Ransomware: Eine wachsende digitale Bedrohung und wie man sich dagegen verteidigt

defence

In der vernetzten Welt von heute entwickelt sich die digitale Landschaft ständig weiter und bietet sowohl Chancen als auch Herausforderungen.

Frau am dunklen Computer

Eine der größten Herausforderungen ist das Aufkommen von Ransomware, einer bösartigen Software, die zu einer erheblichen Bedrohung für Privatpersonen, Unternehmen und Regierungen weltweit geworden ist.

Erpressungsangriffe sind Angriffe auf mehreren Ebenen

Bei Ransomware-Angriffen handelt es sich in der Regel um Angriffe auf zwei Ebenen. Das erste Druckmittel ist die Verschlüsselung von Unternehmensdaten. Die Systeme bzw. die darauf befindlichen Dateien werden innerhalb kurzer Zeit unbrauchbar gemacht, Prozessketten brechen zusammen und das Unternehmen kommt zum Stillstand. Die Neigung, Lösegeld zu zahlen, hängt mit dem Ausmaß des Schadens zusammen: Haben die Backups den Angriff überlebt? Wie lange würde es dauern, die Systemlandschaft wiederherzustellen?

Kurze Zeit später setzen die Angreifer einen zweiten Druckpunkt, denn noch bevor die Daten verschlüsselt sind, werden sie oft gestohlen. Wird das Lösegeld für die sensiblen Daten nicht gezahlt, drohen sie mit der Veröffentlichung oder dem Verkauf der Daten.

Spätestens an diesem Punkt beginnt die Suche nach den Tätern. In den meisten Fällen war das Einfallstor eine Phishing-E-Mail, die geöffnet wurde. Oft liegt die Schuld bei der Person, die geklickt hat. Dies ist ein fragwürdiger Ansatz, weil er eine unzulässige Vereinfachung darstellt.

[Translate to German:] Account hacked

Die verheerenden Folgen

Ransomware hat sich seit ihren Anfängen erheblich weiterentwickelt, wobei Cyberkriminelle ihre Taktiken ständig verfeinern, um ihre Gewinne zu maximieren. Die Auswirkungen eines Ransomware-Angriffs können auf mehreren Ebenen verheerend sein:

  • Finanzieller Verlust: Die Zahlung eines Lösegelds garantiert nicht, dass die Daten wiederhergestellt werden, und die Kosten für die Wiederherstellung können astronomisch sein, einschließlich des Lösegelds selbst, der Anwaltskosten und der betrieblichen Ausfallzeit.
  • Datenverlust: Die Opfer verlieren möglicherweise dauerhaft den Zugriff auf wichtige Daten, was langfristige Folgen für Unternehmen, Einzelpersonen und sogar Regierungen haben kann.
  • Schädigung des Rufs: Veröffentlichte Ransomware-Angriffe können das Vertrauen in Unternehmen untergraben und ihren Ruf schädigen, was zu einer Abwanderung von Kunden und Partnern führen kann.
  • Betriebliche Unterbrechung: Ransomware kann wichtige Dienste und Geschäftsabläufe stören, was zu Verzögerungen, finanziellen Verlusten und in einigen Fällen sogar zu lebensbedrohlichen Situationen führen kann (z. B. im Gesundheitswesen).
  • Eingriffe in die Privatsphäre: Persönliche Daten können während eines Angriffs offengelegt oder gestohlen werden, was zu Identitätsdiebstahl und weiteren finanziellen Auswirkungen führen kann.
[Translate to German:] Lock in Cyberspace

Schutz vor Ransomware

Awareness-Schulungen für alle Mitarbeitenden wurden in der Vergangenheit stark vorangetrieben. Teilweise werden sie schon fast als alleinige Heilsbringung für IT-Sicherheit gesehen. Die Wichtigkeit solcher Schulungen steht außer Frage, jedoch darf die Sicherheit eines gesamten Unternehmens nicht ausschließlich davon abhängen, ob MitarbeiterInnen alle Phishing-Mails erkennen.

Es gibt mehrere proaktive Maßnahmen, die Einzelpersonen und Unternehmen ergreifen können, um das Risiko zu minimieren.

