:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Veeam Ransomware Trends Report 2023 Düstere Befunde in puncto Ransomware-Abwehr
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Der kürzlich veröffentlichte „Veeam Ransomware Trends Report 2023“ konstatiert, dass es zwischen Teams in IT-Abteilungen große Unstimmigkeiten gibt. Diese erschweren eine erfolgreiche Abwehr von Ransomware-Angriffen. Ein unabhängiges Marktforschungsunternehmen führte eine Umfrage unter 1.200 betroffenen IT-Entscheidungsträgern durch. 350 Umfrageteilnehmer stammten aus der Region EMEA.
Dass die Zahl erfolgreicher Ransomware-Angriffe stetig zunimmt, ist bekannt. Laut „Veeam Data Protection Report 2023“ stieg die Zahl der Opfer binnen eines Jahres von 76 Prozent auf 85 Prozent. Die Angreifer haben erkannt, wie lukrativ eine solche Cyberattacke ist, denn die Opfer zahlen lieber Lösegeld, als einen langfristigen Ausfall ihrer IT zu riskieren. Doch woran liegt es, dass die Abwehr so schwach ist, wollte der Sicherheitsspezialist Veeam wissen. Ein unabhängiges Marktforschungsunternehmen fand zahlreiche Schwachstelle in der Organisation der Befragten.
:quality(80)/p7i.vogel.de/wcms/e9/b9/e9b9c25016fbdb559309f06833505601/0112192960.jpeg "Die Backup-Teams sind nicht aufeinander abgestimmt, aber was lässt sich dagegen unternehmen?")
:quality(80)/p7i.vogel.de/wcms/39/b7/39b72bd68b1b40327a48d7199b3a2b19/0112192963.jpeg "Hat Ihre Organisation über ein Playbook verfügt, wie sich gute, sichere Backups sicherstellen lassen?")
:quality(80)/p7i.vogel.de/wcms/07/7b/077bf0ce0f43eac1f4175c72605f4522/0112192957.jpeg "Wie das Lösegeld gezahlt wurde: In 77 Prozent aller Fälle zahlte eine Versicherung, doch dies wird schwieriger und teurer.")
:quality(80)/p7i.vogel.de/wcms/7f/92/7f9238d2542f0fc3f44a08897c0d3e0b/0112192959.jpeg "Zu den betroffenen Daten gehörten meist auch die Backups.")
In der IT gibt es viele Teams, doch es mangelt an deren Abstimmung untereinander, sagte Jason Buffington, bei Veeam zuständig für Marketing Strategy, bei der Präsentation der diesjährigen Ausgabe des RW23-Reports („Veeam Ransomware Trends Report 2023“). Obgleich zahlreiche Unternehmen sagen, dass Ransomware für sie eine Katastrophe darstelle und sie deshalb die Gefahr von Cyberangriffen in ihren Business-Continuity- und Disaster-Recovery-Plänen (BC/DR) berücksichtigten, lässt die tatsächliche Interaktion zwischen den Teams sehr zu wünschen übrig.
60 Prozent der Befragten sind der Auffassung, dass die Abstimmung zwischen Cybersicherheits- und Backup-Teams „deutlich verbessert“ oder „komplett neu strukturiert“ werden müsse. Das kommt nahezu einer Bankrotterklärung gleich. 45 Prozent der Befragten sind der Meinung, dass ihr Risikomanagement-Programm gut funktioniere, während die übrigen Befragten noch kein Programm haben oder dieses verbessern möchten. Hier ist noch viel Luft nach oben.
Dennoch stellt Veeams Report eine Abstimmung in zwei Bereichen fest: Budget und Strategien. Für die Abwehr von Cyberangriffen (Prävention) stehen Unternehmen 2023 um 5,3 Prozent höhere Budgets zur Verfügung, und auch die Budgets für die Datensicherung (Wiederherstellung) sind um 5,4 Prozent gestiegen. Das sind gute Nachrichten für den Channel und andere Partner.
Was das Vorhandensein von Incident Response Teams (CERTs etc.) und die Vorkehrungen von Unternehmen zur Reaktion auf unvermeidbare Cyberangriffe betrifft, so umfassen die Strategien für die Wiederherstellung nach einer Attacke vor allem a) saubere Backup-Kopien mit Daten, die nach einem Angriff wiederherstellbar sind und keinen schädlichen Code enthalten, und b) regelmäßige Überprüfung von Backups auf Wiederherstellbarkeit.
Cyberversicherung? Im Prinzip jein
Weltweit wurden 77 Prozent der geforderten Lösegelder von Versicherungen erstattet; in der Region EMEA lag der Anteil bei 82 Prozent. Laut Buffington wird es jedoch stetig schwieriger und teurer, eine solche Cyberversicherung abzuschließen: Zwölf Prozent der befragten Unternehmen gaben an, dass der Schadensfall „Ransomware“ inzwischen in ihren Policen explizit ausgeschlossen sei.
