Schnellere Managed Detection & Response

Nur elf Tage bis zur Ransomware-Verschlüsselung

Ransomware Verschlüsselung

Durchschnittlich werden Cyberangriffe heute nach elf Tagen entdeckt – erheblich früher als noch vor ein paar Jahren. Das bedeutet aber nicht, dass die Security so erfolgreich ist. Vielmehr haben Cyberkriminelle ihre Wertschöpfungskette verkürzt und kommen schneller ans Ziel. Für Unternehmen bedeutet das: Sie müssen noch besser in der Detection & Response werden.

Cyberkriminelle halten sich im Durchschnitt elf Tage im Netzwerk auf, bis sie auffliegen. Das klingt auf den ersten Blick kurz. Noch vor ein paar Jahren betrug die Entdeckungszeit rund 200 Tage. Elf Tage sind für Cyberkriminelle heute aber genug Zeit, um Ziele auszuspionieren, lukrative Daten zu identifizieren, sie zu stehlen und/oder zu verschlüsseln. Meist manifestiert sich ein Cyberangriff dann, wenn die Ransomware aktiviert wird. Dieser Zeitpunkt ist umso früher, je eher die Hacker ihre Vorarbeiten abgeschlossen haben. In einem aus krimineller Sicht boomenden Geschäftsumfeld gelingt das immer schneller.

Anzeige

Ransomware als Geschäftsmodell

Cyberkriminelle sind heute in den meisten Fällen monetär motiviert. Sie möchten möglichst einfach und schnell möglichst viel Geld verdienen. Ransomware-Attacken erfüllen diese Kriterien perfekt. Die Chancen, mit Erpressung Geld zu verdienen, stehen gut. Denn viele der Opfer sind notgedrungen bereit, auf die Forderungen der Hacker einzugehen, um größeren Schaden zu vermeiden. Laut einer aktuellen Studie haben 42 Prozent der betroffenen deutschen Unternehmen im vergangenen Jahr Lösegeld gezahlt, obwohl sie über andere Mittel zur Datenwiederherstellung verfügt hätten. Vermutlich, weil sie dadurch schneller wieder betriebsfähig waren, als wenn sie ein Backup eingespielt hätten. Hacker bieten heute häufig sogar Support an, um ihre Opfer nach Zahlungseingang bei der Entschlüsselung ihrer Systeme zu unterstützen. Sie möchten als seriöse Geschäftspartner wahrgenommen werden, damit auch das nächste Unternehmen bereitwillig zahlt.

Eine professionell aufgestellte cyberkriminelle Branche

Wenn ein Geschäftsmodell boomt, entwickelt sich schnell eine ganze Branche daraus. Das ist in Hacker-Kreisen nicht anders als in der Wirtschaft. Dadurch haben sich spezialisierte Gruppierungen gebildet, die ihre Dienstleistungen im Untergrund anbieten. Während die einen die Malware entwickeln, suchen die anderen nach lukrativen Zielen, spionieren Opfer aus und legen Zugänge. Diese bieten sie dann in einschlägigen Foren im Darknet an. Wer heute einen Ransomware-Angriff durchführen möchte, braucht also selbst kaum noch Hacking-Kenntnisse. Er kann alle Bausteine kaufen und sofort loslegen. Die Attacke erfolgt dann automatisiert, sodass man nur noch die Früchte ernten muss. Auch erbeutete Daten zu verkaufen ist viel einfacher geworden, da es im Untergrund einschlägige Kunden und etablierte Vertriebswege gibt. Diese Professionalisierung hat die Wertschöpfungskette für Ransomware-Akteure erheblich verkürzt.

NL Icon 1
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Was bedeutet das für die Security?

Wenn die Verschlüsselung schon nach elf Tagen erfolgt, heißt das für Unternehmen: Sie müssen einen Angriff früher erkennen, um Schaden zu verhindern. Doch das ist leichter gesagt, als getan. Mit der zunehmenden Digitalisierung und dem Trend zum Homeoffice wächst die Angriffsfläche. Jeder Server, jedes vernetzte Mobilgerät und jeder Cloud Service ist ein potenzielles Einfallstor. IT-Teams müssen heute eine Vielzahl von Angriffsvektoren in einer immer komplexeren IT-Umgebung im Auge behalten. Dabei sind sie meist knapp besetzt und leiden unter dem anhaltenden Fachkräftemangel. Erschwerend kommt hinzu, dass sich in vielen Unternehmen eine Schatten-IT gebildet hat. Einzelne Mitarbeiter oder ganze Fachabteilungen nutzen Software und Services, von denen die IT-Abteilung gar nichts weiß. Solche Applikationen segeln unter dem Radar und können gefährliche Schwachstellen aufweisen. Im schlimmsten Fall sind sie bereits kompromittiert und mit Malware infiziert.

