Ransomware-Angriff: Was tun?
Ein Ransomware-Angriff zielt häufig auf die „Schwachstelle Mensch“: Ein unbedachter Klick auf einen Link in einer E-Mail-Nachricht – und schon startet die Cyber-Attacke. Es droht die Vollverschlüsselung sensibler Daten, ausgeführt von Cyberkriminellen, die vor Erpressung nicht zurückschrecken. Ransomware-Angriffe können existenzbedrohend für ein Unternehmen sein. Falsch wäre es, sich in Sicherheit zu wiegen, etwa weil das eigene Unternehmen bisher von Angriffen verschont geblieben ist. Denn Ransomware Attacken treffen Unternehmen jeglicher Größe und Art. Wir erklären Angriffsmuster und zeigen, wie proaktive und reaktive Maßnahmen, aber auch die Resilienz eines Unternehmens helfen, das Risiko zu mindern.
Nach einem Ranking der EU-Agentur für Cybersicherheit (ENISA) von 2022 steht Deutschland auf Platz 2 der meist angegriffenen Länder. Weiter zeigt die Studie, dass zuletzt durchschnittlich 10 Terabyte an Daten pro Monat gestohlen wurden - mehr als 58 Prozent davon waren personenbezogene Daten von Mitarbeitenden.
Je intelligenter die Angriffe ausgeführt sind, desto größer ist die Gefahr für Unternehmen, den Angreifern zum Opfer zu fallen. Die fingierten E-Mails (Phishing Mails), die als Köder genutzt werden, können täuschend echt wirken. Das Ziel ist es, einen Moment der Schwäche zu erzeugen, in dem das Denken kurz aussetzt und stattdessen Emotionen hochkochen.
„Wenn Sie Ihre Daten nicht umgehend aktualisieren, gehen sie unwiederbringlich verloren...“.
Solche Botschaften markieren oft den Beginn der sogenannten "Kill Chain", an deren Ende die Lösegeldforderungen stehen können.
Wie läuft ein Ransomware-Angriff ab?
Sinn und Zweck der heimtückischen Botschaften ist es, Nutzerinnen und Nutzer zum Klicken eines Links zu animieren. Dann setzt sich die "Kill Chain" fort. Hier ein idealtypischer Ablauf der Ursachen- und Wirkungskette:
- Ist der in der Phishing-Mail enthaltene Link (oder Dateianhang) aktiviert, startet die eigentliche Attacke: Es werden nun über den eroberten Zugang neue Accounts angelegt, um erweiterte Rechte zu gewinnen.
- Über diese Zugänge greifen die Kriminellen nach und nach Unternehmensdaten ab und speichern diese auf fremden Servern, häufig in Drittländern.
- Es gibt für die Angreifer mehrere Optionen, um Kapital aus erbeuteten Dateien zu schlagen. Eine Möglichkeit ist der Verkauf der Daten. In diesem Fall handelt es sich nicht um einen vollständigen Ransomware-Angriff, da die Daten nicht verschlüsselt werden.
- Gelingt es den Kriminellen hingegen, große Datenmengen aus den Systemen des Opfer-Unternehmens zu schleusen, startet der Verschlüsselungsprozess und die Geschäftsabläufe geraten ins Stocken. Leider bemerken viele Unternehmen den Angriff erst, wenn Daten bereits verschlüsselt sind oder gerade verschlüsselt werden.
- Danach dauert es nicht lange, bis mit Reputationsschäden und der Veröffentlichung der Daten gedroht wird. Diese Drohkulisse wird verbunden mit der Forderung nach Lösegeld.
Warum sind Ransomware-Angriffe so gefährlich?
Ist ein Unternehmen erst einmal mit einer Lösegeldforderung konfrontiert, befindet es sich in einem Dilemma. Denn es ist keinesfalls sicher, dass die Zahlung das Problem aus der Welt schafft. Der Grund: Die erfolgreiche Lösegelderpressung macht ein Unternehmen erst recht attraktiv für Kriminelle - verbunden mit dem Risiko, erneut Opfer zu werden. Außerdem kann es sein, dass die erstmalig erfolgreichen Hacker weiterhin Zugriff auf die infizierten Systeme haben.
Auch ohne Lösegeldzahlung ist ein wirtschaftlicher Schaden bei einer erfolgreich durchgeführten Ransomware-Attacke in der Regel vorprogrammiert. Denn in den meisten Fällen droht eine Ausfallzeit der betroffenen Systeme. Der ENISA-Studie zufolge betrug die durchschnittliche Ausfallzeit zuletzt rund 23 Tage.
Wie lange die Ausfallzeit im Einzelfall ist, hängt davon ab, welche Systeme betroffen sind und wie effektiv vorab getroffene Schutzmaßnahmen wirken. Im schlimmsten Fall kann die Ausfallzeit mehrere Monate betragen – dann wird Ransomware zur existenziellen Bedrohung.
Wie lassen sich Ransomware-Angriffe abwehren?
Unternehmen, die sich gegen Ransomware schützen möchten, müssen auf mehreren Ebenen ansetzen. Es geht um einen Mix aus Absicherungs- (Protection), Erkennungs- (Detection) & Reaktionsmaßnahmen (Reaction). Zusätzlich spielt die Resilienz des Unternehmens eine Rolle.
Protection
- Sensibilisierung der Mitarbeiter: Gut geschulte Mitarbeiter werden seltener Opfer. So werden Phishing-Mails schneller erkannt und im besten Fall sogar gemeldet.
- Rollen- und Rechtekonzept nach Minimalprinzip: Ein gutes Berechtigungsmanagement verhindert, dass Angreifer schnell neue Accounts anlegen und dadurch zusätzliche Rechte bekommen können. Starke Passwörter und MFA bieten zusätzlichen Schutz.
- Sicheres Backup: Ein sicheres Backup getrennt von den übrigen Daten. So ist der Zugriff auf die Infrastruktur trotzdem gewährleistet. Auch hier sollte ein gutes Rechtemanagement greifen.
- Netzwerktrennung: Physische und virtuelle Trennung der Netzwerke, um erweiterten Datenabfluss zu verhindern.
- Notfall- und Krisenmanagement: Ein gutes Krisenmanagement sowie Abläufe und Maßnahmen müssen im Vorfeld etabliert und bekannt gemacht werden, um im Notfall greifen zu können.
Detection
- Monitoringsysteme (präventiv): SIEM-Lösungen, Firewall-Loganalysen sowie Endpoint- und Network-Detection können dolose Handlungen frühzeitig erkennen, wichtig hierfür sind gut entwickelte Regeln und Use-Cases.
- Viren- und Malware-Schutz (präventiv): Ein Viren- und Malwareschutz erkennt unsichere Software und Links und schützt so präventiv vor dolosen Handlungen.
- Security-Prozesse (reaktiv): Incident Response Prozesse greifen bei der Wiederherstellung und Analyse der infizierten Infrastruktur und Systeme.
Reaction
- Wiederherstellung der Infrastruktur: Wideraufbau aller betroffenen Server und Clients; ggf. Neuaufsetzen inkl. Zurücksetzen und Bereinigen der Accounts.
- Notfallplan: Je nach Ausmaß des Angriffs muss der Notfallplan ausgerufen werden.
Die Zusammenstellung zeigt: Sich vor Ransomware Attacken zu schützen, bedeutet Prävention zu betreiben und den Angreifern den Zugang zu kritischen Systemen bestmöglich zu verwehren. Insgesamt senken durchdachte, abgestimmte Maßnahmen das Risiko eines Angriffes erheblich.
Was wir als Basisschutz empfehlen
Ins Zentrum jeder Abwehrstrategie gehören der sorgfältige Umgang mit Nutzerrechten sowie sensibilisierte Mitarbeiter, die Phishing-Links oder Email-Anhänge lieber drei- oder viermal prüfen, als den falschen Klick zu riskieren. Die folgenden Maßnahmen empfehlen wir als Basisschutz.
Technische Maßnahmen
- Erstellung eines Backup-Plans (OnPremise)
- Etablierung von Monitoringsystemen
Organisatorische Maßnahmen
- Awareness-Trainings für Mitarbeitende
- Berechtigungsmanagement nach Minimalprinzip und
- Durchsetzung geeigneter Policies
Im akuten Angriffsfall bestimmen die implementierten Maßnahmen maßgeblich über die Reaktionsgeschwindigkeit und den potenziellen Schaden. Wenn Sie wissen möchten, wie Sie Ihr Unternehmen individuell vor Ransomware-Angriffen schützen können, wenden Sie sich gerne an unser matrix technology Team für IT Security and Compliance.