Herr Carl, warum sind Ransomware-Angriffe heute allgegenwärtig und was macht sie so gefährlich?

Bei Ransomware handelt es sich um ein milliardenschweres Geschäft, das heute hoch industrialisiert und arbeitsteilig abläuft. Exploits sind auf illegalen Handelsbörsen – je nach Angriffspotenzial – für wenige tausend Euro erhältlich. Exploit Broker vermitteln gegen Gebühr Schwachstellen. Sogenannte ,Quartermaster‘ statten Angreifergruppen mit den notwendigen Werkzeugen für komplexe Cyberattacken aus. Professionelle Cyberkriminelle stellen weniger versierten Angreifern Ransomware-Tools in einem Abonnementmodell zur Verfügung. Dieser arbeitsteiligen Wirtschaft steht das einzelne Unternehmen mit seinen begrenzten Abwehrmöglichkeiten gegenüber.

Wen haben Ransomware-Angreifer im Visier?

Mittelständische Unternehmen flogen in der Vergangenheit eher unter dem Radar der Angreifer. Doch aktuell befinden gerade sie sich im Fokus. Denn hybride Arbeitswelten, in denen Mitarbeiter mit einer Vielzahl Mobilgeräten über häufig private und schlecht gesicherte Netzwerke auf Unternehmensressourcen zugreifen, eignen sich für erfolgreiche Angriffe ideal. Alles, was es braucht, um tausende oder hunderttausende Euro bei einem Angriff auf eine Lieferkette zu verdienen, ist ein einziges anfälliges Gerät. Schwachstellen gibt es leider zu genüge: Der Ransomware-Report von Ivanti für das erste Quartal 2022 zeigt, dass die Anzahl der mit Ransomware verbundenen Schwachstellen im Vergleich zum vierten Quartal 2021 um 7,6 % gestiegen ist.

Was bedeutet diese Zahl konkret?

Es gab im ersten Quartal 2022 22 neue Schwachstellen in Verbindung mit Ransomware. Damit steigt die Gesamtzahl der Schwachstellen die aktuell von Ransomware genutzt werden auf 310 an. Positiv ist, dass für all diese Schwachstellen bereits Patches verfügbar sind. Unternehmen sollten also keine Zeit verlieren und patchen, bevor es zu spät ist. Hinzu kommen zehn neue intensiv ausgenutzte Schwachstellen. Wir sprechen dabei von ‚trending‘ Sicherheitslücken. Bei diesen konnten wir im letzten Quartal einen Anstieg von 6,8 % verzeichnen. Dies ist darauf zurückzuführen, dass Cyberkriminelle gezielt die Schwachstellen ins Visier nehmen, die die größtmögliche Störung verursachen.

Es geraten zunehmend auch Kritische Infrastrukturen wie das Gesundheitswesen ins Visier der Angreifer. Können Sie diese Entwicklung für uns einordnen?

Der Ransomware-Report hat 56 Anbieter von Gesundheitsanwendungen, medizinischen Geräten und Hardware betrachtet, die in Krankenhäusern und Gesundheitszentren eingesetzt werden. In ihren Produkten ließen sich mehr als 600 eindeutige Schwachstellen finden. Für 40 dieser Schwachstellen wurden Exploits veröffentlicht und zwei Schwachstellen stehen mit Ransomware in Verbindung. Leider deutet das darauf hin, dass das Gesundheitswesen verstärkt zur Zielscheibe von Ransomware-Angriffen werden könnte, die Netzwerke lahmlegen und die Patientensicherheit gefährden. Vermutlich treffen die Angriffe dann nicht nur herkömmliche Geräte wie Mobilgeräte und Laptops, sondern auch IoT-Geräte im Gesundheitswesen, beispielsweise medizinische Infusionspumpen. Und spätestens dann gefährdet ein Angriff direkt Menschenleben. Das Beispiel ist leider nicht aus der Luft gegriffen. Eine Untersuchung aus dem Jahr 2020 zeigt, dass drei Viertel dieser Geräte Sicherheitslücken aufwiesen. Gesundheitsdienstleister müssen in Bezug auf ihre Cybersicherheitsmaßnahmen also äußerst wachsam sein.

