KnowHow ► IT-Security Ransomware abwehren: Firewall-Einstellungen, TOR-Blocking und Backup-Strategie Praxis-Checkliste zur Ransomware-Abwehr: Patches, SMBv1-Deaktivierung, Firewall-Regeln, C&C-Server blockieren und eine wasserdichte Backup-Strategie. Lektionen aus WannaCry – aktuell für 2024/2025.

Hintergrund: WannaCry & Co.

Seit dem verheerenden WannaCry-Angriff vom 12.05.2017 ist klar: Ransomware trifft nicht nur Einzelpersonen, sondern ganze Unternehmen, Krankenhäuser und Behörden. Der Schaden geht in die Milliarden. Die gute Nachricht: Mit den richtigen Vorbereitungsmaßnahmen lässt sich das Risiko erheblich senken. Auch wenn WannaCry stark eingedämmt wurde – neue, ausgefeiltere Varianten erscheinen regelmäßig. Handeln Sie proaktiv.

Sofort-Checkliste: Was ist bereits erledigt?

Patches & Betriebssystem ✓ Patch MS17-010 und alle aktuellen Sicherheitspatches installiert? ✓ Aktuelles, von Microsoft unterstütztes Betriebssystem? (ab Windows 10 empfohlen) ✓ Automatische Updates aktiviert?

Netzwerk & Protokolle ✓ SMBv1 unternehmensweit deaktiviert? (Microsoft-Anleitung) ✓ Firewall blockiert UDP 137/138 sowie TCP 139, 445 aus dem Internet? ✓ TCP 3389 (RDP) von außen gesperrt oder auf VPN beschränkt?

TOR-Kommunikation blockieren

Viele Ransomware-Varianten kommunizieren über das TOR-Netzwerk mit ihren Command-&-Control-Servern (C&C). Blockieren Sie ausgehende TOR-Verbindungen generell an der Firewall. Bekannte C&C-Adressen aus der WannaCry-Welle:

xxlvbrloxvriy2c5.onion cwwnhwhlz52ma.onion 57g7spgrzlojinas.onion gx7ekbenv2riucmf.onion 76jdd2ir2embyv47.onion

Aktuelle C&C-Listen veröffentlichen BSI, CISA und kommerzielle Threat-Intelligence-Anbieter laufend. Halten Sie Ihre Blocklisten aktuell.

Virenscanner & EDR

Ein moderner Endpoint-Schutz ist unverzichtbar. Klassische Virenscanner erkennen bekannte Signaturen; Endpoint Detection & Response (EDR)-Lösungen gehen weiter und erkennen verdächtiges Verhalten auch ohne bekannte Signatur. Entscheidend ist zusätzlich die Fähigkeit zur Rollback-Funktion: Schäden, die vor der Erkennung entstanden sind, können so rückgängig gemacht werden.

Backup-Strategie überdenken

Der letzte und wichtigste Schutzwall ist eine solide Backup-Strategie. Eine mitverschlüsselte Datensicherung schützt nicht. Prüfen Sie:

3-2-1-Regel Mindestens 3 Kopien der Daten, auf 2 verschiedenen Medien, davon 1 Offsite (außer Haus oder Cloud-Airgap).

Unangreifbarkeit Backupserver nicht mit Admin-Rechten fürs E-Mail oder Surfen nutzen. Physischen und Netzwerkzugang einschränken. Offline-Medien (Band, externe Festplatte) schützen gegen Verschlüsselung.

Restore testen Regelmäßig ein vollständiges Restore-Szenario durchspielen. Können alle Daten in angemessener Zeit wiederhergestellt werden? Wir konnten bei Kunden Daten in unter 30 Minuten vollständig wiederherstellen.

Organisatorische Maßnahmen

Prinzip der minimalen Rechte Jedem Benutzerkonto nur die Rechte geben, die unbedingt benötigt werden. Kein Admin-Account für alltägliche Aufgaben.

Mitarbeiterschulungen Phishing-E-Mails und manipulierte Downloads sind nach wie vor der häufigste Angriffsvektor. Regelmäßige Schulungen reduzieren das Risiko erheblich.

Die wichtigsten Verhaltensregeln

• Keine Downloads von unbekannten Quellen.
• Konsequent patchen – alle Systeme auf dem neuesten Stand halten.
• E-Mail-Links und Anhänge von unbekannten Absendern niemals öffnen – und auch bei bekannten Absendern vorsichtig sein (kompromittierte Systeme versenden Mails an alle Adressbucheinträge).
• Stets ein aktuelles Offline-Backup der wichtigen Daten vorhalten.

Sicherheitsberatung und Schulungen Wir unterstützen Sie vom Training bis zum strategischen Sicherheitskonzept: vertrieb@industry-electronics.de  |  Tel. +49 (0)7666 / 88499-0