Cyberresilienz gegen Ransomware: Wie Unternehmen Schäden und Ausfallzeiten minimieren

Endlich kam die E-Mail mit der erwarteten Rechnung an. Der Anhang war per Link auf dem Server der Lieferantenfirma hinterlegt. Die E-Mail passte zum Vorgang, zudem enthielt die Betreffzeile den Vermerk der internen Security-Lösung, dass sie ungefährlich sei. Der Link zum Download der Rechnung – in einem neuen Dokumentenablagesystem anstelle eines PDF-Anhangs – zerstreute auch die letzten Zweifel, ob die E-Mail echt ist.

Da der Jahresabschluss bevorstand und die Leistung noch auf das Vorjahr gebucht werden sollte, klickte der Empfänger in der Hektik auf den Link, öffnete die PDF-Datei, prüfte sie kurz und legte sie anschließend im Projekt-Share ab. Diese kleine Nachlässigkeit öffnete den Angreifern die Tür ins Unternehmensnetzwerk, erfuhr der IT-Leiter von den Forensikern des Landeskriminalamtes – drei Monate nach den für ihn schlimmsten Wochen in zwanzig Jahren Unternehmenszugehörigkeit.

Time Bombing und Living off the land

Die Attacke basierte auf dem „Time Bombing“- Verfahren, bei dem der Schadcode erst zu einem bestimmten Zeitpunkt aktiviert wird. So konnte die manipulierte PDF-Datei unerkannt das Security-Gateway passieren und selbst einen erfahrenen IT-Fachmann täuschen. Für die Angreifer war der IT-Leiter mit seinen umfangreichen Domänen-Adminrechten ein ideales Opfer.

Sie nutzten den Zugriff vorerst nur zur Beobachtung und Ausbreitung auf weitere Systeme. Die forensische Analyse zeigte später: Die Hacker beobachteten zwei Monate lang die Systemarchitektur, die Geschäftsprozesse und potenzielle Angriffsziele im Unternehmen. Anschließend verwendeten sie die „Living off the Land“-Methode. Diese Cyberangriffstechnik nutzt legitime Tools und Funktionen des Zielsystems, um unentdeckt Schaden anzurichten oder sich weiter im Netzwerk auszubreiten, während kaum oder gar keine zusätzliche Schadsoftware eingesetzt wird.

Nach dieser intensiven Vorbereitung starteten die Angreifer schließlich ihre Attacke an einem langen Wochenende. Sie verschlüsselten alle Daten und ersetzten die Unternehmenswebsite durch eine vorgefertigte Lösegeldforderung. Somit wurde der Angriff öffentlich und Lösegeld über zwei Millionen Euro gefordert.

Betroffen trotz Schutz

Der Fall verdeutlicht: Jedes Unternehmen kann betroffen sein – unabhängig von seinen Sicherheitsvorkehrungen. Es gibt keinen Grund, sich zu schämen, wenn man Opfer einer Cyberattacke wird, denn trotz jahrelanger Investitionen in Cybersicherheit, Awareness-Schulungen und Penetrationstests steigt die Anzahl erfolgreicher Angriffe weiter an. Die Dunkelziffer liegt vermutlich noch deutlich höher.

Die gute Nachricht ist, dass Cyberangriffe heute früher erkannt und die Schäden besser eingedämmt werden können, sodass weniger Daten oder Umsätze verloren gehen. Der Reputationsverlust
bleibt jedoch bestehen. Cybersicherheit ist zugleich ein stetiger Kostentreiber: „There is no glory in prevention“ lautet ein bekanntes Bonmot der Branche. Denn wirkungsvolle Sicherheitsmaßnahmen verhindern zwar Angriffe, bringen jedoch oft spürbare Einschränkungen im Alltag mit sich – von komplexen Anmeldeprozessen über eingeschränkte Zugriffsrechte bis hin zu umfassenden Dokumentationspflichten.

Hinzu kommt ein psychologischer Effekt: Je erfolgreicher die Prävention wirkt, desto weniger sichtbar wird ihr Nutzen – und desto eher zweifeln manche an ihrem Wert. Durch NIS-2 oder DORA regulierte Unternehmen unterliegen zudem umfassenden Meldepflichten, welche bei Versäumnissen zu empfindlichen Strafen führen können. Und trotz aller Maßnahmen kann schon eine einzige Schwachstelle in der sorgfältig aufgebauten Verteidigung das gesamte Unternehmensnetzwerk kompromittieren.

Fallstricke einer erfolgreichen Wiederherstellung und der Faktor Zeit

Im beschriebenen Fall entschied das Unternehmen, nicht auf die Lösegeldforderung einzugehen, da Notfallpläne und regelmäßige Datensicherungen vorhanden waren. Man meldete den Vorfall bei der Polizei und bei der Cyberversicherung. Überdies wurde ein externer Security-Dienstleister zur Unterstützung herangezogen. Am Samstagmorgen war man optimistisch, die verschlüsselten Daten über das Wochenende wiederherstellen zu können. Hierzu mussten der Backup-Server neu aufgebaut und die Bänder eingelesen werden.

Doch am Sonntag folgte die Ernüchterung: Viele kleine Dateien auf den Dateiservern verlangsamten die Wiederherstellung auf etwa 250 Gigabyte pro Stunde. Die Geschäftsführer mussten die Produktionsschichten bis einschließlich Mittwoch absagen.

