Umgang mit Ransomware

1


2

Bösartige Software gibt es schon seit den 1980er-Jahren. Allerdings hat in dieser langen Geschichte keine Bedrohung für so viel Panik in der Geschäftswelt geführt wie Ransomware.

Cyberangriffe können unterschiedlichster Natur sein. Am einfachsten zu verstehen sind Denial-of-Service-Angriffe, wie DDoS, die Systeme auf irgendeine Art unbrauchbar machen. Dann gibt es Angriffe, bei denen Daten gestohlen, verändert oder unzugänglich gemacht werden, wie zum Beispiel Datenschutzverletzungen oder der Diebstahl von Anmeldeinformationen. Zu guter Letzt sind Angriffe zu nennen, bei denen direkt Geld gestohlen werden soll, wie Business Email Compromise (BEC) oder Finanztrojaner.

Was Ransomware so beängstigend macht, ist, dass diese Malware fast als einzige all diese drei Kategorien in sich vereint. Dies macht sie für viele Kriminelle interessant. Das Endergebnis ist nicht unerheblich: Im schlimmsten Fall stellen Ransomwareangriffe nicht nur für Opfer und ihre Lieferketten eine existenzielle Bedrohung dar, sondern, wie sich mit dem Angriff auf die Colonial Pipeline im Jahr 2021 gezeigt hat, auch für ganze Volkswirtschaften.

Einer der Aspekte, die Ransomwareangriffe so gefährlich machen, ist die Geschwindigkeit, mit der sich der Angriff vollzieht. Große Angriffe können Monate der Vorbereitung erfordern, aber aus Perspektive des Opfers passiert alles in nur wenigen Augenblicken. So kann es vorkommen, dass IT-Teams innerhalb von Minuten nach der ersten Supportanfrage entdecken, dass bereits hunderte von Maschinen infiziert, Server heruntergefahren und sogar Backups und Dateien verschlüsselt wurden.

Wenn E-Mail-Systeme betroffen sind, kann es für die Belegschaft zudem schwierig sein, sicher untereinander zu kommunizieren. Zu diesem Zeitpunkt ist in den meisten Fällen bereits das Chaos ausgebrochen und das IT-Team trennt die Verbindung zu betroffenen Systemen, um eine weitere Ausbreitung der Ransomware zu verhindern.

Angreifer stellen dann schnell eine Lösegeldforderung, üblicherweise im fünfstelligen Bereich, und drohen damit, dass die Summe weiter steigt, wenn sie nicht schnell bezahlt wird. Um noch mehr Druck auszuüben, wird mittlerweile standardmäßig angedroht, Unternehmensdaten zu veröffentlichen – gewissermaßen eine doppelte Erpressung.

Zahlen oder nicht zahlen?

Das Dilemma besteht darin, ob das Lösegeld gezahlt werden sollte oder nicht. Viele Unternehmen treffen diese Entscheidung bereits im Voraus und verlassen sich auf ihre Cyberversicherung für die Deckung der Kosten. Im Laufe der Zeit sind die Fehler dieses Kapitulationsplans deutlich geworden. Zunächst einmal sind die steigenden Versicherungsbeiträge zu nennen. Selbst wenn diese gerechtfertigt sind, kann die Entscheidung, der Lösegeldforderung nachzukommen, das Unternehmen zu einem Ziel für zukünftige Angriffe machen. Schließlich wissen die Angreifer dann, dass das Unternehmen zahlt.

Aber das wichtigste Argument gegen das Zahlen des Lösegelds ist, dass es schlichtweg nicht funktioniert. In einer Ransomwareanalyse durch das Sicherheitsunternehmen Sophos aus dem Jahr 2021 gaben 37 % der 5.400 IT-EntscheidungsträgerInnen an, dass ihr Unternehmen in den letzten 12 Monaten Ziel eines Ransomwareangriffs geworden war. Im Vorjahr lag dieser Wert immerhin noch bei 51 %.

Es gibt also weniger Angriffe, allerdings werden diese immer kostspieliger. Obwohl die entrichtete Lösegeldsumme sich in den meisten Fällen auf 10.000 USD belief, zahlten 10 Unternehmen jeweils 1 Million USD. Dazu kamen jeweils noch Korrekturkosten in Höhe von 1,85 Millionen USD pro Incident. Es zeigt sich also, dass nicht das Lösegeld der teuerste Posten ist, sondern die Aufräumarbeiten danach.

