:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Trends bei Ransomware-Angriffen Ransomware und Daten-Exfiltration – eine gefährliche Kombination
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ransomware und die damit verbundenen Attacken begleiten Cybersecurity-Experten bereits seit einigen Jahren und stellt mittlerweile eine der größten Cyberbedrohungen der Gegenwart dar. Für Cybersecurity-Experten besonders alarmierend ist die jüngste Entwicklung, dass Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten.
Solche Lösegeldforderungen können Unternehmen wirtschaftlich schwer treffen. Aktuelle Forderungen reichen von ein paar hundert Euro bis in die Millionen – der Schaden, der durch den Ausfall der Daten entstehen kann sowie die möglicherweise schwerwiegenden Reputationsverluste, sind hier noch nicht eingerechnet. Hinzu kommt, dass selbst wenn betroffene Unternehmen Lösegeld bezahlen, keinerlei Garantie besteht, dass die Daten schlussendlich auch freigegeben werden. Zusammengefasst ist die Verschlüsselung von Daten für Unternehmen weitaus bedrohlicher als ein simpler Datendiebstahl. Umfassender Schutz vor Ransomware-Attacken sollte dementsprechend die oberste Priorität für jedes Unternehmen sein.
Organisationen mit sensiblen Daten sind besonders gefährdet
Ransomware-Angriffe können auf verschiedene Arten gestartet werden. Besonders beliebt sind Phishing-E-Mails, die einen schädlichen Anhang beherbergen, auf den ersten Blick allerdings wie eine legitim wirkenden Geschäfts-E-Mail aussehen. Einmal heruntergeladen und geöffnet, greift der Virus den Computer des Opfers an und bekommt dabei in einigen Fällen sogar Admin-Zugang. Opfer ahnen zu diesem Zeitpunkt von der Gefahr und dem durchgeführten Angriff oft noch nichts. Unerkannt bahnt sich der Virus auf diese Weise seinen Weg von einem PC zum nächsten, bis schlussendlich das gesamte Netzwerk infiziert ist. Besonders aggressive Formen wie Petrwrap/Petya umgehen Nutzer komplett und infizieren Systeme über bestehende Sicherheitslücken.
Sobald die Malware Zugriff auf den Computer des Opfers erhalten hat, folgt die Verschlüsselung einiger oder aller sensibler Daten und ein Reboot des Systems wird erzwungen. Erst im Rahmen dieses Reboots wird der Nutzer über den erfolgten Angriff sowie die Lösegeldforderung informiert. Das Lösegeld wird dabei üblicherweise in Form von nicht nachverfolgbaren Bitcoins und per Vorauszahlung gefordert. Teil dieser Informationen ist auch, dass der Erpresste den Entschlüsselungscode nach der Zahlung erhalten wird. Darauf verlassen kann man sich allerdings nicht und im schlimmsten Fall bleiben die Daten dauerhaft verschlüsselt.
Während theoretisch jedes Unternehmen Ransomware-Angriffen zum Opfer fallen kann, suchen sich die Angreifer ihre Ziele oftmals aufgrund bestimmter Merkmale aus. Besonders sensible Daten, die Angst vor Reputationsverlusten durch entsprechende Attacken und unzureichende Sicherheitsvorkehrungen reichen bereits aus, um ins Fadenkreuz der Kriminellen zu geraten. Universitäten verfügen beispielsweise oftmals nur über einen geringen Schutz gegen Ransomware und andere Cyber-Attacken, arbeiten zugleich aber häufig mit verschiedenen Filesharing-Diensten. Sie sind daher leichte Beute für Phishing-E-Mails und daher häufig im Fokus von Cyberkriminellen. Kommunen und andere staatliche Einrichtungen hingegen müssen die Verfügbarkeit ihrer Computersysteme rund um die Uhr gewährleisten, schließlich basieren darauf essentielle öffentliche Dienstleistungen. Erfolgt keine schnelle Wiederherstellung der Daten, können beispielsweise polizeiliche Stellen, Notfalleinrichtungen, der öffentlichen Nahverkehr oder das Justizsystem nicht wie gewohnt arbeiten. Entsprechend dringend sind im Umkehrschluss auch die Bemühungen zur Wiederherstellung aller Daten zu gestalten. Für Krankenhäuser und andere Gesundheitseinrichtungen macht der Zugang zu Patientendaten den Unterschied zwischen Leben und Tod aus. Aber auch Finanzinstitute, Anwaltskanzleien und große Unternehmen zahlen zum Teil lieber Lösegeld, als mit einer Ransomware-Attacke in Verbindung gebracht zu werden – vorausgesetzt, sie verfügen über die nötigen Ressourcen.
Die genannten Beispiele zeigen eindeutig, dass Ransomware-Angriffe weitaus gefährlicher sind als einfacher Datendiebstahl. Letzterer ist für Opfer zwar ebenfalls unangenehm, aber immerhin bleibt der Zugriff auf die gestohlenen Daten erhalten. Bei einer Ransomware-Attacke hingegen sind die Daten zunächst verschwunden, was einen normalen Geschäftsbetrieb effektiv unmöglich macht.
Gefährliche Kombination aus Ransomware, Datendiebstahl und Daten-Exfiltration
Ransomware-Attacken werden hinsichtlich ihrer Technologie und Vorgehensweise laufend weiterentwickelt und dadurch immer gefährlicher. Für Cybersecurity-Experten ist dabei insbesondere die jüngste Entwicklung alarmierend, da Ransomware-Angriffe immer häufiger zusammen mit Datendiebstahl und Daten-Exfiltration auftreten. Die Kombination dieser drei Vorgehensweisen stellt eine besonders große Gefahr für Unternehmen und Cybersecurity-Verantwortliche dar.
