Ransomware-Attacken nehmen zu Die Rückkehr des Bösen

Von Frank Ruge

Anbieter zum Thema

Mehr als zwei Jahre sind seit Wannacry vergangen. Doch Ransomware-Angriffe haben seit einiger Zeit wieder Hochkonjunktur. Doch wie konnte es soweit kommen? Das liegt häufig an einer falschen Einstellung von Unternehmen bezüglich ihrer Cybersecurity. Ein Kommentar von Frank Ruge, Infoblox.

Ransomware-Angriffe werden wieder populärer. Damit Unternehmen keine Schäden davontragen, dürfen sie auf keinen Fall auf Lösegeldforderungen eingehen.
Ransomware-Angriffe werden wieder populärer. Damit Unternehmen keine Schäden davontragen, dürfen sie auf keinen Fall auf Lösegeldforderungen eingehen.
(Bild: gemeinfrei / Pixabay)

Ende Juni 2019 wurde die Hamburger Juwelierkette Wempe Opfer eines Überfalls. Doch der Angriff verlief nicht so, wie wir ihn beispielsweise aus dem Western kennen – es gab kein lautes Pferdewiehern, schwere Cowboystiefel und das Klicken von Revolvern. Alles spielte sich im Hintergrund ab, genauer gesagt im digitalen Raum.

Cyberkriminelle haben das interne System der Juwelierkette angegriffen und mit einer speziellen Software blockiert. Ihre Forderung: Nur wenn eine hohe Summe an Bitcoins gezahlt würde, erhalte das Unternehmen den Zugriff wieder zurück. Ein klassischer Ransomware-Angriff. Doch die Attacke selbst ist gar nicht das Erschreckende. Vielmehr ist es die Art, wie mit diesem umgegangen wurde: Die Forderung wurde erfüllt und bezahlt. Und das ist bei weitem kein Einzelfall.

Beispielsweise haben im Juni 2019 die Behörden von Riviera Beach, einer Stadt im US-Bundesstaat Florida, eine Ransomware-Forderung von 600.000 US-Dollar bezahlt. Anfang letzten Jahres zahlte ein Krankenhaus im US-Bundesstaat Indiana 60.000 US-Dollar. Die Angriffe haben auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Stellungnahme gezwungen. Es warnt vor gezielten Ransomware-Angriffen auf Unternehmen.

Doppelt hält nicht besser

Doch wie konnte es soweit kommen? Das liegt häufig an einer falschen Einstellung von Unternehmen bezüglich ihrer Cybersecurity.

Viele flüchten sich in Panikkäufe und investieren in unzählige Security-Lösungen – aus Angst, die Kontrolle über ihr Netzwerk oder ihre Daten zu verlieren. Doch das altbewährte Motto „Doppel hält besser“ gilt nicht für Cybersecurity. Mit dieser Methode entsteht nämlich ein Flickwerk. Zwar mögen die Sicherheitsmaßnahmen weit greifen und viel abdecken, doch oft behindern sich die Tools gegenseitig: Zugriffe werden blockiert, Berechtigungen weggenommen oder es wird gegeneinander gearbeitet. Die Folge? Unternehmen schaden sich selbst und erleichtern Kriminellen den Zugriff auf ihr Netzwerk.

Das gläserne Netzwerk

Was sollten Unternehmen also beachten? In erster Linie muss das firmeneigene Netzwerk den IT-Verantwortlichen bekannt sein. Jedes Gerät, jeder Nutzer und jede Aktivität muss im Aktivitätenprotokoll festgehalten werden. Dabei sollten gewisse Prozesse automatisiert ablaufen – um den ohnehin schon überforderten IT-Abteilungen Arbeit abzunehmen. So können beispielsweise selbstständige Schwachstellenscanner genutzt werden, um das eigene Netzwerk überwachen zu lassen. Des Weiteren benötigen die Unternehmen eine bessere Skalierung zur Erkennung von Malware, Ransomware, Phishing, Botnet, etc. Es gibt Millionen von Indikatoren dafür. Allerdings werden Firewalls and IPS-Systeme auf Performance optimiert und können so nur etwa 100.000-200.000 Einträge filtern. Die Frage dabei ist: Auf welche Indikatoren soll der Security-Verantwortliche filtern? Die Wahrscheinlichkeit die richtigen Einträge zu treffen, liegt in ähnlichen Regionen, wie beim Roulette auf die richtige Zahl zu setzen. Deshalb sollten Kontrollmechanismen auf der Kontroll-Ebene, anstatt auf der Daten-Ebene, wie z.B. im DNS-Protokoll, aufgesetzt werden. Dies ermöglicht ein Abfangen von Millionen von Indikatoren und insbesondere 0-Day Angriffe z.B. über Phishing können hierüber erkannt und geblockt werden.

Wichtig sind auch Verbindungen zwischen den einzelnen verschiedenen Arbeitsbereichen und Lösungen. Firewall und Antivirensoftware können Ihre Informationen beispielsweise in ein SIEM-System einfließen lassen. Mit diesem kann dann der IT-Verantwortliche arbeiten und schnell erkennen, ob es sich um einen dringenden Zwischenfall handelt.

Eine weitere Maßnahme sind Managed Services, die gerade für kleine und mittelständische Unternehmen interessant sind. Hier wird entweder die komplette Unternehmens-IT (oder Teilbereiche dieser) an externe Verantwortliche ausgegliedert und die Verantwortung auf diese übertragen.

Fazit

Ransomware-Angriffe werden wieder populärer. Damit Unternehmen keine Schäden davontragen, dürfen sie auf keinen Fall auf Lösegeldforderungen von Cyberkriminellen eingehen. Betroffene sollten sich immer an die BSI-Richtlinien halten:

  • Schützen Sie sich vor Primär-Infektionen, indem sie beispielsweise Ihre Mitarbeiter für potenzielle Gefahrenquellen sensibilisieren.
  • Überprüfen Sie Ihre Verbindungen zu Ihren Kunden und informieren Sie diese über Vorfälle.
  • Erstellen Sie in regelmäßigen Abständen Backups, die zur Wiederherstellung der Systeme verwendet werden können. Speichern Sie diese offline in einem getrennten Netzwerk.

Über den Autor: Frank Ruge ist seit August 2019 neuer Vice President EMEA bei Infoblox. Ruge blickt auf über 20 Jahre Erfahrung in IT und Marketing zurück – seit 2015 war er Senior Director Central Europe bei Infoblox. Davor arbeitete er in unterschiedlichen Rollen u.a. 16 Jahre bei Cisco Systems und mehreren Start-Ups.

(ID:46384982)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung