Das Worst-Case-Szenario: In einem Unternehmen kann sich eine Ransomware erfolgreich verbreiten und Daten auf PCs und Laufwerken verschlüsseln. Danach prangt eine Lösegeldforderung am Bildschirm. Wie soll sich ein Unternehmen nach einem Ransomware-Angriff entscheiden? Security-Experten geben Ratschläge. Kommentare von Kaspersky, G Data, Sophos, Trend Micro, Bitdefender, AV-TEST, Bitglass, Digital Guardian, Fore Nova, Radar Cyber Security, Barracuda Networks.
Es dauert in der Regel nur Sekunden: eine Datei wird geöffnet, manchmal ein Script ausgeführt, die Ransomware führt sich aus und startet sofort die Verbreitung im Unternehmensnetzwerk. In vielen Companys gibt es für dieses Worst-Case-Szenario inzwischen oft ein Notfall-Protokoll, welches die passenden Schritte einleitet und den Schaden begrenzt. In diesen Protokollen ist auch die Zahlung eines Lösegelds nicht vorgesehen – was auch gut ist.
Allerdings: bei vielen Unternehmen glaubt man sich für einen Ransomware-Angriff gut gerüstet; ist es aber in Wirklichkeit nicht. Denn vorhandene Security-Systeme werden dabei häufig überschätzt bzw. können vom internen Know-How nicht richtig bewertet werden. Diese Problem betrifft aber nicht nur kleine und mittlere Unternehmen, sondern auch größere Firmen. Das dies so ist, zeigen populäre Ransomware-Angriffe aus den letzten Jahren. Im Mai 2017 konnte sogar das ganze Land so eine Attacke miterleben, als auf fast jedem neueren Display der Deutschen Bahn die Zahlungsaufforderung der Ransomware WannaCry eingeblendet war. Eine Liste der bekanntesten Attacken listen wir später in diesem Artikel auf.
Die meisten Angriffe verlaufen natürlich unter weniger Publikum. Aber Dank der DSGVO und der Anzeigepflicht bei einer Attacke, bei der wahrscheinlich Daten abgeflossen sind, gehören Meldungen fast zur Tagesordnung.
Ransomware: Die Stunde null
Ob gut oder schlecht vorbereitet: jedes Unternehmen steht im Fokus von Ransomware-Angriffen und kann ein Opfer sein. Nach einem erfolgreichen Angriff stellen sich Unternehmen immer wieder die gleichen Fragen: Was können wir jetzt machen? Sollen wir jetzt zahlen? Spätestens wenn neben den Security-Experten auch Manager und Finanzexperten mit am Tisch sitzen, wir die Frage nach der Lösegeldzahlung zur ökonomischen Entscheidung. So geschehen, etwa bei der Attacke auf den US-Pipeline-Betreiber Colonial im Mai dieses Jahres. Viele Steuerungssysteme der Pipeline waren verschlüsselt und man musste den Betrieb einstellen. Die offizielle Aussage: man könne den verursachten Systemschaden nicht einschätzen. Daher ließe sich nicht sicher sagen, wann die Pipeline wieder ans Netz gehen könne. Mit dieser Begründung zahlte Colonial Pipeline das Lösegeld von 4,4 Millionen Dollar in Form von Bitcoins. Der nächste Schock kam aber umgehend: die von den Erpressern gelieferten Entschlüsselungs-Tools behoben den Schaden nur zum Teil. Daher konnte das Unternehmen die Pipeline nur im Notbetrieb und verminderter Leistung wieder hochfahren. Weitere Kosten zur Reparatur der Steuerungssysteme standen weiterhin an.
Zahlen oder nicht zahlen?
Wie im Fall von Colonial Pipeline entscheiden sich hinter den Kulissen immer wieder von Ransomware befallene Unternehmen für die Zahlung des Lösegelds, da sie das für das kleinere Übel halten. Oft kalkulieren besonders kühne Rechner in Unternehmen mit spitzem Bleistift den Schaden, der entsteht, wenn bestimmte Daten verloren sind, diese neu erfassen muss oder Teile des laufenden Geschäfts nicht abwickeln kann. Dem wird dann die Summe des Lösegelds entgegengestellt. Das solche Berechnungen meist Unsinn sind, mussten einige – ungenannte – Unternehmen bereits schmerzlich erfahren. Denn in ihrer Rechnung hatten sie vergessen, dass sie ein kompromittiertes System per Bezahlung flickten, um kurz danach festzustellen, dass die Angreifer immer noch vollen Zugriff auf die Systeme hatten. Ein Umbau und eine Neustruktur des gesamten Unternehmensnetzes war so unausweichlich.
