Verschlüsselungstrojaner oder Ransomware machen Dokumente auf dem Computer unbrauchbar. Diese sieben Empfehlungen helfen, Ihr KMU zu schützen und den Datenverlust bei einem Befall zu minimieren.
Sie tragen Namen wie Lockbit, Babuk, Play oder ALPHV/Blackcat. Wenn sie auftauchen, geht nachher meistens nichts mehr. Wütet einer dieser Ransomware-Vertreter im Firmennetz, verschlüsselt er alle Daten. Und gibt sie (vielleicht) gegen Bezahlung eines Lösegelds wieder frei. Daher die deutschen Bezeichnungen «Lösegeld-Software» oder Verschlüsselungstrojaner. Die Angriffe erfolgen breit und automatisiert, die Ransomware-Banden sind gut organisiert und professionell. Diese Angriffe sind ein akutes Sicherheitsrisiko für Firmen, weil die Attacken wahllos alle treffen können.
Zuerst Dokumente stehlen, dann verschlüsseln
Das Bundesamt für Cybersicherheit (BACS), ehemals Nationales Zentrum für Cybersicherheit (NCSC), hat 2023 knapp 100 Meldungen über Ransomware-Angriffe erhalten, etwas weniger als im Vorjahr. Einige davon haben für erhebliches Aufsehen gesorgt. Doch diese Stagnation bei den Meldungen ist trügerisch. Einerseits gibt es wohl eine grosse Dunkelziffer. Andererseits kann jederzeit ein neuer Akteur auf den Plan treten und eine Ransomware-Welle lostreten.
Zudem sind die Angriffe gefährlicher geworden. Sie beschränken sich nicht mehr aufs Verschlüsseln der Daten. Als zusätzliches Druckmittel werden die geschäftlichen Unterlagen vorgängig gestohlen mit der Drohung, die Daten im Darknet zu veröffentlichen, wenn das Opfer nicht zahlen will. Im Jahresbericht 2023 betont das BACS, dass dies bei praktisch allen gemeldeten Ransomware-Attacken der Fall gewesen sei. Entsprechend sind auf den sogenannten Leak Sites der Ransomware-Banden im Darknet immer wieder vertrauliche Daten von Schweizer Unternehmen und Organisationen zu finden.
Die Publikation vertraulicher Geschäftsdaten kann zu Reputationsschäden, Betriebsausfällen und finanziellen und rechtlichen Konsequenzen führen. Deshalb lohnt es sich für KMU, die Informatik präventiv so zu schützen, dass ein allfälliger Befall zu keinem oder nur verkraftbarem Datenverlust führt und sich der Schaden in Grenzen hält. Der beste Schutz kombiniert technische und organisatorische Massnahmen mit der Sensibilisierung der Mitarbeitenden auf Phishing-Mails und Cyberangriffe.
Sieben Empfehlungen für den Schutz vor Ransomware
Mit diesen Massnahmen können Sie das Risiko und den Datenverlust bei einem erfolgreichen Ransomware-Angriff minimieren:
1. Halten Sie Betriebssysteme und Anwendungen aktuell
Die meiste Ransomware nutzt bereits bekannte Sicherheitslücken, die mit einem Update gestopft wurden. Setzen Sie deshalb auf automatische oder allenfalls zeitnahe manuelle Updates, um solche Lücken in Windows und Anwendungen möglichst rasch zu schliessen. Besonders gefährdet, weil als Angriffspunkte beliebt, sind Webbrowser, Office-Anwendungen und Windows selbst. Und falls Sie noch mit dem nicht mehr aktualisierten Windows 7 arbeiten, nehmen Sie die Gefahr durch Ransomware doch als Anlass, möglichst bald auf Windows 10 (oder 11) umzusteigen.
2. Nutzen Sie Antiviren-Software und den Ransomware-Schutz von Windows («überwachter Ordnerzugriff»)
Microsoft Defender oder die Antiviren-Software eines anderen Anbieters kann Ihr System zumindest vor bekannten Schädlingen schützen. Auch hier ist es wichtig, dass Software und Virusdefinitionen immer aktuell sind. Automatische Updates sind hier Pflicht.
