Die Basisverteidigung gegen Ransomware

Absolute Sicherheit kann es nicht geben – diesen Leitspruch kennt vermutlich jeder. Allerdings gilt es ein Mindestmaß an Sicherheit anzustreben, welches die häufigsten Gefahren wirksam abwenden oder deren Auswirkungen dämpfen kann. Priorisierung spielt dabei eine entscheidende Rolle. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat nun einen Mindeststandard für das Abwehren von Ransomware veröffentlicht.

Standardisierung ist in unserer Wirtschaft ein wichtiger und unverzichtbarer Baustein geworden. In der IT-Sicherheit ist seit geraumer Zeit die Familie der ISO-27001-Standards weit verbreitet. Sie dient als Grundlage für nahezu alle weitergehenden (Branchen-) Standards, wie beispielsweise TISAX® in der Automobilindustrie. Viele der Unternehmen lassen sich zertifizieren, um dadurch ein adäquates Sicherheitsniveau zu erreichen.

Im selben Atemzug “verdient” die organisierte Cyberkriminalität mit Cyberangriffen immer mehr und immer schneller Geld. Innerhalb eines einzigen Jahres sollen diese Gruppierungen über 100 Millionen US-Dollar eingenommen haben, so geht es jedenfalls aus Informationen der Ransomware-Gruppe REvil hervor. Kaum ein Monat vergeht, in welchem nicht ein weiterer Vorfall in der Presse landet. Dabei sind die Betroffenen keine kleinen Fische. Der Reederei-Riese Maersk ist ebenso auf der unrühmlichen Liste der Opfer, wie Autohersteller Mercedes-Benz oder öffentliche und politische Einrichtungen, wie der Deutsche Bundestag. Inzwischen haben die Erpresser professionelle Verhandlungs-Teams, welche unter einer Million Euro Lösegeld gar nicht erst anfangen tätig zu werden. 

Gegenläufige Entwicklungen

Diese beiden Entwicklungen erzeugen ein verwirrendes Bild auf die aktuelle Lage. Immer mehr Unternehmen zertifizieren sich zwar, gleichzeitig nehmen aber die erfolgreichen Hackerangriffe stetig zu. Daraus kann man nur ableiten, dass eine ISO 27001 Zertifizierung nicht automatisch gegen Ransomware-Attacken schützt. Bei IT-Experten ist das keine neue Nachricht – in den betroffenen Unternehmen hingegen meist schon. Schließlich fordert eine ISO 27001 Zertifizierung einen nicht unerheblichen Budget-Aufwand. Man könnte also schnell dem Irrglaube erliegen, dass dieser Basis-Schutz vor Ransomware-Attacken quasi mitgeliefert wird. Dies ist aber nicht immer der Fall. Die technischen Vorgaben der ISO 27001 & 27003 sind eher vage formuliert, die Maßnahmenempfehlungen meist auf einer Meta-Ebene gehalten. 

Mindeststandard formuliert

Das BSI hat nun über seine zertifizierten APT-Response-Dienstleister (Advanced Persistent Threat) einen Mindeststandard formulieren lassen, welcher aus 20 konkreten Anforderungen in verschiedenen Kategorien besteht. Phishing-Schutz, Härten von Clients, Externe Zugänge, Offline-Backup, Schutz der Domäne, Prüfung der Logs, Patchmanagement, Isolation unsicherer Systeme und Vorbereitung auf den Ernstfall sind dabei die Überpunkte, in welche die 20 Maßnahmen aufgeteilt werden. 

Grundsätzlich ist dem Tenor dieser Dienstleister zu entnehmen, dass es sich bei den meisten Angreifen nicht um “Top-Hacker” handelt. Zwar gehen die Cyberkriminellen planvoll und systematisch vor, aber in den meisten Fällen machen es die Betroffenen den Angreifern durch mangelnde oder fehlerhafte Implementierung von Sicherheitskonzepten unnötig leicht. Die Abwehr von Ransomware-Attacken ist im Jahre 2021 ein Standard, welchen eine IT-Sicherheitsabteilung leisten können sollte. Auf dieser Anforderung basieren die Maßnahmen des BSI.


Machen Sie jetzt unser kostenloses Audit und finden Sie heraus, welche Schwachstellen Ihre IT-Sicherheit aufweist.


