Erhöhtes Aufkommen von Ransomware-Attacken – unsere Handlungsempfehlungen

Ransomware-Angriffe nehmen weltweit weiter zu – oft sind es kleine Versäumnisse oder aufgeschobene Umsetzungen von geplanten Härtungsmaßnahmen, die es den Angreifern ermöglichen ins System einzudringen.

In diesem Blog-Artikel zeigen wir Ihnen konkret umsetzbare Maßnahmen, mit denen Sie die Wahrscheinlichkeit einer Kompromittierung stark senken und im Worst-Case zumindest die Wiederherstellungszeit deutlich reduzieren können. Die Empfehlungen basieren auf Erfahrungen aus der Praxis und haben keinen Anspruch auf Vollständigkeit. Für einen bestmöglichen und auf Ihre Umgebung zugeschnittenen Schutz sprechen Sie uns gerne direkt auf einen individuellen Beratungstermin an. Weitere Informationen zu Ransomware finden Sie bei uns unter >> Ransomware: Schutz beginnt bei den Endpunkten.

Wenn Sie eigene Erfahrungen oder Ergänzungen haben, freuen wir uns über Ihr Feedback – relevante Anregungen nehmen wir gerne mit auf. Die Liste wird kontinuierlich auf Basis aktueller Erkenntnisse und Best-Practices ergänzt und gepflegt (aktueller Stand 07.05.2025).

Handlungsempfehlungen

Zur Härtung Ihrer IT-Infrastruktur und zum effektiven Schutz vor Ransomware empfehlen wir die folgenden Maßnahmen. Die Reihenfolge ist dabei größtenteils frei gewählt, mit Ausnahme der ersten drei Punkte, die unser gesamtes Team einstimmig als besonders kritisch bewertet hat:

1. Endpoint Protection prüfen!

   Sind alle (wirklich alle, keine Ausnahmen) Endgeräte mit der eingesetzten Endpoint Protection ausgestattet?
   Ist die Endpoint Protection vollumfänglich ausgenutzt? Beispiel WatchGuard EPDR => Lock Mode. Siehe hierzu auch unsere Best-Practice-Empfehlungen:

   • HOWTO: Sind tatsächlich alle WatchGuard Endpoints im Lock-Mode?
   • HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Advanced EPDR / EPDR
2. Sicherheitspatches einspielen!

   Verzögerte Patch-Installationen sind ein häufiger Angriffsvektor. Deshalb empfehlen wir immer alle sicherheitsrelevanten Updates sofort einzuspielen und nicht erst "zeitnah in drei Wochen". Bestenfalls passiert das automatisiert mit Tools wie WatchGuard Patch Management:

   • Die komfortable Alternative zu Microsoft WSUS – WatchGuard Patch Management
   • HOWTO: Automatische Installation von Sicherheitsupdates für Microsoft und Third-Party Anwendungen zur Härtung der Endgeräte
   • WatchGuard Patch Management im Shop
3. Backup-Server absichern!

   Eine umfassende Backup-Strategie ist essenziell. Oftmals wird gleich zu Beginn einer Attacke der Backup-Server übernommen und sämtliche Sicherungen unbrauchbar gemacht. Hier ein paar Tipps:

   1. Backup-Server isolieren (eigenes VLAN).
   2. Zugriff nur vom Backup-Server auf die zu sichernden Maschinen - nicht umgekehrt.
   3. Nur Pull-Backups,  keine Push-Verfahren.
   4. RDP-Zugang auf den Backup-Server mit Multifaktor-Authentifizierung (MFA) absichern - bei Linux Servern den SSH-Zugang über die Firewall mit MFA absichern
   5. Offline- und Offsite-Backup. Ein online immer erreichbares only-on-disk-backup ist nicht ausreichend. Das kann gelöscht/verschlüsselt/vernichtet werden.

   
   Uns sind Fälle bekannt, bei denen sogar die readonly-Snapshots einer Netapp unbrauchbar gemacht wurden.
   (oft sind dort x "stündliche" Snapshots definiert, und wenn man Konfigurationszugriff auf die Netapp hat, kann man den Takt der Snapshots hochsetzen, und wenn dann anstelle 72 stündlichen Snapshots nur noch 72 minütliche Snapshots existieren, sind die letzten unverschlüsselten Snapshots nach gut einer Stunde nicht mehr verfügbar. Da die Angriffe typisch in den Nachmittag- oder Abendstunden stattfinden, ist der letzte lesbare Snapshot am nächsten morgen weg.)
   

4. MDR- / SOC-Service für 24/7-Überwachung.

   Kaum eine typische EDV-Abteilung ist in der Lage 24/7/365-Überwachung zu stemmen.
   Da Angriffe i.d.R. kurz vor Wochenenden, Feiertagen, Urlaubszeiten oder sogar in den Nachtstunden stattfinden, muss in diesen Angriffsfenstern ein Überwachungsdienst aus echten Menschen in der Lage sein frühestmöglich bevorstehende Angriffe zu erkennen und entsprechende Gegenmaßnahmen umzusetzen (bspw. Host Isolation oder unternehmensweite IP Blockierung etc.).Nutzen Sie deshalb einen Managed Detection & Response (MDR) oder Security Operations Center (SOC)-Dienst um rund um die Uhr abgesichert zu sein.
   
