Ransomware-Angriffe sind ein höchst lukratives Geschäftsmodell geworden. Doch Unternehmen können sich gegen Verschlüsselungs-Attacken schützen, zumindest aber den Schaden minimieren. [...]
Manchmal kostet Ransomware Menschenleben. Im September 2020 legten Hacker die bildgebenden Lösungen und IT-Systeme des Universitätsklinikums in Düsseldorf durch Verschlüsselung von Daten weitgehend lahm und verhinderten so die Notversorgung. Sie forderten Lösegeld (engl. „Ransom“), um die Daten wieder freizuschalten. Wegen des Angriffs musste die Uniklinik einen Rettungswagen mit einer schwer erkrankten Patientin abweisen, der dann nach Wuppertal ausweichen musste. Das dauerte eine halbe Stunde länger. Die Folge: Die Patientin starb direkt nach Einlieferung in das Krankenhaus in Wuppertal c v^und die Staatsanwaltschaft ermittelte wegen fahrlässiger Tötung gegen die Hacker.
Und noch ein zweites Beispiel: Im Oktober 2021 setzte ein Ransomware-Angriff Teile der Produktion und die Verwaltung des Automobilzulieferers Eberspächer für fast zwei Wochen außer Gefecht. Das Unternehmen musste seine Mitarbeiter für einige Wochen in Kurzarbeit schicken, die finanziellen Einbußen durch den Produktionsausfall dürften im hohen zweistelligen Millionenbereich liegen. Hinzu kommt ein beträchtlicher Imageschaden.
Ransomware als größte Bedrohung
Kein Wunder also, dass Ransomware aktuell die größte Cyberbedrohung für Unternehmen darstellt. Auch ein Blick auf die Zahlen stützt diese Einschätzung. Von Januar bis November 2021 stand beim Global Emergency Response Team des Security-Spezialisten Kaspersky fast jeder zweite Sicherheitsvorfall im Zusammenhang mit Ransomware, ein Anstieg um fast 12 Prozentpunkte im Vergleich zu 2020. Laut IDCs „2021 Ransomware Study: Where You Are Matters!” hat zwischen Mitte 2020 und Mitte 2021 mehr als ein Drittel der Unternehmen weltweit einen Ransomware-Angriff oder eine Sicherheitsverletzung erlebt, die den Zugang zu Systemen oder Daten blockiert hat. Nur 13 Prozent der angegriffenen Unternehmen gaben dabei an, kein Lösegeld gezahlt zu haben.
Auch der Security-Anbieter Trend Micro stuft Ransomware als die derzeit größte Cyberbedrohung ein. Bevorzugtes Ziel der Angreifer ist demnach der Bankensektor. Er verzeichnete laut Trend Micro in der ersten Hälfte des Jahres 2021 einen Anstieg der Ransomware-Angriffe um 1318 Prozent (!) im Vergleich zum Vorjahr. Durch den Einsatz von fortschrittlichen und zielgerichteten Tools und Techniken wurden Daten gestohlen und verschlüsselt.
„Moderne Ransomware-Angriffe sind überaus zielgerichtet, verdeckt und gehen dabei nach bewährten, von APT-Gruppen (Advanced Persistent Threat) bereits perfektionierten Ansätzen vor. Indem sie Daten stehlen sowie wichtige Systeme sperren, versuchen Gruppen wie Nefilim, Egregor oder Conti global agierende Unternehmen zu erpressen“ berichtet Richard Werner, Business Consultant bei Trend Micro. Häufig arbeiten sie auch mit Dritten zusammen, um sich Zugang zu den Netzwerken ihrer Opfer zu verschaffen.
Ransomware-Angreifer nutzen häufig legitime Tools wie AdFind, Cobalt Strike, Mimikatz oder MegaSync, um ihr Ziel zu erreichen und dabei unbemerkt zu bleiben. „Dadurch kann es für Security-Analysten, die sich Ereignisprotokolle aus verschiedenen Teilen der IT-Umgebung ansehen, zu einer Herausforderung werden, die übergeordneten Zusammenhänge sowie Angriffe zu erkennen“, erklärt Richard Werner.