Es kommt allerdings noch schlimmer. Von den Befragten, die einen Vorfall verzeichnet hatten, gaben 32 % an, dass sie trotz Zahlung des Lösegelds nur 65 % ihrer Daten zurückbekommen hatten. Die beste Methode zur Wiederherstellung verschlüsselter Daten war die lange bewährte Verwendung von Backups, so 57 % der Befragten.

Selig sind die Unwissenden

Diese Zahlen sollten CIOs im Kopf behalten, wenn sie ein höheres Budget für Ausfallsicherheit und einen Reaktionsplan für Incidents einfordern. Allerdings bleibt ein weiterer wichtiger Aspekt von Unternehmen nach einem Ransomwareangriff oft unbeachtet: Alle diese Angriffe stellen auch Datenschutzverletzungen dar.

Ransomware wird immer noch als ein Denial-of-Service-Angriff durch Verschlüsselung angesehen. Aber wenn Angreifer an die Daten eines Unternehmens kommen, können sie damit alles Mögliche machen und sie beispielsweise stehlen oder verändern. Sie wissen, dass die Daten auch nach der digitalen Erpressung noch einen Wert haben.

Selbst wenn ein Unternehmen seine Dateien schnell und kostengünstig wiederherstellen kann, bleiben sie unter Umständen jedoch für die Öffentlichkeit weiterhin frei zugänglich. Sobald die Daten einmal aus dem Unternehmensnetzwerk entfernt worden sind, können sie nicht mehr zurückgeholt werden und bleiben für immer gestohlen.

Das wenig überzeugende Argument, dass Ransomwareangriffe keine Datenschutzverletzung darstellen, weil Unternehmen keine Beweise für eine Entnahme der Daten finden können, zieht bei den Aufsichtsbehörden nicht mehr. Diese haben erkannt, dass der entscheidende Punkt ist, dass die Angreifer auf die Daten zugreifen konnten und nicht, ob die Unternehmen wissen, was mit den Daten danach geschehen ist. Sollte jemand, dessen Daten Teil eines solchen Angriffs waren, in Zukunft negative Auswirkungen dadurch davontragen (zum Beispiel Identitätsdiebstahl), könnte das entsprechende Unternehmen dafür verantwortlich gemacht werden.

Reaktionsplan für Ransomwareangriffe

Die erste Regel bei der Abwehr von Ransomwareangriffen ist, davon auszugehen, dass es fast unweigerlich zu einem Angriff kommen wird, und sich entsprechend darauf vorzubereiten. Dies bedeutet, dass ein fester Reaktionsplan für Ransomwareangriffe erstellt werden sollte, der darlegt, was in einem Notfall in welcher Reihenfolge zu tun ist und wer welche Aufgabe übernimmt. In dem Plan sollte auch erklärt werden, wie die Belegschaft untereinander kommuniziert, falls der E-Mail-Server betroffen ist.

Darüber hinaus sollten die Tools aufgeführt werden, mit deren Hilfe mit den Systemen interagiert wird, und entsprechende Regeln diesbezüglich festgelegt werden. Ebenso sollten die wichtigsten Unternehmensressourcen genannt werden. Der nächste Schritt besteht darin, diesen Plan zu testen. Dabei sollte überprüft werden, ob jeder weiß, was er oder sie im Ernstfall zu tun hat. Entsprechende Probleme können in dieser Phase behoben werden.

Eine Strategie, mit der die Reaktionszeit verkürzt werden kann, ist der Einsatz von Automatisierung, wo immer dies möglich ist. Allerdings hängt dies von den Funktionen der verwendeten Tools ab. Weil die Isolierung von Systemen von entscheidender Bedeutung ist, sollte dieser Aspekt bei der Segmentierung von Netzwerken berücksichtigt werden.

Zielgruppe

Ransomwareangriffe zielen auf alle Daten oder Ressourcen in Reichweite ab. Dies umfasst nicht nur Dateien, sondern auch Network Attached Storage (NAS). Dabei werden oft spezifische Sicherheitslücken in diesen Systemen ausgenutzt. Bei einigen Angriffen werden auch Sicherheitslücken in Anwendungen wie Webservern ausgenutzt und die index.php- oder die index.html-Datei gesperrt.

