Cyberkriminalität ist zum lukrativen Geschäft geworden. Um der Monetarisierung von Angriffen auf die IT-Infrastruktur wirksam entgegentreten zu können, müssen Unternehmen auch mit ihren Abwehrmaßnahmen aufrüsten. Ein Grundverständnis für die Vorgehensweise der Angreifer hilft dabei, die passenden Strategien im Risiko-Management zu wählen. Dabei sollte nicht der Fatalismus im Mittelpunkt stehen, dass ein Unternehmen früher oder später einem Angriff ausgesetzt sein wird. Vielmehr sollten vorbeugende Maßnahmen in den Fokus rücken, die das Schadpotenzial des unausweichlichen Angriffs eindämmen.

Ransomware-Angriffe stellen eine zunehmende Gefahr für Unternehmen dar. Angreifer, die ihre Methoden aufrüsten, prallen auf Organisationen, die noch in alten Sicherheitsmaßnahmen verankert sind. Um Paroli bieten zu können, sollte auch die Firmenspitze ein Grundverständnis für das Schadpotenzial moderner Angriffe entwickeln und in Sicherheitsmaßnahmen und Notfallpläne investieren. Denn im Ernstfall der Infektion mit einem Erpressungstrojaner müssen schnelle Entscheidungen getroffen werden.

Warum ist Ransomware so erfolgreich?

Bei erfolgreichen Angriffen müssen betroffene Unternehmen mit Datenverlusten, Systemunterbrechungen oder sogar mit einem kompletten Betriebsstillstand rechnen. Die Wiederherstellung der Kontrolle über die Systeme, Netzwerke oder Daten ist zeitaufwändig. Hinzu kommt, dass jedes betroffene Unternehmen finanzielle, betriebliche, rufschädigende und möglicherweise auch regulatorische Konsequenzen zu tragen hat. Der Schaden durch einen Ransomware-Angriff geht demnach weit über die eigentlichen Auswirkungen auf das Netzwerk hinaus.

Die Angreifer gehen heutzutage hochspezialisiert vor. Je nach Expertise werden Aufgaben aufgeteilt und das Geschäft von Ransomware as a Service floriert. Während eine Gruppierung von Angreifern für die Erstinfektion sorgt, stellt die nächste Spezialgruppe die eigentliche Payload zur Verfügung und ein weiteres Team kümmert sich schließlich um die Lösegeldübergabe. So schaffen es die verschiedenen „Gewerke“, ihre Stärken auszuspielen und kontinuierlich aufzurüsten, bis sie schließlich ihr Ziel erreicht haben. Ein langer Atem und präzise Vorbereitung helfen bei der Umsetzung zielgerichteter Attacken.

Heute nutzen Cyberkriminelle unterschiedliche Infiltrationsvektoren, um sich Zugang zu IT-Systemen zu verschaffen. Zu den gängigsten Methoden gehören nach wie vor Phishing-E-Mails, das Ausnutzen von Schutzlücken in Remote- oder VPN-Hardware sowie die Verwendung von Brute-Force-Methoden zum Knacken schwacher Passwörter oder gestohlenen Anmeldedaten, um via Remote Desktop Port (RDP) Verbindungen zuzugreifen. Einmal in ein Netzwerk eingedrungen, werden weitere Informationen über die Infrastruktur des befallenen Unternehmens ausgespäht. Bevorzugt machen sie sich auf die Suche nach Power Accounts mit großen Zugriffsrechten, mit deren Hilfe viele kritische Systeme verschlüsselt werden können Dazu bewegen sich die Angreifer lateral durch das Netzwerk bis sie zu wertvollen Datenbeständen und zu Administrationsebenen vordringen. Dabei können die klassischen Methoden der Netzwerksegmentierung mit Hilfe von Firewalls nur unzureichend aufhalten, denn ein gewisser Grad an übergreifenden Zugriffsrechten, beispielsweise über Remote Desktop, besteht immer, der von Malware-Akteuren ausgenutzt werden kann.