Unternehmen mit einer Cyberversicherung berichteten, dass sie diese zuletzt nur zu wesentlich ungünstigeren Konditionen verlängern konnten: 81 Prozent müssen höhere Beiträge bezahlen, 38 Prozent haben eine höhere Selbstbeteiligung, und drei Prozent erhalten im Schadensfall weniger Leistungen.
Zahlung garantiert noch keine tatsächliche Wiederherstellung
Was vielleicht überrascht, ist die Tatsache, dass die meisten Befragten das geforderte Lösegeld bezahlt haben, obwohl dies vielen von ihnen vonseiten der Geschäftsführung oder durch den Gesetzgeber untersagt war. Dennoch seien laut Buffington auch Lösegeldzahlungen keine Garantie, dass eine Wiederherstellung der Daten möglich sei. 62 Prozent der befragten Betroffenen konnten nach Zahlung des Lösegelds ihre Daten wiederherstellen, doch 20 Prozent konnten ihre Daten trotz Lösegeldzahlung nicht wiederherstellen.
Lediglich 13 Prozent zahlten kein Lösegeld, da sie ihre Daten aus einem Backup wiederherstellen konnten. Statistisch waren weltweit gerade einmal 16 Prozent der Unternehmen dazu in der Lage; im Vorjahr waren dies laut Buffington noch 19 Prozent. Woran diese geringe – und weiterhin sinkende – Recovery-Quote liegen kann, wollten die Marktforscher wissen.
Die Bedeutung intakter Backups
Wichtigste Erkenntnis: Für eine Wiederherstellung ohne Lösegeldzahlung müssen Backups intakt bleiben, geschützt durch Verschlüsselung, WORM, Object-Lock oder Air-Gapping. Mindestens 93 Prozent der Cyberangriffe hatten auch die Backup-Repositorys zum Ziel. Seien die Angreifer erfolgreich, so Buffington, bleibe Unternehmen gar keine andere Wahl, als das Lösegeld zu zahlen. Dieses Vorgehen hat sich inzwischen zum Standard entwickelt. Die Folgen sind verheerend.
75 Prozent der Unternehmen konnten nach dem Angriff nur noch auf einen Teil ihrer Backup-Repositorys zugreifen, und 44 Prozent der Backup-Repositorys waren nach einem Angriff auf die Backup-Lösung nicht mehr verfügbar. Bei einem Angriff können Unternehmen entweder der Lösegeldforderung nachkommen oder ihre Daten aus einem Backup wiederherstellen. „Nimmt ein Angreifer die Backup-Lösung ins Visier, ist eine Entscheidung zwischen diesen Optionen nicht mehr möglich“, so der Veeam-Manager.
Die Garantie für intakte Backups: Immutability
Neben weiteren Best Practices wie dem Schutz der Anmeldeinformationen für den Zugriff auf Backups, einer automatisierten Untersuchung von Backups auf Malware, einer automatischen Überprüfung der Backups auf Wiederherstellbarkeit und so weiter muss nach Veeams Befund vor allem sichergestellt werden, dass die Backup-Repositorys nicht gelöscht oder beschädigt werden können. Diese sogenannte „Immutability“, also die Unveränderlichkeit der gesicherten Daten, lässt sich laut Buffington über den gesamten „Lebenszyklus“ des Datenschutzes hinweg umsetzen: 82 Prozent der Unternehmen nutzen unveränderliche Cloud-Repositorys, die etwa durch AWS S3 Object Lock geschützt sind. Und 64 Prozent der Unternehmen nutzen unveränderliche Festplattenspeicher (WORM: Write Once, Read Many).
Was die Wiederherstellbarkeit der Medien betrifft, so gibt es nach Buffingtons Ansicht kein besseres Air-Gap als ein Tape, das aus dem Laufwerk genommen und in einem Schrank aufbewahrt wird. Wie die Umfrage ergab, werden nach wie vor 47 Prozent aller Daten zu irgendeinem Zeitpunkt des Datensicherungsprozesses auf Tape geschrieben. Das macht Bandlaufwerke weiterhin unverzichtbar.
Geheimrezept Portierbarkeit
Wie auch bei anderen Katastrophen (beispielsweise Brand, Überschwemmung oder Sturm) betrifft eine strategische Entscheidung die Frage, an welchem Ort Daten wiederhergestellt werden sollen. Sind beispielsweise die Produktivserver kompromittiert worden, benötigt das Unternehmen neue Server. In der Regel betreiben laut Buffington nur größere Unternehmen mehrere Rechenzentren mit Cold-Standby-Servern, die bei Bedarf hochgefahren werden können.
