Schützen Sie Ihre Organisation schnell vor Ransomware-Angriffen

Ransomware ist ein Cyberangriffstyp, den Cyberkriminelle verwenden, um große und kleine Organisationen zu erpressen.

Das Verständnis, wie Sie sich vor Ransomware-Angriffen schützen und den Schaden minimieren, ist ein wichtiger Bestandteil der Absicherung Ihres Unternehmens. Dieser Artikel bietet praktische Anleitungen zum schnellen Konfigurieren des Ransomware-Schutzes.

Diese Anleitung ist in Schritte unterteilt, beginnend mit den dringendsten zu ergreifenden Maßnahmen.

Setzen Sie ein Lesezeichen für diese Seite als Ausgangspunkt für die Schritte.

Wichtig

Lesen Sie die Ransomware-Präventionsserie und machen Sie Ihre Organisation schwer zugänglich für Cyberangriffe.

• Einen Wiederherstellungsplan haben
• Einen Plan zur Begrenzung des Schadens
• Den Zugang erschweren

Hinweis

Was ist Ransomware? Siehe Ransomware-Definition hier.

Wichtige Informationen zu diesem Artikel

Hinweis

Die Reihenfolge dieser Schritte ist so konzipiert, dass Sie das Risiko so schnell wie möglich reduzieren und auf der Annahme großer Dringlichkeit basieren, die normale Sicherheits- und IT-Prioritäten außer Kraft setzt, um verheerende Angriffe zu vermeiden oder zu mindern.

Es ist wichtig zu beachten, dass diese Anleitung zur Ransomware-Prävention strukturiert ist, als Schritte, die Sie in der angezeigten Reihenfolge befolgen sollten. Gehen Sie wie folgt vor, um diesen Leitfaden am besten an Ihre Situation anzupassen:

1. Einhalten der empfohlenen Prioritäten

   Verwenden Sie die Schritte als ersten Plan für die Aufgaben, die zuerst, dann als Nächstes und zu späteren Zeitpunkten durchgeführt werden müssen, damit die Schritte mit den größten Auswirkungen zuerst abgearbeitet werden können. Diese Empfehlungen werden mithilfe des Zero Trust-Prinzips, das eine Sicherheitsverletzung annimmt, priorisiert. Dies zwingt Sie dazu, sich auf die Minimierung des Geschäftsrisikos zu konzentrieren, indem Sie davon ausgehen, dass sich die Angreifer über eine oder mehrere Methoden erfolgreich Zugang zu Ihrer Umgebung verschaffen können.

2. Seien Sie proaktiv und flexibel (aber überspringen Sie keine wichtigen Aufgaben)

   Durchsuchen Sie die Implementierungschecklisten für alle Abschnitte aller drei Schritte, um festzustellen, ob Bereiche und Aufgaben vorhanden sind, die Sie schnell vorher ausführen können. Mit anderen Worten, Dinge, die Sie schnell erledigen können, weil Sie bereits Zugriff auf einen Clouddienst haben, der bisher nicht verwendet wurde, aber schnell und einfach konfiguriert werden könnte. Achten Sie beim Durchgehen des gesamten Plans genau darauf, dass durch diese späteren Bereiche und Aufgaben die Durchführung von kritischen Maßnahmen, z. B. Sicherungen und privilegierter Zugriff, nicht verzögert wird!

3. Paralleles Ausführen von Schritten

   Es kann überwältigend erscheinen, wenn alles auf einmal durchgeführt werden soll, aber die parallele Ausführung einiger Schritte bietet sich immer an. Die Mitglieder verschiedener Teams können zur gleichen Zeit an Aufgaben arbeiten (z. B. Sicherungsteam, Endpunktteam, Identitätsteam), während gleichzeitig die Schritte der Prioritätsreihenfolge abgearbeitet werden.

Die Punkte in den Implementierungsprüflisten sind in der empfohlenen Priorisierungsreihenfolge aufgeführt, nicht in der Reihenfolge der technischen Abhängigkeiten.

Nutzen Sie die Prüflisten, um Ihre vorhandene Konfiguration je nach Bedarf zu bestätigen und zu ändern, und setzen Sie sie so ein, wie dies für Ihre Organisation am besten geeignet ist. Beispielsweise kann es sein, dass Sie unter dem wichtigsten Sicherungselement einige Systeme sichern, die aber nicht offline oder unveränderlich sind. Es kann auch sein, dass Sie nicht alle Wiederherstellungsverfahren des Unternehmens testen, oder Sie verfügen ggf. nicht über Sicherungen kritischer Geschäftssysteme oder IT-Systeme, z. B. AD DS-Domänencontroller (Active Directory Domain Services).

Hinweis

Eine zusätzliche Zusammenfassung dieses Prozesses finden Sie im Beitrag 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021) des Blogs zur Microsoft-Sicherheit.

Richten Sie Ihr System ein, um Ransomware sofort zu verhindern

Führen Sie die folgenden Schritte durch:

Schritt 1. Vorbereiten Ihres Ransomware-Wiederherstellungsplans

In diesem Schritt soll der monetäre Anreiz für Ransomware-Angreifer minimiert werden, indem Folgendes durchgeführt wird:

• Deutliches Erschweren des Zugriffs auf und der Störung von Systemen oder der Verschlüsselung/Beschädigung von wichtigen Daten der Organisation
• Vereinfachen des Verfahrens für Ihre Organisation, mit dem nach einem Angriff die Wiederherstellung durchgeführt werden kann, ohne das Lösegeld zu zahlen

Hinweis

Die Wiederherstellung von vielen oder allen Unternehmenssystemen ist keine leichte Aufgabe. Aber die Alternative, bei der Angreifer Geld für einen Wiederherstellungsschlüssel erhalten, der möglicherweise nicht ausgeliefert wird, und die von den Angreifern genutzten Tools für die Wiederherstellung der Systeme und Daten nutzen zu müssen, ist die deutlich schlechtere Option.