5. Awareness bei den eigenen Mitarbeitern erhöhen (Security Awareness).

   Die beste Technik nützt wenig, wenn Mitarbeitende auf Phishing hereinfallen. Setzen Sie deshalb auf regelmäßige Schulungen und simulierte Phishing-Angriffe, bspw. Hornet Awareness Service mit selbst generierten Phishing-E-Mails an die eigenen Mitarbeiter.
   
6. ALLE VPN-Zugänge per MFA absichern - auch die für evtl. externe Dienstleister.

   Oft wird ein Zugang über entweder "geratene" VPN-Zugänge verwendet oder über "übernommene Client-Workstations" aus dem Homeoffice.
   An dieser Stelle auch zu überlegen: Sind auch ALLE Homeoffice-PCs in der Endpoint-Protection inkludiert? Zusätzlich lässt sich der VPN-Zugriff auch ausschließlich auf Geräte begrenzen, welche nach Firmenvorgabe mit dem Endpoint Schutz ausgestattet sind:

   • Network Access Enforcement (Durchsetzung des Netzwerkzugriffs)
   • HOWTO: Absichern des Mobile-VPN-Zugriffs via Network Access Enforcement
   • BestPractices.live – Netzwerkzugriffe steuern mit Network Access Enforcement
7. Alte Systeme ersetzen.

   Alte Systeme wie bspw. ein Windows-Server 2008 oder Exchange 2010 sind alt. Nicht etwas alt, sondern zu alt und entsprechend nicht mehr sicher.
   Tipp: Die WatchGuard Endpoint Schwachstellenanalyse sowie das Patch Management bieten einfache Möglichkeiten im gesamten Unternehmen nach End-Of-Life Software zu filtern.
   
8. Passwortkonzepte überprüfen.

   1. Passwort-Richtlinien (komplexe Passwörter sind besser als regelmäßiges wechseln, KISS Prinzip => BSI-Richtline)
   2. Standard-/Default-Kennwörter unbedingt ändern, folgende Beispielsysteme werden dabei oft vergessen:
      1. Switches
      2. ILOs/DRACs/andere Management-Karten
   3. lokale Admin-Kennwörter (Tipp: LAPS verwenden)
9. Keine dauerhafte Arbeit mit Administratorrechten.

   Wichtiger Hinweis in diesem Kontext: NIEMAND sollte permanent mit Adminrechten arbeiten – weder auf Servern noch lokal auf Arbeitsplätzen!
   Wer dauerhaft mit Adminrechten arbeitet, öffnet Angreifern Tür und Tor: Schadsoftware kann sofort weitreichende Schäden anrichten. Nutzen Sie stattdessen getrennte Konten und das Prinzip „Least Privilege“.
   
10. On-Prem Exchange Server weiter absichern.

    • HOWTO – Exchange-Server mittels Reverse-Proxy (Access Portal) und Pre-Authentication absichern
    • HOWTO – Exchange Reverse Proxy mit HTTPS Content Inspection (Ohne Access Portal)
11. Einsatz von HTTPS-DPI (Deep Packet Inspection).

    • HOWTO – HTTPS-DPI mit dem WebBlocker inkl. WatchGuard Deny Messages
12. Netzwerksegmentierung per VLAN.

    Je mehr segmentiert wird desto geringer die direkten Auswirkungen bei Kompromittierung eines Segments und eine Firewall ist deutlich besser in der Lage zwischen den Segmenten zu schützen.
    
13. Remote-Support-Tools nicht dauerhaft aktiv lassen.

    Remote-Support-Tools wie bspw. Teamviewer müssen nicht standardmäßig auf den Servern laufen. Nutzen Sie die Application Control Features:

    • WatchGuard Application Control
14. Server-Internetverbindung begrenzen, wenn nicht erforderlich.

    Server müssen ggf. gar nicht mit dem Internet kommunizieren (Updates via Patchmanagement, WSUS). Beispiel: auf dem DC muss keiner surfen. Das macht es Angreifern schwerer Schadsoftware nachzuladen und/oder Fernsteuerungen zu implementieren.
    Durch Nutzung von WatchGuard Endpoint mit Patch Management Modul und Cache Server wäre das Patchen dieser Server auch weiterhin problemlos möglich auch wenn kein direkter Internetzugriff vorhanden ist.
15. Regelmäßiges Reviewing der Firewall-/Endpoint-Konfiguration.

    Wir bieten im Zuge unserer Managed Services bspw. regelmäßige gemeinsame Config-Reviews (Firewall, Endpoint, etc.) an. Diese kontinuierliche Härtung Ihres Regelwerks steigert die Resilienz deutlich. So holen Sie das Maximum aus Ihren bereits gekauften Produkten heraus.
    

Fazit

Viele dieser Maßnahmen lassen sich mit wenig Aufwand umsetzen – und bieten dafür enormen Mehrwert in puncto Sicherheit. Nutzen Sie vorhandene Sicherheitsfunktionen vollständig aus und kombinieren Sie Technik mit Prozessen und Sensibilisierung.

Gerne unterstützen wir Sie bei der Analyse Ihrer Umgebung und der Umsetzung maßgeschneiderter Schutzmaßnahmen.