Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBewährte Verfahren
Best Practices zur Verhinderung von Ransomware

Best Practices zur Verhinderung von Ransomware

Wie man Ransomware-Infektionen verhindert

Was Ransomware ist und wie sie funktioniert

Ransomware. Dieses eine Wort steht bei so vielen IT-Managern weltweit an erster Stelle, und das aus gutem Grund. Ransomware bleibt eine der bedrohlichsten Cybergefahren der heutigen Zeit. Allein im Jahr 2023 waren fast ein Viertel der Angriffe Ransomware-Attacken.

Ransomware ist eine Art von Schadsoftware, die sensible Dateien oder kritische Systeme eines Opfers verschlüsselt, wodurch sie unzugänglich werden und somit Geschäftsdienste und -operationen stören. Es gibt zahlreiche Arten von Ransomware-Varianten, wobei ständig neue Varianten auftauchen.

Das primäre Ziel von Ransomware-Betreibern ist es, das Opfer zur Zahlung eines Lösegelds zu zwingen, oft in schwer nachverfolgbarer Kryptowährung, im Austausch für einen Entschlüsselungsschlüssel, der die Dateien in ihren ursprünglichen Zustand zurückversetzen kann. Heutzutage wenden diese Bedrohungsakteure jedoch häufig eine Doppelerpressungsstrategie an, bei der sie die Daten einer Organisation vor der Verschlüsselung exfiltrieren. Die Drohung, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, falls das Lösegeld nicht gezahlt wird, bietet zusätzlichen Druck, um sicherzustellen, dass sie das Lösegeld bezahlt bekommen, selbst wenn es dem Opfer gelingt, seine Dateien eigenständig wiederherzustellen.

Angesichts der hohen finanziellen Auswirkungen von Ransomware priorisieren viele Organisationen den Schutz vor Ransomware als ein Hauptziel.

Hauptziele von Ransomware-Angriffen

Ransomware hat sich zu einem Geschäftsmodell entwickelt, das oft von hochorganisierten Gruppen mit einem einzigen Ziel orchestriert wird: finanzieller Gewinn. Während diese Cyberkriminellen einst wahllos Einzelpersonen bis hin zu globalen Unternehmen ins Visier nahmen, sind sie strategischer geworden: Die Angreifer zielen häufig auf Organisationen ab, von denen sie schnelle und erhebliche Auszahlungen erwarten. Die Fertigungs- und Gesundheitsbranche sowie kleine Regierungsgemeinden, die oft nicht über ausreichend Personal oder Ressourcen für eine Selbstwiederherstellung verfügen, sind häufige Ziele dieser kalkulierten Ransomware-Angriffe.

Wie sich Ransomware-Angriffe entfalten

Ransomware-Angriffe ereignen sich selten auf einmal. Die effektivsten Ransomware-Angriffe beinhalten typischerweise einen mehrstufigen Prozess, der sich über Tage, Wochen oder sogar Monate erstrecken kann:

  • Phase 1: Ransomware wird beispielsweise über eine E-Mail mit einem eingebetteten Link oder einem infizierten Anhang an das Ziel geliefert. Die Interaktion mit diesen Elementen lädt die erste schädliche Fracht herunter, die eine Verbindung zum Command-and-Control (C&C)-Server des Angreifers herstellt.
  • Phase 2: Angreifer nutzen den Link, um zusätzliche Werkzeuge zur Ausführung des Angriffs einzuschleusen. Sie führen Aufklärungsmaßnahmen durch, um das Netzwerk des Opfers zu überprüfen, wertvolle Daten zu lokalisieren und Sicherheitsmaßnahmen zu bewerten. Während dieser Phase können sie sensible Informationen an einen externen Ort kopieren, um sie als sekundären Hebel im Erpressungsprozess zu nutzen.
  • Phase 3: Diese Phase markiert den Beginn der Verschlüsselung. Angreifer könnten zunächst die Backup-Systeme des Opfers ins Visier nehmen, um die Fähigkeit zur Datenwiederherstellung zu untergraben. Sobald der Verschlüsselungsprozess abgeschlossen ist, wird eine Lösegeldforderung gestellt, die Zahlungsanweisungen enthält. Verhandlungen können folgen, was möglicherweise zu einer reduzierten Lösegeldzahlung führt.

Lösegeld zahlen vs. den Einsatz von Tools zur Verhinderung einer Ransomware-Infektion

Die Entscheidung, ob ein Lösegeld gezahlt werden soll, ist ein schwieriges Dilemma. Die Zahlung kann wie eine schnelle Lösung erscheinen, aber es gibt keine Garantie, dass die Angreifer einen Entschlüsselungscode bereitstellen werden. Darüber hinaus gibt es Hinweise darauf, dass das Zahlen von Lösegeld zukünftige Angriffe fördern kann. Daher raten Behörden wie das FBI davon ab, zu zahlen.