Viele Unternehmen vertrauen auf ihre Ransomware-Scanner. Setzen sie damit auf das richtige Pferd?

Die gute Nachricht ist, dass Scanner-Anbieter die Bedrohung ernst nehmen und aufrüsten. Die Zahl der von Scannern übersehenen Ransomware-Schwachstellen ist insgesamt gesunken – von 22 (Q4 2021) auf elf (Q1 2022). Trotzdem erkennen einige der gängigsten Scanner mehrere wichtige Ransomware-Schwachstellen nicht. Wir gehen von etwa 3,5% aus. Diese Zahl mag nicht besonders hoch erscheinen. Bedenken Sie allerdings, dass diese Information auch Cyber-Kriminellen bekannt ist, die sich dann speziell auf genau diese Schwachstellen fokussieren.

Wie agieren diese Angreifer?

Moderne Ransomware-Angriffe umfassen in der Regel verschiedene Taktiken wie Social Engineering, Phishing-E-Mails und bösartige E-Mail-Links. Dabei werden auch Schwachstellen in ungepatchter Software ausgenutzt, um in die Systeme der Unternehmen einzudringen und dort Malware zu installieren. Diese zunehmende Raffinesse führt dazu, dass Cyberkriminelle Sicherheitslücken mittlerweile im Schnitt innerhalb von acht Tagen nach der Veröffentlichung von Patches ausnutzen. Damit sind sie häufig schneller als die IT-Security-Teams in den Unternehmen. Zum Vergleich, laut einer Analyse der Rand Corporation aus dem Jahr 2017 waren es noch durchschnittlich 22 Tage.
Allerdings haben Unternehmen – nicht zuletzt mit Blick auf die Vielzahl und Schwere der Angriffe in den letzten Monaten – ihr Daten-Backup massiv verbessert. Bedrohungsakteure reagieren darauf und verzichten zunehmend auf den Einsatz von Ransomware-Tools. Stattdessen verlegen sie sich direkt auf den Diebstahl von Daten und die nachfolgende Erpressung von Unternehmen – mit Erfolg. Denn mehr als die Hälfte aller deutschen Firmen sind bereit, Cyber-Erpressern Lösegeld zu zahlen. Und wer einmal gezahlt hat, zahlt vermutlich auch beim nächsten Mal.

Haben IT-Teams so überhaupt eine Chance, Bedrohungsrisiken rechtzeitig zu erkennen?

Theoretisch ja. Datenbanken und Listen, in denen Schwachstellen verzeichnet sind und aktualisiert werden, stehen den Teams zur Verfügung. Praktisch zeigen sich dort jedoch Lücken, wobei die Geschwindigkeit eine zentrale Rolle spielt. Angreifer machen Schwachstellen ausfindig und nutzen sie aus, noch ehe diese in den Datenbanken ergänzt werden und Patches bereitstehen. Für Unternehmen bedeutet das, dass IT-Sicherheit nie Pause hat.

Welche Grundhaltung sollten Unternehmen einnehmen, um sich bestmöglich gegen Ransomware-Angriffe aufzustellen?

Technologien, aber auch Angriffstechniken entwickeln sich immer weiter – und das mit großer Geschwindigkeit. Ransomware-Bedrohungen tauchen viel schneller auf, als jede IT-Abteilung sie manuell bewältigen kann. Durchschnittlich acht Tage dauert es, bis eine Sicherheitslücke angegriffen wird. 100 bis 120 Tage benötigen Unternehmen jedoch, um verfügbare Patches umzusetzen – ein leichtes Spiel für Angreifer. Und es hat sich ja auch gezeigt, dass Bedrohungen oft unentdeckt bleiben, selbst wenn Technologie wie ein Scanner zum Einsatz kommt. Sie müssen es so sehen: Wer sich gegen Angriffe verteidigt, muss jedes Mal richtig reagieren – Angreifer hingegen müssen nur ein einziges Mal richtig liegen, um erfolgreich zu sein.

