Wählen Sie Ihre Sprache

Frau vor einem Computer mit Schlossbildschirmschoner

Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner sind die Waffen der Kriminellen

Leitfaden für Unternehmen um sich vor Cyberangriffen zu schützen.

1. Warum Cyberangriffe mit Ransomware beliebt sind
2. Ransomware-as-a-Service
3. Analyse eines Ransomware-Angriffs
4. Verbreitungsmethoden
5. Ransomware-Varianten: Crypto und Locker
6. Best Practices
7. Mitarbeiterschulung
8. Fazit

1. Warum Cyberangriffe beliebt sind?

Hacker wollen ihre Opfer erpressen, um sich auf illegale Weise zu bereichern. Für solche Cyberangriffe nutzen sie gerne Ransomware. Dabei werden Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner eingesetzt. Nach einem Angriff werden Geldbeträge für die Wiederherstellung sensibler Daten von den betroffenen Unternehmen verlangt. In der Vergangenheit haben Kriminelle Geldzahlungen für die Wiederherstellung medizinischer oder personenbezogener Daten von Gesundheitsdienstleistern und Polizeibehörden erzwungen, Hotelgäste in Österreich aus ihren Zimmern ausgesperrt, Notfallsysteme in einer Stadt in Massachusetts deaktiviert, Geld von einem Gemeinderat in Grossbritannien erpresst und Mandantendaten von Anwaltskanzleien verschlüsselt – die Liste ist endlos. Mit täglich Millionen gemeldeter Angriffe im Jahr 2016, Tendenz steigend, ist der Umfang des Problems, vor dem Unternehmen stehen, nicht zu leugnen. Jedes Unternehmen kann das Opfer von Ransomware werden – unabhängig von seiner Grösse.

Anstieg von +800 %!
Die Zahl der Malware-Vorfälle stieg im Jahr 2016 um mehr als 800 Prozent im Vergleich zum Vorjahr.

Opfer von Angriffen können plötzlich nicht mehr auf ihre Desktop­Computer zugreifen. Fortschrittliche Crypto-Ransomware verschlüsselt die Daten auf Computern oder mobilen Geräten. Ist ein Gerät infiziert, erhält der Nutzer eine Erpressernachricht: «Kaufen Sie Entschlüsselungssoftware oder einen Entschlüsselungsschlüssel, oder Ihre Daten sind für immer verloren.» Die virtuelle Währung Bitcoin hat dazu beigetragen, dass Ransomware-Attacken explosionsartig zunahmen. Der Bitcoin selbst ist nicht unzulässig, Cyberkriminelle missbrauchen die Währung jedoch zur sicheren Zahlung von Lösegeldern durch die betroffenen Unternehmen. Ransomware verbreitet sich zunehmend und Cybererpresser wenden mittlerweile Kundendienst­ oder Marketingtaktiken an – mit Erfolg. Das kriminelle Umfeld floriert und teilweise werden sogar Grafiker, Callcenter­ und technische Supportmitarbeiter eingestellt, um die Zahlungsvorgänge und Datenwiederherstellungen zu optimieren.
 

1 Milliarde US-Dollar Ausbeute!
Hacker erbeuteten durch Ransomware nach FBI-Schätzungen Gewinne in Höhe von 1 Milliarde US-Dollar.

2. Ransomware-as-a-Service

Schon zu Anfang – in den Zeiten von CryptoLocker und CryptoWall – wurde deutlich, dass die Besitzer der Server, von denen die Angriffe ausgingen, sehr viel Geld einnehmen würden. Mittlerweile wird Ransomware für Angreifer, die über die nötigen finanziellen Mittel verfügen, immer nutzerfreundlicher. Urheber von Ransomware folgen den gleichen Geschäftsabläufen wie normale Programmierer mit dem eklatanten Unterschied, dass ihre illegalen Produkte im Darknet verkauft werden. Malware-Autoren bieten ihre Software Einzelpersonen oder Gruppen an, die bereit sind, diese – gegen eine Provision – zu verbreiten. Das Lösegeld wird an den Autor und anschliessend zurück an den Verteiler der Malware gezahlt (wobei auch der Entwickler einen Anteil des Geldes erhält). Dank Vorlagen, Informationen zur Ausführung der Ransomware und in einigen Fällen sogar Supportdiensten ist es einfacher denn je, mit Ransomware erfolgreich zu sein.

