Interview

Ransomware: gekommen, um zu bleiben

Ransomware ist gekommen, um zu bleiben. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma “zahlen oder nicht zahlen” im Vorfeld eines Angriffs an? Ein Interview mit Israel Barak, Chief Information Security Officer, Cybereason.

Wie werden sich die unterschiedlichen Formen von Ransomware-Angriffen vermutlich weiterentwickeln (Abziehen von Daten, kriminelle Auktionsseiten, Public Shaming, Auswirkungen auf die Berichterstattung nach DSGVO usw.) und welches Risiko bergen sie für Unternehmen?

Anzeige

Israel Barak: Mehrstufige Ransomware-Angriffe nehmen deutlich zu. Innerhalb einer Ransomware-Operation gibt es verschiedene Angriffsvektoren, die unterschiedliche Aufgaben übernehmen wie Datendiebstahl, Diebstahl von Benutzerdaten und typische Seitwärtsbewegungen im Netzwerk. Ziel ist es, so viele Endpunkte wie möglich in Mitleidenschaft zu ziehen. Wir haben beobachtet, dass Ransomware-Funktionen zwar zu Beginn eines Hacker-Angriffs eingesetzt, aber nicht sofort aktiviert werden. Das passiert erst dann, wenn sämtliche Vorstufen des Angriffs an allen kompromittierten Endpunkten abgeschlossen sind, um eine maximale Wirkung zu erzielen. Ziel dieses operativen Angriffsmusters ist es, so viele Assets wie möglich zu treffen. Für Unternehmen liegt darin ein deutlich höheres Risiko als bei einem Ransomware-Angriff, der sich nur auf den einzelnen Rechner auswirkt. Aber dieses Muster hat auch Vorteile für die Verteidigerseite. Mit einem schnellen Detection-und-Response-Prozess ist es möglich, den Angriff schon in einem frühen Stadium zu erkennen und darauf zu reagieren. Und zwar bevor die Ransomware Schaden in der betreffenden Umgebung anrichten kann. 



Wie gehen CISOs und Vorstände das Dilemma “zahlen oder nicht zahlen” im Vorfeld eines Angriffs an?

Israel Barak: Mittlerweile ist Ransomware quasi Teil des Geschäftslebens geworden. In den meisten Unternehmen reduzieren die Vorstände das Problem von „zahlen oder nicht zahlen“ auf die Verfügbarkeit von Diensten und einen möglichen Datenverlust. Übersetzt heißt das: wie sinnvoll ist es, zu zahlen, um einen Dienst oder die Geschäftsfähigkeit in kurzer Zeit wiederherzustellen verglichen mit der Zahlung des Lösegeldes, um sich schneller von einem Angriff zu erholen. Viele Vorstände oder CISOs reduzieren die Frage rein auf die Wiederherstellung der Dienstverfügbarkeit. Was ist billiger? Die sofortige Zahlung des Lösegeldes oder die Kosten für die Wiederherstellung der Geschäftsfähigkeit über die Zeit? Vorstände und CISOs sollten bei diesem Rechenbeispiel mehrere Faktoren berücksichtigen, u.a. die Tatsache, dass es selbst wenn Sie das Lösegeld zahlen, einige Zeit dauern kann, bis die Geschäftsfähigkeit wiederhergestellt ist. Wochen oder auch länger. Außerdem müssen Sie eventuell Aufräumarbeiten durchführen, ausgefallene Systeme wiederherstellen und Tests durchführen, um sicherzustellen, dass ein System wieder einwandfrei funktioniert. Außerdem ist es ganz und gar nicht erwiesen, dass Sie mit der Zahlung eines Lösegeldes auch tatsächlich den Schlüssel für die Dateien und Systeme bekommen. Unternehmen sollten vor allem Verfahren einbeziehen, die zukünftig verhindern, dass eine Ransomware überhaupt ausgeführt wird. 

Was passiert, wenn ein Unternehmen sich entschließ, kein Lösegeld zu zahlen? Welche Schritte zur Wiederherstellung muss man bei einer fortgeschrittenen Bedrohung einkalkulieren?

Israel Barak: Es gibt verschiedene Möglichkeiten, wie ein Unternehmen sich von einem Ransomware-Angriff erholen kann. Zunächst ist es wichtig, den betroffenen Rechner zu isolieren, um die zusätzliche Verschlüsselung von Dateien und freigegebenen Ordnern auf anderen Computern zu minimieren. Es ist unerlässlich, die Anmeldedaten zu ändern – und das für alle Unternehmens- und Cloud-Ressourcen, die von dem/den kompromittierten Rechner(n) genutzt werden. Leiten Sie zusätzlich eine Vorfallanalyse ein, um die typischen Seitwärtsbewegungen im Netzwerk zu erkennen und zu analysieren. In einigen Fällen wird die Ransomware gelöscht, wenn der Angreifer andere Ziele in der Umgebung erreicht hat.

Gibt es Anhaltspunkte für die Ansicht auf den Vorstandsetagen, ein „Lösegeldtopf“ sei eine bessere, einfachere oder billigere strategische Option als in adäquate Sicherheitsmaßnahmen zu investieren?

Israel Barak​​​​​​​: Was wir definitiv sehen, ist ein starker Anstieg beim Abschluss von Cyber-Versicherungen, insbesondere solchen, die Erpressungsklauseln in ihre Policen einschließen. Unternehmen haben damit eine Alternative, um das Betriebsrisiko eines Ransomware-Angriffs abzufedern. Einen großen Teil der Kosten oder des finanziellen Risikos trägt dann der Versicherer. Wenn man solche Optionen prüft, sollte man allerdings einige Faktoren bedenken: 

  1. Die Wahrscheinlichkeit, dass versicherte Unternehmen als potenziell lukrativere Ziele betrachtet werden. Warum, weil die Angreifer eine höhere Bereitschaft unterstellen, dass Lösegelder tatsächlich gezahlt werden. 
  2. Versicherungsklauseln enthalten häufig Ausschlusskriterien was die Deckung ganz bestimmter Ransomware-Angriffe anbelangt. Schäden aus dem NotPetya-Angriff (im Jahr 2017 und einem nationalstaatlichen Akteur zugeschrieben) wurden beispielsweise von einigen Versicherern nicht gedeckt. 
  3. Zwar kann eine Versicherung das Risiko moderner Ransomware-Angriffe ausgleichen, aber solche, die den Diebstahl von Daten und geistigem Eigentum beinhalten, werden von keiner Cyber-Versicherung abgegolten. Die Versicherungspolicen decken in der Regel nur die Wiederherstellungskosten und die eigentliche Lösegeldzahlung. Außerdem sollte man nie eine Cyber-Versicherung gegen ein ausgereiftes, angemessenes Sicherheitsprogramm abwägen.

Angenommen, ein Unternehmen hat sich entschlossen zu zahlen – wie sieht dies aus Sicht der Incident Response aus und wie läuft eine Ransomware-Verhandlung in der Realität ab?

Israel Barak​​​​​​​: Wenn man sich entschieden hat, das Lösegeld zu zahlen, ist es am wichtigsten, einen Nachweis zu bekommen, dass die Angreifer die Wiederherstellung garantieren. Andernfalls riskieren Sie, mit jemandem Geschäfte zu machen, der den nötigen Schlüssel verweigert.

Außerdem sollten Sie definieren, welche Bereiche für das Unternehmen entscheidend sind, um die Geschäftsfähigkeit wiederzuerlangen. So wollen Sie möglicherweise nicht für alle verschlüsselten Assets bezahlen, sondern nur für die wesentlichen im Rahmen der Geschäftsprozesse. Sind das 25 oder 50 Prozent aller Assets? Sind es weniger, weil Sie Workstations schnell wiederherstellen können? Ich empfehle immer, mit dem Angreifer einen Deal auszuhandeln, der sich auf eine Teilmenge der Assets konzentriert, die Sie ohne den betreffenden Schlüssel nicht wiederherstellen können. Bei den Verhandlungen entscheiden Hacker sich lieber für eine vernünftige Geldsumme als gar keine. Inzwischen haben Lösegeldforderungen teils absurde Höhen erreicht. Es ist aber nicht immer nötig, diese unverschämt hohen Beträge zu zahlen. Nutzen Sie Ihr Wissen als Entscheidungsträger, um einen Deal abzuschließen. 

Kann man sich darauf verlassen, dass die Entschlüsselung funktioniert, und zwar so, dass eine ordnungsgemäße Protokollierung und forensische Beweissicherung möglich ist, und man sicherstellen kann, dass die Daten nicht durch schlechte Kodierung beschädigt wurden?

Israel Barak​​​​​​​: In den meisten Fällen, in denen Unternehmen das Lösegeld zahlen, erhalten sie funktionierende Schlüssel. Aber man sollte nicht vergessen, dass die Entschlüsselung der Daten nicht gleichbedeutend mit der Wiederherstellung von Unternehmenssystemen ist. In einigen Fällen mag die IT-Infrastruktur kompromittiert worden sein, so dass man nicht sofort auf die Systeme zugreifen kann. Man muss zunächst die Infrastruktur bereinigen und Löcher im Netzwerk stopfen, damit die Angreifer nicht wieder ins Netzwerk gelangen. 

Kann man Cyberkriminelle beim Wort nehmen, dass gestohlene Daten gelöscht und nicht verkauft oder weiter genutzt werden? Wie geht man mit diesem speziellen Dilemma am besten um?

Israel Barak​​​​​​​: In Bezug auf gestohlene Daten lautet die Antwort zu 100 Prozent NEIN. Wenn ein Unternehmen gehackt wurde, gehen Sie davon aus, dass Ihre Daten für immer verloren sind. Und wundern Sie sich nicht, wenn die Angreifer die Daten behalten, obwohl ein Lösegeld gezahlt wurde. Bewerten Sie das Risiko so, als ob die Daten definitiv für immer verloren wären. 

Wie sieht es mit der ethischen Seite solcher Verhandlungen aus? Ist das nicht eine Einladung zu weiteren Angriffen, die man dann sogar mitfinanziert?

Israel Barak​​​​​​​: Versuchen Sie zu Beginn der Verhandlungen, den Ablauf hinaus zu zögern und den Zahlungstermin zu verschieben. “Wir müssen unsere Versicherungsgesellschaft einschalten” oder “Wir wissen nicht, wie man Kryptowährung kauft” und „Wir brauchen Zeit, um uns zu organisieren“ können Aufschub verschaffen. 

 

Ein Unternehmen ist gezwungen, Entscheidungen zu treffen, die sich auf die Geschäftstätigkeit auswirken. Aber es trifft sie, um genau diese Geschäftstätigkeit aufrechtzuerhalten und größeren Schaden abzuwehren. Das sollte man bei der Beurteilung nicht außer Acht lassen. 

www.cybereason.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.