Datendiebstahl ist der Worst Case für eine Organisation. Dabei müssen Cyberkriminelle nicht einmal Unternehmensdaten stehlen, um großen Schaden anzurichten. Welche Schutzmaßnahmen Unternehmen ergreifen können, um es erst gar nicht so weit kommen zu lassen.
Das Geschäft mit Ransomware ist für Cyberkriminelle äußerst lukrativ: Das durchschnittliche Lösegeld liegt knapp über einer Million Dollar und einer Studie von Crowdstrike zufolge geben mehr als ein Viertel der Opfer einer Ransomware-Attacke den Forderungen der Angreifer nach. Allerdings haben die Opfer noch weitaus mehr zu verlieren: Es geht um Umsatzverluste, Systemausfallzeiten und Reputationsschäden. Im Zuge von Digitalisierung und Remote Work stoßen klassische Sicherheitslösungen oft an ihre Grenzen. Der Einsatz präventiver Systeme, welche in der Lage sind, mögliche Angriffspunkte Cyberkrimineller zu identifizieren und gleichzeitig dabei zu unterstützen, mögliche Lücken schon im Vorfeld zu beheben, wird daher immer wichtiger. Das sind die zentralen Herausforderungen:
Ein effektiver Schutz vor solchen Attacken sollte über die Endpoint Protection hinausgehen und alle drei Phasen eines Ransomware-Angriffs untersuchen und vereiteln können:
1. Die Analyse
Unternehmen sollten sich auf einen Ransomware-Angriff vorbereiten, indem sie eine Strategie zur Vorbereitung auf einen Vorfall entwickeln, die Back-up, Asset-Management und die Einschränkung von Nutzerrechten umfasst. Hier sollte bereits geklärt werden, ob die Verantwortlichen im Fall der Fälle dazu bereit wären, sich auf eine Lösegeldzahlung einzulassen. Strafverfolgungsbehörden empfehlen, nicht auf die Forderungen der Cyberkriminellen einzugehen – zumal es oftmals der Fall ist, dass verschlüsselte Daten selbst nach einer Lösegeldzahlung nicht wiederherstellbar sind.
Eine gute Back-up-Strategie ist die wichtigste Verteidigungslinie gegen Ransomware. Hierbei ist es wichtig, kontinuierlich den Status und die Integrität der Back-ups sicherzustellen. Darüber hinaus sollten Ransomware-Attacken regelmäßig simuliert werden, um eventuelle Schwachstellen möglichst früh aufzudecken. Ebenso wichtig ist das Sicherheitsbewusstsein der Anwender. So sollten sie über die Arten von Angriffen, die beobachtet werden, umgehend informiert werden – beispielsweise über Security-Newsletter. Eine weitere Maßnahme stellen einschlägige Schulungen dar, sodass die Mitarbeiter Social Engineering entlarven und bösartige E-Mails erkennen können. Mit Hilfe von SOAR (Security Orchestration Automation and Response)-Tools lässt sich die Reaktion auf E-Mail-Angriffe automatisieren und verbessern.
Folgende Aspekte sollten bei der Verteidigungsstrategie gegen Ransomware nicht in Vergessenheit geraten:
2. Umsetzung der Analysemaßnahmen
Es ist unvermeidlich, dass Ransomware die installierten Schutzmechanismen früher oder später einmal überwindet. In diesen Fällen kommt es darauf an, wie schnell Unternehmen in der Lage sind, eine Attacke zu erkennen. So sammeln beispielsweise Endpoint Detection and Response (EDR)-Tools Indikatoren für eine Kompromittierung. Diese reichen zwar nicht aus, um einen Angriff im Detail zu identifizieren und zu verhindern. Dennoch können sie aufzeigen, dass "möglicherweise" ein Angriff im Gange ist. Während dieser Erkennungsphase kommen auch anderen Tools ins Spiel: Intrusion Prevention-Systeme (IPS) sowie NDR- und Network Traffic Analysis (NTA)-Lösungen können bei der Früherkennung helfen. Ebenso effektiv sind Täuschungsmanöver, wie beispielsweise das Einrichten gefälschter Admin-Konten, die zwar intern nicht genutzt werden, jedoch im Falle einer Attacke einen Alarm senden. Zusätzlich zu den Indicators of Compromise (IOCs) ist es auch wichtig, zu beobachten, was nicht passiert. Werden beispielsweise Back-up-Zeitpläne geändert oder gestoppt, steigen Back-up-Volumen unerwartet an oder werden Sicherheitstools auf Rechnern deaktiviert, könnte dies darauf hinweisen, dass Hacker am Werk sind.
Wurde solch ein Angriff erkannt, gilt es, schnellstmöglich zu reagieren, um die Auswirkungen möglichst gering zu halten. Die taktischen Wiederherstellungsschritte variieren je nach Unternehmen und dem Ausmaß eines Angriffs, umfassen in der Regel aber folgende Schritte:
3. Entwicklung zielgerichteter Reaktionsmaßnahmen für die Phase nach einem erfolgreichen Angriff
Um ausreichend auf Ransomware-Angriffe vorbereitet zu sein, müssen die IT-Verantwortlichen nicht nur die geeignete Security-Strategie in petto haben. Auch Kommunikationspläne für Mitarbeiter und Partner sind entscheidend. Denn sie geben unter anderem Auskunft darüber, wie man sich auf Geschäftsunterbrechungen durch aggressive Cyberangriffe vorbereiten kann. Auch in der Phase der Wiederherstellung von Daten und Systemen ist es wichtig, dass die Verantwortlichen die Probleme umgehend und transparent kommunizieren. Entsprechende Tools zur Simulation von Cyberkrisen können darüber hinaus dabei helfen, Missstände in Verfahren, Rollenaufteilungen und Verantwortlichkeiten zu identifizieren.
Prävention bedeutet nicht nur, die Verhaltensweisen der Angreifer zu erkennen und ihre Aktionen zu verhindern. Es geht auch darum, was im Vorfeld unternommen werden kann. IT-Hygiene, Schwachstellen, Netzwerkkonfigurationen und das Nutzerverhalten entscheiden darüber, wie viel Spielraum Cyberkriminelle haben. Liegt die Aufmerksamkeit lediglich auf dem Endpunkt-Management und auf Erkennungskontrollen, haben Angreifer leichtes Spiel. Simulationen aller drei Phasen eines Ransomware-Angriffes helfen Unternehmen dabei, sich vor Attacken Cyberkrimineller zu schützen und im Schadensfall schnell und angemessen zu reagieren.
Tilman Epha, Sales Director DACH bei XM Cyber