ADMIN

2022

03

2022-02-28T12:00:00

Moderne IT-Security

SCHWERPUNKT

076

Sicherheit

Ransomware

Schutz vor Ransomware

Der Feind in meinem Netz

von Dr. Matthias Wübbeling

Veröffentlicht in Ausgabe 03/2022 - SCHWERPUNKT

Ransomware ist seit einigen Jahren auf dem Vormarsch. Unternehmen, die bisher nicht selbst betroffen waren, wissen dabei, dass es nur eine Frage der Zeit ist, bis ein Angriff gegen sie gerichtet wird. Doch ob dieser erfolgreich ist und wie weit ein Angreifer tatsächlich kommt, hängt von vielen unterschiedlichen Faktoren ab. Daher gilt es, sich auf Attacken vorzubereiten und die Abwehrmechanismen in Stellung zu bringen.

Die Anzahl der Cyberangriffe mit Ransomware steigt seit einigen Jahren kontinuierlich. Neben Emotet hat die Ransomware WannaCry im Jahr 2017 für großes Aufsehen gesorgt. Über eine Sicherheitslücke in Microsofts SMB-Protokoll wurden hunderttausende Windows-Systeme infiziert und die darauf vorhandenen Daten wurden verschlüsselt. Die Malware nutzte für die Verbreitung den von einer Hackergruppe veröffentlichten NSA-Exploit namens EternalBlue. Zwar gab es bereits rechtzeitig vor dem WannaCry-Ausbruch einen Patch von Microsoft, der diese Lücke schloss, allerdings waren viele Systeme noch nicht aktualisiert und damit weiterhin verwundbar.
Eher zufällig fand der britische Sicherheitsforscher Marcus Hutchins eine Möglichkeit, WannaCry zu deaktivieren. Der Schädling prüft vor der Verschlüsselung von Dateien die Existenz einer speziellen Domain. Ist diese nicht erreichbar, beginnt WannaCry mit der Verschlüsselung. Nach der Registrierung dieser Domain im weltweiten DNS-System war damit nach nur vier Tagen die weitere Verbreitung zunächst gestoppt. Bis dahin wurden bereits Bitcoin im Wert von mehreren Hunderttausend Euro auf das Wallet der Angreifer überwiesen.
Große Aufmerksamkeit in den deutschen Medien erreichte etwa die Verschlüsselung von mehr als 30 Servern im Computernetzwerk des Universitätsklinikums Düsseldorf im Herbst 2020 durch eine modifizierte WannaCry-Variante. Infolge der Nichtverfügbarkeit der IT in der Uniklinik verstarb sehr wahrscheinlich eine Patientin, da sie nicht aufgenommen werden konnte und in ein weiter entferntes Krankenhaus transportiert werden musste.
Die Anzahl der Cyberangriffe mit Ransomware steigt seit einigen Jahren kontinuierlich. Neben Emotet hat die Ransomware WannaCry im Jahr 2017 für großes Aufsehen gesorgt. Über eine Sicherheitslücke in Microsofts SMB-Protokoll wurden hunderttausende Windows-Systeme infiziert und die darauf vorhandenen Daten wurden verschlüsselt. Die Malware nutzte für die Verbreitung den von einer Hackergruppe veröffentlichten NSA-Exploit namens EternalBlue. Zwar gab es bereits rechtzeitig vor dem WannaCry-Ausbruch einen Patch von Microsoft, der diese Lücke schloss, allerdings waren viele Systeme noch nicht aktualisiert und damit weiterhin verwundbar.
Eher zufällig fand der britische Sicherheitsforscher Marcus Hutchins eine Möglichkeit, WannaCry zu deaktivieren. Der Schädling prüft vor der Verschlüsselung von Dateien die Existenz einer speziellen Domain. Ist diese nicht erreichbar, beginnt WannaCry mit der Verschlüsselung. Nach der Registrierung dieser Domain im weltweiten DNS-System war damit nach nur vier Tagen die weitere Verbreitung zunächst gestoppt. Bis dahin wurden bereits Bitcoin im Wert von mehreren Hunderttausend Euro auf das Wallet der Angreifer überwiesen.
Große Aufmerksamkeit in den deutschen Medien erreichte etwa die Verschlüsselung von mehr als 30 Servern im Computernetzwerk des Universitätsklinikums Düsseldorf im Herbst 2020 durch eine modifizierte WannaCry-Variante. Infolge der Nichtverfügbarkeit der IT in der Uniklinik verstarb sehr wahrscheinlich eine Patientin, da sie nicht aufgenommen werden konnte und in ein weiter entferntes Krankenhaus transportiert werden musste.
