Mit <kes>+ lesen

Un-ver-zicht-bar! : 20 technische Mindeststandards zur Abwehr von Ransomware

In Sachen Sicherheit schafft man selten alles, was man sollte – geschweige denn, was man wollte oder für sinnvoll erachtet. Priorisierung ist entsprechend wichtig. Als nicht verhandelbaren Mindeststandard für das kommende Jahr sieht unser Autor die Abwehr von Ransomware an – und hat dazu zwanzig unverzichtbare Sicherheitsmaßnahmen identifiziert, die natürlich auch gegen weitere Bedrohungen helfen.

Lesezeit 10 Min.

Von Florian Oelmaier, München

Standardisierung ist ein wichtiger Bestandteil der Wirtschaft und des alltäglichen Lebens. Sie bündelt die Erfahrungen und Erkenntnisse im jeweiligen Fachgebiet und bietet Marktbeteiligten Gewissheit bezüglich der Qualität von Produkten und Dienstleistungen. In der IT-Sicherheit haben wir die Familie der ISO-27001-Standards, die als Grundlage für nahezu alle weitergehenden Standardisierungsbemühungen verwendet werden – der TISAX-Standard der Automobilindustrie sei hier als prominentes Beispiel genannt. Immer mehr Unternehmen lassen sich mit der Zielsetzung zertifizieren, dadurch ein adäquates Sicherheitsniveau zu dokumentieren.

Gleichzeitig verdient die organisierte Kriminalität mit Cyberangriffen zunehmend mehr Geld. Die Ransomware-Gruppe REvil hat angeblich binnen eines Jahres 100 Millionen US-Dollar eingenommen. Nahezu jeden Tag gehen neue Schadensmeldungen durch die Presse und immer mehr Unternehmen sind betroffen. Die Erpresser haben mittlerweile professionelle Verhandlungsteams, die unter einer Million Dollar Lösegeld gar nicht erst abschließen – aus Angst, dass sich das herumspricht.

Auf Basis dieser beiden gegenläufigen Entwicklungen ergibt sich vereinfacht zusammengefasst folgendes Bild: Eine Zertifizierung nach ISO 27001 schützt Ihr Unternehmen nicht vor Ransomware-Angriffen! Für viele Angehörige der IT-Sicherheitsbranche ist diese Aussage nichts Neues. Im Management der Unternehmen ist die Sichtweise oft anders: Eine Anstrengung, die so viel vom Sicherheitsbudget verschlungen hat, muss auch gegen die derzeit häufigste Bedrohung nutzen. Die Ursache der zu beobachtenden Ineffektivität liegt in den wenig konkreten bis nicht-existenten technischen Vorgaben der ISO 27001 und ISO 27003, einer Durchfallquote bei Zertifizierungen, die nahe Null liegt, und Maßnahmenempfehlungen, die oft nur auf einer Meta-Ebene formuliert sind.

Der Autor und seine Mitarbeiter finden sich als BSI-akkreditierte APT-Response-Dienstleister nahezu täglich inmitten verschlüsselter IT-Systeme von kleinen, mittleren und großen Firmen wieder und versuchen dort zu retten, was noch zu retten ist. Dabei ist festzustellen: Angreifer aus der organisierten Kriminalität gehen zwar systematisch und planvoll vor, sind jedoch keine erfahrenen „Top-Hacker“. In den allermeisten Ransomware-Fällen haben es die Opfer den Angreifern durch eine mangelnde oder fehlerhafte Implementierung von Sicherheitskonzepten unnötig leicht gemacht. Für einen Incident-Response-Consultant, der sich Wochenenden und Nächte um die Ohren schlägt, ist es sehr frustrierend, die gleichen Fehler immer und immer wieder zu sehen – aus diesem Frust entstand die vorliegende Liste unverzichtbarer Abwehrmaßnahmen.

Wenn es um die Verteidigung einer digitalen Infrastruktur geht, dann ist die Abwehr von Ransomware heute als der absolute Mindeststandard anzusehen, den eine IT-Sicherheitsabteilung 2021 leisten muss! Unabhängig von erworbenen Sicherheitszertifikaten, welche die Wände eines Unternehmens schmücken, sind die folgenden Mindestanforderungen zu erfüllen, um die Folgen eines erfolgreichen Ransomware-Angriffs zu vermeiden.

Phishing-Schutz

Das Einfallstor für Ransomware ist in nahezu allen Fällen eine gut gemachte Phishing-E-Mail: Oft basiert sie auf einer bestehenden E-Mail-Kommunikation eines bekannten Kontakts Ihres Unternehmens, die von den Tätern in der Regel bei einem Kommunikationspartner erbeutet wurde. Die E-Mail sieht so echt aus, dass Benutzer beigefügte Attachments oder enthaltene Links öffnen wollen, weil sie fest an die Rechtmäßigkeit der Kommunikation glauben. Die Infektion des Rechners geschieht häufig über Makros eines alten Office-Formats (.doc, .xls oder .ppt), wobei patternbasierte Virenscanner die enthaltenen Malware-Dropper nicht entdecken, da diese in der aktuellen E-Mail/Kampagne das erste Mal zum Einsatz kommen.

  • Mindeststandard #1: Um möglichst viele Infiltrationsversuche Ihres Netzwerks zu erkennen, brauchen Sie einen cloudbasierten Spam-Schutz, der die Infektionswelle ohne Patterns anhand der vielen gleichartigen E-Mails an verschiedene Empfänger in unterschiedlichen Firmen erkennt. Idealerweise werden Links in E-Mails von diesem Schutzsystem ausgetauscht und auf ein Sicherheitssystem umgeleitet. Prüfen Sie gegebenenfalls die E-Mail-Hygieneoptionen Ihres Providers und lizensieren Sie diese möglichst vollumfänglich.
  • Mindeststandard #2: Mailfilter müssen gefährliche Attachments blockieren – dazu gehören vor allem auch alte Office-Formate, die mittlerweile seit 11 Jahren nicht mehr Standard sind.

Härten von Clients

Die Erstinfektion findet meist an einem Arbeitsplatzrechner statt. Auch im Verlauf des folgenden, meist manuell mittels Remote-Access-Trojaner (RAT) gesteuerten, Angriffs dienen schlecht gesicherte Client-PCs als Sprungbrett zu erhöhten Rechten.

  • Mindeststandard #3: Es gibt keine Möglichkeit, auf einem Ihrer Clients Makros in Office-Dokumenten auszuführen, die aus dem Internet heruntergeladen, per E-Mail oder sonstwie von extern empfangen wurden. Das lässt sich durch Filtern am Perimeter oder entsprechende Konfiguration am Client umsetzen.
  • Mindeststandard #4: Um Angreifern das Springen innerhalb der eigenen IT-Landschaft (Lateral Movements) zu erschweren, besitzen Clients keinen einheitlichen lokalen Administrationsaccount mit dem gleichen Passwort. Wenn Support-Userkonten in der Domäne notwendig sind, die regelmäßig auf den Clients arbeiten, sind diese in ihren Rechten weitgehend zu beschränken und ihre Aktionen im Netzwerk engmaschig zu überwachen. Idealerweise haben Sie die seit 2015 verfügbare Microsoft Local Administrator Password Solution (LAPS) eingeführt und nutzen keine zentralen Support- oder Serviceaccounts.
  • Mindeststandard #5: Kein Benutzer arbeitet mit einem Konto, das lokale Administratorrechte hat. Aus Sicherheitssicht ist es akzeptabel, dass Benutzern ein zusätzliches personalisiertes, lokales Administrationskonto für ihren Rechner zur Verfügung steht – das darf aber nicht zur täglichen Arbeit benutzt werden.
  • Mindeststandard #6: Die Microsoft Security Baselines für Windows 10 wurden durchgearbeitet und so viele Empfehlungen wie möglich auch umgesetzt. Für alle Empfehlungen, welche die IT nicht umsetzt, existiert eine Begründung.

