Ransomware-Angriffe: 5 Schritte zu einem sicheren Firmennetzwerk

Systemadministrator müssen heute ein weitaus verzweigteres Netzwerk als noch vor der Corona-Pandemie mit deutlich weniger Homeoffice-Plätzen überwachen. Auch wenn sich die Kollegen und Kolleginnen jetzt mit ihren PCs über die private Internetanbindung mit dem Unternehmen verbinden, bleibt es ein Teil des Firmennetzwerks und damit ein attraktives Ziel für Cyberkriminelle. Eine der gefährlichsten und dramatischsten Angriffsarten auf das Netzwerk sind Ransomware-Angriffe.

„Auch wenn Unternehmen häufig überzeugt sind, wirklich auf alle grundlegenden Sicherheitsmaßnahmen geachtet zu haben und die ständige Ermahnung zu diesen mittlerweile einen Flucht- oder Tiefschlaf-Reflex auslösen, bleibt es eine Tatsache, dass Ransomware-Angriffe meist dann erfolgreich sind, wenn die Opfer grundlegende Fehler begehen,“ erklärt Michael Veit, Sicherheitsexperte bei Sophos. „Gegen diese Ermüdungserscheinungen können ganz profane Analogien oder Eselsbrücken sehr hilfreich sein.“

Man stelle sich daher vor, der Computer wäre ein Haus und die Ransomware eine Einbrecherbande. Bei diesem Rollenspiel werden fünf typische Fehler aufgezeigt, die den Schutz des Hauses gefährden:

1. Beim Verlassen des Hauses die Tür schließen, aber die Fenster offen lassen

Das bringt offenkundig wenig Sicherheit. Es gilt also unbedingt, Systemportale zu schützen. Internetkriminelle schleichen sich oft ein, indem sie nach Fernzugriffsportalen wie RDP (Remote Desktop Protocol) und SSH (Secure Shell) suchen, die nicht ordnungsgemäß gesichert sind. Oft werden diese nur vorübergehend eingerichtet, dann aber vergessen. Es ist wichtig zu wissen, wie man das eigene Netzwerk von außen scannen und sicherstellen kann. Es ist wichtig sicherzustellen, dass offene Dienste und Verbindungen genau dort sind, wo sie sein sollten und dass diese auf einer Sicherheits-Checkliste stehen. Prüft man das Netzwerk nicht selbst auf versehentlich offen gelassene Zugangslöcher, werden es die Gauner für einen tun.

2. Der Schlüssel unter der Matte ist ein für Gauner bekannter Trick

Es ist unerlässlich, gute Passwörter zu installieren. Wenn man in Eile ist – insbesondere im Bereich der vielen zusätzlichen Fernzugriffe, die wegen der Corona-Pandemie eingerichtet werden müssen – wählt man gerne den einfachen Weg, um alles zum Laufen zu bringen. Oft mit der guten Absicht, alle Sicherheitseinrichtungen später genauer zu überprüfen. Doch nichts ist so haltbar wie Provisorien und so gerät die geplante Passwort-Änderung in Vergessenheit. Doch wann immer, ein großer Passwort-Dump aufgrund einer Datenpanne auftritt, sind schwache Passwörter im Spiel. Deshalb: von Anfang an sollten Unternehmen mit guten Passwörtern inklusive einer Zwei-Faktor-Authentifizierung starten, um die Sicherheit wo immer möglich zu erhöhen.

3. Nachts passt ein Wachmann auf und schreibt Protokolle, die niemand liest

Vorhandene Systemprotokolle zu lesen sollte zu den Standardtätigkeiten gehören. Viele, vielleicht sogar die meisten Ransomware-Angriffe geschehen nicht sofort oder nicht ohne Vorwarnung. Die Kriminellen brauchen gewöhnlich einige Zeit, oft Tage oder länger, um sich ein Bild vom gesamten Netzwerk zu machen. Auf diese Weise stellen sie sicher, dass die Attacke das gewünschte zerstörerische Ergebnis auslöst, um das Lösegeld zu erhalten. Protokolle enthalten oft zahlreiche Anzeichen, etwa das Auftauchen von „Grey Hat“-Hacking-Tools, die man nicht erwartet. Auch das Anlegen neuer Konten, Aktionen zu ungewöhnlichen Zeiten oder Netzwerkverbindungen von außerhalb, die nicht dem üblichen Muster folgen, sind verräterische Hinweise.

4. Die Alarmanlage schlägt zu häufig an und wird deswegen ausgeschaltet

Warnungen sollten dringend auch beachtet werden. Wenn ein Alarmsystem ständig anschlägt, wird sicherlich eine gewisse Alarmmüdigkeit einsetzen, die dazu führt, dass ohne große Aufmerksamkeit durch die Warnungen geklickt wird. Doch hier ist Vorsicht geboten, denn wirklich wichtige Alarmmeldungen können so leicht übersehen werden, beispielsweise wenn sie darauf hinweisen, dass potenzielle Ransomware-Angriffe bereits blockiert wurden. Oft sind Bedrohungen im Netzwerk nicht nur Zufallsereignisse. Sie sind ein Beweis dafür, dass Cyber-Kriminelle schon vorsichtig herumschnüffeln, um die Alarmsysteme zu erkunden – immer in der Hoffnung, einen großen und erfolgsversprechenden Angriff durchzuführen.

5. Reparaturen sind notwendig, aber jetzt auch irgendwie lästig

Es ist die immerwährende Mahnung aller Sicherheitsspezialisten: Patchen so oft und früh wie möglich! Sich, vielleicht aus Bequemlichkeit, bewusst und längere Zeit bekannten Sicherheitslücken auszusetzen, ist fahrlässig. Internet-Gauner durchsuchen Netzwerke systematisch nach geeigneten Lücken. Dazu scannen sie auch extern zugängliche Dienste, die nicht gepatcht sind. Dies hilft den Gaunern, automatisch Listen potenzieller Opfer zu erstellen, die sie später angreifen. Es ist die beste Option, nicht auf solchen Listen zu stehen. (sg)

Lesen Sie auch: Social Engineering: Wie Hacker die „Schwachstelle Mensch“ ausnutzen