Wie können sich Unternehmen vor der Ransomware-Pandemie schützen?

Ransomware ist nichts Neues.

Auch die Security-Frameworks, die vor den entsprechenden Angriffsvektoren schützen, sind nicht neu. 

Um zu verstehen, wie Sie sich am besten vor Ransomware schützen, müssen Sie zuallererst die Ransomware selbst verstehen: die Ökonomie, die Motivation, die Techniken, Taktiken und Prozesse (TTPs) und natürlich die dynamische Bedrohungslandschaft der vergangenen 18 Monate - und das mit Blick auf die sozialen und technischen Implikationen.

Was ist Ransomware? Und wie funktioniert sie?

Fangen wir mit den Grundlagen an: Was ist Ransomware?

Wie schon der Name verrät, handelt es sich bei Ransomware um Malware, die den Zugriff auf ein System verhindert, bis ein Lösegeld bezahlt wurde.

Das Business-Modell hinter Ransomware war anfangs ganz einfach. Man kompromittierte ein System, verschlüsselte es und verkaufte dem Eigentümer anschließend den Decryption-Key gegen eine Zahlung in nicht zurückverfolgbarer Krypto-Währung. 

Ransomware-Crews agieren dabei wie jedes andere Unternehmen.Sie haben Mitarbeiter, Teamstrukturen und ein Produkt, und sie investieren viel Zeit und Mühe, um dieses Produkt zu verbessern.Sie legen auch höchsten Wert auf die Reputation, die sie bei ihren Kunden (den Opfern) genießen.Schließlich wäre es schlecht für das Geschäft, wenn jemand Lösegeld für einen Decryption-Key zahlen würde und dieser anschließend nicht funktionierte.

Die Frage, ob die Opfer das Lösegeld tatsächlich bezahlen sollten, wird seit Jahren heiß diskutiert. Einige argumentieren, dass jede Zahlung zusätzliche Reserven in die Kriegskasse der Angreifer spült, und ihnen so dabei hilft, auch weiterhin aktiv zu bleiben. Dieses einleuchtende Argument verliert aber enorm an Überzeugungskraft, wenn gerade die eigenen Systeme verschlüsselt wurden, die Mitarbeiter untätig herumsitzen und die Kunden lautstark die Wiederherstellung ihrer Dienste einfordern. Ein Ransomware-Angriff, der nicht schleunigst behoben wird, kann für ein Unternehmen das Aus bedeuten.Handelt es sich beim betroffenen Unternehmen um einen Anbieter kritischer Infrastrukturen wie ein Kraftwerk oder ein Krankenhaus, gilt es zudem, noch viele weitere Faktoren zu berücksichtigen. Denn die Entscheidung wirkt sich weit über das Unternehmen hinaus auf unzählige Menschen aus. 

Wie teuer ist ein Ransomware-Angriff?

Ransomware legt Jahr für Jahr um 30 % zu. Wenn sich diese Prognosen bestätigen, wird das Problem bis 2021 auf 20 Mrd. US-Dollar pro Jahr anwachsen. Konkrete Vorhersagen zu treffen, ist allerdings schwer, da nicht alle Ransomware-Angriffe gemeldet und nicht alle Zahlungen bekannt werden. Dass nicht alle Vorfälle offengelegt werden, ist mit Blick auf das aktuelle Klima nicht weiter verwunderlich: Gesetzgeber überlegen, Zahlungen für ungesetzlich zu erklären, und die Vorstände betroffener Unternehmen werden von den Aktienmärkten abgestraft.

Trotzdem gibt es eine Reihe dokumentierter Fälle, auch wenn die Details oft unklar sind.

In diesem Jahr gelangten diverse große Unternehmen aufgrund von Ransomware in die Schlagzeilen. Von Industrie- und Versorgungsunternehmen wie KIA Motors und Colonial Pipeline über Technologieanbieter wie CD Projekt Red und Acer bis hin zu Finanzdienstleistern wie CNA und AXA Insurance – sogar Security-Provider wie Kaseya waren betroffen. Die Auswirkungen der Angriffe beschränken sich aber nicht auf das Opfer. Viele von ihnen stehen am Anfang langer Lieferketten, und die Angriffe wirken sich drastisch auf die Downstream-Kunden aus.

