Gefahr kennen, Abwehr planen, Gegenmaßnahmen ergreifen – so verhindern Sie Ransomware Angriffe und minimieren deren Auswirkungen
Im Jahr 2021 war alle elf Sekunden ein Unternehmen von Ransomware betroffen. Und die Erpresser werden immer aggressiver. Aufklärung und die Früherkennung sind daher immens wichtig, um Datenverlust und andere Schäden für Unternehmen zu verhindern oder zumindest zu minimieren. Welche Maßnahmen und Strategien dafür notwendig sind, das erklärt Stefan Bartram von AvePoint in diesem Expertenbeitrag.
Ransomware ist nicht neu, jedoch nehmen Angriffe in Qualität und Anzahl zu und entwickeln sich zu einer der größten Sicherheitsbedrohungen für Unternehmen jeder Größe. Zwar steht bei dieser Art von Cyberangriff nicht die Zerstörung der Daten oder die Datenexfiltration im Fokus, jedoch kommt es bei einer erfolgreichen Attacke ebenso zu Geschäftsunterbrechungen, die Unternehmen schwerwiegend schaden können. Das Ziel von Ransomware ist es, Daten eines Unternehmens zu verschlüsseln, um die Zahlung von Lösegeld zu bewirken. Die Zahl der Unternehmen, die auf diese Erpressung eingehen ist dabei nicht unerheblich, jedoch erhalten nur 65% dieser nach Zahlung ihre Daten zurück.
Der Umgang mit Schwachstellen ist und bleibt damit eine der größten Herausforderungen der Informationssicherheit. Immer häufiger verschlüsseln Cyber-Kriminelle Daten von Unternehmen und Institutionen in ausgefeilten mehrstufigen Angriffen, um Lösegeld zu erpressen.
Für diese Ransomware Angriffe wird am häufigsten eine Verschlüsselung von Nutzerdaten (wie Office-, Bild-, Ton- und Videodateien) oder ganzer Dateninfrastrukturen wie Datenbanken durchgeführt.
Bedrohlichen Einfallsreichtum zeigten Cyber-Kriminelle laut BSI (Bundesamt für Sicherheit in der Informationstechnik) insbesondere bei der Schweigegelderpressung in Verhandlungssituationen mit ihren Opfern. Allein die Zahl der monatlich aktiven Daten-Leak-Seiten, auf denen gestohlene Daten der Öffentlichkeit und anderen Angreifern für weitere Cyber-Angriffe angeboten werden, hat innerhalb eines Jahres laut des Berichts um fast 360% zugenommen.
Die wirtschaftlichen Schäden dieser Angriffe sind massiv. Laut einer US-Studie sind diese durch Ransomware oder Erpresser-Software entstandenen Kosten für die betroffenen Unternehmen zwischen 2019 und 2021 von 5,3 auf 24,3 Milliarden Euro rapide angestiegen – und das allein in Deutschland! Das BSI spricht in seinem Lagebericht 2021 also zurecht davon, dass Cyber-Erpressung, sprich Ransomware, sich zur größten Bedrohung überhaupt entwickelt.
Noch mehr Angriffspunkte durch Homeoffice und Remote Work
Dass Ransomware mal als Computerwurm, mal als Trojaner oder in Form einer anderen Schadsoftware daherkommt, macht die Aufdeckung und Früherkennung nicht einfach. Dabei gibt es gewisse Anzeichen und bei Hackern besonders beliebte Einfallstore. Dazu gehören das Remote Desktop Protocol oder RDP Links, die das Arbeiten im Homeoffice ermöglichen. Und die Angreifer werden nicht müde, diese zu nutzen, besonders nachdem das Homeoffice- und Remote-Aufkommen so stark zugenommen hat. Trendthemen wie die verstärkte Migration in die Cloud und die Nutzung hybrider Arbeitsplatzmodelle haben viele neue Sicherheitslücken offengelegt und machen es Cyberkriminellen mitunter einfacher, ihrem schmutzigen Handwerk nachzugehen. Intelligente Bots und andere KI-gestützte Tools tun ihr Übriges. Es ist daher wichtig, zu einer sicheren digitalen Zusammenarbeit zu kommen.
