Steigende Gefahr durch Ransomware
Unablehnbare Angebote
Fortsetzung des Artikels von Teil 2
Gegenmaßnahmen
Unternehmen und Behörden stehen der Digitalmafia aber nicht schutzlos gegenüber. Ein Lichtblick: Insbesondere der Trend, lukrative Ransomware-Ziele erst auszuspähen, verschafft den betroffenen Organisationen ein Zeitfenster, um dem üblen Treiben auf die Schliche zu kommen – das Vorhandensein geeigneter Erkennungswerkzeuge vorausgesetzt. Sicherheitsfachleute raten hier zu einer ganzen Reihe von Überwachungs- und Datensicherheitslösungen. Diese sind zum Teil mit hohen Anschaffungskosten verbunden und noch dazu kostenintensiv im Betrieb. Doch den Referenzwert in puncto „Kosten für die Informationssicherheit“ setzen heutzutage eben die Schäden, die durch Lösegeldforderungen und/oder die unerwünschte Veröffentlichung von Interna entstehen können – Stichworte: Produktionsausfall, Wiederherstellungsaufwand, Imageschaden, Verstoß gegen die DSGVO.
Zu den allseits empfohlenen Gegenmaßnahmen zählt natürlich vor allem ein solides Backup-Konzept, möglichst nach dem bewährten 3-2-1-Prinzip (drei Backups auf zwei Medientypen, eines davon an externer Stelle – mit Blick auf Ransomware bedeutet „extern“ vor allem: offline oder „air-gapped“, also nicht via Netzwerk erreichbar). Idealerweise ist ein revisionssicheres System (Write Once Ready Many, kurz WORM) Bestandteil dieser Backup-Speicherarchitektur. Denn so hat man notfalls einen unveränderlichen Datenbestand, aus dem sich bösartig verschlüsselte Daten rekonstruieren lassen, selbst wenn andere Backups kompromittiert sein sollten. Ein ebenfalls naheliegendes Hilfsmittel ist das laufende Monitoring von Datenzugriffen sowie insbesondere von Datenbewegungen (Data Leakage Prevention, DLP). Wichtig: Dies sollte nicht nur für lokale Systeme gegeben sein, sondern auch für die Datenbestände in der Cloud. „Moderne Lösungen analysieren die Veränderungswerte einzelner Backups, um anhand von Anomalien mögliche Ransomware-Angriffe zu erkennen“, erklärt Pascal Brunner von Cohesity. „Dies erfolgt durch Abgleich größerer Datenänderungen mit normalen Mustern sowie mittels Machine-Learning-Algorithmen.“
Ergänzend raten Experten zur Mehr-Faktor-Authentifizierung (MFA) für Mitarbeiter. Denn ein zweiter Faktor jenseits von Benutzername und Passwort erhöht die Einstiegshürde für gezielte Angriffe sowie für das anhaltende Ausspähen des Netzwerks. Idealerweise sind sensible Konten, vorrangig Administratorenkonten, mittels PAM (Privileged-Account-Management) nochmals separat geschützt. PAM-Lösungen können zum Beispiel für sensible Accounts einen Passwortwechsel alle paar Stunden erzwingen, zudem protokollieren sie missglückte Login-Versuche und können damit helfen, Angriffe zügiger zu entdecken.
Fachleute – insbesondere von einschlägiger Anbieterseite – empfehlen des Weiteren den Einsatz von EPP und EDR (Endpoint Protection Platform, Endpoint Detection and Response). Derlei Lösungen überwachen das Endpunktverhalten, in aller Regel ebenfalls mittels Machine Learning (ML). Kontinuierliche ML-gestützte Analysen und Abgleiche mit historischen Verhaltensmustern bringen verdächtige Veränderungen des Endpunkt- oder auch Endanwenderverhaltens ans Tageslicht. Flächendeckendes ML-gestütztes EDR erschwert es Angreifern somit, sich unentdeckt im Netz zu tummeln.
Ebenfalls oft genannte Maßnahmen sind Security-Awareness-Schulungen: Anwender sollten schließlich in der Lage sein, verdächtige E-Mails zu erkennen. An sich korrekt, bürdet man Endanwendern damit eine beträchtliche Last auf, fällt es Laien doch immer schwerer, Phishing zu identifizieren – und geschickt gemachtes Spear-Phishing erst recht. Vor allem gilt es laut Fachleuten deshalb, die Mitarbeiter zu motivieren, sich nach einem unvorsichtigen Klick nicht totzustellen, sondern sofort das Security-Team zu informieren – denn hier zählt dann jede Minute.
Last but not least raten Experten zu Experten. Klingt doof, ist es aber nicht: Idealerweise bereiten sich Organisationen mit Unterstützung durch erfahrene Incident-Response-Anbieter auf Notfälle vor und vereinbaren eine Pauschale, die ein unmittelbares Eingreifen im Ernstfall abdeckt. „Unternehmen müssen verstehen, wie sie die Lücke zwischen Entdeckung und Wiederherstellung minimieren können“, rät Jens Monrad von FireEye. „Die durchschnittliche Anzahl von Tagen zwischen der ersten Kompromittierung und dem Einsatz von Ransomware lag im Jahr 2020 bei 3,5 Tagen. Den Unternehmen bleibt also nur sehr wenig Zeit zu handeln, bevor sie in einem potenziellen Erpressungsszenario landen.“ Und in einem solchen Fall muss man natürlich wissen, was zu tun ist. Eine extrem wichtige Art von Experten können dabei übrigens geschickte Verhandlungsführer mit Ransomware-Erfahrung sein. Denn obwohl praktisch die gesamte Security-Branche eindringlich vor Zahlungen warnt, wird manch ein Industrieunternehmen, dessen Bänder stillstehen, um eine Lösegeldzahlung wohl nicht herumkommen – und die Höhe des Lösegelds ist in solchen Fällen oft Verhandlungssache. Vom Analystenhaus Forrester gibt es dafür sogar einen Guide. Gegebenenfalls hilft auch eine Ransomware-Versicherung – sie schützt allerdings nicht vor Imageverlust und Doxxing.
Fortsetzung folgt
Die Security-Anbieter sind sich einig: Ransomware ist eine Gefahr, die in den kommenden Jahren weiter eskalieren wird. Die globale Gefahr erfordert internationale Kooperation – diese gibt es, und sie konnte neulich sogar einen Erfolg verbuchen: Mehreren Strafverfolgungsbehörden, darunter dem BKA, gelang es jüngst in einer spektakulären Aktion, das Malware-Framework Emotet – laut BSI die Malware-Gefahr Nr. 1 – zu kapern und unschädlich zu machen. Doch man kann getrost davon ausgehen, dass das organisierte Cyberverbrechen deshalb schon längst – wie man bei Corleones sagen würde – „auf die Matratzen gegangen ist“, sprich: im Geheimen eifrig am Gegenschlag arbeitet. Denn das ist das Tückische an Mafia- wie auch an Malware-Strukturen: Nichts und niemand ist unersetzbar. Wenn Vito Corleone stirbt, dann übernimmt eben sein Sohn Michael das Ruder. Wir stehen noch längst nicht am Ende des Ransomware-Epos, sondern bestenfalls am Schluss von „Der digitale Pate, Teil 1“.
- Unablehnbare Angebote
- Arbeitsteilung und Kartellbildung
- Gegenmaßnahmen
Lesen Sie mehr zum Thema
