Vorbereitung zahlt sich aus Zero Trust und der Schutz vor Ransomware

Autor / Redakteur: Martin Ninnemann / Peter Schmitz

Angriffe mit Ransomware sind auf einem neuen Langzeithoch. So verursachten entsprechende Attacken im Jahr 2020 geschätzte Schäden in Höhe von rund 20 Milliarden US-Dollar. Hauptgrund dafür war, dass Millionen Arbeitnehmer sich – in den meisten Fällen aufgrund von Lockdowns und anderen Maßnahmen zur Eindämmung der Corona-Pandemie – aus schlecht gesicherten Heimnetzwerken bei Unternehmens- und Regierungsnetzen anmeldeten und so Cyberkriminellen Tür und Tor öffneten. Dabei wird es immer schwieriger, Schadsoftware wirklich von wichtigen Ressourcen fern zu halten.

Firmen zum Thema

Zero Trust und verwandte Security-Strategien eignen sich optimal dafür, die Schäden zu minimieren, die Ransomware und andere Schadprogramme anrichten können.
Zero Trust und verwandte Security-Strategien eignen sich optimal dafür, die Schäden zu minimieren, die Ransomware und andere Schadprogramme anrichten können.
(© James Thew - stock.adobe.com)

Angesichts der wachsenden Bedrohung durch Ransomware müssen die Verantwortlichen in den Unternehmen aktuell oftmals auf die harte Tour lernen, wie durchtrieben Hacker mittlerweile sind. Denn obwohl sie ihre Sicherheitsfachleute nach bestem Wissen und Gewissen unterstützen, sehen die sich immer ausdauernderen Angreifern, Schwachstellen in den eigenen Cybersicherheitsmaßnahmen und stetig steigenden Kosten für Datenwiederherstellungen nach Angriffen gegenüber.

Ransomware ist eine eigene Industrie

Die sich am schnellsten ausbreitende aller Malwares, Ransomware, ist immer lukrativer, schwer zu verfolgen und einfach zu handhaben. Tatsächlich bieten Cyberkriminelle Hackern mittlerweile Ransomware als Service an, damit selbst Personen mit geringen technischen Kenntnissen einfach Angriffe starten können.

Ransomware-Angreifer wählen ihre Ziele strategisch aus. Dazu gehören medizinische Einrichtungen, in denen Leben auf dem Spiel stehen und die daher unter Druck gesetzt werden können, für eine schnellere Wiederherstellung zu zahlen. Ein weiteres beliebtes Ziel sind Anbieter von Managed Services, die mit großen Kundenorganisationen mit riesigen Speichern wertvoller Daten vernetzt sind. Regierungsbehörden sind ebenfalls attraktiv, da sie oft über alte, leicht zu infiltrierende Systeme und wenig IT-Personal verfügen. Auch Finanzinstitute stellen für Angreifer eine wahre Goldgrube dar, da sie über wertvolle Vermögenswerte und Bankkonto-, Sozialversicherungs- und Routing-Nummern verfügen. Allerdings ist keine Branche wirklich immun.

Angreifer arbeiten effizient, indem sie Software außerhalb der normalen Geschäftszeiten und an Wochenenden einsetzen, wenn das Personal unterbesetzt und möglicherweise weniger wachsam ist. Ransomware-Angreifer haben ihre durchschnittliche „Verweildauer“ – die Zeitspanne zwischen dem Eindringen und dem Einsatz der Ransomware – erhöht, um unerkannt im Netzwerk umherzustreifen, weitere Geräte zu beschädigen und Daten zu entdecken und möglicherweise zu exfiltrieren. Und sie haben ihre „Pausenzeit“ reduziert - die Zeit zwischen dem Einbruch und dem Zeitpunkt, an dem sie sich seitwärts im Netzwerk bewegen können.

Perimetersicherheit reicht nicht

Führungskräfte neigen dazu, ihrem Schutz vor Ransomware zu vertrauen, weil sie in der Vergangenheit in die Cybersicherheit investiert haben. Jahrelang haben sie viel Geld für die Absicherung des Perimeters ausgegeben, um den Missbrauch ihres Netzwerks und ihrer Daten zu verhindern.

Aber das reicht längst nicht mehr. Schließlich waren an 34 % der Datenverletzungen interne Akteure beteiligt. Und deutsche Unternehmen waren im vergangenen Jahr besonders häufig Ziele von Cyber-Kriminellen – vor allem aufgrund pandemiebedingter Entwicklungen: So brachten die Einschränkungen rund um Covid-19 eine neue Kategorie von Phishing-Zielen hervor – unvorsichtige Mitarbeiter, die von zu Hause aus arbeiten und ihren Rechner mit dem Firmennetzwerk verbinden. Dies ist problematisch, vor allem wenn man die Kosten für erfolgreiche Phishing-Attacken bedenkt – die bereits 2018 Milliarden von Dollar betrugen.