15,5 Milliarden Malware-E-Mails!
Im Jahr 2016 verschob unser Partner etwa 15,5 Milliarden mit Malware infizierte E-Mails in Quarantäne.

Open-Source-Ransomware


EEin Wissenschaftler veröffentlichte im Internet den Quelltext als Open-Source-Version für ein Ransomware-Tool, das er programmiert hatte. Selbstverständlich verfügte diese Software über einige gezielt eingebaute Hintertüren. Wenn ein Ransomware-Opfer wusste, wonach es suchen musste, konnte der Schaden mit minimalem Aufwand rückgängig gemacht werden. Um dem entgegenzuwirken, entwickelten Cyberkriminelle auf der Grundlage einer Open-Source-Version die Ransomware „Ded Cryptor“. Nicht nur „Ded Cryptor“, bei dem die gezielt eingebauten Schwachstellen entfernt wurden, basiert auf Open-Source-Software. Ransomware-Autoren entwickeln ihre Ideen und Methoden ständig weiter und aufgrund der vielen anderen derzeit verfügbaren Varianten wird diese Open-Source-Taktik immer populärer.

3. Analyse eines Ransomware-Angriffs

In diesem Abschnitt zeigen wir einen echten Ransomware-Angriff von der Infizierung bis zur Ausführung. Wir analysieren, wie Hacker Windows-Verknüpfungsdateien verwenden, die sich seit 2017 wieder zunehmender Beliebtheit erfreuen. Verknüpfungsdateien mit der Dateierweiterung .lnk sind im Wesentlichen kleine Dateien, die in Windows verwendet werden, um auf einen anderen Ort im Dateisystem zu verweisen. Dazu zählen zum Beispiel Verknüpfungen auf dem Desktop zu anderen Programmen, wie dem Browser oder einem Spiel. Diese Malware funktioniert im Grunde genauso, nutzt dabei aber das leistungsstarke Shell-Tool von Windows – die PowerShell.

Typisch für Malware-Kampagnen ist die Methode „Paketzustellung fehlgeschlagen“. Der Text ist so vage, dass die meisten Nutzer auf den Link klicken, um mehr zu erfahren. Das gleiche gilt für Kampagnen mit angeblich verpassten Fax-Sendungen bzw. Sprachnachrichten oder Mahnungen. Die folgende Abbildung zeigt ein typisches Beispiel. Eine angehängte ZIP-Datei verspricht weitere Informationen. Dazu muss sie jedoch geöffnet werden.

In der ZIP-Datei befindet sich eine Verknüpfungsdatei (.lnk), deren Zielpfad auf die Power-Shell (Abbildung R2) verweist. Die PowerShell ist ein befehlszeilenbasiertes Dienstprogramm in Windows, mit dem im Grunde alle Vorgänge ausgeführt werden können, die gewöhnlich innerhalb des Betriebssystems ablaufen. Darüber hinaus unterstützt es Skripts sowie eine Vielzahl von anderen Funktionen. Im Wesentlichen handelt es sich um eine Programmiersprache zur Steuerung des gesamten Windows-Betriebssystems. Die meisten Nutzer verwenden oder kennen die PowerShell wahrscheinlich nicht. Erlangt ein Malware-Autor jedoch Zugriff darauf, kann er sie für seine schädlichen Zwecke nutzen.

Verknüpfung, die auf die PowerShell verweist, einige Befehlszeilenoptionen (Abbildung R3). Diese machen die Datei bösartig. Eine Liste von URLs wird in die PowerShell eingespeist, um eine Verbindung zur Payload herzustellen, sie herunterzuladen und auszuführen. Die Dateien scheinen jeweils eindeutige URL-Bezeichner in einem Unterweb-Verzeichnis von /counter/ im Server zu enthalten, die die Payload ausgeben.

In diesem speziellen Fall handelt es sich bei der heruntergeladenen Payload um eine Version der Ransomware Osiris. Basierend auf der Datei, die über eine der an die Power-Shell übermittelten URLs heruntergeladen wird, initiiert die Ransomware einen Prozess namens a1.exe, um die Systemdateien zu verschlüsseln. Ist der Prozess abgeschlossen, wird auf dem Desktop ein Pop­up­Fenster angezeigt, in dem erläutert wird, was soeben mit dem System passiert ist.
 

