Schnelle Bereitstellung von Ransomware-Präventionen

Hinweis

Dieser Leitfaden wird jeweils aktualisiert, sobald neue Informationen verfügbar sind.

Die Bereitstellung von Ransomware-Schutz und die Abschwächung von Erpressungsangriffen ist eine Priorität für große und kleine Organisationen aufgrund der hohen Auswirkungen dieser Angriffe und der steigenden Wahrscheinlichkeit, dass eine Organisation einen solchen erleben wird.

Hinweis

Wenn Sie eine Ransomware-Definition benötigen, lesen Sie die Übersicht hier.

Einrichten des Ransomware-Schutzes

Konkrete Anweisungen, wie Sie Ihre Organisation am besten von vielen Formen von Ransomware und Erpressung vorbereiten können.

Diese Anleitung ist in priorisierten Phasen organisiert. Jede Phase ist mit einem separaten Artikel verknüpft. Die Prioritätsreihenfolge soll sicherstellen, dass Sie das Risiko in jeder Phase so schnell wie möglich reduzieren, wobei eine Annahme von großer Dringlichkeit zugrunde gelegt wird, die die normalen Sicherheits- und IT-Prioritäten außer Kraft setzt, um diese verheerenden Angriffe zu vermeiden oder zu mindern.

Drei Phasen als Schutz vor Ransomware

Wichtiger Hinweis: Dieser Leitfaden ist in Phasen mit unterschiedlicher Priorität unterteilt, die Sie in der vorgegebenen Reihenfolge durcharbeiten sollten. Gehen Sie wie folgt vor, um diesen Leitfaden am besten an Ihre Situation anzupassen:

  1. Einhalten der empfohlenen Prioritäten

    Verwenden Sie die Phasen als ersten Plan für die Aufgaben, die zuerst, dann als Nächstes und zu späteren Zeitpunkten durchgeführt werden müssen, damit die Schritte mit den größten Auswirkungen zuerst abgearbeitet werden können. Diese Empfehlungen wurden mit dem Zero Trust Prinzip der Annahme einer Verletzung priorisiert. Dies zwingt Sie, sich auf die Minimierung des Geschäftsrisikos zu konzentrieren, indem Sie davon ausgehen, dass die Angreifer mit einer oder mehreren Methoden erfolgreich Zugriff auf Ihre Umgebung erhalten können.

  2. Proaktiv und flexibel sein (aber wichtige Aufgaben nicht überspringen)

    Überprüfen Sie die Implementierungschecklisten für alle Abschnitte aller drei Phasen, um festzustellen, ob Es Bereiche und Aufgaben gibt, die Sie schnell erledigen können (z. B. haben Sie bereits Zugriff auf einen Clouddienst, der nicht verwendet wurde, aber schnell und einfach konfiguriert werden könnte). Achten Sie beim Durchgehen des gesamten Plans genau darauf, dass durch diese späteren Bereiche und Aufgaben die Durchführung von kritischen Maßnahmen, z. B. Sicherungen und privilegierter Zugriff, nicht verzögert wird!

  3. Paralleles Ausführen von Schritten

    Es kann überwältigend erscheinen, wenn alles auf einmal durchgeführt werden soll, aber die parallele Ausführung einiger Schritte bietet sich immer an. Mitarbeiter in verschiedenen Teams können gleichzeitig an Aufgaben arbeiten (z. B. Sicherungsteam, Endpunktteam, Identitätsteam), während gleichzeitig die Phasen in prioritärer Reihenfolge abgeschlossen werden.

