Kryptographie-Angriffe 2.0

Für die nächste Generation von Ransomware-Angriffen gewappnet

29. Oktober 2018, 10:17 Uhr | Autor: Alexander Schinner / Redaktion: Axel Pomper

Ransomware-Angriffe haben sich zu einer der beliebtesten Angriffsarten entwickelt. Ein Grund: Gerade KMU schützen sich immer noch zu wenig und hoffen, aufgrund ihrer geringen Größe durch die Angriffsraster zu fallen. Sie verkennen dabei jedoch die eigene Attraktivität als Angriffsziel.

In den vergangenen Jahren hat der Anteil von Ransomware-Attacken unter den weltweit getätigten Malware-Angriffen deutlich zugenommen. 39 Prozent aller Vorfälle entfielen allein im letzten Jahr, so der Verizon Data Breach Investigations Report 2018, auf Ransomware – eine Steigerung um 100 Prozent im Vergleich zum Vorjahreszeitraum. Die Gefahr, Opfer eines entsprechenden Angriffs zu werden, wächst rasant. Gerade deutsche Unternehmen stehen dabei im Fokus der Cyber-Kriminellen. Während eine von Osterman Research durchgeführte Untersuchung für das Jahr 2016 noch zu dem Ergebnis kam, dass rund ein Drittel aller hiesigen Firmen schon einmal Opfer eines Ransomware-Angriffs gewesen ist, vermeldet die „Sentinel One Global Ransomware Study 2018“ für 2017 einen Anstieg auf über zwei Drittel (rund 70 Prozent). Alle 40 Sekunden, so eine weitere Studie von Cybersecurity Ventures, kam es 2017 zu einem Vorfall mit entsprechender Malware. Die Untersuchungen weisen alle in dieselbe Richtung: Weltweit sind Ransomware-Angriffe auf dem Vormarsch.

Doch nicht nur die Zahl der Vorfälle, auch die Masse der Ziele hat sich drastisch erhöht. Denn Cyberkriminelle haben ihre zielgerichtete Strategie schon seit einiger Zeit um eine ungerichtete Variante erweitert. Zwar werden weiterhin konkrete Opfer ausgemacht, analysiert und für einen Angriff präpariert. Diese Strategie existiert nach wie vor, wird stetig weiterentwickelt und verfeinert. Hinzu kommen seit einiger Zeit aber auch ungerichtete Angriffe, die flächendeckend zum Einsatz gebracht werden – in der Hoffnung, auf ausreichend ungeschützte Ziele zu stoßen. Das Risiko, Opfer eines erfolgreichen Angriffs zu werden, hat sich mit der neuen Generation von Ransomware-Attacken daher deutlich erhöht.

Strategiewechsel bei Ransomware-Angriffen

Aufgrund dieser Doppelstrategie – Ransomware-Attacken zielgerichtet wie ungerichtet zum Einsatz zu bringen – ist mit einem drastischen Anstieg des Risikos zu rechnen, Opfer eines Angriffs zu werden. So geht die bereits erwähnte Studie von Cybersecurity Ventures für 2019 von einem Intervall von 14 Sekunden aus. Damit hätte sich die Angriffsrate in nur zwei Jahren um fast 300 Prozent erhöht. Vom Unternehmen bis hin zur staatlichen Einrichtung, vom großen Netzwerk bis hin zum einzelnen Privat-PC wird damit praktisch jeder zu einem möglichen Ziel. Und bislang geht die neue Strategie auf – nicht zuletzt, da viele Unternehmen, mehrheitlich die KMUs, immer noch nicht ausreichend vor Ransomware-Attacken und ihren Folgen geschützt sind.

Effektiver Schutz erfordert vor allem eines: eine vorausschauende Planung und Vorbereitung für den Ernstfall. Die Einrichtung einiger technischer Lösungen ist dabei noch das geringste Problem. Mittlerweile sind zahlreiche Programme auf dem Markt, die genutzt werden können, um IT-Infrastrukturen vor Ransomware-Angriffen zu schützen. Eingehende E-Mails können auf Malware gescannt, der interne Datenverkehr über intelligente Monitoring-Programme auf Anomalien und Anwendungen über Applikationskontrollen überwacht werden. Für den Fall eines erfolgreichen Angriffs lassen sich zudem Back-up-Lösungen implementieren, um mögliche Schäden zu minimieren. Doch all die technischen Lösungen können Risiken und Schadensfälle nicht vollständig verhindern – allenfalls begrenzen.

Weiter reduzieren lassen sich die Auswirkungen aber durch eine ausgereifte und erprobte Sicherheitspolitik. Viel ist bereits erreicht, wenn die Betriebs-, Arbeits- und Sicherheitssoftware stets auf dem neuesten Stand gehalten wird – was für die meisten Unternehmensnetzwerke noch längst keine Selbstverständlichkeit darstellt. So ist der Exploit „EternalBlue“ der Ransomware Wanna Cry, die im letzten Jahr weltweit traurige Berühmtheit erlangte, auch heute – nach über einem Jahr – immer noch im Einsatz. Er wurde sogar weiterentwickelt und ist mittlerweile auf dem besten Weg, mehr Schaden anzurichten als 2017. Schützende Patches sind zwar schon lange verfügbar – doch noch längst nicht überall installiert. Auch die Sensibilisierung und Schulung der Mitarbeiter ist eine wesentliche Sicherheitskomponente. Denn der Mensch stellt immer noch das zentrale Einfallstor für Ransomware-Angriffe dar. Es ist sinnvoll, die Zugriffsrechte der Mitarbeiter auf das notwendige Minimum zu reduzieren und private Endgeräte für das Firmennetzwerk zu sperren.

Außerdem sollte das IT-Management Pläne für den Ernstfall vorbereiten und testen, in denen sämtliche konkreten Abwehr- und Sicherungsmaßnahmen, sowie die Frage, ob ein Lösegeld gezahlt werden soll, abgehandelt werden. Gerade hier tun sich KMUs immer noch schwer. Dabei verursacht eine ungeplante, vorschnelle Erstreaktion aus der Panik des Augenblicks heraus meist mehr Schaden als der Ransomware-Angriff selbst. Häufig wird ein Server vom Netz genommen, ein auffälliger Rechner abgestellt oder Software neu installiert. Oft handelt es sich dabei aber gar nicht um den infizierten Rechner und wichtige Daten sind unwiederbringlich zerstört. Gerade für KMUs mit begrenzten technischen und personellen Ressourcen und geringen Erfahrungen im Ransomware-Bereich kann es deshalb sinnvoll sein, auf einen erfahrenen externen Anbieter zurückzugreifen. So gibt es im Markt beispielsweise Incident Response Services unterschiedlicher Anbieter, die gerade bei KMUs die fehlende Erfahrung bei Ransomware-Angriffen ausgleichen können. Kommt es zu einem Angriff, kann hier über eine gegebenenfalls ständig erreichbare Hotline ein IT-Sicherheitsberater hinzugeschaltet werden, der das betroffene Unternehmen durch die Frühphase der Angriffserkennung und -abwehr sowie die Schadensbegrenzung führt. Falsche Kurzschlusshandlungen können so im Idealfall vermieden werden.

Ausgestattet mit dem richtigen technischen Equipment, vorbereitet mit einer effektiven Sicherheitspolitik und gegebenenfalls in Zusammenarbeit mit einem externen Sicherheitsexperten wird es auch KMUs möglich sein, sich effizient vor der nächsten Welle von Ransomware-Angriffen zu schützen.

Alexander Schinner ist IT Security Consultant bei Telekom Security