Source:Ransomware Protection Best Practices/de: Difference between revisions

From SEPsesam
No edit summary
No edit summary
 
(28 intermediate revisions by 5 users not shown)
Line 1: Line 1:
<noinclude><div class="noprint"><languages />
<noinclude><div class="noprint"><languages />
{{Copyright SEP AG‎|de}}
<br />
 
{{Navigation_latest_de|release=[[SEP_sesam_Release_Versions|4.4.3 ''Beefalo V2''/5.0.0 ''Jaglion'']]|link=[[Special:MyLanguage/SEP_sesam_Documentation#previous|Dokumentation Archiv]]}}</div><br />


==Übersicht==
==Übersicht==
<div class="boilerplate metadata" id="Additional resources" style="background-color: #f0f0f0; color:#636f73; border: 1px ridge #cdd3db; margin: 0.5em; padding: 0.5em; float: right; width: 35%; "><center><b>Weitere Quellen</b></center>
{|style="margin: auto; margin-bottom:1em; width:100%; border:0px solid grey;"
| rowspan="2" style="padding:0px 10px 0px;" | [[File:SEP_next.png|45px|link=Special:MyLanguage/About_Authentication_and_Authorization]]
| style="padding:0px 40px 0px 10px; color: grey; font-size: 90%; text-align:left;" |Siehe auch: [[Special:MyLanguage/About_Authentication_and_Authorization|Über Authentifizierung und Autorisierung]] – [[Special:MyLanguage/Backup_Strategy_Best_Practices|Sicherungsstrategie – Best Practices]] –  [[Special:MyLanguage/How_to_create_a_Remote_Device_Server_(RDS)|RDS konfigurieren (Beispiel Linux)]] – [[Special:MyLanguage/Using_Access_Control_Lists|Verwendung von Zugriffskontrolllisten]]
|}
{|style="margin: auto; margin-bottom:1em; width:100%; border:0px solid grey;"
| rowspan="2" style="padding:0px 10px 0px;" | [[File:SEP Tip.png|45px|link=Special:MyLanguage/FAQ|FAQ]]
| style="padding:0px 40px 0px 10px; color: grey; font-size: 90%; text-align:left;" |Unter [[Special:MyLanguage/FAQ|FAQ]] finden Sie Antworten auf die häufigsten Fragen.
|}


{|style="margin: auto; margin-bottom:1em; width:100%; border:0px solid grey;"
</div></noinclude>Bei Ransomware handelt es sich um eine Art von Malware, die Computer infiziert und den Benutzern den Zugriff auf ihr System oder ihre persönlichen Dateien verwehrt, indem sie ihre Daten verschlüsselt (Benutzer- und Systemdateien, z. B. Windows-Systemrücksicherungspunkte und Schattenkopien).
| rowspan="2" style="padding:0px 10px 0px;" | [[File:SEP Troubleshooting.png|45px|link=Troubleshooting_Guide]]
| style="padding:0px 40px 0px 10px; color: grey; font-size: 90%; text-align:left;" |Im Problemfall nutzen Sie den [[Special:MyLanguage/Troubleshooting_Guide|Troubleshooting Guide]].
|}</div></noinclude>
Bei Ransomware handelt es sich um eine Art von Malware, die Computer infiziert und den Benutzern den Zugriff auf ihr System oder ihre persönlichen Dateien verwehrt, indem sie ihre Daten verschlüsselt (Benutzer- und Systemdateien, z. B. Windows-Systemrücksicherungspunkte und Schattenkopien).