Externe Zugänge

  • Mindeststandard #7: Für alle von außen erreichbaren Administrationsoberflächen ist eine Multi-Faktor-Authentifizierung eingerichtet. Für alle Remote-Zugänge, die danach relativ frei auf wichtige Firmenressourcen zugreifen können (z. B. RDP, Citrix, VPN) ist eine Multi-Faktor-Authentifizierung entweder standardmäßig oder auf Basis einer Risk-based-Login-Policy aktiv.

Offline-Backup

Am Ende kann man nicht jeden Angreifer aufhalten. Ein gut funktionierendes Backup ist wie das Sicherungsnetz eines Hochseilartisten: Man hofft, dass man es nie braucht – falls es aber doch dazu kommt, ist es oft die einzige Überlebensgarantie.

  • Mindeststandard #8: Es existiert ein komplettes Backup Ihrer IT, das zu keinem Zeitpunkt älter als 7 Tage ist. Das Backup enthält neben allen Servern und Datenbanken unter anderem auch eine Kopie des Active Directory (AD) beziehungsweise des System-State eines Domain-Controllers (DC).
  • Mindeststandard #9: Die Zugriffsrechte für dieses Backup sorgen dafür, dass auch ein Angreifer mit Domain-Admin-Rechten und Zugang zu allen Passwörtern sämtlicher Domänen-Accounts es nicht löschen kann (Offline-Backup).
  • Mindeststandard #10: Es gibt eine Überwachung der Ausführung und Konfiguration von Backup-Jobs. Wenn plötzlich Einstellungen verändert, weniger Daten als erwartet oder gar keine Daten mehr gesichert werden, muss das spätestens am nächsten Werktag auffallen und als Security-Incident behandelt werden.

Schutz der Domäne

Das Ziel der Angreifer ist es, Ihre Domäne zu übernehmen.

  • Mindeststandard #11: Administratoren haben drei getrennte Accounts – User-, Admin- und Domain-Admin-Account mit jeweils unterschiedlichen Passwörtern. Im Normalbetrieb werden nur personalisierte Administrationskonten verwendet – es gibt keine Service-Accounts mit Domain-Admin-Rechten. Der Einsatz von trivialen Passwörtern wird technisch verhindert, wobei die Passwörter für Admin-Accounts besonders strengen Vorgaben unterliegen.
  • Mindeststandard #12: Alle Domain-Controller im Netzwerk sind ausschließlich Domain-Controller und haben keine weiteren Zusatzaufgaben (außer DHCP und DNS). Alle Domain-Controller werden spätestens 2 Tage nach Erscheinen eines neuen Microsoft-Patches auf den aktuellen Patchlevel gebracht.
  • Mindeststandard #13: Die Protokollierung sicherheitsrelevanter Events wird auf allen Servern und Domain-Controllern sinnvoll konfiguriert. Auf allen Domain-Controllern werden auch neu gestartete Prozesse geloggt (z. B. mit dem Microsoft-Tool sysmon). Die Domäne wird umfassend auf Angriffe gegen Identitäten überwacht (z. B. mittels Azure Advanced Threat Protection – früher: Advanced Threat Analytics).
  • Mindeststandard #14: Es existiert ein umgesetztes Konzept zur sicheren Administration, das es Angreifern möglichst schwer macht, Domain-Admin-Rechte zu bekommen. Idealerweise werden die Microsoft-Empfehlungen zum „AD Administrative Tier Model“ umgesetzt (Enhanced Security Administrative Environment – ESAE), alternativ existiert ein „Red-Forest“-Konzept zur sicheren Administration der Hauptdomäne von einer hochabgesicherten, getrennten Admin-Domäne aus. (vgl. <kes> 2020#4, S. 21). Im Notfall genügt aber auch der Einsatz von non-Domain-joined Bastion-Hosts zur Domänenadministration.

