Malware: Trends und Abwehr

Zum Wettrennen zwischen Malware und Abwehr hat die <kes> das BSI, Berater, Verbände und Anbieter um ihre Einschätzungen sowie die besten Tipps gegen Ransomware gebeten. Der vorliegende Beitrag fasst die Antworten von 15 Experten zur aktuellen Lage sowie den weiteren Aussichten zusammen.

Auf die Frage nach der derzeit größten Bedrohung in Sachen Malware erhielten wir – wenig überraschend – am häufigsten die Antwort: Ransomware. BSI-Präsident Arne Schönbohm betont, dass entsprechende Infektionen in großer Zahl alle Anwendergruppen befallen hätten: „In einer Umfrage der Allianz für Cyber-Sicherheit im Frühjahr 2016 gab rund ein Drittel (32 %) aller befragten Institutionen an, in den letzten sechs Monaten von Ransomware betroffen gewesen zu sein.“ Auch Thomas Hemker, Security Strategist Symantec, berichtet von enormen Zuwachsraten: „Symantec registrierte im März 2016 im Jahresvergleich eine Verdoppelung der Infektionen – gleichzeitig hat sich auch die Höhe der durchschnittlichen Schadenssumme verdoppelt.“

Ransomware

„Die Angreifer sind im organisierten Verbrechen angesiedelt, führen diese Angriffe mit hohem technischem Aufwand durch und sind zudem sehr geschickt bei der Manipulation von Anwendern, damit diese den Schädling auf ihren Rechner laden (Social-Engineering)“, erläutert Michael Veit, IT-Security-Experte bei Sophos.

Hätten ursprünglich Privat- und Einzelanwender den größten Teil der Infektionen ausgemacht, seien zunehmend Unternehmen zum Ziel geworden – häufig KMU, bei denen Schutzverfahren nicht oder nicht stark genug implementiert waren. Hemker (Symantec) gibt jedoch zu bedenken: „Ransomware wird technisch immer ausgefeilter und damit schwerer zu entdecken.“ Von einer „unglaublich hohen Anpassungsfrequenz“ der Cyberkriminellen spricht auch Dirk Knop, IT-Sicherheitsspezialist bei JakobSoftware: „Anti-Viren-(AV)-Hersteller werden dadurch in ein sehr schnelles ‚Hase-und-Igel-Spiel‘ verwickelt. Für neue Viren-Varianten müssen neue heuristische Erkennungen erstellt werden, da reine Dateisignaturen nutzlos sind. Und auch Unternehmen müssen ihr Sicherheitskonzept erweitern.“

Mobile und „exklusivere“ Systeme bleiben ebenfalls nicht länger verschont. Alexander Vukcevic, Director Avira Virus Labs, stellt klar: „Ransomware gibt es inzwischen auch für Android-Geräte – der Anwender kann sein Smartphone so lange nicht nutzen, bis er sich per SMS-Zahlung freikauft. Und Mac-Anwender sind unter anderem von der Ransomware ‚KeRanger‘ betroffen.“

Kurioserweise befördere gerade eine mittlerweile an den Tag gelegte „Vertragstreue“ der Kriminellen den Erfolg von Ransomware: „In der Regel bekommt ein Opfer nach Zahlung der Lösegeldsumme heute von den Angreifern auch tatsächlich einen Schlüssel für seine Dateien. Da sich dieses ‚seriöse Verhalten‘ herumgesprochen hat, versorgt das die Malware-Industrie dauerhaft mit neuem Geld und erhält sie dadurch nicht nur am Leben, sondern macht dieses lukrative und risikoarme Geschäftsmodell auch für weitere Akteure attraktiv“, warnt Veit (Sophos).