Cyberangriffe mit SIEM und SOAR erkennen

Um Cyberangriffe frühzeitig zu erkennen, müssen Unternehmen umfassende Transparenz gewinnen und alle Angriffsvektoren berücksichtigen. Viele setzen dafür bisher ein SIEM (Security Information and Event Management). Ein solches System sammelt die Logdaten aller angeschlossenen Security Systeme und analysiert sie auf Auffälligkeiten. Das SIEM kann jedoch nicht bewerten, ob es sich dabei tatsächlich um einen Cyberangriff handelt. Viele verdächtige Ereignisse haben ganz harmlose Ursachen. Vielleicht wird gerade eine Software installiert, die die Hashwerte von Dateien ändert. So gibt das SIEM täglich unzählige Warnmeldungen aus, von denen ein Großteil False Positives sind.

Wie kann man die Zahl der Fehlalarme reduzieren, die Bedrohungserkennung verbessern und beschleunigen? Eine effektive Möglichkeit ist SOAR (Security Orchestration, Automation and Response). Ein solches System korreliert und analysiert innerhalb von wenigen Sekunden riesige Datenmengen. So lässt sich der Großteil der False Positives eliminieren. Das SOAR kann Vorfälle automatisiert untersuchen, indem es Logiken anwendet und definierte Workflows abarbeitet. Innerhalb von kürzester Zeit entsteht so ein komplettes Bild, wie ein Angriff verlaufen ist und welche Systeme infiziert sind. Darüber hinaus kann das SOAR auch automatisiert auf wiederkehrende Incidents reagieren und zum Beispiel, sofern vorab so definiert, ausgewählte Firewall-Regeln ändern.

Ohne spezialisiertes Know-how geht es nicht

Ein SOAR in die Security-Infrastruktur zu integrieren, richtig zu konfigurieren und zu betreiben ist jedoch komplex. Außerdem sind solche Plattformen sehr teuer. Für einzelne Unternehmen lohnt sich der Aufwand in der Regel nicht.

Daher entscheiden sich viele Unternehmen, kein eigenes SOAR anzuschaffen und kein SOC (Security Operations Center) zu betreiben. Zu Recht – denn es gibt heute spezialisierte Dienstleister, die den Service Managed Detection und Response (MDR) anbieten. Sie stellen nicht nur die SOAR-Technologie und die Security-Analysten bereit und übernehmen den Betrieb sowie das Monitoring. Im Falle eines Cyberangriffs helfen sie auch dabei, ihn schnell zu stoppen und die richtigen Maßnahmen zu ergreifen. Da ein professioneller Anbieter seine Services für viele verschiedene Kunden betreibt, lohnt es sich für ihn, in teure Security-Technologie zu investieren und seine Mitarbeiter stetig fortzubilden. Er häuft Experten-Wissen und Erfahrung an, kann auch neue Bedrohungen schneller erkennen und die Security-Systeme kontinuierlich optimieren.

Bei einem ernsten Vorfall ist es zudem wichtig, schnell ein Incident-Response-Team einzuschalten, um den Schaden zu begrenzen. Solche Profis sind auf die tiefere Untersuchung von Cyberangriffen spezialisiert. Sie unterstützen nicht nur bei der Eindämmung der Gefahr, sondern sichern auch Beweismittel, die vor Gericht bestand haben, arbeiten mit Anwälten zusammen und beraten im Falle einer Lösegeldforderung zur richtigen Strategie. Bei der Wahl des MDR-Anbieters sollten Unternehmen daher darauf achten, dass dieser über ein entsprechendes Partner-Netzwerk verfügt und bei Bedarf umgehend ein BSI-zertifiziertes Incident-Response-Team hinzuziehen kann.

Mit MDR den Wettlauf gewinnen

Je effizienter und professioneller Cyberkriminelle agieren und je größer die Angriffsfläche, umso schwieriger wird es für Unternehmen, Vorfälle schnell genug zu erkennen und zu stoppen. Ohne die Hilfe von externen Spezialisten ist das kaum noch machbar. Und der Druck wächst. Bald werden Cyberkriminelle noch weniger als elf Tage bis zur Verschlüsselung brauchen. Am Ende ist Cybersecurity immer ein Wettlauf. Unternehmen können diesen nur gewinnen, indem sie modernste Technologie und professionelle Security-Analysten in der schnellstmöglichen Zeit einsetzen. Mit der Dienstleistung Managed Detection and Response (MDR) wird das bei minimalem Eigenaufwand und zu überschaubaren Kosten möglich.

Wolfgang Kurz

indevis IT-Consulting and Solutions GmbH -

CEO und Founder

Wolfgang Kurz, Dipl.-Ing., Jahrgang 1973, gründete die indevis GmbH noch während seines Studiums der Elektrotechnik in München, Abschlussjahrgang 2000. Er ist ausgewiesener Experte im Bereich Infrastruktur und Rechenzentrum und verantwortete bis 2019 den technischen Bereich bei indevis, insbesondere die Entwicklung sowie den Betrieb der indevis Managed Security Services. 
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.