Windows bietet zudem ab Version 10 mit dem «überwachten Ordnerzugriff» in den Einstellungen «Windows-Sicherheit» einen zusätzlichen Schutz, indem Malware wie beispielsweise Ransomware der Zugriff auf bestimmte Verzeichnisse verweigert wird. Wenn Sie diesen Schutz aktivieren, müssen Sie zu Beginn allerdings mit einigen «false Positives» rechnen, weil oft auch legitime Anwendungen daran gehindert werden, auf die geschützten Ordner zuzugreifen. In so einem Fall können Sie manuell (mit Admin-Rechten) den Zugriff für die Zukunft erlauben.
3. Setzen Sie eine Firewall im Geschäft ein
Für KMU gibt es Firewall-Lösungen verschiedener Hersteller wie beispielsweise Managed Security von Swisscom, die sich auch ohne fundiertes Fachwissen einsetzen lassen. Die Firewall verbindet das lokale Netzwerk (Ethernet und WLAN) mit dem Internet, schützt vor Fremdzugriffen und kann unter anderen als «Virenschleudern» bekannte Internet-Adressen blockieren. Sinnvoll ist zudem eine Firewall, die den Netzwerkverkehr auf Schadsoftware untersuchen und so Ransomware erkennen kann.
4. Nutzen Sie einen sicheren Cloud-Speicher mit Versionierung
Mit einem Cloud-Speicher, der verschiedene Versionen eines Dokuments aufbewahrt (sogenannte Versionierung oder Snapshots in zeitlichen Intervallen) können Sie bei einer Verschlüsselung durch Ransomware schnell reagieren und zur letzten gespeicherten Version der Dateien vor dem Befall «zurückspulen». Im Idealfall verlieren Sie so nur wenige Minuten Ihrer Arbeit. Eine solche Versionierung bieten beispielsweise SharePoint und OneDrive (for Business) aus Microsoft 365 for Business.
Wenn viele Mitarbeitende im Homeoffice arbeiten, nützt die Firewall in der Firma herzlich wenig. Sorgen Sie dafür, dass geschäftliche Dokumente nicht lokal auf dem Computer gespeichert werden, sondern in der Cloud. Sie erhöhen damit die Chancen wesentlich, Dokumente nach einem Ransomware-Befall wieder herzustellen. Zudem vereinfachen Sie Zusammenarbeit und Dokumentenaustausch im Unternehmen.
5. Schützen Sie Remote-Zugriffe (VPN, Webmail usw.) mit Zweifaktor-Authentifizierung (2FA)
Alle Anwendungen, die übers Internet zugänglich sind, sollten Sie nicht nur mit einem Passwort, sondern mit einem zweiten Faktor absichern. Je nach Anwendung kann dies über Mobile ID geschehen oder mittels einer Authenticator-App auf dem Smartphone, beispielsweise von Google oder Microsoft.
Mit einer Zweifaktor-Authentifizierung (2FA) erschweren Sie Cyberkriminellen den Zugriff auf ein Firmenkonto, weil der Angreifer nicht nur das Passwort ergaunern muss, sondern auch den zweiten Faktor.
Diese Zugänge sollten Sie unbedingt mit 2FA schützen:
- Microsoft- und Google-Konten (Microsoft 365 und Google Workspace)
- Remote-Zugriff aufs Firmennetz via VPN (Virtual Private Network)
- Remote-Desktop-Zugriffe
- Webmail-Konten
- Webbasierte Unternehmensapplikationen (ERP, CRM usw.)
- Social-Media-Konten
6. Richten Sie ein Backup ein
Das gilt für lokale Server und Cloud-Speicher. Wenn Sie das gesamte System sichern, können Sie bei einem Virenbefall zumindest auf den Stand vor dem Befall zurückkehren. Das erleichtert die Wiederherstellung des Systems, schützt aber aufgrund der langen Intervalle (üblicherweise täglich) nur beschränkt vor Datenverlust.
