Ransomware-Angriffe: Wie man sich besser absichern kann

Wie sich Angriffe abspielen können

Ein politisch und ökonomisch immer stärker isoliertes Russland kann dennoch gefährlich sein. Denn um die gravierenden wirtschaftlichen Verluste zu kompensieren, die durch eine gleichermaßen starke wie geschlossene Reaktion der EU und insbesondere Deutschlands entstanden sind, könnten russische Hacker damit beginnen, wichtige Volkswirtschaften der Europäischen Union ins Visier zu nehmen. Zum einen um Rache für die schmerzhaften Sanktionen zu nehmen und zum anderen um die finanziellen Ausfälle ein Stück weit durch Lösegeldzahlungen ihrer Opfer zu kompensieren.

Es ist damit zu rechnen, dass die unter staatlicher Kontrolle befindlichen Hackerkollektive darauf abzielen, wertvolle Daten deutscher Firmen abzuschöpfen und ihre Server zu verschlüsseln, wo immer sie deren IT-Sicherheit überwinden können. Im Anschluss an ihre initiale Cyberattacke werden die Angreifer aller Voraussicht nach horrende Lösegeldforderungen an die Opferbetriebe stellen. Die Vermutung liegt außerdem nahe, dass selbst bei geleisteter Lösegeldzahlung keine Entschlüsselung der Daten erfolgen würde. Die Vergangenheit hat gezeigt, dass staatlich beauftragte Hackerangriffe vor allem den maximalen Schaden für ihre Opfer im Sinn haben. Das Lösegeld ist zwar nicht irrelevant – vor allem nicht in der aktuellen Wirtschaftslage. Es kann dennoch als zweite Priorität betrachtet werden.

Sollte es zu einem russischen Ransomware-Angriff kommen, wird er sich mit größter Wahrscheinlichkeit in drei Stufen abspielen:

1. Ein Angriff wird mit dem Ziel gestartet, sich Zugang zu kritischen Systemen und Daten zu verschaffen.
2. Mit den richtigen Sicherheitsmaßnahmen kann der Angriff sofort gestoppt werden. Findet der Angreifer eine Schwachstelle, kann er auf wichtige Unternehmensdaten zugreifen und sie sofort verschlüsseln.
3. Nach erfolgreicher Verschlüsselung nehmen die Angreifer dann Verhandlungen mit ihrem Opfer auf. Die meisten Gespräche finden jedoch zwischen dem CISO und anderen Führungskräften sowie der Cyberversicherungsgesellschaft statt.

Wer bis jetzt auf einen Weckruf gewartet hat, sollte nun handeln

Viele Unternehmen in Deutschland – wie auch die Politik – haben sich viel zu lange auf der sogenannten Friedensdividende ausgeruht und Investitionen in Sicherheitsmaßnahmen aufgeschoben. Umso unangenehmer fällt nun das böse Erwachen aus langgeglaubten Gewissheiten aus. Viele müssen sich nun eingestehen, dass sie die Lage falsch eingeschätzt und die Bedrohungslage unterschätzt hatten. Doch noch ist es nicht zu spät, gegenzusteuern. Die Politik hat es vorgemacht und eine beispiellose Kehrtwende vollzogen, um der neuen Situation Rechnung zu tragen und mehr in die Sicherheit zu investieren.

Was können Unternehmen tun, um ihre IT-Sicherheitslage in Erwartung konzertierter Vergeltungsmaßnahmen russischer Hacker zu verbessern?

• Verbesserung der allgemeinen Cyberhygiene, die als eine Reihe von Praktiken zur Gewährleistung des sicheren Umgangs mit kritischen Daten und zur Sicherung von Netzen beschrieben wird
• Ermöglichung einer 24/7-Sichtbarkeit über das gesamte IT-Ökosystem
• Erstellung oder Verbesserung von Datensicherungen

Allem voran sollte eine gründliche Überprüfung des Status Quo stehen. Nur eine ausführliche Bestandsaufnahme aller vorhandenen IT-Sicherheitsmaßnahmen wie Patching und eine lückenlose Auflistung der firmeneigenen IT-Assets kann Aufschluss darüber geben, wo im Notfall nachgebessert werden muss. Weiterhin sollten alle Mitarbeiter für die erhöhte Bedrohungslage sensibilisiert werden. Nicht selten erfolgen Angriffe über Phishing-Mails oder stützen sich anderweitig auf Ausrutscher unvorsichtiger Mitarbeiter.

