NCSC gibt Tipps, um Ransomwareangriffe abzuwehren

In den vergangenen Jahren hat das NCSC immer wieder eindringlich vor Cyberangriffen durch Ransomware gewarnt. Während es sich bei solchen Angriffen in der Regel um komplexe Attacken handelt, lassen sich die meisten davon relativ einfach verhindern, wie das NCSC in einer Pressemitteilung berichtet. Häufigstes Einfallstor für erfolgreiche Angriffe mit Ransomware seien nicht gepatchte Systeme sowie Fernzugänge wie VPN (Virtual Private Network) und RDP (Remote Desktop Protocol), die nicht mittels Zwei-Faktor-Authentisierung (2FA) abgesichert seien. Auch Warnmeldungen von installierter Sicherheitssoftware wie Virenschutz werden leider immer wieder auf kritischen Systemen wie Windows Domain-Controllern ignoriert, wie das NCSC bemängelt.

Trotz den seit Jahren anhaltenden Bemühungen von Behörden und Wirtschaftsverbänden, Unternehmen in der Schweiz auf das Gefahrenpotenzial durch Ransomware zu sensibilisieren, würden empfohlene Massnahmen und "Best-Practices" nicht flächendeckend umgesetzt. Dies führt zu einer hohen Risikoexposition, weshalb Schweizer Unternehmen leider immer wieder Opfer von solchen Cyberangriffen werden, wie es weiter heisst. Dabei würden auch nicht selten Lösegeld in sechs- oder siebenstelliger Höhe bezahlt. So wurde etwa Comparis Opfer eines solchen Angriffs, wie Sie hier nachlesen können, und bezahlte Lösegeld. Dies erlaubt es Cyberkriminellen, die für solche Angriffe nötige Infrastruktur und involvierte Akteure wie etwa Geldwäscher zu finanzieren und dadurch Angriffe auf andere Unternehmen vorzubereiten.

Das NCSC weist mit Nachdruck auf die von Behörden empfohlenen Massnahmen hin und bittet Unternehmen in der Schweiz eindringlich, diese konsequent umzusetzen. Es sind dies:

Patch- und Lifecycle-Management

Sämtliche Systeme müssen konsequent und schnell mit Sicherheitsupdates versorgt werden. Software oder Systeme, die vom Hersteller nicht mehr unterstützt werden ("End of Life" - EOL) müssen abgeschaltet oder in eine separate, abgeschottete Netzzone verlegt werden.

Absicherung von Fernzugängen:

Fernzugänge wie VPN, RDP, usw. sowie sämtliche andere Zugänge auf interne Ressourcen (z. B. Webmail, Sharepoint, usw.) müssen mit einem zweiten Faktor abgesichert werden (Zwei-Faktor-Authentisierung – 2FA).

Blockierung von gefährlichen E-Mail Anhängen

Weiter empfiehlt das NCSC, den Empfang von gefährlichen E-Mail-Anhängen auf dem E-Mail-Gateway zu blockieren, dazu zählen auch Office-Dokumente mit Makros. Eine Empfehlung von zu sperrenden Dateianhängen publizierte das NCSC ebenfalls.

Offline-Backups

Ausserdem sollen regelmässig Sicherungskopien (Back-ups) der Unternehmensdaten erstellt werden. Es sei dabei das Generationenprinzip mit täglich, wöchentlich, monatlich stattfindenen Back-ups zu beachten (mindestens 2 Generationen). Das Medium, auf welchem die Sicherungskopie erstellt werde, soll nach dem Back-up-Vorgang vom Computer bzw. Netzwerk physisch getrennt und sicher aufbewahrt werden.

Das NCSC empfiehlt im Zusammenhang mit Ransomware-Angriffen und deren Abwehr die Lektüre eines Whitepapers des neuseeländischen CERT, das den Ablauf solcher Attacken auf verständliche Weise illustriere:

Wie Ransomware-Angriffe entstehen und wie man sie verhindert. (Source: zVg)

Gerade kürzlich hatte übrigens auch ein Ransomware-Angriff auf den amerikanischen IT-Dienstleister Kaseya Auswirkungen auf Unternehmen auf der ganzen Welt - so mussten etwa 800 schwedische Supermärkte vorübergehend schliessen. Mehr darüber erfahren Sie hier.