Maßnahmen zur Schadensminderung für Unternehmen

Halten Sie die Betriebssysteme und Anwendungen auf den Geräten Ihres Unternehmens auf dem neuesten Stand.

  • Wenden Sie die aktuellsten Sicherheits-Patches an und stellen Sie sicher, dass kritische Software, auch auf mobilen Geräten, auf dem neuesten Stand ist.
  • Aktivieren Sie, falls möglich, die automatische Update-Funktion. Mit dem Aufspielen der neuesten Updates wird gewährleistet, dass die Geräte nicht nur sicherer sind, sondern auch eine bessere Leistung bringen.
  • Stellen Sie fest, ob Anti-Viren- bzw. Anti-Malware-Produkte erforderlich sind und halten Sie diese auf dem neuesten Stand.
  • Führen Sie regelmäßige Scans durch, um sicherzustellen, dass Ihre Betriebssysteme effizient arbeiten.
  • Prüfen Sie die Verwendung eines zentralen Patch-Management-Systems und stellen Sie anhand einer risikobasierten Bewertungsstrategie fest, welche Systeme Teil des Patch-Management-Programms sein sollten.
  • Machen Sie regelmäßige Sicherheitskopien von Ihren Systemen, online und offline. Mit aktuellen Backups können nach einem Ransomware-Angriff die Daten am effektivsten wiederhergestellt werden.
  • Stellen Sie sicher, dass die von Ihnen erstellten Offlinesicherungen an einem anderen Ort (idealerweise extern) als in Ihrem Netzwerk oder Ihren Systemen bzw. bei einem für diesen Zweck ausgelegten Cloud-Dienst gespeichert werden. Beachten Sie, dass Ransomware aktiv auf Sicherungskopien abzielt, um die Wahrscheinlichkeit zu erhöhen, dass die Opfer für die Wiederherstellung ihrer Daten bezahlen.

Kennen Sie Ihre Werte und kompartmentalisieren Sie diese.

Sensible Daten sind anders zu behandeln als alltägliche Daten.

  • Speichern Sie sensible Daten an abgegrenzten Orten.
  • Stellen Sie eine effektive Segregation des Netzwerks sicher, um die Angreifer in ihren Möglichkeiten einzuschränken, von einem Segment des Netzwerks zu einem anderen zu gelangen.
  • Sorgen Sie für die Abgrenzung von Bereichen mit unterschiedlichen Merkmalen und Sicherheitsprofilen, indem Sie den Zugriff auf die stärker gefährdeten Segmente isolieren und begrenzen.

Sichern sie den Zugriff auf Remotedesktopprotokolle (RDP)

Begrenzen Sie den Ressourcenzugriff über Netzwerke, insbesondere durch Beschränkungen für RDP. Falls nach einer angemessenen Risikobewertung RDP als unbedingt erforderlich für Ihre Einrichtung erachtet wird, beschränken Sie die Quellen und verlangen Sie eine Multi-Faktor-Authentifizierung.

Achten Sie auf Datenexfiltration.

In vielen Ransomware-Kampagnen wird damit gedroht, Daten zu veröffentlichen, um Unternehmen so dazu zu bringen, das Lösegeld zu bezahlen. Je früher das Ausschleusen von Daten festgestellt wird, desto geringer ist der Schaden, den eine Veröffentlichung anrichten kann. Die Überprüfung auf Datenexfiltration gibt Aufschluss darüber, welchen Daten genau die Veröffentlichung droht.

Es gibt keine Garantie dafür, dass der Angreifer die Daten nicht veröffentlichen oder dieselben Daten nicht für eine weitere Erpressung verwenden wird. Betrachten Sie beide Szenarien als möglich, unabhängig davon, ob das Lösegeld bezahlt wird.

Überprüfen Sie Ihre Systeme.

Unterziehen Sie Ihr Netzwerksicherheitssystem regelmäßigen Penetrationstests und testen Sie den Wiederherstellungsprozess für kritische Informationen, um sicherzustellen, dass er erwartungsgemäß funktioniert.

Verringern Sie die Wahrscheinlichkeit, dass schädliche Inhalte in Ihre Netzwerke gelangen.

