Was IT-Verantwortliche außer Geschenke kaufen, noch vor den Feiertagen erledigen sollten?
Die Weihnachtstage stehen vor der Tür, und wir freuen uns alle auf unseren wohlverdienten Weihnachtsurlaub. Leider wissen das auch die Cyberkriminellen und warten genau auf diese Zeit im Jahr! Denn die Büros und IT-Abteilungen fahren nur in einer Minimalbesetzung oder sind gar nicht besetzt. Das gibt den Angreifern die Zeit, um unentdeckt in unseren Netzwerken zu stöbern und den maximalen Schaden anzurichten.
Das #BSI warnte schon 2021 vor einer erhöhten Gefahr von ransomware Angriffen an den Feiertagen und der Bericht zur Lage IT-Sicherheit 2023 hat keine bessere Prognose.
Ich habe diese Erfahrung ebenfalls gemacht, jeder Feiertag bei uns wird von Angreifern gezielt für einen #cyberangriff ausgewählt.
Da ich Euch aber nicht die Weihnachtslaune vermiesen will, hier einige Tipps, die euch besser schlafen lassen.
Folgendes solltet Ihr vor den Feiertagen prüfen, damit ihr für den Fall eines erfolgreichen Cyberangriffs gut vorbereitet seid und die große Cyberkatastrophe ausbleibt:
Prävention
- Loglevel der Windows Systeme erhöhen
- Datengröße der Windowslogs erhöhen, damit min. 7 Tage vorhanden sind
- Logging für PowerShell und cmd per GPO aktivieren und regelmäßig auswerten
- Logging für NTFS-Zugriffe mit Usernamen per GPO aktivieren
- Benutzer-Inventur:
- Ungenutzte administrative Benutzer deaktivieren bzw. löschen
- Ungenutzte Domänenbenutzer deaktivieren bzw. löschen
- Gruppenmitgliedschaften in administrativen Gruppen prüfen
Patchmanagement
- Systeme aktualisieren und prüfen, ob der Patchstatus bei allen Systemen aktuell ist.
- Systeme die öffentlich erreichbar sind (u.a. Webinterface) und nicht aktualisiert werden können oder eine Schwachstelle haben, vom Netz trennen!
Backup
- Prüft, ob ein Restore der letzten Sicherung von euren Systemen und Daten möglich ist.
- Richtet ein read-only oder offline Backup ein bzw. prüft den letzten Datenstand!
- Beschränkt den Zugriff auf den Backupserver entweder per Netzwerk/Firewallregel und/oder
- auf User-Ebene, hier sollten dedizierte Backupuser (optimal lokale User, keine Domänenuser) genutzt werden.
No-Go: Vollzugriff für die Gruppe “Domänen-Admins“ auf den Backupserver!
Notfallkoffer
- Offline Sicherung von:
- Kontaktdaten des Notfallteams, der Kunden und Dienstleister
- Passwort Datenbanken
- USB Boot Stick zum Booten eines Linux Live Systems
- USB-Sticks und Festplatten zur Sicherung von forensischen Images
- Cloud Meeting Tool zur autarken Kommunikation auf Smartphones und Laptops
- LTE Router, Empfang prüfen 😉
- Autarkes System für Bankgeschäfte → Sicherheitstokens für MFA nicht vergessen
- Analysetools wie u.a. Offline AV-Scanner bereitstellen
Weitere Maßnahmen bei einem erfolgreichen Cyberangriff findet Ihr hier