Wie bei einer Brandschutzübung ist es auch in Fragen der IT-Sicherheit sinnvoll, seine Mitarbeiter über die korrekte Verhaltensweise im Notfall zu schulen. Verantwortliche für die IT-Sicherheit sollten daher einen durchdachten Notfallplan ausarbeiten und diesen im gesamten Unternehmen kommunizieren. Dabei gilt es, alle Notfallmaßnahmen durchzuexerzieren und die Verlässlichkeit der Schutzmaßnahmen zu testen. Dazu gehört auch, die Funktionalität von Datensicherungen zu überprüfen. Neben einer konsequent gelebten Cyberhygiene der gesamten Belegschaft sind es vor allem die Daten-Backups, die eine frühe Wiederaufnahme des Tagesgeschäft im schlimmsten Fall gewährleisten können.

„Die Basis jeder guten IT-Sicherheitsstrategie ist, sein digitales Terrain zu kartieren und mögliche Schwachstellen aufzuspüren.“

Zac Warren, Tanium

Sollte bisher noch kein Backup eingerichtet worden sein, ist das eine der wichtigsten Maßnahmen, die als erstes in Angriff genommen werden muss. Eine wasserdichte Backup-Strategie ist zwar nicht ganz billig – um den bestmöglichen Schutz zu erhalten sollten diese möglichst häufig erfolgen. Doch nicht alle Daten sind unternehmenskritisch. Daher empfiehlt es sich zunächst einmal die relevanten Daten und deren Speicherort zu identifizieren. Ist dies geschehen, kann im nächsten Schritt ein geeigneter und isolierter Serverbereich angelegt und ein Terminplan für die regelmäßigen Backups konzipiert werden.

Ein weiterer, oft vernachlässigter Schritt der Vorfallreaktion (Incident Response) ist es, das BSI über den Vorfall zu informieren. Betreiber der kritischen Infrastruktur sind sogar gesetzlich dazu verpflichtet. Doch auch größere und mittelständische Betriebe sind gut beraten, sich Hilfe bei den Experten des BSI zu holen.

Dadurch wird sichergestellt, dass kritische Hilfe geleistet wird und die Behörden nützliche Daten zur Verbesserung der nationalen Sicherheitsstrategie zusammenstellen können.

Die Basis jeder guten IT-Sicherheitsstrategie ist, sein digitales Terrain zu kartieren und mögliche Schwachstellen aufzuspüren. Die Sichtbarkeit aller Endgeräte sowie deren Vernetzung und Kommunikation untereinander ist dafür eine unverzichtbare Grundlage. Assets, die man nicht sieht, kann man nicht schützen. Versteht man die Struktur seiner IT-Infrastruktur sowie deren Prozesse nicht, kann man auch keine Schwachstellen ermitteln.

Ein lückenloser Überblick über das gesamte Firmennetz in Echtzeit ist eine Grundvoraussetzung für jedes weitere Vorgehen und somit der beste Schutz gegen künftige Cyberangriffe.

Fazit

Die Welt durchlebt gerade konfliktreiche Zeiten. Der Krieg in der Ukraine markiert eine Zäsur, nicht nur in der internationalen Politik, sondern auch für das Sicherheitsbewusstsein in Europa. Wir müssen uns der schmerzlichen Realität stellen, dass weder Frieden noch Sicherheit eine Selbstverständlichkeit sind und stetige Bemühungen für deren Aufrechterhaltung erfordern. Zwar können Unternehmen und Zivilgesellschaft keinen unmittelbaren Einfluss auf geopolitische Entscheidungen nehmen. Durch Aufmerksamkeit und gewissenhafte Vorsorge können wir uns jedoch gegen die Auswirkungen rüsten und uns auf die verschärfte Bedrohungslage einstellen. Die Versäumnisse der Beschwichtigungspolitik haben uns schmerzhaft vor Augen geführt, dass die Vernachlässigung von Sicherheitsinteressen uns in eine verwundbare Position manövriert haben. Wer nicht auf den Notfall vorbereitet ist, macht sich erpressbar. Dies gilt für die reale Welt sowie für die Cybersphäre gleichermaßen und sollte uns eine Lehre für die Zukunft sein.

Über den Autor:
Zac Warren ist Senior Director Cybersecurity Advisory, EMEA bei Tanium.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.