Kategorie 1: Phishing-Schutz 

In nahezu allen Fällen ist das Einfallstor einer erfolgreichen Ransomware-Attacke eine “gut gemachte” Phishing-E-Mail. Diese basiert meist auf einer bereits bestehenden Korrespondenz oder eines bestehenden Kontakts und sieht auf den ersten Blick täuschend echt aus. Die Daten wurden meist zuvor beim Kommunikationsanbieter erbeutet. Der Anwender glaubt an die Echtheit der Nachricht und öffnet Anhänge, welche dann den Rechner und das Netzwerk infizieren (siehe auch unser Beitrag zu Phishing-Mails). Besonders unglücklich – patternbasierte Virensoftware erkennt die enthaltenen Schad-Codes oft nicht, da diese meist bei der individuellen Attacke zum ersten mal Verwendung finden. 

#Standard 1: Um Infiltrationsversuche in Ihr Netzwerk so gering wie möglich zu halten, sollten Sie einen cloudbasierten Spam-Schutz verwenden, welcher nicht mit Pattern arbeitet, sondern die Angriffe anhand der vielen gleichartigen E-Mails an verschiedene Empfänger in unterschiedlichen Firmen erkennt. Bestenfalls werden Links und Anhänge dieser Nachrichten in ein Schutzsystem umgeleitet. 

#Standard 2: Gefährliche Anhänge müssen von Mail-Filtern blockiert werden. Besonders alte Office-Formate, welche bereits seit mehr als zehn Jahren kein Standard mehr sind.

Kategorie 2: Härten von Clients

Der Zugang für Cyberkriminelle beginnt in den meisten Fällen auf einem infizierten Arbeitsplatzrechner (Client). Der im Anschluss oftmals erfolgende RAT-Angriff (Remote-Access-Trojaner) nutzt weitere, schlecht gesicherte Client-PCs und arbeitet sich so weiter im Netzwerk voran. 

#Standard 3: Sie sollten auf Ihren Clients die Möglichkeiten einschränken, Makros in Office-Dokumenten auszuführen, welche aus dem Internet runtergeladen, per E-Mail oder von anderen externen Kanälen empfangen wurden. Dies lässt sich meist durch entsprechende Einstellungen am Client selbst realisieren.

#Standard 4: Im Angriffsfall sollte dem Angreifer das Springen innerhalb der eigenen IT-Umgebung nicht allzu leicht gemacht werden (Lateral Movements). Dies kann verhindert werden, wenn die Clients keinen einheitlichen lokalen Administratoraccount mit gleichem Passwort haben. Sollten für Support-Zwecke lokale User-Konten notwendig sein, dann sollten diese in ihren Berechtigungen eingeschränkt und engmaschig überwacht sein. Eine Möglichkeit dazu bietet das seit 2015 verfügbare Local Administrator Password Solution (LAPS) von Microsoft.

#Standard 5: Lokale Benutzer sollten keine Konten mit lokalen Administratorrechten haben. Falls notwendig, dann kann ein separates Administratorkonto zur Verfügung gestellt werden. Dieses darf aber nicht für die tägliche Arbeit genutzt werden.

#Standard 6: Microsoft bietet mit den Security-Baselines für Windows 10 Empfehlungen für den sicheren Betrieb. Diese sollten durchgearbeitet und umgesetzt werden. Ist dies nicht möglich, dann müssen die Ausnahmen begründet und Kompensationsmaßnahmen getroffen werden.

Kategorie 3: Externe Zugänge

#Standard 7: Es ist eine Multi-Faktor-Authentifizierung für alle von außen erreichbaren Administrationsoberflächen zu schaffen. Für Remote-Zugänge, welche auf Firmenressourcen zugreifen können (z.B. RDP, Citrix, VPN), ist ebenfalls eine Multi-Faktor-Authentifizierung standardmäßig zu implementieren.

Kategorie 4: Offline-Backup

Absolute Sicherheit kann es nicht geben. Diese Weisheit ist so alt wie die Idee der Sicherheit selbst. Wenn ein Angreifer nicht mehr aufgehalten werden kann, dann ist ein Backup die beste Überlebensstrategie. 

#Standard 8: Es sollte ein komplettes Backup der IT erstellt werden. Dieses darf zu keinem Zeitpunkt älter als sieben Tage sein. Der Umfang des Backups umfasst nicht nur alle Server und Datenbanken, sondern auch eine Kopie des Active Directory (AD)  bzw. der System-State der Domain-Controller (DC).

