Ransomeware Gegenmaßnahmen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 8: | Zeile 8: | ||
=Remote Zugänge= | =Remote Zugänge= | ||
| − | *Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren. Daher sollten auch der Zugriff von Außen abgesichert werden. In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden | + | *Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren. |
| + | *Daher sollten auch der Zugriff von Außen abgesichert werden. | ||
| + | *In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden. | ||
| + | *Kein ungeschützes RDP von aussen. | ||
| + | |||
=E-Mails und Makros= | =E-Mails und Makros= | ||
| − | *Die Darstellung von E-Mails sollte als Textdarstellung | + | *Die Darstellung von E-Mails sollte als Textdarstellung erfolgen. |
| − | * | + | *So können Webadressen in der Textdarstellung nicht mehr verschleiert werden. |
| − | * | + | *Wenn dies nicht möglich, sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden. |
| − | * Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros | + | *Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden. |
| − | * JS/VBS: automatisches Ausführen bei Doppelklick verhindern | + | *Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden: |
| − | * Makros im Client (per Gruppenrichtlinie) deaktivieren | + | **JS/VBS: automatisches Ausführen bei Doppelklick verhindern |
| − | * Vertrauenswürdige Orte für Makros im AD konfigurieren | + | **Makros im Client (per Gruppenrichtlinie) deaktivieren |
| − | * Signierte Makros verwenden | + | **Vertrauenswürdige Orte für Makros im AD konfigurieren |
| + | **Signierte Makros verwenden | ||
| + | |||
=Ausführen von Programmen= | =Ausführen von Programmen= | ||
| − | * Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird. *Dazu existieren eine ganze Reihe an Maßnahmen. | + | *Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird. |
| + | *Dazu existieren eine ganze Reihe an Maßnahmen. | ||
*Die wichtigste dabei ist das sogenannte "Application Whitelisting". | *Die wichtigste dabei ist das sogenannte "Application Whitelisting". | ||
| − | * | + | *Wenn dies zu Aufwendig ist sollte "Application Directory Whitelisting" eingesetzt werden. |
| − | * | + | *"Execution Directory Whitelisting" sollte mindest eingestellt werden. |
| + | *Also ausführen von Dateien aus einem nicht beschreibbaren Verzeichnis | ||
| + | |||
=Virenschutz= | =Virenschutz= | ||
| − | *Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt. | + | *Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt. |
| + | *Neue Varianten von Ransomware werden oft durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt. | ||
| + | *Daher sollten bei Antivirensoftware diese Module genutzt werden. | ||
| + | |||
=Administrator Accounts= | =Administrator Accounts= | ||
| − | * Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden. Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden. Dafür benötigen Administratoren normale Nutzerkonten. Dies sollte technisch durchgesetzt werden. Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden. Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden. | + | *Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden. |
| + | *Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden. | ||
| + | *Dafür benötigen Administratoren normale Nutzerkonten. | ||
| + | *Dies sollte technisch durchgesetzt werden. | ||
| + | *Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden. | ||
| + | *Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden. | ||
| + | |||
=Netzwerk segmentieren= | =Netzwerk segmentieren= | ||
| − | *Eine saubere Netzsegmentierung | + | *Eine saubere Netzsegmentierung hilft Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann. |
| − | + | ||
=Backups und Datensicherungskonzept= | =Backups und Datensicherungskonzept= | ||
| − | * Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann. Die Daten müssen in einem Offline-Backup gesichert werden. Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt. | + | * Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann. |
| − | * Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten. Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen. | + | *Die Daten müssen in einem Offline-Backup gesichert werden. |
| + | *Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt. | ||
| + | *Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten. | ||
| + | *Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen. | ||
| + | |||
=Netzlaufwerke= | =Netzlaufwerke= | ||
| − | *Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind. Wichtige Dokumente sollten nie nur lokal abgelegt werden. | + | *Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind. |
| − | *Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können. Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte | + | *Wichtige Dokumente sollten nie nur lokal abgelegt werden. |
| + | *Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können. | ||
| + | *Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte | ||
| + | |||
=Notfallplan= | =Notfallplan= | ||
| − | * | + | * Eine umfassende Notfallplanung sollte für das Worst-Case-Szenario existieren, in dem alle Systeme im Netzwerk verschlüsselt sind und ein Erpressungsschreiben vorliegt. |
| + | * Regelmäßige Übungen der Reaktions- und Wiederherstellungsprozesse sind entscheidend, um sicherzustellen, dass das Team effektiv auf einen Ransomware-Angriff reagieren kann. | ||
| + | * Die vorherige Identifikation aller geschäftskritischen Systeme ist essenziell, um eine gezielte und effiziente Reaktion auf einen potenziellen Angriff zu ermöglichen. | ||
| + | * Vorbereitung von alternativen Kommunikationsmöglichkeiten außerhalb des kompromittierten Netzwerks, um einen reibungslosen Informationsaustausch während eines Angriffs sicherzustellen. | ||
| + | * Wichtige Telefonnummern und Ansprechpartner sollten in physischer Form offline (Papier) vorgehalten werden, um im Ernstfall auf kritische Informationen zugreifen zu können. | ||
| + | =Quellen= | ||
| + | *https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/Top-10-Ransomware-Massnahmen/top-10-ransomware-massnahmen.html | ||
Aktuelle Version vom 25. Januar 2024, 17:02 Uhr
Patches und Updates
- Die Ausnutzung einer Schwachstelle in einem Softwareprogramm gehört zu den drei häufigsten Einfallsvektoren von Ransomware-Gruppen.