Einfallstore für Ransomware
Das Ziel von Ransomware ist in den meisten Fällen die Erpressung eines Lösegelds. Emotet und EternalBlue sind nur zwei von vielen Möglichkeiten, die Kriminelle haben, um die Kontrolle über Computer zu übernehmen und vorhandene Dateien zu verschlüsseln. Das Emotet-Botnet wurde Anfang 2021 von Ermittlern der Europol zerschlagen und die Infrastruktur abgeschaltet. Dieser große Erfolg europäischer Behörden konnte jedoch nur für einen kurzen Moment die Bedrohungslage entspannen. Bereits im November waren die ersten modifizierten Emotet-Varianten im Umlauf.
Neben E-Mails und Sicherheitslücken sind auch geleakte Logindaten von Mitarbeitern regelmäßig ein Einfallstor in Unternehmensnetzwerke. Das zeigt der Fall des US-amerikanischen Pipelinebetreibers Colonial Pipeline [1]. Hier haben die Angreifer offenbar im Darknet gültige Kontodaten eines Mitarbeiters gefunden und konnten diese verwenden, um per VPN auf die Computersysteme des Unternehmens zuzugreifen und Ransomware zu installieren. Als Folge der verschlüsselten Dateien und der Lösegeldforderung hat Colonial das gesamte Pipelinesystem für mehr als fünf Tage heruntergefahren. Die so eingetretene Versorgungslücke mit Treibstoff führte zu einem sprunghaften Anstieg der Kraftstoffpreise in Teilen der USA.
Colonial bezahlte umgerechnet fast vier Millionen Euro Lösegeld an die Erpresser. Diese haben sich jedoch nicht darauf verlassen, die Dateien von Colonial einfach nur zu verschlüsseln. Vielmehr kopierten sie zuvor fast 100 GByte an Files von den Colonial-Systemen. Die Erpresser drohten zusätzlich damit, diese Informationen zu veröffentlichen, sollte Colonial das Lösegeld nicht bezahlen. Dieses Vorgehen, Dateien vor der Verschlüsselung zu kopieren, eröffnet einen weiteren Angriffsvektor. Betroffene Unternehmen bezahlen dann auch, wenn die Daten mit einem Backup einfach wiederherstellbar sind, um eine Veröffentlichung interner Daten und möglicher Unternehmensgeheimnisse zu verhindern.
Täter und Opfer
Die Täter großer Ransomwarevorfälle sind zumeist gut organisierte Gruppen. Im Rahmen von Ermittlungen und Veröffentlichungen im Anschluss an die Vorfälle werden die Hacks immer wieder zu Hackergruppen in Osteuropa oder Russland zugeordnet. Diese Attribuierung findet vor allem im Rahmen der Analyse der Schadsoftware und der Kommunikation der Täter mit ihren Opfern statt. Aber auch kleine Tätergruppen nutzen Ransomware, wenngleich sie diese nicht selbst entwickeln. In einschlägigen Foren gibt es Baukästen für Ransomware bereits für geringe Beträge.
Betrachten wir die öffentliche Berichterstattung über Ransomware-Vorfälle, erhalten wir das Gefühl, dass vor allem große Institutionen und öffentliche Einrichtungen im Visier stehen. Dieses Bild täuscht jedoch. Kleine und mittelständige Unternehmen sind ebenso Opfer von Ransomware wie Privatpersonen. Vor allem KMU erleiden mitunter schwere Schäden nach Cyberangriffen. Offizielle Zahlen, in wie vielen Fällen das Lösegeld tatsächlich floss, gibt es nicht. Die weiterhin hohe Anzahl an Angriffen ist aber ein Hinweis darauf, dass die Methode erfolgreich ist.
