Wie Unternehmen sich schützen können
Nicht nur auf Ransomware schauen
Fortsetzung des Artikels von Teil 1
Blick über den Tellerrand
Selbstverständlich ist die Besorgnis der Führungskräfte angesichts der Bedrohung durch Ransomware absolut gerechtfertigt. Sie müssen dabei jedoch auch über den Tellerrand blicken. Ein Versagen in diesem Bereich ist ein Zeichen für eine fehlerhafte Ausrichtung der Geschäftsführung im Bereich IT-Sicherheit, eine Problematik, die schon seit Längerem bei CISOs besteht. Vorstandsmitglieder tendieren dazu, sich nur auf die neusten Bedrohungen aus den Presseschlagzeilen zu fokussieren und dabei nicht tiefer in die Materie einzusteigen, um ein wirkliches Verständnis darüber zu erlangen, wie ein ganzheitliches IT-Risiko-Management aussehen müsste.
Als positive Entwicklung der letzten Monate tut sich die Debatte über die Rolle der Cyberversicherung bei der Eindämmung von IT-Risiken hervor. Axa zum Beispiel kündigte an, seine französischen Kunden nicht länger für Lösegeldzahlungen an Cyberkriminelle zu entschädigen. Im Vereinigten Königreich hat ein namhafter Thinktank den Vorschlag eingebracht, dass Regierungen solche Lösegeldzahlungen untersagen sollten. In den USA hat die Behörde OFAC (Office of Foreign Assets Control) alle Unternehmen, die einem Angriff zum Opfer fallen, dazu aufgerufen, sich zu melden, bevor sie eine Zahlung vornehmen. Dies soll verhindern, dass Unternehmen gegen Sanktionen verstoßen, die für die USA unter umfassende Embargos gegen bestimmte Länder oder Regionen fallen, darunter Kuba, die Krim in der Ukraine, Iran, Nordkorea und Syrien.
Zu guter Letzt könnten auch die steigenden Prämien dazu führen, dass bei Führungspersonen ein Umdenken in Bezug auf Cyberversicherungen eintritt. Diese sind schon längst kein Freifahrtschein mehr. Da die Versicherer in der Tat immer mehr Vorschriften für das Umfeld der Versicherungsnehmer aufstellen, könnte die Wirtschaft hier sogar dabei helfen, die Grundsicherheit in Unternehmen zu verbessern.
Natürlich sind Cyberhygiene und bewährte Praktiken absolut grundlegend. Dies gilt jedoch genauso für die Wahl des richtigen Technologieansatzes. Wenn es keine Patentlösung gibt, stellt sich die Frage, wofür CISOs ihre Budgets einsetzen sollten. Denn momentan scheint es eher so, als ob alle mit einer Augenbinde und einem auf dem Rücken gebundenen Arm auf die Piñata namens Ransomware einschlagen und dabei kläglich versagen. Sie haben keine Ahnung davon, wie wahrscheinlich es ist, dass Bösewichte in ihre Netzwerke gelangen oder zu welch anderen Methoden diese greifen würden, wenn eine spezifische Angriffsform blockiert ist.
Die Lösung liegt in einem mehrschichtigen Schutz an allen Endpunkten, Servern, Cloud-Plattformen und Websites sowie in allen E-Mail-Gateways und Netzwerken. Das Geheimrezept bei all dem müssen jedoch die Bedrohungsinformationen sein. Damit könnten Unternehmen erkennen, wo auf interner Ebene ihre größten Schwachstellen mit dem höchsten Angriffsrisiko liegen. Gleichzeitig lassen sich damit aber auch weiter gefasste Angriffsaktivitäten sichtbar machen, die außerhalb der Unternehmensebene erfolgen, beispielsweise Chat-Foren im Darknet oder die Registrierung neuer Phishing-Seiten.
Durch offene APIs und Automatisierung können Unternehmen diese Informationen in ihre Sicherheitseinrichtungen integrieren und so die Security-Fachleute entlasten, die sich dann wichtigeren Aufgaben widmen sowie Erfassung und Reaktion beschleunigen können. Die IP-Adresse einer neuen Phishing-Seite könnte man so innerhalb von Minuten blockieren, noch bevor die dahinterstehende Gruppierung die Chance hatte, den Mitarbeitern betrügerische E-Mails zu zuschicken.
Man könnte außerdem Informationen über neue Hinweise auf Ransomware-Angriffe (Indicators of Compromise, IoCs) in Intrusion-Prevention-Systeme einspeisen und so die Widerstandsfähigkeit eines Unternehmens erhöhen, noch bevor ein Angriff stattfindet. Die richtigen Bedrohungsinformationen können Red Teams außerdem dabei unterstützen, Schwachstellen festzustellen und proaktiv stärkere Abwehrmechanismen aufzubauen.
Ransomware ist eine aktive Bedrohung und wird dies in naher Zukunft auch bleiben. So lange Unternehmen weiterhin das Lösegeld zahlen, die aktuellen Vorgehensweisen der Bedrohungsakteure funktionieren und damit zusammenhängende Gruppierungen Schutz bei feindlichen Staaten erhalten, bleibt diese Gefahr akut. Doch mit einem bewussteren Einsatz der Bedrohungsinformationen können Unternehmen die Kosten für die Angreifer erhöhen, sodass diese gezwungen sind, umzudenken oder ihre Angriffe auf leichtere Ziele auszurichten. In der Welt der Schadensminderung lässt sich dies schon als Gewinn verbuchen.
Jason Steer ist leitender Sicherheitsstratege bei Recorded Future.
- Nicht nur auf Ransomware schauen
- Blick über den Tellerrand
Lesen Sie mehr zum Thema
