Office 365 Schutz vor Ransomware und Wiederherstellung: Ein vollständiger Überblick
Heutzutage gilt Ransomware als eine der größten Bedrohungen für moderne Unternehmen, da sie alle Arten von Daten betreffen kann, einschließlich Microsoft 365-Dateien und -Dokumente. Tatsächlich gab es im Jahr 2020 weltweit mehr als 304 Millionen Angriffe , wobei die durchschnittliche Lösegeldzahlung 812.360 US-Dollar betrug. Und die Infiltrationsmethoden werden von Jahr zu Jahr ausgefeilter.
Gemäß seinem Shared Responsibility Model stellt Microsoft den Benutzern verschiedene Office 365-Tools zum Schutz vor Ransomware zur Verfügung. Unternehmen, die Office 365 verwenden, sind jedoch dafür verantwortlich, diese Tools zu konfigurieren, um ihre Daten vor Bedrohungen zu schützen, sowie Tools von Drittanbietern zu verwenden, um die Wiederherstellbarkeit sicherzustellen.
Dieser Beitrag beschreibt die integrierten Funktionen für den Schutz vor Ransomware und die Wiederherstellung von Microsoft, mit denen Sie Ihre Umgebung sichern und Ihre Daten nach einem Ransomware-Angriff wiederherstellen können.
Native Office 365-Ransomware-Schutzoptionen
Microsoft-Abonnements umfassen mehrere integrierte Funktionen, mit denen Sie Ihren Mandanten schützen und die Risiken im Falle eines Vorfalls der Sicherheit mindern können. Mit den Tools unter Exchange Online Protection (EOP) und Microsoft Defender können Sie Angriffe erkennen, überwachen und abwehren, bevor sie in Ihr Netzwerk eindringen und sich dort ausbreiten.
Beachten Sie, dass die Funktionen des Schutzes vor Ransomware von Microsoft Einschränkungen unterliegen und keinen vollständigen Schutz vor Infektionen bieten, insbesondere wenn es sich beispielsweise um vom Benutzer initiierte Malware handelt.
Microsoft 365 Defender
Die meisten der erforderlichen Sicherheits- undIdentitätsdiebstahl-Tools finden Sie in Microsoft 365 Defender und Microsoft Defender für Office 365, da diese zahlreiche Überwachte Workloads und Schutzfunktionen kombinieren. Darüber hinaus können Sie Microsoft Defender for Identity und Microsoft Defender for Endpoint verwenden, um kompromittierte Geräte zu finden, die die Quelle für eine Sicherheitsverletzung sein können.
Die wichtigsten Funktionen zum Schutz vor Ransomware in Office 365, die in Microsoft Defender enthalten sind, sind unten aufgeführt.
- Untersuchung von Bedrohungen und Reaktion darauf
Hierbei handelt es sich um eine Reihe von Funktionen, mit denen Administratoren ihre Umgebung scannen und Daten zu potenziellen Bedrohungen sammeln können. Der Workflow zur Untersuchung und Reaktion auf Bedrohungen sammelt Informationen mithilfe von Bedrohungstrackern von verschiedenen Quellen, wie z. B. infizierten Computern, früheren Vorfällen, Benutzeraktivitäten und mehr. Anschließend werden die erforderlichen Aktionen ergriffen, um Risiken in OneDrive for Business, SharePoint Online, Exchange Online und Microsoft Teams zu beheben.
- Anti-Phishing-Schutz
Social-Engineering-Methoden wie Phishing-Angriffe sind die häufigsten Angriffsvektoren für Ransomware. Microsoft Defender für Office 365 verwendet fortschrittliche Algorithmen und eine Reihe von Funktionen, um Phishing-Angriffe automatisch zu erkennen und Office 365-Daten zu schützen.
Spoof-Intelligenz: Mit diesen Erkenntnissen können Sie gefälschte Absender in Nachrichten von internen oder externen Domänen erkennen und automatisch einschränken. Sie können identifizierte Absender auch manuell in der Liste „Zulassen/Blockieren“ des Mandanten zulassen oder blockieren.
Anti-Phishing-Richtlinien: Konfigurieren Sie verschiedene Einstellungen wie Identitätsdiebstahlschutz, Postfach-Intelligenz und erweiterte Phishing-Schwellenwerte. Darüber hinaus können Sie die Aktion für blockierte gefälschte Absender festlegen.