Prüfung der Logs

Während Anfang 2020 ein Angreifer noch 3–4 Tage brauchte, um sich Domain-Admin-Rechte zu verschaffen, gehen Cyberkriminelle und -spione derzeit sehr konzentriert und schnell vor. Den aktuellen Geschwindigkeitsrekord hält momentan die Gruppe hinter dem Verschlüsselungstrojaner RYUK, die zwei Stunden nach dem Click eines Users auf eine Phishing-Mail Domain-Admin-Rechte besaß und binnen fünf Stunden nach dem Click das Netzwerk verschlüsselt hatte. In nahezu jedem Fall, den die Firma des Autors untersucht hat, waren Spuren des Angriffs in den Protokolldateien vorhanden – sie wurden nur (zuvor) nicht als solche erkannt.

  • Mindeststandard #15: Die Verbindung der Angreifer in Ihr Netzwerk sind sogenannte Command-&-Control- (C2)-Verbindungen. Ihre Firewall muss daher bekannte C2-Adressen erkennen, filtern und loggen. Des Weiteren müssen neue Verbindungen, die häufig und regelmäßig (z. B. im Minutentakt) kleine Datenmengen übertragen, an den Firewalls als verdächtig protokolliert werden – Gleiches gilt für die Übertragung großer Datenmengen.
  • Mindeststandard #16: Alle sicherheitsrelevanten Logdateien werden zweimal täglich geprüft – an 365 Tagen im Jahr, morgens und abends. Dazu zählen vor allem Firewall-Logs, die Protokolle von Spam- und Malwareschutz, der Domain-Controller und des Backupsystems. Diese Arbeit lässt sich durch die Implementierung eines Auswertesystems erleichtern (z. B. Graylog, Elastic-Logstash-Kibana, Splunk, QRadar etc.) – oder man kann diese Arbeit komplett an ein externes Security-Operations-Center (SOC) outsourcen.

Patchmanagement

Komplexe Zero-Day-Attacken nutzen Angreifer nur selten. Meist greifen sie auf bestehende, teils zwei oder drei Jahre alte Lücken zurück, die an einigen Systemen aber dennoch nicht gepatcht sind.

  • Mindeststandard #17: Alle Windows-Systeme (Server und Clients) sind spätestens 10 Tage nach Erscheinen von sicherheitskritischen Updates (CVE-Score ≥ 9,0) auf dem aktuellen Patchlevel.
  • Mindeststandard #18: Alle Programme, die Daten aus dem Internet direkt verarbeiten oder standardmäßig Dateien öffnen, die aus dem Internet heruntergeladen werden, unterliegen einem automatischen Updateprozess und sind spätestens 10 Tage nach Erscheinen von Updates auf dem aktuellen Patchlevel. Allem voran werden Internet-Browser automatisch und häufig aktualisiert. Veraltete Software, die keine Patches mehr bekommt oder nur langsam gepatcht werden kann, darf keine Daten aus dem Internet verarbeiten.

Isolation unsicherer Systeme

(Gerade) auch in der Informations-Sicherheit gilt das bekannte Problem der Asymmetrie: Angreifer müssen nur ein verwundbares System im Netzwerk finden – Verteidiger hingegen alle Systeme absichern. Doch das ist oft nicht für wirklich alle Systeme möglich.

  • Mindeststandard #19: Systeme, welche die Mindeststandards nicht einhalten können (bes. #2, #3, #5, #17 und #18) oder unsichere Protokolle (z. B. SMBv1) verwenden müssen, werden vom Netzwerk isoliert und in ein eigenes, von einer Firewall vom restlichen Netz getrenntes Netzwerksegment verbracht. Das Gleiche gilt für Produktionssteuerungen, Entwickler-Testnetzwerke, Internet-of-Things-(IoT)- und Industrie-4.0-Systeme. Diese separaten Segmente haben nur per Whitelist eingeschränkten Zugang ins Internet und die Verbindungen ins restliche Netz sind auf das notwendige Minimum von Ziel-IP/Port-Kombinationen beschränkt.