Die Ransomware-Pandemie betrifft auch nicht nur Unternehmen und deren Kunden, sondern beispielsweise auch Einrichtungen des Gesundheitswesens und deren Patienten. Krankenhäuser, Kliniken und staatliche Einrichtungen wie der NHS in Großbritannien standen alle bereits im Visier der Angreifer. Das irische Gesundheitssystem, das HSE, erholt sich aktuell immer noch von den Folgen eines Angriffs vor vier Monaten, ein Beleg für die langfristigen Auswirkungen auf die Patientenbetreuung. 

Die gesamten Schäden dieser Angriffe sind kaum zu beziffern. Die Ransomware-Forderungen liegen je nach Einzelfall zwischen kleinen Beträgen bis zu Beträgen im zweistelligen Millionenbereich – wobei die tatsächlich gezahlten Summen in der Regel nicht offengelegt werden. Wir können aber festhalten, dass die Ransomware-Crews eine Menge Geld verdienen.

Untersuchungen, die Sophos im Report „State of Ransomware 2021“ veröffentlichte, legen den Schluss nahe, dass im Schnitt ein Lösegeld von 170.000 US-Dollar gezahlt wurde. Die Behebung der Schäden nach einem Angriff, die früher 761.000 US-Dollar kostete, schlägt jetzt aber mit mehr als 1,85 Millionen US-Dollar zu Buche. Das ist wichtig: Sich von einem Angriff zu erholen ist inzwischen zehnmal so teuer wie das geforderte Lösegeld. Die Studie kommt auch zu dem Schluss, dass die Zahl der zahlenden Unternehmen zwar von 26 % auf 32 % gestiegen ist, aber nur 8 % davon auch wirklich alle betroffenen Daten wiederherstellen konnten.

Was tut sich Neues im Ransomware-Markt?

Robuste Datenbackups und etablierte Recovery-Prozesse galten früher als probates Mittel, um sich vor Ransomware-Forderungen zu schützen. Man hört zwar immer wieder von Fällen, in denen auch die Backups infiziert wurden, doch diese Szenarien sind eher eine Randnotiz. Die Ransomware-Crews haben zudem neue Wege gefunden, um bestehende Security-Maßnahmen zu umgehen und sicherzustellen, dass ihre Mühen nicht umsonst sind.

• Sie stehlen vor der Verschlüsselung Daten, und können bei der Erpressung als zusätzlichen Hebel damit drohen, diese publik zu machen.
• Wenn das Netzwerk einmal kompromittiert wurde, kann der Zugang zudem über spezialisierte Access-Broker an andere Angreifer weiterverkauft werden, was unterschiedlichste weitere Attacken nach sich zieht.
• Richtet sich ein Ransomware-Angriff gegen eine Supply Chain, versuchen die Angreifer mitunter auch, Einfluss auf die Kunden des Opfers zu nehmen, und so den Druck zu erhöhen, die Services zeitnah wiederherzustellen.
• Manchmal werden die Informationen über den Angriff auch Börsenmaklern angeboten, um mit Aktienoptionen zu handeln, bevor der Angriff der breiten Öffentlichkeit bekannt wird.
• Mit Ransomware-as-a-Service steht jetzt zudem auch technologischen Laien gegen eine vergleichsweise kleine Gebühr die Möglichkeit offen, Ransomware-Attacken zu initiieren.

Kurz: Ransomware ist ein flexibles und vielschichtiges Verbrechen, dass Kriminellen viele Möglichkeiten bietet, sich am Unglück anderer zu bereichern.

Warum steigt die Zahl der Ransomware-Angriffe?

Unter dem Druck der Pandemie haben viele Unternehmen eine „Move first, plan later“-Strategie eingeführt. Viele Unternehmen haben Digitalisierungs- und Cloud-Programme nachhaltig beschleunigt, und die Wachstumsinitiativen mehrerer Jahre in wenigen Wochen oder Monaten absolviert. Mitunter war dies nur möglich, indem Unternehmen im Namen der Business-Continuity Löcher in bestehende Security-Architekturen rissen - eine technologische und sicherheitsrelevante Schuld, die sie später begleichen werden müssen. 

