Sind Windows-Server wirklich das Top-Einfallstor für Ransomware?

Zu unserem letzten Blog-Beitrag erreichten uns mehrere Kommentare, dafür herzlichen Dank! Zu einigen Fragen und Anmerkungen möchten wir gerne Stellung nehmen.

Ein Kommentar nennt zunächst die wesentlichen Schutzmaßnahmen, von denen wir nur die erste erwähnt hatten: „1. VPN 2. Login-Sperre 3. 2-Faktor-Authentifizierung 4. Updates“ Das ist völlig richtig, vielen Dank für die Ergänzung! Daneben wundert sich der Kommentator – wie wahrscheinlich viele Leser – über unsere Aussage, RDP sei der häufigste Angriffsvektor für Ransomware. Bisher gilt ja allgemein Phishing als wichtigstes Einfallstor. Die Aussage über RDP stammt aus dem Vortrag eines leitenden FBI-Mitarbeiters, den dieser bei der RSA-Konferenz im Februar 2020 hielt. Dort erklärte Special Agent Joel DeCapua, dass in 70 bis 80 Prozent der Ransomware-Fälle RDP das Einfallstor bildet. Den Vortrag können Sie sich auf Youtube anschauen, wir haben gleich die passende Stelle verlinkt.

DeCapua beantwortet dort auch eine weitere Frage, die nach dem Vorgehen dieser Angriffe: Die meisten RDP-Server werden mit Brute Force gehackt, und zwar, weil es viele sehr schlechte Passwörter gibt. Und wenn es gute Passwörter gibt, dann werden sie mehrfach verwendet. VPN, Login-Sperre und 2-Faktor-Authentifizierung könnten solche Angriffe verhindern, fehlen aber anscheinend immer noch auf viel zu vielen Windows-Servern.

Weiterhin wurde kommentiert, unser Beitrag sei „reißerisch“. Das ist uns bewusst. Wir versuchen seit Jahren immer wieder, den richtigen Ton zwischen zuviel Panikmache und zu langweiliger Sachlichkeit zu finden. Wir haben dieser Stilfrage sogar schon einen eigenen Blog-Beitrag gewidmet.