Rüdiger Trost, Sicherheitsexperte bei F-Secure, bestätigt diese Aussage: „Grundsätzlich wächst der Markt für Erpressung und der Wettbewerb nimmt zu – Crypto-Ransomware erweist sich als ein sehr profitables Geschäftsmodell.“ Die Bezahlung des Lösegelds erfolge üblicherweise per Bitcoins, was zwar nicht völlig anonym sei, aber man kann das Geld eben nicht zurückfordern. Umgekehrt könnten jedoch die aktuellen Turbulenzen in der Bitcoin-Community auch den Erfolg der Kriminellen bremsen: „Ein Zusammenbruch der Preise für Bitcoin würde dem Crypto-Ransomware-Modell schaden, bis ein Bitcoin-Nachfolger gekrönt wäre“, vermutet Trost.

Bei den Zahlungswegen sieht auch Ralf Benzmüller, Leiter der G Data Security Labs, einen Ansatzpunkt für die Verbesserung der Lage: „Nur wenn es gelingt, die Täter zu fassen und zu verurteilen, wird ein nachhaltiger Effekt erzielt – und die Wege des Gelds führen oft zu den Kriminellen.“ Jedoch könne nur eine umfassende Zusammenarbeit zwischen Strafverfolgung, Sicherheitsbehörden, Unternehmen, Finanzdienstleistern und ITSicherheitsspezialisten zum Erfolg führen. Als positives Beispiel einer solchen Kooperation nennt Benzmüller etwa das „German Competence Centre against Cyber Crime“ (G4C, www.g4c-ev.org).

Weitere Bedrohungen

Im Übrigen warnt Benzmüller jedoch vor pauschalen Einschätzungen: „Welche Bedrohung die gefährlichste ist, hängt vom Betroffenen ab. Die meisten Vorfälle und die weiteste Verbreitung haben Adware und potenziell unerwünschte Programme (PUP). Sie werden aber eher als lästig wahrgenommen. Bei privaten PC-Nutzern ist das leer geräumte Bankkonto oder eine Infektion mit Ransomware schlimm. In Unternehmen ist die Wiederherstellung von Daten oft Routine – dort sieht man sich bedroht von Spionageangriffen und ferngesteuerter Manipulation von Anlagen.“

Neben der „Industrie 4.0“ behalten die Sicherheitsexperten auch das „Internet der Dinge“ (IoT) wachsam im Auge: So sieht etwa Peter Meyer, Leiter Cyber Security Services beim eco – Verband der Internetwirtschaft e. V., „das Internet der Dinge im Bereich Cybersecurity größtenteils unzureichend aufgestellt und somit anfällig für Angriffe.“ Holger Suhl, General Manager DACH bei Kaspersky Lab, sieht hier ebenfalls Gefahren: „Die Bedrohung durch Malware steigt, weil im Zuge des Internets der Dinge beziehungsweise der Industrie 4.0 immer mehr Angriffsflächen entstehen – alles wird vernetzt und smart und daher angreifbar.“

Eine große Bedrohung seien zudem weiterhin die Advanced Persistant Threats (APTs), unterstreicht Schönbohm (BSI): „Im Gegensatz zu Breitenangriffen zeichnen sich APT-Angriffe durch großen personellen, finanziellen und technischen Aufwand aus. Sie verfolgen meist langfristige Ziele und können enormen Schaden anrichten.“ Olaf Niemeitz, Geschäftsführer von Crocodial, pflichtet bei: „APTs sind auf dem Vormarsch, ihre Auswirkungen sind gewaltig. Die größte Gefahr geht dabei meist vom Benutzer aus – dem schwächsten Glied der Kette, das man oft mit einfachen Mitteln überrumpeln kann.“ Und auch Thorsten Höhnke, CTO Enterprise and Cyber Security EMEIA bei Fujitsu, sieht eine große Gefahr darin, „dass es Mitarbeitern an einem gesunden Misstrauen fehlt, wenn es um den Umgang mit E-Mails, Apps, Kontaktanfragen in sozialen Netzen, fremden USB-Sticks oder das Surfen im Internet geht.“

