Skip to content Skip to footer
Suche

Ergebnisse laden

Ransomware als Geschäftsmodell

Wie es funktioniert und wie Sie sich schützen können

Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland

Auch wenn sich einzelne Schritte im Detail unterscheiden, ist der Ablauf eines Ransomware-Angriffs im Grunde immer gleich. Er lässt sich anhand von vier Phasen – Vorbereitung, Angriff, Ausbreitung und Infektion – darstellen. In unserer Blog-Serie veranschaulichen wir diese Phasen anhand eines Beispielszenarios aus der Sicht eines Ransomware-Betreibers und zeigen auf, welche Schutzmassnahmen wirklich effektiv sind. Abschliessend befassen wir uns mit rechtlichen Aspekten von Ransomware-Zahlungen.

61% der Führungskräfte in der Schweiz erwarten eine Zunahme der meldepflichtigen Ransomware-Angriffe im Jahr 2022.

Quelle: PwCs Global Digital Trust Insights 2022
The New Equation

Cybersecurity und Datenschutz

Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.

Mehr erfahren


Phase 3: die Ausbreitung

Ist das Netzwerk des Zielunternehmens geknackt, geht es nun darum, an die benötigten Daten für die Erpressung zu gelangen. Dies braucht Zeit und meistens auch erweiterte Zugriffe auf mehrere Systeme. Hier kommt die von Profis entwickelte Malware ins Spiel. Sie hilft dem:der Cyberkriminellen dabei, das System in Teilen zu übernehmen und zu steuern. In Abhängigkeit der geknackten Nutzungsberechtigungen verhält sich die Malware unterschiedlich; sie wird entweder versuchen, andere Accounts zu übernehmen oder auf andere Rechner zuzugreifen. In jedem Fall verschafft die Malware der angreifenden Person erste Erkenntnisse über das kompromittierte System.

Cyber incident response and recovery

Bereiten Sie sich dank unserer vielseitigen und flexiblen Lösungen – einschliesslich Gesamtpaketen – erfolgreich auf bevorstehende Cyber-Bedrohungen vor.

Zum Angebot


Was können Sie nun tun?

Auch hier gilt die Devise: Cyberkriminelle gehen den Weg des geringsten Widerstands. Das bedeutet in der Praxis häufig, dass bekannt gewordene Schwachstellen zeitnah ausgenutzt werden. Sobald für eine Schwachstelle ein Patch veröffentlicht wurde, kennen auch die Entwickler:innen der Ransomware diese Schwachstelle und werden versuchen, sie gezielt für einen Angriff zu nutzen, bevor Ihre Firma den Patch eingespielt hat.

Patch-Management und Systemhärtung:

  • Patches und Sicherheitsupdates sind das effektivste Mittel, um Cyberkriminelle in dieser Phase aufzuhalten. Ein vollständig gepatchtes System ist kein einfaches Ziel und zwingt jene dazu, sich entweder auf andere Ziele oder auf aufwendigere Methoden zu verlegen. Wenn Sie von einer Schwachstelle betroffen sind und aus verschiedenen Gründen keinen Patch oder sonstigen Workaround anwenden können, prüfen Sie, ob Sie die betroffenen Geräte vom Netzwerk trennen können, bis eine Lösung verfügbar ist. Falls das nicht möglich ist, sollten Sie unbedingt eine intensivere Überwachung gewährleisten.
  • Härten Sie Ihr System und gehen Sie bei der Priorisierung entsprechend den Erkenntnissen aus Ihrem Risikomanagement vor. Clients haben in der Regel Vorrang, gefolgt vom zentralen Verzeichnisdienst (Active Directory), den Webservern, Mailservern und anderen aus dem Internet erreichbaren Geräten. Die Härtung muss regelmässig überprüft werden. So können Sie auch ungenutzte Systemdienste identifizieren und deaktivieren, um die Angriffsfläche zu verkleinern.
  • Ein ausgereiftes Rollen- und Berechtigungskonzept schränkt zudem die Möglichkeiten von Angreifer:innen ein. Systemnutzer:innen sollten nur die Berechtigungen haben, die sie tatsächlich brauchen. So ist zum Beispiel in vielen Firmen die Berechtigung zur Installation von Software für Entwickler:innen notwendig, jedoch nicht für die meisten anderen Nutzergruppen.

Monitoring:

  • Der Einsatz moderner Detektionstechnologien und die fachgerechte Einrichtung helfen bei der Erkennung eines laufenden Angriffs. Auf diese Weise lässt sich der Schaden in manchen Fällen noch abwenden oder zumindest eindämmen. Stellen Sie sicher, dass Ihre Sensorik so konfiguriert ist, dass nicht nur auf die klassischen Indicators of Compromise (IoCs) wie bekannte IP-Adressen und Domänennamen geprüft wird. Auch die Anomalieerkennung spielt eine wichtige Rolle. So sollte zum Beispiel ein Alarm ausgelöst werden, wenn ein Office-Programm einen PowerShell-Aufruf durchführt.
  •  Testen Sie regelmässig, ob das Monitoring und die Alarmauslösung zuverlässig funktionieren.

Weitere Massnahmen:

  • Penetration Testing
  • Vulnerability Management
  • Überprüfung eingehender E-Mails und Blockierung ausführbarer Dateien
  • sichere Konfiguration von Office-Produkten
  • Verzicht auf die Vergabe lokaler Administrationsberechtigungen
Vulnerability Management

Lassen Sie uns Ihre IT-Schwachstellen überwachen, damit Sie sich auf das Kerngeschäft konzentrieren können.

Mehr erfahren

#social#

Mit Vertrauen zum Erfolg

Bei PwC sind wir eine Gemeinschaft von Problemlösenden, die Ihnen – unterstützt durch Technologie – helfen, alle und alles zu schützen, was Ihnen wichtig ist.

Mehr zu unseren Dienstleistungen

Kontaktieren Sie uns

Johannes Dohren

Johannes Dohren

Partner, Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 22 20

Naveen Shanmugasundaram

Naveen Shanmugasundaram

Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 24 92