint Online und OneDrive for Business Schutz vor Ransomware
Es gibt viele Formen von Ransomware-Angriffen, aber eine der häufigsten Formen ist, wo eine böswillige Person die wichtigen Dateien eines Benutzers verschlüsselt und dann etwas vom Benutzer fordert, z. B. Geld oder Informationen, im Austausch für den Schlüssel, um sie zu entschlüsseln. Ransomware-Angriffe sind auf dem Vormarsch, insbesondere diejenigen, die Dateien verschlüsseln, die im Cloudspeicher des Benutzers gespeichert sind. Weitere Informationen zu Ransomware finden Sie auf der Microsoft Defender Security Intelligence-Website.
Versionsverwaltung trägt dazu bei, SharePoint Online-Listen und SharePoint Online- und OneDrive for Business-Bibliotheken vor einigen, aber nicht allen dieser Arten von Ransomware-Angriffen zu schützen. Die Versionsverwaltung ist in OneDrive for Business und SharePoint Online standardmäßig aktiviert. Da die Versionsverwaltung in SharePoint Online-Websitelisten aktiviert ist, können Sie sich frühere Versionen ansehen und diese ggf. wiederherstellen. Dies ermöglicht es Ihnen, Versionen von Elementen wiederherzustellen, die ihre Verschlüsselung durch die Ransomware vor dem Datum haben. Einige Organisationen behalten auch aus rechtlichen Gründen oder zu Überwachungszwecken mehrere Versionen von Elementen in ihren Listen bei.
SharePoint Online und OneDrive for Business Papierkörbe
SharePoint Online-Administratoren können eine gelöschte Websitesammlung mithilfe des SharePoint Online Admin Centers wiederherstellen. SharePoint Online-Benutzer verfügen über einen Papierkorb, in dem gelöschte Inhalte gespeichert werden. Bei Bedarf kann auf den Papierkorb zugegriffen werden, um gelöschte Dokumente und Listen wiederherzustellen. Elemente im Papierkorb werden 93 Tage lang aufbewahrt. Die folgenden Datentypen werden vom Papierkorb erfasst:
Websitesammlungen
Websites
Listen
Bibliotheken
Verzeichnisse
Listenelemente
Dokumente
Webpart-Seiten
Websiteanpassungen, die über SharePoint Designer vorgenommen wurden, werden nicht im Papierkorb erfasst. Weitere Informationen finden Sie unter Wiederherstellen gelöschter Elemente aus dem Papierkorb der Websitesammlung. Siehe auch Wiederherstellen einer gelöschten Websitesammlung.
Die Versionsverwaltung schützt nicht vor Ransomware-Angriffen, die Dateien kopieren, verschlüsseln und dann die originalen Dateien löschen. Endbenutzer können jedoch den Papierkorb nutzen, um OneDrive for Business Dateien nach einem Ransomware-Angriff wiederherzustellen.
Im folgenden Abschnitt werden die Schutzmaßnahmen und Kontrollen, die Microsoft verwendet, um das Risiko von Cyberangriffen auf Ihre Organisation und ihre Ressourcen zu minimieren, ausführlicher behandelt.
Wie Microsoft Risiken durch einen Ransomware-Angriff entschärft
Microsoft hat Schutzmaßnahmen und Kontrollen integriert, die es verwendet, um die Risiken eines Ransomware-Angriffs gegen Ihre Organisation und ihre Ressourcen zu mindern. Ressourcen können nach Domäne organisiert werden, wobei jede Domäne über einen eigenen Satz von Risikominderungen verfügt.
Domäne 1: Steuerelemente auf Mandantenebene
Die erste Domäne sind die Personen, aus denen Ihre Organisation besteht, sowie die Infrastruktur und Dienste, die sich im Besitz und unter der Kontrolle Ihrer Organisation befinden. Die folgenden Features in Microsoft 365 sind standardmäßig aktiviert oder können konfiguriert werden, um das Risiko zu mindern und eine erfolgreiche Kompromittierung der Ressourcen in dieser Domäne wiederherzustellen.
Exchange Online
Mit der Wiederherstellung einzelner Elemente und der Postfachaufbewahrung können Kunden Elemente in einem Postfach bei versehentlichem oder böswilligem vorzeitigen Löschen wiederherstellen. Kunden können E-Mail-Nachrichten, die innerhalb von 14 Tagen gelöscht wurden, standardmäßig zurücksetzen und bis zu 30 Tage konfigurieren.
