Microsoft 365 hat mit fast 300 Millionen Nutzern und einem Abonnentenwachstum von über 50 % allein in den letzten zwei Jahren eine phänomenale Verbreitung. Leider ist Microsoft 365 nicht das Einzige, das wächst – Ransomware-Angriffe nehmen ebenfalls zu und stellen laut Secureworks inzwischen die größte Cyberbedrohung dar. Cybersecurity Ventures erwartet, dass die Lösegeldzahlungen bis zum Jahr 2025 die schwindelerregende Summe von 1,75 Billionen US-Dollar erreichen werden.
Sind Microsoft 365-Daten also vollständig vor Ransomware geschützt? Die kurze Antwort lautet: NEIN. Zunächst einmal ist es wichtig zu wissen, dass Microsoft 365-Benutzer in Bezug auf das Management und die Sicherung ihrer eigenen Daten einem Modell der geteilten Verantwortung unterliegen. Das bedeutet, dass es in Ihrer Verantwortung liegt, Ihre Daten mithilfe von Backups und anderen Techniken vor Ransomware zu schützen. Lassen Sie uns aber zunächst einmal einen Blick auf die Schutzmechanismen werfen, die Microsoft 365 bietet.
Integrierte Schutzmechanismen in Microsoft 365
Microsoft 365 verfügt über ein paar integrierte Funktionen zur Datenaufbewahrung und Versionierung, mit denen Daten nach dem Löschen oder Ändern gespeichert werden können. Dabei handelt es sich aber nicht um Backups. Da Ransomware Dateidaten angreift und verschlüsselt, sollten wir uns den Schutz von OneDrive und Sharepoint Online ansehen, die gelöschte Dateien standardmäßig 93 Tage lang aufbewahren. Nur OneDrive bietet allerdings die Möglichkeit der Datenwiederherstellung über einen rückwirkenden Zeitraum von bis zu 30 Tagen. Das mag zwar ganz gut klingen, aber Ransomware kann Ihre Daten infizieren und sich dann wochen- oder monatelang verstecken, bevor sie einen Angriff startet. Noch wichtiger ist, dass die von OneDrive und Sharepoint bereitgestellte Versionierung nicht für Ransomware-Recovery geeignet ist. Die Wiederherstellung muss von einem bestimmten Zeitpunkt aus für den gesamten Datensatz und nicht für einzelne Dateien erfolgen, damit gewährleistet ist, dass die Daten nicht mit Ransomware infiziert sind.
Schwachstellen und Ransomware-Angriffsziele
Selbst mit einfacher Versionierung und Aufbewahrung gibt es verschiedene Ansätze, mit denen Cyberkriminelle Microsoft 365 mit Ransomware angreifen können. Sehen wir uns im Folgenden einige Beispiele an.
Infektion
Erinnern Sie sich noch an die E-Mails des reichen Prinzen, der Ihnen Millionen versprach, wenn Sie ihm antworten? In Zeiten von Ransomware hat sich daran nicht viel geändert. Wie der Ransomware-Angriff auf Merseyrail gezeigt hat, sind E-Mails der meistgenutzte Angriffsvektor, um sich Zugang zu Ihren Systemen zu verschaffen. Dies schließt E-Mails auf M365 Exchange Online ein und wird auch als Business Email Compromise (Geschäfts-E-Mail-Kompromittierung) bezeichnet. Dazu gehören Phishing-E-Mails, in denen ein Benutzer dazu verleitet wird, seinen Benutzernamen, sein Passwort oder andere personenbezogene Daten preiszugeben, oder E-Mail-Anhänge und Weblinks, die infektiöse Malware enthalten, die beim Anklicken aktiviert wird. Aus diesem Grund besteht auch für OneDrive- und Sharepoint-Dateien ein erhöhtes Verschlüsselungsrisiko. Die Backup-Sicherung Ihrer gesamten M365-Suite, einschließlich der Exchange Online-E-Mails, sollte also immer Teil des Aktionsplans sein.
Verschlüsselung
Die Verschlüsselung von Daten ist auch die erste und wichtigste Taktik von Ransomware-Angriffen. Cyberkriminelle verschlüsseln Ihre Daten und verlangen Lösegeld, damit sie den Code zur Entschlüsselung und Freigabe Ihrer Daten herausgeben. Auch wenn wir bisher noch von keinen groß angelegten Verschlüsselungsangriffen direkt auf Microsoft 365 wissen, heißt das nicht, dass es noch keinen gegeben hat oder Ihre Daten sicher sind. OneDrive- und Sharepoint Online-Daten können auf verschiedene Weise verschlüsselt werden, z. B., wenn infizierte Dateien von einem Benutzerrechner mit OneDrive oder Sharepoint synchronisiert werden, oder direkt von einem Server, der Dateien im großen Maßstab verschlüsselt und synchronisiert.