Geradezu fahrlässiges Handeln beobachtet Niemeitz (Crocodial) sogar beim Umgang mit so genannter Schatten-IT: „So verlassen oftmals sensible Daten und Informationen unkontrolliert das Haus. Darauf reagieren Unternehmen im Moment nur sehr träge.“ Erstaunlicherweise werden die IT und vor allem IT-Sicherheit noch immer oft negativ wahrgenommen – als Kostenträger und Prozessbremse: „Die IT bildet jedoch das Rückgrat fast aller Unternehmen und bei einem Ausfall können ganze Produktionen zum Erliegen kommen. Vielen ist nicht bewusst, dass dort die größte Schwachstelle liegt.“

Marc Fliehe, Bereichsleiter Information Security beim Bitkom, findet es indessen „besonders gefährlich, wenn sich Mitarbeiter nicht in der Verantwortung sehen, weil sie IT-Sicherheit als (alleinige) Aufgabe der IT-Abteilung verstehen oder sich voll und ganz auf technische Maßnahmen wie einen Virenscanner verlassen.“ Präventive Konzepte seien im Übrigen nicht mehr ausreichend, um ein hohes Sicherheitsniveau für die IT zu gewährleisten.

Defizite in den Möglichkeiten der technischen Abwehr sieht auch Stefan Strobel, Geschäftsführer von cirosec: „Das größte Problem im Bereich Malware ist die stetig sinkende Effektivität klassischer AV-Lösungen. Malware wird inzwischen oft individuell entwickelt, erzeugt oder automatisch so häufig variiert, dass AV-Lösungen keine Signaturen für die neuen Objekte haben und der Kunde somit nicht mehr geschützt ist.“

Handlungsbedarf

Dementsprechend sieht Strobel den derzeit größten Handlungsbedarf in der Erstellung eines neuen Malwareschutzkonzepts: „Da bestehende Lösungen keinen ausreichenden Schutz mehr bieten und zahlreiche neue Ansätze als mögliche Nachfolger beworben werden, ist es nicht einfach, hier die richtige Strategie zu finden.“ Statt sich von Werbeversprechen der Hersteller blenden zu lassen, empfiehlt er, „die tatsächlichen Funktionen und Wirksamkeiten“ neuer Schutzsysteme einander gegenüberzustellen und zu bewerten.

Eine Sicherheits-Strategie und passende Konzepte haben viele Experten in den Mittelpunkt des dringendsten Handlungsbedarfs gestellt. „Viele Unternehmen haben keine echte Security-Strategie, weil sie zu stark auf ihr operatives Geschäft fokussiert sind. Ihnen fehlt ein zuverlässiges Information-Security-Management: eine proaktive Analyse der existierenden Bedrohungen und ein Gesamtkonzept, das Regeln, Verfahren und Verantwortlichkeiten für den Ernstfall definiert“, mahnt etwa Niemeitz (Crocodial).

Hemker (Symantec) legt Wert auf ein integriertes Risikomanagement als Grundlage eines systematischen Schutzes: „Dadurch lassen sich Erkennung und Abwehr von Cyberrisiken mit der gebotenen Professionalität und Effizienz implementieren.“ Und auch Benzmüller (G Data) sieht ein eklatantes Problem darin, „dass in vielen Unternehmen das Thema IT-Sicherheit erst dann ernsthaft angegangen wird, wenn es einen gravierenden Vorfall gab. Der Schutz der IT ist nur möglich, wenn man sie von Grund auf mit einplant und in den Unternehmensprozessen und bei den Mitarbeitern verankert.“

„IT-Sicherheit muss als Gesamtkonzept verstanden werden. Für das BSI gehört dazu auch, dass Cyber-Sicherheit als Managementthema begriffen und angenommen wird. Natürlich kostet IT-Sicherheit Unternehmen und Behörden Geld. Aber diese Ausgaben sind Investitionen in den Geschäftserfolg“, argumentiert Schönbohm (BSI). Mehr Investitionen in das IT-Sicherheits-Budget, vor allem bei KMU, wünscht sich auch Cornelia Schildt, Projektmanagerin IT-Security beim eco. Zudem müsse man sicherstellen, dass „langfristig ausreichend gut geschultes Personal mit Cyber-Security-Kenntnissen in die IT- und Fachabteilungen nachrückt.“ Intensivere Mitarbeiter- Schulungen und Awareness-Maßnahmen müssten künftig zudem auch außerhalb der IT-affinen Bereiche erfolgen.

