Die Verwendung von Versicherungspolicen und die Zahlung von Lösegeld kann bei Unternehmen zu einem falschen Sicherheitsgefühl führen. Warum das so ist und welche weiteren Gründe gegen diese Strategie sprechen erklärt Mark Molyneux, EMEA CTO bei Cohesity, im Interview mit ITWELT.at. [...]
Wie bewerten Sie die aktuelle Tendenz von Unternehmen, Versicherungspolicen für Ransomware zu nutzen und im Falle eines Angriffs Lösegeld zu zahlen? Welche Risiken und falschen Sicherheitsvorstellungen können mit dieser Strategie verbunden sein?
Das Zahlen von Lösegeld und Versicherungspolicen lösen die Probleme von Ransomware nicht. Die Vorstellung, eine Versicherung für Lösegeldzahlung wäre eine akzeptable Möglichkeit zur Gefahrenabwehr, greift zu kurz. Denn in der Praxis kann durchaus folgendes Szenario drohen: Erst zahlen Unternehmen für eine Versicherung, welche die Zahlung des Lösegelds übernimmt, anschließend zusätzlich eine Geldstrafe für das Übertreten von Gesetzen oder Anordnungen. Zudem drohen Strafen für die Nichteinhaltung von Branchen-SLAs, für eventuelle Sicherheitsverletzungen und schließlich auch Folgekosten wie Datenverlust, Wiederherstellung einschließlich Unterstützung durch Dritte, nachgelagerte Kundenauswirkungen und so weiter. Die Cyberversicherung deckt höchstens Teile davon ab. Außerdem halten einige Unternehmen wegen der Versicherung die Gefahren durch Ransomware für handhabbar und andere Gegenmaßnahmen nicht mehr für nötig – das ist gefährlich.
Das britische National Cyber Security Centre (NCSC) warnt davor, dass Lösegeldzahlungen keine Garantie für den Zugang zu Daten oder Systemen bieten und dass Unternehmen wahrscheinlich erneut angegriffen werden. Welche weiteren Gründe sprechen gegen die Zahlung von Lösegeld?
Nicht nur das NCSC, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Lösegeldzahlungen. Viele gut dokumentierte Fälle mit Lösegeldzahlung zeigen, dass die daraufhin zur Verfügung gestellten Schlüssel in keiner Weise strukturiert waren. Dies führte zu problematischen und oft nicht synchronisierten Prozessen und damit zu einer langwierigen Wiederherstellung der Geschäftsabläufe. Außerdem ist es sehr wahrscheinlich, dass die Computer infiziert bleiben und das Unternehmen in Zukunft erneut angegriffen wird. Das heißt, die Unternehmen wiegen sich in einem falschen Sicherheitsgefühl.
Inwiefern tragen Lösegeldzahlungen dazu bei, dass Geld an kriminelle Banden fließt, und warum betrachten Regierungen und Behörden dies als schweres Verbrechen? So hat etwa das britische Office of Financial Sanctions Implementation (OFSI) neue Leitlinien zu Ransomware und finanziellen Sanktionen herausgegeben. Könnten Sie uns etwas über diese Leitlinien und deren Auswirkungen auf Unternehmen berichten?
Das durch Lösegeldzahlungen Gelder an kriminelle Banden fließen und diese damit noch stärker und leistungsfähiger werden, ist nicht von der Hand zu weisen. Hinzu kommt, dass es in vielen Ländern wie den USA eine Straftat ist, Lösegeld zu bezahlen. Die neuen Leitlinien, die das britische OFSI letzten Februar herausgegeben hat, stellen Zahlung von Lösegeld an bestimmte Organisationen als eine schwere Straftat dar. In Deutschland ist das nach derzeitigem Stand nicht der Fall. Wir erwarten aber, dass die Gesetze für die Zahlung von Lösegeld weltweit strenger werden.
Welche alternativen Security-Strategien sollten Unternehmen in Betracht ziehen, um sich effektiver vor Ransomware-Angriffen zu schützen?
Unternehmen haben bisher in erster Linie an möglichst hohen Abwehrmauern gearbeitet. Angesichts der Raffinesse der Angreifer und der schieren Masse möglicher Angriffswege sollten Unternehmen stattdessen lieber einen stärkeren Fokus auf gezielte Ansätze legen, um die Auswirkungen eines Angriffs durch schnelle, effiziente Reaktion und Wiederherstellung so gut wie möglich einzugrenzen. Eine Herausforderung ist dabei, dass sich die IT-Strukturen aufgrund wechselnder Datenanforderungen immer häufiger ändern müssen. Zusätzlich befinden sich die Daten an verschiedenen Orten: vor Ort, in einer Private oder Public Cloud, in SaaS-Plattformen und -Anwendungen, in Colocation-Rechenzentren und so weiter. Dies erhöht die Komplexität und verwischt die Verantwortungsgrenzen, weshalb der Fokus des Security-Ansatzes auf den Daten selbst liegen muss.