Um das Risiko einer Reinfektion zu minimieren, beschaffte das Unternehmen neue Netzwerk-Infrastruktur, Server und Speichersysteme. Alle Bestandssysteme wurden abgeschaltet. Zusätzlich überprüfte man alle wiederhergestellten Daten und Systeme mit mehreren Virenscannern.

Das Sicherheitsteam hatte mittlerweile für den Angriff eine YARA-Regel erstellt – ein spezifisches Suchmuster, mit dem Dateien gezielt auf charakteristische Merkmale der eingesetzten Schadsoftware geprüft werden können – die anschließend auf allen wiederhergestellten Systemen in einer Green Zone angewendet wurde.

Auf Basis der neu eingerichteten Infrastruktur gelang es, bis zum Ende der Woche einen Notbetrieb herzustellen. Die Wiederherstellung von Daten in der Cloud stellte jedoch eine zusätzliche Herausforderung dar, da die Snapshot-Backups in Azure aus dem kompromittierten Tenant nicht verwendet werden konnten. Stattdessen mussten die Verantwortlichen virtuelle Maschinen und Daten aus dem Backup-System zurückspielen, während Web-Services und serverlose Anwendungen mithilfe bestehender Automatisierungen neu eingerichtet wurden. Nach weiteren zwei Wochen konnte die Firma schließlich den regulären Betrieb wieder aufnehmen.

Über die Prävention hinausdenken

Im Anschluss begann die Ursachenanalyse und die Bewertung des entstandenen Schadens:

• Der Schaden durch ausgefallene Produktionszeiten, Neuanschaffungen, Überstunden und externe Unterstützung belief sich auf insgesamt zehn Millionen Euro. Die ausgenutzte Lücke wurde durch eine neue Version der Mail-Security-Software geschlossen.
• Die Notfallhandbücher waren erst vor drei Monaten auditiert worden. Hier griffen alle Prozeduren.
• Das Backup-System ermöglichte grundsätzlich eine Wiederherstellung, offenbarte jedoch erhebliche Schwächen bei der Performance, da die primären Sicherungskopien ebenfalls verschlüsselt waren.

Als Konsequenz startete das Unternehmen ein Resilienz-Projekt. Denn während klassische Cybersicherheit darauf abzielt, Angriffe zu verhindern, geht Cyberresilienz davon aus, dass auch
die beste Verteidigung irgendwann überwunden werden kann.

Der Wechsel vom Backup- zum Cyberresilienz-System verlagert den Fokus von der Effizienz im Normalbetrieb und Kosteneffektivität hin zu Wiederherstellungsfunktionen. Diese Systeme
unterstützen aktiv die Angriffsabwehr eines Unternehmens durch:

• Analyse der Datenströme nach Bedrohungen bereits beim Speichern
• Indizierung der Backup-Inhalte
• leistungsstarke Massenwiederherstellung
• Anomalieerkennung und Datenklassifizierung
• Anbindung über Programmierschnittstellen (API) an andere Cybersicherheitssysteme

Mit indizierten Backup-Daten, skalierbaren Cluster-Architekturen und Cloud-Anbindung zur Orchestrierung und Analyse der Backups bieten diese Systeme einen neuen, ungenutzten Data Lake, der nicht nur den Ist-Zustand, sondern auch eine Historie zu den Daten ermöglicht. Ein Data Lake ist ein zentrales Repository, das große Mengen strukturierter, semistrukturierter und unstrukturierter Daten in ihrem Rohformat speichert und damit flexible Analysen erlaubt. Die Verschlagwortung und Anreicherung dieser Daten mit Metadaten bildet die Grundlage für den größten zentralen Datenbestand eines Unternehmens.

Der Wert der Daten und Wertschöpfung durch KI

Heutzutage sind solche Daten mehr denn je eine wertvolle Währung – auch die künstliche Intelligenz dürstet nach Trainingsdaten. Damit rücken Backup-Lösungen in eine neue, strategisch wichtige Rolle. Mithilfe von KI können künftig nicht nur Bedrohungen besser erkannt und gezieltere Aussagen über die zu erwartende Wiederherstellungszeit (Recovery Time Objective, RTO) und den möglichen Datenverlust (Recovery Point Objective, RPO) gemacht werden – abhängig vom Alter der Daten aus dem verfügbaren aktuellsten Wiederherstellungspunkt.

Es eröffnen sich zudem komplett neue Anwendungsmöglichkeiten: In naher Zukunft können wir Fragen an das Cyberresilienz-System stellen wie „Wie viele E-Mails wurden an externe Benutzer geschickt, die einen PDF-Anhang enthielten, der Rechnungen enthielt?“ oder „Welche Benutzer haben im letzten Monat mehr als 100 GB neue Daten erzeugt – über alle Quellen hinweg?“.

Damit entwickeln sich Cyberresilienz-Systeme zu allwissenden Systemen, die sowohl aus dem aktuellen Bestand als auch aus der Vergangenheit heraus antworten können. All diese Technologien
stärken die Angriffsabwehr, verbessern die Früherkennung und unterstützen fundierte Entscheidungen im Fall eines Cyber Incidents. Zwar verhindert Cyberresilienz keinen Angriff, sie trägt jedoch entscheidend dazu bei, Schäden wirksam zu begrenzen – und bildet damit die Basis für eine möglichst schnelle und erfolgreiche Wiederherstellung.