Bei der Wahl ihrer Opfer sind die Tätergruppen häufig zwar nicht wählerisch, gehen nach einem erfolgreichen Einbruch aber durchaus gezielt vor. Sie analysieren die Netzwerkinfrastruktur und übernehmen möglichst viele Systeme darin. Mögliche Backupsysteme werden identifiziert, um den Wiederherstellungsprozess zu erschweren. Erst wenn die Angreifer dann auch der sensiblen Daten habhaft sind, beginnt die Verschlüsselung und die Lösegeldforderung folgt auf dem Fuße. Während private Computer auf den ersten Blick nicht besonders lohnenswert erscheinen, können diese eine gewisse Brisanz entwickeln – selbst dann, wenn der Besitzer kein Lösegeld zahlt. Die Angreifer sammeln nämlich auch Passwörter aus den üblichen Passwortsafes, aus dem Browser oder dem E-Mail-Programm. Diese sind zwar mitunter durch ein Masterpasswort gesichert, allerdings lässt sich die Eingabe dieses Masterpassworts mitlesen. Oft sind darin auch Zugänge zu weiteren Computersystemen erhalten. So finden Kriminelle auch immer wieder Logindaten zu Fernwartungszugängen. Mit diesen gelangen die Täter dann in Unternehmensnetze, womit sie ein weiteres Opfer für ihre Schadsoftware gefunden haben.
Game over: Sehen Sie eine Meldung wie diese auf dem Bildschirm, hat die Ransomware – in dem Fall WannaCry – zugeschlagen.
Technische und menschliche Schutzmaßnahmen
Um sich erfolgreich vor Ransomware und den möglichen Folgen einer Infektion zu schützen, sind unterschiedliche Maßnahmen erforderlich. Technische Lücken, wie bei WannaCry und EternalBlue, lassen sich durch regelmäßige Updates aller Systeme im Unternehmen schließen. Dabei müssen Sie sich im Hinblick auf automatisierte Updates für jedes System die Frage stellen, ob ein potenzieller Ausfall durch einen Fehler beim Update schwerer wiegt als eine existierende Sicherheitslücke. Sie sollten also wo möglich automatische Updates aktivieren, auch auf die Gefahr eines Ausfalls durch eine fehlgeschlagene Aktualisierung hin. Je länger die Prüfung und Freigabe eines Updates dauert, desto mehr Zeit haben Angreifer, um auf die Unternehmenssysteme zuzugreifen.
Nutzen Sie zentrale Antivirus-Programme und Application-Layer-Gateways, um Anhänge in E-Mails zu untersuchen, bevor diese an Mitarbeiterkonten zugestellt werden. Zumindest die von Baukästen erzeugten Varianten der Schadsoftware lassen sich damit häufig aus­findig machen, wenngleich Sie gegen die individuellen Varianten der größeren Gruppen häufig nicht funktionieren.
Um das Nachladen von Schadsoftware nach einer erfolgten Infektion zu unterbinden, können Sie Ihre Mitarbeiter über Webproxys umleiten, binäre Downloads verbieten beziehungsweise separat freischalten und alle übrigen Anfragen am Proxy vorbei zunächst im Paketfilter blockieren. Anbieter von Sicherheitsprodukten bieten hierfür Listen von IP-Adressen und Domains an, die Sie filtern sollten. Diese Maßnahmen sind oft nicht ohne Einschränkung der Mitarbeiter umsetzbar und führen mitunter zu Konflikten bei der alltäglichen Arbeit. Daher verzichten viele Unternehmen darauf. Allerdings sollten Sie versuchen, gemeinsam mit Ihren Kollegen auszuprobieren, welche Maßnahmen Sie umsetzen können. Berücksichtigen Sie dabei auch Zeiten, in denen üblicherweise niemand arbeitet. Wenn Ihr Büro geschlossen ist, können Sie deutlich strengere Regeln umsetzen und überwachen, und diese zu den normalen Öffnungszeiten wieder lockern.
Auch wenn die Benutzer Ihres Unternehmens immer wieder als eigentliche Schwachstelle dargestellt werden, sind diese doch vielmehr die letzte Verteidigungslinie, die im Gegensatz zu den industriellen Sicherheitsprodukten wie Antivirus-Programmen, Application-Layer-Gateways und speziellen Firewalls die tatsächliche Infektion noch verhindern können.
Angreifer nutzen Spearphishing-Maßnahmen und wie im Fall von Emotet existierende Kommunikation, um Benutzer zum Ausführen der Schadsoftware zu bringen. Diese perfiden Techniken zu durchschauen, ist selbst für gut ausgebildete und trainierte Mitarbeiter schwierig. Die Ausbildung Ihrer Benutzer sollte also ein integraler Bestandteil der gesamten IT-Sicherheitsstrategie sein. Gezielte Schulungen sensibilisieren Ihre Benutzer, sodass diese nicht unfreiwillig zu Helfern der Angreifer werden. Dazu gehören auch eine aktive Fehlerkultur und die Möglichkeit für Ihre Mitarbeiter, auffällige Aktivitäten zu melden.
