Sie kommen über Sicherheitslücken in der Software oder über geknackte, oft zu schwache Passwörter. Doch der klassische Weg für Ransomware-Angriffe ist und bleibt eine E-Mail mit infizierten Dokumenten im Anhang. „Daher ist es wichtig, dass Angestellte für mögliche Angriffsszenarien sensibilisiert werden. Ziel ist es, dass Mitarbeitende Angriffe selbst erkennen und melden können“, erläutert iX-Redakteur Jonas Volkert. Fallen trotz guter Awareness-Maßnahmen Angestellte auf Phishing-E-Mails herein, sei es wichtig, dass sie sich vertrauensvoll an eine Ansprechperson wenden und einen möglichen Sicherheitsvorfall melden könnten.
Auch ein striktes Identitäts- und Berechtigungsmanagement ist für die Vorsorge unerlässlich. „Das Berechtigungsmanagement im Unternehmensnetzwerk sollte sich an den Minimalprinzipien Need to know für die Vergabe von Berechtigungen an Benutzer und Least Privilege für die Vergabe von Berechtigungen an Administratoren und Entwickler orientieren“, rät Volkert. Ein Angreifer, der einen Account übernommen hat, hat schließlich lediglich die Berechtigungen, die auch der Benutzer innehatte. Sofern das Unternehmen die beiden Prinzipien streng genug umsetzt, können diese dafür sorgen, dass dem Angreifer die Bewegung im Unternehmensnetzwerk schwerfällt.
Benutzerkonten, mit denen im Internet gesurft wird und die E-Mails empfangen, sollten möglichst von den administrativen Konten getrennt werden. Dadurch verringert sich die mögliche Angriffsoberfläche erheblich. Zentrales Identity Management und Multi-Faktor-Authentisierung helfen ebenfalls, das Risiko zu minimieren.
Wird man trotz bester Vorbereitung Opfer eines Ransomware-Angriffes, heißt es, einen kühlen Kopf zu bewahren und Sofortmaßnahmen durchzuführen. Zuerst sollten alle Netzwerkverbindungen getrennt werden. Das unterbindet die Kommunikation der Schadsoftware mit den Command-and-Control-Servern und verwehrt dem Angreifer den Fernzugriff. Parallel sollte eine Meldung an die Informationssicherheits- und Notfallmanagementverantwortlichen ergehen. Im Rahmen der Prozesse entscheidet man dann gemeinsam, ob ein Notfall ausgerufen werden muss. Selbst wenn noch nicht klar ist, ob die eingesetzte Ransomware Unternehmensdaten herunterlädt, sollte auch der Datenschutzbeauftragte vorgewarnt werden. Herrscht Klarheit über den Angriff, sind auch Geschäftspartner und Kunden zu informieren, damit diese sich selbst schützen können.
Redaktionen erhalten auf Wunsch die komplette Artikelstrecke „Cybersicherheit“ zur Rezension.