Gastkommentar von Sophos
Ransomware-Gefahr zwingt zum Handeln
Fortsetzung des Artikels von Teil 1
Fehlender Überblick als Risikoquelle
3. Sichtbarkeit von Netzwerkereignissen: Oft stellt das Rapid Response Team fest, dass die Opfer einen Ransomware-Angriff erst dann wahrnehmen, wenn der Verschlüsselungstrojaner tatsächlich startet und die Daten verschlüsselt. Allerdings sind die Angreifer meist lange vor der Aktivierung der Ransomware im Netz unterwegs. Die Vorbereitungen der Angreifer können Tage oder sogar Monate dauern, um einen größtmöglichen Schaden anzurichten oder Profit zu erpressen.
Sophos geht in seinem Active Adversary Playbook 2021 von einer durchschnittlichen Verweildauer der Angreifer im Netzwerk des Opfers von elf Tagen aus. Auch Colonial gehörte zu den Unternehmen, die nicht die nötigen Einblicke hatten, um die Angreifer frühzeitig zu identifizieren. Daher sind EDR-Tools (Endpoint Detection and Response) von hohem Wert – nicht nur, um Angriffe zu verhindern, sondern auch, um das Unternehmen in die Lage zu versetzen, nach latenten Bedrohungen zu suchen.
4. Notfallplanung: Großunternehmen und Betreiber kritischer Infrastrukturen haben meist gute Notfallpläne für Ereignisse in der Produktion, Defekte, Unfälle und andere klassische Ereignisse. Allerdings scheinen Cybergefahren nach wie vor selten in derartigen Plänen verankert zu sein – so auch bei Colonial. Notfallpläne sind überlebenswichtig. Organisationen jeder Größe sollten eine Bewertung ihrer Security durchführen und die Reaktion auf potenzielle Vorfälle planen. Einige der Bewertungen lassen sich intern, andere mit externen Spezialisten durchführen.
Im Anschluss gilt es, Pläne auszuarbeiten, um die schwächsten Bereiche besser zu sichern, einen Prozess für den Fall zu haben, dass etwas schief geht, und Abwehrmaßnahmen anhand des Verbesserungs- und Reaktionsplans zu testen. Insbesondere Unternehmen und Organisationen in Kritis-Bereichen sollten auch die Informationen von externen Quellen einbeziehen, die Bedrohungsinformationen sammeln, analysieren und verbreiten und Tools bereitstellen, um die Resilienz zu verbessern.
5. Bezahlen oder nicht bezahlen: Immer wieder sind Unternehmen geneigt, aus der Not heraus hohe Lösegeldsummen an die Angreifer zu bezahlen. Es gibt viele Beispiele, bei denen sich Unternehmen gezwungen sahen, auf die Forderungen einzugehen, da ihre Backups beschädigt waren oder fehlten. Andere wollen das Netzwerk so schnell wie möglich wieder einsatzfähig haben, wieder andere entscheiden sich für die Zahlung, weil sie billiger als eine Wiederherstellung scheint. Ein weiterer verbreiteter Grund ist es zu verhindern, dass die Angreifer gestohlene Daten verkaufen oder öffentlich zugänglich machen. Auch Colonial nannte einen dieser Gründe als Rechtfertigung für die Bezahlung.
Doch eine Lösegeldzahlung ist nicht nur aus Rechtssicht kritisch zu bewerten. Man sollte sich der Tatsache bewusst sein, dass die Zahlung eines Lösegelds keinerlei Garantie darstellt. Laut Sophos-Erkenntnissen konnten Unternehmen nach der Bezahlung von Lösegeld im Durchschnitt nur 65 Prozent ihrer Daten wiederherstellen. Nur acht Prozent der Unternehmen waren in der Lage, alle ihre Daten wiederherzustellen, 29 Prozent konnten weniger als die Hälfte durch die Bezahlung retten. Zum Lösegeld sind die hohen Folgeschäden hinzuzurechnen, um den Schaden durch den Angriff und die Betriebsunterbrechung zu beheben und sicherzustellen, dass so etwas nicht noch einmal passiert.
Fazit: Die zunehmende kriminelle Intensität, Kreativität und Intelligenz der Angreifer werden sich nicht eindämmen lassen, die Entwicklungen der letzten Jahre zeigen eher das Gegenteil. Allerdings existieren viele und oft nicht genutzte Möglichkeiten, um das Gefahrenpotenzial zu senken. Es sollte nicht erst ein Angriff nötig sein, damit ein Unternehmen oder eine Organisation seine Cybersecurity stärkt. Man sollte sich jetzt die Zeit und die Ressourcen nehmen, die Sicherheitslage zu bewerten, um im Anschluss sofort und mit höchster Kompetenz – sowohl intern als auch mit externen Spezialisten – eine bessere und frühzeitige Abwehr zu etablieren, wo immer es möglich ist.
John Shier ist Senior Security Advisor bei Sophos.
- Ransomware-Gefahr zwingt zum Handeln
- Fehlender Überblick als Risikoquelle
Lesen Sie mehr zum Thema