Das es auch anders geht, zeigten die Verantwortlichen des irischen Gesundheitsdienstes HSE. Nach dem schweren Hackerangriff im Mai dieses Jahres wurden wichtige Daten verschlüsselt, so dass die Krankenhäuser des Landes zahlreiche Behandlungstermine absagen mussten. Selbst ein elektronisches Verschreibungssystem für Apotheken war ebenfalls betroffen. Die Verantwortlichen von HSE fuhren die Systeme herunter und machten sich gleich daran die Systeme und die Daten wiederherzustellen. Sofort wurde öffentlich gemacht, dass HSE keinerlei Lösegeld an die Ransomware-Erpresser zahlen wird, sondern das Geld für die Wiederherstellung und den Umbau des Systems nutzen wird. Experten sagen auch, dass durch diese Entscheidung eine weitere Ransomware-Attacke wesentlich unwahrscheinlicher wird. Denn Angreifer suchen primär Ziele aus, bei denen man weiß oder vermutet, es wird auch ein Lösegeld bezahlt.
Politische Forderung nach einer Null-Lösegeld-Strategie
Inzwischen ist das Problem Ransomware auch in der Politik angekommen. Man hat verstanden, dass jeder bezahlte Dollar, Euro oder Bitcoin neue Attacken finanziert. Man steigert somit die Attacken mit Ransomware und findet sich in einer immer weiter ansteigenden Spirale. Daher fordert die Politik, dass damit Schluss sein muss. Den ersten Schritt in die Richtung einer Null-Lösegeld-Strategie machte vor kurzem US-Präsident Biden. So wurde festgelegt, dass eine gemeldete Ransomware-Attacke einem Terrorangriff gleichgesetzt wird. Diese Erhöhung der Tatwichtigkeit lässt innerhalb der USA einen erweiterten Zugriff auf Ressourcen zum Schutz der nationalen Sicherheit zu. So griff im Fall von Colonial Pipeline das FBI und weitere US-Institutionen ein und verfolgen die Bitcoin-Zahlungen an die Erpresser. Dabei gelang es dann 2,7 der 4,4 Millionen Dollar Lösegeld von der Darkside-Gruppe zurückzuholen und die Infrastruktur ihrer Zahlungssysteme zu zerschlagen.
Weiterhin versuchten die APT-Gruppen Darkside und REvil/Sodinokibi sich mit einer beispiellosen Erklärungen von den Auswirkungen der Colonial Pipeline- bzw. JBS-Angriffe (amerikanischer Fleischverarbeiter) zu distanzieren. Laut Security-Spezialist Avast hat die Aktion der US-Regierung dafür gesorgt, dass sogar Anzeigen für Ransomware in großen Untergrund-Foren verschwanden. Und: die sogenannten Business-Partner sollen Darkside vor das Hacker-Gericht gezerrt haben, um ihre Verluste zu beklagen – wo auch immer dieses Gericht der Unterwelt tagt.
Auch in Großbritannien werden die Stimmen laut, die zu einer Null-Lösegeld-Strategie raten. Sprecher des Cybersecurity-Zentrums des Geheimdienstes GCHQ fordern sogar eine gesetzliches Verbot von Lösegeldzahlungen an Hacker. Nur so könne das Geschäftsmodell der APT-Gruppen zerstören werden, da mit dem Lösegeld das organisiertes Verbrechen finanziert wird.
In Deutschland gibt es zwar politische Gespräche zum Thema Cyberabwehr und Ransomware, aber keine Schritte, wie sie die USA ausführt oder Großbritannien zum Teil plant. Nötig wäre es, wie auch ein diesjähriger Artikel in der Zeit Online belegt: mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte wurden in den vergangenen sechs Jahren von Ransomware-Banden attackiert.
