Ransomware
Cyber-Erpressung Einhalt gebieten
Datendiebstahl ist der Worst Case für eine Organisation. Dabei müssen Cyberkriminelle nicht einmal Unternehmensdaten stehlen, um großen Schaden anzurichten. Welche Schutzmaßnahmen Unternehmen ergreifen können, um es erst gar nicht so weit kommen zu lassen.
Das Geschäft mit Ransomware ist für Cyberkriminelle äußerst lukrativ: Das durchschnittliche Lösegeld liegt knapp über einer Million Dollar und einer Studie von Crowdstrike zufolge geben mehr als ein Viertel der Opfer einer Ransomware-Attacke den Forderungen der Angreifer nach. Allerdings haben die Opfer noch weitaus mehr zu verlieren: Es geht um Umsatzverluste, Systemausfallzeiten und Reputationsschäden. Im Zuge von Digitalisierung und Remote Work stoßen klassische Sicherheitslösungen oft an ihre Grenzen. Der Einsatz präventiver Systeme, welche in der Lage sind, mögliche Angriffspunkte Cyberkrimineller zu identifizieren und gleichzeitig dabei zu unterstützen, mögliche Lücken schon im Vorfeld zu beheben, wird daher immer wichtiger. Das sind die zentralen Herausforderungen:
- Schwachstellen und Fehlerkonfigurationen bei Remote-Desktop-Protokollen, Bring-your-own-PC und virtuelle private Netzwerke zählen zu den beliebtesten Einfallstoren für Hacker. Der Anstieg von Remote-Arbeitsplätzen hat diese Entwicklung nochmals befeuert. Hinzu kommt, dass vielerorts Endgeräte über veraltete Software verfügen oder Browser und Betriebssysteme nicht länger gepatcht werden.
- Ransomware-Angriffe gehen längst über leicht zu enttarnende Spam-Mails hinaus. Sie werden heute zunehmend von den Hackern selbst lanciert, die immer raffiniertere und gezieltere Techniken einsetzen. Die Kosten für die Wiederherstellung der Daten und die Ausfallzeiten können die Höhe des geforderten Lösegeldes derweil um das Zehnfache übersteigen.
- Änderungen im Netzwerk bieten Ansatzpunkte für Angreifer: Änderungen in der Netzwerkumgebung können einen Dominoeffekt auslösen, der kritische Unternehmensressourcen oder gar das gesamte Firmennetz dem Risiko eines Ransomware-Angriffs aussetzt.
- Sobald ein Angreifer ins Netzwerk eingedrungen ist, kann er nahezu ungehindert navigieren, wertvolle Daten identifizieren und die eingesetzten Sicherheitstools testen. Nicht selten werden diesem Zuge Endpoint-Protection-Tools deaktiviert und Back-ups gelöscht.
In drei Schritten den Worst Case vermeiden
Ein effektiver Schutz vor solchen Attacken sollte über die Endpoint Protection hinausgehen und alle drei Phasen eines Ransomware-Angriffs untersuchen und vereiteln können:
1. Die Analyse
Unternehmen sollten sich auf einen Ransomware-Angriff vorbereiten, indem sie eine Strategie zur Vorbereitung auf einen Vorfall entwickeln, die Back-up, Asset-Management und die Einschränkung von Nutzerrechten umfasst. Hier sollte bereits geklärt werden, ob die Verantwortlichen im Fall der Fälle dazu bereit wären, sich auf eine Lösegeldzahlung einzulassen. Strafverfolgungsbehörden empfehlen, nicht auf die Forderungen der Cyberkriminellen einzugehen – zumal es oftmals der Fall ist, dass verschlüsselte Daten selbst nach einer Lösegeldzahlung nicht wiederherstellbar sind.
Eine gute Back-up-Strategie ist die wichtigste Verteidigungslinie gegen Ransomware. Hierbei ist es wichtig, kontinuierlich den Status und die Integrität der Back-ups sicherzustellen. Darüber hinaus sollten Ransomware-Attacken regelmäßig simuliert werden, um eventuelle Schwachstellen möglichst früh aufzudecken. Ebenso wichtig ist das Sicherheitsbewusstsein der Anwender. So sollten sie über die Arten von Angriffen, die beobachtet werden, umgehend informiert werden – beispielsweise über Security-Newsletter. Eine weitere Maßnahme stellen einschlägige Schulungen dar, sodass die Mitarbeiter Social Engineering entlarven und bösartige E-Mails erkennen können. Mit Hilfe von SOAR (Security Orchestration Automation and Response)-Tools lässt sich die Reaktion auf E-Mail-Angriffe automatisieren und verbessern.
Folgende Aspekte sollten bei der Verteidigungsstrategie gegen Ransomware nicht in Vergessenheit geraten:
- Aufbau eines zuverlässigen Asset-Management-Prozesses, um zu identifizieren, was geschützt werden muss und wer dafür verantwortlich ist. Legacy-Systeme sollten hierbei besondere Beachtung finden.
- Implementierung eines risikobasierten Schwachstellen-Management-Prozesses, der Threat Intelligence (TI) einschließt. Ransomware stützt sich oftmals auf ungepatchte Systeme, um laterale Bewegungen zu ermöglichen.
- Entfernung der lokalen administrativen Berechtigungen der Nutzer auf den Endgeräten und Beschränkung des Zugriffs auf die Geschäftsanwendungen, die die Mitarbeiter wirklich nutzen, um die Kompromittierung von Konten bestmöglich zu verhindern.
