Immer wieder zu Ransomware-Sicherheitsmaßnahmen ermahnt zu werden ermüdet. Und doch sind es meist einfache Fehler, die den Erpressern Einlass ins Netzwerk gewähren. Sophos sagt, welche das sind und wie man sich schützt. Ok, schon wieder Tipps – aber sie sind wichtig.
Als Systemadministrator überschaut man heute ein weitaus verzweigteres Netzwerk als noch vor der Corona-Pandemie mit deutlich weniger Home-Office-Plätzen. Auch wenn sich die Kolleg*innen jetzt mit ihren PCs über die private Internetanbindung mit dem Unternehmen verbinden, bleibt es ein Teil des Unternehmensnetzwerks und damit ein attraktives Ziel für Cyberkriminelle. Eine der gefährlichsten und dramatischsten Angriffsarten auf das Netzwerk ist die Ransomware-Attacke.
„Auch wenn Unternehmen häufig überzeugt sind, wirklich auf alle grundlegenden Sicherheitsmaßnahmen geachtet zu haben und die ständige Ermahnung zu diesen mittlerweile einen Flucht- oder Tiefschlaf-Reflex auslösen, bleibt es eine Tatsache, dass Ransomware-Angriffe meist dann erfolgreich sind, wenn die Opfer grundlegende Fehler begehen,“ weiß Sophos-Sicherheitsexperte Michael Veit. „Gegen diese `Ermüdungserscheinungen´ können ganz profane Analogien oder Eselsbrücken sehr hilfreich sein.“
Man stelle sich daher vor, so empfehlen die Sophos-Experten, der Computer wäre ein Haus und die Ransomware eine Einbrecherbande. Dieses Rollenspiel gibt fünf typische Fehler her, die wir im Folgenden besprechen, um das Haus zu schützen:
1. Beim Verlassen des Hauses die Tür schließen, aber alle Fenster weit offenlassen.
Das bringt offenkundig wenig Sicherheit. Es gilt also unbedingt, Systemportale zu schützen. Internetkriminelle schleichen sich oft ein, indem sie nach Fernzugriffsportalen wie RDP (Remote Desktop Protocol) und SSH (Secure Shell) suchen, die nicht ordnungsgemäß gesichert sind. Oft werden diese nur vorübergehend eingerichtet, dann aber vergessen. Es ist wichtig zu wissen, wie man das eigene Netzwerk von außen scannen und sicherstellen kann. Es ist wichtig sicherzustellen, dass „offene“ Dienste und Verbindungen genau dort sind, wo sie sein sollten und dass diese auf einer Sicherheits-Checkliste stehen. Prüft man das Netzwerk nicht selbst auf versehentlich offen gelassene Zugangslöcher, werden es die Gauner für einen tun!
2. Der Schlüssel unter der Matte ist ein für die Gauner bekannter Trick.
Es ist daher unerlässlich gute Passwörter zu installieren. Wenn man in Eile ist – insbesondere im Bereich der vielen zusätzlichen Fernzugriffe, die wegen der Corona-Pandemie eingerichtet werden müssen – wählt man gerne den einfachen Weg, um „alles zum Laufen zu bringen“. Oft mit der guten Absicht, alle Sicherheitseinrichtungen später genauer zu überprüfen. Doch nichts ist so haltbar wie Provisorien und so gerät die geplante Passwort-Änderung in Vergessenheit. Doch wann immer, ein großer Passwort-Dump aufgrund einer Datenpanne auftritt, sind schwache Passwörter im Spiel. Deshalb: von Anfang an sollten Unternehmen mit guten Passwörtern inklusive einer Zwei-Faktor-Authentifizierung starten, um die Sicherheit wo immer möglich zu erhöhen.
3. Nachts Patrouilliert ein Wachmann und schreibt sorgsam Protokolle, die niemand liest.
Vorhandene Systemprotokolle zu lesen sollte zu den Standardtätigkeiten gehören. Viele, vielleicht sogar die meisten Ransomware-Angriffe geschehen nicht sofort oder nicht ohne Vorwarnung. Die Kriminellen brauchen gewöhnlich einige Zeit, oft Tage oder länger, um sich ein Bild vom gesamten Netzwerk zu machen. Auf diese Weise stellen sie sicher, dass die Attacke das gewünschte zerstörerische Ergebnis auslöst, um das Lösegeld zu erhalten. Protokolle enthalten oft zahlreiche Anzeichen, etwa das Auftauchen von „Grey Hat“-Hacking-Tools, die man nicht erwartet. Auch das Anlegen neuer Konten, Aktionen zu ungewöhnlichen Zeiten oder Netzwerkverbindungen von außerhalb, die nicht dem üblichen Muster folgen, sind verräterische Hinweise.
4. Die Alarmanlage schlägt häufig an, macht Krach und wird deswegen ausgemacht.
Warnungen sollten dringend auch beachtet werden. Wenn ein Alarmsystem ständig anschlägt, wird sicherlich eine gewisse Alarmmüdigkeit einsetzen, die dazu führt, dass ohne große Aufmerksamkeit durch die Warnungen geklickt wird. Doch hier ist Vorsicht geboten, denn wirklich wichtige Alarmmeldungen können so leicht übersehen werden, beispielsweise wenn sie darauf hinweisen, dass eine potenzielle Bedrohung bereits blockiert wurde. Oft sind Bedrohungen im Netzwerk nicht nur Zufallsereignisse. Sie sind ein Beweis dafür, dass Cyber-Kriminelle schon vorsichtig herumschnüffeln, um die Alarmsysteme zu erkunden – immer in der Hoffnung, einen großen und erfolgsversprechenden Angriff durchzuführen.
5. Reparaturen sind notwendig, aber jetzt sofort auch irgendwie lästig.
Es ist die immerwährende Mahnung aller Sicherheitsspezialisten: Patchen so oft und früh wie möglich! Sich, vielleicht aus Bequemlichkeit, bewusst und längere Zeit bekannten Sicherheitslücken auszusetzen, ist fahrlässig. Internet-Gauner durchsuchen Netzwerke systematisch nach geeigneten Lücken. Dazu scannen sie auch extern zugängliche Dienste, die nicht gepatcht sind. Dies hilft den Gaunern, automatisch Listen potenzieller Opfer zu erstellen, die sie später angreifen. Es ist die beste Option, nicht auf solchen Listen zu stehen.
Firmenkontakt und Herausgeber der Meldung:
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de