Benutzer können Ransomware versehentlich erlauben, über verschiedene Zugangspunkte auf einen Computer zuzugreifen, z. B. über Phishing-Spam (Phishing-E-Mail-Anhänge). Sobald sie heruntergeladen und geöffnet werden, infizieren sie Computersysteme. Ransomware kann auch auf Systeme heruntergeladen werden, wenn bösartige oder gefährdete Websites besucht werden.
Benutzer können Ransomware versehentlich erlauben, über verschiedene Zugangspunkte auf einen Computer zuzugreifen, z. B. über Phishing-Spam (Phishing-E-Mail-Anhänge). Sobald sie heruntergeladen und geöffnet werden, infizieren sie Computersysteme. Ransomware kann auch auf Systeme heruntergeladen werden, wenn bösartige oder gefährdete Websites besucht werden.
Line 35: Line 18:
*Seien Sie vorsichtig beim Öffnen von Links und Anhängen
*Seien Sie vorsichtig beim Öffnen von Links und Anhängen


Schützen Sie Ihre SEP sesam Umgebung, indem Sie die folgenden Best Practices anwenden.  
Schützen Sie Ihre SEP sesam Umgebung, indem Sie die folgenden Best Practices anwenden.


=={{anchor|protect}}Schutz von SEP sesam Server und RDS vor Ransomware==  
=={{anchor|protect}}Schutz von SEP sesam Server und RDS vor Ransomware==  


