Anzeige

Ransomware

100-prozentige Cybersicherheit gibt es nicht. Im Falle von Bedrohungen wie Ransomware, die es auf Daten abgesehen haben, richtet sich alle Hoffnung auf Backups, doch was ist zu beachten?

Vor 20 Jahren am 4. Mai begann mit der auf den ersten Blick harmlosen Botschaft „I love you“ der bis dato größte, weltweite Cyberangriff auf Unternehmen und Privathaushalte. Es war nicht der erste Cyberangriff, aber ein in Wucht und Umfang bis dahin nicht gekanntes Ereignis in einer Welt, in der E-Mail, Internet & Co. für viele noch Neuland waren. Würmer und Viren sind seither zu anhänglichen Begleitern in der digitalen Welt geworden. Die Cybersicherheitsbranche stellt sich der Vielfalt an Bedrohungen mit einer Vielzahl an Hard- und Softwarelösungen mehr oder weniger erfolgreich entgegen. 

Im Juni 2017 folgte der nächste große Paukenschlag: Ransomware, bis dato eher ein Thema für Insider, war plötzlich in aller Munde. Der extrem breit angelegte Angriff mit der Erpressersoftware Petya/NotPetya infizierte binnen weniger Tage die IT-Systeme von kleinen Unternehmen und Großkonzernen sowie die Rechner unzähliger Privatpersonen. Seither folgten in regelmäßigen Abständen weitere Angriffe mit Ransomware – vor allem auf Behörden, Unternehmen, Betreiber kritischer Infrastruktur sowie Einrichtungen im Gesundheitswesen.

Gezielte Cyberangriffe auf das Gesundheitswesen dürften weiter zunehmen, wie auch das BSI zuletzt warnte. Seit Beginn der Corona-Pandemie nehmen Cyberangreifer Kliniken und die Pharmaindustrie offenbar verstärkt ins Visier. Die jüngste Attacke traf das Medizintechnik- und Gesundheitsunternehmen Fresenius.

Quo vadis Ransomware?

Drei Dinge sollten Entscheidungsträger in Unternehmen aus den vergangenen Jahren gelernt haben, wenn es um Ransomware geht:

  • Ransomware ist kein kurzfristiges Phänomen, sondern hat sich als effektives Werkzeug bei Cyberkriminellen etabliert.
  • Die Angriffe werden zunehmend präziser und richten sich immer häufiger auf sorgsam ausgewählte Ziele.
  • Sowohl klassische IT-Sicherheitslösungen wie Antivirus und Firewall als auch moderne KI-basierte Lösungen garantieren keinen 100%igen Schutz vor Ransomware.

Angesichts dieser drei unbestrittenen Fakten stellt sich eine zentrale Frage: Was tun, wenn ein Ransomware-Angriff erfolgt ist und die Cyberkriminellen Daten bereits gestohlen, manipuliert oder verschlüsselt haben? Zahlen oder nicht zahlen? Es geht dabei nicht um wenig Geld, was in der Summe umso deutlicher wird. Schätzungen gehen von weltweiten Schäden in Milliardenhöhe aus. Der Energieversorger EDP (Energias de Portugal) wurde kürzlich Opfer einer Variante von RagnarLocker. Die Erpresser drohten damit, 10 Terabyte sensibler Daten offenzulegen oder an Interessenten zu verkaufen, und stellten eine Forderung von zehn Millionen Euro. Vom Konzern bis zum KMU kann es jedes Unternehmen treffen – mit entsprechend angepasster Lösegeldhöhe.

Lösegeldzahlung, Sanierungsversuche oder solider Business-Continuity-Plan

Für Unternehmen, die keinen soliden Wiederherstellungsplan für den Fall eines Ransomware-Angriffs aufgestellt haben, kann die Lösegeldzahlung wie die einzige Option erscheinen. Eine Wiederherstellung kann umständlich und zeitaufwändig sein, und in vielen Fällen besteht die Gefahr, dass die Backups selbst beschädigt oder verschlüsselt sind. So erscheinen die Optionen für die Betroffenen dann meist wie die Wahl zwischen Pest und Cholera: Geht das Unternehmen auf die Lösegeldforderung ein, wird das cyberkriminelle Geschäftsmodell weiterhin finanziert. Zudem besteht die Gefahr, als attraktives Opfer im Visier der kriminellen Akteure zu bleiben. Die andere Möglichkeit ist eine riskante und zeitraubende Recovery, ohne zu wissen, wie es um die Qualität der wiederhergestellten Daten und Systeme bestellt ist.