Zusätzlich können Sie Ihre Mitarbeiter technisch unterstützen. Etablieren Sie die Signatur von E-Mails in Ihrem Unternehmen. Das erschwert zumindest ein Stück weit die Erstellung glaubwürdiger E-Mails. Wenn alle E-Mails in Ihrem Unternehmen signiert sind, fallen die auf, die es nicht sind. Je weniger Ausnahmen es gibt, umso zuverlässiger können Ihre Mitarbeiter gefälschte E-Mails erkennen. Sollte dennoch ein Benutzer einen schadhaften Anhang öffnen, schützen Sie das System durch aktive Gruppenrichtlinien, die die Ausführung von Makros in diesen Dateien verbieten. Benötigen Benutzer Makros für ihre tägliche Arbeit, sollten Sie zumindest signierte Makros verwenden und die Ausführung unsignierter Makros unterbinden.
Cyberversicherungen
Wenn Sie sich gegen die Folgen von Cyberangriffen schützen möchten, können Sie zum klassischen Mittel einer Versicherung greifen und eine sogenannte Cyberversicherung abschließen. Je nachdem, in welchen Branchen Sie aktiv sind, können Cyberversicherungen eine günstige Ergänzung in Ihrem Risiko- und Notfallplan sein. Versicherungen können Ihnen auch bei ersten Schritten nach einem erfolgten Angriff helfen und erprobte Partner bei der Vorfallsanalyse vermitteln. Ob beziehungsweise in welchem Umfang die Folgen des Angriffs getragen werden und ob vielleicht sogar ein Lösegeld von der Versicherung übernommen wird, hängt von Ihren individuellen Verträgen ab. Einige große Versicherungen haben im letzten Jahr jedoch angekündigt, kein Lösegeld mehr an Kriminelle zu zahlen.
Zugriffe einschränken
Gültige Logindaten in den Händen Krimineller sind neben den technischen Schwachstellen ein großes Problem für die Sicherheit Ihrer Computer und Dienste. Im Darknet erhalten Hacker umfangreiche Datensammlungen von Identitätsdaten und Logindaten. Da Benutzer dazu neigen, dieselben Passwörter für unterschiedliche Dienste zu verwenden, sind Sie möglicherweise auch gefährdet, wenn andere Dienste Opfer von Hackerangriffen werden. Tatsächlich benutzen mehr als zwei Drittel der Benutzer bereits geleakte Logindaten noch länger als ein Jahr weiter. Das amerikanische NIST, aber auch der IT-Grundschutz weisen auf diese Gefahren hin und empfehlen die regelmäßige Überprüfung der Benutzerkonten und Passwörter.
Es gibt unterschiedliche Dienstleister, die sogenannte Identity Leak Checker anbieten. Der kostenfreie amerikanische Dienst "Have I Been Pwned" (HIBP) [2] ist der wohl bekannteste Anbieter von Leak-Informationen. Durch die Eingabe einer E-Mail-Adresse erhalten Sie Informationen darüber, ob diese Teil eines Datenlecks war. Auch wenn es sich um die betriebliche E-Mail-Adresse handelt, ist die Nutzung von HIBP aus Datenschutzgründen fraglich und sollte mit dem Personalrat oder Betriebsrat abgesprochen werden. Zudem erhalten Sie bei HIBP keinen direkten Zugriff auf das betroffene Passwort zu diesem Account, sodass Sie es nicht direkt gegen Ihre Systeme prüfen können. Dafür gibt es aber spezialisierte Dienstleister am Markt, die auch DSGVO-konforme Prüfungen von Logindaten umsetzen.
Bei der Vergabe von Benutzerrechten sollten Sie die Möglichkeit gestohlener Log-indaten berücksichtigen. Geben Sie Mitarbeitern nur so viele Zugriffsrechte, wie diese unbedingt für ihren normalen Berufsalltag benötigen. Das gilt vor allem beim Zugriff auf Server und gemeinsame Dateien. Räumen Sie etwa für existierende Dateien auf einem Server für Benutzer ausschließlich Leserechte ein, müssen die User zwar für jede Änderung eine neue Datei hochladen, die Dateien können dafür von diesem Benutzer dann nicht gelöscht oder verschlüsselt werden.
Das Prinzip der geringsten Berechtigungen hat vor allem zur Folge, dass Sie Prozesse etablieren müssen, die regelmäßig existierende Berechtigungen überprüfen. Das kommt insbesondere dann zum Tragen, wenn Mitarbeiter die Abteilungen wechseln oder für Projekte abteilungsübergreifend zusammenarbeiten. Das Phänomen ist etwa bei Praktikanten üblich, die im Laufe ihres Praktikums unterschiedliche Abteilungen durchlaufen. Einmal erteilte Privilegien werden häufig nicht wieder entzogen, neue aber regelmäßig hinzugefügt. Zum Abschluss eines Praktikums hat der Praktikant dann Zugriff auf ein Benutzerkonto mit vielen sicherheitsrelevanten Zugriffsmöglichkeiten.
Ausbreitung verhindern
Wenn Angreifer trotz aller Schutzmaßnahmen doch einmal Zugriff auf Computer in Ihrem Unternehmensnetzwerk haben, muss das nicht zwangsweise bedeuten, dass diese am Ende auch erfolgreich mit ihrem Angriff sind. Sie sollten versuchen, den Schaden in solchen Fällen möglichst klein zu halten. Um eine Ausbreitung zu verhindern, trennen Sie unterschiedliche Abteilungen und unterschiedliche Teams derselben Abteilung bestenfalls netzwerktechnisch voneinander und bringen diese in eigenen Subnetzen unter. Zwischen diesen sollten Sie eine Firewall haben, die übergreifenden Netzwerkverkehr reguliert und auf das Nötigste beschränkt.
Je schneller Sie reagieren, desto größer ist Ihre Chance, einen großen Schaden abzuwenden. Dafür etablieren Sie ein umfangreiches Monitoring Ihrer Ressourcen, um betroffene Systeme rasch zu erkennen und zu isolieren. Eventuell sollten Sie das gesamte Team beziehungsweise die gesamte Abteilung gemeinsam abschotten. So bleiben die Arbeitsfähigkeit und der Schutz der anderen Einheiten zunächst erhalten. Diesen Vorgang müssen Sie natürlich auch regelmäßig durchspielen. Oft sind dafür nur wenige Firewallregeln nötig. Je nach Aufbau Ihrer Infrastruktur können Sie betroffene Computer auch automatisch in einem separaten VLAN isolieren. Ein Angreifer hat dann zwar noch Zugang zu einem System, kann von dort aber keine weiteren Rechner infizieren. Loggen Sie interne Netzwerkverbindungen auf den Routern zwischen Ihren Abteilungen, können Sie sogar im Nachgang feststellen, ob bereits eine Ausbreitung – das sogenannte Lateral Movement – stattgefunden hat.
Selbst wenn der Angreifer über eine Schwachstelle in Ihr Unternehmensnetzwerk eingedrungen ist, heißt das nicht, dass er dieselbe Schwachstelle auch auf anderen Systemen vorfinden muss. Angreifer benutzen daher unterschiedliche Tools für ihre Bewegungen. Tatsächlich wird dabei auch das von Microsoft mitgelieferte Remote-Desktop-Protokoll verwendet. Insbesondere in Zeiten von Home Office und VPN-Verbindungen von zu Hause in das Unternehmensnetz hinein erfreuen sich Remotedesktops großer Beliebtheit. Die Zugriffsmöglichkeit ist in den meisten Fällen über das Active Directory schnell eingeräumt. Überwachen Sie auch hier an zentralen Stellen die Verbindungen, die mit dem Verzeichnisdienst aufgebaut werden. Reagieren Sie möglichst automatisiert auf unvorhergesehene Verbindungsversuche.
Backups schützen
Das Anlegen von Backups gehört zu den Standardaufgaben eines Administrators. Sie sollten aber nicht nur das Anlegen übernehmen und überwachen, sondern auch die Absicherung und den Zugriff auf existierende Backups. Bestenfalls gibt es ohne weiteres keinen Zugriff auf das Backupsystem. Vielmehr sollte das Back­upsystem Zugriff auf die einzelnen Dienste haben, die es sichern soll. Können die Benutzer Ihrer Systeme selbst nicht auf das Backup zugreifen, kann dieses auch nicht von einer Ransomware verschlüsselt werden, die unter einem normalen Benutzerkonto gestartet wurde.
