Bollwerke gegen Erpresser-Angriffe

Was tun nach einem Vorfall?

von - 24.03.2022
Rubrik hat seine Lösungen kürzlich um die Funktion Threat Hunting erweitert. Damit können Unternehmen mithilfe von KI ihre Backups direkt auf Anomalien und Anzeichen für Kompromittierung durch Schadcode untersuchen, inklusive Ransomware. Dadurch soll es möglich sein, die letzte bekannte saubere (Ransomware-freie) Kopie der Daten zu identifizieren, um eine erneute Infektion während und nach der Wiederherstellung zu verhindern. Darüber hinaus bietet Rubrik automatisierte Workflows für eine schnelle Wiederherstellung von Systemen und virtuellen Maschinen.
Denn wenn ein Ransomware-Angriff tatsächlich erfolgreich war, hilft meist nur noch Tabula rasa: Systeme ausschalten, platt machen, neu aufsetzen und das hoffentlich Ransomware-freie Backup einspielen. Vor dem Einspielen des Backups sollten Firmen natürlich das Einfallstor des Angriffs identifizieren und dann die Systeme im besten Fall nach einem existierenden Notfallplan wieder in Betrieb nehmen sowie anschließend bessere Schutzmaßnahmen einrichten. Hilfe finden Unternehmen möglicherweise auch auf der Europol-Seite www.nomoreransom.org, die eine kostenlose Entschlüsselungs-Software für bereits bekannte Ransomware-Typen bietet, die fortlaufend aktualisiert wird.
Zur Gretchenfrage der Ransomware – soll man Lösegeld zahlen oder nicht – haben alle von uns befragten Experten dieselbe Antwort: auf keinen Fall! Die Zahlung von Lösegeld in Form von Kryptowährungen kann weitere Erpressungen nach sich ziehen und stärkt zugleich die Angreifer, da sie dadurch finanzielle Mittel erhalten, um ihre Infrastruktur weiter auszubauen und sich weiter zu professionalisieren.
Prävention: Aufbau eines Information Security Management Systems (ISMS)
Firmen sollten grundsätzlich nicht erst dann handeln, wenn Probleme auftreten oder bereits Schäden entstanden sind. Vielmehr sollten sie das Ziel verfolgen, Risiken zu minimieren und genau festzulegen, was wann in welcher Situation zu tun ist. Ein Mittel dazu ist der Aufbau eines Information Security Management Systems (ISMS) auf Basis der Norm ISO/IEC 27001. Denn Informationen müssen zuverlässig verfügbar sein und vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) geschützt werden.
Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Es regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Personalsicherheit (darunter Security-Awareness-Training), Zugriffskontrolle (etwa Passwort-Management), Kryptografie, Incident Management oder Kommunikationssicherheit (wie Netzwerksegmentierung). Damit sinkt die Wahrscheinlichkeit, dass Unternehmen Opfer eines Ransomware-Angriffs werden.

Mittelstand im Fadenkreuz

Die Fachwelt ist sich einig, dass die Ransomware-Angriffe weiter zunehmen und vor allem KMUs verstärkt ins Fadenkreuz geraten dürften. „Firmen dieser Größe haben weniger IT-Ressourcen und sind damit verwundbarer als große Unternehmen. Zudem sind sie Teil einer Lieferkette. Ein erfolgreicher Ransomware-Angriff führt dann häufig auch zu Ausfallzeiten bei den Kunden des jeweiligen Unternehmens. Wir müssen daher die Lieferketten besonders schützen“, fordert Richard Werner von Trend Micro.
Skrupel kennen die Kriminellen jedenfalls nicht. Das zeigen die Angriffe auf Krankenhäuser oder sogar einzelne Patienten wie in Finnland im Oktober 2020. Damals wurden dem Psychotherapie-Unternehmen Vastaamo, das rund 20 Kliniken betreibt, Patientendaten und Inhalte vertraulicher Gespräche gestohlen. Als sich Vastaamo weigerte, Lösegeld zu zahlen, verschickten die Kriminellen 40.000 Droh-Mails an die Patienten. Sie sollten 200 Euro in Bitcoins berappen oder ihre Daten und die Therapiegespräche würden im Internet veröffentlicht. Ein Horrorszenario.

Fazit & Ausblick

Jedes Unternehmen muss damit rechnen, zum Ziel eines Ransomware-Angriffs zu werden. Firmen müssen daher ihre Schwachstellen und Verwundbarkeiten kennen, sich mit technischen und organisatorischen Maßnahmen grundsätzlich vor Angriffen schützen, Anomalien und Angriffe schnell erkennen (Detect) und im Fall der Fälle zügig reagieren (Response). Zentral sind zudem Security-Awareness-Schulungen, um die Mitarbeiter für die Risiken von Cyberangriffen zu sensibilisieren. Jeder im Unternehmen muss wissen, was nach einem Angriff zu tun ist, Stichwort Notfallpläne und Meldeketten.
Der Speicherspezialist Pure Storage jedenfalls ist sich sicher: „Es ist davon ausgehen, dass es fast unmöglich ist, entschlossene Angreifer fernzuhalten. Daher liegt der Schlüssel zur Abwehr eines Ransomware-Angriffs in der Fähigkeit, den Zustand vor Beginn der Verweildauer wiederherzustellen, und zwar schnell.“
Verwandte Themen