Die Punkte in den Implementierungsprüflisten sind in der empfohlenen Priorisierungsreihenfolge aufgeführt, nicht in der Reihenfolge der technischen Abhängigkeiten. Nutzen Sie die Prüflisten, um Ihre vorhandene Konfiguration je nach Bedarf zu bestätigen und zu ändern, und setzen Sie sie so ein, wie dies für Ihre Organisation am besten geeignet ist. Beispielsweise kann es sein, dass Sie unter dem wichtigsten Sicherungselement einige Systeme sichern, die aber nicht offline oder unveränderlich sind. Es kann auch sein, dass Sie nicht alle Wiederherstellungsverfahren des Unternehmens testen, oder Sie verfügen ggf. nicht über Sicherungen kritischer Geschäftssysteme oder IT-Systeme, z. B. AD DS-Domänencontroller (Active Directory Domain Services).

Hinweis

Eine zusätzliche Zusammenfassung dieses Prozesses finden Sie im Beitrag 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021) des Blogs zur Microsoft-Sicherheit.

Phase 1. Vorbereiten des Wiederherstellungsplans

In dieser Phase soll der monetäre Anreiz für Ransomware-Angreifer minimiert werden, indem Folgendes durchgeführt wird:

  • Deutliches Erschweren des Zugriffs auf und der Störung von Systemen oder der Verschlüsselung/Beschädigung von wichtigen Daten der Organisation
  • Vereinfachen des Verfahrens für Ihre Organisation, mit dem nach einem Angriff die Wiederherstellung durchgeführt werden kann, ohne das Lösegeld zu zahlen

Hinweis

Obwohl die Wiederherstellung vieler oder aller Unternehmenssysteme ein schwieriges Unterfangen ist, ist die Alternative, einen Angreifer für einen Wiederherstellungsschlüssel zu bezahlen, den er möglicherweise liefert oder nicht, und die Verwendung von Tools, die von den Angreifern geschrieben wurden, um Systeme und Daten wiederherzustellen.

Phase 2. Begrenzen des Schadensumfangs

Erzielen Sie eine deutliche Erhöhung des Aufwands, der von Angreifern betrieben werden muss, um Zugriff auf mehrere unternehmenskritische Systeme über Rollen mit privilegiertem Zugriff zu erhalten. Indem Sie es für Angreifer erschweren, privilegierten Zugriff zu erhalten, können diese weniger leicht von einem Angriff auf Ihre Organisation profitieren. Dies erhöht die Wahrscheinlichkeit, dass sie aufgeben und sich andere Ziele suchen.

Phase 3 Erschweren des Zugangs

Diese letzte Gruppe von Aufgaben ist wichtig, um Eindringversuche zu erschweren. Die Durchführung dauert aber einige Zeit und ist Teil des weiteren Ausbaus der Sicherheitsmaßnahmen. Das Ziel dieser Phase besteht darin, die Arbeit der Angreifer erheblich zu erschweren, da sie versuchen, an den verschiedenen gemeinsamen Einstiegspunkten Zugriff auf Ihre lokalen oder Cloudinfrastrukturen zu erhalten . Hierfür müssen viele Aufgaben erledigt werden. Daher ist es wichtig, Ihre Arbeit an dieser Stelle basierend darauf zu priorisieren, wie schnell Sie diese Aufgaben mit Ihren derzeitigen Ressourcen abarbeiten können.

Viele davon sind zwar vertraut und leicht zu erledigen, aber es ist von entscheidender Bedeutung, dass Ihre Arbeit an Phase 3 Ihren Fortschritt in den Phasen 1 und 2 nicht verlangsamen sollte!

Ransomware-Schutz auf einen Blick

Eine Übersicht über die Phasen und ihre Implementierungsprüflisten als Schutzstufen gegen Ransomwareangreifer finden Sie auch auf dem Poster Schützen Ihrer Organisation vor Ransomware.

Poster „Schützen Ihrer Organisation vor Ransomware“

Nächster Schritt

Phase 1. Vorbereiten des Wiederherstellungsplans

Beginnen Sie mit Phase 1, um Ihre Organisation auf die Wiederherstellung nach einem Angriff vorzubereiten, ohne das Lösegeld bezahlen zu müssen.

Zusätzliche Ressourcen zu Ransomware

Wichtige Informationen von Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Blogbeiträge des Microsoft-Sicherheitsteams: