Bei unserer Arbeit haben wir mit vielen Unternehmen und Organisationen Kontakt, welche mit den verheerenden Folgen von Ransomware konfrontiert wurden. Bei der Erforschung der Ursachen dieser Angriffe sehen wir leider immer wieder die gleichen Fehler. Eine häufiger Grund, weshalb ein Hack zustandegekommen ist, ist die Verwendung veralteter Windows-Server Versionen.
Es ist verständlich, dass davon ausgegangen wird, es bestehte keine Notwendigkeit, eine Software zu aktualisieren, wenn alles reibungslos funktioniert. Warum sollte man Geld für neue Software investieren, wenn die aktuell genutzte einwandfrei funktioniert? Es kostet Zeit und Mühe, Dateien auf eine neue Serverkonfiguration zu migrieren. Das mag niemand. Die Bedrohung durch jegliche Formen von Cyber Attacken, einschließlich Ransomware-Angriffen, nimmt jedoch zu. Mit dem Status Quo zufrieden zu sein, ist keine Option mehr, wenn es um Cybersicherheit geht. Im Bereich Informations- und Cybersicherheit ist Prävention unabdingbar. In Anbetracht des Zeit- und Kostenaufwands nach einem Angriff, ist der präventive Aufwand zu dessen Vermeidung sehr gering.
Vorsichtsmassnahmen sollten bei allen Softwares eingehalten werden, Schwachstellen in Servern sind jedoch besonders gefährlich.
Warum sind serverseitige Ransomware-Angriffe so gefährlich?
Für die meisten Unternehmen ist der Server das Herzstück ihres gesamten IT-Systems. Der Server ist der Ort, an dem sich der Großteil der wichtigsten Dateien und Daten eines Unternehmens befindet. Auch wenn nicht alle Daten auf dem Server gespeichert sind, wird es Hackern mit einem erfolgten Zugriff auf den Server ermöglicht, auf jeden Winkel eines Netzwerks zuzugreifen. In vielen Fällen sind Server die letzte Verteidigungslinie, bevor sich ein Ransomware-Virus über ein ganzes Netzwerk ausbreitet. Die meisten Malware-Angriffe beginnen mit der Kompromittierung eines Computers. Dies geschieht in der Regel durch einen Phishing-Angriff. Sobald bei einem Angriff in das System eindrungen wurde, ist die Kontrolle über den Server der letzte Schritt, bevor das gesamte Netzwerk vollständig dominiert werden kann. Von dort aus kann möglicherweise auf alle Arten von sensiblen Daten zugegriffen werden. Dabei wird Cyberkriminellen ermöglicht, den gesamten Betrieb eines Unternehmens/Organisation herunterzufahren und Geschäftsgeheimnisse oder vertrauliche Kundendaten zu stehlen.
Eine weiteres Risiko besteht darin, dass Backups kompromittiert werden könnten. Sobald Angreifer Zugriff auf einen Server erhalten, können sie Ihren Backup-Zeitplan beobachten und Schritte unternehmen, um diesen zu verschlüsseln. Sobald ein Angreifer Zugriff auf Ihr System erhalten hat, ist das Backup Ihre letzte Chance zur Verteidigung. Falls es Hacker schaffen, Ihre Daten zu verschlüsseln, haben Sie immer noch die Möglichkeit, Ihre Daten aus einem Backup wiederherzustellen. Diese Option macht einen Angriff mehr oder weniger harmlos.
Die meisten Ransomware-Angriffe sind nur erfolgreich, wenn die Hacker tatsächlich in der Lage sind, Backups zu verschlüsseln. Der Zugriff auf den Server ist meist ein wichtiger Schritt in diesem Prozess. Da die Häufigkeit und Schwere von Ransomware-Angriffen zunimmt, wird die Sicherung Ihres Servers immer wichtiger.
Weshalb gibt es so viele Schwachstellen bei älteren Windows-Servern?
Einer der Gründe, warum es so viele Schwachstellen für Windows-Produkte, einschließlich Windows-Server, gibt, ist die Beliebtheit von Microsoft-Produkten. Da es so viele Windows Benutzer auf der ganzen Welt gibt, lohnt es sich für Hacker, ihre Zeit und Energie zu investieren, um Schwachstellen zu suchen. Dies hat zu einer Situation geführt, dass eine riesige Liste von Schwachstellen existiert, welche ständig wächst.