Konventionelle Daten-Exfiltration ist eine Vermischung aus Datendiebstahl und Erpressung. Dabei dringt ein Hacker in die Sicherheitsstruktur eines Unternehmens ein und filtert Daten nach deren geschätztem Wert. Finanzbelege, geistiges Eigentum eines Unternehmens und sensible Geschäftsinformationen können genauso dazu gehören wie vertrauliche Nachrichten oder geplante Marktaktivitäten. Nachdem der Angreifer die Daten gesichert hat, bestimmt er ihren jeweiligen Wert, indem er sie auf dem Schwarzmarkt potentiellen Interessenten anbietet. Ist dieser Schritt abgeschlossen, kontaktiert der Erpresser das angegriffene Unternehmen und verlangt ein Lösegeld, um den Verkauf der Daten an Dritte zu verhindern. Verantwortliche stehen dadurch vor der schwierigen Situation einen erheblichen Imageschaden, mögliche Strafen von behördlichen Stellen oder andere negative Auswirkungen zu riskieren, sollten die gestohlenen Daten veröffentlicht werden. Die Daten selbst bleiben aber für die Opfer jederzeit zugänglich.
Im Laufe des letzten Jahres ergänzten die Varianten Maze und DopplePaymer traditionelle Ransomware-Attacken um die Dimension der Daten-Exfiltration. Weigert sich bei einer Attacke ein Opfer das Lösegeld zu bezahlen, veröffentlicht der Hacker einen Teil der erbeuteten und verschlüsselten Daten, macht den Angriff damit publik und erhöht den Druck zur Kooperation. Die dadurch entstehende Kombination aus Imageschaden und Datendiebstahl, in Verbindung mit dem operativen Ausfall während der Ransomware-Attacke ist ebenso effektiv wie gefährlich. Das Backup von Daten stellt gegen diese Doppelgefahr keinen alleinigen Schutz mehr dar.
Ransomware-Angriffe in 2020
Mehrere größere Ransomware-Attacken haben die Cybersecurity-Experten im Jahr 2020 aufhorchen lassen und zum Teil sogar überrascht. Garmin, ein großer Technologie-Konzern mit einem weitreichenden Portfolio von GPS-Geräten für Branchen von der zivilen Luftfahrt bis hin zu Personal Fitness, war Ziel eines WastedLocker-Angriffs, der den Zugriff von Millionen Nutzern auf Online-Dienste vorübergehend einfror. Übereinstimmenden Berichten zufolge zahlte Garmin Lösegeld in Höhe von 10 Millionen US-Dollar und erhielt erst dann einen funktionierenden Entschlüsselungscode.
Eine Ransomware-Attacke auf den australischen Getränkekonzern Lion verzögerte zum einen den Ablauf im operativen Geschäft, limitierte aber zugleich auch die Transparenz und Nachverfolgbarkeit innerhalb der Produktion drastisch.
Das weltweit tätige Unternehmen Toll Group mit Sitz in Australien war gleich zwei Ransomware-Angriffen in nur sechs Monaten ausgesetzt. Die Attacken beinhalteten einen massiven Datendiebstahl, der auch Finanzdaten und Rechnungen betraf, und sorgten für monatelange Unterbrechungen im operativen Geschäft. Hatte das Unternehmen anfänglich noch Lösegeldzahlungen abgelehnt, bezeugt die Veröffentlichung von gestohlenen Daten im Dark Web den Einsatz von Daten-Exfiltration.
Und auch der Erpessungstrojaner Emotet feierte im Jahr 2020 sein Comeback mit zahlreichen neuen Angriffen in verschiedenen Ländern. In Frankreich infizierte der Trojaner beispielsweise die PCs im Netzwerk des Pariser Justizsystems.
:quality(80)/p7i.vogel.de/wcms/42/d5/42d5a0800513dd0b19a03586d452da1f/94741636.jpeg "Auf seinen Kaffee musste Peter Schmitz im Live-Podcast zwar verzichten, nicht jedoch auf eine lebhafte Diskussion. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 32
Emotet Live-Podcast – mit 100 Leuten im Studio
Gegen diese aggressiven Formen von Ransomware-Angriffen sind konventionelle Cybersecurity-Maßnahmen oft machtlos. Haben Angreifer erst einmal Zugriff auf die Systeme und Daten verschlüsselt, leidet das operative Geschäft durch den Ausfall und Folgeschäden sind unausweichlich. Es gilt, Angreifer gar nicht erst so weit kommen zu lassen – die Etablierung eines umfassenden Zero-Trust-Modells schützt Unternehmen auch gegen die zukünftige Entwicklung von Ransomware und Daten-Exfiltration.
Über den Autor: Heiko Frank ist Principal System Engineer bei A10 Networks.
(ID:47306729)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937676/original.jpg "Ransomware entwickelt sich immer weiter. Der zunehmende Einsatz von Datenexfiltration in Kombination mit Ransomware erfordert von Unternehmen einen erweiterten Sicherheitsansatz. (ipopba - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934600/original.jpg "Cyberangriffe auf deutsche Kommunen werden nach der Pandemie nicht verschwinden, sondern eher zum neuen Normal werden, so Carsten Meywirth vom Bundeskriminalamt (©zephyr_p – stock.adobe.com)")