Da es nicht immer möglich ist, einen Angriff abzuwehren, müssen Unternehmen diesen zumindest so frühzeitig wie möglich erkennen und schnell darauf reagieren. Angesichts der hochentwickelten Cyber-Bedrohungslandschaft reicht es heute nicht mehr aus, sich auf herkömmliche Backup- und Disaster Recovery-Ansätze zu verlassen, denen moderne Datensicherheitsfunktionen fehlen. Unternehmen sollten in Datensicherheits- und Datenmanagementplattformen investieren, die sich in ihre bestehenden Cybersicherheitslösungen integrieren lassen, einen ganzheitlichen Überblick zur Sicherheitslage bieten und so die Widerstandsfähigkeit gegenüber Cyberangriffen erhöhen.
Welche Herausforderungen und Hürden gibt es bei der Entwicklung einer robusten Datensicherheits- und Ausfallsicherheitsstrategie?
Oft mangelt es den Unternehmen an qualifizierten Fachkräften oder überhaupt an Personal zur Cyberabwehr. Weitere Hindernisse sind veraltete Backup- und Wiederherstellungssysteme, eine mangelnde Koordination zwischen IT- und Sicherheitsteams und das Fehlen eines Systems zur automatisierten Desaster Recovery. Laut einer Studie, die wir kürzlich durchgeführt haben, sagen fast 80 Prozent der Befragten, dass es im Falle eines systemweiten Cyberangriffs mehr als drei Tage dauern würde, Daten und kritische Geschäftsprozesse vollständig wiederherzustellen. Fast die Hälfte (48 Prozent) geht von mehr als einer Woche aus. Jedes fünfte Unternehmen (20 Prozent) benötigt dazu sogar über drei Wochen. Die lange Dauer der Wiederherstellungsprozesse deutet auf eine fehlende Integration der Maßnahmen für Schutz, Erkennung, Identifizierung, Reaktion und Wiederherstellung hin. Deren enge Verknüpfung wäre auch für eine wirksame Eindämmung von Bedrohungen erforderlich.
Warum reicht es nicht aus, allein auf Technologie zu setzen, wenn es darum geht, eine wirksame Betriebs- und Cyberresilienz-Strategie zu entwickeln?
In vielen Unternehmen werden Jahr für Jahr zusätzliche Security-Lösungen und -Produkte gekauft, um sich gegen die steigende Zahl von Angriffen zu wappnen. Die Unternehmen konzentrieren sich aber nicht auf Vorgänge, die das Cyber-Risiko wirklich verringern. Das führt zu Alarmmüdigkeit, einem höheren Aufwand bei der zu verwaltenden Infrastruktur, Reibungsverlusten für die Benutzer, weniger Flexibilität und mehr Angriffsfläche.
Um wirklich wirksame Gegenmaßnahmen zu ergreifen, müssen Unternehmen von einem Cybersicherheits-Ansatz zu einem Ansatz der Cyber-Resilienz übergehen. Dazu sollten die Verantwortlichen im Kopf behalten, dass die Angriffe mit sehr hoher Wahrscheinlichkeit tatsächlich geschehen werden und nicht nur ein theoretisches Szenario sind. Das bedeutet, dass sich die Prioritäten ändern (müssen).
Welche Empfehlungen haben Sie für Unternehmen, um ihre Resilienz gegenüber Ransomware-Angriffen zu stärken und ihre Daten effektiv zu schützen? Gibt es bewährte Praktiken oder Technologien, die Sie besonders hervorheben möchten?
Um Cyberangriffe erfolgreich zu bewältigen, ist eine vollständige und integrierte Lösung entscheidend. Eine Plattform für Datensicherheit und Datenmanagement sollte umfassende Einblicke in die allgemeine Sicherheitslage ermöglichen und die Cyberresilienz stärken. Sie muss die Fähigkeit beinhalten, die Integrität von Backups zu überprüfen, sowie Multifaktorauthentifizierung und eine starke Verschlüsselung bieten.
Um Ransomware und böswillige Insiderangriffe zu vermeiden, helfen optimierte Sicherheitstools durch Backups und Wiederherstellung. Moderne Lösungen nutzen die Cloud und Automatisierung, um „Reinräume“ einzurichten sowie Analysen für eine angemessene und rechtzeitige Reaktion durchzuführen. Sie ermöglichen damit einerseits einen koordinierten Ansatz für digitale Forensik, andererseits die Reaktion auf einen Vorfall in Kombination mit einer sauberen und schnellen Wiederherstellung, welche die Leistungsfähigkeit von Daten und Cloud-basierten Dateisystemen nutzt.
Das Bezahlen von Lösegeld ist also in vielerlei Hinsicht keine sinnvolle Alternative. Stattdessen benötigen Unternehmen eine intelligente Strategie, bei der ihre kurz- und längerfristigen Interessen hinsichtlich Betrieb und Cyberresilienz im Mittelpunkt stehen.
Be the first to comment