JRB - Fotolia

Ransomware: Menschliches Fehlverhalten nicht unterschätzten

Angriffe durch Ransomware erfolgen in der Regel über E-Mail-Kampagnen. Damit ist der Faktor Mensch in diesem Szenario wichtiger Bestandteil.

Anfang 2016 wurde Deutschland von einer Vielzahl von Angriffswellen mit Ransomware erfasst. Zahlreiche öffentliche Einrichtungen, aber auch private Organisationen waren unter den Opfern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mehrere Berichte und Studien über die Vorfälle veröffentlicht (siehe auch Ein Drittel der Unternehmen von Ransomware betroffen).

In einer aktuellen Umfrage stellt sich dabei heraus, dass verseuchte E-Mail-Anhänge in über 80 Prozent die Hauptursache für erfolgreiche Angriffe waren. Weiter gaben 60 Prozent der Befragten an, dass sich die Bedrohungslage in ihrer Organisation verschärft hat.

In den Medien hielten sich Unternehmen eher bedeckt. Es waren vor allem Kommunalverwaltungen und Krankenhäuser, die als Opfer Erwähnung fanden. In einigen wenigen Fällen machten die Sicherheitsverantwortlichen der betroffenen Einrichtungen sogar selbst auf ihren Fall aufmerksam. Unternehmen schweigen oft zu Angriffen, da sie Angst um ihren Ruf haben.

Aktuelle Studien zeigen, dass nur rund 15 Prozent aller Firmen nach einer erfolgreichen Cyberattacke sich als Geschädigte zu erkennen geben. Selten wird Anzeige erhoben, da man dies als zusätzlichen Aufwand empfindet. Stattdessen steht die schnelle Wiederherstellung der Netzwerke im Vordergrund. Cyberkriminelle nutzen diesen Umstand und wissen, dass IT-Abteilungen für eine schnelle Instandsetzung bereit sind, das Lösegeld zu zahlen.

Unternehmen müssen sich auf interne Bedrohungen vorbereiten

Das BSI rät Unternehmen, sich auf ein neues Paradigma einzustellen und grundsätzlich immer Anzeige zu erstatten. Organisationen müssen jederzeit damit rechnen, dass ihre Systeme und Netzwerke kompromittiert werden („Assume the Breach“). Cyberkriminelle werden immer Mittel und Wege finden, um Sicherheitsvorkehrungen zu überwinden. Strukturen und Prozesse sollten entsprechend angepasst werden.

Die Anfälligkeit für Ransomware zeigt, dass viele Unternehmen die Gefahr unterschätzen. Besonders der Faktor Mensch wurde bisher nicht ausreichend bedacht. Da so viele erfolgreiche Infizierungen durch schädliche E-Mails verursacht wurden, müssen Nutzer und ihre Zugangskonten besser verwaltet werden. Social Enginering und immer besser getarnte Malware sind sichere Methoden, um Zugangsdaten abzugreifen und Benutzerkonten zu kompromittieren.

Abbildung 1: Infektionen mit Ransomware sind in allen Unternehmensgrößen zu verzeichnen.

Die innere Bedrohung ist real – egal, ob durch mutwilliges Fehlverhalten, gestohlene Zugangsdaten oder Leichtsinnigkeit. Das Wirtschaftsprüfungsunternehmen PWC argumentierte in einer Untersuchung, dass 48 Prozent aller Sicherheitsverletzungen durch menschliches Versagen verursacht werden und somit durch Threat Intelligence nicht gestoppt werden könnten.

Angriffe werden besonders dann kritisch, wenn die Cyberkriminellen Zugang zu privilegierten Benutzerkonten haben. Die Zahl solcher Accounts ist groß: Eigene Admins für Windows-Umgebungen und virtuelle Plattformen, SAP-Superuser oder DBAs für die Datenbanksysteme sind nur einige wenige Beispiele. Häufig sind diese Konten nicht an eine einzige Person geknüpft, sondern werden von mehreren Benutzern geteilt.