  • Deaktivieren Sie Skripting-Umgebungen und Makros.
  • Konfigurieren Sie Ihr Systeme so, dass sie Inhalte aktiv untersuchen, nur bestimmte Dateitypen zulassen und Websites, Anwendungen, Protokolle etc. blockieren, die bekanntermaßen schädlich sind.
  • Ziehen Sie auf Netzwerkebene das Filtern von Netzwerkdatenverkehr in Betracht, bei dem Strategien umgesetzt werden, mit denen unerlaubter oder schädlicher Datenverkehr überwacht, gefiltert und vom Eindringen in Ihre Netzwerke abgehalten wird.
  • Implementieren Sie Regeln für Negativ-/Positivlisten auf der Grundlage von in Echtzeit übertragenen Threat Intelligence Feeds, um Nutzer daran zu hindern, auf schädliche Websites, schädliche IP-Adressen, Phishing-URLs, anonyme Proxies, das Tor-Netzwerk oder andere Anonymisierungsdienste zuzugreifen.

Verwenden Sie starke Passwörter und ändern Sie diese regelmäßig.

  • Zahlen, Symbole und die Kombination aus Groß- und Kleinbuchstaben helfen Ihnen dabei, stärkere Passwörter zu bilden.
  • Schulen Sie Ihre Mitarbeiter in der Verwendung starker Passwörter und ermutigen Sie sie dazu, solche Passwörter sowohl im beruflichen als auch im privaten Bereich zu verwenden. Unterstützen Sie darüber hinaus die Verwendung eines Passwort-Managers.

Nutzen Sie eine starke Authentifizierung.

Verlangen Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf Konten in kritischen Netzwerken, um so das Risiko eines Zugriffs mittels gestohlener oder gehackter Zugangsdaten zu minimieren.

Verwalten Sie die Nutzung von privilegierten Konten.

  • Schränken Sie die Möglichkeiten für Ihre Mitarbeiter ein, Software-Anwendungen auf Geräten, die Teil des Firmennetzwerkes sind, zu installieren und auszuführen.
  • Sorgen Sie dafür, dass Benutzer- und Systemkonten über Kontonutzungsbestimmungen, Benutzerkontokontrolle sowie die Zugriffsverwaltung für privilegierte Benutzer eingeschränkt werden.
  • Vergeben Sie Zugriffsrechte nach dem Prinzip der geringsten Zugriffsrechte, nach dem Grundsatz "Kenntnis nur wenn nötig" sowie nach dem Prinzip der Aufgabentrennung. Die mögliche Kompromittierung des Kontos eines privilegierten Benutzers hätte im Vergleich zum einfachen Benutzerkonto weitaus schwerwiegendere Auswirkungen.

Sichern Sie Ihre Telearbeitsausstattung.

  • Betreiben Sie Maßnahmen wie die Verschlüsselung der Festplatte, Sitzungsbeendigung bei Inaktivität, Sichtblenden, starke Authentifizierung, Deaktivierung von Bluetooth sowie die Kontrolle und Verschlüsselung von Wechseldatenträgern (z. B. USB-Sticks).
  • Implementieren Sie einen Prozess, mit dem der Zugriff auf ein verloren gegangenes oder gestohlenes Gerät aus der Ferne deaktiviert werden kann.

Installieren Sie nur Apps, die von vertrauenswürdigen Quellen stammen.

Unternehmen sollten ausschließlich die Installation von Apps, die von offiziellen Quellen stammen, auf den mit dem Firmennetzwerk verbundenen mobilen Geräten erlauben. Wahlweise könnten Sie die Einrichtung eines Firmen-App-Store prüfen, über den die Endnutzer auf vom Unternehmen freigegebene Anwendungen zugreifen, diese herunterladen und installieren können. Lassen Sie sich von Ihrem Sicherheitsanbieter beraten oder richten Sie sich dies selbst intern ein.

Seien Sie vorsichtig beim Zugriff auf Firmendaten über öffentliche WLAN-Netzwerke.

Öffentliche WLAN-Netzwerke sind im Allgemeinen nicht sicher. Falls ein Mitarbeiter über eine kostenlose WLAN-Verbindung am Flughafen oder in einem Café auf Unternehmensdaten zugreift, könnten diese Daten böswilligen Nutzern ausgesetzt sein. Es wird dazu geraten, dass Unternehmen diesbezüglich wirksame Nutzungsrichtlinien aufstellen.

Schulen Sie Ihr Personal im Bereich Cybersicherheit sowie in Bezug auf Sensibilisierungsmaßnahmen.

  • Klären sie Ihre Mitarbeiter über die Regeln der Firma in Bezug auf Internetsicherheit auf. Nehmen Sie sich die Zeit, um ein Bewusstsein für Bedrohungen im Internet, vor allem Phishing und Social Engineering, zu schaffen und zu vermitteln, was zu tun ist, wenn sie auf verdächtige Aktivitäten stoßen.
  • Prüfen Sie die Durchführung eines Schulungsprogramms für Nutzer, das simulierte Angriffe mittels Spear-Phishing beinhaltet, um die Mitarbeiter davon abzuhalten, schädliche Websites zu besuchen oder schädliche Anhänge zu öffnen.
  • Sorgen Sie dafür, dass Ihre Mitarbeiter Phishing-E-Mails direkt melden können und belohnen Sie sie dafür. Einfache Pop-Up-Fenster mit einem "Dankeschön" oder ein Punktesystem motivieren Mitarbeiter, vorsichtig zu sein und verdächtige Dinge zu melden.

Erkundigen Sie sich nach einer Versicherung für Internetschäden.

Ziehen Sie die Suche nach einem Versicherungsanbieter in Betracht, um Versicherungsschutz im Fall eines Cyberangriffs zu erhalten.

Aktivieren Sie lokale Firewalls.

Schalten Sie lokale Firewalls gegen unbefugten Zugriff ein.

Deaktivieren Sie Windows PowerShell.

Schalten Sie Windows PowerShell aus, wenn das Programm nicht verwendet wird. Einige Ransomware-Varianten werden über PowerShell ausgeführt.

Infiziert... Was ist zu tun?

  1. 1) Trennen Sie das infizierte Gerät/die infizierten Geräte, ohne es/sie auszuschalten, von allen Netzwerkverbindungen, egal ob kabelgebunden, kabellos oder mobiltelefonbasiert.
  2. 2) In sehr schwerwiegenden Fällen prüfen Sie, ob das Abschalten des WLAN, die Deaktivierung von Kernnetzwerkverbindungen (einschließlich Schaltern) und die Trennung der Internetverbindung erforderlich sein könnten.
  3. 3) Setzen Sie Zugangsdaten, einschließlich der Passwörter (insbesondere für Administratoren- und andere Systemkonten) zurück. Stellen Sie jedoch sicher, dass Sie sich nicht von den Systemen ausschließen, die für die Wiederherstellung benötigt werden.
  4. 4) Zeigen Sie den Vorfall bei der Polizei Ihres Landes oder einer anderen zuständigen Behörde an.
  5. 5) Sichern Sie in Abstimmung mit den Behörden, die den Angriff untersuchen, alle Beweise: Erstellen Sie eine forensische Kopie der betroffenen Systeme (oder einen System-Snapshot), erstellen Sie einen RAM-Speicherauszug der betroffenen Systeme und sichern Sie alle Netflow- oder sonstigen Netzwerkverkehrsprotokolle.
  6. 7) Bereinigen Sie die infizierten Geräte auf sichere Weise und installieren Sie das Betriebssystem neu.
  7. 8) Vor der Wiederherstellung mithilfe einer Sicherungskopie prüfen Sie, ob diese frei von Schadprogrammen ist. Sie sollten eine Wiederherstellung nur dann durchführen, wenn Sie sich sehr sicher sind, dass die Sicherungskopie und das Gerät, mit dem Sie sie verbinden, sauber sind.
  8. 9) Verbinden Sie Geräte mit einem sauberen Netzwerk, um das Betriebssystem und alle anderen Softwareprogramme herunterzuladen, zu installieren und zu aktualisieren.
  9. 10) Installieren und aktualisieren Sie ein Anti-Viren-Programm und führen Sie dieses aus.
  10. 11) Verbinden Sie sich wieder mit Ihrem Netzwerk.
  11. 12) Beobachten Sie den Netzwerkdatenverkehr und führen Sie Viren-Scans durch, um festzustellen, ob die Infektion weiterhin besteht.