Ransomware wird in absehbarer Zukunft nicht verschwinden. Die meisten Varianten folgen immer noch der gleichen Methode: Verschlüsselung von Daten, Benachrichtigung der Nutzer und Forderung von Geld zur Freigabe der verschlüsselten Dateien. Einer der Faktoren für den Erfolg eines derartigen Angriffs ist die Verteilung der Malware. Im gezeigten Beispiel sind LNK-Dateien nur ein weiterer Dateityp, der für die Malware-Verteilung missbraucht wird – eine Methode, die zukünftig wohl noch weiter ausgebaut wird.

4. Verbreitungsmethoden

E-Mail

Spam-E-Mails sind weiterhin die mit Abstand beliebteste Methode, Ransomware in Unternehmen weltweit zu verbreiten. Malware wird in der Regel durch Dateianhänge, eingefügte Links und Social-Engineering-Methoden verbreitet; die Opfer werden durch Täuschung dazu gebracht, einen E-Mail-Anhang herunterzuladen oder auf einen Link zu klicken. Eine gefälschte E-Mail stammt beispielsweise scheinbar von einem Kollegen, der den Empfänger bittet, sich eine angehängte Datei anzusehen. Oder die E-Mail wurde vorgeblich von einer vertrauenswürdigen Institution (z. B. einer Bank) gesendet, die den Empfänger bittet, einen Routinevorgang durchzuführen. Dabei wird die E-Mail-Adresse des Absenders unter Umständen durch Spoofing manipuliert, d. h. eine E-Mail-Nachricht verfügt über eine gefälschte Absenderadresse. Einfache E-Mail-Protokolle besitzen keinen Authentifizierungsmechanismus. Hacker nutzen diese Lücke aus und lassen eine E-Mail auf diese Weise glaubwürdig erscheinen. Die Liste der Techniken, mit denen E-Mail-Empfänger getäuscht werden, ist im Grunde endlos; sie reicht von einfacher Verschleierung bis hin zu fortgeschrittenen Social-Engineering-Methoden.

43 Millionen Bedrohungen pro Tag!
SecureSurf identifiziert durchschnittlich 43 Millionen Bedrohungen aus dem Web pro Tag.

Bedrohungen aus dem Web

Der Webbrowser zählt heute zu den wichtigsten Anwendungen auf dem Desktop. Unglücklicherweise ist er auch eine der am stärksten gefährdeten Anwendungen, da er Malware Einlass gewährt und somit Cyberangriffe ermöglicht. In vielen kleinen Unternehmen wird nicht bedacht, dass der Browser als Anwendung Codes vom Standort eines Dritten herunterladen und ausführen darf – also praktisch von jeder externen Website. Jedes Mal, wenn ein Mitarbeiter einen unbekannten Code in das Netzwerk einlässt, wird das Unternehmen gefährdet. Viele Unternehmen schenken der Websicherheit immer noch nicht die gebührende Aufmerksamkeit. Deshalb ist das Internet zu einem lohnenden Instrument geworden, um sich Zugang zu Unternehmensnetzwerken zu verschaffen.
 

Softwarepakete und andere Formen

Malware kann zusammen mit anderen Programmen installiert werden, die Sie herunterladen, zum Beispiel Software von Drittanbieter-Websites oder Dateien, die über Peer-to-Peer-Netzwerke freigegeben werden. Symbolleisten oder Programme, die zusätzliche Funktionen bieten, werden ebenfalls häufig verwendet, um Ransomware in Netzwerke einzuschleusen.
 

Infizierte Wechseldatenträger

Viele Würmer werden durch die Infizierung von Wechseldatenträgern wie USB-Speichern oder externen Festplatten verbreitet. Die Malware kann automatisch installiert werden, sobald der infizierte Datenträger an einen PC angeschlossen wird.

5. Ransomware-Varianten: Crypto und Locker

Crypto-Ransomware

Wenn das Gerät des Opfers infiltriert wurde, identifiziert und verschlüsselt Crypto-Ransomware unerkannt wertvolle Dateien. Erst wenn der Zugriff auf die anvisierten Dateien erfolgreich gesperrt wurde, wird der Nutzer durch die Ransomware aufgefordert, eine Gebühr zu zahlen, um wieder auf seine Dateien zugreifen zu können. Ohne den Entschlüsselungsschlüssel, der sich im Besitz der Angreifer befindet, verliert der Nutzer den Zugriff auf die verschlüsselten Dateien. Zudem wird bei Crypto-Ransomware häufig eine Frist gesetzt.
 

CryptoLocker

CryptoLocker zählt zu den bekanntesten Crypto-Ransomware-Typen und installiert sich mit einem zufällig generierten Namen selbst im Ordner „Dokumente und Einstellungen“. Dann fügt sich die Ransomware in der Registry zur Liste der Programme hinzu, die unter Windows automatisch geladen werden, wenn der Nutzer sich das nächste Mal anmeldet. Sobald CryptoLocker gestartet wurde, wird eine Liste beliebig erscheinender Servernamen mit unterschiedlichen Domains erstellt. Die Ransomware versucht, diese Server zu kontaktieren. Sobald sie eine Verbindung hergestellt hat, generiert der Server ein eindeutiges öffentlich-privates Schlüsselpaar und sendet den öffentlichen Schlüssel an den Computer zurück.

Was sofort auffällt, wenn ein System mit Ransomware infiziert wird, ist die Geschwindigkeit. In weniger als einer Minute wird ein voll funktionsfähiges System im Prinzip nutzlos. Die lokalen Dateien werden verschlüsselt und auch die Sicherungsdateien auf der angeschlossenen Festplatte können nicht mehr verwendet werden.
Steve Ragan, CSO (IDG Group)

 

Locker-Ransomware

Bei dieser Ransomware handelt es sich um eine Computersperre, die nicht die Dateien des Opfers verschlüsselt, sondern den Zugriff auf das Gerät verhindert. Die Benutzeroberfläche des Geräts wird gesperrt. Anschliessend wird vom Opfer ein Lösegeld gefordert. In diesem Fall bleiben dem Opfer nur sehr wenige Optionen. Einzig die Kommunikation mit dem Angreifer und die Zahlung des Lösegelds sind möglich.
 

Locky

Die Ransomware Locky entstand im Februar 2016 und wurde schnell zu einem Favoriten unter Hackern. Je nach Erfassung der Infizierungsrate ist sie entweder die häufigste oder die zweithäufigste Ransomware-Variante im Web. Am Tag seines ersten Auftretens startete Locky in 18 verschiedenen Ländern. 24 Stunden später war die Ransomware schon in 61 Ländern verbreitet.  

6. Best Practices

Unternehmen sind nicht nur Ransomware-Angriffen, sondern auch einer zunehmenden Vielfalt von Bedrohungen auf all ihren Kommunikationsplattformen ausgesetzt. Die Cyberkriminalität profitiert von bedeutender technischer Kompetenz, umfangreichen Finanzierungen und leicht anpassbaren Transaktionen. Erfahren Sie mehr über bewährte Methoden zur Vermeidung von Malware­ und Ransomware­Angriffen in Unternehmen – von den offensichtlichsten Massnahmen bis hin zu praktischen Tipps zur Erhöhung der Sicherheit und zum Schutz Ihres Geschäftsvermögens.
 

Mehrschichtige Sicherheit

Die Sicherung eines Netzwerks mit einem mehrschichtigen Ansatz ist eine bewährte Methode. Ihr Unternehmen sollte durch eine kombinierte Lösung für E-Mail- und Websicherheit und zusätzlichen Antivirus-Schutz für Endgeräte alle Sicherheitslücken schliessen. Plattformen für Webschutz, wie SecureSurf, ergänzen E-Mail-Sicherheit und Antivirus-Schutz für Endgeräte, indem Malware an der Quelle blockiert wird. Ausserdem werden Netzwerke nach vorhandener Malware durchsucht, die bisher unerkannt geblieben ist und Kontakt zum Server ihres Autors aufnehmen könnte.

In jedem Netzwerk gibt es Sicherheitslücken. Durch die passende Kombination aus E­Mail­Sicherheit, Antivirus­Schutz für Endgeräte und Websicherheit kann ein Unternehmen diese Lücken schliessen und den eingehenden sowie ausgehenden Datenverkehr überwachen.
 

