Loading...
Blogs & Stories

Trustwave-Blog

Der Trustwave-Blog versetzt Fachleute für Informationssicherheit in die Lage, durch Expertenwissen, das aktuelle Themen, Trends und Herausforderungen behandelt und Best Practices definiert, ihre Möglichkeiten weiter zu verbessern.

CISOs Corner: drei wichtige Tipps zur Vorbereitung auf Ransomware, die die meisten Unternehmen nicht umsetzen

Unternehmen sind heute mehr denn je in höchster Alarmbereitschaft, wenn es um Ransomware-Angriffe geht. Sie versuchen natürlich, sich optimal zu schützen. Das Problem ist, dass viele möglicherweise nicht erkennen, wie sich Ransomware-Angriffe inzwischen verändert haben. Es geht nicht mehr bloß um das Einfrieren von Datenbeständen durch Verschlüsselungsmethoden. Stattdessen stehlen Cyberkriminelle mit Ransomware-Angriffen heutzutage oftmals die Daten, für die sie Lösegeld verlangen. Dies führt dazu, dass im Falle einer Kompromittierung völlig neue Sicherheitsmaßnahmen in Betracht gezogen werden müssen.

Wir haben mit David Bishop, CISO bei Trustwave, und Darren Van Booven, Lead Principal Consultant bei Trustwave und ehemaliger CISO des US-Repräsentantenhauses, über die Vorbereitung auf Ransomware gesprochen und darüber, was Unternehmen in ihrer Cyber-Resilienz-Strategie möglicherweise noch fehlt.

Es scheint nach wie vor ein Irrglaube zu sein, gegen einen Ransomware-Angriff gewappnet zu sein, wenn man über System-Backups oder Endpoint-Security verfügt. Wie sehen Sie die Notwendigkeit eines ganzheitlichen Ansatzes und die erforderliche Koordination, um auf eine Ransomware-Attacke wirksam vorbereitet zu sein?

Darren: Stelle ich Unternehmen die Frage, was sie denken, wie gut sie auf Ransomware vorbereitet sind, antworten die meisten, dass sie alles im Griff haben. Stellt man ihnen tiefergehende Fragen – zum Beispiel, was sie genau tun, um gewisse Exploit-Techniken zu verhindern, die wir bei Vorfällen in ihrer Umgebung gefunden haben –, wissen sie entweder die Antwort nicht oder stellen fest, dass sie eigentlich doch nicht vorbereitet sind.

David: Ein Grund für die mangelnde Vorbereitung ist meiner Meinung nach, dass Ransomware-Angriffe heute viel mehr sind als nur Ransomware. Neben der Installation auf einem Endpoint und dem Verschlüsseln von Dateien nutzen Angreifer die Umgebung aktiv aus, um Lösegeld fordern zu können. Dazu drohen sie den Unternehmen an, die gefundenen Informationen an die Öffentlichkeit weiterzugeben. Außerdem ergreifen sie teilweise zusätzliche Maßnahmen, um die Backup-Infrastruktur zu beschädigen, zu zerstören oder unzugänglich zu machen. Heutzutage muss man an mehreren Fronten vorbereitet sein. Es geht nicht nur um den Schutz von Endpoints, sondern auch um den Schutz vor Datenverlust und eine solide Backup-Infrastruktur. Leider gehen viele Unternehmen dabei nicht ganzheitlich vor.

Es hört sich so an, als ob es sich hierbei eher um ein hybrides Exploit/Ransomware-Szenario handelt, bei dem Entschlüsselungstechniken nicht ausreichen. Können Sie mehr zu den Risiken sagen, die mit dieser neuen Generation von Ransomware verbunden sind?

David: Vor einigen Jahren setzten Angreifer Ransomware ein, sie breitete sich als Wurm aus, verschlüsselte die Umgebung und brachte alles zum Stillstand. Dann wurden Cybersecurity-Experten sehr gut im Entschlüsseln und machten diese Angriffe weniger effektiv. Der Beginn der Datenexfiltration machte Ransomware zu einer typischen Exploit-Situation. Dabei verfügen die Angreifer über mehr Druckmittel, mit gestohlenen Daten eine Zahlung zu erzwingen. Das ist Erpressung.

