Cyber Resilience und Erpressersoftware

Ransomware-Risiken für Cloud-Lösungen

| Autor / Redakteur: Michael Heuer / Peter Schmitz

Ransomware-Attacken lassen sich nicht immer verhindern, Unternehmen brauchen deshalb einen Plan für den Schadensfall.
Ransomware-Attacken lassen sich nicht immer verhindern, Unternehmen brauchen deshalb einen Plan für den Schadensfall. (Bild: Pixabay / CC0)

Über 60 Prozent der deutschen Unternehmen wurden 2017 Opfer einer Ransomware-Attacke und mehr als ein Drittel der betroffenen Unternehmen zahlte das Lösegeld um wieder an ihre verschlüsselten Daten zu kommen. Die Hoffnung, dieser Weg sei einfacher und billiger als entsprechende Sicherheitsvorkehrungen ist in vielen Fällen aber ein riskantes Spiel.

Für eine Studie im Auftrag von Mimecast hat das Marktforschungsunternehmen Vanson Bourne 100 deutsche Konzerne und Mittelständler befragt, ob sie 2017 Opfer einer Ransomware-Attacke wurden. Mehr als 60 Prozent der befragten Unternehmen bejahten dies. Noch beunruhigender war allerdings, dass mehr als ein Drittel der betroffenen Unternehmen das Lösegeld bezahlte, weil ihnen dies als günstigere und einfachere Lösung erschien, um wieder an ihre verschlüsselten Daten zu kommen. In vielen Fällen geht das aber schief, Erpresser gehören eher selten zu den fairen Geschäftspartnern.

Im Umkehrschluss bedeutet das zweierlei: Zum einen heißt das, mit Ransomware-Attacken lässt sich tatsächlich Geld verdienen. Die Bedrohung wird demnach eher wachsen. Zum anderen sind viele Unternehmen nicht auf derartige Angriffe vorbereitet. Zwar gehören Backup- und Restore-Konzepte zum Standard, doch laut der Umfrage benötigten die Unternehmen im Schnitt fünf Tage, um die Daten wiederherzustellen. Diese Situation wirft dringende Fragen auf: Wie viele Tage Datenverlust und Arbeitsausfall kann sich ein Unternehmen leisten? Und wie kann man sich vor Ransomware-Attacken schützen?

Mit Schattenkopien Daten und Backup gegen Ransomware schützen

Backup-Konto und externes Laufwerk

Mit Schattenkopien Daten und Backup gegen Ransomware schützen

22.02.18 - Um sich vor Ransomware zu schützen, ist nicht nur eine Software notwendig, die solche Angreifer erkennt und bekämpft. Als zusätzlicher Schutz sollte auch alle Variationen der Datensicherung mit einbezogen werden. lesen

Potenzierter Schaden bei Cloud-Lösungen

Mit dem Schutz ist das so eine Sache: Er ist eigentlich unmöglich. Unternehmen brauchen vielmehr – neben den üblichen Security-Maßnahmen, die Eindringlinge abhalten können – eine Strategie, wie im Falle einer erfolgreichen Attacke vorzugehen ist. Erste recht dann, wenn Cloud-Lösungen im Einsatz sind. Warum?

Die meisten Ransomware-Angriffe kommen per E-Mail, über Phishing-Mails oder ähnliches. Ist die Ransomware im System, wird die API-Verbindung zur Cloud schnell zur Achillesverse: Kann die Schadsoftware nicht schnell genug separiert werden, nimmt sie ihren Weg in die Cloud. Dort lagern vielmehr Daten, oft genug solche, die geschäftskritisch sind. In der Cloud lässt sich das Problem viel schwerer isolieren.

Die Verantwortung den Cloud-Service- oder Software-as-a-Providern zuzuschieben, greift indes zu kurz. Im „E-Mail Security Assessment (ESRA)“, das Mimecast regelmäßig durchführt, zeigten sich beispielsweise ernsthafte Lücken bei namhaften Cloud-basierten E-Mail-Dienstleistern. So gelang es im Test weder der Google G-Suite noch Microsoft Office 365 zuverlässig Attacken via E-Mail abzufangen. Zwar kommen beide Applikationen mit zahlreichen Datenschutz-Funktionen daher, doch sind diese eher dafür gedacht, vor Datenverlust durch eigene Programm- oder Hardwarefehler zu schützen.