Phishing als Einfallstor
Doch wie gelangt Ransomware im Regelfall auf die Geräte und Systeme? Häufigstes Einfalltor bei den Clients sind laut Richard Werner Phishing-Mails, die den Anwender täuschen und dazu verleiten, einen Anhang zu öffnen oder auf einen Link zu klicken, der den unbemerkten Download von Schad-Software startet. Als weitere Zugriffspunkte nennt er schwache Zugangsdaten bei exponierten Remote-Desktop-Protocol (RDP)-Diensten oder anderen nach außen gerichteten HTTP-Diensten.
„Angreifer werden natürlich auch die Log4-Shell-Schwachstelle für ihre Ransomware-Attacken nutzen. Etwas seltener sind Software-Supply-Chain-Angriffe wie beim Fall des Managed-Service-Providers Kaseya. Sie haben aber extrem große Auswirkungen, da hier Managed-Service-Software infiltriert wurde, die in der Lieferkette bei einer Vielzahl von Kunden zur Verwaltung von Rechnersystemen und Netzwerken zum Einsatz kommt“, erklärt Richard Werner. „Die Ransomware erhielt so direkten Zugriff auf Server in den Rechenzentren von rund 1500 Kunden, die mit der Management-Software von Kaseya verwaltet wurden. Die Verschlüsselung der Server erfolgte dann binnen Stunden.“
Wie agiert Ransomware?
Ein Ransomware-Angriff läuft in der Regel in mehreren Phasen/Schritten ab:
- Erster Zugriff auf das Gerät/System durch das Ausnutzen einer Schwachstelle (zum Beispiel Mitarbeiter klickt auf Link in Phishing-Mail, schwache Zugangsdaten bei Remote-Desktop-Protocol(RDP)-Diensten oder anderen nach außen gerichteten HTTP-Diensten, Log4-Shell-Lücke)
- Nach dem Eindringen laden die Angreifer die Funktionen der Schad-Software in kleinen Paketen Schritt für Schritt auf das System – meist unbemerkt von Antiviren-Software
- Mit legitimen Admin-Tools spioniert die Ransomware die Systeme weiter aus, sucht nach wertvollen Daten und weiteren Schwachstellen wie fehlenden Patches oder Admin-Anmeldeinformationen, um mehr Zugriffsrechte und damit die Kontrolle über die Systeme zu erhalten
- Diebstahl von Daten und eventuell Einrichten von Backdoors für spätere Angriffe
- Benachrichtigung des Unternehmens mit Drohung, Daten zu veröffentlichen oder zu verschlüsseln, um Lösegeld zu erpressen
- Nach dem Zahlungseingang erhalten die Benutzer wieder vollen Zugriff auf ihre Daten und Systeme – oder auch nicht
Das IT- und Consulting-Haus All for One Group blieb zwar bislang selbst von einem direkten Ransomware-Angriff verschont, erhielt aber einige Meldungen von seinen Kunden beziehungsweise Lieferanten, die von einem Ransomware-Angriff betroffen waren. „Wir hatten im Jahr 2021 insgesamt sechs Fälle von Kunden, bei denen wir als Dienstleister für Managed Services fungieren und die per Netzwerk mit uns verbunden sind. Hier wurde nach einem Vorfall beim Kunden vor Ort die Netzwerkverbindung sofort getrennt, um eine Verbreitung der Ransomware zu verhindern.
Diese Meldungen zeigen aber das Gefährdungspotenzial über die Lieferkette“, betont Axel Krämer, Group Information Security Officer der All for One Group. Bei den von Axel Krämer genannten Fällen gelangte die Schad-Software meist über E-Mails in die Unternehmen. In einem Fall klickte ein Mitarbeiter auf einen Link oder öffnete einen E-Mail-Anhang. Die Ransomware verschlüsselte dann das Endgerät des Mitarbeiters und alle Laufwerke, auf die er zugreifen durfte. „Die Auswirkungen sind von den Berechtigungen des betroffenen Mitarbeiters abhängig. Der potenzielle Schaden steigt mit dem Umfang der Zugriffsrechte. Unser Kunde kam glimpflich davon. Er zahlte kein Lösegeld, setzte die Endgeräte neu auf und spielte das Backup auf das betroffene Server-Laufwerk zurück“, so Axel Krämer.
