Bereitstellen von Ransomware-Schutz für Ihren Microsoft 365-Mandanten

Ransomware ist eine Art von Erpressungsangriff, der Dateien und Ordner zerstört oder verschlüsselt, wodurch der Zugriff auf wichtige Daten verhindert wird. Standard-Ransomware verbreitet sich in der Regel wie ein Virus, der Geräte infiziert und nur die Behebung von Schadsoftware erfordert. Von Menschen betriebene Ransomware ist das Ergebnis eines aktiven Angriffs durch Cyberkriminelle, die die lokale oder Cloud-IT-Infrastruktur einer Organisation infiltrieren, ihre Berechtigungen erhöhen und Ransomware für kritische Daten bereitstellen.

Sobald der Angriff abgeschlossen ist, fordert ein Angreifer Geld von den Opfern im Austausch für die gelöschten Dateien, Entschlüsselungsschlüssel für verschlüsselte Dateien oder die Zusage, vertrauliche Daten nicht im Dark Web oder im öffentlichen Internet freizugeben. Von Menschen betriebene Ransomware kann auch verwendet werden, um kritische Computer oder Prozesse herunterzufahren, z. B. solche, die für die Industrieproduktion erforderlich sind, wodurch der normale Geschäftsbetrieb angehalten wird, bis das Lösegeld gezahlt und der Schaden behoben wird, oder die Organisation selbst den Schaden behebt.

Ein von Menschen betriebener Ransomware-Angriff kann für Unternehmen jeder Größe schwerwiegend sein und ist schwierig zu bereinigen, sodass eine vollständige Entfernung von Angreifern erforderlich ist, um sich vor zukünftigen Angriffen zu schützen. Im Gegensatz zu Herkömmlicher Ransomware kann die von Menschen betriebene Ransomware auch nach der anfänglichen Lösegeldforderung weiterhin Geschäftsvorgänge gefährden.

Hinweis

Bei einem Ransomware-Angriff auf einen Microsoft 365 Mandanten wird davon ausgegangen, dass der Angreifer über gültige Anmeldeinformationen für ein Benutzerkonto für einen Mandanten verfügt und Zugriff auf alle Dateien und Ressourcen hat, die für das Benutzerkonto zulässig sind. Ein Angreifer ohne gültige Benutzerkontoanmeldeinformationen müsste die ruhenden Daten entschlüsseln, die mit Microsoft 365 Standardverschlüsselung und erweiterter Verschlüsselung verschlüsselt wurden. Weitere Informationen finden Sie unter Verschlüsselung und Schlüsselverwaltung (Übersicht).

Weitere Informationen zum Ransomware-Schutz für Microsoft-Produkte finden Sie in diesen zusätzlichen Ransomware-Ressourcen.

Sicherheit in der Cloud ist eine Partnerschaft

Die Sicherheit Ihrer Microsoft-Clouddienste ist eine Partnerschaft zwischen Ihnen und Microsoft:

  • Die Microsoft-Clouddienste wurden auf der Basis von Vertrauen und Sicherheit entwickelt. Microsoft stellt Ihnen Sicherheitssteuerelemente und -funktionen bereit, die Ihnen helfen, Ihre Daten und Anwendungen zu schützen.
  • Sie sind der Besitzer der Daten und Identitäten und damit für deren Schutz, für die Sicherheit Ihrer lokalen Ressourcen und die Sicherheit der Cloudkomponenten verantwortlich, die sich unter Ihrer Kontrolle befinden.

Durch die Kombination dieser Funktionen und Zuständigkeiten können wir den besten Schutz vor Ransomware-Angriffen bieten.

