Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware

  • Artikel

Ransomwareangriffe verschlüsseln oder löschen absichtlich Daten und Systeme, um Ihre Organisation zu zwingen, Geld an Angreifer zu zahlen. Diese Angriffe zielen auf Ihre Daten, Ihre Sicherungskopien und auch die wichtige Dokumentation ab, die für die Wiederherstellung erforderlich ist, ohne die Angreifer zu bezahlen (um die Wahrscheinlichkeit zu erhöhen, dass Ihre Organisation zahlen wird).

Erfahren Sie, was Sie vor und während eines Ransomware-Angriffs tun müssen, um Ihre kritischen Geschäftssysteme zu schützen und eine schnelle Wiederherstellung des Geschäftsbetriebs zu gewährleisten.

Hinweis

Die Vorbereitung auf Ransomware verbessert auch die Resilienz gegenüber Naturkatastrophen und schnellen Angriffen wie WannaCry und (Not)Petya.

Was ist Ransomware?

Ransomware ist eine Art von Erpressungsangriff, bei dem Dateien und Ordner verschlüsselt werden und so der Zugriff auf wichtige Dateien verhindert wird. Angreifer nutzen Ransomware, um Geld von ihren Opfern zu erpressen, indem sie Geld, in der Regel in Form von Kryptowährungen, als Gegenleistung für einen Entschlüsselungsschlüssel oder als Gegenleistung dafür verlangen, dass sensible Daten nicht im Dark Web oder im öffentlichen Internet veröffentlicht werden.

Während frühe Ransomware meist Schadsoftware nutzte, die sich durch Phishing oder zwischen Geräten verbreitete, hat sich menschengesteuerte Ransomware herausgebildet, bei der eine Bande aktiver Angreifer, die von menschlichen Angreifern gesteuert wird, alle Systeme in einem Unternehmen angreift (und nicht nur ein einzelnes Gerät oder eine Gruppe von Geräten). Ein Angriff kann:

  • Verschlüsseln Ihrer Daten
  • Ihre Daten exfiltrieren
  • Ihre Sicherungskopien beschädigen

Die Ransomware nutzt das Wissen der Angreifer über gängige System- und Sicherheitsfehlkonfigurationen und Schwachstellen, um in das Unternehmen einzudringen, sich im Unternehmensnetzwerk zurechtzufinden und sich an die Umgebung und ihre Schwachstellen anzupassen.

Ransomware kann so ausgelegt werden, dass Ihre Daten zuerst über mehrere Wochen oder Monate exfiltriert werden, bevor die Ransomware tatsächlich an einem bestimmten Datum ausgeführt wird.

Ransomware kann Ihre Daten auch langsam verschlüsseln, während Ihr Schlüssel auf dem System gespeichert wird. Wenn Ihr Schlüssel weiterhin verfügbar ist, können Ihre Daten für Sie verwendet werden, und die Ransomware wird nicht bemerkt. Ihre Sicherungskopien bestehen jedoch aus den verschlüsselten Daten. Sobald alle Ihre Daten verschlüsselt sind und aktuelle Sicherungskopien auch verschlüsselte Daten enthalten, wird Ihr Schlüssel entfernt, sodass Sie Ihre Daten nicht mehr lesen können.

Der eigentliche Schaden entsteht oft, wenn der Angriff Dateien exfiltriert und gleichzeitig Hintertüren im Netzwerk für künftige böswillige Aktivitäten zurücklässt – und diese Risiken bleiben bestehen, egal ob das Lösegeld gezahlt wird oder nicht. Diese Angriffe können schwerwiegende Folgen für den Geschäftsbetrieb haben und sind schwer zu bereinigen, da eine vollständige Entfernung der Angreifer erforderlich ist, um sich vor zukünftigen Angriffen zu schützen. Im Gegensatz zur anfänglichen Ransomware, die nur eine Beseitigung der Schadsoftware erfordert hat, kann von Menschen gesteuerte Ransomware auch nach dem ersten Auftreten eine Bedrohung für Ihren Geschäftsbetrieb darstellen.

Auswirkungen eines Angriffs

Die Auswirkungen eines Ransomware-Angriffs auf irgendeine Organisation lassen sich nur schwer genau quantifizieren. Je nach Umfang des Angriffs kann dies folgende Auswirkungen haben:

  • Verlust des Datenzugriffs
  • Unterbrechung des Geschäftsbetriebs
  • Finanzieller Verlust
  • Diebstahl von geistigem Eigentum
  • Beeinträchtigtes Kundenvertrauen oder geschädigter Ruf
  • Rechtskosten

Wie können Sie sich schützen?