Was Experten den Unternehmen raten
Wir haben hat einen großen Kreis von Security-Experten befragt, wie Unternehmen im Falle einer Ransomware-Attacke am besten reagieren sollen. Geantwortet haben einige sogenannte Evangelisten von Security-Herstellern, sowie Experten des Testlabors AV-TEST. Zusätzlich haben wir die Kommentare von Herstellern eingeholt, die spezielle Detection- und Response-Lösungen oder klassischen Netzwerk-Schutz anbieten. Das spannende dabei: einige Experten lehnen die Zahlung bei einer Ransomware-Attacke rigoros ab. Andere stehen dazu, dass die Wirtschaftlichkeit entscheiden kann, etwa wenn die Existenz des Unternehmens auf der Kippe steht. Nachfolgend die Kommentare.
Kaspersky – Christian Funk
Christian Funk, Leiter des Forschungs- und Analyseteams in der Region DACH bei Kaspersky (Bild: Kaspersky).
Ein Kommentar von Christian Funk, Leiter des Forschungs- und Analyseteams bei Kaspersky. „Die Schäden, die durch Ransomware entstehen, haben sich in den vergangenen zwei Jahren laut der Bitkom mehr als vervierfacht. Unsere Analysen zeigen, dass etwa 20 cyberkriminelle Akteure vor allem hochrangige Organisationen zielgerichtet angreifen und seit 2019 als zusätzliches Druckmittel mit der Veröffentlichung von Daten drohen, sollte den Lösegeldforderungen nicht nachgekommen werden. Dies wird heute als „Big Game Hunting“ verstanden. Solche zielgerichteten Attacken sind um 767 Prozent von 2019 zu 2020 angestiegen. Die Pandemie drängte viele Unternehmen zur schnellen Einrichtung und Erweiterung adäquater Zugänge für Heimarbeitsplätze. Daraus resultierten oft schwach gesicherte oder fehlerhaft konfigurierte Systeme, die als Einfallstore von Angreifern ausgenutzt werden können und einen Treiber für den deutlichen Anstieg dieser Ransomware-Offensive darstellen.
„Hochrangige Organisationen greifen immer mehr zielgerichtet an“
Betroffene sollten kein Lösegeld zahlen. Es ist nicht garantiert, dass die verschlüsselten Daten wieder hergestellt werden – jedoch werden Cyberkriminelle in ihrem kriminellen Tun bestätigt. Um einem potenziellen Datenverlust vorzubeugen, sollten regelmäßige Sicherheits-Updates durchgeführt werden, um Schwachstellen schnellstmöglich zu beseitigen. Eine effektive Sicherheitssoftware für alle Endgeräte sichert zudem Computer und Server vor Ransomware und Malware, verhindert die Ausnutzung von Exploits und ist im Idealfall mit bereits installierten Sicherheitslösungen kompatibel. Zudem sollten stets in sinnvollen Abständen Backups erstellt werden.“ Kaspersky.de
G Data – Tim Berghoff
Tim Berghoff, Security Evangelist bei G DATA CyberDefense (Bild: G Data).
Ein Kommentar von Tim Berghoff, Security Evangelist bei G DATA CyberDefense: “Es gibt klare Vorstellungen, wie Unternehmen mit Ransomware umgehen sollten: Backup zurückspielen, gegebenenfalls den Fall der Datenschutzbehörde melden, Anzeige erstatten und vor allem: Niemals Lösegeld zahlen. Und tatsächlich: Eine Zahlung zu leisten ist, ohne Ausnahme, die schlechteste denkbare Option.
