Cybercrime: Stärken Sie jetzt Ihre Abwehrkräfte, bevor es zu spät ist!

Angesichts der steigenden Cyberangriffe müssen Unternehmen stetig ihre Sicherheitsmassnahmen verbessern. Viele Angriffe sind auf schlecht gesicherte externe Zugangsdienste wie RDP, Citrix oder VPN zurückzuführen, die oftmals nicht mit einer Multi-Faktor-Authentisierung (MFA) geschützt sind. Obschon diese auch ausgehebelt werden kann, so sinkt doch das Risiko eines Breaches massiv. Aber auch Angriffe auf Anwender von Microsofts Cloud-Dienst Azure und insbesondere Office 365 "erfreuen" sich zunehmender Beliebtheit.

Angreifergruppen identifizieren

Meist erfolgt der initiale Hack durch sogenannte Access Broker. Diese haben sich darauf spezialisiert, den unauffälligeren und damit weniger riskanten Teil der Angriffskette durchzuführen und Zugänge beispielsweise an Ransomware-Angreifer zu verkaufen. Gelingt dieser initiale Zugang, bauen die Angreifer ihre Präsenz im Netzwerk aus und sammeln weitere Informationen über das Zielnetzwerk, bevor sie den eigentlichen Angriff starten. Oft entdeckt unser CSIRT (Computer Security Incident Response Team) bei Untersuchungen, dass sich gewisse Angreifergruppen auf Daten mit Schlüsselwörtern wie etwa "Finance", "HR" oder "Projects" fokussieren. Ab und zu übersehen Angreifer deshalb Daten, die wesentlich wertvoller wären. Sind die Zieldaten identifiziert, werden diese auf Cloud-Storage-Dienste gespeichert. Hierbei lassen sich Angreifer durchaus unterscheiden, denn die Gruppen verwenden oftmals unterschiedliche Portale.

Angriffe passieren blitzschnell

Die Entwendung von sensiblen Unternehmensdaten sowie die Verschlüsselung des Netzwerks geschehen sehr schnell und sind oftmals in nur wenigen Stunden vollzogen. Was danach folgt, kennt man: Erpressungen in Millionenhöhe. Bei Nichtbezahlung drohen die Erpresser mit der Veröffentlichung der Daten. Bei der Verhandlung mit den Angreifern ist Erfahrung notwendig. Weshalb? Gehen wir davon aus, der Ransomware-Angriff war erfolgreich. Nun ist das betroffene Unternehmen mit einem Zeitlimit konfrontiert, sich für oder gegen die Zahlung der Lösegeldforderung zu entscheiden. Mit den Angreifern in Kontakt zu treten, ist in beiden Fällen ratsam. Dabei erfährt man nicht nur explizit einiges, sondern noch wesentlich mehr implizit. Erstens werden die Angreifer die Höhe der Lösegeldforderung bekannt geben. Zweitens sind sie in der Regel bereit, zu beweisen, dass sie die Entschlüsselung tatsächlich durchführen können und im Besitz der Daten sind. Hierzu kann beispielsweise eine kritische Datei für einen Entschlüsselungstest verlangt werden. Drittens kann durch den Kontakt mit den Angreifern Zeit gewonnen und über die Lösegeldforderung verhandelt werden.

Incident Response braucht Expertise

Bei der Bewältigung einer solchen Situation braucht das betroffene Unternehmen den sofortigen Zugriff auf Spezialisten. Oft fehlt es intern an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Daher empfiehlt es sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details für die Unterstützung bei der Bewältigung eines Angriffs vorab zu klären. Denn im Falle eines Sicherheitsvorfalls gilt es, den verursachten Schaden zu minimieren, das Unternehmen rasch wieder handlungsfähig zu machen und die Abwehrkräfte der Cybersecurity nachhaltig zu stärken, um weiteren Angriffen vorzubeugen.