Darren: Viele Leute verstehen heutzutage immer noch nicht das volle Ausmaß von Ransomware: Angreifer schleusen nicht mehr nur einfach Verschlüsselungssoftware in ein System ein und lassen sie dann in einer flachen oder kaum segmentierten Umgebung laufen. Es handelt sich jetzt vielmehr um eine kalkulierte Strategie, die verschiedene Angriffsszenarien umfasst. Diese haben wir zwar schon in der Vergangenheit gesehen, nun sind sie aber kombiniert mit traditioneller Ransomware.

Berücksichtigt man die Entwicklung von Ransomware-Angriffen – was sind die drei wichtigsten Maßnahmen, die Sie Unternehmen empfehlen, um sich geeignet vorzubereiten und zu schützen?

Darren: Zunächst etwas Grundlegendes: Stellen Sie sicher, dass in Ihrem Gesamtkonzept das Maximum für die Verringerung des Risikos durch Bedrohungen via E-Mail Berücksichtigung findet. Denn ein Großteil der Ransomware, die in Unternehmen eindringt, kommt über diesen Vektor. Viele Menschen klicken immer noch auf Links in verdächtigen E-Mails – das liegt in der Natur des Menschen. Daher sollte eine grundlegende Schulung zum Sicherheitsbewusstsein Teil der Planungen und des Konzepts sein.

Außerdem sollten Sie ein fortschrittliches EDR-Tool auf dem Endgerät installieren – für den Fall, dass ein bösartiger Link angeklickt wurde. Dies wird zwangsläufig einmal passieren. Stellen Sie sicher, dass die Systeme auf dem neuesten Stand und gepatcht sind und sich auf jedem Gerät ein EDR-Tool befindet. Wir haben es mit vielen Vorfällen zu tun gehabt, bei denen selbst Umgebungen mit EDR-Lösung kompromittiert wurden, weil diese nicht überall installiert war. Ohne vollständige Implementierung waren Rechner ohne EDR betroffen. Aber wie bereits erwähnt, ist der Fokus auf Endpoint Security, das Patchen und die Erkennung von E-Mail-basierten Bedrohungen nur ein Teil des Ganzen.

David: Vor diesem Hintergrund lautet meine abschließende Empfehlung: Für einen guten Schutz vor Ransomware müssen Sie heutzutage Ihre gesamte Sicherheitsstrategie betrachten – und ein großer Teil davon ist die Segmentierung. Stellen Sie sich vor, dass Ihnen irgendwann ein Ransomware-Angriff passieren wird. Was haben Sie dann unternommen, um die Auswirkungen dieses speziellen Vorfalls zu minimieren? Haben Sie identifiziert, wo sich Ihre kritischen Datensätze befinden, auf die Sie jeden Tag für den Geschäftsbetrieb oder die Verwaltung angewiesen sind? Haben Sie Ihre operativen Komponenten von den administrativen getrennt, um die Verbreitung von Malware zu verhindern und gleichzeitig die Identifizierung sensibler Daten zu erschweren? Haben Sie verschiedene Zugriffskontrollen oder Berechtigungen in Betracht gezogen? Viele Unternehmen verfügen nicht über eine Datensegmentierung – selbst in Branchen, in denen vernetzte Systeme, OT und IoT ein hohes Risiko für einen solchen Sicherheitsvorfall darstellen. Sie müssen alle Möglichkeiten kennen, wie in Ihr System eingedrungen werden könnte, um das Risiko in seiner ganzen Breite zu verstehen.

Möchten Sie abschließend noch etwas sagen?

Darren: Es ist wirklich wichtig, daran zu denken, dass die Segmentierung auch für Backups gilt. Stellen Sie sicher, dass Sie über brauchbare Backups verfügen, auf die Sie jeder Zeit zugreifen können. Dies kann bei einem Ransomware-Angriff oft den entscheidenden Unterschied ausmachen – Lösegeld zu zahlen oder nicht – und den Übergang zurück zur Tagesordnung in der heute üblichen Arbeits-geschwindigkeit gewährleisten.

David: Ihre Segmentierungsstrategie sollte eine Wiederherstellungskomponente beinhalten, sodass Ihre Backup-Umgebungen die operativen Systeme widerspiegeln, in die Sie so viel Arbeit investiert haben. Wenn diese Schwerpunktbereiche Lücken aufweisen, ist das Risiko, dass Ransomware zu einem Problem für Ihr Unternehmen wird, viel höher, als wenn Sie alle diese Schutzmaßnahmen umsetzen.