„Eine Zahlung zu leisten ist, ohne Ausnahme, die schlechteste denkbare Option“
Es gibt allerdings auch Gründe, die im Einzelfall für eine Zahlung sprechen können. Einer dieser Gründe ist rein wirtschaftlich. Wenn die Kosten für Produktionsausfälle, eventuelle Geldbußen und die Datenwiederherstellung den Lösegeldbetrag deutlich überschreiten, ist die Entscheidung schnell gefallen. Wenn der GAU eingetreten ist und kein Backup zur Verfügung steht, liegt der Gedanke an eine Zahlung auf der Hand. Vor allem dann, wenn das wirtschaftliche Aus des Unternehmens droht. Das gilt auch der Tatsache zum Trotz, dass die Höhe der Lösegeldforderungen allein zwischen 2020 und 2021 im Schnitt bis zu 500 Prozent angestiegen sind. Gleichzeitig hat auch die Anzahl der tatsächlich geleisteten Zahlungen drastisch zugenommen. Dazu kommt: Viele Opfer werden gleich mehrfach erpresst, indem Täter sowohl Daten verschlüsseln als auch mit deren Veröffentlichung drohen – und dies trotz Zahlung wahrmachen. Mehr Resilienz ist das Gebot der Stunde – vor allem, wenn gerade wie in den letzten Monaten unternehmenskritische Programme wie Microsoft Exchange oder auch von MSPs eingesetzte Management-Software wie die von Kaseya zum Ziel von Angriffen werden.” GData.de
Sophos – Michael Veit
Michael Veit, Security-Experte bei Sophos (Bild: Sophos).
Ein Kommentar von Michael Veit, Security-Experte bei Sophos „Die Gretchenfrage nach einer Ransomware-Attacke: Bezahlen oder nicht bezahlen. Immer wieder sind Unternehmen geneigt, aus der Notsituation heraus hohe Lösegeldsummen an Ransomware-Angreifer zu bezahlen. Es gibt viele Beispiele, bei denen sich Manager gezwungen sahen, auf die Forderungen einzugehen, da die vermeintlich rettenden Backups verschlüsselt oder beschädigt waren. Sie wollen die IT-Infrastruktur so schnell wie möglich wieder einsatzfähig haben oder entscheiden sich für die Zahlung, weil sie billiger als die Kosten für die Wiederherstellung scheint. Ein weiterer verbreiteter Grund ist es zu verhindern, dass gestohlene Daten verkauft oder öffentlich zugänglich gemacht werden. Auch Colonial Pipeline nannte einen dieser Gründe als Rechtfertigung für die Bezahlung.
„Wer zahlt sollte sich der Tatsache bewusst sein, dass sie keinerlei Garantie für die Wiederherstellung der Daten darstellt“
Doch die Bezahlung von Lösegeldern ist nicht nur aus legaler Sicht kritisch zu bewerten. Man sollte sich der Tatsache bewusst sein, dass sie keinerlei Garantie für die Wiederherstellung der Daten darstellt. Im State of Ransomware Report 2021 Report stellt Sophos fest, dass Unternehmen nach der Bezahlung von Lösegeld im Durchschnitt nur 65 Prozent ihrer Daten wiederherstellen konnten. Nur 8 Prozent der Unternehmen bekamen alle ihre Daten wieder und 29 Prozent konnten weniger als die Hälfte durch die Bezahlung retten. Zusätzlich zum Lösegeld müssen die hohen Begleit- und Folgeschäden einberechnet werden. Die Durchschnittskosten allein für die Wiederherstellung nach einem Ransomware-Angriff haben sich in nur einem Jahr mehr als verdoppelt, in Deutschland von rund 390.000 Euro zu 970.000 Euro in 2021.
Die zunehmende kriminelle Intensität, Kreativität und Intelligenz der Angreifer werden sich nicht eindämmen lassen, die Entwicklungen der letzten Jahre beschreibt eher das Gegenteil. Allerdings existieren viele und oft nicht genutzte Möglichkeiten, um das Gefahrenpotenzial zu senken.
Es sollte nicht erst ein Angriff nötig sein, damit ein Unternehmen oder eine Organisation eine stärkere Position im Bereich der Cybersecurity einnimmt. Man sollte sich jetzt die Zeit und die Ressourcen nehmen, die Sicherheitslage zu bewerten, um im Anschluss sofort und mit höchster Kompetenz – sowohl intern als auch mit externen Spezialisten – eine bessere und frühzeitige Abwehr wo immer es möglich ist zu etablieren. Sophos.com
Trend Micro – Udo Schneider,
Udo Schneider, IoT Security Evangelist Europe bei Trend Micro (Bild: Trend Micro).