All das klingt fast nach einer Übermacht der Angreifer?

Die Herausforderung ist, den Cyberkriminellen immer einen Schritt voraus zu sein. Unternehmen müssen Bedrohungen rechtzeitig erkennen und schnell genug darauf reagieren. Deshalb ist die Echtzeitüberwachung verschiedener Kanäle und Netzwerke äußerst wichtig – die idealerweise den tatsächlichen Bedrohungsstand wiedergeben.

Inwiefern können Unternehmen sich wappnen?

Die Lösung lautet Multi-Tasking – und Automatisierung. Denn während Unternehmen an ihrem eigenen Cybersicherheitssystem arbeiten, sind sie nicht auf den nächsten Ransomware-Angriff vorbereitet. Es muss ein Gleichgewicht zwischen Prävention, Erkennung und Beseitigung von Bedrohungen herrschen. Jede Sicherheitslücke händisch zu patchen, wird dabei nicht mehr gelingen, das reicht heute genauso wenig aus wie compliance-orientiertes Patchmanagement, das mit dem Tempo und der Aggressivität der Bedrohungen nicht mehr mithält.

Unternehmen müssen Patchmanagement also neu denken?

Genau darum geht es. Die IT-Security muss einen risikobasierten Ansatz für das Schwachstellenmanagement wählen und sich bei der risikobasierten Analyse auf mehrere Risikokennzahlen sowie Trendanalysen und -beobachtungen zu Bedrohungsakteuren stützen. Dieses risikobasierte Patchmanagement ist der einzig wirksame Schutz.

Welche Rolle spielt Automatisierung dabei?

Ein risikobasierter Ansatz rückt die Schwachstellen mit der höchsten Priorität in den Vordergrund. Dazu ist eine KI-basierte Technologie erforderlich, die Schwachstellen und aktive Bedrohungen im Unternehmen identifiziert, Frühwarnungen zum Schutz gegen Schwachstellen ausspricht, Angriffe vorhersagt und Hilfsmaßnahmen Prioritätsstufen zuweist. IT-Teams beheben so erst Schwachstellen in hochkritischen Geschäftssystemen, während Sicherheitslücken mit geringerem Gefährdungspotenzial vorerst offenbleiben.

Gibt es noch einen letzten Tipp, der Unternehmen weiterhelfen kann?

Unternehmen müssen ihre Angriffsfläche minimieren und Bedrohungen frühzeitig erkennen. Und immer gilt: Vorbereitung ist die beste Verteidigung. Wie gut ein Unternehmen gewappnet ist, lässt sich mit Stresstests überprüfen, um danach effektiver mit kritischen Situationen umgehen zu können.

Das eigentlich Tragische an der heutigen Situation ist, dass ausreichend Tools und Strategien bereitstehen, die Unternehmen ein hohes Schutzniveau liefern könnten. Dass Konzepte wie Zero Trust oder risikobasierte Analyseverfahren aktuell noch zu zaghaft eingesetzt werden, ist durchaus auch eine Haltungsfrage in vielen deutschen Chefetagen: Laut Angaben des Bitkom möchten gerade einmal 5 Prozent aller Unternehmen mit offenen IT-Positionen, Security-Experten einstellen. Hier muss sich die Einstellung zum Wertbeitrag einer starken IT-Security-Organisation für das Unternehmen deutlich und rasch ändern. Ansonsten wird erneut wieder mehr als die Hälfte aller deutschen Firmen Cyber-Erpressern Lösegeld zahlen.