Home » Fachbeiträge » Cybersecurity » Ransomware-Angriffe mit Zero-Trust-Segmentierung eindämmen

Ransomware-Angriffe mit Zero-Trust-Segmentierung eindämmen : Defense in Depth

Ransomware-Angriffe sind eine große Gefahr. Die gute Nachricht ist: Sie brauchen Zeit. Die Angreifer müssen sich erst in der IT-Umgebung eines Unternehmens ausbreiten, sensible Daten finden und Zugriffsrechte sichern, bevor sie umfassend Daten verschlüsseln können.

5 Min. Lesezeit
rotes Ausrufezeichen
©AdobeStock/DzRareStock

Mit Zero-Trust-Segmentierung etablieren Unternehmen „Defense in Depth“ und verhindern so laterale Bewegungen von Cyberangreifern sowie eine ungehinderte Ausbreitung von Ransomware.

Laut dem Verizon Data Breach Investigations Report (DBIR) 2024 ist Ransomware nach wie vor eine zentrale Herausforderung für die IT-Sicherheit. Bei rund einem Drittel aller Sicherheitsverletzungen weltweit kommt Ransomware zum  Einsatz. In Deutschland waren laut einer Cyberreason Ransomware-Studie 63 Prozent der befragten Unternehmen in den letzten 24 Monaten von mehr als einem Ransomware-Angriff betroffen. Dazu verdeutlicht der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI), dass von Ransomware derzeit die größte Bedrohung ausgeht.

Ransomware-Angriffe verursachen nicht nur enorme wirtschaftliche Schäden, sondern können ganze Wertschöpfungsketten nachhaltig beeinträchtigen. Wenn große Teile der IT-Infrastruktur verschlüsselt werden, sind Unternehmen oft gezwungen, ihren gesamten Betrieb einzustellen oder ihre IT-Systeme komplett vom Netz zu nehmen. Die Folgen reichen von Produktionsausfällen über Reputationsschäden bis hin zu langfristigen finanziellen Einbußen.

Der Ablauf eines Ransomware-Angriffs

Um Ransomware effektiv zu bekämpfen, ist es wichtig, den Ablauf eines Angriffs zu verstehen. Entgegen der landläufigen Meinung erfolgt ein Ransomware-Angriff nicht in wenigen Minuten, sondern erstreckt sich oft über Tage, Wochen oder sogar Monate. Der Prozess lässt sich in mehrere Phasen unterteilen:

  1. Initiale Kompromittierung: Ransomware infiltriert zunächst ein unzureichend geschütztes Asset. Dies kann ein Endpunkt, eine Anwendung oder ein Workload mit einer offenen Verbindung zum Internet sein. Diese Assets sind oft weniger abgesichert, da sie nicht als wichtig wahrgenommen werden oder ihre Anfälligkeit dem Unternehmen nicht bewusst ist.
  2. Laterale Bewegung: Nach der ersten Infiltrierung erkunden Angreifer das Netzwerk und bewegen sich dabei seitlich durch dieses. Sie nutzen verschiedene Techniken, um unentdeckt zu bleiben und sich Zugang zu wichtigen Systemen und Netzwerken zu verschaffen.
  3. Datenexfiltration: In dieser Phase sammeln die Cyberangreifer sensible Daten, die später als zusätzliches Druckmittel verwendet werden können.
  4. Eskalation von Privilegien: Die Angreifer versuchen, Administratorrechte oder andere privilegierte Zugänge zu erlangen, um weitreichenden Zugriff auf Systeme zu erhalten.
  5. Verschlüsselung: Sobald die Angreifer genügend Kontrolle über die Systeme haben, beginnen sie mit der Verschlüsselung wichtiger Daten und Systeme.
  6. Erpressung: Abschließend fordern die Cyberkriminellen ein Lösegeld für die Entschlüsselung der Daten und drohen oft mit der Veröffentlichung sensibler Informationen

Grenzen konventioneller Sicherheitslösungen

Viele Unternehmen verlassen sich beim Schutz ihrer Assets auf etablierte Sicherheitslösungen wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) sowie Netzwerk-Monitoring- und Observability-Tools, um Angriffe zu erkennen und abzuwehren.

Diese Lösungen sind wichtige Bestandteile einer umfassenden Sicherheitsstrategie und decken die Funktionen „Erkennen (Detect)“ und „Reagieren (Respond)“ des NIST Cybersecurity Frameworks ab. Das Framework ist ein ganzheitlicher Ansatz aus Anleitungen, Richtlinien und Best Practices für Organisationen zur Verbesserung des Risikomanagements für Informationssicherheit, der von der US-amerikanischen Bundesbehörde National Institute of Standards and Technology veröffentlicht wurde.

Konventionelle Sicherheitslösungen erkennen verdächtige Aktivitäten oder direkte Angriffe auf Endpunkte, Server, Cloud-Workloads und Netzwerkverkehr und reagieren, indem sie Warnungen ausgeben, Antiviren-Tools aktivieren, Dateien löschen oder in Quarantäne stellen.

Allerdings bieten sie keinen hundertprozentigen Schutz. Angriffe können übersehen werden oder aufgrund von Software-Schwachstellen, Zero-Day-Exploits oder neu entwickelten Angriffsmethoden oft lange Zeit unentdeckt bleiben.