Ein Kommentar von Udo Schneider, IoT Security Evangelist Europe bei Trend Micro: „Ein wirksamer Ransomware-Schutz sollte sowohl auf Netzwerkebene als auch am Endpoint ansetzen und drei grundlegende Funktionen erfüllen: Präventiv vor Angriffen schützen, verdächtige Vorfälle schnell erkennen und persistent den Betrieb aufrechterhalten.
Neben der IT wird auch das Internet der Dinge immer häufiger das Opfer von Erpressungssoftware. Eine Studie von Trend Micro zeigt, dass Varianten der Malware-Familien Ryuk, Nefilim und Sodinokibi für fast die Hälfte der Ransomware-Infektionen von industriellen Steuerungssystemen im Jahr 2020 verantwortlich waren. Deshalb ist es entscheidend, dass IT-Sicherheits- und OT-Teams enger zusammenarbeiten, um wichtige Systeme und Abhängigkeiten wie Betriebssystemkompatibilität und Laufzeitanforderungen zu identifizieren und so effektivere Sicherheitsstrategien zu entwickeln.
“ Neben der IT wird auch das Internet der Dinge immer häufiger das Opfer von Erpressungssoftware.“
Ein unmittelbares Patchen der Schwachstellen steht dabei an erster Stelle. Besteht diese Option nicht, sollten Unternehmen auf eine Netzwerksegmentierung und Virtual Patching zurückgreifen. Darüber hinaus gilt es Netzwerkfreigaben einzuschränken und starke Benutzername- und Kennwort-Kombinationen durchzusetzen. So wird Unbefugten der Zugriff durch Brute-Forcing von Anmeldeinformationen verwehrt. Zudem sollten Unternehmen auf das Prinzip der geringsten Rechte auf Netzwerkadministratoren und -betreiber setzen. Für Ransomware-Attacken gibt es leider kein Patentrezept. Deswegen ist ein Sicherheitskonzept, das mehrere Ebenen umfasst, entscheidend.“ TrendMicro.com
Bitdefender – Daniel Clayton
Daniel Clayton, Vice President of Global Security Operations and Support bei Bitdefender (Bild: Bitdefender).
Ein Kommentar von Daniel Clayton, Vice President of Global Security Operations and Support bei Bitdefender: „Ein Blick in die Schlagzeilen erweckt den Eindruck, dass Ransomware-Angriffe alltäglich sind. Die ausgewerteten Daten der Bitdefender-Telemetrie in unserem Consumer-Threat-Report von Mitte dieses Jahres April 2021 belegen dies: 2020 wuchs die Zahl der Angriffe mit erpresserischer Malware im Vergleich zu 2019 um 715 Prozent. Zunehmend drohen die Kriminellen nicht mehr nur, die Daten zu verschlüsseln, sondern auch sie zu verkaufen und offenzulegen. Letzteres ist allein schon durch die Meldepflicht aufgrund der DSGVO und anderer Regularien eine wirksame Drohung. IT-Verantwortliche sollten sich daher der Tatsache bewusst sein, dass ihr Unternehmen früher oder später Opfer einer erpresserischen Attacke werden kann. Ransomware-Angriffe können eher einfacher Art sein, sind aber oft komplex. In letzterem Fall ist die Gefahr groß, dass die Hacker nach einem gezahlten Lösegeld sich schon im Netzwerk eingebettet und den nächsten Angriff wirksam vorbereitet haben.
“Die Zahlung eines Lösegelds macht einen Angriff erst erfolgreich und neue Attacken wahrscheinlicher“
Sollte man das Lösegeld zahlen? Die klare Antwort lautet: Nein. Denn die Zahlung eines Lösegelds macht einen solchen Angriff erst erfolgreich und neue Attacken wahrscheinlicher. So lange wie Unternehmen Lösegelder zahlen, werden die Hacker neue Erpressungen starten. Und gerade deswegen sind Vorbeugen, MDR und die Minimierung möglicher Schäden durch Backups und Wiederherstellung entscheidend. Außerdem merken sich Hacker Unternehmen, die einmal gezahlt haben, als gute Ziele für die Zukunft. Die Wahrscheinlichkeit einer Wiederholungstat ist bei einem nicht zahlenden Opfer wesentlich geringer. Bitdefender.com
AV-TEST – Maik Morgenstern
Maik Morgenstern, CTO AV-TEST GmbH (Bild: AV-TEST).
Ein Kommentar von Maik Morgenstern, CTO AV-TEST GmbH: Über 400.000 neue Schädlinge registriert AV-TEST jeden Tag und jedes Unternehmen kennt es aus eigener Erfahrung: Man wird stets und ständig angegriffen. Ransomware ist dabei seit einigen Jahren eines der “erfolgreichsten” Geschäftsmodelle für Kriminelle. Zum einen sind die Angriffe vergleichsweise einfach durchzuführen. Angreifer kaufen sich die fertige Ransomware as a Service ein, nutzen Spamdienstleister und attackieren mit einem Schlag ohne Aufwand viele Unternehmen.
“Die Notwendigkeit von Prävention kann gar nicht stark genug betont werden“
Dazu kommt der hohe Leidensdruck bei den Opfern und die direkte Umwandlung einer erfolgreichen Infektion in bare Münze. Auch wenn immer wieder geraten wird, nicht zu zahlen, bleibt manchem Unternehmen gar keine Wahl. Deswegen kann hier die Notwendigkeit von Prävention gar nicht stark genug betont werden. Neben gängigen Maßnahmen wie regelmäßigen und vollständigen Backups, sowie stets aktuellen Schutzprodukten auf dem Client und am Gateway, muss auch der Faktor Social Engineering betrachtet werden. Alle Nutzer sollten über Art der Angriffe und die richtige Reaktion auf potentielle Spam- und Malware-Mails in regelmäßigen Schulungen vorbereitet werden. AV-TEST.org
Bitglass – Anurag Kahol
Anurag Kahol, CTO Bitglass (Bild: Bitglass).
Ein Kommentar von Anurag Kahol, CTO Bitglass: „In ihren Verteidigungsmaßnahmen gegen Ransomware konzentrieren Unternehmen sich in erster Linie darauf, jegliche Angriffsvektoren zu schließen. Dafür nutzen sie intelligente Security-Lösungen, die verdächtige E-Mails kennzeichnen und blockieren, Malware an Endpunkten und in der Cloud schützen und unberechtigten Zugriff auf Unternehmensressourcen absichern. Für eine umfassende Strategie gegen Ransomware stellt das Verhindern eines Befalls jedoch nur eine Seite der Medaille dar. Einen Maßnahmenplan für die nächste Eskalationsstufe – einen erfolgreichen Angriff – gibt es eher selten.
“Einen Maßnahmenplan für die nächste Eskalationsstufe – einen erfolgreichen Angriff – gibt es eher selten“
Dabei liegen die Prioritäten dafür auf der Hand: Zunächst geht es um die Aufrechterhaltung oder möglichst schnelle Wiederaufnahme des Geschäftsbetriebs. Um sich dafür zu rüsten, müssen Unternehmen die Relevanz einzelner Bestandteile ihrer IT-Systeme für den Geschäftsbetrieb bewerten, diverse Ausfallszenarien durchspielen und entsprechende Vorkehrungen für den Notfallbetrieb treffen. Ebenfalls bedeutend ist der Schutz sensibler Unternehmensdaten, denn es besteht die Gefahr, dass Cyberkriminelle diese entwenden und für ihre Zwecke missbrauchen. Diesem Szenario können Unternehmen mit der kontinuierlichen Verschlüsselung sensibler Daten vorbeugen. Wenn alle Maßnahmenebenen ineinandergreifen – die Abwehr von Ransomware-Infektionen, Vorkehrungen für die Aufrechterhaltung des Geschäftsbetriebs sowie beständiger Schütz der wertvollsten Unternehmensdaten – können Unternehmen ihre Resilienz gegen Ransomware-Angriffe deutlich erhöhen.“ Bitglass.com
Digital Guardian – Tim Bandos
Tim Bandos, Chief Information Security Officer bei Digital Guardian (Bild: Digital Guardian).
