{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland
Auch wenn sich einzelne Schritte im Detail unterscheiden, ist der Ablauf eines Ransomware-Angriffs im Grunde immer gleich. Er lässt sich anhand von vier Phasen – Vorbereitung, Angriff, Ausbreitung und Infektion – darstellen. In unserer Blog-Serie veranschaulichen wir diese Phasen anhand eines Beispielszenarios aus der Sicht eines Ransomware-Betreibers und zeigen auf, welche Schutzmassnahmen wirklich effektiv sind. Abschliessend befassen wir uns mit rechtlichen Aspekten von Ransomware-Zahlungen.
Wozu Sie heute mehr erfahren werden
61% der Führungskräfte in der Schweiz erwarten eine Zunahme der meldepflichtigen Ransomware-Angriffe im Jahr 2022.
Cybersecurity und Datenschutz
Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.
Phase 3: die Ausbreitung
Ist das Netzwerk des Zielunternehmens geknackt, geht es nun darum, an die benötigten Daten für die Erpressung zu gelangen. Dies braucht Zeit und meistens auch erweiterte Zugriffe auf mehrere Systeme. Hier kommt die von Profis entwickelte Malware ins Spiel. Sie hilft dem:der Cyberkriminellen dabei, das System in Teilen zu übernehmen und zu steuern. In Abhängigkeit der geknackten Nutzungsberechtigungen verhält sich die Malware unterschiedlich; sie wird entweder versuchen, andere Accounts zu übernehmen oder auf andere Rechner zuzugreifen. In jedem Fall verschafft die Malware der angreifenden Person erste Erkenntnisse über das kompromittierte System.
Cyber incident response and recovery
Bereiten Sie sich dank unserer vielseitigen und flexiblen Lösungen – einschliesslich Gesamtpaketen – erfolgreich auf bevorstehende Cyber-Bedrohungen vor.
Was können Sie nun tun?
Auch hier gilt die Devise: Cyberkriminelle gehen den Weg des geringsten Widerstands. Das bedeutet in der Praxis häufig, dass bekannt gewordene Schwachstellen zeitnah ausgenutzt werden. Sobald für eine Schwachstelle ein Patch veröffentlicht wurde, kennen auch die Entwickler:innen der Ransomware diese Schwachstelle und werden versuchen, sie gezielt für einen Angriff zu nutzen, bevor Ihre Firma den Patch eingespielt hat.
Patch-Management und Systemhärtung:
- Patches und Sicherheitsupdates sind das effektivste Mittel, um Cyberkriminelle in dieser Phase aufzuhalten. Ein vollständig gepatchtes System ist kein einfaches Ziel und zwingt jene dazu, sich entweder auf andere Ziele oder auf aufwendigere Methoden zu verlegen. Wenn Sie von einer Schwachstelle betroffen sind und aus verschiedenen Gründen keinen Patch oder sonstigen Workaround anwenden können, prüfen Sie, ob Sie die betroffenen Geräte vom Netzwerk trennen können, bis eine Lösung verfügbar ist. Falls das nicht möglich ist, sollten Sie unbedingt eine intensivere Überwachung gewährleisten.
- Härten Sie Ihr System und gehen Sie bei der Priorisierung entsprechend den Erkenntnissen aus Ihrem Risikomanagement vor. Clients haben in der Regel Vorrang, gefolgt vom zentralen Verzeichnisdienst (Active Directory), den Webservern, Mailservern und anderen aus dem Internet erreichbaren Geräten. Die Härtung muss regelmässig überprüft werden. So können Sie auch ungenutzte Systemdienste identifizieren und deaktivieren, um die Angriffsfläche zu verkleinern.
- Ein ausgereiftes Rollen- und Berechtigungskonzept schränkt zudem die Möglichkeiten von Angreifer:innen ein. Systemnutzer:innen sollten nur die Berechtigungen haben, die sie tatsächlich brauchen. So ist zum Beispiel in vielen Firmen die Berechtigung zur Installation von Software für Entwickler:innen notwendig, jedoch nicht für die meisten anderen Nutzergruppen.
Monitoring:
- Der Einsatz moderner Detektionstechnologien und die fachgerechte Einrichtung helfen bei der Erkennung eines laufenden Angriffs. Auf diese Weise lässt sich der Schaden in manchen Fällen noch abwenden oder zumindest eindämmen. Stellen Sie sicher, dass Ihre Sensorik so konfiguriert ist, dass nicht nur auf die klassischen Indicators of Compromise (IoCs) wie bekannte IP-Adressen und Domänennamen geprüft wird. Auch die Anomalieerkennung spielt eine wichtige Rolle. So sollte zum Beispiel ein Alarm ausgelöst werden, wenn ein Office-Programm einen PowerShell-Aufruf durchführt.
- Testen Sie regelmässig, ob das Monitoring und die Alarmauslösung zuverlässig funktionieren.
Weitere Massnahmen:
- Penetration Testing
- Vulnerability Management
- Überprüfung eingehender E-Mails und Blockierung ausführbarer Dateien
- sichere Konfiguration von Office-Produkten
- Verzicht auf die Vergabe lokaler Administrationsberechtigungen
Vulnerability Management
Lassen Sie uns Ihre IT-Schwachstellen überwachen, damit Sie sich auf das Kerngeschäft konzentrieren können.
#social#
Mit Vertrauen zum Erfolg
Bei PwC sind wir eine Gemeinschaft von Problemlösenden, die Ihnen – unterstützt durch Technologie – helfen, alle und alles zu schützen, was Ihnen wichtig ist.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Kontaktieren Sie uns