Kurz gesagt: Wenn ein weithin genutztes System eine echte Sicherheitslücke aufweist, ist davon auszugehen, dass Ransomwareangreifer diese als Erstes ausnutzen. In manchen Fällen führt das dazu, dass die Installation von Patches nicht dem Wartungsplan entsprechend durchgeführt werden kann, sondern zur Notfallmaßnahme wird. Dies könnte einen separaten Reaktionsplan erfordern, der beispielsweise auch wichtige Faktoren wie Legacy-Geräte miteinbezieht.

Backup

Backups sind das Haupthilfsmittel bei der Wiederherstellung von Daten nach Ransomwareangriffen. Allerdings gibt es bei der Implementierung viele komplexe Faktoren zu berücksichtigen. In der Vergangenheit wurden Backups mehrschichtig strukturiert und von dem Netzwerk getrennt angelegt. Dabei muss ein Backup erstellt und offline gespeichert werden, sodass Angreifer darauf keinen Zugriff haben.

Leider ist es oft nicht ganz so einfach. Unternehmen können nicht von allen Daten Backups in ausreichender Häufigkeit erstellen. Selbst wenn dies möglich wäre, würde es dennoch wertvolle Zeit kosten, darauf zuzugreifen und die Daten damit wiederherzustellen. Die Wiederherstellung kann erst dann erfolgen, wenn der Angriff vollständig abgewickelt worden ist, sonst muss der Vorgang wiederholt werden.

Durchdachte Backups priorisieren gewisse Systeme gegenüber anderen. Oft benötigt jedes einzelne System seine eigenen, speziellen Backuproutinen und -tools. Diese Routinen müssen vor einem Angriff als Teil der Planung von Reaktionsmaßnahmen im Falle eines Incidents getestet werden.

Unveränderlichkeit

Viele Backuptools stammen noch aus einer Zeit, bevor Ransomware ein Problem war. Das bedeutet, dass ihnen oft ausreichende Schutzmechanismen fehlen. Ein Beispiel für solche Schutzmechanismen sind unveränderliche Backups. Dabei werden Backups erstellt und archiviert, die nicht verändert, gelöscht oder verschlüsselt werden können. Die Unveränderlichkeit wird für einen vorher festgelegten Zeitraum, wie etwa einen Monat, eingerichtet und die Backups werden in der Cloud gespeichert.

Unveränderliche Backups erfordern separate Tools und oftmals einen Serviceanbieter. Der Backuplink muss für den Fall eines Ransomwareangriffs verfügbar sein und die Managementtools dafür entsprechend geschützt sein.

Die Zukunft von Ransomware

Da sich Unternehmen immer besser gegen Ransomware schützen, könnten sich diese Angriffe in der Zukunft in zwei Richtungen entwickeln. Die erste Variante ist, dass sie wie früher wieder drohen, Computer zu beschädigen. Dies geschieht beispielsweise durch die Infizierung von systemnaher Firmware, durch die Festplatten oder ganze Computer unbrauchbar gemacht werden können.

Eine zweite Möglichkeit besteht darin, dass Angreifer gänzlich auf die Verschlüsselung von Daten verzichten und Unternehmen mit der Veröffentlichung ihrer Daten drohen. Wenn es dazu kommt, wird sich Ransomware zu einer reinen Bedrohung des Datenschutzes verändern. Dadurch sollten Sie sich jedoch nicht in Sicherheit wähnen – anders als die meisten Datenschutzverletzungen, die einzelne Datenbanken mit versehentlichen Sicherheitslücken betreffen, kann Ransomware auf wesentlich größere Datenmengen zugreifen.

Es ist jedoch klar, dass die Erpressung für Angreifer zu verlockend ist, als dass sie sie einfach aufgeben würden. Ransomware wird sich weiterentwickeln. Dies mag pessimistisch klingen, aber es ist entscheidend, dass Unternehmen diese Bedrohung ernst nehmen und sich gegen neue Entwicklungen wappnen. Ransomwareangriffe gehen nicht immer gleich aus. Viele Unternehmen wehren sich erfolgreich gegen diese Angriffe – die Herausforderung besteht darin, eines dieser Unternehmen zu sein.

Erfahren Sie mehr über Dell Technologies und VMware-Lösungen APEX Cloud Services – Cloud as a Service | Dell Technologies Germany