Unternehmen aller Größen versuchen aufgrund der COVID-19-Krise ihre IT und Infrastruktur den Anforderungen anzupassen. Home-Office und Remote-Arbeitsplätze sind nur ein Teil des neuen Szenarios. Auch die Kommunikation mit Kunden und Geschäftspartnern wird zunehmend digitalisiert. Dass bei einer derart schnellen Reaktion nicht alles bis aufs Letzte geplant werden kann ist klar – wichtig ist, dass der Betrieb so gut wie möglich am Laufen bleibt. Das wissen Cyber-Kriminelle und sie nutzen die Fehler in den neuen oder erweiterten Infrastrukturen gnadenlos aus – natürlich auch, um Ransomware ins Unternehmen einzuschleusen. Ransomware-Angriffe erfolgen auf verschiedene Weise. Einige Angriffe starten mit einer Phishing-E-Mail, andere nutzen (neue) Schwachstellen in Netzwerken, um schnell zu anderen Systemen im Netzwerk zu gelangen. Die bekannteste Netzwerkschwachstelle, die bei einem Ransomware-Angriff ausgenutzt wurde, war EternalBlue vor einigen Jahren. Aber seit damals wurden neue Schwachstellen wie BlueKeep entdeckt und es gibt nach wie vor noch viele Netzwerke, die verwundbar sind. Vermutlich werden es durch die derzeit rasanten Umstellungen sogar mehr.

Viele Netzwerkschwachstellen sind „wormable“. Das bedeutet, dass Hacker diese Lücken zur Konstruktion eines klassischen Computerwurms nutzen können. Dieser verbreitet sich eigenständig, so dass sich die Infektion schnell und einfach auf eine große Gruppe von Systemen ausbreiten kann. Natürlich sind der Einsatz eines Anti-Ransomware-Endpunkt-Schutzprodukts und die Aufrechterhaltung eines strikten Patch-Managements die wichtigsten Maßnahmen. Aber es gibt auch andere bewährte Verfahren – darunter eine Next Generation Firewall – um Ransomware, Hacker und Angriffe von Anfang an aus dem Netzwerk fernzuhalten. Noch wichtiger aber ist die einwandfreie Konfiguration und die kontinuierliche Anpassung des Security-Systems an die sich schnell verändernden Umgebungen. Hier können Managed Security Services eine sinnvolle Alternative sein. Mit der externen Hilfe durch Spezialisten kann sich die IT-Crew eines Unternehmens auf die neuen Herausforderungen konzentrieren und gleichzeitig sicher sein, dass die Sicherheit vom Endpoint über das Netzwerk bis hin zu den Servern gewährleistet ist oder im Falle eines Angriffs die passende Reaktion unmittelbar erfolgt.

Gute Firewall-Konfiguration bietet guten Schutz

Generell bietet eine Next Generation Firewall Schutz vor Angriffen indem sie gefährdete Ports schließt oder schützt und Angriffe mit einem Intrusion Prevention System (IPS) blockiert. IPS untersucht den Netzwerkverkehr auf Schwachstellen. Es blockiert jeden Versuch von Angreifern, die Netzwerkumgebung zu passieren oder sogar Grenzen oder Segmente innerhalb des internen Netzwerks zu überschreiten. Dabei sollte man beim Einsatz einer Firewall wichtige Aspekte beachten, um Ransomware, die sich seitlich im Netz bewegt, zu verhindern:

• Angriffsfläche reduzieren: Überprüfen aller Regeln für die Weiterleitung von Ports, um nicht benötigte offene Ports zu eliminieren. Wenn möglich sollte auf Port-Weiterleitungen verzichtet und ein VPN verwendet werden, um auf interne Ressourcen von außen zuzugreifen. Insbesondere für RDP sollte man sicherstellen, dass der Port 3389 auf der Firewall nicht geöffnet ist.
• IPS-Schutz anwenden: Anwenden eines geeigneten IPS-Schutzes auf die Regeln für den Datenverkehr mit und von jedem Windows-Rechner im Netzwerk.
• Risikominimierung von seitlicher Bewegung: Vernetzte IT-Security-Lösungen schützen vor Bedrohungen, die sich seitlich im Netzwerk bewegen. Das Segmentieren von LANs und WLANs in kleinere Subnetze mit separaten Zonen durch die Firewall sind wichtige Maßnahmen zum Schutz. Geeignete IPS-Richtlinien für die einzelnen Zonen verhindern, dass sich Würmer und Bots zwischen den LAN- und WLAN-Segmenten ausbreiten.

Managed Security Services entlastet IT-Teams gerade in schwierigen Phasen

Selbst wenn alle wichtigen Konfigurationen und Security-Maßnahmen für die Firewall umgesetzt sind, kann ein Ransomware-Risiko bestehen bleiben, insbesondere aufgrund von Änderungen im Netzwerk oder neu gefundener Schwachstellen in Betriebssystemen und Anwendungen. Fortschrittliche Firewalls „wissen“ wie sie mit geänderten Voraussetzungen und Umgebungen umzugehen haben. Gelegentlich ist es aber nötig, dass unternehmensspezifische Einstellungen und Regeln angepasst werden müssen, um den höchst möglichen Schutz zu gewährleisten. Hier helfen Managed Security Services. Sie tragen mit ihrer Kompetenz maßgeblich zur Verbesserung der Sicherheit in vielen Unternehmen und Organisationen bei. Dies gilt insbesondere für Organisation und Unternehmen, die sich kein ausreichendes internes Vollzeitsicherheitspersonal leisten können, aber trotzdem Expertenwissen benötigen.

„Es ist für viele Unternehmen sinnvoll, eine Kombination aus Endpoint-Protection, Firewall und Managed Security Services zu nutzen. Gerade jetzt, wo viele Organisationen ihre IT den veränderten Anforderungen schnell anpassen, bietet diese Kombination mehr Flexibilität, Kosten- und Zeitersparnis, Compliance und vor allem die schnelle und sichere Realisierung von neuen IT-Projekten. Cyber-Kriminelle nutzen jede Schwachstelle, die sie finden können. Und mit Rücksicht auf die derzeitige Krisensituation ist nicht zu rechnen, ganz im Gegenteil“, so Michael Veit, Technology Evangelist bei Sophos.