Sind wertvolle Daten im Netz ausgespäht, werden diese vor der Verschlüsselung ausgelesen, um sie als sekundäre Erpressungsmasse für höhere Lösegeldzahlungen zu verwenden. Denn wenn das betroffene Unternehmen nicht auf die Lösegeldforderung eingeht, haben die Angreifer dadurch einen weiteren, wirkungsvollen Hebel in der Hand. In einer solchen Situation müssen Unternehmen in der Lage sein festzustellen, welche Daten entwendet wurden. Hier wird die Bedeutung einer Backup-Strategie deutlich. Denn ohne Sicherheitskopie der Datenbestände wird es schwer, die Brisanz entwendeter Daten einzuschätzen, geschweige denn die Systeme wiederherzustellen. Im Idealfall hat das Unternehmen zuvor bereits weitreichendere Vorkehrungen getroffen und verhindert durch Data Loss Prevention den Datendiebstahl. Zumindest aber sollte ein Notfallplan in der Schublade liegen.

Der Plan für den Fall der Fälle

Ist ein Ransomware-Angriff erfolgt, behelfen sich IT-Verantwortliche im ersten Schritt meist mit dem kompletten Abschalten aller Systeme im Netzwerk. Da der Angriff bereits einige Systeme lahmgelegt hat, dient diese Reaktion dem Eindämmen einer weiteren Verschlüsselung von Daten und der lateralen Bewegung der Angreifer. Auch wenn dadurch das weitere Ausbreiten der Malware-Akteure im Netzwerk und die Kommunikation nach außen unterbunden wird, liegt damit auch der gesamte Geschäftsbetrieb des Unternehmens auf Eis. Es ist also eine Strategie gefragt, die einerseits für die schnelle Wiederherstellung des Zugriffs auf die geschäftskritischen Anwendungen und die Wiederherstellung der Daten sorgt, um den Mitarbeitenden die Arbeit zu ermöglichen und die andererseits die Aufräumarbeiten im Netzwerk nicht beeinträchtigt. 

Unternehmen, die sich gegen die Lösegeldzahlungen entscheiden, sollten einen Plan vor Augen haben, wie sie das Vertrauen in die Integrität ihrer Netzwerkinfrastruktur zurückgewinnen können. Dabei stehen sie unter dem wirtschaftlichen Druck des schnellen Handelns, denn mit jedem Tag in dem das Netzwerk abgeschaltet bleibt, steigt der finanzielle Schaden. Es ist aufwändig, Datenbestände von einem externen Back-up System - das nicht von der Verschlüsselung betroffen ist, wiederherzustellen. Außerdem sollte sichergestellt sein, dass sich die Angreifer nicht mehr im Netzwerk befinden, damit kein weiterer Schaden angerichtet wird.
Führt man sich die Folgen eines potenziellen Angriffs vor Augen, erscheint es sinnvoller, eine Ransomware-Attacke zu verhindern als im Nachhinein Schadensbegrenzung zu betreiben. Die folgenden fünf Schritte können zu einem höheren Schutzniveau beitragen:

1. Netzwerktransformation auf Basis von Zero Trust

In der Realität stellen sich die klassischen Netzwerkarchitekturen auf Basis von Hardware als komplex in der Verwaltung und Absicherung dar und schaffen es nicht, ein Eindringen unmöglich zu machen. Unternehmen müssen sich ihrer Angriffsvektoren bewusst werden und sollten zuerst einmal Lücken für Angreifer schließen. Eine Netzwerktransformation auf Basis einer Zero Trust-Architektur hilft dabei, die Angriffsfläche zu reduzieren. Denn dadurch wird der unlimitierte Zugang zum Netzwerk unmöglich gemacht, der eine laterale Ausbreitung der Angreifer erst zulässt. Jeder Anwender erhält über Zero Trust ausschließlich Zugang auf Ebene der einzelnen Anwendung, nachdem er sich authentifiziert hat – und nicht mehr zum gesamten Netz.

2. Cloud-native Sicherheit

Ein Ransomware-Ausbruch im Netzwerk führt letztlich dazu, dass der Zugang zur Infrastruktur durch die Angreifer unterbunden wird und auch die Sicherheitssysteme können davon betroffen sein, so das seine Wiederherstellung erschwert wird. Cloud-basierte Sicherheits auf Basis einer Plattform erleichtert nicht nur die Administration, sondern kann als Sicherheits-Overlay auch den Zugriff zu bereinigten Systemen auf Ebene der einzelnen Anwendung wiederherstellen.

3. Implementierung von Deception-Technologien

Mit in Grund für den Erfolg von Ransomware besteht darin, dass traditionelle Sicherheitsmaßnahmen vorhersagbar sind, und dadurch mit dem Tool-Set der Angreifer unterlaufen werden können. Aktive Schutzmaßnahmen in Form von Täuschungsmanövern und in der Infrastruktur platzierten Honigtöpfen können Angreifer in die Irre führen und das Sicherheitsteam auf sie aufmerksam machen.

4. Oberste Priorität: Sicherheit für das Active Directory

Da Angreifer auf das Active Directory abzielen um ungehinderten Zugriff zu den wichtigen Systemen für deren Verschlüsselung zu erhalten, müssen hier besondere Schutzmaßnahmen implementiert werden. Allerdings gilt es dazu die Hürden zwischen Active Directory-Teams und Sicherheitsverantwortlichen zu überwinden, was zur Chefsache werden muss.

5. Ein Wechsel von reaktiver zu proaktiver Sicherheit

Die Aussage, dass es lediglich eine Frage der Zeit ist, bis ein Unternehmen von einem Cyber-Angriff mit Datenverschlüsselung und -verlusten und damit einhergehenden Ransomware-Forderungen betroffen ist, scheint die Handlungsmaximen vieler Firmen zu prägen. Anstelle des Aufrüstens in SIEMs und SOCs zur Erkennung von Angriffen sollte mehr Wert auf deren Abwehr gelegt werden. Eine Minimierung der Angriffsfläche ist der erste Schritt dazu. Doch diese Angriffsfläche der gesamten IT-Infrastruktur muss sich ein Unternehmen erst vor Augen führen.

Mangelndes Bewusstsein für Angriffsvektoren

Unternehmen sollten potenziellen Angriffen auf ihre Infrastruktur vorbeugen, indem sie identifizieren, welche Ressourcen im Internet für jedermann auffindbar sind. Für den aktuellen Threatlabz Report wurde die im Internet sichtbaren Infrastrukturbestandteile von 1.500 Unternehmen während eines Jahres analysiert, um potenzielle Angriffsflächen aufzuzeigen. Von den Sicherheitsforschern wurden dabei 202.316 CVE-Schwachstellen und 750 einzigartige Exploits entdeckt. Sie fanden heraus, dass Unternehmen im Durchschnitt 135 bekannten Schwachstellen ausgesetzt sind, von denen jede ein potenzielles Risiko für das Unternehmen darstellt. 

Wenn Unternehmen in einem ersten Schritt ihr Augenmerk auf eine Reduktion ihrer Angriffsfläche lenken, könnten die Auswirkungen der Bedrohungen und ihr Schadpotenzial deutlich reduziert werden. Es geht dabei nicht gänzlich um die Abschaffung der existierenden Systeme, sondern um einen ganzheitlichen Maßnahmenkatalog für das Risikomanagement, der stärker auf die Abwehr von Angriffen denn auf ihre Erkennung setzt. Das Risiko erfolgreicher Angriffe lässt sich dadurch reduzieren, dass Unternehmen Schwachstellen in ihrer Infrastruktur erkennen und dort Lücken schließen, um keine Angriffsfläche zu bieten, die von Hackern genutzt werden kann.