Ein Kommentar von Tim Bandos, Chief Information Security Officer bei Digital Guardian: „Jedes Jahr entwickeln Ransomware-Betreiber und -Entwickler ihr Handwerk und ihre Technologie weiter. Die Gruppe DarkSide, die hinter dem Colonial Pipeline-Hack steckt, hat ein professionelles Geschäftsmodell, das dies deutlich macht: Die Kriminellen bieten ihren Opfern technischen Support, verfolgen einen ‚ethischen‘ Ansatz bei der Auswahl ihrer Ziele, stehlen Daten zu Erpressungszwecken und vieles mehr.
„Es gibt eine Vielzahl von Lösungen, die helfen können, Ransomware-Infektionen zu verhindern“
Es gibt eine Vielzahl von Lösungen, die helfen können, Ransomware-Infektionen zu verhindern. Antiviren-Software und Firewalls können zumindest dazu beitragen, bekannte, verbreitete Malware-Stämme zu blockieren. Für zusätzlichen Schutz sollten Unternehmen Advanced Threat Protection (ATP) und Endpoint Detection and Response (EDR)-Lösungen in Betracht ziehen, um das Erkennen und Blockieren von Ransomware zu optimieren. Managed Detection and Response (MDR) kann zudem eine gute Alternative für Unternehmen sein, für die es schwierig ist, EDR aufgrund begrenzter interner Ressourcen selbst umzusetzen.
Weiterhin sollten Whitelisting-Lösungen für Anwendungen verwendet werden, um die Ausführung von bösartigem Code zu unterbinden. Auch sollte auf die korrekte Verfolgung von Berechtigungen geachtet werden. Jeder Mitarbeiter, der Zugang zu Systemen erhält, schafft eine potenzielle Schwachstelle für Ransomware. Mit einem mehrschichtigen Sicherheitsansatz aus Mitarbeiteraufklärung, kontinuierlichen Update- und Backup-Praktiken sowie Sicherheitstechnologien lässt sich das Risiko eines Ransomware-Angriffs deutlich verringern.“ DigitalGuardian.com
ForeNova – Paul Smit
Paul Smit, Director Professional Services bei ForeNova (Bild: ForeNova).
Ein Kommentar von Paul Smit, Director Professional Services bei ForeNova: „Es geht nicht mehr um das Abwehren einzelner Angriffe, sondern um den Kampf gegen organisierte Banden. Den Ransomware ist organisierte Kriminalität geworden. Das verlangt eine entsprechende Abwehr. Angesichts der Ransomware-Gefahr ist Vorbeugen unverzichtbar.
“Es geht nicht mehr um das Abwehren einzelner Angriffe, sondern um den Kampf gegen organisierte Banden“
Backups sichern Daten und können einen Datenverlust ausschließen, nicht aber das Offenlegen und den Verkauf von Informationen. Für die Abwehr ist es zentral, einen Angriff so früh wie möglich zu erkennen. Dafür muss aber der ganze Datenverkehr innerhalb des Netzes und von innen sowie nach außen beobachtet werden. So lassen sich KI-gestützte Verhaltensmuster, wie verdächtige Lateral Movements, Angriffe auf Sicherheitslücken oder Malwareinstallationen sowie das böswillige Eindringen, ein auffälliger Datenabfluss oder das unmittelbare Vorbereiten des Verschlüsselns bemerken. Betroffene Systeme lassen sich blockieren und Angriffe schnell eindämmen, bevor sie Schaden anrichten.
Sollte man bei Ransomware-Angriffen zahlen? Nichts spricht dafür, ein Lösegeld zu zahlen. Denn eine Garantie, die Daten entschlüsselt wieder zu erhalten, hat niemand. Der Schaden durch Ausfallzeiten, bis die Systeme wieder laufen, bleibt in jedem Falle. Einmal abgeflossene Informationen lassen sich zudem immer noch gewinnbringend verkaufen oder veruntreuen. Und die Hintertür für den nächsten Angriff ist eventuell schon wieder einen Spalt offen. ForeNova.com
Radar Cyber Security – Ali Carl Gülerman
Ali Carl Gülerman, CEO and General Manager bei Radar Cyber Security (Bild: Radar Cyber Security).
