beebright - stock.adobe.com
Wie können Unternehmen der Bedrohung Ransomware begegnen?
Die Bedrohung für Firmen über Schadsoftware und deren Wirkung erpresst zu werden, nimmt weiter zu. Wie können sich Unternehmen und IT-Teams besser gegen Ransomeware wappnen?
Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat darauf hingewiesen, dass die Zahl der gemeldeten Ransomware-Fälle im Jahr 2019 im Vergleich zum Vorjahr um 37 Prozent gestiegen ist. Im gleichen Zeitraum erhöhten sich die Verluste durch solche Fälle um 147 Prozent.
Dieser Anstieg ist teilweise darauf zurückzuführen, dass Softwareprodukte und Programmcode so komplex geworden sind und es heute kaum noch möglich ist, ein Programm ohne Schwachstellen auf den Markt zu bringen. Auch die Monetarisierung ist ein wichtiger Faktor: So mancher Hacker betrachtet Ransomware als eine einfache Möglichkeit, an Kryptowährung zu gelangen. Und schließlich haben APT-Gruppen (Advanced Persistent Threat) und kriminelle Organisationen Ransomware-Attacken auf ein neues Level gehoben und sehen sie als Einnahmequelle zur Finanzierung ihrer laufenden Aktivitäten.
Bevorzugte Ziele
Insbesondere wird Ransomware das Gesundheitswesen weiter ins Visier nehmen, sind doch die Angreifer zu dem Schluss gekommen, dass in diesem Sektor aufgrund der Gefahr für Leib und Leben mit größerer Wahrscheinlichkeit gezahlt werden wird.
Auch bei Kommunalverwaltungen hat sich Ransomware als recht erfolgreich erwiesen. Das liegt nicht zuletzt daran, dass zunehmend der Eindruck entsteht, die Übeltäter würden hier ihr Geld bekommen, weil die Systeme nicht ausfallen dürfen.
Doch auch Unternehmen außerhalb dieser Sektoren sollten sich nicht in Sicherheit wiegen, denn es gibt auch Angreifer, die nach dem Gießkannenprinzip vorgehen und Malware großflächig verteilen. Da ihnen dabei keine hohen Kosten entstehen, werfen sie einfach das Netz weit aus, in der Hoffnung, auf diese Weise zahlungswillige Opfer zu finden.
Sind Lösegeldzahlungen legal?
Eine Frage, die sich viele Unternehmensleitungen stellen, lautet: Sollen wir auf Ransomware-Forderungen eingehen? Die vorherrschende Ansicht ist, dass man das nicht tun sollte, und auch die US-Regierung und das FBI stehen auf diesem Standpunkt.
Unternehmen könnten versucht sein zu zahlen, wenn sie wissen, dass sich das Risiko für ihr Unternehmen auf 100 Millionen US-Dollar beläuft, während das geforderte Lösegeld nur ein paar Millionen Dollar beträgt. Aus geschäftlicher Sicht ist das ein akzeptabler Preis dafür, den Geschäftsbetrieb fortsetzen zu können. Jedoch müssen sich Unternehmen über die diesbezüglichen OFAC-Richtlinien im Klaren sein.
Das OFAC hat neue Richtlinien veröffentlicht, um gegen Lösegeldzahlungen und die Nutzung von Ransomware-Versicherungen vorzugehen. US-amerikanische Unternehmen müssen sich bewusst sein, dass sie unzulässig handeln und haftbar sind, wenn sie sich – und sei es nur indirekt – an Transaktionen mit Personen oder Organisationen beteiligen, die entweder auf der Liste der „Specially Designated Nationals and Blocked Persons“ (SDN-Liste) stehen oder aus Ländern stammen, die mit landesweiten oder regionalen Embargos belegt sind, wie etwa der Iran und Nordkorea.
So wurde ein ehemaliger Sicherheitschef von Uber angeklagt, weil er versucht haben soll, einen Hackerangriff gegenüber den Bundesermittlern zu vertuschen. Um zu verhindern, dass der Vorfall bekannt wurde, soll er über ein Bug-Bounty-Programm 100.000 US-Dollar an die Angreifer gezahlt haben. Vor diesem Hintergrund werden wir vermutlich bald einen spektakulären Fall erleben, bei dem das OFAC auf seine Warnungen Taten folgen lässt, nachdem ein großes Unternehmen bei einer heimlichen Lösegeldzahlung ertappt wurde.
„Ransomware wirft ein Schlaglicht auf die Tatsache, dass wir von Backups abgekommen sind und uns zu sehr auf die Cloud und die Backup-Strategien der Cloud-Anbieter verlassen.“
Jörg Vollmer, Qualys
Maßnahmen gegen Ransomware
Angesichts des Risikos, Bußgelder zahlen zu müssen, sollten CISOs den Schwerpunkt besser darauf legen, sich gründlicher gegen Ransomware-Angriffe zu wappnen. Erreichen lässt sich das durch eine bessere Übersicht über die Assets, die verhindern hilft, dass Angriffe Erfolg haben, und durch eine gründliche Business-Continuity-Planung rund um die Daten, falls doch ein Angreifer die Abwehr durchdringt und Daten kompromittiert.
Ransomware wirft ein Schlaglicht auf die Tatsache, dass wir von Backups abgekommen sind und uns zu sehr auf die Cloud und die Backup-Strategien der Cloud-Anbieter verlassen. Das lässt den logischen Schluss zu, dass Cloud-Ressourcen wahrscheinlich das nächste Standbein sein werden, das sich Ransomware-Angreifer schaffen.
Deshalb empfiehlt es sich, die Backup- und Wiederherstellungspläne und -verfahren zu überdenken, da diese bisher kein Hauptschwerpunkt waren. Viele mögen denken, dass ein Umstieg auf die Cloud diese Notwendigkeit bis zu einem gewissen Grad verringert, doch das Gegenteil ist der Fall. Für Ihre Daten in der Cloud sind Sie verantwortlich. Sie brauchen deshalb sowohl einen vollständigen Überblick über alle ihre Assets als auch eine Resilienzstrategie, damit die Daten korrekt und sicher bleiben.
Allgemeine Empfehlungen zu Ransomware
- Es sollte überall 2-Faktor-Authentifizierung angewendet werden.
- Gestalten Sie Ihre Systeme redundant und ausfallsicher.
- Nutzen Sie Endpunkterkennung, damit Sie sofort informiert sind, wenn es zu einem Vorfall kommt.
- Eine Investition in eine Cloud-Plattform kann Prävention, Erkennung und Reaktion über den gesamten Angriffslebenszyklus hinweg ermöglichen. So können IT-Verantwortliche sofort feststellen, welche anderen Systeme genauso konfiguriert sind wie das betroffene und mit welchen Systemen das betroffene System verbunden ist, und können die Kommunikation umgehend unterbrechen.
- Patch-Management ermöglicht Unternehmen zudem, diejenigen Systeme als Erste zu patchen, die die gleiche Konfiguration haben wie das betroffene System. Dazu sollten Sie über eine zentralisierte Ansicht („Single Pane of Glass“) verfügen, um den Vorfall schnellstmöglich in den Griff zu bekommen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
