Mit Verhaltensänderungen aus der Ransomware-Falle 

Viele Organisationen sind in Sachen Cybersecurity in einen scheinbar ausweglosen Teufelskreis geraten. Schuld daran ist Ransomware. Je verzweifelter sie versuchen, eine Attacke in den Griff zu bekommen, desto tiefer wird das Loch, das sie sich selbst graben.

Gemeinsam mit Malware und Phishing stellt Ransomware mittlerweile die mit Abstand größte Bedrohung für Unternehmen dar. Sie ist damit gefährlicher als Naturkatastrophen, Hardwareausfälle oder selbst eine Zero-Day-Attacke.

Aktuelle Methoden und Verhaltensweisen von Cyberkriminellen 

Zurzeit sind mehrere Ransomware-Typen und -Strategien im Umlauf, die besonderen Anlass zur Sorge geben. Das datenverschlüsselnde Virus REvil wurde z. B. erstmals im April 2019 von Sicherheitsforschern der Cisco Talos Intelligence Group entdeckt und ist auch unter dem Namen Sodinokibi/Sodin bekannt. Dabei können Angreifer über Zero-Day-Lücken remote per HTTP auf Oracle WebLogic-Server zugreifen und Malware manuell einschleusen. Soweit bekannt, gibt es für diesen raffinierten Schadcode derzeit keine Entschlüsselungstools. Zur Wiederherstellung der Daten werden also Alternativen benötigt. 

Das Geschäftsmodell einiger Malware-Entwickler ist Ransomware-as-a-Service (RaaS). Sie verkaufen die Schadsoftware als Dienst, sodass selbst Kleinkriminelle ohne einen technischen Background im großen Stil Unternehmen und Privatpersonen angreifen können. Bei diesen Geschäften erhält der Entwickler einen Teil der erbeuteten Summe. Um RaaS-basierte Malware-Familien wie REvil zu installieren, nutzen Cyberkriminelle meist das Remote Desktop Protocol (RDP). Die Lösegeldforderungen bei einer REvil-Attacke liegen im Durchschnitt im zweistelligen Millionenbereich. Im Jahr 2020 wurden dabei deutlich höhere Summen gefordert als noch 2019. 

Ransomware-Betreiber sind kriminell und gleichzeitig professionell wie finanziell gut aufgestellt.   Darüber hinaus sind sie hervorragend organisiert: Oft werben sie Personen mit Erfahrung in Unternehmensnetzwerken an und richten teilweise sogar Helpdesks im Darknet ein, um die Erfolgsquote ihrer Attacken zu erhöhen. Die Angreifer gehen dabei mit äußerster Entschlossenheit vor – und wenn sie die Sicherheitssoftware eines Unternehmens erst einmal umgangen haben, bleibt als letzte Verteidigungslinie nur noch das eigene Backup. Cybersecurity-Anbieter betonen daher regelmäßig, wie wichtig es ist, die Vorgehensweise von Cyberkriminellen zu verstehen. Eine gute Cybersecurity-Software kann die meisten Angriffe abwehren. Und tatsächlich wird auch ein Großteil der Malware entdeckt. Das Beispiel REvil zeigt aber, dass ihre Erkennung sowie die Behebung ihrer Folgen immer schwieriger wird. Das gilt insbesondere, wenn Edge-Daten betroffen sind. 

Warum Organisationen Lösegeld zahlen 

Auf jeden Ransomware-Angriff, über den berichtet wird, kommen Hunderte andere, die niemals an die Öffentlichkeit gelangen. In der Regel hören wir von einer Handvoll Angriffe pro Woche. Hinzu kommen aber viele weitere Unternehmen, die im Stillen die geforderten Summen zahlen. Eine wachsende Zahl an Organisationen bezahlt Lösegelder, um wieder Zugang zu ihren Daten zu erhalten: 2020 waren es 58 Prozent der Ransomware-Opfer, die zahlten, gegenüber 45 Prozent im Jahr 2019 und 39 Prozent im Jahr 2018. Es gilt: Je größer die Aussicht auf Zahlungen, desto häufiger und gefährlicher auch die Ransomware-Angriffe. 

 Haben Unternehmen bewusst die Augen vor dieser rasant wachsenden Bedrohung verschlossen? Vermutlich nicht – es scheint aber so, als wären sie nur als passive Zuschauer an dieser Ransomware-Schlacht beteiligt. Da ihnen die nötigen Einblicke zur Vorgehensweise der Cyberkriminellen fehlen, haben sie sich allein auf die Frage konzentriert, ob sie zahlen sollen oder nicht. Gleichzeitig wurden in den letzten fünf Jahren vielerorts die IT-Ausgaben zur Datensicherung zusammengestrichen.

