Ransomware-Ratgeber für Unternehmen: Schutz bei der Heimarbeit
COVID-19 hat zu einem unvorhergesehenen Anstieg der Heimarbeit geführt. Und das wird höchstwahrscheinlich auch auf zukünftige Arbeitskonzepte einen nachhaltigen Einfluss haben.
Während die kurzfristig eingerichteten Heimarbeitsplätze zunächst als eine Übergangslösung galten, um den Geschäftsbetrieb aufrechtzuerhalten, sehen viele in der Telearbeit durchaus einen dauerhaften Ansatz für die Zeit nach der Pandemie.
Hinsichtlich der Sicherheit birgt die Arbeit von zu Hause aus jedoch auch eine Reihe ernster Risiken. Der Zugriff auf die Unternehmensdaten erfolgt über anfällige Privatgeräte, IT-Teams können die herkömmlichen Sicherheitsprotokolle nicht angemessen durchsetzen und die unternehmensspezifischen Sicherheitslösungen sind nicht wirklich mit der fremden Systemumgebung des Heimanwenders kompatibel.
In diesem Ratgeber informieren wir Sie über die mit der Telearbeit verbundenen Sicherheitsrisiken und erläutern, wie Unternehmen sowohl ihre von Zuhause aus arbeitenden Arbeitskräfte als auch ihre Unternehmensnetzwerke vor Ransomware schützen können.
Herausforderungen für eine sichere Telearbeit
Die Heimarbeit verstärkt nicht nur bereits bestehende Sicherheitslücken, sondern bringt auch völlig neue Bedrohungen ins Spiel, wodurch Unternehmen noch anfälliger für Cyberangriffe werden. Im Folgenden stellen wir Ihnen einige der größten Sicherheitsrisiken im Zusammenhang mit Heimarbeit vor:
Zugriff auf Unternehmensressourcen über ungeschützte Privatgeräte
COVID-19 hat viele Unternehmen zu einem schnellen – und meistens mangelhaften – Wechsel zur Heimarbeit gezwungen. Um den Geschäftsbetrieb am Laufen zu halten, mussten jedoch Kompromisse eingegangen werden. Den Unternehmen blieb schlicht nicht genug Zeit, um sicherzustellen, dass die Heimnetzwerke ihrer Arbeitskräfte angemessen abgesichert und frei von Infektionen sind. In einigen Regionen konnten sie dem Personal aufgrund mangelnder IT-Ausrüstung auch keine unternehmenseigenen Geräte bereitstellen.
Indem viele Heimarbeitskräfte mit unsicheren Privatgeräten auf die Unternehmensnetzwerke und vertrauliche Daten zugreifen, vergrößert sich die Angriffsfläche drastisch. Jedes mit dem Heimnetzwerk verbundene Gerät, einschließlich anderer Computer, Smartphones, Laptops, Drucker, intelligenter Haushaltsgeräte usw. bietet einen zusätzlichen Zugangspunkt für Angreifer. Gleichzeitig kann das Unternehmensnetzwerk durch bereits vorhandene Infektionen der Privatgeräte Malware ausgesetzt werden. Im März 2020 verzeichneten laut BitSight 45 % der Unternehmen in den USA mindestens eine Malware-Infektion in ihren unternehmensinternen Netzwerken.
Geschwächte Sicherheit
In einer herkömmlichen Unternehmensumgebung können IT-Teams auf den unternehmenseigenen Geräten über EDR-Systeme, beschränkende Gruppenrichtlinien, Weißlisten und dergleichen strenge Sicherheitsrichtlinien umsetzen. Bei Telearbeit lässt sich diese Art der Kontrolle, wenn überhaupt, nur sehr schwierig umsetzen, da viele Angestellte mit ihren Privatgeräten arbeiten.
Natürlich können Unternehmen ihren Angestellten nicht so einfach vorschreiben, welche Software sie auf ihren Privatgeräten verwenden dürfen und welche nicht. Die schiere Vielseitigkeit an einem Heimarbeitsplatz machen es aus technischer Sicht für Unternehmen extrem schwierig, die unzähligen Geräte, Betriebssysteme und Anwendungen in den jeweiligen Heimnetzwerken der Anwender zuverlässig abzusichern.
Vielfalt der privaten Softwareumgebung
Ein Unternehmensnetzwerk ist eine sorgfältig kontrollierte Umgebung, in der nur genehmigte Software von autorisierten Benutzern installiert werden darf. Moderne EDR- und Sicherheitsprodukte, die häufig intensiv auf maschinelles Lernen setzen, eignen sich hervorragend für derartig gepflegte Umgebungen, da Anwendungen leicht gruppiert und erkannt werden können. Eine Anwendung ist entweder betriebliche Software oder gehört zum Betriebssystem. Ist sie keines davon, ist sie wahrscheinlich bösartig.