Der Befund, dass die meisten Umfrageteilnehmer hybride Strategien verfolgen, überrascht daher nicht: 69 Prozent der Unternehmen planen die Wiederherstellung in eine Cloud-basierte Infrastruktur oder mittels DRaaS; 83 Prozent der Unternehmen planen die Wiederherstellung auf Server in einem Rechenzentrum.
Zur Wiederherstellung von Servern im Rechenzentrum setzen Unternehmen unter anderen auf den Einsatz von Cold-Standby-Servern (etwa durch den Betrieb von zwei Rechenzentren), die Anschaffung neuer Server, sofern diese schnell genug lieferbar sind, die einfache Löschung der Daten auf den ursprünglichen Servern und Weiterverwendung dieser Systeme, sofern sie nicht für forensische Untersuchungen oder zur Strafverfolgung benötigt werden.
Da die beiden Prozentwerte zusammen mehr als hundert Prozent ergeben, sei es laut Buffington ein positives Zeichen, dass die BC/DR- und Cybersicherheitsstrategien der meisten Unternehmen abhängig von der jeweiligen Situation beide Umgebungen beinhalte, also Cloud und On-Premises.
Erneute Infektionen vermeiden
Entscheidend sei laut Buffington, bei der Wiederherstellung keinen weiteren Schaden anzurichten und keine Schad-Software oder infizierten Daten in die Produktivumgebung einzuspielen. Bei anderen, etwa durch Brand oder Überschwemmung verursachten Katastrophen können die Daten aus Backups, Replikaten und Snapshots umgehend für die Wiederherstellung genutzt werden. Sie wurden ja in nicht betroffenen Rechenzentren gespeichert.
Eines der zahlreichen Probleme bei Cyberangriffen besteht jedoch laut Buffington darin, dass die Daten sehr wahrscheinlich kompromittiert wurden, bevor die Lösegeldforderung eingegangen ist. Deshalb müssten die Daten während der Wiederherstellung sorgfältig überprüft werden. Das sei nicht immer leicht und hänge davon ab, ob die Datensicherungslösung in Erkennungstechnologien (wie etwa Intrusion Detection and Prevention in SIEM-Lösungen) integriert sei (die während der Sicherung und/oder Wiederherstellung zum Einsatz kommen) und ob es eine Bereitstellungs- beziehungsweise Staging- oder Sandbox-Umgebung gebe.
Bei den von einem Cyberangriff betroffenen Umfrageteilnehmern zeigte sich folgendes Bild: 44 Prozent der Unternehmen stellten ihre Daten vor der Übertragung in die Produktivumgebung zunächst in einem isolierten Testbereich beziehungsweise einer Sandbox wieder her. „Dies ist der einzige empfehlenswerte Weg“, riet Buffington. 35 Prozent stellten ihre Daten in der Produktivumgebung wieder her und untersuchten sie sofort danach auf Schad-Software – „das kann bis zu drei oder vier Wochen dauern“. Zwölf Prozent stellten ihre Daten wieder her und überwachten danach ihre Umgebung: „Hier gilt das Prinzip Hoffnung“. Neun Prozent trafen keinerlei Vorkehrungen zur Vermeidung einer erneuten Infektion. Das lasse sich nur als fahrlässig bezeichnen, so der Manager, denn der nächste Angriff sei nur eine Frage der Zeit.
Zusammenfassung
Ein Großteil der 1.200 von einem Cyberangriff betroffenen Umfrageteilnehmer setzt inzwischen aufgrund seiner Erfahrungen verschiedene grundlegende Technologien ein, um sich für den nächsten Angriff zu wappnen: Immutable Storage auf Festplatten, in Cloud-Umgebungen und auf Air-Gap-Medien zur Gewährleistung der Wiederherstellbarkeit; hybride IT-Architekturen zur Wiederherstellung auf alternativen Plattformen wie bei anderen BC/DR-Strategien; und schließlich Wiederherstellung in einer Staging-Umgebung oder Sandbox zur Vermeidung einer erneuten Infektion. Nur wer alle drei Strategien beherzigt und realisiert, dürfte den nächsten Ransomware-Angriff unbeschadet überstehen.
(ID:49537200)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945541/original.jpg "Ransomware ist nach wie vor das alles überschattende Sicherheitsproblem der IT. Um dieser Gefahr adäquat begegnen zu können, müssen nicht nur Schutzmaßnahmen, sondern auch Datenwiederherstellungslösungen auf Cyberattacken und deren Folgen zugeschnitten sein. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945954/original.jpg "Mit der Version 6 von „Backup for Microsoft 365“ will Veeam den Administrationsaufwand senken. (WSF)")