Um Ihre Umgebung vor Ransomware zu schützen, sollten Sie die folgenden Maßnahmen für [[Special:MyLanguage/SEP_sesam_Glossary#SEP_sesam_Server|SEP sesam Server]] und [[Special:MyLanguage/SEP_sesam_Glossary#RDS|RDS]] ergreifen:
Um Ihre Umgebung vor Ransomware zu schützen, sollten Sie die folgenden Maßnahmen für [[Special:MyLanguage/SEP_sesam_Glossary#SEP_sesam_Server|SEP sesam Server]] und [[Special:MyLanguage/SEP_sesam_Glossary#RDS|RDS]] ergreifen:
{{tip|Mit [[SEP sesam Release Versions|Jaglion V2 Release]] können Sie SEP Immutable Storage (Unveränderlicher Speicher), auch ''Si-Storage'' oder ''SiS'' genannt, verwenden. SiS basiert auf dem Si3 NG Speicher. Die neue SiS-Funktionalität basiert auf dem File Protection Service (FPS) und bietet eingebaute Sicherheitsfunktionen zur Aufrechterhaltung der Datenintegrität, wie z.B. eine WORM-Funktion (Write-Once-Read-Many), definierbare Unveränderbarkeit, Audit-Protokolle, etc. SiS kann eine entscheidende Rolle in einem Ransomware-Szenario spielen, denn selbst mit vollem Admin-Zugriff auf den SEP sesam Sicherungsserver können die Angreifer Ihre Sicherungsdaten nicht löschen oder in irgendeiner Weise verändern oder verschlüsseln. Siehe [[Special:MyLanguage/SEP_Immutable_Storage_–_SiS|SEP Immutable Storage - SiS (Unveränderlicher Speicher)]].}}
*Verwenden Sie ein anderes Betriebssystem für den SEP sesam Server oder RDS (z.B. Linux in Windows Umgebungen); siehe [[Special:MyLanguage/How_to_create_a_Remote_Device_Server_(RDS)|RDS konfigurieren (Linux Beispiel)]]. Beachten Sie, dass der SEP sesam Sicherungsserver oder RDS nicht Mitglied einer Domäne sein sollte.
*Verwenden Sie ein anderes Betriebssystem für den SEP sesam Server oder RDS (z.B. Linux in Windows Umgebungen); siehe [[Special:MyLanguage/How_to_create_a_Remote_Device_Server_(RDS)|RDS konfigurieren (Linux Beispiel)]]. Beachten Sie, dass der SEP sesam Sicherungsserver oder RDS nicht Mitglied einer Domäne sein sollte.
*Der Backup Server sollte nicht Teil einer Windows Domäne sein.
*Der Backup Server sollte nicht Teil einer Windows Domäne sein.
*Aktivieren Sie nicht die LDAP/AD-Authentifizierung in der GUI, um Benutzer gegen ein externes Verzeichnis zu authentifizieren. Einzelheiten finden Sie unter [[Special:MyLanguage/4_4_3_Beefalo:Configuring_LDAP/AD_Authentication_V2|Konfigurieren der LDAP/AD-Authentifizierung]].   
*Der SEP sesam Sicherungsserver oder RDS sollte keine zusätzlichen Rollen, wie z.B. Domänencontroller, Mailserver o.ä. haben.
*Aktivieren Sie nicht die LDAP/AD-Authentifizierung in der GUI, um Benutzer gegen ein externes Verzeichnis zu authentifizieren. Einzelheiten finden Sie unter [[Special:MyLanguage/Configuring_LDAP/AD_Authentication|Konfigurieren der LDAP/AD-Authentifizierung]].   
*Erlauben Sie den Verwaltungszugang ''ssh/rdp'' und ''GUI'' nur über ein separates sicheres Verwaltungsnetz oder VLAN ohne Routing zum Internet.
*Erlauben Sie den Verwaltungszugang ''ssh/rdp'' und ''GUI'' nur über ein separates sicheres Verwaltungsnetz oder VLAN ohne Routing zum Internet.
*Beschränken Sie den ''ssh/rdp/GUI/REST-API''-Zugang nur über die PAM-Lösung (Privileged Access Management) oder einen gesicherten ''Jump-Host''.
*Beschränken Sie den ''ssh/rdp/GUI/REST-API''-Zugang nur über die PAM-Lösung (Privileged Access Management) oder einen gesicherten ''Jump-Host''.
*Zugriff auf ''ssh/rdp'' nur mit Multi-Faktor-Authentifizierung (Passwort und Zertifikate); siehe [[Special:MyLanguage/4_4_3_Grolar:About_Authentication_and_Authorization|Über Authentifikation and Autorisierung]].
*Zugriff auf ''ssh/rdp'' nur mit Multi-Faktor-Authentifizierung (Passwort und Zertifikate); siehe [[Special:MyLanguage/About_Authentication_and_Authorization|Über Authentifikation and Autorisierung]].
*Schützen Sie das Betriebssystem von SEP sesam und RDS Server gemäß den Standard-Sicherheitsempfehlungen.
*Schützen Sie das Betriebssystem von SEP sesam und RDS Server gemäß den Standard-Sicherheitsempfehlungen.
*Konfigurieren Sie ACLs, um den Zugriff nur auf diejenigen zu beschränken, die ihn benötigen. Siehe [[Special:MyLanguage/4_4_3_Grolar:Using_Access_Control_Lists|Verwendung von Zugriffskontrolllisten]].  
*Konfigurieren Sie ACLs, um den Zugriff nur auf diejenigen zu beschränken, die ihn benötigen. Siehe [[Special:MyLanguage/Using_Access_Control_Lists|Verwendung von Zugriffskontrolllisten]].  
*Befolgen Sie das Prinzip des geringsten Privilegs (POLP) und erzwingen Sie das Mindestmaß an Benutzerprivilegien. Verwenden Sie für jeden SEP sesam-Dienst einen separaten Dienstbenutzer mit der niedrigsten Freigabestufe, die es den Benutzern ermöglicht, ihre Rolle auszuführen. Jeder Benutzer sollte nur die Berechtigungen haben, die notwendig sind, um eine autorisierte Aktivität durchzuführen. Der ''Domain Admin'' sollte niemals verwendet werden. Verwenden Sie stattdessen ein normales (eingeschränktes) Benutzerkonto für Ihre tägliche Arbeit.
*Befolgen Sie das Prinzip des geringsten Privilegs (POLP) und erzwingen Sie das Mindestmaß an Benutzerprivilegien. Verwenden Sie für jeden SEP sesam-Dienst einen separaten Dienstbenutzer mit der niedrigsten Freigabestufe, die es den Benutzern ermöglicht, ihre Rolle auszuführen. Jeder Benutzer sollte nur die Berechtigungen haben, die notwendig sind, um eine autorisierte Aktivität durchzuführen. Der ''Domain Admin'' sollte niemals verwendet werden. Verwenden Sie stattdessen ein normales (eingeschränktes) Benutzerkonto für Ihre tägliche Arbeit.
*Sichere Datensicherung mit regelmäßigen Hardware-Snapshots auf einem Speichersystem.
*Sichere Datensicherung mit regelmäßigen Hardware-Snapshots auf einem Speichersystem.
*Verwenden Sie eine robuste Sicherungsstrategie und bewahren Sie mindestens 3 Kopien Ihrer Daten auf verschiedenen Medien auf, insbesondere auf einem unveränderlichen externen Speicherort. Siehe [[Special:MyLanguage/4_4_3_Beefalo:Backup_Strategy_Best_Practices|Sicherungsstrategie – Best Practices]].  
*Verwenden Sie eine robuste Sicherungsstrategie und bewahren Sie mindestens 3 Kopien Ihrer Daten auf verschiedenen Medien auf, insbesondere auf einem unveränderlichen externen Speicherort. Siehe [[Special:MyLanguage/Backup_Strategy_Best_Practices|Sicherungsstrategie – Best Practices]].  
*Erwägen Sie den Einsatz einer HPE StoreOnce Appliance, die Datenunveränderlichkeit bietet. Während des definierten Zeitraums der Datenunveränderlichkeit können die gespeicherten Daten nicht verschlüsselt, in irgendeiner Weise geändert oder gelöscht werden, selbst im Falle eines Ransomware-Angriffs. Unternehmen können unveränderliche Sicherungen verwenden, um ihre Daten in einem Zustand rückzusichern, der noch intakt und von der Malware unbeeinflusst ist. Weitere Informationen finden Sie unter  [[Special:MyLanguage/4_4_3_Beefalo:HPE_StoreOnce_Configuration|HPE StoreOnce-Konfiguration]].
*Erwägen Sie den Einsatz einer HPE StoreOnce Appliance, die Datenunveränderlichkeit bietet. Während des definierten Zeitraums der Datenunveränderlichkeit können die gespeicherten Daten nicht verschlüsselt, in irgendeiner Weise geändert oder gelöscht werden, selbst im Falle eines Ransomware-Angriffs. Unternehmen können unveränderliche Sicherungen verwenden, um ihre Daten in einem Zustand rückzusichern, der noch intakt und von der Malware unbeeinflusst ist. Weitere Informationen finden Sie unter  [[Special:MyLanguage/HPE_StoreOnce_Configuration|HPE StoreOnce-Konfiguration]].
*Wählen Sie den sicheren ''SMSSH''-Zugriffsart bei der Konfiguration von SEP sesam Client(s). Siehe [[Special:MyLanguage/4_4_3_Beefalo:Access_Modes|Zugriffsarten]].
* Deaktivieren Sie HTTP- und FTP-Datenverkehr und wechseln Sie zu HTTPS für eine sicherere Datenübertragung. Siehe [[Special:MyLanguage/Disabling_unsecure_transport_modes|Deaktivierung unsicherer Übertragungsmodi]].
*Wählen Sie den sicheren ''SMSSH''-Zugriffsart bei der Konfiguration von SEP sesam Client(s). Siehe [[Special:MyLanguage/Access_Modes|Zugriffsarten]].