  • Regelmäßige Backups: Führen Sie Offline-Backups von wichtigen Daten durch und stellen Sie sicher, dass diese nicht über das Netzwerk zugänglich sind. Testen Sie regelmäßig den Wiederherstellungsprozess.
  • Sicherheitssoftware: Verwenden Sie seriöse Antiviren- und Anti-Malware-Lösungen und halten Sie sie auf dem neuesten Stand.
  • Patch-Verwaltung: Installieren Sie umgehend Sicherheits-Patches und Updates für Betriebssysteme und Software, um Sicherheitslücken zu schließen.
  • Mitarbeiterschulung: Informieren Sie Ihre Mitarbeiter über Ransomware-Bedrohungen und Phishing-Betrügereien und weisen Sie sie darauf hin, dass es wichtig ist, nicht auf verdächtige Links zu klicken oder unbekannte Anhänge herunterzuladen.
  • Netzwerksegmentierung: Segmentieren Sie Netzwerke, um die Ausbreitung von Ransomware im Falle einer Infektion einzuschränken, und isolieren Sie kritische Systeme von weniger wichtigen.
  • E-Mail-Filterung: Implementieren Sie robuste E-Mail-Filterlösungen, um bösartige Anhänge und Links zu erkennen und unter Quarantäne zu stellen.
  • Zugriffskontrolle: Beschränken Sie den Benutzerzugriff auf das, was für die jeweilige Rolle erforderlich ist, und wenden Sie das Prinzip der geringsten Rechte an.
  • Incident Response Plan: Entwicklung Sie einen Incident Response Plan für Zwischenfälle, um Ausfallzeiten und Datenverluste im Falle eines Angriffs zu minimieren.

Cyber-Kill-Chain©-Modell für eine ganzheitliche Verteidigungsstrategie

Eine gute Verteidigungsstrategie kann nur schichtweise aufgebaut sein und auf einem „Defense-in-Depth“-Prinzip basieren. Dies kann anhand eines Modells zur Strukturierung eines typischen Angriffsverlaufs visualisiert werden: Der Cyber-Kill-Chain©. Sie ist ein Modell des Rüstungs- und Technologiekonzerns Lockheed Martin, das Angriffe in mehrere Phasen gliedert: Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objective.

Das Cyber-Kill-Chain©-Modell ist auch für die Verteidigung ausgezeichnet nutzbar, denn es unterstützt dabei, stattgefundene Angriffe nachzuvollziehen. Für jede Phase werden gesonderte Abwehrmaßnahmen ergriffen. In der IT-Sicherheit gibt es keine Einzelmaßnahme, die alle Eventualitäten erkennen und verhindern kann. Stattdessen muss jede Phase für sich betrachtet werden, um wirksame Schutzmechanismen zur Detektion oder Blockierung zu entwerfen. Diese reichen von Whitelisting, Antivirus- oder Endpoint-Detection und Response-Lösungen gegen Ausführung über rücksetzende Jumpserver oder Netzwerksegmentierung bis hin zu einem Privileged-Access-Management sowie Network-Intrusion-Detection-/Prevention-Systemen gegen Steuerung und Kontrolle.

Wichtig bei der Erarbeitung der Maßnahmen ist es immer davon auszugehen, dass die Abwehr in der vorhergehenden Phase fehlgeschlagen ist. Dergestalt etablierte Sicherheitsmaßnahmen ermöglichen mehrere voneinander unabhängige Verteidigungslinien.

Wirksame Sicherheitsstrategie in gemeinsamer Verantwortung

Ransomware ist eine anhaltende und sich ständig weiterentwickelnde Bedrohung im digitalen Zeitalter. Durch Sensibilisierung, Aufklärung und proaktive Sicherheitsmaßnahmen können Einzelpersonen und Unternehmen ihre Anfälligkeit für diese Angriffe jedoch deutlich verringern. Der Schlüssel liegt darin, wachsam zu bleiben, die Schutzmaßnahmen regelmäßig zu aktualisieren und darauf vorbereitet zu sein, im Fall des Falles effektiv zu reagieren. Cybersicherheit ist eine kollektive Anstrengung, und wenn wir diese Schritte unternehmen, können wir gemeinsam unsere Abwehr gegen Ransomware und andere Cyberbedrohungen stärken.

 

Mehr zu SEC Defence

Neue Services von SEC Defence

defence

Das Incident-Response-Team von SEC Consult steht nicht nur bei der Abwehr und dem Handling von Angriffen zur Verfügung, sondern leistet bereits im…

Weiterlesen
Zurück