Schützen Sie Ihre Organisation schnell vor Ransomware-Angriffen
Ransomware ist ein Cyberangriffstyp, den Cyberkriminelle verwenden, um große und kleine Organisationen zu erpressen.
Das Verständnis, wie Sie sich vor Ransomware-Angriffen schützen und den Schaden minimieren, ist ein wichtiger Bestandteil der Absicherung Ihres Unternehmens. Dieser Artikel bietet praktische Anleitungen zum schnellen Konfigurieren des Ransomware-Schutzes.
Diese Anleitung ist in Schritte unterteilt, beginnend mit den dringendsten zu ergreifenden Maßnahmen.
Setzen Sie ein Lesezeichen für diese Seite als Ausgangspunkt für die Schritte.
Wichtig
Lesen Sie die Ransomware-Präventionsserie und machen Sie Ihre Organisation schwer zugänglich für Cyberangriffe.
Hinweis
Was ist Ransomware? Siehe Ransomware-Definition hier.
Wichtige Informationen zu diesem Artikel
Hinweis
Die Reihenfolge dieser Schritte ist so konzipiert, dass Sie das Risiko so schnell wie möglich reduzieren und auf der Annahme großer Dringlichkeit basieren, die normale Sicherheits- und IT-Prioritäten außer Kraft setzt, um verheerende Angriffe zu vermeiden oder zu mindern.
Es ist wichtig zu beachten, dass diese Anleitung zur Ransomware-Prävention strukturiert ist, als Schritte, die Sie in der angezeigten Reihenfolge befolgen sollten. Gehen Sie wie folgt vor, um diesen Leitfaden am besten an Ihre Situation anzupassen:
Einhalten der empfohlenen Prioritäten
Verwenden Sie die Schritte als ersten Plan für die Aufgaben, die zuerst, dann als Nächstes und zu späteren Zeitpunkten durchgeführt werden müssen, damit die Schritte mit den größten Auswirkungen zuerst abgearbeitet werden können. Diese Empfehlungen werden mithilfe des Zero Trust-Prinzips, das eine Sicherheitsverletzung annimmt, priorisiert. Dies zwingt Sie dazu, sich auf die Minimierung des Geschäftsrisikos zu konzentrieren, indem Sie davon ausgehen, dass sich die Angreifer über eine oder mehrere Methoden erfolgreich Zugang zu Ihrer Umgebung verschaffen können.
Seien Sie proaktiv und flexibel (aber überspringen Sie keine wichtigen Aufgaben)
Durchsuchen Sie die Implementierungschecklisten für alle Abschnitte aller drei Schritte, um festzustellen, ob Bereiche und Aufgaben vorhanden sind, die Sie schnell vorher ausführen können. Mit anderen Worten, Dinge, die Sie schnell erledigen können, weil Sie bereits Zugriff auf einen Clouddienst haben, der bisher nicht verwendet wurde, aber schnell und einfach konfiguriert werden könnte. Achten Sie beim Durchgehen des gesamten Plans genau darauf, dass durch diese späteren Bereiche und Aufgaben die Durchführung von kritischen Maßnahmen, z. B. Sicherungen und privilegierter Zugriff, nicht verzögert wird!
Paralleles Ausführen von Schritten
Es kann überwältigend erscheinen, wenn alles auf einmal durchgeführt werden soll, aber die parallele Ausführung einiger Schritte bietet sich immer an. Die Mitglieder verschiedener Teams können zur gleichen Zeit an Aufgaben arbeiten (z. B. Sicherungsteam, Endpunktteam, Identitätsteam), während gleichzeitig die Schritte der Prioritätsreihenfolge abgearbeitet werden.
Die Punkte in den Implementierungsprüflisten sind in der empfohlenen Priorisierungsreihenfolge aufgeführt, nicht in der Reihenfolge der technischen Abhängigkeiten.
Nutzen Sie die Prüflisten, um Ihre vorhandene Konfiguration je nach Bedarf zu bestätigen und zu ändern, und setzen Sie sie so ein, wie dies für Ihre Organisation am besten geeignet ist. Beispielsweise kann es sein, dass Sie unter dem wichtigsten Sicherungselement einige Systeme sichern, die aber nicht offline oder unveränderlich sind. Es kann auch sein, dass Sie nicht alle Wiederherstellungsverfahren des Unternehmens testen, oder Sie verfügen ggf. nicht über Sicherungen kritischer Geschäftssysteme oder IT-Systeme, z. B. AD DS-Domänencontroller (Active Directory Domain Services).
Hinweis
Eine zusätzliche Zusammenfassung dieses Prozesses finden Sie im Beitrag 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021) des Blogs zur Microsoft-Sicherheit.