Ein Heimnetzwerk ist im Vergleich dazu recht chaotisch und ein bunter Eintopf aus Arbeitsanwendungen, Spielen und Unterhaltungssoftware, die aus ungeprüften Quellen im Internet heruntergeladen wurden. Sicherheitslösungen eines Unternehmens, deren maschinelles Lernen einen eher schwarzweißen Ansatz zur Datenerkennung verfolgen, sind hier überfordert. Ein erneutes Anlernen, was in dieser vielfältigen Umgebung eine Bedrohung darstellt, erfordert viel Zeit. Produkte, die für den betrieblichen Einsatz ausgelegt sind, geben hier in der Regel unzählige Fehlalarme aus oder sorgen für Inkompatibilitäten.
Die häufigsten Ransomware-Angriffsvektoren für Telearbeitskräfte
Angreifer nutzen viele verschiedene Methoden, um Heimarbeitskräfte zu kompromittieren und die Unternehmen, für die sie arbeiten, mit Ransomware zu infizieren. Das sind die drei häufigsten Angriffsvektoren:
- Schädlicher Spam: Angreifer verbreiten E-Mails mit einem bösartigen Anhang oder einer URL, über die die Malware heruntergeladen wird (häufig ein Bot wie Emotet, Trickbot oder Dridex). Über Befehle an diese Bots sammeln die Angreifer dann Informationen über das infizierte System und das damit verbundene Netzwerk, bevor sie zusätzliche und auf die jeweilige Umgebung zugeschnittene Malware installieren. Die Kriminellen machen sich auch das öffentliche Interesse an der Pandemie zunutze, um Spamkampagnen zum Thema COVID-19 durchzuführen, wobei sie auf die Angst und Neugier der Opfer setzen. Im April wurden laut Microsoft täglich etwa 60.000 Phishing-Nachrichten bezüglich COVID-19 verschickt. Dabei gaben sich die Angreifer häufig als Weltgesundheitsorganisation oder Behörden des US-amerikanischen Gesundheitsministeriums aus.
- Fernzugriff: Angreifer machen sich schlecht geschützte Fernzugriffstools zunutze, um sich Zugriff auf die Unternehmensnetzwerke zu verschaffen. Dabei ist das Remotedesktopprotokoll (RDP) der häufigste Angriffsvektor. Hierbei darf jedoch nicht vergessen werden, dass jedes für einen Fernzugriff eingesetzte Werkzeug sowie jede Software, über die auf eine lokale Active-Directory-Domäne des Unternehmens zugegriffen wird, als Einstiegspunkt dienen kann, sofern diese nicht ordentlich abgesichert werden. In der Vergangenheit wurden bereits etliche Fernzugriffslösungen ausgenutzt, wie TeamViewer, Kaseya und Citrix.
- Spear-Phishing: Hierbei handelt es sich um eine ausgeklügelte und zielgerichtete Form des Phishings. Die Angreifer kundschaften dabei das anvisierte Unternehmen gründlich aus, um mehr über die dort arbeitenden Personen und deren Kommunikationsgewohnheiten zu erfahren. Mit diesen Informationen verschicken sie dann gezielt Phishing-E-Mails, die den Eindruck vermitteln, von einem vertrauenswürdigen Absender zu kommen. Phishing ist gerade bei der derzeitigen Arbeitssituation ein Problem, da Mitarbeiter möglicherweise noch nicht mit den Oberflächen und Anmeldeseiten der neu eingeführten Fernzugriffstools vertraut sind und daher nur schwer zwischen Betrugsversuchen und legitimen Websites unterscheiden können.
Tipps zum Absichern von externen Endpunkten und Unternehmensnetzwerken
Aufgrund dieser neuen Arbeitsbedingungen müssen Unternehmen sich auf einen neuen Sicherheitsansatz einstellen. Mit den folgenden Maßnahmen können Unternehmen neue Fernzugriffspunkte absichern und ihre Unternehmensdaten schützen.
- Personal schulen: Arbeitskräfte auf allen Unternehmensebenen, egal ob sie im Büro oder zu Hause arbeiten, sollten regelmäßig Schulungen bezüglich Cybersicherheit erhalten. Das Personal muss mit den grundlegenden Taktiken des Social Engineerings vertraut sein und wissen, wie es auf einen derartigen Betrugsversuch reagieren und diesen melden soll.
- RDP absichern: Das Remotedesktopprotokoll und andere Formen des Fernzugriffs sollten möglichst deaktiviert werden. Ist das RDP für den Geschäftsbetrieb eines Unternehmens erforderlich, muss es angemessen mithilfe eines VPNs oder RDP-Gateways, starker Passwörter und mehrstufiger Authentisierung (MFA) sowie Einschränkung des RDP-Zugriffs auf bestimmte Benutzer und IP-Bereiche abgesichert werden. In unserem Blogartikel So schützen Sie RDP vor Ransomware-Angriffen erfahren Sie mehr dazu.
- MFA einsetzen: Ein weiterer häufiger Einstiegspunkt für Ransomware sind kompromittierte Zugangsdaten. Dieses Risiko lässt sich jedoch einschränken, indem möglichst immer die mehrstufige Authentisierung aktiviert wird, insbesondere bei Diensten, die zur Zusammenarbeit eingesetzt werden, sowie beim Fernzugriff auf Unternehmensnetzwerke. Auch die Einstellungen der Sicherheitssoftware müssen mit MFA abgesichert werden. Das lässt sich leicht über Antivirensoftware mit cloudbasierten Verwaltungsplattformen wie Emsisoft Management Console einrichten.