Zusätzliche Kundenkonfigurationen dieser Aufbewahrungsrichtlinien innerhalb des Exchange Online-Diensts ermöglichen Folgendes: konfigurierbare Aufbewahrung zur Anwendung (1 Jahr/10 Jahr+) Auf Schreibschutz anzuwendende Kopie die Möglichkeit, die Aufbewahrungsrichtlinie so zu sperren, dass die Unveränderlichkeit erreicht werden kann
Exchange Online Protection überprüft eingehende E-Mails und Anlagen in Echtzeit sowohl beim Ein- als auch beim Verlassen des Systems. Dies ist standardmäßig aktiviert und bietet Filteranpassungen. Nachrichten, die Ransomware oder andere bekannte oder mutmaßliche Schadsoftware enthalten, werden gelöscht. Sie können Administratoren so konfigurieren, dass sie Benachrichtigungen erhalten, wenn dies geschieht.
SharePoint Online und OneDrive for Business Protection
SharePoint Online und OneDrive for Business Protection verfügen über integrierte Features, die zum Schutz vor Ransomware-Angriffen beitragen.
Versionsverwaltung: Da die Versionsverwaltung standardmäßig mindestens 500 Versionen einer Datei beibehält und so konfiguriert werden kann, dass mehr aufbewahrt wird, kann eine frühere Version der Datei wiederhergestellt werden, wenn die Ransomware eine Datei bearbeitet und verschlüsselt.
Papierkorb: Wenn die Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei löscht, haben Kunden 93 Tage Zeit, sie aus dem Papierkorb wiederherzustellen.
Permanentes Dokumentarchiv: In SharePoint- oder OneDrive-Websites gespeicherte Dateien können durch Anwenden von Aufbewahrungseinstellungen aufbewahrt werden. Wenn ein Dokument mit Versionen Aufbewahrungseinstellungen unterliegt, werden Versionen in das permanente Dokumentarchiv kopiert und sind als separates Element vorhanden. Wenn ein Benutzer vermutet, dass seine Dateien kompromittiert wurden, kann er Dateiänderungen untersuchen, indem er die aufbewahrte Kopie überprüft. Die Dateiwiederherstellung kann dann verwendet werden, um Dateien innerhalb der letzten 30 Tage wiederherzustellen.
Microsoft Teams
Teams-Chats werden in Exchange Online Benutzerpostfächern gespeichert, und Dateien werden entweder in SharePoint Online oder OneDrive for Business gespeichert. Microsoft Teams-Daten sind durch die in diesen Diensten verfügbaren Steuerelemente und Wiederherstellungsmechanismen geschützt.
Domäne 2: Steuerelemente auf Dienstebene
Die zweite Domäne sind die Personen, aus denen Microsoft die Organisation besteht, und die Unternehmensinfrastruktur, die sich im Besitz und unter der Kontrolle von Microsoft befindet, um die Organisationsfunktionen eines Unternehmens auszuführen.
Der Ansatz von Microsoft zur Sicherung seines Unternehmensbesitzes ist Zero Trust und wird mithilfe unserer eigenen Produkte und Dienste implementiert, um unsere digitalen Ressourcen zu schützen. Weitere Details zu den Prinzipien der Zero Trust finden Sie hier: Zero Trust Architektur.
Zusätzliche Features in Microsoft 365 erweitern die in Domäne 1 verfügbaren Risikominderungen, um die Ressourcen in dieser Domäne weiter zu schützen.
SharePoint Online und OneDrive for Business Protection
Versionsverwaltung: Wenn Ransomware eine Datei als Bearbeitung verschlüsselt hat, kann die Datei bis zum ursprünglichen Erstellungsdatum der Datei mithilfe von Versionsverlaufsfunktionen wiederhergestellt werden, die von Microsoft verwaltet werden.
Papierkorb: Wenn die Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei gelöscht hat, haben Kunden 93 Tage Zeit, um sie aus dem Papierkorb wiederherzustellen. Nach 93 Tagen gibt es ein 14-tägiges Fenster, in dem Microsoft die Daten dennoch wiederherstellen kann. Nach diesem Fenster werden die Daten endgültig gelöscht.
Microsoft Teams
Die in Domäne 1 beschriebenen Risikominderungen für Teams gelten auch für Domäne 2.
Domäne 3: Entwicklerdienstinfrastruktur &
Die dritte Domäne sind die Personen, die den Microsoft 365-Dienst entwickeln und betreiben, der Code und die Infrastruktur, die den Dienst bereitstellt, sowie die Speicherung und Verarbeitung Ihrer Daten.