Vorbereitet sein: Cyber Resilience

Backup und Restore sind und bleiben die wichtige Basis, um größeren Ransomware-Schaden zu vermeiden. Doch im realen Leben reicht das nicht aus, weitere Maßnahmen sind erforderlich. Diese lassen sich in zwei Bereiche einteilen: Welche Schutzmaßnahmen können einen Angriff verhindern und was ist zu tun, wenn eine Attacke erfolgreich war?

Ransomware trifft 2017 jedes zweite Unternehmen

Internationale Studie von Sophos

Ransomware trifft 2017 jedes zweite Unternehmen

26.02.18 - Ransomware ist eine der Hauptbedrohungen für die IT-Sicherheit in Unternehmen. Das zeigte eine von Sophos beauftragte Befragung unter 2.700 IT-Entscheidern in zehn Ländern. 54 Prozent aller befragten Unternehmen sahen sich 2017 Attacken durch Erpressungssoftware ausgesetzt – und dies im Durchschnitt sogar zweifach. Der durchschnittliche Schaden belief sich dabei auf gut 107.000 Euro lesen

Da Ransomware zumeist über E-Mail-Attachments kommt, muss dieser Kanal besonders abgesichert werden. Neben der Sensibilisierung der Mitarbeiter sollten E-Mails in Echtzeit gescannt und alle enthaltenen Links unmittelbar überprüft werden. Bei Verdacht kann so ein Weiterleiten – auch wenn es „nur“ um die interne Weiterleitung geht – und damit die Weiterverbreitung verhindert werden. Besser noch funktioniert ein mehrstufiges System. So können Anhänge beispielsweise automatisch in einer Sandbox geöffnet oder in sichere Formate umgewandelt werden. Dafür ist eine definierte Policy, bei welchen Dateitypen es sich um gefährliche handelt, hilfreich. Schad-Dateien tarnen sich oft beispielsweise als Excel, Word- oder PDF-Dateien – für den User unverdächtig, in einer Vorab-Überprüfung aber zu enttarnen. Als weitere Maßnahmen seien die URL-Überprüfung in Echtzeit und DNS-basierte (Domain Name Systeme) Authentifizierung etwa durch DMARC (Domain-based Message Authentication, Reporting and Performance) genannt.

Da sich Ransomware-Attacken nicht immer verhindern lassen, brauchen Unternehmen einen Plan für den Schadensfall. Das betroffene System sollte so schnell wie möglich isoliert werden, um eine Ausbreitung zu verhindern. IT-Experten müssen sofort den Angriff und die eingeschleuste Datei genau überprüfen, um die Quelle und die mögliche Ausbreitung zu erkennen. Ein Business-Continuity-Plan sollte jetzt greifen. Mitarbeiter müssen so schnell und mit so wenig Beeinträchtigung wie möglich weiterarbeiten können, um Geschäftsverluste zu verhindern. Der Markt bietet hierfür verschiedene Tools, mit denen E-Mails weiterhin gesendet und empfangen werden können, auch wenn das System offline ist.

Prävention ist wichtig, wenn es darum geht, gegen Ransomware gewappnet zu sein. Dazu gehört neben den üblichen Netzwerkabsicherungen unbedingt auch die Schulung der Mitarbeiter. Sie können ein entscheidender Faktor sein, wenn es darum geht, Attacken zu erkennen und schon im Keim zu ersticken. Daneben ist es ebenso bedeutsam, für den Fall der Fälle gerüstet zu sein und entsprechend nahtlos wirkungsvolle Maßnahmen einleiten zu können. Gerade, wenn das Geschäft auf einer Cloud-Infrastruktur beruht, ist das Risiko hoch, dass eine Ransomware-Attacke großen Schaden anrichtet. Cloud-Lösungen sollten deshalb durch eine zusätzliche Ebene erweitert werden, die Security- und Continuity-Features bereitstellt.

Über den Autor: Michael Heuer ist Country Manager für Deutschland, Österreich und die Schweiz bei Mimecast.

Windows 10 mit Bordmitteln vor Ransomware schützen

Der neue überwachte Ordnerzugriff

Windows 10 mit Bordmitteln vor Ransomware schützen

01.03.18 - Microsoft hat in Windows 10 Version 1709 eine neue Funktion integriert, die Daten schützen und Ransomware blockieren kann. Der überwachte Ordnermodus muss jedoch manuell aktiviert werden. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45175964 / Malware)