#Standard 9: Die Zugriffsrechte für dieses Backup sorgen dafür, dass auch Angreifer mit Domain-Admin-Rechten und Zugang zu allen Passwörtern sämtlicher Domänen-Accounts es nicht löschen kann (Offline-Backup). 

#Standard 10:  Die geplanten Backups werden überwacht im Hinblick auf Datenmenge, welche gesichert wird, oder wenn Sicherungen komplett ausfallen. Dies muss als Sicherheitszwischenfall behandelt und entsprechend reagiert werden.

Kategorie 5: Schutz der Domäne

Eines der vorrangigen Ziele der Angreifer ist in den meisten Fälle die Übernahme Ihrer Domäne. Dies sollte dem Angreifer so schwer wie möglich gemacht werden. 

#Standard 11: Administratoren sollten über getrennte Accounts verfügen. User-, Admin- und Domain-Admin-Accounts mit jeweils unterschiedlichen Passwörtern sollten der Mindeststandard sein. Es sollte keine Service-Accounts geben, nur personalisierte. Der Einsatz von trivialen Passwörtern der Kategorie “123456” sollte technisch verhindert werden, eine regelmäßige Erneuerung des Passworts sollte vorgeschrieben sein (bspw. alle 90 Tage). Die Passwörter für Admin-Accounts müssen besonders strengen Regeln unterworfen sein. 

#Standard 12: Domain-Controller im Netzwerk haben ausschließlich diese Aufgaben. Sie haben keine weitere Zusatzaufgabe (außer DHCP und DNS). Alle Controller werden spätestens zwei Tage nach Erscheinen eines neuen Microsoft-Patches aktualisiert. 

#Standard 13: Relevante Events werden auf allen Servern sauber protokolliert. Neugestartete Programme werden auf Domain-Controllern geloggt (bspw. mit Microsoft sysmon). Die Domäne sollte auf Angriffe gegen Identitäten überwacht werden (bspw. mit Azure Advanced Threat Protection).  

#Standard 14: Es gibt ein (umgesetztes) Konzept zur sicheren Administration. Ziel muss es sein, es Angreifern so schwer wie möglich zu machen, Domain-Admin-Rechte zu bekommen. Bestenfalls werden die Microsoft-Empfehlungen zum “AD Administrative Environment – ESAE” umgesetzt. Alternativ können auch “Red-Forest”-Konzepte oder der Einsatz von non-Domain-joined Bastion-Hosts zur Domänenadministration in Betracht gezogen werden. 

Kategorie 6: Prüfung der Logs

Statistisch gesehen brauchte im Jahr 2020 ein Angreifer im Schnitt noch circa drei bis vier Stunden, um sich Domain-Admin-Rechte zu verschaffen. Inzwischen sind die Cyberkriminellen sehr viel schneller geworden. Sie gehen nicht nur schneller, sondern auch konzentrierter und gezielter vor. Rekordverdächtig dürfte die Gruppe hinter dem Verschlüsselungstrojaner “RYUK” sein. Zwei Stunden nach dem Klick des Users auf den Link in einer Phishing-Mail besaß die Gruppe bereits Domain-Admin-Rechte. Nach fünf Stunden war das Netzwerk bereits verschlüsselt. In den allermeisten Fällen waren im Nachgang an den Angriff Spuren von eben diesem in den Protokolldateien zu finden – diese wurden aber oft nicht als solche erkannt. 

#Standard 15: Die Angreifer müssen sich mit Ihrem Netzwerk verbinden. Diese Verbindungen sind sogenannte Command-&-Control-Verbindungen (C2-Verbindungen). Ihre Firewall muss daher solche möglichen C2-Adressen erkennen, filter und loggen. Auch sollten Verbindungen, welche regelmäßig (bspw. im Minutentakt) kleine Datenmengen übertragen, von der Firewall als verdächtig protokolliert werden – gleiches gilt auch für die Übertragung von sehr großen Datenmengen. 

#Standard 16:Sicherheitsrelevante Logdateien werden zweimal täglich geprüft – das gesamte Jahr über. Dazu zählen vor allem die Logs der Firewall, die Protokolle von Spam- und Malwareschutz, der Domain-Controller und des Backupsystems. Diese Auswertung kann auch mit dem Einsatz eines automatischen Auswertesystems vereinfacht und automatisiert werden (bspw. Graylog, Splunk, Qradar etc.).

