Laut Forrester ist die Anzahl der Ransomware-Angriffe auf Unternehmen von 2018 bis 2019 um 500 Prozent gestiegen. Deswegen ist es für Unternehmen wichtig, rechtzeitig vorzubeugen, weiß Jürgen Venhorst, Country Manager DACH bei Netwrix. [...]
Selbst Bundesbehörden und öffentliche Einrichtungen sind vor dem Befall von Ransomware nicht sicher. Vergangenes Jahr wurde eine großangelegte Angriffskampagne vom Bundeskriminalamt aufgedeckt, in welcher ein vermeintlicher Unterstützungsaufruf der Klimaaktivistin Greta Thunberg dazu genutzt wurde, den Trojaner Emotet in die Systeme verschiedener Bundesbehörden einzuschleusen. Auch die Stadt Frankfurt sowie das Klinikum in Fürth wurden 2019 Opfer eines Befalls durch Emotet und mussten eine signifikante Störung des Betriebs verkraften.
Was kann man in einem solchen Fall tun? Zahlen und auf das Beste hoffen oder sich weigern und längere Ausfallzeiten und eine teure Wiederherstellung riskieren? Um gar nicht erst in diese Zwickmühle zu geraten ist es empfehlenswert die nötige Prophylaxe bereits im Vorfeld zu betreiben. Folgendes gilt es dabei zu beachten:
Warum nicht einfach Lösegeld zahlen?
Das Landeskriminalamt Rheinland-Pfalz hat als Reaktion auf den 2017 grassierenden Trojaner WannaCry einen Leitfaden erstellt und rät den Opfern von Ransomware-Angriffen dringend davon ab Lösegeld zu zahlen. Erstens gibt es keine Garantie dafür, dass man den Schlüssel zu seinen Daten tatsächlich erhält, sobald die Lösegeldzahlung erfolgt ist. In vielen Fällen bekommt das Opfer den Schlüssel zu seinen Daten trotz Überweisung des geforderten Betrags nicht.
Zweitens prädestinieren sich zahlungswillige Opfer für erneute Angriffe in der Zukunft. In der Regel sind die folgenden Lösegeldforderungen höher als die des initialen Angriffs. Wie viel höher? Untersuchungen von Coveware ergaben, dass sich die durchschnittliche Lösegeldzahlung im Jahr 2019 mehr als verzehnfacht hat, nämlich von umgerechnet knapp 12.000 Euro im ersten Quartal auf 77.000 Euro im vierten Quartal.
Drittens fördern erfolgte Zahlungen unmittelbar das „Geschäftsmodell“ Ransomware und setzen somit weitere Unternehmen einem erhöhten Risiko aus.
Technische Maßnahmen, um Lösegeldforderungen abzuwehren
Es gibt zwei wichtige Schritte, um das Risiko einer Erpressung durch Cyberkriminelle zu minimieren:
- Reduktion der Angriffsfläche durch Stopfen von IT-Sicherheitslücken
- Pflege eines gesicherten Datenbackups, um schnelle Schadensbegrenzung zu gewährleisten
Sichere Technik ist Mindestvoraussetzung, Mitarbeiter sind jedoch der Schlüssel
Die wichtigste Strategie zur Abwehr von Ransomwareangriffen ist die Investition in eine konsequente Mitarbeiterschulung. Der Bericht von Netwrix zu den IT-Trends 2020 hat herausgefunden, dass über drei Viertel der befragten Unternehmen in Deutschland das Cybersicherheitsbewusstsein von Mitarbeitern als oberste Priorität für ihre IT-Sicherheitsstrategie im Jahr 2020 betrachtet. Bei vielen Unternehmen hierzulande reift aktuell die gleiche Erkenntnis wie bei unseren Nachbarn. Denn selbst eine Tür mit zehn Schlössern bietet keinen Schutz, wenn diese dem Eindringling bereitwillig von innen geöffnet wird.