Eine Sensibilisierung der Mitarbeiter sahen auch weitere Experten als dringend geboten an: „Es ist nötig, das eigene Handeln und das Geschehen am Bildschirm in sicherheitsrelevanten Situationen kritisch zu hinterfragen“, betont etwa Fliehe (Bitkom): „Mitarbeiter müssen darüber hinaus wissen, wen sie in solchen Situationen um Hilfe bitten können.“ Unter anderem Knop (JakobSoftware) und Vukcevic (Avira) unterstrichen die Bedeutung der Security-Awareness im Umgang mit E-Mails für die Abwehr von Ransomware (vgl. Kasten).

Ein deutlich anderes Vorgehen wünscht sich Veit (Sophos) bezüglich der Umsetzung grundlegender Maßnahmen: „Sehr häufig werden in Unternehmen und Behörden bewusst ‚Security-Basics‘ vernachlässigt, weil diese angeblich das Arbeiten der Anwender beeinträchtigen. Dazu zählt beispielsweise, dass Mitarbeiter sichere Passwörter verwenden und diese regelmäßig ändern müssen, keine Adminrechte auf ihrem Rechner haben, keine privaten USB-Sticks anschließen dürfen und generell nur auf diejenigen Programme und Daten zugreifen können, die sie für die Erfüllung ihrer Aufgaben benötigen.“ Auch die Ausführung von Office-Makros sei meist zu freigiebig gestattet. Sehr häufig würden derartige Maßnahmen aber auch schlicht „aus Bequemlichkeit nicht durchgeführt, weil sie einer gewissen Planung und Beschäftigung mit den technischen und organisatorischen Gegebenheiten bedürfen“, beklagt Veit.

Raphael Labaca Castro, Security Researcher bei ESET, sieht noch in einem anderen Bereich Handlungsbedarf: „Nach einem Angriff erweisen sich IT-Ausfälle häufig als Teil eines größeren, bisher unerkannten Problems – etwa Fehlfunktionen im bestehenden EDV-System und Fehlentscheidungen bei der Wiederherstellung.“ Durchblick sei jedoch wesentlich und rasches Reagieren und Handeln für die Begrenzung des Schadens entscheidend: „Je schneller man eine Störung identifiziert, desto schneller können die betroffenen Geräte vom Netzwerk oder vom Strom getrennt werden, um den Infektionsprozess zu stoppen. Backups auf externen, nicht mit dem befallenen System verbundenen Datenträgern und das routinierte Einspielen und Wiederherstellen der Daten in regelmäßigen Testläufen beschleunigen das Neuaufsetzen nach Malwarevorfällen.“

Aussichten

Eine weitere Frage der <kes> zielte auf Veränderungen in der absehbaren Zukunft – sowohl hinsichtlich der Bedrohung als auch der Möglichkeiten zur Abwehr (technisch wie organisatorisch). „Die Bedrohungen werden nicht weniger werden“, kommentiert Strobel (cirosec): „Bei den Techniken zur Abwehr findet jedoch ein grundlegender Technologiewandel statt. Moderne Isolationsverfahren werden die Prävention stark verbessern und neue Produkte zur Verhaltenserkennung auf dem Endgerät werden die Erkennung von bisher unbekannter Malware auf ein neues Niveau bringen.“

„Cyber-Bedrohungen sind sehr vielseitig, wandeln sich immer wieder und können nicht mit nur ‚einer Technologie‘ effektiv bekämpft werden“, unterstreicht Niemeitz (Crocodial). Neben Sandboxing-Mechanismen seien „auch SIEM-Lösungen ein wichtiges Security-Tool“, das sicherheitsrelevante Daten und Dokumente sammle, sie in Echtzeit auf sicherheitskritische Aktivitäten untersuche und so automatisch gegensteuern könne.

