Zahlreiche Schutzmassnahmen

Wie dramatisch die Situation rund um Ransomware auch sein mag, Unternehmen können sich mittlerweile doch zu einem gewissen Grad vor Attacken mit Erpresser-Software schützen oder zumindest versuchen, die schlimmsten Folgen abzuwenden.

Was in diesem Zusammenhang von praktisch allen Experten neben einer generellen Cyberhygiene wie das Einspielen von Security-Updates empfohlen wird, ist eine gute Backup-Strategie. Aber Achtung: Die Angreifer haben mittlerweile auch dazugelernt und versuchen, die Unternehmensdaten erst dann zu verschlüsseln, wenn sie sicher­gehen können, dass selbst die Backups Ransomware-verseucht sind. Deshalb sollten Backup-Lösungen zum Einsatz kommen, die offline gehalten werden können. In diesem Zusammenhang wird sogar die gute alte DVD als Backup-Medium wieder aus der Mottenkiste geholt, schliesslich lassen sich die Daten-Backups hier nach dem Brennvorgang kaum mehr verändern.

Ein weiterer Punkt, der den Firmen von allen Experten ans Herz gelegt wird, ist die Einführung von Mehrfach-Authentifizierung. Viele Angriffe werden nämlich initiiert, indem sich die Hacker beispielsweise via RDP (Remote Desktop Protocol) in die Unternehmens-IT einwählen. Sind diese Zugänge nur mit einem Passwort geschützt, das zudem noch kurz und durch maschinelles Pröbeln erraten werden kann, sind Hacker schneller im System und mit Administratorprivilegien versehen, als einem lieb ist.

Generell gilt auch hier, was für alle IT-Security-Aspekte anwendbar ist, nämlich dass Abwehrmassnahmen so ausgeprägt sein sollten, dass Angreifer es vorziehen, andere anzugreifen. «Machen Sie einen Angriff auf Ihr Unternehmen für den Angreifer zu anspruchsvoll, um attraktiv zu sein», rät daher Stefanov von Cisco. Denn «bösartige Akteure werden dorthin gehen, wo das Verhältnis von Belohnung und Risiko für sie am höchsten ist», fügt er an.

Doch was tun, wenn ein Ransomware-Angriff erkannt wird? Bei der Reaktion kommt es auch auf den Zeitpunkt an, an dem die Attacke bemerkt wird. In einer frühen Phase, also bevor Daten verschlüsselt oder gestohlen werden können, ist schnelles Handeln angesagt. Sind dagegen die Informationen und Systeme nicht mehr zugänglich, heisst es, einen ruhigen Kopf zu bewahren und professionelle Hilfe in Anspruch zu nehmen. «Es empfiehlt sich immer, in einem ersten Schritt das Unternehmen vollständig vom Netz zu trennen», rät etwa InfoGuards Fuchs. Wenn die Verschlüsselung noch laufe, sollte zudem der Rechner herunter­gefahren werden, da die Software beim Neustart in der Regel nicht wieder starte, empfiehlt er weiter. «Hier besteht jedoch das Risiko, dass Daten, die zum Zeitpunkt des He­runterfahrens gerade verschlüsselt wurden, unwiederbringlich verloren gehen», warnt Fuchs.

Auf Expertenseite ist man sich schliesslich einig, dass betroffene Firmen kein Lösegeld übermitteln sollten. Denn selbst wenn Lösegeld fliesse, sei dies keine Garantie dafür, dass der Spuk vorbei sei, gibt Esets Urbanski zu bedenken. «Erfolgreiche Erpressungen ziehen meistens einen Rattenschwanz an weiteren Forderungen hinterher», fügt er an.

Schliesslich muss sich jeder bewusst sein, dass die Zahlung von Lösegeld die Angreifer stärkt und ihnen Mittel zur Verfügung stellt, mit denen sie ihre eigene bösartige Infrastruktur weiter ausbauen und professionalisieren können, um dann noch perfidere und noch erfolgversprechendere Ransomware-Angriffe fahren zu können.