Ransomware: Prävention und Vorgehen Angriff – und nun?

Anbieter zum Thema

Dell GmbH

Vogel IT-Medien GmbH

Southern Tech GmbH

Die Sicherheitslage in Deutschland ist besorgniserregend, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ransomware bildet dabei die Spitze des Eisbergs. Wie sich Unternehmen präventiv schützen können, umreißt Sven-Ove Wähling von Netzlink.

Die Bedrohungslage in der IT-Sicherheit in Deutschland spitzt sich immer weiter zu. Das war bereits in den vergangenen Jahren so und wird sich in absehbarer Zeit kaum ändern. Ransomware führt die Angriffs-Rankings an. Auch der Digitalverband Bitkom verzeichnet einen starken Anstieg der Ransomware-Attacken auf Unternehmen seit 2019. Betroffen sind Betriebe aller Branchen und Größen. Wie sie sich präventiv schützen können und was im Falle einer Verschlüsselung durch Ransomware zu tun ist, erläutert Sven-Ove Wähling, Geschäftsführer des Braunschweiger IT-Systemhauses Netzlink Informationstechnik.

Ransomware erweist sich als lukratives Geschäft für Kriminelle. „Während früher noch gezielt Unternehmen bestimmter Branchen etwa aus dem Finanzdienstleistungs-, Logistik-, Gesundheitswesen- oder Energie-Sektor ins Visier genommen wurden, werden heute Organisationen jeglicher Couleur und Größe Ziel von Ransomware-Attacken“, so Wähling. Auch ist bekannt, dass es vermehrt organisierte Gruppen sind, die gezielt und koordiniert angreifen. Innerhalb dieser Gruppen arbeiten die Angreifer mit Spezialisten zusammen, die sich für einzelne Bereiche wie Informationsbeschaffung zu den Zielen, Schwachstellenanalyse, Kommunikation und Ausführung verantwortlich zeichnen – bestätigt Wähling.

„Aufgrund dieser Vorabrecherchen wissen die Angreifer meist schon ganz genau, auf welche Daten sich die Attacken richten und können die Angriffe sehr gezielt ausrichten“, erläutert er weiter. „Wenn die Attacken sich auf bestimmte Server oder Daten richten, birgt das für Angreifer den Vorteil, dass nur ein kleiner, dafür aber sehr wichtiger Teilbereich verschlüsselt und der Vorfall nicht unbedingt sofort bekannt wird. Dies gibt den Angreifern ausreichend Zeit, weitere Schritte vorzubereiten, bevor eine Kontaktaufnahme erfolgt.“ Der Zeitraum von der Infiltrierung bis zur Aktivierung der Malware betrage in der Regel zwei Stunden bis zwei Wochen.

Angreifer nutzen CVE-Listen für Planung

Als Haupteinfallstor gilt vor allem der „Faktor Mensch“. Das Parade-Beispiel: E-Mail-Anhänge mit Schadsoftware werden unachtsam geöffnet. Schnell sind kompromittierte Daten heruntergeladen oder der Nutzer landet auf einer riskanten Website ohne vorherige Prüfung.

Als paradox bezeichnet Netzlink, dass öffentliche CVE-Listen (Common Vulnerabilities and Exposures) und öffentlichen Datenbanken wie Mitre, die von Unternehmen gerne genutzt werden, um bekannte Schwachstellen nachzuschlagen und Sicherheitspatches herunterzuladen, auch von Angreifern frequentiert werden. Diese Plattformen nutzen sie dann, um sich über Schwachstellen zu informieren und gezielt Unternehmen anzugreifen, die eben nicht über die entsprechenden Sicherheitspatches verfügen.

Wie erkennt man, dass man angegriffen wurde?

Erst wenn eine nicht autorisierte Kommunikation stattfindet oder erste Dateien verschlüsselt sind, wird man sich eines erfolgreichen Angriffs bewusst. Der Angreifer tritt dabei erstmals mit einer Kommunikationsaufnahme ins Blickfeld des Unternehmens. Entweder erscheint eine Meldung über die Verschlüsselung und Zahlungsaufforderung auf dem betroffenen System. Oder der Kontakt erfolgt telefonisch, um Druck auszuüben.

Was kann man tun?

Als Sofortmaßnahme empfehlen Experten, das betroffene System vollständig zu isolieren und die weiteren Systeme im Netzwerk zu schützen, um weiteren Schaden und die Ausbreitung der Malware abzuwenden. Vom Herunterfahren rät Wähling allerding ab. „Viele Informationen im RAM-Speicher – hilfreich für die forensische Analyse – könnten gelöscht werden. Bei ersten Hinweisen auf eine Verschlüsselung gilt: Sofort das Netzwerkkabel ziehen, das WLAN ausschalten und nicht mehr an dem System arbeiten“. Auch würde es sich im Fall eines Angriffs empfehlen, die Polizei zu informieren. Danach sollte man genau analysieren, wann eine Malware über welche Wege eingeschleust wurde, wie sie sich verbreitet hat und wie man das betroffene System bereinigt.

„Oft ist die naheliegende Lösung, einfach ein neues Backup aufzuspielen, was aber nicht unbedingt erfolgversprechend ist. In der Regel weiß man zunächst nicht, ob auch das Backup bereits kompromittiert wurde“, gibt Wähling noch als Tipp mit auf den Weg. „Je älter das Backup, desto größer zwar die Wahrscheinlichkeit, dass das Backup nicht kompromittiert ist – jedoch ist dann auch eine signifikant größere Menge von verlorengegangenen Daten seit dem letzten Backup wahrscheinlicher. Dieses Risiko sollte man gründlich abwägen. Hinzu kommt: Wird ein Backup vom Vorjahr eingespielt, aber die Schwachstelle, über die das System angegriffen wurde, ist noch aktiv, dann schützt auch ein vorübergehendes Datenbackup in aller Regel nicht.“

Schließlich könnten Sicherheitskonzepte noch so gut sein, solange der Risikofaktor Mensch nicht ebenfalls berücksichtigt wird. Eine nachhaltige Strategie müsse daher auch die Mitarbeiter einbinden. Awareness-Trainings können helfen, ihnen Risiken beim Umgang mit der IT und Unternehmensdaten näher zu bringen. Darunter zählen Passwortschutz, Zweifaktorauthentifizierung, Einsatz von Mobilgeräten, ein sicherer E-Mail-Umgang oder sicheres Verhalten im Netz.

(ID:49044004)