Vukcevic (Avira) sieht neben einem Echtzeitschutz gegen Malware auf Cloud-Basis vor allem Chancen in der künstlichen Intelligenz (KI): „Dazu müssen Unternehmen und Behörden jedoch ihre IT-Sicherheitssysteme entsprechend ausstatten und eine uneingeschränkte Funktion dieser Verfahren gewährleisten.“ Für mehr „Threat Intelligence“ plädiert auch Suhl (Kaspersky Lab) – hierzu seien bereits vielfältige Angebote am Markt: „Das reicht von Cybersicherheitsschulungen über digitalisierte Informationen zur Bedrohungslage bis hin zu Expertenservices wie Penetrationstests oder Vorfalluntersuchungen.“

Bezüglich der Angriffsflächen dürfte sich die Situation aufgrund von IoT und Industrie 4.0 noch weiter verschärfen: „Dies stellt einerseits höhere Anforderungen an die Identifikation und Abwehr von Angriffen, wie wir sie jetzt schon kennen. Aber immer wichtiger wird hierfür auch ‚Security by Design‘. Über das Web verbundene Geräte sollten auch selbst in der Lage sein, Anomalien zu entdecken und dementsprechend zu reagieren – beispielsweise durch Abschaltung, bevor Schaden angerichtet wird. Eine Kontrolle der Kommunikation und Authentifizierung der verbundenen Devices bekommen ebenfalls eine größere Bedeutung“, erklärt etwa Hemker (Symantec). Auch Meyer (eco) fordert einen Paradigmenwechsel der IT-Sicherheit: „Rein reaktive Maßnahmen reichen nicht mehr aus, Architekturen müssen so gestaltet werden, dass Infektionen von vornherein verhindert werden können.“

Höhnke (Fujitsu) ergänzt: „Das zunehmende Zusammenwachsen von privater und dienstlicher IT sorgt für weitere Angriffsmöglichkeiten – selbst wenn sie teilweise ungewollt geschieht. Privat getragene Smartwatches, die sich unbemerkt mit Firmensystemen verbinden, oder Pokemon-go-Spieler, die mit aktiven Handykameras übers Firmengelände laufen, sind hier nur zwei Beispiele von vielen. Da angesichts der Vielzahl an Angriffsmöglichkeiten und -punkten die Administration der Sicherheitsmaßnahmen immer komplexer und unüberschaubarer wird, sind über kurz oder lang neue Security-Konzepte gefordert, die eine Ende-zu-Ende-Absicherung ermöglichen.“

Professionalität und Intensität von Attacken werden wohl ebenfalls weiter zunehmen: „Einer der Gründe dafür ist das Auftauchen von Nationalstaaten als Cyberangreifer. Diese stecken gewaltige Ressourcen in das Finden und Ausnutzen von Schwachstellen in der Internetabwehr sowohl von Individuen als auch von Unternehmen. Und da auch Kriminelle oftmals Kapital aus Attacken von Nationalstaaten schlagen, vergrößert dies die Ausgereiftheit von Onlinebedrohungen auch insgesamt“, gibt Trost (F-Secure) zu bedenken. Und Bestrebungen von Regierungen, Sicherheitsmechanismen wie Verschlüsselung für ihre Überwachungsbemühungen zu schwächen, verschlimmern die Lage noch weiter.

