Ein Ransomware-Angriff ist trotz bekannter, anhaltender Bedrohungslage sowie entsprechenden Maßnahmen weiterhin für viele Unternehmen existenzbedrohend. Neben technischen Maßnahmen fehlt es oft auch an der Planung und Übung eines Notfalls. Dabei kann eine gute Notfallplanung den Schaden deutlich reduzieren.
Der Inhalt im Überblick
Die unendliche Geschichte
Obwohl die Gefahr seit Jahren bekannt ist, können Angreifer mittels Ransomware immer noch sehr leicht sehr großen Schaden anrichten. Dabei geht ist nicht primär darum, den Angriff selbst abzuwehren. Eine geschickte Phishing-Masche, ein Zero-Day-Exploit und andere Mittel werden immer Wege in jede IT-Festung öffnen. Klar ist natürlich – je besser man sich schützt, desto schwieriger wird es. Kleinganoven und Skript-Kiddies kann man mit einer guten Verteidigung loswerden. Gibt sich jemand wirklich Mühe, ist es oft nur eine Frage der Zeit.
Nachdem der erste Schritt ins Innere getan ist, hat der Angreifer oft keine großen Barrieren mehr niederzureißen. Strategien wie Defense-in-Depth sind oft unbekannt, geschweige denn umgesetzt. Es wird mit zu hohen Rechten und zu alter Software gearbeitet und das Netzwerk ist ein einziges offenes Tor. Basics der IT-Sicherheit sind leider häufig nicht umgesetzt.
Warum ist das so?
Gewachsene Strukturen aufzubrechen, neu zu sortieren und Zugriffe zu beschränken, ist kein charmantes Thema. Zum einen kann es kurzzeitig zu Beeinträchtigungen bei der Arbeit führen. Und warum sollte man das machen, wenn hinterher alles wie vorher ist. Den Erfolg guter Sicherheitsmaßnahmen sieht man schließlich nicht. Außerdem läuft doch alles, oder?
Zum anderen gibt es abseits davon noch den psychologischen Effekt. Vom Sachbearbeiter bis hoch zur Geschäftsführung kann das Gefühl aufkommen, einem wird etwas weggenommen. Wenn Zugriffe beschränkt werden, auch wenn sie nie gebraucht wurden, wird man ja degradiert, oder? Zudem wird vermeintlich davon ausgegangen, dass das Vertrauen abgesprochen wird, mit den Rechten sinnvoll umzugehen.
Zur Klarstellung: Nein, das hat damit nichts zu tun! IT-Sicherheit und Angreifer nehmen aber keine Rücksicht auf Befindlichkeiten. Im Gegenteil – der Angreifer profitiert stark davon.
Zudem scheuen sich viele Unternehmen davor, ihre eigene IT einem kleinen Check zu unterziehen. Wie gut bin ich auf einen Angriff, und ja, es gibt nicht nur Ransomware, vorbereitet? Wie gehe ich mit Vorfällen um, und was mache ich am Wochenende, wenn meine Mitarbeiter frei haben? Das wären nur einige grundlegende Themen, die jedes Unternehmen angehen sollte.
Nicht zu handeln und das Thema auszusitzen, ist jedenfalls die schlechteste Wahl.
Kriminellenkarussell
Warum sich das so schnell nicht ändern wird, kann man gut an der Entwicklung der Gruppe „Blackcat“ erkennen. Wird eine Bande durch Behörden aufgelöst bzw. verhaftet, sind die „Mitarbeitenden“ noch lange nicht vom Markt. Besagte Gruppe ist seit Ende 2021 aktiv und rekrutiert Ehemalige der Gruppen REvil, BlackMatter und DarkSide. Somit beginnt das Spiel von vorne bis zur nächsten Auflösung und Neugründung.
Abseits davon bedarf es bei Methoden wie Ransomware-as-a-Service keiner großen Banden von Hackern mehr. Sind die Kerndienste einmal programmiert und in Stellung gebracht, kann sich jeder Kleinganove einkaufen und einen Angriff auf die eigenen Ziele fahren.
Kleine Maßnahmen, große Wirkung
Dabei können schon mit kleinen Maßnahmen große Schäden vermieden werden. Angefangen bei einem gut umgesetzten Rollenkonzept, in der Cloud und lokal, sowie der Nutzung von Bordmitteln zur Absicherung der Systeme. Mit eingeschränkten Rechten kann ein Angreifer trotz erfolgreichem Phishing-Angriff nicht direkt kreuz und quer durchs Netzwerk seine Schadsoftware verbreiten. Ein Regelwerk zur Einschränkung von Programmausführungen bremst zudem zügig einfache Versuche zum Ausführen von Schadsoftware aus.
Natürlich wird keine der Maßnahmen einen engagierten Angreifer dauerhaft daran hindern, großen Schaden anzureichen. Dennoch sorgen solche Maßnahmen dafür, dass ein Angreifer nicht ohne Weiteres hohe Privilegien erlangen kann. Zum anderen sorgt jedes Mittel für ein Ausbremsen des Angreifers. Dadurch kann Zeit gewonnen werden, um einen laufenden Angriff zu erkennen und einzudämmen.
Nicht zuletzt kann man es nicht oft genug wiederholen: Ein aktuelles, regelmäßig getestetes Offline-Backup der Unternehmensdaten rettet zumindest vor einem unwiederbringlichen Datenverlust.
Zur ganzen Wahrheit gehört es aber auch, dass inzwischen zuerst alle Daten abgezogen und im Anschluss verschlüsselt werden. Vor einer Veröffentlichung ist man dann nicht mehr geschützt.
Gute Vorsorge kann Schäden minimieren
Trotz technischer Härtungsmaßnahmen sollte auch der prozessuale Aspekt bei so einem Vorfall berücksichtigt werden. Geplante und geübte Prozesse sorgen für eine schnelle Reaktionszeit. Das gleiche gilt für die Auswahl angemessener Maßnahmen je nach Kritikalität der aktuellen Lagen. Diese zu bewerten, sollte zuvor auch Anhand fester Kriterien definiert werden. Dies sind nur einige der Punkte, welche sich in einer guten Vorfall- und Notfallvorsorge wiederfinden sollten.
Insbesondere, wenn sich der Vorfall zu einem Notfall entwickelt, sollten Themen wie ein Notbetrieb, Bereinigung und Wiederanlauf im Vorwege geklärt werden. Innerhalb eines Notfalls ist weder der gute Zeitpunkt solche Maßnahmen zu planen und umzusetzen, noch trifft man immer die bestmögliche Entscheidung angesichts des Zeit- und Kostendrucks. Nicht zuletzt wollen auch ggf. betroffene Dritte Auskunft über den aktuellen Verlauf sowie möglicherweise kompromittierte Daten und verbundene Systeme haben. Dies allein zeigt, dass auch das Thema Kommunikation nicht zu kurz kommen sollte.
Webinar zum Thema
Die Wichtigkeit eines Notfallplans ist Ihnen bewusst, aber Sie wissen nicht, wie die konkrete Umsetzung gemeistert werden kann? In unserem Webinar im Kleingruppenformat »IT‑Notfall Ransomware« erfahren Sie, wie die Erstellung gelingt und dabei Schäden im Fall eines Angriffs reduziert werden können.