Geschäftsmodell mit Arbeitsteilung
Doch häufig sind die Cyberkriminellen sehr erfolgreich. Denn die Ransomware-Angreifer haben nicht nur ihre Vorgehensweise professionalisiert, sondern auch ihr Geschäftsmodell und setzen häufig auf Arbeitsteilung. So gibt es Spezialisten für das Abgreifen von Zugangsdaten (Access as a Service), die weitere Verbreitung im Netzwerk des infizierten Unternehmens mit dem Ziel, höhere Berechtigungen zu erhalten, und für die Verschlüsselung von Daten. Diese Gruppen arbeiten zusammen und agieren in einem gemeinsamen Geschäftsmodell.
„Diese Geschäftsmodelle wären ohne Kryptowährungen wie Bitcoin nicht so erfolgreich, da hier die polizeiliche Verfolgung sehr schwerfällt. Kryptowährungen waren der Booster für die Ransomware-Szene. Bis etwa 2015 waren gestohlene Kreditkarten das bevorzugte Zahlungsmittel“, weiß Richard Werner. Sein Unternehmen Trend Micro hat 2021 in einer Studie mehr als 900 Access-Broker-Listings in englisch- und russischsprachigen Cybercrime-Foren analysiert, um Aufschluss über die Ransomware-Sparte Access as a Service zu gewinnen.
Beispiel: Access as a Service
Die Palette der Access Broker reicht von Verkäufern, die sich auf den schnellen Profit konzentrieren, über versierte Hacker, die Zugangsdaten zu vielen Unternehmen anbieten, bis hin zu Online-Shops, die Remote-Desktop-Protocol(RDP)- und Virtual-Private-Network (VPN)-Zugangsdaten von Firmen liefern. Hier können interessierte Cyberkriminelle gezielt nach Standort, Internet Service Provider (ISP), Betriebssystem, Portnummer, Administratorenrechten oder Unternehmensnamen suchen.
Die Datensätze mit den Zugangsinformationen stammen laut Trend Micro aus diversen Quellen wie vorangegangenen Sicherheitsvorfällen, entschlüsselten Passwort-Hashes oder ausgenutzten Schwachstellen in VPN-Gateways oder Webservern. Die Preise sind abhängig von der Art des Zugangs (einzelner Rechner oder gesamtes Unternehmens-Netzwerk), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer geforderten Zusatzarbeit. Während ein RDP-Zugang bereits für zehn Dollar erhältlich ist, liegt der Preis für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8500 Dollar, bei besonders attraktiven Opfern können es bis zu 100.000 Dollar sein.
„Das Hauptaugenmerk beim Kampf gegen Ransomware sollte zuerst auf der Eindämmung der Aktivitäten von Initial-Access-Brokern liegen“, betont Richard Werner von Trend Micro. „Gelingt es, die Aktivitäten von Access-Brokern zu überwachen, die Unternehmensnetzwerkzugänge stehlen und verkaufen, kann den Ransomware-Akteuren den Nährboden entzogen werden.“
„Ransomware ist der Kokainhandel des 21. Jahrhunderts“
Robert Lamprecht ist Director IT-Advisory / Cybersecurity bei KPMG Österreich. Im Interview erklärt er, wie sich Ransomware verbreitet und mit welchen Geschäftsmodellen die Cyberkriminellen agieren.
com! professional: Kein Unternehmen ist mehr vor Ransomware-Angriffen sicher. Berichte über verschlüsselte Daten und Lösegeldforderungen schaffen es jetzt sogar in die Hauptnachrichten.
Robert Lamprecht: Ransomware hat sich zu einer Art „Pandemie in der Pandemie“ entwickelt. Das Phänomen gibt es schon länger. Ransomware hat sich historisch entwickelt – Ursprung ist beispielsweise Scareware in Verbindung mit dem Blockieren des Bildschirms. In den Anfängen ging es den Hackern um Ruhm, Anerkennung und Heldentum nach dem Motto „Seht, ich habe das System geknackt.“ In den letzten Jahren hat sich das stark kommerzialisiert. Ransomware-Angreifer haben ihre Methode professionalisiert und erhöhen nun den Druck durch Erpressung. Sie kombinieren die Verschlüsselung von Daten mit der Drohung, die Daten auf öffentlichen Websites zu veröffentlichen.
com! professional: Zum Geschäftsmodell der Angreifer kommen wir später noch. Mich würde zunächst interessieren, wie Ransomware überhaupt auf Geräte und Systeme gelangt.
Lamprecht: Die Einfallstore sind vielfältig. Ein aktuelles Beispiel ist die Log4Shell-Schwachstelle, die auch von staatlichen Akteuren ausgenutzt wird. Grundsätzlich sehen wir drei große Kategorien, wie Ransomware auf Geräte und Systeme gelangt. Erstens über nach außen verfügbare Anwendungen wie SharePoint oder Citrix, zweitens über Phishing-Mails und drittens über externe Remote-Services über Remote-Desktop-Protokolle. Die Corona-Pandemie hat hier die Angriffsfläche dramatisch vergrößert.
Es gibt klare Hinweise darauf, dass Remote-Arbeit das Risiko eines erfolgreichen Ransomware-Angriffs deutlich erhöht. Gründe dafür sind schwächere Sicherheitsstandards der Heim-IT und die höhere Wahrscheinlichkeit, dass Mitarbeiter aufgrund von Ängsten vor Covid-19 Ransomware-Köder-E-Mails anklicken. Mailings mit Infos zu Impfstoffen, Masken oder finanziellen Angeboten sind weitverbreitet. Security-Awareness-Schulungen für die Mitarbeiter sind daher ein klares Muss.
com! professional: Eine sehr perfide Strategie. Was passiert, wenn Ransomware auf dem Gerät ist? Wie funktioniert Ransomware?
Lamprecht: Die Angreifer gehen mehrstufig vor. Nachdem sie über eine Schwachstelle auf das Gerät gelangt sind, haben sie den initialen Fußabdruck hinterlassen und schaffen die Basis für die weitere Infizierung der Geräte und Systeme. Sie agieren zu Beginn meist noch versteckt und laden die Funktionen der Schad-Software in kleinen Paketen Schritt für Schritt auf das System. Diese Update-Pakete werden von der Antiviren-Software nur sehr selten erkannt.
com! professional: Okay, jetzt ist die Ransomware installiert. Wie geht es dann weiter?
Lamprecht: Im nächsten Schritt spioniert die Ransomware das System gezielt aus und sucht nach weiteren Schwachstellen wie fehlenden Patches oder frei verfügbaren Anmeldeinformationen von Adminis-tratoren, die beispielsweise im Cache offen gespeichert sind. Ziel ist es, die Berechtigungen über die normalen Benutzerrechte hinaus zu erweitern und damit noch tiefer in den Kern der Systeme einzudringen beziehungsweise die Schad-Software weiter zu verteilen, um Persistenz zu erreichen und den Reboot zu überleben.
Hat sich die Ransomware tief im System eingenistet, gibt es viele Optionen für die Angreifer: Sie können Daten stehlen und veröffentlichen, Backdoors für spätere Angriffe einrichten oder Daten verschlüsseln, um Lösegeld zu erpressen. In der Regel vergehen zwischen dem Eindringen ins System und dem Auslösen der Verschlüsselungs-Ransomware zwei bis sechs Monate. Letzteres geschieht etwa über einen Timer mit Datum und Uhrzeit oder wenn eine neue Domain erstellt wird.
com! professional: Wie sieht das „Geschäftsmodell“ der Cyberkriminellen hinter Ransomware aus?