Auf der anderen Seite ist verschlüsselter Datenverkehr jedoch auch eine Herausforderung für die Abwehr, weil Inhalte nicht mehr geprüft werden können, wirft Benzmüller (G Data) ein: „Erkennungslogik, die auf Inhalten von Netzwerk-Traffic beruht, büßt damit Leistungsfähigkeit ein. Dies muss durch verbesserte Verfahren auf den Endpoints kompensiert werden.“ Überdies werde mit der Einführung von „SEPA Instant Payment“ auch kriminell erworbenes Geld sofort auf andere Konten übertragen.

Hier gilt es gegenzusteuern: „Kriminelle werden in der Verbreitung von Schadsoftware und Erpressung weiterhin ein lukratives Betätigungsfeld finden – wichtig ist, dieses Geschäftsmodell per se unattraktiv werden zu lassen“, betont Fliehe (Bitkom). Dazu gehöre auch der „Ausbau zentraler und regionaler Anlaufpunkte für Betroffene, beispielsweise bei Strafverfolgungsbehörden, BÜRGER-CERT oder Verbänden“, kommentierte Schildt (eco). Allerdings mahnt Vukcevic (Avira): „Solange Behörden nicht länderübergreifend bei der Strafverfolgung der Täter zusammenarbeiten, wird es für diese weiterhin einfach sein, Schadsoftware zu verbreiten. Es gibt zwar immer wieder Fahndungserfolge wie etwa die Zerschlagung des Ramnit-Botnetzes durch Europol, aber das sind immer noch Einzelfälle.“

Hoffnungsschimmer

Einen Anstoß zur Veränderung beobachtet Knop (JakobSoftware): „Die derzeitige Verschlüsselungstrojaner- Welle führt dazu, dass in Organisationen und Unternehmen die Sicherheitsmaßnahmen und Prozesse angepasst werden. Dateiaustausch via E-Mail wird beispielsweise durch Cloud-Speicher-Lösungen ersetzt – E-Mail-Anhänge werden zunehmend blockiert und erreichen die Mitarbeiter gar nicht mehr.“

Ein Silberstreif zeigte sich in der Umfrage auch hinsichtlich der Security-Awareness: „In vielen Unternehmen und Behörden wächst zunehmend das Bewusstsein, dass IT-Sicherheit nicht primär ein Kostenfaktor und Störfaktor für die Mitarbeiter ist, sondern vielmehr ein notwendiger Schutz der eigenen Infrastruktur und somit Sicherstellung der Betriebsfähigkeit der eigenen Organisation“, konstatiert Veit (Sophos).

„Aus Sicht des BSI ist es eine wichtige Entwicklung, dass Cyber-Sicherheit immer mehr in den Köpfen der Menschen verankert wird. Wir beobachten eine wachsende Bereitschaft seitens der Unternehmen, mit uns zusammenzuarbeiten und auch geschäftskritische IT-Sicherheitsvorfälle an uns zu melden. In den Vorstandsetagen wird Cyber-Sicherheit nicht mehr als Fachthema verstanden, sondern zunehmend als Chefsache. Mitarbeiter werden vermehrt im sicheren Umgang mit IT geschult und auf aktuelle Angriffsmethoden und die Möglichkeiten des Social-Engineering aufmerksam gemacht“, stellt Schönbohm (BSI) fest. Diese Entwicklungen seien besonders wichtig und wertvoll, wo die Möglichkeiten der technischen Absicherung begrenzt sind.

Tipps gegen Ransomware

Seit einiger Zeit hört und liest man verstärkt von Problemen mit so genannter Ransomware, also Malware, die Inhalte erreichbarer Massenspeicher verschlüsselt und für die Wiederbereitstellung der Daten ein Lösegeld fordert. Bei unserer Expertenbefragung haben wir daher auch explizit nach den besten Tipps zur Abwehr von Ransomware und ihren Folgen gefragt. Die meisten Empfehlungen entsprachen dabei grundlegenden Sicherheitsmaßnahmen.