Die Entscheidung, nicht zu zahlen, setzt die Organisation jedoch den umfangreichen Kosten und Komplexitäten der Sanierung aus. Die Wiederherstellung nach einem Ransomware-Angriff kann Tage oder Wochen dauern, was sich auf die Einnahmen auswirken und zu dauerhaften Schäden für den Ruf des Unternehmens und das Vertrauen der Kunden führen kann. Tatsächlich können die mit Ausfallzeiten und Wiederherstellungsbemühungen verbundenen Kosten die Lösegeldforderung übersteigen.

Diese Realität unterstreicht die Bedeutung von Investitionen in robuste Sicherheitsmaßnahmen, um Ransomware-Angriffe rechtzeitig zu erkennen und zu neutralisieren, um Schäden zu minimieren.

Wie man Ransomware-Angriffe verhindert: Beste Praktiken

Es gibt keine Möglichkeit, Ransomware-Angriffe zu verhindern und keine Wundertechnologie, um sich gegen Ransomware zu schützen. Allerdings wird Ihnen die Befolgung dieser Best Practices zur Prävention von Ransomware helfen, das Risiko einer Ransomware-Infektion zu minimieren und den Schaden, den ein erfolgreicher Angriff verursachen könnte, zu begrenzen:

  • Vermeiden Sie es, Benutzern administrative Rechte auf ihren Maschinen zu geben, da alle bösartigen Dateien, die sie herunterladen, diese erhöhten Berechtigungen erben würden. Wenn ein Benutzer erhöhten Zugriff benötigt, erstellen Sie ein separates Benutzerkonto mit den spezifischen benötigten Privilegien.
  • Entwickeln Sie einen gründlichen Incident-Response-Plan, um Ransomware-Angriffe in ihren Anfangsstadien schnell zu vereiteln. Regelmäßige Überprüfung und Probe des Incident-Response-Plans sind wesentlich, um dessen Wirksamkeit und die Einsatzbereitschaft des Teams zu gewährleisten.
  • Verbessern Sie das Bewusstsein für Cybersicherheit durch regelmäßiges Training aller Mitarbeiter. Bringen Sie ihnen insbesondere bei, wie sie verdächtige E-Mail-Anhänge und Web-Links erkennen können, da Phishing-Angriffe eine primäre Methode zur Verbreitung von Ransomware sind. Es ist auch wichtig, ihre Beherrschung des Stoffs mit Test-E-Mails zu bewerten.
  • Stellen Sie sicher, dass Ihre Antivirensoftware, Endpoint Protection und andere Sicherheitslösungen sowie deren Datenbanken stets aktualisiert werden.
  • Halten Sie alle Betriebssysteme und Anwendungen vollständig gepatcht und auf dem neuesten Stand, damit bekannte Schwachstellen nicht ausgenutzt werden können. Testen Sie immer neue Software-Updates in einem Labor, bevor Sie sie in der Produktion anwenden.
  • Deaktivieren Sie das SMB v1-Netzwerkkommunikationsprotokoll auf allen Servern und Arbeitsstationen, da dies hilft, die Verbreitung gängiger Ransomware-Varianten wie WannaCry in Ihrem Netzwerk zu verhindern. Der untenstehende Screenshot zeigt SMB v1 deaktiviert auf Windows Server.
  • Schließen Sie alle unnötigen Ports in Ihren Firewalls. Stellen Sie insbesondere sicher, dass Port 3389, der für das Remote Desktop Protocol (RDP) verwendet wird, geschlossen ist, da er ein häufiges Ziel für Ausnutzung durch Hacker ist.
  • Implementieren Sie Netzwerksegmentierung. Das Aufteilen eines größeren Netzwerks in kleinere, isolierte Segmente begrenzt die Ausbreitung von Ransomware, falls ein Segment infiziert wird. Segmentierte Netzwerke erleichtern auch die Überwachung und ermöglichen eine schnellere Erkennung verdächtiger Aktivitäten.
  • Halten Sie Ihre Berechtigungsstruktur sauber und pflegen Sie ein striktes Modell des geringsten Privilegs. Da Ransomware nur auf die Dateien zugreifen kann, zu denen das Opferkonto Zugang hat, wird diese Strategie die Menge der Daten, die verschlüsselt werden können, begrenzen.
  • Beschränken Sie benutzereigene Geräte auf ein Gastnetzwerk. Dieses Netzwerk sollte den gesamten Datenverkehr direkt ins Internet leiten und gleichzeitig den Zugriff auf das interne Netzwerk blockieren, um lokale Ressourcen zu schützen.
  • Blockieren Sie bekannte Ransomware-Erweiterungen mit File Server Resource Manager.
  • Integrieren Sie Sandboxing und Honeypot-Strategien in Ihr Sicherheitsprogramm. Sandboxing beinhaltet die Verwendung einer sicheren, isolierten Umgebung, um verdächtige Programme auszuführen und zu analysieren, ohne das Hauptnetzwerk oder System zu gefährden, während Honeypots Ködersysteme oder Ressourcen sind, die eingerichtet werden, um Cyberangriffe anzuziehen und zu analysieren.
  • Verwenden Sie eine Data Loss Prevention (DLP)-Lösung, um Ihre Daten vor Ort und in der Cloud zu schützen.
  • Erwägen Sie die Implementierung eines auf Threat Intelligence basierenden Managements, das Einblicke in aufkommende Bedrohungen und Angriffsmuster bietet. Dieses Wissen ermöglicht es Organisationen, ihre Verteidigungen proaktiv zu stärken, ihre Sicherheitsstrategien anzupassen und schnell auf Ransomware-Angriffe zu reagieren, wodurch das Risiko erfolgreicher Eindringlinge und Datenverletzungen erheblich reduziert wird.