Mit Microsoft 365 bereitgestellte Ransomware-Entschärfungs- und Wiederherstellungsfunktionen

Ein Ransomware-Angreifer, der einen Microsoft 365 Mandanten infiltriert hat, kann Ihre Organisation auf folgende Arten erpressen:

  • Löschen von Dateien oder E-Mails
  • Verschlüsseln von vorhandenen Dateien
  • Kopieren von Dateien außerhalb Ihres Mandanten (Datenexfiltration)

Allerdings verfügen Microsoft 365-Onlinedienste über viele integrierte Funktionen und Steuerelemente, um Kundendaten vor Ransomware-Angriffen zu schützen. Die folgenden Abschnitte enthalten eine Zusammenfassung. Weitere Informationen dazu, wie Microsoft Kundendaten schützt, Malware- und Ransomware-Schutz in Microsoft 365.

Hinweis

Bei einem Ransomware-Angriff auf einen Microsoft 365 Mandanten wird davon ausgegangen, dass der Angreifer über gültige Anmeldeinformationen für ein Benutzerkonto für einen Mandanten verfügt und Zugriff auf alle Dateien und Ressourcen hat, die für das Benutzerkonto zulässig sind. Ein Angreifer ohne gültige Benutzerkontoanmeldeinformationen müsste die ruhenden Daten entschlüsseln, die mit Microsoft 365 Standardverschlüsselung und erweiterter Verschlüsselung verschlüsselt wurden. Weitere Informationen finden Sie unter Verschlüsselung und Schlüsselverwaltung (Übersicht).

Löschen von Dateien oder E-Mails

Dateien in SharePoint und OneDrive for Business werden durch Folgendes geschützt:

  • Versionsverwaltung

    Microsoft 365 behält standardmäßig mindestens 500 Versionen einer Datei bei und kann so konfiguriert werden, dass mehr Dateien beibehalten werden.

    Um den Aufwand für Ihre Sicherheits- und Helpdeskmitarbeiter zu minimieren, schulen Sie Ihre Benutzer darüber, wie sie Frühere Versionen von Dateien wiederherstellen.

  • Papierkorb

    Wenn die Ransomware eine neue verschlüsselte Kopie der Datei erstellt und die alte Datei löscht, haben Kunden 93 Tage Zeit, sie aus dem Papierkorb wiederherzustellen. Nach 93 Tagen gibt es ein 14-tägiges Fenster, in dem Microsoft die Daten weiterhin wiederherstellen kann.

    Um den Aufwand für Ihre Sicherheits- und Helpdeskmitarbeiter zu minimieren, schulen Sie Ihre Benutzer, wie Sie Dateien aus dem Papierkorb wiederherstellen.

  • Dateien wiederherstellen

    Eine vollständige Self-Service-Wiederherstellungslösung für SharePoint und OneDrive, mit der Administratoren und Endbenutzer Dateien von einem beliebigen Zeitpunkt in den letzten 30 Tagen wiederherstellen können.

    Um den Aufwand für Ihre Sicherheits- und IT-Helpdeskmitarbeiter zu minimieren, schulen Sie Ihre Benutzer hinsichtlich Dateiwiederherstellung.

Für OneDrive- und SharePoint-Dateien kann Microsoft bis zu 14 Tage lang ein Rollback auf einen früheren Zeitpunkt ausführen, wenn Sie von einem Massenangriff betroffen sind.

E-Mails sind geschützt durch:

  • Wiederherstellung einzelner Elemente und Postfachaufbewahrung, in der Sie Elemente in einem Postfach bei versehentlichem oder böswilligem vorzeitigem Löschen wiederherstellen können. Sie können für E-Mail-Nachrichten, die innerhalb von 14 Tagen gelöscht wurden, standardmäßig einen Rollback ausführen und bis zu 30 Tage konfigurieren.

  • Aufbewahrungsrichtlinien ermöglichen es Ihnen, unveränderliche Kopien von E-Mails für den konfigurierten Aufbewahrungszeitraum aufzubewahren.

Verschlüsseln von vorhandenen Dateien

Wie zuvor beschrieben, werden Dateien in SharePoint und OneDrive for Business durch Folgendes vor schädlicher Verschlüsselung geschützt:

  • Versionsverwaltung
  • Papierkorb
  • Permanentes Dokumentarchiv

Weitere Informationen finden Sie unter Umgang mit Datenbeschädigungen in Microsoft 365.

Kopieren von Dateien außerhalb Ihres Mandanten

So können Sie verhindern, dass ein Ransomware-Angreifer Dateien außerhalb Ihres Mandanten kopiert:

Inhalt dieser Lösung

Diese Lösung führt Sie schrittweise durch die Bereitstellung von Microsoft 365 Schutz- und Risikominderungsfunktionen, Konfigurationen und laufenden Vorgängen, um die Möglichkeit zu minimieren, dass ein Ransomware-Angreifer die kritischen Daten in Ihrem Microsoft 365-Mandanten dazu verwendet, Ihre Organisation zu erpressen.

Die Schritte zum Schutz vor Ransomware mit Microsoft 365

Die Schritte in dieser Lösung sind:

  1. Konfigurieren von Sicherheitsbaselines
  2. Bereitstellen der Angriffserkennung und -reaktion
  3. Schützen von Identitäten
  4. Schützen von Geräten
  5. Schützen von Informationen

Im Folgenden finden Sie die fünf Schritte der Lösung, die für Ihren Microsoft 365 Mandanten bereitgestellt wird.

Ransomware-Schutz für einen Microsoft 365 Mandanten

Diese Lösung verwendet die Prinzipien von Zero Trust:

  • Explizit überprüfen: Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten.
  • Zugriff mit den geringsten Rechten verwenden: Schränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Zugriff (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz ein.
  • Von Sicherheitsverletzung ausgehen: Minimieren Sie den Radius und den Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern.

Im Gegensatz zum herkömmlichen Intranetzugriff, bei dem alles hinter der Firewall eines Unternehmens als vertrauenswürdig gilt, behandelt Zero Trust jede Anmeldung und jeden Zugriff so, als käme er aus einem unkontrollierten Netzwerk, unabhängig davon, ob er sich hinter der Firewall des Unternehmens oder im Internet befindet. Zero Trust erfordert Schutz für das Netzwerk, die Infrastruktur, Identitäten, Endpunkte, Apps und Daten.

Microsoft 365 Funktionen und Features

Um Ihren Microsoft 365 Mandanten vor einem Ransomware-Angriff zu schützen, verwenden Sie diese Microsoft 365 Funktionen und Features für diese Schritte in der Lösung.

1. Sicherheitsbaseline

Funktion oder Feature Beschreibung Hilft... Lizenzierung
Microsoft-Sicherheitsbewertung Misst den Sicherheitsstatus eines Microsoft 365 Mandanten. Bewertet Ihre Sicherheitskonfiguration, und schlägt Verbesserungen vor. Microsoft 365 E3 oder Microsoft 365 E5
Regeln zur Verringerung der Angriffsfläche Verringert das Sicherheitsrisiko Ihrer Organisation gegenüber Cyberangriffen mithilfe einer Vielzahl von Konfigurationseinstellungen. Verdächtige Aktivitäten und anfällige Inhalte blockieren. Microsoft 365 E3 oder Microsoft 365 E5
Exchange-E-Mail-Einstellungen Aktiviert Dienste, die das Sicherheitsrisiko Ihrer Organisation auf einen E-Mail-basierten Angriff reduzieren. Verhindern Sie den anfänglichen Zugriff auf Ihren Mandanten durch Phishing und andere E-Mail-basierte Angriffe. Microsoft 365 E3 oder Microsoft 365 E5
Einstellungen für Microsoft Windows, Microsoft Edge und Microsoft 365 Apps for Enterprise Stellt Branchenstandardsicherheitskonfigurationen bereit, die allgemein bekannt und gut getestet sind. Verhindern Sie Angriffe über Windows, Edge und Microsoft 365 Apps for Enterprise. Microsoft 365 E3 oder Microsoft 365 E5

2. Erkennung und Reaktion

Funktion oder Feature Beschreibung Hilft bei der Erkennung und Reaktion auf... Lizenzierung
Microsoft 365 Defender Kombiniert Signale und orchestriert Funktionen in einer einzigen Lösung.