Vorteile der Cloud

Ein Cloud-basiertes Modell erhöht die Sicherheit in Ihrem Unternehmen. Alle Sicherheitslösungen können kontinuierlich mehrere Tausend Mal täglich aktualisiert werden und so Schutz vor den neuesten Spammer-Tricks und -Methoden gewährleisten. Der Cloud-Ansatz funktioniert auf verschiedenen Plattformen. Dabei kommen proprietäre Erkennungssysteme zum Einsatz, die kontinuierlich angepasst werden. Zusätzliche Hardware oder Software vor Ort sind nicht erforderlich. Durch eine einfache DNS-Konfigurations- oder MX-Eintragsänderung, die auf einen Cloud-basierten Dienst verweist, werden das gesamte Netzwerk und alle E-Mails innerhalb weniger Minuten geschützt. Wenn es um Infrastruktur geht, bieten die Rechenzentren Sicherheit auf Unternehmensebene, die auch für kleine und mittlere Unternehmen erschwinglich ist – und das ohne spezielles IT-Personal.
 

E-Mail-Sicherheit

Der beste Umgang mit Ransomware ist es, Angriffe von vornherein zu vermeiden. Durch den Einsatz unserer Dienstleistungen mit SecureTide kann Ransomware nicht mehr per E-Mail in das Netzwerk gelangen. Sie können die Sicherheitsstufen selbst festlegen, und SecureTide bietet zahlreiche Optionen zur Verschärfung Ihrer Sicherheitsmassnahmen gemäss diesen Anforderungen.

Blockieren Sie E-Mails, die aus Ländern stammen, in denen Sie nicht tätig sind. Mit der Option von SecureTide für die Blockierung nach Land können Sie die Menge an Malware reduzieren.

Als Administrator können Sie eine Dateierweiterungsrichtlinie für eingehende E-Mails festlegen. Es empfiehlt sich, EXE-Dateien zu unterbinden. Die Beseitigung von ZIP- und DOT-Dateien muss gegebenenfalls intern besprochen werden. Sobald Sie eine klare Dateierweiterungsrichtlinie festgelegt haben, rufen Sie einfach die Einstellungen von SecureTide auf und fügen alle Anhang-Erweiterungen hinzu, die bei Eingang blockiert werden sollen.

Eine weitere Ransomware­Methode ist das Versenden von Word-Dokumenten oder Excel-Dateien mit eingebetteten Makros. SecureTide scannt diese Anhänge zwar mit einer Erfassungsrate von 99,9 %. In den SecureTide-Einstellungen gibt es jedoch auch die Option, alle Dateien mit Makros zu blockieren.

Zudem sollten E-Mail-Filter immer mehrere Virenschutzmodule enthalten – ein einziger Virenschutz bietet keine ausreichende Zuverlässigkeit. AppRiver SecureTide enthält derzeit standardmässig fünf Virenschutzmodule, von denen immer mindestens zwei aktiviert sein sollten.
 

JavaScript und Makros

Zur Isolierung potenziell schädlicher Dateien und Speicherung in einer sicheren Umgebung sollten JavaScript-Dateien (JS-Dateien) standardmässig im Editor geöffnet werden. Zudem sollte die „geschützte Ansicht“ von Office 2016 eingerichtet sein, sodass Office­Makros bei Dokumenten aus dem Internet automatisch gestoppt werden. Wir empfehlen, Makros mithilfe der Administratoroptionen von SecureTide unternehmensweit zu sperren.

Installieren und aktivieren Sie Microsoft Office-Viewer, damit die Empfänger von Dokumenten diese vor dem Öffnen ansehen können. Aktivieren Sie im Betriebssystem ausserdem stets die Anzeige von Dateierweiterungen, sodass Empfänger möglichst viele Informationen über einen Anhang erhalten.
 