Vorbereitung auf den Ernstfall

Im Fall der Fälle braucht man dringend einen Partner, der bereits öfter solche Situationen gemeistert hat.

  • Mindeststandard #20: Es gibt ein eigenes Team zur Incident-Response mit hinreichender Erfahrung oder Sie haben Kontakt zu einem erfahrenen Response-Consultant hergestellt und eine eventuelle Beauftragung vorab geklärt. Das BSI führt hierzu eine „Liste der qualifizierten APT-Response-Dienstleister“ (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.html) – eventuell haben auch Cyber-Versicherungen hierzu Empfehlungen parat. Optional haben Sie bereits ein Krisenhandbuch für solche Fälle und eine Notfall-Whitelist für die Internetzugänge – wer die damit verbundenen Prozesse zudem bereits geübt hat, darf sich zur Security-Avantgarde zählen.

Fazit

Um eine IT-Umgebung für die Abwehr von Ransomware fit zu machen, sind die hier genannten Empfehlungen ein nicht verhandelbarer Mindeststandard. Es handelt sich um Vorgaben, die ohne Wenn und Aber in jeder IT-Landschaft komplett umgesetzt sein müssen, um einen wirksamen Schutz zu etablieren!

An dieser Stelle werden einige CISOs (getreu der ISO-27001-Schule) versucht sein, Abweichungen zu notieren, die erst im Laufe der Zeit behoben werden können – gleichzeitig dürften Manager anfangen, Risikoübernahmeformulare aus dem Hut zu zaubern, Finanzabteilungen vor Kostenexplosionen warnen und IT-Administratoren mit dem Verlust der Verwaltbarkeit und Verfügbarkeit argumentieren. Der Autor kann hier nur eindringlichst warnen, solchen Tendenzen nachzugeben! Ansonsten besteht die sehr reale Gefahr, nächstes Jahr zwischen den rauchenden Ruinen einer infizierten Domäne, gelöschten Backups und verschlüsselten Servern zu stehen und an einem schönen Sonntagabend die Unsinnigkeit von dokumentierten Abweichungen, Risikoübernahmebürokratie, Sparmaßnahmen und bequemer Administration auf die harte Tour erleben zu müssen.

Eine Mahnung zum Abschluss: Die genannten Maßnahmen helfen gegen derzeitige Ransomware – die Vorgehensweisen der Cyberkriminellen entwickeln sich aber ständig weiter! Genug Geld für verbesserte Angriffe ist mittlerweile definitiv im System. Andere Maschen der organisierten Kriminalität, wie Business-E-Mail-Compromise (Payment-Diversion, Fake-President etc.), erfordern zudem ganz andere Schutzmaßnahmen. Und wer einer Gefährdung durch Industriespionage oder „State-sponsored Actors“ ausgesetzt ist, muss wieder andere, weiter gehende Maßnahmen treffen.

Gleichzeitig gibt es natürlich noch viele sinnvolle Empfehlungen, die über den hier beschriebenen absoluten Mindeststandard hinausgehen, zum Beispiel eine generelle Segmentierung des Netzwerks, regelmäßige Übungen und Audits, die jährliche Revision Ihrer IT-Sicherheitssituation, effektive Awareness-Maßnahmen oder die Implementierung von Netzwerksensoren. Doch im Sinne der Priorisierung gilt: im Zweifel erst mal die Top-Gefahr der Ransomware behandeln und sich danach (wieder) weiter gehenden Zielen zuwenden.

Florian Oelmaier ist Leiter IT-Sicherheit & Computerkriminalität, IT-Krisenmanagement bei der Corporate Trust, Business Risk & Crisis Management GmbH. Als @h0tz3npl0tz twittert er tagesaktuell wichtige Empfehlungen zur Cyber-Defense.

Diesen Beitrag teilen: