Wir haben Ihre Daten!

Cyberkriminelle verwenden bösartige Software, die als E-Mail-Anhang oder Link bereitgestellt wird, um das IT-Netzwerk zu infizieren und E-Mails, Daten und andere wichtige Dateien zu sperren, bis ein Lösegeld – vorzugsweise in einer Kryptowährung – gezahlt wird. Diese sich ständig weiterentwickelnden und immer raffinierteren Angriffe sind schädlich und sehr kostspielig. Hohe finanziellen Verluste aufgrund von Ausfallzeiten, Lösegeldzahlungen, Wiederherstellungskosten und anderen nicht budgetierten und unvorhergesehenen Ausgaben sind die Folgen.

Lösegeld und Datenverletzung

Nicht nur Angriffe sind auf dem Vormarsch. Auch Lösegelder und Lösegeldzahlungen steigen. In vielen Fällen werden Lösegelder nun häufiger gezahlt, und diese Forderungen gehen in die Millionen Franken.

Cyberkriminelle stehlen nicht nur Daten und verschlüsseln Dateien mit anschliessender Lösegeldforderung, sondern verlangen auch Zahlungen von den Opfern, um zu vermeiden, dass die gestohlenen Informationen öffentlich werden, was gegebenenfalls zu einer massiven Rufschädigung des Unternehmens führen könnte. Viele Cyberkriminelle kombinieren inzwischen den Einsatz von Ransomware und Datenverletzungen, um auf diese Weise den erpresserischen Druck auf ihre Opfer zu erhöhen. Wird der Forderung nicht nachgekommen, legen die Kriminellen die gestohlenen Daten auf eigene Server ab oder versteigern diese im Dark Web.

Verteidigung gegen Ransomware-Angriffe
Die sich schnell entwickelnde E-Mail-Bedrohungslage erfordert fortschrittliche ein- und ausgehende Sicherheitstechnologien, die über das herkömmliche Gateway hinausgehen. Dazu gehört auch das Schliessen der technischen Lücken und die Schulung der Mitarbeitenden für grösstmögliche Sicherheit bei geringstem Risiko, Opfer von ausgeklügelten Ransomware-Angriffen zu werden.

Spam-Filter/Phishing-Erkennungssysteme. Auch wenn viele bösartige E-Mails überzeugend wirken, können Spam-Filter, Phishing-­Erkennungssysteme und ähnliche Sicherheitssoftware subtile Hinweise identifizieren und dazu beitragen, dass potenziell bedrohliche Nachrichten und Anhänge erst gar nicht in den E-Mail-Posteingang gelangen.

Advanced Firewalls. Wenn ein Benutzer einen bösartigen Anhang öffnet oder auf einen Link zu einem Drive-by-Download klickt, bietet eine fortschrittliche Netzwerk-Firewall, die Malware-Analysen durchführen kann, eine Chance, den Angriff zu stoppen, indem sie die ausführbare Datei beim Versuch, sie zu passieren, kennzeichnet.

Erkennung von Malware. Bei E-Mails mit bösartigen Dokumenten im Anhang kann sowohl die statische als auch die dynamische Analyse Hinweise darauf liefern, dass das Dokument versucht, eine ausführbare Datei herunterzuladen und auszuführen. Die URL für die ausführbare Datei lässt sich oft mithilfe von Heuristiken oder ­Threat- Intelligence-Systemen erkennen. Eine durch statische Analyse erkannte Verschleierung kann ebenfalls darauf hinweisen, ob ein Dokument verdächtig sein könnte.

Sperrlisten. Da der IP-Speicherplatz immer begrenzter wird, verwenden Spammer zunehmend ihre eigene Infrastruktur. Oft werden dieselben IPs lange genug verwendet, damit eine Software sie erkennen und zu einer Blacklist hinzufügen kann. Selbst bei gehackten Websites und Botnets ist es möglich, Angriffe vorübergehend nach IP zu blockieren, sobald ein ausreichend grosses Spam-Volumen erkannt wurde.

Schulung des Benutzerbewusstseins. Phishing-Simulationen sollten Bestandteil von Sicherheitsschulungen sein, um zu gewährleisten, dass Endanwender Angriffe erkennen und vermeiden können.

Backup. Im Falle eines Ransomware-Angriffs kann eine Cloud-Back­up-Lösung Ausfallzeiten minimieren, Datenverluste verhindern und Systeme schnell wiederherstellen, ganz gleich, ob sich die Dateien auf physischen Geräten, in virtuellen Umgebungen oder in der Public Cloud befinden. Idealerweise sollte man die 3-2-1-Regel mit drei Kopien aller Dateien auf zwei verschiedenen Medientypen befolgen, von denen mindestens eine ausgelagert ist. So wird vermieden, dass Backups von einem Ransomware-Angriff bedroht werden.

==================

Sicherheit kann nur durch einen ganzheitlichen Ansatz erreicht werden

Klaus Gheri, General Manager Network Security bei Barracuda Networks

Wer seine IT vor Cyberangriffen schützen möchte, muss auch an die Menschen denken. Sie sind oft die entscheidende Schwachstelle, über die Angreifende überhaupt erst Zugang zu einem Firmennetz eindringen können. Sensibilisierung ist der Schlüssel. Interview: Marc Landis

Ransomware-Angriffe treffen auch Firmen, von denen man denken könnte, sie hätten die IT-Security im Griff. Wie schaffen es Hacker immer wieder, auch in gut gesicherte Systeme einzudringen?

Klaus Gheri: Hacker nutzen als Angriffsvektor immer öfter die «Schwachstelle Mensch». Durch Social Media können die Angreifer sehr viel über Angestellte einer Firma oder das Unternehmen selbst lernen, um täuschend echte Phishing-E-Mails gezielt zu versenden. Da diese nicht Teil einer umfassenden Phishing-Welle sind, ist die Chance, unentdeckt gewöhnliche Spam-Filter zu passieren, gross. Landen diese gezielten Angriffsmails erst einmal in der Inbox, genügt oft der unbedachte Klick auf einen Link, um den Rechner zu infizieren.

Technologie alleine genügt nicht, um Firmennetze und ihre IT-Systeme abzusichern. Wie gelingt es, eine ganzheitliche Sicht auf die IT-Sicherheit im Unternehmen zu entwickeln und zu verankern?

Sicherheit ist nicht nur etwas, was an einer Stelle oder einmalig passiert. Ein hohes Niveau an Sicherheit kann nur gewährleistet werden, wenn eine ganzheitliche Strategie verfolgt wird. Sie muss sowohl technische als auch organisatorisch-prozessuale Aspekte umfassen und nicht zuletzt auch den Faktor Mensch berücksichtigen. Dass an mehreren Stellen Sicherheitsmassnahmen ergriffen werden müssen, ist eine Selbstverständlichkeit. Dazu zählt etwa der Perimeterschutz mit Firewalls und AV-Lösungen. Darüber hinaus muss aber auch der Zugriff auf Systeme gemanagt werden, mit Zero Trust Access und integriertem Privilegien- und Zugriffsmanagement. Alle Systeme sollten zudem, nicht nur diejenigen hinsichtlich Detektion und Angriffsunterbindung, auch eine Integration mit einem XDR-System (Extended Detection and Response) anbieten.

Wie können Mitarbeitende sensibilisiert werden, sich im Sinne der IT-Security korrekt zu verhalten?

Der Mensch stellt die letzte Verteidigungslinie dar und alle Mitarbeiter sollten regelmässig zu den neuesten E-Mail- und anderen IT-Gefahren unterrichtet und getestet werden. Die Industrie bietet hier mit vorgefertigten Schulungen zur Stärkung des Risikobewusstseins und Phishing-Simulationen alle nötigen Tools dafür, Benutzer für die Erkennung von und den Umgang mit Phishing-E-Mails und anderen Gefahren zu sensibilisieren.

Welche Verteidigungsstrategien gibt es, falls ein Ransomware-Angriff «geglückt» ist und man vor seinen verschlüsselten Daten sitzt?

Ist ein Ransomware-Angriff geglückt, hilft in der Regel nur noch eine Radikalkur: Systeme abschalten, neu installieren und ein ­Backup einspielen – immer mit der Hoffnung, dass das Ransomware-Paket nicht bereits Teil eines Backups war. Bevor aber das Backup wieder eingespielt werden kann, muss das Einfallstor bekannt sein und das Netzwerk quasi mit digitalen Dampfstrahlern gereinigt worden sein. Am einfachsten und am schnellsten geschieht dies nach einem vorgefertigten Notfallplan. Auch wenn sich eine Organisation dazu entschliesst, zu bezahlen, müssen die Aufräumarbeiten trotzdem erledigt werden, sonst wird man nur kurze Zeit später wieder in der gleichen Lage sein.

Welche Massnahmen treffen Unternehmen idealerweise, nachdem ein solcher Angriff abgewehrt werden konnte?

Sicherheit kann nur durch einen ganzheitlichen, durchgängigen Security-Ansatz erreicht werden. Das heisst, ein Unternehmen muss unter Nutzung verschiedenster Technologien eine sicherheitstechnische und organisatorisch-prozessuale Integration vornehmen, denn Security ist keine Einzelsportart, sondern immer ein Mannschaftssport.