Ransomware ist überall: Von der Pipeline bis zur öffentlichen Verwaltung setzt die Schadsoftware Systeme außer Gefecht und Hacker erpressen Millionen an Lösegeld. Die meisten Experten sehen den Ausweg nur in einer zuverlässigen Backup-Strategie. Al Lakhani, CEO und Gründer vom Münchener Cybersecurity Unternehmen IDEE erklärt im Gespräch, dass die Möglichkeiten zum Schutz vor Ransomware noch lange nicht ausgeschöpft sind.
Herr Lakhani, Ransomware Attacken sind so verbreitet wie nie. Der prominenteste Fall 2021 war bisher vielleicht der des Colonial-Pipeline-Systems, welches Hacker unter ihre Kontrolle brachten. Christopher Krebs, ehemaliger Chef der US-amerikanischen IT-Sicherheitsbehörde CISA, spricht von einer Ransomware-Pandemie [1]. Müssen sich Unternehmen damit abfinden, früher oder später Ziel einer Attacke zu werden?

Ja, ich denke, in der Hinsicht hat Herr Krebs recht: Verschlüsselungstrojaner und Erpressungssoftware werden sich mehr und mehr ausbreiten, und immer mehr Unternehmen attackieren. Bereits im Jahr 2020 gaben mehr als die Hälfte der in einer globalen Studie[2] befragten Unternehmen an, schon einmal Opfer einer solchen Attacke gewesen zu sein. Alle 11 Sekunden findet eine Ransomware-Attacke statt[3]. Die Frage ist also nicht mehr, ob ein Unternehmen Opfer eines Ransomware-Angriffs wird, sondern wann.

Viele Experten setzten darauf, einfach den Forderungen nachzugeben oder eine gute Backup-Strategie zu haben. Löst man so das Problem?

Im Schnitt zahlen Firmen heutzutage rund 300.000 Dollar pro Ransomware-Attacke[4]. Dazu kommt, dass Untersuchungen ergeben haben, dass die Unternehmen, die Lösegeld bezahlen, am Ende sogar draufzahlen, da sie dennoch auf den Wiederherstellungskosten für ihr System sitzen bleiben. Darüber hinaus werden wir das Problem sicherlich nicht dadurch los, dass Unternehmen Kriminelle dazu ermutigen, Lösegeld zu erpressen. Gerade erst hat eine Studie von Cyberreason[5] ergeben, dass 80 Prozent der Firmen, die das Lösegeld zahlen, ein zweites Mal attackiert werden. Manchmal sogar von der gleichen Hacker-Gruppe. Mit der Zahlung von Lösegeld oder der Systemwiederherstellung ist es also nicht getan.

Gegen eine gute Backup-Strategie ist nichts einzuwenden. Jedoch sind auch hier enorme Kosten mit der Systemwiederherstellung verbunden, und nicht jedes Unternehmen kann es sich erlauben, sein System kurzfristig vom Netz zu nehmen, um den Status quo von vor der Attacke wieder herzustellen. Man denke nur an die Energieversorgung oder Krankenhäuser. Das Ziel sollte also sein, das Risiko für eine Ransomware-Attacke zu so gering wie möglich zu halten.

Wie könnte die Risikomitigation aussehen?

Zunächst lohnt sich ein Blick auf die Angriffsvektoren von Ransomware. Das sind im Grunde drei: die Technologie, der Prozess und der Mensch. Beim Vektor “Technologie” ist es so, dass Ransomware, wie so viele Cyberattacken, verwundbare Infrastruktur ausnutzt. So konnte die bekannte Ransomware-Software Wannacry beispielsweise mehr als 230.000 Rechner in über 150 Ländern [6] aus dem einfachen Grund infizieren, weil die Opfer veraltete Windows-Versionen einsetzten. Die Schadsoftware nutzte einen schon lange bekannten Programmierfehler in der SMB-Implementierung aus, um Abstürze und dauerhafte Bluescreens zu erzeugen. Man spricht hier von Day-One-Angriffen: Eine bekannte Schwachstelle wird so lange ausgenutzt, bis das entsprechende Sicherheitsupdate aufgespielt wird.