Best Practices für die Verwendung von Gruppenrichtlinien zur Verhinderung von Ransomware

Gruppenrichtlinien bieten eine Vielzahl von Einstellungen, die verfügbar sind, um das Risiko einer Ransomware-Infektion zu minimieren. Einige davon umfassen Folgendes:

  • Dateierweiterungen anzeigen. Angreifer tarnen manchmal Schadsoftware mit doppelten Dateierweiterungen. Zum Beispiel könnte eine Datei namens "invoice.pdf.exe" als "invoice.pdf" erscheinen, wenn Erweiterungen ausgeblendet sind, was Benutzer dazu verleitet zu denken, es sei eine harmlose PDF. Indem Dateierweiterungen angezeigt werden, können Benutzer verdächtige Dateien mit ausführbaren Erweiterungen (.exe, .vbs, .scr usw.) eher erkennen, die sich als sichere Dateitypen ausgeben. Sie können ein Gruppenrichtlinienobjekt (GPO) mit den Gruppenrichtlinieneinstellungen erstellen, um Dateierweiterungen auf Benutzerarbeitsstationen anzuzeigen, damit Benutzer die doppelten Dateierweiterungen sehen können. Ein Beispiel wird unten gezeigt.
  • Deaktivieren Sie AutoPlay und Autorun auf allen Arbeitsstationen. Diese wichtige Gruppenrichtlinieneinstellung verhindert die automatische Ausführung potenziell bösartiger Software von externen Medien wie USB-Laufwerken. Sie können Gruppenrichtlinien-Administrative Vorlagen verwenden, um AutoPlay für externe Laufwerke zu deaktivieren, wie unten gezeigt.
  • Richten Sie eine sichere password policy und eine account lockout policy. Das Verhindern, dass Gegner Benutzerkonten übernehmen, reduziert die Wahrscheinlichkeit einer Ransomware-Infektion. In Active Directory-Domänen kann dies durch die Standarddomänenrichtlinie erreicht werden, die Standards wie Mindestpasswortlänge, Mindestpasswortalter und Passwortkomplexitätsanforderungen durchsetzt.
  • Blockieren Sie die Verwendung von abnehmbaren USB-Laufwerken. Diese Gruppenrichtlinieneinstellung wird nicht nur die Verbreitung von Malware-Infektionen reduzieren, sondern auch helfen, unbefugte Datenübertragungen zu verhindern.
  • Verwenden Sie AppLocker, um Zulassungs- und Sperrlisten zu erstellen. Diese Listen ermöglichen es Ihnen zu steuern, welche Software auf Unternehmensmaschinen verwendet werden kann und die Ausführung nicht autorisierter Anwendungen zu blockieren.
  • Aktivieren Sie Windows Defender SmartScreen. Dies blockiert den Zugang zu bekannten bösartigen Websites und verringert so das Risiko, dass ein Benutzer durch eine Phishing-E-Mail unbeabsichtigt eine Ransomware-Infektion auslöst.

Best Practices für die Erkennung und Reaktion auf Ransomware-Angriffe

Neben Präventionsmaßnahmen benötigen Sie auch Strategien zur Erkennung und Reaktion. Je schneller Sie einen Ransomware-Angriff erkennen können, desto schneller können Sie ihn eindämmen und abmildern, um den Schaden für das Unternehmen zu minimieren. Die folgenden bewährten Methoden können dabei helfen:
Implementieren Sie ein Intrusion Detection and Prevention System, das die Überwachung und Analyse des Netzwerkverkehrs durchführt.