Lamprecht: Wir stellen in den letzten beiden Jahren eine starke Professionalisierung und Kommerzialisierung in der Szene fest. Es ist zu vermuten, dass Staaten, die etwa einem Handelsembargo unterliegen, mithilfe von Ransomware-Angriffen an Devisen kommen wollen. Geschätzte 60 Prozent der Attacken entstammen der Kategorie Ransomware as a Service, 20 Prozent von Ransomware-Gruppen wie Maze, Conti oder REvil, die restlichen 20 Prozent sind schwer zuzuordnen. In unserer jüngsten „KPMG Cyber Security“-Studie aus dem Jahr 2021, die wir gemeinsam mit dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrum Sicheres Österreich (KSÖ) durchgeführt haben, haben wir auch gesehen, dass staatliche Akteure auf dem Vormarsch und nur sehr schwer von kriminellen Organisationen zu unterscheiden sind.
Ist die Ransomware erfolgreich auf dem Zielobjekt installiert, folgt die Erpressung, meistens in vier Stufen: Erste Stufe ist die klassische Verschlüsselung, gefolgt von der Drohung mit Abzug und Veröffentlichung von Daten, um den Druck zu erhöhen und die Zahlungsbereitschaft der erpressten Firmen zu erhöhen. In der dritten Stufe folgt die Drohung mit DOS-Angriffen, um die Geschäftstätigkeit zu blockieren, in der vierten Stufe geht es um den Verkauf von Backdoors für den Zugang ins Unternehmen. Die Kriminellen sind hier sehr kreativ nach dem Motto: „Wir laden Trittbrettfahrer ein, bei euch vorbeizuschauen.“ Aus meiner Sicht ist Ransomware der Kokainhandel des 21. Jahrhunderts.
com! professional: Interessanter Vergleich. Was bringt Sie zu dieser harten Aussage?
Lamprecht: Ransomware-Angriffe bieten eine sehr hohe Gewinnmarge sowie einen sehr hohen Umsatz pro Mengeneinheit. Den Kriminellen winkt ein gewaltiger wirtschaftlicher Erfolg bei niedrigen Betriebskosten. Über Ransomware as a Service können sie im Darknet Angriffe quasi von der Stange kaufen. Zudem ist die Wahrscheinlichkeit, verhaftet zu werden, sehr gering. All das zusammen macht diese Angriffsform für Cyberkriminelle so attraktiv. Immerhin verzeichnen Ermittlungsbehörden wie Europol erste Erfolge mit dem Ausheben von Gruppen wie REvil.
com! professional: Wie kann man sich vor Ransomware schützen? Wie kann man die Gefahr minimieren?
Lamprecht: Grundsätzlich sollten Unternehmen auch kleinste Sicherheitsvorfälle ernst nehmen, ihnen nachgehen und sich um die Basisdinge kümmern. Dazu gehören Themen wie der Aufbau von Meldeketten, sichere Software-Entwicklung mit Security by Design, Patch-Management, Netzwerksegmentierung oder ein ausgefeiltes Backup-Konzept. Auch Cloud-Lösungen können die Sicherheit erhöhen. Und Firmen sollten nicht nur an Prävention denken, sondern auch in die Reaktion investieren, um Anomalien schnell erkennen und rasch reagieren zu können. Stichwort Intrusion Detection.
com! professional: Wie wichtig sind Mitarbeiter-Schulungen?
Lamprecht: Die Sensibilisierung der Mitarbeiter für die potenziellen Gefahren von Ransomware-Angriffen spielt eine zentrale Rolle. Es geht dabei nicht nur um die Security-Awareness der Mitarbeiter in den Fachabteilungen, sondern auch um Admins und Software-Entwickler. Sie alle müssen beispielsweise wissen, wie sie Angriffe erkennen, wie besonders kreative Phishing-Mails aussehen und an wen sie sich wenden können, wenn sie einen Verdacht haben.
