Ransomware-Strategie
Die Bedrohung wächst: Sind Sie vorbereitet?
Wie sich das Blatt angesichts der wachsenden Sicherheitsbedrohung wenden lässt.
Der Artikel liefert unter anderem Antworten auf folgende Fragen:
- Wie hat sich die Ransomware-Bedrohungslage in den letzten Monaten entwickelt?
- Was sind die besonderen Herausforderungen bei der Abwehr gegen Ransomware?
- Warum sollten Unternehmen kein Lösegeld bezahlen?
- Welche Rolle spielt das Active Directory (AD) im Rahmen eines umfassenden Wiederherstellungsplans?
- Was ist bei der Wiederherstellung zu beachten?
- Wie können Verantwortlichen die Risiken für ihre jeweilige Organisation begrenzen?
In letzter Zeit ist die Frage nach Cybersicherheit zunehmend dringender geworden, da sich die Bedrohungslage in Sachen Ransomware drastisch verschärft. Jedes Unternehmen kann Ziel eines Angriffs werden oder einen Kollateralschaden erleiden, da ein Partner von einer Attacke getroffen wurde. Ein kurzer Blick auf die Schlagzeilen des letzten Jahres genügt, um zu erkennen, dass die Bedrohung größer geworden ist als je zuvor: Ob es sich nun um den Angriff auf den Automatisierungsspezialisten Pilz, auf den Windkraftanlagen-Hersteller Nordex SE oder um die Attacke auf den Landkreis Anhalt-Bitterfeld handelt – die Debatte darüber, wie man sich gegen Ransomware-Bedrohungen wehren kann, hält an.
In einem Punkt sind sich jedoch alle Beobachter einig: Unternehmen und Behörden müssen jetzt handeln. Während bei vielen IT- und Security-Teams nach der Ausnahmesituation im Zuge der Pandemie die Normalität zurückkehrt, sollten sie sich dennoch die Frage stellen: Wäre die eigene Organisation auf einen Ransomware-Angriff vorbereitet? Denn für die Unternehmen ist es keine Frage des Ob, sondern des Wann. Laut Gartner hat sich die Bedrohung durch neue Ransomware-Modelle zum größten Risiko für Unternehmen entwickelt1, und bis 2025 wird prognostiziert, dass
Hackergruppen sogar Cyberangriffe nutzen werden, um Menschenleben zu gefährden.
Eine besonders große Herausforderung in Sachen Ransomware besteht darin, dass diese Malware-Form stetig weiterentwickelt wird und verheerenden Schaden anrichten kann. Ein einziger Angriff kann gleich mehrere Unternehmen zum Erliegen bringen, sensible Daten über das Internet verbreiten und schlimmstenfalls kritische Infrastrukturen beeinträchtigen. Es ist das eine, abstrakt über Strategien zur Wiederherstellung nach einem Ransomware-Angriff zu sprechen, aber etwas ganz anderes, wenn aus realen Vorfällen Lehren gezogen werden. Wie also können Unternehmen einen nachhaltigen Plan entwickeln, um sich zu schützen?
Bezahlen oder nicht?
Zunächst sollte den Verantwortlichen bewusst werden, dass es gar nicht um die Frage geht, ob gezahlt werden sollte oder nicht. Denn die Zahlung von Lösegeldern ist keine nachhaltige Strategie, wie mehr als 30 Security-Experten kürzlich in einem offenen Brief betonten2. Zum einen sind sie nur Wasser auf den Mühlen der Angreifer und zum anderen ist mit der Begleichung der Lösegeldforderung keineswegs sichergestellt, dass Unternehmen wieder Zugang zu ihren Daten und Systemen erhalten. Bei dem jüngsten Angriff auf Colonial Pipeline gab das Unternehmen an, fast 4,5 Millionen US-Dollar an die Hackergruppe Darkside gezahlt zu haben. Das ist ein hoher Betrag, allerdings nur ein Bruchteil dessen, was Darkside insgesamt „erwirtschaften“ konnte; nämlich über 90 Millionen Dollar.
Die geforderten Gelder zu zahlen, ist lediglich eine Ermutigung für die Täter, weitere Angriffe durchzuführen. Ferner gibt es keinerlei Garantie dafür, dass eine Zahlung auch zum gewünschten Ergebnis führt. Colonial Pipeline zählt zu den wenigen Unternehmen, die wieder Zugang zu seinen Daten erhalten haben. Laut Proofpoints „State of the Phish Report 2022“3 waren 42 Prozent der befragten Unternehmen 2021 nach einer ersten Lösegeldzahlung mit zusätzlichen Forderungen der Ransomware-Gruppen konfrontiert und weitere vier Prozent erhielten nie wieder Zugriff auf ihre Daten.
Wiederherstellung nicht vernachlässigen
Zweifelsohne ist eine Softwarelösung zur Erkennung von Eindringlingen und für die Cybersicherheit unerlässlich, um so früh wie möglich vor illegitimen Aktivitäten gewarnt zu werden. Aber es ist ebenso essenziell, dies mit einer robusten Wiederherstellungsstrategie zu flankieren. Nur so können Daten wiederhergestellt werden, sollte es zu einer – aus Sicht der Täter – erfolgreichen Ransomware-Attacke kommen. Mit diesem Ansatz ergreifen Unternehmen nicht nur Präventivmaßnahmen, sondern sorgen gleichzeitig dafür, dass sie im Falle eines Angriffs die Auswirkungen begrenzen können. Das Active Directory (AD) ist dabei wichtiger Eckpfeiler eines umfassenden Wiederherstellungsplans, denn die meisten Unternehmen nutzen AD, um Identitäten zu verwalten und den Zugriff auf Unternehmensressourcen wie Datenbanken, Dateien, Anwendungen und Endgeräte zu ermöglichen.
