Das NCSC mahnt - einmal mehr - zu Schutzmassnahmen vor Ransomware
Ransomware scheint aktuell Hochkonjunktur zu haben. Beim NCSC gingen diesbezüglich mehr Meldungen ein als üblicherweise - und dies aufgrund unterschiedlicher Verschlüsselungstrojaner. Die Empfehlungen der Behörde sind nicht neu, aber wichtig.
Fünf Wochen lang ist es beim Nationalen Zentrum für Cybersicherheit (NCSC) in puncto Ransomware eher ruhig gewesen. Doch nun steigen die Fälle wieder an, wie die Behörde in ihrem aktuellen Wochenrückblick schreibt. Zwar erscheint die absolute Zahl - 8 Meldungen - auf den ersten Blick eher gering. Doch "ist der Schaden bei Ransomware-Angriffen in den meisten dieser Fälle sehr gross", stellt die Behörde klar. Denn selbst wenn ein funktionierendes Back-up existiere und die Daten wieder zurückgespielt werden könnten, seien die Systeme für einige Tage nicht oder nur eingeschränkt verfügbar. Dies wiederum habe einen entsprechenden Produktionsausfall sowie Umsatzverlust zur Folge.
Zudem seien Ransomware-Erpresser darauf spezialisiert, auch gut vorbereitete Unternehmen noch unter Druck zu setzen. Dies tun sie mittels Double-Extortion: Vor der Verschlüsselung kopieren sie die Daten des Unternehmens und drohen dann mit der Veröffentlichung. Gelinge es einer Ransomware-Gang, auch die Back-ups zu verschlüsseln, könne schlimmstenfalls die Existenz einer Firma auf dem Spiel stehen.
Es ist aber nicht nur die Anzahl eingegangener Ransomware-Meldungen, die dem NCSC auffällt. Erstaunlich sei auch, dass praktisch hinter jedem Fall eine andere Schadsoftware steckte. Konkret erhielt die Behörde Meldungen zu Sodinokibi, Lockbit 2.0, Conti, Black.Basta und Deadbolt.
Aktualisieren, absichern, ausbilden
Die Massnahmen gegen Ransomware, die das NCSC in Erinnerung ruft, sind nicht neu: Es sei wichtig, Systeme auf dem neuesten Stand zu halten. Ferner müssen die Zugriffe auf Webdienste und E-Mail- Konten mit Zwei-Faktor-Authentifizierung abgesichert werden. Ein spezielles Augenmerk sollte auf VPN-Verbindungen gelegt werden.
Weiter ist es wichtig, die Mitarbeitenden regelmässig zu Cybersicherheit zu schulen, speziell im Umgang mit E-Mails. Mit diesen Massnahmen könne das Risiko eines erfolgreichen Ransomwareangriffs minimiert werden, schreibt das NCSC.
Für den Ernstfall planen
Doch um auch das Restrisiko abzudecken, rät das NCSC dazu, sich auf einen allfälligen Ransomwareangriff vorzubereiten. Dazu gehöre das Erstellen und regelmässige Testen von Offline-Back-ups sowie das Etablieren von Kontakten zu Sicherheitsdienstleistern, die einen solchen Vorfall bewältigen können. Schliesslich sollte eine Kommunikationsstrategie definiert werden, die im Falle der Veröffentlichung von firmeninternen Daten zum Tragen kommt. All dies sollte im sogenannten "Incident Response Plan" verzeichnet werden. Er enthält alle wichtigen Tätigkeiten, Anleitungen und Kontaktdaten und muss unbedingt auf Papier vorliegen, wie das NCSC empfiehlt.
Unternehmen, die von Ransomware betroffen sind, finden auf der Website des NCSC Empfehlungen für das weitere Vorgehen.
CISOs, die sich genauer mit Taktiken, Techniken und Prozeduren bekannter Ransomware-Gruppen befassen möchten, finden mehr Informationen in einem kostenlosen Handbuch des russischen Antivirenherstellers Kaspersky. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.