Ein Kommentar von Ali Carl Gülerman, CEO and General Manager bei Radar Cyber Security: „Unternehmen befinden sich heutzutage in einem permanenten Kampf gegen Infiltration. Cyber Security muss deshalb aus dem Schatten der IT heraustreten und zur strategischen Entscheidungsvorlage für den Vorstand werden – ähnlich wie Personal oder Forschung & Entwicklung. Cybersicherheit ist längst Teil der Wertschöpfungskette geworden.
“Unternehmen befinden sich heutzutage in einem permanenten Kampf gegen Infiltration“
Für eine umfassende Prävention gegen Cyberattacken, inklusive Ransomware, sollten Unternehmen ein eigenes Cyber Defense Center oder CDC as a Service in Betracht ziehen, da sie hierdurch ihre Cyber-Resilienz massiv stärken können. Es hilft Unternehmen, die riesige Anzahl von Warnungen, neuen Bedrohungen und Anomalien zu analysieren, die die technische Sicherheitsinfrastruktur identifiziert.
Ein Cyber Defense Center – auch als Security Operations Center (SOC) bekannt – verbindet IT-Sicherheitsexperten, Prozesse und Technologien. Im CDC untersuchen geschulte Fachkräfte Internetverkehr, Netzwerke, Desktops, Server, Endgeräte, Datenbanken, Anwendungen und andere IT-Systeme kontinuierlich auf Anzeichen für einen Sicherheitsvorfall. Das CDC ist als Security-Kommandozentrale eines Unternehmens damit für die kontinuierliche Überwachung der Sicherheitslage verantwortlich, um Angriffe zu verhindern und im Fall eines Sicherheitsverstoßes angemessene Gegenmaßnahmen einzuleiten.“ RadarCS.com
Barracuda Networks – Klaus Gheri
Klaus Gheri, General Manager Network Security bei Barracuda Networks (Bild: Barracuda).
Ein Kommentar von Klaus Gheri, General Manager Network Security bei Barracuda Networks: „Lösegeld zahlen oder nicht zahlen? Die politisch korrekte Antwort ist nicht bezahlen, weil das die eigene Attraktivität als zukünftiges nochmaliges Ziel reduziert. In der Praxis liegt der Fall natürlich anders. Wenn wesentliche Daten nicht mehr zugänglich bzw. mit vernünftigem Aufwand wiederherstellbar sind, dann bleiben einem Unternehmen nicht mehr viele Optionen. Das ist somit weniger eine moralische als eine kaufmännische Entscheidung. Die Zahlung entbindet natürlich nicht von der Notwendigkeit einer forensischen Aufarbeitung und Aufräumaktion im Nachgang zusätzlich zu neu zu tätigen Schutzmaßnahmen, die gegen Wiederholung absichern. Umso mehr ist es angeraten, in Prävention zu investieren, solange man noch kann.
“Ist ein Ransomware-Angriff geglückt, hilft in der Regel nur noch eine Radikalkur“
Ist ein Ransomware-Angriff geglückt, hilft in der Regel nur noch eine Radikalkur: Systeme abschalten, neu installieren und ein Backup einspielen – immer mit der Hoffnung, dass das Ransomware-Paket nicht bereits Teil eines Backups war. Bevor aber das Backup wieder eingespielt werden kann, muss das Einfallstor bekannt sein und das Netzwerk quasi mit digitalen Dampfstrahlern gereinigt worden sein. Am einfachsten und am schnellsten geschieht dies nach einem vorgefertigten Notfallplan. Die Krux an der Sache ist leider, dass derartige Notfallpläne oft nicht existieren, weil die Notwendigkeit und die Gefährdung der eigenen Systeme nicht erkannt oder unterschätzt wurde. Oft wird dann mit großer Hektik ein Problem gelöst und zwei neue kommen dazu. Die Strategie kann also nur lauten: schnelles, aber koordiniertes Handeln. Auch wenn sich eine Organisation dazu entschließt zu bezahlen, müssen die Aufräumarbeiten trotzdem erledigt werden, sonst wird man nur kurze Zeit später wieder in der gleichen Lage sein.“ Barracuda.com