| Active Directory (AD) |
|---|
| ...ist der Verzeichnisdienst von Microsoft Windows Server, wobei ab Version Windows Server 2008 der Dienst in fünf Rollen untergliedert und deren Kernkomponente als Active Directory Domain Services (ADDS) bezeichnet wird. Bei einem solchen Verzeichnis handelt es sich um eine Zuordnungsliste wie zum Beispiel bei einem Telefonbuch, das Telefonnummern den jeweiligen Anschlüssen beziehungsweise Besitzern zuordnet. Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen. Den Benutzern des Netzwerkes können Zugriffsbeschränkungen erteilt werden. So darf zum Beispiel nicht jeder Benutzer jede Datei ansehen oder jeden Drucker verwenden. (DK) |
Die Wiederherstellung von Back-ups mag auf den ersten Blick einfach erscheinen, allerdings gibt es hier eine Reihe von Fallstricken. Ein wichtiger Aspekt der Wiederherstellung besteht darin sicherzustellen, dass AD-Backups „Air-gapped“ sind. Diese Back-up-Daten dürfen also nicht über das Netzwerk beziehungsweise das Internet erreichbar sein, um deren Integrität zu gewährleisten. Unternehmen können über umfangreiche Back-up-Daten verfügen, jedoch nutzen diese wenig, wenn sie sich nicht wiederherstellen lassen beziehungsweise beschädigt sind. Bei vielen Ransomware-Angriffen suchen die Täter daher ganz gezielt nach Back-ups, die mit dem Netzwerk verbunden sind. Finden sie solche Daten, zerstören sie diese, um die Wahrscheinlichkeit zu erhöhen, dass ein Lösegeld gezahlt wird. Daher ist es wichtig, dass die IT-Teams nicht nur regelmäßig umfangreiche Back-ups der Active-Directory-Umgebung erstellen, sondern diese auch geschützt, also vom Unternehmensnetzwerk entkoppelt, aufbewahren. Kommt es dann zu einer Ransomware-Attacke, bleiben diese Sicherungen dennoch sicher und weiterhin verfügbar.
Zudem ist für die Verantwortlichen oft wichtig, dass der Ausfall so kurz wie möglich gehalten und der Betrieb so schnell wie möglich wieder aufgenommen werden kann – zu Recht. Gerade die Stunden nach einem Cyberangriff und die Art und Weise, wie ein Unternehmen damit umgeht, sind entscheidend. Der Schlüssel für eine schnelle Rückkehr zum Normalbetrieb besteht in einer schrittweisen Wiederherstellung. Es ist ratsam zunächst zu ermitteln, welche Domain Controller unbedingt erforderlich sind, um die Wiederherstellung dann dort zu beginnen und die geschäftskritischsten Anwendungen so schnell wie möglich wieder zum Laufen zu bringen.
Anders als viele gemeinhin annehmen dürften, geht es bei der Wiederherstellung nach einer Ransomware-Attacke nicht ausschließlich um Geschwindigkeit. Es ist ebenso wichtig, dass die Wiederherstellung korrekt durchgeführt wird. Zudem müssen potenzielle Einfallstore geschlossen und Schwachstellen beseitigt werden, um eine erneute Infektion zu verhindern. Was passiert, wenn die Sorgfalt bei der Wiederherstellung vernachlässigt wird, liefert ein Blogeintrag des britischen nationalen Cyber-Abwehrzentrums NCSC4. Darin wird der Fall eines Unternehmens skizziert, das rund 6,5 Millionen Pfund Lösegeld für seine Daten gezahlt, allerdings bei der Wiederherstellung versäumt hatte, die betreffende Schwachstelle zu beheben. In der Folge wiederholten die Hacker bereits weniger als zwei Wochen später mit der gleichen Taktik ihren Angriff. Unternehmen sollten aus diesem und anderen Vorfällen Schlüsse unbedingt ziehen und nicht die gleichen Fehler begehen.
Gute Planung vorausgesetzt
Letztlich können aber auch die am besten vorbereiteten Organisationen die Gefahren nicht gänzlich eliminieren, die von Ransomware ausgehen. Aber die Verantwortlichen können die Risiken für ihre jeweilige Organisation begrenzen. Jedes Unternehmen sollte dafür über eine umfassende Ransomware-Strategie verfügen, die nicht nur die Identifizierung von Bedrohungen vorsieht, sondern auch regelmäßige Sicherungen sowie den Schutz von Back-up-Daten gewährleistet. Ein besonderes Augenmerk sollte dabei der Wiederherstellung von Active Directory zuteilwerden sowie dessen Auswirkungen auf andere wichtige Unternehmensfunktionen wie das Netzwerk berücksichtigen.
Darüber sollten Unternehmen sicherstellen, dass die Notfallpläne allen Beteiligten zugänglich sind und dass darin klare Rollen und Verantwortlichkeiten definiert wurden. Nur mit einem gut durchdachten Plan, dessen Umsetzung regelmäßig trainiert wird, sowie nachhaltigen Lösungen und zuvor definierten Rollen können Unternehmen in Sachen Ransomware den Angreifern ein Schnippchen schlagen.
1 https://www.gartner.com/en/newsroom/press-releases/2021-10-21-gartner-says-threat-of-new-ransomware-models-is-the-top-emerging-risk-facing-organizations
2 https://ransomletter.github.io/
3 https://www.proofpoint.com/de/resources/threat-reports/state-of-phish
4 https://www.ncsc.gov.uk/blog-post/rise-of-ransomware
Lesen Sie mehr zum Thema
