Ransomware agiert alles andere als klammheimlich. Darin unterscheidet sie sich grundlegend von anderen Angriffsmitteln professioneller Hacker, die sich still und leise durch Unternehmensnetze bewegen. Deshalb hat Ransomware so viel Aufmerksamkeit erhalten und zahlreiche wichtige Fragen aufgeworfen: Sollten die Opfer das Lösegeld zahlen? Wäre der Angriff zu verhindern gewesen? Und warum patchen die IT-Abteilungen ihre Systeme nicht einfach schneller?
Foto: Jaruwan Jaiyangyuen - shutterstock.com
IT-Sicherheit umfassend angehen
Es ist leicht, die IT für langsames Patchen zu tadeln. Aber diese Kritik missachtet, dass das Patchen insbesondere in größeren Organisationen einen riesigen Zeit- und Ressourcenaufwand bedeutet. Gleiches gilt für Backups, die Migration zur neuesten Windows-Version und weitere Maßnahmen, die helfen können, einen Ransomware-Angriff – oder eine beliebige andere Bedrohung für die IT-Sicherheit – abzuwehren. Grundsätzlich gilt, dass kurzfristige Reaktionen auf aktuelle Sicherheitsvorfälle zwar in der jeweiligen Lage notwendig sind, aber keine tiefgreifende und langfristige Sicherheit gewährleisten. Erforderlich ist stattdessen eine umfassende Sicherheitsstrategie, die alle relevanten Aspekte abdeckt: von Servern und Speichern über die Cloud und das Netzwerk bis hin zur Client-Seite.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Firewalls und Antivirus-Systeme reichen nicht aus
Unter Sicherheitsfachleuten ist bekannt, dass Antivirus-Lösungen und netzwerkbasierte Maßnahmen wie Firewalls alleine nicht genügen, um moderne Cyberattacken abzuwehren – reichen diese doch von Ransomware bis hin zu gezielten Spionage- oder Sabotage-Operationen. Die gute Nachricht: Es gibt eine breite Palette von Lösungen. Mit verschiedenen Mitteln lassen sich Vorsorge, Verteidigung und Reaktion auf Sicherheitsvorfälle verbessern – auch, um die Verweildauer eines Angreifers zu minimieren, falls eine IT-Umgebung kompromittiert wurde.
Ebenso wichtig sind laufende Sicherheitstrainings für Mitarbeiter, um diese für Gefährdungen des geistigen Eigentums ihres Unternehmens und die ständigen Veränderungen der Risikolandschaft zu sensibilisieren. Schließlich spielt der menschliche Faktor bei bestimmten Cyber-Angriffen oft eine kritische Rolle, wie beispielsweise bei Social Engineering und (Spear) Phishing.
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
IT-Landschaft virtualisieren
Neben einer umfassenden Verteidigungsstrategie ist es essenziell, die Angriffsfläche von vorneherein zu minimieren. In diesem Kontext ist der sinnvollste Schritt für eine IT-Organisation, die Endgeräte-Umgebung so weit wie möglich zu virtualisieren und zu zentralisieren. Der Grund ist simpel: Virtualisierte Arbeitsumgebungen erlauben es einer IT-Abteilung, die gleichen strikten, zentralisierten IT-Managementroutinen auf die Clients anzuwenden, die sie auch für die kritischen Server- und Storage-Systeme nutzt.
Virtualisierung isoliert Bedrohungen und erlaubt es, jedes von Malware befallene System zügig abzuschalten und neu aufzusetzen. Die zentralisierte Speicherung von Images und Daten stellt sicher, dass die Rebuilds ohne jeglichen Datenverlust erfolgen können. Dies sollte Hand in Hand gehen mit einem Enterprise-Filesharing-System, das der IT-Abteilung die strikte Kontrolle über Speicherorte und Zugriffsrechte auf Unternehmensdaten gibt, während gleichzeitig Endanwender ihre Daten sicher austauschen können.
Das Management einer solchen Umgebung aus der Cloud sorgt für universelle Erreichbarkeit. Integriertes Application Delivery Networking und Application Security wiederum garantieren hohe Verfügbarkeit und erlauben die Implementierung zusätzlicher anwendungsspezifischer Sicherheitsmechanismen. So verschafft der Virtual-Workspace-Ansatz – in Kombination mit bewährten IT-Management-Prozessen und einer soliden Backup- und Recovery-Strategie – den IT-Abteilungen eine verlässliche Basis, die sie schnell agieren und reagieren lässt, wann immer eine Bedrohung auftritt.
Resiliente IT-Architektur schaffen
Wer heute aktuelle Security-Löcher mit schnellen Lösungen für die neuesten Ransomware-Varianten stopft, greift viel zu kurz. Was Unternehmen vielmehr brauchen ist eine zentrale, virtualisierte IT-Architektur, die ihnen höchstmögliche Resilienz verschafft. Und zwar gegen jede Art von Bedrohung, egal ob Ransomware, Angriffe auf Anwendungsebene, Datendiebstahl oder schlicht ein Stromausfall. Schließlich mag Ransomware heute zwar die prominenteste Bedrohung sein, die einzige ist sie aber ganz sicher nicht. (fm)