Beim Vektor “Prozess” geht es etwa um das Ausnutzen von Schwachstellen im Patch-Management. CISOs sei dringend empfohlen, zu kontrollieren, ob Patches nur von verifizierten Quellen übertragen und automatische Systemveränderungen nicht einfach zugelassen werden können. Beim bekannten SolarWinds Hack[7] im Jahr 2020 infiltrierten die Angreifer den Built-Prozess des Dienstleisters für IT- und Netzwerkmanagement Solar Winds. Auf diese Weise konnte Malware in tausende Kundensysteme eingeschleust werden. Unter anderem waren das US-Heimatschutzministerium, aber auch Microsoft und Intel betroffen. Auch bei dem Kaseya-Hack im Juli 2021 war die Lage vergleichbar. Bei so einem Angriff ist es, als würde ein Einbrecher nicht ein Schloss knacken, sondern beim Schlüsselhersteller einbrechen. Für den Systemadministrator ist ein solcher Angriff über eigentlich vertrauenswürdige Drittanbieter-Software kaum zu entdecken.

Bleibt noch der Faktor “Mensch”: Einer IBM-Studie[8] zufolge haben fast die Hälfte der Beschäftigten in den befragten US-Unternehmen kein Training zur IT-Sicherheit erhalten, als sie ins Home-Office wechselten. Ein perfektes Ziel für Phishing oder vorgetäuschte Anrufe aus der IT-Abteilung. Seit März 2020 hat sich die Zahl der im Darkweb feil gebotenen Firmen-Credentials um 429 Prozent[9] erhöht.

Wo kann man also ansetzen, um diesen vielfältigen Angriffswegen vorzubeugen?

Es gibt drei zentrale Schritte. Erstens: Seien Sie proaktiv und nicht reaktiv. Das kann bedeuten, Prozesse einzuführen, die sicherstellen, dass Schwachstellen erkannt und so schnell wie möglich gepatcht werden. Zweitens: Zero-Trust-Prinzipien sollten bei allen Updates berücksichtigt werden; oder mit anderen Worten: Vertrauen Sie einem Update nicht einfach blind, nur weil es vom Anbieter kommt. Und zu guter Letzt, drittens: Unternehmen Sie alles, was in Ihrer Macht steht, um den Nutzer vor sich selbst zu schützen. Und das geht am besten, wenn man passwortlose Technologie verwendet. 80 Prozent aller Cyberattacken sind auf kompromittierte Passwörter zurückzuführen und 34 Prozent auf Ransomware-Attacken. Auf Passwörter zu verzichten und auf Zero-Trust-Authentifizierung zu setzen, ist der schnellste Weg eine ganze Reihe von Ransomware-Angriffen zu beseitigen.

Warum das?

Nach wie vor werden Systeme durch primitive Login-Daten, sogenannte Credentials geschützt, beispielsweise eine Kombination aus Nutzername und einem Passwort. Wer diese Daten besitzt, kann in einem System schalten und walten wie er will. Warum das ein Problem ist zeigen die Infiltrationsstrategien einiger bekannter Malwares, wie Dharma, über Phobos bis hin zu Snake. Sie alle attackieren schwache Anmeldedaten bei Remote Desktop Protokoll-Verbindungen (RDPs). Mit der heutigen Rechengeschwindigkeit sind einfache Passwörter in Sekundenschnelle geknackt.

Was macht gerade RDPs so angreifbar?

RDPs sind ein beliebter Weg für Organisationen, um Mitarbeitenden im Home Office Zugriff auf Firmenressourcen zu gewähren. Dafür werden RDP-Ports im öffentlichen Internet zur Verfügung gestellt. Für Angreifer ist nichts leichter, als diese zu finden und durch Brute-Force-Attacken oder Credential-Stuffing zu hacken. Der einzige Ausweg ist eine zuverlässige und starke Multi-Faktor-Authentifizierung (MFA).