=={{anchor|respond}}Reagieren auf eine Ransomware-Infektion==  
=={{anchor|respond}}Reagieren auf eine Ransomware-Infektion==  
Line 64: Line 50:
*Melden Sie den Ransomware-Vorfall an [https://www.sep.de/download-support/support/ SEP Support].  
*Melden Sie den Ransomware-Vorfall an [https://www.sep.de/download-support/support/ SEP Support].  


<noinclude>==Siehe auch==
<noinclude>{{Copyright}}</noinclude>
[[Special:MyLanguage/About_Authentication_and_Authorization|Über Authentifizierung und Autorisierung]] – [[Special:MyLanguage/Backup_Strategy_Best_Practices|Sicherungsstrategie – Best Practices]] –  [[Special:MyLanguage/How_to_create_a_Remote_Device_Server_(RDS)|RDS konfigurieren (Beispiel Linux)]] – [[Special:MyLanguage/Using_Access_Control_Lists|Verwendung von Zugriffskontrolllisten]]</noinclude>

Latest revision as of 12:51, 25 April 2023

Other languages:


Übersicht

Bei Ransomware handelt es sich um eine Art von Malware, die Computer infiziert und den Benutzern den Zugriff auf ihr System oder ihre persönlichen Dateien verwehrt, indem sie ihre Daten verschlüsselt (Benutzer- und Systemdateien, z. B. Windows-Systemrücksicherungspunkte und Schattenkopien).