Abgesicherte Perimeter müssen durch grundlegende Maßnahmen ergänzt werden, die den Schaden im nicht unwahrscheinlichen Fall eines Eindringens begrenzen. So sollten Verantwortliche:

  • Endpunkte sowohl „on Premise“ als auch in der Cloud tarnen, um Assets für „Bad Actors“ unauffindbar zu machen. Dadurch werden diese Assets vor Hackern versteckt, die auf der Suche nach verwundbaren Zielen sind. Im Rahmen einer Zero-Trust-Strategie lassen sich hier sogenannte COIs (Communities of Interest) definieren, innerhalb derer auf Grundlage einer „Need to Know“-Basis Geräte definiert werden. Alle Geräte außerhalb einer bestimmten COI sind dabei immer komplett unsichtbar. Gibt es hingegen einen regulären Authentifizierungsmechanismus (selbst wenn es sich dabei um eine vermeintlich sichere Zwei-Faktor-Authentifizierung handelt), steht einem Angreifer nach erfolgreichem Login das komplette Netzwerk offen.
  • Verbindungen per Ende-zu-Ende-Verschlüsselung absichern. Das stellt die Integrität und Vertraulichkeit der Daten sicher und reduziert die verfügbare Angriffsfläche.
  • „Bad Actors“, die sich Zugang zum Firmennetzwerk verschafft haben, möglichst schnell erkennen und eindämmen, bevor Ransomware eingeschleust werden kann und weitere Endpunkte kompromittiert werden können. Mikroperimeter helfen dabei, indem sie kritische Daten-Workloads isolieren, sie schützen, wenn sie in Bewegung sind, und Eindringlinge daran hindern, sich lateral innerhalb des Netzwerks zu bewegen, wenn der äußere Perimeter einmal durchdrungen ist. Im Idealfall gibt es dabei, auch basierend auf einem SIEM (Security Information and Event Management), einen Automatismus, der Geräte innerhalb von Sekunden isoliert, sobald diese unerwartete Verhaltensweisen zeigen.

Die Erholung nach einer Ransomware-Attacke ist teuer und heikel

Ransomware-Angriffe können Systeme lahmlegen, Kunden verärgern, den Ruf eines Unternehmens schädigen, Datenlecks verursachen und Verantwortliche vor die Entscheidung stellen, ob sie das Lösegeld zahlen sollen oder nicht – eine schwierige Abwägung für die meisten Unternehmen.

Manchmal ist der Druck immens, dennoch raten die meisten Experten davon ab, auf die Forderungen der Erpresser einzugehen. Die Zahlung eines Lösegelds ermutigt die Kriminellen nur und macht Unternehmen noch anfälliger für weitere Angriffe. Außerdem kann es sein, dass Angreifer mit terroristischen Organisationen in Verbindung stehen. In diesem Fall könnte die Zahlung des Lösegelds sogar mit einer Geldstrafe geahndet werden. Zu guter Letzt gibt es auch keinerlei Gewähr, dass die Zahlung des Lösegelds den Zugriff auf die Daten tatsächlich wiederherstellt.

Selbst wenn Unternehmen zahlen, ist ihr IT-Team möglicherweise nicht in der Lage, die betroffenen Geräte einfach neu zu sichern. Bei neuerer Ransomware kann die Malware auf der Hardware-Ebene verbleiben, zusammen mit ihrer Fähigkeit, erneut zu korrumpieren. Das bedeutet, dass Unternehmen zusätzliche Server und Hardware zur Verfügung haben müssen, um die betroffenen Geräte auszutauschen.

Und selbst Backups könnten durch neuartige Ransomware beschädigt werden. Um sich dagegen zu schützen, sollten Verantwortliche auf eine sogenannte "goldene Wiederherstellung" setzen, die es ermöglicht, im schlimmsten Fall innerhalb weniger Stunden eine Wiederherstellung auf Bare Metal durchzuführen.

Und was ist, wenn Unternehmen nicht zahlen? Haben sie die Backup-Dateien und die Ressourcen, um eine mühsame und zeitaufwendige Wiederherstellung durchzuführen? Haben sie eine Möglichkeit, die Server, Laptops, Tablets und anderen Endpunkte neu zu beschaffen, damit ihre Mitarbeiter schnell wieder online gehen können?

Sind ihre Sicherheitsteams, ihre Incident-Response-Teams und ihre Sicherheitsanbieter der ständigen Herausforderung gewachsen, ihr Netzwerk vor der nächsten Attacke widerstandsfähiger zu machen? Werden sie das Vertrauen ihrer Kunden verlieren? Wird ihre Marke auf dem Markt unter der unerwünschten Publicity leiden, die diese großen Angriffe mit sich bringen?

Dies sind die erschreckenden Ungewissheiten und Kosten, mit denen Unternehmen konfrontiert werden, wenn sie von Ransomware betroffen sind. Daher sollten Verantwortliche sich darüber im Klaren sein, dass sie eine Wiederherstellung nach einem Angriff wesentlich teurer zu stehen kommt, als im Vorfeld in Sicherungsmaßnahmen zu investieren, um im Ernstfall besser gewappnet zu sein.

Generell lässt sich sagen, dass gerade Zero Trust und verwandte Security-Strategien sich optimal dafür eignen, die Schäden zu minimieren, die Ransomware und andere Schadprogramme anrichten können. Denn gerade Maßnahmen wie COIs, Mikrosegmentierung und -perimeter sorgen dafür, dass Angreifern sprichwörtlich die Puste ausgeht, bevor sie echten Schaden verursachen können.

Über den Autor: Martin Ninnemann ist Director Business Development DACH – Security bei Unisys.

(ID:47436477)