Schritt 2. Einschränken des Umfangs von Ransomware-Schäden

Erzielen Sie eine deutliche Erhöhung des Aufwands, der von Angreifern betrieben werden muss, um Zugriff auf mehrere unternehmenskritische Systeme über Rollen mit privilegiertem Zugriff zu erhalten. Indem Sie es für Angreifer erschweren, privilegierten Zugriff zu erhalten, können diese weniger leicht von einem Angriff auf Ihre Organisation profitieren. Dies erhöht die Wahrscheinlichkeit, dass sie aufgeben und sich andere Ziele suchen.

Schritt 3. Machen Sie es Cyberkriminellen schwer, reinzukommen

Diese letzte Gruppe von Aufgaben ist wichtig, um Eindringversuche zu erschweren. Die Durchführung dauert aber einige Zeit und ist Teil des weiteren Ausbaus der Sicherheitsmaßnahmen. Ziel dieses Schritts ist es, die Arbeit der Angreifer viel schwieriger zu machen, bei dem Versuch Zugriff auf Ihre lokalen oder Cloudinfrastrukturen an den verschiedenen gemeinsamen Einstiegspunkten zu erhalten. Hierfür müssen viele Aufgaben erledigt werden. Daher ist es wichtig, Ihre Arbeit an dieser Stelle basierend darauf zu priorisieren, wie schnell Sie diese Aufgaben mit Ihren derzeitigen Ressourcen abarbeiten können.

Während vieles davon vertraut und leicht zu erledigen sind, ist es wichtig, dass Ihre Arbeit an Schritt 3 ihren Fortschritt bei den Schritten 1 und 2 nicht verlangsamt.

Ransomware-Schutz auf einen Blick

Eine Übersicht über die Schritte und ihre Implementierungsprüflisten als Schutzstufen gegen Ransomwareangreifer finden Sie auch auf dem Poster Schützen Ihrer Organisation vor Ransomware.

Nächster Schritt

Beginnen Sie mit Schritt 1, um Ihre Organisation auf die Wiederherstellung nach einem Angriff vorzubereiten, ohne das Lösegeld bezahlen zu müssen.

Zusätzliche Ressourcen zu Ransomware

Wichtige Informationen von Microsoft:

• Die wachsende Bedrohung durch Ransomware, Blogbeitrag auf Microsoft On the Issues vom 20. Juli 2021
• Von Menschen platzierte Ransomware
• Microsoft Digital Defense Bericht 2021 (siehe Seiten 10 bis 19)
• Bericht zur Bedrohungsanalyse Ransomware: Eine weit verbreitete und fortlaufende Bedrohung im Microsoft Defender-Portal
• Ransomware-Ansatz und Fallstudie des Microsoft Detection and Response Team (DART).

Microsoft 365:

• Bereitstellen von Schutz vor Ransomware für Ihren Microsoft 365-Mandanten
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Wiederherstellen nach einem Ransomware-Angriff in Microsoft Office 365
• Schutz vor Schadsoftware und Ransomware in Microsoft 365
• Schützen Ihres Windows 10-PCs vor Ransomware
• Behandeln von Ransomware in SharePoint Online
• Analyseberichte zur Bedrohung durch Ransomware im Microsoft Defender-Portal

Microsoft Defender XDR:

• Suchen nach Ransomware mit erweitertem Hunting

Microsoft Azure:

• Azure-Schutzmaßnahmen für Ransomware-Angriffe
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
• Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
• Wiederherstellen nach kompromittierter Systemidentität
• Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
• Fusion-Erkennung für Ransomware in Microsoft Sentinel

Microsoft Defender for Cloud-Apps:

• Erstellen Sie Richtlinien zur Anomalieerkennung in Defender for Cloud-Apps

Blogbeiträge des Microsoft-Sicherheitsteams:

• 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021)

• Ein Leitfaden zur Bekämpfung von durch Menschen verursachter Ransomware: Teil 1 (September 2021)

  Wichtige Schritte dazu, wie das Detection and Response Team (DART) von Microsoft Untersuchungen zu Ransomware-Vorfällen durchführt.

• Ein Leitfaden zur Bekämpfung von durch Menschen verursachter Ransomware: Teil 2 (September 2021)

  Empfehlungen und bewährte Methoden.

• Resilienz durch Verstehen von Cybersicherheitsrisiken: Teil 4 – Umgang mit aktuellen Bedrohungen (Mai 2021)

  Weitere Informationen finden Sie im Abschnitt Ransomware.

• Von Menschen durchgeführte Ransomware-Angriffe: Ein vermeidbarer Notfall (März 2020)

  Enthält Analysen der Angriffskette für tatsächliche Angriffe.

• Reaktion auf Ransomware – zahlen oder nicht zahlen? (Dezember 2019)

• Transparente Reaktion auf Ransomware-Angriffe von Norsk Soll (Dezember 2019)