Darum ist es umso wichtiger, dass wir Sicherheit positiv besetzen, Vertrauen schaffen und Personen nicht verdammen, wenn sie auf eine Phishing-Mail hereinfallen und auf einen Link klicken. Zudem sollten Schulungskonzepte nicht mehr nur auf Einzelpersonen beschränkt sein. Ziel ist es, Netzwerke zu schaffen, Wissensträger in den einzelnen Abteilungen zu identifizieren, die dann in ihren Teams den Dialog rund um das Thema Sicherheit fördern. Es geht darum, das Kollektiv zu stärken, um Angriffe abzuwehren.
Schutzmaßnahmen gegen Ransomware
Firmen können sich grundsätzlich mit mehreren Maßnahmen vor Ransomware-Angriffen schützen. Das wichtigste Mittel sind Security-Awareness-Schulungen. Ziel ist es dabei, die Mitarbeiter über Richtlinien und aktuelle Bedrohungen sowie den Umgang damit aufzuklären und sie für Risiken zu sensibilisieren. Die All for One Group nutzt dazu ein eigenes Schulungsprogramm mit regelmäßigen Trainings auf der E-Learning-Plattform Success Factors. Hinzu kommen anlassbezogene Schulungen, wenn beispielsweise häufig Phishing-Mails im Unternehmen ankommen.
„Wir fangen technisch im Vorfeld schon 99,9 Prozent der Mails ab, die etwa Makros oder EXE-Dateien enthalten oder prüfen sie in isolierten Sandboxes. Und für die wenigen Phishing-Mails, die in die Postfächer gelangen, ist es wichtig, dass Mitarbeiter sie erkennen, melden und vor allem wissen, dass sie nicht auf einen Link klicken dürfen. Dafür sind die regelmäßigen Schulungen unabdingbar“, sagt Group Information Security Officer Axel Krämer.
Schutzmaßnahmen gegen Ransomware
Firmen können sich mit verschiedenen Maßnahmen gegen Ransomware schützen. Denn je komplexer die Verteidigung, desto schwieriger wird es für die Angreifer. Hier eine Übersicht wichtiger Mittel zur Abwehr:
- Verfolgen öffentlich bekannter Sicherheitsvorfälle
- Security-Awareness-Schulungen für die Mitarbeiter
- Multi-Faktor-Authentifizierung (MFA)
- Patchen von Schwachstellen
- Netzwerk segmentieren
- Verschlüsseln der Domain-Admin-Passwörter
- Backup-Strategie mit unveränderbarem Backup
- Bewährte Passwort-Richtlinien umsetzen
- Zero-Trust-Prinzip
- Zugang zu Netzwerken und Systemen über Rollen-/Rechte-Konzepte einschränken
- IDS (Intrusion-Detection-Systeme) oder IPS (Intrusion-Prevention-Systeme) erfassen das normale Netzwerkverhalten und erkennen verdächtige Aktivitäten frühzeitig
- Meldewege für Vorfälle etablieren
- Notfallpläne mit genauer Beschreibung der Vorgehensweise im Fall eines Angriffs erstellen
Ein weiterer wichtiger Punkt in der Security-Strategie der All for One Group ist das Schwachstellen- und Patch-Management. So hat das Unternehmen diverse Newsletter etwa des CERT-Bund oder auch wichtiger Hersteller mit Informationen über potenzielle Schwachstellen abonniert. „Zudem scannen wir unsere Systeme regelmäßig auf Schwachstellen und schließen diese durch ausgefeilte Patch-Mechanismen. Auf Betriebssystemebene erfolgt das Aufspielen der Patches auch bei unseren Kunden automatisiert, im Regelfall mindestens im Monatsrhythmus“, so Axel Krämer. „Und wir legen großen Wert auf regelmäßige Backups inklusive Snapshots in redundanten Rechenzentren mit restriktivem Zugang und Read-only-Prinzip.“
Zentrale Bedeutung des Backups
Pflicht für jede Ransomware-Strategie sind auch regelmäßige Backups auf getrennten, offline genutzten Speichermedien. Damit gewährleisten Firmen, dass sie im Fall einer tatsächlichen Ransomware-Infektion keine Daten verlieren und ihr System einfach wiederherstellen können. „Dazu benötigen Firmen als Basis zunächst eine komplette Übersicht ihrer Daten und müssen diese nach Schutzklassen klassifizieren, beispielsweise normal, hoch, sehr hoch. Daten mit den Schutzklassen hoch und sehr hoch müssen natürlich in kürzeren Rhythmen gesichert werden als weniger sensible Daten“, erklärt Frank Schwaak, Field CTO EMEA beim Backup- und Security-Spezialisten Rubrik.
