Mit Incident Response schnell reagieren Gefahrenabwehr bei Ransomware-Attacken

Von Tony De Bos

Anbieter zum Thema

Rund um den Globus nimmt die Zahl der Cyberattacken weiter zu. Unternehmen jeder Größe müssen damit rechnen, von Angreifern ins Visier genommen zu werden. Auf dem Weg zur richtigen Strategie, um sich gegen Cybergefahren, insbesondere Ransomware, zu wappnen, müssen sie jedoch einige Hürden überwinden. Das kann gelingen, wenn sie auf Incident-Response-Lösungen setzen und dabei fünf Punkte beachten.

Mit einer Incident Response-Lösung können Unternehmen ein Frühwarnsystem erhalten, das nicht nur hilft, die Folgerisiken einer Attacke zu minimieren, sondern im Idealfall Angriffe im Keim erstickt.
Mit einer Incident Response-Lösung können Unternehmen ein Frühwarnsystem erhalten, das nicht nur hilft, die Folgerisiken einer Attacke zu minimieren, sondern im Idealfall Angriffe im Keim erstickt.
(Bild: Skórzewiak - stock.adobe.com)

Vor dem Hintergrund steigender Angriffszahlen ist es kein Wunder, dass die Bedrohung durch Cybergefahren Unternehmen weltweit mehr beunruhigt als Geschäfts- und Lieferkettenunterbrechungen oder Naturkatastrophen. Dies geht aus dem Allianz Risk Barometer 2022 hervor. Der Hauptgrund für die Sorge ist der Anstieg von Ransomware-Attacken, die von den Befragten (57 Prozent) als größte Cybergefahr gesehen werden. Ransomware-Angriffe bedeuten für jedes Unternehmen – ob multinational arbeitende Konzerne, Mittelständler oder Selbstständige – ein hohes finanzielles und geschäftliches Risiko. Der Schaden begrenzt sich dabei nicht auf bloße Lösegeldzahlungen. Auch der Ruf des Unternehmens leidet und im schlimmsten Fall werden sogar Geschäftsgeheimnisse publik gemacht oder an die Konkurrenz verkauft.

Was die Strategien angeht, die Unternehmen bei der Bedrohungserkennung und -abwehr einsetzen können, gibt es eine gute und eine schlechte Nachricht. Die schlechte ist, dass Unternehmen dabei mit weit verbreiteten Hürden nicht richtig umgehen. Die gute ist jedoch: Sie können Cybergefahren trotzen, indem sie ein robustes Frühwarnsystem mit einem gut funktionierenden sogenannten Incident Response-Konzept entwickeln und umsetzen.

Häufige Hürden bei der Bedrohungserkennung

Zu Anfang lohnt ein Blick auf mögliche Hindernisse. Ein Problem ist, dass Standard-Logging-Konfigurationen von IT-Lösungen die individuellen Anforderungen der Bedrohungssuche für das jeweilige Unternehmen nur unzureichend erfüllen. Der Grund dafür ist einfach: Beim Standard ist die Richtvorgabe der kleinste gemeinsame Nenner. Da die konkrete Situation im Unternehmen so aber nicht genügend berücksichtig werden kann, droht die Gefahr, dass eine Bedrohung nicht oder zeitverzögert erkannt wird. Als kontraproduktiv in Fragen der Bedrohungserkennung und -abwehr kann sich auch eine (zu) große Zahl darauf spezialisierter Geräte, Tools und Anwendungen erweisen. Mehr Technologien versprechen zwar mehr Sicherheit, sind aber nicht unbedingt gleichbedeutend damit. Schließlich führen viele Anwendungen auch dazu, dass möglicherweise viele Alarme ausgelöst werden, die alle gesichtet und ausgewertet werden müssen. In der Folge geht nicht nur die Übersicht verloren, sondern auch der Fokus auf die relevanten Bedrohungen.

Incident Response für solide Cybersecurity-Vorsorge

Entscheider und CIOs, die den Geschäftserfolg nachhaltig sichern wollen, sollten also die Risiken für ihr Unternehmen individuell und gleichzeitig ganzheitlich betrachten. Sehr wichtig ist eine schnelle Reaktionsfähigkeit auf sicherheitsrelevante IT-Vorfälle: die Incident Response. Dabei ist zu beachten, dass das Einrichten und Etablieren eines solides Incident Response-Konzepts nicht nur Zeit in Anspruch nimmt. Es müssen auch eine ganze Reihe Maßnahmen umgesetzt werden: Das fängt an bei der Eingrenzung der Risiken geht über gute Unternehmensführung bis hin zur stetigen Verbesserung der technischen Infrastruktur und der Sicherheitskontrollen. Wer dabei die folgenden fünf Punkte beachtet, ist auf einem guten Weg zu einer soliden Cybersecurity-Vorsorge.