Der beste Weg, um zu verhindern, Opfer von Ransomware zu werden, besteht darin, Vorsichtsmaßnahmen zu ergreifen und über Tools zu verfügen, die Ihr Unternehmen vor jedem Schritt schützen, den Angreifer unternehmen, um Ihre Systeme zu infiltrieren.

Sie können Ihre lokale Gefährdung reduzieren, indem Sie Ihre Organisation in einen Clouddienst verschieben. Microsoft hat in native Sicherheitsfunktionen investiert, die Microsoft Azure resilient gegen Ransomware-Angriffe machen und Organisationen dabei unterstützen, Ransomware-Angriffstechniken abzuwehren. Eine umfassende Übersicht über Ransomware und Erpressung und den Schutz Ihrer Organisation erfahren Sie in der PowerPoint-Präsentation Human-Operated Ransomware Mitigation Project Plan (Projektplan zur Entschärfung von Menschen platzierter Ransomware).

Sie sollten davon ausgehen, dass Sie irgendwann einem Ransomware-Angriff zum Opfer fallen werden. Einer der wichtigsten Schritte zum Schutz Ihrer Daten und zur Vermeidung von Lösegeldzahlungen ist ein zuverlässiger Sicherungs- und Wiederherstellungsplan für Ihre unternehmenskritischen Daten. Da Ransomware-Angreifer viel in die Neutralisierung von Datensicherungsprogrammen und Betriebssystemfunktionen wie Volumen-Schattenkopie investiert haben, ist es von entscheidender Bedeutung, Datensicherungen zu haben, die für bösartige Angreifer unzugänglich sind.

Azure Backup

Azure Backup bietet Sicherheit für Ihre Sicherungsumgebung – sowohl während der Übertragung als auch bei ruhenden Daten. Mit Azure Backup können Sie folgendes sichern:

  • Lokale Dateien, Ordner und Systemstatus
  • Komplette Windows/Linux-VMs
  • Azure Managed Disks
  • Azure Dateifreigaben in einem Speicherkonto
  • SQL Server-Datenbanken, die auf Azure-VMs laufen

Die Sicherungsdatei wird im Azure-Speicher gespeichert und der Gast oder Angreifer hat keinen direkten Zugriff auf den Sicherungsspeicher oder dessen Inhalt. Bei der Sicherung virtueller Maschinen erfolgt die Erstellung und Speicherung von Sicherungsmomentaufnahmen durch Azure Fabric, wobei der Gast oder der Angreifer nichts anderes zu tun hat, als den Workload für anwendungskonsistente Sicherungskopien stillzulegen. Mit SQL und SAP HANA erhält die Sicherungserweiterung temporären Schreibzugriff auf bestimmte Blobs. Auf diese Weise können vorhandene Sicherungskopien auch in einer kompromittierten Umgebung nicht von dem Angreifer manipuliert oder gelöscht werden.

Azure Backup bietet integrierte Überwachungs- und Warnungsfunktionen zum Anzeigen und Konfigurieren von Aktionen für Ereignisse im Zusammenhang mit Azure Backup. Sicherungsberichte stellen den zentralen Ort für die Nachverfolgung der Nutzung, das Überwachen von Sicherungen und Wiederherstellungen und die Identifizierung wichtiger Trends mit unterschiedlicher Granularität dar. Mithilfe der Überwachungs- und Berichterstellungstools von Azure Backup können Sie über alle nicht autorisierten, verdächtigen oder bösartigen Aktivitäten benachrichtigt werden, sobald sie auftreten.

Es wurden Prüfungen hinzugefügt, um sicherzustellen, dass bestimmte Vorgänge nur von gültigen Benutzern ausgeführt werden können. Dazu gehört das Hinzufügen einer zusätzlichen Authentifizierungsebene. Im Rahmen des Hinzufügens einer zusätzlichen Authentifizierungsebene für kritische Vorgänge werden Sie aufgefordert, eine Sicherheits-PIN einzugeben, bevor Sie Online Sicherungskopien ändern.

Lernen Sie mehr über die in Azure Backup integrierten Sicherheitsfunktionen.

Überprüfen von Sicherungen

Vergewissern Sie sich, dass Ihre Sicherungskopie gut ist, wenn sie erstellt wird und vor einer Wiederherstellung. Wie empfehlen, dass Sie einen Recovery Services-Tresor benutzen, der eine Speicherentität in Azure ist, die Daten enthält. Bei den Daten handelt es sich in der Regel um Kopien von Daten oder Konfigurationsinformationen für virtuelle Computer (VMs), Workloads, Server oder Arbeitsstationen. Sie können Recovery Services-Datenspeicher verwenden, um Sicherungsdaten für verschiedene Azure-Dienste wie IaaS-VMs (Linux oder Windows) und Azure-SQL-Datenbanken sowie für lokale Ressourcen zu speichern. Recovery Services-Tresore machen es leicht, Ihre Sicherungsdaten zu organisieren und bieten Funktionen wie diese:

  • Verbesserte Funktionen, die sicherstellen, dass Sie Ihre Sicherheitskopien schützen und Daten sicher wiederherstellen können, selbst wenn Produktions- und Sicherungsserver gefährdet sind. Weitere Informationen
  • Überwachung Ihrer hybriden IT-Umgebung (Azure IaaS-VMs und lokale Ressourcen) über ein zentrales Portal. Weitere Informationen
  • Kompatibilität mit Rollenbasierter Zugriffssteuerung (Azure RBAC), die den Zugriff auf Sicherungskopien und Wiederherstellungen auf die definierten Benutzerrollen beschränkt. Azure RBAC sieht verschiedene integrierte Rollen vor, und Azure Backup verfügt über drei integrierte Rollen zur Verwaltung von Wiederherstellungspunkten. Weitere Informationen
  • Schutz mit vorläufigem Löschen, selbst wenn ein bösartiger Akteur eine Sicherheitskopie löscht (oder die Sicherungsdaten versehentlich gelöscht werden). Sicherungskopien werden 14 Tage länger aufbewahrt, damit ein jeweiliges Sicherungselement ohne Datenverluste wiederhergestellt werden kann. Weitere Informationen
  • Die regionsübergreifende Wiederherstellung (Cross-Region Restore, CRR) ermöglicht es Ihnen, virtuelle Azure-Computer in einer sekundären Region wiederherzustellen, die eine gekoppelte Azure-Region ist. Sie können die replizierten Daten in der sekundären Region jederzeit wiederherstellen. Dadurch können Sie die Daten der sekundären Region zur Überwachung der Konformität und bei Ausfallszenarien wiederherstellen, ohne darauf warten zu müssen, dass Azure den Notfall deklariert (im Gegensatz zu den GRS-Einstellungen des Tresors). Weitere Informationen

Hinweis

Es gibt zwei Arten von Tresoren in Azure Backup. Zusätzlich zu den Recovery Services-Tresoren gibt es auch Backup-Tresore, die Daten für neuere Workloads enthalten, die von Azure Backup unterstützt werden.

Was vor einem Angriff zu tun ist

Sie sollten davon ausgehen, dass Sie irgendwann einem Ransomware-Angriff zum Opfer fallen werden. Wenn Sie Ihre unternehmenskritischen Systeme identifizieren und bewährte Methoden anwenden, bevor ein Angriff ausgeführt wird, werden Sie so schnell wie möglich wieder einsatzbereit sein.

Bestimmen, was für Sie am wichtigsten ist

Ransomware kann angriffsfähig sein, während Sie für einen Angriff planen. Daher sollte Ihre erste Priorität darin bestehen, die unternehmenskritischen Systeme zu identifizieren, die für Sie am wichtigsten sind, und mit der Durchführung regelmäßiger Sicherungskopien auf diesen Systemen beginnen.

Unserer Erfahrung nach fallen die fünf wichtigsten Anwendungen für Kunden in dieser Prioritätsreihenfolge in die folgenden Kategorien:

  • Identitätssysteme: Erforderlich, damit Benutzer*innen auf beliebige Systeme (einschließlich aller weiteren unten beschriebenen Systeme) zugreifen können. Beispiele: Active Directory, Microsoft Entra Connect, AD-Domänencontroller
  • Menschliches Leben – jedes System, das menschliches Leben unterstützt oder gefährden könnte, wie z. B. medizinische oder lebenserhaltende Systeme, Sicherheitssysteme (Krankenwagen, Abfertigungssysteme, Ampelsteuerungen), große Maschinen, chemische/biologische Systeme, Produktion von Lebensmitteln oder persönlichen Produkten und andere
  • Finanzsysteme – Systeme zur Verarbeitung von Geldtransaktionen und zur Aufrechterhaltung des Geschäftsbetriebs, z. B. Zahlungssysteme und zugehörige Datenbanken, Finanzsystem für die vierteljährliche Berichterstattung
  • Produkt- oder Dienstleistungsbefähigung – alle Systeme, die für die Erbringung der Unternehmensdienstleistungen oder die Herstellung/Lieferung der physischen Produkte, für die Ihre Kunden bezahlen, erforderlich sind, Fabriksteuerungssysteme, Produktlieferungs-/Versandsysteme und Ähnliches
  • Sicherheit (Minimum) – Sie sollten auch den Sicherheitssystemen Priorität einräumen, die zur Überwachung von Angriffen und zur Bereitstellung von Mindestsicherheitsdiensten erforderlich sind. Hierbei sollte der Schwerpunkt darauf liegen, sicherzustellen, dass die aktuellen Angreifer (oder einfache opportunistische Angreifer) nicht sofort in der Lage sind, Zugang zu Ihren wiederhergestellten Systemen zu erhalten (oder wiederzuerlangen)

Ihre priorisierte Sicherungsliste wird auch zu Ihrer priorisierten Wiederherstellungsliste. Nachdem Sie Ihre kritischen Systeme identifiziert haben und regelmäßige Sicherungen durchführen, führen Sie Schritte aus, um Ihre Gefährdungsstufe zu verringern.

Schritte vor einem Angriff

Wenden Sie diese bewährten Methoden vor einem Angriff an.

Aufgabe Detail
Bestimmen Sie die wichtigen Systeme, die Sie zuerst wieder in Betrieb nehmen müssen (anhand der fünf oben genannten Kategorien), und beginnen Sie sofort mit der regelmäßigen Erstellung von Sicherungskopien dieser Systeme. Um nach einem Angriff so schnell wie möglich wieder einsatzbereit zu sein, sollten Sie heute bestimmen, was für Sie am wichtigsten ist.
Migrieren Sie Ihre Organisation zur Cloud.

Erwägen Sie den Erwerb eines Microsoft Unified Supportplans oder die Zusammenarbeit mit einem Microsoft-Partner, um Ihren Wechsel in die Cloud zu unterstützen.		 Reduzieren Sie Ihre lokale Gefährdung, indem Sie Daten mit automatischer Sicherung und Self-Service-Rollback in Clouddienste verschieben. Microsoft Azure verfügt über einen stabilen Satz von Tools, mit denen Sie Ihre unternehmenskritischen Systeme sichern und Ihre Sicherungskopien schneller wiederherstellen können.

Microsoft Unified Support ist ein Clouddienst-Supportmodell, das Sie jederzeit bei Bedarf unterstützt. Unified Support:

Stellt ein ausgewiesenes Team bereit, das rund um die Uhr verfügbar ist und bei Bedarf Probleme löst und kritische Vorfälle eskaliert.

Hilft Ihnen bei der Überwachung des Zustands Ihrer IT-Umgebung und arbeitet proaktiv, um sicherzustellen, dass Probleme verhindert werden, bevor sie auftreten
Verschieben Sie Benutzerdaten in Cloud-Lösungen wie OneDrive und SharePoint, um die Vorteile der Versionierung und der Papierkorbfunktionen zu nutzen.

Schulung von Benutzern zur selbstständigen Wiederherstellung ihrer Dateien, um Verzögerungen und Wiederherstellungskosten zu reduzieren. Wenn z. B. die OneDrive Dateien eines Benutzers von Schadsoftware infiziert wurden, kann der gesamte OneDrive auf einen früheren Zeitpunkt wiederhergestellt werden.

Ziehen Sie eine Verteidigungsstrategie in Betracht, wie z. B. Microsoft Defender XDR, bevor Sie den Benutzer*innen erlauben, ihre eigenen Dateien wiederherzustellen.		 Benutzerdaten in der Microsoft Cloud können mit integrierten Features für die Sicherheit und Datenverwaltung geschützt werden.

Es ist gut, den Benutzern beizubringen, wie sie ihre eigenen Dateien wiederherstellen können, aber Sie müssen darauf achten, dass Ihre Benutzer nicht die Schadsoftware wiederherstellen, die für den Angriff verwendet wurde. Das müssen Sie tun:

Sicherstellen, dass Ihre Benutzenden ihre Dateien nicht wiederherstellen, bis Sie sicher sind, dass der Angreifer ausgeschaltet wurde

Eine Behebung für den Fall einrichten, dass ein*e Benutzer*in einen Teil der Malware wiederherstellt

Microsoft Defender XDR nutzt KI-gestützte automatische Aktionen und Playbooks, um betroffene Ressourcen wieder in einen sicheren Zustand zu versetzen. Microsoft Defender XDR nutzt die automatischen Abhilfemöglichkeiten der Suite-Produkte, um sicherzustellen, dass alle mit einem Vorfall in Verbindung stehenden betroffenen Ressourcen automatisch beseitigt werden, sofern dies möglich ist.
Implementieren Sie die Microsoft Cloud Security Benchmark. Die Microsoft Cloud Security Benchmark ist unser Framework für Sicherheitskontrollen in Azure, das auf branchenüblichen Frameworks für Sicherheitskontrollen wie NIST SP800-53 und CIS Controls v7.1 basiert. Sie bietet Organisationen Anleitungen zum Konfigurieren von Azure- und Azure-Diensten und zum Implementieren der Sicherheitskontrollen. Siehe Sicherung und Wiederherstellung.
Regelmäßiges Durchführen von Übungen für Ihren Plan für Geschäftskontinuität/Notfallwiederherstellung (BC/DR)

Simulieren Sie Szenarios zur Reaktion auf Vorfälle. Übungen, die Sie zur Vorbereitung auf einen Angriff durchführen, sollten geplant und rund um Ihre priorisierten Sicherungs- und Wiederherstellungslisten durchgeführt werden.

Testen Sie regelmäßig das Szenario " Wiederherstellen von Null", um sicherzustellen, dass Ihr BC/DR-System kritische Geschäftsabläufe schnell wieder in Betrieb nehmen kann, wenn alle Systeme ausgefallen sind.		 Stellt eine schnelle Wiederherstellung des Geschäftsbetriebs sicher, indem ein Ransomware- oder Erpressungsangriff mit der gleichen Wichtigkeit wie eine Naturkatastrophe behandelt wird.

Durchführung von praktischen Übungen zur Validierung teamübergreifender Prozesse und technischer Verfahren, einschließlich der Kommunikation mit Mitarbeitern und Kunden außerhalb des Netzes (unter der Annahme, dass keine E-Mails und Chats verfügbar sind).
Ziehen Sie die Erstellung eines Risikoregisters in Erwägung, um potenzielle Risiken zu ermitteln und zu klären, wie Sie durch vorbeugende Kontrollen und Maßnahmen Abhilfe schaffen wollen. Fügen Sie Ransomware zum Risikoregister hinzu als ein Szenario mit hoher Wahrscheinlichkeit und hoher Auswirkung. Ein Risikoregister kann Ihnen dabei helfen, Risiken auf der Grundlage der Wahrscheinlichkeit ihres Eintretens und der Schwere der Auswirkungen auf Ihr Unternehmen im Falle ihres Vorkommens zu priorisieren.

Verfolgen Sie den Status der Risikominderung über den Auswertungszyklus des Enterprise Risikomanagement (ERM).
Sichern Sie alle kritischen Geschäftssysteme automatisch in regelmäßigen Abständen (einschließlich der Sicherung kritischer Abhängigkeiten wie Active Directory).

Vergewissern Sie sich, dass Ihre Sicherung gut ist, wenn Die Sicherung erstellt wird.		 Ermöglicht Ihnen die Wiederherstellung der Daten bis zur letzten Sicherung.
Schützen (oder drucken) Sie unterstützende Dokumente und Systeme, die für die Wiederherstellung erforderlich sind, wie z. B. Dokumente zum Wiederherstellungsverfahren, CMDB, Netzwerkdiagramme und SolarWinds-Instanzen. Diese Ressourcen werden von Angreifern gezielt ins Visier genommen, weil für Sie bei einer Kompromittierung die Wiederherstellung erschwert wird.
Stellen Sie sicher, dass Sie über gut dokumentierte Prozeduren verfügen, mit deren Hilfe Sie Unterstützung von Drittanbietern erhalten, insbesondere Unterstützung von Threat Intelligence-Anbietern, Antischadsoftware-Lösungsanbietern und vom Anbieter für die Schadsoftwareanalyse. Schützen (oder drucken) Sie diese Prozeduren. Drittanbieterkontakte können nützlich sein, wenn die jeweilige Ransomware-Variante bekannte Schwachstellen aufweist oder Entschlüsselungstools verfügbar sind.
Sicherstellen, dass die Sicherungs- und Wiederherstellungsstrategie Folgendes umfasst:

Die Möglichkeit, Daten zu einem bestimmten Zeitpunkt zu sichern.