Prüfung und Überwachung Ihres Netzwerks

Jedes Unternehmen, auch Ihres, verfügt über wertvolle IT-Vermögenswerte wie Computer, Netzwerke und Daten. Zum Schutz dieser Vermögenswerte ist es notwendig, dass Unternehmen jeder Grösse IT-Sicherheitsprüfungen durchführen. Dadurch erhalten sie Informationen über den Status ihres Netzwerks, vorhandene Sicherheitslücken und die besten Strategien im Umgang mit Bedrohungen. Wenn Sie SecureSurf in Ihrem Netzwerk implementiert haben, empfiehlt es sich, mit den verfügbaren Überwachungsoptionen eine Netzwerkprüfung durchzuführen und die Netzwerknutzung sowie Bedrohungen zu analysieren. In einem Bericht werden Sie über die Integrität des Netzwerks und identifizierte Malware informiert. Falls eine Malware versucht, Kontakt zum Server ihres Urhebers aufzunehmen, blockiert SecureSurf den Versuch automatisch und gibt Ihnen die Möglichkeit, die Infizierung zu beheben.

Erstellen Sie eine Bestandsliste der Vermögenswerte Ihres Unternehmens, um später zu entscheiden, was geschützt werden muss. Diese Liste der Vermögenswerte sollte neben PCs, Mobiltelefonen und Laptops auch Router, VoIP-Telefone, IP PBXs, Netzwerkgeräte und Drucker enthalten.
 

Patchverwaltung und zusätzliche Kontrolle

Mit der Patchverwaltung für Betriebssysteme und Apps werden potenziell ausnutzbare Schwachstellen beseitigt. Halten Sie die Betriebssystemsoftware auf dem neuesten Stand, indem Sie Patches frühzeitig und regelmässig installieren. Windows, MAC OS, iOS, Android, Linux usw. sollten alle über die neuesten Sicherheitsupdates verfügen.

Fügen Sie physische Zugangsmöglichkeiten zu Ihrem Netzwerk hinzu, um es vor unbefugten Nutzern im internen Netzwerk zu schützen, insbesondere ausserhalb des Unternehmens, wo Firmen-Laptops zu verlockenden Zielen werden können.
 

Beschränkung der Nutzerrechte

Malware kann von Mitarbeitern auch unwissentlich zusammen mit anderen Programmen installiert werden, die sie herunterladen. Dazu gehören Software von Drittanbieter-Websites oder Dateien, die über Peer-to-Peer-Netzwerke freigegeben werden. Es ist daher wichtig, die Nutzerrechte für die Installation von nicht kontrollierter Software zu beschränken.
 

Cloudbasierte Sicherung

Ransomware kann auf externe Datensicherungslösungen übertragen werden, die direkt mit einem PC verbunden sind. Online-Backups sind die sicherste Methode, Daten nach einem Angriff wiederherzustellen. Sollten Dateien durch Ransomware verschlüsselt werden, kann eine Online-Sicherungslösung alle Daten auf den Stand vor der Infizierung zurücksetzen, sodass Sie Schäden sofort beheben können.

Moderne Backup-Komplettlösungen erstellen alle fünf Minuten Snapshot-basierte inkrementelle Sicherungen, um eine Reihe von Wiederherstellungspunkten zu generieren. Falls Ihr Unternehmen Ziel eines Ransomware-Angriffs wird, können Sie mit dieser Technologie Ihre Daten auf einen Zeitpunkt vor der Beschädigung zurücksetzen. Was Ransomware anbelangt, haben Sie hier einen zweifachen Vorteil. Erstens müssen Sie kein Lösegeld zahlen, um Ihre Daten zurückzubekommen. Und zweitens können Sie sicher sein, dass Ihr System sauber ist und die Malware nicht wieder ausgelöst werden kann, da Sie zu einem Zeitpunkt vor der Infizierung des Systems durch Ransomware zurückkehren. Darüber hinaus können Nutzer heute bei einigen Datensicherungsprodukten Anwendungen aus abbildbasierten Backups von virtuellen Maschinen ausführen. Diese Funktion wird gewöhnlich als „Recovery-in-Place“ oder „Sofortige Wiederherstellung“ bezeichnet. Diese Technologie ist auch für die Wiederherstellung nach einem Ransomware-Angriff nützlich, da die primären Systeme ohne oder fast ohne Ausfallzeit wiederhergestellt werden. Mit einer solchen Lösung sind Unternehmen im Falle einer Katastrophe stets betriebsbereit.

7. Schulungsprogramm für Mitarbeiter

Führen Sie in Ihrem Unternehmen einen Kurs zu Sicherheitsbewusstsein und Social-Engineering-Methoden durch, damit Nutzer sowohl Inhalte, die sie aus dem Internet herunterladen oder über Kommunikations-Tools empfangen, als auch die Art und Weise, wie sie aufs Internet zugreifen, besser beurteilen können.