1. Ganzheitlichen Ansatz verfolgen

Es ist essenziell für Unternehmen Sicherheitsmaßnahmen als komplexes Ganzes zu bewerten und – falls erforderlich – zu verbessern. Das hilft ebenfalls dabei, ein möglicherweise kontraproduktives Zuviel an Sicherheitstools zu vermeiden. Eine leistungsfähige Incident Response-Lösung umfasst ohnehin bereits zahlreiche Cybersicherheitselemente. Sie:

  • bewertet die Bereitschaft und Einsatzfähigkeit aller Cyberabwehrmittel,
  • überwacht kontinuierlich die Sicherheit,
  • erkennt und meldet Schwachstellen,
  • ermittelt im Rahmen von Cyber Threat Intelligence fortlaufend die Sicherheitslage,
  • umfasst das Training des IT-Teams anhand von Simulationen und
  • wird komplettiert durch ein Remediation Program, also ein Programm zum schnellen Eingreifen bei Vorfällen und Eindämmen von Schäden.

2. Aktualität ständig evaluieren

Cyberkriminelle entwickeln ihre Tools und Angriffsmethoden laufend weiter. Um jederzeit gut gerüstet zu sein, sollten Unternehmen ihr Sicherheitskonzept sowie ihre Verteidigungstools deshalb ständig evaluieren und gegebenenfalls neu ausrichten. Nur so sind sie jederzeit in der Lage, auf sich immer ändernde Angriffe angemessen zu reagieren und die Folgen zu begrenzen.

3. Die aktuelle Bedrohungssituation jederzeit kennen

Fast täglich ändern sich Angriffstaktiken und -methoden. Zudem werden permanent Sicherheitslücken in neuen wie auch alten Systemen bekannt. Deshalb ist es unabdingbar, die aktuelle Bedrohungssituation mit Blick auf die individuellen Gegebenheiten des eigenen Unternehmens wie Größe, Branche oder, Geschäftsmodell jederzeit zu kennen und beim Sicherheitskonzept zu berücksichtigen. Damit haben Entscheider eine Basis, um bei der Weiterentwicklung ihrer Incident Response-Maßnahmen die richtigen Prioritäten zu setzen und passende Lösungen auszuwählen.

4. Backup-Strategien an neue Erfordernisse anpassen

Die bisher gängigen Backup-Lösungen zielen vor allem darauf ab, Daten bei Verlust so schnell und einfach wie möglich wiederherzustellen. Da jedoch gerade Ransomware-Angriffe immer zunehmen, ist das nicht mehr die optimale Herangehensweise. Denn sobald die Angreifer die Produktivsysteme verschlüsselt oder gesperrt haben, versuchen sie dasselbe bei den Backup-Systemen oder zerstören diese sogar. Damit setzen sie ihre Opfer noch stärker unter Druck. Eine wirksame Gegenmaßnahme ist der Einsatz von nicht veränderbaren Backups. Selbst Anwender mit Administratorenrechten können solche Backups nicht löschen oder verschlüsseln.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

5. Die Sicherheitsherausforderungen der Cloud kennen

Durch den Wechsel in die Cloud, den Einsatz von Container- und Kubernetes-Technologien sowie Architekturen, die auf Microservices basieren, können Unternehmen oft flexibler und effizienter arbeiten. Allerdings bergen Cloud-Umgebungen und -Applikationen in puncto Cybersicherheit eigene Herausforderungen: Sie erfordern nicht nur andere Ansätze zur Sicherung von Daten, Identitäten und Anwendungen als klassische Systeme. Neue Backup-Strategien und ein neues Verständnis des Konfigurationsmanagements sind ebenfalls nötig. Die IT-Teams, die mit Cloud-Lösungen arbeiten, müssen deshalb entsprechend geschult sein.

Bei der Umsetzung einer Incident Response-Lösung sollten Unternehmen also einiges beachten. Für den Aufwand werden sie mit einem Frühwarnsystem belohnt, das nicht nur hilft, die Folgerisiken einer Attacke zu minimieren, sondern im Idealfall Angriffe im Keim ersticken kann. Letztlich gilt auch bei Fragen der Cybersicherheit: Gute Vorbereitung ist die beste Verteidigung.

Über den Autor: Als Vice President of Services bei Kudelski Security koordiniert Tony De Bos alle Serviceteams in der EMEA-Region und verantwortet die Ausweitung der bestehenden Servicestrategie des Unternehmens in der Region von . Außerdem ist sein Fachwissen für die Entwicklungen neuer Angebote essenziell für Kudelski Security.

(ID:48742903)