Daten schnell wiederherstellen können
Selbst die beste Schulung kann natürlich nicht garantieren, dass alle Mitarbeiter zu jederzeit den vermittelten Inhalten folge leisten. Doch bereits ein einziger unbedachter Klick auf einen Link in einer Phishing-E-Mail genügt, um die firmeneigene IT-Umgebung vollständig zu paralysieren. Darüber hinaus benötigen einige Ransomware-Varianten gar kein menschliches Fehlverhalten, um sich in der IT-Infrastruktur festzusetzen. Beispielsweise nutzte die Sodinokibi-Ransomware einen kritischen Fehler in der Oracle WebLogic aus, um im vergangenen Jahr 23 Städte in Texas zu befallen.
Daher sollte jedes Unternehmen davon ausgehen, dass es auch ohne eigenes Verschulden zum Opfer einer Ransomware-Infektion werden kann. Deshalb ist es von entscheidender Wichtigkeit, einen Notfallplan parat zu haben, sollte er jemals benötigt werden. Ein effektiver Plan erfordert eine schnelle Erkennung, Reaktion und Datenwiederherstellung. Hier sind die vier wichtigsten Schritte.
Vier wichtige Schritte
Alle Daten und deren Zugriffsberechtigte überblicken: Um das Risiko eines Verlusts vertraulicher Daten, wie beispielsweise die personenbezogenen Daten von Kunden und Mitarbeitern zu minimieren, müssen alle Daten entsprechend ihrer Wichtigkeit klassifiziert und geschützt werden. Mithilfe automatisierter Datenklassifizierung kann ein Überblick über alle vorhandenen Daten sowie deren Sensibilität gewährleistet werden. Im gleichen Zuge können die Zugriffsrechte aller Mitarbeiter automatisch und tagesaktuell verwaltet werden. Da Ransomware häufig die Zugriffsrechte des von ihr kompromittierten Benutzerkontos missbraucht, wird die Menge der gefährdeten Daten durch die strikte Durchsetzung des Prinzips der geringsten Privilegien minimiert.
Verbesserte Erkennung und Warnung bei Anomalien: Das Benutzerverhalten bei allen kritischen Systemen und Daten muss sowohl vor Ort als auch in der Cloud nachvollziehbar sein. Es empfiehlt sich daher aktiv nach abnormalen Aktivitäten zu suchen, die auf einen laufenden Angriff hinweisen können, wie zum Beispiel Änderungen an der Liste der eingeschränkten Dateierweiterungen oder eine hohe Anzahl an Dateimodifikationen. Noch besser ist es, wenn man unmittelbar über verdächtige Aktivitäten informiert wird. Dies ermöglicht die Einleitung von Gegenmaßnahmen, bevor eine erhebliche Datenmenge kompromittiert wird.
Datenwiederherstellung ermöglichen: Man muss sicherstellen, dass detaillierte Informationen aller Daten vor dem erfolgten Ransomware-Angriff vorgehalten werden können. Nur so kann die IT-Abteilung verlorene Daten umgehend wiederherstellen und dadurch Ausfallzeiten minimieren. Die Klassifizierung der Daten ermöglicht es weiterhin vertrauliche und kritische Daten zu identifizieren und entsprechend zu sichern. Das Backup sollte außerdem nicht direkt mit der zentralen IT-Infrastruktur verbunden sein, um ein überschwappen der Ransomware zu verhindern.
Umfänglichen Notfallplan in der Schublade haben: Es empfiehlt sich ein dediziertes Dokument zu verfassen, welches die jeweiligen Zuständigkeiten klar definiert und krisengerechte Handlungsanweisungen für alle Mitarbeiter vorgibt. Da sich Mitarbeiter, IT-Umgebung sowie die Bedrohungslandschaft ständig ändern, sollte der Notfallplan regelmäßige Stresstests unterlaufen.
Fazit
Keine Organisation möchte jemals vor der Entscheidung stehen, Lösegeld zu zahlen oder in den sauren Apfel des Datenverlusts beißen zu müssen. Prophylaxe in Form von aktueller Abwehrtechnik und regelmäßiger Schulung der Mitarbeiter sind neben der Pflege eines Datenbackups die wichtigsten Bausteine einer erfolgreichen IT-Sicherheitstrategie.
*Jürgen Venhorst ist Country Manager DACH bei Netwrix.
Be the first to comment