Wichtig ist zudem, dass Sie das Backup selbst vor einem Ransomware-Angriff schützen. Dazu sollten Sie die Sicherung mindestens vor Veränderung schützen, etwa mit einem Schreib- oder Zugriffsschutz. Noch besser ist aber, wenn die Backupmedien nach erfolgter Sicherung getrennt werden und gar nicht übers Netzwerk zugänglich sind (sogenanntes Offline-Backup). Eine moderne Variante stellt ein Cloud-Backup dar, das die Sicherung ebenfalls vor Ransomware schützen kann.
7. Sensibilisieren Sie Ihre Mitarbeitenden!
Dieser Tipp ist zentral, denn viele erfolgreiche Ransomware-Angriffe beginnen mit der Aktion eines Menschen. Da Schadsoftware häufig per Phishing-Mail verbreitet wird, beginnt sie ihre Aktivität nach einem Klick auf einen Link oder mit dem Öffnen eines Anhangs im Mail. Wenn Sie Ihre Mitarbeitenden für diese Sachlage sensibilisieren, erhalten Sie einen zusätzlichen Schutzschild.
Download Praxispapier: Vier häufige Irrtümer, die die IT-Sicherheit in KMU untergraben
Trotz bestehender Massnahmen zur IT-Sicherheit sind Cyberangriffe nicht ausgeschlossen. In diesem Praxispapier zeigen wir auf, warum technische Vorkehrungen alleine nicht genügen und welche 4 Irrtürmer Sie vermeiden sollten. Jetzt kostenlos herunterladen.
*Unsere Datenschutzbestimmungen inklusive Online-Datenschutzerklärung sowie die Möglichkeiten zum Widerruf der Datenbearbeitung oder Abmeldung von Newsletter finden Sie hier: Datenschutzbestimmungen
Zusatz-Empfehlung: Segmentieren Sie Ihr Netzwerk
Diese Empfehlung auszuführen, würde den Rahmen dieses Artikels sprengen, und hängt von der Unternehmensgrösse ab: Unterteilen Sie das lokale Firmennetz in verschiedene Bereiche (Zonen, virtuelle LAN). Mit einer solchen Segmentierung können Sie verhindern, dass sich Ransomware im gesamten Netz ausbreitet. Auf jeden Fall eine gute Idee ist es, ein Gäste-WLAN einzurichten und den Netzwerkzugang für Besuchende und Mitarbeitende zu trennen.
Was tun bei einem Ransomware-Befall?
Sollten Sie trotz aller Sicherheitsmassnahmen einen Ransomware-Befall feststellen, trennen Sie die Computer sofort vom Netz und von allen angehängten Speichermedien, um weiteren Schaden zu verhindern. Allenfalls trennen Sie die Internetverbindung, um einen laufenden Datenabfluss zu stoppen – falls dieser nicht bereits erfolgt ist. In den meisten Fällen von Malware-Befall empfiehlt es sich, die Rechner von Grund auf neu einzurichten und alle Passwörter zu ändern. Wenn Sie eine Datensicherung des gesamten Systems angelegt haben, können Sie diese für die Wiederherstellung verwenden.
Und wenn der Fall trotzdem eintritt, dass sich eine Ransomware in Ihrer Informatik eingenistet hat, finden Sie in diesem Artikel eine nützliche Checkliste, wie Sie auf eine erfolgreiche Cyberattacke reagieren.
Geben Sie Cyberkriminellen keine Chance
Ein falscher Klick, ein unachtsamer Moment genügt: Einem Grossteil aller erfolgreichen Cyberattacken geht menschliches Fehlverhalten voraus. Mitarbeitende, die auf Cyberrisiken sensibilisiert sind, erhöhen die IT-Sicherheit im KMU. Erfahren Sie im E-Learning in 15 Minuten wichtige Verhaltensregeln.
Aktualisierte und erweiterte Version eines bestehenden Artikels.