Außerdem bieten sie keinen umfassenden Schutz vor der initialen Kompromittierung und der anschließenden lateralen Bewegung von Angreifern im Netzwerk. Stattdessen sind diese Ansätze oft reaktiv und greifen erst ein, wenn ein Angriff bereits im Gange ist. Ein einziger unentdeckter Angriffsversuch kann daher schwerwiegende Folgen haben.

Effektiver Schutz durch Segmentierung

Um die Auswirkungen von Ransomware-Angriffen zu minimieren, müssen Unternehmen einen umfassenden Überblick über ihre IT-Umgebung gewinnen, ihre Widerstandsfähigkeit stärken und kritische Assets segmentieren. Eine Lösung, die diese Anforderungen erfüllt und zudem den Richtlinien des NIST-Frameworks entspricht, ist die Zero-Trust-Segmentierung (ZTS), eine grundlegende Komponente einer Zero-Trust-Strategie.

Der Zero-Trust-Ansatz basiert auf der Annahme, dass keinem Benutzer oder Gerät, unabhängig davon, ob es sich innerhalb oder außerhalb des Netzwerks befindet, automatisch vertraut wird.

Somit wird unbefugter Zugriff auf sensible Daten verhindert. ZTS minimiert die Angriffsfläche, indem sie Netzwerke in isolierte Bereiche unterteilt.

Diese Segmente lassen nur den notwendigen Datenverkehr zu, der für geschäftskritische Prozesse erforderlich ist. Jeglicher andere Verkehr wird standardmäßig blockiert. Die Vorteile von Zero-Trust-Segmentierung im Kampf gegen Ransomware sind:

Minimierung der Angriffsfläche: ZTS reduziert die Anzahl der potenziellen Angriffspunkte, indem es den Zugriff auf sensible Ressourcen strikt kontrolliert und nur autorisierten Entitäten gewährt.

Einschränkung lateraler Bewegungen: Durch die Segmentierung des Netzwerks wird die Bewegungsfreiheit von Angreifern erheblich eingeschränkt. Selbst wenn ein System kompromittiert wird, kann sich die Bedrohung nicht ungehindert im gesamten Netzwerk ausbreiten.

Verbessertes Monitoring: Durch die Segmentierung wird der Netzwerkverkehr übersichtlicher, was die Erkennung verdächtiger Aktivitäten erleichtert.

Granulare Kontrolle: Sicherheitsteams können präzise Richtlinien erstellen und maßgeschneiderte Sicherheitsvorkehrungen durchsetzen.

Aufbau von Cyberresilienz: Cyberresilienz ermöglicht es Unternehmen, ihre  Kernfunktionen aufrechtzuerhalten, auch wenn Teile der IT-Infrastruktur bereits kompromittiert sind. Im Fall eines erfolgreichen Angriffs ermöglicht Segmentierung eine gezielte Isolierung betroffener Systeme und eine schnelle Wiederherstellung.

Unterstützung bei der Einhaltung von Compliance-Vorschriften: Segmentierung hilft Unternehmen dabei, die regulatorischen Anforderungen von geltenden Vorschriften wie NIS-2, DORA und DSGVO zu erfüllen.

Durch Zero-Trust-Segmentierung, auch als Mikrosegmentierung bekannt, wird die Angriffsfläche minimiert.

Durch Zero-Trust-Segmentierung, auch als Mikrosegmentierung bekannt, wird die Angriffsfläche minimiert.
Bild: Illumio

Aufbau von Cyberresilienz durch Zero Trust

Perimeter- und rein reaktive Sicherheitslösungen allein reichen nicht aus, um Unternehmen effektiv vor Ransomware zu schützen. Moderne Strategien wie Zero Trust, die das implizite Vertrauen in die IT-Umgebung reduzieren, sind entscheidend für die Stärkung der Cyberresilienz, und Ansätze wie ZTS sind unverzichtbar, um einen umfassenden, kontinuierlichen und proaktiven Schutz der Unternehmens-IT zu gewährleisten.

Ransomware-Simulationen von Bishop Fox, einem Anbieter von Penetrationstests, zeigen, dass ZTS Ransomware in weniger als zehn Minuten neutralisieren kann und damit vier Mal schneller ist als Abwehrversuche, die allein auf EDR basieren.

Ransomware bleibt eine anhaltende Bedrohung, daher müssen die Eindämmung von Sicherheitsverletzungen und die Begrenzung des Aktionsradius von Angriffen höchste Priorität haben. Durch die Implementierung von Segmentierung als Teil einer ganzheitlichen Zero-Trust-Strategie können Unternehmen ihre Widerstandsfähigkeit gegen Ransomware und andere Cyberbedrohungen sofort stärken.

Porträt Paul Bauer

Paul Bauer ist Regional Sales Director bei Illumio.

Andere interessante Fachbeiträge

Kubernetes

Kubernetes sicher betreiben

Kubernetes ist eine Open-Source-Plattform zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. Neben den vielen Vorteilen wie Ressou...

Hacker vor Monitoren

Wie die Angreifersicht beim Schutz des Unternehmens hilft

Unternehmen investieren viel Zeit und Aufwand in den Aufbau einer Sicherheitsarchitektur für ihre industrielle IT. Trotzdem kommt es immer wieder zu erfolgreichen Angriffen. Wie ka...

Smartphone mit geöffneter Signal-App

E-Mail war gestern

In der heutigen Geschäftswelt, in der schnelle und effektive Kommunikation unerlässlich ist, setzen viele Unternehmen neben der guten alten E-Mail auch auf Messenger-Dienste. Doch ...