Er sieht in der Unveränderbarkeit von Backups den alles entscheidenden Faktor, damit Firmen sich schnell von einem Ransomware-Angriff erholen können. Unveränderbarkeit von Daten-Backups bedeutet laut Frank Schwaak, dass die Sicherungsdaten nicht manipuliert, überschrieben oder gelöscht werden können. Ist das nicht der Fall, dann ist die Gefahr groß, dass im Ernstfall kein brauchbares Backup zur Verfügung steht. „Damit ein Backup wirklich unveränderlich ist, muss es von anderen Systemen isoliert sein. Und Firmen sollten darauf achten, dass nur sehr wenige Personen auf das Backup zugreifen dürfen, am besten nicht einmal Administratoren“, so Frank Schwaak weiter.
Außerdem sollten Backup-Daten nicht für externe Clients zugänglich sein und durch starke Authentifizierung gesichert sein. Standardprotokolle für das Schreiben auf Backup-Speicher wie NFS (Network File System) und SMB (Server Message Block) seien aufgrund ihrer relativ schwachen Authentifizierungsmechanismen zu vermeiden, fordert Frank Schwaak.„Wir raten Firmen zudem, die Daten beim Einlesen des Backups mit einem Fingerabdruck zu versehen und die Fingerabdrücke zusammen mit den Daten zu speichern. Wenn das nicht erfolgt, können die gesicherten Daten im Fall einer Wiederherstellung nicht validiert werden. Damit steigt das Risiko, etwa wenn verlorene Produktionsdaten ersetzt werden, ohne dass der Ersatz verifiziert wird“, sagt Frank Schwaak.
Seiner Meinung nach ist auch die Cluster-Kommunikation sehr wichtig. Werden die Mitglieder und alle Prozesse eines Speicher-Clusters nur über eine Netzwerk-Whitelist statt über TLS (Transport Layer Security) als vertrauenswürdig eingestuft, kann Ransomware laut Schwaak die Kommunikation abfangen und Zugriff auf die Backup-Daten erhalten. Daher sei eine Zero-Trust-Architektur für Backup Systeme unumgänglich.
Was tun nach einem Vorfall?
Rubrik hat seine Lösungen kürzlich um die Funktion Threat Hunting erweitert. Damit können Unternehmen mithilfe von KI ihre Backups direkt auf Anomalien und Anzeichen für Kompromittierung durch Schadcode untersuchen, inklusive Ransomware. Dadurch soll es möglich sein, die letzte bekannte saubere (Ransomware-freie) Kopie der Daten zu identifizieren, um eine erneute Infektion während und nach der Wiederherstellung zu verhindern. Darüber hinaus bietet Rubrik automatisierte Workflows für eine schnelle Wiederherstellung von Systemen und virtuellen Maschinen.
Denn wenn ein Ransomware-Angriff tatsächlich erfolgreich war, hilft meist nur noch Tabula rasa: Systeme ausschalten, platt machen, neu aufsetzen und das hoffentlich Ransomware-freie Backup einspielen. Vor dem Einspielen des Backups sollten Firmen natürlich das Einfallstor des Angriffs identifizieren und dann die Systeme im besten Fall nach einem existierenden Notfallplan wieder in Betrieb nehmen sowie anschließend bessere Schutzmaßnahmen einrichten. Hilfe finden Unternehmen möglicherweise auch auf der Europol-Seite www.nomoreransom.org, die eine kostenlose Entschlüsselungs-Software für bereits bekannte Ransomware-Typen bietet, die fortlaufend aktualisiert wird.
