Kampf gegen Ransomware: Kenne den Feind, kenne dich selbst

Der Kampf gegen Ransomware ist immer auch ein Wettrennen zwischen zwei Parteien: den IT-Verantwortlichen und den Hackern. Beide versuchen stetig, der anderen Seite einen Schritt voraus zu seien, die Strategien der anderen Seite zu antizipieren und das eigene Vorgehen entsprechend anzupassen um in der Lage zu sein, dem Gegner ein Schnippchen zu schlagen. Je besser man dabei in der Lage ist, den Gegner einzuschätzen und seine Aktionen vorauszusagen, desto erfolgreicher kann man die eigene Strategie anpassen.
Von   Martin Menzer   |  Senior Solution Architect, CISSP   |  Omada
12. Mai 2022

Der Kampf gegen Ransomware ist immer auch ein Wettrennen zwischen zwei Parteien: den IT-Verantwortlichen und den Hackern. Beide versuchen stetig, der anderen Seite einen Schritt voraus zu seien, die Strategien der anderen Seite zu antizipieren und das eigene Vorgehen entsprechend anzupassen um in der Lage zu sein, dem Gegner ein Schnippchen zu schlagen. Je besser man dabei in der Lage ist, den Gegner einzuschätzen und seine Aktionen vorauszusagen, desto erfolgreicher kann man die eigene Strategie anpassen. 

In der Welt der Cybersicherheit ist Ransomware sowohl ein zentrales Schlagwort als auch der schlimmste Albtraum eines jeden Sicherheitsexperten. Ransomware ist eine Form von Malware, die darauf abzielt, Dateien auf einem Gerät oder Zielsystem zu verschlüsseln und damit alle Dateien und alle darauf angewiesenen Systeme unbrauchbar zu machen. Sobald böswillige Akteure die Ransomware installiert haben, verlangen sie, wie der Name schon sagt, Lösegeld, um die Dateien zu entschlüsseln und zurückzuerstatten. Unternehmen, die von Ransomware infiziert wurden, denken oft, dass der einfachste Weg, den Geschäftsbetrieb aufrechtzuerhalten, darin besteht, das Lösegeld zu zahlen. Mit dieser einmaligen Zahlung ist der Vorfall dann vorbei. Trotz der rosigen Aussichten ist dies jedoch selten der Fall. Ransomware gibt es zwar schon seit vielen Jahren, doch Experten verweisen auf den WannaCry-Vorfall im Jahr 2017 als Wendepunkt für das Bewusstsein und die Ernsthaftigkeit, mit der sich Unternehmen anschließend mit Ransomware auseinandersetzten.

Die Täter des WannaCry-Angriffs nutzten eine Schwachstelle im Windows-Betriebssystem aus und waren in der Lage, eine große Anzahl von Systemen und Geräten weltweit zu infizieren. Die Berichte variieren, aber eine allgemeine Schätzung besagt, dass mehr als 200.000 Computer betroffen waren. Nachdem sie die Computer infiziert hatten, verlangten die Angreifer 300 Dollar in Bitcoin, was etwas später auf 600 Dollar erhöht wurde, um die Dateien zu entschlüsseln. Andernfalls würden die Dateien, auf die die Angreifer Zugriff hatten, für immer verloren sein. 

Eine wichtige Randbemerkung, die es zu bedenken gilt, ist folgende. In Fernsehsendungen und Filmen hören wir oft Protagonisten, die verkünden: „wir verhandeln nicht und gehen nicht auf die Forderungen von Terroristen ein“, aber in der realen Welt haben Menschen und Unternehmen reale Konsequenzen. Das kann ein Krankenhaus sein, das sich auf Systeme zur Planung von Operationen oder zur Aufrechterhaltung der lebenserhaltenden Maßnahmen verlässt oder ein Energieunternehmen, das sich auf vernetzte Systeme zur Versorgung der Menschen mit lebenswichtigen Gütern verlässt. Sie haben manchmal nicht den Luxus, in diesen sehr realen Szenarien die Rolle des Denzel Washington zu spielen, der die Geiselbefreiung verhandelt.