Implizite E-Mail-Authentifizierung: Identifizieren Sie gefälschte Absender, indem Sie eingehende E-Mails mit erweiterten Techniken wie Absenderreputation, Absenderverlauf, Verhaltensanalyse und mehr überprüfen.
Kampagnenansichten: Erkennen und analysieren Sie Nachrichten, die Teil koordinierter Phishing-Kampagnen sind.
Angriffssimulationstraining: Administratoren können gefälschte Phishing-Nachrichten erstellen und diese mit Benutzern innerhalb ihres Netzwerks teilen, um deren Bereitschaft zu testen und Schulungen zum Thema Ransomware durchzuführen.
- Anti-Malware-Schutz
Der mehrschichtige Malware-Schutz in EOP erkennt automatisch verschiedene Arten von eingehender und ausgehender Malware, darunter Viren, Spyware und Ransomware. Dies geschieht mithilfe der folgenden Funktionen:
Mehrschichtiger Schutz vor Malware: Mehrere Anti-Malware-Scan-Engines schützen Ihr Unternehmen vor bekannten und unbekannten Bedrohungen. Diese Engines bieten Office 365-Schutz vor Ransomware sogar in den frühen Phasen eines Ausbruchs.
Echtzeit-Reaktion auf Bedrohungen: Ihr Sicherheitsteam kann genügend Informationen über einen Virus oder eine Malware sammeln, um spezifische Richtlinien zu erstellen und diese sofort im gesamten Netzwerk zu veröffentlichen.
Schnelle Bereitstellung von Anti-Malware-Definitionen: Anti-Malware-Engines werden ständig aktualisiert, um neue Patches und Malware-Definitionen einzubeziehen.
- Kontrollierter Ordnerzugriff
Durch Aktivieren des Echtzeitschutzes in Microsoft Defender Antivirus können Sie die Einstellungen für den kontrollierten Ordnerzugriff verwalten, um Office 365-Dateien und -Daten vor bösartigen Apps und Ransomware zu schützen. Diese Funktion überprüft Anwendungen anhand einer Liste bekannter Apps und erlaubt nur vertrauenswürdigen Anwendungen den Zugriff auf geschützte Ordner. Bei böswilligen Aktivitäten erhalten Sie eine Benachrichtigung, in der Ihnen angezeigt wird, welche App versucht hat, unerwünschte Änderungen an einem geschützten Dokument vorzunehmen.
- Microsoft Defender für Cloud-Apps
Der Umstieg auf die Cloud bringt neue Sicherheitsrisiken mit sich, die Ihre Daten während der Speicherung oder Übertragung gefährden könnten. Microsoft Defender für Cloud-Apps bietet Microsoft Enterprise-Pläne mit erweiterten Kontrollfunktionen, leistungsstarker Transparenz und robuster Erkennung von Cyberbedrohungen in Cloud-Diensten von Microsoft und Drittanbietern.
Die wichtigsten Funktionen, die den Schutz vor Ransomware in Office 365 gewährleisten, sind:
Erkennen und kontrollieren Sie die Nutzung von Schatten-IT: Identifizieren Sie die von Ihrem Unternehmen verwendeten Cloud-Anwendungen und -Dienste, untersuchen Sie Nutzungsmuster und bewerten Sie die Geschäftsbereitschaft hinsichtlich verschiedener Risiken.
Schützen Sie sensible Informationen in der Cloud: Implementieren Sie Richtlinien und automatisierte Prozesse, um sensible Daten in Echtzeit in allen Cloud-Anwendungen zu kontrollieren und zu schützen.
Verhindern Sie Cyberbedrohungen und Anomalien: Erkennen Sie ungewöhnliches Verhalten, Ransomware, kompromittierte Computer und bösartige Anwendungen. Analysieren Sie risikoreiche Nutzungsmuster und beheben Sie Bedrohungen automatisch.
Bewerten Sie die Compliance von Cloud-Anwendungen: Stellen Sie sicher, dass Ihre Anwendungen die erforderlichen gesetzlichen Anforderungen und Branchenstandards erfüllen.
- Microsoft Defender SmartScreen
Microsoft Defender SmartScreen bietet Schutz vor Malware oder Phishing-Anwendungen und -Websites. Potenziell schädliche Dateien werden automatisch blockiert und der Benutzer wird benachrichtigt. Besuchte Webseiten werden analysiert und mit einer Liste gemeldeter Phishing- und schädlicher Websites abgeglichen. Heruntergeladene Apps oder App-Installationsprogramme werden mit einer Liste gemeldeter schädlicher Programme abgeglichen, die als unsicher bekannt sind.
Microsoft Purview Information Protection
Beim Schutz vor Ransomware von Office 365 geht es nicht nur darum, Angriffe zu verhindern. Optimale Datenverwaltungsprozesse können auch die Gefahr von Datenverlusten durch Ransomware verringern. Mit verschiedenen Funktionen in Microsoft Purview Information Protection können Sie sensible Daten identifizieren, klassifizieren und schützen, egal ob sie gerade übertragen werden oder gespeichert sind.
- Data Loss Prevention (DLP)
Durch die Definition und Anwendung von DLP-Richtlinien wird verhindert, dass Benutzer sensible Daten unangemessen an unbefugte Personen teilen, und das Risiko eines Datenverlusts wird begrenzt. Noch wichtiger ist, dass Sie mit DLP die Aktivitäten der Benutzer in Bezug auf sensible Elemente überwachen können. Diese Elemente können auch an einen sicheren Quarantäne-Standort verschoben und dort gesperrt werden, um zu verhindern, dass sie von Ransomware-Infektionen befallen werden.
- Vertraulichkeitsbezeichnungen
Konfigurieren und Anwenden Sie Vertraulichkeitsbezeichnungen auf Daten, die Sie als potenziell erpressbar erachten, z. B. vertrauliche E-Mails oder Dokumente. Schützen Sie Office 365-Dateien, indem Sie den Inhalt kennzeichnen oder die Daten durch Verschlüsselung schützen, um sicherzustellen, dass nur autorisierte Benutzer darauf zugreifen können.
Zusätzliche Office 365-Tools zum Schutz vor Ransomware
Microsoft bietet weitere Funktionen, die das Risiko von Ransomware mindern und Datenverluste begrenzen:
- Exchange-E-Mail-Einstellungen: Phishing-E-Mails sind die wichtigste Methode bei Ransomware-Angriffen. Durch die Konfiguration der Exchange-E-Mail-Einstellungen wird die Anfälligkeit Ihres Unternehmens für E-Mail-basierte Angriffe verringert, da der erste Zugriff auf Ihren Mandanten verhindert wird.
- Multi-Faktor-Authentifizierung: Durch die Aktivierung der modernen Authentifizierung in Office 365 wird der Anmeldeprozess um eine zweite Schutzebene erweitert und das Risiko einer Kompromittierung der Anmeldeinformationen drastisch verringert.
- Microsoft Secure Score: Dieses Tool misst kontinuierlich die Sicherheit Ihres Unternehmens und schlägt Verbesserungen vor, mit denen Sie Ihre Office 365-Daten schützen können.
- Regeln zur Reduzierung der Angriffsfläche: Verringern Sie Ihre Anfälligkeit für Cyberangriffe, indem Sie die erforderlichen Einstellungen konfigurieren. Blockieren Sie verdächtige Aktivitäten, bevor sie Ihr gesamtes Netzwerk infizieren.
Methoden zur Wiederherstellung nach einem Ransomware-Angriff von Microsoft
Manchmal versagen alle Optionen für den Schutz vor Ransomware und Sie werden Opfer eines Ransomware-Angriffs. In diesem Fall sollten Sie sofort die OneDrive-Synchronisierung auf allen verbundenen Geräten beenden und die infizierten Geräte vom Netzwerk trennen. Wenn Sie dies rechtzeitig tun, besteht eine hohe Wahrscheinlichkeit, dass die infizierten Dateien noch unverschlüsselte Kopien auf anderen Laufwerken gespeichert haben.
Versionierung
Wenn die Versionierung aktiviert ist, können Sie automatisch mehrere Versionen desselben Dokuments in SharePoint Online, Exchange Online und OneDrive for Business speichern. Standardmäßig ist die Anzahl der Versionen auf 500 begrenzt, Sie können sie jedoch auf 50.000 erhöhen.
Sie können zu früheren Versionen zurückkehren, die vor dem Ransomware-Angriff erstellt wurden, und diese bei Bedarf wiederherstellen. Beachten Sie, dass die Versionierung keinen vollständigen Schutz vor Ransomware bietet, da einige Infektionen auch alle Versionen eines Dokuments verschlüsseln können.
Hinweis: Das Speichern mehrerer Versionen erfordert zusätzlichen Speicher.
Papierkorb
In einigen Fällen entfernen Ransomware-Angriffe die Originaldatei und erstellen eine neue verschlüsselte Version, die Sie nicht verwenden können. Der Papierkorb kann als Microsoft-Tool zur Wiederherstellung nach Ransomware-Angriffen verwendet werden, da er Ihnen hilft, gelöschte Dateien innerhalb von 93 Tagen wiederherzustellen.
Selbst nach Ablauf dieser Frist und nachdem das Element aus beiden Stufen des Papierkorbs entfernt wurde, haben Sie noch 14 Tage Zeit, um sich an den Microsoft-Support zu wenden und eine Datenwiederherstellung zu beantragen. Nach dem Schließen dieser Fenster werden die Daten endgültig gelöscht.
Compliance-Aufbewahrungsrichtlinien
Erstellen Sie Regeln, die festlegen, wie lange Sie Office 365-Dateien und -Dokumente aufbewahren. Auf diese Weise können Sie konfigurieren, welche Daten wann gelöscht werden können. Sie können diesen Prozess automatisieren, indem Sie Aufbewahrungsrichtlinien für bestimmte Inhaltstypen festlegen.
Hinweis: Compliance-Aufbewahrungsrichtlinien sind nur für Microsoft 365 E5-, A5- und G5-Abonnementpläne verfügbar.
Aufbewahrungsbibliothek
Durch die Anwendung von Aufbewahrungseinstellungen können mit OneDrive oder SharePoint synchronisierte Daten für einen bestimmten Zeitraum in der Aufbewahrungsbibliothek gespeichert werden. Die vor Ort durchgeführte Aufbewahrung stellt sicher, dass eine Kopie unverändert bleibt und nicht von einer Ransomware-Infektion betroffen ist. Nach einem Angriff kann der Benutzer auf die Bibliothek zugreifen und die benötigten Dateien exportieren.
Backup-Lösungen von Drittanbietern
Es gibt verschiedene Methoden zur Wiederherstellung von Office 365-Daten nach einem Ransomware-Angriff, mit denen Sie Ihre infizierten Daten wiederherstellen können. Beachten Sie, dass diese Tools, ähnlich wie die Funktionen zum Schutz vor Ransomware von Microsoft, ihre Grenzen haben und die Wiederherstellbarkeit der Daten möglicherweise nicht garantieren können.
Microsoft erstellt keine Backups von Office 365-Daten, bietet jedoch Datenschutzrichtlinien für Exchange Online, SharePoint Online und OneDrive for Business an. Moderne Backup-Lösungen für SaaS hingegen bieten optimale Datensicherheit und Sicherheit im Falle eines Cyberangriffs. Ihre Daten können in sicheren Repositorys gespeichert und nach einem Angriff schnell wiederhergestellt werden.
Zusammenfassung
Heutzutage sind Ransomware-Angriffe die gefährlichste Bedrohung für Unternehmen, da sie alle Arten von Daten betreffen können, einschließlich Office 365-Dokumente und -Dateien. Glücklicherweise bietet Microsoft integrierte Tools für den Schutz vor Ransomware und die Wiederherstellung Ihrer Daten, die Ihre Umgebung kontinuierlich überwachen und schützen.
Diese nativen Tools haben jedoch ihre Grenzen, sodass eine Backup-Lösung eines Drittanbieters erforderlich ist, um Ihre Daten nach einer Infektion sicher wiederherzustellen. Herunterladen Sie die kostenlose Ausgabe von NAKIVO Backup for Office 365, um alle erweiterten Tools und Funktionalitäten zu testen, mit denen Sie die Wiederherstellbarkeit Ihrer Daten sicherstellen können.