Benutzer können Ransomware versehentlich erlauben, über verschiedene Zugangspunkte auf einen Computer zuzugreifen, z. B. über Phishing-Spam (Phishing-E-Mail-Anhänge). Sobald sie heruntergeladen und geöffnet werden, infizieren sie Computersysteme. Ransomware kann auch auf Systeme heruntergeladen werden, wenn bösartige oder gefährdete Websites besucht werden.

Sobald die Ransomware im System ausgeführt wird, werden die Daten verschlüsselt und der Zugriff darauf ist unmöglich, es sei denn, es wird ein Lösegeld für die Entschlüsselung gezahlt. Dabei können nicht nur die Daten verloren gehen, sondern es wird auch häufig damit gedroht, wichtige Unternehmensdaten oder Authentifizierungsinformationen zu verkaufen oder weiterzugeben, wenn das Lösegeld nicht gezahlt wird.

Ransomware kann für ein Unternehmen verheerende Folgen haben, da sie Geschäftsprozesse empfindlich stören und Unternehmen daran hindern kann, geschäftskritische Dienste bereitzustellen. Sie kann auch zu Rufschädigung bei Kunden (Vertrauensverlust), zusätzlichen Kosten und mehr führen.

Daher sollte der Schutz von Informationen vor Ransomware-Angriffen für jedes Unternehmen oberste Priorität haben. Es gibt eine Reihe von Verteidigungsmaßnahmen, die Sie ergreifen können, um eine Ransomware-Infektion zu verhindern:

  • Sichern und aktualisieren Sie Ihr System regelmäßig
  • Speichern Sie Ihre Sicherungen auf einem separaten Gerät
  • Schützen Sie Ihre persönlichen Informationen
  • Seien Sie vorsichtig beim Öffnen von Links und Anhängen

Schützen Sie Ihre SEP sesam Umgebung, indem Sie die folgenden Best Practices anwenden.

Schutz von SEP sesam Server und RDS vor Ransomware

Um Ihre Umgebung vor Ransomware zu schützen, sollten Sie die folgenden Maßnahmen für SEP sesam Server und RDS ergreifen:

