Bollwerke gegen Erpresser-Angriffe
Was tun nach einem Vorfall?
von Jürgen Mauerer - 24.03.2022
Rubrik hat seine Lösungen kürzlich um die Funktion Threat Hunting erweitert. Damit können Unternehmen mithilfe von KI ihre Backups direkt auf Anomalien und Anzeichen für Kompromittierung durch Schadcode untersuchen, inklusive Ransomware. Dadurch soll es möglich sein, die letzte bekannte saubere (Ransomware-freie) Kopie der Daten zu identifizieren, um eine erneute Infektion während und nach der Wiederherstellung zu verhindern. Darüber hinaus bietet Rubrik automatisierte Workflows für eine schnelle Wiederherstellung von Systemen und virtuellen Maschinen.
Denn wenn ein Ransomware-Angriff tatsächlich erfolgreich war, hilft meist nur noch Tabula rasa: Systeme ausschalten, platt machen, neu aufsetzen und das hoffentlich Ransomware-freie Backup einspielen. Vor dem Einspielen des Backups sollten Firmen natürlich das Einfallstor des Angriffs identifizieren und dann die Systeme im besten Fall nach einem existierenden Notfallplan wieder in Betrieb nehmen sowie anschließend bessere Schutzmaßnahmen einrichten. Hilfe finden Unternehmen möglicherweise auch auf der Europol-Seite www.nomoreransom.org, die eine kostenlose Entschlüsselungs-Software für bereits bekannte Ransomware-Typen bietet, die fortlaufend aktualisiert wird.
Zur Gretchenfrage der Ransomware – soll man Lösegeld zahlen oder nicht – haben alle von uns befragten Experten dieselbe Antwort: auf keinen Fall! Die Zahlung von Lösegeld in Form von Kryptowährungen kann weitere Erpressungen nach sich ziehen und stärkt zugleich die Angreifer, da sie dadurch finanzielle Mittel erhalten, um ihre Infrastruktur weiter auszubauen und sich weiter zu professionalisieren.
Mittelstand im Fadenkreuz
Die Fachwelt ist sich einig, dass die Ransomware-Angriffe weiter zunehmen und vor allem KMUs verstärkt ins Fadenkreuz geraten dürften. „Firmen dieser Größe haben weniger IT-Ressourcen und sind damit verwundbarer als große Unternehmen. Zudem sind sie Teil einer Lieferkette. Ein erfolgreicher Ransomware-Angriff führt dann häufig auch zu Ausfallzeiten bei den Kunden des jeweiligen Unternehmens. Wir müssen daher die Lieferketten besonders schützen“, fordert Richard Werner von Trend Micro.
Skrupel kennen die Kriminellen jedenfalls nicht. Das zeigen die Angriffe auf Krankenhäuser oder sogar einzelne Patienten wie in Finnland im Oktober 2020. Damals wurden dem Psychotherapie-Unternehmen Vastaamo, das rund 20 Kliniken betreibt, Patientendaten und Inhalte vertraulicher Gespräche gestohlen. Als sich Vastaamo weigerte, Lösegeld zu zahlen, verschickten die Kriminellen 40.000 Droh-Mails an die Patienten. Sie sollten 200 Euro in Bitcoins berappen oder ihre Daten und die Therapiegespräche würden im Internet veröffentlicht. Ein Horrorszenario.
Fazit & Ausblick
Jedes Unternehmen muss damit rechnen, zum Ziel eines Ransomware-Angriffs zu werden. Firmen müssen daher ihre Schwachstellen und Verwundbarkeiten kennen, sich mit technischen und organisatorischen Maßnahmen grundsätzlich vor Angriffen schützen, Anomalien und Angriffe schnell erkennen (Detect) und im Fall der Fälle zügig reagieren (Response). Zentral sind zudem Security-Awareness-Schulungen, um die Mitarbeiter für die Risiken von Cyberangriffen zu sensibilisieren. Jeder im Unternehmen muss wissen, was nach einem Angriff zu tun ist, Stichwort Notfallpläne und Meldeketten.
Der Speicherspezialist Pure Storage jedenfalls ist sich sicher: „Es ist davon ausgehen, dass es fast unmöglich ist, entschlossene Angreifer fernzuhalten. Daher liegt der Schlüssel zur Abwehr eines Ransomware-Angriffs in der Fähigkeit, den Zustand vor Beginn der Verweildauer wiederherzustellen, und zwar schnell.“