Zur Gretchenfrage der Ransomware – soll man Lösegeld zahlen oder nicht – haben alle von uns befragten Experten dieselbe Antwort: auf keinen Fall! Die Zahlung von Lösegeld in Form von Kryptowährungen kann weitere Erpressungen nach sich ziehen und stärkt zugleich die Angreifer, da sie dadurch finanzielle Mittel erhalten, um ihre Infrastruktur weiter auszubauen und sich weiter zu professionalisieren.
Prävention: Aufbau eines Information Security Management Systems (ISMS)Firmen sollten grundsätzlich nicht erst dann handeln, wenn Probleme auftreten oder bereits Schäden entstanden sind. Vielmehr sollten sie das Ziel verfolgen, Risiken zu minimieren und genau festzulegen, was wann in welcher Situation zu tun ist. Ein Mittel dazu ist der Aufbau eines Information Security Management Systems (ISMS) auf Basis der Norm ISO/IEC 27001. Denn Informationen müssen zuverlässig verfügbar sein und vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) geschützt werden.
Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Es regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Personalsicherheit (darunter Security-Awareness-Training), Zugriffskontrolle (etwa Passwort-Management), Kryptografie, Incident Management oder Kommunikationssicherheit (wie Netzwerksegmentierung). Damit sinkt die Wahrscheinlichkeit, dass Unternehmen Opfer eines Ransomware-Angriffs werden.
Mittelstand im Fadenkreuz
Die Fachwelt ist sich einig, dass die Ransomware-Angriffe weiter zunehmen und vor allem KMUs verstärkt ins Fadenkreuz geraten dürften. „Firmen dieser Größe haben weniger IT-Ressourcen und sind damit verwundbarer als große Unternehmen. Zudem sind sie Teil einer Lieferkette. Ein erfolgreicher Ransomware-Angriff führt dann häufig auch zu Ausfallzeiten bei den Kunden des jeweiligen Unternehmens. Wir müssen daher die Lieferketten besonders schützen“, fordert Richard Werner von Trend Micro.
Skrupel kennen die Kriminellen jedenfalls nicht. Das zeigen die Angriffe auf Krankenhäuser oder sogar einzelne Patienten wie in Finnland im Oktober 2020. Damals wurden dem Psychotherapie-Unternehmen Vastaamo, das rund 20 Kliniken betreibt, Patientendaten und Inhalte vertraulicher Gespräche gestohlen. Als sich Vastaamo weigerte, Lösegeld zu zahlen, verschickten die Kriminellen 40.000 Droh-Mails an die Patienten. Sie sollten 200 Euro in Bitcoins berappen oder ihre Daten und die Therapiegespräche würden im Internet veröffentlicht. Ein Horrorszenario.
Fazit & Ausblick
Jedes Unternehmen muss damit rechnen, zum Ziel eines Ransomware-Angriffs zu werden. Firmen müssen daher ihre Schwachstellen und Verwundbarkeiten kennen, sich mit technischen und organisatorischen Maßnahmen grundsätzlich vor Angriffen schützen, Anomalien und Angriffe schnell erkennen (Detect) und im Fall der Fälle zügig reagieren (Response). Zentral sind zudem Security-Awareness-Schulungen, um die Mitarbeiter für die Risiken von Cyberangriffen zu sensibilisieren. Jeder im Unternehmen muss wissen, was nach einem Angriff zu tun ist, Stichwort Notfallpläne und Meldeketten.
Der Speicherspezialist Pure Storage jedenfalls ist sich sicher: „Es ist davon ausgehen, dass es fast unmöglich ist, entschlossene Angreifer fernzuhalten. Daher liegt der Schlüssel zur Abwehr eines Ransomware-Angriffs in der Fähigkeit, den Zustand vor Beginn der Verweildauer wiederherzustellen, und zwar schnell.“
Be the first to comment