So schockierend es auch ist, dass die bösartigsten Angreifer sogar Organisationen ausnutzen, die Menschen buchstäblich am Leben erhalten, so ist es doch ebenso eine bedauerliche Tatsache, dass Ransomware jedes Jahr weiter zunimmt. Im jährlichen Global Security Attitude Survey und Global Threat Report wurde festgestellt, dass die Zahl der Datenlecks im Zusammenhang mit Ransomware im Jahr 2021 gegenüber 2020 um 82 % gestiegen ist. Die durchschnittliche Forderung der Angreifer beträgt 6 Millionen US-Dollar und die durchschnittliche Zahlung ist im Vergleich zum Vorjahr um 63 % auf fast 1,8 Millionen US-Dollar gestiegen. Wichtig ist auch, dass selbst von den Unternehmen, die das ursprüngliche Lösegeld gezahlt haben, 96 % auch zusätzliche Erpressungsgebühren gezahlt haben.

Es ist allgemein bekannt, dass Angreifer immer den Weg des geringsten Widerstands gehen und dass die gleichen bewährten Angriffswege für finanziell oder anderweitig motivierte Angreifer trotz des Aufkommens neuer Technologien immer attraktiv sein werden. Ransomware kann einfach und schnell übertragen werden und es genügt möglicherweise der Fehler einer einzigen Person, um schwerwiegende Folgen zu haben. Einer der häufigsten Wege führt über Phishing-E-Mails, in denen der Empfänger dazu verleitet wird, etwas herunterzuladen oder auf einen Link zu klicken, der Ransomware auf den Computer lädt. Von dort aus kann sich der Angreifer Zugang zu Anmeldeinformationen oder zu anderen Systemen verschaffen und so geht es immer weiter. Ransomware-Angriffe werden oft an der Anzahl der infizierten Geräte und Systeme gemessen und aufgrund der Vernetzung heutiger Unternehmen kann ein Ransomware-Angriff schnell in die Hunderte, Tausende oder Hunderttausende gehen, wenn er erst einmal Fuß gefasst hat und außer Kontrolle gerät.

Es liegt auf der Hand, dass Ransomware-Angriffe oft mit hohen Risiken verbunden sind. Sie unterstreichen mehrere Dinge, die jede Organisation berücksichtigen muss, um eine Basis zu schaffen, die Angreifer in Schach hält: 

  • Erstellen Sie einen Reaktionsplan für die Cybersicherheit. Durch die Dokumentation eines Reaktionsplans und die Durchführung von Simulationen können Sicherheits- und Unternehmensverantwortliche im Falle einer Lösegeldsituation sicher handeln. Festgelegte Entscheidungspunkte darüber, wann Lösegeld gezahlt werden soll, wann nicht, wer zu kontaktieren ist und wie der Angriff an interne und externe Beteiligte kommuniziert werden soll, sind in Krisenzeiten immer hilfreich und rechtzeitige Entscheidungen sind entscheidend.  
  • Installieren Sie Sicherheits-Patches.  Es hat sich immer wieder gezeigt, dass Angreifer nach ungepatchten Infrastrukturen und Systemen suchen, um loszulegen. Obwohl das Einspielen von Patches wie eine nicht enden wollende Aufgabe erscheinen mag, wird es oft als ein gemeinsamer Nenner genannt, wenn Ransomware-Angriffe entdeckt werden. 
  • Sichern Sie Dateien und Daten. Ein Backup-Plan für Daten und Dateien, vorzugsweise offline, ist ein wichtiger Schutz vor Angreifern. Wenn Daten offline gehalten werden, sind die Versuche von Angreifern, „Hot Backups“ zu finden und zu löschen, hinfällig. Außerdem besteht keine Notwendigkeit, Lösegeld für Daten zu zahlen, die in einem solchen Szenario bereits zugänglich sind. 
  • Setzen Sie Prioritäten bei digitalen Identitäten. Erstens ist eine kontinuierliche Schulung von Mitarbeitern, externen Auftragnehmern, MSPs und allen anderen, die internen Zugriff benötigen, hilfreich, um sicherzustellen, dass alle wachsam und aufmerksam bleiben. Zweitens kann die Einführung des Prinzips „Least Privilege“, mit dem sichergestellt wird, dass die Mitarbeiter nur den für ihre Arbeit erforderlichen Zugriff erhalten, die Anfälligkeit für Ransomware drastisch einschränken.  

