800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste – all dies sind direkte Folgen der jüngsten Ransomware-Attacken in nur 2 Wochen. Transparenz ist notwendig.
Die Ransomware-Pandemie wütet ungebremst und die Politik diskutiert strengere Regeln. In UK wird diskutiert, ob Firmen gezwungen werden sollten, Attacken und Ransom-Zahlungen zu melden. Die EU hat mit NIS2 und Dora bereits strenge Meldepflichten definiert. Der Fall von Synnovis legt offen, wie selbst kritische Infrastrukturen anfällig bleiben und wie komplex Firmen heute miteinander verwoben sind.
Dadurch entstehen ungewisse Ausfallrisiken. Synnovis ist als Pathologielabor mit seinen Dienstleistungen wie Bluttests eng mit einigen Krankenhäusern verzahnt. Der Ransomware-Angriff gegen das Labor zwang die Krankenhäuser, insgesamt rund 800 Operationen zu verschieben. Mark Dollar, CEO von Synnovis, eines am 4. Juni gehackten Gesundheitsdienstleisters aus UK, sagte: „Angriffe dieser Art können jederzeit jedem passieren und die dahinter stehenden Personen haben beunruhigenderweise keinerlei Skrupel, wen ihre Aktionen treffen könnten.“
Ransomware-Attacke zwingt zur Operationsverschiebung
Die Zeitungen meldeten weitere Angriffe gegen kommunale Einrichtungen wie Michigan’s Traverse City und New York’s Newburgh in den USA, der Videodienstleister Niconico ist ebenfalls offline. Dies sind vier Beispiele für erfolgreiche Angriffe innerhalb 2 Wochen, die Dunkelziffer ist wahrscheinlich x-fach höher. Und hier wollen Politiker aus Großbritannien ansetzen und Firmen zu mehr Transparenz zwingen. Diskutiert werden erste Ideen, ob man alle Opfer verpflichten soll, Vorfälle der Regierung zu melden. Opfer sollen sich auch vor Erpressungszahlungen eine Lizenz besorgen müssen.
Ebenfalls vorgeschlagen werden soll ein vollständiges Verbot von Lösegeldzahlungen für Organisationen, die an kritischer nationaler Infrastruktur beteiligt sind. Das Verbot soll Hackern den Anreiz nehmen, diese kritischen Dienste zu stören, indem es sie daran hindert, Angriffe zu monetarisieren. In den USA hat die Biden-Administration bereits im März 2022 mit ihrem Gesetz “Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)“ klar geregelt, dass Betreiber kritischer Infrastruktur einen Cybervorfall innerhalb von 72 Stunden melden müssen. Ransomware-Zahlungen müssen sogar 24 Stunden nach der Zahlung kommuniziert werden.
Globale Standards für Transparenz
Die Vorschriften und Gesetze, mit denen Regierungen mehr Licht in Cybergefahren und -risiken bringen wollen, orientieren sich zusehens an strengen zeitlichen Vorgaben bei der Meldepflicht. 72 Stunden sind hier der globale Standard, der sich nun zu etablieren scheint. Auch bei dem Digital Operational Resilience Act (DORA), auf die Finanzindustrie fokussiert, und der NIS-2 Direktive sind 72 Stunden das Maß der Dinge. Mit beiden Regelwerken will die EU Firmen in Europa zu mehr operativer Cyberresilienz drängen. Die obligatorischen Meldepflichten bei Datenschutzverletzungen haben es in sich und stellen klare Anforderungen:
- Innerhalb von 24 Stunden muss die Organisation eine Frühwarnung geben, wenn der Verdacht besteht, dass ein schwerwiegender Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte.
- Innerhalb von 72 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls muss die Frühwarnung mit einer ersten Bewertung, einschließlich seiner Schwere und Auswirkungen, aktualisiert werden. Die Organisation sollte dem nationalen CERT auch alle Indikatoren für eine Gefährdung im Zusammenhang mit dem Angriff mitteilen.
- Auf Anfrage eines nationalen CERT oder einer Aufsichtsbehörde muss die Organisation Zwischenstatusaktualisierungen bereitstellen.
- Innerhalb eines Monats nach Einreichung der Vorfallmeldung muss die Organisation einen Abschlussbericht vorlegen.
Mehr Transparenz schaffen
Das Risiko erfolgreicher Cyberattacken auf das Wohl und Leben der Bürger wird die Politik weiter antreiben, neue Regeln und Vorschriften zu erlassen mit dem Ziel, das Sicherheitsniveau und die Cyberresilienz zu stärken. Da wird also wahrscheinlich noch mehr kommen. Firmen sollten entsprechend reagieren und intern mehr Transparenz und Kontrolle über ihre Daten und Dienste schaffen. Dazu sind folgende Schritte elementar.
- Daten genau verstehen – Firmen müssen genau wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann können sie in den Behörden berichten, welche Daten bei einer erfolgreichen Attacke korrumpiert wurden. Auf diesem Gebiet können KI-Lösungen wie Cohesity Gaia massiv helfen und eine der komplexesten Probleme entschärfen, indem sie die Daten von Firmen automatisiert klassifizieren. Business Owner können beispielsweise direkte Fragen zu bestimmten Daten stellen und bekommen automatisch von Gaia eine entsprechende Antwort mit einer Liste aller betroffenen Dokumente.
- Zugriffe reglementieren: Wer seine Daten richtig eingestuft und klassifiziert hat, kann automatisch Regeln und Rechte durchsetzen, die den Zugriff darauf regeln. Daten-Management-Plattformen wie von Cohesity wickeln das automatisiert ab und reduzieren die Risiken für menschliche Fehler. Eine Firma kann durchsetzen, dass bestimmte Daten niemals an externe Speicherorte oder KI-Module weitergegeben werden dürfen.
- Angriffe überstehen – Damit eine Firma die Berichte für die Behörden überhaupt erstellen kann, muss sie handlungsfähig bleiben. Bei Ransomware oder einem Wiper-Angriff aber funktioniert im Worst Case nichts mehr. Die IT-Teams der CIOs und CISOs werden auf diese Attacke nicht einmal reagieren können, da alle Sicherheitstools offline, Beweise in Logs und auf den Systemen verschlüsselt sind. Firmen sollten daher unbedingt Clean-Room-Konzepte implementieren, wo ein Notfallset an Tools und System- und Produktionsdaten liegt, um einmal einen Notbetrieb der Gesamt-IT zu schaffen. Darin liegen alle essenziellen Tools für die Security-Teams, damit diese mit dem essenziellen Incident-Response-Prozess beginnen können. Dieser Prozess ist essenziell, um richtige und aussagekräftige Berichte für NIS-2, DORA und DSGVO-Verstöße zu generieren.
Über Cohesity Cohesity vereinfacht das Datenmanagement extrem. Die Lösung erleichtert es, Daten zu sichern, zu verwalten und aus ihnen Wert zu schöpfen - über Rechenzentrum, Edge und Cloud hinweg. Wir bieten eine vollständige Suite von Services, die auf einer Multi-Cloud-Datenplattform konsolidiert sind: Datensicherung und Wiederherstellung, Notfallwiederherstellung, Datei- und Objektdienste, Entwicklung/Test sowie Daten-Compliance, Sicherheit und Analysen. Das reduziert die Komplexität und vermeidet die Fragmentierung der Massendaten. Cohesity kann als Service, als selbst verwaltete Lösung sowie über Cohesity-Partner bereitgestellt werden.