Microsoft-Investitionen, die die Microsoft 365-Plattform sichern und die Risiken in dieser Domäne mindern, konzentrieren sich auf die folgenden Bereiche:
Kontinuierliche Bewertung und Validierung des Sicherheitsstatus des Diensts
Erstellen von Tools und Architektur, die den Dienst vor Kompromittation schützen
Aufbau der Fähigkeit, Bedrohungen zu erkennen und darauf zu reagieren, wenn ein Angriff auftritt
Kontinuierliche Bewertung und Validierung des Sicherheitsstatus
Microsoft entschärft die Risiken, die mit den Personen verbunden sind, die den Microsoft 365-Dienst entwickeln und betreiben, mithilfe des Prinzips der geringsten Rechte . Dies bedeutet, dass der Zugriff und die Berechtigungen für Ressourcen auf das beschränkt sind, was zum Ausführen einer erforderlichen Aufgabe erforderlich ist. Ein Just-In-Time (JIT), Just-Enough-Access (JEA)-Modell wird verwendet, um Microsoft-Technikern temporäre Berechtigungen bereitzustellen. Techniker müssen eine Anforderung für eine bestimmte Aufgabe übermitteln, um erhöhte Berechtigungen zu erhalten. Anforderungen werden über Lockbox verwaltet, die die rollenbasierte Zugriffssteuerung (RBAC) von Azure verwendet, um die Arten von JIT-Erhöhungsanforderungen einzuschränken, die Techniker vornehmen können.
. Dies bedeutet, dass der Zugriff und die Berechtigungen für Ressourcen auf das beschränkt sind, was zum Ausführen einer erforderlichen Aufgabe erforderlich ist. Zusätzlich zu den oben genannten Optionen werden alle Microsoft-Kandidaten vor beginn der Anstellung bei Microsoft vorgescreent. Mitarbeiter, die Microsoft Onlinedienste im USA verwalten, müssen sich einer Microsoft Cloud-Hintergrundüberprüfung als Voraussetzung für den Zugriff auf Onlinedienste Systeme unterziehen.
Alle Microsoft-Mitarbeiter müssen grundlegende Sicherheitsschulungen sowie Schulungen zu Standards of Business Conduct absolvieren.
Der Security Development Lifecycle (SDL) von Microsoft konzentriert sich auf die Entwicklung sicherer Software, um die Anwendungssicherheit zu verbessern und Sicherheitsrisiken zu verringern. Weitere Informationen finden Sie unter Security and Security development and operations overview.
Microsoft 365 beschränkt die Kommunikation zwischen verschiedenen Teilen der Dienstinfrastruktur auf das, was für den Betrieb erforderlich ist.
Der Netzwerkdatenverkehr wird mithilfe zusätzlicher Netzwerkfirewalls an Grenzpunkten gesichert, um Netzwerkangriffe zu erkennen, zu verhindern und zu mindern.
Microsoft 365-Dienste sind so ausgelegt, dass sie ohne Techniker funktionieren, die Zugriff auf Kundendaten benötigen, es sei denn, der Kunde hat dies ausdrücklich angefordert und genehmigt. Weitere Informationen finden Sie unter "Wie sammelt und verarbeitet Microsoft Kundendaten".
Erkennungs- und Reaktionsfunktionen
Microsoft 365 setzt sich für die kontinuierliche Sicherheitsüberwachung seiner Systeme ein, um Bedrohungen für Microsoft 365-Dienste zu erkennen und darauf zu reagieren.
Die zentralisierte Protokollierung sammelt und analysiert Protokollereignisse für Aktivitäten, die auf einen Sicherheitsvorfall hinweisen können. Protokolldaten werden analysiert, während sie in unser Benachrichtigungssystem hochgeladen werden und in nahezu Echtzeit Warnungen erzeugen.
Cloudbasierte Tools ermöglichen es uns, schnell auf erkannte Bedrohungen zu reagieren. Diese Tools ermöglichen die Behebung mithilfe automatisch ausgelöster Aktionen.
Wenn eine automatische Behebung nicht möglich ist, werden Benachrichtigungen an die entsprechenden Bereitschaftstechniker gesendet, die mit einer Reihe von Tools ausgestattet sind, die es ihnen ermöglichen, in Echtzeit zu handeln, um erkannte Bedrohungen zu mindern.
Wiederherstellen nach einem Ransomware-Angriff
Die Schritte zur Wiederherstellung von einem Ransomware-Angriff in Microsoft 365 finden Sie unter Wiederherstellen von einem Ransomware-Angriff in Microsoft 365.
Zusätzliche Ransomware-Ressourcen
Wichtige Informationen von Microsoft
Microsoft 365
Microsoft 365 Defender
Microsoft Azure
Microsoft Defender for Cloud Apps
Blogbeiträge des Microsoft Security-Teams