Einige Programme installieren weitere Anwendungen mit potenziell unerwünschter Software. Dazu zählen Symbolleisten oder Programme, durch die Ihnen beim Surfen im Internet zusätzliche Werbung gezeigt wird. Um die Installation dieser Anwendungen zu verhindern, deaktivieren Sie bei der Installation das entsprechende Kontrollkästchen.

Schulungen zum Sicherheitsbewusstsein helfen Nutzern, vorsichtiger im Hinblick darauf zu sein, was sie sich ansehen, was sie öffnen und welche Links sie anklicken. Eine Schulung allein kann die Sicherheitsprobleme eines Unternehmens nicht vollständig lösen. Die Nutzer – die erste Verteidigungslinie in jeder Sicherheitsinfrastruktur – gehen dadurch jedoch bewusster mit Sicherheitsfragen um und sind wahrscheinlich weniger anfällig für Ransomware-Angriffe. Die Schulung von Mitarbeitern ist für den Schutz vor komplexen Social-Engineering-Angriffen unerlässlich.

Es gibt Firmen, die für kleine und mittlere Unternehmen Schulungskurse anbieten, in denen Mitarbeiter lernen, Bedrohungen zu identifizieren, Software richtig zu handhaben und Best Practices im Hinblick auf Sicherheit im Netzwerk proaktiv umzusetzen.
 

Sicherheitstipp!
Raten Sie Ihren Mitarbeitern von Software zum Generieren von Softwareschlüsseln (Keygens) ab, da diese häufig gleichzeitig Malware installieren.

Erstellung von Betreff-Listen

Bei den meisten Malware-Angriffen der jüngsten Zeit wird eine sehr allgemeine Sprache verwendet. Die Texte lauten „E-MAIL: PIC4335525.JPG“ oder „Jemand hat Ihnen eine sichere Nachricht gesendet“. Andere haben typische Themen, wobei die Formulierungen im Betreff häufig wechseln, zum Beispiel „Ihr FedEx-Paket #874340346, Aktueller Status: Zustellung fehlgeschlagen“ oder „Zustellung nicht erfolgreich, FedEx-Lieferung #272462583”. Wieder andere Malware-Formen verwenden häufig Betreffe wie „Sie haben eine Faxnachricht erhalten“ oder „Sie haben eine neue Sprachnachricht“. Mit Ihrem Administratorzugriff auf die Firmen-Domain können Sie die Trends erfassen und regelmässig eine Top-10-Liste der häufigsten E-Mail-Betreffe bei Malware-Angriffen veröffentlichen, um Nutzer über die neuesten Entwicklungen zu informieren.
 

8. Fazit

Cybererpresser, die Ransomware einsetzen, stellen auch in Zukunft eine Bedrohung für Unternehmen jeder Grösse dar. Entsprechende Schulungen und die richtigen Sicherheitslösungen können jedoch viel bewirken. Wenn Ihre Mitarbeiter wissen, worauf sie achten müssen, können sie Probleme vermeiden. Die Bedrohungen ändern sich ständig, und Kriminelle verbessern kontinuierlich ihre Angriffsmittel. Aus diesem Grund benötigen Sie einen mehrschichtigen Sicherheitsansatz und einen ausgearbeiteten Sicherheitsplan. Schützen Sie Ihr Unternehmen und Ihre Mitarbeiter, damit Sie nachts gut schlafen können.

Verwenden Sie die Internet- und VoIP Produkte von Green, Webhosting-Angebote, Hosted Exchange Abos oder E-Mail Hosting von uns und Sie verfügen über einen Basisschutz! greenBackup hilft, die Daten wiederherzustellen, wenn doch mal etwas passiert.


Quellen: AppRiver: Global Security Report | IBM-Bericht „Ransomware: How Consumers and Businesses Value Their Data” | FBI: Ransomware Prevention and Response for CISOs | Jonathan French, Security Analyst bei AppRiver: „Fake UPS emails deliver Windows shortcut malware“ | Steve Ragan, Senior Staff Writer, CSO: „Infecting a system with Locky Ransomware“.