Richten Sie Ihr System ein, um Ransomware sofort zu verhindern
Führen Sie die folgenden Schritte durch:
Schritt 1. Vorbereiten Ihres Ransomware-Wiederherstellungsplans
In diesem Schritt soll der monetäre Anreiz für Ransomware-Angreifer minimiert werden, indem Folgendes durchgeführt wird:
- Deutliches Erschweren des Zugriffs auf und der Störung von Systemen oder der Verschlüsselung/Beschädigung von wichtigen Daten der Organisation
- Vereinfachen des Verfahrens für Ihre Organisation, mit dem nach einem Angriff die Wiederherstellung durchgeführt werden kann, ohne das Lösegeld zu zahlen
Hinweis
Die Wiederherstellung von vielen oder allen Unternehmenssystemen ist keine leichte Aufgabe. Die Alternative ist jedoch, einem Angreifer Geld für einen Wiederherstellungsschlüssel zu zahlen, den er möglicherweise nicht zur Verfügung stellt, und von den Angreifern erstellte Tools zu nutzen, um zu versuchen, die Systeme und Daten wiederherzustellen.
Schritt 2. Einschränken des Umfangs von Ransomware-Schäden
Erzielen Sie eine deutliche Erhöhung des Aufwands, der von Angreifern betrieben werden muss, um Zugriff auf mehrere unternehmenskritische Systeme über Rollen mit privilegiertem Zugriff zu erhalten. Indem Sie es für Angreifer erschweren, privilegierten Zugriff zu erhalten, können diese weniger leicht von einem Angriff auf Ihre Organisation profitieren. Dies erhöht die Wahrscheinlichkeit, dass sie aufgeben und sich andere Ziele suchen.
Schritt 3. Machen Sie es Cyberkriminellen schwer, reinzukommen
Diese letzte Gruppe von Aufgaben ist wichtig, um Eindringversuche zu erschweren. Die Durchführung dauert aber einige Zeit und ist Teil des weiteren Ausbaus der Sicherheitsmaßnahmen. Ziel dieses Schritts ist es, die Arbeit der Angreifer viel schwieriger zu machen, bei dem Versuch Zugriff auf Ihre lokalen oder Cloudinfrastrukturen an den verschiedenen gemeinsamen Einstiegspunkten zu erhalten. Hierfür müssen viele Aufgaben erledigt werden. Daher ist es wichtig, Ihre Arbeit an dieser Stelle zu priorisieren, je nachdem, wie schnell Sie diese Aufgaben mit Ihren derzeitigen Ressourcen abarbeiten können.
Während vieles davon vertraut und leicht zu erledigen sind, ist es wichtig, dass Ihre Arbeit an Schritt 3 ihren Fortschritt bei den Schritten 1 und 2 nicht verlangsamt.
Ransomware-Schutz auf einen Blick
Eine Übersicht über die Schritte und ihre Implementierungsprüflisten als Schutzstufen gegen Ransomwareangreifer finden Sie auch auf dem Poster Schützen Ihrer Organisation vor Ransomware.
Priorisieren Sie die Ransomware-Minderung auf Makroebene. Konfigurieren Sie die Umgebung Ihrer Organisation zum Schutz vor Ransomware.
Nächster Schritt
Beginnen Sie mit Schritt 1, um Ihre Organisation auf die Wiederherstellung nach einem Angriff vorzubereiten, ohne das Lösegeld bezahlen zu müssen.
Zusätzliche Ressourcen zu Ransomware
Wichtige Informationen von Microsoft:
- Die wachsende Bedrohung durch Ransomware, Blogbeitrag auf Microsoft On the Issues vom 20. Juli 2021
- Von Menschen platzierte Ransomware
- Microsoft Digital Defense Bericht 2021 (siehe Seiten 10 bis 19)
- Bericht zur Bedrohungsanalyse Ransomware: Eine weit verbreitete und fortlaufende Bedrohung im Microsoft Defender-Portal
- Microsoft Incident Response Team (früher DART/CRSP) – Ransomware-Ansatz und Fallstudie
Microsoft 365:
- Bereitstellen von Schutz vor Ransomware für Ihren Microsoft 365-Mandanten
- Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
- Wiederherstellen nach einem Ransomware-Angriff in Microsoft Office 365
- Schutz vor Schadsoftware und Ransomware in Microsoft 365
- Schützen Ihres Windows 10-PCs vor Ransomware
- Behandeln von Ransomware in SharePoint Online
- Analyseberichte zur Bedrohung durch Ransomware im Microsoft Defender-Portal
Microsoft Defender XDR:
Microsoft Azure:
- Azure-Schutzmaßnahmen für Ransomware-Angriffe
- Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
- Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
- Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
- Wiederherstellen nach kompromittierter Systemidentität
- Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
- Fusion-Erkennung für Ransomware in Microsoft Sentinel
Microsoft Defender for Cloud-Apps:
Blogbeiträge des Microsoft-Sicherheitsteams:
3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021)
Ein Leitfaden zur Bekämpfung von durch Menschen verursachter Ransomware: Teil 1 (September 2021)
Wichtige Schritte zur Durchführung von Ransomware-Vorfalluntersuchungen durch Microsoft Incident Response.
-
Empfehlungen und bewährte Methoden.
-
Weitere Informationen finden Sie im Abschnitt Ransomware.
Von Menschen durchgeführte Ransomware-Angriffe: Ein vermeidbarer Notfall (März 2020)
Enthält Analysen der Angriffskette für tatsächliche Angriffe.
Reaktion auf Ransomware – zahlen oder nicht zahlen? (Dezember 2019)
Transparente Reaktion auf Ransomware-Angriffe von Norsk Soll (Dezember 2019)