Mehrere Kopien der Sicherungen werden an isolierten, offline (air-gapped) Standorten gespeichert.

Zielvorgaben für die Wiederherstellungszeit, die festlegen, wie schnell die gesicherten Daten abgerufen und in die Produktionsumgebung eingespielt werden können.

Schnelle Wiederherstellung von Sicherungskopien in einer Produktionsumgebung/Sandbox.		 Sicherungen sind für die Widerstandsfähigkeit nach einem Einbruch in ein Unternehmen unerlässlich. Wenden Sie die 3-2-1-Regel für maximalen Schutz und maximale Verfügbarkeit an: 3 Kopien (Original + 2 Backups), 2 Speichertypen und 1 Offsite- oder Kaltkopie.
Schutz der Sicherungen vor absichtlichem Löschen und Verschlüsselung:

Speichern Sie Sicherungskopien offline oder außerhalb des Standorts und/oder in unveränderlichen Speichern.

Verlangen Sie Außerbandschritte (z. B. MFA oder eine Sicherheits-PIN), bevor Sie erlauben, dass eine Online-Sicherungskopie geändert oder gelöscht wird.

Erstellen Sie private Endpunkte innerhalb Ihres virtuellen Azure-Netzwerks, um Daten aus Ihrem Recovery Services-Datenspeicher geschützt zu sichern und wiederherzustellen.		 Sicherungen, auf die von Angreifern zugegriffen werden kann, können für die Wiederherstellung des Geschäftsbetriebs als unbrauchbar gekennzeichnet werden.

Die Offline-Speicherung gewährleistet eine robuste Übertragung von Sicherungsdaten, ohne die Netzwerkbandbreite zu beanspruchen. Azure Backup unterstützt die Offline-Sicherung, bei der die anfänglichen Sicherungsdaten offline und ohne Nutzung der Netzwerkbandbreite übertragen werden. Es stellt einen Mechanismus zum Kopieren von Sicherungsdaten auf physische Speichergeräte bereit. Die Geräte werden dann zu einem nahegelegenen Azure-Rechenzentrum transportiert und in einen Recovery Services-Tresor hochgeladen.

Mit unveränderlichem Online-Speicher (wie Azure Blob) können Sie geschäftskritische Datenobjekte in einem WORM-Zustand (Write Once, Read Many) speichern. In diesem Zustand sind die Daten für einen vom Benutzer angegebenen Zeitraum nicht löschbar und nicht änderbar.

Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) sollte für alle Administratorkonten obligatorisch sein und wird für alle Nutzer dringend empfohlen. Die bevorzugte Methode ist die Verwendung einer Authentifizierungs-App anstelle von SMS oder Sprache, wenn möglich. Wenn Sie Azure Backup einrichten, können Sie Ihre Wiederherstellungsdienste so konfigurieren, dass MFA mit einer im Azure-Portal generierten Sicherheits-PIN aktiviert wird. Dadurch wird sichergestellt, dass eine Sicherheits-PIN generiert wird, um kritische Vorgänge wie das Aktualisieren oder Entfernen eines Wiederherstellungspunkts durchzuführen.
Benennen Sie geschützte Ordner. Mit dieser Maßnahme wird es für nicht autorisierte Anwendungen erschwert, die Daten in diesen Ordnern zu ändern.
Überprüfen Ihrer Berechtigungen:

Entdecken Sie umfassende Schreib-/Löschberechtigungen für Dateifreigaben, SharePoint und andere Lösungen. Mit „allgemein“ ist hier gemeint, dass viele Benutzer über Schreib-/Löschberechtigungen für unternehmenskritische Daten verfügen.

Reduzieren Sie die Zahl der Berechtigungen bei gleichzeitiger Erfüllung der Anforderungen an die geschäftliche Zusammenarbeit.

Überprüfen und überwachen Sie, um sicherzustellen, dass weit verbreitete Berechtigungen nicht wieder auftauchen.		 Verringert das Risiko durch umfassende Ransomware-Aktivitäten zur Gewährung von Zugriff.
Schutz vor einem Phishing-Versuch:

Führen Sie regelmäßig Schulungen zum Sicherheitsbewusstsein durch, damit die Benutzer einen Phishing-Versuch erkennen und nicht auf etwas klicken, das einen ersten Einstiegspunkt für eine Kompromittierung darstellen kann.

Wenden Sie Sicherheitsfilterkontrollen auf E-Mails an, um die Wahrscheinlichkeit eines erfolgreichen Phishing-Versuchs zu erkennen und zu minimieren.		 Die häufigste Methode von Angreifern, ein Unternehmen zu infiltrieren, sind Phishing-Versuche per E-Mail. Exchange Online Protection (EOP) ist der cloudbasierte Filterdienst, der Ihr Unternehmen vor Spam, Schadsoftware und anderen E-Mail-Bedrohungen schützt. EOP ist in allen Microsoft 365-Organisationen mit Exchange Online-Postfächern enthalten.

Ein Beispiel für eine Sicherheitsfilterkontrolle für E-Mails ist Safe Links. Safe Links ist eine Funktion in Defender für Office 365, die das Scannen und Umschreiben von URLs und Links in E-Mail-Nachrichten im eingehenden Mailflow sowie die Überprüfung von URLs und Links in E-Mail-Nachrichten und an anderen Orten (Microsoft Teams und Office-Dokumente) zum Zeitpunkt des Klicks ermöglicht. Die Überprüfung von Safe Links erfolgt zusätzlich zum regulären Spam- und Schadsoftwareschutz in eingehenden E-Mail-Nachrichten in EOP. Die Überprüfung sicherer Links kann Ihr Unternehmen vor bösartigen Links schützen, die für Phishing- und andere Angriffe verwendet werden.

Erfahren Sie mehr über den Anti-Phishing-Schutz.

Was bei einem Angriff tun ist

Wenn Sie angegriffen werden, wird Ihre priorisierte Sicherungs-Liste zu Ihrer priorisierten Wiederherstellungsliste. Vergewissern Sie sich vor der Wiederherstellung noch einmal, dass Ihre Sicherung in Ordnung ist. Möglicherweise können Sie in der Sicherung nach Schadsoftware suchen.

Schritte, die während eines Angriffs zu tun sind

Wenden Sie diese bewährten Methoden während einem Angriff an.

Aufgabe Detail
Holen Sie sich bereits in der Anfangsphase des Angriffs Unterstützung von Dritten, insbesondere von Threat-Intelligence-Anbietern, Anbietern von Antischadsoftware Lösungen und von Anbietern von Schadsoftware Analysen. Diese Kontakte können nützlich sein, wenn die jeweilige Ransomware-Variante eine bekannte Schwachstelle aufweist oder Entschlüsselungstools verfügbar sind.

Das Microsoft Detection and Response Team (DART) kann Sie vor Angriffen schützen. Das DART arbeitet mit Kunden auf der ganzen Welt zusammen und hilft ihnen, sich vor Angriffen zu schützen und diese abzuwehren, bevor sie auftreten, und untersucht und behebt sie, wenn ein Angriff erfolgt ist.

Microsoft bietet auch Rapid Ransomware Recovery Services an. Die Dienste werden ausschließlich von der Microsoft Global Compromise Recovery Security Practice (CRSP) erbracht. Der Schwerpunkt dieses Teams liegt bei einem Ransomware-Angriff auf der Wiederherstellung des Authentifizierungsdienstes und der Begrenzung der Auswirkungen der Ransomware.

DART und CRSP sind Teil der Sicherheitsdienstlinie Industry Solutions Delivery von Microsoft.
Wenden Sie sich an Ihre örtlichen oder bundesstaatlichen Strafverfolgungsbehörden. Wenn Sie sich in den USA befinden, wenden Sie sich an das FBI, um eine Ransomware-Verletzung mithilfe des IC3 Complaint Referral Form zu melden.
Ergreifen Sie Maßnahmen, um Schadsoftware oder Ransomware aus Ihrer Umgebung zu entfernen und die Verbreitung zu stoppen.

Führen Sie auf allen verdächtigen Computern und Geräten einen vollständigen, aktuellen Antiviren-Scan durch, um die mit der Ransomware verbundene Nutzlast zu erkennen und zu entfernen.

Scannen Sie Geräte, die Daten synchronisieren, oder die Ziele von zugeordneten Netzlaufwerken.		 Sie können Windows Defender oder (für ältere Clients) Microsoft Security Essentials verwenden.

