Wissen ist die beste Verteidigung – Strategien gegen Ransomware und Trojaner

Informationssicherheitsrisiken erkennen und managen

Es hilft nicht, mit dem Finger auf die betroffenen Firmen zu zeigen und zu sagen „So nicht“, daraus ist nichts gelernt oder gewonnen. Mit Allheilmitteln à la „Kaufen Sie unseren Schwachstellenscanner“ allerdings auch nicht. Dafür sind einerseits die Netzwerke und Unternehmensstrukturen zu verschieden, andererseits entwickeln sich Angriffsszenarien immer weiter.

Umso wichtiger ist es also, Informationssicherheit im gesamten Unternehmenskontext zu betrachten. Der beste Schutz gegen individuelle Risiken kann nur ein funktionierendes Informationssicherheitsmanagement oder ISMS sein. Besonders relevant als zentrale Prozesse sind das Risiko- und Notfallmanagement.

Nur wenn kritische Infrastrukturen, Prozesse, Informationen, Personen und weitere Assets erkannt sind, können die Risiken und Schwachstellen, die diese betreffen, identifiziert werden. Eintrittswahrscheinlichkeit und der potenzielle sich daraus ergebende Schaden weisen auf eine Priorisierung hin, mit der Maßnahmen gegen diese Risiken eingeleitet werden müssen. Und schließlich müssen diese Maßnahmen umgesetzt, auf ihre Wirksamkeit geprüft und kontinuierlich verbessert werden.

Vorbereitung auf den Ernstfall

Das Notfallmanagement als Teil davon ist unverzichtbar. Dabei reicht es nicht, elementare Gefährdungen erkannt zu haben und theoretische Maßnahmen im Falle des Eintritts zu formulieren. Diese Maßnahmen müssen getestet werden – und zwar unter möglichst echten Bedingungen. Sind die Maßnahmen als hinreichend erachtet, müssen diese auch kommuniziert werden. Der beste Plan nützt nichts, wenn niemand davon weiß.

Verantwortlichkeiten zu klären und zu kommunizieren ist unablässig für ein funktionierendes Sicherheitsvorfalls-, Risiko- und Notfallmanagement. Wen rufe ich? Wen, wenn diese Person nicht erreichbar ist? Wer kann und darf Entscheidungen treffen? Je nach Art des Angriffs bleibt nur wenig Zeit zu reagieren. Besonders dann sind die Meldeketten kritisch für das Eindämmen der verursachten Schäden. Wenn es schon vorformulierte Handlungsempfehlungen gibt, umso besser!

Ein Verschlüsselungstrojaner schleicht sich jedoch unter Umständen über längere Zeit in das System ein, verschlüsselt nach und nach Datenteile. Diese Daten sind dann bereits im Backup verschlüsselt, wenn der Angriff bemerkt wird. Weitreichender Schaden kann in einem solchen Fall mit einer guten Kenntnis und Überwachung der eigenen IT-Systeme eingedämmt werden. Das geschieht durch Schwachstellenscanner und Tools, die Festplatten und Backups auf Verschlüsselung prüfen. Das bloße Laufenlassen einer Software ist jedoch nicht ausreichend. Ergebnisse müssen beobachtet, analysiert und mit der aktuellen Risikorealität abgeglichen werden. Mein Kollege Dr. Markus Ermes hat jüngst auf die Wichtigkeit richtig gesicherter Backups in Bezug auf Ransomware aufmerksam gemacht. [1]

Fazit

Natürlich ist mit einem umfangreichen ISMS ein wirklicher Aufwand verbunden, dessen positive Wirkung nicht unbedingt sofort spürbar ist. Im Schadensfall macht aber gerade das den Unterschied.

Verweise

[1] https://www.comconsult.com/ransomware-und-backup-worauf-kommt-es-an/