- Implementierung von Compliance-Scans für falsch konfigurierte und nicht konforme Systeme sowie Tools zur Simulation von Sicherheitsverletzungen.
- Implementierung einer starken Authentifizierung für privilegierte Nutzer sowie für Dienstkonten.
2. Umsetzung der Analysemaßnahmen
Es ist unvermeidlich, dass Ransomware die installierten Schutzmechanismen früher oder später einmal überwindet. In diesen Fällen kommt es darauf an, wie schnell Unternehmen in der Lage sind, eine Attacke zu erkennen. So sammeln beispielsweise Endpoint Detection and Response (EDR)-Tools Indikatoren für eine Kompromittierung. Diese reichen zwar nicht aus, um einen Angriff im Detail zu identifizieren und zu verhindern. Dennoch können sie aufzeigen, dass "möglicherweise" ein Angriff im Gange ist. Während dieser Erkennungsphase kommen auch anderen Tools ins Spiel: Intrusion Prevention-Systeme (IPS) sowie NDR- und Network Traffic Analysis (NTA)-Lösungen können bei der Früherkennung helfen. Ebenso effektiv sind Täuschungsmanöver, wie beispielsweise das Einrichten gefälschter Admin-Konten, die zwar intern nicht genutzt werden, jedoch im Falle einer Attacke einen Alarm senden. Zusätzlich zu den Indicators of Compromise (IOCs) ist es auch wichtig, zu beobachten, was nicht passiert. Werden beispielsweise Back-up-Zeitpläne geändert oder gestoppt, steigen Back-up-Volumen unerwartet an oder werden Sicherheitstools auf Rechnern deaktiviert, könnte dies darauf hinweisen, dass Hacker am Werk sind.
Wurde solch ein Angriff erkannt, gilt es, schnellstmöglich zu reagieren, um die Auswirkungen möglichst gering zu halten. Die taktischen Wiederherstellungsschritte variieren je nach Unternehmen und dem Ausmaß eines Angriffs, umfassen in der Regel aber folgende Schritte:
- Wiederherstellung von Daten aus Back-ups, einschließlich einer Überprüfung der Integrität dieser Back-ups und der Feststellung, welche Daten verlorengegangen sind.
- Nach einer Kompromittierung sollten Enpoint Protection-Plattformen (EPPs), EDR- sowie Mobile Threat Defense (MTD)-Lösungen eingesetzt werden, um die Bedrohung zu beseitigen und alle Änderungen rückgängig zu machen. Denn mit der Wiederherstellung von Daten alleine ist es nicht getan: So können auch infizierte Rechner gesperrt sein.
- Validierung der Integrität eines Gerätes, bevor es wieder Zugang zum Netzwerk erhält.
- Aktualisieren und Entfernen kompromittierter Anmeldedaten
- Durchführung einer gründlichen Ursachenanalyse
3. Entwicklung zielgerichteter Reaktionsmaßnahmen für die Phase nach einem erfolgreichen Angriff
Um ausreichend auf Ransomware-Angriffe vorbereitet zu sein, müssen die IT-Verantwortlichen nicht nur die geeignete Security-Strategie in petto haben. Auch Kommunikationspläne für Mitarbeiter und Partner sind entscheidend. Denn sie geben unter anderem Auskunft darüber, wie man sich auf Geschäftsunterbrechungen durch aggressive Cyberangriffe vorbereiten kann. Auch in der Phase der Wiederherstellung von Daten und Systemen ist es wichtig, dass die Verantwortlichen die Probleme umgehend und transparent kommunizieren. Entsprechende Tools zur Simulation von Cyberkrisen können darüber hinaus dabei helfen, Missstände in Verfahren, Rollenaufteilungen und Verantwortlichkeiten zu identifizieren.
Prävention = erkennen und entsprechend handeln
Prävention bedeutet nicht nur, die Verhaltensweisen der Angreifer zu erkennen und ihre Aktionen zu verhindern. Es geht auch darum, was im Vorfeld unternommen werden kann. IT-Hygiene, Schwachstellen, Netzwerkkonfigurationen und das Nutzerverhalten entscheiden darüber, wie viel Spielraum Cyberkriminelle haben. Liegt die Aufmerksamkeit lediglich auf dem Endpunkt-Management und auf Erkennungskontrollen, haben Angreifer leichtes Spiel. Simulationen aller drei Phasen eines Ransomware-Angriffes helfen Unternehmen dabei, sich vor Attacken Cyberkrimineller zu schützen und im Schadensfall schnell und angemessen zu reagieren.
Tilman Epha, Sales Director DACH bei XM Cyber
Das könnte Sie auch interessieren
Cybersicherheit
Risiken in 5G-Netzwerken erkennen und minimieren
Zero Trust Networking
Vertraue nie, verifiziere immer
Neue Ransomware-Taktik
Hacker gehen jetzt auch Kunden ihrer Opfer an
Palo Alto Networks Ransomware-Report
Erpresser haben Deutschland im Visier
Malware-Bekämpfung
Mit verbesserter Sicherheitshygiene gegen…
Verwandte Artikel
connect professional
Digitale Identitäten
„Deutschland ist ein eID-Entwicklungsland“
Digitalpioniere
Von Chancen und Herausforderungen