Ransomware ist zwar beängstigend und lauert hinter jeder Ecke, aber mit Wachsamkeit, Vorbereitung und den richtigen Tools kann das Risiko gemindert werden. Eine aktuelle Studie von ESG zeigt, dass 90 % der Unternehmen der Meinung sind, dass die Implementierung von Identity Governance & Administration (IGA) ein wichtiger Aspekt im Kampf gegen Ransomware ist. Bericht lesen 

Identity Governance als Grundlage

Experten schätzen, dass 76 % der Ransomware-Angriffe nach Geschäftsschluss erfolgen, d. h. am Wochenende oder an Wochentagen vor 8 Uhr morgens oder nach 18 Uhr abends. Es ist klar, dass es für Unternehmen heutzutage nicht mehr sinnvoll ist, nur das Minimum zu tun und auf das Beste zu hoffen. Die Schaffung einer soliden Grundlage zur Bekämpfung von Ransomware-Bedrohungen hat oberste Priorität.

Identity Governance ist ein probates Mittel, das im Kampf gegen Ransomware-Angriffe helfen kann. Um jedoch wehrhaft im Cyber-Space zu sein, reicht es nicht aus, lediglich eine Front zu stärken – nur ganzheitlicher Schutz und eine umfassende Strategie bieten das notwendige Fundament für Sicherheit. Es versteht sich von selbst, dass starke Cybersicherheitstechnologien zwar notwendig sind, aber mit Menschen und Prozessen kombiniert werden müssen, die wissen, wie man das Beste aus ihnen herausholt.

In diesem Zusammenhang ist es wichtig, noch einmal darauf hinzuweisen, dass eine der am häufigsten zitierten Kennzahlen bei Ransomware-Angriffen die Anzahl der infizierten Geräte ist. Denn je mehr Geräte die Angreifer infizieren können, desto teurer, zeitaufwändiger und mühsamer ist die Behebung des Schadens. Eine moderne Identity-Governance-Lösung kann Unternehmen dabei helfen, Angreifer abzuwehren und wenn sie dennoch mit ihrer Malware eindringen, kann der Schaden begrenzt und schnell behoben werden. Da 90 % der Unternehmen der Meinung sind, dass IGA ein wichtiger Aspekt bei der Bekämpfung von Ransomware ist, finden Sie hier einige Kontrollen, die Ihnen zeigen, warum:

  • Verwalten ruhender Konten. Ein wichtiger Kontrollpunkt zur Verhinderung von Ransomware-Angriffen ist die Identifizierung von Konten und Zugängen, die nicht in Besitz sind oder verwaist sind. IGA kann dabei helfen, verwaiste Konten oder Konten mit übermäßiger Berechtigung zu identifizieren und sie entweder den Administratoren zu melden oder die Risiken automatisch zu beseitigen, indem ein Eigentümer zur Bewertung zugewiesen wird. Diese Arten von Konten werden oft als Schwachstellen ins Visier genommen und von Angreifer als Startrampe verwendet, um intern Vertrauen zu gewinnen und sich seitlich und vertikal zu bewegen, bis sie den gewünschten Effekt erzielen. Wenn Sie selbst ständig nach diesen Arten von Konten suchen und dabei wie ein Angreifer denken, können Sie ihnen einen Schritt voraus sein.
  • Richtige Zugriffsrechte durchsetzen. Moderne Identity Governance & Administration (IGA)-Lösungen basieren auf dem zentralen Grundsatz, sicherzustellen, dass Personen nur auf die Daten, Anwendungen und anderen Ressourcen zugreifen können, die sie für die Ausübung ihrer Tätigkeit benötigen. IGA-Lösungen sollten auch in der Lage sein, Kontrollen einzurichten, die dazu beitragen, Social Engineering- und Phishing-Angriffe zu verhindern, die häufig ein gefundenes Fressen für Angreifer sind. Durch den Einsatz von Self-Service-Workflows wie der Passwortverwaltung werden nicht nur die Anrufe beim Helpdesk reduziert, sondern auch Richtlinien für das Zurücksetzen von Passwörtern auf eine Art und Weise implementiert, die schwer abzufangen ist. Diese Grundprinzipien der IGA bei der Durchsetzung angemessener Zugriffsrechte tragen auch dazu bei, Lateral Movement zu verhindern, was Ransomware-Angreifer wirklich bremsen kann.
  • Kontinuierliche Rezertifizierung. Ähnlich wie die Durchsetzung ordnungsgemäßer Zugriffsrechte sind auch Rezertifizierungskampagnen und Umfragen Kernfunktionen einer modernen IGA-Lösung. Dies kann im Kampf gegen Ransomware und bei der Schadensminimierung entscheidend sein. Mit Hilfe von Rezertifizierungen kann kontinuierlich sichergestellt werden, dass der Zugriff gewährleistet ist und die Abläufe wie gewünscht ablaufen. Im Zusammenhang mit Ransomware können Zertifizierungen dabei helfen, Dinge wie unsachgemäßen Zugriff zu erkennen und Sicherheitsteams mit den nötigen Erkenntnissen auszustatten, um definitive Maßnahmen zu ergreifen und betroffene Systeme vom Netzwerk zu trennen, wenn sie mit Malware infiziert sind.
  • Prozesse evaluieren und prüfen. Auch wenn diese drei Kontrollen zur Risikominimierung beitragen können, ist Ransomware eine anhaltende Bedrohung, die ständig bewertet werden muss. Daher müssen die Sicherheits- und IAM-Teams sicherstellen, dass diese Prozesse und jegliche Automatisierung wie vorgesehen funktionieren. Die Aufrechterhaltung einer vollständigen Prüfung, einschließlich der Frage, wer Entscheidungen über die Gewährung von Zugriffsrechten getroffen hat und die Feststellung, wer Zugriff auf was hat und warum, ist ein ständiger Prozess, aber mit einem modernen IGA-Ansatz ist dies machbar und kann die Zeit, die für die Erkennung eines Angriffs und das schnelle Ergreifen von Maßnahmen benötigt wird, drastisch verkürzen.

Mit diesen vier IGA-Prinzipien können Unternehmen eine Grundlage schaffen, die sie in die Lage versetzt, mit Ransomware-Angriffen besser umzugehen. Zwar gibt es immer etwas zu tun und Bedrohungen lauern an jeder Ecke, doch Angreifer suchen sich oft einfach ein neues Ziel, wenn sie beim Versuch, in ihr Ziel einzudringen, auf echten Widerstand stoßen. Deshalb ist es so wichtig, eine Grundlage zu haben, um Angreifer abzuwehren und das Unternehmen in die Lage zu versetzen, seine Sicherheitspraktiken kontinuierlich zu verbessern. Wer diese Leitsätze verfolgt, der ist in der Lage dazu, den Hackern stets einen Schritt voraus zu bleiben. 

Nach fast vier Jahren als Senior Consultant bei Avanande schloss sich Martin Menzer 2010 Omada an. Dort ist er nun seit fast 12 Jahren als Senior Solutions Architect tätig und Erwerb sich zudem die Certified Information Systems Security Professional (CISSP)-Zertifizierung vom International Information Systems Security Certification Consortium, Inc.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

27519

share

Artikel teilen

Top Artikel

Ähnliche Artikel