Ermöglicht es Sicherheitsexperten, Bedrohungssignale zusammenzufügen und den gesamten Umfang und die Auswirkungen einer Bedrohung zu bestimmen.

Automatisiert Aktionen, um den Angriff zu verhindern oder zu beenden und betroffene Postfächer, Endpunkte und Benutzeridentitäten selbst zu reparieren.
Vorfälle, bei denen es sich um die kombinierten Warnungen und Daten handelt, die einen Angriff ausmachen. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On
Microsoft Defender for Identity Identifiziert, erkennt und untersucht erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insideraktionen, die über eine cloudbasierte Sicherheitsschnittstelle an Ihre Organisation gerichtet sind, verwendet die Signale Ihres lokalen Active Directory Domain Services (AD DS). Kompromittierung von Anmeldeinformationen für AD DS-Konten. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On
Microsoft Defender für Office 365 Schützt Ihre Organisation vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit.

Schutz vor Schadsoftware, Phishing, Spoofing und anderen Angriffstypen.
Phishingangriffe. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On
Microsoft Defender für Endpunkt Ermöglicht die Erkennung und Reaktion auf erweiterte Bedrohungen über Endpunkte (Geräte) hinweg. Schadsoftwareinstallation und Gerätekompromittierung. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On
Azure Active Directory (Azure AD) – Identitätsschutz Automatisiert die Erkennung und Behebung identitätsbasierter Risiken und die Untersuchung dieser Risiken. Kompromittierung von Anmeldeinformationen für Azure AD-Konten und Rechteausweitung. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On
Defender for Cloud Apps Ein Cloudzugriffssicherheitsbroker für die Ermittlung, Untersuchung und Governance auf allen Ihren Clouddiensten von Microsoft und Drittanbietern. Lateral Movement und Datenexfiltration. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On

3. Identitäten

Funktion oder Feature Beschreibung Hilft zu verhindern... Lizenzierung
Azure AD-Kennwortschutz Kennwörter aus einer allgemeinen Liste und benutzerdefinierten Einträgen blockieren. Kennwortermittlung für cloudbasierte oder lokale Benutzerkonten. Microsoft 365 E3 oder Microsoft 365 E5
Mehrstufige Authentifizierung (MFA, Multi-Factor Authentication) mit bedingtem Zugriff erzwingen Fordern Sie die mehrstufige Authentifizierung (MFA, Multi-Factor Authentication) basierend auf den Eigenschaften von Benutzeranmeldungen mit Richtlinien für bedingten Zugriff an. Kompromittierung von Anmeldeinformationen und Zugriff. Microsoft 365 E3 oder Microsoft 365 E5
Mehrstufige Authentifizierung (MFA, Multi-Factor Authentication) mit risikoabhängig bedingtem Zugriff erzwingen Mehrstufige Authentifizierung (MFA, Multi-Factor Authentication) basierend auf dem Risiko von Benutzeranmeldungen mit Azure AD Identity Protection anfordern. Kompromittierung von Anmeldeinformationen und Zugriff. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On

4. Geräte

Für die Geräte- und App-Verwaltung:

Funktion oder Feature Beschreibung Hilft zu verhindern... Lizenzierung
Microsoft Intune Verwalten von Geräten und Anwendungen, die auf ihnen ausgeführt werden. Geräte- oder App-Kompromittierung und Zugriff. Microsoft 365 E3 oder E5

Für Windows 11- oder 10-Geräte:

