Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
9 l 2022 CyberSeCurity l Ransomware-Strategie l 9 gewünschten Ergebnis führt Colonial Pipeline zählt zu den wenigen Unternehmen die wieder Zugang zu seinen Daten erhalten haben Laut Proofpoints „State of the Phish Report 2022“ waren 42 Prozent der befragten Unternehmen 2021 nach einer ersten Lösegeldzahlung mit zusätzlichen Forderungen der Ransomware-Gruppen konfrontiert und weitere vier Prozent erhielten nie wieder Zugriff auf ihre Daten Wiederherstellung nicht vernachlässigen Zweifelsohne ist eine Softwarelösung zur Erkennung von Eindringlingen und für die Cybersicherheit unerlässlich um so früh wie möglich vor illegitimen Aktivitäten gewarnt zu werden Aber es ist ebenso essenziell dies mit einer robusten Wiederherstellungsstrategie zu flankieren Nur so können Daten wiederhergestellt werden sollte es zu einer – aus Sicht der Täter – erfolgreichen Ransomware-Attacke kommen Mit diesem Ansatz ergreifen Unternehmen nicht nur Präventivmaßnahmen sondern sorgen gleichzeitig dafür dass sie im Falle eines Angriffs die Auswirkungen begrenzen können Das Active Directory AD ist dabei wichtiger Eckpfeiler eines umfassenden Wiederherstellungsplans denn die meisten Unternehmen nutzen AD um Identitäten zu verwalten und den Zugriff auf Unternehmensressourcen wie Datenbanken Dateien Anwendungen und Endgeräte zu ermöglichen Die Wiederherstellung von Backups mag auf den ersten Blick einfach erscheinen allerdings gibt es hier eine Reihe von Fallstricken Ein wichtiger Aspekt der Wiederherstellung besteht darin sicherzustellen dass AD-Backups „Airgapped“ sind Diese Backup-Daten dürfen also nicht über das Netzwerk beziehungsweise das Internet erreichbar sein um deren Integrität zu gewährleisten Unternehmen können über umfangreiche Backup-Daten verfügen jedoch nutzen diese wenig wenn sie sich nicht wiederherstellen lassen beziehungsweise beschädigt sind Bei vielen Ransomware-Angriffen suchen die Täter daher ganz gezielt nach Backups die mit dem Netzwerk verbunden sind Finden sie solche Daten zerstören sie diese um die Wahrscheinlichkeit zu erhöhen dass ein Lösegeld gezahlt wird Daher ist es wichtig dass die IT-Teams nicht nur regelmäßig umfangreiche Backups der Active-Directory-Umgebung erstellen sondern diese auch geschützt also vom Unternehmensnetzwerk entkoppelt aufbewahren Kommt es dann zu einer Ransomware-Attacke bleiben diese Sicherungen dennoch sicher und weiterhin verfügbar Zudem ist für die Verantwortlichen oft wichtig dass der Ausfall so kurz wie möglich gehalten und der Betrieb so schnell wie möglich wieder aufgenommen werden kann – zu Recht Gerade die Stunden nach einem Cyberangriff und die Art und Weise wie ein Unternehmen damit umgeht sind entscheidend Der Schlüssel für eine schnelle Rückkehr zum Normalbetrieb besteht in einer schrittweisen Wiederherstellung Es ist ratsam zunächst zu ermitteln welche Domain Controller unbedingt erforderlich sind um die Wiederherstellung dann dort zu beginnen und die geschäftskritischsten Anwendungen so schnell wie möglich wieder zum Laufen zu bringen Anders als viele gemeinhin annehmen dürften geht es bei der Wiederherstellung nach einer Ransomware-Attacke nicht ausschließlich um Geschwindigkeit Es ist ebenso wichtig dass die Wiederherstellung korrekt durchgeführt wird Zudem müssen potenzielle Einfallstore geschlossen und Schwachstellen beseitigt werden um eine erneute Infektion zu verhindern Was passiert wenn die Sorgfalt bei der Wiederherstellung vernachlässigt wird liefert ein Blogeintrag des britischen nationalen Cyber-Abwehrzentrums NCSC Darin wird der Fall eines Unternehmens skizziert das rund 6 5 Millionen Pfund Lösegeld für seine Daten gezahlt allerdings bei der Wiederherstellung versäumt hatte die betreffende Schwachstelle zu beheben In der Folge wiederholten die Hacker bereits weniger als zwei Wochen später mit der gleichen Taktik ihren Angriff Unternehmen sollten aus diesem und anderen Vorfällen Schlüsse unbedingt ziehen und nicht die gleichen Fehler begehen Gute Planung vorausgesetzt Letztlich können aber auch die am besten vorbereiteten Organisationen die Gefahren nicht gänzlich eliminieren die von Ransomware ausgehen Aber die Verantwortlichen können die Risiken für ihre jeweilige Organisation begrenzen Jedes Unternehmen sollte dafür über eine umfassende Ransomware-Strategie verfügen die nicht nur die Identifizierung von Bedrohungen vorsieht sondern auch regelmäßige Sicherungen sowie den Schutz von Backup-Daten gewährleistet Ein besonderes Augenmerk sollte dabei der Wiederherstellung von Active Directory zuteilwerden sowie dessen Auswirkungen auf andere wichtige Unternehmensfunktionen wie das Netzwerk berücksichtigen Darüber sollten Unternehmen sicherstellen dass die Notfallpläne allen Beteiligten zugänglich sind und dass darin klare Rollen und Verantwortlichkeiten definiert wurden Nur mit einem gut durchdachten Plan dessen Umsetzung regelmäßig trainiert wird sowie nachhaltigen Lösungen und zuvor definierten Rollen können Unternehmen in Sachen Ransomware den Angreifern ein Schnippchen schlagen Bert Skorupski Senior Manager Sales Engineering bei Quest Software ➤ Active Directory AD ist der Verzeichnisdienst von Microsoft Windows Server wobei ab Version Windows Server 2008 der Dienst in fünf Rollen untergliedert und deren Kernkomponente als Active Directory Domain Services ADDS bezeichnet wird Bei einem solchen Verzeichnis handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch das Telefonnummern den jeweiligen Anschlüssen beziehungsweise Besitzern zuordnet Active Directory ermöglicht es ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer Gruppen Computer Dienste Server Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren bereitstellen und überwachen Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden DK