Bei ältere Versionen von Windows-Servern haben Hacker viele Jahre Zeit zur Verfügung, um alle Arten von Schwachstellen zu finden. Mit dem kontinuierlichen Erkunden von Schwachstellen werden Angreifern reichlich Werkzeuge zur Verfügung gestellt, um das Eindringen in diese Server zu erreichen. Tatsächlich suchen einige Hacker absichtlich nach Opfern, die bestimmte Arten von Software installiert haben. Wenn eine Gruppe von Hackern einen Trick gefunden haben, der gut funktioniert, um einen Angriff durchzuführen, werden sie versuchen, diesen auch bei anderen Usern derselben Software anzuwenden. In vielen Fällen handelt es sich bei einer solchen Software um ältere Versionen von Windows-Servern.
Für die Firma Microsoft bedeutet es bereits einen großen Aufwand, Bedrohungen für die Sicherheit ihrer neueren Software zu erkennen und abzuwehren. Als Beispiel: Microsoft hat im Jahr 2020 862 Sicherheitspatches veröffentlicht. Die Anzahl ist etwas höher als im Jahr 2019, was aufzeigt, dass das Problem noch lange nicht gelöst ist. Da weniger Anwender ältere Software ausführen, wird dieser in Bezug auf Sicherheitspatches und Updates auch weniger Aufmerksamkeit geschenkt.
Wenn eine Software das „End of Life (EOL)“, das Lebensende, auch bekannt als „End of Service/Support Life (EOSL)“, das Ende von Service oder Support“ erreicht, werden überhaupt keine Patches mehr ausgegeben. Zu den Windows-Servern, die derzeit das „End of Life“ erreicht haben, gehören Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2008 Small Business Server Standard, Windows Server 2000 Datacenter Server und Windows Server 2000 Server. Windows Server 2016 Standard, Windows Server 2016 Essentials und Windows Server 2016 Datacenter erreichen am 11. Januar 2022 das EOL.
Wie kann ich mich vor Ransomware-Angriffen auf meinen Windows-Server schützen?
Falls Sie eine ältere Software Version ausführen, ist es äusserst ratsam, diese zu aktualisieren. Der beste Weg sich zu schützen, ist zweifellos, seine Software jeweils immer auf die neueste Version zu aktualisieren. Neuere Softwareversionen werden immer mit integrierten Korrekturen für bekannte Schwachstellen entwickelt. In einigen Fällen spiegeln sich diese Anpassungen in der grundlegendsten Architektur der Codebasis wider. Zudem ist der Support für neuere Software in der Regel auch besser als dieser für ältere Versionen. Patches werden bei einer neuerer Softwareversion schneller veröffentlicht, wenn Schwachstellen entdeckt wurden.
Eine weitere Möglichkeit Hacker Angriffe präventiv anzugehen, ist der Wechsel zu Linux-Servern. Linux-Server sind keineswegs immun gegen Angriffe, sie werden aber von vielen Cybersecurity-Experten als sicherer eingestuft. Im Allgemeinen existiert weniger Malware, die für die Ausführung auf Linux-Servern entwickelt wurde, was ein Vorteil bedeutet.
Für welche Software Sie sich auch entscheiden, es ist sehr wichtig, immer über neueste mögliche Updates informiert zu sein. Da ständig neue Schwachstellen auftauchen, sollten Sie regelmäßig prüfen, ob neue Patches zur Verfügung stehen. Hacker sind immer auf der Suche nach Software Nutzern, die diesen Dingen keine Aufmerksamkeit schenken. Für allgemeine Tipps zum Sichern Ihres Servers empfehlen wir Ihnen diesen Artikel.
Mit ein paar effizienten präventiven Maßnahmen sollten Sie in der Lage sein, die meisten Ransomware-Angriffe zu verhindern. Um den Angriff einer professionellen Hackerbande abzuwehren, reichen die erwähnten Maßnahmen möglicherweise immer noch nicht aus. Sollten Sie von Ransomware betroffen werden, können Sie uns jederzeit für eine kostenlose Beratungkontaktieren. Wir unterstützen unsere Kunden auch bei der Wiederherstellung eines sicheren IT-Systems, nach einem behobenen Ransomware Angriff, bei dem Malware entfernt, und die eigenen Daten wiederhergestellt werden konnten.
Die Wiederherstellungsphase soll sicherstellen, dass unsere Kunden nicht erneut von Ransomware getroffen werden. In vielen Fällen geben wir Empfehlungen zu Software, einschließlich zur Aktualisierung veralteter Windows-Servern.