SEP Tip.png Hinweis
Mit Jaglion V2 Release können Sie SEP Immutable Storage (Unveränderlicher Speicher), auch Si-Storage oder SiS genannt, verwenden. SiS basiert auf dem Si3 NG Speicher. Die neue SiS-Funktionalität basiert auf dem File Protection Service (FPS) und bietet eingebaute Sicherheitsfunktionen zur Aufrechterhaltung der Datenintegrität, wie z.B. eine WORM-Funktion (Write-Once-Read-Many), definierbare Unveränderbarkeit, Audit-Protokolle, etc. SiS kann eine entscheidende Rolle in einem Ransomware-Szenario spielen, denn selbst mit vollem Admin-Zugriff auf den SEP sesam Sicherungsserver können die Angreifer Ihre Sicherungsdaten nicht löschen oder in irgendeiner Weise verändern oder verschlüsseln. Siehe SEP Immutable Storage - SiS (Unveränderlicher Speicher).
  • Verwenden Sie ein anderes Betriebssystem für den SEP sesam Server oder RDS (z.B. Linux in Windows Umgebungen); siehe RDS konfigurieren (Linux Beispiel). Beachten Sie, dass der SEP sesam Sicherungsserver oder RDS nicht Mitglied einer Domäne sein sollte.
  • Der Backup Server sollte nicht Teil einer Windows Domäne sein.
  • Der SEP sesam Sicherungsserver oder RDS sollte keine zusätzlichen Rollen, wie z.B. Domänencontroller, Mailserver o.ä. haben.
  • Aktivieren Sie nicht die LDAP/AD-Authentifizierung in der GUI, um Benutzer gegen ein externes Verzeichnis zu authentifizieren. Einzelheiten finden Sie unter Konfigurieren der LDAP/AD-Authentifizierung.
  • Erlauben Sie den Verwaltungszugang ssh/rdp und GUI nur über ein separates sicheres Verwaltungsnetz oder VLAN ohne Routing zum Internet.
  • Beschränken Sie den ssh/rdp/GUI/REST-API-Zugang nur über die PAM-Lösung (Privileged Access Management) oder einen gesicherten Jump-Host.
  • Zugriff auf ssh/rdp nur mit Multi-Faktor-Authentifizierung (Passwort und Zertifikate); siehe Über Authentifikation and Autorisierung.
  • Schützen Sie das Betriebssystem von SEP sesam und RDS Server gemäß den Standard-Sicherheitsempfehlungen.
  • Konfigurieren Sie ACLs, um den Zugriff nur auf diejenigen zu beschränken, die ihn benötigen. Siehe Verwendung von Zugriffskontrolllisten.
  • Befolgen Sie das Prinzip des geringsten Privilegs (POLP) und erzwingen Sie das Mindestmaß an Benutzerprivilegien. Verwenden Sie für jeden SEP sesam-Dienst einen separaten Dienstbenutzer mit der niedrigsten Freigabestufe, die es den Benutzern ermöglicht, ihre Rolle auszuführen. Jeder Benutzer sollte nur die Berechtigungen haben, die notwendig sind, um eine autorisierte Aktivität durchzuführen. Der Domain Admin sollte niemals verwendet werden. Verwenden Sie stattdessen ein normales (eingeschränktes) Benutzerkonto für Ihre tägliche Arbeit.
  • Sichere Datensicherung mit regelmäßigen Hardware-Snapshots auf einem Speichersystem.
  • Verwenden Sie eine robuste Sicherungsstrategie und bewahren Sie mindestens 3 Kopien Ihrer Daten auf verschiedenen Medien auf, insbesondere auf einem unveränderlichen externen Speicherort. Siehe Sicherungsstrategie – Best Practices.
  • Erwägen Sie den Einsatz einer HPE StoreOnce Appliance, die Datenunveränderlichkeit bietet. Während des definierten Zeitraums der Datenunveränderlichkeit können die gespeicherten Daten nicht verschlüsselt, in irgendeiner Weise geändert oder gelöscht werden, selbst im Falle eines Ransomware-Angriffs. Unternehmen können unveränderliche Sicherungen verwenden, um ihre Daten in einem Zustand rückzusichern, der noch intakt und von der Malware unbeeinflusst ist. Weitere Informationen finden Sie unter HPE StoreOnce-Konfiguration.
  • Deaktivieren Sie HTTP- und FTP-Datenverkehr und wechseln Sie zu HTTPS für eine sicherere Datenübertragung. Siehe Deaktivierung unsicherer Übertragungsmodi.
  • Wählen Sie den sicheren SMSSH-Zugriffsart bei der Konfiguration von SEP sesam Client(s). Siehe Zugriffsarten.

Reagieren auf eine Ransomware-Infektion

Obwohl alle diese Maßnahmen wirksam sind, ist es unmöglich, Ihr System vollständig vor Angriffen zu schützen. Um den Schaden im Falle eines Ransomware-Angriffs zu begrenzen, sollten Sie die folgenden Punkte beachten:

  • Zahlen Sie kein von den Cyberkriminellen gefordertes Lösegeld. Es gibt keine Garantie, dass der Entschlüsselungs-Code geliefert wird. Sie könnten also Daten, Geld und Zeit verlieren, wenn das Lösegeld gezahlt wird.
  • Isolieren Sie das/die infizierte(n) System(e), indem Sie es/sie von allen Netzwerken und dem Internet abtrennen.
  • Stellen Sie sicher, dass die Sicherungsdaten offline und sicher sind.
  • Wenn möglich, erstellen Sie einen Snapshot des Systemspeichers.
  • Schalten Sie das System aus, um eine weitere Verbreitung der Ransomware zu verhindern.
  • Melden Sie den Ransomware-Vorfall an SEP Support.
Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.
Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.