Tipps des BSI zum Thema Ransomware
Muss-Maßnahmen (sind zwingend für eine sichere IT-Nutzung zu beachten):
- Regelmäßige Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links
Das Rechenzentrum gibt bei akutem Bedarf Informationen zeitnah über alle möglichen Kanäle (Mailinglisten, Newsletter, Homepage, Twitter, etc.) an die Nutzer weiter. Eine Weitergabe dieser sicherheitskritischen Informationen über die Netzverantwortlichen der Bereiche an alle Nutzer ist nützlich, um Vorfälle zu vermeiden bzw. zu verringern.
- Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme
Dazu ist eine zentrale Softwareverteilung ebenso geeignet wie regelmäßige Schwachstellenscans, um potentiell anfällige Systeme zu erkennen.
- Einsatz zentral administrierter AV-Software
- Nutzung aller Funktionalitäten der Sophos Enterprise Konsole, insbesondere Kontrolle, ob Updates installiert sind und der Schutz auch aktiv ist.
- Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups)
- Sicherung auch auf Band / offline; Testen der Backups
- Monitoring von Logdaten (anlassbezogen manuell bei möglichen Vor- und Verdachtsfällen)
- Netzwerk-Segmentierung
Der Zuschnitt der teilweise historisch aufgeteilten Subnetze sollte in regelmäßigen Zeitabständen geprüft und an neue Anforderungen bzw. sicherheitstechnische Herausforderungen angepasst werden.
- Reduktion von Nutzerberechtigungen
Zusätzlich sollte auf Adminrechte verzichtet werden, wo sie nicht notwendig sind bzw. nicht zwingend gebraucht werden (z.B. zentral verwaltete PCs).
Weitere wichtige (Soll-)Maßnahmen:
- Deaktivierung von Makros und OLE-Objekten in Microsoft Office, Verwendung von signierten Makros
- Einschränkung bzw. Deaktivierung des Windows Script Hosts (WSH)
- Einsatz von Application-Whitelisting, z. B. mittels Microsoft AppLocker
- Vermeidung von statischen lokalen Administratorkennwörtern, z. B. mittels Microsoft Local Administrator Password Solution (LAPS).
- Deaktivierung administrativer Freigaben (Admin$, IPC$)
- Verwendung von Zwei-Faktor-Autorisierung zur Anmeldung an Systemen
- Dateiendungen sollten standardmäßig angezeigt werden
- Verwendung von Plain-Text statt HTML für E-Mails
- Sichtbarkeit der Absender E-Mail-Adresse in den E-Mail-Anwendungen
- E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen der eigenen Organisation ablehnen
- E-Mails mit ausführbaren Dateien (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) im Anhang auch in Archiven wie .zip sollten blockiert oder in Quarantäne verschoben werden.
- Verschlüsselung von E-Mails mittels PGP oder S/MIME, um ein Ausspähen potenziell vertraulicher E-Mail-Inhalte zu verhindern.
- Direkte Verbindungen zwischen Clients in einem Netzwerk sollten mittels Firewall unterbunden werden (insbesondere SMB-Verbindungen, PowerShell, PsExec und RDP).
Weiterführende Quellen zu den obigen Tipps:
Empfehlungen https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html