Anzahl der Angriffsvektoren steigt durch ungesicherte Accounts

Die Verwaltung und Segmentierung von Zugängen und User-Sessions dient sowohl der Vorsorge, als auch forensischen Analyse. Nach einem Angriff können IT-Verantwortliche sehen, wie und wann die Schadsoftware ins Netzwerk gelangt ist. Zusätzlich können sie sich umgehend einen Überblick über das Ausmaß des Einbruchs machen.

Die Analyse ist wichtig für Unternehmen, bei denen auch Dienstleister und externe Mitarbeiter Zugriff auf Unternehmensressourcen haben. Im „Information Security Breaches Survey“ von PWC geben 82 Prozent aller Unternehmen an, in irgendeiner Form externe Dienstleister beschäftigt zu haben. 90 Prozent räumen dazu noch ein, dass es bei ihnen im vergangenen Jahr zu einem Sicherheitsereignis irgendwelcher Art gekommen war. Überraschend ist dabei, dass 48 Prozent der Sicherheitsverletzungen auf menschliches Versagen zurückzuführen waren, 17 Prozent der Fälle gingen auf bewussten menschlichen Missbrauch von Systemen zurück.

Ransomware ist nur ein Bereich von vielen, den das Thema Privileged Access Management (PAM) adressiert. KuppingerCole stellt generelle Defizite im Life-Cycle-Management für privilegierte Anwender fest. Wenn Unternehmen hier nicht handeln, führt dies unweigerlich zur Missachtung von Compliance-Vorgaben, weil nicht feststellbar ist, wer ein Admin-Konto eigentlich nutzt und welche Aktionen die Anwender bei ihren Sitzungen ausführen.

Um die Belastung der Administratoren und Sicherheitsabteilungen zu reduzieren, sollte ein entsprechendes Tool implementiert werden. PAM-Tools übernehmen Aufgaben vom Onboarding einer Anwendung, die laufende Pflege bis hin zum Offboarding eines Accounts. Sie decken dabei den kompletten Lebenszyklus ab: von der anfänglichen Integration ins System über alle Veränderungen während der Lebensdauer bis hin zu dem Zeitpunkt, an dem die Anwendung ausgemustert und aus dem System entfernt wird.

Fazit

Die Ransomware-Angriffe haben viele Organisationen kalt erwischt. Die Analyse des BSI zeigt, dass als Hauptangriffsvektor E-Mail-Kampagnen genutzt wurden. Grundsätzlich gibt es also keinen Mangel an Sicherheitslösungen, sondern bestehende Sicherheitstools wurden einfach umgangen. Schlussendlich war es der Faktor Mensch, der unzureichend betrachtet und vorbereitet wurde und damit eine derart hohe Anzahl an Infektionen ermöglichte.

„Schlussendlich war es der Faktor Mensch, der unzureichend betrachtet und vorbereitet wurde und damit eine derart hohe Anzahl an Infektionen ermöglichte.“

Markus Westphal, Wallix

xxxx

Die Verwaltung von Nutzer-Accounts ist ein Schlüssel zu mehr Sicherheit und wird durch die veränderte Gefahrenlandschaft immer wichtiger. PAM-Lösungen setzen genau hier an und erleichtern IT-Abteilungen die tägliche Arbeit. Sie automatisieren nicht nur mehrere Arbeitsgänge, sondern helfen auch bei der Sicherung von Compliance und der Erstellung von Audits.

Nach einem erfolgreichen Angriff erlaubt es PAM, einen genauen Ablauf des Vorfalls zu rekonstruieren, um Schwachstellen ausfindig zu machen. Mit der richtigen Architektur können entsprechende Policies direkt für die verwalteten Nutzerkonten implementiert und durchgesetzt werden.

Über den Autor:
Markus Westphal ist Director Central Eastern Europe bei Wallix.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close