Viele Organisationen vernachlässigen zudem ihre Sicherheitsrichtlinien und Backup-Strategien. Den Organisationen bleibt also keine andere Wahl als zu zahlen. Einziges Ziel dieser Unternehmen ist es, ihre Daten wiederherzustellen und zum normalen Betrieb zurückzukehren. Sie setzen daher oft auf den Abschluss einer Cyberversicherung, unter deren Schirm die Zahlungen ausgehandelt werden, sodass im Anschluss die regulären Abläufe wieder etabliert werden können. Nichtsdestotrotz bedeutet eine erfolgreiche Attacke Ausfallzeiten, Umsatzeinbußen in Millionenhöhe und einen erheblichen Imageverlust. Es ist daher dringend nötig, der Stigmatisierung von Ransomware-Angriffen ein Ende zu bereiten. IT-Experten müssen das Thema Cybersecurity proaktiv angehen und die Verteidigungsmechanismen stufenweise betrachten und analysieren.

10 Richtlinien zur Sicherung aller Einfallstore

Die folgenden zehn Richtlinien erleichtern IT-Verantwortlichen den Einstieg in einen besseren Schutz des Unternehmens und seiner Daten. Ziel muss es sein, alle denkbaren offenen Flanken des Netzwerks und der Backup-Umgebung zu sichern:

1. Formulieren Sie eine gut überlegte Strategie zur Datensicherung. 

2. Stellen Sie den Plan Ihren Vorgesetzten vor, um deren Zustimmung und Unterstützung zu erhalten. 

3. Installieren Sie eine Antivirussoftware, um die Vordertür zum Netzwerk zu schließen.

4. Nutzen Sie Verschlüsselungstechnologie in jeder Phase des Datenlebenszyklus – bei der Speicherung, während der Übertragung und bei der aktiven Nutzung.

5. Bieten Sie Sicherheitsschulungen an, und fördern Sie das Sicherheitsbewusstsein der Mitarbeiter.

6. Implementieren Sie lokale Disk-Backups mit Objektsperre, um die schnelle lokale Wiederherstellbarkeit zu gewährleisten und Ihre RPO/RTO-Vorgaben zu erfüllen.

7. Stellen Sie kosteneffiziente Archivierungslösungen mit „Air Gap“ bereit, die einen zeitlich unbegrenzten Schutz Ihrer Daten ermöglichen.

8. Replizieren Sie die Daten für DR-Zwecke mithilfe einer Cloud- oder Object Storage-basierten Lösung an einen externen Standort.

9. Implementieren Sie eine Tape-Lösung als lokalen „Air-Gap“-Schutz für Ihre Backups oder Archive.

10. Schließen Sie als letzten Ausweg eine Cyberversicherung ab.

Unternehmen, die die Public Cloud nutzen oder deren Workloads über mehrere Clouds und Rechenumgebungen verteilt sind, benötigen über die Schutzeinstellungen im eigenen Netzwerk hinaus zusätzliche Datenschutz- und Sicherheitsmaßnahmen. Sie brauchen einen umfassenden Ansatz, an dem mehrere Abteilungen, einschließlich Sicherheitsexperten, Netzwerkadministratoren und deren Vorgesetzte, mitwirken. Mitarbeiter sollten regelmäßig zu diesem Thema geschult werden, insbesondere, wenn sie remote arbeiten. 

Gemeinsam gegen Ransomware 

In den nächsten fünf bis zehn Jahren müssen Unternehmen sowie Cybersecurity-Experten sich gemeinsam dafür engagieren, die Cyberwelt zu schützen und Unternehmen jeder Größe die Möglichkeit geben, solide proaktive (und möglichst auch kosteneffiziente) Strategien und Richtlinien zu implementieren. Viele IT-Experten werden ihre Ansichten über bestimmte Technologien oder Backup-Methoden überdenken müssen. Auch Investitionen in Schulungsprogramme sind unumgänglich.  Und weil es sich bei diesen Angriffen längst nicht mehr um isolierte Einzelfälle handelt, kann nicht länger jeder für sich allein dagegen ankämpfen. Das Wissen über unerfreuliche Ransomware-Erfahrungen muss dokumentiert und weitergegeben werden, um gemeinsam einen Ausweg aus dieser Cyberkrise zu finden.

Auch wenn die Anzahl der Attacken gegenüber dem Vorjahr erneut gestiegen ist, kann selbst mit kleinen Schritten ein großer Erfolg erzielt werden.  Auf lange Sicht kann es durchaus gelingen, die kriminellen Banden in die Knie zu zwingen und den Teufelskreis zu durchbrechen, der alle dazu zwingt, ihre Machenschaften mit Lösegeldzahlungen zu finanzieren.