Diebstahl und -exfiltration
In jüngster Zeit wurden durch Ransomware nicht nur Dateien verschlüsselt, sondern auch sensible und vertrauliche Informationen wie Kreditkartennummern oder personenbezogene Daten (Personal Identifiable Information, PII) gestohlen. Anschließend wurde damit gedroht, diese Daten öffentlich zu machen oder sie im Dark Web zu verkaufen, um so von den Opfern Lösegeld zu erpressen. Dieses Vorgehen, das auch als doppelte Ransomware-Erpressung bezeichnet wird, stellt vermutlich die größte Gefahr für Ihre M365-Daten dar. M365 und andere SaaS-Apps, die einen einfachen Online-Zugang und unkomplizierte Freigabekontrollen bieten, machen es Cyberkriminellen sehr leicht, mit kompromittierten Anmeldedaten unbemerkt auf Inhalte zuzugreifen und sensible Daten zu stehlen und zu exfiltrieren.
Mehrstufiger Ransomware-Schutz für M365 mit Cohesity
Die Cohesity Suite mit Next-Gen Data Management-Produkten und die umfassende Threat-Defense-Architektur für Datensicherheit bieten einen mehrstufigen Schutz vor Ransomware für Ihre M365- und andere Daten. Sie wurde entwickelt, um verschlüsselte Produktionsdaten wiederherzustellen und zu gewährleisten, dass Ihre Backup-Daten selbst nicht angreifbar sind. Außerdem können Sie damit sowohl Anomalien im Benutzerverhalten als auch Bedrohungen erkennen, die auf eine Datenexfiltration hindeuten könnten.
Schnelle und flexible Wiederherstellung
Ganz gleich, ob Sie nach einem Ransomware-Angriff Daten wiederherstellen oder die richtigen Dateien finden möchten, die schon seit Jahren (über die standardmäßige Aufbewahrungsfrist von M365 hinaus) archiviert sind – Sie benötigen eine Backup-Lösung, die Daten von jedem beliebigen Zeitpunkt aus wiederherstellen kann, und zwar schnell. Cohesity DataProtect wird als Service bereitgestellt und bietet umfassende Backup-Funktionen für M365-Services wie Exchange Online, OneDrive, Sharepoint Online, Teams und Groups. Damit können Sie Daten sichern und aufbewahren, um geschäftliche Bedürfnisse und Compliance-Anforderungen zu erfüllen und gleichzeitig eine umfangreiche und granulare Wiederherstellung durchführen, wenn Sie diese benötigen.
Unveränderliche Backups
Cyberkriminelle haben es nicht nur auf Ihre Produktionsdaten abgesehen, sondern sie versuchen oft auch, Ihre Backups zu verschlüsseln oder zu löschen, damit Sie Ihre Produktionsdaten nach einem Angriff nicht mehr wiederherstellen können. Mit der als Service angebotenen Lösung Cohesity DataProtect können Sie sich darauf verlassen, dass Ihre Backup-Daten sicher sind. Die Backup-Daten werden unveränderlich gespeichert, d. h. sie können während der von Ihnen festgelegten Aufbewahrungsfrist weder manipuliert noch verändert oder gelöscht werden, sodass sie vor Ransomware geschützt sind.
Erkennung von Benutzeranomalien
Uns ist bewusst, dass angesichts der steigenden Gefahr von Datenexfiltration und -diebstahl Lösungen für Backup und Recovery nicht ausreichen, um Ransomware ganz aufzuhalten bzw. ihr Schadenspotenzial zu minimieren. Aus diesem Grund haben wir Cohesity DataGovern für Governance und Anomalieerkennung entwickelt, damit Sie Ihre sensibelsten Daten mithilfe von maschinellem Lernen und Verhaltensanalysen identifizieren und potenzielle Bedrohungen durch anormales Benutzerverhalten erkennen können. Beispiele hierfür sind etwa übermäßige Preisgabe und Freigabe von Daten oder unbefugter Zugriff auf und Herunterladen von sensiblen Daten, was unter Umständen Anzeichen für einen stattfindenden Angriff sind. Außerdem helfen Ihnen geplante Integrationen mit führenden Tools für Sicherheitsorchestrierung, Automatisierung und Reaktion, schnell zu handeln und das Problem zu beseitigen.
Erste Schritte mit Cohesity
Mit Cohesity ist der Einstieg ganz einfach. Sie können sich jetzt für eine kostenlose 30-tägige Testversion von DataProtect delivered as a Service anmelden und in nur wenigen Minuten mit der Sicherung Ihrer Microsoft 365-Daten beginnen. Des Weiteren haben Sie die Möglichkeit, sich für die Vorabversion von DataGovern anzumelden und so frühzeitigen Zugriff darauf zu erhalten, um Ihre sensiblen Daten auf Microsoft 365 zu klassifizieren und zu schützen.