- In der Regel ist diese Schwachstelle bereits vom Hersteller behobenen
- Darum sollten Updates unverzüglich nach der Bereitstellung eingespielt werden.
- Dies sollte idealerweise über zentrale Softwareverteilung erfolgen.
- Updates, die Schwachstellen von besonders exponierte Bereichen sollten prioisiert behandelt werden.
- z. B. Firewall Produkte, Webserver
Remote Zugänge
- Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren.
- Daher sollten auch der Zugriff von Außen abgesichert werden.
- In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden.
- Kein ungeschützes RDP von aussen.
E-Mails und Makros
- Die Darstellung von E-Mails sollte als Textdarstellung erfolgen.
- So können Webadressen in der Textdarstellung nicht mehr verschleiert werden.
- Wenn dies nicht möglich, sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
- Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden.
- Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden:
- JS/VBS: automatisches Ausführen bei Doppelklick verhindern
- Makros im Client (per Gruppenrichtlinie) deaktivieren
- Vertrauenswürdige Orte für Makros im AD konfigurieren
- Signierte Makros verwenden
Ausführen von Programmen
- Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird.
- Dazu existieren eine ganze Reihe an Maßnahmen.
- Die wichtigste dabei ist das sogenannte "Application Whitelisting".
- Wenn dies zu Aufwendig ist sollte "Application Directory Whitelisting" eingesetzt werden.
- "Execution Directory Whitelisting" sollte mindest eingestellt werden.
- Also ausführen von Dateien aus einem nicht beschreibbaren Verzeichnis
Virenschutz
- Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt.
- Neue Varianten von Ransomware werden oft durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt.
- Daher sollten bei Antivirensoftware diese Module genutzt werden.
Administrator Accounts
- Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden.
- Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden.
- Dafür benötigen Administratoren normale Nutzerkonten.
- Dies sollte technisch durchgesetzt werden.
- Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden.
- Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden.
Netzwerk segmentieren
- Eine saubere Netzsegmentierung hilft Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann.
Backups und Datensicherungskonzept
- Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann.
- Die Daten müssen in einem Offline-Backup gesichert werden.
- Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt.
- Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.
- Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen.
Netzlaufwerke
- Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind.
- Wichtige Dokumente sollten nie nur lokal abgelegt werden.
- Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können.
- Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte
Notfallplan
- Eine umfassende Notfallplanung sollte für das Worst-Case-Szenario existieren, in dem alle Systeme im Netzwerk verschlüsselt sind und ein Erpressungsschreiben vorliegt.
- Regelmäßige Übungen der Reaktions- und Wiederherstellungsprozesse sind entscheidend, um sicherzustellen, dass das Team effektiv auf einen Ransomware-Angriff reagieren kann.
- Die vorherige Identifikation aller geschäftskritischen Systeme ist essenziell, um eine gezielte und effiziente Reaktion auf einen potenziellen Angriff zu ermöglichen.
- Vorbereitung von alternativen Kommunikationsmöglichkeiten außerhalb des kompromittierten Netzwerks, um einen reibungslosen Informationsaustausch während eines Angriffs sicherzustellen.
- Wichtige Telefonnummern und Ansprechpartner sollten in physischer Form offline (Papier) vorgehalten werden, um im Ernstfall auf kritische Informationen zugreifen zu können.