- VPN-Anwendungen pflegen: Der prompte Wechsel zu Telearbeit sorgte für einen verstärkten Bedarf an kommerziellen VPN-Lösungen. Zwar spielen die VPNs beim Schutz geschäftlicher Daten eine wichtige Rolle, allerdings werden sie auch von Angreifern als Einstiegspunkt genutzt. Daher sollten sie unbedingt überwacht und regelmäßig aktualisiert werden, um eventuelle Sicherheitslücken so schnell wie möglich zu schließen.
- Zuverlässige Antivirensoftware einsetzen: Unternehmen müssen über eine zuverlässige Antivirus-Lösung verfügen, um die Malware zu erkennen und aufzuhalten, die am Anfang der Angriffskette zum Auskundschaften und Installieren weiterer Schadsoftware genutzt wird. Wie bereits erwähnt, kommen unternehmensspezifische Sicherheitslösungen mit der Vielfalt einer privaten Anwendungsumgebung nicht wirklich zurecht. Daher sollten Unternehmen hier Antivirus-Anbieter in Betracht ziehen, die sich damit auskennen und bewährte Produkte für Privatanwender entwickeln. Die Privatgeräte der Angestellten könnten bereits infiziert sein, weshalb es für die Netzwerksicherheit unerlässlich ist, dass bei dem gewählten Produkt auch herkömmliche Erkennungs- und Bereinigungsverfahren zum Einsatz kommen.
- Spam filtern: Ein wirkungsvoller Spamfilter kann bereits einen Großteil des bösartigen Spams aufhalten und das Risiko einer Infektion durch schädliche URLs und Anhänge beschränken. Die Filter können auch so konfiguriert werden, dass bestimmte Anhänge nicht zugestellt werden (etwa Dokumente mit Makros).
- PowerShell entfernen: PowerShell ist ein leistungsfähiges Verwaltungstool und wird daher häufig von Cyberkriminellen in den frühen Phasen eines Angriffs eingesetzt. Sofern es nicht unbedingt erforderlich ist, sollten Unternehmen daher in Betracht ziehen, es von seinen Endpunkten zu entfernen. Ist dies nicht möglich, muss es angemessen abgesichert werden, etwa indem es nur von Benutzern eingesetzt wird, die es tatsächlich benötigen, und indem nur digital signierte Skripte ausgeführt werden dürfen.
- Anfragen gegenprüfen: Durch den Wechsel zu Heimarbeit wurden die gewohnten Arbeitsabläufe unterbrochen und umstrukturiert. Damit ist auch das Betrugsrisiko gestiegen. Angestellte müssen sich betrügerischer Absichten bewusst sein und dazu ermutigt werden, bei ungewöhnlichen Anfragen und Anweisungen von Kunden, Kollegen, Zulieferern oder Vorgesetzten eine nochmalige Bestätigung einzuholen. Dies muss dann über einen zweiten Kommunikationskanal erfolgen, falls das Konto des Absenders kompromittiert wurde.
- Sicherungen anlegen: Auch bei der Telearbeit ist eine zuverlässige Backupstrategie als Gegenmaßnahme für Ransomware unerlässlich. Sicherheitsbedenken und eingeschränkte Bandbreiten hindern Unternehmen jedoch möglicherweise daran, Sicherungen per VPN auf ihre lokalen NAS-Systeme zu übertragen. Lokale Backups für jeden Heimarbeitsplatz können wiederum zu einer logistischen Herausforderung werden. In diesem Falles ist daher möglicherweise für die meisten Unternehmen ein cloudbasiertes Sicherungssystem die praktischste Lösung. Weitere Informationen dazu finden Sie auch in unserem Ratgeber, wie Sie Sicherungen vor Ransomware schützen können.
COVID-19 hat unsere Arbeitswelt möglicherweise für immer verändert. Der weltweite Wechsel zu Telearbeit war für viele Unternehmen unerlässlich, um die Abstandsvorgaben einzuhalten, ohne ihren Geschäftsbetrieb zu unterbrechen. Doch dadurch haben sich auch für Cyberkriminelle neue Möglichkeiten ergeben, um aus dem Chaos Kapital zu schlagen.
Unternehmen jeder Größe müssen sich der Herausforderungen bewusst sein, die mit einer sicheren Heimarbeit einhergehen, und angemessene Maßnahmen ergreifen, um ihre externen Endpunkte, Netzwerke und Unternehmensanlagen zu schützen. Indem Sie die in diesem Artikel beschriebenen Sicherheitsvorkehrungen als beste Praktiken umsetzen, können Sie das Infektionsrisiko erheblich senken und möglicherweise verhindern, dass Ihr Unternehmen das nächste Ransomware-Opfer wird.
Übersetzung: Doreen Schäfer