  • Überwachen Sie Ihre Dateiserver auf die Modifikation einer großen Anzahl von Dateien mit verschiedenen Dateierweiterungen in einem kurzen Zeitrahmen. Wenn solche Aktivitäten beobachtet werden, nehmen Sie den Quellcomputer umgehend offline.
  • Halten Sie ein vollständiges und aktuelles Inventar aller Ihrer Server, Arbeitsstationen, Zugangspunkte, Cybersicherheitsgeräte und anderer Geschäftsausstattung, einschließlich ihrer Netzwerkadressen, vor, damit Sie die Quelle eines Angriffs schnell finden und isolieren können.
  • Wenn Sie einen unbekannten oder unerwünschten Prozess auf einem Server oder Benutzergerät feststellen, trennen Sie dieses Gerät sofort vom Netzwerk oder deaktivieren Sie es. Führen Sie dann eine gründliche Untersuchung durch, um potenzielle Risiken zu verstehen und zu mindern.
  • Seien Sie vorsichtig bei Systembenachrichtigungen, die Geld für die Entschlüsselung Ihrer Dateien verlangen – einige könnten gefälschte Fälle sein, bei denen keine Verschlüsselung stattgefunden hat.
  • Auch wenn Sie eine Ransomware-Infektion bereits bestätigt haben, zahlen Sie den Tätern nicht. Es ist unwahrscheinlich, dass Sie Ihre Daten zurückbekommen, und sie werden wahrscheinlich weiter angreifen, um Sie erneut zur Zahlung zu bewegen.

Best Practices für die Sicherstellung, dass Sie sich von einem Ransomware-Angriff erholen können

Um sicherzustellen, dass Sie sich von einem Ransomware-Angriff erholen können, ohne auf die riskante Option zurückgreifen zu müssen, die Angreifer zu bezahlen, befolgen Sie diese bewährten Methoden:

  • Erstellen Sie regelmäßig Sicherungen aller Ihrer sensiblen Daten, Systeme und Kerneinstellungen. Stellen Sie sicher, dass Sie mehrere Backup-Iterationen behalten und sie außerhalb der Reichweite von Ransomware speichern (offline oder in der Cloud). Zuverlässige Backups helfen Ihnen, Ihre kritischen Dateien schnell wiederherzustellen.
  • Aktivieren Sie WindowsFile History, damit Benutzer Dateien wiederherstellen können, die vor der Ransomware-Infektion gespeichert wurden.
  • Versuchen Sie, die spezifische Variante der Ransomware zu bestimmen, die Ihr System betrifft. Wenn es sich um eine ältere Variante handelt, könnte die IT-Gemeinschaft Ressourcen und Informationen haben, die bei Ihren Wiederherstellungsbemühungen helfen.
  • Beachten Sie, dass erfolgreiche Ransomware-Angriffe nicht alle Ihre Dateien verschlüsseln. Bewerten Sie sorgfältig, welche Segmente Ihres Netzwerks kompromittiert wurden und welche verschont blieben.
  • Sehen Sie sich spezialisierte Anti-Ransomware-Entschlüsselungslösungen an, die Ihre Daten wiederherstellen können, einschließlich der Liste kostenloser Tools, die von der No More Ransom-Organisation gepflegt wird.
  • Wenn Sie einen Angriff erleiden, analysieren Sie nach der Wiederherstellung Ihrer Daten und Operationen den Vorfall, um Lücken in Ihrer Verteidigung zu identifizieren und zu beheben, um zukünftige Infektionen zu verhindern.

Holen Sie sich einen kostenlosen Leitfaden zur Verhinderung von Ransomware

Jeder, der Erfahrung in der Abwehr von Ransomware-Angriffen hat, wird bestätigen, dass man jede Hilfe gebrauchen kann. Wie das Sprichwort sagt: "Vorbeugen ist besser als heilen." Die besten Praktiken zu kennen, um Ransomware zu vermeiden und zu stoppen, ist deutlich kostengünstiger als die Wiederherstellung nach einem Angriff.

Netwrix bietet einen kostenlosen Leitfaden zur Prävention von Ransomware an, der von Experten erstellt wurde, die in der Bekämpfung dieser Bedrohung erfahren sind. Selbst wenn Sie sich vorbereitet fühlen, kann dieser Leitfaden Strategien enthalten, die Sie bisher vielleicht nicht in Betracht gezogen haben. Laden Sie ihn heute herunter als zusätzlichen Schritt, um proaktiv gegen Ransomware vorzugehen.

Netwrix Ransomware-Schutzlösung

Verhindern und erkennen Sie Ransomware – indem Sie einen mehrschichtigen Sicherheitsansatz implementieren

Fordern Sie eine Demo an

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management