Gleichzeitig sind die Mitarbeiter vieler Unternehmen verwundbarer denn je, da die gesellschaftlichen und wirtschaftlichen Verwerfungen der letzten Monate ganz neue Angriffsvektoren eröffnen. 

Andere Schwachstellen entstehen durch das Aufkommen neuer Arbeitsplatzmodelle, steigende Arbeitslosenquoten, gesellschaftliche Verwerfungen und COVID-basiertes Phishing. Viele Menschen teilen ihre Workspaces oder Homeoffice-PCs mit ihren Kindern, ihrer Familie oder ihren Mitbewohnern - auch das ein erhebliches Risiko.

Zusammengefasst heißt das:

• Durch die beschleunigte Cloud- und Remote-Migration sind die Angriffsflächen der Unternehmen größer denn je
• Die Zahl neuer Schwachstellen brach in den vergangenen vier Jahren alle Rekorde (NIST NVD)
• Die Zeitspanne zwischen dem Proof-of-Concept neuer Schwachstellen und deren tatsächlichem Missbrauch hat sich von Jahr zu Jahr beschleunigt, von Wochen auf Tage (oder sogar Stunden)
• Mitarbeiter, auch im Bereich Security, stehen unter Stress oder vor dem Burnout

Zu behaupten, dass das Risiko für die Unternehmen zugenommen hat, wäre ein Understatement.

Wie sollten Unternehmen auf Ransomware-Attacken reagieren?

Wer eine Chance haben will, wirkungsvoll auf einen Ransomware-Angriff zu reagieren, muss sich in erster Linie vorbereiten. Wie bei jeder anderen Form von Incident Response ist der erste Schritt, ein Ransomware Response Playbook zu entwickeln. Bei der Erstellung müssen alle relevanten Stakeholder beteiligt sein und alle relevanten Szenarios abgedeckt werden – vom unbedeutendsten bis zum kritischsten. Und schließlich: Es muss als lebendes Dokument immer wieder aufgegriffen und weiterentwickelt werden. 

Um eine wirkungsvolle Ransomware-Response sicherzustellen, sollten Sie für alle Szenarien Krisensimulationen durchführen und dabei auch die betroffenen Entscheidungsträger einbeziehen. Kommunizieren die Teams effizient? Gibt es für jedes Szenario klare Entscheidungswege? Wurden alle Entscheidungsträger einbezogen?

Ziehen Sie auch Ihre Cyber-Versicherung hinzu. Die Versicherungsindustrie tut sich schwer damit, Ransomware- und andere Cyber-Attacken zu modellieren.Zwischen Kunden und Versicherungsunternehmen gibt es immer wieder Diskussionen über die Deckung von Schäden, und die Prämien steigen immer weiter, je besser die Versicherer das Risikopotenzial verstehen.Stellen Sie sicher, dass Ihr Unternehmen adäquat versichert ist. Sollten Sie noch nicht versichert sein, suchen Sie sich einen geeigneten Anbieter.

Wie können sich Unternehmen vor Ransomware-Angriffen schützen und die Schäden minimieren?

Bewährte Best Practices aus den Bereichen Security-Hygiene und Prävention sind nach wie vor ein wichtiger und wirksamer Schutz vor Cyber-Attacken - ganz egal, ob es sich um Ransomware oder andere Malware handelt.Alle Security-Leader sollten bestens mit den folgenden Aspekten vertraut sein:

• Kennen Sie Ihre Umgebung, Ihre Mitarbeiter und Ihre Supply Chain (einschließlich der Veränderungen während der Pandemie)
• Halten Sie Ihre Systeme gepatcht und up-to-date
• Stellen Sie sicher, dass Ihre Security-Systeme Infrastrukturen und Assets On-Premises und in der Cloud abdecken
• Integrieren Sie ein lückenloses Monitoring (und verschaffen Sie sich einen klaren Einblick in die normalen Abläufe)
• Nutzen Sie Risiko-Assessments, um Ihr Management einzubeziehen und Investitionen zu priorisieren

Warum sollten Unternehmen in identitätszentrierte Zero-Trust-Modelle investieren?

Eine robuste Security-Hygiene ist nur der Anfang. In der dynamischen Threat-Landschaft von heute ist es auch unverzichtbar, ein robustes Verständnis für Zero-Trust-Modelle zu entwickeln und diese in Ihre Security-Strategie einzubetten. 

Ein identitätsbasiertes Zero-Trust-Modell stellt sicher, dass die richtigen Menschen zur richtigen Zeit mit den richtigen Geräten und im richtigen Kontext auf die richtigen Ressourcen zugreifen können. Allerdings ist Zero Trust nichts, was man fix und fertig für Ihr Unternehmen kaufen könnte. Es wird schrittweise entwickelt und mithilfe der folgenden zeitgemäßen IAM-Lösungen implementiert:

Adaptive Multifactor Authentication

Adaptive Multifactor Authentication ist eine der wirksamsten Lösungen zum Schutz vor Account-Übernahmen. Adaptive MFA ermöglicht Zugriffe auf der Basis kontextbasierter Access-Policies, bei denen zwischen normalen und ungewöhnlichen Verhaltensweisen und zwischen User-Aktivitäten mit geringem und mit hohem Risikopotenzial unterschieden wird. Diese Faktoren sind häufig die ersten Hinweise auf bösartige Aktivitäten.

Adaptive MFA kann Ihnen dabei helfen, Ransomware-Crews am ersten Eindringen in das Netzwerk zu hindern. Eine holistische Zero-Trust-Architektur schiebt darüber hinaus aber auch der lateralen Bewegung im Netzwerk einen Riegel vor. Ein identitätsbasiertes Zero-Trust-Modell stellt sicher, dass die richtigen Menschen zur richtigen Zeit mit den richtigen Geräten und im richtigen Kontext auf die richtigen Ressourcen zugreifen können. 

Zentralisiertes Access-Management

Angreifer attackieren gezielt Unternehmen mit hochgradig komplexen Legacy-Architekturen und unsauber entwickelten Integrationen. Die Implementierung eines automatisierten, skalierbaren und herstellerneutralen Access-Managements ist ein wichtiger erster Schritt bei der Reduzierung Ihrer Angriffsoberfläche.

Das Okta Integration Network unterstützt beispielsweise tausende schlüsselfertige Integrationen. Es verwendet moderne Protokolle wie OIDC, um die Risiken klassischer Passwörter zu minimieren. Dies hilft Ihnen, konsistente, dynamische und kontextbasierte Zugriffsrichtlinien für sämtliche Ressourcen zu definieren und die User-Experience nachhaltig zu verbessern.

Authentisierungsoptionen

Die richtige Balance zwischen User-Experience und Sicherheit zu finden, ist der Schlüssel, um ein Höchstmaß an Produktivität zu gewährleisten, ohne Abstriche bei der Security in Kauf zu nehmen. Bedienfreundliche Authentisierungsoptionen lassen sich schnell einführen, bieten wirksamen und reibungslosen Schutz und reduzieren die Zahl von Fehlkonfigurationen. So haben Ihre User keinen Grund mehr, zu weniger effektiven Alternativen zu greifen. 

Auch wenn es kein Allheilmittel zum Schutz vor Ransomware gibt, können Unternehmen mit einer zeitgemäßen Security und einer identitätsbasierten Zero-Trust-Strategie wichtige Weichen stellen. Okta wurde sowohl mit Blick auf die Architektur als auch aus Kundensicht gegründet, um den Weg für identitätsbasierte Zero-Trust-Modelle zu bereiten.Als einer der Marktführer im Bereich Identity- und Access-Management kann Okta Ihr Unternehmen vor den Threats von heute schützen - und Ihnen dabei helfen, eine lückenlose, identitätszentrierte Security-Strategie zu entwickeln und zu implementieren. So können Sie Ihre Anwender und Assets zuverlässig schützen und die Weichen für eine hochwertige User-Experience stellen. Mehr Informationen finden Sie hier.

Starten Sie Ihre Zero-Trust-Journey mit unserem Whitepaper: Ihr Einstieg in Zero Trust: Never trust, always verify.