Mobile-Menu

Ransomware-Attacken auf Daten Online-Erpressung in der Cloud

Cyberangriffe mit Ransomware werden als eine der größten IT-Bedrohungen gesehen. Doch viele Unternehmen konzentrieren sich auf Ransomware, die unzureichend geschützte Endpoints treffen könnte. Dabei sind Cloud-Daten besonders in Gefahr, nicht nur, weil man den Opfern den Zugang zu ihren Cloud-Backups sperren möchte.

Firmen zum Thema

Sicherheitsverantwortliche können sich nicht darauf verlassen, dass Cloud-Services von Erpressungsversuchen verschont bleiben.
Sicherheitsverantwortliche können sich nicht darauf verlassen, dass Cloud-Services von Erpressungsversuchen verschont bleiben.
(Bild: artiemedvedev - stock.adobe.com)

Es ist schon viel zu oft so geschehen: Eine E-Mail von einem scheinbar vertrauenswürdigen Absender verspricht wichtige oder spannende Informationen, wenn man den enthaltenen Link öffnet. Klickt der Empfänger auf den Link, kann dies der Start für eine Online-Erpressung sein. Ransomware wird heruntergeladen, verschlüsselt alle erreichbaren Daten auf dem Endgerät des Opfers und nutzt von dort weitere Zugriffsmöglichkeiten, um andere Datenbestände im Unternehmensnetzwerk böswillig zu verschlüsseln.

Auch die Backups können davon betroffen sein, wenn die Ransomware sie erreichen kann. Passiert dies, haben die Unternehmen kaum noch eine zeitnahe Möglichkeit, die betroffenen Daten wiederherzustellen. Die Angreifer hoffen deshalb, dass das Unternehmen das Lösegeld bei der Online-Erpressung bezahlt.

Eine unvollständige Sicht auf Ransomware-Attacken

Um sich vor Ransomware zu schützen, versuchen viele Unternehmen, ihre Endpoints und die zugehörigen Backups noch besser abzusichern. Doch leider reicht dies nicht: Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden, so das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Insbesondere kann auch nicht nur das komplette Unternehmensnetzwerk von der Ransomware-Attacke betroffen sein, sondern auch die Daten, die das betroffene Unternehmen in Cloud-Diensten vorhält und verarbeitet.

Auch Cloud-Backups im Fokus der Ransomware-Angreifer

Da vollständige Backups als Ausweg aus der Ransomware-Misere gelten und die Wiederherstellbarkeit der Daten die Aussicht der Cyberkriminellen auf das Lösegeld schmälert, nehmen die Attacken schon seit längerem gerade die Backups in den Blick. Sind diese auch kriminell verschlüsselt, wird die Lage für die betroffenen Unternehmen noch schwieriger.

Nun nutzen aber viele Unternehmen bekanntlich die Cloud auch für ihre Backups. Gerade in Zeiten der dezentralen Datenarbeit bieten sich solche Online-Backups an. Es versteht sich, dass die Angreifer auch diese Backup-Daten verschlüsseln wollen.

Zudem steigt die Bedeutung der Datenverarbeitung in der Cloud immer weiter an. Ransomware-Attacken sind deshalb auch nicht auf Endgeräte und Unternehmensnetzwerke beschränkt, sie betreffen alle Orte der Datenhaltung und Datenspeicherung, auch die Cloud. Es ist deshalb auch nicht verwunderlich, dass Cloud-Provider und MSP (Managed Service Provider) beliebte Angriffsziele sind. Immerhin kann man über den Angriff auf sie viele Unternehmen gleichzeitig treffen und in die Online-Erpressung führen.

So berichtet zum Beispiel die EU-Agentur für Cybersicherheit ENISA: Zahlreiche Branchen verlassen sich auf Managed Service Provider (MSP) und Cloud Service Provider (CSP), um vertrauliche Informationen zu hosten, die für ihren Betrieb unerlässlich sind. Sie verlassen sich auch auf sie, um die Integrität der Daten zu gewährleisten und den unbefugten Zugriff auf sie zu verhindern.

Ransomware gehört zu den Top-15-Bedrohungen im ENISA Threat Landscape 2020. Dabei sollte nicht vergessen werden, dass auch Cloud-Daten dadurch bedroht sind.
Ransomware gehört zu den Top-15-Bedrohungen im ENISA Threat Landscape 2020. Dabei sollte nicht vergessen werden, dass auch Cloud-Daten dadurch bedroht sind.
(Bild: ENISA)

Die Ransomwares von GandCrab und Sodin zielen jedoch auf Schwachstellen in den MSPs ab, die ihre Infrastruktur und die von ihnen gehosteten Daten offenlegen, und ermöglichen schließlich, dass der Ransomware-Angriff sich auf die gesamte Kundschaft des MSP ausbreitet, so ENISA.

Schutz immer auch auf die Cloud ausdehnen

Wenn Unternehmen ein Schutzkonzept gegen Ransomware aufbauen, sollten sie immer auch an ihre Cloud-Daten denken. Deshalb sollte man alle Sicherheitsempfehlungen immer auf die Cloud ausweiten.

Das BSI warnt explizit: Zusätzlich zu den Daten des infizierten Clients werden auch Daten auf zugänglichen Netzlaufwerken oder eingebundenen Cloud-Diensten verschlüsselt. Entsprechend sollte man zum Beispiel auch die ENISA- oder BSI-Empfehlungen gegen Ransomware explizit um die Cloud-Aspekte erweitern. Dann lauten die Hinweise:

  • Sorgen Sie auch für Cloud-Daten für zuverlässige Sicherungen, die der 3-2-1-Regel entsprechen (d. h. mindestens drei Kopien in zwei verschiedenen Formaten, wobei eine dieser Kopien außerhalb des Cloud-Standorts bleibt).
  • Verwenden Sie auch für die Cloud Segmentierung, Datenverschlüsselung, Zugriffskontrolle und Durchsetzung von Richtlinien, um eine minimale Datenexposition sicherzustellen.
  • Verwenden Sie Methoden wie die Cloud-Überwachung, um Infektionen schnell zu identifizieren.
  • Überwachung des Cloud-Status und den Zugriff auf die verwendete Cloud-Infrastruktur.
  • Definieren Sie genau und implementieren Sie auch für die Cloud einen Mindestsatz von Benutzerdatenzugriffsrechten, um die Auswirkungen von Angriffen zu minimieren (weniger Rechte, weniger Daten verschlüsselt).
  • Implementieren Sie ein robustes Schwachstellen- und Patch-Management auch für die genutzten Cloud-Dienste, im Rahmen der geteilten Verantwortung zwischen Cloud-Nutzer und Cloud-Provider.
  • Nutzen Sie den Cloud-Schutz mithilfe von geeigneten Antivirenprogrammen, blockieren Sie jedoch auch die unberechtigte Ausführung von Dateien in der Cloud.
  • Verwenden Sie eine Whitelist, um zu verhindern, dass unbekannte ausführbare Dateien in Cloud-Diensten ausgeführt werden.
  • Investieren Sie in die Sensibilisierung der Cloud-Benutzer für Ransomware.

Auch an dieser Stelle sei bemerkt, dass nicht der Cloud-Provider allein für die Cloud-Sicherheit verantwortlich ist. Es ist entscheidend, die geteilte Verantwortung für die Cloud-Sicherheit auch mit Blick auf die Ransomware-Gefahr zu betrachten.

(ID:47729825)