Um dennoch eine einfache Wiederherstellung von Dateien für den normalen Benutzungsfall zu erlauben, haben Sie bestenfalls unterschiedliche Backupsysteme etabliert. Eines, das Ihre Benutzer selbst verwalten können, und eines, auf das nur im äußersten Notfall und nur von wenigen Administratoren zugegriffen werden kann. Das schützt Sie zwar nicht vor Lösegeldforderungen, um kopierte Geschäftsgeheimnisse zu schützen. Sie können aber nach einem Ransomware-Vorfall schnell wieder den Betrieb aufnehmen.
Abläufe regeln
Ist das Kind in den Brunnen gefallen und Ihre Systeme sind unkontrollierbar von einem Ransomwarevorfall betroffen, müssen Sie adäquat reagieren. Bestenfalls haben Sie dafür im Vorfeld Risiko- und Notfallpläne erarbeitet und Verantwortlichkeiten festgelegt. Die Pläne beinhalten Informationen über die Kritikalität einzelner Systeme und legen auch fest, wie weit Sie andere Systeme abschalten müssen. Ein gezielter und geplanter Shutdown kann Ihr Unternehmen vor existentiellen Schäden schützen, selbst wenn dabei andere Schäden in Kauf genommen werden müssen. Die Betreiber der Colonial-Pipeline haben hier vorbildlich reagiert und das System gezielt vom Netz genommen.
Informieren Sie zeitnah die Ansprechpartner in den jeweiligen Abteilungen und bringen Sie Backupsysteme entsprechend der festgelegten Kritikalität in Betrieb. Wenn Sie rechtlich zur Meldung von Cybervorfällen verpflichtet sind, sollten Sie entsprechende Formulare vorgefertigt haben und zeitnah eine Meldung machen. So verhindern Sie spätere Strafen aufgrund von Unterlassung. Die betroffenen Systeme halten Sie für weitere forensische Analysen vor. Diese können Sie selbst durchführen, wenn Ihr Unternehmen groß genug ist und Sie entsprechende Fähigkeiten in Ihrer IT-Abteilung haben. Ansonsten beauftragen Sie einen externen Dienstleister damit. Das Ziel der Analyse sollte vor allem die Identifikation der Schwachstelle sein – Ihre Daten haben Sie hoffentlich aus dem
Backup wieder einspielen können. Bauen Sie nach und nach Ihre Infrastruktur wieder auf, sobald Sie die Schwachstelle beseitigt haben. Vergessen Sie dabei nicht, neue Backupsysteme für einen erneuten Angriff einzurichten.
Für jede Abteilung haben Sie im Optimalfall noch einen internen Notfallplan. Dieser beinhaltet dann auch die Information von Zulieferern, Partnern oder Endkunden im jeweiligen Bereich. Wenn Sie selbst Zulieferer sind, müssen Sie abhängige Unternehmen in der Lieferkette zeitnah informieren. Auch Ihre eigenen Zulieferer sollten Sie in Zeiten von lagerlosen Lieferketten und Just-in-Time-Produktionen informieren.
Wenn Sie von dem Angriff überrascht wurden, während Sie noch in den Ausarbeitungen zu Ihren Risiko- und Notfallplänen sind, versuchen Sie wenigstens zu retten, was noch zu retten ist. Das kann auch beinhalten, über die Zahlung eines Lösegelds nachzudenken. Das sollten Sie jedoch gemeinsam mit den Behörden absprechen, die Sie nach dem Vorfall informiert haben. Richten Sie mit allen Personen, die Sie zeitnah als relevant identifizieren können, einen Krisenstab ein und besprechen dort die notwendigen Maßnahmen.
Fazit
Ransomware ist die große Bedrohung für Unternehmen, öffentliche Einrichtungen und Privatpersonen. In den letzten Jahren haben die Folgen von Ransomware-Angriffen immer größere Ausmaße angenommen. Der Artikel zeigte Ihnen unterschiedliche Angriffsvektoren und Ausprägungen von Ransomware anhand von tatsächlichen Vorfällen. Wir haben das existierende Risiko diskutiert und wie Notfallpläne Ihnen bei der Reaktion auf Angriffe helfen können, den Betrieb wiederherzustellen.
(dr)
Link-Codes
[2] Have I Been Pwned: https://haveibeenpwned.com/