Ransomware: Gefahr für Unternehmen

Mit Ransomware sperren Angreifer Geräte oder verschlüsseln die darauf gespeicherten Inhalte mit dem Ziel, Lösegeld zu erpressen. Dabei ist natürlich nicht garantiert, dass die Kriminellen die Daten oder Geräte tatsächlich wieder freigeben (können).

Ransomware: Gefahr für Unternehmen

Mit Ransomware sperren Angreifer Geräte oder verschlüsseln die darauf gespeicherten Inhalte mit dem Ziel, Lösegeld zu erpressen. Dabei ist natürlich nicht garantiert, dass die Kriminellen die Daten oder Geräte tatsächlich wieder freigeben (können).

Lesedauer Icon

Lesedauer: 5 Minuten

Lesedauer Icon

Lesedauer: 5 Minuten

Wie funktioniert Ransomware?

Generell gibt es drei Arten von Ransomware:

  • Screenlocker: Alles, was der Nutzer noch von seinem Gerät sehen kann, ist die Ransomware-Oberfläche mit eventueller Lösegeldforderung.
  • PIN-Locker: Die Malware ändert die PIN des Geräts, sodass der Nutzer nicht mehr darauf zugreifen kann.
  • Festplattenverschlüsselung: Verschlüsselt den MBR (Master Boot Record) und/oder wichtige Systemstrukturen, sodass nicht mehr auf das Betriebssystem zugegriffen werden kann.
  • Krypto-Ransomware: Verschlüsselt auf dem Gerät gespeicherte Daten.

Achtung

Üblicherweise verlangt Ransomware Lösegeld in Form von Bitcoin, Monero oder ähnlicher, kaum nachverfolgbarer Kryptowährung. Dabei ist jedoch keineswegs sicher, dass die Drahtzieher die Daten nach Zahlung entschlüsseln werden bzw. dazu überhaupt in der Lage sind. Wir raten deshalb dringend davon ab, auf die Forderungen einzugehen. Suchen Sie sich Unterstützung, z.B. durch den ESET Support, um zu sehen, ob sich die Daten nicht doch wiederherstellen lassen oder der Schaden anderweitig begrenzt werden kann.

Ransomware Bild

Warum ist Ransomware gerade für KMU ein Problem?

Einer von Datto 2018 durchgeführten Studie zufolge berichten 84 % der MSPs in Europa für die Zeit von April 2016 bis April 2018 von Ransomware-Attacken gegen ihre KMU-Kunden.

CSME chart

Auch wenn viele KMU glauben, kein attraktives Ziel für Angreifer zu sein, ist offenbar das Gegenteil der Fall. Warum?

1. KMU gehen oftmals davon aus, keine stehlenswerten Daten zu besitzen. Das ist natürlich ein Trugschluss, haben es Kriminelle doch vor allem auf persönliche und Zahlungsinformationen abgesehen, die selbst kleinste Unternehmen speichern und verarbeiten.

2. Tatsächlich sind KMU noch stärker als große Unternehmen gefährdet, sobald sie ins Visier von Kriminellen geraten – fehlen ihnen doch meist die finanziellen und personellen Ressourcen, um eine ähnliche starke Abwehr wie ihre großen Kollegen aufzubauen.

Mehr erfahren

Eine vom Ponemon-Institut 2017 durchgeführte Studie ergab, dass weltweit die meisten Angriffe (78 %) Desktop-PCs betreffen. Tablets und Server machen jeweils etwa ein Drittel der angegriffenen Geräte aus (37 bzw. 34 %). Durchschnittlich wurden mehr als 2150 Dollar Lösegeld pro Angriff gezahlt.

Wie können sich Unternehmen schützen?

Grundlegende Maßnahmen:

  • Planen Sie regelmäßige Backups ein und sorgen Sie dafür, dass mindestens ein Backup mit Ihren wertvollsten Daten offline gespeichert wird.
  • Stellen Sie sicher, dass jegliche Software und Anwendung im Unternehmen (inklusive der Betriebssysteme) stets auf dem neuesten Stand ist (Patches & Updates).
  • Implementieren Sie eine leistungsfähige Sicherheitslösung und sorgen Sie auch hier dafür, dass sie stets die neuesten Patches und Updates erhält.

Zusätzliche Maßnahmen:

  • Deinstallieren oder deaktivieren Sie jegliche nicht benötigte Software oder Anwendungen, um die Angriffsfläche zu verringern.
  • Überprüfen Sie, ob Accounts in Ihrem Netzwerk unsichere Passwörter verwenden und sorgen Sie dafür, dass diese geändert werden.
  • Beschränken oder verbieten Sie die Nutzung von RDP, um von außen auf das Netzwerk zuzugreifen oder aktivieren Sie die Authentifizierung auf Netzwerkebene.
  • Verwenden Sie VPN, um Mitarbeiter von außen auf das Netzwerk zugreifen zu lassen.
  • Überprüfen Sie die Firewalleinstellungen und schließen Sie alle Ports, die nicht unbedingt offen sein müssen.
  • Prüfen Sie Regeln und Vorgaben für die Kommunikation zwischen internen Systemen und außen.
  • Schützen Sie die Einstellungen Ihrer Sicherheitslösungen per Passwort, um sie vor der Deaktivierung durch Angreifer zu schützen.
  • Unterteilen Sie Ihr LAN in Subnetze und schützen Sie die einzelnen Netze durch Firewalls, um die Verbreitung von Ransomware oder anderer Schadsoftware zu begrenzen.
  • Schützen Sie Ihre Backups durch Zwei-Faktor- oder Multi-Faktor-Authentifizierung.
  • Sorgen Sie durch Schulungen dafür, dass Ihre Mitarbeiter Angriffe, insbesondere Social Engineering-Attacken, als solche erkennen.
  • Beschränken Sie den Zugriff auf Dateien und Ordner und legen Sie beispielsweise fest, dass diese standardmäßig nur gelesen werden können. Nur diejenigen Mitarbeiter, die Änderungen vornehmen müssen, erhalten Schreibrechte auf die Inhalte.
  • Aktivieren Sie die Erkennung von potenziell unsicheren/unerwünschten Anwendungen (PUSA/PUA). So stellen Sie sicher, dass Angreifer diese nicht nutzen können, um Ihre Sicherheitslösungen zu deaktivieren.
Ransomware Bild

Jedes Unternehmen ist potenzielles Ziel

Auch wenn Sie bisher noch nicht von einer Ransomware-Attacke betroffen waren: Letztlich kann es jedes Unternehmen treffen, völlig unabhängig von der Größe. Dabei müssen Sie nicht einmal selbst das eigentliche Ziel des Angriffs sein. Im Juni 2017 beispielsweise geriet der durch ESET entdeckte Diskcoder.C (aka Petya bzw. NotPetya), der eigentlich auf ukrainische Infrastruktur abgezielt hatte, außer Kontrolle und infizierte Unternehmen weltweit. Schäden von mehreren hundert Millionen Dollar waren die Folge.

Eine weitere durch ESET erkannte Ransomware, WannaCryptor.D (aka WannaCry), verbreitete sich ebenso rasant. Hierzu bediente es sich EternalBlue, einem geleakten NSA-Tool, das wiederum eine Schwachstelle im SMB (Server Message Block) Netzwerkprotokoll ausnutzte. Dieses ermöglicht unter anderem den Zugriff auf geteilte Dateien und Drucker. Zwar hatte Windows die Lücke zwei Monate vor dem Angriff für die wichtigsten Windows-Versionen gepatcht. Der Angriff war dennoch höchst erfolgreich: WannaCryptor.D konnte in tausende Unternehmen weltweit eindringen und Schäden in Milliardenhöhe verursachen.

Dank ESET bestens vor Ransomware geschützt

ESET Endpoint Protection Advanced Cloud bundle card

Nutzen Sie die ESET Lösungen für Endpoints inklusive Ransomware Shield und LiveGrid®-Anbindung, um sich und Ihr Unternehmensnetzwerk sicher vor Ransomware zu schützen. Besten Überblick über alle mit Ihrem Netzwerk verbundenen Geräte erhalten Sie zusätzlich mit dem ESET Cloud Administrator.