Die Spitzengruppe der drei Top-Tipps wurde – in der einen oder anderen Form – von jeweils rund zwei Dritteln der Experten genannt:

  • Backup, Backup, Backup: Da die Auswirkung von Ransomware ein Verfügbarkeitsproblem von Daten bedeutet, landet die Empfehlung einer wirksamen Datensicherung wenig überraschend auf dem ersten Platz der Gegenmaßnahmen. Wie üblich sollte es eine klare Backup-Strategie mit regelmäßigen Tests der Funktionsfähigkeit, umfassender Reichweite (auch für mobile Systeme) und einer engmaschigen Sicherung von Daten geben – kritische Systeme sollte man eventuell redundant auslegen. Darüber hinaus ist vor allem die Nutzung eines Backup-Operator-Kontos wichtig, auf dessen Ergebnisse die eigentlichen Anwender- und gegebenenfalls auch Administrator-Prozesse keinen Zugriff erlangen können. Zudem muss der gesicherte Zeitrahmen hinreichend lang sein, damit nicht auch die Backups bereits verschlüsselte Versionen von Dateien enthalten.
  • Schulung und Sensibilisierung: Aufgeklärte und mit einem gesunden Misstrauen agierende Mitarbeiter können viele Infektionen vermeiden – sowohl per E-Mail als auch im Browser. Entsprechende Weiterbildungen sowie dokumentiertes und leicht erreichbares Know-how (inkl. Helpdesk) zum Umgang mit Stör- oder gar Angriffsfällen via Social-Engineering bilden daher eine wertvolle Grundlage der Abwehr (auch) von Ransomware.
  • Patches und Updates: Auf der technischen Seite sollten Betriebssysteme, Anwendungs- und Sicherheitsprogramme möglichst zeitnah und umfassend aktualisiert werden, denn auch Ransomware nutzt oft bekannte Sicherheitslücken.

Mit einer deutlichen Häufung wurde zudem auf die Bedeutung der allgemeinen technischen wie organisatorischen Abwehr hingewiesen, die gleichermaßen gegen Ransomware wie gegen andere Bedrohungen hilft – bedarfsweise auch durch externe Services umgesetzt oder unterstützt. Hierzu gehören letztlich auch Tipps, welche die Wichtigkeit einer Sicherheits-Strategie sowie von Notfallplänen, Risiko- und Schwachstellenmanagement betonten.

Mehrere Experten rieten zudem zu einer Verringerung der Angriffsfläche durch Vermeiden „riskanter“ Software wie Flash oder Java, der Deaktivierung von Office- Makros und Skriptdateien, einer möglichst weitgehenden Beschränkung von Nutzerrechten (Admin-Privilegien, Zugriffsrechte usw.) sowie eventuell der Installation eines Ad-Blockers im Browser. Da kompromittierte Werbebanner eine häufige Ursache für Ransomware-Infektionen seien, forderte der eco hier auch ein Umdenken aufseiten der Werbe-Industrie.

Als technische Einzelmaßnahmen wurden unter anderem von cirosec Isolationstechniken wie Mikrovirtualisierung, Verhaltenserkennung auf dem Endgerät und im Netzwerk sowie von eco ein konsequenter Ausbau des signierten E-Mail-Versands (z. B. durch PGP und den Einsatz von DKIM / SPF) ins Feld geführt. Kaspersky Labs waren übrigens die Einzigen, die eine klare Empfehlung aussprachen, niemals auf digitale Lösegeldforderungen einzugehen, sondern stattdessen die zuständigen Strafverfolgungsbehörden einzuschalten. Von dort kam auch der Tipp, betroffene Datenträger gegebenenfalls zu desinfizieren und archivieren, nicht aber zu überschreiben: Denn auch wenn eine Aufhebung der Ransomware-Verschlüsselung nicht unmittelbar möglich sei, habe man doch für manche Attacken einige Zeit später noch Möglichkeiten gefunden, um Daten auch ohne Lösegeldzahlung wiederherzustellen.