:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ransomware-Attacken nehmen zu Die Rückkehr des Bösen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Mehr als zwei Jahre sind seit Wannacry vergangen. Doch Ransomware-Angriffe haben seit einiger Zeit wieder Hochkonjunktur. Doch wie konnte es soweit kommen? Das liegt häufig an einer falschen Einstellung von Unternehmen bezüglich ihrer Cybersecurity. Ein Kommentar von Frank Ruge, Infoblox.
Ende Juni 2019 wurde die Hamburger Juwelierkette Wempe Opfer eines Überfalls. Doch der Angriff verlief nicht so, wie wir ihn beispielsweise aus dem Western kennen – es gab kein lautes Pferdewiehern, schwere Cowboystiefel und das Klicken von Revolvern. Alles spielte sich im Hintergrund ab, genauer gesagt im digitalen Raum.
Cyberkriminelle haben das interne System der Juwelierkette angegriffen und mit einer speziellen Software blockiert. Ihre Forderung: Nur wenn eine hohe Summe an Bitcoins gezahlt würde, erhalte das Unternehmen den Zugriff wieder zurück. Ein klassischer Ransomware-Angriff. Doch die Attacke selbst ist gar nicht das Erschreckende. Vielmehr ist es die Art, wie mit diesem umgegangen wurde: Die Forderung wurde erfüllt und bezahlt. Und das ist bei weitem kein Einzelfall.
Beispielsweise haben im Juni 2019 die Behörden von Riviera Beach, einer Stadt im US-Bundesstaat Florida, eine Ransomware-Forderung von 600.000 US-Dollar bezahlt. Anfang letzten Jahres zahlte ein Krankenhaus im US-Bundesstaat Indiana 60.000 US-Dollar. Die Angriffe haben auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Stellungnahme gezwungen. Es warnt vor gezielten Ransomware-Angriffen auf Unternehmen.
Doppelt hält nicht besser
Doch wie konnte es soweit kommen? Das liegt häufig an einer falschen Einstellung von Unternehmen bezüglich ihrer Cybersecurity.
Viele flüchten sich in Panikkäufe und investieren in unzählige Security-Lösungen – aus Angst, die Kontrolle über ihr Netzwerk oder ihre Daten zu verlieren. Doch das altbewährte Motto „Doppel hält besser“ gilt nicht für Cybersecurity. Mit dieser Methode entsteht nämlich ein Flickwerk. Zwar mögen die Sicherheitsmaßnahmen weit greifen und viel abdecken, doch oft behindern sich die Tools gegenseitig: Zugriffe werden blockiert, Berechtigungen weggenommen oder es wird gegeneinander gearbeitet. Die Folge? Unternehmen schaden sich selbst und erleichtern Kriminellen den Zugriff auf ihr Netzwerk.
Das gläserne Netzwerk
Was sollten Unternehmen also beachten? In erster Linie muss das firmeneigene Netzwerk den IT-Verantwortlichen bekannt sein. Jedes Gerät, jeder Nutzer und jede Aktivität muss im Aktivitätenprotokoll festgehalten werden. Dabei sollten gewisse Prozesse automatisiert ablaufen – um den ohnehin schon überforderten IT-Abteilungen Arbeit abzunehmen. So können beispielsweise selbstständige Schwachstellenscanner genutzt werden, um das eigene Netzwerk überwachen zu lassen. Des Weiteren benötigen die Unternehmen eine bessere Skalierung zur Erkennung von Malware, Ransomware, Phishing, Botnet, etc. Es gibt Millionen von Indikatoren dafür. Allerdings werden Firewalls and IPS-Systeme auf Performance optimiert und können so nur etwa 100.000-200.000 Einträge filtern. Die Frage dabei ist: Auf welche Indikatoren soll der Security-Verantwortliche filtern? Die Wahrscheinlichkeit die richtigen Einträge zu treffen, liegt in ähnlichen Regionen, wie beim Roulette auf die richtige Zahl zu setzen. Deshalb sollten Kontrollmechanismen auf der Kontroll-Ebene, anstatt auf der Daten-Ebene, wie z.B. im DNS-Protokoll, aufgesetzt werden. Dies ermöglicht ein Abfangen von Millionen von Indikatoren und insbesondere 0-Day Angriffe z.B. über Phishing können hierüber erkannt und geblockt werden.
Wichtig sind auch Verbindungen zwischen den einzelnen verschiedenen Arbeitsbereichen und Lösungen. Firewall und Antivirensoftware können Ihre Informationen beispielsweise in ein SIEM-System einfließen lassen. Mit diesem kann dann der IT-Verantwortliche arbeiten und schnell erkennen, ob es sich um einen dringenden Zwischenfall handelt.
Eine weitere Maßnahme sind Managed Services, die gerade für kleine und mittelständische Unternehmen interessant sind. Hier wird entweder die komplette Unternehmens-IT (oder Teilbereiche dieser) an externe Verantwortliche ausgegliedert und die Verantwortung auf diese übertragen.
Fazit
Ransomware-Angriffe werden wieder populärer. Damit Unternehmen keine Schäden davontragen, dürfen sie auf keinen Fall auf Lösegeldforderungen von Cyberkriminellen eingehen. Betroffene sollten sich immer an die BSI-Richtlinien halten:
- Schützen Sie sich vor Primär-Infektionen, indem sie beispielsweise Ihre Mitarbeiter für potenzielle Gefahrenquellen sensibilisieren.
- Überprüfen Sie Ihre Verbindungen zu Ihren Kunden und informieren Sie diese über Vorfälle.
- Erstellen Sie in regelmäßigen Abständen Backups, die zur Wiederherstellung der Systeme verwendet werden können. Speichern Sie diese offline in einem getrennten Netzwerk.
- Gehen Sie nicht auf etwaige Forderungen der Täter ein und melden Sie Vorfälle der Meldestelle der Allianz für Cyber-Sicherheit.
Über den Autor: Frank Ruge ist seit August 2019 neuer Vice President EMEA bei Infoblox. Ruge blickt auf über 20 Jahre Erfahrung in IT und Marketing zurück – seit 2015 war er Senior Director Central Europe bei Infoblox. Davor arbeitete er in unterschiedlichen Rollen u.a. 16 Jahre bei Cisco Systems und mehreren Start-Ups.
(ID:46384982)
:quality(80)/p7i.vogel.de/wcms/1c/7f/1c7f55cec35bd12a36b70b4ef8b4501d/0111068722.jpeg "Die Cybersicherheit ist u.a. durch Phishing, staatlich geförderte Angriffe und das Aufkommen von Ransomware mehr und mehr bedroht. (Bild: © – greenbutterfly – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/4c/7b4c8daa9aa21e439d79171078161d82/0106381218.jpeg "Für Unternehmen und den Staat ist noch einiges zu tun, um kritische Infrastrukturen besser zu schützen, so der einhellige Tenor der Diskussionsrunde, aus (v.l.n.r.) Dr. Reinhard Brandl MdB, digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion, Dr. Jörg Ochs, IT-Leiter der Stadtwerke München, Ralph Kreter, Area VP Central and Eastern Europe beim Technologieanbieter Deep Instinct und Martin Braun Geschäftsführer der Füssener Cyberrisiko-Beratung Rimian. Moderator: Oliver Rolofs. (Bild: Mik & Honey)")