Folgen eines Ransomware-Angriffs bewältigen
Vierfach gestraft
Fortsetzung des Artikels von Teil 1
Cyberversicherungen als Ausweg?
Um die wirtschaftliche Existenz abzusichern, schließen immer mehr Unternehmen eine Cyberversicherung ab. Wie bei jeder Versicherung gilt auch hier: Solange man sie nicht braucht, liegt sie einem auf der Tasche; tritt der Schadensfall ein, ist man froh, sie zu haben. Das Leistungsangebot von Versicherern ist groß und die Leistungen wollen mit Bedacht gewählt sein. Ein Versicherungsschutz ist beispielsweise möglich für forensische Analysen, Lösegeldforderungen und Verhandlung der Lösegeldsumme, Kosten zur Wiedererlangung des Zugriffs auf IT-Systeme sowie zur Wiederherstellung von Daten, zudem für Rechtskosten, Kosten für Öffentlichkeitsmaßnahmen oder Kosten für die Benachrichtigung von Kunden und/oder Behörden.
Allerdings sichern sich Unternehmen oft nicht gegen die größte Gefahr ab – eben gegen Ransomware. Beispielsweise hat die Sophos-Umfrage gezeigt: 34 Prozent der Policen der befragten Unternehmen beinhalten Ausnahmen, neun Prozent decken den Fall einer Erpressung mit Ransomware überhaupt nicht ab. Zudem ist es wichtig, die Bedingungen für eine Schadensregulierung im Auge zu behalten, denn erfüllt das Unternehmen die Voraussetzungen – auch technischer Art – nicht, kann die Versicherung eine Schadensregulierung zumindest teilweise verweigern.
Was kann ein Unternehmen tun, um der mehrfachen Bestrafung im Falle eines Ransomware-Angriffs vorzubeugen? Empfehlenswert sind jene Vorkehrungen, die nicht allein aus der Theorie entstehen, sondern auf Basis eines echten Vorfalls entstanden sind. Eine dieser Hilfestellungen ist beispielsweise die offizielle Mitteilung der US-Behörde PHMSA (Pipeline and Hazardous Materials Safety Administration), die aus Erfahrungswerten vom Ransomware-Angriff auf die Colonial Pipeline schöpft. In diesem konkreten Fall lagen die Probleme in internen Bereichen des Unternehmens, darunter Überwachungssteuerung und Datenerfassung, industrielle Steuerungssysteme und Betriebstechnik. ICS (Industrial Control Systems) und OT (Operational Technology) waren mangelhaft.
Viele kleinere Unternehmen haben höchstwahrscheinlich eine Art Betriebstechnik-Netzwerk im Einsatz, das aus IoT-Geräten wie Sicherheitskameras, Türschlössern oder Bewegungssensoren besteht. Sie betreiben die IoT-Geräte meist im gleichen Netzwerk, in dem sich auch die IT befindet. Die Sicherheitsmaßnahmen beider Gerätetypen sind also miteinander verwoben und damit hoher Gefahr ausgesetzt.
Der PHMSA-Bericht führt fünf klassische Probleme auf, die unter den Sammelbegriff Kontrollraum-Management fallen, das OT-Äquivalent zum NOC (Network Operations Center) einer IT-Abteilung – oder zum IT-Team in kleineren Unternehmen:
- keine ordnungsgemäße Aufzeichnung über bestandene Betriebstests,
- eine fehlende Testung und Überprüfung der Funktionsfähigkeit von Alarm- und Anomaliedetektoren,
- kein Notfallplan für die manuelle Wiederherstellung und den Betrieb im Fall eines Systemausfalls,
- keine Tests der Backup-Prozesse sowie
- mangelhaftes Reporting fehlender oder vorübergehend unterdrückter Sicherheitskontrollen.
Jedes der genannten Versäumnisse kann versehentlich passieren und lässt damit vermuten, dass das IT- oder Security-Team in einer oder mehreren der genannten Kategorien zumindest teilweise die Übersicht verloren hat. Für viele IT-Teams oder gerade auch für kleinere Betriebe, die IT-Aufgaben „nebenbei“ erledigen, ist ein spezialisiertes SecOps-Team (Security Operations) ein Luxus und schlichtweg nicht bezahlbar, sodass die Strategie dort oft einem „Installieren und dann Vergessen“-Prinzip gleichkommt. Wer sich in dieser Situation befindet, ist gut beraten, sich von externen MTR-Fachleuten (Managed Threat Response) unterstützen zu lassen. Mit MTR-Services steht einem Unternehmen ein Expertenteam zur Seite, das nicht nur über Angriffe und verdächtiges Verhalten im Netzwerk informiert, sondern weitestgehend eigenständig gezielte Maßnahmen ergreift, um selbst hochkomplexe Bedrohungen unschädlich zu machen.
Cybersecurity ist ein Prozess, der kontinuierliche Aufmerksamkeit und Zuwendung erfordert. Ein erfolgreicher Angriff hinterlässt immer einen Schaden. Die Stärke und die Nachhaltigkeit des Einschlags hängt allein von der Reaktionsschnelligkeit, Vorsorge und dem angelegten Sicherheitsprozess ab.
Michael Veit ist Security-Spezialist bei Sophos.
- Vierfach gestraft
- Cyberversicherungen als Ausweg?
Lesen Sie mehr zum Thema