Reine Gerätesicherung im Cloud-Zeitalter unzureichend
Der Schutz der Endgeräte alleine reicht hier längst nicht mehr aus, auch die von Unternehmen häufig genutzte Microsoft 365-Umgebung muss gesichert sein, um Unternehmensdaten effektiv zu schützen. Mit den nativen Schutzfunktionen von Microsoft 365 können Unternehmen zwar die Versionierung, den Papierkorb oder die Aufbewahrungsbibliotheken nutzen, um verloren gegangene Inhalte wiederherzustellen.
Jedoch können sie mit den genannten Funktionen nur Inhalte, die nicht älter als 93 Tage sind, restoren. Denn auch, wenn Microsoft diese Maßnahmen bereitstellt, empfiehlt der Cloud-Anbieter in seinem Servicevertrag ausdrücklich die Nutzung einer externen Lösung. Für den Schutz seiner Daten ist letzten Endes nämlich jedes Unternehmen selbst zuständig.
Unternehmen können also nur mithilfe eines Cloud Backups den Schutz gegen Ransomware-Angriffe erhöhen. Wer hier noch die alten Backup-Regeln wie das Großvater-Vater-Sohn-Prinzip aus der On-Prem-Welt im Sinn hat, dem sei gesagt, dass diese in der Cloud-Ära nicht mehr zeitgemäß sind. Denn Speicher ist heute in der Cloud und auch on-premises ausreichend vorhanden; ein rotierendes Verfahren wie früher mit Bandlaufwerken ist daher gar nicht mehr nötig. Abgesehen davon erfordert die Möglichkeit, heute von überall und mit jedem Device auf Daten zugreifen zu können, viel kürzere Backup-Perioden.
Der Ansatz von AvePoint ermöglicht daher bis zu vier Backups und Restore-Punkte täglich. Unsere Kunden können dabei die Daten bei uns in der Cloud oder auf ihrer eigenen Hardware sichern. Wir raten dazu, einen Sicherungsort zu wählen und die Backups vor der Wiederherstellung jeweils inkrementell (schrittweise) zu testen. Die Konfiguration für das Office 365 Backup zum Beispiel ist ganz einfach und erlaubt neben der Langzeit-Aufbewahrung auch den zeitunabhängigen Online-Zugriff auf Daten im Fall eines Ransomware/DDoS-Angriffs und entsprechenden Serviceausfalls. Um die Daten wiederherzustellen, muss man in der Side-Bar von AvePoint Cloud Backup nur auf den entsprechenden Button klicken und dann auf das gewünschte Office-365-Objekt.
Risiko und die Auswirkungen eines Angriffs minimieren
Mit unserem Cloud Backup bieten wir dank Ransomware-Früherkennung zusätzlichen Schutz. Wichtige und sensible Firmendaten können mithilfe der AvePoint-Lösung nicht nur gesichert- und was viel wichtiger ist: wiederhergestellt werden – das Cloud Backup hilft auch, Angriffe frühzeitig zu erkennen und somit das Risiko von Datenverlust zu senken.
Denn Ransomware-Angriffe weisen verschiedene einzigartige Verhaltenseigenschaften auf. Basierend auf Algorithmen aus dem Machine Learning werden Anomalien und potenzielle Angriffe überwacht und erkannt. Der IT-Administrator wird dann bei der Erkennung eines Risikos benachrichtigt und kann den Vorfall frühzeitig überprüfen.
Durch eine andauernde Analyse werden mögliche Gefährdungen erkannt und das Risiko somit minimiert. Zudem können Daten schnell und unkompliziert aus dem Cloud Backup wiederhergestellt werden, wodurch auch die Geschäftskontinuität betroffener Unternehmen gewährleistet wird.
Immer intelligentere Angriffe erfordern eine ebenbürtige Abwehr
Bei der effektiven Vorbereitung zum Schutz gegen Ransomware, spielen immer verschiedene Sicherheitsmaßnahmen eine Rolle. Wichtige Punkte sind dabei das Awareness Building und die Schulung der Mitarbeitenden, damit sie Gefahren im Internet und im E-Mail-Verkehr erkennen und den Angreifern keine Schwachstellen bieten.
Vielfach schleicht sich Ransomware über Phishing-Mails oder über Honeypots genannte Links verlockender Angebote im Internet ein. Sichere Web-Gateways können den Internetverkehr im Unternehmen scannen, um bösartige Webanzeigen zu erkennen und zu blockieren.
Eine bei den Hackern beliebte Masche ist auch das Einschleusen sogenannter Exploit-Kits, zumal diese als Baukästen für Malware meist über eine grafische Oberfläche verfügen und daher technisch nicht besonders anspruchsvoll sind. Um dem zu begegnen, sollten Unternehmen beziehungsweise die IT-Verantwortlichen ihre Systeme und Apps möglichst immer auf dem neuesten Stand halten.
Planvolle Abwehrstrategie
Einfallstore für Ransomware-Attacken sind vielfach auch fehlerhaft beziehungsweise falsch konfigurierte oder nicht gepatchte Systeme. Ist das Unternehmen, eine Abteilung oder Zweigstelle erstmal Opfer von Ransomware, verbleibt nicht viel Zeit, dies aufzudecken und Gegenmaßnahmen zu ergreifen. Denn wie das Schweizer IT Magazine eine Surge-Analyse der Log- und Reporting-Plattform splunk zitiert, dauert es je nach Ransomware-Variante im Schnitt knapp 43 Minuten und im schnellsten Fall sogar nur vier Minuten, um 100.000 Dateien von außen zu verschlüsseln.
Daher ist es essenziell, einen Aktionsplan bereit zu haben, wie auf so einen Angriff zu reagieren ist, um die Geschäftskontinuität zu gewährleisten. Ein geeigneter Aktionsplan sollte auch ein Business Impact Assessment, eine vollständige Kopie wichtiger Systeme und regelmäßige Tests der Disaster-Recovery-Pläne beinhalten.
Auf Lösegeldforderungen einzugehen, sollte allerdings nie ein Teil dieses Plans sein. Denn wie eingangs erwähnt, ließen sich 2021 auch nach einer Lösegeldzahlung im Schnitt nur 65 Prozent der verschlüsselten Daten wiederherstellen. Wie wir im Zuge unserer Arbeit ermittelt haben, verbreitet sich Ransomware zwar meist nicht so rasant wie andere Malware. Aber mit einem guten Backup muss man sich als Unternehmen erst gar nicht mit Lösegeldforderungen (englisch ransom) auseinandersetzen.
Fazit
Wie der Beitrag zeigt und wie vom BSI bereits festgestellt wurde, hat sich Ransomware zu einer der, wenn nicht zu der größten Bedrohung im Cyberraum entwickelt. Oft ist es der Faktor Mensch, der den Angreifern Tür und Tor öffnet. Aufklärung und Schulungen sind daher unerlässlich, Sicherheitsmaßnahmen wie Virenschutz, ständiges Monitoring und Implementierung von Identity Management inklusive Zwei- oder Multi-Faktor-Authentifizierung ebenso. Aber um den Erpressern den Wind aus den Segeln zu nehmen, kommt es ebenso auf ein mit Intelligenz gepaartes, gutes Backup an, wie wir von AvePoint es bieten. Denn so, wie die Angreifer immer intelligentere Tools einsetzen, muss auch eine effektive Abwehr entsprechend auf- und nachrüsten.
Quelle Titelbild: Adobe Stock / ZinetroN.