Kategorie 7: Patchmanagement

Komplexe Attacken gegen aktuell gehaltene System- oder Netzwerkkomponenten (sogenannte “Zero-Day-Attacken”) sind eher selten. Meistens nutzen die Angreifer bestehende Sicherheitslücken aus. Diese können teilweise bereits seit zwei bis drei Jahren bekannt, aber noch immer nicht gepatcht sein. 

#Standard 17: Microsoft Windows-Systeme (Server und Clients) sollten spätestens zwei Tage nach Erscheinen von sicherheitskritischen Updates auf das aktuelle Patchlevel gebracht sein.

#Standard 18: Es sollte ein automatischer Updateprozess geschaffen werden für alle Programme, welche Daten aus dem Internet direkt verarbeiten oder standardmäßig Dateien öffnen oder herunterladen. Der Prozess ist so zu gestalten, dass die Updates spätestens zehn Tage nach Erscheinen ausgeführt werden. Wird dies versäumt, wird der Datenaustausch oder die Aktion unterbunden.

Kategorie 8: Isolation unsicherer Systeme

Bei allen Sicherheitsgewerken ist das Problem der Asymmetrie bekannt. Angreifer oder Gefahren müssen nur ein verwundbares System oder eine Schwachstelle finden – der Verteidiger hingegen muss alle Schwachstellen absichern. 

#Standard 19: Systeme und Anwendungen, welche die Mindestanforderungen (siehe #2,3,5,17,18) nicht erfüllen können, oder über unsichere Protokolle verfügen (bspw. SMBv1), müssen vom Netzwerk isoliert werden und in ein eigenes, per Firewall vom eigenen Netzwerk getrenntes Netzwerksegment, ausweichen. Diese Segmente haben nur eingeschränkten Zugriff auf das Internet (per Whitelist) und die Verbindungen ins restliche Netzwerk sind auf ein Minimum begrenzt (Ziel-IP/Port-Kombinationen). 

Kategorie 9: Vorbereitungen für den Ernstfall

Nicht alle Bedrohungen sind sichtbar und im Voraus zu beherrschen. Es kann jederzeit der Fall eintreten, dass ein Angreifer alle Barrieren überwindet. Für diesen Fall sollte man vorbereitet sein.

#Standard 20: Sie sollten ein eigenes Incident-Response-Team für solche Fälle vorhalten. Alternativ sollten Sie Kontakt zu einem externen Response-Consultant hergestellt haben. Eine entsprechende Liste von qualifizierten APT-Response-Dienstleister ist beim BSI einzusehen. Bestenfalls haben Sie bereits ein Krisenhandbuch für solche Fälle und eine Notfall-Whitelist für Internetzugänge zur Hand.

Fazit

Diese 20 aufgeführten Maßnahmen stellen einen Mindeststandard zur Abwehr heutiger Ransomware-Attacken dar. Freilich sind viele der Maßnahmen teuer, schwer auf die Schnelle implementierbar und sicher etwas unkomfortabler zu verwalten für IT-Admins. Allerdings liegt das immer identische Dilemma der Risikoabwägung inne. Wie groß mag der Schaden sein, wenn man nach einer erfolgreichen Ransomware-Attacke vor einer infizierten Domäne, gelöschten und unbrauchbaren Back-Ups und verschlüsselten Servern steht. 

Ebenfalls ist klar, dass die oben genannten Maßnahmen einen heute gültigen Mindeststandard darstellen. Die technischen und administrativen Möglichkeiten der Cyberkriminellen entwickeln sich rasant weiter. Wer also heute den gängigen Attacken nicht standhalten kann, der wird den Attacken von morgen mehr oder weniger hilflos gegenüberstehen. Außerdem sind Ransomware-Attacken nicht die alleinige Gefahr für Unternehmen und deren IT-Infrastruktur. Neben diesen gilt es sich außerdem noch gegen Business-E-Mail-Compromise, Payment-Diversion, Fake-President oder Machenschaften wie Industriespionage oder State-sponsored Actors zu wappnen. Es gibt also in den meisten IT-Abteilungen unserer Wirtschaft wahrlich genug zu tun, um sich gegen die heutigen und aufkommenden Gefahren im Cyberraum zu wappnen.