Die besonnene Alternative zu hohen Lösegeldzahlungen und riskanten Wiederherstellungsversuchen ist eine schnelle und zuverlässige Recovery mittels einer zeitgemäßen Backup-Lösung. Erforderlich ist jedoch eine überzeugende Wiederherstellungsstrategie, die erstellt und erprobt werden muss, bevor ein Ransomware-Angriff stattfindet. Eine zentrale Rolle kommt einem soliden Business-Continuity-Plan zu. Unternehmen müssen hierfür ein umfassendes, funktionsübergreifendes Team für die erste schnelle Reaktion zusammenstellen. Dies sollte Experten aus den Bereichen Netzwerk, Datenspeicher, Informationssicherheit, Business-Continuity-Management und auch PR umfassen. Daneben ist es essentiell, dass die IT-Abteilung regelmäßig Daten sichert, die Integrität der Backups überprüft und den Wiederherstellungsprozess regelmäßig testet.

Wenn es den Cyberangreifern gelungen ist, die präventiven Sicherheitsmaßnahmen, also die klassische IT-Security, zu überwinden, ist ein rasches und präzises Vorgehen geboten. Zunächst gilt es dabei die infizierten Rechner und Komponenten vom Netzwerk zu trennen. Die Ausbreitung der Infektion via Netzwerkkabel, WLAN oder Bluetooth muss unterbunden sowie alle externen Speichergeräte wie USB-Sticks oder externe Festplatten isoliert werden. Geräte, die sich ohne weiteres nicht vom Netzwerk trennen lassen, sollten umgehend ausgeschaltet werden. Nun geht es daran zu prüfen, ob die Backups von den Angreifern bereits manipuliert wurden. Um dies von vornherein auszuschließen, sind unveränderliche Backups das Mittel der Wahl. Als nächsten Schritt sollte das IT-Team versuchen, die Malware zu identifizieren, um die Sicherheitslücke rasch zu schließen. So ist zu klären, ob es ein Fall von Phishing war, die Angreifer eine Internetschwachstelle ausgenützt oder gestohlene Benutzerdaten verwendet haben. 

Mit unveränderlichen Backups Ransomware-Angriffe ins Leere laufen lassen

Der Deutsche Städtetag betonte jüngst, dass Behörden den Lösegeldforderungen nicht nachgeben sollen. Das BSI rät ebenfalls, kein Lösegeld zu zahlen und jede Erpressung anzuzeigen. Im Ernstfall sehen trotzdem immer noch viele Unternehmen darin den einzigen Ausweg. Damit ist aber auch nicht garantiert, dass sie wieder Zugang zu ihren Daten erhalten. Es gab bereits Fälle, in denen Ransomware-Opfer erneut angegriffen oder zur Zahlung einer zusätzlichen Summe aufgefordert wurden. Alternativ versuchen betroffene Unternehmen, die Malware zu entfernen oder eine Entschlüsselung anzuwenden. Es ist aber fraglich, ob sie eine Infektion komplett ausmerzen können. Ransomware ist immer raffinierter geworden und mutiert häufig. Somit ist es weniger wahrscheinlich, dass ein passendes Entschlüsselungsprogramm verfügbar ist oder sich die Ausbreitung vollständig stoppen lässt.

Bleibt somit die dritte und wohl plausibelste Option, den Angriff mit Hilfe zeitgemäßer Backups ins Leere laufen lassen. Mit einer modernen Backup-Strategie gelingt es Unternehmen, die Wiederherstellung aus dem letzten einwandfreien Backup extrem schnell durchzuführen. Eine auf Multi-Cloud Data Control basierende Lösung, bei der Unveränderlichkeit, Folgenabschätzung und sofortige Wiederherstellung integriert sind, erweist sich hier als überaus effektiv. Dadurch ist der entscheidende Aspekt gewährleistet, dass Backups während eines Angriffs unverändert bleiben. In Kombination mit einer schnellen und zuverlässigen Wiederherstellung wird das Backup so zum Rettungsanker, auf den man sich verlassen kann – in diesem Fall sogar zu 100 Prozent.
 

Roland Rosenau, SE Manager EMEA Central and West
Roland Rosenau
SE Manager EMEA Central and West, Rubrik

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!