Funktion oder Feature Beschreibung Hilft... Lizenzierung
Microsoft Defender Firewall Stellt eine hostbasierte Firewall bereit. Verhindern Sie Angriffe durch eingehenden, unerwünschten Netzwerkdatenverkehr. Microsoft 365 E3 oder Microsoft 365 E5
Microsoft Defender Antivirus Bietet Schutz vor Schadsoftware für Geräte (Endpunkte) mithilfe von maschinellem Lernen, Big Data-Analysen, detaillierter Untersuchung von Bedrohungsschutz und der Microsoft-Cloudinfrastruktur. Verhindern sie die Installation und Ausführung von Schadsoftware. Microsoft 365 E3 oder Microsoft 365 E5
Microsoft Defender SmartScreen Schützt vor Phishing- oder Schadsoftwarewebsites und -anwendungen sowie vor dem Herunterladen potenziell schädlicher Dateien. Blockieren oder Warnen beim Überprüfen von Websites, Downloads, Apps und Dateien. Microsoft 365 E3 oder Microsoft 365 E5
Microsoft Defender für Endpunkt Hilft dabei, erweiterte Bedrohungen geräteübergreifend (Endpunkte) zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Schutz vor Netzwerkmanipulation. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On

5. Informationen

Funktion oder Feature Beschreibung Hilft... Lizenzierung
Kontrollierter Ordnerzugriff Schützt Ihre Daten, indem Apps anhand einer Liste bekannter, vertrauenswürdiger Apps überprüft werden. Verhindern, dass Dateien durch Ransomware geändert oder verschlüsselt werden. Microsoft 365 E3 oder Microsoft 365 E5
Microsoft Purview Information Protection Ermöglicht die Anwendung von Vertraulichkeitsbezeichnungen auf Informationen, die für eine Lösegeldforderung verwendet werden könnten. Verwendung von exfiltrierten Informationen verhindern. Microsoft 365 E3 oder Microsoft 365 E5
Verhinderung von Datenverlusten (Data Loss Prevention, DLP) Schützt vertrauliche Daten und verringert Risiken, indem verhindert wird, dass Benutzer sie unangemessen freigeben. Verhindern Sie die Datenexfiltration. Microsoft 365 E3 oder Microsoft 365 E5
Defender for Cloud Apps Ein Cloudzugriffssicherheitsbroker für die Ermittlung, Untersuchung und Governance. Lateral Movement erkennen und Datenexfiltration verhindern. Microsoft 365 E5 oder Microsoft 365 E3 mit dem Microsoft 365 E5 Security Add-On

Auswirkungen auf Benutzer und Änderungsverwaltung

Die Bereitstellung zusätzlicher Sicherheitsfeatures und die Implementierung von Anforderungen und Sicherheitsrichtlinien für Ihren Microsoft 365 Mandanten können sich auf Ihre Benutzer auswirken.

Beispielsweise können Sie eine neue Sicherheitsrichtlinie erstellen, die erfordert, dass Benutzer neue Teams für bestimmte Verwendungen mit einer Liste von Benutzerkonten als Mitglieder erstellen, anstatt einfacher ein Team für alle Benutzer in der Organisation zu erstellen. Dies kann verhindern, dass ein Ransomware-Angreifer Teams untersucht, die für das kompromittierte Benutzerkonto des Angreifers nicht verfügbar sind, und die Ressourcen dieses Teams im nachfolgenden Angriff als Ziel verwendet.

Diese Grundlegende Lösung identifiziert, wann sich neue Konfigurationen oder empfohlene Sicherheitsrichtlinien auf Ihre Benutzer auswirken können, sodass Sie die erforderliche Änderungsverwaltung durchführen können.

Nächste Schritte

Führen Sie die folgenden Schritte aus, um einen umfassenden Schutz für Ihren Microsoft 365 Mandanten bereitzustellen:

  1. Konfigurieren von Sicherheitsbaselines
  2. Bereitstellen der Angriffserkennung und -reaktion
  3. Schützen von Identitäten
  4. Schützen von Geräten
  5. Schützen von Informationen

Schritt 1 für Ransomware-Schutz mit Microsoft 365

Zusätzliche Ransomware-Ressourcen

Wichtige Informationen von Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Blogbeiträge des Microsoft Security-Teams: