Wie gehen Ransomware-Gruppen vor und wie schütze ich mich?
Sicherheitsrelevante Vorfälle sind spätestens seit dem Auftauchen von Ransomware-Angriffen für alle Organisationen eine relevante Gefährdung geworden. Den betroffenen Institutionen drohen neben hohen Kosten durch Ausfall/Unterbrechung des Geschäftsbetriebs, auch Verfahren wegen Verstößen gegen Gesetze und Verordnungen sowie Reputationsverluste.
Sicherheitsrelevante Vorfälle sind spätestens seit dem Auftauchen von Ransomware-Angriffen für alle Organisationen eine relevante Gefährdung geworden. Den betroffenen Institutionen drohen neben hohen Kosten durch Ausfall/Unterbrechung des Geschäftsbetriebs, auch Verfahren wegen Verstößen gegen Gesetze und Verordnungen sowie Reputationsverluste. Während vor fünf Jahren eine Verschlüsselung von Nutzdaten oft nur einzelne Computersysteme betroffen hat, ähneln heutige Ransomware-Angriffe Advanced Persistent Threats (APTs), bei denen die kriminellen Ransomware-Gangs zielgerichtet und durch einen hohen manuellen Anteil ganze IT-Infrastrukturen verschlüsseln. Neben der Verschlüsselung von Daten, werden diese auch im großen Stil aus den Unternehmensnetzwerken abgegriffen, um anschließend eine Veröffentlichung dieser Daten anzudrohen. Auch DDoS-Angriffe gehören heute zum Repertoire der Angreifer.
Das Ziel der Ransomware-Gangs ist es, Geld zu erpressen. Die Erpressung wird auf zwei Wegen durchgeführt:
- Durch Verschlüsselung von Daten aus zum Beispiel SQL-Datenbanken, Office Dokumenten oder durch die Verschlüsselung gesamter IT-Infrastrukturen. Ist das Unternehmen nicht in der Lage, Daten aus Backups wiederherzustellen oder sind die Backups schlichtweg zu alt, stehen viele Unternehmen vor einem wirtschaftlichen Totalschaden.
- Verweigert das Unternehmen die Zahlung des Lösegelds, weil es z.B. über ausreichend Backups verfügt, wird mit der Veröffentlichung der internen Daten gedroht. Dazu zählen u. a. Kundendaten, Verträge sowie andere Office-Dokumente, Personalakten mit prekären Informationen oder weitere Geschäftsgeheimnisse. Diese Daten werden von den Angreifern im Internet veröffentlich und stehen jedem auf der Welt zum Download zu Verfügung.
Dieses Vorgehen wird auch als Double Extortion bezeichnet. Diesem massiven Druck geben viele Unternehmen nach. Eine der höchsten erbeuteten Lösegeld-Zahlungen wurde vom US-Unternehmen Colonial Pipeline gezahlt. Der Betrag belief sich auf circa 4,4 Millionen Dollar.
Dies sind jedoch nicht die einzigen Schäden, die durch die Cyberkriminellen verursacht werden. Neben hohen Reputationsschänden und eventuell bezahlten Lösegeldern, sind die Schäden, die durch die Betriebsunterbrechung oder durch den Wiederaufbau entstehen, extrem hoch. Laut einer Bitkom-Studie verursachen Ransomware-Angriffe allein in Deutschland 220 Milliarden Euro Schaden pro Jahr.
Daher ist es absolut notwendig, dass sich Unternehmen gegen dieses stetig wachsende Risiko schützen. Die Schutzmaßnahmen werden in drei Bereiche (Prävention, Detektion und Reaktion) unterteilt, die gleichmäßig beachtet werden müssen. Wesentliche präventive Maßnahmen sind beispielsweise der Einsatz von VPN (Virtual Private Networks), Schutz kritischer IT-Komponenten mittels MFA (Multi-Faktor-Authentifizierung) oder auch Awareness-Maßnahmen bei den Mitarbeitern. Zu den detektiven Schutzmaßnahmen gehören die Sammlung, Korrelation und manipulationssichere Speicherung von Logdateien sowie deren Auswertung auf mögliche Anomalien. Die berühmten 100 Prozent Sicherheit können nie sichergestellt werden, daher müssen ebenso reaktive Maßnahmen für den Fall eines erfolgreichen Cyberangriffs definiert sein. Diese Maßnahmen klären beispielsweise die Fragen: Wer kann mich bei der Untersuchung des Angriffs, bei der Sicherstellung von Beweisen für die Strafverfolgung sowie beim Wiederaufbau der Umgebung unterstützen? Gleichermaßen sind Notfall- und Reaktionspläne entscheidend, die dabei helfen schnell korrekte Maßnahmen zur Eindämmung des Angriffs zu ergreifen.
Wenn Sie lösungsorientiert tiefer ins Thema einsteigen möchten, empfehlen wir Ihnen das Seminar „Ransomware-Angriffe – Vorgehensweise der Angreifer und erste Schutzmaßnahmen“ am 14. September 2022 oder aber auch den direkten Kontakt zur @-yet GmbH.
Autor
Stephan Reinert ist als Security Resulter bei der @-yet GmbH mit den Schwerpunkten Planung und Durchführung von IT-Sicherheitsüberprüfungen und allgemeine Informationssicherheitsberatung tätig. Er verfügt über mehr als fünf Jahre Erfahrung als Berater und Auditor im Bereich Informationssicherheit/IT-Security und verfügt unter anderem über die Qualifikation „Offensive Security Certified Professional“ (OSCP).