Das klingt nach einer relativ einfachen Lösung.

Ja, so ist es auch. Es ist nur so, dass die wenigsten Unternehmen eine passwortlose MFA nutzen, um ihre RDPs zu schützen. Das Mindeste, was Unternehmen tun können, ist ein MFA-fähiges VPN einzusetzen, um das RDP zu schützen, wenn das RDP noch auf Passwörtern beruht.

Was empfehlen Sie also?

Tatsächlich schützt eine starke Authentifizierung vor einer ganzen Angriffslinie, die von Malware ausgenutzt wird. Unternehmen und Organisationen sollten sich vom Passwort verabschieden und auf Identitäten setzen, die nicht so einfach gestohlen werden können. Das kann der Identitätsnachweis über ein Gerät sein oder über ein nicht verfälschbares biometrisches Merkmal. So wird das Risiko Mensch deutlich reduziert: Es kann kein Passwort gephischt werden, wenn es kein Passwort zu stehlen gibt. Und ein gestohlenes Gerät wird deutlich früher bemerkt, als ein gestohlenes Passwort.

Was die Technologie angeht, so können zumindest die Einfallstore besser gesichert werden, was aber selbstverständlich auch nur dann hilft, wenn Software auf dem neuesten Stand gehalten wird.

Darüber hinaus empfiehlt es sich, dass Drittanbieter ein Zero-Trust-Prinzip verfolgen, d. h. jeden Zugriff stets authentifizieren und explizit verifizieren und so sicherstellen, dass keine Credentials in einer zentralen Datenbank gespeichert werden. Denn nur dann nützt es dem Dieb nichts, den Schlüsselhersteller zu attackieren, wenn dieser nicht im Besitz der Schlüssel ist.

Wird sich so die Ransomware-Pandemie bezwingen lassen?

Vollständig ausschließen lassen wird sich eine Ransomware-Attacke nie. Ein gutes Mitarbeitertraining, regelmäßige Updates und eine gute Backup-Strategie sollten trotz allem Teil der Abwehrmaßnahmen sein. So können wir die Ransomware-Pandemie vielleicht nicht besiegen, aber das Risiko und die entstehenden Schäden minimieren. Und wenn sich immer mehr Organisationen gegen Passwörter entscheiden, werden Angreifer neue Wege finden müssen ihre Malware zu verbreiten. Im Endeffekt geht es darum, einen mehrschichtigen Security-Ansatz zu finden, bei dem Organisationen nicht nur auf eine Verteidigungslinie setzen, sondern auf verschiedene Sicherheitskontrollen setzen, wie Identitätsverwaltung, Zero-Trust-Security, eine strenge Kontrolle aller Zugriffe, die Verhinderung von Insider-Threats, eine starke Multifaktor-Authentifizierung und ein proaktives Vorgehen in Sachen Cybersicherheit.

Referenzen:

[1] https://www.washingtonpost.com/business/2021/05/12/ransomware-attack/

[2] https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[3] https://cybersecurityventures.com/global-ransomware-damage-costs-predicted-to-reach-20-billion-usd-by-2021/

[4] https://www.computerweekly.com/news/252498029/Average-ransomware-cost-triples-says-report

[5] https://venturebeat.com/2021/06/16/cybereason-80-of-orgs-that-paid-the-ransom-were-hit-again/

[6] https://www.kaspersky.com/resource-center/threats/ransomware-wannacry

[7] https://www.spektrum.de/news/solarwinds-ein-hackerangriff-der-um-die-welt-geht/1819187

[8] http://filecache.mediaroom.com/mr5mr_ibmnews/186506/IBM_Security_Work_From_Home_Study.pdf

[9] http://www.helpnetsecurity.com/2020/10/08/corporate-credentials-dark-web/