Ransomware-Erpressungen fallen nicht vom Himmel, auch wenn es den Betroffenen so erscheinen mag. Ihnen voraus gehen umfangreiche Erkundungen des geenterten Firmennetzes durch die Angreifer. Meist halten sich diese monatelang in den Zielnetzen auf, um sich von Rechner zu Rechner zu arbeiten und Rechte zu eskalieren. Denn den Einstieg bilden häufig Clientsysteme in einer Fachabteilung, in der sich ein Mitarbeiter eine Schadsoftware einfängt. Die Storage-Systeme stehen am Ende der Erkundungskette und sind das begehrte Ziel. Hier liegen die Daten, durch deren Verschlüsselung die Verantwortlichen erpresst werden.

Grundsätzlich sind zum Schutz gegen Ransomware alle auch sonst empfohlenen Sicherheitsmaßnahmen einzuhalten. Allerdings gelten einige Besonderheiten. Haben die Angreifer bereits einzelne Clientrechner geentert, erschweren ihnen die Trennung unterschiedlicher Netze, etwa von Management- und Datennetzen, eine umfangreiche Zugangssicherung aller Systeme samt striktem Identitäts- und Berechtigungsmanagement und andere Vorbereitungen das Vorankommen im Firmennetz.

Wichtig: Je aufwendiger es für die Angreifer ist, sich Richtung Zielsysteme vorzuarbeiten, desto unattraktiver wird eine Firma für die Angreifer und desto höher die Wahrscheinlichkeit, dass diese sich ein leichteres Opfer suchen. Damit ist die Gefahr aber nicht vorbei. Solange sich die Angreifer unentdeckt im Netz bewegen, hält sie nichts davon ab, sich den Zugang offen zu halten und zu einem anderen Zeitpunkt einen neuen Anlauf zu starten.