Home » Fachbeiträge » Cybersecurity » Ransomware: Who you gonna call?

Ransomware: Who you gonna call?

Cyberangriffe brechen mit voller Wucht und mit wechselnden Methoden auf Firmen herein. Security-Teams fühlen sich wie Hamster im Laufrad. Sicherheitslücken werden panikartig geschlossen. Unzählige Tools sollen Abhilfe schaffen. Die Ausgaben für IT-Sicherheit werden – je nach Konjunkturlage – mal erhöht und dann wieder kassiert. Und am Ende werden Unternehmen doch Opfer eines Angriffs. Unser Beitrag beschreibt, was sie dagegen tun können.

5 Min. Lesezeit
Auto mit Ghostbusters-Aufdruck
Foto: ©AdobeStock/Monster_Design

Früher war alles besser. Früher war alles einfacher. Ja, das stimmt, auch wenn man nicht an solchen Glaubenssätzen hängt. Zumindest wenn es um Datensicherheit und im Speziellen um die Gefahr durch Ransomware für Unternehmen geht. Neben der schieren Anzahl und der Qualität der Angriffe macht den Unternehmen auch die wachsende Komplexität ihrer eigenen Angriffsflächen zu schaffen. Durch Cloud, hybrides Arbeiten oder das Internet der Dinge vergrößert sich die Zahl potenzieller Schwachstellen enorm. Und die Angreifer nutzen immer intelligentere Methoden, um Netzwerke, IT-Systeme oder Maschinen zu attackieren.

Ransomware ist derzeit eine der größten Gefahren. Ein Blick auf zwei aktuelle Meldungen reicht, um das Ausmaß zu erahnen:

  • Italienische und französische Behörden warnten im Februar 2023 vor massenhaften Ransomware-Angriffen. Mehr als 2.000 Unternehmen weltweit sind Opfer einer groß angelegten Attacke mit Erpresser-Software geworden. Auch in Deutschland waren wohl hunderte Firmen betroffen, die eine Software nutzten, um auf ihren Servern virtuelle Maschinen einzurichten. Die Angreifer scheinen eine Möglichkeit gefunden zu haben, ohne viel Aufwand auf diesen virtuellen Maschinen Schadsoftware zu verteilen, die die Daten verschlüsselte.
  • Unbekannte haben im März 2023 Kundendaten von Ferrari erbeutet, darunter Anschriften und Telefonnummern. Es wurde eine schlecht gesicherte Schnittstelle ausfindig gemacht, die einen unbefugten Zugriff auf sämtliche Benutzerkonten erlaubte, über die Ferrari-Kunden ihre Fahrzeug- und Nutzerprofile verwalten. Die Täter haben daraufhin eine Lösegeldforderung gestellt.

Auch wenn das Thema Ransomware nicht neu ist, hat sich die Gefährdungslage dramatisch verschärft. Volumen, Geschwindigkeit und Raffinesse nehmen weiter zu. Malware aus dem Onlineshop, „Ransomware as a Service“ – die Schlagworte verdeutlichen die Entwicklung der Angriffe wie von Geisterhand.

Spuk aus der E-Mail

Jeder weiß über die Bedrohung. Der Spuk ist weithin bekannt. Dennoch läuft das Geschäft für die Erpresser blendend. Daher noch einmal die Fakten: Ransomware wird meist per E-Mail oder über infizierte Websites verbreitet. Dafür kommt typischerweise klassisches Phishing zum Einsatz: Nutzer erhalten eine E-Mail, die scheinbar von einem bekannten oder vertrauenswürdigen Absender stammt. Damit sollen Anwender dazu verleitet werden, einen Anhang zu öffnen oder auf einen Link in einer E-Mail zu klicken, um die Ransomware so auf ihr System herunterzuladen.

Eine solche Infektion installiert einen sogenannten Dropper auf dem System. Dieses Programm erforscht das infizierte Netzwerk, sucht nach Schwachstellen und lädt bei Bedarf weitere Schadsoftware nach. Des Weiteren wird in dieser Erkundungsphase versucht, die „Kronjuwelen“, also wichtige Systeme, Kundendaten oder Finanzdaten, ausfindig zu machen. Anhand dieser Erkenntnisse erfolgt eine Klassifizierung und die Entscheidung, ob und wann das Unternehmen angegriffen wird.

Ghostbuster: Mitarbeitende

Wer solche Angriffe grundsätzlich verhindern will, muss eine IT-Sicherheitskultur etablieren und das Bewusstsein der Mitarbeiter:innen für Risiken schärfen. Es ist wichtig, dass alle über potenzielle Angriffsvektoren von Ransomware informiert sind. Schulungen und regelmäßige Sensibilisierungskampagnen können dazu beitragen, verdächtige Aktivitäten zu melden und bewährte Sicherheitspraktiken zu befolgen.

Ghostbuster: Netzwerke und Technik

Multi-Faktor-Authentifizierung, ein differenziertes Rechtemanagement und ein reglementierter Zugriff auf interne Systeme von festgelegten IP-Adressen oder über ein Virtual-Private-Network (VPN) sichern die eigenen Daten und Systeme. Ein geeignetes Monitoring der Zugriffe kann helfen, einen Missbrauch der Verbindungen frühzeitig zu erkennen. Apps sollten nur von vertrauenswürdigen Quellen installiert werden können.

Ungewöhnliche Netzwerkaktivitäten sind ein eindeutiges Alarmsignal. Auf Warnungen der Monitoring-Software muss reagiert werden, sofern das Monitoring des Netzwerkes nicht einen Dienstleister übergeben wurde. Scripting-Umgebungen und Makros aus externen Quellen sollten deaktiviert werden. Denn nach wie vor werden die meisten Schadprogramme über Office-Dateien eingeschleppt.

Ghostsbuster: Software

Wie fängt man die Geister und verhindert, dass der Spuk um sich greift? Der beste Schutz oder – um im Bild zu bleiben – der weitsichtige Ghostbuster ist stets der, der aufmerksam ist und verdächtige Links oder Anhänge meidet. Doch die Cyberkriminellen können selbst vorsichtige Menschen täuschen.

Daher ist es unerlässlich, eine Software zu installieren, die Ransomware-Schutz bietet. Leider können Virenschutzlösungen, die nach bekannten Ransomware-Varianten suchen, mit den heutigen dynamischen Bedrohungen nicht Schritt halten. Ganz gleich, ob man Windows, Mac oder mobile Geräte absichern möchte: Man sollte auf eine Ransomware-Schutztechnologie setzen, die Angriffe basierend auf verdächtigen Aktivitäten erkennt, da verhaltensbasierte Schutzlösungen erheblich besser geeignet sind, Zero-Day-Angriffe zu identifizieren und zu stoppen.

Ghustbuster: Backup

Eines der probatesten Mittel gegen Datenverlust und -verschlüsselung ist ein funktionierendes Backup. Von allen geschäftskritischen Systemen sollten Backups existieren und auch das Wiedereinspielen derselben muss getestet sein.

So sollte das Upload eines Backups nach einer Vollverschlüsselung des Systems mit anschließender kompletter Wiederherstellung zumindest geübt werden. Hier gilt es zu beachten: Auch ein im Netzwerk betriebenes Backup kann Ziel eines Angriffs sein. Integrierte Lösungen, die Virenschutz und Backups kombinieren, senken merklich die Reaktionszeit, vermeiden dadurch den Datenverlust und letztlich die hohe Anzahl der eingesetzten Tools, von denen viele oft auf dem digitalen Abstellgleis landen.

Das neue Gespenst: Künstliche Intelligenz (KI)

Noch ist sie nicht da, aber sie wird kommen: Die Automatisierungswelle für Ransomware. KI-Modelle können Programmiercode in Sprachen wie Python, GoLang oder Rust erzeugen. Allerdings blockieren die KI-Filter, wenn der Benutzer direkt nach einer Ransomware fragt. Zerlegt man aber das Problem in kleinere Schritte, lassen sich die Bausteine am Ende wieder zusammenfügen.

Es zeigt sich bisher, dass die Sprachmodelle (Large Language Models, LLM) zwar auf das antrainierte Wissen aus dem Internet zurückgreifen, aber eben nicht selbst kreativ werden und neuen Code erfinden. Die Modelle werden sich in der Zukunft aber weiter verbessern. Das ermöglicht es dann, sogenannte metamorphe Malware zu erstellen, die bei jeder Infektion ihre Gestalt verändert und somit mit Antiviren-Signaturen fast nicht zu erkennen ist.

Die neuen Tools wie ChatGPT werden für die Cyberkriminellen eine große Hilfe bei der Automatisierung darstellen. Prinzipiell senken die neuen KI-Modelle die Einstiegshürden und ermöglichen es somit mehr Personen, Angriffe durchzuführen. Daraus ergeben sich derzeit aber keine neuen Angriffsmethoden und natürlich verbessern sich die Cyberprotection-Methoden auch mit den neuen KI-Modellen.

Die immer ausgefalleneren Angriffe, der Mangel an Fachkräften auf dem Gebiet der IT-Sicherheit und die fortschreitende Entwicklung von KI-Modellen machen eine konsequente Weiterentwicklung von Security-Tools notwendig. Integrierte Lösungen von spezialisierten Anbietern, die helfen, die Komplexität zu beseitigen, können das Risiko des Datenverlustes bereits jetzt eklatant minimieren und den erforderlichen Schutz gegen das umherirrende Gespenst der Ransomware bieten.

Christian Anding ist Regional Marketing Manager Central Europe bei Acronis Germany

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

Pentests: Fusionen, Übernahmen und Expansionen absichern

Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.