Eine Alternative, die Ihnen ebenfalls hilft, Ransomware oder Malware zu entfernen, ist das Tool zum Entfernen bösartiger Software (MSRT).
Stellen Sie zuerst unternehmenskritische Systeme wieder her. Vergewissern Sie sich vor der Wiederherstellung noch einmal, dass Ihre Sicherung in Ordnung ist. An diesem Punkt müssen Sie nicht alles wiederherstellen. Konzentrieren Sie sich auf die fünf wichtigsten unternehmenskritischen Systeme aus Ihrer Wiederherstellungsliste.
Wenn Sie über Offlinesicherungen verfügen,können Sie die verschlüsselten Daten wahrscheinlich wiederherstellen, nachdem Sie die Ransomware-Nutzlast (Schadsoftware) aus Ihrer Umgebung entfernt haben. Stellen Sie vor der Wiederherstellung sicher, dass sich keine Ransomware oder Schadsoftware in Ihrer Offlinesicherung befindet, um zukünftige Angriffe zu verhindern.
Identifizieren Sie ein sicheres Point-in-Time-Sicherungsimage, von dem bekannt ist, dass es nicht infiziert ist.

Wenn Sie den Recovery Services-Tresor verwenden, überprüfen Sie sorgfältig die Vorfallszeitachse, um den richtigen Zeitpunkt für die Wiederherstellung einer Sicherung zu verstehen.		 Um zukünftige Angriffe zu verhindern, überprüfen Sie die Sicherung vor der Wiederherstellung auf Ransomware oder Schadsoftware.
Verwenden Sie eine Sicherheitsüberprüfungsanwendung und andere Tools für die vollständige Wiederherstellung des Betriebssystems sowie für Datenwiederherstellungsszenarien. Microsoft Safety Scanner ist ein Überprüfungstool zum Suchen und Entfernen von Schadsoftware von Windows Computern. Laden Sie es einfach herunter, und lassen Sie eine Überprüfung laufen, um Schadsoftware zu finden, und versuchen Sie, Änderungen rückgängig zu machen, die durch identifizierte Bedrohungen vorgenommen wurden.
Stellen Sie sicher, dass Ihre Antiviren- EDR(EDR)-Lösung auf dem neuesten Stand ist. Außerdem benötigen Sie aktuelle Patches. Eine EDR-Lösung, wie z. B.Microsoft Defender für Endpunkt, wird bevorzugt.
Sobald die geschäftskritischen Systeme wieder in Betrieb sind, stellen Sie andere Systeme wieder her.

Beginnen Sie mit der Wiederherstellung der Systeme und sammeln Sie Telemetriedaten, damit Sie fundierte Entscheidungen über die wiederhergestellten Systeme treffen können.		 Anhand der Telemetriedaten sollten Sie feststellen können, ob sich noch Malware auf Ihren Systemen befindet.

Nach dem Angriff oder der Simulation

Führen Sie nach einem Ransomware-Angriff oder einer Simulation eines Zwischenfalls die folgenden Schritte durch, um Ihre Sicherungs- und Wiederherstellungspläne sowie Ihre Sicherheitslage zu verbessern:

  1. Identifizieren Sie die Lektionen, die Sie gelernt haben, wenn der Prozess nicht gut funktioniert hat (und Möglichkeiten zur Vereinfachung, Beschleunigung oder anderweitigen Verbesserung des Prozesses)
  2. Führen Sie eine Ursachenanalyse für die größten Herausforderungen durch (ausreichend detailliert, um sicherzustellen, dass die Lösungen das richtige Problem angehen – unter Berücksichtigung von Menschen, Prozessen und Technologie)
  3. Untersuchen und beheben Sie den ursprünglichen Angriff (beauftragen Sie das Microsoft Detection and Response Team (DART) zur Hilfe)
  4. Aktualisieren Sie Ihre Sicherungs- und Wiederherstellungsstrategie basierend auf den gewonnenen Erkenntnissen und Möglichkeiten – priorisieren Sie dabei zuerst basierend auf den höchsten Auswirkungen und den schnellsten Implementierungsschritten

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Ihren Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware verbessern. Bewährte Methoden für die Bereitstellung von Ransomware-Schutz finden Sie unter Schnelles Schützen vor Ransomware und Erpressung.

Wichtige Brancheninformationen:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR:

Blogbeiträge des Microsoft-Sicherheitsteams: